Kwalifikacja E.13 Projektowanie lokalnych sieci komputerowych i administrowanie sieciami
Podręcznik do nauki zawodu te c h n ik inform atyk Barbara Halska, Paweł Bensel
l
H elion Edukacja
Sois treści W s t ą p .........................................................................................................
7
R o zd ział 1 . Sieć kom puterow a .............................................................
9
1 . 1 . R od za je sieci
.........................................................................................................................
9
R o zd ział 2. Topologie sieci .....................................................................
11
2 . 1 . T o p o lo g ie fizyczn e ...............................................................................................................
11
2 . 2 . T o p o lo g ie lo g iczn e ...............................................................................................................
16
R o zd ział 3. M edium tra n s m is y jn e ..........................................................
19
3 . 1 . M e d ia p rze w o d o w e
.............................................................................................................
19
3 . 2 . M e d ia b e zp rze w o d o w e .....................................................................................................
24
R o zd zia ł 4. P rotokoły sieciow e .............................................................
27
4 . 1 . M o de l ISO/OSI ......................................................................................................................
27
4 . 2 . M o de l TC P/IP .........................................................................................................................
29
4 . 3 . P ro to ko ły używ ane w sie cia ch LAN ................................................................................
37
4 . 4 . Z a s a d y tra n sm isji w sie cia ch TCP/IP .............................................................................
38
4 . 5 . A d re s a c ja IP ...........................................................................................................................
42
4 . 6 . N a rzę d zia d ia g n o s ty c z n e p ro to k o łó w TC P/IP ............................................................
52
R o zd zia ł 5. U rządzenia s ie c io w e ...........................................................
59
5 . 1 . K arta sie c io w a ......................................................................................................................
59
5 . 2 . K o n c e n tra to r y .........................................................................................................................
61
5 . 3 . P rz e łą c z n ik i.............................................................................................................................
62
5 . 4 . R o u te r y .....................................................................................................................................
62
5 . 5 . P u n kty d o s tę p o w e sieci b e z p rz e w o d o w y c h
...............................................................
64
5 . 6 . M o d e m y ..................................................................................................................................
64
5 . 7 . Firewall s p rzę to w y ...............................................................................................................
65
5 . 8 . K onw ertery m e d ió w .............................................................................................................
66
R o zd ział 6. Konfiguracja sieciow a system ów W indow s .................
67
6 . 1 . K o n fig u ra cja in te rfe jsó w s ie c io w y c h ................................................................................
69
6 . 2 . U d o s tę p n ia n ie z a s o b ó w sie c io w y c h .............................................................................
74
6 . 3 . Lokalne ko n ta u żytko w n ikó w i g ru p ................................................................................
87
6 . 4 . A d m in is tro w a n ie syste m e m W in d o w s Server ............................................................
92
6 . 5 . U słu g i s ie c io w e ...................................................................................................................... 131 6 .6 . U słu g i s e r w e r o w e ................................................................................................................. 164 6 . 7 . K o n fig u ra cja u słu g in tern e to w ych
.................................................................................. 183
6.8. B e z p ie c z e ń s tw o ....................................................................................................................
198
6 . 9 . C en tra ln e za rząd za n ie s ta cja m i ro b o czym i/se rw e ra m i .............................................. 214 6 . 1 0 . M o n ito ro w a n ie w sys te m a ch W in d o w s .......................................................................... 2 20 6 . 1 1 . W irtu a liz a c ja ........................................................................................................................... 228 6 . 1 2 . Pliki w s a d o w e ......................................................................................................................... 240
R o zd ział 7. Linux .........................................................................................245 7 . 1 . In sta la cja syste m u SUSE Linux E nterprise S erver (SLES)
.......................................246
7 . 2 . P o d sta w y syste m u o p e ra c y jn e g o L in u x ........................................................................... 256 7 . 3 . Pakiety syste m u Linux ...........................................................................................................2 70 7 . 4 . K o n fig u ra cja in te rfe jsó w s ie c io w y c h .................................................................................. 274 7 . 5 . Z a rzą d za n ie u żytko w n ika m i i g r u p a m i ..............................................................................277 7 . 6 . Z a rzą d za n ie p ro ce sa m i i u słu g a m i .................................................................................. 283 7 . 7 . M o n ito r in g ...................................................................................................................................295 7 . 8 . U słu g i s ie c io w e ......................................................................................................................... 297 7 . 9 . U słu g i s e r w e r o w e .................................................................................................................... 318 7 . 1 0 . U słu g i in te r n e to w e ............................................................................................................... 335 7 . 1 1 . W irtu a liz a c ja ............................................................................................................................347 7 . 1 2 . S k r y p t y ..................................................................................................................................... 354 7 . 1 3 . C en tra ln e za rzą d za n ie sta c ja m i ro b o c z y m i....................................................................358 7 . 1 4 . K o p ia z a p a s o w a ..................................................................................................................362
R o zd ział 8. K onfigurow anie urządzeń s ie c io w y c h ...............................367 8 . 1 . K o n fig u ro w a n ie urządzeń s ie cio w ych przez p rze g lą d a rkę W W W ...........................367 8 . 2 . K o n fig u ro w a n ie urządzeń s ie cio w ych firm y C is c o ........................................................369 8 . 3 . K o n fig u ra cja p rze łą czn ika ................................................................................................... 372 8 . 4 . K o n fig u ra cja r o u t e r a ............................................................................................................... 384 8 . 5 . K o n fig u ra cja urząd ze ń b e zp rze w o d o w ych
....................................................................400
8.6. K o n fig u ra cja ustug te lefo nii intern e to w ej (V o IP ).............................................................405 8 . 7 . M o n ito rin g sieci i u rząd ze ń s ie cio w ych ........................................................................... 409
R o zd ział 9. Projektow anie i w ykonanie sieci k o m p u te ro w y c h
427
9 . 1 . N o rm y i za le ce n ia zw ią za n e z p ro je kto w a n ie m sieci k o m p u te ro w y c h ....................428 9 . 2 . M e to d o lo g ia tw o rze n ia p roje ktu
....................................................................................... 433
9 . 3 . M o d e rn iz a c ja sieci k o m p u te ro w e j .....................................................................................468 9 . 4 . P rojekt b e zp ie c z e ń s tw a s y s te m ó w i sieci k o m p u te ro w ych .......................................471
W y k a z s k r ó t ó w ..................................................................................................................4 80 S ło w n ic z e k ..............................................................................................................................482 B ib lio g ra fia ..............................................................................................................................4 87 S ko ro w id z
................................................................................................................................ 489
50
Wstęp Podręcznik Kw alifikacja E.13. Projektow anie lokalnych sieci kom puterowych i adm in i strowanie sieciam i omawia treści ujęte w nowej podstawie programowej. Jest prze znaczony dla szkół kształcących uczniów i słuchaczy w zawodzie technik informatyk. Treści zawarte w podręczniku mogą być z powodzeniem wykorzystywane również w przypadku innych kiemnków kształcenia, a także przez osoby, które samodzielnie poszerzają swoją wiedzę z zakresu systemów operacyjnych z gmpy Windows, Linux oraz sieci komputerowych. W podręczniku duży nacisk został położony na praktyczne stosowanie zdobywanej wie dzy, co przekłada się na dużą liczbę opisanych instrukcji postępowania, które czytelnik może w łatwy sposób wykorzystać, pracując w systemie komputerowym.
Sieć komputerowa Siecią komputerową nazywa się grupę komputerów lub innych urządzeń połączonych ze sobą za pomocą dowolnego medium transmisyjnego w celu wymiany danych lub współdzielenia zasobów, np.: • korzystania ze wspólnych urządzeń peryferyjnych i sieciowych (skanera, drukarki), • korzystania ze wspólnego oprogramowania, • korzystania z centralnej bazy danych, • przesyłania danych (jak poczta elektroniczna,pliki itp.).
U . Rodzaje sieci Sieci komputerowe mogą być sklasyfikowane w zależności od sposobu dostępu do zasobów oraz ze względu na obszar działania. DEFINICJA
W zależności od sp oso b u dostępu d o za sob ó w rozróżnia się d w a rodzaje sieci: K lient-serwer — sieć, w której znajduje się jeden centralny serwer udostępniający dane. Peer-to-peer (sieć równoprawna) — sieć, w której wszystkie urządzenia są równoprawne.
Sieć typu klient-serwer jest siecią, w której znajduje się centralny komputer nazywany serwerem (jest to komputer, na którym zainstalowano odpowiednie usługi odpowiadają ce za udostępnianie zasobów, zarządzanie uprawnieniami czy kontami użytkowników). Transmisja typu klient-serwer jest wykorzystywana także w przypadku wielu usług w Internecie. Przykładowo strony WWW są umieszczane na serwerach, z których są pobierane za pomocą przeglądarki internetowej. Komputery pracujące w sieci peer-to-peer są równorzędne wobec siebie, tak jak ma to miejsce w przypadku grupy roboczej w systemie Windows, a więc nie ma centralnego komputera, który pełni funkcję serwera. Każdy z komputerów w takiej sieci może być
komputerem, który udostępnia usługę, jak i odbiorcą usług udostępnionych przez inne komputery takiej sieci. DEFINICJA
Ze w zględu na obszar działania sieci kom puterow ej rozróżniane są sieci: LAN {ang . Local Area Network) — sieć lokalna działająca na niewielkim, ograniczonym obszarze. MAN {ang. M etropolitan Area Network) — sieć m iejska (m etropolitalna) działająca na większym obszarze, np. m iasta Łódź — LODMAN. WAN {ang. W ide Area N etw o rk) — sie ć ro zle g ła d zia ła ją ca na d u ż y m obszarze, np. POLPAK-T.
Przykładem sieci lokalnej LAN jest sieć obejmująca swoim zasięgiem budynek szkoły. Najczęściej spotyka się sieci zbudowane z wykorzystaniem technologii Ethernet. Sieciami rozległymi można nazwać sieci dużych firm łączące oddziały na terenie całego kraju. Mianem sieci rozległej określamy również internet, który swoim zasięgiem obej muje cały świat. Tego rodzaju sieci korzystają z wielu technologii transmisji na dalekie odległości, takich jak Frame Relay, ATM, DSL.
Topologie sieci Topologie sieci lokalnych mogą być opisane zarówno na płaszczyźnie fizycznej, jak i logicznej. Topologia fizyczna określa organizację okablowania strukturalnego, topo logia logiczna opisuje dostęp do medium fizycznego oraz reguły komunikacji, z których korzystają podłączone do sieci urządzenia. Obie płaszczyzny topologii są ściśle ze sobą powiązane.
.
y__
Z .2 J . Topologie fizyczne 2.1.1. T o p o lo g ia m a g is tra li
W sieci zb u d o w a n e j w topologii m ag istrali (ang. bus) w szystkie e lem enty podłączone są d o jednej w spólnej m agistrali (zazwyczaj kabla koncentrycznego). Sieć um ożliwia tylko jed n ą transm isję w danym m om encie — sygnał nadany przez jedną ze stacji jest odbierany przez w szystkie pozostałe, lecz tylko adresat g o interpretuje (rysunek 2.1).
Rysunek 2.1. T o p o lo g ia m a gistra li
C
D
Końce magistrali są wyposażone w tzw. terminatory (rysunek 2.2), których zadaniem jest wyeliminowanie odbicia sygnału od końca kabla. Odbicia te zakłócają, a nawet uniemożliwiają komunikację w sieci. Rysunek 2.2. T e rm in a to r (w ersja p rz e z n a czo n a d o s to s o w a n ia z c ie n k im ka b le m k o n c e n tryczn ym )
Maksymalna długość segmentu: •
cienki koncentryk (10Base2) — 185 m,
•
gruby koncentryk (10Base5) — 500 m,
•
IOBroad36 — 1800 m.
Maksymalna przepustowość łącza to 10 Mb/s. Do zalet sieci budowanych w topologii magistrali należą: brak dodatkowych urządzeń sieciowych, takich jak koncentratory i przełączniki, spora odległość pomiędzy węzłami oraz użycie niewielkiej ilości kabla i niska cena instalacji sieci (węzły łączy pojedynczy kabel). Wśród wad trzeba wymienić często występujące kolizje, kłopotliwość lokalizacji usterek, możliwość przeprowadzenia tylko jednej transmisji w danym momencie oraz zagrożenie potencjalnym unieruchomieniem całej sieci za sprawą awarii głównego kabla lub nawet rozpięcia dowolnego złącza.
2 .1. 2 . T o p o lo g ia p ie rś c ie n ia
W sieci zbud o w an e j w topologii pierścienia (ang. ring) w szystkie węzty lub e le m e n ty p o łą czo n e są za p o m o c ą je d n e g o n ośn ika w u kładzie z a m knię tym — okab lo w a n ie tw orzy krąg, nie w ystę p u ją za ko ń cze n ia o ka b lo w a n ia (rysunek 2.3), Stosowane są też m etody podw ójnych pierścieni (główny i dublujący). Sygnał wędruje w pętli między komputerami. Każdy komputer pełni funkcję wzm acniacza regenerującego sygnał i wysyłającego go dalej. Przykładem topologii podw ójnego pierścienia jest F D D I (ang. Fiber D istributed Data Interface). Sieć w to p o lo g ii pierścienia tw o rzon a jest za p om o cą kabla koncentrycznego lub św iatłowodu.
Zaletami sieci w topologii pierścienia są: użycie niewielkiej ilości przewodów, elastycz ność w zakresie odległości pomiędzy węzłami sieci (w zależności od rodzaju wybranego medium). Wadą jest łatwość uszkodzenia sieci (uszkodzenie jednego węzła powoduje zatrzymanie transmisji w całej sieci), trudności w lokalizacji uszkodzeń, a także utrud niona rozbudowa sieci.
q i2
Rysunek 2.3. T o p o lo g ia p ie rścien ia
2 .1.3 . T o p o lo g ia g w ia z d y i g w ia z d y ro z s z e rz o n e j (r
DEFINICJA Topologia gwiazdy (ang. star) charakteryzuje się tym, że okablow anie sieciowe
(skrętka) tączy e le m e n ty sieci w centra ln ym p unkcie, któ rym je s t ko nce n tra to r lub przełącznik (rysunek 2.4).
Topologie gwiazdy stały się dominujące we współczesnych sieciach LAN. Są elastyczne, skalowalne i stosunkowo tanie. Główną zaletą topologii gwiazdy jest to, że sieć może działać nawet wtedy, gdy jeden lub kilka komputerów ulegnie awarii, ponieważ każdy komputer jest połączony z centralnym urządzeniem (koncentratorem lub przełączni kiem). Podstawową wadą tego rozwiązania jest to, że w przypadku awarii centralnego 13 — cr
urządzenia cała sieć przestaje działać. Dzieje się tak dlatego, że cały ruch w sieci jest obsługiwany przez koncentrator lub przełącznik. DEFINICJA Topologia gwiazdy rozszerzonej (ang. extended star) jest oparta na topologii
gwiazdy, w której gw iazdy połączone są m iędzy so bą za p om o cą przełączników lub koncentratorów (rysunek 2.5). Ten rodzaj to p o lo g ii pozw ala na rozszerzenie zasięgu sieci i w zm ocnienie sygnału m iędzy segm entam i. W adą takiej to p o lo g ii jest wyższy koszt budow y związany z użyciem dodatkow ych elem entów sieciowych. Podobnie jak w topologii gwiazdy, wykorzystywana jest tutaj skrętka.
Rysunek 2.5. Topo lo g ia g w ia z d y rozszerzo n e j
2 .1.4 . T o p o lo g ia sia tki DEFINICJA Topologia siatki (ang. m esh) p ole g a na zapew nieniu w szystkim urządzeniom
połączeń ze w szystkim i pozostałym i urządzeniam i w sieci (rysunek 2.6). Oznacza to, że każdy host ma w łasne połączenie z pozostałym i.
H i4
Rozwiązanie topologii siatki jest bardziej złożone. Projekt takiej sieci polega na łączeniu ze sobą urządzeń w ten sposób, że każde z nich połączone jest z więcej niż jednym urządzeniem sieciowym. Zalety tego rozwiązania to wysoka prędkość transmisji oraz odporność na uszkodzenia. Wadami tego rozwiązania są wysokie koszty urządzeń sieciowych oraz okablowania, a także kłopotliwa rozbudowa. Rysunek 2.6. T o p o lo g ia siatki
2 .1.5 . T o p o lo g ia sia tki m ie s z a n e j DEFINICJA Topologia siatki mieszanej (ang. m ixed mesh) tączy w sobie różne rozwiązania
— jest połączeniem co najm niej dw óch innych to pologii z różnym rodzajem m edium transm isyjnego (rysunek 2.7). Topologia sieci kom puterow ej te g o typu jest stosow ana w sieciach m etropolitalnych oraz w sieciach rozległych (WAN).
2^2. Topologie logiczne Topologia logiczna opisuje metodę dostępu urządzeń sieciowych do medium transmi syjnego. Generalnie topologie logiczne są podzielone na: •
topologie rozgłaszania,
•
topologie przekazywania żetonu (ang. token).
2 . 2 .1. C S M A /C D Dostęp do medium transmisyjnego w przypadku sieci Ethernet realizowany jest naj częściej przez protokół CSMA/CD (ang. Carrier Sense Multiple Access,/Collision D etec tion), który jest przykładem topologii rozgłaszania. Protokół ten wykrywa, czy łącze jest dostępne, a także reaguje na występujące kolizje. DEFINICJA
W sieci z protokołem CSMA/CD urządzenia przed nadawaniem sprawdzają, czy medium sieciowe nie jest zajęte. Jeśli w ęzeł wykryje, że sieć jest zajęta, będzie oczekiw ał przez losow o w ybrany czas przed ponow ieniem próby. Jeśli węzeł wykryje, że m edium nie jest zajęte, rozpocznie nadawanie i nasłuchiwanie. Celem nasłuchiw ania jest upewnienie się, że żadna inna stacja nie nadaje w tym sam ym czasie. Po zakończeniu transm isji danych urządzenie pow róci do trybu nasłuchiwania.
Jeśli dwa urządzenia rozpoczęły nadawanie w tym samym czasie, występuje kolizja, która jest wykrywana przez urządzenia nadawcze. Transmisja danych zostaje wówczas przerwana. Węzły zatrzymują nadawanie na losowo wybrany czas, po którym jest po dejmowana kolejna próba uzyskania dostępu do medium (rysunek 2.8). Rysunek 2.8. A lg o ry tm b lo ko w y d z ia ła n ia m e c h a n iz m u C S M A /C D
Zamiar nadawania
Wolna linia
TAK
Rozpoczęcie nadawania
Wystąpiła kolizja
ME
Zakończenie transmisji
q ie
Wyślij sygnał zagłuszający
Odczekaj losowy czas
Ta metoda transmisji jest wykorzystywana w sieciach Ethernet zbudowanych na bazie fizycznej topologii magistrali, gwiazdy, gwiazdy rozszerzonej oraz siatki.
2 . 2 . 2 . Token DEFINICJA
D ostęp do m edium transm isyjnego jest realizowany przez przekazywanie żetonu. Żeton (ang. token) dostępu jest określoną sekwencją bitów zawierających inform ację kontrolną. Przejęcie żetonu przez urządzenie sieciow e zezwala na rozpoczęcie transm isji danych. Każda sieć ma tylko jeden żeton dostępu przekazywany m iędzy kolejnymi w ęzłam i sieci. Jeśli kom puter m a dane do wysłania, usuwa żeton z pierścienia i rozpoczyna transmisję. Dane w ędrują p o kolejnych w ęzłach sieci, aż trafią do adresata. Kom puter odbierający w ysyła d o ko m p u te ra n a d a ją ce g o ko m u n ika t o o d e b ra n iu dan ych . Po w eryfikacji kom puter w ysyłający tw orzy nowy żeton d ostępu i w ysyła go d o sieci (rysunek 2.9).
Rysunek 2.9. D zia łan ie m e c h a n iz m u to ke n u
Ta metoda transmisji jest wykorzystywana m.in. w sieciach Token Ring oraz FDDI. I ĆWICZENIA
1.
Sprawdź, jaka topologia fizyczna jest zastosowana w pracowni komputerowej.
PYTANIA
1 . Opisz topologię magistrali. W jaki sposób uzyskuje się w niej dostęp do medium transmisyjnego? 2 . W jakich sieciach wykorzystywany jest mechanizm przekazywania żetonu (tokenu)? 3 . Scharakteryzuj topologię gwiazdy.
q i8
Medium transmisyjne Medium transmisyjne to nośnik danych w sieciach komputerowych. Rodzaj medium transmisyjnego uzależniony jest od typu sygnałów przekazywanych przez niego. Wy różnia się media przewodowe i bezprzewodowe. Przewodowe media transmisyjne to: •
kabel symetryczny (w tym tzw. skrętka),
•
kabel współosiowy (koncentryczny),
•
kabel światłowodowy (światłowód — jednomodowy, wielomodowy),
•
kable energetyczne.
Bezprzewodowe media transmisyjne to: •
fale elektromagnetyczne (fale radiowe),
•
promień lasera.
¡Z 371. M ed ia prze w o do w e 3 .1.1. K abel k o n c e n try c z n y Kabel koncentryczny składa się z miedzianego przewodnika (rdzenia) otoczonego warstwą elastycznej izolacji, która z kolei otoczona jest splecioną miedzianą taśmą lub folią metalową działającą jak drugi przewód oraz ekran dla znajdującego się wewnątrz przewodnika. Ta druga warstwa lub ekran zmniejsza także liczbę zewnętrznych zakłóceń elektromagnetycznych (rysunek 3.1).
▲ Izolacja zewnętrzna
A
> Rdzeń miedziany
Splot miedziany
Izolacja wewnętrzna
R y s u n e k 3 .1 . B u d o w a ka b la ko n c e n try c z n e g o
Podłączenie urządzeń do sieci komputerowej zbudowanej przy użyciu kabla koncen trycznego umożliwiają łącza typu BNC (rysunek 3.2). Ten rodzaj okablowania jest wykorzystywany w sieciach budowanych w topologii pierścienia lub magistrali. Obecnie praktycznie nie stosuje się go w sieciach komputerowych. Maksymalna prędkość trans misji dla kabla koncentrycznego wynosi 10 Mb/s, a maksymalna długość sieci to 500 m. Rysunek 3.2. W ty k ty p u BN C
W przypadku sieci komputerowych używane są dwa rodzaje kabli koncentrycznych: •
gruby kabel koncentryczny 10Base5 (maksymalna długość segmentu 500 m),
•
cienki kabel koncentryczny 10Base2 (maksymalna długość segmentu 185 m).
3 .1. 2 . K a bel s k rę c a n y (B ase-T) Kabel skręcany (skrętka) składa się z zestawu 4 par żył miedzianych skręconych ze sobą. Skręcenie przewodów pozwala na wyeliminowanie zakłóceń elektromagnetycznych. Jest stosowany w topologii gwiazdy. W skrętce każda żyła oznaczona jest osobnym kolorem: zielonym, pomarańczowym, niebieskim, brązowym oraz biało-zielonym, biało-pomarańczowym, biało-niebieskim, biało-brązowym (rysunek 3.3). Rysunek 3.3. K abel typ u skrę tka
Żyły oznaczone kolorem jednolitym i analogicznym mieszanym (np. zielonym i biało-zielonym) stanowią skręconą parę. Całość skręconych par skręca się ponownie w celu wywołania efektu samoekranowania i w rezultacie zmniejszenia poziomu zakłóceń. Ze względu na rodzaje stosowanego ekranowania wyróżnia się następujące kable typu skrętka (rysunek 3.4): •
U/UTP (ang. Unshielded/Unshielded Twisted Pair) — kabel skręcany nieekranowany. Stanowi najpopularniejszy środek transmisji danych, jest stosowany w pomiesz czeniach.
•
F/UTP (ang. Foiled/U nshielded Twisted Pair) — kabel skręcany ekranowany folią z przewodem uziemiającym. Stosuje się go na korytarzach lub na zewnątrz budynków.
•
S/FTP (ang. Shielded/Foiled Twisted Pair) — kabel skręcany z ekranem wykonanym w postaci foliowego oplotu każdej pojedynczej pary i dodatkowo zewnętrznej siatki.
•
SF/UTP (ang. Shielded Foil/Unshielded Twisted Pair) — kabel skręcany z podwójnym zewnętrznym ekranem w postaci foliowego oplotu i siatki.
Rysunek 3.4. R o d za je o k a b lo w a n ia ty p u skrę tka
I
U/UTP
|
|
FAJTP
|
|
S/UTP
|
|
SF/UTP
|
Kabel typu skrętka podłączany jest do gniazd i końcówek typu RJ45 (złącze 8P8C, ry sunek 3.5). Dodatkowe informacje na temat okablowania strukturalnego znajdują się w rozdziale 9. — „Projektowanie i wykonanie sieci komputerowych”. Rysunek 3.5. K o ń c ó w ka R J45.
Maksymalna długość połączenia za pomocą kabla typu skrętka pomiędzy dwoma urządzeniami wynosi 100 m. Po przekroczeniu tej odległości należy użyć aktywnych urządzeń sieciowych w celu wzmocnienia sygnału.
3 .1. 3 . Ś w ia tło w ó d Coraz większą popularność jako typ okablowania zdobywa światłowód. Jest to spo wodowane przede wszystkim jego dużą przepustowością, odpornością na zakłócenia, możliwością transmisji na dalekie odległości (dla standardu 100-BaseFX do 2000 m). DEFINICJA
Najw ażniejszym elem entem system u św iatłow odow ej transm isji danych jest światło, które może być em itow ane przez: •
d iody laserowe (ang. laser diode — LD),
•
d iody elektrolum inescencyjne (ang. light-em itting diode — LED).
Światłowód składa się z płaszcza zewnętrznego (ochronnego), zbioru włókien, natomiast każde włókno to zbiór trzech elementów (rysunek 3.6): •
bufora,
•
płaszcza,
•
rdzenia.
Bufor
Płaszcz Rdzeń
Rysunek 3.6. B u d o w a ś w ia tło w o d u
Promień świetlny, który trafia do rdzenia pod odp o w ie d nim kątem, jest określany jako m od św iatłow odow y. Ze w zględu na liczbę rów nocześnie transm itow anych m o dó w rozróżnia się św iatłowody: •
jedn o m od o w e — transm itujące jeden m od (promień) światła,
•
w ielom odow e — transm itujące wiele m o dó w (promieni) światła.
Światło przenoszone przez włókna kabla światłowodowego zapewnia największą szyb kość transmisji. Realizowana jest ona za pomocą „sygnału świetlnego”, który propa gowany jest we włóknach światłowodu. Sygnał przesyłany pomiędzy urządzeniami sieciowymi ulega zamianie na impuls świetlny przez nadajnik (ang. optical transmitter). Po dotarciu do celu jest odbierany przez odbiornik (ang. optical receiver), a następnie przekształcany na impuls elektryczny. Propagacja sygnału świetlnego (rozchodzenia się) oparta jest na załamaniu (odbiciu). Proces transmisji przez światłowód rozpoczyna się od wprowadzenia pod odpowiednim kątem impulsu świetlnego. Następnie promień rozchodzi się aż do napotkania na swojej drodze punktu odbicia. Odbija się od niego i pokonuje drogę wewnątrz płaszcza, aż napotka kolejny punkt odbicia. Cała transmisja polega na nieustannym (wewnętrznym) odbijaniu się impulsu, dopóki nie osiągnie on celu. Zasadę działania światłowodu przedstawia rysunek 3.7. Światłowody jednomodowe (ang. Single M ode — SM) — transmitują jeden promień (mod) światła. Średnica rdzenia zawiera się w wąskim przedziale 8 - 9 pm, natomiast sam przewód ma standardową średnicę 125 pm. Światłowody wielomodowe (ang. Multi M ode — MM) — transmitują wiele promieni (modów) pod różnymi kątami, dlatego rdzeń włókna ma znacznie większą średnicę ( 5 0 - 6 2 ,5 pm).
Rysunek 3.7. Z a s a d a d z ia ła n ia św ia tło w o d u
Rysunek 3.8. 1 — ś w ia tło w ó d w ie lo m o d o w y , 2 — ś w ia tło w ó d je d n o m o d o w y
Zalety światłowodu jednomodowego: •
ograniczenie zjawiska dyspersji dzięki przesyłowi za pomocą jednego promienia,
•
możliwość przesyłania sygnału na długich odcinkach (nawet do 150 km),
•
szerokie pasmo przenoszenia i niskie tłumienie.
Zalety światłowodu wielomodowego: •
przesyłanie wielu promieni,
•
większa przepustowość na krótkich odległościach (do 2 km).
Sposoby łączenia włókien Włókna światłowodowe można łączyć na trzy sposoby. Są nimi: •
spawanie (ten sposób łączenia pozwala na uzyskanie najwyższej klasy połączenia),
•
klejenie,
•
wykorzystanie złączek.
Poniżej prezentowane są przykładowe standardy sieci Ethernet wykorzystującej łącza światłowodowe: •
100Base-FX — światłowód wielomodowy, maksymalna prędkość transmisji 100 Mb/s, maksymalna długość segmentu — 2000 m,
1000Base-LX — światłowód jednomodowy, maksymalna prędkość transmisji 1000 Mb/s, maksymalna długość segmentu — 10 km, 1000Base-SX — światłowód wielomodowy, maksymalna prędkość transmisji 1000 Mb/s, maksymalna długość segmentu — 550 m, lOGBase-LR — światłowód jednomodowy, maksymalna prędkość transmisji 10 GB/s, maksymalna długość segmentu — 10 km.
CŁ2. M ed ia be zp rze w o d o w e W sieciach komputerowych wykorzystuje się dwa rodzaje bezprzewodowego medium transmisyjnego WLAN (ang. Wireless L ocal Area NetWork): •
fale z zakresu podczerwieni — są stosowane na otwartym terenie bądź wewnątrz budynków. Jako źródła promieniowania fal elektromagnetycznych wykorzystuje się diody elektroluminescencyjne LED (ang. light-emitting diodę) lub diody laserowe.
•
fale radiowe — do transmisji wymagają planowania przydziału częstotliwości z uwzględnieniem maksymalnej dopuszczalnej mocy nadajników, rodzaju modu lacji oraz innych zaleceń Międzynarodowej Unii Telekomunikacji (ITU).
Standardy dotyczące sieci bezprzewodowych opisują m.in. prędkość transmisji i pasmo częstotliwości (tabela 3.1). T a b e la 3 .1 . S ta n d a rd y n a jczę ście j w y s tę p u ją c y c h sieci b e z p rz e w o d o w y c h
Nazwa
Szybkości (Mb/s)
Pasmo częstotliwości (GHz)
802.11
1; 2
2,4
802.11a
6; 9; 12; 18; 24; 36; 48; 54
5
802.11b
1; 2; 5,5; 11
2,4
802.lig
1; 2; 5,5; 6; 9; 11; 12; 18; 24; 36; 48; 54
2,4
802.l in
100; 150; 300; 450; 600
2,4 lub 5
802.11ac
433; 867; 1300; 1733;... 6928
5
802.15.1 (bluetooth)
0,021; 0,124; 0,328; 2,1; 3,1; 24; 40
2,4
Podstawową zaletą sieci bezprzewodowej jest mobilność rozwiązania — aby podłączyć urządzenie sieciowe, nie trzeba prowadzić przewodów, wystarczy jedynie umieścić urzą dzenie w zasięgu działania sieci i odpowiednio skonfigurować. Pozwala to na szybką i łatwą rozbudowę sieci. Do wad sieci bezprzewodowych należy zaliczyć możliwość zakłócenia fal radiowych przez przeszkody znajdujące się na drodze fali niosącej sygnał lub przez warunki atmo sferyczne, a także mniejsze niż w przypadku sieci kablowych bezpieczeństwo transmi towanych danych (brak kontroli nad dostępem do medium transmisyjnego).
Na infrastrukturę sieci bezprzewodowej składają się: •
karty sieciowe,
•
punkty dostępowe,
•
anteny.
Sieci WLAN mogą pracować w dwóch trybach: •
ad hoc, w którym urządzenia łączą się bezpośrednio ze sobą,
•
w trybie infrastruktury z wykorzystaniem punktów dostępowych (ang. access point).
Punkt dostępowy to centralny punkt sieci bezprzewodowej. Przekazuje dane pomiędzy urządzeniami, pozwala także na podłączenie sieci bezprzewodowej do sieci kablowej. Punkty dostępowe mają dwa interfejsy sieciowe: interfejs bezprzewodowy (gniazdo do podłączenia anteny lub wbudowaną antenę) oraz interfejs sieci kablowej (najczęściej gniazdo RJ45 do podłączenia sieci Ethernet). Punkty dostępowe mogą komunikować się między sobą, co pozwala na budowę złożonej infrastruktury łączącej urządzenia znacznie od siebie oddalone. Punkty dostępowe pozwalają na budowę dwóch rodzajów sieci: •
BSS (ang. Basic Service Set — podstawowy zestaw usługowy) — cała transmisja w danej sieci przeprowadzana jest z wykorzystaniem jednego punktu dostępowego.
•
ESS (ang. E xtended Service Set — rozszerzony zestaw usług) — sieć zbudowana z kilku punktów dostępowych, które komunikują się ze sobą za pomocą protokołu IAPP (ang. Inter-Access Point Protocol), tworząc sieć szkieletową. W tego rodzaju sieci urządzenia podłączane są do dowolnego z punktów dostępowych i mogą przemieszczać się między nimi. Tego rodzaju sieci są stosowane m.in. przy budowie hotspotów — publicznych punktów dostępu do internetu.
W przypadku sieci bezprzewodowych ogromne znaczenie ma bezpieczeństwo danych. Ogólnodostępne medium transmisyjne powoduje, że każde urządzenie znajdujące się w zasięgu sieci mogłoby korzystać z jej zasobów. Punkty dostępowe pozwalają na im plementację procedur bezpieczeństwa polegających na filtrowaniu adresów MAC lub IP, a także na zabezpieczenie dostępu do sieci kluczem szyfrującym. Urządzenia bezprzewodowe mogą pracować bez szyfrowania danych (tryb niezalecany ze względów bezpieczeństwa) lub w jednym z następujących trybów szyfrowania danych: • WEP (ang. Wired Equivalent Privacy) — pozwalający na używanie kluczy 64-bitowych lub 128-bitowych. Szyfrowanie WEP zostało złamane i nie jest uznawane za bezpieczne. • WPA (ang. WiFi Protected Access) — zabezpieczenie wykorzystujące cykliczne zmia ny klucza szyfrującego podczas transmisji, może działać w dwóch trybach: Enter prise (klucze przydzielane są przez serwer Radius dla każdego użytkownika sieci) lub Personal (wszyscy użytkownicy sieci korzystają z dzielonego klucza — ang. Pre-Shared Key — PSK).
• WPA2 — poprawiona wersja protokołu WPA, zalecana do zabezpieczeń sieci bez przewodowych. Konfiguracja urządzeń bezprzewodowych zostanie omówiona w rozdziale 8. — „Kon figurowanie urządzeń sieciowych”. ĆWICZENIA
1.
Z jakiego medium transmisyjnego korzystasz? W jakiej topologii jest zbudo wana Twoja sieć w domu/szkole?
PYTANIA
1 . Omów budowę kabla koncentrycznego. 2 . Omów budowę kabla światłowodowego. 3 . Dlaczego żyły w kablu UTP są skręcone? 4 . Wymień rodzaje bezprzewodowego medium transmisyjnego.
y
Ą
Protokoty sieciowe Protokoły sieciowe to zestaw reguł, które umożliwiają komunikację w sieci kompu terowej.
Z f f c l. M odel ISO/OSI DEFINICJA Model odniesienia OSI (ang. Open System Interconnection R eference M odel)
to w zorcow y model transm isji danych w sieciach kom puterow ych. M odel składa się z 7 w arstw (ang. layers) w spółpracujących ze sobą w określony sp o só b (rysunek 4.1). Został on przyjęty przez M iędzynarodow ą O rganizację Standaryzacji ISO w 1984 roku.
Rysunek 4.1. W a rs tw y w m o d e lu OSI
Aplikacji Prezentacji Sesji Transportowa Sieci Łącza danych Fizyczna
Model odniesienia OSI jest wzorcem używanym do reprezentowania mechanizmów przesyłania informacji w sieci. Pozwala wyjaśnić, w jaki sposób dane pokonują róż ne warstwy w drodze do innego urządzenia w sieci, nawet jeśli nadawca i odbiorca
dysponują różnymi typami medium sieciowego. Podział sieci na warstwy przynosi następujące korzyści: •
dzieli proces komunikacji sieciowej na mniejsze, łatwiejsze do zarządzania procesy składowe,
•
tworzy standardy składników sieci, dzięki czemu składniki te mogą być rozwijane niezależnie i obsługiwane przez różnych producentów,
•
umożliwia wzajemną komunikację sprzętu i oprogramowania sieciowego różnych rodzajów,
•
zmiany wprowadzone w jednej warstwie nie dotyczą innych warstw.
Trzy górne warstwy, czyli warstwa aplikacji, prezentacji i sesji, zajmują się współpracą z oprogramowaniem wykonującym zadania zlecane przez użytkownika systemu kom puterowego. Tworzą one interfejs, który pozwala na komunikację z warstwami niższymi. Warstwa aplikacji (ang. application layer) zajmuje się zapewnieniem dostępu do sieci aplikacjom użytkownika. W warstwie tej są zdefiniowane protokoły usług sieciowych, takich jak HTTP, FTP, SMTP. Warstwa prezentacji (ang. presentation layer) odpowiada za reprezentację danych — obsługę znaków narodowych, formatów graficznych oraz kompresję i szyfrowanie. Warstwa sesji (ang. session layer) zapewnia aplikacjom komunikację między różnymi systemami. Zarządza sesjami transmisyjnymi poprzez nawiązywanie i zrywanie połą czeń między aplikacjami. Warstwa transportow a (ang. transport layer) zapewnia połączenie między aplikacja mi w różnych systemach komputerowych, dba o kontrolę poprawności przesyłanych danych. Tutaj następuje podział danych na segmenty, które są kolejno numerowane i wysyłane do stacji docelowej. Stacja docelowa po odebraniu segmentu może wysłać potwierdzenie odbioru, co pozwala zapewnić prawidłowość transmisji. Warstwa sieciowa (ang. network layer) zapewnia metody łączności. W tej warstwie obsługiwane są routing i adresacja logiczna. Warstwa łącza danych (ang. data link layer) odpowiada za poprawną transmisję da nych przez konkretne media transmisyjne. Warstwa ta operuje na fizycznych adresach interfejsów sieciowych (MAC), zapewniając łączność między dwoma bezpośrednio połączonymi urządzeniami. Warstwa fizyczna (ang. physical layer) odbiera dane z warstwy łącza danych i przesyła je w medium transmisyjnym jako bity reprezentowane w konkretny sposób (sygnały elektryczne, impulsy świetlne). Model OSI opisuje drogę danych przesyłanych między aplikacjami, które zostały uru chomione w różnych systemach komputerowych. W przypadku większości usług w in ternecie transmisja między systemami jest realizowana według modelu klient-serwer, a komunikują się aplikacje klienckie (np. przeglądarka internetowa) z aplikacją serwe rową (np. serwer stron WWW).
DEFINICJA
Transm isja w m odelu OSI jest przeprow adzana w dót kolejnych w arstw (na urządzeniu źró dło w ym ), a n astępnie w g órę (na serwerze lub urządzeniu doce lo w ym ). Proces przekazywania danych m iędzy warstwam i protokołu jest nazywany enkapsulacją lub kapsułkow aniem (rysunek 4.2).
Rysunek 4.2. M o d e l e n ka p su la cji
(
"i A plikacji
Dane V
(
P rezen tacji
\f
\ Dane
J
v /*
n
Dane
Sesji
V
V
f
\ T ra n s p o rto w a
V S ieci
J
Nagjów«* f n a n e l ( N.atów.k f —
J
„ segmentu | | segmentu \ uc,llc , V v-------- V V v-------- -V
| ¡ X T " (segment)
i.”kWu“lf Se9mBnt 1 v------------ -O
V \
f
s s r f «*•««)"
Ł ą c za danych
(
Fizyc zn a
\
r . r " ' T Pakiet j
( bu J|TiTjjTT|j bu
| bit
j|TTj|TT
W procesie enkapsulacji dane użytkownika (z warstwy aplikacji) są dzielone w warstwie transportu na segmenty i opatrywane nagłówkiem zawierającym m.in. numery portów. Tak przygotowane porcje danych wędrują do warstwy trzeciej, gdzie jest dodawany na główek zawierający adresy logiczne nadawcy i odbiorcy. Powstaje pakiet. Do pakietów w warstwie łącza danych są dodawane adresy fizyczne — tworzona jest ramka. Ostatnia warstwa — fizyczna — przekształca ramkę z poprzedniej warstwy do postaci pozwa lającej przesłać informację medium transmisyjnym. Dane wędrują do stacji docelowej i tam są ponownie przekształcane, najpierw z bitów na ramki, następnie na pakiety i segmenty, po czym zostają zinterpretowane przez aplikację na komputerze docelowym.
k 2 . M odel TCP/IP Warstwa aplikacji (ang. application layer) to najwyższy poziom, w którym pracują apli kacje, na przykład serwer WWW czy przeglądarka internetowa. Warstwa ta obejmuje zestaw gotowych protokołów, które są wykorzystywane przez aplikacje do przesyłania w sieci różnego typu informacji.
Model TCP/IP (ang. Transmission Contro! Protocol/lnternet Protocol) to teoretyczny m o d e l w arstw o w e j stru ktu ry k o m u n ika cji sie cio w e j. O p ie ra się on na szeregu
w s p ó łp ra cu ją cych ze so bą w arstw (ang. layers). Z a łoże n ia m o de lu TC P/IP s ą pod w zglę d em organizacji w arstw zbliżone d o założeń m odelu OSI, jed n a k liczba w arstw jest m niejsza i lepiej odzw ierciedla praw dziw ą strukturę internetu (rysunek 4.3).
Aplikacji Aplikacji
HTTP, FTP, SMTP, POP3, SNMP
Transportowa
Transportowa
TCP, UDP
Sieci
Internetowa
IP, ICMP, ARP, RARP
Dostępu do sieci
Ethernet, Frame Relay, ATM,
M odel TC P/IP
P rotokoły s ieciow e
Prezentacji Sesji
Łącza danych Fizyczna
M odel OSI
Rysunek 4.3. P o rów n a nie m o d e li OSI i TCP/IP
Warstwa transportow a (ang. transport layer) odpowiada za przesyłanie danych i kie ruje właściwe informacje do odpowiednich aplikacji, wykorzystując porty określane dla każdego połączenia. Warstwa transportowa nawiązuje i zrywa połączenia między komputerami. W tej warstwie działa protokół TCP (przesyłający potwierdzenia odbioru porcji danych, co gwarantuje pewność transmisji) oraz protokół UDP (bez potwierdzeń odbioru). Warstwa internetow a (ang. internet layer) ma za zadanie podzielenie segmentów na pakiety i przesłanie ich dowolną siecią. Pakiety trafiają do sieci docelowej niezależnie od przebytej drogi. Tą warstwą zarządza protokół IP. Tutaj jest określana najlepsza ścieżka i następuje przełączanie pakietów. UWAGA
Zw iązek m iędzy protokołem IP i protokołem TCP jest bardzo istotny. Protokół IP określa d rogę dla pakietów, a protokół TCP zapew nia niezaw odny transport.
