1. Wprowadzenie teoretyczne
1.1 Wstęp
Sieć komputerowa to grupa komputerów lub innych urządzeń połączonych ze sobą w celu wymiany danych lub współdzielenia różnych zasobów, na przykład:
• korzystania ze wspólnych urządzeń, np. drukarek,
• korzystania ze wspólnego oprogramowania,
• korzystania z centralnej bazy danych,
• przesyłania informacji między komputerami (komunikaty, listy, pliki).
Typ sieci opisuje sposób, w jaki przyłączone do sieci zasoby są udostępniane. Zasobami mogą być klienci, serwery lub inne urządzenia, pliki itd.., które są przyłączane są do klienta lub serwera. Zasoby te udostępniane są w następujący sposób:
Sieci równorzędne - każdy z każdym (peer-to-peer) - umożliwia użytkownikom udostępnienie zasobów swojego komputera oraz dostęp do zasobów innych komputerów. Wszystkie systemy w sieci mają taki sam status - żaden z nich nie jest podporządkowany innemu, mają podobny stopień kontroli nad sesją, dysponują własną mocą przetwarzania i mogą kontrolować swoje działania. Rozwiązanie takie oferuje spore możliwości, nie jest jednak chętnie stosowane przez administratorów sieci ze względu na niewielkie możliwości zarządzania i niski poziom bezpieczeństwa. Występują tutaj problemy związane z lokalizacją danych, tworzeniem kopii zapasowych oraz z zapewnieniem odpowiedniej ochrony danych. Tworzenie sieci typu "każdy z każdym" umożliwiają m.in. systemy: IBM LAN Server, OS/2, LANtastic, Artisoft, MS Windows NT oraz MS Windows 95.
Sieci asymetryczne/oparte na serwerach - dedykowany serwer - jeden lub więcej komputerów spełnia rolę serwera i nie wykonuje innych zadań. Serwer spełnia takie zadania jak: przechowywanie i udostępnianie plików, zarządzanie współdzieleniem drukarek oraz funkcje związane z bezpieczeństwem danych.
Sieci mieszane - połączenie sieci równorzędnych i serwerowych.
Sieć lokalna (ang. Local Area Network stąd używany także w języku polskim skrót LAN) to rodzaj sieci komputerowej. Sieć LAN zlokalizowana jest w stosunkowo niewielkim obszarze o zasięgu od kilkudziesięciu metrów do kilku kilometrów, przenosząca komunikaty z dość dużą szybkością. Każdy komputer w sieci LAN jest wyposażony w kartę sieciową, Użytkownicy z sieci LAN mogą się ze sobą komunikować za pomocą specjalnych programów, wspólnie użytkować drukarki czy pliki na dyskach wszystkich lub wybranych komputerów. Szybkości przesyłania sieci lokalnych wynoszą od 0, 2 do 100 Mb/s, przy bardzo małych opóźnieniach (nie ma konieczności wytyczania tras). Jedna sieć lokalna może zawierać od kilkudziesięciu do kilkuset komputerów. W ciągu ostatnich 15 lat, sieci LAN z poziomu technologii eksperymentalnych stały się wiodącym narzędziem biznesu na całym świecie. Sieci LAN mogą również być łączone ze sobą, aby zwiększyć ich zasięg. Sieci stały się popularne, ponieważ umożliwiają współdzielenie zasobów komputerowych, urządzeń peryferyjnych takich jak drukarki czy pamięci masowe, aplikacji, oraz co najważniejsze, informacji, które są potrzebne przez ludzi do ich pracy. Dawniej pojedyncze komputery były odizolowane od siebie oraz ograniczone tylko do swoich indywidualnych możliwości. Przez połączenie komputerów w sieć, ich przydatność oraz efektywność wzrosły ogromnie. Aby zdać sobie sprawę z prawdziwej potęgi sieci, można łączyć pojedyncze sieci razem. Taka wielka sieć może łączyć wszystkich pracowników firmy oraz zasoby elektroniczne, niezależnie od tego gdzie geograficznie one się znajdują. Działalność polegająca na wspólnym wykorzystywaniu zasobów wymaga pewnych zasad. Nazywamy je normami i protokołami. Normy opisują, jak powinny działać i wyglądać elementy sieci. Protokoły to zestawy i reguł i uzgodnień określających, jak elementy sieci współdziałają ze sobą.
Technologie sieci
Technologie stosowane w sieciach lokalnych można podzielić na rozwiązanie oparte na przewodach (kable miedziane, światłowody) lub komunikacji radiowej (bezprzewodowe).
Ethernet
W sieciach lokalnych przewodowych najczęściej używaną technologią jest Ethernet. Jako system budowy sieci opracowany w Xerox PARC czyli ośrodku badawczym firmy Xerox i opublikowany w roku 1976, ale do poziomu standardu podniosła go współpraca trzech firm: Xerox, DEC i Intel. Obejmuje on specyfikację kabli oraz przesyłanych nimi sygnałów. Ethernet opisuje również format pakietów
i protokoły z dwóch najniższych warstw Modelu OSI. Jego specyfikacja została podana w standardzie 802.3 IEEE. Ethernet bazuje na idei węzłów podłączonych do wspólnego medium i wysyłających
i odbierających za jego pomocą specjalne komunikaty (ramki). Ta metoda komunikacji nosi nazwę CSMA/CD (ang. Carrier Sense Multiple Access with Collision Detection). Wszystkie węzły posiadają unikalny adres MAC. Wszystkie węzły sieci, które mają do wysłania pakiety informacji, konkurują
o czas na kablu połączeniowym. Możemy powiedzieć, ze sieć pracuje wg zasady "Kto pierwszy ten lepszy". Ethernet posiada przepustowość 10 Mbit/s (wyjątek stanowi odmiana Ethernetu: 10Base5 oraz nowsze rozwiązania) i wykorzystuje metodę dostępu CSMA/CD. Do pojedynczej sieci lokalnej można podłączyć do 8000 stacji roboczych. Podstawowe odmiany Ethernetu to: Wersja 10Base-T skonfigurowana jest w topologii gwiazdy, gdzie do każdej stacji biegnie oddzielny przewód od centralnego huba. W przypadkach kiedy wykorzystywany jest przewód koncentryczny, stacje robocze łączy się w szereg (magistrala). Klasyczne sieci Ethernet mają cztery cechy wspólne. Są to: parametry czasowe, format ramki, proces transmisji oraz podstawowe reguły obowiązujące przy ich projektowaniu.
Token Ring
Została opracowana przez IBM w latach siedemdziesiątych. Jest to ciągle najpopularniejsza technologia sieciowa IBM i w ogóle druga pod względem popularności (po Ethernecie) technologia sieci lokalnych LAN. Zasada działania Token Ring: stosuje się metodę dostępu nazywaną Token-Passing. Metoda ta jest również stosowana w technologii FDDI. W pierścieniu sieci Token Ring krąży mała ramka zwana token (żeton). Stacja sieciowa uzyskuje prawo do transmisji informacji tylko wtedy, gdy posiada token. Jeśli więc dowolna stacja sieciowa przejmuje token, ale w tym momencie nie zamierza transmitować, to przesyła żeton do następnej w kolejności stacji sieciowej. Każda stacja może przetrzymywać token tylko przez określony czas. Stacja nadawcza, przy której znajdzie się token, mająca informację do przesłania, zmienia jeden bit w token, dając w ten sposób początek sekwencji startu ramki, dodaje informację, którą chce transmitować, po czym całość wysyła do następnej stacji zainstalowanej w pierścieniu. W czasie, gdy ramka przesuwa się w pierścieniu, nie ma w nim żetonu, co oznacza, że inne stacje, chcące w tym czasie rozpocząć transmisję, muszą czekać. Oznacza to także, że w sieciach Token Ring nie występują kolizje. Po zakończeniu transmisji generowany jest nowy token.
Ramka informacyjna, krążąc w pierścieniu, osiąga wreszcie stację odbiorczą, która kopiuje ją do dalszego przetwarzania. Ramka kontynuuje dalszą wędrówkę w pierścieniu aż do momentu osiągnięcia stacji nadawczej. Tutaj zostaje usunięta z pierścienia. Stacja nadawcza może sprawdzić, czy ramka dotarła do stacji odbiorczej i tam została skopiowana.
FDDI
(Fiber Distributed Data Interface) jest popularnym rodzajem sieci lokalnej, która ma większą przepływność niż Ethernet. FDDI jest standardem dla kabli światłowodowych. Zapewnia transmisję
z szybkością 100 Mbit/s, wykorzystując topologię podwójnego pierścienia. Pozwala na przyłączenie do 500 węzłów przy maksymalnej długości 100 km. Posiada podwójny przeciwbieżny obieg danych, a co za tym idzie - odporność na awarie. W razie uszkodzenia lub zerwania przewodu pierścień rekonfiguruje się automatycznie. Niektóre ze stacji (DAS - Dual Attached Station) przyłączone są do pierścienia dwukrotnie, inne (SAS - Single Attached Station) jeden raz - przez koncentrator.
Sieci bezprzewodowe
W sieciach lokalnych bezprzewodowych najczęściej używaną technologią jest WLAN, zwany także WiFi, Sieci tego typu wykonywane są najczęściej z wykorzystaniem fal radiowych jako medium przenoszącego sygnały ale również z użyciem podczerwieni. Są one projektowane z użyciem standardu IEEE 802.11. Do komunikacji za pomocą fal radiowych wykorzystuje się pasmo 2,4 GHz lub rzadziej 5 GHz. Szybkość przesyłania danych zależna jest od użytego standardu i odległości pomiędzy użytymi urządzeniami i wynosi najczęściej 11, 22, 44, 54 lub 108 Mbps. Na całość infrastruktury sieci bezprzewodowych składają się następujące elementy:
• karty sieciowe - najczęściej typu PCI, USB lub PCMCIA
• punkty dostępowe (ang. Access Point)
• anteny
• kable, złącza, konektory, przejściówki, rozdzielacze antenowe, terminatory
Do zalet sieci bezprzewodowych należy:
• mobilność - końcówki mogą się przemieszczać
• łatwość instalacji - nie trzeba kłaść przewodów
• elastyczność - łatwe dokładanie nowych końcówek
• zasięg - od kilku metrów (w budynkach) do kilkudziesięciu kilometrów
• szybka rozbudowa i modyfikacja struktury sieci.
Bezpieczeństwo z siecią
Umieszczenie ręki na obudowie komputera i dotknięcie trójnika (złącza T) w sieci Ethernet może spowodować porażenie prądem elektrycznym (w awarii sieci)
Groźne napięcie może powstać na kablu drukarki gdy elementy wyposażenia podłączone są do obwodów elektrycznych o różnym potencjale przewodu zerowego
Zewnętrzna obudowa kabla koncentrycznego typu BNC jest bezpośrednio podłączona do zewnętrznego ekranu kabla koncentrycznego. Istnieje możliwość, że na wtyczce wystąpi niebezpieczny potencjał względem ziemi. Ujawni się on gdy będziemy odłączali kabel od komputera trzymając jedną dłoń na kablu a drugą na obudowie komputera.
1.2 Topologie sieci LAN
Topologia sieci jest to fizyczny układ sieci, rozmieszczenie elementów i ich połączenie. Topologią nazywa się również metody wysyłania i odczytywania danych stosowane przez poszczególne węzły sieci. Wyróżniamy topologię z magistralą liniową, gwiazdy, pierścienia, pierścień-gwiazda oraz gwiazda-pierścień, drzewa.
Topologia logiczna
Topologia logiczna opisuje reguły komunikacji, z których powinna korzystać każda stacja robocza przy komunikowaniu się w sieci. Poza połączeniem fizycznym hostów i ustaleniem standardu komunikacji, topologia fizyczna zapewnia bezbłędną transmisję danych. Topologia fizyczna jest ściśle powiązana
z topologią logiczną. Przykładowo, specyfikacja Ethernet umożliwia wykorzystanie topologii fizycznej gwiaździstej lub magistrali, ale nie umożliwia zbudowania sieci w oparciu o topologię pierścieniową.
Topologie logiczne definiowane są przez IEEE (Institute of Electrical and Eletronic Engineers). Najczęściej spotykane specyfikacje sieci komputerowej to:
• IEEE 802.3 10Mb Ethernet,
• IEEE 802.3u 100Mb Ethernet,
• IEEE 802.3x Full Duplex Ethernet,
• IEEE 802.3z 1Gb Ethernet,
• IEEE 802.5 Token Ring,
• IEEE 802.11 Wireless LANs,
• IEEE 802.12 100VG-AnyLAN,
• IEEE 802.14 Cable Modem,
Topologia gwiazdy
W oparciu o tę topologię buduje się bardziej złożone sieci. Połączenia sieci LAN o topologii gwiazdy
z przyłączonymi do niej urządzeniami rozchodzą się z jednego, wspólnego punktu, którym jest koncentrator (HUB), okablowanie całej sieci w tym przypadku opiera się na skrętce czteroparowej
i kart sieciowych z wyjściem na UTP. Odległości pomiędzy komputerami a HUB`em nie powinny przekraczać odległości 100 metrów. W bardzo łatwy sposób można połączyć dwie takie sieci o topologii gwiazdy, wystarczy połączyć koncentratory odpowiednim przewodem (UTP, BNC), w zależności od modelu HUB`a łączymy je za pomocą skrętki lub koncentryka (gniazdo to nazywa się UPLINK). Odmiennie niż w topologiach pierścienia - tak fizycznej, jak i wirtualnej - każde urządzenie przyłączone do sieci w topologii gwiazdy może uzyskiwać bezpośredni i niezależny od innych urządzeń dostęp do nośnika. W tym celu urządzenia te muszą współdzielić dostępne szerokości pasma koncentratora. Przykładem sieci LAN o topologii gwiazdy jest 10BaseT Ethernet. Połączenia w sieci LAN o małych rozmiarach i topologii gwiazdy rozchodzą się z jednego wspólnego punktu. Każde urządzenie przyłączone do takiej sieci może inicjować dostęp do nośnika niezależnie od innych przyłączonych urządzeń. Topologie gwiazdy stały się dominującym we współczesnych sieciach LAN rodzajem topologii. Są one elastyczne, skalowalne i stosunkowo tanie w porównaniu z bardziej skomplikowanymi sieciami LAN o ściśle regulowanych metodach dostępu. Niewątpliwą zaletą używania tej topologii jest jej odporność na awarie. W odróżnieniu od magistrali rozwiązanie to odporne jest na awarie pojedynczej jednostki lub połączenia z nią. Gdy taka sytuacja nastąpi, sieć będzie działać poprawnie, lecz połączenie z uszkodzoną stacją będzie niemożliwe, tak jakby była odłączona lub nieużywana. Topologia gwiazdy jest jednak nieco droższa - w końcu dochodzi tu dodatkowe urządzenie (koncentrator) - lecz wzrost bezpieczeństwa powinien całkowicie zrekompensować ten wydatek. Sieć oparta na tej topologii powinna sprawdzić się wszędzie tam, gdzie potrzebna jest wydajność oraz bezpieczeństwo za niewygórowaną cenę.
Topologia pierścienia
Pierwszą topologią pierścieniową była topologia prostej sieci równorzędnej. Każda przyłączona do sieci stacja robocza ma w ramach takiej topologii dwa połączenia: po jednym ze swoich najbliższych sąsiadów. Połączenie to opierało się na kablu koncentrycznym, przy wykorzystaniu kart sieciowych
z wyjściem na BNC, oraz trójnika rozdzielającego sygnał. Połączenie takie musiało tworzyć fizyczną pętlę, czyli pierścień. Dane przesyłane były wokół pierścienia w jednym kierunku. Każda stacja robocza działa podobnie jak wzmacniak, pobierając i odpowiadając na pakiety do niej zaadresowane, a także przesyłając dalej pozostałe pakiety do następnej stacji roboczej wchodzącej w skład sieci. Pierwotna, pierścieniowa topologia sieci LAN umożliwiała tworzenie połączeń równorzędnych między stacjami roboczymi. Połączenia te musiały być zamknięte; czyli musiały tworzyć pierścień. Korzyść płynąca
z takich sieci LAN polegała na tym, że czas odpowiedzi był możliwy do ustalenia. Im więcej urządzeń przyłączonych było do pierścienia, tym dłuższy był ów czas. Ujemna strona tego rozwiązania polegała na tym, że uszkodzenie jednej stacji roboczej najczęściej unieruchamiało całą sieć pierścieniową. Owe prymitywne pierścienie zostały wyparte przez sieci Token Ring firmy IBM, które z czasem znormalizowała specyfikacja IEEE 802.5. Sieci Token Ring odeszły od połączeń międzysieciowych każdy - z - każdym na rzecz koncentratorów wzmacniających. Wyeliminowało to podatność sieci pierścieniowych na zawieszanie się przez wyeliminowanie konstrukcji każdy - z - każdym pierścienia. Sieci Token Ring, mimo pierwotnego kształtu pierścienia, tworzone są przy zastosowaniu topologii gwiazdy i metody dostępu cyklicznego. Sieci LAN mogą być wdrażane w topologii gwiazdy, przy zachowaniu - mimo to - metody dostępu cyklicznego.
