Zkouška bude fulltextNečitelný je nanapsanéVe WIS je složka ostatní, zde je příklad úloh jaké se mohou objevit - vyplnění tabulky, popsání dokumentace.Z toho co bylo na přednáškách jako úkoly a doporučené čtení.

Architektura poč. sítí (OSI-ISO; TCP/IP)Délky Ipv6 adres, ve které hlavičce se +- co nachází. Port je v L4.

prerekvizity

Techniky programování, projekty. Kus programu na naprogramování nebude. Měli bychom však vědět základní věci. Měli bychom mít představu jak vypadá komunikace klient-server (TCP - listen, accept, bind). Iterativní a konkurentní server + implementace. Vznik blokování. Na které úrovni to použít, kde sockety, raw_sockety atp.

Techniky

Architektura - doménový rozdělený strukturovaný prostor. Uzly. Záznamy. Typy záznamů (A, AAAA, ptr, ns, soa, atd.). Typy jsou důležité! (IP adresu pouze A nebo AAAA. Žádný jiný.)Implementace DNS - globální strom, který je rozkouskován na zóny. Typy serverů, primární sekundární, záložní.Protokol DNS - obsahuje hlavičku a tělíčko. Není nutné přsně znát formát, stačí vedět že jsou nějaké sekce a co mohou obsahovat.

DNS

Co to je adresář. Architektura - klienti, serveři. Co kdo dělá.Při popisu architektury nějaké služby bychom měli znát aspoň záklandí příkazy, které se tam vyskytují. Říkají nám co ta služba je schopná dělat. LDAP má search, delete, modifi atd. Speciální vlastnosti služeb - propojování (replikace - přenášení dat bez porovnávání velkých databází). Využití služeb - doplňování poštovních adres. X.500 pro popis scertifikátů. Jeho položky mají formát záznamu LDAP.

Adresářové služby

Architektura NFS. Speciální typ komunikace RPC (vs sockety a použití) relační vrstava, speciální adresování - port mapper.

Souborové systémy

Firewall - typy FWProblém klasifikace a jak ho můžeme provádět (algebraické metody). Různé dimenze metod. Základní stromové metody. Metody založené na bitmapách, které se hodně používají. Rekurzivní prhledávání. Není složité, když se pochopí. Na toto bude pravděpodobně praktický příklad. Tabulka a zapište mi…

Klasifikace služeb

Shaking, policing, 2 základní dom=ny, integrované a diferenciované slu žby + implementace. Token bucket+ leaky packet. Rozdělení na třídy.Metody prevence zahlčení. RED a WRED.

QoS

Architektura (Skokanová). Videokonference a streaming (jaké prvky se používají, signály, protokoly, jaká zařízení, kódování). Není nutné znát algoritmy kodeků (jejich parametry).

Multimedia

SIP, H323 (signalizace). Jak se ustanovujue spojení u SIP a H323.Co tvoří SIP (server, UAC, proxy)Jaké protokoly a jejich typy základních paketůKvalita - měření pomocí MOS a E-model, E-faktor.

IP telefonie

Acrhitektura NetFlow, SNMP, porovnání s jinými systémy (syslog, ICMP)Jaké SW prostředky k tomu můžeme použít.

Správa sítí

U LDAP nebo SNMP znát organizační, funkční a další modely. Nejde o to znát názvy, ale jak se organizují data, jak se adresu, formát ukládání. (MIP)

Příklady:

Opora s. 27

Výcuc:

TCP/IP

ISO-OSI

Novell Netware, AppleTalk

Vrstvové modely○

48bitů, rozdělena na výrobce a sériové číslo□

Fyzické - MAC

Třídy (0 A, 10 B, 110 C, 1110 D, 1111 E)□

Privátní sítě□

Subnetting□

CIDR□

NAT (PAT)□

DHCP (discover, offer, request, ACK) - nastavení na linuxu?□

Logické - IP

Transportní - Post

Aplikační - email, URL

Adresování○

IP adresa, maska, brána, DNS

Nastavování různých OS jako DHCP klienty○

Ipconfig

Arp - info o překladu ARP

Ping (echo, reply), traceroute (tracert - win) (traceroute používá jiný typ IMCP zpráv než ping -TimeExceededMessages)

Netstat -rn (výpis směrovacích tabulek)

Telnet na službu, která nefunguje - ověří se tím nejen ping, ale i běh služby na portu

Sockstat (Netstat -a u windows) - zobrazí aktuální otevřený spojení TCP a UDP.

Ethereal, wireshark, atd… Může používat jen root. (tcpdump sleduje přenos na zadaném rozhraní v unixu)

Zjišťování síťové konfigurace - řešení problémů○

Co je potřeba zajistit pro úspěšné připojení počítače k sítí?

K čemu slouží modul TCP/IP z pohledu aplikací?

Které aplikace využívají TCP/IP?

Jaký je rozdíl mezi UDP a TCP? Jaké jsou min. dílky UDP a TCP paketů?

C jsou to schránky (scokets) a k čemu slouží?

Uveďte rozdělení IP adres do tříd. Které adresy jsou privátní?

Uveďte postup při zjišťování nedostupnosti WWW serveru.

Otázky○

Architektura sítí, adresování, konfigurace TCP/IP•

Roury

RPC

Spojení identifikují 4 položky, 2 porty a 2 adresy□

big-endian□

Sockety - (abstraktní datová struktura)

Způsoby komunikace○

Soubor syntaktických a sémantických pravidel pro výměnu informací mezi entitami.

Protokol - navázání spojení, adresování, p řenos dat, zpracování chyb, řízení toku komunikace, přidělování prostředků○

Konformace - Ukázání, že nově tytvořená aplikace odpovídá příslušnému stanrardu.○

Iterativní/kongruentní server○

Jaké jsou výhody spojení UDP oproti TCP? Pro jaké aplikace byste toto spojeni použili?

Uveďte příklady klientů a server pro následující služby: elektronická pošta, DNS, systém WWW, adresářové služby, vzdálené přihlašování, přenos souborů.

Co se stane, pokud konkurentní server neuzavírá nové schránky vytvořené příkazem accept()?

Jakou funkcí lze zjistit IP adresu a port přidělené systémem? Uveďte příklad.

Vyjmenujte fce pro konverzi čísel do síťového uspořání bytů. Kdy byste je použili?

Jaký typ záznamu získává s DNS funkce gethostbyname()? A funkce gethostbyaddr()?

Vysvětlete pojmy iteraticní a konkurentní server a porovnejte tyto servery.

Jakými funkcemi může UDP/TCP server získat IP adresu a port příchozího spojení?

Kdy může dojít k blokování při komunikace? Jak lze tomu zabránit?

Jak lze nastavit pomocí schránek komunikaci typu broadcast a multicast?

Co musí udělat aplikace, když chce přijímat/vysílat multicastová data?

Jakým způsobem lze naprogramovat aplikaci, která zapisuje a čte data na síťové a linkové vrstvě?