C30
Warstwa dostępu do sieci (ang. network access layer) zajmuje się przekazywaniem da nych przez fizyczne połączenia między urządzeniami sieciowymi (np. karty sieciowe lub modemy). Dodatkowo warstwa ta jest wyposażona w protokoły służące do dyna micznego określania adresów IP. Przykład komunikacji z wykorzystaniem protokołu TCP/IP (rysunek 4.4).
Klient
Router
Router
Serwer
Rysunek 4.4. P rzykład tra n sm isji w TCP/IP
4 . 2 .1. P ro to k o ły w w a rs tw ie d o s tę p u d o sie ci Warstwa dostępu do sieci jest odpowiedzialna za wszystkie zagadnienia związane z zestawieniem łącza fizycznego służącego do przekazywania pakietu IP do medium transmisyjnego. Odpowiada między innymi za odwzorowywanie adresów IP na adre sy sprzętowe i za enkapsulację pakietów IP w ramki. Określa połączenie z fizycznym medium sieci w zależności od rodzaju sprzętu i interfejsu sieciowego. Warstwa dostępu do sieci w modelu TCP/IP definiuje funkcje umożliwiające korzysta nie ze sprzętu sieciowego i dostęp do medium transmisyjnego. W sieciach lokalnych protokołem dostępu do sieci jest Ethernet, w sieciach rozległych są to m.in. protokoły ATM i Frame Relay.
E th e rn e t
Standard Ethernet został opublikow any w latach 80. ubiegłego wieku. Transmisja
o siągała szyb kość d o 10 M b/s i była realizow ana przez g rub y kabel ko ncentryczny na odległościach do 500 m. Pierwotny standard technologii Ethernet byt wielokrotnie p o p ra w ia n y w celu d o sto so w a n ia g o d o p o trze b now ych m e d ió w tra n sm isyjn ych i w ię kszych p rę d ko ści tra n sm isji. O b e cn ie ro dzin a te ch n o lo g ii E thernet o b e jm u je następujące standardy; Ethernet (prędkość 10 Mb/s), Fast Ethernet (100 M b/s), G igabit E thernet (1000 M b/s), 10 G igabit Ethernet (10 G b/s), 40 G igabit Ethernet (40 Gb/s) oraz 100 G igabit Ethernet (100 Gb/s).
Ethernet jest najpopularniejszą technologią sieci LAN. Specyfikacje sieci Ethernet obej mują różne media transmisyjne, szerokości pasma oraz inne elementy warstw 1 i 2 modelu ISO. Niemniej jednak podstawowy format ramki oraz schemat adresowania są takie same dla wszystkich odmian standardu Ethernet. Technologie Ethernet określają sposoby ustalania przepustowości łącza sieciowego nazy wane autonegocjacją. Interfejsy sieciowe mogą pracować w wielu trybach, w zależności od rodzaju wykorzystywanego w sieci medium (tabela 4.1). Celem autonegocjacji jest umożliwienie współpracy różnych urządzeń w trybie o najwyższej prędkości akcepto walnej przez wszystkie urządzenia w sieci. Format ramki przyjmuje postać przedstawioną na rysunku 4.5.
P re am bu ła
SFD
A d res d o ce lo w y M AC
A d res ź ró d ło w y M AC
T yp ram ki
D an e
S u m a ko n tro ln a
Rysunek 4.5. R a m ka E thernet
Poszczególne elementy oznaczają: •
Preambuła — składa się z 7 bajtów złożonych z naprzemiennych jedynek i zer.
•
SFD (ang. Start Frame D elim iter), czyli znacznik początkowy ramki w postaci sek wencji 8 bitów (1 bajt).
•
Adres MAC odbiorcy (6 bajtów).
•
Adres MAC nadawcy (6 bajtów).
•
Typ ramki (2 bajty).
•
Dane (46 - 1500 bajtów) — jeżeli dane są mniejsze niż 46 bajtów, to są uzupeł niane zerami.
•
Suma kontrolna (4 bajty).
Tabela 4.1. N a jczę ście j w y s tę p u ją c e sta n d a rd y sieci E th e rn et
IEEE 802.3
standard protokołu CSMA/CD
IEEE 802.3u
Fast Ethernet 100BASE-T
IEEE 802.3z
Gigabit Ethernet (światłowód)
IEEE 802.3ab
Gigabit Ethernet, 1000BASE-T
IEEE 802.11
bezprzewodowy Ethernet
IEEE 802.3ae
10 Gigabit Ethernet (światłowód)
IEEE 802.3bg
40 Gigabit Ethernet (światłowód)
IEEE 802.3bj
100 Gigabit Ethernet (kabel miedziany)
F ra m e R elay DEFINICJA
F r a m e R e la y to p rotokół oraz szybka sieć pakietowa, która pozw ala na łączenie o dle g łych sieci LAN w celu transm isji danych i głosu oraz p rzeprow adzania w ideoi telekonferencji. W tej technice inform acja jest dzielona na ramki o zm iennej długości, które przenoszą dane m iędzy sieciam i LAN, co pozw ala na przekazywanie inform acji m ięd zy u rządzeniam i ko ńco w ym i sieci ro zle g łych (WAN). Fram e R elay z a pe w n ia ko m un ika cję p ołą cze nio w ą o przep ływ n o ści d o 45 M b/s. F u n kcjonuje na w ysokiej jakości łączach telekom unikacyjnych odznaczających się niskim wskaźnikiem błędów.
Sieć Frame Relay składa się z wielu urządzeń sieciowych połączonych kanałami fizyczny mi, na których są tworzone połączenia wirtualne (logiczne). Mogą być one zestawiane na stałe (ang. Permanent Virtual Circuits — PVC) i tymczasowo (ang. Switched Virtual Circuits — SVC). Grupowe połączenia wirtualne (Multicast) są zestawiane na dłuższy czas i zapewniają dostęp wielu użytkownikom jednocześnie do tych samych zasobów sieci. Frame Relay zapewnia gwarantowaną szybkość transmisji (ang. C om m itted Inform a tion Rate — CIR).
A TM
ATM (ang. Asynchronous Transfer M ode) jest te ch n olo gią telekom unikacyjną, która um ożliwia przesyłanie głosu, obrazów wideo i danych przez sieci prywatne i publiczne. P odstaw ow ą p o rcją danych w sieciach ATM jest kom órka, która m a sta łą d łu g o ś ć 53 bajtów. Tworzy ją 5-ba jto w y n ag łó w e k ATM i 48 b a jtó w treści zasadniczej. Małe kom órki o stałej d ługości d oskonale nadają się do przesyłania głosu i obrazów wideo, poniew aż ruch ten nie toleruje opóźnień. Ruch zawierający obrazy w ideo i głos nie musi czekać na przesłanie w iększego pakietu danych.
ATM (ang. Asynchronous Transfer Mode) to asynchroniczny tryb przesyłania danych. Jest technologią telekomunikacyjną szerokopasmową, która umożliwia przesyłanie głosu, obrazów wideo i danych w sieciach prywatnych i publicznych z prędkością 155 Mb/s. Podstawową porcją danych w sieciach ATM jest komórka, która ma stałą długość 53 baj tów. Tworzy ją 5-bajtowy nagłówek ATM i 48 bajtów treści zasadniczej. Małe komórki o stałej długości doskonale nadają się do przesyłania głosu i obrazów wideo, ponieważ ruch ten nie toleruje opóźnień. Ruch zawierający obrazy wideo i głos nie musi czekać na przesłanie większego pakietu danych. Standard ATM może być stosowany zarówno w sieciach lokalnych LAN, miejskich MAN, jak i rozległych WAN.
33 ar
W standardzie ATM zdefiniowane są dwa podstawowe rodzaje styków (interfejsów): •
UNI (ang. User N etw ork Interface) — miejsce styku użytkownika z siecią szeroko pasmową,
•
NNI (ang. N etwork-to-N etwork Interface) — styk umieszczony w węźle sieci wyko rzystywany do połączenia z innymi węzłami.
Model architektury ATM składa się z trzech warstw: •
warstwy fizycznej — definiującej funkcje związane z dostępem do medium trans misyjnego,
•
warstwy ATM — określającej format komórki oraz funkcje zapewniające niezawodny transfer ATM, bez względu na typ usługi,
•
warstwy AAL (ang. ATM Adaptation Layer) — sterującej przepływem danych oraz utrzymującej wymagane parametry czasowe przekazu, jak również obsługującej błędy.
4 . 2 . 2 . P ro to k o ły w a rs tw y in te rn e to w e j Zadaniem warstwy internetowej jest wybranie najlepszej ścieżki dla pakietów przesy łanych w sieci. Podstawowym protokołem działającym w tej warstwie jest protokół IP (ang. Internet Protocol). Tutaj następuje określenie najlepszej ścieżki i przełączanie pakietów. Protokół IP spełnia następujące zadania:
f j\
•
definiuje format pakietu i schemat adresowania,
•
kieruje pakiety do zdalnych hostów. DEFINICJA
W warstwie internetowej m odelu TCP/IP działają następujące protokoły: •
P ro to k ó ł IP (ang. Internet Protocol), który zapew nia usługę bezpołączeniow ego dostarczania pakietów przy użyciu dostępnych możliwości. Protokół IP nie uwzględnia zawartości pakietu, ale w yszukuje ścieżkę d o m iejsca docelow ego.
•
P ro to k ó ł IC M P (ang. Internet Control M essage Protocol), który pełni funkcje kontrolne i informacyjne. Jest on używany przez polecenia sprawdzające poprawność p ołączenia (np. polecenie p in g ) .
•
P ro to k ó ł A R P (ang. Address Resolution Protocol), który znajduje adres w arstwy łącza danych MAC d la znanego adresu IP
•
P r o to k ó ł R A R P (ang. Reverse A ddress R esolution Protocol), który znajduje adres IP d la znanego adresu MAC.
•
P ro to k o ły ro u tin g u (RIR IGRR EIGRR OSPF, BGP).
Postać, w jakiej dane są przesyłane przez pakiety IP, została przedstawiona na rysunku 4.6. Jest to transmisja szeregowa, a kolejny wiersz tabeli zawiera następne dane.
W e r s ja
D łu g o ś ć
R o z m ia r p a k ie tu
T y p u s łu g i (T o S )
Id e n ty fik a to r
F la g i
T im e -to -liv e (T T L )
P r z e s u n ię c ie fr a g m e n tu
S u m a k o n tro ln a n a g łó w k a
A d re s n a d a w c y
A d re s o d b io rc y
O p c je
W y p e łn ie n ie
Rysunek 4.6. F o rm a t p a kie tu IP
Poszczególne elementy oznaczają: •
Wersja — wersja protokołu IP.
•
Długość nagłówka — wartość tego pola pomnożona przez 32 bity określa długość nagłówka w bitach.
•
Typ usługi (ang. Type o f Service — ToS) — informacja o pożądanej jakości usługi (np. Niska, Wysoka).
•
Rozm iar pakietu — rozmiar całego pakietu IP podany w bajtach.
•
Identyfikator — używany podczas łączenia fragmentów danych.
•
Flagi — jest to 3-bitowe pole, gdzie pierwszy bit określa, czy dany pakiet może zostać podzielony na fragmenty; drugi — czy pakiet jest ostatnim fragmentem. Trzeci bit nie jest używany.
•
Przesunięcie fragmentu — określa kolejną pozycję przesyłanych danych w orygi nalnym datagramie w celu jego późniejszego odtworzenia.
•
Czas życia (ang. Time To Live — TTL) — zawiera znacznik życia pakietu. Pole to jest liczbą zmniejszaną przez każdy router, przez który przechodzi. Kiedy wartość TTL osiągnie zero, pakiet jest zatrzymywany, a nadawca zostaje poinformowany, że pakietu nie udało się dostarczyć.
•
Protokół — oznacza kod protokołu warstwy wyższej — transportowej.
•
Suma kontrolna nagłówka — służy do wykrywania uszkodzeń wewnątrz nagłówka.
350
• Adresy źródłowy i docelowy pakietu — adres IP nadawcy i odbiorcy pakietu. •
Opcje — dodatkowe informacje, nie zawsze używane, mogą dotyczyć na przykład funkcji zabezpieczeń.
• W ypełnienie — opcjonalne pole, które uzupełnia nagłówek pakietu zerami, aby jego wielkość była wielokrotnością 32 bitów. •
Dane — pole, w którym są transportowane właściwe dane.
4 .2 .3 . P ro to k o ły w a rs tw y tra n s p o rto w e j DEFINICJA W arstw a tra n sp o rto w a (ang. tra n sp ort layer) za pe w n ia usłu g i p rzesyłania
danych z hosta źró d ło w e g o d o h osta d o ce lo w e g o. U stanaw ia logiczne połączenie m iędzy hostem w ysyłającym i odbierającym . P rotokoły transportow e dzielą i scalają dane wysyłane przez aplikacje wyższej warstwy w jeden strum ień danych przepływający m iędzy punktam i końcowym i.
Protokoły warstwy transportowej to TCP i UDP. Protokół IP pozwala na przenoszenie pakietów między sieciami, jednak nie gwarantuje, że wysłane dane dotrą do adresata. Ta cecha powoduje, że protokół IP jest nazywany bezpołączeniowym — dane są wysyłane tylko w jedną stronę bez potwierdzenia. Za niezawodność przesyłu danych jest odpowiedzialny protokół TCP nazywany pro tokołem połączeniowym. To on po odebraniu każdej porcji danych wysyła potwier dzenie do nadawcy, że dane zostały odebrane. W przypadku braku potwierdzenia dane są wysyłane ponownie. Innym protokołem działającym na rzecz protokołu IP jest UDP (ang. User Datagram Protocol). Jest on bezpołączeniowym protokołem transportowym należącym do stosu protokołów TCP/IP. Służy do wysyłania datagramów (pakietów danych) bez potwier dzania czy gwarancji ich dostarczenia. Przetwarzanie błędów i retransmisja muszą być obsłużone przez protokoły warstwy aplikacji. Protokół UDP jest zaprojektowany dla aplikacji, które nie m ają potrzeby składania sekwencji segmentów. Nie przysyła on informacji o kolejności, w jakiej mają być od tworzone. Taka informacja jest zawarta w nagłówku segmentów protokołu TCP.
4 .2 .4 . P ro to k o ły w a rs tw y a p lika cji . \T
DEFINICJA W arstw a aplikacji (ang. aplication layer) za jm uje się św iadczeniem usług d la
użytkow nika. P ro to ko ły w a rstw y a p lika cji d efin iu ją s ta n d a rd y ko m un ika cji m ięd zy aplikacjam i (program am i klienckimi a serwerowymi).
N ajpopularniejsze protokoły warstwy aplikacji:
• Telnet — protokół terminala sieciowego, pozwalający na zdalną pracę z wykorzy staniem konsoli tekstowej. •
FTP (ang. File Transfer Protocol) — protokół transmisji plików.
•
SMTP (ang. Simple Mail Transfer Protocol) — protokół wysyłania poczty elektronicznej.
•
POP3 (ang. Post O ffice Protocol) — protokół odbioru poczty elektronicznej.
•
HTTP (ang. H ypertext Transfer Protocol) — protokół przesyłania stron WWW.
•
SSH (ang. Secure Shell) — protokół terminala sieciowego zapewniający szyfrowanie połączenia.
•
DNS (ang. D om ain N am e System) — system nazw domenowych. Odpowiada za tłumaczenie adresów domenowych na adresy IP i odwrotnie.
•
DHCP (ang. D ynam ie H ost Configuration Protocol) — protokół dynamicznej kon figuracji urządzeń. Odpowiedzialny za przydzielanie adresów IP, adresu domyślnej bramki i adresów serwerów DNS.
•
NFS (ang. N etw ork File System) — protokół udostępniania systemów plików (dy sków sieciowych).
•
SNMP (ang. Simple N etw ork M anagement Protocol) — prosty protokół zarządzania siecią. Pozwala na konfigurację urządzeń sieciowych i gromadzenie informacji na ich temat.
•
NTP (ang. N etw ork Time Protocol) — używany jest do synchronizacji czasu z serwe rami NTP. Jest to protokół czasu rzeczywistego, którego zadaniem jest umożliwienie synchronizacji czasu klienta z serwerem czasu. Może nim być serwer zewnętrzny lub lokalny. Usługa ta nasłuchuje na porcie UDP 123.
•
HTTPS (ang. Hypertext Transfer Protocol Secure) — wersja protokołu HTTP, która do komunikacji klient-serwer używa protokołu SSL odpowiadającego za szyfrowanie całej transmisji.
P rotokoły używ ane w sieciach LAN 4 .3 .1. P ro to kó ł TCP/IP Najpopularniejszym spośród protokołów komunikacyjnych jest protokół IP, powszech nie używany w sieciach LAN, a także w internecie. W sieciach IP dane są wysyłane w formie bloków określanych mianem pakietów. W przypadku transmisji z wykorzy staniem protokołu IP przed rozpoczęciem transmisji nie jest zestawiana wirtualna sesja komunikacyjna między dwoma urządzeniami. Protokół IP jest protokołem zawodnym — nie gwarantuje, że pakiety dotrą do adresata, że nie zostaną pofragmentowane czy też zdublowane. Ponadto dane mogą dotrzeć do od biorcy w innej kolejności niż ta, w jakiej zostały nadane. Niezawodność transmisji danych zapewniają protokoły warstw wyższych (np. protokół warstwy transportowej — TCP).
37p
4 .3 . 2 . P ro to kó ł IPX/SPX Dla sieci pracujących w środowisku Novell Netware został opracowany protokół IPX (ang. Internet Packet Exchange). Nie został on wyposażony w mechanizmy kontroli trans misji i nie gwarantuje, że wszystkie pakiety dotrą na miejsce. Podobnie jak w przypadku protokołu IP, niezawodność transmisji zapewnia protokół warstwy czwartej — SPX (ang. Sequenced Packet Exchange). Adresacja w protokole IPX składa się z dwóch części: adresu sieci i adresu hosta. Pierw szy z nich jest liczbą 32-bitową, drugi — 48-bitową i odpowiada adresowi MAC karty sieciowej. Obecnie protokoły IPX/SPX praktycznie nie są stosowane, ponieważ zostały wyparte przez stos protokołów TCP/IP.
4 . 3 . 3 . A pple T alk AppleTalk jest protokołem opracowanym przez firmę Apple, stosowanym w sieciach komputerowych opartych na systemie operacyjnym OS X. Protokół ten wykorzystują proste sieci równorzędne. Aktualnie protokół AppleTalk nie jest rozwijany, został za stąpiony przez protokół TCP/IP. Protokoły IP, IPX i AppleTalk są protokołam i rutow alnym i (ang. routed protocol). Oznacza to, że mogą być obsługiwane przez routery, a więc mogą przenosić dane mię dzy różnymi sieciami.
4 . 3 . 4 . N etBEUI NetBEUI to prosty protokół opracowany przez IBM i wykorzystywany jedynie w syste mach operacyjnych firmy Microsoft. Protokół ten cechuje się minimalnymi wymagania mi i dużą odpornością na błędy. Sprawdza się jednak tylko w małych sieciach lokalnych — nie może być używany w internecie, gdyż nie jest protokołem rutowalnym. W naj nowszych wersjach systemów Windows protokół ten został zastąpiony przez TCP/IP. NetBEUI umożliwia identyfikację stacji przez nazwę przydzielaną przez użytkownika. Jest to ciąg znaków alfanumerycznych w formacie ASCIIZ (ostatni znak musi mieć kod zero). Wprowadzana nazwa musi być unikatowa.
transm isji w sieciach TCP/IP Urządzenia pracujące w jednej sieci mają możliwość komunikacji tylko między sobą. Aby połączyć je z inną siecią, wymagany jest router. Jest to urządzenie, które przekierowuje pakiet do adresata znajdującego się w innej logicznej sieci IP.
4 .4 .1. B ra m a d o m y ś ln a
K o m un ika cja w sieciach TCP/IP p ozw ala na w ym ianę danych tylko z urządzeniam i znajdującym i się w danej sieci. A b y w ystać w ia d o m o ść p oza sieć, w której pracuje urządzenie, należy u sta w ić p a ra m e tr ko n fig u ra c y jn y p ro to k o łu IP — b ra m ę domyślną. Adres bram y dom yślnej wskazuje na router, który przechowuje inform acje o tym, jak d otrzeć d o w ybranej sieci.
Routery to urządzenia brzegowe, które znajdują się na styku dwóch sieci działających w innych klasach adresacji IP. Mają za zadanie przesyłać pakiety do adresata, a dokład nie do sieci, w której znajduje się jego adres IP. Pakiet zaadresowany do komputera znajdującego się w naszej sieci jest kierowany bezpośrednio do niego. Jeśli ma zostać wysłany poza sieć, trafia do routera, który sprawdza, czy pakiet ten jest kierowany do sieci bezpośrednio podłączonej do tego routera, czy ma być przesłany do urządzenia znajdującego się poza podłączonymi do niego sieciami. Pakiety wędrują od jednego węzła (routera) do drugiego poprzez wiele węzłów pośredniczących, często mogą też być transmitowane różnymi trasami. Zadaniem routera jest wybrać najlepszą dostępną drogę pomiędzy jednym a drugim węzłem. Decyzja o wyborze trasy jest podejmowana na podstawie wpisów znajdujących się w tablicy routingu — spisie sieci podłączonych bezpośrednio do routera oraz sieci dostępnych na routerach sąsiadujących. DEFINICJA Tablica routingu (ang. routing table) może być utw orzona przez adm inistratora lub
dynamicznie, przez protokoty routingu (nie m ylić z protokołam i rutowalnymi). Routing (trasowanie) polega na podjęciu decyzji, przez który fizyczny port lub przez którą sieć pakiety m ają być wysłane, a by ja k najszybciej dotarły do adresata.
Każdy wpis w tablicy routingu zawiera adres sieci docelowej oraz adres sieci lub interfej su, przez który dana sieć docelowa jest osiągalna. Jeśli router zna więcej niż jedną trasę do sieci docelowej, wybiera trasę najkorzystniejszą na podstawie metryki — wartości określającej jakość danej trasy. Metryki są zależne od konkretnego protokołu routingu. Mogą opierać się tylko na liczbie routerów znajdujących się na drodze do celu, ale również na chwilowym obciążeniu łącza, jego prędkości czy opóźnieniach występujących w transmisji. Przykład 4.1. Rysunek 4.7 przedstawia infrastrukturę sieciową dla przykładowej sieci łączącej Katowice, Berlin, Londyn i Waszyngton. W każdym z miast do zainstalowanych routerów została podłączona sieć lokalna. Informacje o dostępnych sieciach są zapi sane w tablicach routingu zamieszczonych pod rysunkiem. Kolejne wpisy w tablicach oznaczają: adres sieci, adres interfejsu (lub jego nazwę w przypadku sieci bezpośrednio podłączonych), przez który dana sieć jest osiągalna, oraz liczbę przeskoków do celu.
%
«Sis
Sieć Berlin
Sieć Londyn
EO: 55.32-15 1255255255.0
“
0 5 Router Berlin
sv 1030302255 255 2550
Router Londyn
Router Katowice
Router Waszyngton
Sieć Katowice RoulwLondyn
10.40.40.2 8e«lal1 (811 EUiO(EO)
10.3030.0 10.40,40,0 44 1220
Seriali (SD SenalO(SO) 1020201 10.10.102
102020.0 1030300 10.4040.0 44 122.0 55.32.15.0 77192.12.1
Sieć Waszyngton Rouler Wawyngiwi
10.20.202 Senall (Sil Sana» (SOI 10.30.30.1 103030 I EmOlEO) 1030.30.1
Rysunek 4.7. P rzykła d o w a in frastruktu ra sieci
4 .4 . 2 . P ro to k o ły ro u tin g u Routery budują tablice routingu na podstawie informacji wymienionych z innymi routerami. Wymiana ta opiera się na protokołach routingu. M ają one za zadanie poinformować inne węzły sieci o sieciach, do których dany router ma dostęp. Takie rozwiązanie pozwala na dynamiczne budowanie struktury. Dołączenie kolejnej sieci do jednego z routerów nie wymaga rekonfiguracji pozostałych węzłów sieci. Zostaną one automatycznie „poinformowane” o zaistniałych zmianach. Aby określić, która z dostępnych tras jest najlepsza, router wykorzystuję metrykę — wartość wyliczaną na podstawie określonych czynników zależnych od protokołu routingu, np. liczby przeskoków, szerokości pasma, opóźnienia, obciążenia czy nie zawodności łącza. Ze względu na sposoby działania rozróżnia się następujące protokoły routingu: •
protokoły wektora odległości (ang. distance vector protocols) — wysyłają w okre ślonych interwałach czasowych do sąsiednich routerów zawartość tablicy routingu wraz z metrykami. Jeśli dana trasa nie jest dostępna (nie dotarła informacja od sąsiedniego routera), wówczas wpis dotyczący trasy i sieci, które były osiągalne, zostaje usunięty z tablicy routingu i — o ile to możliwe — jest zastępowany innym wpisem (np. wcześniej odrzuconym jako mniej korzystny).
•
protokoły stanu łącza (ang. link state protocols) wysyłają do wszystkich routerów informację, która zawiera jedynie dane o podsieciach podłączonych do routera. Aktualizacje informacji są wysyłane okresowo lub wywoływane zmianami zacho dzącymi w sieci.
Tabela 4 .2 zawiera opis najpopularniejszych protokołów routingu.
T abela 4 .2 . O p is p ro to k o łó w ro utin g u Nazwa protokołu
Opis
RIP (ang. Routing Information Protocol)
Protokół wektora odległości, używający liczby przesko ków pomiędzy routerami jako metryki. Domyślnie wysyła uaktualnienia co 30 sekund.
IGRP (ang. Interior Gateway Routing Protocol) i EIGRP (ang. Enhanced Interior Gate way Routing Protocol)
Protokół wektora odległości opracowany i wykorzystywa ny w urządzeniach CISCO. Wyliczana metryka uwzględ nia przepustowość i obciążenie pasma, opóźnienie i nieza wodność łącza. Uaktualnienia są wysyłane co 90 sekund lub po zmianie stanu sieci.
OSPF (ang. Open Shortest Path First)
Protokół stanu łącza, który używa algorytmu Dijkstry do wyznaczenia najkrótszej ścieżki. Uaktualnienia domyślnie są wysyłane po zmianach w topologii sieci.
BGP (ang. Border Gateway Protocol)
Służy do wyznaczania niezapętlonych tras pomiędzy systemami autonomicznymi — siecią lub grupą sieci — wykorzystującymi spójny schemat routingu.
Dynamiczne przekazywanie informacji o stanie sieci poprawia jej działanie. Router, który utracił bezpośrednie połączenie z sąsiadującym węzłem, może połączyć się z nim inną drogą. Routery mają możliwość zdefiniowania routingu domyślnego — trasy określającej dostęp do wszystkich sieci, które nie są wpisane w tablicy routingu. Przykład 4.2. Wróćmy do przykładu z rysunku 4.9. Węzeł Katowice ma dostęp do węzła Waszyngton dwoma drogami — przez Berlin i Londyn oraz bezpośrednio. Na podstawie informacji zawartych w tablicy routingu wszystkie pakiety są kierowane do sieci bez pośrednio łączącej oba węzły. Jeśli połączenie pomiędzy Katowicami a Berlinem — sieć 10.10.10.0 — zostanie zerwane (nie dotrze informacja protokołu routingu lub router wykryje niedostępną trasę), wówczas w tablicy routingu wpis dotyczący bezpośredniej dostępności węzła Berlin zostanie zamieniony na trasę przez Waszyngton. Wpisy w tablicy routera Katowice będą wyglądać następująco: 10.20.20.0
10.40.40.2
10.30.30.0
10.40.40.2
2 1
10.40.40.0
Seriali
0
44.12.2.0
EthO
0
55.32.15.0
10.10.40.2
3
66.148.33.0
10.10.40.2
2
77.192.12.1
10.40.40.2
1
Wpis dla sieci 1 0.10.10.0 został usunięty — sieć ta przestała działać.
41 q
4 .4 .3 . G n ia z d o fv Transm isja w sieciach TCP/IP opiera się na dw óch elem entach — adresie urządzenia i num erze portu. Taka para param etrów transm isji jest nazyw ana g n i a z d e m . Adres IP o dp o w ia d a za zidentyfikow anie poje d yncze g o urządzenia w sieci, a num er portu oznacza, jaka aplikacja na urządzeniu docelow ym m a przetwarzać przesłane dane.
Numery portów są dodawane do segmentów na poziomie warstwy czwartej (przez pro tokoły TCP i UDP). Numery portów zapewniają, że dane zostaną przetworzone przez konkretną aplikację. Na przykład podczas pobierania stron WWW zapytanie ze strony przeglądarki jest wysyłane na port 80 wybranego serwera WWW. Portem nadającym jest pierwszy wolny port powyżej 1023. Dane trafiają do serwera WWW na port 80 — jest to port, za którego obsługę odpowiada serwer HTTP. Serwer WWW wysyła dane (wybraną stronę) do klienta, kierując odpowiedź na port, z którego przyszło zapytanie. Komputer odbierający na podstawie portu kieruje odebrane dane do przetworzenia przez program, który wysłał zapytanie. Oczywiście port 80 jest standardową i najczęściej spotykaną konfiguracją dla serwerów WWW, lecz ta usługa może nasłuchiwać na każdym innym wybranym przez admini stratora porcie. Numery portów do numem 1023 są przypisywane znanym usługom sieciowym, na przykład 21 — FTP, 22 — SSH, 23 — Telnet, 25 — SMTP, 80 — HTTP, 110 — POP3. Numery portów powyżej 1024 są przydzielane dynamicznie programom, które korzy stają z połączeń sieciowych.
Protokół IP jest podstawowym protokołem sieciowym, używanym zarówno w sieciach lokalnych, jak i w internecie. Znajomość sposobu adresacji ma kluczowe znaczenie dla zrozumienia transmisji danych między sieciami. Każde urządzenie podłączone do sieci działającej z wykorzystaniem protokołu IP po winno mieć niepowtarzalny identyfikator tworzony przez parę adres IP - maska podsieci.
4 .5 .1. P ro to kó ł IPv4 Adres IPv4 to liczba 32-bitowa podzielona na cztery oktety, składające się z liczb dzie siętnych z zakresu 0 - 25 5 , rozdzielonych kropkami. Każda część odpowiada kolejnym 8 bitom adresu zapisanego w systemie binarnym. Taka postać adresu jest łatwiejsza do zapamiętania niż jedna liczba z zakresu 0 - 232.
Przykład 4.3. Porównanie różnych sposobów zapisu tej samej liczby: •
zapis binarny: 1100 0 0 0 0101010000000000000000001,
•
zapis dziesiętny: 3 232 235 521,
•
zapis tradycyjny: 192.168.0.1.
Jak widać, zapis w postaci czterech części oddzielanych kropką jest czytelniejszy i ła twiejszy do zapamiętania.
K la s a a d re s u IP Dla adresów zgrupowanych w klasach przyjęto domyślne maski podsieci: 8-bitową dla klasy A, 16-bitową dla klasy B i 24-bitową dla klasy C. Maski podsieci (opisane dalej) określają, które bity w adresie identyfikują sieć, a które hosta (tabela 4.3). Tabela 4.3. Klasy a d re s ó w IP
Klasa
Zakres adresów (pierwszy oktet)
Dostępne adresy
Maska
0 -1 2 6 A
127 - adres używany do pętli zwrot nej, nieroutowany
1.0.0.0-126.0.0.0
255.0.0.0
B
1 2 8 -1 9 1
128.1.0.0- 191.254.0.0
255.255.0.0
C
1 9 2 -2 2 3
192.0.1.0-223.255.254.0
255.255.255.0
D
2 2 4 -2 3 9
224.0.0.0 239.255.255.254
-
E
2 4 0 -2 5 5
240.0.0.0 255.255.255.255
-
W adresach z klasy A sieć jest identyfikowana przez pierwszych 8 bitów, tak więc w za pisie dziesiętnym identyfikator sieci jest określany przez pierwszą liczbę. Pozostałe bity identyfikują hosta pracującego w danej sieci (komputer, router, drukarkę sieciową). W puli adresów klasy B dwa pierwsze oktety (16 bitów) identyfikują sieć, pozostała część adresu to identyfikator hosta. Z kolei w klasie C pierwsze 3 liczby dziesiętne (24 bity) identyfikują sieć, natomiast ostatnia liczba jest identyfikatorem hosta (rysunek 4.8). Rysunek 4.8. P o d zia ł a d re s ó w na klasy
K lasa a Sieć
H o st
H ost
Host
Sieć
Sieć
H ost
Host
Sieć
S ie ć
Sieć
Host
Klasa 6
K lasa C
43 D
DEFINICJA
A dres IP m a budow ę hierarchiczną. C zęść adresu IP oznacza identyfikator sieci, a część — identyfikator hosta (urządzenia). A dresy IP zostały p ogrupow ane w k la sy . Klasa to logiczny podział puli adresów IP nazywany kolejnymi literam i alfabetu (od A d o E).
K la s a A zawiera adresy, których pierwszy bit to 0, tak w ięc w adresach z tej klasy p ierw sza część adresu należy d o zakresu O - 127. Nie używa się adresu O, z kolei adresy ro zpoczynające się o d 127 to a dre sy zarezerw ow ane d la tzw. pętli zw rotnej i niewykorzystywane do adresow ania urządzeń sieciowych.
K la sa B jest oznaczana przez pierwsze 2 bity o wartości 1 0 (zakres adresów 128 - 191). K l a s a C jest oznaczana przez pierw sze 3 bity o w artości 1 1 0 (zakres adresów 1 9 2 -2 2 3 ).
K la s a D jest oznaczana przez pierwsze 4 bity o w artości 1 1 1 0 (zakres adresów 2 2 4 - 2 3 9 ).
K la s a E jest oznaczana przez pierwsze 4 bity o w artości 1 1 1 1 (zakres adresów 2 4 0 -2 5 5 ). W adresow aniu urządzeń sieciowych w ykorzystuje się tylko adresy z k la s y A B C A dresy z k la s y D pozw alają na przesyłanie inform acji d o g rupy adresów IR dzięki czem u pojedyncze urządzenie podłączone do sieci jest w stanie rozsyłać inform acje jed n o cześn ie d o w ielu o d b io rcó w (transm isja typu m ulticast). Z kolei pula adresów należąca d o k la s y E została zarezerw owana przez Internet Engineering Task Force — organizację o dpow iedzialną za ustanawianie standardów w internecie.
Podział na klasy został wprowadzony w celu rozróżnienia wielkości sieci. Komunikacja w obrębie jednej sieci nie wymaga używania routerów, które są niezbędne w przypadku komunikacji między sieciami. W przypadku klasy A istnieje możliwość utworzenia 126 użytecznych adresów sieci — od 1 do 126 (adres 0.0 .0 .0 nie jest wykorzystywany, sieć 127.0.0.0 jest siecią zare zerwowaną). Dla każdej z tych sieci można utworzyć po 16 777 216 adresów. Liczba adresów IP w sieci jest wyliczana na podstawie wzoru: L„= 2", gdzie: L lp— liczba adresów IP w sieci (liczba adresów do wykorzystania wymaga odję cia pierwszego i ostatniego adresu rozgłoszeniowego), n — liczba bitów w części hosta. Dla klasy B istnieje możliwość utworzenia 16 384 sieci. Liczba ta wynika z możliwych kombinacji w części sieci adresu — 64 kombinacje w pierwszym oktecie i 256 kombi nacji w drugim. W każdej sieci należącej do klasy B istnieje możliwość zaadresowania 65 536 adresów (216). W klasie C istnieje możliwość utworzenia ponad 2 min sieci (32-256*256 = 2 097 152) po 256 adresów (28). Do przypisania można wykorzystać ogólną liczbę zmniejszoną o 2. Tak więc, na przy kładzie klasy C, do wykorzystania mamy 254 adresy.
Tabela 4.4 prezentuje właściwości poszczególnych klas adresów. Tabela 4.4. L iczb a a d re s ó w d o s tę p n y c h w p o s z c z e g ó ln y c h kla sa ch
Klasa adresu
Liczba bitów części sieci
Liczba bitów części hosta
Liczba dostępnych sieci
Liczba dostępnych adresów w sieci
Klasa A
8
24
127
16 777 214
Klasa B
16
16
16 384
65 534
Klasa C
24
8
2 097 152
254
A d re s sieci i a d re s ro z g ło s z e n io w y Dla każdego adresu IP przypisanego do konkretnego urządzenia można określić dwa specyficzne adresy — adres sieci i adres rozgłoszeniowy. Adres sieci (ang. netw ork address) określa sieć, do której przynależy dany adres IP. Adres rozgłoszeniowy (ang. broadcast) to adres pozwalający na wysłanie informacji do wszystkich urządzeń w danej sieci. Adres sieci jest określany jako liczba, która w części adresu IP identyfikującej hosta ma bity ustawione na 0. Adres rozgłoszeniowy dla danej sieci w części hosta ma bity ustawione na 1. Adresy sieci są wykorzystywane w procesie przełączania pakietów IP — routery prze chowują w tablicach routingu adresy sieci oraz adresy, przez które są one dostępne. Sposób wyznaczania adresu sieci oraz adresu rozgłoszeniowego przedstawia przykład 4.4. Przykład 4.4. Wyznaczanie adresu sieci oraz adresu rozgłoszeniowego Adres IP:
77.213.126.82
Postać binarna:
01001101 11010101 01111110 01010010
Jest to adres z klasy A, więc część sieci jest określana przez pierwsze 8 bitów, a adres sieci uzyskuje się przez ustawienie na ostatnich 24 bitach liczby 0. Postać binarna adresu sieci:
01001101 00000000 00000000 00000000
Postać dziesiętna adresu sieci:
77.0.0.0
Postać binarna adresu rozgłoszeniowego:
01001101 11111111 11111111 11111111
Postać dziesiętna adresu rozgłoszeniowego:
77.255.255.255
45.0
M a s k a p o d s ie c i Podział adresów na klasy wprowadzono w celu zróżnicowania wielkości sieci. Niestety podział ten powodował, że wiele adresów IP pozostawało niewykorzystanych. Orga nizacje otrzymywały pulę adresów całej sieci, a więc w przypadku sieci klasy A ponad 16 min adresów IP do wykorzystania. Szybki rozwój internetu w latach 90. X X wieku i ogromna liczba przyłączanych do sieci urządzeń spowodowały konieczność wprowa dzenia innego podziału na część sieci i część hosta. W celu zmiany sztywnego podziału adresu IP na część sieci i część hosta wprowadzono maskę podsieci. DEFINICJA M aska podsieci (ang. subnet mask), pod o b nie jak adres IR jest liczbą 32-bitow ą ro zpoczynającą się określoną liczbą bitów o w artości 1, po których jest dop e łnia na bitami o wartości 0. Najczęściej przedstawiano ją jako cztery liczby dziesiętne oddzielone kropkam i (np. 255.255.255.0). Alternatywnie m aska podsieci jest zapisyw ana po znaku
„/" jako liczba „aktywynych" bitów (np. 77.213.62.82/8 oznacza 77.213.62.82/255.0.0.0).
Kolejny bit w masce podsieci określa przynależność do części sieci lub hosta kolejne go bitu w adresie IP. Bit maski oznaczony 1 mówi, że ten bit w adresie IP należy do części sieci, bit oznaczony 0 mówi, że odpowiadający mu bit w adresie IP należy do części hosta. Przykład 4.5. Zapis maski podsieci Adres IP:
77.213.62.82
Postać binarna:
01001101 11010101 01111110 01010010
Maska podsieci:
255.0.0.0
Postać binarna maski
11111111 00000000 00000000 00000000
P o d z ia ł sieci n a p o d s ie c i Algorytm dzielenia sieci na podsieci polega na znajdowaniu optymalnego podziału bitów należących do części hosta adresu IP. W zależności od założeń problemu okre ślamy liczbę bitów: •
należących do części podsieci (tak zwana pożyczka bitów z części hosta),
•
należących do części hosta (liczba bitów do pozostawienia w części hosta).
Gdy zadana jest liczba wymaganych adresów w nowo tworzonej podsieci (z uwzględnie niem adresu sieci i adresu rozgłoszeniowego), znajdujemy taką liczbę bitów, na której można zapisać wymaganą liczbę adresów. Ta liczba odpowiada liczbie bitów w masce podsieci oznaczonej jako 0 i jest równa najmniejszej potędze liczby 2, która jest większa lub równa wymaganej liczbie adresów IP. Ilustruje to wzór: 2 n >= LIP +2,
gdzie: L/p— liczba adresów IP w podsieci, n — liczba bitów w masce podsieci oznacza jących część hosta. Mając wyznaczoną prawidłową liczbę n, w masce podsieci ozna czamy liczbą 0 n najmłodszych bitów (znajdujących się po prawej stronie), pozostałe bity w masce oznacza się liczbą 1. Natomiast gdy zadana jest liczba podsieci, określamy minimalną liczbę bitów, która pozwoli zapisać liczbę większą lub równą wymaganej liczbie podsieci. Liczba ta jest najmniejszą potęgą liczby 2, która jest większa lub równa zadanej liczbie podsieci. Ilustruje to wzór:
gdzie: L S(JB — liczba podsieci, n — liczba bitów w części hosta oryginalnej maski ozna czających część sieci. Wyznaczona liczba n bitów określa liczbę bitów oznaczonych jako 1 w części hosta standardowej maski podsieci. Pozostałe bity są oznaczane jako 0. Przykład 4.6. Podział sieci klasy B 172.20.0.0 na 20 podsieci po 500 adresów Do uzyskania 20 podsieci należy zgodnie z powyższym wzorem pożyczyć 5 bitów z czę ści hosta (24 = 16, 2 5= 32; 5 bitów, czyli 32 podsieci). Nie da się uzyskać dokładnie 20 podsieci, z tego powodu, że nie da się „pożyczyć” ułamka bitu, dlatego zaokrąglamy liczbę podsieci w górę. Gdy jest już ustalona liczba bitów pożyczonych, trzeba uzyskać liczbę bitów należących do części hosta. 500 hostów na podsieć oznacza 9 bitów (28= 256, 2 9= 512; 9 bitów, czyli 512 hostów). W rzeczywistości szukamy liczby bitów dla 500 + 2 hostów, zgod nie z pierwszym wzorem, a to dlatego, że dodajemy do poszukiwanej liczby adres sieci i adres rozgłoszeniowy. Tak jak w przypadku obliczania liczby pożyczonych bitów, tak i w przypadku bitów pozostawianych nie da się wyznaczyć dokładnej liczby, dlatego ponownie zaokrąglamy w górę i uzyskujemy 9 bitów pozostawionych, czyli 512 hostów. Wygląd adresu 172.20.0.0 w postaci binarnej został zaprezentowany w tabeli 4.5. Tabela 4.5. B ina rn y z a p is a d re s u IP i m a ski
Część sieci
Część hosta
Adres IP
10101100.00010100.
00000000.00000000
172.20.0.0
Maska
11111111.11111111.
00000000.00000000
255.255.0.0
Suma bitów pożyczonych i bitów pozostających przy części hosta (5 + 9, czyli 14 bitów) nie przekracza liczby bitów pozostawionych do dyspozycji przez klasę wybraną w tym przykładzie (sieć klasy B - 16-bitowa maska, czyli 16 pierwszych bitów zarezerwowa nych, 16 ostatnich bitów do dyspozycji), co oznacza, że ten przykład da się rozwiązać Jeśli liczba sumy bitów pożyczonych i pozostających przy części hosta jest większa od liczby dostępnych bitów określonych przez klasę, to należy zmienić klasę sieci. Gdy zmiana nie jest możliwa na taką, która oferuje większy zakres, oznacza to niestety, że nie da się zadania rozwiązać.
