5 Mrezni hardver 2< Na savremeni Zivot najvige utitu mogucnosti brzog premestanja velikih koli¢ina podataka. Sada smo globalno povezani takvim vezama kakve ni najzagrizeniji oboZa- vaoci nauéne fantastike do pre nekoliko godina nisu mogli ni da zamisle. Iza svega stoji moan mreZni hardver i— pogadate i sami —gomila alatki zaéeta u dubokim, tamnim pecinama Unixa. Biti u toku sa tim ovim novotarijama, predstavija izazov. Brzina i pouzdanost mrefe direktno uticu na produktivnost organizacije. Loge projektovana mreda sramoti i administratora i organizaciju, a njena popravka moze i mnogo da kosta. UspeSnoj instalaciji mreze doprinose barem tri inioca: + Smislen projekat mreze + Izbor visokokvalitetnog hardvera + Ispravna instalacija i potpuna dokumentacija Unekoliko prvih odeljaka ovog poglavija govorimo o medijima koji se uobiéajeno koriste u Jokalnim i regionalnim mregama, ukjjuéujuci Ethernet, ATM mrede, Frame Relay i DSL mreze. Zatim éemo obraditi detalje projektovanja koji su zajednicki svim mreZama, starim i novim. 15.1 LAN, WAN iL! MAN? Radujemo se, u izvesnom smislu, sto protokol TCP/IP moie lako da radi na razliéitim tipovima mreza, $ druge strane, tr2i8te mrednog hardvera iscepkano je razligitim kla~ siftkacijama na niz zbunjujuéih delova. 327328 15.2 Linux:priruénikza administratore Mreie koje obuhvataju jednu ili vise zgrada obigno se nazivaju lokalne mreze (engl. Local Area Network, LAN). U njima preovladuju jeftine sirokopojasne veze. Regionalne mreze (engl. Wide Area Network, WAN) povezuju geografski udaljena podrugja, modda i na razdaljini od vite hiljada kilometara. U tim mrezama, velika brzina prenosa mnogo kosta, ali skoro da nema ograniéenja u pogledu lokacija koje u Belgiji do Enkoridza na Aljasci!). MAN je tele- komunikaciona marketinska skracenica za Metropolitan Atea Network, izraz koji oznagava Sirokopojasnu mrezu s pristupnim medijima umerene cene, koja se koristi unutar gradskog podrugja ili podrudja grupe gradova. U ovom poglaviju razmatramo neke tehnologije pomocu kojih se pomenute mreze realizuju. ETHERNET: OBICNA LOKALNA MREZA Buduéi da je osvojila vie od 80% svetskog triista lokalnih mreza, tehnologija Ethernet mreza moje se nai gotovo svuda. Ona se rodila iz diplomskog rada Boba Metcalfa na Masacusetskom institutu za tehnologiju. Bob je diplomirao i zaposlio se u Xeroxovom istraZivackom centru u Palo Altu (Xerox PARC). U saradnji sa DEC-om i Intelom, Xerox je konagno od Etherneta napravio komercijalan proizvod. To je bio jedan od prvih slu- éajeva da su se konkurentske racunarske kompanije okupile oko zajednitkog projekta.! Prvobitno je zamisljeno da Ethernet radi brzinom od 3 Mb/s (megabita u sekundi), ali je gotovo odmah ta brzina povecana na 10 Mb/s, Mreda je razvijena na Xeroxovom sistemu Alto, koji nije imao dovoljno prostora na ploti za ugradnju spoljnog éasov- nika. Ethernet interfejs je morao da koristi interni éasovnik sistema Alto, Sto znaéi da je brzina u mrezi morala da bude 2,94 Mb/s. To je zaokruzeno na 3 Mb/s. Metcalfe i drugi koji su tih ranih dana razvijali arhitekturu ARPANET-a, suprotstavijali su se tom zaokruvivanju jer je greska bila veca od citavog propusnog opsega ARPANET-a, ali je na kraju ipak pobedio marketing. Ethernet je odrastao tokom osamdesetih, u vreme kada su mnogi operativni sistemi, ukljucujuci Unix, takode sticali osnovna iskustva sa wmrezZavanjem i ,upoznay medusobno. Kada je dostigao svoje tinejdzersko doba, Ethernet je bio spreman za pri- menu, On je 1994. privukao paénju, kada je standardizovan na 100 Mb/s. Kada je 1998. napunio 19 godina, bio je spreman za novu trku — brzinom od 1 Gb/s. Danas veé odra- stao, u svojim dvadesetim godinama, Ethernet stremi novoj granici od 10 Gb/s, ostav= Ijajudi sve svoje konkurente daleko iza sebe.” U tabeli 15.1 prikazan je razvoj razli¢itih Ethernet standarda.’ Kako radi Ethernet Ethernet se mo%e uporediti sa skupom vaspitanih gostiju (raéunara) na zajedni¢koj veéeri koji ne upadaju jedan drugom u ret, ve¢ éekaju da razgovor utihne (da prestane saobracaj na kablu) da bi i oni nesto rekli, Ako dva sagovornika istovremeno poénu da govore (sukob), oba prestaju, izvine se jedan drugom, malo saéekaju, a zatim jedan od njih potne ponovo da govori. 1. Bob Metcalfe je formulisao i ,,Metcalfov zakon,* koji tvrdi da se vrednost mreze eksponencijalno pove- éava s brojem korisnika. 2. Predvida se da ée terabitni Ethernet biti u najiroj upotrebi 2008! 3. Lzostavili smo nekoliko Ethernet standarda koji nisu stekli popularnost, kao sto su standardi 100BaseT4 i L00BaseVG-AnyLAN.Poglavije 15 _ Mrezni hardver 329 Tabela 15.1 Evolucija Etherneta “Godina Brzina Popularnoime IEEE# — Razdaljina Medij if 1973, 3Mb/s Xerox Ethernet - ? Koaksijaini kabl 1980. 10Mb/s Ethernet 1 - 500m kablRG-11 : 1982. 10Mb/s_ DIX Ethernet (Ethernet I) ~ 500m ijalni kabl RG-11 1985. 10Mb/s_10Base5 (,Debeli 8023 500m Koaksijalni kabl RG-17 Ethernet’) 1985. 10Mb/s 10Base2 (.Tanki 8023 180m Koaksijalni kabl RG-58 Ethernet") 1989, 10Mb/s_ 10BaseT 8023 100m Bakarna UTP* kategorije 3 1993. 10Mb/s 10BaseF 3023 _2km Opticki MM kabl 25km Optizki SM kabl 1994. 100Mb/s 100BaseTX(.100meg") 802.3u 100m Bakarna UTP Zica kategorije 5 1994, 100Mb/s 100BaseFx 8023u 0 2km Optigki MM kabl 20km Optigki SM kabl 1998. Gb/s 1000BaseSX 20232 260m Opticki MM kabl od 62.5 um 550m Opticki MM kabl od 50 um 1998 1Gb/s 1000BaseLX 80232 440m Optigki MM kabl od 62.5 um 550m Opticki MM kabl od 50 ym 3km 1998. 1Gb/s 1000BaseCx 80232 25m Twinax 1999, 1Gb/s —1000BaseT (,Gigabit") 802.3ab 100m Bakarna UTP Zica kategorija SEI6 2001. 10Gb/s 10GbE(,10Gigabit’) 802.3ae 65m Optiki MM kabl 40 km Opticki SM kabl @. Neoklopliena upredena parica b. Videmodni (MM) 'jednomodni (SM) opticki kabl Tehnieki izraz za ovakvo ponaganje je CSMA/CD: + Carrier Sense (opazanje saobra¢aja): utvrdivanje da li neko na mredi ,govori". + Multiple Access (vigestruki pristup): svakome je dozvoljeno da govori. + Collision Detection (otkrivanje sukoba): kada nekoga prekinete, o tome dobijate informaciju. Pauza posle otkrivanja sukoba u izvesnom smislu je proizvoljna. Tako mozete da izbegnete situaciju u kojoj dva racunara koja istovremeno poénu da emituju, otkriju sukob, sagekaju isti period i ponovo istovremeno potnu da emituju preplavijujudi mrezu sukobima. Sukobljavanje ponekad ipak neéete uspeti da izbegnete! Topologija Etherneta U topoloskom smislu, Ethernet je razgranata magistrala bez peti; izmedu dva raéu- nara na istoj mrezi paket moze putovati samo jednom putanjom. Ethernet ima meha- nizam za razmenjivanje tri viste paketa na segmentu mreze: usmerene (engl. unicast), grupne (engl. multicast) i neusmerene (engl. broadcast) pakete. Usmereni paketi su adresirani samo na jedan raéunar, grupni paketi su adresirani na grupu raéunara, a neusmereni paketi se Salju svim racunarima na segmentu.330 Linux: priruénik za administratore »Domen za neusmereno (difuzno) emitovanje' je skup raéunara koji primaju pakete upuéene na hardversku adresu za neusmereno emitovanje, a za svaki logicki segment Etherneta postoji samo jedan takav domen. U prvim Ethernet standardima i medijima (npr. 10Base5), fizicki i logicki segmenti su se poklapali posto su svi paketi putovali jedinstvenim kablom za koji su bile ,prikaéene* mrezne kartice pojedinih raéunara.t Slika A Vaspitano Ethernet drustvance Zahvaljujuci modernim skretnicama, danaénji logigki segment obigno se sastoje od mnogih (verovatno desetina i stotina) fizi¢kih segmenata za koje su prikljuéena samo dva uredaja: skretnica (engl. switch) i racunar. Skretnice su zaduzene da grupne i usmerene pakete sprovedu do fizitkih segmenata na kojima se nalazi primalac; neu- smereni saobracaj se propusta do svih prikljucaka u logi¢kom segmentu mreze. Pojedinagan logicki segment moze da se sastoji od fizitkih segmenata koji rade razli¢itom brzinom (10 Mb/s, 100 Mb/s, | Gb/s ili 10 Gb/s); da bi se izbegli potenci- jalni sukobi, skretnice moraju imati privremeno memorijsko skladiste (bafer) i vre~ menski uskladivati pakete. Neoklopljena upredena parica NeoKlopliena upredena parica (engl. unshielded twisted pair, UTP) predstavlja najpo- eljnija je vrsta kabla za Ethernet. Ona je prilagodena topologiji zvezde i ima vise prednosti nad drugim medijima: Kabl se sastoji od jeftine, lako dostupne bakarne Zice. (Ponekad se moze iskori- stiti i postojeca telefonska mreza.) UTP kabl se mnogo lake instalira i proverava nego koaksijalni ili opti¢ki kabl. Duzina kabla se lako pode’ava. UTP kabl koristi konektore RJ-45, koji su pouzdani, jeftini i lako se instairajus Veza ka svakom raéunaru je nezavisna (i privatna!), tako da problem s kablom_ na jednoj vezi najverovatnije ne¢e uticati na druge racunare na mredi. 4. Upravo takot Za prikljuéivanje novog ratunara trebalo je kroz zaititnu koSuljicu kabla provrteti owvor specijalnom busilicom da bi se dosegao centralni provodnik, Zatim je na spolini provodnik kaven ,vampirski prikljucak*Poglavije 15 Mrezni hardver 331 Opiti,,oblik* mreze povezane UTP kablom prikazan je na slici B. SlikaB Mreza uspostavijena UTP kablom UTP skretnica Ka okosnici ” Stryjni prikljuzak Radna stanica Radha stanica Ethernet stampa UTP Zica koja se koristi u savremenim lokalnim mrezama obiéno se svrstava u jednu od osam kategorija. Sistem rangiranja performansi prvo je uveo Anixter, veliki proizvodaé kablova, Te standarde je formalno oblikovalo Udrudenje industrije teleko- munikacija (Telecommunications Industry Association, TIA) i oni su sada poznati kao kategorije | do 7, sa specijalnom kategorijom SE u sredini. Medunarodna organizacija za standardizaciju (International Organization for Standardization, ISO), takode je uskodila u uzbudljiv i profitabilan svet Klasifikacije kablova i zagovara standarde koji potpuno ili priblizno odgovaraju visim TIA katego- rijama, Na primer, kabl TIA kategorije 5 odgovara kablu ISO Klase D. Za tehnicke zaludenike, tabela 15.2 prikazuje glavne razlike izmedu danasnjih Klasifikacija kablova. Nije loge da te podatke zapamtite da biste ostavili utisak na prijatelje. Tabela 15.2 Karakteristike UTP kablova Parametar Kategorija5 KategorijaSE Kategorija6 Kategorija7 Klasa D® KlasaE KlasaF ‘Opseg ucestalosti 100 MHz, 100 MHz 7250 MHz 600 MHZ Slabljenje 2408 2448 21,7 6B 20848 Next? 27,1 dB 30,1 dB 39,9 dB 62,148 ACRE 3,1dB 6,148 18,208 413 dB ELFEXT? 