Otázky○

Programování sítí TCP/IP•

Zjišťování adresy podle doménového jména se nazývá name resolution.○

Pro dotazy využívá UDP 53, pro přenos zón však používá TCP.○

Velký objem dat -> speciální hierarchické uspořádání.

Většina dat v db je trvalá.

Přístup k datům je důležitější než jejich aktuálnost.

Originální data jsou v tzv. primárních záznamench a dále se šíří pomocí doménového systému.

Požadavky:○

Struktura, uložení a adresování dat v systému□

Obsahuje domény (podstrom v grafu). Název domény je cesta od kořene podstromu ke koženi□

Absolutní adresa končí tečkou "www.fit.vutbr.cz.". Ve skutečnosti je za tečkou ještě řetězec nulové délky. Adresy neukončené tečkou jsou relativní.

□

Správa doménového prostoru je decentralizovaná.□

Domény (části prostoru se společným suffixem)□

Logické

Obsahuje informace o tom, které servery subdoménu obsluhují, neobsahuje data◊

Zóna typu stub

Obsahuje seznam kořenových DNS serverů.◊

Zóna typu hint

Fyzické části prostoru pod jednou správou se nazývají zóny. Zóna není totožná s doménou, jedna zóna může domén obsahovat i více (nebo naopak).

□

Fyzické

Uspořadání□

Bezpečnost (poštovní servery, ssh)

Existuje speciální strom in-addr.arpa. (dělení po jednotlivých bytech, pořadí je však obrácené -opačná logika IP adres a domén)

Reverzní záznamy□

Prostoru doménových jmen

Aplikace, která se stará o uložení dat v lokálních db.□

Základním úkolem je odpovídat na dotazy směřující na DNS db.□

DNS servery umožňují rotaci zátěže, tak už umožňují nastavit více stejných adres typu A nebo AAAA, mezi kterými poté při dotazu rotují.

□

Úplné, vždy přesné, autoritativní informace o domenách, které spravuje.□

Tyto záznamy jsou uloženy v souboru lokálně na stroji.□

Pro každou doménu musí existovat právě jeden přimární nameserver.□

Primární (master)

Získává informace od primárního serveru - proces přenosu se nazývá přenos zón (zone transfer), tato data mají nějakou expiraci (záznam s vypršenou expirací je obnoven).

□

Je také autoritativní pro danou doménu.□

Sekundární (slave)

Pouze přijímá dotazy od klienta a předává je dalším DNS serverům.□

Pokud dostane odpověď na svůj dotaz, uloží si ji s případnou expirací (záznam s vypršenou expirací je zahozen).

□

Neposkytuje autoritativní odpovědi.□

Záložní (caching-only)

Změna DNS záznamu se servery šíří určitou dobu, pokud tedy potřebujeme aktuální hodnoty, musíme kontaktovat primární nebo sekundární servery.

Při vytváření zóny musí existovat minimálně 2 záznamy: SOA (definice správy domény) a NS (ukzazuje na DNS server dané zóny), pak lze přidávat i další…

/etc/hosts

Většina DNS serverů využívá pro dotazy cache. Odpovědi z cache jsou neautoritativní. Existují i

Typy serveru:□

DNS serverů

Skládá se ze komponent:○

DNS•

Obecné22. září 2011

7:06

ISA - stránka 1

/etc/hostsVětšina DNS serverů využívá pro dotazy cache. Odpovědi z cache jsou neautoritativní. Existují i záznamy v cache pro nenalezené položky, tzv. negativní cache. Cache urychlí vyhledávání, ale může docházet k nekonzistenci dat. Platnost cache se doporučuje od 1 do 5ti dnů, podle typu serveru atp.

Umožňuje aplikacím přistupovat k systému DNS (interpretuje odpovědi, sestavuje dotazy)□

Ze serveru dostává buď odpověď a nebo jméno jiného sereveru, kteýr by mohl informaci vědět.□

Nastavení v linuxu obsahuje nameserver (adresy DNS serverů) a domain (implicitní domény).□

Každému DNS serveru stačí znát adresu kořenového DNS serveru, které mu řeknou kde hledat. Kořenových DNS serverů existuje po světě 13.

Zaslaný dotaz musí DNS server vy řešit a zaslat až výsledek. Sám přitom může využívat rekurzivní nebo iterativní dotazy.

DNS server, který obdržet rekurzivní dotaz vždy přeposílá ten stejný dotaz, nikdy se neptá na NS záznam pro dané domény.

Rekurzivní□

Při tomto dotazování vrací DNS server vždy nejlepší odpověď a pokračování si řeší ten kdo zaslal dotaz sám.b

Iterativní□

Existují 2 druhy dotazů na DNS server, tyto dotazy můžou posílat jak resolvery, tak jiné DNS servery.

Rezoluce□

Resolverů

Jsou uloženy v textové podobně v zónových souborech na primárních DNS serverech.

Všechny typy zasílaných záznamů mají totožný formát, liší se pouze jednou proměnnou položkou (hodnota jí předcházející položky je její délka).

Name - jméno uzlu, kterému záznam náleží□

Type - Typ záznamu□

Třída záznamu (například IN - internet) - ostatní se moc nepoužívají, nahradili je LDAP.□

TTL - Doba platnosti (může být nastaven na hodnotu nula, takový záznam poté nesmí být uložen v cache)□

Zasílané záznamy jsou komprimovány. (používá se ukazatelů na již vytvořené řetězce ve zprávě. Řetězce jsou nejvíce 63 znakové uvozené svoji délko. První dva znaky v délce bytu, tak musí být 00. Pokud nejsou, jsou to řídící znaky pro kompresy.)

A - Běžný IPv4 záznam z URL na IP (tento dotaz je nutný i po dotazech typu MX nebo NS), překládá kanonické jméno.

□

AAAA - IPv4 záznam z URL na IP, □

PTR - reverzní záznamy (opak A) 14.10.229.147.in-addr.arpa. - protože se jedná o jinou doménu, jsou reverzní záznamy uloženy v jiném zónovém souboru. IP adresa musí ukazovat na kanonické jméno. Nutný z hlediska bezpečnosti. SMTP, FTP, SSH kontrolují, jestli se uživatel nenachází například na blacklistech -potřebuje znám kanonická jména na to. reverzní AAAA záznamy jsou ve stromu ip6.arpa.

□

SOA (start of authority) - každá zóna má právě jeden záznam SOA. Obsahuje jméno primárního DNS serveru pro ranou doménu, kontakt na správce domény (email), sériové číslo (k identifikaci změn záznamů), refresh (udává interval obnovy ze sekundárního serveru), retry (interval opakování dotazu ze sekundárního, pokud předchozí byl neúspěšný), expire (maximální platnost dat na sekundárním - pokud to sekundární nestihne, musí data smazat), Minimum (implicitní hodnota TTL obsahovaných záznamů)

□

NS (name server) - Autoritativní server/y pro danou zónu (primární a sekundární). Pomocí těchto záznamů se tvoři hierarchie struktury DNS. Záznam NS ukazuje na níže položené servery ve stromu DNS.