47p
W naszym przypadku oprócz tego, że zmieściliśmy się w liczbie bitów pozostawionych nam przez maskę, to dodatkowo pozostają dwa nieprzypisane bity, które można prze znaczyć na zwiększenie liczby podsieci lub na zwiększenie liczby hostów w podsieci (tabela 4.6). Tabela 4.6. W p ły w liczb y b itó w n a liczb ę p o d s ie c i i liczb ę a d re s ó w
Bity pożyczone
Liczba podsieci
Bity w części hosta
Liczba adresów
5
32
11
2048
6
64
10
1024
7
128
9
512
Optymalnie jest wybrać wariant środkowy, czyli zwiększyć liczbę podsieci i dostęp nych hostów (nigdy nie wiadomo, czy w danej podsieci z czasem liczba hostów się nie zwiększy albo czy nie będziemy potrzebować dodatkowych podsieci). Maska docelo wej sieci została ustalona na 22 bity (16 bitów podstawowych z części sieci + 6 bitów pożyczonych) (tabela 4.7). Tabela 4.7. B inarna p o s ta ć a d re s u w p rz y p a d k u m a ski 2 2 -b ito w e j
Część sieci
Bity pożyczone
Część hosta
Adres IP
10101100.00010100.
000000
00.00000000
172.20.0.0
Maska
11111111.11111111.
111111
00.00000000
255.255.252.0
W tej chwili mamy już wszystkie potrzebne dane, aby zacząć tworzyć zakresy adresów IP każdej z podsieci. Sam schemat jest prosty i przedstawiony przykład obejmuje tylko kilka pierwszych i ostatnią podsieć Tabela 4.8. K o ń co w y p o d z ia ł sieci na p o d sie ci C zęść sieci
B ity p ożyczone
Część h o sta
Adres sieci
1 0 1 0 1 1 0 0 .0 0 0 1 0 1 0 0 .
000000
0 0 .0 0 0 0 0 0 0 0
1 7 2 .2 0 .0 .0
^
Pierwszy adres IP
1 0 1 0 1 1 0 0 .0 0 0 1 0 1 0 0 .
000000
0 0 .0 0 0 0 0 0 0 1
1 7 2 .20.0.1
1-1
O statni adres IP
1 0 1 0 1 1 0 0 .0 0 0 1 0 1 0 0 .
000000
1 1 .1 1 1 1 1 1 1 0
1 7 2 .2 0 .3 .2 5 4
Adres rozgłoszeniowy
1 0 1 0 1 1 0 0 .0 0 0 1 0 1 0 0 .
000000
1 1 .1 1 1 1 1 1 1 1
1 7 2 .2 0 .3 .2 5 5
o.
Adres sieci
1 0 1 0 1 1 0 0 .0 0 0 1 0 1 0 0 .
000001
0 0 .0 0 0 0 0 0 0 0
1 7 2 .2 0 .4 .0
^
Pierwszy adres IP
1 0 1 0 1 1 0 0 .0 0 0 1 0 1 0 0 .
000001
0 0 .0 0 0 0 0 0 0 1
1 7 2 .20.4.1
O statni adres IP
1 0 1 0 1 1 0 0 .0 0 0 1 0 1 0 0 .
000001
1 1 .1 1 1 1 1 1 1 0
1 7 2 .2 0 .7 .2 5 4
Adres rozgłoszeniowy
1 0 1 0 1 1 0 0 .0 0 0 1 0 1 0 0 .
000001
1 1 .1 1 1 1 1 1 1 1
1 7 2 .2 0 .7 .2 5 5
C zęść sieci
B ity p ożyczone
C zęść h o sta
o.
Adres sieci
1 0 1 0 1 1 0 0 .0 0 0 1 0 1 0 0 .
000010
0 0 .0 0 0 0 0 0 0 0
1 7 2 .2 0 .8 .0
w
Pierwszy adres IP
1 0 1 0 1 1 0 0 .0 0 0 1 0 1 0 0 .
000010
0 0 .0 0 0 0 0 0 0 1
1 7 2 .20.8.1
O statni adres IP
1 0 1 0 1 1 0 0 .0 0 0 1 0 1 0 0 .
000010
1 1 .1 1 1 1 1 1 1 0
1 7 2 .2 0 .1 1 .2 5 4
Adres rozgłoszeniowy
1 0 1 0 1 1 0 0 .0 0 0 1 0 1 0 0 .
000010
1 1 .1 1 1 1 1 1 1 1
1 7 2 .2 0 .1 1 .2 5 5
Adres sieci
1 0 1 0 1 1 0 0 .0 0 0 1 0 1 0 0 .
111111
0 0 .0 0 0 0 0 0 0 0
1 7 2 .2 0 .2 5 2 .0
Pierwszy adres IP
1 0 1 0 1 1 0 0 .0 0 0 1 0 1 0 0 .
111111
0 0 .0 0 0 0 0 0 0 1
1 7 2 .2 0 .2 5 2 .1
Ostatni adres IP
1 0 1 0 1 1 0 0 .0 0 0 1 0 1 0 0 .
111111
1 1 .1 1 1 1 1 1 1 0
1 7 2 .2 0 .2 5 5 .2 5 4
Adres rozgłoszeniowy
1 0 1 0 1 1 0 0 .0 0 0 1 0 1 0 0 .
111111
1 1 .1 1 1 1 1 1 1 1
1 7 2 .2 0 .2 5 5 .2 5 5
Maska
1 1 1 1 1 1 1 1 .1 1 1 1 1 1 1 1 .
111111
0 0 .0 0 0 0 0 0 0 0
2 5 5 .2 5 5 .2 5 2 .0
(...) 2 a. n> 00
Jak widać w tabeli 4.8, uzyskaliśmy 128 podsieci, każda o liczbie 1022 użytecznych hostów (2n - 2, czyli 210 - 2 = 1024 - 2 = 1022).
P ę tla z w ro tn a W puli wszystkich adresów IP istnieje zakres adresów, które zostały zarezerwowane do specyficznego wykorzystania. Jednym z takich zakresów jest sieć 1 27 .0 .0 .0 , czyli adre sy IP z przedziału 127.0.0.1 - 127.255.255.254. Adresy te są wykorzystywane w celu adresowania komputera (urządzenia) lokalnego. Komunikacja z tym adresem odwołuje się do urządzenia, które tę komunikację wywołało.
ifi
DEFINICJA
M echanizm tej kom unikacji jest nazywany pętlą lokalną lub pętlą zwrotną (ang.
loopback). Pętla zw rotna to w irtualne urządzenie sieciowe, które z poziom u system u o peracyjnego nie różni się od fizycznej karty sieciowej. Kom unikacja z adresem pętli zw rotnej m oże odb yw a ć się poprzez dow o lny adres należący d o sieci 127.0.0.0 lub pop rze z nazw ę localhost (w system ie o p e ra cyjn ym nazw a p rzypisa n a d la adresu 127.0.0.1). Za konfigurację pętli lokalnej odpow iada p lik hosts, który, w systemie Windows, znaleźć m ożna w katalogu Windows/System32/drivers/etc/, natom iast w Linuksie w /etc/.
Mechanizm pętli zwrotnej może być wykorzystywany do kontroli poprawności instalacji obsługi protokołu IP w systemie operacyjnym.
A d re s y p ry w a tn e i a d re s y p u b lic z n e Część adresów IP jest wykorzystywana do adresowania urządzeń w sieciach lokalnych. Sieci lokalne działają na ograniczonym obszarze. Komunikacja między urządzeniami w tej sieci nie wymaga przypisywania im tzw. adresów publicznych. Adresy prywatne to adresy niepowtarzalne w ramach struktury sieci lokalnej, adresy publiczne są uni kalne w skali całego internetu. Takie same adresy prywatne mogą być używane w wielu sieciach lokalnych. Adresy publiczne są przypisywane tylko i wyłącznie jednemu in terfejsowi sieciowemu. Zakresy adresów prywatnych: 1 0 .0 .0 .0 - 10.255.255.255 1 7 2 .1 6 .0 .0 - 172.31.255.255 192.168.0.0 - 192.168.255.255 Jak widać, w każdej klasie zostały wyznaczone adresy prywatne do wykorzystania w sieciach lokalnych, dzięki czemu istnieje możliwość budowy dowolnej, nawet bardzo rozbudowanej struktury sieci. Dostęp do internetu dla urządzeń z prywatnymi adresami IP jest możliwy dzięki zastosowaniu technologii translacji adresów.
T ra n s la c ja a d re s ó w Wzrost liczby komputerów w internecie spowodował, że groźba wyczerpania puli dostępnych adresów publicznych stała się całkiem realna. Aby temu zaradzić, przyjęto zasadę, że lokalne sieci komputerowe korzystające z adresów prywatnych (specjalna pula adresów tylko dla sieci lokalnych) mogą zostać podłączone do internetu przez router, mający mniej adresów publicznych, niż jest komputerów w tej sieci. Router ten, gdy komputery z sieci lokalnej komunikują się ze światem, dynamicznie przekłada adresy prywatne na adresy publiczne, umożliwiając dostęp do zasobów sieci internet przez większą liczbę urządzeń, niż pozwalałaby na to dostępna liczba adresów zewnętrznych. Technika ta polega na zmianie adresów i portów źródłowych (dla pakie tów wychodzących) lub docelowych (dla pakietów przychodzących). Adresem nadawcy pakietu staje się router z publicznym adresem IP, który również nadaje numer portu. Takie przekierowanie jest zapisywane w tablicy. Pakiety, które wracają do routera, są modyfikowane na podstawie zapisu w tablicy, otrzymując właściwy adres i port odbiorcy znajdującego się w sieci wewnętrznej (z prywatną adresacją IP).
ftj
DEFINICJA NAT (ang. N etw o rk A d d re ss Translation) je s t w y k o rzystyw a n a przez niewielkie routery przeznaczone d o użytku dom o w e go oraz przez m echanizm udostępniania połączenia internetow ego w system ie W indow s.
Technologia
P rzy d zie la n ie a d re s ó w IP Adresy IP zwane są również adresami logicznymi. W przeciwieństwie do adresów fizycznych (MAC), przypisanych na etapie produkcji urządzenia, są one nadawane przez administratora sieci. Adres może być przypisany statycznie (ręczna konfiguracja urządzenia) lub dynamicznie — urządzenie otrzymuje wówczas adres z serwera DHCP działającego w sieci. Serwerem umożliwiającym uzyskanie parametrów konfiguracyjnych takich jak adres IP, maska podsieci, adres bramy domyślnej jest serwer DHCP (ang. D ynam ie H ost Configuration Protocol). Jest on następcą protokołu BOOTP (ang. BOOTstrap Protocol). Urządzenie, które nie ma statycznie przypisanego adresu IP, wysyła do wszystkich komputerów w sieci (broadcast) zapytanie o parametry konfiguracyjne. Jeśli w sieci znajduje się serwer DHCP, odpowiada on na prośbę, wysyłając parametry takie jak adres IP, maska podsieci, brama domyślna i adres serwera DNS. Jeśli w sieci nie działa serwer DHCP lub nie jest on dostępny, to uruchomiony zostaje mechanizm APIPA (ang. Autom atic Private IP Addressing). Jego zadaniem jest przypisanie adresu IP w przypadku nieotrzymania go od serwera działającego w sieci. Mechanizm APIPA przydziela adres z puli 169.254.0.1 - 169 .2 5 4.255.254 (sieć 169.254.0.0, maska podsieci 255.255.0.0). Dynamiczne konfigurowanie adresów pozwala na łatwiejsze zarządzanie siecią. Kon figuracja serwera umożliwia przypisywanie stałych adresów IP na podstawie adresów MAC, jak również przypisywanie adresów na zadany czas.
4 .5 . 2 . P ro to k ó ł IPv6 Adresacja w sieci internet w chwili obecnej opiera się na protokole IP w wersji 4. {IPv4, ang. Internet Protocol version 4). Adres IP w wersji 4. to liczba 32-bitowa (od 0 do 4 294 967 295). Obecnie liczba publicznych adresów IP jest na wyczerpaniu. Jest to spowodowane dużym przyrostem liczby użytkowników sieci, a co za tym idzie, zwięk szonym zapotrzebowaniem na usługi sieciowe, a więc także i adresy IP. W latach 90. ubiegłego wieku podjęto prace nad zbudowaniem nowego systemu komuni kacji. Stworzono protokół IPv6 /IPNG (ang. Internet Protocol version 6 / Internet Protocol N ex t G eneration). Protokół ten wprowadza 128-bitow ą adresację, a więc umożliwia zaadresowanie teoretycznie do 2 128 urządzeń. Adres IP w wersji 6. jest przedstawiany w postaci szesnastkowej, z dwukropkiem co 16 bitów (np. 32fa:a237:0000:0000:cd21 :1521:1175:67af). Specyfikacja IPv6 mijanie kolejnych dwukropkiem Poniższy przykład
pozwala na pomijanie początkowych zer w bloku, a także na po bloków składających się z samych zer i zastąpienie ich podwójnym Dopuszczalny jest tylko jeden podwójny dwukropek w adresie. pokazuje równoważne poprawne zapisy jednego adresu IPv6.
Przykład 4.7 542 3 :0 2 4 6 :0 0 0 0 :0 0 0 0 :0 0 0 0 :0000:25 83:fa25 54 2 3:0246:0:0:0:0:2583:fa25
5 423:0246:0:0:0::2583:fa25 5423:0246::2583:fa25 5423:246::2583:fa25 Rysunek 4.9 przedstawia przykład adresacji IPv6 w systemie Windows 7. IBS C:\Windom\łyileni32\imdett
K o n f i g u r a c j a IP s y s t e m u Windows K a r t a bezprz e w o d o w e j
sieci LAN P o ł ą c z e n i e sieci bezprzewodowej:
Sufiks D NS k o n k r e t n e g o p o ł ą c z e n i a Adres IPv6 p o ł ą c z e n i a lokalnego . Adres I P v 4 .......................... Maska p o d s i e c i ................... . Brama d o m y ś l n a .....................
home f e 8 0 : : 5 4 3 b : 5 0 5 4 : c a l c : d d 8 5 x 12 : 1 9 2 .1 6 8 .1 .3 25 5 . 2 5 5 . 2 5 5 . 0 1 9 2 . 1 6 8.1.254
Rysunek 4.9. P rzykład a d re sa cji w W in d o w s 7
A d re s y z a re z e rw o w a n e W specyfikacji adresacji IPv6 występują adresy specjalne i zarezerwowane do szczegól nych celów. Najważniejsze z nich zostały przedstawione poniżej: :/128 — adres nieokreślony, zawierający same zera. 1/128 — adres pętli zwrotnej. /96 — pula adresów zarezerwowana w celu zachowania kompatybilności wstecznej z aktualnie używaną wersją protokołu IP. 2001:db8::/32 — pula adresów do wykorzystania w przykładach i dokumentacji, nie używana w produkcyjnie działających systemach. 2002::/24 — są to adresy wygenerowane na podstawie istniejących aktualnie używanych publicznych adresów IPv4.
: z ( ï J5.
N arzędzia d iag no styczn e pro to ko łó w TCP/IP
Poprawne skonfigurowanie protokołu IP pozwala na pracę z wykorzystaniem zasobów sieciowych. Każdy sieciowy system operacyjny oferuje narzędzia pozwalające sprawdzić poprawność konfiguracji.
4 .6 .1. P o le ce n ie ip c o n fig W systemach Windows poleceniem, które pozwala sprawdzić adresy przypisane do poszczególnych interfejsów, jest ip co n fig . Narzędzie to pomaga przy wykrywaniu
błędów w konfiguracji protokołu IP. Wynik działania polecenia ip c o n f ig / a ll przed stawia rysunek 4.10.
N ajczęściej polecenie ip co n fig jest w ykorzystywane w następujący sposób: •
•
i p c o n f i g — pokazuje skróconą inform ację o połączeniu.
ip c o n fig
/ a l l — p oka zu je szc z e g ó ło w e d an e o k o n fig u ra c ji w s zystkich
interfejsów.
•
ip co n fig /renew — odn a w ia w szystkie karty.
•
ip co n fig / r e l e a s e — zw alnia w szystkie połączenia.
•
i p c o n f i g / ? — w yświetla kom unikat pomocy.
•
ip co n fig /flushdns — czyści bufor program u rozpoznającego nazwy DNS.
Rysunek 4.10. W y n ik d zia ła n ia p o le c e n ia ipco n fig /a ll
SS rAWrmWUy-JrmWi nul r.r
n = n n y js i
:\Users\bhalska>ipcorrfig /dli lunfiłiuriii jd IP systemu Windowi Nazwa hub I d ................... sufiks podstawowej domeny u n s . . Typ węzła ..................... uouting IP włączony ........... Serwer WINS Proxy włączony. . . . Lista przeszukiwania sufiksów DNS
plwp Hybrydowy Nie Nie home
Karta Lthernet Połączenie lokalne: Stan nośnika .................. Sufiks DNS konkretnego połączenie opis.......................... Adres fizyczny. . . . ......... uiicp włączone................. Aulokonfiguracje włączone . . . .
: Nośnik odłączony nj.pl Kealtek PCle CUL iamily controller B8-AC-6F-EB-DC-67 lak Tak
Kerle bezprzewodowe i sieci LAN Połączenie sieci bezprzewodowej: Sufiks DNS konkretnego połączenie opis. ......................... Adres fizyczny................. UHCP włączone ................. Autukonfiguracja włączone . . . . Adres ll’vb połączenia lokalnego .
home intcl(K) Witi Link 5100 AbN 00-24-D6-8F-88-2A lak Tak fcBB::fcS8:bdbe:lbfc:b2faXlB( l’referowane
Adres ll'v4..................... Maska podsieci................. Dzierżawa uzyskana............. Dzierżewe wygasa............... Brama domyślna................. Serwer DHCP ................... identyfikator i a i d UHCl‘vb . . . . Identyfikator DUID klienta DHCPvG
: 192. lbB.l .4( preferowane) 255.255.255.0 31 maja 2011 21:52:44 2 czerwce 2013 21:34:35 102.lbB.1.254 192.108.1.254 184558800 06-01-00-01-18-E3-00-44-B8-AC-GF-EB-DC-G7
Serwery DNS ................... NetBIOS przez icpip ...........
192.1G8.1.254 Włączony
4 .6 . 2 . P o le ce n ie p in g Do diagnozowania połączeń w sieciach komputerowych TCP/IP używa się polecenia p in g . Pozwala ono na sprawdzenie, czy istnieje połączenie między dwoma urządzeniami, i umożliwia sprawdzanie jego jakości poprzez mierzenie liczby zgubionych pakietów
53 C“
oraz czasu ich dotarcia do celu i z powrotem. Do badania jakości połączenia, p in g korzysta z protokołu ICMP. Polecenie p in g jest dostępne zarówno w systemie Windows, jak i Linux. Aby sprawdzić poprawność konfiguracji połączenia IP, należy użyć składni (rysunek 4.11): ping nazwa_lub_adres_do_sprawdzenia ■ C:\Wmdowi\iyittm32\emd.oe
C:\Users\bhalska>ping helion.pl Badanie hellon.pl C188.117.147.1003 z 32 bajtami Odpowiedź z 188.117.147.100: bajtów=32 czas=13ms Odpowiedź z 188.117.147.100: bajtów=32 czas=llms Odpowiedź z 188.117.147.100: bajtów=32 eza5=llms Odpowiedź z 188.117.147.100: bajtów=32 czas=12ms
danych: TTL=58 TTL=58 TTL=58 TTL=58
Statystyka badania ping dla 188.117.147.100: Pakiety: Wystane = 4, Odebrane = 4, Utracone = 0 (02 s t rat y ), Szacunkowy czas błądzenia pakietów w mi 11isekundach: Minimum = 11 m s . Maksimum = 13 m s , Czas średni = 11 ms
Rysunek 4 .1 1 . W yn ik d z ia ła n ia p o le c e n ia ping
Jak widać na rysunku 4.11, program przeprowadził badanie hosta helion.pl, którego adres IP to 188.117.147.100. Test został wykonany przy użyciu 32 bajtów danych (czyli 256 bitów danych). Program ping wysłał czterokrotnie pakiety danych, które dotarły do hosta docelowego w czasach od 11 ms do 13 ms (milisekund). Widoczny tu skrót TTL (ang. Tim e To Live) oznacza czas wygaśnięcia pakietu (maksymalną ilość skoków pakietu), stosowany w celu uniknięcia sytuacji zapętlenia pakietu w sieci, w przypad ku np. złej konfiguracji sieci. W tym teście czas życia pakietu to 58. Żaden pakiet nie został utracony, co świadczy o poprawnie skonfigurowanej trasie routingu pomiędzy testowanymi hostami. W celu otrzymania informacji, jakie funkcje oferuje polecenie ping, należy w wierszu poleceń wpisać: p in g - ? Po jego wpisaniu wyświetlą się wszystkie opcje dostępne dla tego polecenia. Jedną z najczęściej używanych jest - t , która powoduje, że adres jest sprawdzany nieustannie, dopóki użytkownik nie przerwie tego procesu (rysunek 4.12). B C:\Windovrt\iyltem32\cmd.C'
C:\Users\bhalska>ping -t helion.pl Badanie helion.pl [188.117.147.100] z 32 bajtami Odpouiiedź z 188.117.147.100: bajtów: 32 czas=llms Odpowiedź z 188.117.147.100: bajtów: 32 czas=12ms Odpowiedź z 188.117.147.100: bajtów: 32 czas=12ms Odpowiedź z 188.117.147.100: bajtów= 32 czas=llms Odpowiedź z 188.117.147.100: bajtów: 32 czas=12ms Odpowiedź z 188.117.147.100: bajtów: 32 czas=llms Odpowiedź z 188.117.147.100: bajtów: 32 czas=12ms Odpowiedź z 188.117.147.100: bajtów: 32 czas=llms Odpowiedź z 188.117.147.100: bajtów: 32 czas=llms Odpowiedź z 188.117.147.100: bajtów: 32 czas=llms Odpowiedź z 168.117.147.100: bajtów: 32 czas=13ms
Rysunek 4.12. W y n ik d z ia ła n ia p o le c e n ia p in g -t
4 .6 . 3 . P o le ce n ie tra c e rt Komendą służącą do badania trasy pakietów IP w systemie Windows jest t r a c e r t (dla systemów Linux komenda t r a c e r o u t e ) . Sprawdza ona czasy dostępu do kolejnych routerów znajdujących się na drodze do adresu docelowego (rysunek 4.13). - la l *1
^ A d m in is tra to r: W iersz p olecenia
M i c r o s o f t Windows [ W e r s ja 6 . 0 . 6 0 0 2 ] C o p y r ig h t
2 0 0 6 M i c r o s o f t C o r p o r a t i o n . W s z e lk ie p raw a z a s t r z e ż o n e . C : \ U s e rs \ b h a ls k a > tr a c e r t w ik ip e d ia . o rg Ś l e d z e n i e t r a s y do w ik ip e d ia .o r c j [ 2 0 8 . 8 0 . 1 5 2 . 2 0 1 ] z m ak sym aln ą l i c z b ą 3 0 p rz e s k o k ó w : 1 <1 ms <1 ms 2 <1 ms <1 ms o m .p l C 1 0 .6 . 6 . 2 5 1 ]
<1 ms <1 ms
1 0 .6 .6 .1 r v 0 1 6 _ r o u te r _ lin k s
1 ms 1 ms 1 7 ms
d o - h e lio n .3 s .p l [ 8 9 .2 5 .2 4 0 .2 5 ] k a t - w a r - r l .3 s .p l [ 8 5 .1 4 .1 0 2 .7 8 ] 7 9 .1 4 1 .4 4 .1 3 .a w a ila b le .a b o y e .n e t
[ 7 9 .1 4 1 .4 4 .1 3 ]
2 9 ms
x e - 0 - 2 - 0 .m p r l.c d g ll.f r .a b o w e .n e t
[ 6 4 .1 2 5 .2 4 .9 0 ]
32 ms 1 0 4 ms 1 2 8 ms
x e - 3 - 3 -0 .m p r l.lh r 2 .u k .a b o w e .n e t [ 6 4 .1 2 5 . 2 4 .8 5 ] x e - 5 - 2 -0 .c r l .d c a 2 .u s .a b o w e .n e t 1 6 4 .1 2 5 .2 6 .2 1 ] x e - 0 - l- 0 .m p r l.m i a l.u s .a b o u e .n e t [ 6 4 .1 2 5 .3 0 .1 9 7 ]
1 2 8 ms
g e - l- 0 - 0 .m p r 2 .m ia l.u s .a b o u e .n e t
[ 6 4 .1 2 5 .3 0 .1 9 4 ]
1 4 7 ms
2 0 8 .1 8 5 .2 0 .1 1 8 .T 0 1 8 1 1 - 0 4 .a b o u e .n e t
* 1 3 4 ms
U p ły n ą ł l i m i t c z a s u ż ą d a n i a . w ik ip e d i a - l b .p m t p a . w i k i m e d i a . o r g
[ 2 0 8 .1 8 5 .2 0 .1
[ 2 0 8 .8 0 .1 5 2 .2 0 1
Ś le d z e n ie z a k o ń cz o n e .
Rysunek 4.13. W y n ik d z ia ła n ia fu n kcji tra c e rt ""N \
WAŻNE
C zęsto z w yników działania program u m ożna odczytać przebieg w ędrów ki pakietów po sieci, poniew aż niektóre nazwy routerów zaw ierają ich lokalizację. W przykładzie p odanym na rysunku 4.7 pakiety pokonały trasę z Katow ic (z adresu k a t-w a r-r1 .3s.pl), przez Francję (xe-0-2-0.mpr1 ,cd g 1 1 .fr.above.net), W ielką Brytanię (xe-3-3-0.mpr1 .Ihr2. u k.a b o ve .n e t), do USA (xe-5-2-0.cr1.dca2.us.above.net).
4 .6 . 4 . P o le ce n ie n e ts ta t Polecenie n e t s t a t jest jednym z najbardziej rozbudowanych poleceń, pozwalającym na sprawdzanie połączeń sieciowych (rysunek 4.14). Dostępne jest zarówno dla systemu Windows, jak i Linux. Umożliwia wyświetlanie aktywnych połączeń sieciowych TCP, a także portów, na których komputer nasłuchuje, tabeli routingu, statystyk itp. Polecenie n e t s t a t użyte bez parametrów powoduje wyświetlenie aktywnych połączeń protokołu TCP. Inne najważniejsze parametry polecenia w systemie Windows to: • - a — służy do wyświetlania wszystkich aktywnych połączeń oraz portów nasłuchu protokołów TCP i UDP.
Fni
a r Wmdi uv1.''t.y\lrni^Aí niil.ri
¡(Si
C :\Users\bhalska>netstat Aktywne połączenia Protokół TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP
Adres lokalny 192.168.1.9:49172 192.168.1.9:49204 192.168.1.9:49281 192.168.1.9:50875 192.168.1.9:50876 192.168.1.9:50878 192.168.1.9:50881 192.168.1.9:50882 192.168.1.9:50884 192.168.1.9:50886 192.168.1.9:50887 192.168.1.9:50889 192.168.1.9:50890 192.168.1.9:50891
Obcy adres Stan 111.221.74.28:40040 USTANOWIONO 91.190.218.54:12350 USTANOWIONO db3msgr6010911:https USTANOWIONO 213-241-87-54:https CZASOCZEKIWANIA CZAS_OCZEKIWANIA fa-in-fl8:https channel-ecmp-13-prnl:https CZASJDCZEKIWANIA CZAS_OCZEKIWANIA 213-241-87-24:https CZASOCZEKIWANIA ■fa-in-fl9: https channel-ecmp-13-prnl:https CZAS_OCZEKIWANIA star-01-04-lhr2:https CZAS_OCZEKIWANIA muc03s01-in-f4:https CZAS_OCZEKIWANIA USTANOWIONO 213-241-87-39:https fa-in-fl8:https USTANOWIONO channel-ecmp-13-prnl:https USTANOWIONO
Rysunek 4.14. P rzykład w yko rzysta n ia p o le ce n ia n e tsta t — ta b lic a ro utin g u
• - b — służy do wyświetlania aktywnych połączeń protokołu TCP i nazw programów, które są przypisane do obsługi danego portu. • - e — wyświetla statystykę sieci Ethernet, - n — wyświetla aktywne połączenia TCP (adresy i numery portów są wyrażane numerycznie). • - o — wyświetla aktywne połączenia TCP i identyfikatory procesów (PID) poszcze gólnych połączeń. • -p p r o t o k ó ł — ukazuje połączenia wybranego protokołu (udp, tcpv6, tcp lub udpv6). • - s — służy do wyświetlania oddzielnych statystyk dla poszczególnych protokołów. • - r — służy do wyświetlania zawartości tabeli trasowania protokołu IP.
■
I ....... 1 . Wyświetl trasę routingu. 2 . Sprawdź działanie poleceń: p in g , n e t s t a t , t r a c e r t . 3 . Sprawdź adres bramy domyślnej dla swojego komputera. 4 . Sprawdź adres IP swojego komputera.
|
PYTANIA
1 . Wymień wszystkie warstwy modelu OSI. Jakie funkcje pełnią one w trans misji danych? 2 . Czym różni się model TCP/IP od modelu OSI? 3 . Jakie urządzenia działają w warstwie dostępu do sieci oraz w warstwie in ternetu? 4 . Wymień protokoły warstwy sieci. 5 . Wymień protokoły warstwy aplikacji.
6 . Czym różni się protokół TCP od UDP? 7 . Jakie wpisy zawiera tablica routingu? 8 . Wymień trzy protokoły routingu. Jakie jest ich zadanie?
9 . Co oznacza termin gniazdo w przypadku transmisji sieciowej? 1 0 . W której warstwie modelu ISO pracują switche? 11.
Na jakich portach pracują takie usługi, jak FTP, SMTP, HTTP?
1 2 . Wymień protokoły warstwy aplikacji. 1 3 . Z ilu bitów składa się adres IPv4? 1 4 . Z ilu bitów składa się adres IPv6? 1 5 . Jak wygląda adres pętli zwrotnej w IPv4? 1 6 . Jak wygląda adres pętli zwrotnej w IPv6?
d 58
Urządzenia sieciowe Urządzenia sieciowe, które są przyłączane bezpośrednio do segmentu sieci, można podzielić na dwie grupy: •
urządzenia końcowe — komputery (hosty), dmkarki i inne urządzenia wykonujące usługi bezpośrednio dla użytkownika,
•
urządzenia tworzące infrastruktury sieci — wszystkie urządzenia, które łączą urzą dzenia końcowe. Umożliwiają w ten sposób komunikację między nimi (np. routery, przełączniki, wtórniki, koncentratory, mosty itp.).
: z |f c i . K arta sieciow a K a rta s i e c i o w a (ang. NIC Network Interface Card) to urządzenie zapew niające ko m un ika cję z siecią ko m pu tero w ą. W ko m pu tera ch sta cjon a rn ych w ystę pu je o na jako karta rozszerzeń (rysunek 5.1) lub jest w bu d o w a n a na ptycie głów nej. Dostępne są również karty do połączeń b ezprzew odow ych p od łą czan e jako karta rozszerzeń (rysunek 5.2), p ort U S B (rysunek 5.3), P C M C IA (rysunek 5.4). Karta siecio w a funkcjonuje w w arstwie fizycznej modelu ISO/OSI.
Rysunek 5.1. K arta s ie cio w a p rz e w o d o w a p o d łą c z a n a ja k o karta ro zszerze ń
9
Rysunek 5.4. B e z p rz e w o d o w a karta s ie c io w a P C M C IA
Rysunek 5.3. B e z p rz e w o d o w a karta sie c io w a p o d łą c z a n a d o USB
Rysunek 5.2. B e z p rz e w o d o w a karta s ie c io w a p o d łą c z a n a ja k o ka rta ro zszerze ń
W przypadku urządzeń peryferyjnych pracujących w sieci, takich jak drukarka sieciowa czy skaner, karty sieciowe są wbudowane w urządzenie, a ich konfiguracja najczęściej odbywa się za pomocą specjalnych aplikacji dostarczanych przez producenta. Przy wyborze karty sieciowej trzeba uwzględnić architekturę sieci, w której będzie ona pracowała. Najczęściej spotykane są karty sieciowe pracujące w standardzie Ethernet, Fast Ethernet, Gigabit Ethernet. Każda karta sieciowa ma zapisany przez producenta unikalny adres fizyczny, zwany MAC (od ang. M edia Access Control). Adres ten jest wykorzystywany podczas trans misji w drugiej warstwie modelu OSI (więcej w rozdziale 4.). Adres MAC jest adresem 48-bitowym zapisywanym w postaci 12 liczb szesnastkowych oddzielanych znakiem lub (rysunek 5.5). jllD itan: Połączenie cieci bezprzewodowej
Szczegóły połączenia ciec owego Szczegóły połączeń« sieciowego: Właściwość
Wartość
'
SJłcs DNSkonkiWneg. (AJiss fizyczny Adres IPv4 Macka podeieca IPv4 Oaerzawa uzyskana Daetfawa wygasa Bramo domyślna IPv4 Serwer Dl ICP IPv4 Serwery DNS IPv4
00-22-5F-OA-7B-C7
Połączeraa IPv4: Połączenia IPv6: Stan nośnka: SSID;
1
192.168.1.103 266 256 266 0 31 marca 2012 13:45:14 1kwietna 201? 16 19-49 192.168.1.1 192.1601 1 85.202 208 70 194.160 238 2 194.150.238.5
Jakość sygnału: Szczegóły...
Właśowośd sied bezprzewodowej
Aktywność Wysiano —
(
cm
72,0 Mbfs
Szybkość:
-
Serw» WINS IPv4 System NetBIOS wzez T . Tak Adres IPv6 połączenia 1 fe60::S43b:5054:ca1c:dd05‘/;12
Rysunek 5.5. S z c z e g ó ły d o ty c z ą c e karty sie cio w e j
Internet Brak dostępu do acd Wtoczone KTTCA5POT-76F280
Zamkn
Odebrano
—
izrffl Bajty:
8/8264B
•ywtaiowoio ; I
-, Wytocz
I
10/244 32/
-
I Rysunek 5.6. Stan p o łą c z e n ia s ie c io w e g o
UW AGA
N ajprostszym sp oso b e m na uzyskanie adresu MAC jest użycie polecenia ip c o n fig / a l l . M ożna też g o znaleźć, p rze g lą d a ją c szcze g ó ły p o łą cze nia sieciow ego. A b y to zrobić, w system ach W indow s Vista, W in do w s 7 oraz W in do w s 8 p rzech o d zim y do Centrum s ie c i i udostępniania w Panelu sterowania, a następnie do konfiguracji w ybranego połączenia sieciow ego (rysunek 5.6), gdzie po kliknięciu zakładki Szczegóły otrzym am y szczegółow e inform acje, a w śród nich adres fizyczny naszej karty sieciowej (rysunek 5.5).
^2. K oncentratory DEFINICJA Koncentrator (ang. h ub ) to u rządzenie łą czą ce w iele urządzeń p ra cu ją cych
w sieci kom puterow ej w to p o lo g ii gw ia zd y (rysunek 5.7). O kablow anie biegnące od p o szcze g ó ln ych urządzeń sch o d zi się w ce ntra ln ym m iejscu sieci, które stanow i koncentrator. P racuje on w pierw szej w arstw ie m o de lu OSI (w ięcej o m odelu OSI w rozdziale 4). Jego zadaniem jest w zm ocnienie sygnału przychodzącego i przekazanie go na pozostałe porty. Koncentrator nie m oże określić źródła ani m iejsca docelow ego odbieranych informacji, dlatego w ysyła je do wszystkich portów. Może wysyłać i odbierać inform acje, je d n a k nie jednocześnie. M echanizm prop a g acji sygnałów na w szystkie porty pow oduje, że podczas transm isji danych przez tego rodzaju urządzenie istnieje m ożliw ość w ystąpienia kolizji spow odow anych rów noczesnym nadaw aniem przez wiele urządzeń. Obszar sieci, w którym m ogą w ystąpić kolizje, jest nazywany dom eną kolizyjną. U rządzenia p od łą czon e d o ko nce n tra to ró w tw orzą jed n ą d om e n ę kolizyjną. W ięcej inform acji o sposobie d ostępu do m ediów w sieci Ethernet znajduje się w podrozdziale 2.2, „Topologie logiczne". Nie m a m ożliw ości zm iany p rędkości transm isji. W yróżnia się dw a rodzaje koncentratorów: • aktywny — łączy kable oraz regeneruje sygnał, przez co zw iększa zasięg sieci, • pasywny — tylko łączy kable.
Rysunek 5.7. K o n c e n tra to r 4 -p o rto w y
61 O
5 .3 . Przełączniki
A Ł,
DEFINICJA Przełącznik (ang. switch), p odobnie jak koncentrator, stanowi centralny punkt sieci zbudow anej w to p o lo g ii gwiazdy. Sygnat w ycho d zą cy nie jest je d n a k przesyłany na w szystkie wyjścia, lecz tylko do portu, do którego podłączone jest urządzenie docelowe będące adresatem danych (rysunek 5.8).
Przełącznik pracuje w warstwie drugiej modelu OSI. Przełączanie ramek jest realizowane na podstawie adresów MAC urządzeń podłączonych do sieci zapisywanych w tablicy adresów MAG Tablica adresów MAC jest tworzona dynamicznie podczas pracy urządzenia; jeśli dane są transmitowane do urządzenia o nieznanym adresie, wówczas są przesyłane na wszystkie wyjścia w urządzeniu — urządzenie działa jak koncentrator. Zastosowanie przełączników ma duży wpływ na efektywne działanie sieci. Przełą czanie ramek do odpowiednich portów w urządzeniu powoduje ograniczenie domen kolizyjnych — obszarów sieci, w których mogą występować zakłócenia spowodowane równoczesną transmisją przez wiele urządzeń. Wygląd zewnętrzny koncentratorów i przełączników jest bardzo podobny, najważniej sza różnica tkwi w sposobie przekazywania sygnałów. Informacje dodatkowe na temat przełączników i ich konfiguracji zostały zawarte w podrozdziale 8.3 — „Konfiguracja przełącznika” .
£L4. R outery Funkcję routera mogą pełnić również serwery, które są podłączone równocześnie do kilku sieci — poprzez karty sieciowe lub karty umożliwiające konfigurację sieci wirtu alnych VLAN łączą segmenty sieci lub całe sieci. Zadaniem routerów sprzętowych czy programowych (tych instalowanych na serwerze) jest przesyłanie ramki danych pomię dzy sieciami na podstawie informacji warstwy 3. Routery podejmują decyzje logiczne dotyczące wyboru najlepszej drogi transmisji danych. Następnie pakiety kierowane są
C62
na odpowiedni port wyjściowy, gdzie przeprowadzany jest proces enkapsulacji. Podczas enkapsulacji strumień danych jest dzielony na segmenty, dodawane są odpowiednie nagłówki i stopki, po czym dane zostają przesłane. Procesy enkapsulacji i dekapsulacji zachodzą za każdym razem, gdy pakiet jest przesyłany przez router. Dekapsulacja jest procesem odwrotnym. Nagłówki i stopki są usuwane, a następnie tworzony jest jednolity strumień. Router musi zdekapsułować ramkę warstwy drugiej, aby uzyskać dostęp do nagłówka warstwy trzeciej i odczytać odpowiadający tej warstwie adres. Dodatkowe informacje na temat routingu znajdują się w podrozdziale 4.4, „Zasady transmisji w sieciach TCP/IP”.
Router (rysunki 5.9 i 5.10) to urządzenie p racu ją ce w w arstw ie trze ciej m odelu OSI, bazujące na adresach IP. Routery łączą różne rodzaje sieci, pozw alają na
przekazywanie pakietów pom iędzy oddzielnym i sieciami logicznymi (sieciami IP), a także p o m ię d zy sieciam i zb ud o w an ym i z w ykorzystan ie m różnych m e dió w i te c h n o lo g ii transm isyjnych. Routery kierują pakiety do sieci docelow ej, w ybierając najlepszą dla nich drogę. O peracja ta nazywana jest rutowaniem lub trasowaniem.
Rysunek 5 9 R o u te r z m o d u te m W iFi
Rysunek 5.10. R o u te r W iFi - panel Wny- W id o c z n e e le m e n ty (od lewej): a n te n a W iFi, 4 p orty LA N , Port W A N , w e jś c ie za silania, p rz y c is k RESET
Router jest urządzeniem niezbędnym do podłączenia sieci lokalnej do internetu. Rozwój technologii oraz dostępność łączy internetowych to przyczyny upowszechniania się niewielkich routerów domowych. Najczęściej mają one jedno łącze do sieci WAN oraz wbudowany przełącznik do podłączenia kilku urządzeń sieci lokalnej. Urządzenia te są wyposażone w dodatkowe funkcje, takie jak translacja adresów, serwer DHCP, moduł WiFi, porty USB do współdzielenia zasobów lub podłączania modemów 3G/4G. Informacje na temat konfiguracji routerów zostały zawarte w podrozdziale 8.4 — „Kon figuracja routera”.
63 ar
.
Y____
¡ZI£L5. P unkty d o stę p o w e sieci be zp rze w o d o w ych P u n k t d o s tę p u lub p u n k t d o s tę p o w y (ang. a c c e s s p o in t — AP) — urządzenie, które zapewnia urządzeniom wyposażonym w bezprzewodowe karty sieciowe dostęp do zasobów sieci za p om ocą bezprzew odow ego m edium transm isyjnego (rysunek 5.11).
Rysunek 5.11. D zia łan ie p u n k tu d o s tę p o w e g o
Nośnik be/przewodowy
Punkt dostępowy pełni również rolę mostu łączącego sieć bezprzewodową z siecią prze wodową (najczęściej Ethernet), dlatego też ma on minimum dwa interfejsy: interfejs bezprzewodowy komunikujący się z sieciami standardu 802.11 oraz drugi, służący do połączenia z siecią przewodową. Punkty dostępowe mogą komunikować się ze sobą, co umożliwia budowę bardzo roz ległych sieci bezprzewodowych. Dodatkowo większość produkowanych aktualnie punktów dostępowych do zastosowań domowych i małego biznesu (ang. SOHO — Smali O ffice H om e Office) wyposażona jest również w router, serwer DHCP przydzielający adres sieciowy stacji zaraz po jej połączeniu z punktem dostępowym, część ma też możliwość translacji adresów pry watnych na publiczne (NAT), wiele może buforować ramki w celu oszczędzania energii stacji. Informacje na temat konfiguracji sieci WLAN zostały zawarte w podrozdziale 8.5 — „Konfiguracja urządzeń bezprzewodowych”.
:z|& 76. M o d e m y DEFINICJA
M o d e m (ang. modulator-demodulator) — urządzenie, któ re g o z a d a n ie m je s t zam iana sygnałów (danych) cyfrow ych na sygnały analogow e (m odulacja) i na odw rót (dem odulacja) tak, a b y m ożliw e było przesyłanie i odb ie ran ie d anych p op rze z linię telefoniczną analogow ą (ADSL, DSL).
Modemy mogą być podłączane jako karty rozszerzeń do gniazd na płycie głównej lub jako urządzenia zewnętrzne do portów szeregowych COM, portów USB lub portów Ethernet. Najczęściej używanymi urządzeniami tego typu są modemy telefoniczne — zarówno wdzwaniane, jak i modemy technologii xDSL (rysunek 5.12) — a także mo demy kablowe wykorzystywane do transmisji danych w sieciach telewizji kablowych. Rysunek 5.12. M o d e m DSL
,7.