17 0B 17,4 dB 23,2 dB a Povratni gubici 8dB 1008 12.08 14,1 dB KaSnjenje pri prenosu__548ns 548 ns 548 ns 504 ns ‘8, Obuhvata dodatne TA iSO zahteve, TSB95, odnosno FOAM 2 b, Preslubavanje na blizem kraj «, Odnos slabjenja prema preslusavani. 4d Presluavanj istog nivoa na udaljenom kraj Oval parametar je zasad nedefinisan i zahteva dalje proutavanje. Kablovi kategorije 1 i2 u praksi su pogodni samo za prenos govora (pa ni za to). Kabl kategorije 3 je minimum koji mofete da koristite u lokalnoj mrezi; on odgovara standardu 10BaseT za brzinu prenosa od 10 Mb/s. Kabl kategorije 4 je nesto kao siroge = nije posebno namenjen ni za jednu primenu. Ponekad se koristi u mreZama tipa332 Linux: priruénik za administratore ‘Token Ring brzine prenosa od 16 Mb/s ili za luksuzne 10BaseT instalacije, Kabl kate gotije 5 podrzava brzinu od 100 Mb/s i danas je najées¢i standard za kablovski p podataka. Kablovi kategorije 5E i 6 podrzavaju brzinu prenosa do 1 Gb/s. U vreme pisanja ove knjige nisu bile poznate primene za kabl kategorije 7, a nisu dovrseni ni aspekti tog standarda (npr. fizitki oblik konektora). Veze po standardu 10BaseT zahtevaju dva para provodnika kategorije 3, a svaka vera moie imati maksimalnu duzinu od 100 metara; standard 100BaseTX propisuje isto ogranigenje duzine, ali zahteva dva para provodnika kategorije 5. Postoje proved nici izolovani PVC-om i teflonom. labor izolacije zavisi od okruzenja u kome ée biti instaliran, Ako kabl treba provlatiti kroz postojecu infrastrukturu zgrade (npr. kroz ventilacioni sistem), najéeSée se bira teflonska izolacija.* PVC je jeftini se lakSe radi. => Vike informacija o oditavanju potradite na strani 342, Za prikljudivanje kabla koriste se RJ-45 konektori s povezanim izvodima 1, 2,316 Tako su za funkcionalnu vezu brzine 10 ili 100 Mb/s neophodna samo dva para dca, pri instaliranju nove mrege preporuéujemo da upotrebite kabl kategorije SE sa éetiri para ica i da povezete svih osam izvoda utitnice RJ-45. Za zavréavanje UTP kabla sa éetiri parice na kontrolnim tablama i zidnim utiéni- cama RJ-45 preporucujemo da koristite RJ-45 standard TIA/EIA-568A. Taj standard, koji je kompatibilan s drugim namenama konektora RJ-45 (na primer, RS-232), pogodan je naéin da uskladite oziéenje na oba kraja kabla, bez obzira na to da lilako mofete da pristupite paricama. Standard 568A detaljno je prikazan u tabeli 15.3. Tabela 15.3. Standard TIA/EIA-568A za povezivanje ¢etiri para UTP zica na uti¢nicu RJ-45 Par Boje Vezaneza . Par Boje Vezane za 1 bela/plava — Izvodi5/4 | «3——seela/zelena tevodi 1/2 2 bela levodi3/6 4 ~——_bela/braon levodi 7/8 narandzasta informacija o standardu RS-232 naéi éete na strani 95. Postojeée ozigenje u zgradi mote, ali i ne mora da odgovara potrebama mreie, u zavisnosti od toga kako je i kada instalirano. Povezivanje i progirivanje Ethernet mreza Ethernet mreze se mogu logitki povezivati u vie taéaka sedmoslojnog ISO mreznog modela. Na prvom, fizickom sloju, mozete da koristite hardverske konektore ili repet- itore, sada obiéno zvane razvodnici (engl. hubs). Oni direktno prenose signal, sli¢no dyema konzervama povezanim kanapom. Na drugom sloju, sloju veze, koriste se skretnice. Skretnice (engl. switches) prenose pakete koristeci hardverske polazne i odredisne adrese, kao kada biste isporucivali poruku u boci éitajuci samo etiketu na spoljnoj strani boce. 5, Referent za protivpozarnu zastitu prutiée vam vie podataka o zahtevima koje u pogledu toga morate da ispunite,Poglavije 15 Mregni hardver 333 Na treéem, mreZnom sloju, koriste se usmerivaéi. Usmerivati (engl. routers) upu- éqju poruku na sledeéi skok u zavisnosti od lokacije krajnjeg primaoca, sligno kao ada biste zagledali poruku u boci da biste utvrdili na koga je stvarno adresirana. Razvodnici i koncentratori Razvodnici (koji se nazivaju i koncentratori) aktivni su uredaji koji poveruju fizicke segmente UTP Ethernet mreza. Njima treba spoljna energija. Radeci kao repetitos, razvodnik vremenski uskladuje i rekonstituige Ethernet pakete, ali ih ne tumaci; on ne ma kuda paketi idu ni koji protokol koriste Dve najudaljenije tacke na mreai ne sme razdvajati vise od éetiri razvodnika. Verz~ ije 112 Etherneta dozvoljavale su najvise dva redno vezana razvodnika po mredi. Stan- dard IEEE 802.3 pomerio je ovu granicu na éetiri razvodnika za Ethernet mreze od 10 Mb/s. Ethernet mreze od 100 Mb/s dozvoljavaju samo dva repetitora, Ethernet mreze po standardu 1000BaseT dozvoljavaju samo jedan, a mreze 10GE uopste ne dopuitaju razvodnike. Slika C prikazuje dozvoljenu i nedozvoljenu konfiguraciju mreze od 10 Mb/s. SlikaC Izbrojte razvodnike Upravo koliko treba Treba vas kazniti Razvodnicima ponekad treba da pride administrator sistema, pa ih nemojte skri- vati po nepristupacnim mestima. Zaglavljen razvodnik moze da se oporavi iskljudi- vanjem i ponovnim ukjjucivanjem. Skretnice Skretnice (engl. switches) povezuju Ethernet mreze na sloju veze podataka (sloju 2) 1SO modela, Njihova svtha je da spoje dve razliite fizicke mreze na takav natin da igledaju kao jedna velika fizicka mreza. Radom skretnica ne upravlja softver, veé one prihvataju, regenerigu i ponovo Salju pakete hardverski.° Vecina skretnica koristi algo- ritam za dinamicko uéenje. One zapazaju koja izvorna adresa dolazi s kog prikljuéka. Paketi se prosleduju od jednog prikljuéka ka drugom samo ako je neophodno. Na podetku se prosleduju svi paketi, ali za nekoliko sekundi skretnica nauei lokacije ‘yeéine raéunara, pa pri slanju moze da bude odredenija. Posto se izmedu mreéa ne prosleduju svi paketi, svaki segment kabla je manje opterecen saobra¢ajem nego kada bi svi ragunari bili na istom kablu. Posto se komu- 6, Posto se paketi regenerisu i vremenski uskladuju, na mreze Koje iskljutivo koriste skretnice ne prime- nnjuje se ogranigenje broja repetitora, prikazano na slici C.334 Linux: priruenik za administratore ja najvecim delom obavija yu Jokalu', prividni propusni opseg mote naglo da poraste. Osim toga, posto prisustvo skretnice ne uti¢e na logi¢ki model mreze, skoro da nema administrativnih argumenata protiy njihove ugradnje. Skretnice se ponekad mogu zbuniti ako mreza sadrZi petlje. Nesporazum nastaje jer se paketi iz istog ra¢unara prividno pojavijuju na dva (ili vise) prikljuéaka skret- nica. Jedna Ethernet mreza ne moe da sadr¥i petlje, ali ako povedete vise takvih mreza pomocu skretnica i usmerivaéa, u topologiji se moze pojaviti viSe putanja do istog odredista, Neke skretnice mogu ovakvu situaciju da prevazidu tako sto alternativne putanje Cuvaju u rezervi za sluéaj da otkaze primarna putanja. One suzavaju pogled na mreiu sve dok ne vide samo mrezZu sa po jednom putanjom do svakog évora. Neke skretnice mogu da rade i sa udvojenim vezama izmedu dve mreze usmeravajuci sao- bra¢aj cikliéno. Skretnice su sve pametnije sto je vise funkcionalnosti ugradeno u njihov upr: vijacki softver. Neke od njih mogu se koristiti za nadgledanje bezbednosti na mreii. One beleze nepoznate adrese na Ethernetu, otkrivajudi i izvestavajuci o svakom novom racunaru. Posto rade u mreZnom Ethernet sloju, skretnice ne zavise od pro- tokola i mogu da obrade sve vrste paketa visokog nivea (na primer, IP, AppleTalk ili NetBEUI pakete). Usmerivadi (engl. routers) moraju da pregledaju svaki paket da bi odredili treba li ga proslediti dalje. Njihove performanse stoga zavise i od brzine skeniranja paketa i od brzine njihovog prosledivanja. Mnogi proizvodaéi ne pominju veliginu paketa kada navode performanse; prema tome, stvarne performanse mogu da budu losije od dek- larisanih, Usmerivadi su dobar, ali pomalo skup naéin za povezivanje Ethernet mreza, Tako su skretnice za Ethernet svakoga dana sve brie, jo ne mogu da povezu vise od sto ragunara u jednom logi¢kom segmentu. Velike komutirane mreze éesto su pod udarom ,bujice neusmerenih poruka's posto se neusmerene poruke moraju proslediti do svakog prikljudka u segmentu. Taj problem moiete da resite ako pomocu usmerivaéa izolujete neusmereni saobra¢aj izmedu komutiranih segmenata (ina taj naéin od jedne napravite vi8e logi¢kih mreza). Velike mreze mogu se pomocu skretnice (softverskim podeSavanjem) podeliti u podgrupe zvane virtuelne lokalne mreze (engl. Virtual Local Area Network, VLAN). VLAN je grupa prikljucaka koji pripadaju istom logikom segmentu i ponasaju se kao prikljuéci povezani sopstvenom, namenskom skretnicom. Takva podela uvecava spo- sobnost svake skretnice da izoluje saobra¢aj, a poboljéava i bezbednost i performanse. Saobra¢aj izmedu pojedinih virtuelnih mreza usmerava usmerivaé ili, u nekim slu- éajevima, modul, odnosno softverski sloj za usmeravanje unutar skretnica. Prosirenje tog sistema, poznato kao , VLAN povezivanje" (engl. VLAN trunking) koje, na primer, pruza protokol IEEE 802.1Q, omoguéava da se fizitki odvoje skretnice ka servisnim prikljuccima u istoj logickoj virtuelnoj mredi. Izbor skretnice moze da bude teZak jer je tréiste veoma konkurentno, preplavijeno. reklamama koje ni priblizno ne odgovaraju istini, Pri izboru prodavca opreme treba da se vide oslonite na nezavisna misljenja (na primer, na prikaze u struénim publikaci- jama), nego na tyrdnje prodavaca. U poslednje vreme je pravilo da odredeni proizvodaé15.3 Poglavije 15 Mregni hardver 335 ima ,najbolji* proizvod tokom nekoliko meseci, a zatim potpuno unazadi njegove per- formanse ili pouzdanost pokusajem da ga pobola, éime na vrh liste automatski