rootHQ

• Kezdőlap
• Elérhetőség

Menü

• Elméleti háttér
• Hálózatunkról
• Szerverekről
• Szolgáltatásokról
• Ha valami nem megy

Hírek

• Már IPv6-al is!
• Pluto HDD hiba
• Csatlakozás NIIF-re optikán
• Megújult Alexandra

Leírások

• Gepiro
• VLAN 802.1Q Etherchannel
• Levelezőkliens beállítása

• Mind

Linkek

• www.szikszi.hu
• www.cisco.com
• www.alliedtelesyn.com

Elméleti háttér

Mi az a LAN:

A LAN (Local Area Network) kis kiterjedésű, többnyire egy épület (pl. iskola) vagy fizikailag egymáshoz közel lévő számítópék közötti összeköttetés.
A gépek közötti maximális távolság a fizikai közegtől függ. Nézzük hogy is van ez a 802.3u (fast Ethernet) és a 802.3z (gigabit Ethernet) esetén.

A gyors Ethernet eredeti kábelezése:

Megnevezés	Kábel	Max. szegmenshossz	Megjegyzés
100Base-T4	sodrott érpár	100 m	3-as kategóriájú UTP
100Base-TX	sodrott érpár	100 m	Duplex 100Mb/s (5.kat. UTP)
100Base-FX	fényvezető szál	2000 m	Nagy távolságra, duplex 100Mb/s

A gigabites Ethernet kábelezése:

Megnevezés	Kábel	Max. szegmenshossz	Megjegyzés
1000Base-SX	fényvezető szál	550 m	Többmódusú fényvezető szál (50 vagy 62,5 mikron)
1000Base-LX	fényvezető szál	5000 m	Egy- vagy többmódusú fényvezető szál (50 vagy 62,5 mikron)
1000Base-CX	2 pár STP	25 m	Árnyékolt, sodrott érpár
1000Base-T	4 pár UTP	100 m	Szabványos 5-ös kategóriájú UTP

Repeater, hub, switch (kapcsoló), router, access point? Mik ezek?

A repeater (jelismétlő) az OSI modell 1. (fizikai) rétegében működik. Az eszköz az egyik porton beérkező jeleket visszaállítja az eredeti jelszintre és kiküldi a másik portra.
Erre az eszközre igaz minden negatív dolog ami a hub-okra.

A hub egy több portos jelismétlő. Szintén az OSI modell 1. rétegében működik. Az egyik portjára beérkező jeleket visszaállítja az eredeti jelszintre és kiküldi az összes portjára, kivéve azt, melyről érkezett.
Az eszköz használatától a hálózati szakemberek tartózkodnak. Ennek oka a műdödési elvben keresendő.
Egy adott felhasználó hálózati forgalmát továbbítja az összes felhasználó felé.
Ez egyfelől komoly biztonsági probléma, hiszen a megfelelő eszköz (program) segítségével ez a forgalom figyelhető, elemezhető, így olyan információkhoz juthatunk, melyeket más nem szeretne közzétenni. Másfelől a rendelkezésre álló sávszélességgel sem takarékoskodik ez az eszköz.

Gondoljunk csak bele, ha egy felhasználó egy másiktól elkezd másolni valamit ezután ezt még két felhasználó megteszi... Ilyenkor rengeteg ütközés jön létre. Az ütközéseket fel kell oldani. Ehhez megint csak sávszélességre és időre van szükség. Egy idő után eljuthatunk oda, hogy a felhasználói adatok továbbítására használt szávszélesség drasztikusan lecsökken.

A switch vagy kapcsoló az OSI modell 2. (adatkapcsolati) rétegében működik. Az eszközök MAC (fizikai) forráscímek alapján hozzák meg azokat a döntéseket, melyekkel a beérkezett kereteket továbbítják.
A kapcsoló rendelkezik egy tartalom szerint címezhető memóriával. Ezt képzeljük el úgy, mint egy táblázatot.
Ennek a táblázatnak két oszlopa van. Az egyikben a MAC cím, a másikban annak a portnak az azonosítója található, melyen keresztül az adott MAC címmel rendelkező eszköz elérhető. Ezt a táblázatot a beérkező keretekből kinyert MAC forráscímmel és port azonosítóval tölti fel az eszköz. Ezután ha keretet kell továbbítani erre a címre, a kapcsoló a tartalom szerint címezhető memóriában kikeresi, hogy mely porton kell továbbítani, majd erre a portra küldi a keretet.