Firewall s p rzę to w y
DEFINICJA
ń .
S p r z ę t o w y fire w a ll je s t urząd ze n ie m re alizują cym fu n k c je z a b e z p ie c z a ją c e jako d o d a tko w e urządzenie w sieci. Poza typ o w ym i fu n kcja m i zabezp iecza jącym i, takim i ja k filtrowanie pakietów w sieci, m oże m ieć szereg dodatkow ych funkcji, jak np. szyfrow anie przesyłanych danych czy a utom atyczne pow ia da m ian ie adm inistratora system u o określonych zdarzeniach (przykładowo o w łam aniu). Konfiguracja takiego urządzenia m oże się o d b yw a ć b e zp o śre dn io przez p od łą czen ie urządzeń w e jś c ia / wyjścia do firewalla lub pośrednio poprzez przeglądarkę WWW. Sprzętowy firewall często w bu d o w a n y bywa również w inne urządzenia sieciowe, np. routery i modemy.
Najczęściej stosowane sprzętowe rozwiązania typu firewall: •
Firewall posiadający dwie karty sieciowe — w tym rozwiązaniu znajduje się pomiędzy siecią lokalną a siecią zewnętrzną. Dzięki temu, że jest podłączony do dwóch sieci, ma dostęp do pakietów danych pochodzących z obu sieci. Oprogramowanie serwera może kontrolować wszystkie przechodzące pakiety i na podstawie ustalonych reguł zezwalać lub nie na ich transmisję do drugiej sieci.
•
Firewall z routerem ekranującym — serwer chronionej sieci komputerowej jest od dzielony od innej poprzez router kontrolujący przechodzące pakiety danych oraz ukrywający adresy poprzez usługę NAT.
•
Firewall z dwoma routerami ekranującymi: jeden router kontroluje przepływ pakie tów danych wewnątrz chronionej sieci komputerowej, natomiast drugi jest odpo wiedzialny za transmisję pakietów danych do/z innej sieci. Zaletą jest to, że router podłączony do chronionej sieci może uniemożliwiać uzyskanie nieautoryzowanego dostępu do serwera z innej sieci.
650
Wydajność firewalla jest w dużym stopniu uzależniona od jego konfiguracji sprzętowej, natomiast o jego możliwościach decyduje sterujące nim oprogramowanie (często można je uaktualniać, zwiększając tym samym funkcjonalność). Dobór odpowiedniego firewalla sprzętowego uzależniony jest od wielkości oraz rodzaju chronionej sieci komputerowej. Informacje na temat konfiguracji zabezpieczeń sieci zawarte są w podrozdziale 8.4.9, „Konfiguracja zabezpieczeń sieci — firewall” .
~v^ji5.8. K onw ertery m e d ió w K o n w e r te r (ang. transceiver) m e d ió w je s t p o łą cze n ie m n ad a jnika i o d b io rn ik a (rysunek 5.13). W sieciach inform atycznych jest wykorzystywany do konwersji sygnału przesyłanego św iatłow odem na sygnał przesyłany kablem m iedzianym lub odwrotnie. Pracuje w pierwszej warstwie modelu ISO.
Konwertery mediów stosuje się przede wszystkim tam, gdzie zachodzi konieczność zmiany medium transmisyjnego. Rysunek 5.13. M e d ia k o n w e rte r
1 . W jakiej warstwie modelu ISO pracuje karta sieciowa? 2 . Czym różni się koncentrator od przełącznika? 3 . Jakie zadanie pełni router? 4 . Jak nazywa się punkt styku sieci kablowej i bezprzewodowej? 5 . W jakiej warstwie modelu ISO pracuje przełącznik? 6 . W jakiej warstwie modelu ISO pracuje router? 7 . Jakiego urządzenia należy użyć, aby połączyć kilka komputerów w sieć? 8 . Jak inaczej nazywa się koncentrator?
:
Konfiguracja sieciowa systemów Windows System Windows to oprogramowanie, które może być instalowane na stacjach robo czych (np. Windows 8), serwerach (np. Windows Server 2008 R2), a także tabletach (np. Windows 8) czy smartfonach (np. Windows Phone 8). To, jaka wersja jest instalo wana, jest uzależnione od funkcjonalności oraz potrzeb użytkownika czy administratora. Obecnie najbardziej rozpowszechnionym systemem operacyjnym w stacjach roboczych jest system Windows XP, aktualnie z pakietem Service Pack 3 firmy Microsoft. System ten, mimo że został zaprezentowany w roku 2001, nadal funkcjonuje w środowisku sie ciowym. Powoli jest jednak wypierany przez system Windows 7, a 8 kwietnia 2014 roku Microsoft kończy wsparcie techniczne dla Windows XP SP3. System był dostępny w dwóch wersjach: •
H om e Edition — wersja dla użytkowników domowych,
• P rofessional — wersja dla firm zawierająca obsługę zasad zabezpieczeń lokalnych oraz obiektów zasad grupy, zapewniająca obsługę wielu procesorów oraz mechanizm uwierzytelniania sieciowego. Następcą systemu Windows XP został wydany w roku 2006 Windows Vista. Mimo nowych funkcji system nie zdobył zbyt wielkiej popularności. Nowe opcje oraz nowy wygląd spowodowały zwiększenie minimalnych wymagań sprzętowych, przez co system nie działa zbyt wydajnie na starszych komputerach. System Vista nie zdobył zaufania wśród administratorów, więc po dokonaniu poprawek w 2009 roku został wypuszczony jego następca, Windows 7, który okazał się bardziej wydajny oraz stabilny od Visty i jest aktualnie najbardziej popularnym systemem ope racyjnym instalowanym na komputerach osobistych i firmowych (rysunek 6.1).
Rysunek 6.1. P ulpit s y ste m u W in d o w s 7
System Windows 7 jest dostępny w kilku wersjach: •
Windows 7 Starter (podstawowe wydanie systemu operacyjnego);
•
Windows 7 Home Premium (udostępnianie zasobów multimedialnych przy wyko rzystaniu Media Center);
•
Windows 7 Professional (dla firm, umożliwia podłączanie do domeny, szyfrowanie plików, uruchomienie wirtualnego środowiska Windows XP);
•
Windows 7 Ultimate (najbardziej uniwersalna wersja dla firm, która łączy funk cjonalność Home Premium oraz Professional, dodatkowo wyposażona w funkcje BitLocker i BitLocker To Go umożliwiające zabezpieczenie danych);
•
Windows 7 Home Basic (wydanie podstawowe, uzupełnione o dodatkowe opcje, przeznaczone dla użytkowników domowych);
•
Windows 7 Enterprise (wersja dla klientów umów licencjonowania grupowego, posiada wszystkie opcje edycji Ultimate, różni się jedynie sposobem aktywacji).
Każda z omówionych wersji systemów operacyjnych może współpracować z 32- i 64-bitową architekturą procesora. Ranking systemów operacyjnych na podstawie strony ranking.pl (rysunek 6.2). Rysunek 6.2. S ta tystyczn e d a n e d o ty c z ą c e p o p u la rn o ści s y s te m ó w o p e ra c y jn y c h w Polsce
Następcą Windows 7 jest Windows 8, który jest dostępny od października 2012 roku. Od poprzedników różni go przede wszystkim nowy interfejs metro, oparty na kolorowych
d e s.
kafelkach (rysunek 6.3). Każdy taki element na ekranie startowym jest połączony z progra mem, osobą, stroną internetową, folderem czy jakimkolwiek innym istotnym elementem. Tryb pulpitu znany z poprzednich wersji systemu jest w nim osobną aplikacją. Rysunek 6.3. W in d o w s 8
6/1. K onfiguracja in te rfejsó w sie cio w ych Aby urządzenia w jednej podsieci mogły się ze sobą komunikować, należy przypisać im odpowiednie adresy IP, np. 1 9 2 .1 6 8 .1 .1 ,1 9 2 .1 6 8 .1 .2 z maską 255.255.255.0 (patrz podrozdział 4.5 — „Adresacja IP”). Konfiguracja odbywa się w przeznaczonych do tego narzędziach: • Windows XP — Połączenia sieciow e (rysunek 6.4). Rysunek 6.4. K o n figu ra cja karty sie cio w e j — W in d o w s XP
Windows Vista, 7, 8 — Centrum sieci i udostępniania (rysunek 6.5 i 6.6). Rysunek 6.5. K o n figu ra cja karty sie cio w e j — W in d o w s 7
Wylwiell podtuwow* inform«)«o « ö i jtonfiguiu) pol«aeni
*
*>
.bc timfiunł «ul«lu»
#
«MNÍU
*
Rysunek 6.6. K o n figu ra cja karty sie cio w e j — W in d o w s 8
Ü
Networks —
«—
O
Aby wybrać konfigurację połączenia z menu kontekstowego, należy kliknąć opcję W łaś ciwości. Wyświetlone zostanie okno W łaściwości: Połączenie lokaln e, które pozwala na konfigurację parametrów połączenia. Najważniejsze ustawienia są dostępne w zakładce Sieć, która zawiera spis wszystkich składników sieci wykorzystywanych przez wybrane połączenie. Aby dołączyć nowy skład nik, należy wybrać przycisk Zainstaluj, aby usunąć — przycisk Odinstaluj. Konfiguracja wybranego składnika jest możliwa po wybraniu przycisku W łaściwości (rysunek 6.7). Rysunek 6.7. O k n o w ła ś c iw o ś c i p o łą c z e n ia lo ka ln e g o
. WiKMkiiPoticnni'lokitat
>' IV.«IrW211408««! ftl fw Ełwn« |«nJo~sn«| !« p o n * a « » M c e ;»/«>»; ^ łkł«ntB«ctMlclff!C*N«hwA.l * £§Urtiwięrfwn«r«*w*i rłił:/rrt M5*wieh m -i- Sanmw*W»/Wympgwraaf V Ktftaf -«I
•«
N
irpnh >«t;*
——
Op«
kcrt»ł rumtmuf 1TCMP} Dwv*»pMMt 4«i« i u»Hfc««rtC* Iow«.«;* wo •tefe*1'»*» Ot.
tnA,
Najważniejszym parametrem dla konfiguracji sieci jest przypisanie adresu IP, który umożliwia jednoznaczne określenie komputera podłączonego do sieci. Adresy IP mogą być wprowadzane ręcznie jako parametr konfiguracji urządzenia lub przypisywane dynamicznie przez serwery działające w sieci. Dodatkowe informacje dotyczące metod automatycznego przydzielania adresów IP zostały zawarte w podrozdziale 4.5 — „Adresacja IP” . Aby przypisać adres IP dla wybranego połączenia sieciowego, należy wskazać składnik Protokół internetowy (TCP/IP) (lub Protokół internetowy w wersji 4 (TCP/IPv4) w przypad ku systemu Windows Vista lub Windows 7), a następnie wybrać przycisk W łaściwości. Pojawi się wówczas okno konfiguracji adresu IP (rysunek 6.8).
Rysunek 6.8. O k n o w ła ś c iw o ś c i p ro to k o łu TCP/IP
Włicwki: Protokół tntrrwtc«^wwtr)>4 (TCP/lPv4) Pit*« i »* h t o a*«">«y~'vj PTiyodmiiiiwł-oiitałtrtK ■umj nortwomoootruraoumMC rMitoa^euso-WMSrotołoiiilo.woiiMMrrTow ' u!Y»*! ufl*M««pOtcUkl 1POd«a™Wr#0>4ft « I* r * a g M S P « ) « «
MM*rm autanatyura.
¿MmOTMOmoo«...
Domyślnie zaznaczona jest opcja pozwalająca na pobieranie konfiguracji protokołu TCP/IP z sieci — Uzyskaj adres IP autom atycznie (rysunek 6.8). Jeśli sieć, do której jest podłączone urządzenie, wymaga ręcznej konfiguracji parametrów, to należy wprowadzić dane otrzymane od administratora sieci. Podstawowe parametry sieci pozwalające na dostęp do sieci lokalnej to: • Adres IP — unikalny identyfikator urządzenia w sieci, •
M aska podsieci — liczba określająca przynależność do podsieci.
Natomiast podczas podłączania do sieci zewnętrznej, czyli internetu, należy zdefiniować kolejne parametry: •
Brama dom yślna — adres routera w sieci (urządzenia zapewniającego połączenie z innymi sieciami),
•
Preferowany serwer DNSy Alternatywny serwer DNS — adresy serwerów, które za pewniają translację nazw domenowych na adresy IP.
Adresy uzyskiwane automatycznie są adresami przydzielanymi przez działający w sieci serwer DHCP. W konfiguracji protokołu IP w systemie Windows przy wyborze auto matycznej konfiguracji IP istnieje możliwość zdefiniowania konfiguracji alternatywnej. Są to ustawienia, które są wczytywane, gdy serwer DHCP nie odpowie na żądanie podania adresu. Jeśli konfiguracja alternatywna nie została wprowadzona, wówczas w przypadku braku odpowiedzi z serwera DHCP zostanie uruchomiony mechanizm APIPA (ang. Automatic Private IP Addressing), który przypisze adres z puli 169.254.0.1 - 169.254.255.254. Gdy serwer DHCP stanie się osiągalny, wówczas adres zostanie pobrany i wprowadzony do konfiguracji systemu. Automatyczne przypisywanie adresów IP pozwala na łatwiejsze zarządzanie siecią — adresy są przydzielane przez usługę DHCP, wszelkie zmiany adresacji mogą być przeprowadzone z jednego miejsca. W przypadku ręcznej konfiguracji adresów każ dorazowa zmiana w koncepcji adresacji wymaga rekonfiguracji wszystkich urządzeń działających w sieci.
7l p
W przypadku systemu Windows 7 po skonfigurowaniu karty sieciowej należy również określić lokalizację sieci (rysunek 6.9), która wiąże się z zaporą sieciową oraz możli wością udostępniania zasobów. Ostatnie lata przyniosły znaczący rozwój bezprzewodowego dostępu do sieci. Podobnie jak w przypadku kart sieci przewodowej, po zainstalowaniu karty umożliwiającej pod łączenie do sieci bezprzewodowej w systemie w oknie Połączenia sieciow e dodawana jest ikona opisana jako Połączenie sieci bezprzewodowej. Konfiguracja parametrów sieci jest praktycznie taka sama jak w przypadku sieci kablowych, najważniejszą różnicą jest wybór sieci, do której komputer ma zostać podłączony. Po wybraniu w menu kon tekstowym połączenia bezprzewodowego opcji Wyświetl dostępne sieci bezprzew odow e pojawi się okno z listą osiągalnych sieci radiowych (rysunek 6.10). Rysunek 6.9. O k re ślan ie lokalizacji sieci
V -J .'. Okieil»mt tokslizncyiKO Wybien lokalizację sieci NETIASPOT 76F280 2 TentompuurjcnpodSłc:cnydo siec. SystemWindowssutometyesuezastosLje
&
u Siei domowa
: _ Sieć firmowa te,jest lo
s*c wprecy Nieneter»w>ti«t
Sieć publiczna telli nielozpoznsjtszwszystkichkomputerówwsieci (nt pizyktedjestet w * ‘ i lotniskuetookonysteszt keeneikoweęopoteezenie króiymi OedesteNczyCwpttysttoSci fake puMctiHi niepyłej wiece
Rysunek 6.10. D o s tę p n e sieci b e z p rz e w o d o w e
Obecnie połączono t. ,
NETIASPOT-76F280 2 Dostęp do Internetu
" ^
Sieć n ie z id e n ty fik o w a n a Brak dostępu do sieci
Połączenie sieci bezprzewodowej NETIASPOT-76F280
*
Połączono
UPC0040792 FON_NETIA_FREEJNTERNET
^
dziuniaupc
¿A
UPC014855 NETIASPOT-68AE90
^
O tw órz C entrum sieci i udostępni
Dodatkowe informacje na temat konfiguracji sieci bezprzewodowych zostały zawarte w podrozdziale 8.5 — „Konfiguracja urządzeń bezprzewodowych”.
6.1.1. G ru p a ro b o c z a — s ie ć ró w n o p ra w n a Grupa robocza to lokalna sieć komputerowa, w której każdy z komputerów może korzystać z zasobów innych komputerów na tych samych zasadach. Oznacza to, że poszczególne komputery mogą udostępniać swoje zasoby użytkownikom oraz same mogą pobierać dane z innych komputerów pracujących w sieci. DEFINICJA Grupa robocza (ang. w orkgroup) to zb ió r ko m pu teró w pracu ją cych w obrębie
lokalnej sieci (określany nazwą tej grupy).
Komputery pracujące w grupie roboczej mogą udostępniać pliki i foldery oraz drukarki. Dostęp do zasobów sieci umożliwia folder M oje miejsca sieciow e (lub folder Sieć w syste mie Windows Vista albo Windows 7, patrz rysunek 6.11) — wyświetla on komputery zgromadzone w dostępnych grupach roboczych. Aby przejrzeć zasoby sieciowe wybra nego komputera, należy się z nim połączyć. Windows domyślnie loguje się na zdalnych komputerach z parametrami bieżącego użytkownika systemu. Jeśli taki użytkownik nie istnieje na komputerze zdalnym, wówczas należy podać nazwę i hasło użytkownika, który został dodany w systemie zdalnym. Rysunek 6.11. Z b ió r k o m p u te ró w o ra z u rz ą d z e ń sie c io w y c h w ra m a c h g ru p y ro b o c z e j
&
i udostępniania
Dodaj drukarkę
Dodaj urrędrm,« hr7pc7cwodowe
• Infrastruktura sieci (1) NeWSpot Internet Gateway Dewce • Inne urządzenia (2) •' Ookumerrty •' J ' Mutytra > t j Obeaey
^
netbo«Basic(57C14E1
Jfc K(HtU a ;■ Komputer ii01,10 ’ c j Nowyltl .■| —Srybkainstalacjapaki
3
'
a Komputer (3)
J L
;JL
NmASPOTOftJV£
i a Urządzenia multimedialne (Ir) NFTIMPOTMediaSerw
W’
ElBnwntOw; 11
Aby komputer mógł być widoczny wśród innych w otoczeniu sieciowym, musi mieć unikalną nazwę i przynależeć do grupy roboczej. Ustawienia te są dostępne poprzez przystawkę System, uruchamiany z Panelu sterowania, w zakładce N azwa komputera. Za kładka zawiera bieżącą nazwę komputera. Aby ją zmienić, należy kliknąć przycisk Zmień.
ząp
Rysunek 6.12. O k n o u m o ż liw ia ją c e z m ia n ę p rzyn a le żn o ści d o g ru p y ro b o cze j
Zmiany nazwy komputera/domeny Mozeez zmienić nazwą i członkostwo tego komputera Znany moga wpłynąć na moawMć uzyskiwania dostępu do zasobów sieciowych. Więcej informal Nazwa komputera:
Pftlna nazwa komputera
PtTO
l Wipcg...
]
Członkostwo i_ Domena:
« Grupa robocza: WORKGROUP
OK l [ *TUM_| Nazwa komputera może składać się z liter, cyfr i symboli. Nie może jednak zawierać samych kropek i przekraczać 15 znaków, co związane jest z protokołem NetBIOS ob sługującym rozpoznawanie nazw w sieci bez użycia serwera WINS czy DNS.
672. U dostępnianie za so b ó w sieciow ych 6.2.1. U d o s tę p n ia n ie fo ld e ró w System Windows pozwala w przypadku Windows XP na proste oraz klasyczne udostęp nianie folderów. Pierwsze z nich pozwala łatwo udostępnić zasób, lecz nie umożliwia zaawansowanej konfiguracji praw dostępu. Klasyczny sposób udostępniania pozwala na kontrolę połączeń na poziomie poszczególnych użytkowników lub gmp, a dostęp do plików i folderów jest weryfikowany przez uprawnienia systemu plików NTFS. Możliwa jest także kontrola jednoczesnych połączeń.
U d o s tę p n ia n ie p lików w s y s te m ie W in d o w s XP Systemy Windows do zastosowań domowych korzystają tylko z prostego udostępniania plików, systemy dla zastosowań profesjonalnych pozwalają wybrać sposób udostęp niania. Aby zmienić sposób udostępniania plików w wersjach profesjonalnych, należy zaznaczyć opcję Użyj prostego udostępniania plików (lub usunąć zaznaczenie) w oknie Opcje folderów (dostępnym w Panelu sterowania lub w programie Eksplorator Windows z menu N arzędzia) w zakładce W idok w części Ustawienia zaaw ansowane (rysunek 6.13).
Rysunek 6.13. W y b ó r typu u d o s tę p n ia n ia plikó w w o k n ie O p cje fo ld e ró w
Ogólne Widoki folderu Widok, którego używasz dla tego lokiem (taki jak 0zczególy lub — Kafelki), możesz zosłosowoć do wszystkich fcłdaów. j Zaclosuj do wczyclkich leiderów'| | Resełuj wszystkie loldeiy |
Ustaraenia zaawansowane: PI Przywiuć uwzednie ukria (ukleruw pu zaluuuwaniu 0 Ukryj rJynrannfi pfci sjRłpjnu nppzwiyjnegn (zatenanfl) 1^1 Ukryj rozszerzenia znanychhę>ówplików L J Ukryte pUkai fuklety 0 Nie pokazui ikijtjch plików i lolderow O Pokoż ukryte piki i fełdery □ Uruchomckna folderów w osobnych procesach 0 UJ« prostego uctoftępniaraa plłtów (zalecane] 0 Wyświetl Wormacje o rozmiarze pików w etykietkach folderów 0 Wyświetl listę folderów Eksctotatota w prostymwidoku fddetów 0 Wyświetl pełną sciazkę na pasku adresu l~1 Wyświetl pełną ścieżkę no pasku tytułu | Przywróć domyślne |
3 I AnuM I Aby udostępnić konkretny folder w systemie Windows XP, z menu kontekstowego tego folderu należy wybrać opcję Udostępnianie i zabezpieczenia (rysunek 6.12). W przypadku udostępniania prostego należy zaznaczyć opcję Udostępnij ten folder w sieci oraz podać nazwę, pod którą zasób będzie widoczny w sieci (rysunek 6.14). Nazwa zasobu nie musi być taka sama jak nazwa folderu. Jeśli użytkownicy zdalni m ają mieć możliwość dodawania, edycji lub usuwania plików, wówczas należy zaznaczyć opcję Zezwalaj użyt kow nikom sieciowym na zm ianę m oich plików. Foldery mogą udostępniać użytkownicy należący do grup Administratorzy oraz Użytkoumicy zaaw ansowani. Rysunek 6.14. O k n o p ro s te g o u d o s tę p n ia n ia d a n y c h
iWUśtrwości; Wyniki procy
1 lip * *
A
UdottKmrw llnilfunmywnfw
uśzutu [3 UdoU{pnątenfnl vi rmiflnęireirii ętkćm
|
OK
(|
|f~ 5
W przypadku udostępniania klasycznego okno udostępniania zawiera więcej opcji (rysunek 6.15).
R y s u n e k O k n o
6 .1 5 .
k la s y c z n e g o
u d o s tę p n ia n ia d a n y c h
WUiciwrid; Wyniki piaty
f? ||^<;
Ugfr* Udotfcpnune /'obA7pw.zerM Dmlmrm^MfW! fi . -
j
Mozouudoiłeoró lenlołdefrnłenuz^kowrł.an cioci Aby udoilfpnonelego lottem, kJks^opctcUdoiłepnetenlotter
O Nieudoitopnei legolottem <•>Udottecni len fottei Nu m u Im Iu
Wyi*i
Komenleu. Lnd uZylkownł.Ow
O DopuwwainemekwiMn G) Zezwolmtyki uZytkownimy Aby utlAwet ufUAWntfmft dostęfaj dA uzy&okoe&eUMcych z legolottem f.-«“-'- ueć. klkn, r*7yeisk UpAwniAnA Aby da doUępu ulllne, kkknj ptg&nk Bulwueerie
}Q
•
I 11» « « » » I I l
I '
Zao«a syttemuWindowejca »kaiiigirowana lak. abyzezwalać r>a w:fćZuży4kowen*legolottemz n y e kofrputeeemi w nęci Wośwe#uiioMOf«Zaooiy swiowjWndowj 1
OK
1|
AmAe
| [ Zmimi |
Do udostępnionych folderów i stacji dysków można zastosować następujące typy uprawnień: •
Odczyt — umożliwia przeglądanie nazw plików i podfolderów, przechodzenie do podfolderów, przeglądanie danych w plikach, uruchamianie plików programów.
•
Z m iana — umożliwia przeprowadzanie tych samych operacji co w przypadku od czytu, a dodatkowo dodawanie plików i folderów, zmienianie danych w plikach oraz usuwanie podfolderów i plików.
•
Pełna kontrola — umożliwia przeprowadzanie tych samych operacji co w przypadku odczytu i zmiany, a dodatkowo pozwala na zmianę uprawnień NTFS dla plików i folderów oraz przejmowanie tych plików i folderów na własność.
Uprawnienia do udostępnianych zasobów dyskowych dotyczą tylko użytkowników korzystających z nich poprzez sieć. Dla lokalnych użytkowników dostęp do zasobów regulują uprawnienia oraz prawa systemu plików NTFS.
Uprawnienia są regularni skojarzonymi z obiektam i znajdującym i się na kom puterze
lokalnym lub w sieci, takimi jak pliki i foldery, a nawet drukarki. U prawnienia określają, czy dany użytkownik m a d ostęp do określonego obiektu i co może z nim zrobić. U żytkownik m oże m ieć na przykład d o s tę p d o d oku m e n tu w fo lde rze u d o stę p n io n ym w sieci, lecz tylko z praw em odczytu, bez m ożliw ości w pro w ad za n ia zm ian. A dm inistratorzy systemu i użytkownicy korzystający z kont adm inistratora m ogą przypisywać uprawnienia poszczególnym użytkownikom lub grupom .
W tabeli 6.1 przedstawiono poziomy uprawnień dostępne dla plików i folderów.
T a b e la 6 . 1 . P o zio m y u p ra w n ie ń d la p likó w i fo ld e ró w
Poziom uprawnień
Opis
Pełna kontrola
Użytkownicy mają prawo do wyświetlania zawartości pliku lub folderu, zmiany istniejących plików i folderów, tworzenia nowych plików i folderów oraz uruchamiania programów w folderze.
Modyfikowanie
Użytkownicy mają prawo do zmiany istniejących plików i folderów, ale nie mogą tworzyć nowych.
Odczyt i wykonanie
Użytkownicy mają prawo do wyświetlania zawartości istniejących plików i folderów oraz uruchamiania programów w folderze.
Odczyt
Użytkownicy mają prawo do wyświetlania zawartości folderu oraz otwierania plików i folderów.
Zapis
Użytkownicy mogą tworzyć nowe pliki i foldery oraz zmieniać istniejące.
Aby skorzystać z udostępnianych zasobów, należy znać nazwę komputera lub adres IP (rysunek 6.16). Wybór opcji Wyświetl komputery grupy roboczej (folder M oje m iejsca sieciowe lub Sieć) spowoduje wyświetlenie komputerów przypisanych do grupy roboczej, w której znajduje się dany komputer. Żeby wyświetlić pozostałe dostępne grupy robocze, wystarczy wybrać opcję M icrosoft W indows N etwork. W folderze wybranej grupy robo czej widnieją przypisane do niej komputery. Dwukrotne kliknięcie ikony komputera spowoduje wyświetlenie zasobów udostępnianych przez urządzenia, pod warunkiem że użytkownik ma odpowiednie uprawnienia. W innym przypadku użytkownik jest proszony o podanie hasła dostępu. W systemach Windows istnieje możliwość wyszukiwania zasobów sieciowych. Służy do tego polecenie Wyszukaj znajdujące się w menu Start. Bezpośredni dostęp do zdalnych komputerów jest możliwy z poziomu programu Eksplo rator Windows. W pasku adresu należy wprowadzić sieciową nazwę zasobu poprzedzoną dwoma wstecznymi ukośnikami (ang. backslash): \\nazwa_komputera\zasób
lub \\ip_komputera\zasób
R y s u n e k 6 .1 6 . U d o s tę p n io n e z a s o b y
ETBiiSi
Innym sposobem dostępu do zasobów jest wprowadzenie adresu zasobu sieciowego w oknie Uruchamianie (menu Start/Uruchom). Otwarte zostanie okno zawierające udo stępnione zasoby. Korzystanie z danych udostępnionych na innych komputerach odbywa się w taki sam sposób jak korzystanie z danych na dyskach lokalnych. Kopiowanie i przenoszenie danych jest możliwe przy użyciu mechanizmu schowka.
U d o s tę p n ia n ie w s y s te m ie W in d o w s 7 Udostępnianie w Windows 7 różni się tym, że domyślnie nie da się udostępnić zasobów dyskowych wszystkim użytkownikom sieci bez zabezpieczenia ich hasłem. Oznacza to, że gdy chce się udostępnić wszystkim folder w sieci lokalnej, należy zabezpieczyć go hasłem, a następnie rozesłać je do wszystkich zainteresowanych. Podejście to jest jak najbardziej słuszne pod względem bezpieczeństwa, czasami bowiem trzeba udostępnić zasoby, do których wszyscy mają mieć dostęp, np. sterowniki. W celu wyłączenia auto ryzacji należy zmienić opcję Udostępnianie chronione hasłem znajdującą się w kategorii Centrum sieci i udostępniania w Panelu sterowania (rysunek 6.17). Rysunek 6.17. C e n tru m sieci i u d o s tę p n ia n ia
QQctq ■ Urén»gn»ni üjnriu ,jy . QEU (T«n’iompułer)
[nfoçnïa'qp o .sieci i.sfconfigunlj połączenia. £ , ZobKiprtnłm. InUtfflèt. PoÎKî.lub/.oài
a"
W kolejnym oknie należy wybrać odpowiedni profil, rozwinąć jego ustawienia i włączyć udostępnianie chronione hasłem. Trzeba pamiętać, że te ustawienia są definiowane dla danego profilu, a nie dla danego folderu (rysunek 6.18 i 6.19). Rysunek 6.18. Profil u d o stę p n ia n ia Zmień opcje udostępniania dla innych profili sieciowych SystemWindnwstworzyodrębnyprofil weiowy dlnItttdęj urywoncj wri, U
..
•Ml7-»' ...
.
•
:;ncgc :«;! włączone. osobywsieci, takżeczłonkowiegrupy zapisywać pliki znajdując O Wytaci udostępniani*fol tędansugły uzyskać dusi
a Uzyj szyfrowanialJH-t Wlec?udostępnianie p S6‘bilonego
Gdyudostępnianie chronione hasłemjest włączone, tylko osoby, które maje kontoużytkowo dołączonychdotego komputera i folderów publicznych. Abyumożliwić dostęp innymosobi
o Wyłączudostępnień \ 7epro zmiany ] ] Anuluj |
Rysunek 6.19. U sta w ie n ia w ra m a c h profilu
Ostatnim krokiem jest właściwe udostępnienie folderu dla odpowiedniej grupy użyt kowników. Po kliknięciu prawym przyciskiem myszy wybranego dysku/folderu/pliku z menu kontekstowego należy wybrać Udostępnij, a następnie Określonym osobom ... (rysunek 6.20). Rysunek 6.20. U d o s tę p n ia n ie z a s o b ó w
S s v '
Otwórz w nowymoknie Dodaj do listyodtwarzania VIC media player Otwórzjako notesw programie OneNote Odtwórzw VLCmedia player
ł
Udostępnij Dodaj do archiwum.,. Dodaj do 'lytunkuar' Skompresuj i wyilij e mailem... Skompresuj do rysunki.rar' i wydlij e mailem Synchronizacjafolderów programu Groove Przywsćk poprzednie wersje
9 9 19 " 9 ’ ¿5 '
folder plików AdobeAcrobat 0...
Grupie domowej (odczyt) Grupie domowej (odczyt/zapis) Określonymosobom...
rsjeŁeicrewn..------ ni® I Adobe Acrobat D...
244 KB
W nowo otwartym oknie z listy należy wybrać użytkownika lub grupę użytkowników, którzy mają mieć dostęp do zasobów (jeżeli zasoby mają być dostępne bez logowania, wystarczy wybrać grupę Wszyscy), a następnie kliknąć D odaj (rysunek 6.21).
r s T B iŁ a ^ j
3
Udostępnianie plików
W y h ip rz o s o b y d n n h jęc ia u d o s tę p n ia n ie m Wpisz nazwę i kliknij przycisk Dodaj lub kliknij strzałkę, aby znaleźć osobę.
Nazwa
Poziom uprawnień
i
Właściciel
bhalska
Mam problem z udostępnianiem
|
Udostępnij
| |
Anuluj
Rysunek 6 .2 1 . D e fin io w a n ie d o s tę p u
Istnieje możliwość zdefiniowania uprawnień dla poszczególnych grup lub użytkowni ków. Aby określić uprawnienia dostępu do zasobów dla danej grupy lub użytkownika, należy kliknąć przypisane uprawnienia (rysunek 6.22), a następnie określić nowy poziom uprawnień.
ji .
Udostępnianie plików
W y b ie rz o so b y d o objęcia ud o stęp nianiem Wpisz nazwę i kliknij przycisk Dodaj lnh kliknij strzałkę, ahy znaleźć nsnhę.
-
Dodaj
Nazwa
Poziom uprawnień
A bhalska
Właściciel
1 test2
•J
Odczyt Odczyt/zaPis
Mam problem z udostępnianiem
Udostępnij
Rysunek 6.22. D e fin io w a n ie u p ra w n ie ń
j |
Anuluj
ĆWICZENIA
Uwaga! Aby możliwe było prawidłowe wykonanie ćwiczeń w sali lekcyjnej przez wielu uczniów równocześnie, należy zróżnicować adresy IP. W tym celu proponuje się wykorzystanie numeru ucznia z dziennika. Jeśli ćwiczenia są wykonywane samodzielnie, numer ten może zostać zastąpiony dowolną liczbą z zakresu 1 - 40. 1 . Sprawdź dostępne parametry w ustawieniach połączenia lokalnego. W jaki sposób komputer ma przypisany adres IP? 2 . Sprawdź adres maski i określ, z jakiej klasy jest adres IP. 3 . Udostępnij zasoby między stacjami roboczymi: a.
Skonfiguruj kartę sieciową w wirtualnej maszynie z systemem operacyj nym Windows 7, np. 192.168.nr_z_dziennika. 100.
b.
Skonfiguruj kartę sieciową w wirtualnej maszynie z systemem operacyj nym Windows 7, np. 192.168.nr_z_dziennika.101.
c . Oba adresy powinny być w tej samej sieci. d . Udostępnij folder o nazwie prywatne i zdefiniuj dla niego tylko możliwość odczytu. e.
Udostępnij folder o nazwie publiczne i zdefiniuj dla niego uprawnienia odczyt/zapis.
1 . Wymień i omów uprawnienia dla plików i folderów w systemie plików NTFS. 2 . W jakich edycjach jest dostępny Windows 7, a w jakich Windows XP? 3 . Jakie parametry karty sieciowej są niezbędne w celu skonfigurowania sieci? 4 . Co to jest brama domyślna? 5 . Czym jest grupa robocza? 6 . Omów udostępnianie zasobów w systemie Windows 7.
M a p o w a n ie d y s k ó w DEFINICJA
Jeśli udostępnione dane m ają b yć w idoczne w system ie jako osobny dysk, to należy prze p ro w a d zić o p e ra cję m a po w a nia dysków . Polega ona na przypisaniu w ybranej litery d o udostępnionego zasobu, dzięki czem u jest on w idoczny w folderze K om puter [M ój Kom puter).
81 O
Aby zmapować dysk, w oknie programu Eksplorator Windows należy w menu Narzędzia wskazać opcję Mapuj dysk. W oknie M apow anie dysku sieciowego należy wybrać literę dysku, pod którą będzie widoczny zasób, oraz podać adres udostępnionego folderu (rysunek 6.23 i 6.24). Adres ten można wpisać z klawiatury lub wskazać w oknie, które wyświetli się po kliknięciu przycisku Przeglądaj. Jeśli mapowanie dysku ma być trwałe, należy zaznaczyć opcję Połącz ponow nie przy logowaniu. Rysunek 6.23. M a p o w a n ie d y s k ó w — W in d o w s XP
Mapowanie dysku sieciowego SystemWindows może pomóc połączyć się z udostępnianymfolderem stadowymi przypisać literę dysku Doiaczerwj, aby można było uzyskać dostęp do teao fuldou, uzywdK?- uh ia Mój kumpulei. Określ literę dysku dla połączenia i tołder, z którym chcesz się połączyć! Dysk: tołder-
W: VV’iIUMieua
[wrzeglądaj
Przykład! \\serwer\udzi=ł PI Potocz ponownie przy logowaniu Połączużywając mi
Rysunek 6.24. M a p o w a n ie d y s k ó w — W in d o w s 7
Jaki folder siedenvy diccsz zamapować?
J Połaci pooownirpnylogowemu Pi'eci perywymi inoyc«(»«Moi"
I
11 *** i
Podłączenie do zdalnych zasobów następuje z prawami użytkownika Gość. Jeśli podłą czenie ma być realizowane z prawami innego użytkownika, to należy wprowadzić jego nazwę i hasło w oknie, które pojawia się po wybraniu opcji Połącz używając innej nazwy użytkownika (Windows XP) lub Połącz przy użyciu innych poświadczeń (Windows 7). Po wybraniu tej opcji zostaniemy poproszeni o podanie nazwy użytkownika oraz hasła. Po zatwierdzeniu działania przyciskiem Zakończ w folderze komputera zostaje dodana ikona kolejnego dysku opisana literą wybraną w procesie mapowania. Otwarcie dysku spowoduje wyświetlenie zawartości zdalnego folderu. Mapowanie dysków jest możliwe także z poziomu trybu tekstowego, poprzez składnię polecenia n e t u se: net use litera_dysku adres_zasobu presistent:{yes/no} ]
[hasło]
[/user:]
[/
gdzie: • l it e r a _ d y s k u — litera dysku, pod którą zasób ma być mapowany, •
h a s ł o — hasło dostępu do zasobów (parametr opcjonalny),
•
nazw a_użytkow nika — nazwa użytkownika logującego się do zasobów (parametr opcjonalny),
•
p r e s i s t e n t : y es/ n o — określa, czy mapowanie ma być przeprowadzone po ponownym zalogowaniu do systemu (parametr opcjonalny).
Mapowanie dysków pozwala na dostęp do zdalnych zasobów z poziomu aplikacji użytkownika — dostęp do nich jest taki sam jak w przypadku dysków fizycznie zain stalowanych w komputerze. W ramach domeny będącej główną usługą serwera mapowanie dysków jest możliwe przy użyciu skryptów logowania, które przy każdym logowaniu będą mapować okre ślone zasoby (rysunek 6.25 i 6.26). Rysunek 6.25. GPO — s k ry p t lo g o w a n ia — W in d o w s S erver 2 0 0 8 R2
Rysunek 6.26. GPO — s k ry p t lo g o w a n ia m a p u ją c y d ysk — W in d o w s S erver 2 0 0 8 R2
U d o s tę p n ia n ie d ru k a re k Opcja udostępniania drukarek pozwala korzystać z urządzeń podłączonych do kompu tera innym użytkownikom sieci, co prowadzi do redukcji kosztów związanych z zaku pami urządzeń drukujących. Aby udostępnić drukarkę innym użytkownikom, należy w folderze Drukarki i faksy, który znajduje się w Panelu sterowania, wyświetlić okno właściwości wybranej drukarki. Następnie w zakładce Udostępnianie trzeba wprowadzić nazwę, pod którą drukarka ma być widoczna w sieci (rysunek 6.27 i 6.28). Rysunek 6.27. U d o s tę p n ia n ie d ru ka rki — W in d o w s XP
k Wlai-Kmid; HP LoactJct 5000 Serie* PCI DgOkw Udoslwnane 1’nty ,'nnwwninwor.n /nhnzpwrznrin UsImmmmurz^dn-rw O Momu Mpółu^kować li rtcł.ark.ez nrymi uzytfcoutrik.ainwti«ł Aby włączyć - ~ \ ledmlcpniArantn| dilicMfci. kkkrqopcjo lldrultfni tędrufcnrke /apron systemu Wndzivsjmt r.: dccrAguiowanalak abyzezwalaćnaudoetecnianie¿ukasek mjen
C’ W* mkntęprK* lei shiAaikj Q j Udnslęfirętę rkidrarkę Nazwaudziału
Laserowa
Jeztł z urłosłęceienci 4ukaki kooyMaięużytkownicymych wasi systemu WerJonrs, muZeszzarisiakwaćdodolkcnue'.Inuwii. abyuZytkuunrcyr«r mjsieł szekać staomka dukarki. odypodłącza sic doudosl«mionei dnAarks
I
Rysunek 6.28. U d o s tę p n ia n ie d ru ka rki — W in d o w s 7
OK
| |
Anufcą |
■5 VlWotwoioeBroth«MBOiJJODNPrint« Oaiłu UfcUwrum p«ty | Zaawansowane | ZtruOuntkcMrar, *Zim»»:»ii j ¿kcewie Irsli udostępniszte drukarkę, wszyscyużytkownicywsieci herit moąli M nirj drukować. Drukarkanie bodziedostępnawstanie uipieni* komputer*- Abyzmianiete ustawieni*. uzy)apletu .- ‘ ¡«■•udostępnieni*.
. '“r ' -
...
Jeżeli zudostępniony drukarki korzysta)* użytkownicyinnych wersji systemuWindows, mozeszzainstalowaćdodatkowesterowniki, aby użytkownicyniemusieli szukaćsterownikadrukarki, gdy podłącz*we do udostępnionydrukarki. Dodatkowesterowniki...
OK
iVc*J
Zasosci
1 Tern* ■'
Po instalacji drukarki użytkownicy należący do grupy Wszyscy (a więc wszyscy użytkow nicy komputera) mają uprawnienia do drukowania oraz zarządzania swoimi dokumen tami oczekującymi w kolejce wydruku. Użytkownicy należący do grupy Administratorzy mają prawo do zarządzania wszystkimi dokumentami i drukarkami. Prawa dostępu do drukarek dotyczą zarówno użytkowników lokalnych komputera, jak i użytkowników sieciowych. Prawa te mogą być ustawiane w zakładce Z abezpieczenia w oknie właściwości drukarki.
Z drukarkami są związane następujące uprawnienia: •
Drukowanie — pozwala na przesyłanie wydruku do drukarki,
•
Zarządzanie drukarkam i — pozwala na dodawanie i usuwanie drukarek w systemie,
•
Zarządzanie dokum entam i — pozwala na zarządzanie kolejką wydruku.