iabacuje nekog drugog proizvodaca. Ussvakom sluéaju proverite da li je brzina osnovne plove skretnice odgovarajuéa—to je podatak koji stvarno ne&to znati na kraju dugog radnog dana. Brzina osnovne ploge dobro projektovane skretnice treba da prevazide zbir brzina svih njenih prikljuéaka. Usmerivaci Usmerivaéi (engl. routers) su namenski rudimentarni racunari s dva ili vise mreénih interfejsa; oni usmeravaju saobra¢aj na trecem sloju sloga ISO protokola (na mre- 2nom sloju). Oni upucuju pakete ka odredistu u skladu s podacima iz zaglavlja pro- tokola TCP/IP. Osim &to jednostavno premestaju pakete s jednog mesta na drugo, usmerivadi mogu i da ih filtriraju (zbog bezbednosti), da im daju prioritet (zbog kva- litetnije usluge), kao i da otkrivaju topologiju mreze. Detalje o usmeravanju potrazite u 14. poglayiju. ‘Na jednom usmerivaéu mogu da se nadu hardverski interfejsi razligitih tipova (npr. FDDI, Ethernet i ATM). Uz odgovarajuci softver, neki usmerivaéi, osim IP paketa, mogu da obraduju i drugi saobra¢aj, npr. [PX ili AppleTalk pakete. U takvim konfigu- racijama, usmerivat i njegovi interfejsi moraju posebno da budu podeseni za svaki pro- tokol s kojim elite da radite. Usmerivaéi se pojavijuju u dva oblika: kao usmerivaéi s fiksnom konfiguracijom ikao modularni usmerivaéi. Usmerivaci s fiksnom konfiguracijom imaju stalne, fabritki instalirane mreine interfejse. Oni su pogodni za male specijalizovane pri- mene. Na primer, usmerivaé sa interfejsima T1 i Ethernet dobar je izbor za povezi- vanje male kompanije na Internet. Arhitektura modularnih usmerivaéa nudi podnofja ili magistralu u koje korisnik moze da ukljuci interfejse po svojoj volji. lako je takav pristup obiéno skupljji, isplati se na duge staze jer omoguéava lako.prilagodavanje usmerivata. U zavisnosti od toga kakva vam pouzdanost uredaja treba i kakav saobra¢aj ogeku- jete, namenski usmerivaé mode, ali i ne mora da bude jeftiniji od Linux raéunara podeSenog da radi kao usmerivat. Medutim, namenski usmerivaé obiéno ima bolje performanse i pouzdanije radi. Na usmeravanje treba potroditi malo vie novea unapred da bi se izbegle kasnije glavobolje. BEzICNI LAN: MREZA ZA NOMADE Bezicne mreze se vrlo brzo razvijaju, a uredaji profesionalnog kvaliteta veé se mogu dobiti po pristupaénim cenama. Kada uzmemo u obzir napredak postignut u oblasti kablovskih mreZa, brzine prenosa u beZiénim mrezama (obiéno od 2 Mb/s do 11 Mb/s) mogu izgledati neodgovarajuce za poslovne potrebe. Medutim, te brzine su sasvim dovoljne za mnoge svrhe. BeZi¢na mreza u kudi ili u malom poslovnom okru- enju, brzine prenosa od 11 Mb/s, predstavlja san svakog administratora sistema. Osim toga, beZitna komunikacija na sajmovima, aerodromima i drugim javnim mestima moze stvarno da preokrene dan u kome niste uspeli ni s kim da uspostavite vezu, u dan prepun posloynih susreta,336 15.4 Linux: priruénik za administratore U oblasti bezitnog umreZavanja najvie obeéavaju standard [EEE 802.11b za beditne lokalne mreze (koji omoguéava pristup sligan lokalnoj mredi, brzinom od 2 Mb/s do 11 Mb/s, na udaljenosti od 100 metara do 40 kilometara, zavisno od opreme i terena), i Bluetooth, standard za komunikacije kratkog dometa (obitno do 10 metara) i male propusne moéi (manje od 1 Mb/s) koje se ostvaruju izmedu PC ratunara, periferijskih uredaja, mobilnih telefona i prenosivih uredaja, kao sto su ligni digitalni pomocnici. Danas postaju sve popularnije mreze po standardu 802.1 1b. Kartice su jeftine i postoje za vecinu tipova prenosivih i stonih PC raéunara. Sliéno kablovskom Ether- netu, 802.1 lb mreza najéesée sadrdi razdvodnik (koji se u beZitnom Zargonu zove »tacka pristupa"), na koji se povezuju klijenti. Tacke pristupa mogu da budu priklju- dene na wobigajene kablovske mre2e ili beziéno povezane s drugim tackama pristupa. Linux racunar mozete podesiti da radi kao tacka pristupa 802.11b mreze, samo treba da imate odgovarajuéi hardver i upravljacki program (znamo barem za jedan skup €ipova koji podrzava ovo resenje, Intersil Prism II). Odliéna samostalna osnova beziéne 802.11b mreée za kuéu i malo poslovno okrudenje jeste Appleov AirPort, koji lidi na svemirski brod, nije skup (oko 300 dolara) i veoma je funkcionalan. Osim kon- figuracionih programa za MacOS, postoje i sligni programi za druge operativne sisteme, ukljucujuci Freebase (freebase sourceforge.net) i usluzni program Jonathana Sevyja zasnovan na Javi (edge.mes.drexel.edu/GICL/people/sevy/airport/).. Bezbednost bezi¢nih mreza sada je na velo niskom nivou. Protokol Wired Equiva- lent Privacy (WEP) koji se koristi u 802.11b mrezama, omoguéava 40-bitno ili 128- -bitno difrovanje paketa koji putuju etrom. Nazalost, avgusta 2001. godine pokazano je da aktuelna verzija ovog standarda sadrdi opasan propust (pogledajte Web stranicu www.cs.rice.edu/~astubble/wep/wep_attack.html). Bezitne mreze ne treba smatrati bezbednim. Neko ko sedi u kaficu preko puta firme ili vase kuée moze direktno i neopazeno da pristupa mrezi. Trazenje i otklanjanje problema u bezicnoj mredi takode spada u crnu magiju, pokto je u igri velik broj promenljivih. Ukratko, bezitna mreza je slatka i veoma funk- cionalna igraéka za kuéu, kancelariju, konferencije ili plazu, ali neée skoro zameniti stare dobre korporacijske kablove. FDDI: RAZOCARAVAJUCA | SKUPA LOKALNA MREZA Pri brzini prenosa od 10 Mb/s, Ethernet osamdesetih godina nije imao dovoljan pro- pusni opseg za odredene potrebe, na primer, za povezivanje radnih grupa pomocu korporacijske (ili teritorijalne) okosnice, U nameri da stvori preduslove za pruzanje Sireg propusnog opsega, komitet X3T9.5 Ameritkog instituta za standardizaciju (ANSD stvorio je standard interfejsa za distribuiranje podataka optickim kablom (Fiber Distributed Data Interface, FDDI) kao alternativu Ethernetu.’ Posto je projek- tovan i reklamiran kao sistem tipa Token Ring brzine 100 Mb/s, FDDI je ostavio utisak da ce bez muke otkloniti mnoge probleme koji proistitu iz uskog propusnog opsega. Nazalost, standard FDDI bio je potpuno razoéaranje. Na poéetku je cena FDDI interfejsa éesto prevazilazila cenu radne stanice u koju je instaliran (oko 10.000 dolara), 7. FDL je prihvaéen i kao ISO standard.Poglavije 15 Mrezni hardver 337 a performanse su mu bile slabije nego performanse Ethernet interfejsa (prve DEC plo¢e, na primer). Interfejsi su i danas skupi, ali su im performanse bolje, Savremeni opticki interfejsi propustaju podatke brzinom od oko 80 Mb/s. Da bi interfejs FDDI imao dobre performanse, najveca jedinica prenosa (MTU) mora biti mnogo veéa od podrazumevane, koja je prilagodena Ethernetu. MTU vred- nost od 4352 (zadata pomocu programa ifconfig) izgleda zadovoljavajuée. Sve dok softver koji se koristi za prenos paketa po mrezama ne bude prilagoden brzini i moguénostima interfejsa FDDI, performanse ée dostizati jedva tre¢inu do polovinu mogucih vrednosti. Na strani 238 potradite podatke 0 najvetoj jedinici prenosa (MTU). Standard FDDI predvida lokalnu mrezu s dvostrukim prstenom tipa Token Ring i brzinom prenosa 100 Mb/s, povezanu optickim kablom, kao na slici D. Osnovni prsten sluzi za prenos podataka a pomoéni, rezervni prsten koristi $e u sluéaju (fizi¢- kog ili elektronskog) kvara osnovnog prstena. Slike D FDDI mreza tipa Token Ring s dva prstena Normalan rad sistema _ Racunar C je iskijuéen Curenje gasa E> ¢ le a aan Raéunari mogu da budu povezani sa oba prstena (tada su klase A ili ,dvostruko povezani) ili samo sa osnovnim prstenom (klase B ili ,prosto povezani"). Usmerivati i koncentratori na okosnici uglavnom su povezani dvostruko, a radne stanice prosto, najées¢e preko ,koncentratora’, vrste opti¢kog razvodnika. Prednost sistema Token Ring je to Sto pristupom mredi upravlja deterministicki protokol. Sukobljavanje ne postoji, pa se performanse mreze ne pogorSavaju pri viso- kom optereéenju, kao performanse Etherneta. Mnogi sistemi tipa Token Ring mogu da rade sa. 90% do 95% svog maksimalnog kapaciteta kada opsluzuju vise Klijenata. Standard FDDI predlaze dve vrste opti¢kih kablova za fizicki medij: jednomodni i visemodni kabl. ,Modovi“ su u stvari svetlosni snopovi koji u opticki kabl ulaze pod odredenim uglom. Jednomodni kabl omoguéava prenos samo jedne svetlosne frek- vencije i zato je potreban laser kao izvor svetlosti.* Visemodni kabl omoguéava kori- Scenje vise istovremenih svetlosnih putanja i kao svetlosni izvor obiéno koristi jeftinije i bezopasnije svetleée (LED) diode. Jednomodni kabl moze da prenese podatke na mnogo vecu daljinu od visemodnog. U praksi se za rad po standardu FDDI najées¢e koristi visemodni kabl debljine 62,5 pm. 8. Nikada ne gledajte direktno u slobodan ili preseéen kraj optickog kabla. Ako je kabl prikljugen na laser, svet- losni snop vam mofe oftetiti oti, a da to i ne primetite.338 15.5 15.6 Linux: priruénik za administratore U FDDI mrezama koristi se vi8e tipova konektora, a oni se razlikuju od jednog do drugog proizvodaca. Bez obzira na to za koji se konektor opredelite, upamtite da je za pourdan rad neophodan ¢ist kontakt sa optickim vlaknom. lako postoje kompleti za ruéno povezivanje krajeva optitkog kabla, preporueujemo da, kad god je moguée, za to angazujete profesionalce. ATM: OBECANA (ALI GORKO PORAZENA) LOKALNA MREZA ATM je skracenica za Asynchronous Transfer Mode (asinhroni reZim prenosa), ali neki insistiraju da je to skraéenica za Another Technical Mistake (jo8 jedna tehni¢ka greika). Predstavnik jedne telekomunikacione kompanije opisao je ovu mrezu regima: » To je pokusaj telefonske kompanije da vase probleme s mreZom pretvore wu nesto sto mogu da vam naplates* ATM koncept je tehni¢ki ,specijalan" u tome sto zagovara filozofiju da su mali paketi fiksne velidine (zvani ,éelije") najefikasniji na¢in realizacije gigabitnih mreza. ATM obeéava i moguénosti koje drugi mediji obitno ne obedavaju, ukljucujudi rezervisanje propusnog opsega i