És miért jó ez?
Azért, mert így a kapcsoló csak annak a gépnek küldi ki a keretet, akinek szól. Vagyis a kapcsoló fizikailag is, és logikailag is egy dedikált kapcsolatot hoz létre a két állomás között. Az ilyen dedikált kapcsolaton az eszközök ki tudják használni a szabvány nyújtotta lehetőségeket (10Mbps, 100Mbps vagy 1Gbps).

Még egy fontos dolgot meg kell említeni! A kapcsolókkal felépített duplex működésű hálózat ütközésektől mentes. Tehát nem kell olyan "apróságokra" felcserélni az értékes sávszélességet, mint pl. az ütközések feloldása.

Természetesen a kapcsolóknak kezelniük kell a szórási kereteket. Ezek a minden állomásnak szóló "adatok". Olyan információkat küldünk így, amiről minden gépnek tudomást kell szereznie.
Ilyenek többek között:
- az ARP kérések,
- a nebios névfeloldás kérések és netbios név hirdetések,
- a dhcp kérések.
A kapcsolók az ilyen kereteket minden portjukra kiküldik, kivéve azt, amelyen beérkeztek.

Itt meg kell említenem még egy eszközt, a bridge-t, vagyis a hidat. Az eszköz működése a kapcsolóéra hasonlítható. Egyetlen különbség az, hogy a hidak többnyire két, míg a kapcsolók nagy számú porttal rendelkeznek.
A hidakat szegmentálásra és különbözű típusú hálózatok összeköttetésére használhatjuk. Napjainkban azonban ez már nem jellemző, mert ezt a munkát inkább a kapcsolókra bízzuk.

A router másnéven forgalomirányító az OSI modell 3. (hálózati) rétegében tevékenykedik. Ebből kifolyólag a döntéseit a 3. rétegbeli logikai (IP hálózat esetén IP) cím alapján hozzák meg. Ennél is pontosabban a beérkező csomagok logikai célcíme alapján. Tehát nem az alapján, hogy honnan érkezik. Pusztán az alapján, hogy hová tart.
A hálózatok és az Internet fejlődése során a leggyakrabban használt irányított protokol az IP később az IPv6 lett. Ennek több oka is van, amit most nem kívánok részletezni. Legyen elég annyi, hogy nyílt szabványú, kis adminisztrációs költségű.

Nincs ez máshogy a Közgében sem. A legfontosabb irányított protokoll itt is az IP (Internet Protocol). Tehát ne is fecséreljük másra a szót!
Nézzük hogy működik az IP forgalomirányítás! Az IP forgalomirányítók meglepő módon az IP célcím alapján hozzák meg a döntéseiket. Nagyon egyszerűen. Nézzünk egy példát!

Adott egy hálózat. Benne két alhálózat és egy forgalomirányító. A fogalomirányító egy-egy hálózati kártyával (eth0 - eth1) csatlakozik mindkét alhálózathoz. Az egyik alhálózat 192.168.1.0/24 (255.255.255.0) - eth0 , a másik 192.168.2.0/24 (255.255.255.0) - eth1.

A router irányítótáblája lényegretörően így néz ki:
192.168.1.0/24 dev eth0 src 192.168.1.1
192.168.2.0/24 dev eth1 src 192.168.2.1

Nézzük mit jelent ez!
A 192.168.1.0/24 a hálózatot jelöli, a dev eth0 azt, hogy melyik kártyán keresztül érhető el, az src 192.168.1.1 pedig azt hivatott megmutatni, hogy mi ennek a kártyának az IP címe. Tehát a router a 192.168.1.0 hálózathoz az eth0-n keresztül ismer útvonalat.

Ha beérkezik egy csomag az eth0-n 192.168.2.123 célcímmel, akkor a forgalomirányító azt az eth1-re küldi ki. Ha beérkezik egy másik csomag (esetleg egy válasz) az eth1-n 192.168.1.200 célcímmel, akkor a forgalomirányító azt az eth0-re fogja irányítani.

Azt hiszem ezt most elég is. Egy másik helyen ennél részletesebben be fogom mutatni a forgalomirányítók és az irányító protokollok működését, valamint az IP forgalomirányítást.