Topologia magistrali
Topologię magistrali (szyna, bus) wyróżnia to, że wszystkie węzły sieci połączone są ze sobą za pomocą pojedynczego, otwartego (czyli umożliwiającego przyłączanie kolejnych urządzeń) kabla. Kabel taki obsługuje tylko jeden kanał i nosi nazwę magistrali. Niektóre technologie oparte na magistrali korzystają z więcej niż jednego kabla, dzięki czemu obsługiwać mogą więcej niż jeden kanał, mimo że każdy z kabli obsługuje niezmiennie tylko jeden kanał transmisyjny. Oba końce magistrali muszą być zakończone opornikami ograniczającymi, zwanymi również często terminatorami. Oporniki te chronią przed odbiciami sygnału. Zawsze gdy komputer wysyła sygnał, rozchodzi się on w przewodzie automatycznie w obu kierunkach. Jeśli sygnał nie napotka na swojej drodze terminatora, to dochodzi do końca magistrali, gdzie zmienia kierunek biegu. W takiej sytuacji pojedyncza transmisja może całkowicie zapełnić wszystkie dostępne szerokości pasma i uniemożliwić wysyłanie sygnałów pozostałym komputerom przyłączonym do sieci. Typowa magistrala składa się z pojedynczego kabla łączącego wszystkie węzły w sposób charakterystyczny dla sieci równorzędnej, długość sieci w tej topologii nie powinna przekroczyć odległości 185 m (licząc od jednego terminatora do drugiego). Kabel ten nie jest obsługiwany przez żadne urządzenia zewnętrzne. Zatem wszystkie urządzenia przyłączone do sieci słuchają transmisji przesyłanych magistralą i odbierają pakiety do nich zaadresowane. Brak jakichkolwiek urządzeń zewnętrznych, w tym wzmacniaków, sprawia, że magistrale sieci lokalnych są proste i niedrogie. Jest to również przyczyną ograniczeń dotyczących odległości, funkcjonalności
i skalowalności sieci. Topologia ta jest więc stosowana praktyczna jedynie dla najmniejszych sieci LAN. Wobec tego obecnie dostępne sieci lokalne o topologii magistrali są tanimi sieciami równorzędnymi udostępniającymi podstawowe funkcje współdziałania sieciowego. Topologie te są przeznaczone przede wszystkim do użytku w domach i małych biurach.
Topologie złożone
Łańcuchy
Najprostszą z topologii złożonych otrzymać można w wyniku połączenia szeregowego wszystkich koncentratorów sieci. Taki sposób łączenia znany jest jako łańcuchowe. Wykorzystuje ono porty już istniejących koncentratorów do łączenia ich z innymi koncentratorami. Dzięki temu uniknąć można ponoszenia kosztów dodatkowych związanych z tworzeniem odpowiedniego szkieletu. Małe sieci LAN mogą być zwiększane (skalowane dodatnio) przez łączenie koncentratorów w łańcuchy (łańcuchowanie ich). Łańcuchy dają się łatwo tworzyć i nie wymagają żadnych specjalnych umiejętności administracyjnych. Łańcuchy stanowiły alternatywną, wobec sieci LAN pierwszej generacji, metodę przyłączania urządzeń. Topologia ta najlepiej sprawdza się w sieciach lokalnych, w skład których wchodzi garstka jedynie koncentratorów i co najwyżej niewielkie współdziałanie sieci rozległych.
Hierarchiczne pierścienie
Rozmiary sieci pierścieniowych mogą być zwiększane przez łączenie wielu pierścieni w sposób hierarchiczny. Łączność między stacją roboczą a serwerem może być realizowana za pomocą tylu pierścieni o ograniczonych rozmiarach, ile potrzeba do uzyskania odpowiedniego poziomu sprawności. Pierścień poziomu drugiego, zarówno w sieciach Token Ring, jak i FDDI, może być używany do wzajemnego łączenia wszystkich pierścieni poziomu użytkownika oraz do umożliwienia zagregowanego dostępu do sieci rozległych (sieci WAN). Sieci lokalne o małych pierścieniach można skalować, dodając hierarchicznie kolejne pierścienie.
Hierarchiczne gwiazdy
Topologie gwiazdy również mogą być organizowane hierarchicznie w wiele gwiazd. Hierarchiczne gwiazdy mogą być realizowane jako pojedyncze domeny kolizji lub dzielone przy użyciu przełączników, routerów i mostków na segmenty, z których każdy jest domeną kolizji. Topologia hierarchiczna gwiazdy używa jednego poziomu do łączenia użytkownika z serwerem, a drugiego jako szkielet.
1.3 Składniki sieci
Serwer
To komputer z zainstalowanym odpowiednim oprogramowaniem umożliwiającym między innymi współdzielenie łącza internetowego czy korzystanie z zasobów takich jak bazy danych i pliki, a także urządzeń peryferyjnych jak drukarki i skanery. Serwerem może być zwykły komputer, jednak do pełnego wykorzystania możliwości jakie daje oprogramowanie serwerowi, maszyny takie wyposaża się w duże i szybkie dyski twarde, sporą ilość pamięci RAM oraz najnowsze procesory. Serwer musi być maszyną niezawodną, w tym celu często posiada awaryjne zasilanie. Serwer jest zazwyczaj podłączony do internetu szybkim łączem, które dzięki oprogramowaniu potrafi dzielić pomiędzy aktualnie chcących korzystać z zasobów internetu użytkowników, których nazywa się klientami. Serwer niepodłączony do internetu, na przykład w sieci lokalnej może zarządzać współdzieleniem zasobów na poszczególnych komputerach (na przykład zainstalowanymi programami, danymi czy też urządzeniami peryferyjnymi). Serwery najczęściej pracują pod kontrolą systemów operacyjnych takich jak FreeBSD, Solaris czy Linux opartych na architekturze Uniksa. Oprogramownie zainstalowane na komputerze, który pełni rolę serwera, zależne jest od jego funkcji.
Komputery - stacje robocze, (terminale)
Węzły przyłączone do sieci przez karty sieciowe. Instalujemy na nich oprogramowanie sieciowe nazywane klientem. Stacja robocza to każdy komputer, który jest do tej sieci podłączony, a który nie służy wyłącznie do jej obsługi, przeznaczony do bezpośredniej pracy (w odróżnieniu od serwera, który tylko udostępnia zdalnie jakieś usługi). Najprostszym przykładem klienta jest użytkownik internetu chcący wyświetlić stronę, a oprogramowania klienckiego - jego przeglądarka internetowa.
Osprzęt sieciowy
• Urządzenia aktywne – regenerator, koncentrator, przełącznik, przełącznik VLAN, most, transceiver
• karty sieciowe - adapter pozwalający na przyłączenie komputera do sieci. Stosowane są różne rodzaje kart w zależności od tego do pracy w jakiej sieci są przeznaczone
• system okablowania - medium transmisyjne łączące stacje robocze i serwery. W przypadku sieci bezprzewodowych może to być podczerwień lub kanały radiowe
• współdzielone zasoby i urządzenia peryferyjne - mogą to być drukarki, napędy dysków optycznych, plotery, itd. Są to podstawowe elementy wchodzące w skład sieci lokalnej.
Oprogramowanie sieciowe - to programy komputerowe, dzięki którym możliwe jest przesyłanie informacji między urządzeniami sieciowymi. Rozróżnia się trzy podstawowe rodzaje oprogramowania sieciowego:
• klient-serwer (system użytkownik) - system, w którym serwer świadczy usługi dołączonym stacjom roboczym. W systemie tym programy wykonywane są w całości lub częściowo na stacjach roboczych.
• host-terminal (system baza) - do komputera głównego (hosta) dołączone zostają terminale lub komputery emulujące terminale. W systemie tym programy wykonywane są na hoście.
• peer-to-peer - każdy komputer w sieci ma takie same prawa i zadania. Każdy pełni funkcję klienta i serwera.
1.4 Urządzenia aktywne LAN
Sieci LAN buduje się z biernych i aktywnych urządzeń sieciowych. Bierne urządzenia sieciowe to komponenty systemów okablowania strukturalnego.
Do aktywnych urządzeń sieci LAN należą:
• regenerator (repeater) – jest urządzeniem pracującym w warstwie fizycznej modelu OSI, stosowanym do łączenia segmentów kabla sieciowego. Regenerator odbierając sygnały
z jednego segmentu sieci wzmacnia je, poprawia ich parametry czasowe i przesyła do innego segmentu. Może łączyć segmenty sieci o różnych mediach transmisyjnych. .
• koncentrator (hub) – jest czasami określany jako wieloportowy regenerator. Służy do tworzenia fizycznej gwiazdy przy istnieniu logicznej struktury szyny lub pierścienia. Pracuje
w warstwie 1 (fizycznej) modelu OSI. Pakiety wchodzące przez jeden port są transmitowane na wszystkie inne porty. Wynikiem tego jest fakt, że koncentratory pracują w trybie half-duplex (transmisja tylko w jedną stronę w tym samym czasie). .
• przełącznik (switch) – jest urządzeniem warstwy łącza danych (warstwy 2) i łączy wiele fizycznych segmentów LAN w jedną większą sieć. Przełączniki działają podobnie do koncentratorów z tą różnicą, że transmisja pakietów nie odbywa się z jednego wejścia na wszystkie wyjścia przełącznika, ale na podstawie adresów MAC kart sieciowych przełącznik uczy się, a następnie kieruje pakiety tylko do konkretnego odbiorcy, co powoduje wydatne zmniejszenie ruchu w sieci. W przeciwieństwie do koncentratorów, przełączniki działają w trybie full-duplex (jednoczesna transmisja w obu kierunkach). Przełączniki działają w oparciu o jeden
z dwóch trybów pracy: cut through (przełączanie bezzwłoczne) oraz store&forward (zapamiętaj
i wyślij). Pierwsza technologia jest wydajniejsza, ponieważ pakiet jest natychmiast kierowany do portu przeznaczenia (na podstawie MAC adresu) bez oczekiwania na koniec ramki, lecz pakiety przesyłane w taki sposób nie są sprawdzane pod względem poprawności. Druga technologia pracy charakteryzuje się tym, że przełącznik odczytuje najpierw całą ramkę, sprawdza, czy została odczytana bez błędów i dopiero potem kieruje ją do portu docelowego. Przełącznik taki pracuje wolniej, ale za to prawie niezawodnie. .
• przełącznik VLAN – jest odmianą przełącznika umożliwiającą tworzenie wirtualnych sieci LAN, których stanowiska są zlokalizowane w różnych punktach (sieciach, podsieciach, segmentach), zaś w sieć wirtualną łączy je jedynie pewien klucz logiczny. Sieć taka pozwala optymalizować natężenie ruchu pakietów w poszczególnych częściach sieci. Możliwa jest również łatwa zmiana konfiguracji oraz struktury logicznej takiej sieci. .
• most (bridge) – służy do przesyłania i ew. filtrowania ramek między dwoma sieciami, przy czym sieci te niekoniecznie muszą być zbudowane w oparciu o takie samo medium transmisyjne. Śledzi on adresy MAC umieszczane w przesyłanych do nich pakietach. Mosty nie mają dostępu do adresów warstwy sieciowej, dlatego nie można ich użyć do dzielenia sieci opartej na protokole TCP/IP na dwie podsieci IP. To zadanie mogą wykonywać wyłącznie routery. Analizując adresy sprzętowe MAC, urządzenie wie, czy dany pakiet należy wyekspediować na drugą stronę mostu, czy pozostawić bez odpowiedzi. Mosty podobnie jak przełączniki przyczyniają się w znacznym stopniu do zmniejszenia ruchu w sieci.
• router – urządzenie wyposażone najczęściej w kilka interfejsów sieciowych LAN, porty obsługujące sieć WAN, pracujący wydajnie procesor i oprogramowanie zawiadujące ruchem pakietów przepływających przez router. W sieciach lokalnych stosowane są, gdy sieć chcemy podzielić na dwie lub więcej podsieci. Segmentacja sieci powoduje, że poszczególne podsieci są od siebie odseparowane i pakiety nie przenikają z jednej podsieci do drugiej. W ten sposób zwiększamy przepustowość każdej podsieci. .
• transceiver – urządzenie nadawczo-odbiorcze łączące port AUI (Attachment Unit Interface) urządzenia sieciowego z wykorzystywanym do transmisji typem okablowania. Poza wysyłaniem i odbieraniem danych realizuje on funkcje wykrywania kolizji (przy jednoczesnym pojawieniu się pakietów danych), nie dopuszcza do przesyłania zbyt długich (>20 ms) pakietów danych (Jabber function) oraz wykrywa przerwy w linii światłowodowej.
1.5 Media transmisyjne
Skrętka nieekranowana (UTP – Unshielded Twisted Pair)
Kabel typu UTP jest zbudowany ze skręconych ze sobą par przewodów i tworzy linię zrównoważoną (symetryczną). Skręcenie przewodów ze splotem 1 zwój na 6-10 cm chroni transmisję przed interferencją otoczenia. Tego typu kabel jest powszechnie stosowany w sieciach informatycznych
i telefonicznych, przy czym istnieją różne technologie splotu, a poszczególne skrętki mogą mieć inny skręt. Dla przesyłania sygnałów w sieciach komputerowych konieczne są skrętki kategorii 3 (10 Mb/s)
i kategorii 5 (100 Mb/s), przy czym powszechnie stosuje się tylko tą ostatnią.
Skrętka foliowana (FTP – Foiled Twisted Pair)
Jest to skrętka ekranowana za pomocą folii z przewodem uziemiającym. Przeznaczona jest głównie do budowy sieci komputerowych umiejscowionych w ośrodkach o dużych zakłóceniach elektromagnetycznych. Stosowana jest również w sieciach Gigabit Ethernet (1 Gb/s) przy wykorzystaniu wszystkich czterech par przewodów.
Skrętka ekranowana (STP – Shielded Twisted Pair)
Różni się od skrętki FTP tym, że ekran jest wykonany w postaci oplotu i zewnętrznej koszulki ochronnej. Jej zastosowanie wzrasta w świetle nowych norm europejskich EMC w zakresie emisji EMI (ElectroMagnetic Interference). Poza wyżej wymienionymi można spotkać także hybrydy tych rozwiązań:
FFTP – każda para przewodów otoczona jest osobnym ekranem z folii, cały kabel jest również pokryty folią.
SFTP – każda para przewodów otoczona jest osobnym ekranem z folii, cały kabel pokryty jest oplotem.
Kategorie skrętek miedzianych
Kategorie kabli miedzianych zostały ujęte w specyfikacji EIA/TIA w kilka grup, w których przydatność do transmisji określa się w MHz:
• kategoria 1 – tradycyjna nieekranowana skrętka telefoniczna przeznaczona do przesyłania głosu, nie przystosowana do transmisji danych
• kategoria 2 – nieekranowana skrętka, szybkość transmisji do 4 MHz. Kabel ma 2 pary skręconych przewodów
• kategoria 3 – skrętka o szybkości transmisji do 10 MHz, stos. w sieciach Token Ring (4 Mb/s) oraz Ethernet 10Base-T (10 Mb/s). Kabel zawiera 4 pary skręconych przewodów
• kategoria 4 – skrętka działająca z szybkością do 16 MHz. Kabel zbudowany jest z czterech par przewodów
• kategoria 5 – skrętka z dopasowaniem rezystancyjnym pozwalająca na transmisję danych
z szybkością 100 MHz pod warunkiem poprawnej instalacji kabla (zgodnie z wymaganiami okablowania strukturalnego) na odległość do 100 m
• kategoria 5e – (enchanced) – ulepszona wersja kabla kategorii 5. Jest zalecana do stosowana w przypadku nowych instalacji
• kategoria 6 – skrętka umożliwiająca transmisję z częstotliwością do 200 MHz. Kategoria ta obecnie nie jest jeszcze zatwierdzona jako standard, ale prace w tym kierunku trwają
• kategoria 7 – kabel o przepływności do 600 MHz. Będzie wymagać już stosowania nowego typu złączy w miejsce RJ-45 oraz kabli każdą parą ekranowaną oddzielnie. Obecnie nie istnieje.
Warto wspomnieć również, że skrętki wykonywane są w znormalizowanych średnicach, które podawane są w jednostkach AWG oraz mogą zawierać różną liczbę par. Powszechnie w sieciach komputerowych stosuje się skrętki czteroparowe.
Ponieważ kategoria 6 nie jest jeszcze potwierdzona normami międzynarodowymi, oraz mając na uwadze zalety, a także ciągle spadający koszt łączy światłowodowych może się okazać, że
w niedalekiej przyszłości struktury budowane w oparciu o medium światłowodowe będą tańsze niż te, budowane w oparciu o drogi kabel miedziany kategorii 6.
Kabel współosiowy (koncentryczny)
Składa się z dwóch przewodów koncentrycznie umieszczonych jeden wewnątrz drugiego, co zapewnia większą odporność na zakłócenia a tym samym wyższą jakość transmisji. Jeden z nich wykonany jest w postaci drutu lub linki miedzianej i umieszczony w osi kabla (czasami zwany jest przewodem gorącym), zaś drugi (ekran) stanowi oplot.
Powszechnie stosuje się dwa rodzaje kabli koncentrycznych – o impedancji falowej 50 i 75 Ohm, przy czym te pierwsze stosuje się m.in. w sieciach komputerowych.
Zastosowanie znalazły dwa rodzaje kabli koncentrycznych:
• Cienki Ethernet (Thin Ethernet) – (sieć typu 10Base-2) – kabel RG-58 o średnicy ¼”
i dopuszczalnej długości segmentu sieci wynoszącej 185 m. Stosowany nadal zwłaszcza tam, gdzie istnieje potrzeba połączenia na odległość większą niż 100 m.
• Gruby Ethernet (Thick Ethernet) – (sieć typu 10Base-5) – kable RG-8 i RG-11 o średnicy ½”
i dopuszczalnej długości segmentu wynoszącej 500 m. Nie stosowany obecnie, lecz można go spotkać jeszcze w bardzo starych sieciach.
Oba kable mają impedancję falową 50 Ohm. Należy dodać, że impedancja kabla jest ściśle związana
z impedancją urządzeń do niego podłączonych. Nie można więc bezkarnie stosować w sieciach komputerowych np. telewizyjnego kabla antenowego (o impedancji falowej 75 Ohm), gdyż wykonana
w ten sposób sieć najprawdopodobniej nie będzie po prostu działać.
Zalety:
• jest mało wrażliwy na zakłócenia i szumy;
• nadaje się do sieci z przesyłaniem modulowanym (szerokopasmowym)
• jest tańszy niż ekranowany kabel skręcany
Obecnie kabel współosiowy jest stosowany tylko w bardzo małych sieciach (do 3-4 komputerów) stawianych możliwie najniższym kosztem. Wadą tego rozwiązania jest dosyć duża (w porównaniu
z siecią na skrętce) awaryjność instalacji.
Wykorzystywany jest również czasem do łączenia ze sobą skupisk stacji roboczych okablowanych
w technologii gwiazdy zwłaszcza tam, gdzie odległość koncentratorów od siebie przekracza 100 m i nie jest wymagane stosowanie prędkości wyższych niż 10 Mb/s.
Rozwiązanie to jest jednak spotykane prawie wyłącznie w sieciach amatorskich. W sieciach profesjonalnych zaś (gdzie liczy się szybkość i niezawodność, a koszt instalacji jest sprawą drugorzędną) praktycznie nie stosuje się już kabla koncentrycznego, a zamiast niego wykorzystuje się światłowody.