Podobnie jak w przypadku innych zasobów, uprawnienia mogą być nadawane i odbie rane zarówno użytkownikom, jak i grupom (rysunek 6.29). Rysunek 6.29. U p ra w n ie n ia d o d ru k a re k
Aby zainstalować drukarkę sieciową w systemie Windows, należy w folderze Drukarki i faksy wybrać opcję D od aj drukarkę. W oknie kreatora, które się wyświetli, trzeba wskazać, że instalowana będzie drukarka sieciowa (rysunek 6.30). Rysunek 6.30. Insta la cja d ru ka rki s ie c io w e j w syste m ie W in d o w s XP
Kreator dodawania drukarki Drukarka lokalna lub sieciowa Kic^ ui musi iwdzieć. jaki lyu diutaki RIOustawić. i
]
W)ł*crz opcję określającą drukarkę, której chcesz użyć O Drukaika lokalna podleczona do tego komputera 0jDmjsako sieciowa lub drukarka podłączona do mego korrputerą
! Ahyskrmfigiirrw**tdn*wkę.wrim«ą. klńra nie¡fisi pnrłącTma * 0 do ten/rera wydnAal. nateąi U2jć opep .Drukarka lokakra.
i
1 |
Dolej >
| L A m iu j
850
Następnym krokiem jest wprowadzenie adresu drukarki sieciowej. Można wprowadzić go ręcznie w polu Podłącz do tej drukarki lub wyszukać wśród komputerów w sieci (rysunek 6.31). Rysunek 6.31. U d o s tę p n ia n ie d ru k a rk i w syste m ie W in d o w s XP Do jakiej dnforki chce« podłączyć? O' Przeglądaj w potakiwaniu dak.aiki Podłącz do lej drukarki (lub zaznacz Ig opcję i ktknij przycisk Dalej, aby znaleźćdrukarkę):
O Podkącz do dijĄarki w sieci domowet lub biurowei
2
Pi j*>ad: hltp://ęeruer/pnnreis/rrBJptnret/.pm»er
|
Dalej >
| [
AraJuj
|
Opcja Podłącz d o drukarki w sieci dom ow ej lub biurowej pozwala na używanie dmkarek udostępnianych przez serwery wydruku korzystające z protokołu HTTP. W przypadku udostępniania drukarek w sieci równoprawnej należy wprowadzić adres w polu przy opcji Podłącz d o tej drukarki. Po wybraniu przycisku D alej kreator rozpocznie instalację sterownika drukarki sieciowej. Kolejny krok pozwala wybrać instalowaną drukarkę jako domyślną. Po zakończeniu pracy kreatora drukarka jest widoczna w folderze Drukarki i Faksy, co umożliwia korzystanie z niej jak z drukarki podłączonej bezpośrednio do kompute ra — jest ona na liście drukarek do wyboru wyświetlanych we wszystkich aplikacjach w systemie. Podłączenie do zdalnej drukarki jest możliwe także podczas eksploracji udostępnionych zasobów. Należy wówczas w menu kontekstowym udostępnionej drukarki wybrać opcję Połącz.
1 . Udostępnij wybrany folder w sieci. Sprawdź możliwe ustawienia uprawnień. 2 . Podłącz się do udostępnionego folderu. 3 . Wykonaj mapowanie wybranego folderu w sieci. 4 . Za pomocą folderu Sieć (lub M oje m iejsca sieciowe) sprawdź dostępne zasoby sieciowe. 5 . Udostępnij drukarkę w sieci. 6 . Podłącz udostępnioną w sieci drukarkę.
PYTANIA
1 . Na czym polega udostępnianie drukarki? 2 . Co to jest mapowanie dysków? 3 . Jakie polecenie umożliwia mapowanie dysku z konsoli? 4 . Wymień uprawnienia, z jakimi możemy udostępnić drukarkę.
6J3. Lokalne konta użytkow ników i gru p Każdy użytkownik przed rozpoczęciem pracy musi zalogować się do systemu, dzięki czemu zostaną załadowane spersonalizowane ustawienia systemu. Dodatkowo dużym atutem kont użytkowników jest łatwiejsza kontrola dostępu do zasobów komputera. Konta użytkowników dzielą się na trzy rodzaje: •
Konta wbudowane, które są zakładane w momencie instalacji systemu operacyjnego. Są to konta Administrator oraz Gość. Nie można ich usunąć, przy czym konto G ość może być wyłączone.
•
Lokalne konta użytkowników są wykorzystywane do pracy na pojedynczych kom puterach lub komputerach połączonych w grupy robocze. Informacje o kontach są przechowywane na komputerze lokalnym i można z nich korzystać tylko na nim.
•
Domenowe konta użytkowników wykorzystuje się w komputerach podłączonych do sieci pracującej pod kontrolą usługi katalogowej (Active Directory) (więcej in formacji o usłudze w punkcie 6.4.5).
W desktopowych systemach Windows tworzone są następujące — wbudowane — grupy użytkowników: • Administratorzy — mają największe uprawnienia domyślne i możliwość zmieniania własnych uprawnień. •
Operatorzy kopii zapasowych — mają prawo wykonywania kopii zapasowych pli ków i ich przywracania na komputerze, bez względu na jakiekolwiek uprawnienia chroniące te pliki. Mogą także logować się na komputerze i zamykać go, ale nie są w stanie zmieniać ustawień zabezpieczeń.
•
Użytkownicy zaawansowani — mogą tworzyć konta użytkowników, ale są w stanie modyfikować i usuwać tylko te konta, które sami utworzą. Mogą tworzyć grupy lokalne i usuwać użytkowników z utworzonych samodzielnie grup lokalnych, mogą również usuwać użytkowników z grup Użytkownicy zaawansowani, Użytkownicy i Goście. Nie mogą modyfikować grup Administratorzy i Operatorzy kopii zapaso wych, przejmować własności plików, tworzyć kopii zapasowych katalogów i przy wracać ich, ładować i zwalniać sterowników urządzeń ani zarządzać dziennikami zabezpieczeń i inspekcji.
o°
87
•
Użytkownicy — mogą wykonywać większość typowych zadań, takich jak urucha mianie aplikacji, korzystanie z drukarek lokalnych i sieciowych oraz zamykanie i blokowanie stacji roboczej. Użytkownicy mogą tworzyć grupy lokalne, ale mogą modyfikować tylko te grupy lokalne, które sami utworzyli. Użytkownicy nie mogą udostępniać katalogów ani tworzyć drukarek lokalnych.
•
Goście — ta grupa umożliwia użytkownikom okazjonalnym lub jednokrotnym zalogowanie się na konto wbudowane G ość i uzyskanie ograniczonych możliwości. Mogą oni również zamknąć system na stacji roboczej.
•
Replikator — grupa ta obsługuje funkcje replikacji katalogów. Jedynym członkiem tej grupy powinno być konto użytkownika domeny wykorzystywane do logowania się do usług Replikator kontrolera domeny. Do tej grupy nie należy dodawać kont rzeczywistych użytkowników.
Aby dodać nowe konta użytkowników (rysunki 6.32, 6.33, 6.34), należy uruchomić przystawkę Konta użytkowników z Panelu sterowania. Po wybraniu opcji Utwórz nowe konto wystarczy wprowadzić nazwę nowego użytkownika oraz wybrać typ konta — administratora lub z ograniczonymi prawami. Rysunek 6.32. Z a rz ą d z a n ie ko n ta m i u ży tk o w n ikó w — W in d o w s XP
Rysunek 6.33. Z a rz ą d z a n ie ko n ta m i u żytko w n ikó w — W in d o w s 7
” '. - « « - « « « * u
- |
.
-
P
•
Wpruwadi zmiany w komie użytkownika
1 ,
Zaradzaj poiwsadczeniami Utwórz dyskresctowania Hasia Poleci identyfikatorywtrybie Zarz4dzaj certyfikatami szyfrowaniaplików Skonfiguruj zaawansowane użytkownika środowiskowe Zobacztez
Utwórzhasłodla swojego konta Zmień swój obraz
$ Zarządzaj innymkardem V Zmień ustawieniafunkcji Kontrola konta użytkownika
l^ d
bhalska
Rysunek 6.34. Z a rz ą d z a n ie ko n ta m i u żytko w n ikó w — W in d o w s 8
Innym sposobem na zarządzanie kontami użytkowników jest użycie opcji dostępnych w konsoli Z arządzanie kom puterem (Panel Sterowania/Narzędzia adm inistracyjne/Zarzą dzanie kom puterem lub opcja Zarządzaj z menu kontekstowego ikony M ój komputer). W menu znajdującym się po lewej stronie należy wybrać N arzędzia systemowe/Użytkow nicy i grupy lokalne/Użytkownicy. Aby dodać nowego użytkownika, wystarczy wybrać opcję N ow y użytkownik z menu Akcja. W tym samym menu istnieje możliwość zmiany haseł użytkowników oraz ustawienia właściwości konta (rysunek 6.35). Rysunek 6.35. D o d a w a n ie ko n t z p o z io m u konsoli z a rz ą d z a n ia
S Zarządzanie komputerom I s J Pik
Akcia
1
b e
-»
Widok
Okno
m u
&
r - ]|b p ] Pomoc
- Iffl x |l
_________________________
JŁi Zarząd?«*» knmfurerwn (Inka*») tfn Narzędzia systemowe t Jjj) Pudukjd zdarzeń + hnlriery i irtncrąpnmnp 5J Użytkownicy i grupy lokalne
Nazwa ■ fi AriminKlrarpr ■ffCoić ¿Jus»
Pełna nazwa
| Opis whi rinwar» kmtn rin arimmcrrnwr Wbudowane konto do dostępu do 1
- ji E S S E S Ut-#iipy i ¡§j Cacmki wydajności i alerty Menedżer urządzeń - ^ij) Magazyn i ć ji Magazyn wymienny fck Defrajicntatur dysków ^ zarządzania dyekarm i Usług i aplkacjc
dli 1
II
Konsola zarządzania systemem pozwala także na przypisanie użytkownika do wybranej grupy — w oknie właściwości danego użytkownika należy wybrać zakładkę Członek gru py, a następnie dodać lub usunąć grupę czy też grupy, do których użytkownik przynależy. System Windows pozwala także na zarządzanie użytkownikami z poziomu wiersza poleceń. Służy do tego polecenie n e t. Polecenie n e t jest narzędziem oferującym wiele możliwości (rysunek 6.36).
89 q
Rysunek 6.36. P ole ce n ie net
33CAWmdom\iyilemJ2\and.ei* C:\Users\bhalska>net Składnia tego polecenia jest następująca: NET
[
ACCOUNTS | COMPUTER | CONFIG HELPMSG | LOCALGROUP | PAUSE STATISTICS | STOP | TIME
•I.
| CONTINUE | FILE | GROUP SESSION | SHARE START
j
| USE
| USER | VIEW
]
HELP |
j
■u i— J
.................
Przykład 6.1. net accounts
Służy do aktualizowania bazy kont użytkowników oraz modyfikuje wymagania doty czące haseł i logowania dla wszystkich kont (rysunek 6.37). Składnia: net accounts [/forcelogoff:{minuty | no}]
[/minpwlen:długośd]
[/maxpwage:{dni | unlimited}] [/uniquepw:liczba]
Rysunek 6.37. P ole ce n ie n et a c c o u n ts
[/minpwage:d n i ]
[/domain]
3 C:\Users\bhalska>net accounts Po jakim czasie od wygaśnięcia czasu wymuszać wylogowanie?: Minimalny okres ważności hasła (dni): ¡Maksymalny okres ważności hasła (dni): ¡Minimalna długość hasła: iDługość zapamiętywanej historii haseł: :Próg blokady: ¡Czas trwania blokady (minuty): pkrto obserwowania blokady (minuty): ¡Rola komputera: Polecenie zostało wykonane pomyślnie.
Nigdy 0 42 0 Brak Nigdy 30 30 STAC3A ROBOCZA
net Computer
Polecenie dodaje i usuwa konta użytkowników. Jest przydatne, gdy chce się utworzyć wiele kont. Składnia: net Computer \\nazwa_komputera {/add | /del} net user
Dodaje lub modyfikuje konta użytkowników albo wyświetla inform acje o koncie użytkownika (rysunek 6.38). Składnia: net user [nazwa_uzytkownika [hasło | *]
[opcje]]
[/domain]
nazwa_uzytkownika {hasło | *} /add [opcje] nazwa_uzytkownika
[/delete]
[/domain]
nazwa_uzytkownika
[/times:{czas | all}]
[/domain]
Parametry: net user nazwa_uzytkownika
Określa nazwę konta użytkownika, które należy dodać, usunąć, zmodyfikować lub przeglądać. Nazwa konta użytkownika może zawierać maksymalnie 20 znaków. net user nazwa_uzytkownika hasło
Przypisuje lub zmienia hasło konta użytkownika. Aby wyświetlić monit o hasło, należy wpisać gwiazdkę (*). Podczas wpisywania hasło nie jest wyświetlane (rysunek 6.38). n CAWrfMc-t.tytMmMScmd««
1^1 a @
C:\Users\bhalska>net user bhalska Nazwa użytkownika Pełna nazwa Komentarz Komentarz użytkownika Kod kraju Konto jest aktywne wygasanie konta
000 (Domyślne ustawienia systemu) Tak Nigdy
Masło ostatnio ustawiano Ważność hasła wygasa Hasło może być zmieniane Wymagane jest hasło Użytkownik może zmieniać hasło
2010-11-04 23:37:30 Nigdy 2010-11-04 23:37:30 Nie Tak
Dozwolone stacje robocze Skrypt logowania Profil użytkownika Katalog macierzysty Ostatnie logowanie
Wszystkie
Dozwolone godziny logowania
Wszystkie
bhalska
2012-06-19 08:36:19
Członkostwa grup lokalnych
•Administratorzy •HomeUsers Członkostwa grup globalnych •None Polecenie zostało wykonane pomyślnie.
H
-
ĆWICZENIA
1 . Utwórz konto użytkownika userOl za pomocą konsoli tworzenia użytkow nika. 2 . Utwórz konto użytkownika user02, wykorzystując polecenie z konsoli. 3 . Korzystając z polecenia NET, wyświetl informacje o kontach, które zostały przez Ciebie stworzone.
|
PYTANIA
1 . Wymień i omów rodzaje kont użytkowników. 2 . Wymień grupy wbudowane, do jakich możemy dodać użytkowników. 3 . Wymień narzędzia, za pomocą których dodaje się użytkowników.
.__ )c__
¡Z.6.4. A d m inistro w an ie syste m e m W in d o w s S erver Systemy Windows zostały zaprojektowane do pracy zarówno w sieci równoprawnej, jak i w sieci z serwerem. Sieć klient/serwer oznacza podłączenie pojedynczego użyt kownika z pojedynczej stacji roboczej do sieci zarządzanej przez serwer lub serwery — wydajne komputery, które zarządzają siecią i uprawnieniami użytkowników, a także udostępniają zasoby. System Windows Server 2008, którego premiera odbyła się w lutym 2008 r., jest ostatnią wersją serwera dostępną zarówno w wersji 32-bitowej, jak i 64-bitowej. Jego następca, 2008 R2 (październik 2009 r.), został wydany jedynie w wersji 64-bitowej. Jest on do stępny w kilku edycjach (tabela 6.2). Każda z nich może być zainstalowana w wersji pełnej (z interfejsem graficznym) lub w wersji Core, która nie zawiera interfejsu gra ficznego, a zarządzanie odbywa się w niej w trybie tekstowym lub zdalnie, przy użyciu Microsoft Management Console. T a b e la 6 .2 . N a jp o p u la rn ie jsze e d y c je W in d o w s S e rver 2 0 0 8 R2
Funkcja
Standard
Enterprise
Datacenter
Web
Itanium
Maks. liczba obsługiwanych procesorów 32-bitowych
4
8
32
4
Brak wersji 32-bitowej
Maks. ilość obsługiwanej pamięci (procesor 32-bitowy)
4 GB
64 GB
64 GB
4 GB
Brak wersji 32-bitowej
Maks. liczba obsługiwanych procesorów 64-bitowych
4
8
64
4
64
Maks. ilość obsługiwanej pamięci (procesor 64-bitowy)
32 GB
2 TB
2TB
32 GB
2 TB
117
TAK
TAK
TAK
TAK
TAK
Serwer aplikacji
TAK
TAK
TAK
NIE
TAK
Usługi drukowania
TAK
TAK
TAK
NIE
NIE
Hyper-V
TAK
TAK
TAK
NIE
NIE
Usługi katalogowe
TAK
TAK
TAK
NIE
NIE
Serwer DHCP, DNS
TAK
TAK
TAK
NIE
NIE
Serwer plików
TAK
TAK
TAK
NIE
NIE
Funkcja
Standard
Enterprise
Datacenter
Web
Itanium
Usługi terminalowe
TAK (maks. 250 użyt kowników
TAK (bez ograniczeń)
TAK (bez ograniczeń)
NIE
NIE
Obsługa Aero
TAK
TAK
TAK
TAK
NIE
Praca w klastrach
NIE
TAK
TAK
NIE
TAK
PowerShell
TAK
TAK
TAK
TAK
TAK
Wirtualizacja
1 wirtualny system
4 wirtualne systemy
Zależne od licencji CAL na procesor
Brak
Brak
Poszczególne wersje systemu Windows Server 2008 R2 zostały zbudowane w celu dopasowania do wymagań określonych grup klientów. Sugerowane przeznaczenie poszczególnych wersji to: •
Standard — serwer usług sieciowych i WWW dla małej firmy (maks. 250 użytkowników),
•
Enterprise — serwer usług sieciowych i WWW dla średniej lub dużej firmy,
•
Datacenter — serwer usług sieciowych i WWW dla firm wykorzystujących farmy obliczeniowe,
•
Itanium — centra obliczeniowe,
• Web — serwer WWW.
1 . Ile procesorów 64-bitowych może maksymalnie obsłużyć Windows Server 2008 R2 Enterprise? 2 . Ile pamięci RAM może maksymalnie obsłużyć Windows Server 2008 R2 Enterprise?
6.4.1. In s ta la c ja s y s te m u W in d o w s S e rv e r 2 0 0 8 R2 W y m a g a n ia s p rz ę to w e Podstawowe wymagania sprzętowe dla Windows Server 2008 R2 są zależne od kon figuracji systemu, zainstalowanych aplikacji i dodatków wybranych w czasie procesu instalacji. Minimalne i zalecane wartości są przedstawione poniżej. P rocesor: •
Minimalny: 1 GHz (procesor x86) lub 1,4 GHz (procesor x64).
•
Zalecany: 2 GHz lub szybszy.
Pam ięć: •
M inim alna: 512 MB RAM.
•
Z alecana: 2 GB RAM lub większa (instalacja pełna), 1 GB RAM lub większa (insta lacja Server Core).
•
M aksymalna (systemy 32-bitowe): 4 GB (Standard) lub 64 GB (Enterprise i Datacenter).
•
M aksym alna {.systemy 64-bitow e): 32 GB (Standard) lub 2 TB (Enterprise, D atacenter i systemy dla kom puterów z procesorem Itanium).
D ysk: •
M inimalny: 10 GB (wystarczający dla wersji Core).
•
Zalecany: 4 0 GB lub większy.
L ic e n c jo n o w a n ie Istnieją różne modele licencjonowania, zależne od edycji systemu Windows Server 2008 R2. Najczęściej spotykane to: 1 . Licencja Serwera i na połączenie — wymaga zakupu licencji na każdy serwer i li cencji dostępowej CAL (ang. Client Access Licenses) dla każdego użytkownika lub urządzenia: a)
D evice CAL — licencja dostępowa przypisana do każdego urządzenia, umożli wiająca korzystanie z niego wielu użytkownikom.
b)
User CAL — licencja dostępowa przypisana do każdego użytkownika, umożli wiająca mu korzystanie z wielu urządzeń.
2 . Licencja na procesor i na połączenie — wymaga zakupu licencji „Processor licence” dla każdego procesora w serwerze i licencji na połączenie (CAL) dla każdego użyt kownika lub urządzenia. Ten sposób licencjonowania jest wykorzystywany w edycji Datacenter i w systemach dla procesorów Itanium. 3 . Licencja Serwera — wymaga zakupu licencji tylko na serwer, licencje dostępowe dla klientów nie są wymagane (model można wykorzystać tylko w przypadku systemu Web Server Edition). Instalacja serwera rozpoczyna się od umieszczenia płyty instalacyjnej w napędzie, który w BIOS-ie należy ustawić jako pierwsze urządzenie rozruchowe. Jest to serwer, w którym jest możliwa instalacja do pliku VHD wykorzystywanego przez systemy wir tualizacji. Informacje na temat wirtualizacji zasobów zostały zawarte w podrozdziale 6.11 — „Wirtualizacja”.
K olejn e kroki instalacji s y s te m u W in d o w s S e rv e r 2 0 0 8 R2 1 . Wybór języka instalacji (Language to install (Język, który chcesz zain stalow ać)), formatu danych (Time an d currency form at (Format godziny i waluty)) oraz układu klawiatury (Keyboard or input m etod (Klawiatura lub m etoda wprowadzania)) (rysu nek 6.39).
2.
Rozpoczęcie instalacji po naciśnięciu przycisku Install now (Zainstaluj teraz). W tym miejscu można również naprawić wcześniej zainstalowany system (Repair your Computer (Napraw kom puter)) (rysunek 6.40).
Rysunek 6.40. Insta la cja o ra z n a p ra w a z a in s ta lo w a n e g o ju ż s y s te m u
3.
Wybór wersji systemu do zainstalowania (rysunek 6.41, patrz również tabela 6.2).
Rysunek 6.41. W y b ó r edycji
4.
Akceptacja warunków licencji (I accept the license terms (Akceptuję postanow ienia licencyjne)) (rysunek 6.42).
95 C“
Rysunek 6.42. W a ru nki licencji
5.
Wybór typu instalacji — Custom (advanced) (N iestandardowa (zaaw ansow ane)) oraz jeżeli system jest instalowany na dysku, gdzie wcześniej był zainstalowany system operacyjny, dostępna jest opcja Upgrade (U aktualnienie) (rysunek 6.43).
Rysunek 6.43. R odzaj instalacji
6.
Wybór miejsca instalacji — istniejąca partycja lub tworzenie nowej i formatowanie w systemach plików FAT lub NTFS — (omówione w podręczniku Kwalifikacja Ł 1 2 . Montaż i eksploatacja komputerów osobistych oraz urządzeń peryferyjnych. Podręcznik do nauki zawodu technik informatyk) poprzez wybór Options (advanced) (Opcje dysku {zaawansowane)) (rysunek 6.44).
Rysunek 6.44. T w o rzen ie partycji
8.
Po instalacji, przed pierwszym logowaniem, trzeba ustawić nowe hasło dostępu do konta administratora (The user’s passw ord must b e changed before logging on the first time (H asło użytkownika musi zostać zm ienione przed pierwszym zalogowaniem )). Hasło musi mieć odpowiednią złożoność — musi składać się z cyfr, dużych i małych liter i znaków specjalnych, np. zaql@ W S X lub P@$$wOrd (rysunek 6.46).
Rysunek 6.46. Z m ia n a hasta
9.
''
Po pierwszym uruchomieniu pojawi się Initial Configuration Tasks (Z adania kon figuracji początkowej) (rysunek 6.47).
Z T W in d o w s S e rve r.‘jufc .
Perform the fo low iiq tasks to configure this server
jfj
£ | P r o v id e C o m p u te r I i i f o r i i id l io n Ip» Activate Wmdowo '
Product ID:
S« ww m v
tu w
Ï * Cortiauc nctwnkina
*
------------
7one:
(IITC*01'00) Sara)evo. Skopje. Warsaw. 7wjmh
Local Area Connection: IPv4oddrcw assigned by UHCK, IPvfeenabled
-
Full raaipull-T Maine: Wurlujruup:
WIN-MFFV7FVSMDA WORKGROUP
Updates: Feedback:
Not conhguted Window« kiror Reporting oil Nut uai'iuudliiiu in Custuinei Ewerienu: liruuvenient Pnvan
Checked tor Updates: Installed Updates:
Never Ne«r
Updatngyen» Windows server
(gfy U p d a te T h is S e rv e r Q> bnabe automatic updating and feedback
‘
Speciyng computer rfomaoon
Not activated
Download and netall update«
(Qb C u s to m iz e T h is S e rv e r
—
| f j Ciinner»mg ymr server
Ł ,
Rysunek 6.47. O k n o Z a d a n ia ko n fig u ra cji p o czą tko w e j
1 0 . Okno Server Manager (Zarządzanie serwerem) umożliwi instalację oraz konfigurację roli (rysunek 6.48).
Rysunek 6.48. O k n o z a rzą d za n ia s e rw e re m
6 .4 .2 . In s ta la c ja s e rw e ra w w e rs ji C o re Wszystkie wersje serwera dostępne do instalacji mogą być zainstalowane w wersji Core. Jest to wersja bez interfejsu graficznego, a wszystkie opcje instalacyjne czy konfiguracyjne są w niej definiowane z konsoli lub za pomocą specjalnych skryptów. Instalacja prze biega tak samo jak instalacja wersji pełnej, różnice są widoczne dopiero po ponownym uruchomieniu komputera. 1.
Po zalogowaniu należy ustawić hasło dla administratora. Jest to możliwe jedynie w konsoli (interpretator poleceń), którą należy uruchomić jako nowe zadanie w ok nie menadżera zadań (rysunek 6.49).
Składnia polecenia: net user administra tor *
Rysunek 6.49. Z m ia n a hasta
SB O';Vixio\vi\ryrt*m32\cind.e«i - nrt uccr«4mnet user administrator * Wpisz hasło dla użytkownika: _
W wersji Server 2008 R2 Core hasło można zmienić podczas pierwszego logowania. 2.
Powyższe polecenie oraz wszystkie, które będą niezbędne do zainstalowania lub skonfigurowania serwera, można wpisać do specjalnego pliku Unattend.xml, który umożliwia przeprowadzenie instalacji nienadzorowanej. Plik Unattendxml pozwala na wykonanie większości początkowych zadań konfiguracji w trakcie działania programu instalacyjnego.
Korzyści związane z instalacją nienadzorowaną: •
Nie trzeba przeprowadzać początkowych konfiguracji przy użyciu narzędzi wiersza poleceń.
• W pliku instalacji nienadzorowanej można dołączyć ustawienia umożliwiające administrację zdalną (po zakończeniu instalacji). •
Można skonfigurować ustawienia, które trud no modyfikować w wierszu poleceń, takie jak rozdzielczość ekranu.
[DCINSTALL] InstallDNS=yes Newoomai n=forest NewDomai nDNSName=hel i o n .1ocafl Domai nNetBi osName=heli on Repli caOrNewDomai n=domai n ForestLevel«j2 DomainLevel=2 D a ta b a s e P a th = " c : \n t d s " LogPath«"c:\ntds" SYSVOLPath="c:\sysvol" Rebootoncompletion=yes safeModeAdmi nPassword=P@ssw0rd
W celu zainstalowania systemu Windows Server 2008 R2 w wersji Core przy użyciu pliku instalacji nienadzorowanej należy: •
Utworzyć plik XM L nazwany UnattencLxml (rysunek 6.50) za pomocą edytora tekstu lub programu Windows System Image Manager.
In
•
Następnie skopiować plik Unattend.xml na dysk lokalny.
Rysunek 6.50. T w o rzen ie pliku U n a tte n d .xm l
i
1
W celu skorzystania z pliku instalacji nienadzo rowanej należy: 1 . W pierwszym kroku skopiować lub utworzyć plik Unattend.txt w głównym katalogu dysku C 2 . W konsoli wprowadzić poniższe polecenie i potwierdzić klawiszem Enter: dcpromo /answer:C :\unattend.txt
3 . Po zakończeniu nienadzorowanej instalacji serwer zostanie automatycznie ponownie uruchomiony. System Windows Server 2008 R2 w wersji Core umożliwia umchomienie najważniej szych ról serwera: •
usług domenowych w usłudze Active Directory,
•
usług LDS w usłudze Active Directory (AD LDS),
•
serwera DHCP,
•
serwera DNS,
•
usług plików,
•
serwera wydruku,
•
usług multime diów strumienio wych.
Do konfigurow ania systemu Windows Ser ver 2008 R2 w wersji Core można wykorzy stać narzędzie sconfig (rysunek 6.51).
1> Donain/Uork Computer None: 3> Add L o ca l A d n in is tra to r 4 > Conf iq u re Re n o te Honafienent G> Windows Update S e t t i n g s : G> Download and I n s t a l l Updates 7> Renote D esk top:
10> li> 12) 13>
U s O ff User R e s ta rt S erver Shut Down Serve:* E x it to Connand Line
Rysunek 6 .5 1 . N a rz ę d z ie d o ko n fig u ra cji s e rw e ra — s co n fig
I
ĆWICZENIA
1 . Zainstaluj na wirtualnej maszynie serwer 2008 R2 w pełnej wersji. 2 . Zainstaluj na wirtualnej maszynie serwer w wersji Core. a KI
1 . Wymień różnice pomiędzy systemami Windows Server 2008 w wersji pełnej i w wersji Core. 2 . Wymień wymagania niezbędne do zainstalowania serwera w wersji pełnej. 3 . Wymień wymagania sprzętowe niezbędne do zainstalowania serwera w wersji Core. 4 . Wymień różnice w wymaganiach i przeznaczeniu pomiędzy wersją Standard a Enterprise. 5 . Wymień narzędzia do zarządzania serwerem w pełnej wersji. 6 . Wymień narzędzia do zarządzania serwerem w wersji Core.
6 .4 .3 . R ole s e rw e ra W systemach operacyjnych z rodziny Windows Server jest dostępnych kilka ról serwerów. Rola określa usługi uruchamiane i udostępniane na serwerze. System Windows Server 2008 R2 może przyjmować następujące role: •
Usługa katalogowa (ang. Active Directory) umożliwia scentralizowane zarządzanie tożsamościami, uprawnieniami oraz obiektami w sieci. W Windows Server 2008 R2 z usługą katalogową jest związanych pięć ról, które zostały opisane w punkcie 6.4.5 — „Usługa katalogowa”.
•
Serwer DHCP (ang. D ynam ie H ost Configuration Protocol) automatycznie przydzie la urządzeniom sieciowym adresy IP oraz inne parametry, które są niezbędne do prawidłowego działania sieci.
•
Serwer DNS (ang. D om ain N am e System) dokonuje tłumaczenia nazw domenowych na adresy IP. Jest wymagany dla poprawnego działania usługi katalogowej.
•
Serwer plików (ang. file server) dostarcza narzędzi umożliwiających zarządzanie plikami, szybkie wyszukiwanie plików oraz łatwe współdzielenie zasobów. Ta rola pozwala również na replikowanie zasobów między serwerami.
•
Serwer usług terminalowych (ang. terminal services) — to technologia pozwalająca na zdalny dostęp do środowiska Windows na serwerze w celu uruchamiania pro gramów, zapisywania plików i/lub korzystania z zasobów sieciowych dostępnych na serwerze.
Serwer kontroli dostępu przez sieć (ang. N etw ork Access Services) to mechanizm routingu w ruchu wymienianym z sieciami LAN oraz WAN. Odpowiada za wymusza nie przestrzegania zasad bezpieczeństwa skonfigurowanych w danej organizacji oraz kontrolowanie zdalnego dostępu do zasobów sieciowych przez kanały szyfrowane. Serwer wydruku (ang. print server) umożliwia udostępnianie drukarek, zarządzanie kolejkami wydruku oraz zarządzanie drukarkami na poziomie całej domeny. Serwer internetow y (ang. IIS — Internet Inform ation Services) — serwer WWW. Usługi WDS (ang. Windows D eploym ent Services) służy do instalowania systemu operacyjnego na komputerach podłączonych do sieci. Oznacza to, że nie trzeba instalować każdego systemu operacyjnego z dysku CD lub DVD. PYTANIA
1.
Wymień role serwera.
6 .4 .4 . In te rfe js y s ie c io w e Interfejsy sieciowe umożliwiają innym komputerom dostęp do usług oferowanych przez serwer. Najczęściej spotykane konfiguracje mają jeden lub dwa interfejsy (w zależności od roli serwera). Rysunek 6.52 przedstawia sytuację, gdzie obecne są dwa interfejsy: sieć lokalna (LAN) oraz sieć zewnętrzna (WAN), co może oznaczać, że serwer pełni również funkcję routera (udostępnia internet komputerom w sieci lokalnej). Serwery z jednym lokalnym interfejsem są zwykle oddzielone od sieci zewnętrznej ze względów bezpie czeństwa lub dlatego, że pełnią jedną funkcję, na przykład bazy danych dla serwera udo stępniającego rozbudowany i często odwiedzany portal. Sytuacja, gdy jedyny interfejs jest połączony z siecią WAN, jest rzadko spotykana i niezalecana (łatwiej zaatakować taką maszynę). Rysunek 6.52. Interfejsy sie c io w e
■IwukamJ Intend * NelvwjikCuim.liuin *
= tDiagnose F the connection
Disable the network device
Rename the connection
Viewstatue of t
T lntd{R) PRO/IOOOMTNetwork Cor«,..
Interfejs lokalny (LAN, ang. L ocal Area NetWork) jest kartą sieciową, która komunikuje się z komputerami w wewnętrznej sieci lokalnej. Mianem sieci lokalnej można już nazwać nawet dwa bezpośrednio połączone ze sobą komputery. Interfejs zewnętrzny (WAN, ang. W ide Area NetWork) jest zazwyczaj bezpośrednio wpięty do routera lub modemu, dzięki któremu uzyskuje dostęp do sieci zewnętrznej. Najczęściej spotykaną konfiguracją wyżej wymienionych interfejsów jest: w przypad ku LAN — adres statyczny przydzielany zgodnie z założeniami sieci lokalnej, a dla interfejsu WAN — adres dynamiczny (DHCP). Dzieje się tak, ponieważ w przypadku
zmiany zewnętrznej puli adresowej przez dostawcę internetu nie trzeba nic zmieniać w konfiguracji interfejsu. Rysunek 6.53. K o n fig u ra cja in te rfe jsó w — p o le c e n ie ipco n fig
K o n fig u ra c ja in te rfe js ó w — p o le c e n ie ip co n fig Interfejsy mogą być konfigurowane zarówno w trybie graficznym (podrozdział 6.1, „Konfiguracja interfejsów sieciowych”), jak i w trybie konsoli. Pierwszym krokiem jest sprawdzenie identyfikatorów interfejsów przez polecenie: netsh interface ipv4 show interfaces
Po uzyskaniu nazw i identyfikatorów zmianę konfiguracji można przeprowadzić za pomocą następujących poleceń: LAN netsh interface ipv4 set address name="Połączenie lokalne" source=static address=192.168.18.1 mask=255.2 5 5 .25 5 .0 gateway=192.16 8 .18.1
WAN netsh interface ipv4 set address name="l" source=dhcp netsh interface ipv4 set dns name="l" source=dhcp ĆWICZENIA
1 . Skonfiguruj dwie karty sieciowe: WAN i LAN, pamiętając o tym, że LAN oznacza kartę sieciową, która obsługuje ruch wewnątrz lokalnej sieci, a więc musi mieć zdefiniowany adres statyczny, np. 192.168.nr_z_dziennika.l. Kartę WAN ustaw jako dynamiczną w celu uzyskania dostępu do internetu w ra mach sieci szkolnej. 2 . Skonfiguruj kartę LAN przy użyciu polecenia n e ts h .
PYTANIA
1 . Wymień informacje, jakie musimy znać, aby skonfigurować kartę z ustawie niami statycznymi. 2 . Wymień polecenie do konfigurowania karty sieciowej z konsoli.
6 .4 .5 . U s łu g a k a ta lo g o w a
Usługa katalogowa {ang. Active Directory) to baza danych zawierająca następujące
obiekty: jednostki organizacyjne, użytkowników, zasoby sieciowe, urządzenia sieciowe (np. drukarki). Je d n ą z je j najw a żnie jszych fu n kcji je s t za p e w n ie n ie a d m in is tra to ro m je d n e g o , logicznego i precyzyjnego sposobu identyfikow ania urządzeń i ustug sieciowych oraz użytkowników. U stuga ka ta lo g o w a oferuje d ostę p za pośre d n ictw e m bezp ie czne g o logow ania i hierarchicznie organizuje zasoby sieciowe (takie jak użytkownicy, drukarki, zespoły robocze, aplikacje, woluminy, serwery plików, serwery baz danych, obiekty itp.) na drzewie katalogowym .
Usługa katalogowa składa się z kilku komponentów: • Active Directory D om ain Services — usługi domenowe w usłudze Active Directory (AD DS), • Active Directory Rights Management Services — usługi zarządzania prawami dostępu w usłudze Active Directory (AD RMS), • Active Directory Federation Services — usługi federacyjne w usłudze Active Directory (AD FS), • Active Directory Certificate Services — usługa certyfikatów w usłudze Active Directory (AD CS), • Active D irectory Lightw eight D irectory Services — usługi LDS w usłudze Active Directory (AD LDS).
S tru k tu ra A c tiv e D ire c to ry D o m a in S e rv ic e s (A D D S) Struktura AD DS opiera się na modelu usługi katalogowej X .500 i jest reprezentowana przez trójkąt określany jako domena (rysunek 6.54). Jej głównym zadaniem jest iden tyfikowanie usług katalogowych, zapewnia uwierzytelnianie i zarządzanie obiektami w obrębie organizacji.
R ole z w ią z a n e z d o m e n ą •
Podstawowy kontroler domeny (ang. Primary dom ain Controller PDC) jest głównym kontrolerem domeny odpowiedzialnym za zarządzanie uprawnieniami. W domenie może istnieć tylko jeden serwer pełniący tę rolę.
• W zorzec infrastruktury (ang. Infrastructure master) — w każdej domenie może istnieć tylko jeden wzorzec infrastruktury, który jest odpowiedzialny za aktualizo wanie odwołań z obiektów w swojej domenie do obiektów w innych domenach. Wzorzec infrastruktury porównuje swoje dane z tymi, które znajdują się w wykazie
Rysunek 6.54. R ep re ze n ta cja s tru ktu ry A D DS
globalnym. Kiedy obiekt jest przenoszony z jednej domeny do innej, usługa ta uaktualnia obiekt odniesienia znajdujący się w domenie pierwotnej, wskazujący na obiekt w nowej domenie, co zapobiega utracie informacji o członkostwie grup skojarzonych z kontem użytkownika w przypadku zmiany nazwy tego konta lub jego przeniesienia. Istnieje możliwość zbudowania drzewa domen, które musi się składać przynajmniej z dwóch domen połączonych dwukierunkowymi, przechodnimi relacjami zaufania. Z drzew domen można zbudować las, w obrębie którego domeny mają wspólną prze strzeń nazw, lecz mają także mechanizmy zabezpieczeń oddzielające prawa dostępu między nimi (rysunek 6.55). Rysunek 6.55. P rz y k ła d o w a s tru k tu ra lasu z re la c ją za u fa n ia p o m ię d z y d w o m a d rz e w a m i d o m e n
p
105
R ole z w ią z a n e z la s e m •
Wzorzec schematu (ang. schem a master) — usługa, której zadaniem jest sprawo wanie kontroli nad zmianami związanymi ze schematem. Zawiera on listę klas obiektów i atrybutów, które są używane do tworzenia obiektów Active Directory (np. użytkowników).
• Wzorzec nazw domen (ang. dom ain nam ing master) — usługa, której zadaniem jest nadzorowanie dodawanych i usuwanych domen w danym lesie. Kiedy jest tworzona nowa domena, tylko kontroler, który przechowuje tę rolę, może dokonać odpo wiednich wpisów w AD. Zabezpiecza to przed dodaniem domen o już istniejących nazwach. Dla każdego lasu istnieje tylko jeden wzorzec schematu i jeden wzorzec nazw domen. Jest to rola wzorca operacji nazywana rolami FSMO. Aby przenieść kontrolę na nowy serwer, należy przenieść wszystkie role FSMO (ang. Flexible Single Operations M asters), a więc: •
Wzorzec schematu (ang. Schema Master) — rola obejmująca cały las. W danym lesie może być tylko jeden wzorzec schematu. Rola ta jest wymagana do rozszerzania schematu lasu usługi katalogowej (AD) oraz do przeniesienia roli na inny kontroler przy użyciu polecenia adprep/domainprep.
•
Wzorzec nazw domen (ang. D om ain N am ing Master) — rola obejmująca cały las. W danym lesie może być tylko jeden wzorzec nazw domenowych. Służy do doda wania domen lub partycji aplikacji do lasu oraz do usuwania ich z lasu.
• Wzorzec RID (ang. Relative ID Master) — rola obejmująca całą domenę. W danej domenie występuje tylko jeden wzorzec RID. Służy do przydzielania puli identyfi katorów RID, dzięki czemu nowe lub istniejące kontrolery domeny mogą tworzyć konta użytkowników, konta komputerów i grupy zabezpieczeń. Każdy z obiektów usługi katalogowej, którym można przyznawać uprawnienia, jest jednoznacznie identyfikowany za pomocą identyfikatora zabezpieczeń SID (ang. Security ID). •
Em ulator kontrolera PDC (ang. Prim ary D om ain Controller Emulator) — rola obejmująca całą domenę. W danej domenie występuje tylko jedna taka rola. Jest potrzebna na kontrolerach domeny, które wysyłają aktualizacje baz danych na zapasowe kontrolery domeny systemu. Kontroler domeny mający tę rolę podlega także działaniu pewnych narzędzi administracyjnych, a hasła kont komputerów i kont użytkowników przechowywanych na tym komputerze są odpowiednio ak tualizowane.
• Wzorzec infrastruktury — rola obejmująca całą domenę. W danej domenie wystę puje tylko jeden wzorzec infrastruktury. Zarządza odwołaniami do obiektów domen spoza własnej domeny. Na poniższej liście przedstawiono partycje wszystkich ról FSMO (tabela 6.3).
Tabela 6.3. T a b e la ról FSM O Rola FSMO
Partycja
Schemat
CN=Schema, CN=configuration, DC=
Wzorzec nazw domen
CN=configuration, DC=
Kontroler PDC
DC=
RID
DC=
Infrastruktura
DC=
WAŻNE
N a z w a w y r ó ż n i a j ą c a (ang. DN — D istinguished Name) opisuje położenie obiektu w strukturze hierarchicznej. Jej podstaw ow e elem enty to: •
DC — Dom ain C om ponent ( H e l i o n ) — ko m po n e nt domeny,
•
DC — Dom ain C om ponent ( l o c a l ) — kontroler domeny,
•
CN — C om m on N am e ( B a s ia ) — nazwa o gólna obiektu (np. nazwa użytkownika),
•
OU — Organisation U nit (z s 6) — jed n o stka organizacyjna.
Przykładem nazwy w yróżniającej jest: B a s i a . Z S 6 . H e l i o n . l o c a l .
A c tiv e D ire c to ry R ig hts M a n a g e m e n t S e rv ic e s (A D R M S ) Jest usługą, która umożliwia kontrolę plików. AD RMS pozwala na sprawowanie kontroli nad dokumentem po jego otwarciu. Dzięki niej możemy zastrzec, czy wysyłany plik do innego użytkownika może być tylko do odczytu, czy też będzie możliwy wydruk lub skopiowanie oraz modyfikacja jego zawartości. Usługa umożliwia również zastosowanie polityk dla dokumentów, niezależnie od tego, czy dany plik będzie otwierany w trybie offline, czy online, a także czy odbędzie się to wewnątrz firmy, czy poza nią. Daje to możliwość ochrony własności intelektualnej, zabezpieczenia zawartości dokumentów przed nieuprawnionymi zmianami, a także umożliwia ustalenie, kto i w jaki sposób korzysta z danego dokumentu.
A c tiv e D ire c to ry F e d e ra tio n S e rv ic e s Jest usługą, która umożliwia stosowanie tożsamości i praw dostępu na wielu platformach, zarówno w środowiskach opartych na technologiach Windows, jak i nie-Windowsowych, a także dostarczanie dostępu zaufanym partnerom spoza sieci. W złożonych środowi skach każda organizacja sama kontroluje tożsamości i prawa dostępu wewnątrz własnej sieci, ale może również w bezpieczny sposób zaakceptować tożsamości pochodzące z zaufanych firm. Użytkownicy są uwierzytelniani w jednej sieci, jednak dostają upraw nienia do zasobów w innych sieciach. Taki proces jest nazywany SSO (ang. Single Sign On). AD FS rozszerza wewnętrzną strukturę AD DS.