□

MX - Mapuje doménovou adresu na adresu poštovního serveru. Nižší číslo u záznamu -> vyšší preference. Bez tohoto záznamu není možné doručovat poštu.

□

NAPTR - mapování řetězců na data. Umožňují například mapovat telefonní čísla na IP adresy pomocí jednoho záznamu s regulárním výrazem.

□

CNAME - K aliasu přiřazuje kanonické (oficiální jméno). Například k www.fit.vutbr.cz vrací tereza.fit.vutbr.cz. Všechny ostatní záznamy v DNS se musí mapovat na kanonické jméno, přiklad CNAME tedy předchází dotazu A.

□

TXT - Dodatečné info o doméně, správci, servery.□

SRV - Lokalizace služeb a serverů. Použitelný pro distribuci zátěže nebo zálohování. Obsahují preference stejně jako MX. Navíc obsahují váhu pro rozložení zátěže. V dnešní době to využívá například IP telefonie pro zjišťování SIP serveru a jeho čísla portu.

□

LOC - umožňují zadat umístění serveru ve 3 rozměrech. Není moc vhodné z bezpečnostního hlediska.□

Typy:

DNS záznamy○

ICANN - koordinátor systému - správce domén 1. úrovně (TLD domén).○

Sériové číslo u větších zón + záznam změn => Nezasílá se celá zóna

Data se přenáší z primárního na sekundární server po vypršení doby refresh (ze SOA záznamu), nebo pokud primární server zašle zprávy typu NOTIFY (sekundární servery najde podle NS záznamu).

Při přenosu zón je kladen důraz na zabezpečení

Přenos zón○

Knivhona <resolv.h> a <arpa/nameser.h> umo žňuje programovat vlastní dns aplikace.○

2 režimy, interaktivní (pokud je spuštěn bez parametru) a řádkový.□

Nepracuje jako resolver, ale pošle jeden námi zadaný dotaz, který nemusí vrátit uspokojivý výsledek. □

Nslookup

Používá se pro jednoduché překlady doménových jmen na IP adresy a zpět. S dalšími parametry ho lze použít i pro jiné dotazy.

□

Host

Zasílá dotazy a zobrazuje odpovědi tak, jak je pošle DNS server -> často velmi dlouhé výpisy.□

Dig

Nástroje pro zjišťování infa z DNS○

Je nutno zabezpečit integritu dat a autentizaci zdroje dat. Pro to je možné využít podepisování záznamů

veřejným klíčem DNSSEC a soukromým klíčem TSIG.

Útočník odposlouchává dotazy a odpovídá před serverem. Řešením je DNSSEC

Odposlech paketů□

Útočník hrubou silou odhadne 16bitové číslo packetu a 16bitový port klienta a pošle mu špatnou adresu.

Hádání ID a predikce odpovědi□

Útočník upraví odpověď a přidá do ní další položky, server si je pak uloží do cache. Řešením je znovu DNSSEC, kdy by k úpravě zprávy potřeboval útočník privátní klíč.

Zřetězení jmen (otrávení cache)□

Nelze řešit podepisováním, podepisování je ještě zhoršuje kvůli náročnosti.

Řešením je omezení počtu dotazů, nebo kontrola IP adres.

DoS□

Souvisí s otázkou zda kontrolovat neexistenci domény. DNSSEX má mechanismy, které řeknou jaké autoritativní záznamy existují v zóně.

Odmítnutí domény□

Typy útoků:

Symetrická kryptografie (DM5).Nezajišťuje autentizaci a integritu samotných dat, pouze odesilatele a příjemce - podepisuje transakce. Dá se použít mezi DNS servery.

□

Spolu se zprávou se odesílá hash, který je na druhé straně porovnán. Je jedinečný pro každou zprávu. □

Předpokládá nový klíč pro každou dvojici DNS serverů. (tento počet roste kvadraticky s počtem serverů)□

Problém je distribuce klíčů.□

Nelze použít pro veřejné DNS servery, musel by mít každý klíč. □

S TSIG umí pracovat dig nebo nslookup□

TSIG

Asymetrická kryptografie. □

DNSKEY - veřejný klíč

RRSIG - podpis konkrétního záznamu

DS - pro oveření DNSKEY vyšší autoritou (vytváří řetězec důvěry)

NSEC - určuje pořadí záznamů - díky tomu je možné ověřovat neexistující záznamy.

Používá nové záznamy:□

Dokáže podepsat každý záznam□

Dost náročný na výkon. Zdvojnásobuje objem dat a velikost paketů. Citlivý na chyby nastavení.□

DNSSEC

Zabezpečení○

Jaké znáte typy DNS záznamů a jaký typ dat překládají na jiná data?

Co se stane, když pro daný počítač chybí záznam typu PTR.

Jaký je rozdíl mezí zónou a doménou? Může zóna obsahovat více domén? Může doména obsahovat více zń? Uveďte příklad.

Vytvořte příklad přímého a reverzního zńového souboru pro firmu s 10 počítači, kde je jeden poštovní server a jeden WWW server s kanonickým jménem.

Čím se liší zabezpěčení TSIG a DNSSEC? Proti jakým útokům zabezpečují data v DNS?

Vysvětlete rozdíl mezi iterativním a rekurzivním dotazováním.

Co je to rotace záznamů a k čemu slouží? Uveďte příklad konfigurace.

Popište činnost při přenosu zón.

Co se stane, když na sekundárním DNS serveru změním zónový soubor?

Co je to autoritativní server? Jakým způsobem zjistím, které servery jsou pro danou doménu autiritativní a který DNS server je primární?

Otázky○

Adresář se skládá ze záznamů (entries), které obsahují množinu informací o objektu (attributes). Každý atribut má typ a hodnotu. Záznamy jsou uspořádány do kořenového stromu DIT (directiory information tree).

○

DN (distinguished name) - identifikuje jednoznačně záznam. DN záznamu se skládá z DN nad řazeného záznamu a hodnoty atributu záznamu.

○

Hlavní je vyhledávání

Data se nemění

Velký počet záznamů

Velmi jednoduché transakce nad daty.

Nevyžadují atomické zpracování transakcí či zotavení po chybě (rollback).

Samotná data v databázi nevyžadují striktní konzistenci a mohou být mírně neaktuální

Rozdíl oproti db:○

Popisuje uložení a uspořádání dat v databázi (většinou hierarchický přístup).

Centralizovaný adresář na jednom serveru□

Rozložení může být například :

Jmenný prostor○

Adresářové služby•

ISA - stránka 2

Centralizovaný adresář na jednom serveruDistribuovaný adresář na více serverech (podobně jako DNS jen s primárními servery)□

Rozložení zátěže na více serverů (podobně jako DNS i se sekundárními servery)□

Definuje protokoly a informační model pro globální adresářovou službu, která je nezávislá na výpočetním prostředí. Velmi náročný na implementaci -> vznik odlehčené verze LDAP.