garantovanje kvaliteta usluga. ATM se na tr2i8tu nudi kao celovit tip komutirane mree koji se moze upotrebiti za lokalna, regionalna ili gradska podrugja. Danas je ATM gotovo zaboravljen, satuvan jedino u okruzenju regionalnih mrefa gde velike telefonske korporacije i dalje pokuéa- vaju da izvuku svoj novac iz promasene investicije — ATM hardvera. Osim 53-bajtnih éelija, u sistemu ATM postoji pet adaptacionih slojeva (ATM. Adaptation Layers, AAL) koji slude za transport éelija, Svrha svakog sloja prikazana je utabeli 15.4. Tabela 15.4 Adaptacioni ATM slojevi AAL Primena Aplikacije s konstantnom brzinom prenosa, kao Sto je govor (zahteva ogranigeno kasnjenje) Aplikacije s promenljivom brzinom prenosa koje zahtevaju ogranigeno ka’njenje Aplikacije za rad s podacima koje zahtevaju povezivanje Aplikacije 2a rad s podacima koje ne zahtevaju povezivanje Opiti prenos podataka (narotito IP saobra¢aj,zamenjuje 3.1 4.sloj) Nije jasno kako bi se drugi sloj ikada koristio u stvarnosti. Sada, 2a njega ne postoji standard. Tre¢i i éetvrti sloj su se pokazali velo sli¢nim, pa su spojeni. Grupa proiz~ vodaéa koja je trebalo da realizuje ATM tehnologiju smatrala je treci i éetvrti sloj losim zbog visokih troskova njihove realizacije, Razvili su sopstveno resenje, Jednostavan i efikasan adaptacioni sloj (Simple and Efficient Adaptation Layer, SEAL), koji je ubrzo postao sloj AAL 5. FRAME RELAY: ZRTVENA REGIONALNA MREZA Stafetni prenos paketa (engl. frame relay) tehnologija je za regionalne mreze koja nudi uslugu prenosa podataka komutiranim paketima, obitno po umerenoj ceni. [ako tvrdnja nije 100% taéna, za stafetni prenos se govori da je samo prerugen protokol15.7 Poglavije 15 _ Mrezni hardver 339 X.25, grozna tehnologija rada s komutiranim paketima iz sredine sedamdesetih godina. Sreéom, on se tako Siroko koristi, da su oprema, softver i osoblie koje ga odrzava postali solidna kombinacija koja radi dobro. Korisnici koji Zele da se poveZu sa udaljenim lokacijama trebalo bi da zakupe od telefonskog operatora namensku liniju, kao sto je DDS linija braine 56 Kb/s linija TL. To su linije za prenos podataka od tacke do tacke koje su aktivne 24 sata dnevno. Nazalost, ovakva veza je éesto skupa, posto zahteva opremu i deo propusnog opsega telekomunikacionog operatera. Za razliku od toga, stafetni prenos cilja na smanjenje troskova kroz povecanje potrosnje. Operater pravi mreZu (esto zvanu oblak, engl. cloud?) koja povezuje tele- fonske centrale. Korisnici dele podatke namenjene udaljenim lokacijama u male pakete. Operater usmerava pakete kroz odgovarajuce centrale i na kraju ih isporucuje na njihovo odrediste, Prema tom modelu, vi i telekomunikacioni operater kockate se sa sudbinom da ni u jednom trenutku gustina ukupnog saobracaja u mredi ne¢e pre- vazici njen propusni opseg (stanje koje se u Sali naziva ,imati suvise pretplatnika*). IP saobra¢aj koji se odvija Stafetnim prenosom kapsuliraju usmerivaéi. Paketi se usmeravaju na nevidljive ,trajne virtuelne linije* (PVC), koje im omoguévaju da stignu samo do lokacija za koje ste platili. PVC linije obezbeduju izvesnu zaititu pri- vatnosti od drugih lokacija prikljuéenih na mreZu za Stafetni prenos podataka. ‘Najveca prednost stafetnog prenosa jeste to Sto je obiéno jeftin. Ali u svetu u kome vlada pravilo ,koliko para, toliko muzike’, morate biti spremni na to da je on pone- kada i veoma spor. Svako usmeravanje pri stafetnom prenosu pomalo zadréava pakete, pa ukupna brzina veze moze da opadne tokom perioda gustog saobracaja. ISDN: AUTENTICNA REGIONALNA MREZA Digitalna mreza integrisanih usluga (Integrated Services Digital Network, ISDN) poja- vijuje se u vise oblika. U svom najéesem i najkorisnijem obliku, interfejsu osnovne braine (Basic Rate Interface, BRI), ISDN je potpuno digitalizovana telefonska linija koja omoguéava koriscenje dva modemska ,B* kanala brzine po 64 Kb/s i jednog sig- nalnog,,D“kanala brzine 16 Kb/s. Svaki B kanal se moze koristiti iza govor iza podatke (govor se moze prenositi ijednim kanalom od 64 Kb/s). ISDN nudi digitalnu linjju srazmerno visoke brzine po razumno} ceni. Uredaji zvani zavréni adapteri (terminali) pretvaraju telefonsku liniju u neki poznatiji inter- fejs, kao Sto je RS-232. Oni se koriste (i koStaju) slitno modemima. Vecina adaptera mote da sjedini dva B kanala u jedinstven kanal za prenos podataka brzine 128 Kb/s. ISDN tehnologija se moze koristiti umesto uobi¢ajenog modemskog umrezavanja, aikao tehnologija za realizovanje regionalnih mreza, sa usmerivatima ili mreznim mostovima koji telefonskom linijom povezuju udaljene lokacije. Iako su mnoge amerike telefonske kompanije instalirale usmerivage kompatibilne sa standardom ISDN, one jo ne znaju kako da ih nude na trdi8tu i kako da za njih nude tehnitku podréku."” 8. ‘To ime i previse odgovara stvarnosti, posto se nikada ne zna kakva ée ,wremenske" prognoza biti u mreti za Stafetni prenos podataka. Olujat Ki8a? Susnetica? Grad? 10. Otuda i ciniéno tumagenje: ona ipak nista ne radi (engleska igra ret: It | Does Nothing = ISDN) eer340 15.8 15.9 Linux: priruénik za administratore DSL 1 KABLOVSKI MODEMI: WAN ZA MASE Velike koligine podataka lako se premestaju izmedu poslovnih i drugih velikih infor- matickih centara. Tehnologije koje nude telekomunikacioni operateri, npr. T1, T3, SONET, ATM linije i stafetni prenos paketa, pruzaju srazmerno jednostavne kanale za slanje bitova s jednog mesta na drugo. Medutim, pobrojane tehnologije nisu reali- stitne opeije za povezivanje individualnih korisnika i kuénih kancelarija. One previse kostaju, a infrastruktura koja je za njih neophodna nije uvek na raspolaganju. Digitalna pretplatnicka linija (Digital Subscriber Line, DSL) koristi obi¢nu bakarnu telefonsku zicu za prenoSenje podataka brzinom do 7 Mb/s (mada tipiéna DSL veza ostvaruje brzinu prenosa izmedu 256 Kb/s i 768 Kb/s). Posto u vecini domova postoji telefonski prikljucak, DSL je pogodno resenje za premos) da biste prekinuli slanje signala. Evo primera: % ping beast PING beast (10.1.1 64 bytes from 10.1. 64 bytes from 10.1, 64 bytes from 10.1 e --- beast ping statistics --- 3 packets transmitted, 3 packets received, 0% packet loss round-trip min/avg/max/stddev = 0.390/0.533/0.808/0.195 ms 6): 56 data bytes +46: icmp_seq=0 tt1=255 time=0.808 ms 46: icmp_seq=1 tt=255 time=0.400 ms a 390 ms cmp_seq=2 tt1=255 time 1. Ako se raéunar zaglavjuje prilikom podizanja sistema, podize se veoma sporo ili se zaglavljje prilikom uuspostavijanja dolaznih telnet veza, DNS bi trebalo da bude glavni osumnjiéeni.Poglavije 20 _Upravijanje mrezom | otklanjanje gresaka u mrezi 619 Rezultati za raéunar beast prikazuju [P adresu racunara, broj ICMP sekvence sva~ kog paketa u odgovoru i vreme koje je utroseno na zahtev i odgovor. Na osnovu ovog rezultata odigledno je da je server beast ukljucen i da je na mrezi. U zdravoj mredi, komanda ping omoguéava da utvrdite da li je neki raéunar pao i obrnuto. Ako znate da je udaljeni racunar ukljuéen i da je u radnom stanju, komanda ping mofe da prudi korisne informacije o stanju mreze. Paketi komande ping usme- ravaju se pomoéu uobigajenih mehanizama protokola IP, pa uspesan odgovor znaéi da su sve mrede i mredni prolazi izmedu polaznog i ciljnog racunara ispravni, bar na prvi pogled. Broj ICMP sekvence posebno je vaina informacija. Prekidi u nizu ukazuju na pro- pustene pakete. Uprkos éinjenici da IP ne garantuje dostavu paketa, u ispravnoj mrezi i broj izgubljenih paketa morao da bude veoma mali. Vaino je uociti probleme sa izgubljenim paketima zato Sto njih éesto zaobilaze protokoli vigeg nivoa. MreZa moze naizgled da radi normalno, ali znatno sporije nego sto bi trebalo, ne samo zato Sto se ponovno Salju izgubljeni paketi ve¢ i zato sto su optereceni protokoli koji ih otkrivaju i njima upravijaju. Da biste otkrili zbog cega nestaju paketi, prvo pokrenite komandu traceroute (pogledajte slededi odeljak) sto ¢e otkriti kojim putem paketi idu do ciljnog raéunara. Zatim redom Saljite signal ping mreZnim prolazima na putu da biste otkrili gde se gube paketi. Da biste otkrili problem, morate poslati dovoljno velik broj paketa. Kvar na mredi se najéeSée nalazi na vezi izmedu poslednjeg mreznog prolaza koji odgovara na ping bez znaéajnijeg gubitka paketa i mreénog prolaza iza njega. Vreme potrebno za odgovor pruza uvid u opste performanse putanje kroz mrezu. Umerena odstupanja obiéno ne ukazuju na probleme. Paketi ponekad mogu da kasne bez vidljivog razloga za koji deseti ili stoti deo milisekunde; to je nadin na koji IP i Linux rade, Ogekujte da vidite prili¢no dosledno vreme putovanja za vecinu paketa, s povremenim kainjenjima. Mnogi danainji usmerivaéi koriste tehniku odgovora na ICMP pakete u zavisnosti od optereéenja, sto znaci da moze do¢i do sporijeg odgovora na komandu ping ako je usmerivaé ve¢ opterecen s mnogo ICMP paketa. Program ping omogucava slanje paketa bilo koje velicine. Koriséenjem paketa koji su veéi od vrednosti MTU (1500 bajtova za Ethernet), mozete naterati sistem da frag- mentira pakete. Na taj naéin cete pronaci greske u prenosu kao i druge probleme nis- kog nivoa, kao Sto je zaguiena ATM mre’a. Na taj natin moiete otkriti iznenadujuce mnogo problema. Navedite veliginu paketa pomo¢u parametra -s: # ping -s 1500 cuinfo.cornell.edu Pri korii¢enju naredbe ping imajte na umu neke njene mane. Prvo, samo pomocu naredbe ping te&ko je razlikovati gresku na mredi od greske na serveru. Ako ne stigne odgovor na ping, to samo ukazuje da neito nije u redu. Drugo, naredba ping ne govori mnogo o stanju ciljnog racunara. Paketi echo zah- teva obraduju se unutar steka protokola IP ine zahtevaju da na ispitivanom racunaru bude pokrenut serverski proces. Dobijeni odgovor garantuje samo da je ratunar ukdju- den i da je jezgro operativnog sistema u redu. Da biste proverili dostupnost pojedinih usluga, kao Sto su HTTP i DNS, koristite metode viseg nivoa.620 20.3 Linux: priruénik za administratore TRACEROUTE: PRACENJE IP PAKETA. Program traceroute, koji je napisao Van Jacobson, omoguéava otkrivanje niza mre?