107p
A c tiv e D ire c to ry C e rtific a te S e rv ic e s Jest usługą, która umożliwia utworzenie centrum certyfikacyjnego. Dzięki niemu jest możliwe wystawianie cyfrowo podpisanych certyfikatów będących częścią infrastruktury PKI łączącej osoby, urządzenia lub usługi z ich prywatnymi kluczami. Certyfikaty mogą być wykorzystywane do uwierzytelniania użytkowników i urządzeń, autoryzacji opartej na kartach inteligentnych, autoryzacji stron WWW, a także aplikacji (np. bezpieczne sieci bezprzewodowe, VPN, EFS, podpis elektroniczny i inne). Usługa AD CS wewnątrz sieci może być zintegrowana z AD DS i może automatycznie wystawiać certyfikaty dla użytkowników i urządzeń.
A c tiv e D ire c to ry L ig h tw e ig h t D ire c to ry S e rv ic e s Jest usługą, która umożliwia dostarczenie usług katalogowych dla aplikacji. AD LDS przetrzymuje i replikuje dane związane tylko z aplikacjami, wspiera wiele niezależnych baz danych w jednym systemie operacyjnym, dzięki czemu umożliwia każdej aplikacji stosowanie niezależnego schematu baz danych, portów SSL, oddzielnych logów. Usłu ga nie opiera się na AD DS, więc może być wdrożona na niezależnych serwerach oraz w środowisku grup roboczych. Jednakże w środowiskach, w których zostało wdrożone AD DS, AD LDS może wykorzystywać AD DS w celu potwierdzania tożsamości użyt kowników, grup i komputerów. Usługa AD LDS jest przydatna przy przeprowadzaniu uwierzytelniania w sieciach wystawionych na większe ryzyko ingerencji z zewnątrz, np. przy autoryzacji użytkowników na stronach WWW. Takie rozwiązanie jest bezpiecz niejsze niż wykorzystywanie do tego celu AD DS.
I 1.
a ■
Stwórz strukturę lasu z dwoma drzewami i relacjami zaufania między nimi dla domeny nazwisko.local. Projekt wykonaj na kartce.
N
iis
PYTANIA
1 . Omów PDC 2 . Co to jest las domen? 3 . Wymień zbiór ról FSMO. 4 . Co to jest Active Directory?
6 .4 .6 . In s ta la c ja u s łu g i k a ta lo g o w e j Jest to pierwsza rola, jaką trzeba zainstalować dla nowej domeny w nowym lesie. Przed instalacją należy ustawić dla interfejsu prywatnego statyczny adres (rysunek 6.56).
Q 108
Rysunek 6.56. K o n figu ra cja a d re s u s ta tyczn e g o — W in d o w s S en/er 2 0 0 8 R2
General | Youran get IPwttnęt ftngnrd witomAhraly if ycrr rvtnrart; nnw tt Ursrat«W*>. Otliern«. nu need Ibk*. yu\pnetwBfksdnm'usU* Sir the Apcrroruite jp srmryjs. r cbtan en IPaddress automaealv li Uk dc Monóig P «ddreu: IPaddress: | 192 . ies . 13 . 1 Subnet u»*:
| 2SS . 25S .255. 0
Dcftxi! gateway:
|
.
!
!
!
!
!
r use(he StławengDNSserver addresses: alternateC*tSserver:
|
T vatdatesettingstoon ent
Adranecd... | 1
C*
|
Cancel
|
Instalację można przeprowadzić, dodając nową rolę w menadżerze serwera lub wywo łując z konsoli kreator instalacji poprzez wpisanie dcpromo. Ten kreator umożliwia zainstalowanie również usługi DNS, która jest niezbędna dla funkcjonowania domeny. W dalszych krokach jest przedstawiona instalacja AD z wykorzystaniem kreatora dcpromo (rysunek 6.57). Rysunek 6.57. d c p ro m o I la SOTCf Manager (WWN24QLN3FU! Programs(!) -
I iF-BBH
1.
Uruchomienie kreatora instalacji (rysunek 6.58).
Rysunek 6.58. K re ato r instalacji
BBSE^SBH E'
Ud
Welcome to the Active Directory Domain Services Installation
Wizard
the«uari hdnyouneat ftsm Cnaan Cfcman S»wsrlWD9»»>iwv»1'łim(WKiv»»i ActveGregorydomen«rtiulv ToOTtoue.ufcANsS
2.
W kolejnym kroku pojawia się okno zgodności systemu operacyjnego, gdzie są podane informacje dotyczące domyślnych zabezpieczeń, które mogą mieć wpływ na działanie ze starszymi systemami. Po zapoznaniu się z zawartymi w tym oknie informacjami należy wcisnąć N ext (Dalej) (rysunek 6.59)
Rysunek 6.59. O kno zgodności s y s te m u o p e ra c y jn e g o
3.
Należy określić, czy jest to nowa domena w nowym lesie, czy też chcemy dołączyć tę domenę do już istniejących. Dla nowej domeny należy wybrać Create a new dom ain in a new forest (Utwórz nową dom enę w nowym lesie) (rysunek 6.60).
Rysunek 6.60. Tw o rzen ie now e j d o m e n y
Następnie należy zdefiniować nazwę dla nowo tworzonej domeny. Nazwa może być dowolna, ważne, by kończyła się słowem local, co oznacza, że jest to domena lokalna (rysunek 6.61). Rysunek 6.61. T w o rzen ie now ej d o m e n y h elio n.lo ca l TypetfteMy oualfodfonon name{FOONJęfibs newjgrest rort dottuin FQ0Noftf>efgrosł reo( domari jheienlocal Borcie eoipccrtajo.wm
Kolejnym krokiem jest wybór poziomu funkcjonowania lasu, czyli funkcjonalności domeny zależnej od wersji serwerów Windows (rysunek 6.62). Jeśli poziom funkcjo nalności zostanie określony jako Windows Server 2008 R2, do tego lasu nie będzie można podłączyć kontrolerów domeny pracujących pod kontrolą wcześniejszych wersji systemu Windows Server. Poziom funkcjonalności można zmienić na wyższy, ale nie ma możliwości zmiany na poziom niższy. Podobnie jest przy wyborze poziomu funk cjonalności domeny. Rysunek 6.62. P oziom fu n k c jo n a ln o ś c i lasu
_y rorest functional level: 1Windows Server 2003 1Windows 2000
ń
[Windowe Server 2008 1Wmdows Server 2008 R2 • -
IMced-vak replirahnn. wfarh improves the rephcatrai ot d tanyw lu yiuuv memberships. More efficient generation of compte* repłcation topologies by the KCC. Forçai trust which allows organizations to coaly shore
Mnreahnti rtnman and Icmst ti mrłmnal tewin
Usługi domenowe w usłudze katalogowej do poprawnego działania wymagają zainsta lowanej usługi DNS. Można ją zainstalować w oknie wyboru dodatkowej opcji dla kon trolera domeny (jeżeli serwer DNS nie został wcześniej zainstalowany) (rysunek 6.63). Rysunek 6.63. In s t a la c ja
frimffla.jliliUll.iJ.JIIIlHlUlJ
B
B
U
H
H
x|
Addnional DomainControllerODlions
d o d a tk o w y c h o pcji Select additional options for this doman contrôler 17 UNS server F Global catatoa r Read-utily d'-rnaitiuir/jultei [RODCj Additional informalion: Tiw fust dumaii cutiiufcr in o (west must be a ÿtfra1cateluy seivei and cannot be an ROCC
“ 31
We recommendthat you instal the DNS Server service on the fist domain
.d More about addtwnal doman condoler options
>. Bock
I
Nal i
I
Cancel
|
W AŻNE
Global catalog) służy d o uw ierzytelniania użytkow ników i w yszukiw ania obie któ w katalogow ych w lesie. Przechow uje kopię danych w trybie
W ykaz globalny (ang.
odczytu i zapisu. Kontroler RODC przypom ina serwer wykazu globalnego. Przechowuje kopię danych ka ta lo g o w ych tylko w tryb ie o dczytu , m oże ró w n ież u w ierzytelniać użytkow ników , natom iast żądania do zapisu przekazuje d o kontrolera domeny.
4.
Wyświetla się komunikat o braku możliwości utworzenia delegowania dla tego serwera DNS. Pojawienie się tego okna jest spowodowane brakiem usługi DNS na serwerze. Po kliknięciu Yes (Tak) zostanie ona zainstalowana (rysunek 6.64).
Rysunek 6.64. P o tw ie rd ze nie instalacji s e rw e ra D NS
A delegaoon for Bus DNS server cannot be created because the authoritative parent zone cannot be toind or it does not run Windows DNS server. I f you are ntearatmo with an existmo DNS infrastructure, you should manually create a delecation to this DNS server m the parent zone tn ensure retahle name resolution from outside the domain "heion.local". Otherwise, no action is Du you wont tu continue?
5.
Należy określić lokalizację, gdzie będzie przechowywana baza danych oraz pliki dziennika i folder SYSVOL (rysunek 6.65). Można zmienić lokalizację za pomocą funkcji Browse (Przeglądaj) lub pozostawić wartości domyślne, klikając N ext (Dalej).
Rysunek 6.65. B aza d a n y c h A D
W w\ . Location for Database Loo Files and SYSVOL Specify the folderethat wB contain the Active Dtrectoiy domain controller database, log ties, and SYSVOL
Fu betid perfum«*lee aid lecuveiabily slure the database aid by ffcs un sepaate Database folder
(C:\Windowa\NTDS SYSVOLfolder |C:\Windows\5YSV0L
< Dock
|
Neal >
|
Cancel
|
Należy zdefiniować hasło dla konta administratora trybu przywracania usług katalo gowych, które różni się od konta administratora domeny. Z tego powodu zalecane jest wybranie innego hasła niż to, które zostało zdefiniowane dla konta administratora. 7.
Po zapoznaniu się z oknem podsumowania kreatora tworzenia pierwszego kontrolera domeny w nowym lesie można całą konfigurację wyeksportować oraz zatwierdzić, klikając opcję N ext (Dalej) (rysunek 6.66 i 6.67).
Rysunek 6.66. P o d s u m o w a n ie k re a to ra tw o rze n ia k o n tro le ra d o m e n y
BE5
Configurethis server os the fire* Active Drectory domain cortreier in o new forest Ti» nnw rinman name « 'heinn local" Thu is atai iho nanv>nf the new fore» Ihe NetBIOSname of the domain « "HfcLION". Totest functional Level: Windows Server 2000 R2 Domain Functional I nvrt Windows -Server ?OOSR? Ste: Uetau»-Hre!-Ste-Name Mibonal Optons: To change an option, dick Deck. To begin the operation, click Next. These settings can be exported to an answerifie for use w*h other unattended operation« More about
|
| r i^ u r tld ii^ 7 Ï|
Mart >
|
Cancel
|
Rysunek 6.67. W y e k s p o rto w a n a ko n fig u ra cja
8.
Nastąpi proces konfigurowania usług domenowych w usłudze AD. Po zakończeniu instalacji należy ponownie uruchomić serwer.
6 .4 .7. P o d łą c z e n ie s ta c ji ro b o c z e j d o d o m e n y
A by możliwe byto korzystanie z sieci opartej na usłudze Active Directory, w ym agane jest używanie system u operacyjnego w wersji przeznaczonej dla zastosow ań biznesowych (Professional, Ultimate) — w ersje system u dla użytkowników dom ow ych nie zawierają m echanizm u pracy w domenie.
Aby podłączyć się do domeny Active Directory, należy posiadać konto użytkownika domeny, które przydziela administrator. Wymagane jest również, aby użytkownik miał prawo do przyłączenia komputera do domeny. Prawo to posiadają użytkownicy
przypisani do grupy Administratorzy domeny. Informacje na temat zakładania grup oraz użytkowników zostały opisane w punkcie 6.4.8 — „Obiekty usługi katalogowej” . W celu podłączenia się do domeny należy w Panelu sterowania wybrać narzędzie System, a następnie w oknie W łaściwości systemu wybrać zakładkę N azwa komputera i w dalszej kolejności przycisk Zmień. W oknie Zmiany nazwy komputera należy wprowadzić nazwę domeny, do której mamy być podłączeni, następnie podać nazwę i hasło użytkownika posiadającego prawa dołączania do domeny. W dalszej kolejności wymagany jest restart komputera (rysunek 6.68). W systemie Windows 7 przynależność do domeny można zmienić w oknie Zaaw ansow ane ustawienia systemu dostępnym w oknie W łaściwości systemu (rysunek 6.69). Rysunek 6.68. P o d łą c z a n ie d o d o m e n y — W in d o w s XP
Rysunek 6.69. P o d łą c z a n ie d o d o m e n y — W in d o w s 7
Przed podłączeniem stacji roboczej należy ustawić jej adres w tej samej sieci, w której funkcjonuje serwer domeny, np: • Adres IP — np. 192.168.18.100, •
Maska — 255.25 5 .2 5 5 .0,
•
Serwer DNS — 192.168.18.1 (adres serwera DNS dla domeny).
|
ĆWICZENIA
1 . Skonfiguruj adres statyczny dla karty lokalnej. 2 . Zainstaluj usługę katalogową i stwórz nową domenę w nowym lesie. 3 . Dodaj do domeny stację roboczą z Windows XP i Windows 7.
PYTANIA
1 . Jakie polecenie uruchamia kreator instalacji usługi katalogowej? 2 . Jaka usługa musi być zainstalowana z usługą katalogową? 3 . Co to jest domena?
6 .4 .8 .
O b ie k ty u s łu g i k a ta lo g o w e j
Po zainstalowaniu i skonfigurowaniu usługi katalogowej należy stworzyć obiekty zgodnie z hierarchią w danym przedsiębiorstwie. Obiekty, jakie można utworzyć w usłudze katalogowej, to (rysunek 6.70): •
jednostka organizacyjna,
•
grupa,
•
użytkownik,
•
komputer,
•
drukarka,
•
udostępniony folder.
Rysunek 6.70. O b ie k ty usłu g i k a ta lo g o w e j Mfolt wtaref fot tjęgr. OtfMKanannfoioKU. DafaiiTcorttiWYr far man. Ofaifl iwWryt fot ioy
115 p
Aby utworzyć obiekt Active Directory, należy wybrać opcję Active Directory Users and Computers ( Użytkownicy i komputery usługi Active Directory) dostępną w menu Admi nistrative tools (N arzędzia administracyjne). Następnie należy wskazać domenę i wybrać z menu kontekstowego dostępnego po naciśnięciu prawego przycisku myszy opcję N ew (Nowy).
J e d n o s tk a o rg a n iz a c y jn a Jednostka organizacyjna to kontener usługi katalogowej, w którym można umieszczać użytkowników, grupy, komputery oraz inne jednostki organizacyjne. Jest najmniejszym zakresem lub jednostką, której można przypisać ustawienia zasad grupy lub nadać upoważnienia administracyjne. Przy użyciu jednostek organizacyjnych można utworzyć kontenery z domeną reprezentującą hierarchiczną, logiczną strukturę firmy. Pozwala to na zarządzanie konfiguracją oraz na korzystanie z kont i zasobów na podstawie modelu organizacyjnego. W celu dodania jednostki organizacyjnej (rysunek 6.71) należy kliknąć domenę prawym klawiszem myszy i z menu kontekstowego wybrać opcję N ew/Organizational Unit (Nowy Jed n ostka organizacyjna). Rysunek 6.71. J e d n o s tk a o rg a n iz a c y jn a
Create In: hefconJocaL'
P Protect container fromaccidental deletion
j
Canrri
|
Haft
|
G ru p a u ży tk o w n ik ó w Konto grupy stanowi kolekcję kont użytkowników, za pomocą której można przypi sywać zbiory praw i uprawnień do wielu użytkowników jednocześnie. Grupa często zawiera także kontakty, komputery i inne grupy. W usłudze katalogowej AD występują zasadniczo dwa typy grup: •
dystrybucyjne (ang. distribution) — mogą być używane tylko z aplikacjami poczty e-mail (np. Exchange) do wysyłania poczty e-mail do grup użytkowników. Grupy dystrybucyjne nie obsługują zabezpieczeń, co oznacza, że nie są wyświetlane na listach kontroli dostępu,
•
zabezpieczeń (ang. security) — są używane do definiowania zabezpieczeń związanych z uprawnieniami jak również polityką bezpieczeństwa w ramach GPO.
Dodatkowo dla każdej grupy jest definiowany jej zakres, i tak mamy następujące grupy: •
lokalne domenowe (ang. dom ain local) — w domenie ułatwiają określanie dostępu do zasobów pojedynczej domeny i zarządzanie nimi,
•
globalne (ang. global) — należy ich używać do zarządzania obiektami katalogowymi, które wymagają codziennej obsługi, takimi jak konta użytkowników i komputerów. Grupy o zakresie globalnym nie są replikowane poza ich własną domeną,
•
uniwersalne (ang. universal) — należy ich używać do konsolidowania grup, które obejmują kilka domen. Aby to zrobić, trzeba dodać konta do grup o zakresie glo balnym, a następnie zagnieździć te grupy w grupach o zakresie uniwersalnym.
W celu dodania nowej grupy musimy określić, gdzie ma się ona znajdować — np. w domyślnym katalogu, gdzie są tworzone grupy i użytkownicy podczas instalacji, czyli w katalogu Users { Użytkownicy) lub w danej jednostce organizacyjnej. Nową grupę tworzymy w taki sam sposób, w jaki tworzyliśmy nową jednostkę organizacyjną, a więc dodajemy nowy obiekt — Group (Grupa użytkowników) (rysunek 6.72). Rysunek 6.72. Tw o rzen ie g ru p y u ż ytko w n ikó w
n*l General | Members | MemberC* | Managed By |
«**»' fîrnui name (pre-Wmrinws 7000)npłnflpnnr
jüBHül
|
E«nad: Group type
Group scope C Duniari '•jjś
Udnbuboo
<• Global r Ui livcsd Nuira
d d |
OK
|
Cancel
|
U ży tk o w n ik Konta użytkowników służą do uwierzytelniania, autoryzowania i odmawiania dostępu do zasobów oraz do przeprowadzania inspekcji aktywności poszczególnych użytkowni ków w sieci. Za pomocą kont grup i użytkowników można w usłudze katalogowej (AD) zarządzać użytkownikami domeny. Tworząc konta grup i użytkowników na komputerze lokalnym, można zarządzać użytkownikami tego komputera (rysunek 6.73). W polach First n am e {Imię) i L ast n am e {N azw isko) należy nadać imię i nazwisko użytkownika. •
W polu Initials {Inicjały) należy nadać inicjały użytkownika.
•
W polu User logon nam e {N azwa logowania użytkownika) należy nadać nazwę lo gowania użytkownika.
117 er
Rysunek 6.73. Tw o rzen ie ko nta u żytko w n ika
xj
■J
Create in:
Rrst name:
helionJocal/szkola
||
Initials: |
Last name: Full name: User logon name: |@hetonJocal
d
User logon name frre-Windows 2000): |helio n \
|
Next >
| |
Cancel
|
W polu Password {H asło) i Confirm passw ord {Potwierdź hasło) należy wpisać hasło użytkownika, a następnie wybrać odpowiednie opcje hasła, pamiętając o tym, aby hasło to było odpowiednio zdefiniowane, np. xsw@!AZ (rysunek 6.74). •
User must change passw ord at next logon {Użytkownik musi zm ienić hasło przy na stępnym logowaniu).
•
User cannot change passw ord {Użytkownik nie m oże zm ienić hasła).
•
Password never expires {H asło nigdy nie wygasa).
• Account is disabled {Konto jest wyłączone). Rysunek 6.74. D e fin io w a n ie h a sła d la użytko w n ika
New O b je c t - User
3
Create in:
X]
helion .local/szkoła
—
Password: Confirm password: W User must change password at next logon P
User cannot change password
I-
Password never expires
P
Account is disabled
< Back
|
Next >
|
Cancel
|
Bardziej zaawansowana konfiguracja jest możliwa dopiero po utworzeniu konta, wtedy można zdefiniować (rysunek 6.75): •
dane dotyczące użytkownika (General, Address, Telephones),
•
godziny logowania {Logon Hours),
•
profil użytkownika (Profile),
•
członkostwo w grupie (M em ber Of).
Rysunek 6.75. Zaaw ansow ana ko n fig u ra cja użytko w n ika
Dial-in
]
Environment
Remote Desktop Services Profile General | Address
| j
Sessions
|
Remote control
Personal Virtual Desktop
Account | Profile | Telephones j Organization
|
COM+
j Member Of
User logon name: [W M
|@helion.local
"7 ]
User logon name (pre-Windows 2000). |HELION\
I-
|uczen01
Unlock account
f
User must change password at next logon User cannot change password
P Password never expires
3
I- Store password using reversible encryption Account expires (• Never C End of:
[Ti
maja
‘ 12
K o m p u te r Każdy komputer należący do domeny ma swoje konto w usłudze katalogowej (AD). Konto komputera w ramach usługi katalogowej można utworzyć na dwa sposoby: •
Użytkownik mający odpowiednie uprawnienia przyłącza komputer do domeny, w której nie ma obiektu odpowiadającego komputerowi. W takim przypadku konto zostanie automatycznie utworzone przez system we wbudowanej jednostce organizacyjnej Computers (Komputery). Takie konto komputera możemy przenieść do innej jednostki organizacyjnej.
• Administrator lub użytkownik z uprawnieniami tworzy konto komputera za pomocą odpowiednich narzędzi w wybranej przez siebie jednostce organizacyjnej i informuje użytkownika o nazwie konta. Użytkownik nazywa komputer według wskazówek administratora i przyłącza go do domeny. W celu dodania komputera (rysunek 6.76) należy kliknąć prawym klawiszem myszy i z menu kontekstowego wybrać opcję N ew /Com puter (N owy/Kom puter).
Rysunek 6.76. D o d a w a n ie n o w e g o k o m p u te ra d o d o m e n y
New O bject - C om puter
‘
Create in:
x]
helion.local/sala24
Computer name: 1win 702 Computer name (pre-Windows 2000): w in ? : :
The following user or group can join this computer to a domain. User or group: |Default: Domain Admins I-
Change...
|
Assign this computer account as a pre-Windows 2000 computer
J ^ N a d ^ J
Cancel
|
Help
|
D ru k a rk a Drukarka jest obiektem w ramach domeny, który może zostać dodany globalnie lub w wybranej lokalnej jednostce organizacyjnej. Dodając ten obiekt, musimy znać adres, pod którym drukarka jest udostępniona w sieci (rysunek 6.77). W celu dodania drukarki należy kliknąć prawym klawiszem myszy i z menu konteks towego wybrać opcję New/Printer (Nowy/Drukarka). Rysunek 6.77. D o d a w a n ie now e j d ru k a rk i d o d o m e n y
Create in:
helion.local/
3 1 Network path of the pre-Windows 2000 print share (WserverNshare): |\\1 92.168.18.1Nhp|
OK
|
Cancel
|
D E F IN IC J A
N arzędzia w iersza poleceń ustug katalogow ych to z b ió r narzędzi (dsadd, dsmod,
dsrm), które użyte z param etram i pozw alają tworzyć, m odyfikow ać i usuw ać obiekty. Są w ygodne d o stosow ania w skryptach. •
a d p re p — w yko n u je w s tę p n e p rzyg o to w a n ie d o m e n y W in d o w s 2 000 d o
•
dsadd — dodaje do katalogów obiekty komputerów, kontaktów, grup i użytkowników
•
d s g e t — w yśw ietla w łaściw ości obiektu p odanego w param etrze wywołania.
•
dsmod — zm ienia w łaściw ości o biektów istniejących w katalogu.
•
dsmove — przenosi obiekt w obrębie jednej d om eny lub zm ienia mu nazwę.
•
d s r m — usuw a obiekt z katalogu.
•
d sq u e ry — wyszukuje obiekty różnego rodzaju w edług podanych kryteriów.
•
n t d s u t i l — umożliwia przeglądanie informacji o lokacjach, dom enach i serwerach
•
adsiedit.m sc — narzędzie d o zarządzania obiektam i i atrybutam i w AD.
•
rep ad m in — w yśw ietla inform acje i dia g n ozu je p rob le m y d otyczą ce replikacji
•
d c d ia g — d iagnostyka kontrolera domeny.
•
r e d i r u s r — zm iana d om yślnego m iejsca obiektu użytkownika.
•
re d ircm p — zm iana d om yślnego m iejsca obiektu kom putera.
zainstalowania dom eny (dostępne na ptycie instalacyjnej w katalogu suport\adprep). oraz jednostek organizacyjnych.
oraz w ykonyw anie konserw acji bazy danych Active Directory.
pom iędzy kontroleram i domeny.
ĆWICZENIA
1 . Utwórz w domenie obiekty usługi katalogowej: a.
Jednostkę organizacyjną o nazwie grupaOl.
b . Grupę zabezpieczeń o nazwie grupaOl w jednostce organizacyjnej grupaOl. c.
Stwórz użytkownika w jednostce organizacyjnej grupaOl i dodaj go do grupy grupaO l.
2 . Przetestuj polecenia związane z domeną.
PYTANIA
1 . Sprawdź dostępne zasoby w sieci Active Directory. 2 . Wymień obiekty usługi katalogowej. 3 . Wymień narzędzia do zarządzania domeną.
6 .4 .9 . Profile u ż y tk o w n ik ó w Profile użytkowników umożliwiają automatyczne tworzenie i zachowywanie ustawień pulpitu dla środowiska pracy każdego użytkownika na komputerze lokalnym (profil lokalny). Profil mobilny pozwala użytkownikom systemów Windows używać swoich ustawień programów i systemu na różnych komputerach w tej samej sieci pod warunkiem zalo gowania się do tej samej domeny z tą samą nazwą użytkownika.
T w o rz e n ie profilu m o b iln e g o 1 . Na serwerze należy utworzyć folder, w którym będą przechowywane profile użyt kowników. Będzie to folder najwyższego poziomu zawierający wszystkie profile poszczególnych użytkowników, np. hom e. 2 . W kolejnym kroku należy skonfigurować ten folder jako folder udostępniony (ukry ty dostęp jest możliwy przez dodanie $ na końcu nazwy) oraz nadać wszystkim użytkownikom (Everyone (Wszyscy)) uprawnienia Fuli Control (Pełna kontrola). W pierwszym kroku należy kliknąć prawym klawiszem myszy katalog hom e, przejść do właściwości (Properties (W łaściwości)), następnie do zakładki Sharing (Udostęp nianie), gdzie trzeba wybrać Advanced Sharing (Udostępnianie zaawansowane). Należy zaznaczyć opcję Share this folder (Udostępnij ten folder), a następnie zdefiniować nazwę udziału (Share nam e (N azwa udziału)) oraz nadać uprawnienia (Permissions (Uprawnienia)) (rysunek 6.78). Rysunek 6.78. K o n figu ra cja u p ra w n ie ń d o ka ta lo g u p rz e c h o w u ją c e g o profil m o b iln y
Share name:
limit the number of smultaneous us< Add...
11
Remove
Comments: Allow
I
□ □
0
Read
_0K
Deny
El El
Fut Control
□
C
Learn about access control and permissions OK
I
Cancel
|
Apply
3 . Trzeba wybrać użytkownika, dla którego ma zostać zdefiniowany profil mobilny z Active D irectory Users an d C om puters ( Użytkownicy i kom putery usługi Active Directory). W jego właściwościach należy przejść do zakładki Profile (Profil). 4 . W polu Profile path (Ścieżka profilu) należy zdefiniować ścieżkę do folderu udo stępnionego, w którym będzie przechowywany profil użytkownika (rysunek 6.78). Dla przykładowego użytkownika o nazwie sieciowej uczenOl wpisanie ścieżki \\udział_sieciowy\home$\%username% spowoduje utworzenie katalogu o nazwie uczenOl w folderze h om e na serwerze, na którym są przechowywane profile użyt kowników (rysunek 6.79). Udział sieciowy może być podany w postaci adresu IP lub nazwy domenowej, np.: 192.168.18.1 lub h e l i o n . l o c a l . Katalog dla danego użytkownika zostanie utworzony dopiero w momencie pierwszego logowania się tego użytkownika. Rysunek 6.79. Ś cieżka p rofilu m o b iln e g o
-U*J Dial-in
j
E nvironm ent
j
R em ote D e s k to p S e rvice s Profile G eneral ] A ddress | A c c o u n t
Profile
|
Sessions
|
R em ote control
Personal Virtual D e skto p
|
COM+
| T ele p h o n e s j O rganization | M em ber O f
U ser profile Profile p a th :
| \ \ 1 9 2 .1 6 8 .1 8.1 \h o m e S \'k is e m a m e %
Lo go n script:
(*
L o cal p a th :
C
C on ne ct:
f
GWIGZEN1A
1.
Utwórz konto użytkownika mobilnego o nazwie m obilnyO l w jednostce organizacyjnej m obilni oraz określ miejsce przechowywania jego profilu.
PYTANIA
1 . Z jakimi uprawnieniami należy stworzyć folder do przechowywania mobil nego profilu? 2 . Wymień uprawnienia dla udostępnionych zasobów. 3 . Co oznacza $ na końcu nazwy udostępnionego folderu? 4 . Czym się różni profil mobilny od lokalnego?
6.4.10. Z a s a d y g ru p W systemach Windows część parametrów systemu jest określana przez zasady grupy GPO (ang. Group Policy O bjects). Zasady te dzielą się na parametry konfiguracyjne komputera oraz parametry konfiguracyjne użytkownika. Zasady dotyczące kompute ra są wprowadzane w czasie jego uruchomienia, zasady dotyczące użytkowników są wczytywane w trakcie logowania. Ustawienia zasad grupy są przetwarzane w następującej kolejności: • lokalne zasady grupy, •
zasady grupy dla lokacji — dotyczą obiektów połączonych z daną lokacją (przetwa rzanie odbywa się synchronicznie i w kolejności określonej przez administratora),
• zasady grupy dla domeny, • zasady grupy dla jednostki organizacyjnej — najpierw są przetwarzane obiekty połączone z jednostką organizacyjną znajdującą się najwyżej w hierarchii usługi Active Directory, następnie obiekty połączone z jej podrzędną jednostką organiza cyjną, a na końcu obiekty powiązane z jednostką organizacyjną, do której należy dany użytkownik lub komputer. Kontrolery domeny dostarczają mechanizm zarządzania zasadami grupy dla kompu terów i użytkowników podłączanych do domeny. Jest on dostępny w narzędziu Server M anager (M enedżer serwera) w gałęzi Features/Group Policy M anagem ent (Funkcje/Za rządzanie zasadam i grupy) (rysunek 6.80). _________
_ l a l »I
^serverM enager
(wiN-N2«jLNjMJbQ
□ S Jg Diagnostics ü jjj] (.onfigtraoon m g j Stuaye
G rou p Policy M anagem ent Contents j
A forest: botonlocal
S i||fł 0(]5 201126;011216 “• R y s u n e k 6 .8 0 . Z a s a d y g ru p
Najw ażniejsze param etry ustaw iane przez zasady grupy:
•
Com puter Configuration (Konfiguracja kom putera): •
Software Settings (Ustawienia oprogramowania) — przypisanie aplikacji — auto matyczne zainstalowanie aplikacji przy starcie komputera, nie można jej usunąć z D odaj lub usuń programy.
•
Windows Settings (Ustawienia systemu Windows) — zasady konta, zasady lokalne, dziennik zdarzeń, grupy z ograniczeniami, usługi systemowe, system plików, zasady zabezpieczeń IP.
• Administrative Templates (Szablony administracyjne) — drukarki. •
User Configuration (Konfiguracja użytkownika): •
Software Settings (Ustawienia oprogramowania) — opublikowanie — instalacja poprzez D odaj lub usuń programy — oraz przypisanie aplikacji — tworzy skrót do instalacji w menu Start.
•
W indows Settings ( Ustawienia systemu W indows) — przekierowanie folderu, Internet Explorer.
• Administrative Templates (Szablony administracyjne) — menu Start, pasek zadań, Pulpit, Panel sterowania, foldery udostępnione. •
Pomocne narzędzia: •
rsop.msc — wyświetla konsole wynikowego zestawu zasad aktualnie załogowa nego użytkownika i komputera.
•
g p r e s u l t — wyświetla informacje o zasadach grupy dla komputera i użytkow nika w wierszu poleceń.
•
g p u p d ate — aktualizuje ustawienia zasad grupy.
•
dcgpofix — przywraca domyślne zasa dy grupy dla zasad domeny i dla kon trolerów domeny.
•
n t f r s u t l — wyświetla informacje o kontrolerze domeny w wierszu po leceń.
Żeby utworzyć nowy obiekt GPO, należy klik nąć prawym klawiszem myszy jednostkę or ganizacyjną, dla której chcemy go utworzyć, i wybrać tworzenie nowego GPO — Create a GPO in this dom ain, and Link it here (Utwórz obiekt zasad grupy w tej dom enie i um ieść tu łącze) (rysunek 6.81).
P . Group Poliry M a iu g M ie n t 3 i-ile
Action
o ^ I a|aa
view
Window
p i x a
He£ _
i
h
h
j Group Poky Management s a la 2 4 A Forest: helion.local I inked Gmnp Pnlioy Ohjerts | B j|= Domains E śfg helion.local I Link Oder | GPO ¡s|f Default Domain Poic E Domain Controllers E a j» B t j a g ^ e si ¡3 Sites gĘ? Group Pol Group Pol
Create a GPO in this domain, and Link it here... U n t^ B d .tn BGPO... Sock Inheritance Group Policy Modeling Wizard... New Organizational unit View New Window from Here Delete Rename Refresh Properties Help
Rysunek 6 .8 1 . T w o rzen ie n o w e g o o b ie k tu GPO
►
Nowo tworzonemu obiektowi GPO należy nadać nazwę (pole N am e {N azwa)), można go też powiązać z już istniejącym GPO (Source Starter GPO {Źródłowy początkowy obiekt zasad grupy)) (rysunek 6.82). Rysunek 6.82. N a d a w a n ie n a zw y d la GPO o ra z p o d łą c z e n ie d o ju ż is tn ie ją ce g o GPO
|
OK
|
Cancel
|
Gdy GPO zostanie utworzony, wówczas należy go edytować w celu zdefiniowania ustawień (rysunek 6.83). Rysunek 6.83. E d ycja GPO
<■
li
I a [B l x
i Group Poicy Management Forest: helion.local B Domains B jję| helion.local ij§f Default Domain Polic E i j Domain Controllers B ¡¿j sala24
E ¿j E . i B i% B _a
¡3 Sites
: kom pu tery Scope j Detail: Links Display links in The folowing s
>. IS Edit... szkolą Enforced Group V Link Enabled WMI Save Repot I... Starte
Group Policy . Group Policy
View ► New Window frnm Hprp Delete Rename Refresh
;
Help
Zasady grupy mogą być wykorzystane w celu przekierowania folderów użytkownika w określone miejsce, np. na serwer, co pozwala zapewnić elastyczność mobilnym użyt kownikom, a także scentralizować magazynowanie danych użytkowników (np. foldery My D ocum ents {Moje dokumenty) czy D esktop {Pulpit)). Opis przekierowania folderów został przedstawiony poniżej: 1 . Tak jak w przypadku profilu mobilnego, należy najpierw utworzyć foldery, do któ rych zostaną przekierowane foldery użytkowników (rysunek 6.84). 2 . Wybranie opcji User configuration/Policies/W indow s Settings {Konfiguracja użyt kow nika/Zasady/U stawienia systemu Windows) w części Folder redirection/Desktop {Przekierowanie folderu/Pulpit) umożliwia przekierowanie folderu przechowującego pliki z pulpitu (rysunek 6.85).
General Shanng | Security | Previous Versons | Customize | Network File and Folder Sharing
k
desktop Dote modified: 2012 08 03 13:27 Fie folder
Rysunek 6.84. T w o rzen ie fo ld e ru , d o k tó re g o b ę d z ie p rz e k ie ro w a n y p u lp it u żytko w n ika Rysunek 6.85. P o ło że n ie g a łę zi P rz e k ie ro w a n ie fo ld e ru w GPO
B
komouterv [SERViER.HEUON.L_i_ Computer Configuration '
i»i I I Preferences B V*, User Configuration B I I Pofcoes W l 3 software settings B □ Windows Settings £ [ Scripts (LogonA ffl Security Setting B _ ) Folder Redrecb _J AppOoto(R< £ j| Desktop |_J Start Menu [~~l Documents r I rvtnres
Targe» | Setting« | | !>etting:
You con spcafy the location trf the Desktopfolder | Not eor/igured
mart • SperstyIncjvnmfnr vannr« i«er tyran* " ł^ ot configured ............... I is removed 1o ensure that the fctóer is redirected back to the defout location, select the "Redirect to the local usetprcfile location" option.
LJMjoc
I I VkJeus I t-avnntee I Contacts l~~l Du/irluods l_|lnks I 1 Searches ~~l Saved Gar» tM jj jj Kniry-hased l)r 0 JJJ Internet ExploreB Admitirstjotive Terrs _|
"1
J
Cancel
|
127p
3 . Konfiguracja przekierowania folderu wymaga ustawienia we właściwościach wybra nego katalogu stosownych opcji. W celu ich skonfigurowania należy wybrać opcję Properties {W łaściwości) z menu kontekstowego. Zakładka Target {M iejsce docelowe) służy do określenia sposobu konfiguracji: •
Basic — Redirect everyone’s folder to the sam e location (Podstawowy — Przekieruj wszystkie foldery d o tej sam ej lokalizacji).
• Advanced — Specify locations fo r various user groups (Z aaw ansow ane — Określaj lokalizacje dla różnych grup użytkowników). •
N ot configured (N ie skonfigurowano).
•
Dostępna może być też opcja Follow the Documents {Przejdź do folderu D okum en ty) związana z katalogami: Pictures {Obrazy), Musie {Muzyka), Videos {Wideo). Zapewnia ona kompatybilność ze wcześniejszymi wersjami systemów operacyj nych, w których wymienione powyżej katalogi były podkatalogami katalogu My Docum ents {Moje dokumenty).
4 . Po wybraniu opcji konfiguracji należy zdefiniować Target folder location {Lokalizacja folderu docelow ego). Można wybrać jedną z trzech opcji: •
C reate a fold er fo r ea ch user under th e root p ath {Utwórz fold er dla ka ż d e go użytkow nika w ścieżce katalogu głów nego). Po wybraniu tej opcji należy w polu Root Path {Ścieżka katalogu głównego) wpisać lokalizację. W tym celu wystarczy skorzystać ze ścieżki UNC (ang. Universal N am in g Convention), np.: \ \ u d z ia ł_ siecio w y \ d esk to p $\ % u sern am e% (rysunek 6.86).
•
Redirect to the following location {Przekieruj do następującej lokalizacji).
•
Redirect to the local userprofile location {Przekieruj do lokalnej lokalizacji profilu użytkownika).
Rysunek 6.86. K o n figu ra cja p o d s ta w o w a p rz e k ie ro w a n ia fo ld e ru ze ś c ie ż k ą U NC
.U *] Target | Setungs | J Setting:
You cen specify tlie ktcetron uf lire Desktop folder | Baste - Redirect everyone's fołder to the same location
Zl
Tliis fukJer w i be rcdieiJed Id llie speufted lucdUon.
Target folder location | Create a folderfor each user under the mot path
zl
Ruut Palli. |\\19? 1fiR 18 TtdesktnpS Drowse.-
|
For user Clair, this folder w l be redrected to W197 Ififl Ifl I'df-rktnpSMTarXDesktnp
OK
|
Cancel
|
r'pply
W AŻNE
W ścieżce UNC m ożna używać następujących zm iennych środow iskow ych:
5.
•
%username%
•
% userprofile%
•
%homeshare%
•
%homepath%
Po zalogowaniu się użytkownika znajdującego się w jednostce organizacyjnej, dla której zdefiniowano GPO, na serwerze w folderze udostępnionym D esktop (Pulpit) powinien się pojawić katalog o nazwie załogowanego użytkownika (rysunek 6.87). Przekierowania innych folderów przeprowadza się analogicznie.
Rysunek 6.87. P rz y k ła d o w a stru k tu ra za so b u p rz e c h o w u ją c e g o fo ld e ry p rz e k ie ro w a n e
* Computer * New Vnkmn (F:) » rirslrtnp » Organie ▼
Indude in forary »
Favorites
Share with ▼
Bim
New folder
[type
Nome
X Desktop
2012-08-03 13:34
£ Downloads . Recent Places
6 . Konfiguracja zaawansowana folderów przekierowanych (rysunek 6.88) umożliwia przypisanie różnych lokalizacji przekierowania w zależności od przynależności użytkownika do grupy (Advanced — Specify locations fo r various user groups (Z a aw ansowane — Określaj lokalizacje dla różnych grup użytkowników)). Jest to jedno cześnie sposób zagnieżdżenia zarządzania mechanizmu przekierowania folderów wykonywanego za pomocą różnych GPO. Rysunek 6.88. Tryb z a a w a n s o w a n e j k o n fig u ra cji fo ld e ró w p rz e k ie ro w a n y c h
T»0M I Sattrtgt | |
You can speefy the location of the Desktop folder
Scarty Group Mcrrfccnhip
OK
I
Canon)
|
Na rysunku przedstawiono konfigurację dla grupy k la s a l, w której katalogi człon ków grupy zostaną przekierowane do katalogów w lokalizacji \ \ 1 9 2 .1 6 8 .1 8 .1 \ d esk to p $\ % U sern am e% \ D esk top lub \ \ serw er\ d esk top $\ % U sern am e% \ D esk to p . W ramach przekierowania folderów możliwe jest skonfigurowanie aż 13 folderów: • AppData (Roaming), •
D esktop (Pulpit),
•
Start Menu (Menu Start),
•
Docum ents (Dokumenty),
•
Pictures (Obrazy),
•
Musie (Muzyka),
•
Videos (W ideo),
•
Favorites (Ulubione),
•
Contacts (Kontakty),
•
D ow nloads (Pobieranie),
•
Links (Łącza),
•
Searches (Wyszukiwania),
•
Saved Gam es (Zapisane gry).
1.
Wykonaj następujące zadania: a . Utwórz jednostki organizacyjne: grupa_A i grupa_B, mobilni. b.
Stwórz w każdej jednostce organizacyjnej grupę zabezpieczającą o na zwach odpowiednio: grupa_A i grupa_B, mobilni.
c . W każdej jednostce organizacyjnej utwórz po jednym użytkowniku, a następnie przypisz ich do grup. d . Stwórz dla każdej z jednostek nowe GPO nazwane tak samo jak jednostki organizacyjne. e . Zdefiniuj przekierowanie folderów: Pulpit, M oje dokumenty.
1 . Co to jest profil użytkownika? 2 . Co to jest GPO? 3 . Jaka zmienna środowiskowa przechowuje nazwę użytkownika? 4 . Jakie polecenie aktualizuje GPO?