Kabel światłowodowy
Transmisja światłowodowa polega na prowadzeniu przez włókno szklane promieni optycznych generowanych przez laserowe źródło światła. Ze względu na znikome zjawisko tłumienia, a także odporność na zewnętrzne pola elektromagnetyczne, przy braku emisji energii poza tor światłowodowy, światłowód stanowi obecnie najlepsze medium transmisyjne.
Kabel światłowodowy składa się z jednego do kilkudziesięciu włókien światłowodowych. Medium transmisyjne światłowodu stanowi szklane włókno wykonane najczęściej z domieszkowanego dwutlenku krzemu (o przekroju kołowym) otoczone płaszczem wykonanym z czystego szkła (SiO2), który pokryty jest osłoną (buforem). Dla promieni świetlnych o częstotliwości w zakresie bliskim podczerwieni współczynnik załamania światła w płaszczu jest mniejszy niż w rdzeniu, co powoduje całkowite wewnętrzne odbicie promienia i prowadzenie go wzdłuż osi włókna.
Zewnętrzną warstwę światłowodu stanowi tzw. bufor wykonany zazwyczaj z akrylonu poprawiający elastyczność światłowodu i zabezpieczający go przed uszkodzeniami. Jest on tylko osłoną i nie ma wpływu na właściwości transmisyjne światłowodu.
Wyróżnia się światłowody jedno- oraz wielomodowe. Światłowody jednomodowe oferują większe pasmo przenoszenia oraz transmisję na większe odległości niż światłowody wielomodowe. Niestety koszt światłowodu jednomodowego jest wyższy.
Zazwyczaj przy transmisji typu full-duplex stosuje się dwa włókna światłowodowe do oddzielnej transmisji w każdą stroną, choć spotykane są rozwiązania umożliwiające taką transmisję przy wykorzystaniu tylko jednego włókna.
Zalety:
• większa przepustowość w porównaniu z kablem miedzianym, a więc możliwość sprostania przyszłym wymaganiom co do wydajności transmisji
• małe straty, a więc zdolność przesyłania informacji na znaczne odległości
• niewrażliwość na zakłócenia i przesłuchy elektromagnetyczne
• wyeliminowanie przesłuchów międzykablowych
• mała masa i wymiary
• duża niezawodność poprawnie zainstalowanego łącza i względnie niski koszt, który ciągle spada
1.6 Protokoły
Protokołem w sieci komputerowej nazywamy zbiór powiązań i połączeń jej elementów funkcjonalnych. Tylko dzięki nim urządzenia tworzące sieć mogą się porozumiewać. Podstawowym zadaniem protokołu jest identyfikacja procesu, z którym chce się komunikować proces bazowy. Z uwagi na to, że zwykle
w sieci pracuje wiele komputerów, konieczne jest podanie sposobu określania właściwego adresata, sposobu rozpoczynania i kończenia transmisji, a także sposobu przesyłania danych. Przesyłana informacja może być porcjowana - protokół musi umieć odtworzyć informację w postaci pierwotnej. Ponadto informacja może z różnych powodów być przesłana niepoprawnie - protokół musi wykrywać
i usuwać powstałe w ten sposób błędy. Różnorodność urządzeń pracujących w sieci może być przyczyną niedopasowania szybkości pracy nadawcy i odbiorcy informacji - protokół powinien zapewniać synchronizację przesyłania danych poprzez zrealizowanie sprzężenia zwrotnego pomiędzy urządzeniami biorącymi udział w transmisji. Ponadto z uwagi na możliwość realizacji połączenia między komputerami na różne sposoby, protokół powinien zapewniać wybór optymalnej - z punktu widzenia transmisji - drogi.
Protokoły komunikacyjne definiowane są w kontekście konkretnej warstwowej architektury sieci. Każda z warstw określa tu protokół do obsługi funkcji lub podsystemu procesu komunikacyjnego. Najpopularniejsze protokoły komunikacyjne to: model OSI (Open System Interconnection) zdefiniowany przez ISO, SNA (System Network Architecture) firmy IBM, AppleTalk firmy Apple, DECnet firmy DEC oraz protokoły Internetu np. TCP/IP. Wszystkie te protokoły istnieją na każdym poziomie i spełniają zadania służące zrealizowaniu komunikacji pomiędzy dwoma systemami, przez cały okres kiedy oba systemy wykorzystują podobne protokoły. Zwykle stosy protokołów składają się z około siedmiu warstw, które można podzielić na: protokoły aplikacji, transportowe oraz sieciowe.
Protokoły aplikacji
Obejmują warstwy aplikacji, prezentacji i sesji. Służą do wzajemnego oddziaływania aplikacji i wymiany danych. Najpopularniejsze protokoły aplikacji to:
• APPC (Advanced Program-to-program Communication) lub inaczej LU 6.2 firmy IBM;
• Virtalny Terminal OSI: FTAM (File Transfer Access and Mangement), DTP (Distrubuted Transaction Procesing, X.400 (Message Handling System) oraz X.500 (Directory Services);
• Internetowe i Unixowe sieciowe systemy plików: SMTP (Simple Mail Transfer Protocol), FTP (File Transfer Protocol), Telnet oraz SNMP (Simple Network Management Protocol);
• NCP (Novell NetWare Network Core Protocol);
• Microsoft Server Message Blocks: NetBios;
• AppleTalk Apple Share: AFP (Apple Talk Filing Protocol), ADSP (Apple Talk Data Stream Protocol), ASP (Apple Talk Session Protocol), PAP (Printer Acess Protocol), oraz ZIP (Zone Information Protocol).
Protokoły transportowe
Protokoły transportowe - służą do przesyłania danych w sieciach, zapewniają wymianę danych pomiędzy systemami końcowymi, w których systemy te utrzymują sesję lub połączenia zapewniając stałą, sekwencyjną wymianę danych. Przykładowe protokoły to:
• APPN (Advanced Peer-to-Peer Networking) firmy IBM;
• TCP (Transmission Control Protocol), część zestawu protokołów TCP/IP;
• SPX, część zestawu protokołów SPX/IPX;
• Interfejsy Microsoft NetBIOS i NetBEUI;
• OSI COTS (Connection-Oriented Transport Service), CLTS (Connectionless Transport Service);
• AppleTalk RTMP (Rounting Table Maintenance Protocol), AEP (AppleTalk Echo Protocol), ATP (AppleTalk Transaction Protocol), NBP (Name Binding Protocol).
Protokoły sieciowe
Protokoły sieciowe - zapewniają usługi łączy systemów komunikacyjnych, obsługują adresowanie, informacje routingu, weryfikację błędów oraz żądania retransmisji. Obejmują także procedury dostępu do sieci, określone przez wykorzystywany rodzaj sieci. Najpopularniejsze protokoły sieciowe to:
• IP (Internet Protocol), część zestawu protokołów TCP/IP;
• APPN (Advanced Peer-to-Peer Networking) firmy IBM;
• CONS (OSI Connection-Oriented Network Service);
• CLNS (OSI Connectionless Network Service);
• IPX, część zestawu protokołów SPX/IPX firmy Novell;
• Interfejsy Microsoft NetBEUI;
• AppleTalk DDP (Datagram Delivery Protocol).
Trzy najczęściej używane protokoły w sieciach lokalnych i w internecie to: TCP/IP, SPX/IPX i NetBEUI, poniżej opiszę je dokładniej.
TCP/IP
OSI - na początek model OSI, czyli powiązania między protokołami TCP/IP. Chyba najczęściej używany, zarówno dla sieci lokalnych jak i połączenia z internetem. W skrócie występujące protokoły
w modelu OSI:
• TCP - Protokół sterowania transmisją (ang. Transmission Control Protocol) jest protokołem obsługi połączeniowej procesu użytkownika, umożliwiającym niezawodne i równoczesne (ang. full-duplex) przesyłanie strumienia bajtów. W większości internetowych programów użytkowych stosuje się protokół TCP. TCP korzysta z protokołu IP, więc całą rodzinę protokołów nazywamy TCP/IP.
• UDP - Protokół datagramów użytkownika (komunikaty przesyłane między systemami jeden niezależnie od drugiego) (ang. User Datagram Protocol) jest protokołem obsługi bezpołączeniowej procesów użytkownika. W odróżnieniu od protokołu TCP, który jest niezawodny, protokół UDP nie daje gwarancji, że datagramy UDP zawsze dotrą do celu.
• ICMP - Protokół międzysieciowych komunikatów sterujących (ang. Internet Control Message Protocol) obsługuje zawiadomienia o błędach i informacje sterujące między bramami (ang. gateway) a stacjami (ang. host). Chociaż komunikaty ICMP są przesyłane za pomocą datagramów IP, są one zazwyczaj generowane i przetwarzane przez oprogramowanie sieciowe TCP/IP, a nie przez procesy użytkownika.
• IP - Protokół międzysieciowy (ang. Internet Protocol) obsługuje doręczanie pakietów dla protokołów TCP, UDP oraz ICMP. Procesy użytkownika normalnie nie muszą komunikować się z warstwą IP.
• ARP - Protokół odwzorowania adresów (ang. Address Resolution Protocol) służy do odwzorowania adresów internetowych na adresy sprzętowe. Ten protokół i protokół RARP nie jest używany we wszystkich sieciach, lecz tylko w niektórych.
• RARP - Protokół odwrotnego odwzorowywania adresów (ang. Reverse Address Resolution Protocol) służy do odwzorowywania adresów sprzętowych na adresy internetowe.
IPX/SPX
IPX/SPX - jest to zestaw protokołów firmy Novell, bierze on nazwę od swoich dwóch głównych protokołów: międzysieciowej wymiany pakietów IPX i sekwencyjnej wymiany pakietów SPX. Ten firmowy stos protokołów został oparty na protokole systemów sieciowych firmy Xerox, wykorzystywanym w pierwszej generacji Ethernet. Wymiana IPX/SPX zyskała na znaczeniu we wczesnych latach 80, jako integralna część systemu Novell Netware. Netware stał się faktycznym standardem sieciowego systemu operacyjnego dla sieci lokalnych pierwszej generacji. Protokół IPX
w dużym stopniu przypomina IP. Jest bezpołączeniowym protokołem datagramowym, który nie wymaga ani nie zapewnia potwierdzenia każdego transmitowanego pakietu. Protokół IPX polega na SPX w taki sam sposób, w jaki protokół IP polega na TCP w zakresie porządkowania kolejności
i innych usług połączeniowych warstwy 4. Stos protokołów IPX/SPX obejmuje cztery warstwy funkcjonalne: dostępu do nośnika, łącza danych, Internetu i aplikacji. Głównym protokołem warstwy aplikacji jest protokół rdzenia NetWare ( NCP). Protokół NCP można bezpośrednio sprzęgnąć zarówno z protokołem SPX, jak i IPX. Jest wykorzystywany do drukowania, współdzielenia plików, poczty elektronicznej i dostępu do katalogów. Innymi protokołami warstwy aplikacji są: protokół informacyjny trasowania, firmowy protokół ogłoszeniowy usługi i protokół obsługi łącza systemu NetWare. Protokół warstwy Internetu SPX jest protokołem połączeniowym i może być wykorzystywany do przesyłania danych między klientem serwerem, dwoma serwerami czy dwoma klientami. Tak jak w przypadku TCP, protokół SPX zapewnia niezawodność transmisjom IPX, zarządzając połączeniem i udostępniając sterowanie strumieniem danych, kontrolę błędów i porządkowanie kolejnych pakietów.
NetBEUI
NetBEUI - interfejs NetBEUI został opracowany przez IBM i wprowadzony na rynek w 1985 roku. Jest stosunkowo małym ale wydajnym protokołem komunikacyjnym LAN. NetBEUI jest wyłącznie protokołem transportu sieci LAN dla systemów operacyjnych Microsoft. Nie jest trasowany. Dlatego jego implementacje ograniczają się do warstwy 2, w których działają wyłącznie komputery wykorzystujące systemy operacyjne firmy Microsoft. Aczkolwiek staje się to coraz mniejszą przeszkodą, to jednak ogranicza dostępne architektury obliczeniowe i aplikacje technologiczne. Zalety korzystania z protokołu NetBEUI są następujące: Komputery korzystające z systemów operacyjnych lub oprogramowania sieciowego firmy Microsoft mogą się komunikować. NetBEUI jest w pełni samodostrajającym się protokołem i najlepiej działa w małych segmentach LAN. Ma minimalne wymagania odnośnie pamięci. Zapewnia doskonałą ochronę przed błędami transmisji, a także powrót do normalnego stanu w razie ich wystąpienia. Wadą protokołu NetBEUI jest fakt, że nie może być trasowany i niezbyt dobrze działa w sieciach WAN.
1.7 Bezpieczeństwo sieci – Firewall
Zapora sieciowa (firewall) jest urządzeniem zaprojektowanym do zapobiegania niepowołanemu dostępowi do sieci. Urządzeniem tym zazwyczaj jest niezależny komputer, muter lub inny sprzętowy element sieci. Zapora stanowi jedyny punkt wejściowy do sieci lokalnej - jej zadaniem jest kwalifikacja nadchodzących z zewnątrz zgłoszeń według zadanych reguł i ich przetworzenie, co w najprostszym ujęciu sprowadza się do akceptacji, bądź odrzucenia żądania połączenia z danym serwerem usług sieciowych. Zapory sieciowe mogą przeprowadzać analizy nadchodzących pakietów różnych protokołów. W oparciu o taką analizę, zapora sieciowa może podjąć różne działania, zatem możemy zaprogramować firewall do przeprowadzania warunkowego przetwarzania pakietów. ("Jeśli zostanie napotkany pakiet spełniający warunek A, podejmij działanie B"). Takie warunkowe struktury nazywane są regułami. Na ogół, podczas "stawiania" zapory wyposażamy ją w zestaw reguł odzwierciedlający strukturę zależności służbowych w naszej organizacji. Na przykład, załóżmy, że w firmie jest dział sprzedaży i księgowości, a strategia przedsiębiorstwa wymaga, aby tylko dział sprzedaży miał dostęp do zasobów naszego serwera. Aby wymusić realizację tej polityki, wyposażamy nasz firewall w regułę nie przyjmującą zgłoszeń połączenia otrzymywanych z działu księgowości. W takim aspekcie zapory sieciowe są tym dla sieci, czym są przywileje użytkownika dla systemu operacyjnego. Windows NT pozwala na wskazanie użytkowników mających dostęp do danego pliku lub katalogu. Jest to kontrola dostępu na poziomie systemu operacyjnego. Podobnie zapory sieciowe pozwalają na zastosowanie kontroli dostępu do zasobów naszego serwera i stacji roboczych w sieci. Monitorowanie dostępu jest jednakże tylko częścią tego, do czego można wykorzystać nowoczesne zapory sieciowe - większość komercyjnych firewalli pozwala na kontrolę zawartości pakietów. Można to wykorzystać do odfiltrowywania niepożądanych skryptów JavaScript, VBScript i ActveX oraz plików cookies. Co więcej, mamy możliwość zdefiniowania reguł dyskryminujących poszczególne połączenia na podstawie tzw. sygnatur ataku. Sygnatury ataków są wzorcami poleceń charakterystycznymi dla danego ataku przypuśćmy, że nasz intruz "telnetuje” się na port 80 i wydaje szereg istotnych z jego punktu widzenia komend. Znając taki proces, możemy "nauczyć" firewall rozpoznawać i blokować podobne ataki na podstawie wzorca zawartego w sygnaturze. Podobne efekty można również uzyskać analizując ruch na poziomie pakietu niektóre programy do zdalnego wykorzystywania luk systemowych generują charakterystyczne pakiety, które można wyodrębnić i podjąć odpowiednie działania.
Rodzaje zapór ogniowych
Na rynku dostępnych jest wiele produktów sprzedawanych pod nazwą "Firewall", lecz różnią się one poziomem oferowanych zabezpieczeń. Filtry pakietowe (Network Level) na podstawie adresu źródłowego i docelowego oraz portu pojedynczego pakietu decydują, czy dana przesyłka może zostać przesłana dalej, czy też nie. Zwyczajny router nie jest zwykle w stanie takiej decyzji podjąć, lecz bardziej nowoczesne konstrukcje mogą przechowywać wewnętrzne informacje o stanie połączeń przechodzących przez niego, zawartości niektórych strumieni danych itp. Filtry pakietowe są zwykle bardzo szybkie, jednak ich wadą jest, że podane kryteria selekcji mogą okazać się niewystarczające dla niektórych usług internetowych, przez co do sieci byłyby przepuszczane niepożądane pakiety,
a wtedy... Jedną z możliwych prób ataku może być umieszczenie pakietów wyższego poziomu
w fałszywych ramkach MAC lub protokołu warstwy 3 (sieciowa) i 4 (transportowa) modelu ISO/OSI. Często wystarczy tylko zmienić adres nadawcy pakietu. W takim przypadku filtr pakietowy jest bezradny.
Bramki typu Circuit Level są w stanie przyporządkowywać pakiety do istniejących połączeń TCP i dzięki temu kontrolować całą transmisję. Zaawansowane systemy potrafią także kojarzyć pakiety protokołu UDP, który w rzeczywistości kontroli połączeń nie posiada.
- Firewalle Application Level to, generalnie rzecz ujmując, hosty, na których uruchomiono proxy servers, które nie zezwalają na bezpośredni ruch pakietów pomiędzy sieciami oraz rejestrują i śledzą cały ruch przechodzący przez niego. Proxies potrafią więc niejako odseparować "wiarygodną" część sieci od podejrzanej; mogą magazynować najczęściej żądane informacje - klient kieruje swoje żądanie do proxy, który wyszukuje obiekt w swoich lokalnych zasobach i zwraca zamawiającemu. Dla każdej aplikacji (czyli usługi sieciowej, np. http, ftp, telnet, smtp, snmp, ...) istnieje osobny proxy, dla którego definiowane są reguły, według których podejmowana jest decyzja o zaakceptowaniu bądź odrzuceniu połączenia. Niewątpliwym minusem tego rozwiązania jest konieczność stosowania wielu proxies do obsługi różnych aplikacji; jeżeli dla danego protokołu nie jest dostępny odpowiedni proxy, to dane przesyłane w tym formacie nie będą w ogóle przepuszczane przez bramkę. Na rynku dostępne są też systemy z proxies definiowanymi przez użytkownika funkcjonującymi jednakże nie na płaszczyźnie aplikacji, lecz analogicznie do filtrów pakietowych i bramek Circuit Level.