Databáze x.500 je uložena v množině adresářových serveru DSA (directory server), z nichž každý obsahuje část adresáře.

DAP (directiory access protocol) - pro přístup do databáze adresářového serveru□

DSP (directory systém protocol) - pro výměnu operačních informací□

DISP (directory Information shadowin protocol) - sdílení dat mezi servery□

Využívá několika protokolů:

X.500○

Označuje celou adresářovou službu, nejen protokol.

Reprezentaci dat v záznamech, způsob uložení, operace, atributy záznamu a hodnoty.

Tyto informace pro konkrétní adresář tvoří tzv. adresářové schéma (neobsahuje vztahy mezi záznamy).

Abstraktní

používá pro určení pozice záznamu v DIT a pro definici obsahu záznamu.

Strukturální

Pomocná

Známe:□

Při definici třídy je jediná povinná položka OID třídy (pro person např 2.5.6.6)□

Existuje třída typu alias, který funguje jako unixový sym-link. Nedoporučuje se používat (Pokud se odkazovaný záznam nachází na jiném serveru, musí server se záznamem alias kontaktovat odkazovaný server pokaždé, když se se záznamem pracuje. Problém může nastat také při zrušení objektu na vzdáleném serveru, na který zůstává aktivní alias.). Je možné na místo aliasů používat odkazy typu referrals, či LDAP URL.

□

Třídy objektů (existuje dědičnost- Odvozený podtyp musí mít stejné použití jako nadřazený typ a také syntaktický zápis hodnot musí být stejný (nebo podrobnější).)

Atribut obsahuje typ a jednu nebo více hodnot.□

Pokud není definována operace ekvivalence pro daný typ atributu, nelze atribut pou žít pro pojmenování či pro vyhledávání. (implementace operací není součástí standardu, záleží na konkrétním adresářovém serveru.)

□

Každý atribut je jednoznačně určen identifikátorem OID (Object Identifier).□

RDN - každý záznam obsahuje své relativní jméno (je složeno z jednoho či výce atributů záznamu). Plně kvalifikované jméno DN se skládá z RDN a DN svého předchůdce.

□

Atributy

Informační model□

Uspořádání dat a vztahy mezi záznamy (hierarchie a odkazování).

Při pojmenování využívá DN, které strukturou připomíná DNS adresu.

Stromová struktura□

Uzly jsou záznamy adresáře.□

Hrany jsou vztahy mezi nimi.□

Záznamy ukládá do DIT.

Atribut ref třídy obsahuje URL ukazující na jiný LDAP server, kde může být informace uložena.□

Existují zase 2 možnosti jak pracovat třídu referral při průchodu. Buď rekurzivně (zřetězeně na straně serveru), nebo iterativně (na straně klienta). Protože rekurzivní přetěžovalo servery je povoleno pouze iterativní a to buď manuální (aplikace řekne uživateli, aby se sám přepnul na jiný LDAP server) nebo automaticky (aplikace začně automaticky procházet jiný LDAP server).

□

Existují záznamy třídy referral, který umožní provazovat oddělené stromy (i na jiných serverech

Jmenný model□

Zabývá se přístupem k datům.

Popisuje operace, které se provádějí prostřednictvím příkazů LDAP protokolu. (základní operace vyhledávání)

Base - pouze v daném objektu□

One-level - pouze v bezprostředních následnících objektu□

Subtree - v celém podstromu LDAP□

Říká například v jaké části adresáře vyhledáváme.

Klasická síťová služba založená na výměně zpráv (jak HTTP třeba). Klient zašle dotaz, servr vytvoří odpověď, která může obsahovat jeden či více záznamů.

Vše běží nad TCP 389.

Bind - přihlášení do adresáře, autentizace□

Unbind - ukončení spojení□

Search - začátek vyhledávání, rozsah, masku (přítomnost atributu, shoda podřetězce), seznam atributů, časový limit, limit na počet záznamů, …

□

Modify - změna konkrétního záznamu□

Add - přidání záznamu□

Delete - zručení záznamu□

Modify Distinguish Name - změna nejlevější komponenty v DN záznamu□

Příkazy -

Funkční model□

Autorizace a autentifikace.

□ Veřejné (anonymní přístup)□ Autentizace□ Kryptování a autentizace

Typy serverů:

Bezpečnostní model□

Pohledy na LDAP (vychází z x.500)

□ Na primárním serveru běží replikační daemon. □ Ten odesílá (podobně jako klient) na sekundární server LDAP příkazy na změnu. (inicializace probíhá

přímým načtením dat z primárního serveru.)□

Okamžitá Odložená (dávková) Manuální

Známe 3 typy synchronizace

Replikace

LDAP (Lightweight Directory Access Protocol)○

○

Doplňování adres v emailu (podobně IP telefonii) K autentizaci uživatelů jiných služeb (pomocí operace bind nad LDAP - radius server) Získávání certifikátů (struktura adresáře vytváří jednotlivé autority, listy jsou uživatelé)

Použítí:

Ldapsearch Ldapmodify

○ LDAP nástroje v UNIXU:

Co jsou to adresářové služby a k čemu slouží? Jak jsou uspořádána data v adresáři? Jak se popisují? Jaký je vztah mezi záznamy, atributy a hodnotami v LDAP? Uveďte příklad. Co je to X.500? Čím se liší od LDAP? Jaké operace používá LDAP? Uveďte příklad dotazu na vyhledání osoby na zadaném serveru. Co je to replikace, k čemu slouží a jak pracuje? Jak lze sdílet data v adresáři LDAP? Popište propojení LDAP a emailového klienta. Uveďte na příkladu klienta nastavení LDAP serveru. Navrhněte adresářové schéma pro FIT VUT. Použijte organizační rozdělení –struktura fakulty, ústavy apod. Navrhněte atributy (včetně typů) pro objekt ucitelFIT, studentFIT. Vytvořte DIT pro VUT. Co je to adresářové schéma? Vytvořte adresářové schéma pro záznam student Navrhněte adresářové schéma pro FIT VUT. Popište architekturu LDAP systému z pohledu komunikace. Jaká porovnávací pravidla lze použít nad atributy LDAP adresáře? Uveďte příklad. Jak lze použít LDAP pro autentizace uživatelů Webových služeb? Uveďte, jak lze využít adresářové služby v IP telefonii či v autentizaci 802.1x.

○ Otázky:

Relační vrstva ISO-OSI Pracují pouze na určité abstrakci (enlze s nimi pracovat na nižších vrstvách).

□ Programátor nemusí znát síťařinu Implicitní síťové programování (většina parametrů je nastavena).

□ Toto například využívá NFS při práci na serveru.

Serverová aplikace se skládá z procedur, které jsou volány. RPC přenáší volání spolu s parametry na server a zpět vrací návratovou hodnotu.