- nih prolaza kroz koje IP paket putuje da bi stigao do svog cilja. Sintaksa je jednostavna: traceroute rocunor Postoje brojne opcije, ali vecina nema znaéaja u svakodnevnoj upotrebi. Kao i obiéno, racunar moie biti naveden simbolicki ili numericki. Rezultat je lista racunara, koja podinje prvim mreznim prolazom, a zavriava se ciljnim raéunarom. Sledi primer rezultata komande traceroute s raéunara jaguar do racunara drevil: % traceroute drevil traceroute to drevil (192.225.55.137), 30 hops max, 38 byte packets 1 xor-gn2 (192.108.21.254) 0.840 ms 0.693 ms 0.671 ms 2 xor-gné (192.225.56.10) 4.642 ms 4.582 ms 4.674 ms, 3. drevil (192.225.55.137) 7.959 ms 5.949 ms 5.908 ms Na osnovu rezultata moZemo reéi da je racunar jaguar udaljen taéno tri skoka od raéunara drevil i mozemo videti koji mrezni prolazi uéestvuju u toj vezi. Prikazano je i vreme koje je svakom mreinom prolazu bilo potrebno za odgovor ~ za svaki skok su navedene tri vrednosti. Tipitan rezultat komande traceroute izmedu dva racunara na Internetu moze da obuhvati deset ili dvadeset skokova. Program traceroute radi tako sto zada neuobi¢ajeno ykratak Zivotni vek" (engl. time to live, TTL) izlaznog paketa izrazen kao broj skokova. Kada paket stigne do mreznog prolaza, njegov TTL se smanjuje za jedan. Mrezni prolaz na kome TTL paketa dobije vrednost 0 odbacuje paket i polaznom racunaru vra¢a ICMP poruku ,prekoraceno vreme‘ Prvih nekoliko paketa programa traceroute imaju Zivotni vek 1. Prvi mreZni prolaz do koga takav paket dode (u ovom sluéaju, xor-gw2) utvrduje da je TTL prekoraéen i ICMP porukom obavestava ra¢unar jaguar o ispuitenom paketu. IP adresa posiljaoca u zaglavlju paketa s porukom o gresci opisuje mreZni prolaz; program traceroute tradi tu adresu u DNS tabeli da bi dobio ime mreznog prolaza. Da biste saznali vige o obratnim DNS pretragama, pogledajte stranu 405. Da bi odredio mre#ni prolaz koji ucestvuje u drugom skoku, program traceroute Salje drugu grupu paketa u kojima polje TTL ima vrednost 2. Prvi mrezni prolaz usme- rava pakete i smanjuje njihovu TTL vrednost za 1. Pakete odbacuje drugi mreéni prolaz i ponovo se generigu ICMP poruke o grekci. Postupak se ponavlja sve dok vrednost TTL ne postane jednaka broju skokova potrebnih da paketi uspesno stignu do svog cilja. ‘Vecina usmerivaéa Salje ICMP poruke preko veze koja je ,najbliza“ raéunaru. Ako pokrenete program traceroute od ciljnog racunara, verovatno ¢ete videti drugacije IP adrese za iste usmerivace. Moda éete videti i potpuno razliite putanje; ako je prime- njeno ,asimetriéno usmeravanje Poito program traceroute Salje po tri paketa za svaku TTL vrednost, ponekad se mofe desiti da primetite zanimljive razlike. Ako neki mreZni prolaz multipleksira sao- braéaj preko nekoliko putanja, moze se desiti da pakete vrate razliditi raéunari; u tom slucaju, traceroute ih sve navodi u rezultatima.Poglavije 20 _Upravijanje mrezom i otklanjanje gresaka u mrezi 621 Pogledajmo jedan zanimljiv primer rezultata programa traceroute s racunara na colorado.edu prema xor.com: rupertsberg% traceroute xor.com traceroute: Warning: xor.com has multiple addresses; using 192.225.33.1 traceroute to xor.com (192.225.33.1), 30 hops max, 40 byte packets cs-gw3-faculty.cs.colorado.edu (128.138.236.3) 1.362 ms 2.144 ms 2.76 ms es-gw-dmz.cs.colorado.edu (128.138.243.193) 2.720 ms 4,378 ms 5,082 ms engr-cs.Colorado.£0U (128.138.80.141) 5.587 ms 2.454 ms 2.773 ms hut-engr.Colorado.£DU (128.138.80.201) 2.743 ms 5.643 ms 2.772 ms cuatm-gw.Colorado.EDU (128.138.80.2) 5.587 ms 2.784 ms 2.777 ms 204.131.62.6 (204.131.62.6) 5.585 ms 3.464 ms 2.761 ms border-from-BRAN.coop.net (199.45.134.81) 5.593 ms 6.433 ms 5.521 ms core-gw-eth-2-5.coop.net (199.45.137.14) 53.806 ms * 19.202 ms xor.com (192.225.33.1) 16.838 ms 15.972 ms 11.204 ms Corvamsenn Iz ovog izvestaja se vidi da paketi moraju da produ pet internih mreznih prolaza pre nego Sto napuste mreZu colorado.edu (cs-gw3-faculty zakljuéno sa cuatm-gw). Mrezni prolaz u sledeéem skoku na mre#i BRAN (204.131.62.6) nema ime u DNS tabeli. Posle dva skoka kroz mrezu coop.net, stiZemo na xor.com. U skoku broj 8, umesto jednog od vremena vidi se 2vezdica. To ukazuje da nije dobijen odgovor na upit (paket s porukom o gresci). Razlog je u ovom sluéaju najve- rovatnije zagusenost, ali to nije jedina moguénost. Program traceroute se oslanja na ICMP pakete niskog prioriteta, koje mnogi usmerivadi odbacuju dajudi prednost »pravom" saobra¢aju. Ne panitite ako vidite poneku zvezdicu. Ako umesto svih vremena za neki mrefni prolaz vidite 2vezdice, poruke tipa ,pre- korageno vreme" ne stizu s tog racunara. Mode se desiti da je mreZni prolaz pao. Mre- ini prolazi su ponekad tako podeseni da bez objainjenja odbacuju pakete kojima je TTL istekao. U tom slucaju, i dalje éete moéi da vidite mrezne prolaze iza , Na strani 253 opisana je tabela usmeravanja. Upotrebite oblik komande netstat iz prethodnog primera da biste proverili u kak- vom je stanju tabela usmeravanja na racunaru. Narocito je vazno proveriti da li sistem ima podrazumevanu putanju i da li je ona ispravna, Podrazumevana putanja je pred- stavljena kao adresa sastavijena samo od nula (0.0.0.0). Statisti¢ki prikaz rada raznih mreznih protokola Opeija netstat -s prikazuje sadr#aj raznih mreinih brojaca, Izvestaj sadrdi odvojene odeljke za protokole IP, ICMP, TCP i UDP. Prikazani su delovi rezultata s raéunara koji predstavija mrezni prolaz; izvestaj je skraéen da bi se videle samo najbitnije informacije. ip: 1396128 total packets received 0 forwarded 0 incoming packets discarded 139221 incoming packets delivered 1422181 requests sent out om: 7917 ICNP messages received 30 input ICNP message failed. ICMP input histogram: destination unreachable: 3093 timeout in transit: 64 source quenchs: 2 echo requests: 4704 4848 ICMP messages sent 0 ICHP messages failed ICMP output histogram: destination unreachable: 144 echo replies: 4704 i echo odgovora podudaraju se. Zapamtite da poruke , destination unreachable“ mogu biti generisane éak i kada svi paketi naizgled mogu biti prosledeni dalje. Losi paketi mogu sti¢i do mreznog prolaza koji ih odba~ cuje Saljuéi poruku o gresci nazad kroz lanac mreénih prolaza. Broj echo zahteva, odgovora na nj626 20.5 Linux: priruénik za administratore tep: 10753 active connections openings 0 passive connection openings 106 failed connection attempts 0 connection resets received 4 connections established 1248990 segments received 1276311 segments send out 35946 segments retransmited 13 bad segments received. 3080 resets sent PokuSajte da utvrdite normalne raspone statistickih vrednosti da biste mogli da prepoznate neregularne situacije. PRISLUSKIVACI Programi tcpdump i Ethereal pripadaju klasi alatki poznatih kao prisluskivaci paketa (engl. packet sniffers). Oni prisluskuju saobra¢aj na mredi i snimaju ili Stampaju pakete koji zadovoljavaju odredene kriterijume. Na primer, mogu se ispitati svi paketi poslati na odredeni raéunar ili s njega, ili svi TCP paketi koji se odnose na odredenu mreinu vezu. Prisluskivaéi su korisni za regavanje otkrivenih problema i za otkrivanje novih. Zato je dobro povremeno ,pronjuskati* po mredi da biste se uverili da je sa saobraéa- jem sve u redu. Posto prisluskivaéi moraju da presretnu poruke koje lokalni raéunar obiéno ne bi primio (ili bar na njih ne bi obratio paznju), mrezni hardver mora omoguéiti pristup svakom paketu. Tehnologije s neusmerenim emitovanjem, kao sto je Ethernet, dobre su kao i neki tipovi mreda Token Ring na kojima poiiljalac uklanja paket posto on obide celo kolo. Prisluskivadi treba da vide sto vise sirovog mreznog saobracaja, a u tome ih mogu omesti mreine skretnice, éiji je zadatak da ograniée kretanje ,nepotrebnih paketa. Ipak, moZe biti korisno isprobati prisluskivaé na mredi sa skretnicama. Mogli biste otkriti probleme koji se odnose na neusmerene ili visesmerne pakete. Mozda éete se iznenaditi koliki deo saobracaja mozete videti, a to ¢e zavisiti od tipa i modela skretnica. Da biste saznali vie 0 mreinim skretnicama, pogledajte stranu 332. Osim pristupa svim paketima na mredi, hardver mora da omoguci prenos tih paketa na sofiverski sloj. Adrese paketa se proveravaju hardverski, a samo neusmereni/ vi8esmerni paket i oni namenjeni adresi raéunara predaju se jezgru. U spromiskuitet- nom naéinu rada, interfejs dopuata jezgru da éita sve pakete na mrezi, éak i one namenjene drugim raéunarima. Prisluskivaéi razumeju mnoge formate paketa koje koriste standardni sistemski uslu- ini programi i éesto mogu da ispigu te pakete u razumfjivom obliku, Ta mogucnost olakSava pracenje toka komunikacije izmedu dva programa. Neki prisluskivaci osim zaglavlja paketa stampaju i njegov tekstualni sadrZaj, sto moze koristiti kada ispitujete protokol viseg nivoa. Posto neki od tih protokola salju informacije (pa ak i lozinke) u tekstualnom obliku, morate biti oprezni da ne biste ugrozili privatnost svojih korisnika.Poglavije 20 _Upravijanje mrezom i otklanjanje gre’aka u mredi 627 Prisluskivadi moraju da uéitavaju podatke neposredno s mreénih uredaja, sto znaci da moraju biti pokrenuti sa administratorskim ovlascenjima. Mada to ogranigenje umanjuje moguénost da neki korisnik prisluskuje saobracaj na mrezi, to bas i nije neka prepreka. Na nekim sistemima ti programi su uklonjeni s vecine racunara da bi se smanjila mogucnost zloupotrebe. U svakom sluéaju, trebalo bi da proverite inter fejse sistema da biste se wverili da nisu pokrenuti u promiskuitetnom nacinu rada bez vaseg znanja ili saglasnosti. Komanda ifconfig prikazuje indikator PROMISC za interfejse u promiskuitetnom rezimu na Linux sistemima. ‘lakve interfejse na mrezi takode mozete prona¢i