Techniki integracji systemów ochronnych
Technika konwencjonalna. Klasyczny system firewall składa się z zewnętrznego routera z filtrem pakietowym, tak zwanej sieci granicznej (DMZ - demilitarized zone) i wewnętrznego routera, także
z filtrem pakietowym. W strefie DMZ umieszcza się Bastion Hosta przeznaczonego do odparcia najcięższych ataków, na którym uruchamia się proxy servers dla poszczególnych aplikacji. Transmisja wszelkich danych musi odbywać się poprzez właśnie Bastion Hosta, co gwarantuje odpowiednia konfiguracja obu routerów.
Technika perspektywiczna. Nowoczesne firewalle działają według zasady all-in-one, czyli są to pojedyncze urządzenia łączące w sobie funkcje obu routerów i Bastion Hosta, czasami dysponując dodatkowymi serwisami w rodzaju DNS bądź mail. W przypadku takiego systemu serwery typu WWW najlepiej lokalizować w osobnej sieci bezpośrednio podłączonej do firewalla. W ten sposób firewall chroni serwer przed intruzami z zewnątrz, a w razie jego przełamania - sieć wewnętrzna pozostaje
w dalszym ciągu dobrze zabezpieczona. Jednak do prawidłowej pracy takiego systemu niezbędna jest współpraca firewalla z minimum trzema kartami sieciowymi, co może w wielu przypadkach być warunkiem trudnym do spełnienia.
Architektury zapór ogniowych
Dual-Homed Host Firewall (router ekranujący). Umieszczenie routera ekranującego i filtra pakietowego na komputerze z dwoma kartami sieciowymi jest najprostszym rozwiązaniem, w którym jeden komputer oddziela sieć lokalną od potencjalnych zagrożeń. Blokuje on ruch pomiędzy konkretnymi sieciami, hostami lub niektórymi portami.
Screened Host Gateway Firewall (firewall z routerem ekranującym). Taka konfiguracja wymaga dodania WAN routera, który dostarcza połączenie z WAN i filtrowanie pakietów. Rozwiązanie to pozwala umieścić komputer główny z dala od sieci publicznej. Komputer główny w tym przypadku to serwer firewall z usługami proxy i dodatkowym filtrowaniem pakietów. Przerwanie bezpośredniego połączenia tego serwera z Internetem pozwala znacząco zwiększyć bezpieczeństwo.
Screened Subnet Firewall (firewall z dwoma routerami ekranującymi). Firewall z dwoma routerami ekranującymi zapewnia dodatkową izolację sieci lokalnej. Oprócz routera WAN dodajemy router LAN, który kontroluje przepływ danych w sieci lokalnej. Dzięki temu, że komputer główny z Proxy Server jest umieszczony w osobnej sieci, atak ogranicza się jedynie do uderzenia na niego. Dodatkowo router LAN uniemożliwia nieautoryzowany dostęp do komputera głównego z wnętrza sieci. Oba routery mogą zostać skonfigurowane, by serwer komunikował się wyłącznie z nimi.
Wymagania sprzętowe
Każdy Firewall powinien posiadać co najmniej dwa adresy, więc wymagane będą dwie karty sieciowe lub inne interfejsy transmisyjne (np. porty szeregowe, modemy ISDN, karta sieciowa + modem). Jedno z urządzeń połączone jest ze strefą zdemilitaryzowaną (DMZ) a drugie z siecią prywatną. Interfejsy należy dobrać tak, aby nie zmniejszyć przepustowości łącza (np. w przypadku łącza FastEthernet dobieramy dwie karty 100Mb). Jeśli zdecydujemy się na darmowy Firewall działający pod Linuxem wystarczy komputer z 16MB RAM i 300MB partycją. Proste zapory ogniowe działające pod Windows 95 lub Windows NT mają wymaganie nie większe od systemu operacyjnego. Większe systemy komercyjne, jak Novell BorderManager potrzebują min. 48MB RAM (+500 KB RAM dla każdych 100 otwartych połączeń TCP przechodzących przez bamkę IP) i 250 MB miejsca na dysku. W celu zapewnienia poprawnego działania Proxy Cache należy zainstalować minimum 48 MB RAM i co najmniej dodatkowe 250 MB HDD w celu efektywnego wykorzystania pamięci podręcznej. Warto zwrócić uwagę, że przy dużej ilości połączeń obsługiwanych przez wszelkiego rodzaju Proxy Servers, dodatkowa pamięć RAM przyspieszy pracę.
Wady i zalety firewalli
Zalety:
- ochrona systemu,
- umożliwiają całej sieci korzystanie z jednego wspólnego adresu IP,
- dają możliwość na podłączenie do Internetu systemom z protokołami innymi niż TCP/IP,
- pozwalają monitorować połączenia WAN i ruch w sieci,
- przy intensywnej pracy z WWW Proxy Cache Server pozwala zoptymalizować obciążenie na łączu WAN, a co za tym idzie - przyspieszyć pracę wielu osób,
- zamiast wynajmować drogie międzymiastowe lub międzynarodowe linie dzierżawione możemy używać VPN i tańszych linii z dostępem do najbliższych węzłów sieci publicznej.
Wady:
- ograniczają dostęp do sieci z Internetu,
- wymagają częstych uaktualnień, gdyż nowe typy klientów sieciowych i serwerów przybywają prawie codziennie,
- uniemożliwiają bądź utrudniają zdalne zarządzanie siecią,
- mało wydajne serwery pośredniczące zmniejszają wydajność sieci.
1.8 Dostęp do Internetu
Dostęp przez modem. W małych sieciach lokalnych, najtańszym i najprostszym sposobem uzyskania łączności z Internetem jest dostęp komutowany. Dzięki temu każdy użytkownik sieci może mieć dostęp do Internetu. Wykorzystanie zwykłych modemów pozwala na niemal bezinwestycyjne korzystanie
z Internetu. Stałe zaistnienie w Internecie jest w tym przypadku sensowne jedynie przy wykorzystaniu naszego wirtualnego serwera umieszczonego w przestrzeni serwera dostawcy Internetu. Podobnie jak w przypadku telefonii analogowej, dostęp do Internetu możliwy jest również przy wykorzystaniu łączy komutowanych ISDN.
Powszechnie używane modemy wykorzystują protokół V.90 i osiągają przepustowość do 56 kbps. Trzeba pamiętać, że V.90 to protokół asymetryczny - szybkość 56 kbps możliwa jest do uzyskania jedynie przy odbiorze danych i to pod warunkiem, że po drugiej stronie linii znajduje się specjalny modem nadawczy. Sytuacja ma miejsce, gdy łączymy się z dysponującym takim sprzętem dostawcą Internetu, np. TP SA (numer 0-202122). Nadawanie danych przez modem V.90 może odbywać się
z szybkością do 33,6 kbps i taka będzie też szybkość wymiany informacji między dwoma abonenckimi modemami V.90. W praktyce zresztą szybkość odbioru z reguły nie osiąga nominalnych 56 kbps, bo nie pozwalają na to parametry łączy. Warto dodać, że rzeczywista szybkość transmisji naszych danych może przekraczać przepływność łącza, gdyż modem dokonuje ich kompresji. Dotyczy to np. danych o charakterze tekstowym czy nieskompresowanej grafiki, jednak pliki już skompresowane (np. ZIP, GIF, JPG) nie poddadzą się dalszej kompresji i nie będą przesyłane szybciej.
Modemy analogowe V.90 występują w kilku rodzajach - jako urządzenia zewnętrzne, dołączane do portu szeregowego, USB lub równoległego, oraz wewnętrzne karty instalowane w gniazdach płyty głównej - PCI (coraz rzadziej ISA), AMR (Audio/Modem Riser), CNR (Communication/Networking Riser). Tu następuje dalszy podział - wśród modemów PCI znajdziemy "prawdziwe" modemy, zawierające wszystkie układy realizujące wszystkie funkcje transmisji oraz tzw. winmodemy, które większość funkcji realizują programowo, angażując procesor komputera. Również modemy AMR korzystają ze wsparcia CPU. Dodatkowe obciążenie systemu w czasie transmisji - zwłaszcza
w przypadku wolniejszych procesorów - może znacznie spowolnić działanie komputera.
Modemy zewnętrzne, choć droższe od kart modemowych, mają jednak kilka kuszących zalet. Ich instalacja nie wiąże się z ingerencją we wnętrze komputera. Umieszczone na obudowie lampki,
a czasem i wyświetlacz LCD, zapewniają łatwą kontrolę stanu urządzenia. Niektóre modele wyposażone są w dodatkowe funkcje (automatyczna sekretarka, odbiór faksów do pamięci czy nawet wymiana poczty bez udziału komputera) - własny zasilacz urządzenia umożliwia jego aktywność również po wyłączeniu komputera, np. w nocy.
Klasycznym interfejsem modemów zewnętrznych wciąż pozostaje port szeregowy RS-232C, umożliwiający komunikację komputera z modemem z szybkością 115,2 kbps. Wziąwszy pod uwagę kompresowanie przez modem danych np. tekstowych, przy połączeniu 56 kbps port ten może
w pewnych sytuacjach stanowić wąskie gardło. Wyższą przepustowość ma interfejs USB, którego dodatkową zaletą jest możliwość dostarczania modemowi zasilania, co znacząco zmniejsza plątaninę kabli wokół komputera (Microcom USB 56K Travel, ELSA Microlink 56K USB, GVC USB V.90, Asmax USB V.90). Modemy USB są zwykle mniejsze; niektóre modele mieszczą się bez problemu
w kieszonce torby z notebookiem. Specjalnie dla notebooków produkowane są modemy w postaci kart PCMCIA. Ciekawostką jest "podróżny" PSION Connect Travel, Modem 56K, komunikujący się
z notebookiem lub palmtopem bezprzewodowo przez podczerwony interfejs IrDA.
SDI. SDI - to dostęp do Internetu opracowany przez firmę Ericsson technice HIS (Home Internet Solution). Wbrew nazwie, rozwiązanie to sprawdza się nieźle również w niewielkich sieciach (kilku-kilkunastu użytkowników). Z technicznego punktu widzenia SDI jest symetrycznym łączem DSL(Digital Subscriber Line) z kodowaniem 2B1Q i, podobnie jak ISDN, wykorzystuje zwykłą parę miedzianych przewodów, a więc typową linię stosowaną w telefonii analogowej.
Instalacja SDI sprowadza się do zainstalowania u abonenta modułu terminala (tzw. splittera) oraz dołączenia linii w centrali do multipleksera DSLAM (DSL Access Multiplexer). Do terminala abonenckiego dołącza się analogowy telefon oraz komputer. Koszt instalacji to ok. 1000 złotych brutto, miesięczny abonament - 160 zł. Za te pieniądze uzyskujemy nieograniczony czasem dostęp do Sieci
z przepustowością 160 kbps; niestety, dostarczane obecnie terminale komunikują się z komputerem przez port RS-232C, co ogranicza szybkość transmisji do 115,2 kbps.
Nawet w czasie transmisji danych łącze zachowuje pełną funkcjonalność linii telefonicznej - podczas korzystania z telefonu przepustowość łącza cyfrowego spada do 70 kbps, jest jednak wciąż większa od przepływności zarówno V.90, jak i pojedynczego kanału ISDN. Abonent SDI otrzymuje stały numer IP, co pozwala wykorzystać SDI nawet jako łącze niewielkiego serwera.
ISDN. Niedocenianą, a naprawdę atrakcyjną alternatywą dla analogowego połączenia telefonicznego jest ISDN. Co prawda złośliwe rozwinięcie skrótu mówi, że "It Still Does Nothing", jednak od pewnego czasu w Polsce ISDN zyskuje coraz większą popularność, a i użytkownicy nie narzekają. ISDN w swej najbardziej rozpowszechnionej postaci (2B+D) udostępnia dwa niezależne, dwukierunkowe cyfrowe kanały o przepustowości 64 kbps.
Łącze ISDN umożliwia jednoczesną rozmowę i transmisję danych, możliwe jest też zagregowanie obu kanałów, dające łączną przepustowość 128 kbps. Biorąc pod uwagę, że abonament i koszt minuty połączenia (na jednym kanale) są identyczne jak w przypadku linii analogowych, koszt przesłania tej samej ilości danych poprzez ISDN jest niższy.
Sama instalacja ISDN nie jest dużo droższa od zainstalowania łącza analogowego, możliwa jest też zamiana istniejącego łącza analogowego na łącze ISDN za połowę ceny nowego łącza ISDN (w TP SA). Instalowane u abonenta "gniazdko" ISDN, fachowo zwane NT, zapewnia podłączenie dwóch urządzeń ISDN (za pomocą rozgałęziacza - do ośmiu). Wiele NT ma również gniazda oznaczone TA (Terminal Adapter), umożliwiające dołączenie urządzeń analogowych - telefonu lub faksu. Często
w złącze TA wyposażony jest także modem ISDN.
Modemy ISDN występują w postaci kart i urządzeń zewnętrznych. Warto zauważyć, że prostsze modele mogą wymieniać dane tylko z innymi modemami ISDN; aby istniała łączność z modemami analogowymi, modem ISDN musi mieć zaimplementowaną emulację protokołów analogowych. Dla sieci ISDN istnieje również numer dostępowy do Internetu, obsługiwany przez TP SA (0-202422), taryfikowany jak połączenia lokalne. Dostęp 2B+D w TP SA nazywa się Octopus S; istnieje też przeznaczony dla dużych firm Octopus XL, udostępniający 30 kanałów B o przepustowości 64 kbps.
Łącze dzierżawione. W przypadku większych firm, intensywnie korzystających z Internetu najlepszym rozwiązaniem jest łącze dzierżawione o przepustowości od 128 kbps do 2 i więcej Mbps, udostępniane przez operatora telekomunikacyjnego. Abonent łącza dzierżawionego otrzymuje specjalny modem baseband, poprzez drugi taki modem zainstalowany w centrali linia dołączana jest do routera brzegowego sieci. Koszt instalacji łącza dzierżawionego zależy od jego przepustowości i wynosi od 1,2 do 2,5 tysięcy złotych netto, koszt abonamentu (bez względu na generowany na łączu ruch) - od 1 do 2 tysięcy złotych.
Telewizja kablowa. Rolę medium transmisyjnego w systemach telewizji kablowej (CATV - Community Antenna TeleVision) pełni kabel koncentryczny. Ponieważ sieci kablowe są tak skonstruowane, by przenosić znacznie większą liczbę kanałów TV niż obecnie, pozostają niewykorzystane kanały, które można zagospodarować na transmisję danych. Każdy kanał telewizyjny to pasmo ok. 6 MHz.
Dla każdego abonenta potrzebna jest para modemów. Jeden pracuje w centrali sieci kablowej, a drugi u abonenta. Oba modemy muszą działać na tej samej częstotliwości nośnej, która jest multipleksowana w kablu razem z sygnałami telewizyjnymi. Dane przekazywane do CATV są kodowane za pomocą fali nośnej, która jest przesyłana kablem do wszystkich abonentów. Modem rozpoznaje przeznaczoną dla niego falę nośną, pobiera zakodowane informacje i przekazuje je do komputera. Takie rozwiązanie jest przeznaczone do niewielkiej liczby odbiorców, z uwagi na ograniczenie przepustowości systemów CATV, które nie pozwala na obsługę systemu multipleksowania z podziałem częstotliwości dla każdego użytkownika. Niemożliwe jest zarezerwowanie częstotliwości dla każdego z setek tysięcy abonentów.
Alternatywne rozwiązanie polega na multipleksowaniu z podziałem czasu. Zamiast przypisywać jedną częstotliwość jednemu użytkownikowi, przypisuje się ją grupie zlokalizowanej w sąsiedztwie. Każdy abonent ma przypisany indywidualny adres. Modem odbiorcy nasłuchuje na określonej częstotliwości. Zanim pakiet zostanie przyjęty, modem sprawdza, czy adres odbiorcy w pakiecie zgadza się z adresem abonenta.
Modemy kablowe mogą transmitować dane z szybkością 36 Mb/s. Jednak efektywna przepustowość zależy od liczby abonentów korzystających jednocześnie z tej samej częstotliwości. Jeśli liczba ta wynosi N, to efektywna przepustowość wynosi 1/N przepustowości całkowitej.
Wadą systemów telewizji kablowej jest przystosowanie ich do jednokierunkowej transmisji - w stronę abonenta. Możliwe są dwa rozwiązania tego problemu. Pierwsze polega na wykorzystaniu łączy telefonicznych do transmisji danych w drugim kierunku - w stronę operatora. Drugie to modyfikacja okablowania pozwalająca na dwukierunkową komunikację. CATV pozwala na podłączanie zarówno odbiorców indywidualnych, jak i firm. Dostępne są różne modele modemów kablowych, obsługujące jeden lub więcej adresów IP.
Sieć radiowa. LMDS (Local Multipoint Distribution System) jest systemem bezprzewodowym, wykorzystującym transmisję radiową w paśmie 28 GHz w obrębie niewielkich komórek o średnicy 2,5 km. Przesyłanie danych może odbywać się z szybkością od 64 kb/s do 2 Mb/s.
System składa się ze stacji bazowej i komunikujących się z nią w obrębie tego obszaru niewielkich stacji odbiorczych. Małe rozmiary stacji odbiorczej, a szczególnie małe rozmiary anteny odbiorczej, sprzyjają łatwej instalacji na dachach lub elewacjach budynków. Jej połączenie z terminalami użytkowników może nastąpić np. za pomocą istniejącego okablowania strukturalnego.
Częstotliwość wykorzystywana w LMDS różni się od stosowanych w sieciach telefonii komórkowej (900 MHz - GSM; 450 MHz - NMT; 1,8 GHz - DCS) oraz od wykorzystywanych przez systemy radiowe (18, 23, 25 GHz). Nie ma więc zakłóceń pomiędzy urządzeniami nadawczymi i odbiorczymi, należącymi do różnych operatorów.