□ Na straně klienta zabalí požadavek do XDR, zakóduje ho to protokolu RPC a předá kníhovně RPC k přenosu.

□ Na straně serveru se stará o registraci programů a vzdálených procedur (portmapper), dékoduje parametry a odesílá výsledky.

□ Server a client stub se generují automaticky, uživatel je nemusí vytvářet.

Rozhraní kam se ukládají parametry se nazývá stub, ten je součástí klienta i serveru.

□ Jednodušší programování než pomocí socketů (volá se pouze vzdálená procedura, navíc velmi podobně jako lokální).

□ RPC zajišťuje správnou reprezentaci dat mezi systémy.

Výhody:

□ Předávání ukazatelů nemá smysl.□ Nelze využít globálních proměnných a vedlejší efekty funkcí□ Odezva je značně pomalejší než u lokálních□ Je nutné řešit bezpečnost při přenášení dat po síti. (autentizace je součástí RPC)□ Vznikají nové chyby (buď na serveru, nebo z důvodu UDP přenosu - RPC používá UDP i TCP, sama

nezajiťuje spolehlivý přenos, očekává to od nižších vrstev)

Nevýhody:

Protokol

○ RPC (remote procedure call)• Souborové a datové služby

ISA - stránka 3

Číslo vzdáleného programu (čísla eviduje centrální nezávislá autorita) Verze vzdáleného prograu Číslo vzdálené procedury

□ Adresování

Volání obsahuje 2 pole pověření (obsahuje například UID a GID) a ověřovatele (využává ho například DES pro bezpečné volání Secure RPC).

Odpověď obsahuje pouze ověřovatele:

□ NULL

UID a GID často například pro NFS nestačí, obsahuje proto seznam adresářů, kde se připojení ověřuje.

UNIX (UID a GID)□

□ SHORT□ DES

Podporovaný druh autentizací:

Interpretace a sémantika autentifikace je nezávislá na RPC.

□ Autentizace

Protokol

□ Vytvoření klienta, který volá vzdálenou proceduru□ Vytvoření serveru, který obsahuje procedury.

□ Hlavičkový soubor pro klienta i server (přes něj se programy navzájem odkazují) - společný pro oba

□ Soubor pro kódování dat (XDR) - společný pro oba

Z tohoto souboru generuje rpcgen:

Client a server stub (zajišťuje komunikace programu s rozhraním RPC)□

□ Specifikační soubor, který definuje rozhraní RPC, názvy programu a procedur (parametry a návratové kódy).

Tvorba aplikace vyžaduje:

□ Protokol prezenční vrstvy - ´jazyk pro popis formátu dat

XDR navíc používá implicitní typování (tj. kódování dat (jejich reprezentace) je součástí normy).□ Zhruba odpovídá ASN.1 (abstráktní syntaktická notace)

□ Definuje datový typy a způsob jejich přenosu (kódování).

Kódování XDR (external data representation)

□ Provádí mapování relační adresy (číslo programu) na transportní adresu (čísla portů)□ Běží na TCP a UDP portu 111

Registraci programu Zrušení registrace Zjištění čísla portu pro konkrétní číslo programu Výpis aktuálního mapování

□ Jedná se o server s číslem 100000, verze 2 -> je sám mapován. Obsahuje 4 procedury:

□ U portmapperu se registrují servery a klienti se dotazují na servery.□ Klient se dotazuje vzdálené procedury portmapperu na port programu, se kterým chce komunikovat.

Portmapper

Klient (součást OS) - server (spravuje datový prostor) Bezstavový - pokud klient neobdrí odpověď do limitu, opakuje dotaz. Není nutné řešit problémy s pádem

systému atp. Využívá RPC na UDP vrstvě a IP vrstvě (nejnovější implementace používají i TCP) Využívá reprezentaci dat XDR Díky RPC je přístup k souborům plně transparentní (na rozdíl od například FTP) Základní jednotkou je ukazatel na soubor file handle (odkaz na soubor nebo adresář) - tento ukazatel však klient

neinterpretuje, pouze ho používá k označování souboru. Pokaždé kdy klient pracuje se souborem předá klient ukazatel serveru, který podle něj identifikuje soubor.

□ None

Nejčastější, je nutno udržovat synchnizaci údají z /etc/passwd.□ UNIX

□ DES (věřejná kriptografie)□ KERB (klíče Kerberos)

Autentizaci řeší NFS pomocí autentizačních parametrů RPC:

□ Klient□ Server

Pracuje také pomocí RPC□ Mount - připojí oddíl

□ Portmappe□ lock manager - zamykání souborů.□ status monitor - monitorování stavu na serveru

Programy tvořící NFS:

□ Pracovat i se speciálními soubory□ Pracovat na TCP nebo SCTP□ ACL□ Připojování svazků a zamykání bez mount a lock manageru

Poslední verze NFSv4 umožňuje:

○ NFS (network file system)

Stejná úloha co NFS avšak mezi win a unix.

□ Protokol pro sdílení tiskáren, souborů, sériových portů, rour, atd. mezi počítači.

Klient - pomocí TCP/IP, IPX/SPX a dalších připojuje na server (přístup vyžaduje autentizaci), kde zadává požadavky

Sever - Spravuje souborový systém, tiskárny a další prostředky

□ Klient-server

Ten je součástí relační vrstvy OSI. Je určen pro izolované LAN sítě (neumí směrovat) -> přenos běží nad TCP/UDP

□ Ustanovit komunikační kanál na NetBIOS□ Dohodnout verzi protokolu□ Nastavení parametrů relace (autentifikace)□ Připojení sdíleného prostředku (autorizace)

Pro ustanovení spojení je nutno (vše zahajuje klient, pošle zprávu a dostane odpověď):

Vyšle se broadcast s NetBIOS adresou, ten PC který má tuto adresu se ozve a pošle svoji IP. Omezeno pouze na broadcastovou doménu.

□ Vysílání IP broadcast

Soubor uchovává lokální mapování□ Použítí souboru lmhosts

Registrace v aplikace nmbd na unixu. Mapování je dynamické (vznikají kolize). NBNS server centrálně spravuje mapování.

□ Servery NBNS

Adresy NetBIOS jsou jednoúrovňové a mají délku 16 znaků (kratší jména jsou doplněna mezerami -poslední byte adresy definuje typ prostředku). Adresa musí být jednoznačná v celé síti. Mapování adres NetBIOS na IP adresy může probíhat 3 způsoby:

□ SMB je navržen pro NetBIOS

Umístění nejsou ve stromu, ale paralelně. Každý zdroj může mít svoje nastavení práv.

□ Adresy jsou ve tvaru <server-name> \\ <share> \\ <path>

Pracuje nad protokolem SMB (CIFS pod windows)

Přístup k souborům a tiskárnám Autentizace a autorizace

□ smbd - server komunikující přes SMB

Překlad adres Vyhledání služeb

□ nmdb - mapování adres NetBIOS na IP adresy pro klienty windows.