Mi is ez a mostanában olyan sokat emlegetett Access Point (AP)? Az AP nem más mint egy híd, melyben van egy vezetékes (wired) és egy vezeték nélküli (wireless) interface. A híd a két interface között végez "kapcsolást".

FONTOS: Mielőtt bárki azt hinné hiányos a felsorolás, mert már látott olyan eszközt ami mást csinált, az téved. Az ilyen olcsó, 10-20.000 Ft-ért kapható eszközök magukban foglalnak több funkciót is, melyeket az egyszerű kezelhetőség érdekében "elrejtenek". Ettől még az eszköz nem működik mondjuk a 2,5. OSI rétegben, mert ilyen nincs is. Csak a gyártók próbálják könnyen üzembehelyezhetővé, felhasználóbaráttá tenni a termékeiket. Ezért van az, hogy soksor nem olyan egyértelmű mit és hogyan csinálnak.

Na ezzel megvagyunk. Akkor nézzük mit is lehet csinálni ezekkel az eszközökkel. Mire képesek mondjuk a napjaink hálózatának legfontosabb építőelemei, a kapcsolók?
Többre mint elsőre gondolnánk! Ezek a termékek már régen nem annyit csinálnak, hogy bedugjuk a kábel egyik végét a kapcsolóba, a másik végét a számítógépbe, aztán ha ezt többször ismételjük, akkor a gépek "látni fogják egymást". :)

Gyakorlati használat

Nézzük akkor mit is tudnak a kapcsolók!

- A kapcsolókon használt VLAN-okkal és a port security-vel magas fokú biztonság valósítható meg.
- Növelhető a kapcsolatok megbízhatósága redundáns útvonalak létrehozásával.
- Feszítőfa protokollal (Spanning Tree Protocol) el tudjuk kerülni a szórási viharokat.
- A kapcsolókat kedvünk szerint állitgathatjuk, akár a világ másik végéről. Még választhatunk is! Telnet (esetleg ssh) és web-böngésző között, ki mit szeret...

Mik azok a VLAN-ok?
A VLAN vagyis Virtual Local Area Network a kapcsolókon konfigurált virtuális hálózat. Feladata az egyes portok logikai, vagy fizikai hovatartozásuk szerinti "csoportosítása". A kapcsoló nem továbbít semmilyen forgalmat a VLAN-ok között, tehát az ilyen csoportba szervezett gépeknek egymásról semmilyen tudomása nincs. A VLAN-ok közötti forgalmat 3. rétegbeli eszközzel van lehetőség irányítani. Itt viszont már komplex feltételek alapján tudjuk meghozni az irányítási döntéseket, ebből adódik a magas fokú biztonság.
Ennél kicsit összetettebb a VLAN használata és működése is. Erről majd egy másik leírásban lesz szó.

Egy másik eszköz a kezünkben a port security. Ezzel lehetőségünk van arra, hogy szabályozzuk a kapcsoló portjaihoz való hozzáférést.

Hogyan működik a port security?
A kapcsolótáblánál már szó esett a fizikai címek tanulásáról. Ezt már csak kombinálni kell egy kicsit. Lehetséges az, hogy figyeljük a bejövő keretek forrás MAC címét. Lehetőség van arra is, hogy számoljuk, hány MAC címet ismert meg a kapcsoló az adott porton. Innen már csak egy lépés a számláló maximális értékének beállítása, valamint annak az eseménynek a beállítása, hogy mi történjen ha a számláló ezt túllépi.

Nézzünk egy példát!
A hálózat tervezésekor eldöntjük, hogy a kapcsoló 22-es portjára egy web-szerver fog csatlakozni. A kapcsoló üzembehelyezésekor beállítjuk, hogy a 22-es porton egy (azaz 1 db) cím legyen megismerhető. Eseménynek ebben az esetben célszerű leállítást választani, hiszen egy szerverről van szó. Ha valaki megpróbál a szerverünk helyére egy másik gépet dugni a kapcsoló leállítja a portot.
A port security használható arra is, hogy a szabadon hozzáférhető fali ajzatokat védjük. Beállítunk az adott porthoz egy MAC címet, ezután már nincs lehetőség arra, hogy a kapcsoló más címet tanuljon meg. Ezzel elkerültük azt, hogy valaki csatlakoztasson egy számítógépet és jogtalanul használja a hálózatot.