Stacja abonencka, oprócz anteny, wyposażona jest w modulator sygnału radiowego, urządzenia kontrolujące dystrybucję sygnału wewnątrz budynku, a także odpowiednią jakość usług (switch, router, firewall). Wewnątrz budynku sygnał dystrybuowany jest za pomocą okablowania kategorii 5.
Łącze satelitarne. DirecPC wykorzystuje zwykłe łącze w celu wysyłania żądań do Internetu i szybkie łącze satelitarne do odbioru dużej ilości danych. Korzystanie z tej metody jest zalecane, gdy pobiera się znacznie więcej danych, niż wysyła. DirecPC używa zatem łącza satelitarnego tylko do odbioru informacji płynących do użytkownika, a wszystkie zlecenia są przesyłane tradycyjną drogą, czyli np. za pośrednictwem modemu lub linii dzierżawionej.
Zestaw DirecPC składa się z karty ISA lub PCI, anteny satelitarnej i konwertera oraz oprogramowania. Minimalny zestaw potrzebny do korzystania z tej usługi to komputer PC klasy 486 z 8 MB RAM i 50 MB wolnego miejsca na dysku. Cały wychodzący ruch jest tunelowany. Dzięki temu wszystkie dane przechodzą przez stację nadawczą (Regional Uplink Facility). W Europie mieści się ona w Griesheim, w Niemczech. Tunelowanie działa przez enkapsulację początkowego pakietu TCP/IP wewnątrz drugiego, zewnętrznego pakietu.
Użytkownik za pomocą przeglądarki internetowej tworzy pakiet TCP/IP, zawierający zlecenie przysłania jakiejś strony WWW z wybranego serwera w Internecie i zawierający adres IP wskazanego serwera jako adresata. Oprogramowanie Turbo Internet wkłada ten pakiet do wnętrza drugiego, który jest adresowany do stacji nadawczej. Pakiet zewnętrzny jest wysyłany zwykłą linią do lokalnego dostawcy Internetu.
Po dotarciu do stacji nadawczej pakiet zewnętrzny jest rozkładany, a pierwotny pakiet ze zleceniem wysyłany do wybranego serwera. Ponieważ każdy komputer z kartą DirecPC ma przypisany adres IP
z sieci Regional Uplink Facility, zawartość wybranej strony zostanie przesłana do stacji nadawczej
i skierowana do satelity. Z niego informacje z szybkością 400 kb/s popłyną do komputera, z którego wysłane było żądanie.
2. Instalacja i konfiguracja sieci
2.1. Wstęp
Proces instalacji sieci lokalnej należy rozpocząć od poczynienia pewnych wstępnych założeń, które są niezbędne do jej zbudowania. Są to:
• Wybór fizycznej topologii sieci.
Obecnie do wyboru są praktycznie tylko dwie topologie: topologia typu szyna oraz typu gwiazda. Współcześnie stosuje się powszechnie tylko drugie rozwiązanie. Należy wspomnieć, że stosuje się czasem, zwłaszcza w sieciach o dużej rozpiętości, topologie mieszane polegające na łączeniu małych skupisk stacji z zastosowaniem topologii gwiazdowej, zaś skupiska te dołącza się do jednej szyny typu bus. Lecz takie rozwiązanie (w oparciu o kabel koncentryczny) spotyka się praktycznie tylko w sieciach amatorskich. W profesjonalnych instalacjach zamiast kabla koncentrycznego stosuje się światłowody.
• Wybór przepustowości sieci.
Przepustowość sieci lokalnej w głównej mierze zależy od tego, do czego dana sieć ma być wykorzystywana. Do wyboru są praktycznie dwie technologie: sieć 10Base-T (zbudowana na skrętce, o przepustowości 10 Mb/s) oraz sieć 100Base-TX (skrętka, o przepustowości 100 Mb/s). W przypadku kabla koncentrycznego RG-58 przepustowość łącza wynosi 10 Mb/s. Rozwiązania typu Gigabit Ethernet (1000Base-T) są jak dotąd, ze względu na koszty, nieopłacalne w małych sieciach.
• Określenie miejsca lokalizacji gniazd przyłączeniowych oraz miejsca umieszczenia szafy dystrybucyjnej z aktywnym osprzętem sieciowym (koncentratory, przełączniki itp.), w tym dokonanie wstępnych pomiarów dla określenia liczby metrów rynienek i kabla.
• Zaprojektowanie logicznej struktury sieci.
W tym punkcie należy określić, czy sieć będzie mała, czy będzie na tyle duża, że opłacalne będzie (ze względów funkcjonalnych i wydajnościowych) podzielenie jej na podsieci
z wykorzystaniem przełączników, mostów itp.
• Sporządzenie wstępnego kosztorysu inwestycji przy uwzględnieniu liczby koniecznych urządzeń, długości zastosowanego kabla, liczby gniazd przyłączeniowych, długości listew kablowych, liczby kołków rozporowych, itd.
Wymienione powyżej czynności można określić wspólnym mianem zaprojektowania sieci.
Należy przy tym pamiętać o kilku zasadach:
• Długość jednego segmentu sieci 10Base-2 nie powinna przekraczać 185 m. Oczywiście nie jest powiedziane, że kabel o długości niewiele większej nie będzie działać, ale takie rozwiązanie wiąże się
z przekroczeniem założeń odpowiedniej normy i powinno być stosowane z rozwagą
• Końce każdego segmentu sieci 10Base-2 muszą być zakończone trójnikami z zapiętymi na nich terminatorami 50 Ohm
• Dla sieci 10Base-2 oraz 10Base-T obowiązuje zasada 5-4-3 co oznacza, że w sygnał podróżujący
w sieci może być transmitowany przez maksymalnie przez 5 segmentów i 4 repeatery (huby), przy czym tylko 3 segmenty wypełnione mogą być komputerami
• Dla sieci 10Base-T można połączyć kaskadowo maksymalnie 4 koncentratory (przy pomocy łącza UpLink), zaś dla sieci 100Base-TX można połączyć kaskadowo tylko 2. Dla uściślenia oznacza to, że między dwoma dowolnymi komputerami podłączonymi do sieci nie powinno być więcej niż odpowiednio cztery lub dwa koncentratory. Przy większej planowanej ilości takich urządzeń należy już stosować
w miejsce niektórych przełączniki tak, aby ilości te nie były przekroczone. Przekroczenie podanych wartości nie spowoduje oczywiście, że nic z zasady nie będzie działać, ale może spowodować znaczne zmniejszenie szybkości transmisji ze względu na wzrost liczby kolizji i należy raczej podchodzić do tego ostrożnie. Jednak warto zaznaczyć, że liczba podłączonych kaskadowo urządzeń może być większa
o ile pozwala na to producent tych urządzeń
• Teoretycznie rzecz biorąc w sieci lokalnej można podłączyć kaskadowo nieograniczoną liczbę switch’y, ale praktycznie nie warto przesadzać z ich liczbą
• Długość kabla wraz z przyłączami w sieciach 10Base-T i 100Base-TX nie powinna przekraczać 100 m. W praktyce przyjmuje się, że długość kabla wynosi 90 m zaś 10 m rezerwuje się na patchcordy (szafa+podłączenie stacji roboczej do gniazdka).
• Długość miedzi pomiędzy połączonymi ze sobą koncentratorami 100 Mb nie powinna być większa niż 2 m
• Kable sieciowe nie mogą być prowadzone wzdłuż kabli energetycznych w odległości mniejszej niż 20 cm, oraz w bezpośredniej bliskości innych źródeł zakłóceń elektromagnetycznych (silniki, transformatory, inne urządzenia elektryczne dużej mocy itp.). Producent okablowania Mod-Tap zaleca odległości przynajmniej 30 cm od wysokonapięciowego oświetlenia (świetlówki), 90 cm od przewodów elektrycznych o przesyłanej mocy od 5 kVA w górę oraz 100 cm od transformatorów i silników
• Kable powinny być prowadzone równolegle oraz prostopadle do korytarzy jak również powinny być wyprowadzane z głównych kanałów kablowych pod kątem 90 stopni, gdyż ułatwia to konserwację sieci kablowej oraz umożliwia szybsze zlokalizowanie ich przebiegu w budynku
• Jeśli istnieje konieczność krzyżowania się kabli sieciowych z instalacją elektryczną, to powinno być one wykonane pod kątem 90 stopni
• Kable biegnące w otwartej przestrzeni (np. podwieszane) powinny być mocowane co 1,25-1,5 m co eliminuje dodatkowe niekorzystne obciążenia kabli ich własnym ciężarem.
• Jeżeli instalacja sieciowa jest prowadzona jedną listwą kablową wraz z dedykowaną instalacją zasilającą, to powinny być one od siebie separowane przegrodami z PCV oraz suma prądów płynących w kablach zasilających nie powinna przekraczać 20A (wg zaleceń Mod-Tap)
• Promień skrętu kabla UTP nie powinien być mniejszy niż ośmiokrotna jego średnica. Taką wartość przyjmuje większość producentów systemów okablowania
• Przy spinaniu kilku kabli ze sobą nie należy ściągać spinki do stopnia powodującego deformację wiązki. Kable po ich spięciu powinny się móc przesuwać
• Nie należy rozciągać kabli. Nie może być on naprężony na całym przebiegu ani na końcach
• Dodatkowe połączenia w kablu typu lutowanie nie powinny mieć miejsca
• Nie powinno się prowadzić kabli UTP na zewnątrz budynku. Może to spowodować niebezpieczne
w skutkach przepięcia wynikłe na przykład z uderzenia pioruna
Należy pamiętać też o tym, że w zależności od szybkości transmisji, jaka ma odbywać się w sieci, stosowany powinien być różny kabel, tzn. dla sieci 10Base-T należy stosować skrętkę przynajmniej 3 kategorii (powszechnie stos. się okablowanie kategorii 5), zaś dla sieci 100Base-TX stosowanie skrętki co najmniej 5 kategorii jest działaniem obligatoryjnym. Należy jednak zauważyć, że w chwili obecnej nie ma zatwierdzonego jeszcze standardu kategorii 6. Prace nad jego wprowadzeniem są jednak prowadzone. Istnieje również, jak dotąd nieformalnie, ulepszona kategoria 5 oznaczana 5e, która zalecana jest do stosowania w nowych instalacjach. Ponadto krótkie odcinki, takie jak przewody przyłączeniowe (tzw. patchcordy), powinny być wykonane z linki, natomiast dłuższe odcinki powinny być prowadzone drutem ze względu na jego lepsze parametry transmisyjne. Nie ma to co prawda dużego znaczenia w sieciach 10 Mb/s, ale przy prędkości 100 Mb/s (Fast Ethernet) odcinki prowadzone linką UTP nie powinny być dłuższe niż około 15 m. Generalnie nie prowadzi się kanałów przesyłowych linką tylko drutem z co najmniej dwóch powodów. Po pierwsze drut jest blisko dwukrotnie tańszy od linki. Po drugie instalacja jest przedsięwzięciem na wiele lat, a jak wiadomo, wymagania szybko idą naprzód. Dziś chcemy 10 Mb/s, jutro 100 Mb/s. Patchcordy powinny być natomiast wykonane linką ze względu na jej większą elastyczność (wielokrotne przeginanie wiszącego kabla), oraz fakt, że wtyczki RJ-45 dużo lepiej zaciskają się na lince niż drucie. Jeśli jednak planujemy zaciskać wtyczki RJ-45 na drucie, to należy zaopatrzyć się w ich odmianę przystosowaną do zaciskania na nim (różnią się one kształtem nożna przecinającego izolację żyły). Przy sieci Fast Ethernet zalecane jest również stosowanie skrętki FTP lub STP. Jednakże nie stosuje się skrętki FTP lub STP bez ekranowania pozostałych elementów systemu, gdyż daje to odwrotny efekt. Ekran ma sens tylko wtedy, gdy zarówno kabel, jak i pozostałe elementy są ekranowane. Tylko wówczas istnieje możliwość prawidłowego uziemienia tego ekranu co jest niezbędne do skutecznego odprowadzania zakłóceń w nim indukowanych. Wiąże się to oczywiście z większymi kosztami takiej instalacji.
2.2 Łączenie komputerów i hubów
Łączenie komputerów
Dwa Komputery w sieci LAN można łączyć na dwa sposoby. Pierwszy z nich polega na łączeniu ze sobą komputerów za pośrednictwem HUB-a/Switch-a (koncentratora/przełącznika) - i kabla (w ten sposób można łączyć także więcej niż dwa komputery, jest on opisany niżej), a drugi polega na połączeniu komputerów tylko za pośrednictwem kabla.
Do połączenia komputerów bez HUB-a/Switch-a wystarczy tylko odpowiedni kabel (skrosowana skrętka). Kabel można wykonać samemu, trzeba odpowiednio połączyć styki w obu wtyczkach. Kabelki do styków należy podłączyć w ten sposób:
Wtyczka 1:
1. biało-zielony
2. zielony
3. biało-pomarańczowy
4. niebieski
5. biało-niebieski
6. pomarańczowy
7. biało-brązowy
8. brązowy
Wtyczka 2:
1. biało-pomarańczowy
2. pomarańczowy
3. biało-zielony
4. niebieski
5. biało-niebieski
6. zielony
7. biało-brązowy
8. brązowy
Po poprawnym zrobieniu kabla wkładamy wtyczki do gniazd kart sieciowych, konfigurujemy protokoły, udostępniamy foldery i sieć powinna już działać.
Trzy lub więcej komputerów
Aby połączyć trzy lub więcej komputerów w sieć lokalną należy oprócz kabla użyć dodatkowych urządzeń są to: koncentrator (HUB) lub przełącznik (Switch) można je stosować dowolnie. Koncentrator tak jak przełącznik posiada od kilku do kilkunastu portów, jednak zasadnicza różnica polega na tym że, koncentrator tylko wzmacnia i rozsyła sygnał do wszystkich stacji (nie tylko do odbiorcy), przez co powoduje zbędny ruch w sieci. Przełącznik natomiast wzmacnia, analizuje oraz co najważniejsze uczy się, do którego portu podłączone są stacje i kieruje pakiety tylko do odpowiednich portów, przez co ogranicza ruch w sieci. Do łączenia komputerów za pośrednictwem koncentratora lub przełącznika stosuje się tzw. kabel prosty, czyli w obu wtyczkach kabelki są podłączone jednakowo. Po poprawnym zrobieniu kabli jedną końcówkę wkładamy do koncentratora lub przełącznika a drugą do karty sieciowej w komputerze, następnie konfigurujemy protokoły według opisu w dziale konfiguracja, udostępniamy foldery i sieć powinna już działać. Gdy zabraknie nam wolnych portów w koncentratorze lub przełączniku należy dokupić koncentrator lub przełącznik z większą ilością portów lub połączyć kilka.
Łączenie hubów
Sprawa wygląda stosunkowo prosto, ponieważ do połączenia hub'ów nie wymagane są żadne inne urządzenia i przeróbki, wszystkie hub'y mają złącze uplink, przy pomocy którego łączymy ze sobą te urządzenia. Starsze wersje hub'ów do łączenia (uplink) stosowały złącze na BNC, obecnie rzadko już spotykane, zostały wyparte przez nowsze wersje ze złączem RJ45, czyli przy pomocy kabla UTP. Tymi wersjami hub'ów zajmę się w tym artykule. Do takiego połączenia potrzebujemy kabel UTP
z końcówkami RJ45 (paczkordy), jest to identyczny przewód jaki stosuje się do połączenia hub'a
z kartą sieciowa (nie może to być kabel skrosowany, inaczej mówiąc nie może to być połączenie krzyżowe). Jeżeli mamy już odpowiedni kabel, przystępujemy do podłączenia hub'ów, to jest najłatwiejsze zadanie, do jednego z hub'ów podłączmy końcówkę do złącza uplink, natomiast do drugiego hub'a podłączamy końcówkę do zwykłego łącza, tak jak są podłączane karty sieciowe. Sprawa wygląda identycznie w przypadku podłączania kilku hub'ów ze sobą. Jeżeli musimy podłączyć do jednego hub'a więcej urządzeń stosujemy tą samą zasadę co poprzednio, pamiętajmy jednak, że jedna końcówka idzie do gniazda uplink jednego hub'a, druga do dowolnego inne gniazdo drugiego hub'a. Jeżeli nasze hub'y nie mają uplink'u na RJ45, tylko na BNC zaczynają się niewielkie problemy, jednak w tym przypadku jest to możliwe i bardzo proste, wymaga to jedynie przerobienia kabla UTP na kabel skrosowany, czyli z połączeniem krzyżowym. W tym przypadku hub'y łączymy przy pomocy skrosowanego kabla, gdzie obie końcówki należy włożyć do dowolnego wolnego gniazda w hub'ie.
Testowanie połączeń
Po podłączeniu wszystkich przewodów należy sprawdzić ciągłość połączeń. Do tego celu
w najprostszym przypadku nadaje się multimetr z próbnikiem przejścia, lecz jest to uciążliwy proces wymagający uwagi i systematyki zwłaszcza, jeśli mamy do sprawdzenia więcej niż jedno połączenie. Najlepiej nadaje się do tego tester przejścia do sieci (skrętkowych lub BNC, dzięki któremu można szybko się zorientować, czy kabel jest uszkodzony), lub urządzenie do wykonywania pomiarów sieci, które ponadto stwierdzi jakość okablowania.
Tester ciągłości połączeń
Jest to proste urządzenie (nieco nowocześniejsza oraz ulepszona wersja bateryjki i żarówki) pozwalające wykryć:
• brak przewodzenia którejś z par skrętki
• kolejność podłączenia par skrętki
• prawidłowość polaryzacji każdej pary
• fakt zwarcia w kablu
Tester do pomiarów sieci
Urządzenia do pomiarów sieci wykonują szereg testów (zazwyczaj automatycznie, po wciśnięciu jednego przycisku) i określają, czy dany parametr spełnia założenia danej normy (pass) lub nie (fail). Ocenie podlegają tu:
• Line Map – mapa połączeń;
• NEXT (Near End Crosstalk) – przesłuch pomiędzy parami;
• Return Loss – wartość sygnału odbitego będącego wynikiem niedopasowania impedancji elementów;
• Attenuation – tłumienie;
• Link Length – długość połączenia;
Niestety obecnie koszt testerów do wykonywania pomiarów w zależności od ich nowoczesności
i uniwersalności sięga kilkuset do kilku tysięcy dolarów amerykańskich, więc jest to inwestycja, na którą mogą sobie pozwolić jedynie duże firmy.