2 základní programy:

□ Délka znaků (ze začátku 8+3)□ Case-sensitive□ Práva□ Kódování ISO-8859-2 WIN-1250.□ Datum□ Soft-linky - samba server provádí dereference□ Zamykání (oportunistický zámek)

Problémy win 2 unix:

Každý sdílený zdroj je chráněn heslem□ Share

Ochrana zajištěna pomocí přístupových práv uživatelů□ User

Stejné jako user, jen se není nutné autentizovat ke každému serveru SMB zvlášť□ Server

Doména obsahuje správu uživatelů□ Domain

Autentizace

Jeden z počítačů udržuje seznam všech PC. Ten to řídí.□ Vyhledávání počítačů a prostředků

Každý počítač sám odpovídá co sdílí až po autentizaci.□ Vyhledávání prostředků na konkrétním PC

Vyhledávání v síti

○ Samba

Přenos nad TCP porty 20 (soubory - vytváří se spojení pro každý soubor) a 21 (příkazy) Přihlášení nebo anonymní přístup Aktivní (datový kanál otevírá server) X pasivní (datový kanál otevírá klient - server pasivně naslouchá na řídícím i

datovém portu) Textový nebo binární přenos Klient příkazem PORT říká svoji adresu a port k navázání aktivního spojení

○ FTP

Úplně jiný protokol než FTP○ TFTP

ISA - stránka 4

Úplně jiný protokol než FTP Klient - server byl vytvořen pro načítání konfigurace a operačního systému bezdiskových stanic při jejich bootování. UDP port 69 (stop and wait protokol) Neprovádí autentizaci, pracuje pouze s jedním implicitním adresářem Klient zasílá požadavek. Server zapisuje nebo čte soubor. Protože jde o UDP, server vytváří nový port, na kterém

dále probíhá komunikace. Port klienta se nemění.

Jaké jsou požadavky na síťový souborový systém? Porovnejte adresování RPC s adresováním u schránek BSD. Popište princip vzdáleného volání procedur. Které činnosti vyžaduje NFS při připojování vzdáleného svazku? Popište využití protokolu SMB pro sdílení dat mezi Unixem a Windows. Čím se liší použití NFS, Samby, FTP a TFTP? Jaký je rozdíl mezi pasivním a aktivním přenosem FTP? Porovnejte příkazy mezi systémy NFS, Samba, FTP a TFTP. Jak probíhá komunikace TFTP?

○ Otázka

○ Není u nich takový růst jak se předpokládalo

Vyhrazené přepínané full-duplex okruhy s garantovanou propustností 64kbps. Telefonní ústředny digitalizují analogový signál od telefonů do časového multiplexu. Existují privátní (firemní) a centrální ústředny.

Zavěšeno Zvednuté sluchátko (dochází k uzavření obvodu mezi přístrojem a ústřednou) Vyzvánění

□ Kontrolní - mezi ústřednou a telefonním přístrojem

Tónová volba Pulzní volba (různý počet impulzů pro každé číslo)

□ Adresová

Vyzváněcí tón Obsazovací tón Neznámé číslo další

□ Informační

Signalizace

□ Garantovaná šířka pásma a spolehlivý přenos□ Napájení z ústředny□ Spolehlivost a bezchybnost□ Standardizace□ Digitální telefonie nabízí i věci jako přesměrování hovorů, konferenční hovory, nebo lokalizace ´častníka při

nouzovém volání.

Výhody

○ Klasická telefonní síť

□ Vzorkování - Shanonův teorém. Vzorkuje se 8kHz.□ Kvantifikace - logaritmická (256 hodnot)□ Kódování a komprese□ Zapouzdření do PDU - cisco po 20ms bez ohledu na kodek

DSP procesory pro převod mezi analogem a digitálem (kodek). Jsou součástí telefonů připojených na digitální linku i IP telefonů.

○ Digitální přenos hlasu

Musí pracovat bezchybně a spolehlivě jako klasická Není problém ani tak propustnost a spolehlivost, ale hlavně zpoždění a jitter, z toho důvodu se používá převážně

UDP.

□ Echo - přeslech mezi vodiči□ Ztrátovost - důležitá volba kodeku, protože některé mají odolnost vůči ztrátám.□ Zpoždění - priorizace hlasových paketů - QoS. Pevné zpoždění by mělo být do 150ms. Nad 400ms je již

velký problém. Techniky obsluhy front□ Jitter - eliminace pomocí vyrovnávacích bufferů.□ Kodek

Koukáme na:

Hodnocení skupiny na sobě nezávislých vět posluchači - subjektiní (případně speciálními algoritmy -objektivní). Nejlepší hodnocení dosahuje kodek G.711.

Poslechová kvalita se hodnotí na stupnici MOS (5 stupňů)

□ ACR - absolutní hodnocení - parametr MOS

Na stupnici 0-100 se počítá podle vzorce (hodnoty se odečitají od SNR + výhody) Výhodou je, že tato hodnota lze získat pouze na straně příjemce a není nutno žádné zvláštní

vybavení.

□ E-model a R-faktor

Hodnocení kvality

□ Síťová telefonie běží často ve VLAN□ Ethernetové rámce rozšířeny o příznaky pro QoS.

Důsledky

○ Síťová telefonie

Snížení nákladů při spojení telefonní a datové sítě Centrální správa systému Hlavně snížení nákladů na telefonování zejména při komunikace mezi vzdálenými pobočkami. Signalizační protokoly pro navázání hovoru: SIP, H.323 Transportní protokol RTP

HW nebo SW Může podrporovat signalizace typu SIP, H.323, SCCP a další

□ LDAP adresáře□ Profily□ Jabber

Může nabízet rozšířené služby

□ IP telefon

Zajišťuje přísutp do IP telefonní sítě, registrace uživatele a nastavení. Směrování hovorů Vyhledávání účastníků.

□ Ústředna (gatekeeper)

Slouží k propojení IP tel. sítě s veřejnou tel. sítí. Umožňuje také propojovat sítě s rozdílnou signalizací. Může být součástí ústředny.

□ Brána (gateway)

Poskytuje prostředky pro vytváření vícebodové konference.□ MCU (multipoint control unit)

Správa identity DHCP server Jabber server A další

□ Aplikační servery

Základní prvky:

◊ Vyhledání účastníka (na stejné nebo jiné ústředně)

◊ Zajištění kapacity pro daný hovor (pokud není kapacita, vrací ústředna obsazovací signál)

Vytvoření spojení

◊ Sledování kvality hovoru a případně ukončení při velmi špatné kvalitě

Údržba telefonního kanálu

Ukončení hovoru

□ 3 fáze:

Ústředny musí obsahovat směrovací tabulky (nejedná se však o IP tabulku) Mohou být integrovány ve směrovačích

□ Ústředny

Řízení hovoru:

□

Textový protokol s hlavičkami podobnými HTTP. Komunikace probíhá nad UDP.