O 130 p—
_
k__
;ZI6J5. Usługi sieciow e 6.5.1. D N S Usługa DNS (ang. D om ain N am e System) to hierarchiczna, rozproszona baza danych, zawierająca odwzorowanie nazw domenowych na adresy IP. System DNS umożliwia lokalizowanie komputerów i usług na podstawie nazw przyjaznych dla użytkownika, a także odnajdowanie innych informacji przechowywanych w bazie danych. Jest inte gralną częścią usługi Active Directory, gdzie podstawowym zadaniem jest rozwiązywanie nazw obiektów w ramach domeny. DNS jest usługą, która musi być zainstalowana przed instalacją usługi katalogowej {Active Directory) lub w trakcie tej instalacji. Jednym z wymogów, jakie należy spełnić przed instalacją usługi, jest zdefiniowanie dla interfejsu prywatnego (sieci lokalnej) statycznego adresu IP.
P rz e s trz e ń n a z w D N S -u Przestrzeń nazw domen jest drzewiastą strukturą obejmującą wszystkie istniejące do meny (rysunek 6.89). Początkiem drzewa jest domena określana angielskim terminem root, czyli korzeń. Rysunek 6.89. S tru ktu ra DNS Ź ró d ło : B. K om ar,
TCP/IP dla każdego, G liw ice: H e lio n , 2 0 0 2 , s. 1 3 7
W odróżnieniu od pozostałych domen, domenie root nie odpowiada żadna występująca w nazwach stacji etykieta. Do jej określenia stosuje się czasem znak kropki (.). Poniżej domeny root znajdują się domeny pierwszego poziomu. Są one dwojakiego ro dzaju: pierwsza grupa odpowiada typom działalności korzystających z nich organizacji, druga stosuje dwuliterowe oznaczenia krajów, w których znajdują się poszczególne organizacje. Informacje na temat domen najwyższego poziomu można znaleźć pod adresem orga nizacji IANA — Internet Assigned Numbers Authority — http://ww w.iana.org/dom ains/ root/db/. Najczęściej wykorzystywane zostały przedstawione poniżej:
•
com — organizacje komercyjne,
•
edu — instytucje edukacyjne,
•
o r g — organizacje niekomercyjne,
•
net — organizacje związane z siecią,
•
gov — pozamilitarne organizacje rządowe,
•
m il — wojskowe organizacje rządowe,
•
num — numery telefonów,
•
arpa — domeny wyszukiwania odwrotnego,
•
?? — dwuliterowe kody krajów (np. pl dla Polski).
DNS stosuje hierarchiczną metodę rozwiązywania nazw, w której zapytanie o nazwę jest przekazywane w górę i w dół bazy z nazwami domenowymi, którym odpowiadają adresy IP, dopóki nie zostanie znaleziony poszukiwany rekord Poszczególne poziomy hierarchii są oddzielone od siebie kropkami określającymi podział. Pełna złożona nazwa domeny (FQDN, ang. Fully Q ualified D om ain N am e) w sposób jednoznaczny identyfikuje miejsce zasobu w hierarchii DNS, np. serwer.helion.local. Podstawowym typem serwerów DNS są serwery główne. Z praktycznego punktu widzenia każdy serwer przechowujący dane źródłowe dotyczące rekordów jest traktowany jako serwer głów ny dla danego poziomu w hierarchii nazw domenowych. Wśród tego typu serwerów szczególną funkcję pełnią tzw. „root serwery”, czyli serwery przechowujące informacje o serwerach głównych, obsługujących domeny pierwszego poziomu. Ze względu na dość specyficzną rolę, która ma krytyczne znaczenie dla sprawnego działania całego systemu nazw w Internecie, serwery te realizują tylko i wyłącznie tę jedną funkcję. Wszystkie inne serwery DNS muszą znać adresy „root serwerów”, co jest podstawowym warunkiem umożliwiającym rozwiązanie wszystkich poprawnych nazw. Domyślnie usługa serwera DNS pobiera informacje dotyczące serwerów głównych (ang. root hints) przy użyciu pliku Cache.dns, który jest przechowywany w folderze %systemroot%\System32\Dns na serwerze. Ten plik zawiera zazwyczaj rekord zasobu serwera nazw (NS) i rekord za sobu hosta (A) dla internetowych serwerów głównych. Jeśli jednak usługa serwera DNS jest używana w sieci prywatnej, można edytować ten plik lub zastąpić go podobnymi rekordami, które będą wskazywać wewnętrzne serwery główne DNS. Serwery przekazujące (ang. forwarders) są serwerami nazw obsługującymi wszystkie zapytania klienta, których zadaniem jest przekazywanie ich do serwerów znajdujących się poziom wyżej w hierarchii.
S tre fy D N S Strefa w usłudze DNS oznacza część przestrzeni nazw kontrolowanych przez określony serwer DNS lub grupę serwerów. •
Strefa wyszukiwania do przodu służy do rozwiązywania nazw domenowych na adresy IP. Jeżeli użytkownik będzie chciał sprawdzić adres serwera, na który wska zuje dana domena, np. helion.local, otrzyma zwrotnie adres IP, np. 192.168.18.1.
•
Strefa wyszukiwania wstecznego działa dokładnie na odwrót, czyli przypisuje nazwę domenową do konkretnego adresu IP. Przypomina to sytuację, gdy znamy numer telefonu, ale nie znamy nazwiska właściciela. Strefy wyszukiwania wstecznego musimy tworzyć ręcznie, np. 192.168.18.1 na serwer.helion.local.
C z a s ż y c ia (TTL) Wartość czasu życia (TTL — Tim e To Live) oznacza dla rekordu zasobów czas w sekun dach, przez jaki serwer nazw będzie przetrzymywać w pamięci podręcznej odpowiedź na żądanie, zanim zażąda jej ponownie od serwera nazw.
D ia g n o s ty k a D N S W celu diagnostyki problemów dotyczących serwera DNS należy zajrzeć do Podglądu zdarzeń (ang. Event Viewer). Aby uzyskać bardziej zaawansowaną diagnostykę dziennika zdarzeń, można włączyć rejestrację umchomieniową (ang. D ebug Logging) dla poszcze gólnych serwerów. Możliwe jest też monitorowanie serwera DNS za pomocą monitora niezawodności i wydajności, które pozwalają monitorować wiele ważnych liczników związanych z zapytaniami, transferami sfer czy wykorzystaniem pamięci.
In s ta la c ja usługi 1 . Usługa DNS jest niezbędna do rozwiązywania nazw w domenie, dlatego powinna zostać zainstalowana przed instalacją roli usługi katalogowej. Jeżeli tego nie zrobimy, to kreator instalacji usługi katalogowej AD uczyni to za nas. 2 . Tak jak wszystkie usługi w ramach serwera, ta również jest osobną rolą, którą należy wybrać do instalacji (rysunek 6.90). Rysunek 6.90. Insta la cja u słu g i D N S
*J iT II
Select Server Roles
[łrfttr You(V^n
SłlfCtor* or mart rolrs to «Mini onItw wrwr. RoIk :
DeUTtptian:
3.
W kolejnym oknie pojawia się informacja o usłudze. W następnym oknie należy zaakceptować instalację (Install (Zainstaluj)) (rysunek 6.91).
Rysunek 6.91. In fo rm a cje na te m a t in sta lo w a n e j usłu g i insteadof olongsenesof rurben. Inoddeon, CNSotovidesałsetarcłscdnorncsoace. ensmtg that eadi hostnamewdI»moueaeroesalocalot Mde-areanetwork. hM w CHScervtceccanbointegratedwith DynamHe«Cont»M#onPistou*(IW I ter.**!cnWrtws, cfcnnetngI« needtoaddDUS-eu»* ai
ActiveDrectecyDomainServicesreojres aDUSservertoberetaledonthenetwork.If youare adamancontrôler, youcanohortstnl the[jciserverroletrwtgtheactiveurectoryHomansn
ISi CKS¿alsRsAfllBi
4.
Jeżeli instalacja przebiegła pomyślnie, wyświetla się odpowiedni komunikat {succeeded (Instalacja pow iodła się)) (rysunek 6.92).
Rysunek 6.92. Instalacja z a k o ń c z o n a p o m y ś ln ie
Installation Results
m
Before You Begin
The fctowng roles, role services, or fea
re instated successfully:
j. lrttormatioful message bdow - UNSServer
ü li
( 0 You can configure UNSby usng the Configure a UNS. Server A
5.
Po zainstalowaniu ustawienia usługi są dostępne w narzędziu DNS M anager {Menedżer DNS) (rysunek 6.93). Usługę należy skonfigurować przez kliknięcie ser wera prawym klawiszem myszy i wybranie opcji Configure a DNS Server {Kreator konfigurowania serwera DNS).
Rysunek 6.93. M e n e d ż e r D NS
Ffc
Artom
Vipw
Help
4 -*l^ [ÏE lX E !^ ^ l0 S li 0 © I Name * DNS '
1
-
S ifjG to b v H □
Re Con
iSlrJnhallnnc Configure a DNS Server.,. New Zone... Set Ay«iy/5ujveiiy«iy fut AJZuues... Scavenge Stale Resource Records Update Server Data Ftic dear Cache Launch nsiookup
3
Al Tasks
►
View
►
Delete Rpfrpsh Exputllfel...
C 134
lines rders
Properties He*
T
6 . Zostanie uruchomiony Kreator konfigurowania serwera DNS (rysunek 6.94), w któ rym są do wyboru trzy opcje: •
Create a forw ard lookup zone (Utwórz strefę wyszukiwania do przodu) — zalecane dla małych sieci. Jest to serwer, który tłumaczy nazwy w ramach domeny na adresy IP.
•
Create forw ard and reverse lookup zones (Utwórz strefę wyszukiwania do przodu i wyszukiwania wstecznego) — zalecane dla dużych sieci. Serwer odpowiedzi dla przeszukiwania strefy do przodu i wstecznego. W ramach tej opcji jest konfigu rowany Root hints. Jest to główny plik, który zawiera listę adresów IP serwerów DNS uważanych za wiarygodne na poziomie korzenia hierarchii DNS (znany również jako serwer nazw głównych).
•
Configure root hints only (Skonfiguruj tylko w skazów ki dotyczące serwerów głów nych) — zalecane dla zaawansowanych użytkowników. Kreator konfiguruje tylko wskazówki dotyczące serwerów głównych. Strefy przeszukiwania są kon figurowane później.
Rysunek 6.94. K re a to r tw o rze n ia stre fy p rze szu kiw a n ia
,
. 4 1».
"
xj
Select Configuration Action You can choose the lookup zone types that are appropriate to yoir network irc. Advanced administrators can configure root hints.
3
Select the action you would Bee this wizard to perform: C Create a forward lookup zone (recommended for small networks) This server is authoritative for the DNS names o f local resources but forwards al ulliei qua its. lu an ISP ui uUiei DNS sa vers. Tlie vrizaid rail Lunliyute UietuuL hints but not create a reverse lookup zone. (* Create forward and reverse lookup zones (recommended tor large networks) Ihis server can be authontatjve for forward and reverse lookup zones, i t can be configured to perform recursive resolution, forward queries to other DNS servers, nr hnth. The wizard w i rnnfigi ire the root hints. f
Configure root hints only (recommended for advanced users only) The wizard will configure the root hints only, you can later configure forward and reverse lookup zones and forwarders.
< Back
|
Next >
|
Cancel
|
W celu skonfigurowania domeny lokalnej na potrzeby usługi Active Directory należy wybrać drugą opcję. 7.
W kolejnym oknie kreatora (rysunek 6.95) należy potwierdzić utworzenie strefy wyszukiwania do przodu (ang. fow ard lookup zone).
Rysunek 6.95. K re a to r tw o rz e n ia stre fy w yszu kiw a n ia
xj Forward Lookup Zone
A forward lookLp zone translates DNS names to IP addresses and network services. Tl«s Is an essential funcliun fur must DNS servers. Do you want to create a forward lookup zone now? (* Yes, create a forward lookup zone now (recommended) C No, don't create a forward lookup zone now
< Back
|
Next >
|
Cancel
|
135p
8 . W kolejnym oknie kreatora (rysunek 6.96) należy wybrać typ strefy — w tym przy padku Primary zon e (Strefa podstawowa) — i przejść do dalszego okna konfiguracji. Jeżeli ten serwer jest kontrolerem domeny, to trzeba również zaznaczyć opcję Store the zone in Active Directory (Przechowuj strefę w usłudze katalogow ej AD). Rysunek 6.96. K re ato r d o d a w a n ia stre fy w yszu kiw a n ia
i
-.•.i Zone Type I he DNS server supports various types of zo
Select the type of rone you want to create: (• Primary zone Creates a copy o f a zone that can be updated directly on this server. O Secondary zone creates a copy o f a zone that exists on another server. I tvs option helps balance the processing load o f primary servers and provides fo iit tolerance. C stub zone Creates a copy o f a zone containing only Name Server (NS), Start o f Authority (SOA), and possibly glue Host (A) records. A server containing a stub zone is not authoritative fix that zone. I* Store the zone n Actjve Directory (available only if DNS server is a vwiteable doman controller)
< Back
I
Next >
|
Cancel
|
9 . W kolejnym oknie kreatora (rysunek 6.97) należy nadać nazwę dla nowej strefy DNS. Jeśli serwer DNS będzie wykorzystywany dla celów usługi Active Directory, trzeba nazwę domeny zakończyć przyrostkiem local (np. helion .local), który odróżnia ją od nazw domen internetowych. Rysunek 6.97. K re ato r n a d a w a n ia n a z w y d la n o w e j strefy, np. helion
xj Zone Harne
The zone name cpedfiee (he portion o f the DNS namespace for which thic server is authoritative. It might be v o ir organization's domain name (for examine, mkrosoft.com) or a portion of the domain name (for example, newzone.mkrosoft.com). The zone name is not the name ot the DNS server.
1 0 . W kolejnym etapie można utworzyć nowy plik strefy lub zaimportować strefy z istniejącego pliku (rysunek 6.98). Jeśli plik nie został wcześniej utworzony, należy wybrać opcję Create a new file with this file nam e (Utwórz nowy plik o tej nazwie) i zaakceptować domyślną nazwę.
Rysunek 6.98. K re ato r tw o rz e n ia pliku d la now e j stre fy
Zone File you can create a new zone fie or use a file copied from another UNS server
do you want to
create a new zone file or use an existing file that you have copied from another DNS cerver? (* Create a new lie with this file name: | helion.dns n use this existing file:
Tn i isp this existing file, ensire that it has heen copied hi the fhlder %SystemRoot%teystem32Vins on this server, and then dick Next.
< Back
|
Next >
|
Cancel
|
1 1 . Kolejne okno kreatora pozwala zdefiniować aktualizacje dynamiczne: • Allow only secure dynam ie updates (Zezwalaj tylko na zabezpieczone aktualizacje dynam iczne). Jeśli strefa jest zintegrowana z usługą katalogową AD, można się posłużyć listami kontroli dostępu w celu określenia, którzy klienci mogą dokonywać aktualizacji dynamicznych. • Allow both nonsecure an d secure dynam ie updates (Zezwalaj na zabezpieczone oraz niezabezpieczone aktualizacje dynamiczne). Ta opcja umożliwia dynamiczne aktualizacje wszystkim klientom, bez względu na to, czy są oni uwierzytelniani, czy też nie •
D o not allow dynam ie updates (N ie zezw alaj na aktualizacje dynamiczne). Wy branie tej opcji wyłącza aktualizacje dynamiczne. Należy jej użyć, jeśli strefa nie jest zintegrowana z usługą katalogową AD.
1 2 . W kolejnym kroku (rysunek 6.99) można zdefiniować strefę wyszukiwania wstecz nego (ang. reverse lookup zone) — zadaniem tej strefy jest zamiana adresów IP na adresy domenowe, np.: 192.168.18.1 na serwer.helion.local. Po wybraniu opcji tworzenia strefy wyszukiwania wstecznego trzeba określić informacje takie jak w kroku 8., tylko dotyczące wyszukiwania wstecznego. Należy również podać adres sieci dla wyszukiwania wstecznego, np. 18.168.192.in-addr.arpa. Rysunek 6.99. K re ato r tw o rze n ia stre fy w yszu kiw a n ia w s te c z n e g o
Reverse Lookup Zone You can create a reverse lookup zone n New Zone Wizard in the DNS console.
)r create one later by running the
are ucualy nt Do you want to create a reverse lookup zo f* Yes, create a reverse lookup zone now O No, don't create a reverse lookup zone
137p
1 3 . W oknie Forwardes (Usługi przesyłania dalej) (rysunek 6.100) istnieje możliwość ustawienia przekazywania zapytań do pozostałych serwerów DNS. Wybranie tej konfiguracji powoduje przesyłanie dalej wszystkich kwerend DNS dla nazw DNS spoza sieci do serwera DNS obsługiwanego przez usługodawcę internetowego lub centralę. Jeżeli nie chcemy, aby zapytania były przekazywane dalej, należy wybrać drugą opcję. R y s u n e k 6 .1 0 0 . K re ato r p rze syła n ia Zapytań d ale j
Fnnw.nn*«
f
Forwarders are CNS servers to which this server sends queries that It cannot
Should this DNSserver forward queries? f ' Yes, itchotid forward quenee to DNS eervere with the Mowing IP addresses: IP Address
| Server FQON
| Vaidated U,
I
1
to, it should not forward queries t this server is not mntkyred tn use forwarders, it ran stfl resolve names using
< Back
|
Next >
|
cancel
|
1 4 . Ostatnie okno (rysunek 6.101) wyświetla podsumowanie konfiguracji. R y s u n e k 6 .1 0 1 . P o d s u m o w a n ie
C o m p le tin g t h e C o n fig u re a D N S S e r v e r W iz a rd You have successfully completed the Configure a DNS Server Wizard. When you clickFinish, the following settings w l be saved. t
Settings: DNSserver to confioure: SERWER Forward lookup zone to create: hclon
zJ Configure the hosts that wil use this DNSserver to point to the UNb server for name resolution, and then verify name resolution using nstookup. I f you added a new primary zone, add resnurre records tn it fnr the hosts whose names need to be ievolved by this DNS saver, To dose this wizard, didr Finish. < Dock
|
finish
j
Caned
|
W ramach DNS-u obiekty są identyfikowane za pomocą rekordów zasobów (rysunek 6 . 1 0 1 ).
Najczęściej używanymi rekordami zasobów są: •
H ost (A) — odwzorowuje nazwy domeny DNS na adres IPv4.
•
H ost (AAAA) — odwzorowuje nazwy domeny na adres IPv6.
• Alias (CNAME) — służy do mapowania nazwy aliasu domeny DNS na inną nazwę podstawową lub kanoniczną.
• R ekord wym iany poczty (MX) — służy do mapowania nazwy domeny DNS na adres serwera, który wymienia lub przesyła dalej pocztę elektroniczną z danej domeny. •
W skaźnik (PTR) — służy do mapowania wstecznej nazwy domeny DNS na adres IP komputera, który wskazuje nazwę do przodu domeny DNS tego komputera.
•
L okalizacja usługi (SRV) — służy do mapowania nazwy domeny DNS na określoną listę komputerów DNS, które oferują określony typ usługi, na przykład na kontrolery domen usługi katalogowej AD.
W celu dodania nowego rekordu typu A dla stacji roboczej XP należy kliknąć prawym klawiszem myszy daną domenę i dodać nowy rekord (rysunek 6.102). Alitai
ta Li
u
name
1
Rsvs contt
_udD _ DomanCreZones rnr«MVvt7nn« ; :
1
* lil
ii
Reload Newltost (Aor AAAA}.., NewAlias (CNAMt),.. Itav Mwl Fu Imrcjn (MX)... NewDomom... lArwfrrlegatai... Other NewRecords..,
:
Ft
4 "-» t i l lB i X E l ä â CMS I 1 SERWER B [¿¡|| fliJwl Ogs |^| WISEvents ' _ ForwardLookuo Zones K 3 _iiiHiivlrbii.lrc.il
IÏIÎ
Rysunek 6.102. D o d a w a n ie n o w e g o re kord u
Start of Authority (SUA) rtanrSmvr. (NS) Host (A) Host (A) Host(A) Host (A) Host (A)
[JJ], serwer.hekon.local., h„. witwi.Mut.lrc«!. 10Z.168.18.1 192.100.1. IX 192.163.18.1 192.1C0.IB.2
Poprawna konfiguracja rekordu obejmuje takie informacje, jak (rysunek 6.103): •
N am e (Nazwa), np. x p l,
•
IP address (Adres IP), np. 192.168.18.99.
Rysunek 6.103. D o d a w a n ie n o w e g o re k o rd u d o D N S -u
xj Name (uses parent domain name if blank):
Fully qualified domain name (FQDN): | x pl.helion.local, IP address:
j 192.168.18.99| Create associated pointer (PTR) record I-
Allow any authenticated user to update DNS records with the same owner name
^AddH ost^J
Cancel
|
Narzędzia związane z DNS-em: •
n slo o k u p — pozwala sprawdzić, jaki jest domyślny serwer DNS dla danej domeny.
• ip co n fig — umożliwia konfigurowanie interfejsów sieciowych. Dla DNS-u są wy korzystywane poniższe opcje: • ip co n fig /flushdns — czyści bufor programu rozpoznającego nazwy DNS; • ip co n fig / r e g i s t e r d n s — wymusza ponowne zarejestrowanie się klienta w DNS-ie; • •
ip co n fig /d is p la y d n s — wyświetla zawartość pamięci podręcznej, w której są zapisane tłumaczenia DNS - IP.
t r a c e r t — wyświetla serię routerów IP, które są używane przy dostarczaniu pa kietów z danego komputera do miejsca docelowego, a także czas trwania każdego przeskoku. ĆWICZENIA
1 . Sprawdź strefy wyszukiwania do przodu i wyszukiwania wstecznego w usłudze DNS, która jest zdefiniowana dla usługi katalogowej. 2 . Dodaj nowe rekordy w DNS-ie z adresami IP stacji roboczej z Windows 7 i Windows XP. 3 . Sprawdź działanie narzędzi związanych z usługą DNS.
PYTANIA
1 . Podaj definicję usługi DNS. 2 . Podaj nazwę polecenia, które umożliwia wyczyszczenie bufora DNS. 3 . Wymień rekordy DNS. 4 . Podaj nazwę polecenia, które wyświetla serię routerów IP używanych przy dostarczaniu pakietów. 5 . Podaj nazwę domeny, która określa organizację.
6 .5 .2 . DH CP f i 'S DEFINICJA
U sługa DHCP wykorzystuje protokół dynam icznej konfiguracji hosta (ang. Dynamie H ost Configuration Protocol — DHCP) w celu autom atycznego przekazywania klientom danych konfiguracyjnych sieci, adresu IR maski, bramy, serwera DNS i innych.
Najważniejsze funkcje usługi: •
Pozyskiwanie przez klientów DHCP adresacji IP na określony czas, po upływie którego jest wysyłane żądanie odświeżenia i adres jest automatycznie odnawiany.
•
Rezerwacja adresów IP dla specyficznych komputerów lub urządzeń w sieci. Pozwala to na przypisanie adresowi fizycznemu (MAC) konkretnego adresu IP.
•
Dodawanie wykluczeń, czyli wyodrębnianie adresów IP lub zakresów adresów IP z puli DHCP dla urządzeń lub serwerów, które wymagają statycznego adresowania.
•
Integracja serwera DHCP z serwerem DNS.
•
Obsługa adresów IPv6.
Proces pobierania adresu z serwera polega na wymianie odpowiednich sygnałów (ry sunek 6.104).
- 1. Broadcast DHCPDISCOVER - 2. O d p o w ie d ź z DHCPOFFER 3.
O d p o w ie d ź z DHCPREQUEST
- 4. P o tw ie rd z e n ie z DHCPACK DHCP klien t
DH CP serw er
Rysunek 6.104. W y m ia n a s y g n a łó w m ię d z y k lie n te m i s e rw e re m
W celu uzyskania adresu klient DHCP wysyła na adres rozgłoszeniowy specjalną wia domość zwaną DHCPDISCOVER. Serwer po otrzymaniu zapytania sprawdza swoją we wnętrzną bazę i odpowiada wiadomością zwaną DHCPOFFER, która zawiera dostępny adres IP. Klient po otrzymaniu pakietów DHCPOFFER wysyła DHCPREQUEST do serwera. Serwer po otrzymaniu DHCPREQUEST oznacza adres IP jako „używany” . Kolejne kroki przedstawiają sposób instalacji usługi DHCP na serwerze 2008. 1.
Tak jak usługa DNS, usługa DHCP wymaga statycznego adresu IP na maszynie, na której ma być uruchomiona.
141 — d~
2.
Instalacja usługi DHCP wymaga dodania nowej roli do serwera 2008 R2. W tym celu należy uruchomić Server M anager (M enedżer serwera) i dodać rolę (rysunek 6.105).
Select S erve r Roles
m
Before YouBear
IPv4ONESettnqs IPv4WINSSHI»«/ DHCPScopes
Select ore or moreroles to retail or L I Active ClrectoryCertificate Sendees Q ActivelArectory Doman services LU Adi« DirectoryFcderatior Services I 1AillwDirnttnry Ik/ilwrighl Orrt U»y Srtvkm L ActiveDirectoryRightsManagement Services L AppicaBonServer
related i nformotion for client
nHCPvfi Sir
6
IPv DNSSctbnps I- ! FScServices □ Ilyper-V O NetworkPolicy and Access Services □ Pont and Document services □ RemoteDesktopServices U WrliSnvn (TtS) O Windows Deployment Services I- ! Windows Server Update Services
re about server roles
Rysunek 6.105. K re a to r d o d a w a n ia n o w e j roli
3.
W kolejnym kroku trzeba określić interfejs karty sieciowej, do której będzie przypi sana usługa. Zawsze powinna być przypisana do karty sieciowej, na której ma być aktywna. Ważne jest, by wiedzieć, jaki to jest adres IP oraz nazwa (rysunek 6.106).
¥k
Select Netw ork Connection Bindings
d. Eacti networkconnection ca
IPv4DNSSettings IPv4 WINSScttnps CMCPScopes DIICPvGStatelessMode
6
IPv DNSSettings
Results
Network Adapter: Physlca Address:
00-0C-29-7C-C6-44
Rysunek 6.106. O kn o w y b o ru interfejsu
4.
W kolejnym oknie można przekazać informację o konfiguracji serwera DNS. Te dane będą przekazywane stacjom roboczym razem z adresem IP (rysunek 6.107). Informacje, jakie należy mieć, to: •
Nazwa domeny nadrzędnej (powinna zostać wykryta automatycznie).
•
Preferowany adres IPv4 — jeżeli nie istnieje lokalny serwer DNS, automatycznie zostanie pobrany adres serwera DNS dostawcy usługi internetowej.
•
Alternatywny adres IPv4 jest opcją dodatkową.
Wprowadzone adresy IP podlegają weryfikacji (ang. validate). Jeżeli weryfikacja prze biegnie pomyślnie, poniżej pola adresu pojawi się zielona ikona — symbol zaznaczenia. W przeciwnym razie zostanie wyświetlona czerwona ikona x.
S p ecify IP v 4 DNS Server Setting«;
before rou begin Server Roles
1
When dents obtain an IPadchesc from theU CPserver, they canbe given PHCPoptionssuch as the IP rtrkkesseMifflNSseiveTS**«! IIv* ibnvwiiuvw. H r wltkvjs you ixiiwlt- Imn iwUm rttndrd to i Units usingDM.
NetworkComertion ftndngs
S|mjfy the iwie of d r pHmt domain tlwil i Unitsw i nsr (a rune if-mkiHon. TNl dmuen mt I r tnrrl fi. rt
IPv4WINSSetUr^js
Parent domain: |heton.loca!
DHCPScopes nHCPvfi SUIrk-ssMule
6
IPV L»& Settings
Specify the IP addresses of the DIB servers that dents voluse for name resokitton. These DNSserverswi be used for al ecopec you peace on the uhcp server. preferred cots server IPv4address: |l!U.Ulj.U.
1
1 Vaidotc
|
« « ,»
|
¿J VaU AHnruiU*DNSsrivn IPv4address:
|
More about CflS rerrg settings
j
Next>
j
j
Coned
J
R y s u n e k 6 .1 0 7 . O kn o ko n fig u ra cji s e rw e ra D NS
5.
W kolejnym oknie kreatora instalacji należy dodać ustawienia dotyczące usługi WINS, która jest następną usługą umożliwiającą rozwiązywanie nazw w sieci. Jeśli jest ona wymagana, należy wprowadzić jej adres IP (rysunek 6.108).
Rysunek 6.108. U s ta w ie n ia u słu g i W IN S
ft
S p e cify IP v 4 W IN S S e rv e r S ettin g s
OICP Server
f* WDtSbnolrequeedfu! auufeoliwis on ties netnw
Network Connection Brxtngt IPv4DNSSetting*
WINSis reqjred for applications on this network
DHCPScopes DHCPvfi Statrtp« Mode IPvG0N3 Settinos UHCHserver Authonzaton
More about WINSacrvcr aetBnoa
6 . Teraz należy zdefiniować zakres adresów (pulę adresów). Trzeba nadać nazwę dla zakresu oraz pierwszy i ostatni adres, aktywować zakres i ustalić maskę podsieci, można również opcjonalnie podać adres bramy domyślnej (ang. default gateway) (rysunek 6.109). Należy również określić typ podsieci (Subnet type (Typ podsieci)), który określa czas trwania dzierżawy. Do wyboru mamy: a . Wireless (B ezprzew odow a). b . Wired (Przewodowa). Rysunek 6.109. O k n o d e fin io w a n ia z a k re s ó w
X] A scope is a range of possible IP addresses for a network. The DHCP server cannot dstribute IP addresses to dents until a scope is created. Configuration settings for DHCP Server Scope name:
|nel>on
Starting IP address:
|l92.168.18.100
EndnglP address:
|i92. lw .iu .is u
Subnet type!
| Wired (lease duration will be days)
8
I* Activate this scope Configuration settings that propagate to DHCP diem Subnet mask:
|255.255.255.0
Default gateway (optional):
|
7 . W oknie Configure DHCPv6 Stateless M ode fo r this server (Konfigurowanie trybu bezstanowego protokołu DHCPv6) są dostępne dwie opcje. Jeżeli jest wymagany tryb bezstanowy, należy włączyć możliwość przydzielania adresów IPv6 Enable DHCPv6 stateless m ode fo r this Server (W łącz tryb bezstanow y protokołu DHCPv6 dla tego serwera). W przeciwnym przypadku trzeba zaznaczyć opcję Disable DHCPv6 Stateless M ode fo r this Server (W yłącz tryb bezstanow y protokołu DHCPv6 dla tego serwera).
Jeżeli wybrano drugą opcję, można skonfigurować ustawienia dotyczące DHCPv6 później, w narzędziu do zarządzania serwerem DHCP. 8 . W kolejnym kroku DHCP Server Authorization (.Autoryzowanie serwera DHCP) należy podać konto, które posłuży do autoryzowania serwera DHCP. 9 . Ostatni krok procesu instalacji nowej roli to sekcja Confirm Installation Selections {Potwierdzenie opcji instalacji) (rysunek 6.110). Należy sprawdzić, czy konfiguracja jest poprawna, i wybrać Install (Instaluj).
1
C onfirm In s ta lla tio n S elections
Before Ynii Regln Server Roles DHCPServer
To ratal the Mowing roles, role services, or feahres, cfcfc Instoi,
(X) 1rifumatiund message below
NPtwnrk Crmnertmn tarings
(T) This server might need to be restarted after the installation completes.
IPv4 DNSSetbnos
'
IPv4 WINS Settings DHCP Stoves
6
DHCPv Stateless Mode UHCPServer Authorization
DHCP Server Network Connection Endings: IPv4 nNS Settings UN5Parent Doman: DNSSo vets; WINSServers!
192.168.13.1 (IPv4) heton.loeal 192.168.18.1 None helion
Progress «ea«s
Default (Gateway: Subnet Mask; P AddressRange: SubnetTrue; Activate Scope i DHCP Sava AuUtwizotioii;
192.168.18.100 -192.168.13.ISO Wited Oeasedjotiuii mi be days) Yes
8
AuUiwize using uedeiilials associated nitli HEUOWIAdinnistialui
Pmt. e-maH, or cave this ntormabon
< Previous |
||
Instal
|
Cancel
|
R y s u n e k 6 .1 1 0 . O kn o instalacji usłu g i
Do zarządzania mamy przystawkę dhcpm gm t.m sc (rysunek 6.111) znajdującą się w Administrative Tools (N arzędzia administracyjne). R y s u n e k 6 .1 1 1 . O kn o z a rz ą d z a n ia u s łu g ą
145P
Po skonfigurowaniu serwera i zakresu adresów należy sprawdzić, czy stacje robocze się z nimi dogadują i czy pobierają od serwera informacje zgodnie z konfiguracją (ry sunek 6.112). Każdy zakres ma takie elementy, jak: • Address Pool (Pula adresów) — adresy dostępne w ramach zakresu. • Address L eases (D zierżawa adresów) — zbiór adresów dzierżawionych wraz z czasem wygaśnięcia dzierżawy. •
Reservations {Zastrzeżenia) — pokazuje, które adresy IP są zarezerwowane.
•
Scope Options (Opcje zakresu) — lista opcji zdefiniowanych dla zakresu.
Rysunek 6.11 2. D zie rża w a a d re su d la stacji ro bo cze j
Z a k re s a d re s ó w Zanim serwer DHCP będzie mógł przydzielać adresy, musi mieć zdefiniowany zakres adresów IP, które będzie dystrybuował. Zakres definiuje pojedynczą podsieć. Jeżeli w sieci dla każdej z kart są wykorzystywane dwie podsieci: 192.168.18.0/ 24 oraz 192.168.24.0/24, na serwerze DHCP trzeba skonfigurować je jako dwa osobne zakresy. Kolejne kroki przedstawiają definiowanie zakresu dla puli adresów 192.168.24.0/24. 1.
W konsoli do zarządzania serwerem za pomocą kreatora należy skonfigurować nowy zakres. W pierwszym kroku trzeba określić, dla jakiego węzła będzie on definiowany. W naszym przypadku będzie to IPv4 (rysunek 6.113). Należy kliknąć węzeł prawym klawiszem myszy i z menu kontekstowego wybrać N ew Scope (N ow y zakres).
Rysunek 6.113. Tw o rzen ie n o w e g o z a kre su
Hie
Action
view
Help
;_ I e | B ¿i _ □ UHLV R fj sewa.lieSuii.loLol B ^ 3 *° g Dapiay Statoba...
^2
Contents of DHCPServer scope [lyi-ios. ls.u] heton T rłters
New Suipe... New Superscope... New MJbcsst Scope..,
2 . W pierwszym oknie kreatora dodawania nowego zakresu należy określić nazwę dla nowego zakresu oraz jego przeznaczenie.
3.
W kolejnym oknie kreatora trzeba podać adres początkowy i końcowy zakresu oraz maskę (rysunek 6.114).
Rysunek 6.114. O k n o k o n fig u ra cji z a k re s u a d re s ó w
IP Address Range You define the scope address range by dentfyng a set of consecutive IP addresses
-ConftouranonsemngsforOHCP Server Erter the range of addresses that the scope rJsWbutes
168
Start IP address
j EES
End IP address:
| 192 168 .2 4
. 24
i~ 50
t rrhrf iTtinn srttirep that pmpagafe to l)HtIP(l f r t
Length:
|
24-^|
Subnet mask:
|
755
o”
< Kark
4.
|
N w lł
|
Canral
|
W ramach każdego zakresu można określić wykluczenia (ang. exclusions), a więc adresy, które nie będą przydzielane w ramach usługi (rysunek 6.115).
Rysunek 6.115. W y k lu c z e n ia w ra m a c h z a kre su
M d Exclusions and Delay Exclusions are addresses or a range of addresses that are not distributed by the carver. A delay » the time duration by whichthe carver wJ delaythe tranemieeion of DHCPOFFERmessage._____________________________________________
Start IP address:
J 5 . Następnym ważnym elementem jest zdefiniowanie czasu dzierżawy adresu, domyśl nie wynosi on 8 dni. 6 . Kolejny krok to konfiguracja podstawowych opcji DHCP, takich jak brama domyślna czy ustawienia DNS. Należy wybrać Yes {Tak), aby konfigurować opcje od razu. 7 . Konfiguracja routera, czyli bramy domyślnej, umożliwia sprecyzowanie adresów dla ruchu wychodzącego. Możliwe jest dodanie więcej niż jednego adresu oraz ustawienie kolejności adresów na liście. 8 . W ostatnim kroku należy aktywować zakres. Po aktywacji można sprawdzić, czy nowy zakres pojawił się w usłudze DHCP (rysunek 6.116).
147P
Rysunek 6.116. N o w y z a k re s
■* DHCP File
Action
View
Help
^ l ^ [¡ B l □ ¿i & l B f i ^ DHCP El j | serwer.helion.local El ¿ IP v 4 E l i . Scope [192.168.18.0] helion _q Address Pool j i ) Address Leases H i Reservations . Scope Options B [ q Scope [192.168.24.0] sala24 q Address Pool jt, Address Leases l+l H i Reservations . Scope Options ^jj Server Options B [T i Filters El ¿ IP v 6
Contents o f Scope
Actions
Q Address Pool ,i. Address Leases More Actions
►
^ Scope Options
Możemy również zdefiniować rezerwację adresu w ramach zakresu dla określonego adresu fizycznego MAC (ang. M edia Access Control — 48-bitowy, zapisywany w postaci 12 liczb szesnastkowych oddzielonych znakiem - lub :). Należy rozwinąć dany zakres i przejść do Reservation (Zastrzeżenia). Następnie z menu kontekstowego trzeba wybrać N ew Reservation (N ow e zastrzeżenie) (rysunek 6.117). W celu konfiguracji zastrzeżeń należy podać adres IP, adres MAC karty sieciowej oraz określić obsługiwany typ: •
B oth (Oba),
•
DHCP,
•
BOOTP — protokół komunikacyjny typu UDP umożliwiający komputerom w sieci uzyskanie od serwera danych konfiguracyjnych, np. adresu IP. Rozwinięciem i na stępcą protokołu BOOTP jest DHCP.
Rysunek 6.117. R ez e rw a cja a d re su „ d la karty M A C
JJ*J „
.. ,
r
Provide information fo r a reserved client. Reservation name:
Jwindows7
IP address:
| 192 . 168 . 18 .1 00
MAC address:
|00:G=:29:aa:80:23
Description: Supported types (* Both r
DHCP
C BOOTP
Add
|
Close
|
I
ĆWICZENIA
1 . Zainstaluj usługę DHCP dla karty lokalnej LAN. 2 . Utwórz nowy zakres dla sieci, np.: 10.0.0.1 - 10.0.0.100. Sprawdź, czy adresy zostały pobrane przez klientów. 3 . Zdefiniuj wykluczenia w ramach nowego zakresu adresów: adres 10.0.0.1 — dla serwera. 4 . Przetestuj narzędzia do obsługi serwera DHCP.
1 . Podaj definicję usługi DHCP. 2 . Wymień sygnały, jakie są wysyłane między klientem DHCP a serwerem. 3 . Co to jest MAC?
6 .5 .3 . NAT Translacja adresów sieciowych (NAT) pozwala komputerom w sieci prywatnej (np. sieć firmowa — LAN) uzyskać dostęp do komputerów w sieci publicznej (internet — WAN). Pozwala również rozwiązać problem związany z ograniczoną liczbą adresów IPv4, wy korzystując jeden adres do komunikacji z sieciami publicznymi. Z tego powodu, że cały ruch musi się odbywać za pośrednictwem routera z włączoną usługą NAT, jest możliwe ukrywanie adresów urządzeń pracujących w sieci wewnętrznej, a więc zwiększa się bezpieczeństwo. T a b e la 6 .4 . Fun kcje u słu g i NAT
Składnik
Opis
Translacja
Wykonuje translację adresów IP między siecią prywatną a internetem.
Adresowanie
Składnik odpowiedzialny za przydzielanie adresu IP, maski podsieci, bramy domyślnej oraz adresu IP serwera DNS.
Rozpoznawanie nazw
Po zebraniu zapytań związanych z rozpoznaniem nazw w sieci przesyła je dalej do serwera DNS w internecie, który został określony w konfigu racji. Następnie zwraca odpowiedzi do komputera w sieci prywatnej.
W Windows Server 2008 usługa NAT jest instalowana jako kolejna z ról serwera, która kryje się pod nazwą N etw ork Policy an d Access Services (Usługa zasad i dostępu siecio wego) (rysunek 6.118).
Rysunek 6.118. K reator instalacji usłu g i
Select Server Roles
re roles » re al on »«server. m NetworkPoUtyServer(NP*;),
RtOislrat'OnAuthority(KftA). and Ho« CredentialAuthontation Protocol (HCAP), whichhelp ue'eguaid the health endsecurityof yownetwork.
RemoteOe*top Services web server (its) Wrrdows DeploymentSerwces Włidows Server UpdateSendees
Watcdteui tettg rota
W następnym oknie kreatora (rysunek 6.119) należy wybrać składniki usługi, które mają być zainstalowane w ramach RRAS — Routing and Rem ote Access (Usługi routingu i dostępu zdalnego). Rysunek 6.119. W y b ó r u słu g in sta lo w a n ych w ra m a c h RRAS
lv Remote Access Servce
_________ emoltAiien Serw.» orovidei remoteusersaccess to resources onyourprivatenetwork ivite network(VPNJor
I I HealthRe^slrabon AuUwtiLy l_ HostCredential AuthorizationProtocol
Po zakończonej instalacji należy uruchomić usługę Routing an d Rem ote Access (Usługi routingu i dostępu zdalnego), która znajduje się wśród zainstalowanych ról serwera.
q i5 o
Rysunek 6.120. O k n o usłu g i
□
■>«i -alÊl x :
^ Server Manager (SERWER) R Rules '"’J Active Directory DomomServices
Routing and Remote Access C o n fig u re th e R o u tin g an d R e m o te Access S e rv e r To cat up Routing and Remote Acceee, on the Action menu, click Configure and Enable Routing and Remote Access. Fnr more information about earring up a Routing and Remote Arcess, deployment scenarios, and troubleshooting, see Routing
Usługa RRAS po zainstalowaniu musi zostać skonfigurowana. Aby to zrobić, należy kliknąć prawym klawiszem myszy nazwę serwera i wybrać Configure and Enable Routing and Rem ote Access (Konfigumj i w łącz routing i dostęp zdalny) (rysunek 6.121). Rysunek 6 .1 2 1 . O k n o z a rzą d za n ia s e rw e re m
ÉL Server Manager He
Action
vwr
Help
X
+ a Server Manager (SKWER)
2
3 S y æ a £5 0 fjr3 3 * 3
□
Active Directory Doman Services DHCPServer DNSServer T3eServices Network Poicy and Access Services
J U ÿ j Teotures ÎB Ciagnocbcs j i ; Conftgt/aOo §J Storage
R e m o te At To set up Rou the Action me
Configure and triable Kouflng and Remote Access rrvHe P.nrrr, anrt Remote Arrest Auto Refresh Refresh Rata... AI Tasks
‘
View
»
Detetp Reftedi Properbes Hdp
W pierwszym kroku kreatora (rysunek 6.122) należy wybrać usługę, którą zamierzamy uruchomić w ramach serwera RRAS. Rysunek 6.1 22. O k n o kre a to ra u słu g i NAT
l i ri services, nr you can
C Remote access 'dal-up or VPN) Alow remrte dents tn enrmeri tn this serverthemigh «her a daisip cnmerswn or a secure wtual pm/ate network (VPN) Internet connection, f* Network oddrcaatranslation (NAT) Alow internal diente to connect to the Hemet uang one pubic IPaddreee f~ Virtual private network (VPN) acceee and NAI Afcjwremote dents lu cuteieUtu ties ssvet lieuuyli tie Intend and lucd dents tu connect to the Intern« using a singlepiMc IP address 1 Secure correction betweentwo private networks Connect this network to a remote network, euch ae a branch othce 1 Customconfiguration Select any combination ot the teatiree avalaWe in Koutiog and Remote Acceee
151P
W następnym oknie kreatora (rysunek 6.123) należy wybrać interfejs sieciowy podłą czony do sieci WAN (publicznej). Rysunek 6.123 O k n o w y b o ru in terfe jsó w W A N
NAT Internet Connection You can select an existing interface or create a client computer* to connect to the Internet.
wdemand-dial interface for
(• Use this pubic interface to connect to the Internet: Network Interfaces,_______________________ Name LAN
htel(R) PRO/1CK30 MT
192.168.18.1
C Create a new demand-dial interface to the Internet Ademand-dial interface is activated when a client uses the Internet. Select this option if this server connects with a modem or by using the Point-to-Point Protocol over tthemet. Ihe Uemand-Uial Interface Wizard wii start at the end ot this wizard.