pomocu alatki kao Sto je PromiScan (nai éete je na adresi www.secu- rityfriday.com). tcpdump: kralj prisluskivaca Program tepdump, jo jedna izvanredna mredna alatka Van Jacobsona, nalazi se u vecini distribucija Linuxa. Ovaj program je dugo predstavljao standard medu prislu- Skivacima; vecina drugih alatki za analizu mreze éitaju i/ili snimaju rezultate u ,,for- matu tcpdump“ Program tcpdump podrazumevano prisluskuje prvi mredni interfejs na koji naide. Moiete ga naterati da koristi drugi interfejs pomocu opcije -i. Ako DNS ne radi ili ne elite da program prikazuje imena, upotrebite opciju -n. Ta opcija je vazna zato Sto spor DNS moe dovesti do toga da filtar poéne gubiti pakete pre nego sto ih tepdump obradi. Opcija -v uve¢ava prikazanu kolitinu podataka o paketima, a opcija -vv prika- zuje jo’ vise podataka. Konatno, opcija -w nalaze programu da upise pakete u dato- teku, a opcija -r ih uéitava u datoteke. IzveStaj prikazan u sledeéem primeru uzet je s ratunara jaguar.xor.com. Filtar host jaguar ogranigava prikaz na pakete koji se neposredno titu ratunara jaguar, bilo kao polazne tacke bilo kao odredista. # tcpdump host jaguar 13:40:23 jaguar.xor.com.1697 > xor.com.domain: A? cs.colorado.edu. 13:40:23 xor.com.domain > jaguar.xor.com.1697: A mroe.cs.colorado.edu 13:40:23 jaguar. xor.com.1698 > xor.com.domain: PTR? 5.96.138.128.in-addr.arpa. 13:40:23 xor.com.domain > jaguar.xor.com.1698: PTR mroe.cs.colorado.edu. Prvi paket je DNS upit poslat s racunara jaguar raéunaru xor.com, a odnosi se na ratunar cs.colorado.edu. U odgovoru se nalazi stvarno ime racunara éiji je to alijas, tj. mroe.cs.colorado.edu. Treéi paket je obrnuti upit na osnovu IP adrese raéunara mroe, a éetvrti paket sadrzi o¢ekivani odgovor. Stranica prirunika za komandu tcpdump sadrii nekoliko dobrih primera napred- nog filtriranja kao i kompletan spisak osnovnih filtara. Ethereal: vizuelni prisluskivaé Ako biste radije koristili mia prilikom prisluskivanja paketa, program Ethereal je ono Sto trazite. Preuzmite ga sa adrese www.ethereal.com. Ethereal se zasniva na biblioteci GTK+ iima vise moguénosti od mnogih komercijalnih programa iste namene, Mozete ga pokrenuti na radnoj povrsini Linuxa, a za prenosivi racunar pod Windowsom, pre- uzmite verziju programa koja ¢e raditi pod tim operativnim sistemom.628 20.6 Linux: prirucnik za administratore Osim prisluskivanja paketa, Ethereal ima moguénosti koje ga cine posebno kori- snim. Jedna od njih je to sto moze da Cita i snima datoteke u formatu mnogih drugih programa za pracenje paketa, medu kojima su: + tepdump NAI Sniffer™ Sniffer™ Pro NetXray™ + snoop Shomiti Surveyor Microsoftoy Network Monitor Novelloy LANalyzer Cisco Secure IDS iplog Druga korisna moguénost je to 3to mozete pritisnuti misem paket u TCP toku i zatraiiti od programa da rekonstruige (spoji u jednu celinu) korisne podatke svih paketa u toku, To je korisno ako Zelite da brzo pregledate podatke prenete tokom celog TCP razgovora, npr. veze tokom koje je preko mreze preneta poruka elektronske poste.* PROTOKOLI ZA UPRAVLJANJE MREZOM ‘Tokom poslednje decenije mreze su brzo rasle po velidini i po vrednosti, a s njima je rasla i potreba za efikasnim upravljanjem mrezama. Trgovei i organizacije za standar- dizaciju ubvatili su se u kostac s tim izazovom na ravli¢ite nacine. Najznacajniji napre- dak je predstavijalo uvodenje nekoliko standardnih protokola za upravijanje uredajima, uz mnoitvo proizvoda visokog nivoa koji koriste te protokole. Protokoli za upravijanje mreZama predstavijaju standardni nacin za ispitivanje uredaja da bi se otkrile njegove konfiguracije i mreéne veze i ispitala ispravnost. Osim toga, oni omogu¢avaju izmenu nekih od ovih informacija tako da se upravljanje mre- om moze obavijati standardno na razlicitim tipovima ratunara i s jednog mesta. ‘Na TCP/IP mrezama najéesée se koristi Jednostavan protokol za upravljanje mre- Zama (engl. Simple Network Management Protocol, SNMP). Uprkos svom imenu, SNMP je u stvari prili¢no slozen. On definige hijerarhijski imenski prostor podataka Kojima se upravlja, kao i nagin na koji se podaci svakog évora éitaju i upisuju. Takode, definise i nagin na koji entiteti kojima se upravlja (,agenti‘) Salju poruke o dogada- jima (Klopke — engl. traps) upravljackim centrima. Protokol je jednostavan; vecina onoga sto ga cini slozenim nalazi se iznad sloja protokola u konvencijama za konstru- isanje imenskog prostora i formatiranje stavki podataka u okviru jednog ¢vora. SNMP je Siroko podrdan u mreénim uredajima. Postoje i drugi standardi. Mnogi poti¢u od Radne grupe za distribuirano upra- vijanje (engl. Distributed Management Task Force, DMTF), koja je izumela WBEM. (Web-Based Enterprise Management, upravijanje poslovnim sistemima putem Weba), DMI (Desktop Management Interface, okruzenje za upravijanje radnim stanicama) i CIM (Conceptual Interface Model, konceptualni model interfejsa). Neke od njih, 3, Slinu stvar mozete postici ako u komandnoj liniji programe tepdump upotrebite opciju tepflow.20.7 Poglavije 20 _Upravijanje mrezom i otklanjanje gregaka u mrezi 629 naroéito DMI, prihvatili su veliki proizvodadi i oni mogu postati korisna dopuna (pa éak i zamena) za SNMP, Medutim, za sada se ogromnom vecinom mreza upravlja preko protokola SNMP. Posto je SNMP samo apstraktni protokol, za njegovo koris¢enje potreban je i ser- verski program (,agent*) i Klijent (,upravljaé"). (Modda nije logitno, ali na serveru u protokolu SNMP nalazi se ono dime se upravlja, dok je na Klijentu upravijaé.) Klijenti mogu biti od jednostavnih programa koji se pokrecu s komandne linije do posebnih stanica namenjenih iskljucivo upravljanju mreZom, koje graficki, u boji prikazuju mreéu i greske u njoj. Stanice namenjene iskljudivo upravljanju mrezom glavni su razlog postojanja pro- tokola za upravljanje. Vecina proizvoda omogucava izradu topografskog i logickog modela mreze; oni se prikazuju zajedno na ekranu, uz stalni pregled stanja svake komponente. Kao Sto grafikon otkriva skriveno znagenje stranice pune brojeva, tako i dijagram mreze sumira stanje velike mreZe na naéin koji e Ijudima lako shvatljiv. Skoro je nemo- guce dobiti tako saiet prikaz na neki drugi naéin. Glavna prednost upravljanja pomocu protokola jeste u tome Sto on postavija sav mreéni hardver na isti nivo. Linux sistemi su u osnovi sli¢ni, ali usmerivaci, skretnice i druge komponente niskog nivoa nisu. Pomocu protokola SNMP svi oni govore istim jezikom i mogu se ispitati, ponovo pokrenuti i konfigurisati s jednog mesta. Lepo je imati jedinstvenu, doslednu vezu sa svim clementima mreznog hardvera. PROTOKOL SNMP Devedesetih godina proslog veka, kada je protokol SNMP prvi put poéeo siroko da se koristi, pokrenuo je pravu malu zlatnu groznicu. Pojavile su se stotine kompanija s programskim paketima za upravljanje pomocu protokola SNMP. Osim toga, mnogi proizvodaéi u svoje uredaje ugraduju i SNMP agente. Pre nego Sto uronimo u detalje protokola SNMP, treba napomenuti da termino- logija koja je povezana s njim predstavlja moZda najjadniju tehnolosku brbljotinu u svetu ra¢unarskih mreda, Standardna imena pojmova i objekata u vezi s protokolom SNMP ne dopustaju da razumete Sta se zaista deSava. Ljudima koji su odgovorni za takvo stanje trebalo bi razbiti tastature. Organizacija protokola SNMP Podaci protokola SNMP uredeni su u standardizovanu hijerarhiju. Takva organizacija omoguéava da prostor podataka bude i univerzalan i prosiriy, bar teoretski. Veliki delovi su ostavijeni za buduéa protirenja,a dodaci koji zavise od razliéitih proizvodaéa lokalizovani su da bi se spreéili sukobi. Hijerarhija davanja imena sastoji se od ,Upra- vijatkih informacionih baza" (engl. Managment Information Bases, MIB), strukturira- nih tekstualnih datoteka koje opisuju podatke kojima se moze pristupiti pomocu protokola SNMP. Te baze sadrie opise pojedinih promenjivih koje se nazivaju identi- fikatori objekata (engl. object identifiers, OID).630 Linux: priruénik za administratore Prevedeno na razumljiv jezik, to znaéi da protokol SNMP definite hijerarhijski imenski prostor promenljivih éije su vrednosti povezane sa ,zanimljivim" sistemskim parametrima. Osnovni tipovi podataka koje jedna SNMP promenijiva moze da sadrii jesu ceo broj, alfanumericki niz i ,niSta“ (null), Ti podaci se mogu kombinovati u nizove osnovnih tipova, a niz se moze vige puta instancirati formirajuci tabelu. U vecini pri- mena podrzani su i drugi tipovi podataka. Hijerarhija protokola SNMP priliéno podseéa na sistem datoteka. Medutim, tacka se koristi kao granicnik i svaki évor dobija bro}, a ne ime. Uobitajeno je da se, radi lakSeg snalazenja, évorovima daju i tekstualna imena, ali je to samo pogodnost viso- kog nivoa, a ne svojstvo hijerarhije (to je sliéno preslikavanju imena racunara u IP adrese). Na primer, OID koji se odnosi na sistemski parametar uptime je 1.3.6.1.2.1.1.3. Njegovo ime je: iso.org.dod.internet.mgmt.mib-2.system.sysUpTime Vi8i nivoi hijerarhije protokola SNMP stvoreni su iz polititkih razloga i ne sadrze korisne podatke. U stvari, korisni podaci mogu se naéi tek ispod OID identifikatora iso.org.dod.internet.mgmt (numericki: 1.3.6.1.2). Osnovna MIB baza protokola SNMP za TCP/IP (MIB-1) definise pristup uobiga- jenim podacima bitnim za upravljanje: informacijama o sistemu, interfejsima, prevo- denju adresa i radu protokola (IP, ICMP, TCP, UDP i drugih). Naknadna i potpunija verzija ove baze (nazvana MIB-I) definisana je u dokumentu RFC1213. Vecina kom- panija koje prodaju SNMP servere podréavaju MIB-II. U tabeli 20.1 prikazani su neki evorovi iz imenskog prostora baze MIB-II. Tabela 20.1 Neki od OID identifikatora iz baze MIB-II o1D* Tip Sadriaj system.sysDescr string Sistemske informacije: proizvodaé, model, tip operativnog sistema itd system.syslocation string __Fizi¢ka lokacija ra¢unara systemasysContact string Informacije 0 viasniku