◊ Autentizace a autorizace uživatele

◊ Sestavení spojení

◊ Řízení hovoru

◊ Ukončení spojení

Hlavní úkoly:

Pro adresování využívá URI ve tvaru sip:uset@domain Neprovádí rezervací zdrojů pro přenos, ani nastavení parametrů QoS.

◊► Obsluhuje uživatele.►

Registrační server (autentizace a autorizace) Server pro směrování hovorů Lokalizační server (slouží k vyhledání volaného klienta, spolupracuje s registračním

serverem při výměně informací o přihlášených uživatelích) Proxy server (analyzuje zprávy SIP, přeposílá je na další SIP server)

Obsahuje:

SIP server

◊► Iniciuje SIP požadavek.► Po vytvoření spojení zasílá hlasová data transportním protokolem RTP.► Při vzniku spojení domlouvá s volaným parametry hovoru.► Řídí přenos hovoru

Kounikace se skládá ze dvou částí:

SIP telefon

Využívá komponent:

SIP (session initiation protocol) Signalizace

○ IP telefonie

• Hlasové služby

ISA - stránka 5

►

– Vytváří se vazba mezi polohou klienta (přidělená adresa) a identifikátorem SIP (URI)

– Tuto žádost zasílá klient na registrační server. (uvádí adresu a port) - příkad REGISTER

Registrace klienta

– Zasílá adresu volaného - příkaz INVITE– Překlad tel čísla na SIP adresu může probíhat na DNS server (ENUM

mapování, DNS záznam NAPTR) nebo pomocí lokalizačního SIP serveru.– Pokud se povede navázat spojení, je vytvořen datový (transportní) kanál

RTP bez účasti SIP serveru.

Ustanovení spojení

Kounikace se skládá ze dvou částí:

□

Popisuje způsob přenosu audio a video dat nad různými komunikačnimi technologiemi.

◊► Protokol pro registraci

RAS (registration, admission, status)

◊► Vytváří signalizační kanál.

Q.931

◊► Řídící protokol pracující nad TCP.► Vytváření vlastního spojení.► Slouží k vyjednání nastavení a parametrů mezi koncovými body případně body a

ústřednou.

H.245

Skládá se z více standardů (ty obaluje protokol H.225)

Protokoly H.323 jsou binární a pracují nad TCP (SIP je textový a pracuje nad UDP) H.323 nevyžaduje k vytvoření komuniakce ústřednu. Potom se nepoužívá registrace pomocí RAS a

stanice musí mít manuálně zadanou IP adresu cílové stanice.

◊ Manuálně

◊ Pomocí multicastového vysílání příkazem GRQ (gatekeeper request) na adresu 224.0.1.41.

Před vytvořením spojení mezi uzly prostřednictvím ústředny, musí uzly znát IP adresu ústředny.Ta může být zadána buď

◊► Koncové zařízení na LAN, které vytváří full -duplex komunikaci s dalším terminálem,

bránou nebo MCU.

Terminál

◊► Řídí hovor► Nepovinná část systému► Poskytuje adresaci, účtování, přidělování pásma, …

Ústředna (gatekeeper)

◊► Koncový bod v LAN, který ji propojuje s dal ší H.323 bránou nebo jiným telefonním

systémem.

Brána

◊► Zajišťuje komunikaci více terminálů a bran.► Možnost vytváření vícebodové konference.

Jednotka MCU (multipoint control unit)

Využívá komponent:

H. 323

Protokol pro přenos multimediálních dat zpracovávaných v reálném čase. Pracuje nad UDP

◊ Identifikaci typu obsahu

◊ Sekvenční čísla paketů

◊ Časové znaky

◊ Monitorování přenosu

Podporuje:

◊ Řešení zpoždění

◊ Nezaručuje QoS

◊ Nepřenáší znovu ztracené pakety

Nepodporuje

Skládá se z 20B hlavičky a 20-160B těla.

◊ Slouží k předávání řídících informací toku RTP

◊ Slouží k monitorování kvality distribuce dat (počet přenesených dat, počet ztracených paketů, zpoždění, jitter, ...)

◊ Přenosu řídících informací

◊ Přenáší pakaety nejméně každých 5 sekund, provádí zpětnou vazbu stavu sítě.

Definuje protokol TRCP (TRP Control Protocol)

Umožňuje cílovému zařízení přeskládat a upravit pakety dřívě než jsou přehrány uživateli (vyrovnání jitteru a zpoždění).

□ RTP (real-time transport protocol) Přenos hlasových dat

Správa domén je delegována na jednotlivé státy. Například čr: 0.2.4.e164.arpa. V DNS existuje mapující regulární výraz pro tyto typy adres. (Aplikací regulárního výrazu na

doménovou adresu získám adresu ve tvaru URI.)

□ Využívá DNS záznamů NAPRT (doména e164.arpa. obsahuje podstrom telefonních čísel (každé číslo tvoří jednu úroveň)).

□ Má velký význam z hlediska propojování veřejné telefonní sítě a IP telefonie.□ Velkou výhodou je to, že není nutn mít pro každé číslo vlastní záznam.

ENUM - mapování tel. čísel na URI

zahrnuje nejen odposlech, ale i ochranu proti DDoS (tedy dostupnost - chceme 99,999% což odpovídá klasickým linkám (5 minut za rok)).

Tím jak řešíme bezpečnost musíme brát pořád v úvahu nutnost rychlé odezvy.

Protože se směruje všude možně může docházet k odposlechům převážně pouze ve vnitřních sítích.□ Odposlech

□ Viry□ SIPT (spam over internet telephony)□ Phishing (vishing, PHIT)□ DDoS□ Neautorizované použití služby

Základní hrozby

Autentizační prvek (přepínač, wifi router, radius server)□ Řízení přístupu k síťovému médiu prostřednictvím 802.1x

Navíc jednodušší správa a zajištění QoS□ Oddělení pomocí VLAN

Zajištění bezpečnosti na úrovni síťové vrstvy. VPN Mínus - Velká režie

□ IPSec

Rozšíření protokolu RTP pro zajištění důvěryhodnosti, autentizaci a ochranu proti podvrženým přenosům RTP a RTCP.

Nezávislost na nižších vrstvách Malá režie

□ Secure RTP (SRTP)

Prostředky:

○ Bezpečnost VoIP

Voice VLAN (VVLAN) a priorizace paketů (jak SIP a H.323, tak RTP).

□ Rezervace výpočetních zdrojů a přenosového pásma pomocí rezervačního protokolu RSVP□ Vyčlenění hlasových paketů do speciální třídy přenosu (CoS, Class of Servic) a příslušné natavení na

aktivních prvcích.