Miért szükséges a feszítőfa protokoll (Spanning Tree Protocol - STP)?
Az STP fizikailag létező redundáns útvonalakkal rendelkező hálózaton teszi lehetővé, hogy miden cél csakis egy útvonalon legyen elérhető.

Miért szükségesek a redundáns útvonak egy hálózatban és egyáltalán mit jelent a redundáns szó?
Először talán nézzük a kérdés második felét. A redundanciáról akkor beszélünk, ha valamiből a szükségesnél többel rendelkezünk. Erre azért van szükség, mert az esetleges fizikai közeg (kábel) sérülések esetén is működőképes a hálózatunk.

Emlékezzünk, hogyan működik a kapcsoló. A portjára beérkező szórási célcímmel rendelkező keretet az összes portjára kiküdi azt, kivéve amiről érkezett.

Nézzünk egy egyszerű példát!
Az fa1 (FastEthernet1)-hez kapcsolódó számítógép szórási célcímre küld egy keretet.
Ezt a KAPCSOLO1 a szabály szerint továbbítja KAPCSOLO2-nek és KAPCSOLO3-nak.
A KAPCSOLO2 továbbítja KAPCSOLO3-nak. A KAPCSOLO3 pedig tovabbitja KAPCSOLO2-nek. Majd ezek újfent továbbítják KAPCSOLO1-nek, ami a KAPCSOLOA2-től érkező keretet továbbítja KAPCSOLO3-nak és az fa1-re kapcsolódó számítógépnek. A KAPCSOLO3-tol érkező keretet pedig KAPCSOLO2-nek és a számítógépnek. Így a hálózatunkon elindul egy végtelen keringés. Ezt hívjuk szórási viharnak (broadcast storm), ami felemészti mind a kapcsoló, mind a számítógép erőforrásait. A hálózat a létrejövő szórási vihartól lelassul, majd pár másodpercen belül leáll.

Az STF protokol használatakor a kapcsolók a redundáns útvonalak létezése miatt keletkező szórási vihar elkerülésére gyökérponti kapcsolót választanak.
A gyökérponti kapcsolónak az a kapcsoló lesz választva, amely kisebb BID-del rendelkezik. Az ilyen 8 bájtos BID két részből áll, egy 2 bájtos kapcsoló prioritásból és a kapcsoló 6 bájtos fizikai címéből. Az ilyen BID-ek terjesztése BPDU-ban (Bridge Protocoll Data Unit) történik.
Az összes kapcsoló prioritása alapértelmezés szerint 32 768. Ebből kifolyólag az a kapcsoló kerül megválasztásra, ami kisebb fizikai címmel rendelkezik. A választásba beleszólhatunk a prioritás állításával. Értelemszerűen, ha kisebb prioritást állítunk egy kapcsolónak és a többinek marad az alapértelmezett, akkor a kisebb prioritású lesz megválasztva gyökérponti kapcsolónak.

A választás után a gyökér kapcsoló minden szegmenséhez kapcsolódó portja "kijelölt port" lesz. A nem gyökér kapcsolók "kijelölt port" felöli szegmensen lévő portja "gyökér port" lesz. Azon a szegmensen ahol nincs "kijelölt port", ott a kisebb fizikai című interfész lesz a "kijelölt port", a másik pedig "nem kijelölt".

Tehát három fajta port van:
Kijelölt port
Gyökérport
Nem kijelölt port

A kijelölt portokon és a gyökérportokon továbbítódnak felhasználói adatok és BPDU-k. A nem kijelölt portok lezárt állapotba kerülnek. Ezeken csak a BPDU-k kerülnek továbbításra. Ha egy kapcsolat meghibásodik (nem érkezik a szomszédtól BPDU), a feszítő fát újra kell számolni.

Az STP működéséről nem áll szándékomban részletes leírást adni.

A kapcsolók programozására rendelkezésünkre álló felületek
Na és mindezt hogy tudjuk beállítani?! Hogyan lehet programozni egy kapcsolót? A kapcsolók saját operációs rendszerrel rendelkeznek. Ezen keresztül tudunk mindent beállítani. A kapcsolók rendelkeznek egy konzol porttal. Erre a portra csatlakoztatott számítógéppel és egy terminál emulációs programmal (minicom, hyper terminal) elvégezhető minden beállítás.
Többek között IP cím rendelhető az eszközhöz. Ezután már telnettel, ssh-val, esetlegesen web-es felületen is végezhetjük a dolgunkat.