ratunara system.sysName string Ime sistema, obiéno puno DNS ime interfacesifNumber int Broj ugradenih mreznih interfejsa interfacesifTable table Tabela indikatora svakog interfejsa ipipForwarding int 1 ako je raéunar mre2ni prolaz;u suprotnom, 2 ipipAddrTable table Tabela podataka o IP adresiranju (maske itd.) ip.ipRouteTable table _Sistemska tabela usmeravanja icmpicmplnRedirects int Broj primljenih ICMP preusmeravanja icmp icmpinEchos int Broj primljenih signala ping tcptcpConnTable table Tabela tekudih TCP veza udpudpTable table Tabela UDP prikijutaka na kojima se nalaze aktivni serveri a, Uodnosu na iso.org.dodiintemnetmgmtmib-2.Poglavije 20 _Upravijanje mrezom i otklanjanje greSaka u mrezi 631 Osim osnovnih MIB baza, postoje i MIB baze za razne vrste hardverskih interfejsa i protokola, Postoje baze pojedinih proizvodaéa i posebnih hardverskih proizvoda. MIB predstavlja samo dogovor o tome kako ée se imenovati upravljacki podaci. Da bi bio koristan, MIB mora podréavati agent koji povezuje parametre iz imenskog prostora protokola SNMP i stvarne podatke o uredaju. Standardan agent za Linux podrzava osnovnu bazu MIB (sada MIB-II). Neki agenti su prosirivi da bi mogli da ukljude i dodatne baze. Operacije protokola SNMP Postoje éetiri osnovne SNMP operacije: get, get-next, set i trap. Get i set su osnovne operacije éitanja i upisivanja podataka u évor definisan odre- denim OID identifikatorom. Get-next se koristi za kretanje kroz hijerarhiju baze MIB, kao iza Gitanje sadréaja tabela. 2 Operacija trap (klopka) predstavlja netrazeno asinhrono obavestenje kojim server (agent) izvestava klijenta (upravijaga) 0 zanimljivom desavanju ili stanju. Definisano je nekoliko standardnih Kopki, kao sto su obavestenja tipa ,Upravo se desilo’, o padu ili oporavku mredne yeze ili Klopke 2a razne probleme pri usmeravanju i proveri identi- teta. Mnoge druge klopke nisu standardne, ali se éesto koriste, ukljueujuci i one koje jednostavno nadgledaju vrednosti drugih promenljivih protokola SNMP i obavestavaju 0 prekoraéenju definisanog opsega. Mehanizmi kojima se definisu odredista poruka zavise od natina rada agenta. PoSto SNMP poruke mogu izmeniti informacije o konfiguraciji, potreban je neki bezbednosni mehanizam, Najjednostavnija verzija bezbednosti protokola SNMP zas- niva se na SNMP konceptu ,grupnog imena* (engl. community name), Sto je samo zaista uzasno zamaglien natin da se kaze ,lozinka’, Obiéno postoji jedna lozinka 2a pristup koji omoguéava samo éitanje i druga koja omoguéava upisivanje. Verzija 3 standarda SNMP uvela je metode kontrole pristupa s vikim nivoom ber- bednosti. lako podréka za ove metode jo¥ nije rasprostranjena u mreznom hardveru, to bi se moglo uskoro promeniti. RMON: daljinsko nadgledanje baze MIB MIB baza RMON omoguéava prikupljanje opstih podataka o radu mre?e (tj. poda- taka koji nisu vezani za odredeni uredaj). Mreéni prisluskivadi ili ,sonde (engl. probes) prikupljaju informacije o kori8enju i performansama mreze. Kada se podaci prikupe, centralnoj upravljackoj stanici mogu se poslati statisti¢ki prikazi i zanimljive informa- cije radi dalje analize. Mnoge sonde imaju medumemoriju za pakete i mogu raditi kao neka vrsta daljinske verzije programa tepdump. RMON je definisan u dokumentu RFC1757, koji je postao nacrt standarda 1995. godine. MIB baza je podeljena na devet ,RMON grupa’: Svaka grupa sadr#i razlidit skup statistickih podataka o mrezi. Ako imate veliku mrezu sa mnogo WAN veza, tre- balo bi da razmotrite kupovinu sondi da biste smanjili SNMP saobraéaj kroz WAN veze. Kada ve imate pristup zbirnim statisti¢kim podacima od RMON sondi, obiéno ne treba da daljinski prikupljate sirove podatke. Mnoge skretnice i usmerivaci podrza- vaju RMON i éuvaju bar neke statisti¢ke podatke 0 mreZi.632 20.8 Linux: priruénik za administratore AGENT NET-SNMP Kada je protokol SNMP prvobitno standardizovan, realizovali su ga univerzitet Carn- egie Mellon (CMU) i MIT. Program koji je napravio CMU bio je kompletniji i brzo je postao de facto standard. Kada je ovaj program na CMU prestao da se aktivno razvija, istrazivati fakulteta Davis pri Kalifornijskom univerzitetu preuzeli su softver. Posto su stabilizovali kéd, preneli su odrdavanje na skladiste SourceForge. Taj paket se sada zove NET-SNMP. Distribucija NET-SNMP danas je autoritativna besplatna realizacija protokola SNMP za Linux. Ona obuhvata SNMP agenta, nekoliko alatki koje se pokrecu s koman- ne linije iéak i biblioteku za razvoj programa koji mogu da rade s protokolom SNMP. Detaljnije éemo razmatrati agenta, a na strani 633 prikaza¢emo alatke koje se pokrecu skomandne linije. Poslednju verziju mozete naci na adresi net-snmp.sourceforge.net. Kao i u drugim realizacijama, agent prikuplja informacije o lokalnom raéunaru i Salje ih preko mreze SNMP upravijacima. Podrazumevana instalacija ukljuduje baze MIB za statisti¢ki prikaz mreZnog interfejsa, memorije, diska, procesa i centralnog procesora. Agent je lako prosiriv, posto move da izvr8i bilo koju komandu Linuxa ida njen rezultat vrati u vidu SNMP odgovora. Ovo svojstvo programa moiete upotrebiti za nadzor gotovo svega na sistemu. Agent se podrazumevano instalira kao /usr/sbin/snmpd. Obiéno se pokrece tokom podizanja sistema i oditava informacije o konfiguraciji iz datoteka koje se nalaze u direktorijumu /ete/samp. Najvaznija od tih datoteka jeste snmpd.conf, koja sadrii veéinu informacija o kon figuraciji, a podrazumevana verzija te datoteke sadrii prilian broj primera metoda za prikupljanje podataka. Iako izgleda da je namera autora paketa NET-SNMP bila da korisnici menjaju samo datoteku snmpd.local.conf, moracete da izmenite datoteku snmpd.conf bar jednom da biste iskljuéili podrazumevane metode prikupljanja podataka koje ne nameravate da koristite. ‘Skript za konfigurisanje programa NET-SNMP omogucava navodenje podrazume- vane datoteke za pra¢enje rada i nekoliko drugih lokalnih parametara. Upotrebite komandu snmpd -I da biste definisali alternativnu datoteku za evidenciju ili opeiju -s da biste usmerili evideneiju rada programa u syslog. Tabela 20.2 prikazuje najvainije opcije programa snmpd. Preporuéujemo da uvek koristite opeiju -a. Za pronaladenje i uklanjanje gresaka upotrebite opcije -V, -d ili -D, koje redom daju sve vide informacija. Tabela 20.2 Korisne opcije programa NET-SNMP snmpd Opcija.——Funkcija -Idatoteka Snima informacije u zadatu datoteku oa Beledi adrese svih SNMP veza -d Beledi sadréaj svakog SNMP paketa v Omoguéava detalinu evidenciju rada D Bele2i informacije o greskama (mnoitvo informacija) ch Prikazuje sve opcije programa snmpd H Prikazuje sve naredbe konfiguracione datoteke ~A Dodaje podatke datoteci za evidenciju rada umesto da ih prepisuje s Snima podatke u syslog (koristi sisternsku uslugu)20.9 Poglavije 20 _Upravijanje mrezom i otklanjanje gresaka u mrezi 633 Vredi napomenuti da se na Internetu mogu na¢i mnogi korisni Perl moduli za rad s protokolom SNMP. Pogledajte lokaciju CPAN* ako vas interesuju najnovije informa- cije o pisanju skriptova za upravijanje mrezom. PROGRAMI ZA UPRAVLJANJE MREZOM Zaposeéemo ovaj odeljak prikazom najprostijih alatki za upravljanje mrezom pomoéu protokola SNMP: komandi koje se isporuéuju uz paket NET-SNMP. Te komande su korisne za upoznavanje s protokolom SNMP, a odlitne su i za proveru pojedinih OID identifikatora. Zatim éemo pogledati program MRTG, koji pravi dijagrame vremenskih promena SNMP vrednosti i program NOCOL, sistem za nadzor dogadaja. Zavrsiéemo s preporukama o tome sta bi trebalo da trafite prilikom kupovine komercijalnog sistema. NET-SNMP alatke Cak i ako ste dobili drugaéiji SNMP server, mozda cete ipak Zeleti da prevedete i insta- lirate Klijentske alatke iz paketa NET-SNMB, navedene u tabeli 20.3. Tabela 20.3 Alatke paketa NET-SNMP koje se pokrecu s komandne linije Komanda Funkcija ‘snmpdelta Nadzire promene SNMP promenljivih tokom vremena snmpdf Nadzire prostor na disku udaljenog raéunara preko protokola SNMP snmpget Cita vrednost SNMP promen|jive snmpgetnext Cita sledecu promenijivu u nizu snmpset Menja SNMP promenijivy pomocu agenta snmptable Cita tabelu SNMP promenljivih snmptranslate Trai opisuje OID identifikatore u hijerarhiji baze MIB snmptrap GeneriSe upozorenje kiopke snmpwalk Prolazi kroz MIB bazu potev od odredenog OID identifikatora Osim s komandne linije, navedeni programi su izuzetno korisni u jednostavnim skriptovima, Cesto je korisno kada program snmpget snima zanimljive vrednosti podataka u tekstualnu datoteku svakih nekoliko minuta. (Upotrebite uslugu cron da biste definisali vremenski raspored; pogledajte poglavlje 9, Periodi¢ini procesi) Program snmpwalk je jo8 jedna korisna alatka. Poéev od odredenog OID identi- fikatora (ili podrazumevano od poéetka MIB baze), ova komanda stalno upucuje pozive ,get next agentu. Rezultat toga je kompletan spisak svih dostupnih OID iden- tifikatora i njihovih vrednosti. Evo primera ispisa rezultata sampwalk na ratunaru jaguar (,,public* je lozinka): % snmpwalk jaguar public system.sysDescr.0 = Linux jaguar 2.2.12-20 #1 Mon Sep 27 10:40:35 EDT 1999 system.sysUpTime.0 = Timeticks: (88516617) 10 days, 5:52:46.17 system.sysName.0 = jaguar system.sysLocation.0 = Second Floor Machine Room interfaces.ifNumber.0 = 2 4. CPAN (Comprehensive Perl Archive Network) zadivljujuéa je kolekcija korisnih Perl modula, Potrazite jena adresi www.cpan.org.Linux prirugnik za administratore interfaces. ifTable.ifEntry.ifindex. interfaces. ifTable. i féntry. ifindex.2 interfaces. ifTable.ifentry.ifDescr.1 = "100" Hex: 6C 6F 30 interfaces. ifTable.ifEntry.ifDescr.2 = “ethO" Hex: 65 74 68 30 interfaces.ifTable.ifentry.iflype.1 = softwareLoopback(24) ‘interfaces. ifTable.if€ntry.iflype.2 = ethernet-csmacd(6) interfaces. iffable.iftntry.ifMtu.1 = 3924 interfaces. iffable.ifentry.ifMtu.2 = 1500 interfaces. ifTable.ifentry.ifIndctets.1 = 