Pro QoS lze použít 2 postupy:

Počet paketů, které jsou vytvořeny za daný interval□ Rychlost generování paketu

Počet bytů nutných pro uložení hlasu do jednoho RTP paketu (hlavička + data).□ Velikost hlasového vzorku

IP + UDP + RTP□ Režie IP vrstvy

□ Režie linkové vrstvy

V případě přenosu zabezpečeným kanálem□ Režie tunelování

□ Často zasíláme paket každých 20ms. (nutno znát vzorec pro výpočet reálného datového toku)

Výpočet přenosového pásma (je nutno brát v potaz více parametrů)

○ Zajištění přenosového pásma

IP telefonie pracuje nad nižšími vrstvami, není proto problém ji přenést do WAN prostředí. Zde se však výrazně liší kvalita přenosu.

□ 1 gbps běžný.□ Krátké odezvy, nedochází k jitteru, malé ztráty a chyby.

LAN

□ Nižší šířka pásma, delší odezva i jitter. WAN

○ Přenos hlasu v LAN a WAN

Jaké jsou požadavky na kvalitu hlasového přenosu oproti datovému? Vysvětlete převod hlasu na datový signál. Popište architekturu veřejné telefonní sítě. Popište architekturu IP telefonní sítě. Porovnejte signalizační protokoly veřejné telefonie a IP telefonie. Jaké znáte faktory ovlivňující přenos hlasových dat? Jak lze eliminovat účinek těchto faktorů? Popište metodu absolutního hodnocení kvality přenosu ACR. Jaké dva typy měření můžeme použít. Vysvětlete E-model a jeho použití. V čem jsou jeho výhody a nevýhody oproti metodě ACR? Vyjmenujte a stručně popište základní komponenty IP telefonie. Čím se liší centrální a distribuované řízení hovorů u IP telefonie? Porovnejte výhody a nevýhody.

Popište architekturu IP telefonie SIP.

○ Otázky

ISA - stránka 6

Čím se liší centrální a distribuované řízení hovorů u IP telefonie? Porovnejte výhody a nevýhody. Popište architekturu IP telefonie SIP. Popište architekturu IP telefonie H.323. Popište ustavení hovoru pomocí SIP, resp. H.323. Jaké standardy a protokoly používá H.323? Stručně vysvětlete jejich použití. Co je to ENUM a k čemu slouží? Jaké jsou bezpečností problémy VoIP a jak je lze eliminovat? Pro zadaný kodek a režii přenosu vypočítejte potřebné přenosové pásmo. Porovnejte použití VoIP v sítích LAN a WAN.

□ dostupnost (99,9%)□ propustnost (10 Gbps)□ trátovost□ zpoždění□ jitter□

Značení paketů

◊ Obvykle se používá na výstupu od ISP

◊ Rozložení provozu v čase na určitou rychlost pro dodržení SLA.

◊ Ukládá ořesahující provoz do bufferu (výsledkem je výstup s vyhlazeným průběhem)

◊ nedojde k překročení maximální povolené přenosové kapacity

◊ Lze implementovat pomocí Leaky Bucket

Rozložení provozu

◊ Obvykle se používá na výstupu i vstupu k ISP

◊ Přesahující provoz zahazuje (ořezává špičky - využití přenosového pásma není tak efektivní)

◊ Pokud pakety překročí parametry, jsou zahazovány

◊ Lze implementovat pomocí leaky Bucket

Omezení provozu

Tyto požadavky se mohou lišit pro různé datové toky. Využívá se proto mechanismů:

Specifikuje nároky na přenos zákaznických dat○ SLA (service level agreement)

Dnes z důvodu real-time běhu často nedostačující○ Původní návrh IP - best-effort

□ Vytváří rezervované pásmo Integrovaných služeb:

Diferenciovaných služeb:Označuje pakety v IP hlavičce pomocí DSCP.□

○ 2 modely:

Na každém portu zařízení se vytváří fronty (každý port má svoji HW frontu FIFO a SW fronty) Hraje velmi důležitou roli v QoS

Klasické FIFO, často implicitní nastavení Pokud se fronty zaplní vybírá mechanismus pro zahazování paketů, zdali se zahodí paket z fronty

nebo nově přichozí

◊ Předvídatelné zpoždění paketů

Výhody

◊ Neumí zacházet s pakety citlivými za zpoždění

◊ Ani s pakety s vyšší prioritou

◊ Velký paket zpozdí všechny ostatní

◊ Citlivý na DoS útoky

Nevýhody

□ FIFO

◊ Type of service - nověji DSCP v hlavičce IP datagramu.

◊ IP adres

◊ Čísel portů

◊ Dalších

Klasifikace paketů do jedné nebo více prioritních front podle

Každá třída má svoji výstupní frontu. nejdříve je vyprázdněna nejprioritnější fronta a až poté následující Řazení v těchto frontách je klasicky FIFO.

◊ Negarantuje žádné konkrétní parametry přenosu ani maximální hranici využítí přenosového pásma, pouze někteér pakety upřednostňuje.

◊ Může dojít k vyhladovění méně prioritních front

Nevýhody:

◊ Vhodné priorizovat nenáročný tok jako VoIP a směrování.

Výhody:

□ Prioritní fronty

Řeší problém vyhladovění - stejný počet paketů je vybírán z každé fronty. Pokud je v každé frontě rozdílná velikost paketů jsou používány tzv. spravedlivé fronty, které

normalizují odebírané pakety podle jejich délky.

◊ Nedojde k vyhladovění

◊ Definuje minimální přenosové pásmo (dáné přenosovou_rychlostí/počet_front)

Výhody:

◊ Z každé fronty odebírá stejný počet paketů

nevýhody:

□ Cyklické fronty (Round Robin)

Na základě hashovací funkce vytváří fronty pro typy paketů Každému typu provozu přiděluje určitou váhu

□ Váhové fronty WFQ (Weight Fair Queues)

Někdy nazýván Token Bucket Slouží k omezení rychlosti s jakou daný datový tok vystupuje do sítě. Provádí ořezání (policing)

► Dlouhodobé omezení průměrné rychlosti (počet paketů za časový interval)► Tok s rychlostí 100 paketů za sekundu je více omezen než tok 6,000 paketů za minutu, i

když oba toky maj í v delší době stejnou rychlost.

◊ Průměrná rychlost

► Na rozdíl od průměrné rychlosti, která omezuje tok dlouhodobě, toto omezuje tok krátkodobě (v rámci sekund)

◊ Rychlost ve špičce

► Omezení počtu paketů posílaných do sítě v extrémně krátké době◊ Velikost shluků

3 základní kritéria:

Model leaky bucket obsahuje vědro o určité velikosti ve kterém v definované intervaly přibývá žeton. S každým žetonem může být odeslán paket.

Leaky bucket tak vytváří jak omezení průměrné rychlosti, tak velikosti shluků. Pro omezení rychlosti ve špičce za sebe stačí zařadit dvě vědra.

Protékající vědra jsou například předřadit pro fronty v WFQ.

□ Mechanismus Leaky Bucket (protékající vědro)

Typy:

○ Mechanismy plánování

• Zajištění kvality služeb

ISA - stránka 7