2.3 Konfiguracja sieci
W przypadku systemu Windows konfiguracja sieci jest zadaniem względnie prostym ze względu na wbudowanie mechanizmów obsługi sieci w sam system. Biorąc pod uwagę to, do jakich zadań komputer ma być wykorzystywany, możliwe są do instalacji trzy protokoły sieciowe:
• NetBEUI – protokół używany w aplikacjach Microsoftu, który jednak nie zdobył większego uznania, choć może być z powodzeniem wykorzystywany do dzielenia plików i drukarek w małych sieciach MS
Networking;
• IPX/SPX – wykorzystywany do łączenia z serwerami pracującymi w oparciu o system Novell Netware;
• TCP/IP – wykorzystywany w systemie Novell Netware 5 oraz przede wszystkim przy łączeniu sieci rozległych, czyli w Internecie.
Ponieważ obecnie sieci lokalne są wykorzystywane najczęściej do pracy w sieciowych systemach operacyjnych (Novell, Linux, Windows NT) oraz do dostępu do Internetu, praktycznie stosuje się tylko dwa ostatnie protokoły sieciowe.
Nic nie stoi na przeszkodzie, aby instalować wszystkie protokoły, ale przyczynia się to zazwyczaj do spadku wydajności sieci. Dlatego też instaluje się jeden lub tam gdzie jest to konieczne co najwyżej dwa (na przykład IPX/SPX do łączenia się z serwerem Netware oraz TCP/IP do łączenia się
z Internetem). Jeśli sieć lokalna wykorzystywana jest tylko do dostępu do Internetu, wtedy konieczne jest zainstalowanie tylko tego ostatniego.
Instalacja karty sieciowej i protokołów
Przed rozpoczęciem instalacji należy zaopatrzyć się w sterowniki do karty sieciowej oraz płytę
z systemem Windows w wersji adekwatnej do używanej. Po włożeniu karty sieciowej do komputera powinna ona zostać automatycznie wykryta przez system (jeśli jest to karta Plug&Play) i powinna się rozpocząć procedura jej instalacji, przy czym należy postępować zgodnie z informacjami pojawiającymi się na ekranie. Jeżeli karta nie zostanie automatycznie wykryta, należy skorzystać z opcji „Dodaj nowy sprzęt” w Panelu Sterowania. Po zainstalowaniu karty sieciowej należy upewnić się, czy karta została zainstalowana poprawnie. W tym celu należy otworzyć Panel Sterowania i kliknąć dwukrotnie na ikonie System. Następnie należy kliknąć zakładkę „Menedżer urządzeń” i rozwinąć gałąź „Karty sieciowe”,
a dalej wyświetlić właściwości zainstalowanej karty i sprawdzić, czy „Urządzenie działa poprawnie” oraz czy nie występują konflikty sprzętowe. Po zainstalowaniu karty sieciowej we właściwościach Otoczenia Sieciowego powinny się znaleźć następujące składniki:
1. Klient sieci Microsoft Networks
2. Karta sieciowa, którą instalowałeś wcześniej
3. Protokół TCP/IP
4. Udostępnianie plików i drukarek w sieciach Microsoft Networks
Jeżeli składników tych nie ma należy otworzyć z Panelu Sterowania ikonę „Sieć”. Pousuwać ewentualnie istniejące protokoły NetBEUI i IPS/SPX, a następnie zainstalować protokół TCP/IP (jeśli go nie ma). Robimy to w następujący sposób:
Wchodzimy we właściwości Otoczenia Sieciowego. Tam klikamy Dodaj >Protokół >Dodaj >zaznaczamy producenta Microsoft, w okienku Protokoły sieciowe szukamy Protokołu TCP/IP. Gdy znajdziemy, klikamy OK. Komputer zażąda płytę Windows, należy ją włożyć. Po restarcie komputera protokół będzie już zainstalowany. Należy go teraz skonfigurować. Wchodzimy we właściwości Otoczenia Sieciowego, klikamy dwa razy na Protokół. Otwiera się nowe okno. W zakładce Adres IP zaznaczamy Podaj Adres IP. Jako IP na pierwszym komputerze wpisujemy
np.192.168.0.1, jako maskę 255.255.255.0.
Na drugim komputerze wpisujemy odpowiednio
np.192.168.0.2 , maska taka sama jak w pierwszym komputerze i tak do 192.168.255.255.
Należy też zainstalować udostępnianie plików i drukarek.
Wchodzimy we właściwości Otoczenia Sieciowego. Tam klikamy Udostępnianie plików i drukarek, zaznaczamy to co chcemy >klikamy OK. Komputer zażąda płytę Windows, należy ją włożyć. Po ponownym uruchomieniu komputera będziemy mieli możliwość udostępniania innym użytkownikom sieci naszych danych.
Udostępnianie folderów
Jedną z możliwości którą dają sieci lokalne jest współdzielenie plików, aby korzystać z nich w grupie należy je najpierw udostępnić.
Windows XP
Klikamy prawym klawiszem myszy na wybrany folder, z menu wybieramy "Udostępnianie
i zabezpieczenia...", wyświetli się nam nowe okno, w nim zaznaczamy opcję "Udostępnij ten folder
w sieci", po zaznaczeniu tej opcji możemy zmienić nazwę pod jaką ma być widziany folder w sieci. Jeśli chcemy aby użytkownicy mieli pełen dostęp do plików w folderze (tj. kasowanie, tworzenia, zamiana, itd.) zaznaczamy opcję "Zezwalaj użytkownikom sieciowym na zmianę moich plików". Wszystkie zmiany zatwierdzamy przyciskiem OK.
UWAGA: Nazwa udziału nie powinna mieć więcej niż 12 znaków, ponieważ wtedy udział nie będzie widziany przez użytkowników starszych systemów operacyjnych (Windows 95, Windows 98, Windows Millenium Edition, Windows NT 4.0).
Adres IP i maska podsieci
Adres IP jest to adres komputera w sieciach TCP/IP. Określona liczba bitów 32-bitowego adresu IP jest adresem sieciowym, a reszta adresem hostowym. Adres sieciowy określa sieć LAN, zaś adres hosta konkretną stację roboczą w tej sieci. By dopasować sieci o różnych rozmiarach (różnej liczbie komputerów), adresy IP podzielono na kilka klas. Istnieje pięć klas adresów IP: A, B, C, D oraz E,
z czego tylko A, B i C są wykorzystywane do adresowania sieci i hostów, a D i E są zarezerwowane do zastosowań specjalnych. Klasa A obsługuje 126 sieci, z których każda ma ponad 16 milionów hostów (ponieważ pomimo tego, że jest to adres 7-bitowy, to wartości 0 i 127 mają specjalne znaczenie). Adresy klasy B są przeznaczone dla sieci o rozmiarach do 65534 hostów. Może być co najwyżej 16384 sieci w klasie B. Adresy klasy C przeznaczone są dla małych organizacji. Każda klasa C może mieć do 254 hostów, a klas może być ponad 2 miliony.
Klasę sieci można określić na podstawie pierwszej liczby w notacji kropkowo-dziesiętnej:
• klasa A: 1.xxx.xxx.xxx do 126.xxx.xxx.xxx
• klasa B: 128.zzz.xxx.xxx do 191.zzz.xxx.xxx
• klasa C: 192.zzz.zzz.xxx do 223.zzz.zzz.xxx
Adres z samymi zerami wskazuje na lokalną sieć. Adres 0.0.0.150 wskazuje na host z numerem 150
w tej sieci klasy C. Adres 127.xxx.xxx.xxx klasy A jest używany do testu zwrotnego (loopback) – komunikacji hosta z samym sobą. Zazwyczaj jest to adres 127.0.0.1. Proces próbujący połączyć się
z innym procesem na tym samym hoście, używa adresu zwrotnego aby uniknąć wysyłania pakietów przez sieć. Włączenie wszystkich bitów w jakiejś części adresu oznacza komunikat sieciowy (broadcast). Na przykład adres 128.18.255.255 oznacza wszystkie hosty w sieci 128.18 klasy B. Adres 255.255.255.255 oznacza, że wszystkie węzły danej sieci otrzymają ten pakiet. Należy jednak podkreślić, że mniej więcej od roku 1997 podział na klasy sieci jest już nieaktualny. Obecnie adresy IPv4 są przydzielane bez specjalnego zwracania uwagi na klasy sieci - wg założeń CSDIR (classless
routing) - ponieważ powodowało to duże marnotrawstwo IP. Dokument RFC 1918 („Address Allocation for Private Internets”) określa, jakie adresy IP mogą być użyte wewnątrz prywatnej sieci. Zarezerwowane są dla nich trzy grupy adresów IP:
• od 10.0.0.0 do 10.255.255.255
• od 172.16.0.0 do 172.16.255.255
• od 192.168.0.0 do 192.168.255.255
Nie należy w sieciach lokalnych stosować dowolnych adresów IP, gdyż może przyczynić się to do różnorakich problemów mających swe źródło w dublowaniu się adresów IP w sieci lokalnej oraz
w Internecie. Jeżeli ma być przydzielony adres statyczny, to klikamy „Podaj adres IP” i wpisujemy adres oraz maskę podsieci. Dla małych sieci zalecane jest używanie puli adresów 192.168.0.1-192.168.0.254 oraz maski 255.255.255.0. Oczywiście nic nie stoi na przeszkodzie, aby zastosować adresy IP np.
z przedziału 10.1.1.1-10.1.1.254 lub inne z puli adresów prywatnych. Jeżeli adres IP będzie przydzielany automatycznie z serwera DHCP to pozostawiamy „Automatycznie uzyskaj adres IP”. Na wszystkich komputerach powinna być taka sama maska podsieci, zaś adres IP musi być wszędzie inny, ale z zadanej puli adresowej. Ponadto przy zmianie właściwości protokołu TCP/IP należy pamiętać aby zmienić właściwości tylko tej pozycji, która przypisana jest do karty sieciowej (w przypadku, gdy zainstalowana jest więcej niż jedna karta sieciowa lub jeszcze karta Dial-Up). Po instalacji i konfiguracji TCP/IP możemy zainstalować usługi takie jak www, ftp, poczta i korzystać z nich podobnie jak w Internecie lub udostępnić połączenie internetowe do sieci lokalnej.
2.4 Udostępnianie połączenia internetowego w sieci lokalnej
Gdy już mamy zapewnione połączenie z Internetem na jednej maszynie, należy zastanowić się, jak udostępnić to połączenie innym komputerom. Do udostępniania połączenia internetowego w sieci lokalnej można wykorzystać komputer podpięty do sieci lokalnej z jednej strony, oraz posiadający kartę Dial-Up (czyli modem) lub drugą kartę sieciową połączoną z Internetem. Aby Internet był widziany
z sieci lokalnej należy zastosować oprogramowanie wykorzystujące technologię NAT lub tzw. proxy serwer. Komputer udostępniający połączenie może być zwykłą stacją roboczą przeznaczoną dodatkowo do tego celu. Do bardziej znanych proxy serwerów pod Windows należą: WinGate, WinProxy, NetProxy, CProxy. Technologię NAT wykorzystuje m.in. program SyGate i WinRoute (który dodatkowo wbudowane ma pewnego typu proxy i filtr pakietów). Można również wykorzystać mechanizm dzielenia połączenia modemowego wbudowany w drugą edycję systemu MS Windows 98 (tzw. SE – Second Edition). Dużo lepszym jednak rozwiązaniem (dającym dużo większe możliwości zwłaszcza, jeśli dysponujemy stałym łączem do Internetu) jest uruchomienie osobnej maszyny zajmującej się tylko umożliwieniem dostępu do Sieci (ew. udostępniającymi również inne usługi sieciowe) pracującej pod którymś z systemów uniksowych np. pod systemem Linux. Jej uruchomienie będzie na pewno dużo trudniejsze, niż uruchomienie udostępniania połączenia pod Windows, lecz
w wielu wypadkach będzie się to bardziej opłacać, gdyż będziemy mieć większą (praktycznie prawie całkowitą) kontrolę nad tym, jakiego rodzaju aplikacjom klienckim umożliwiamy dostęp do Internetu. Rozwiązanie to jest również o wiele wydajniejsze, dużo bardziej niezawodne i bezpieczniejsze z punktu widzenia bezpieczeństwa samej sieci wewnętrznej przed atakami z zewnątrz. Pamiętać jednak należy, że skonfigurowanie zapory sieciowej w sposób zapewniający maksymalne bezpieczeństwo przy równie wysokiej funkcjonalności wymaga już doświadczenia i wykracza daleko poza ramy tego opracowania.
Dzielenie "osiedlówki"
Zanim zabierzemy się za podzielenie internetu dostarczanego poprzez sieć LAN, powinniśmy zadać sobie pytanie, czy robimy to legalnie. Regulaminy /umowy wielu sieci zabraniają podziału łącza, nawet w obrębie lokalu. Odradzam w takim wypadku zabieranie się za dzielenie, ponieważ bardzo często zastosowane są mechanizmy utrudniające /uniemożliwiające podzielenie takiego dostępu. Szkoda byłoby wyrzucić, często niemałe, pieniądze na sprzęt, który może nie działać prawidłowo.
Tak czy inaczej, rozdzielenie LANu proponuje zacząć od odwiedzenia administratora sieci. Każda "osiedlówka" jest inna, a jej administrator najlepiej będzie wiedział, jak możecie najlepiej, najtaniej, najbezpieczniej i najszybciej podzielić wykupiony dostęp.
Na tym etapie w zasadzie możliwe są dwa sposoby. Pierwszy z nich, to fizyczne podłączenie drugiego komputera do działającej sieci, który będzie podłączony identycznie jak pierwszy komputer. Możemy
z tego sposobu skorzystać tylko i wyłącznie wtedy, kiedy administrator we własnym zakresie udzieli dostępu do drugiego komputera i /lub podział prędkości będzie odbywał się już na jego urządzeniach. Do tego celu wystarczy switch, który kupimy za kilkadziesiąt złotych lub, jeśli mamy w jednym
z komputerów 2 karty sieciowe, zrobienie mostka sieciowego. O ile rozwiązanie z mostkiem jest tańsze i prostsze, o tyle kłopotliwe, ponieważ komputer z mostkiem musi być włączony, żeby na drugim komputerze połączenie z internetem działało. Jak to zrobić fizycznie? Przy rozwiązaniu ze switchem, wystarczy wam mały, tani switch, który podłączymy w miejscu komputera, a komputery podłączyć wystarczy do switcha kablami prostymi. Przy rozwiązaniu z mostkiem, kabelek zostaje tak, jak był, a drugi komputer podłączamy za pomocą kabla crossover do komputera pierwszego. Teraz jeszcze trzeba zmostkować interface sieciowe. Klikamy prawym klawiszem na Otoczenie_sieciowe /Moje_miejsce_sieciowe i wybieramy właściwości. Następnie zaznaczamy 2 interesujące nas interface, klikamy prawym klawiszem i wybieramy połączenie mostkowe.
Drugi ze sposobów, polega na użyciu routera lub udostępnieniu połączenia na poprzez komputer posiadający 2 karty sieciowe. Router powinien mieć jako port WAN port ethernetowy RJ-45.
W zasadzie wszystkie obecnie dostępne routery posiadają wbudowanego switcha, więc jako porty LAN mamy zazwyczaj 4-5 fast ethernetowych portów RJ-45. Konfiguracja: Port WAN konfigurujemy w ten sam sposób, w jaki był skonfigurowany dotychczas używany komputer. Tutaj mała uwaga.
W większości sieci używana jest autoryzacja po MAC adresie urządzenia (karty sieciowej, routera itp.), musimy dostarczyć administratorowi adres MAC naszego routera, gdyż w przeciwnym wypadku internet może nie działać, mimo poprawnego skonfigurowania urządzenia. W routerze musimy włączyć opcję NAT. Opcja Firewall najlepiej jest zostawić wyłączoną. Po stronie sieci LAN włączamy serwer DHCP. Oraz ustawiamy numer IP dla routera, a także zakres numerów IP przyznawanych przez serwer DHCP. Należy pamiętać o tym, aby adresy IP po stronie LANu były z innej klasy adresowej niż te użyte po stronie WAN. Przykładowo, jeśli WAN ma IP: 192.168.0.x z maską 255.255.255.0, to LAN najlepiej jest ustawić z adresem 10.0.0.x i maską 255.255.255.0.
Dzielenie Neostrady TP
W dzisiejszych czasach głównymi dostawcami usług internetowych są przede wszystkim sieci lokalne oraz Neostrada TP, a ich użytkownicy, którzy chcą ominąć dodatkowe comiesięczne opłaty abonamentowe szukają własnych rozwiązań, które w obrębie mieszkania lub domu będą rozdzielać jeden "sygnał" na parę stanowisk. Rozdzielenie usługi dostępu do internetu to nic innego jak zbudowanie najprostszej sieci komputerowej, która składa się z paru komputerów i jednego urządzenia sieciowego. Takie urządzenie to router lub switch.
Użytkownicy korzystający z Neostrady TP:
1. Bez większych dodatkowych kosztów (ale mało wygodne). Poprzez połączenie mostkowe można
z komputera, na którym jest zainstalowana usługa dostępu Neostrady udostępnić to połączenie innemu komputerowi podłączonemu przez skrętkę i kartę sieciową. Minusem tego rozwiązania będzie brak internetu na drugim komputerze jeśli pierwszy zostanie wyłączony. W skórcie mówiąc - drugi jest uzależniony od pierwszego.
2. Zakup routera. Rozwiązanie to ma wiele plusów. Po przez router można podłączyć wiele komputerów do jednego łącza, a każda maszyna będzie całkowicie niezależna. Przy dostępie do Nestrady TP ważne jest, żeby kupić router z modemem adsl (port WAN wtyczka RJ11), ponieważ TP S.A. dostarcza klientowi modem na usb, którego nie da się podłączyć do sieci lokalnej. Przy wyborze odpowiedniego routera możemy się również kierować tym czy chcemy mieć podłączone komputery także bezprzewodowo. Oczywiście można zbudować sobie sieć na zasadzie takiej, że pewna ilość komputerów jest podłączona kablem utp, a część drogą radiową.