12590602 interfaces.iffable.if€ntry.ifInOctets.2 = 228718531 interfaces.iftable.ifintry.ifInErrors.1 = 0 interfaces.ifTable.ifintry.iflnErrors.2 = 218 interfaces. ifTable. ifntry.ifOutOctets.1 = 12591593 interfaces.ifTable.ifentry. i fOutOctets.2 = 3374588125 1 2 U navedenom primeru prikazane su opite informacije o sistemu, praéene stati- sti¢kim prikazom mreénih interfejsa ra¢unara, lo0 i eth0. U zavisnosti od MIB baza koje podréava agent s kojim radite, kompletan izvestaj moze imati stotine redova. MRTG: Multi-Router Traffic Grapher Program MRIG, koji je napisao Tobi Oetiker sa Elektrotehnickog fakulteta u Cirihu, prikuplja SNMP podatke tokom vremena i zatim iscrtava njihov dijagram. Vecim delom je napisan na programskom jeziku Perl. MRTG je neprocenjiv kada treba ana- lizirati kori8éenje sistemskih i mreZnih resursa tokom vremena. Program MRIG se pokrece u pravilnim vremenskim razmacima pomocu usluge cron i mote da prikupi podatke s bilo kog SNMP izvora. Svaki put kada se program pokrene, snimaju se novi podaci i prave novi dijagrami, MRIG je besplatan i nudi nekoliko privlatnih moguénosti. Program sam odréava stati¢ku bazu podataka o kojoj korisnik ne mora da brine; softver éuva samo onoliko podataka koliko mu je potrebno da bi napravio neophodne dijagrame. Na primer, MRTG mode da snimi po jedan podatak za svaki minut u toku dana, jedan podatak svakog sata tokom nedelju dana i jedan podatak svake sedmice u godini, Takav nagin rada omoguéava odréavanje vainih informacija bez potrebe da se Cuvaju nevazni detalji ili gubi vreme na administriranje baze podataka. MRI moze da snimi bilo koju SNMP promen[jivu i da napravi njen dijagram, Imate punu slobodu da prikupljate koje god podatke Zelite. U kombinaciji s NET- -SNMP agentom, MRTG moje da prikaze vremenski pregled rada za gotovo svaki mreéni resurs. Na slici A prikazani su primeri dijagrama napravijenih pomoéu programa MRTG. ‘Ti dijagrami prikazuju saobracaj preko mreznog interfejsa tokom dana i sedmice, Buducnost programa MRTG ledi u novo paketu RRDtool, koji je napisao isti autor. RRDtool je po konceptu sligan programu MRTG, ali bolje obraduje podatke i bolje pravi grafikone. Za razliku od programa MRTG, RRDtool nema svoje metode prikupljanja podataka, Umesto toga, poseban program mora da prikupi podatke.Poglavije 20 _Upravijanje mredom i otklanjanje gregaka u mrezi 635 Alatka Cricket Jeffa Allena najbolji je izbor za obavijanje tog zadatka. Cricket nije ograniéen samo na prikuplianje SNMP podataka; on moze da prikupi podatke sa gotovo svakog izvora na mreZi. Posto je napisan na jeziku Perl, lako mu se dodaju novi izvori podataka. Na matitnoj Web strani Tobija Octikera, ee-staff.ethz.ch/~oetiker, naci ete veze sa aktuelnim verzijama programa MRTG, RRDtool i Cricket. Slika A Primeri dijagrama programa MRTG 2020.8 k 1500.0 k 1000.0 kc 520.0 k ts 2k 6 8 10 12 14 16 18 20.2 6 2 4 6 8 1@ 12 14 24.8 4 : 1.0m 12.014 Fri Sat Suns Mon Tue, Wed STF? Sat NOCOL: Network Operation Center On-Line Program NOCOL je alatka za upravijanje mrezom zasnovana na dogadajima, koju odriava Vikas Aggarwal. ako ona ne¢e pomoéi da odredite koliko je poraslo iskori- Séenje propusnog opsega tokom proslog meseca, uputi¢e vam poruku kada padne ser- ver. U stvari, program NOCOL moie se konfigurisati tako da preko sistema za slanje poruka (li elektronske poste) obavestava osoblje o mnogim vrstama dogadaja. Osnovni paket ukljueuje programe za nadzor koji nadgledaju razne tacke sistema ukojima obiéno dolazi do kvarova. Mozete da napisete nove programe za nadzor na Perlu ili éak ina C-u ako ste ambiciozni. Obaveitenja se mogu slati elektronskom po’- tom, objavijivati na Webu ili na ekranu pomocu biblioteke curses. Program éak moze zvati administratora pomoéu modema ako primeti nesto znatajno. Kao i kada su u pitanju programi za nadzor, lako je napraviti namensku verziju izvestaja. Ako ne mofete sebi priustiti komercijalnu alatku za upravijanje mreZom, preporu- éujemo da ozbiljno razmislite o programu NOCOL. Softver radi veoma dobro na mre- Zama s manje od 100 racunara i uredaja. Podatke o tom sistemu potragite na adresi www.netplex-tech,com,636 20.10 Linux: prirucnik za administratore Ine platforme za upravijanje mrezom Stotine kompanija prodaje softver za upravljanje mrezama, a novi konkurenti se pojavijuju svake sedmice. Umesto da preporucimo najnovije proizvode (koji mozda vie i neée postojati kada budete éitali ovu knjigu), pokusacemo da izdvojimo mogué- nosti koje bi trebalo da trazite u sistemu za upravljanje mrezom. Fleksibilnost u prikupljanju podataka: Vaino je da alatke za upravijanje mrezom mogu da prikupljaju podatke i iz drugih izvora osim protokola SNMP. Mnogi paketi su sposobni da prikupljaju podatke od skoro svake mrezne usluge. Na primer, neki paketi mogu da upucuju SQL upite bazama podataka, da proveravaju DNS zapise i povezuju se s Web serverima. Kvalitet korisnickog okruzenja: Skupi sistemi éesto nude namenska graficka ili Web okruzenja za rad. Vecina savremenih paketa mofe se prilagoditi pomoéu XML Sablona. Tako korisnitko okruzenje esto izgleda kao marketinska caka, vazno je da program prenosi informacije jasno, jednostavno i sveobuhvatno. Cena: Neki paketi za upravljanje mrezama veoma su skupi. HP-ov paket OpenView jedan je od najskupljil i najgire prihvacenih sistema za upravljanje mrezama. Mnoge kompanije smatraju da im se svakako isplati to to mogu da kaZu da njihovu mrezu odréava visokokvalitetan komercijalni sistem. Ako vasoj organizaciji to nije toliko bitno, potrazite na drugoj strani spektra besplatne alatke kao sto su MRTG i NOCOL. Automatsko prepoznavanje mreze: Mnogi sistemi omoguéavaju ,otkrivanje* mreze. Putem kombinacije signala ping, SNMP zahteva, pretraga ARP tabela i DNS upita, oni mogu da pronadu sve lokalne ra¢unare i uredaje. Sve realizacije otkrivanja koje smo videli rade priliéno dobro, ali nijedna nije veoma taéna na sloZenoj mrefi (ili na mredi s mnogo zaititnih barijera). Moguénosti izvestavanja: Mnogi proizvodi mogu poslati upozorenja putem elek- tronske poste, aktivirati pejdzere i automatski napraviti izvestaje koje koriste popu- larni sistemi za pronalazenje gresaka. Potrudite se da platforma koju izaberete ima fleksibilne moguénosti izvestavanja; ko zna s kakvim éete elektronskim uredajima imati posla u sledecih nekoliko godina? Upravljanje konfiguracijom: Funkcije nekih proizvoda daleko su iznad nadzora i upozoravanja. One omoguéavaju upravljanje konfiguracijom raéunara i uredaja. Na primer, CiscoWorks putem protokola SNMP omogucava izmenu konfiguracije usme- rivata, Posto informacije o konfiguraciji uredaja omoguéavaju dublju analizu mre- inih problema, predvidamo da ¢e se mnogi paketi u buduenosti razvijati u tom praycu. PREPORUCENA LITERATURA Cisco ONLINE. Internetworking Technology Overview: SNMP. http://www.cisco.com/univered/ce/td/doc/cisintwk/ito_doc/snmp.htm. HUNT, CraiG i GIGI ESTABROOK. TCP/IP Network Administration, Second Edition, Sebastopol: O'Reilly & Associates. 1998.Poglavije 20 _Upravijanje mrezom i otklanjanje gregaka u mrezi 637 STALLINGS, WILLIAM. Snmp, Snmpv2, Snmpv3, and Rmon 1 and 2, Third Edition. Read- ing, MA: Addison-Wesley. 1999. Sledeci RFC dokumenti mogu biti korisni. Umesto da citiramo njihove naslove, opisali smo njihov sadréaj. Sami naslovi su smeSa beskorisnih modernih izraza i SNMP Zargona. RFC1155 — Osobine prostora podataka protokola SNMP (tipovi podataka itd.) REC1156 — MIB-I definicije (opis OID identifikatora) RFC1157 ~ Simple Network Management Protocol RFC1213 — MIB-II definicije (OID identifikatori) RECs 1901-1910 — SNMPv2 RFC2011 - SNMPv2 MIB za IP RFC2012 - SNMPv2 MIB za TCP RFC2013 - SNMPv2 MIB za UDP RFC2021 — RMON verzija 2 uz koriscenje SMlv2 RFC2570 — Uvod u SNMPv3 20.11 VEZBANJA V20.1 Traiite problem na mredi i rezultat komande netstat -rn izgleda ovako: Destination Gateway Genmask Flags MSS Window irtt Iface 128.138.202.0 0.0.0.0 255.255.255.0 U 40 0 0 etho 127.0.0.0 0.0.0.0 255.0.0.0 u 40 0 0 Io U éemu je problem i koju komandu biste upotrebili da ga otklonite? % V20.2 Napisite skript koji nadzire odredeni skup raéunara i obavestava administra tora elektronskom postom u sluéaju da racunar prestane da odgovara na signal ping tokom odredenog vremena. Nemojte upisivati u kéd spisak racu- nara, adresu elektronske poste na koju se Salje obavestenje ili duzinu vremen- skog intervala koja ¢e se koristiti da bi se definisala greska. + V20.3. Eksperimentifite s promenom mrezne maske ratunara na lokalnoj mreéi. Da lijo8 radi? Da li mozete do¢i do bilo koga na mredi? Da li drugi raéunari mogu doéi do vas? Da li radi neusmereno emitovanje (npr. ARP zahtevi ili paketi DHCP discover)? Objasnite svoje nalaze, (Zahteva administratorski pristup.) + V20.4 Upotrebite komandu traceroute da biste pronaili putanje usmeravanja na medi. a) Koliko skokova je potrebno da bi se napustio lokalni ogranak? b) Postoje li usmerivadi izmedu ra¢unara na kojima imate naloge? ©) Moiete li naci uska grla? d) Dali racunar ima viSe mreZnih veza?638 Linux: priruénik za administrator deve V20.5 tok V20.6 Yee V20.7 Napravite MIB bazu koja obuhvata sve promenljive koje biste Zeleli da vidite ili postavljate kao administrator sistema na Linuxu. Omogucite prosirenje te baze da bi obuhvatila vaine promenljive koje ste zaboravili. Upotrebite komandu tepdump da biste prisluskivali saobraéaj slede¢ih pro- tokola. Za sesije u protokolu TCP ukljuite i oznacite poéetne i zavrane pakete. Treba da dobijete cist, dobro formatiran rezultat. (Zahteva administratorski pristup.) a) ARP b) ICMP echo zahtev i odgovor c) SMTP d) FIPiFTP-DATA e) DNS. f) NFS Pomoéu programa MRTG napravite dijagrame koji prikazuju pakete poslate lokalnom usmerivacu i dobijene od njega. Ovo zahteva da SNMP paket posalje upit usmerivaéus morate znati lozinku za pristup usmerivacu koja omoguéava Citanje podataka.