3. Jeśli ma się starą maszynę (min. Pentium 166MHz z 32mb pamięci ram) można postawić dystrybucję NND Linux Router, która pozwala zarządzać i skonfigurować takie połączenia jak:
- Neostrada przez modemy: Sagem F@st, Thomson SpeedTouch, Lucent CellPipe i inne modemy Ethernetowi
- NET24 USB modem Thomson Speedtouch
- DSL: wszystkie rodzaje prędkości oferowane przez TPsa (konfiguracja DSL innych operatorów także powinna działać)
- połączenie modemowe ppp
- SDI
- klient DHCP, pobieranie adresu z DHCP
Konfiguracja udostępniania połączenia internetowego w systemach Windows
Windows Xp
Wchodzimy we właściwości "Moje miejsca sieciowe" później we właściwości połączenia które ma być udostępnione. Na górze wybieramy zakładkę Zaawansowane, następnie w okienku "Udostępnianie połączenia internetowego" zaznaczamy opcję "Zezwalaj innym użytkownikom sieci na łączenie się poprzez połączenie internetowe twojego komputera" W zależności od naszego uznania zaznaczamy opcję znajdującą się niżej "Zezwalaj innym użytkownikom sieci na kontrolowanie lub wyłączanie udostępnionego połączenia internetowego" następnie klikamy OK. Po kliknięciu pojawi się komunikat "Po włączeniu Udostępniania połączenia internetowego karta sieci LAN zostanie ustawiona na używanie adresu IP 192.168.0.1” (później można go zmienić). Komputer może utracić łączność
z innymi komputerami w sieci. Jeśli te inne komputery mają statyczne IP, należy ustawić tak, aby ich IP było przydzielane automatycznie. Przy pytaniu „Czy na pewno chcesz włączyć Udostępnianie połączenia internetowego?" klikamy Tak. To wszystko na komputerze serwera. Czas na konfigurację klientów. Wchodzimy we właściwości "Moje miejsca sieciowe" powinnyśmy zobaczyć tam nową ikonę "Internet od (nazwa komputera udostępniającego Internet)" ją zostawiamy w spokoju. Następnie wchodzimy we właściwości połączenia lokalnego następnie w Protokół internetowy (TCP/IP) tam jako adres IP wpisujemy IP z przedziału od 192.168.0.2-192.168.255.255 (pomijamy 192.168.0.1 ponieważ jest ono już zajęte przez serwer), jako maskę: 255.255.255.0, jako Bramę domyślną 192.168.0.1 (IP serwera), i jako DNS 192.168.0.1. Po poprawnym wykonaniu tych czynności Internet powinien działać.
Windows 98
Wchodzimy w Start > Ustawienia > Panel sterowania > Dodaj/Usuń programy, wybieramy tam drugą zakładkę. Klikamy dwa razy na narzędzia internetowe pojawi się nowe okienko tam zaznaczamy Udostępnianie połączenia internetowego. Klikamy OK. Po zainstalowaniu pojawi się okno Kreatora klikamy Dalej > Dalej > Kreator zapyta czy chcemy utworzyć Dysk do skonfigurowania przeglądarek na innych komputerach klikamy anuluj następnie zakończ. Restartujemy komputer. Po restartowaniu wchodzimy we właściwości Internet Explorera, wybieramy zakładkę Połączenia, tam obok przycisku Ustawienia sieci LAN powinien pojawić się nowy Udostępnianie... klikamy na niego, pojawi się nowe okno, w którym wybieramy opcję: udostępniania połączenia. To wszystko na komputerze serwera. Czas na konfigurację klientów. Wchodzimy we właściwości Internet Explorera wybieramy zakładkę połączenia klikamy na przycisk Ustawienia sieci LAN tam zaznaczamy opcję Automatycznie wykryj ustawienia. I już Internet powinien działać
Analogx Proxy
Analogx Proxy jest to bardzo prosty w konfiguracji serwer Proxy, który,\ umożliwia komputerowi klienta korzystanie tylko z usług HTTP (WWW), FTP oraz po odpowiednim skonfigurowaniu z SMTP, POP3, NNTP. Opiszę konfigurację, która pozwoli klientowi na korzystanie z usługi HTTP (WWW) i FTP. Najpierw musimy pobrać i zainstalować program na komputerze podłączonym do Internetu, najlepiej ze strony http://www.analogx.com/files/proxyi.exe. Uruchamiamy instalator naszego serwera proxy, klikamy przycisk I Accept, następnie wybieramy katalog, w którym chcemy zainstalować program, klikamy Continue. Po instalacji wyświetli się komunikat z pytaniem, czy chcemy zarejestrować program, klikamy Nie. Na tym etapie kończy się konfiguracji programu. Teraz należy odpowiednio skonfigurować komputery klienckie. Wchodzimy w Start > Panel Sterowania > Opcje internetowe, tam wybieramy zakładkę Połączenia klikamy przycisk Ustawienia sieci LAN..., Zaznaczamy opcję Użyj serwera proxy dla sieci LAN (...). klikamy przycisk Zaawansowane... w pierwsze okno przy HTTP: wpisujemy IP komputera serwera np. 192.168.0.1 w okienko Port wpisujemy 6588, w pierwsze okno przy FTP: wpisujemy też adres IP serwera, a w okno port wpisujemy 21. Klikamy OK i od tego momentu na komputerze klienta powinna działać usługa HTTP i FTP. Oczywiście w ten sposób z internetu może korzystać nieskończenie wiele komputerów, na wszystkich konfiguracja przebiega w ten sam sposób.
WinProxy
WinProxy jest to profesjonalne narzędzie do udostępniania Internetu. Klient bądź klienci, którym tym programem udostępnimy Internet będą mogli korzystać ze wszystkich usług internetowych (np. HTTP, FTP, SMTP, POP3, ICQ itd.), z których może korzystać komputer serwer. Jego instalacja przebiega standardowo - wystarczy kilka razy kliknąć Next. Jeżeli instalujemy program pod Windows-em XP pod koniec instalacji może wyświetlić się komunikat o instalowanych sterowników, należy kliknąć przycisk Mimo to kontynuuj. Po zakończeniu instalacji należy zrestartować komputer. Po ponownym uruchomieniu komputera i po uruchomieniu programu WinProxy należy wpisać dane rejestracyjne (imię, nazwisko oraz adres E-mail). Po wpisaniu tych danych klikamy OK i przystępujemy do konfiguracji programu. Po włączeniu programu pojawi się komunikat - należy kliknąć OK. WinProxy sam automatycznie uruchomi kreatora konfiguracji. Pierwsze pytanie jakie zada nam kreator brzmi po polsku mniej więcej tak: Czy twój komputer łączy się z Internetem za pomocą modemu? Wybieramy Nie (No) jeżeli łączymy się za pomocą karty sieciowej. Klikamy Next. W następnym oknie wybieramy która karta sieciowa podłączona jest do Internetu, a która do sieci lokalnej, rozpoznamy je po adresach IP. Internal IP Addresses tu ma znaleźć się adres IP karty podłączonej do sieci lokalnej, natomiast External IP Addresses ma znaleźć się adres karty sieciowej podłączonej do Internetu. Klikamy Next, następnie ponownie Next, i dajemy WinProxy czas na konfigurację. Następnie klikamy przycisk Begin using WinProxy (tu kończy się konfiguracja WinProxy), wyświetli się dokument, w którym opisana jest (niestety, nie po polsku) konfiguracja komputerów klienckich. Najważniejszych jest kilka ostatnich linijek. Wygląda to mniej więcej tak:
* Specify an IP addresses from 192.168.0.1 through 192.168.0.255, excluding 192.168.0.1
* Specify a subnet mask of 255.255.255.0.
* Set the DNS server to 192.168.0.1.
* Set the GATEWAY to 192.168.0.1. *** IMPORTANT ***
Pierwsza linijka oznacza, że na komputerach klienckich adresy IP powinny być z zakresu 192.168.0.1 - 192.168.0.255 wykluczając 192.168.0.1 ponieważ adres ten jest zajęty przez nasz komputer. Każdy komputer musi mieć inne IP.
Pozostałe dane są takie same dla wszystkich klientów:
Druga linijka to maska podsieci: 255.255.255.0
Trzecia linijka to adres DNS: 192.168.0.1
Czwarta linijka to brama: 192.168.0.1
Resztę komputerów konfigurujemy tak samo, zmieniamy tylko adres IP.
Po poprawnym przeprowadzeniu wszystkich tych czynności na komputerze klienta powinien działać Internet.
3. Administracja siecią lokalną
Ustawienia TCP/IP
Jeśli chcemy sprawdzić szczegółowe informacje na temat ustawień protokołu TCP/IP, kart zainstalowanych w naszym komputerze, możemy to bez problemu zrobić za pomocą narzędzi wbudowanych w system Windows.
Windows XP
Wchodzimy w Start > Uruchom, wpisujemy "cmd", następnie w wiersz poleceń wpisujemy komendę "ipconfig /all" (możemy też bezpośrednio w "Uruchom" wpisać "cmd /k ipconfig /all"). Wyświetli się nam pełna konfiguracja protokołu TCP/IP, oraz konfiguracja wszystkich interfejsów sieciowych. Narzędzie ipconfig ma jeszcze wiele innych opcji, ich opis znajdziemy wpisując w wiersz poleceń: "ipconfig /?".
Windows 98
Wchodzimy w Start > Uruchom, wpisujemy "winipcfg". Wyświetli się konfiguracja protokołu TCP/IP dla danego interfejsu sieciowego, możemy go zmienić w okienku wyboru umieszczonym w tym narzędziu. Winipcfg umożliwia także odnowienie ustawień DHCP dla poszczególnych interfejsów.
Statystyka i połączenia protokołów
Narzędzie "netstat" jest bardzo rozbudowanym narzędziem sieciowym, sprawdzimy nim m.in. aktywne połączenia sieciowe, otwarte porty i program, który z nich korzysta, statystyki interfejsu sieciowego, statystyki protokołów IP, IPv6, ICMP, ICMPv6, TCP, TCPv6, UDP i UDPv6 i inne. Narzędzie można uruchomić w systemie Windows XP jak i w Windows 98.
Windows XP
Wchodzimy w Start > Uruchom, wpisujemy "cmd", następnie w wiersz poleceń wpisujemy komendę "netstat" (możemy też bezpośrednio w "Uruchom" wpisać "cmd /k netstat").
Windows 98
Wchodzimy w Start > Uruchom, wpisujemy "netstat".
Więcej informacji na temat tego narzędzia uzyskamy wpisując polecenie "netstat /?"
Uprawnienia dostępu i bezpieczeństwo danych
Osobie pierwszy raz stykającym się z sieciowym systemem zabezpieczeń może się wydawać, że przynajmniej w sieciach peer-to-peer jest to sprawa całkowicie niepotrzebna. Jednak już pierwsza wpadka z przypadkowym skasowaniem „zbędnych zbiorów” z niewłaściwego dysku pokazuje, że jest inaczej. O ile skasowanie lub uszkodzenie kluczowych zbiorów z komputera dotyka bezpośrednio wyłącznie osób z niego korzystających, o tyle problemy ze stacją-serwerem w sieci przenoszą się na wszystkie osoby z niego korzystające. Sieciowy system restrykcji, ograniczeń i zabezpieczeń ma kilka podstawowych celów: służy ochronie zarówno całej sieci, jak i danych innych użytkowników przed przypadkowym uszkodzeniem(„im mniej widzi, tym mniej może zepsuć”), uproszczeniem pracy użytkowników oraz ochronie danych, do których dany użytkownik nie powinien mieć dostępu. Co więcej, jest taka empiryczna zasada, że im większa liczba osób korzysta ze wspólnego dysku i im większe mają na nim uprawnienia, tym szybciej narasta bałagan. Pewną rolę odgrywa też możliwość zabezpieczenia danych przed potencjalną ingerencją osób spoza firmy. Z tych kilku przyczyn użytkownik w sieci powinien mieć dostęp do wszystkiego, co mu jest potrzebne do pracy i... do niczego więcej. Realizacją m.in. tych właśnie postulatów zajmuje się właśnie system zabezpieczeń. Systemów bezpieczeństwa jest tyle co sieci, można jednak wyróżnić dwie podstawowe metody ich funkcjonowania. Pierwsza a nich polega na tym, że użytkownik może korzystać z zasobu sieci – czy to będzie katalog dyskowy, drukarka, czy cokolwiek innego – jeżeli zna hasło do tego zasobu. Jeżeli nie ma takiego hasła, zasób jest dostępny dla wszystkich. Zaletą tego sposobu jest łatwość konfiguracji, wadami: konieczność znajomości potencjalnie dużej liczby haseł oraz wbudowana nieszczelność systemu. W tym systemie – którego przykładem jest Windows for Workgroups – tożsamość użytkownika nie musi być w żaden sposób sprawdzana. Druga metoda polega na nadawaniu prawa korzystania z zasobów użytkownikom i ich grupom i sprawdzanie tożsamości osoby korzystającej
w momencie rozpoczęcia pracy z siecią. Ten system jest znacznie bardziej skomplikowany od strony nadawania uprawnień, ale jest o niebo łatwiejszy w użytkowaniu – hasło, tym razem osobiste, podaje się tylko raz. Sposób ten jest też znacznie skuteczniejszy od poprzedniego, choć oczywiście każdy system zabezpieczeń można ominąć lub złamać. Można też wyróżnić dwa sposoby sprawdzania tożsamości użytkownika. Wygodniejszy dla użytkownika – choć nie zawsze – opiera się na założeniu, że „każdy, kto korzysta z komputera Kowalskiego jest Kowalskim”. Prawo korzystania z określonego zasobu jest więc związane z konkretnym stanowiskiem pracy. System ten nie wymaga od użytkownika podania hasła, wystarczy, aby usiadł przy swoim komputerze.. Zaletą jest prosta z punktu widzenia użytkownika, wadą – możliwość łatwego ominięcia i niekiedy stwarzanie dodatkowych problemów (np. komputer Kowalskiego zepsuł się). Sposób drugi zakłada, że Kowalskim jest każdy, kto zna hasło Kowalskiego – przed rozpoczęciem pracy użytkownik musi zalogować się do sieci: poznać zazwyczaj powszechnie znaną nazwę swojego konta w sieci i swoje osobiste, tajne hasło do tego konta. Warto zauważyć, że pomimo iż koncepcyjnie podejścia te są zupełnie różne, zawsze można zaadaptować ten drugi sposób do realizacji pierwszego: wystarczy podczas uruchamiania komputera automatycznie logować go do sieci, co jest możliwe, jeżeli dane konto nie jest chronione hasłem. W ten sposób instaluje się np. Lantastic, automatycznie tworzący batch STARTNET.BAT logujący stację do określonych serwerów, lecz umożliwiający również stosowanie normalnych kont użytkowników. Niezależnie od sposobu sprawdzania tożsamości, można wyodrębnić również dwie procedury dopuszczania użytkownika do pracy: albo dopuszczamy wszystkich, nadając im pewne minimalne uprawnienia ( Lantastic), albo dopuszczamy tylko tych, którzy mają uprzednio zdefiniowane konta ( LaserNet/TopWare, NetWare Lite i również Lantastic). Oczywiście zawsze można założyć konto typu „GOŚĆ” o minimalnych uprawnieniach, ale to nie będzie to samo, zwłaszcza jeżeli w sieci można korzystać np. z poczty elektronicznej. W tych sieciach, w których o możliwości korzystania z zasobów decydują indywidualne uprawnienia, stosuje się zazwyczaj pojęcie grupy użytkowników. Uprawnienia można nadawać poszczególnym osobom, ale można je również nadać grupie (np. sekretariat), przez co automatycznie uzyskują je wszyscy członkowie grupy. Znacznie upraszcza to administrowanie, zwłaszcza w przypadku zmiany zakresu obowiązków pracownika. W sieciach tych można również niekiedy ustawić dodatkowe ograniczenia, np. ograniczyć możliwość logowania pewnych osób do określonych komputerów (np. sekretarka może się zalogować wyłącznie z komputera w sekretariacie) lub godzin (np. z sekretariatu można się zalogować od 8.00 do 16.00 z wyjątkiem sobót i niedziel). Prawo dostępu do danego zasobu nie oznacza jeszcze możliwości korzystania z niego w każdym momencie. Aby dostać się do dysku sieciowego czy drukarki, należy podłączyć dany zasób sieciowy do odpowiedniego lokalnego urządzenia logicznego. W ten sposób np. dysk D: może odpowiadać określonemu katalogowi na dysku sąsiedniego komputera, a LPT1: drukarce laserowej w sąsiednim pokoju. Odpowiednie podłączenia logiczne mogą zostać wykonane automatycznie podczas logowania się do sieci i wówczas będą dostępne po każdym zalogowaniu albo mogą być podłączane na życzenie i wówczas użytkownik musi każdorazowo przed pierwszym użyciem danego zasobu zażądać wykonania odpowiednich podstawień. Oczywiście, jeżeli nie ma on odpowiednich uprawnień jego żądania zostaną przez system zignorowane. Warto też wiedzieć, że sieci peer-to-peer nie oferują żadnych zabezpieczeń przed działaniami osób mających dostęp do klawiatury serwera. Jeżeli nie
w czasie pracy sieci, to po jej unieruchomieniu zarówno stacje robocze, jak i serwery w odniesieniu do własnych dysków i drukarek – w tym kluczowych zasobów sieci, np. plików z definicjami kont użytkowników – dają dokładnie takie same możliwości jak komputery bez sieci. Pełne zabezpieczenie mogą dać tylko systemy z zabezpieczeniami wbudowanymi na poziomie systemu operacyjnego, takie jak Unix, Windows NT czy NetWare ( ten ostatni może w ogóle nie udostępniać dysków z lokalnej konsoli) albo stosujące np. szyfrowanie dostępnych przez sieć danych.
Drukowanie w sieci
Drukowanie w środowisku sieciowym różni się od drukowania na indywidualnym stanowisku pracy przede wszystkim dwoma czynnikami: drukarka może być podłączona do innego komputera i może
z niej równocześnie korzystać kilka osób, ale drukarka jest w stanie w danym momencie obsługiwać tylko jedną osobę. Aby niepotrzebnie nie zajmować czasu użytkownikom - którzy musieliby "polować" na moment, w którym drukarka jest wolna - wprowadzono koncepcję tzw. kolejki wydruku (print queue). Kolejka pełni rolę bufora, w którym magazynowane są dane przeznaczone dla konkretnej drukarki.
W większych sieciach obsługa wydruku może być zorganizowana w sposób bardziej złożony ( np. jedno fizyczne urządzenie może obsługiwać kilka kolejek albo jedną kolejkę równocześnie obsługuje kilka drukarek); w prostych sieciach z każdą drukarką sieciową jest związana jedna kolejka - dlatego termin "kolejka wydruku" (print queue) może nawet nie pojawić w opisie. Sieciowa kolejka wydruku działa podobnie do Menadżera Wydruku w MS-Windows 3.1 : dane wysyłane przez aplikacje - nawet przez kilka stanowisk równocześnie - są przechwytywane przez oprogramowanie sieciowe
i gromadzone na dysku serwera. To "drukowanie" zazwyczaj trwa znacznie krócej od zwykłego drukowania, z tym że jego koniec nie oznacza jeszcze otrzymania papieru z wynikiem, a jedynie zwolnienie komputera do dalszej pracy. Po zakończeniu gromadzenia, dane do wydruku przechowywane są zazwyczaj jako pliki binarne na serwerze, a następne kolejno wysyłane do drukarki. W niektórych sieciach jest możliwość rozpoczęcia i zakończenia każdego wydruku, np. zresetowaniem drukarki, ustawionym jej w określonym trybie lub tp. Możliwości te przydają się, gdy np. wykorzystywane aplikacje pozostawiają drukarkę w stanie nie ustalonym i "psują" wydruki innych użytkowników. Po wydrukowaniu (a raczej wysłaniu danych do drukarki - w rzeczywistości wydruk może zakończyć się sporo później) serwer może wysłać stosowany komunikat do właściciela wydruku. Jak można zauważyć, drukowanie na drukarce sieciowej trwa zazwyczaj dłużej niż na indywidualnej, natomiast komputer jest zwolniony do pracy znacznie szybciej. Krótkie wydruki opóźnione są zazwyczaj niewiele, natomiast w przypadku dłuższych prac - skomplikowanych wydruków graficznych lub druków wielostronicowych - kilkunasto- lub kilkudziesięcioprocentowe przedłużenie wydruku urasta do wielu minut. Dlatego niektóre systemy sieciowe pozwalają na przyspieszenie wydruków poprzez rozpoczęcie ich obsługi jeszcze zanim zostanie zgromadzony komplet danych. Nie jest to jednak cecha powszechnie spotykana. Ponieważ przechwytywanie wydruku jest czysto programowe może się zdarzyć, że program odwołujący się zamiast do mechanizmów DOS-u bezpośredniego sprzętu (albo nawet do procedur BIOS portu równoległego - zależy od organizacji oprogramowania sieciowego) nie będzie poprawnie współpracował z drukarką sieciową. Na szczęście takich programów jest niewiele. Osobną kwestią jest natomiast prawidłowe wykrycie zakończenia drukowania przez aplikację - omyłka grozi przemieszczeniem fragmentów różnych prac lub ich popsuciem, albo niepotrzebnym wydłużeniem czasu oczekiwania na otrzymanie wydruku. Istnieją dwie podstawowe metody automatycznego rozpoznania końca wydruku: jedna polega na wykryciu przerwy w wysyłaniu danych przez aplikację (time out), natomiast druga - to reakcja na zamknięcie związanego z drukarką pliku LPTx. Stosowanie metody pierwszej grozi fałszywymi alarmami, jeżeli aplikacja drukuje "na gorąco" podczas przetwarzania danych (klinicznym przypadkiem jest CorelDRAW! robiący długie przerwy podczas przeglądania pustych warstw) lub zwiększa czas oczekiwania na wydruk. Natomiast wykrywanie zamknięcia pliku drukarkowego jest metodą w pełni bezpieczniejszą. Niestety, wiele programów w ogóle tego pliku explicite nie zamyka. W ich przypadku zasygnalizowanie końca wydruku (i początek jego obsługi przez drukarkę) nastąpiłoby dopiero po zakończeniu pracy aplikacji - DOS wówczas automatycznie zamyka wszystkie pliki wykorzystywane przez program. Na szczęście wiele systemów sieciowych pozwala na wybranie przez użytkownika jednego z tych dwu mechanizmów oraz ustawienia ich parametrów. Niekiedy jest również możliwość sygnalizacji ręcznej, poprzez wciśnięcie określonej kombinacji klawiszy.
Zdalna administracja komputerem
Producenci oprogramowania wiedzą, jak złożone problemy muszą na co dzień rozwiązywać administratorzy sieci, dlatego oferują wiele programów pozwalających na zdalne zarządzanie. Firmy takie jak Microsoft również starają się wprowadzić do swoich systemów rozwiązania, które pozwolą na wykonanie pewnych czynności zdalnie. Przykładem może być Windows 2000 lub XP, w które wbudowane zostało wiele funkcji usprawniających działania administracyjne. W sieci z kontrolerem domeny opartym na W2K można skorzystać z takich funkcji jak: dystrybucja oprogramowania przez założenia grup, zarządzanie z wykorzystaniem Microsoft Managment Console itd. Niestety, rozwiązania te mają pewne ograniczenia. Założenia grup wbudowane w Windows 2000 Server wykazują pełne możliwości wtedy, gdy sieć składa się z klientów pracujących pod kontrolą Windows 2000 Professional. Windows XP pozwala na zdalny dostęp do systemu przez sieć lokalną lub Internet, ale może wówczas zostać wylogowany aktualnie pracujący klient. Najczęściej administrator ma do czynienia w sieci
z wieloma systemami operacyjnymi i wówczas musi korzystać z zewnętrznych pakietów oprogramowania. Do dużych firm, w których pracują setki komputerów, przeznaczone są aplikacje zajmujące się ewidencjonowaniem sprzętu, pomiarem wykorzystania oprogramowania, dystrybucją oprogramowania oraz zdalną pomocą dla użytkowników itp. Przykładem takiego oprogramowania może być System Managment Server 2.0 Microsoftu. Programy tego typu ze względu na wysoką cenę nie są atrakcyjną propozycją dla firm z niewielkimi sieciami komputerowymi. Drugą grupę programów, mniej kosztownych, lecz nie wykonujących tylu skomplikowanych zadań administracyjnych, stanowią aplikacje do zdalnego zarządzania pojedynczymi systemami komputerowymi. Do tego celu można wykorzystać programy PC Anywhere, Remote Administrator lub Virtual Network Computing, czyli VNC. Ten ostatni ma kilka zalet, które go wyróżniają. Aplikacja działa w środowisku klient-serwer, co oznacza, że są dwie niezależne części oprogramowania: serwerowa, instalowana w systemie, do którego będzie uzyskiwany dostęp, oraz kliencka, umożliwiająca podłączanie się do serwera. Jedną
z największych zalet VNC jest jego wieloplatformowość. Są wersje pozwalające na zdalny dostęp do Linuksa, Macintosha, Windows, Solarisa i inne. Kolejną zaletę stanowi to, że jest on oferowany jako produkt bezpłatny (licencja GNU). Użytkownikom udostępnione są binarne wersje programów przeznaczonych do każdej z platform, a także źródłowy kod aplikacji. Dokumentacja do produktu jest publikowana na stronie internetowej online bądź można ją pobrać w pakietach ZIP, TGZ i TAR.Z. Następną użyteczną cechą jest to, że użytkownicy VNC nie muszą instalować żadnego oprogramowania. Wystarczy uruchomić jeden nieduży plik wykonywalny (vncviewer.exe) lub przeglądarkę internetową obsługującą Javę. Kogo nie interesuje zdalny dostęp za pomocą programu VNC, może skorzystać z funkcji Pulpit zdalny wbudowanej w Windows XP Professional. Usługa ta wykorzystuje protokół RDP (Remote Desktop Protocol) i technologię usług terminalowych oferowanych już w serwerze W2K. Klientem zarządzającym zdalnie XP może być jeden z następujących systemów: Windows 9X, NT, 2000, Me i XP. Ponieważ protokół RDP pozwala na wymianę informacji przez dowolne połączenie oparte na protokole TCP/IP, dostęp do pulpitu ze stacji roboczej może być uzyskiwany i przez sieć lokalną, i przez WAN. Trzeba jedynie dysponować skonfigurowanym
i działającym połączeniem VPN lub Dial-up. Jedną z zalet zdalnego pulpitu jest umożliwianie dostępu do lokalnych zasobów serwera. Na przykład administrator podłączający się do zdalnego komputera może korzystać z drukarki znajdującej się lokalnie przy jego komputerze lub z drukarki podpiętej do serwera. Dotyczy to również schowka, portów, systemu plików oraz urządzeń audio. Użytkownicy uzyskują zdalny dostęp do systemu, posługując się oprogramowaniem klienckim dostarczanym na płycie instalacyjnej Windows XP Professional. Windows XP zawiera również oprogramowanie zapewniające komunikację przez interfejs WWW. Aby z niego skorzystać trzeba mieć zainstalowane podłączanie pulpitu zdalnego w sieci Web, funkcję dostępną w dostarczanym z XP serwerem WWW (Panel sterowania | Dodaj lub usuń programy | Dodaj/Usuń komponenty systemu Windows | Internetowe Usługi Informacyjne | Usługa World Wide Web).
Usuwanie awarii
Sieć komputerowa to grupa wzajemnie połączonych komputerów, mogących wymieniać informacje. Do poprawnego działania niezbędna jest współpraca takich elementów, jak okablowanie, urządzenia aktywne, karty sieciowe i oprogramowanie. Każde z nich to potencjalne źródło awarii. Awarie okablowania zdarzają się sporadycznie. Najczęściej nie jest to fizyczna usterka nośnika, ale np. rozłączenie kabla czy przypadkowe wyjęcie wtyczki z komputera. W takim przypadku naprawa jest szybka i łatwa. Gdy jednak dochodzi do uszkodzenia bądź przerwania kabla pojawia się poważniejszy problem. Urządzenia aktywne sieci komputerowych, takie jak koncentratory, przełączniki czy routery, również rzadko ulegają uszkodzeniu. Nie należy ich jednak pomijać podczas diagnozowania sieci. Pozostałe źródła braku komunikacji, czyli awarie kart sieciowych oraz wadliwie skonfigurowane oprogramowanie, zdarzają się najczęściej. W celu odnalezienia przyczyny kłopotów należy się posłużyć prostą techniką eliminującą kolejno każde z wyżej wymienionych źródeł. Pierwszym
i najważniejszym zadaniem jest rozpoznanie symptomów awarii. Należy odpowiedzieć na następujące pytania: Co działa, a co nie? Czy na przykład nie działa tylko poczta internetowa, czy nie możesz również otwierać stron WWW? Jakie pojawiły się komunikaty o błędach? Czy zmieniono jakieś ustawienie, zanim sieć przestała działać? Jak jest skonfigurowany firewall (jeśli znajduje się w sieci)? Pytania te mogą dotyczyć pracy naszego komputera, ale również komputerów użytkowników zgłaszających problemy. Regułą jest, że diagnostykę sieci zaczyna się od wykorzystania polecenia IPCONFIG (systemy NT, W2K, XP) albo WINIPCFG (dla Windows 9x). IPCONFIG działa z poziomu wiersza poleceń, wypisując aktualną konfigurację protokołu TPC/IP, WINIPCFG zaś to mały program wyświetlający podobne informacje w osobnym oknie w Windows. Rozpoczęcie procedury testowania od tych poleceń daje możliwość zapoznania się z aktualnymi ustawieniami protokołu TCP/IP. Ma to niebagatelne znaczenie wtedy, gdy komputer wykorzystuje adresowanie dynamiczne, czyli oparte na protokole DHCP lub - rzadziej - BOOTP. W wypadku adresowania statycznego, gdy komputer ma przypisane adresy na stałe, możesz je łatwo znaleźć we właściwościach TCP/IP. Jeśli otrzymujesz adresy przez DHCP, może się zdarzyć, że przydzielający je komputer z różnych powodów nie spełnił swojego zadania (np. był wyłączony lub wyczerpał limit adresów do przydziału). W takim przypadku stacje albo nie będą miały przypisanych adresów (w Windows 95 i NT w polu adres IP pojawi się 0.0.0.0), albo przydzielą sobie te adresy same (w Windows 2000, XP i 98 adres IP będzie zawierał wartość rozpoczynającą się od 169.254.xxx.yyy). Jeśli wydanie polecenia IPCONFIG wyświetli tylko napis "Konfiguracja IP systemu Windows" i nic poza tym, należy sprawdzić, czy są i zostały włączone połączenia sieciowe w folderze Połączenia sieciowe. Po ustaleniu własnego adresu IP można rozpocząć kolejne testy. Teraz pora na polecenie PING. Dzięki niemu szybko się zorientujemy, w którą stronę powinny zmierzać dalsze działania. PING wysyła do wskazanego w parametrze komputera żądanie odpowiedzi (echa). Potwierdzenie otrzymania lub nieotrzymania echa jest wyświetlane użytkownikowi. Najczęściej przekazywane przez PING komunikaty to: "Odpowiedź z adresu IP...", "Upłynął limit czasu żądania" lub "Host docelowy jest nieosiągalny". Każda z odpowiedzi zawiera cenne dane. Rezultat typu: "Odpowiedź z 212.191.200.48: bajtów=32 czas=17ms TTL=122" informuje, że pingowany host działa i odpowiedział w ciągu 17 milisekund (wartość TTL określa, jak długo pakiet może krążyć w sieci; dla systemów Windows NT/2000/XP domyślnie wynosi 128). Z kolei: "Upłynął limit czasu żądania" oznacza, że testowany host nie odpowiedział w określonym czasie (dla Windows XP domyślnie to 4 sekundy). Taki komunikat wskazuje najczęściej, że komputer, który był odbiorcą pakietu, nie jest obecny w sieci lub połączenie z nim nie może zostać nawiązane (np. przerwa
w okablowaniu). Jeśli chcesz zwiększyć czas odpowiedzi, wydaj polecenie PING z parametrem -w. Komunikat "Host docelowy jest nieosiągalny" oznacza, że nie można określić trasy (drogi) pakietu do celu. W tym wypadku przyjrzyj się polu Domyślna brama (w parametrach protokołu TCP/IP) i sprawdź, czy jest tam wpisany poprawny adres routera. Potem należałoby ustalić poprawność wpisów
w tabelach routingu komputera lokalnego oraz routera. Gdy wskaźnik połączenia pokazuje brak łączności z siecią, należy sprawdzić okablowanie. Diagnoza poprawnego działania kabla łączącego poszczególne komputery nie jest niczym trudnym, jeśli mamy odpowiedni tester. Najczęściej, niestety, nie dysponujemy takim urządzeniem, a jego zakup na potrzeby małej sieci jest nieuzasadniony ekonomicznie. W takim wypadku pozostaje niezbyt skuteczna metoda prób i błędów. Jak sobie poradzić bez testera? Jak już wspomnieliśmy, dla kabla koncentrycznego wystarczy omomierz, a do sprawdzenia, czy kabel nie został przerwany - zwykła żaróweczka i płaska bateria. W przypadku skrętki pozostaje kontrola, czy kabel został wykonany poprawnie. W sieciach 10 i 100 Mb/s do przenoszenia informacji służą dwie pary drutów: 1 i 2 oraz 3 i 6. Należy sprawdzić, czy ktoś się nie pomylił i nie "zacisnął" kabla inaczej. Usterki urządzeń aktywnych nie są częste, ale należą do trudniej wykrywalnych. Jeśli mamy mało sprzętu do testów, pozostaje wykorzystać wbudowany w niektóre
z tych urządzeń SELF-TEST lub dostarczany przez producenta program monitorujący pracę. Gdy mamy prosty, niezarządzalny koncentrator, możemy go na próbę wymienić lub przełożyć kabel do innego, nie budzącego wątpliwości gniazda. Na pocieszenie pozostaje informacja, że tego typu sprzęt najczęściej albo działa, albo nie. Karty sieciowe są bardziej zawodne, a czas bezawaryjnej pracy
w dużej mierze zależy od producenta. Warto mieć pod ręką zapasową kartę, wówczas usunięcie awarii potrwa krócej. Należy pamiętać jednak, że karta sieciowa jest sprzętem ściśle współpracującym
z oprogramowaniem i brak komunikacji nie musi być spowodowany jej fizycznym uszkodzeniem. Od czego zacząć testy? Po pierwsze sprawdzić, czy na karcie świeci dioda LINK. Jeśli tak, to sama karta działa. Po drugie, koniecznie zastosować oprogramowanie diagnostyczne dostarczone przez producenta. Znajduje się ono na nośniku dołączonym do karty (najczęściej dyskietka). Gdy nie mamy nośnika, musimy pobrać program ze strony internetowej producenta.
Przeczytaj podobne teksty
Czas czytania: 105 minut
Treść zweryfikowana i sprawdzona
Zgodnie z misją, Redakcja serwisu dokłada wszelkich starań, aby dostarczać rzetelne i sprawdzone treści edukacyjne.
Dodatkowe oznaczenie "Sprawdzona treść" wskazuje, że dany materiał został zweryfikowany przez Redakcję lub ekspertów współpracujących z serwisem.
Weryfikacja tekstu odbywa się na następujących poziomach:
1. Sprawdzenie tekstu pod kątem ewentualnych błędów ortograficznych, stylistycznych, interpunkcyjnych lub innych.
2. Weryfikacja tekstu pod kątem błędów rzeczowych.
3. Sprawdzenie materiału pod kątem ich aktualności.
Dodatkowe oznaczenie "Sprawdzona treść" wskazuje, że dany materiał został zweryfikowany przez Redakcję lub ekspertów współpracujących z serwisem.
Weryfikacja tekstu odbywa się na następujących poziomach:
1. Sprawdzenie tekstu pod kątem ewentualnych błędów ortograficznych, stylistycznych, interpunkcyjnych lub innych.
2. Weryfikacja tekstu pod kątem błędów rzeczowych.
3. Sprawdzenie materiału pod kątem ich aktualności.