For more information
< Back
I
Next >
|
Cancel
|
W kolejnych krokach instalacji wybieramy opcje domyślne, aż otrzymamy informację o skonfigurowanej usłudze (rysunek 6.124). Rysunek 6.124. O k n o p o d s u m o w a n ia konfig u ra cji
Completing th e Routing and R em ote A ccess S e rv e r S e tu p W izard
Configured NAT for the following Internet interface:WAN - j
zi To enable servers to respond to Internet requests, configure port mappings and update yo u firewall. Forman inlinnnatinn aha* port mannings antlfinairal exceptions, see Routing andJtemgte Acce^Hejpj. To close this wizard, cick finish.
Po ponownym uruchomieniu usługi (rysunek 6.125) jest ona skonfigurowana oraz pełni funkcję translatora adresów między dwoma sieciami, co pozwala na korzystanie z internetu komputerom w ramach domeny (rysunek 6.126).
q i5 2
Rysunek 6.125. O k n o s k o n fig u ro w a n e j ustugi
J flJ jiJ □ a denar ManageM i! ÏOXT*-
------------------------------------
f¥f;oefłwi 5 Ÿ i lodert Po*cyano * ® IMOocjI) S Steu^ardRoroal; a , a I. .,^T
ifwfwl DadKutd
Fhakirri SnaMłd
Cm cm
1
1
1...... 1 1
08
*2 ^ * S jo w «
iI 5 r «i
H P Ï ie Rysunek 6.126. F u n k c jo n a ln o ść u słu g i NAT
f*
i
>\ *!
i
d ■ P i l SK in
Ml
EdrcH Wdok UutMoo Nanędso Pomoc :
,
,
VW aadal
IMMw Ç-
■ 0
~ ‘.S v ¿jPtMld;
Wyszuklwaika L-ratika Wideo Mapy Wiadomoîci Iłumaez c-maii Więcoj » I /alonui C:\WINDOWS\iy«lQm32\cmd.»XQ
311
tpowicdź z 1 9 2 .ICO.D.1I b«itów-32 c z 192 .1 6 8 .0 .1 ; Im. jLuu-32 z Ipouiedi z 1 9 2 .1 6 8 .8 .1 : haJtdu-32 c jy czas błądzenia paklscdu u nilllcekundach: w a - B na. flakainun - 0 na. Czas 1 rodni 0 na anta and S a ttln g iila ila lp ln g uuu.gaoBla.pl auu łdpouledi z Odpowiedb e Mpouiodi z pnulnrii z
c c tld .l.g o o g le .eon [1 7 3 .1 9 4 .C9.941 z uiycien 32 bojtiu danych: 1 7 3 .1 9 4 .6 9 .9 4 : badtdu>32 czas =60. 1 7 3 .1 9 4 .6 9 .9 4 : baJtdu-32 oaao-61i 1 7 3 .1 9 4 .6 9 .9 4 : baJtdu-32 czaa-61. 1 7 3 .1 9 4 .6 9 .9 4 : hajtdu-32 rzan-M I» TTŁ-127
atyatyka badania ping dla 1 7 3 .1 9 4 .6 9 .9 4 : rak iety : Uyxlane - 4 . Odebrano - 4 . Utracone - R
Rsktamul się w Google
Rozwiązania dla firm
Wszystko o Google
Google com in English
ĆWICZENIA
1.
Zainstaluj usługę NAT oraz skonfiguruj przekierowanie adresów z karty LAN na kartę WAN.
PYTANIA
1 . Omów usługę NAT. 2 . Wymień funkcje usługi NAT.
153
0
6 .5 .4 . VPN
-
-
VPN (ang. Virtual Private Network, W irtualna Sieć Prywatna) — tunel, przez który płynie ruch w ra m ach sieci pryw atnej p o m ię d zy klientam i ko ńco w ym i za p o śre d n ictw e m publicznej sieci (takiej ja k internet) w taki sposób, że w ęzły tej sieci są przezroczyste dla przesyłanych tak pakietów. M ożna o pcjonalnie kom presow ać lub szyfrow ać przesyłane dane w celu zapew nienia lepszej jakości lub w iększego poziom u bezpieczeństwa.
Sieci VPN możemy podzielić w zależności od: •
protokołów użytych w procesie tunelowania ruchu sieciowego;
•
punktu końcowego tunelowania, może być nim na przykład sam klient bądź do starczyciel internetu;
•
dostępu punkt-punkt lub zdalnego dostępu;
•
dostarczanych poziomów bezpieczeństwa;
•
wykorzystywanej warstwy modelu OSI łączonej sieci, takiej jak połączenia w war stwie 2. bądź łączności warstwy 3.
Zasadę działania sieci VPN przedstawia rysunek 6.127.
Klient lokalny
R y s u n e k 6 .1 2 7 . G ra ficzn e p rz e d s ta w ie n ie fu n k c jo n a ln o ś c i V P N -u
D E F IN IC J A
P ro to k ó ł P P T P (ang. Point to Point Tunneling Protocol) to protokół kom unikacyjny um ożliw iający tworzenie sieci VPN poprzez wykorzystanie tunelowania. Polega to na zd aln ym łączeniu się do stacji ro bo czych lub sieci (głów nie opa rtych na system ie operacyjnym W indow s) za pośrednictw em internetu i tworzeniu w irtualnego połączenia z lokalną siecią.
DEFINICJA
P ro to k ó ł L 2T P (ang. Layer Two Tunneling Protocol) — protokół tunelow ania, który pozwala na przenoszenie ruchu IR IPX oraz NetBEUI i przekazywanie go poprzez dowolne m edium transmisyjne, obsługujące dostarczanie datagram ów w połączeniu punkt-punkt, np. IR X.25, Frame Relay czy ATM.
Zestawy funkcji VPN na serwerze RRAS: •
Brama VPN dla klientów — najbardziej rozpowszechniony scenariusz, potrzebuje dwóch kart sieciowych zainstalowanych na serwerze.
•
Site-to -site VPN — w tym scenariuszu jest tworzony tunel VPN z innym serwerem RRAS, co umożliwia zakodowaną komunikację między serwerami.
•
Serwer telefoniczny RAS — w tym scenariuszu do serwera jest doinstalowany modem lub zbiór modemów dostarczających usługi telefoniczne.
•
NAT pomiędzy sieciam i — scenariusz, który umożliwia tłumaczenie adresów publicznych na prywatne i odwrotnie.
•
Routing pomiędzy sieciam i — ten scenariusz pozwala na bezpośredni routing komunikacji pomiędzy segmentami sieci.
•
Zapora podstawowa — scenariusz, w którym serwer RRAS zachowuje się jak stan dardowy router, blokując ruch przy użyciu portów.
Konfiguracja usługi: 1.
Usługa wchodzi w skład serwera routingu i dostępu zdalnego (ang. Routing and R em ote Access — RRAS), więc w celu jej dodania należy uruchomić program Server Manager (Menedżer serwera) i dodać rolę lub w już dodanej roli doinstalować obsługę sieci VPN. Jeżeli jest już zainstalowana, należy aktualną dezaktywować i ponownie skonfigurować usługę (rysunek 6.128).
Rysunek 6.128. K re ato r ko n fig u ra cji u stugi VPN
Cuirfiuuraliuii You can enable any ot the tolowing combinations ot seivcee, «you ca customise this server
3 00
( Remote CCC (dial up or VPN) Alow remote etiert«to connect to the eerver through either a dnl-up connection or a occurc virtual private network (VPN) Internet ccmoctron C Netwurk addresstiarsLatrun (NAT) Alow Internal clients to connect to the Internet using one public IP address f* Vrtual pnvatc network (VPN) access and NAT Alow remoteckerts to connect to ths server throughthe Hemet and local ctents to connect to the Hemet uang a single pubic IP address Secure cumectun between Iwu private networks Connect this network to a remote network, such as a branch office C Customuurtfiyuidtiuii Select any combnabon of the features available n flouting and Remote Access.
BmsaJEfeiBiBBfin. < Back
2.
|
Nerd >
|
Cancel
|
W następnym oknie kreatora (rysunek 6.129) należy wybrać interfejs sieciowy podłączony do sieci WAN (publicznej).
Rysunek 6.1 29. K re ato r w yb o ru interfejsu W A N
VPN CoreieUimi Io enable VPN ciente to connect to this server. at least one netwo must be connectedto the Hornet Select the network interfoce thot connectsthis serverto the Hemet. Network interfaces Name Description LAN_______________ Hel(H) PHQ/1000 MI ...
IPAc 192/
Tor moreinformation about network interfaces her more information about packet Htering.
<• Back
3.
|
Ned > ]
Cancel
|
W następnym oknie kreatora (rysunek 6.130) należy określić, czy klienci zdalni będą otrzymywać adresy IP z serwera DHCP w sieci prywatnej, czy z konfigurowanego serwera dostępu zdalnego sieci VPN.
Rysunek 6.130. K re a to r ko n fig u ra cji korzysta n ia Z US U gi D
C
HowdoyouwartIPaddresses to beasagned to remote ctients? f* Automatical I yuu use a DHCP server tu maayn addresses, ca Am tiret Ais ujifrjured prupetly f you dn rW use a DHCP server. this server Mil generalethe addresses C Frrvna specified range of,
q i5 6
4.
Następnie należy określić, czy żądania połączeń od klientów sieci VPN mają być uwierzytelniane przez serwer RADIUS (ang. R em ote Authentication Dial-In UserSer vice), czy przez konfigurowany serwer dostępu zdalnego sieci VPN (rysunek 6.131).
Rysunek 6.131. K re ato r konfig u ra cji u słu g i RADIUS
Managing Multiple Remote Access Servers Cnrmerilm reryrests ran he arithertiruaerl Inrally orfnrwarderi Toa Remote Authentication Ctal-ln User Service (RADIUS)serverfor authentication. «though Routing and Remote Accees can authenticate connection requests, large networks that ndudc multiple remote access servers often use a RADIUS serverfor central authentication IFyou arc using a RADIUS server on your network, you can set up this server to forward outhenfcation requeststo the RADIUSserver Do ynrr wart to set in ihrs server rn work wth a RADIUS server? (* No. use Routing and Remote Access to authenticate connection requests C Yes. setup this server to work with a RADI USserver
Tormore rfomwbon i Back
Hol i
I
Cared
|
W kolejnym oknie kreatora należy określić, czy klienci VPN będą mogli wysyłać komunikaty DHCP do serwera DHCP w sieci prywatnej (rysunek 6.132).
Rysunek 6.132. K re ato r p o tw ie rd ze n ia k o rzysta n ia z usłu g i DHCP
» + I z lrA X Q ¿alB la
¿4
Server Manager (SERWEF£ Active Directory C
completing the Routing and Remote Access SnrvHr Sh I iiji W i/nrrl
T m
5.
I
DNS Saver 3 Ne Services Network Roicy ¿•j RuuühuoikJP 3 gfi Features * uagnesöcs -R J 'i Cwifuualiuii 3 PJ Storage
9
6.
W ostatnim oknie kreatora zostaniemy poinformowani o tym, że usługa została skonfigurowana (rysunek 6.133).
157P
Rysunek 6.133. P o tw ie rd ze nie s k o n fig u ro w a n ia usłu g i
completing th e Routing and Rem ote Access S erve r Setup Wizard You have successfully completed the Routing and Remote Access Server Setup Wizard.
Cient connections are accepted and authenticated
T|
Before dierns can connect, user accounts must be added localy orthrough Actrve Orectcty For more »formation about user accounts, see Rouflno and Remote Access Heto To dose this wizard, ekek Finish
|
Cancel
|
ĆWICZENIA
1.
Zainstaluj i skonfiguruj usługę VPN.
PYTANIA
1 . Wymień protokoły wykorzystywane przez usługę VPN. 2 . Omów serwer RADIUS.
6 .5 .5 . Z a p o ra s y s te m o w a Mechanizmy zabezpieczeń w sieci dotyczą nie tylko bezpieczeństwa transmisji, ale również zabezpieczeń komputerów i sieci przed niepowołanym dostępem lub atakiem. Podstawową metodą ochrony są tzw. ściany ogniowe (ang. firewall). Termin ten może odnosić się zarówno do sprzętu komputerowego wraz ze specjalnym oprogramowaniem, jak i do samego oprogramowania blokującego niepowołany dostęp do komputera. Ściany ogniowe zapewniają ochronę sieci wewnętrznej LAN lub komputera przed do stępem z zewnątrz, tzn. z sieci publicznych. Do podstawowych zadań firewalla należy filtrowanie połączeń wchodzących i wychodzących, a tym samym odmawianie żądań dostępu uznanych za niebezpieczne. W systemach serwerowych firewall jest realizowany za pomocą dodatkowych płatnych funkcji. W przypadku serwera 2003 i 2008 w wersji 32-bitowej taką usługą jest ISA 2006, dla serwera 2008 R2 usługa nosi nazwę Forefront TMG 2010 (rysunek 6.134).
q i5 8
Z a p o ra sy ste m o w a F o refro n t TM G 2010
R y s u n e k 6 .1 3 4 . G ra ficzn a in te rp re ta cja u m ie js c o w ie n ia u s łu g i TM G
Serwery TMG zapewniają filtrowanie przesyłanych danych w warstwie sieci i w war stwach wyższych, istnieje możliwość wykorzystania filtrów dla wielu protokołów warstwy aplikacji, jak: HTTP, SMTP, POP3. Minimalne wymagania dla serwera TMG: •
Procesor 64-bitowy o częstotliwości co najmniej 1,86 GHz, minimum dwa rdzenie lub dwa procesory jednordzeniowe.
•
System operacyjny Windows Server (2008 lub 2008 R2) w wersji 64-bitowej.
•
Minimum 2 GB pamięci RAM.
•
2,5 GB dostępnej przestrzeni dyskowej.
1.
Po uruchomieniu instalatora (rysunek 6.135) następuje instalacja komponentów rdzeniowych, komponentów dodatkowych oraz inicjalizacja komponentów syste mowych. Właściwa instalacja rozpoczyna się po fazie zrealizowanej za pomocą narzędzia M icrosoft Forefront TMG Preparation Tool.
R y s u n e k 6 .1 3 5 . K re a to r instalacji k o m p o n e n tó w
The Installation Wizard is progressing as follows:
% v/ Cnrp Cnmprmenk (Fctimatprl Time: 'i mini it« )
2.
S
Additional Components (Estimated Time: 12 minutes)
►
System Initialization (Estimated Time: 2 minutes)
W kolejnym oknie należy po przeczytaniu zaakceptować warunki licencji (rysu nek 6.136).
Rysunek 6.136. O k n o a k c e p ta c ji licencji
masEBEE Please read (he Wonmc Icense agreement carefijy.
MICROSOFT S0I7WARI UCCNSC TtRMS MICROSOFT rORirROFIT T1IRCAT MANAGEMENT GATtWAY 2010 SI AfiDAKL) tUlllOII
MICROSOFTFORFFROMTTHRFATMAHACiFMFHTGATFWAY2010 CUTTRPRISC EDITION I hese license terms are an agreement between Microsoft corporation (or based on where you live, one of Its affiliates) and you. Please lead them. They apply to the software named above, which includes the media on which you received it, if any. The terms also apply to any Microsoft F* I accept llie lane, n Die kmse cement do not accept the terms in the license agreement
1
3.
W kolejnym oknie kreatora (rysunek 6.137) należy wybrać komponent, który ma zostać zainstalowany: •
Forefront TMG services an d M anagem ent — komponenty serwera oraz narzędzia administracyjne,
•
Forefront TMG M anagem ent only — tylko narzędzia administracyjne.
Rysunek 6.137. O k n o kre a to ra w y b o ru u słu g i
U
S K
S m
B S H
E
xj
Setup Scenarios Select the Forefront I MUrstalatnn type for the computer.
<• Furefruiil TMG services and Maiiaueiueril Forefront TMGcervices and features nfl be metaled. ForefrontTMS Management wd also be inctafled to manage Forefront TMGcomputers. C Fnrpfmnt TMG Management only Tiremanagement cuisuie wd be totaled Unanutdy manage FurefiunlTMG umpulos. < Bacfc
4.
|
Next s
|
cancel
|
W kolejnym kroku instalacji (rysunek 6.138) należy określić zakres adresów dla sieci lokalnej (wewnętrznej). Możliwe są trzy sposoby: • Add A d ap ter— adresy zostaną pobrane z konfiguracji interfejsu sieciowego, • Add Private — automatycznie przypisane zostaną adresy z pul prywatnych, • Add Rangę — będzie można podać żądany zakres adresów.
Rysunek 6.138. K re ato r d o d a n ia interfe jsó w
X] These ore the IP address ranges Indudcd in this network. Start Address
iBnJAtkkess
192168 18.0
192 168.18.255
i |
| |
OK
d 160
Add Adapter...
Add Private
|
Add Range...
|
|
|
Cancel
Po instalacji usługi przy pierwszym uruchomieniu pojawia się konfigurator usługi (rysunek 6.139), którego działanie jest podzielone na trzy etapy: •
Configure network setting — pozwala na zmianę ustawień sieciowych i wybór sce nariusza pracy TMG,
•
Configure system settings — pozwala na wybór trybu pracy — w domenie lub w gru pie roboczej — oraz konfigurację DNS,
•
D efine deploym ent options — pozwala na zmianę konfiguracji aktualizacji i sub skrypcji.
Rysunek 6.139. K o n fig u ra to r u słu g i
U wdumeu.iw.untTMG!
xj
1
o get ctarted, foton the three steps betow: C onfiaure n e tw o rk settinas nelkienetwork vmngt fhr Forefront TMfi, nrturtng IP settings, routing nJcs, and network relationships,
C o n ffg ir c syste m c c te rg s Definelocal systemsettinas for ForefrontTMG,
cl
D etine d e p lo y m e n t option s Sjiwlfy Fminnll .TMKilif/uyiiMil «jllngcuiilim fiw lUy
Heh ahtnil the fipmnn started Wirani . !
If you need to «nport Mcrosoft Internet security and Acceleration (liA) server ¿uub configuration settings to this computer. you must do this before you rus théswizard.
Podczas konfiguracji ustawień sieciowych mamy do dyspozycji cztery scenariusze pracy serwera TMG: •
Edge firewall — zapora systemowa brzegowa (rysunek 6.140).
Rysunek 6.140. Z a p o ra sys te m o w a b rz e g o w a
ur network toeolooy.
<* Edoc frCYial 3 Legperimeter tłackfirewa« imgle network adapter
h Do twuloyy. FuiefruntTMG fl.utd host) is iteukived at lie edge uf Urc Internal rielynxkarxl has tiro network adapters, une adapter is connected to the internal network, either drecdy or through a router or another fireyial. Another adopter is connected to the External network (the Internet),
< tort
|
Next > ~~|
fanrri
|
• 3-Leg p erim eter— zapora systemowa brzegowa z dodatkowym interfejsem określa nym jako DMZ (rysunek 6.141). Rysunek 6.141. Z a p o ra sys te m o w a b rz e g o w a z D M Z
xj N etw ork T em pla te Selection Select the network template that best fits your network topology.
r
vfm clients
Edge firewall
Network
(• 3-Leg perimeter back firewall O Single network adapter
In this topology, ForefrontTMG {Local Host) has three network adapters. Forefront TMG is deployed at the edge o f the Internal network and is connected to two other networks: the External network (the Internet) and the Perimeter network.
< Bade
•
|
Next >
|
Cancel
|
Back firewall — ta konfiguracja jest wybierana, kiedy pomiędzy TMG a internetem istnieje jeszcze jedna zapora (rysunek 6.142).
Rysunek 6.142. W s te c z n a za p o ra s y s te m o w a
*l N etw ork Tem plate Selection Select the network template that best fits yaor network topology.
O Edge firewall O 3-Leg perimeter <*■ back firewall C Single network adapter
this topology, Forefront TMG (Local Host) has two network adapters. One adapter is connected to the ' network, either directly or through a rooter or another firewal. The other adapter is connected the Perimeter network (or a front security device).
< Back
|
Next >
|
Cancel
|
•
Single network adapter — stosowana przy serwerach typu WEB-PROXY (rysunek 6.143).
Rysunek 6.143. K o n figu ra cja je d noi nte rf e jso w a
*l Network Template Selection Select Uie nelwuik template Ural best fils your uetwuik lupuluyy.
C Edge firewall O 3-Leg perimeter C bade firewall <• Single network adapter
thie topology, Forefront TMG (Local Hoet) has one network adapter connected to the Internal network to a perimeter network. In this configuration Forefront TMG can function as a forward or reverse •, caching server, and as a VPN server for dial-in clients.
Po wybraniu odpowiedniego scenariusza uaktywnia się następna faza konfiguracji, w której należy zdefiniować domenę lub grupę roboczą oraz określić serwer DNS (ry sunek 6.144). Rysunek 6.144. P o tw ie rd ze nie usta w ie ń d o m e n y lub g ru p y ro b o c z e j o ra z s e rw e ra D NS
*i
Getting Started - System Configuration Wizard Host Identification Enter the identification details for this Forefront TMG computer.
I
(* Windows domain:
Change...
|
Change.,.
|
Change..,
|
C Workgroup: Help about domain and workgroup membership
Primary DNS Suffix — DNS suffix:
0 F J computer name:
serwer.heSon.local
W ostatnim oknie pojawi się podsumowanie tego, co zostało zdefiniowane.
163 : O-
I
ĆWICZENIA
1.
Zainstaluj usługę zapory systemowej i dokonaj konfiguracji: a . Odblokuj usługę http.
b. Odblokuj usługę związaną z DHCP, DNS, Kerberos.
PYTANIA
1 . Wymień dostępne zapory systemowe dla serwerów. 2 . Wymień wymagania dla usługi TMG.
6L6. Usługi serw ero w e 6 .6 .1 . S e rw e r p likó w
U d o s tę p n ia n ie p likó w to je d n a z najb a rdzie j o b e cn ie ro zp o w sze chn ion ych funkcji systemów. Pozwala na kontrolow anie dostępu do zasobów dyskow ych. Serwer plików u m ożliw ia przech o w yw a n ie plikó w i u do stęp n ia n ie ich u żytkow nikom w sieci. G dy użytkownicy potrzebują w ażnego pliku, na przykład planu projektu, m ogą uzyskać do niego dostęp na serwerze plików, zam iast przenosić go z kom putera na komputer. Jeżeli użytkownicy sieci potrzebują tych sam ych plików i aplikacji dostępnych w sieci, należy skonfigurow ać kom puter jako serwer plików. Serwer plików um ożliwia nadzór nad tym, co się dzieje z udostępnionym zasobem , pozwala przechow ywać poprzednie kopie oraz zarządzać przydziałem dyskow ym . Z serwerem plików m am y do czynienia w chwili udostępnienia w sieci pierwszego folderu. Jeżeli chcem y w ykorzystać w pełni tę rolę, w arto najpierw zainstalować usługę, a dopiero później za cząć udostępniać foldery.
W skład usługi serwera plików (ang. File Services) wchodzą: •
Rozproszony system plików (DFS, ang. Distributed File System),
•
Menedżer zasobów serwera plików (FSRM, ang. File Server Resource Manager).
Kroki z w ią z a n e z in s ta la c ją s e rw e ra plików 1.
W Menedżerze serwera dodajemy nową rolę serwera plików (rysunek 6.145).
Rysunek 6.145. D o d a w a n ie roli s e rw e ra p likó w (ang. File S ervices)
2.
&
Select Server Roles
re rolesto nstal on tha server,
W kolejnym kroku (rysunek 6.146) należy wybrać elementy, które będą zainstalo wane wraz z usługą: •
serwer plików,
•
DFS,
•
FSRM.
Rysunek 6.146. W y b ó r u słu g in sta lo w a n ych w ra m a c h s e rw e ra p likó w
Select Role Services
BeforeYouBegin Server Roles rie Services Ot-5Namespaces
Select (tie role services to ristiil for fir Services: i/I Ne server B I / CisrtutedMe !/. OFS
I/OFSRt
•
3.
- f-is jffvr IWl ernbles youto generatestorage reports,configurequotes, and define file screeningpolicies.
I Servicesfor NetworkMe System ( WindowsSearchService '.Widows Server 2003Me Services Indexing Service i BranchCachefor networkfles
W kolejnym kroku należy zdefiniować obszar nazw (ang. namespace) (rysunek 6.147).
165p
Rysunek 6.147. D efin io w a n ie o b s z a ru n azw
&
Create a DFS Namespace
Before youBegn Servo Roles He Serwera ftde Servîtes
AC*Siwmespeoeo » wtud vim* of s*wed fiAies located wi Afferent severs n anorgsrixatk nawoate the namespacewithout needng to knowfile ter.« names« shared foldershossng Sv a user wows the namespace. the foldersappear n a angle, vrtual namespace.
<® Createa namespacenow. usng Itwwizard Entera name for thisnamespace: StorageMorvtcreig Confirmaoon
C Createa namespacelater usng theOf-SManagement snap n n Server Manager
I 4.
Ü
Należy określić, w jaki sposób będzie rozpoznawany obszar nazw w sieci (rysunek 6.148): •
D om ain -based nam espace (O bszar nazw oparty na dom enie),
•
Stand-alone n am espace (Autonomiczny obszar nazw).
Rysunek 6.148. K re a to r ro zp o zn a w a n ia o b s z a ru n a zw w sieci
m
Select Namespace Type
select the type f* Doman-basednamespace createdn widows se
|Vb**cri.locai\i*K*>r O Stand alone namespace A starrdwlone namespacea storedon abnçfir ruimespAcesei
dtwllfawriBPt
□ 5.
J.
W kreatorze tworzenia poświadczeń dla obszaru nazw należy wybrać konto, które ma tego typu uprawnienia (rysunek 6.149).
Rysunek 6.149. K re ato r tw o rze n ia p o ś w ia d c z e ń
Provide Credenlidls to Create a Namespace RoleServices Et-Łnamespaces NamespaceType
Specify an accmmt that Isa mender of theDomainAdráisgrouptoacate a ttomahdiasedrtamespace-
^ejON\ad«ni»»ator
| select-
|
Namespace ConBguatton storage Montorng Confirmation
6.
W kolejnym oknie należy określić położenie udostępnionego folderu (rysunek 6.150).
Rysunek 6.150. P o ło że n ie fo ld e ru u d o s tę p n io n e g o w ra m a c h p rz estrzen i n a zw
7.
m
Configure Namespace
Kolejne okna pozwalają zdefiniować, które z partycji będą monitorowane pod względem wykorzystania pamięci przestrzeni dyskowej (rysunek 6.151), oraz skon figurować mechanizmy raportowania wykorzystania przestrzeni na dyskach.
Rysunek 6.151. K o n fig u ro w a n ie m o n ito ro w a n ia w y k o rz y sta n ia p rz estrzen i d ysko w e j
m
Configure Storage Usage Monitoring
Youcanmentor the amount ofspace usedoneach votaneon the computer andgenerate storage reports «hen a voune reach« a socafiea usage threshold, a usage thresholde a oercentage of the total storage capacityofa volume. First, select thevolumes youwant tomonitor. Then, for eachvdtme, define the usage theshoU andchoose thereports togenerate.
caoaotv I t-reesoacel
«Ame cepaatv: Volumeusage Sveshold: Reporto to generate at the Hes t>yHe GroupReport
8 . W ostatnim oknie konfiguracji otrzymujemy podsumowanie instalacji i konfiguracji usługi (rysunek 6.152).
167p
Rysunek 6.152. P o d s u m o w a n ie instalo w an e j ustugi o ra z konfig u ra cji p rz estrzen i n a zw
Confirm Installation Selections
I 1 rformabonaJmessagesbeto*
ReportOptons
Vł*łen.loral\SMOby tiamespoce type: DomembasedCAlndows2000Servermode) DFSReplication i ) ref. RepActton firfret reniypeaBcn. romplotr yo ' Ces MwvtQrfnmrvupmnServerMarMQrr-
ttn t.tfldt ot »ve tus tdbmpDon
R o z p ro s z o n y s y s te m plików Technologie rozproszonego systemu plików (DFS) zapewniają replikację w sieci rozległej (WAN) oraz uproszczony dostęp do plików rozproszonych geograficznie. System DFS udostępnia następujące dwie technologie: •
Obszary nazw systemu plików DFS. Umożliwiają grupowanie folderów udostęp nionych znajdujących się na różnych serwerach w jeden lub kilka obszarów nazw o strukturze logicznej. Użytkownicy widzą każdy obszar nazw jako pojedynczy folder udostępniony z podkatalogami.
•
Replikacja systemu plików DFS. Usługa ta pozwala na synchronizację folderów między serwerami w połączeniach sieciowych o ograniczonej przepustowości.
M e n e d ż e r z a s o b ó w s e rw e ra plików Menedżer zasobów serwera plików jest zestawem narzędzi, który umożliwia admini stratorom kontrolowanie i zarządzanie rodzajem i ilością danych przechowywanych na serwerach. Za jego pomocą administratorzy mogą definiować przydziały dyskowe w folderach i woluminach oraz generować szczegółowe raporty magazynowe. Ten ze staw zaawansowanych narzędzi nie tylko pomaga administratorowi efektywnie m oni torować istniejące zasoby pamięci masowej, ale także ułatwia planowanie i realizację przyszłych zmian.
P rz y d z ia ł d y s k o w y Przydział dyskowy służy do śledzenia i kontrolowania wykorzystania miejsca przez użytkowników na woluminach NTFS. Monitorowanie wykorzystywania miejscu na dysku jest możliwe nie tylko na serwerach, ale również na stacjach roboczych nieko niecznie znajdujących się w domenie.
W ramach stacji roboczej, która nie jest podłączona do domeny, konfiguracja przydziału dyskowego jest możliwa przez zakładkę Przydział (rysunek 6.153). Rysunek 6.153. P rzyd zia ł d y s k o w y — s ta c ja ro b o c z a
v- Właściwości: DYSK (D:) Ogólne J Zabezpieczenia |
| £3 l
Narzędzie j Poprzednie wersje
Sprzęt i Przydział
Udostępnianie Dostosowywane
Ten dysk twardy obsługuje limity miejsca da każdego użytkownika, wiec pojedynczy użytkownik nie może zapełnić całego dysku Wiknj ten przycisk, aby wyświetlić lub zmienić te łmły - j Pokaż ustawienia przydziałów Ustawienia przydziału dla DYSK (D:)
I
I
Przyrizial | Stan: Przydziały dysku są wyłączone Q Włącz zarządzanie przydziałami I
L j Odmów nscjsca no dysku uźytkumskum puekiaciającyrn fant przydziału
® kie ograniczaj użycia dysku Ogranicz miejsce na dyoku do
( Bez ograr»czeń|
Ustaw paziom ostrzeżeń na
| Dez ograrsczeń | |
I I Rejestru] zdarzenie, kiedy użytkownik przekracza swój fani przydziału I I Rejestruj zdarzenie, kiedy użytkownik przekracza swój poziom ostrzeżeń
| Wpisy przydziałów 1
I
OK
| |
1
Zastoou.
W ramach serwera konfiguracja przydziału dyskowego jest możliwa przy wykorzystaniu narzędzia File Server Resource M anager (M enedżer zasobów serwera plików). Umożliwia ono: •
Zapobieganie dalszemu wykorzystywaniu miejsca na dysku i rejestrowanie zdarzenia w dzienniku, jeżeli użytkownik przekroczy określony limit miejsca na dysku, czyli dozwoloną ilość miejsca na dysku, z której może korzystać.
•
Rejestrowanie w dzienniku zdarzenia, jeśli użytkownik przekroczy określony poziom ostrzegania dotyczący miejsca na dysku, czyli punkt, w którym użytkownik zbliża się do limitu przydziału.
W celu dodania limitu w ramach Menedżera zasobów serwera plików należy rozwinąć węzeł dotyczący zarządzania przydziałami (Q uota M anagem ent (Z arządzanie przy d ziałam i)), następnie w części dotyczącej przydziałów (Quotas (Przydziały)) rozpocząć tworzenie nowego przydziału (Create Quota (Utwórz przydział)), np. dla dysku E:\. W ramach kreatora tworzenia nowego przydziału określa się: •
Q uota path (Ścieżka przydziału) — ścieżkę przydziału,
•
Quota properties (W łaściwości przydziału) — limit w ramach szablonu lub ustawiany samodzielnie.
Kiedy wymagane opcje zostaną skonfigurowane, należy kliknąć Create (Utwórz). Ogra niczenia będą już aktywne (rysunek 6.154). Rysunek 6.154. P rzyd zia ł d y s k o w y w ra m a c h u słu g i s e rw e ra p likó w
Howdovouwart 10Cflffgi« ouna troowo«1 <• OemeprapMtiMlrnmtbUijuofiilimpiite łmcnnmmM)
S Ouola E\jeeoby Sooeoelemftete 200 MBUmł Report*to Ueei Unl 200MB(Hard) 2 NoUcetńn 4 W«neng(85tl) Emoł W«>wig(95%).Emei, Evert log Help
|
ĆWICZENIA
1 . Zainstaluj serwer plików i zdefiniuj przestrzeń nazw. 2 . Stwórz nową przestrzeń nazw. 3 . Stwórz replikację między przestrzeniami nazw. 4 . Zdefiniuj przydział dyskowy.
1 . Co to jest serwer plików? 2 . Co to jest przestrzeń nazw? 3 . Co to jest quota? 4 . Co to jest replikacja?
C J70
_»
— v| Caned
|
6 .6 .2 . S e rw e r w y d ru k u
Serw er wydruku (ang. p rin t server) — udo stęp n ia obsłu g ę zadań drukowania,
o b e jm u ją c ą rozm aite usługi od p ro ste g o ko le jko w a n ia w yd ru kó w (u sta w ia n ia ich w odpow iedniej kolejności do odpow iednich drukarek), poprzez form atowanie wydruków (np. zm ianę z popularnych form atów do postscriptu), aż po bardziej wyszukane funkcje, takie jak rozliczanie i raportow anie w ydrukow anych stron.
S erwer w ydruku m ożna również skonfig u ro w a ć na system ach d om ow ych. O bsługą drukow ania na drukarkach lokalnych zajm uje się podsystem drukow ania (ang. spooler), który jest w istocie lokalnym serwerem drukowania.
Drukarki mogą być podłączone do serwera wydruku bezpośrednio lub pośrednio: •
Połączenie bezpośrednie jest realizowane za pomocą portu równoległego lub portu szeregowego USB.
•
Połączenie pośrednie jest realizowane przez sieć komputerową.
Przed dodaniem roli serwera wydruku:
•
Określ w ersję system u operacyjnego klientów, z których b ęd ą w ysyłane zadania do drukarki.
•
Przejdź d o drukarki i w ydrukuj stronę konfiguracyjną lub testową, na której znajdują się inform acje dotyczące producenta, m odelu, języka i zainstalowanych opcji.
•
Określ sp o só b łączenia się serwera w ydruku z drukarką.
•
Określ, czy potrzebujesz now ego lub zaktualizow anego sterow nika drukarki.
•
W yb ierz nazw ę druka rki. D łu g o ś ć nazw y d ru ka rki za zw ycza j n ie p rz e k ra c z a
•
W ybierz nazwę udziału. D ługość nazwy udziału zazwyczaj nie przekracza 8 znaków.
31 znaków.
Tak jak poprzednie usługi, serwer wydruku jest rolą, którą należy zainstalować, a na stępnie skonfigurować. Poniżej są przedstawione kroki instalacji i konfiguracji. 1 . W celu uruchomienia serwera wydruku należy dodać odpowiednią rolę Print and D ocum ent Services (Usługi drukowania i zarządzania dokum entam i) (rysunek 6.155).
171
Rysunek 6.155. D o d a w a n ie roli s e rw e ra w y d ru k u
Select Server Roles
dl
I
J
Po wybraniu opcji serwera wydruku Print an d D ocum ent Services (Usługi drukowa nia i zarządzania dokum entam i) w kolejnym oknie kreatora pojawi się informacja o zadaniach, jakie może pełnić serwer wydruku. W kolejnym oknie (rysunek 6.156) należy wybrać usługi instalowane wraz z rolą serwera wydruku. Domyślnie jest zaznaczona jedna pozycja — Print Server (Serwer wydruku). Dodatkowo możemy wybrać LPD Service ( Usługa LPD) — LPD (ang. L ine Printer D aem on). Pozostałe opcje to D istributed Scan Server (Serwer skanów rozproszonych) oraz Internet Printing (Drukowanie internetowe). •
LPD Service (Usługa LPD) — oferuje możliwość wydruku na serwerze Windows dokumentów przychodzących od klientów pracujących w systemach Unix i Linux.
•
Internet Printing — pozwala na drukowanie dokumentów przez internet lub intranet.
Rysunek 6.156. K reator d o d a w a n ia usłu g i
Select Kole Services
•stal for PrintandDocument Set»«»: Print andOonmnnt Services Confirmation
4.
E E □ O
Pmtserver LTOservice Internet lYnono ixstrttutedseanServer
Description: ' Lin« PrlnWDPOTOn(LPQ) SffVI« enables UNK-basedcomputers or Othercomputers using the 1in* Pnnti ‘ te (IP*) sei shares in this se
Po wybraniu dodatkowych ról w usłudze następuje instalacja usługi, po czym wy świetlane jest okno podsumowujące (rysunek 6.157).
Rysunek 6.157. P o tw ie rd ze nie z a in s ta lo w a n ia usłu g i
&
In s ta lla tio n R esults
Before You Begin
Tic fuknriixj rules, rule »3vx.es, u features were msIdled suetessfuly;
Server Rotes
!
Print and Document Services RuleSeivk.es
1
warning message below
i Windows aulonntk. updalxu is nut enabled. Tu ensue tint yuu nenly-tislalled rule w ~~ outomobcoly updated, tu n on Windows Update in Control Panel.
Confirmation
Print and Doriiment Servirps
Progress
J Installation sin-reeded
I he followng role services were installed; Print Server LPD Service
Po uruchomieniu serwera wydruku należy go skonfigurować w narzędziu Server Manager (Menedżer serwera) i wybrać odpowiednią rolę. 1.
Trzeba sprawdzić, czy drukarki, które są już zainstalowane, są dodane. Jeżeli nie chce my, aby któraś była dostępna przez serwer wydruku, to ją usuwamy (rysunek 6.158).
Rysunek 6.158. S e rw e r w yd ru ku
m m fri Prm l
I Jsbsln... I serverN. serwer (local) serwer (local)
FI ËË Cuslunt Ritas FR AI Drivers (2) B Tl Printers Not Ready Ul t I Printers With Jobs H gj Print Servers S3 tięr Deployed Prhters
2.
Jeżeli chcemy, aby drukarki udostępnione w ramach usługi były dostępne dla użyt kowników po ich ponownym zalogowaniu, należy je wdrożyć w domenie poprzez GPO (rysunek 6.159).
Rysunek 6.159. W d ra ż a n ie d ru k a re k p rzy u życiu GPO
Fic
Acton Mew Help
« » * 1 s, I r I X ffe Prut Management 3 _T, CustomFilters 7 Al Printers (7)
a ®
E J_ Pilitas NulReeJy rr XI Printers WithJobs Print Servers Deployeri Printers
3
I B , su Printer Harre iWMcrosof
1Quet» OP«" Printer Queue PausePrinting Deploy withftoupPolry... Set PrintrigDetails... Manage Shamg... PrtrtTest Page Properties..
Help
3.
Jeśli drukarka ma zostać udostępniona użytkownikom korzystającym z innych wer sji systemu Windows (32- i 64-bitowych), należy dodać obie wersje sterowników (rysunek 6.160).
He Action Hew Mefe
r AIPmterj(3 t. AI0mcrs(2) r Punters Nai Ready
OK
|
Caned
|
II
R y s u n e k 6 .1 6 0 . D o d a w a n ie ste ro w n ik ó w d la u d o s tę p n io n e j d ru ka rk i
j ĆWICZENIA
1 . Zainstaluj serwer wydruku. 2 . Dodaj drukarkę bezpośrednio podpiętą do serwera oraz sieciową. 3 . Wykonaj wydruk próbny. / fj PYTANIA
1 . Co to jest serwer wydruku? 2 . W jaki sposób sprawdzić, jakie drukarki zostały zainstalowane w systemie? 3 . W jaki sposób wydrukować stronę testową?
6 .6 .3 . W D S Windows Deployment Services (Usługi wdrażania systemu Windows) jest uproszczonym i zarazem bezpiecznym rozwiązaniem dla zdalnej oraz szybkiej instalacji systemów operacyjnych na komputerach podłączonych bezpośrednio do sieci LAN.
WAŻNE
Serwer, na któ rym m a b yć za in sta lo w a n a u słu g a W DS, w cześn ie j p ow inien być w yposażony w następujące role: usługę katalogow ą AD, DNS oraz DHCR AD umożliwi uwierzytelnienie użytkowników m ających d ostę p do pobieranych o bra zó w oraz tych, którzy ch c ą w ysła ć p rzygo tow a ny o bra z d o dom eny. Karta siecio w a PXE p od c z a s uruchom ienia kom putera nie m a adresu IR aby m óc się kom unikow ać z serwerem WDS — potrzebuje tego adresu z serwera DHCR D ostęp do udziału, gdzie są przechowywane obrazy system ów, o db yw a się po nazwie, a nie po adresie IR co u m ożliw ia u sługa rozwiązywania nazw DNS. PXE to tryb pracy, w którym kom puter w yposażony w kartę sieciow ą łączy się z serwerem i z niego pobiera system operacyjny.
1.
Usługa wdrażania systemu Windows jest kolejną z ról Windows Server 2008, zatem cały proces instalacji roli rozpoczynamy od uruchomienia narzędzia Server Manager {M enedżer serwera) i dodania roli Windows Deployment Services (Usługi wdrażania systemu Windows) (rysunek 6.161).
S e le c t S e r v e r Rules
OefbreYouDeoin
to instal on ttuc server.
Role Services Confirmation Prngrpw Results
R y s u n e k 6 .1 6 1 . D o d a w a n ie roli W D S
2.
Po zaznaczeniu wyżej wymienionej usługi i kliknięciu przycisku N ext (Dalej) po jawia się kolejne okno (rysunek 6.162), w którym przed instalacją wyświetla się informacja o kilku istotnych kwestiach dotyczących wstępnej konfiguracji serwera. Ta usługa wymaga zainstalowanego serwera DHCP oraz DNS, a także tego, by par tycja, na której będą przechowywane obrazy, była partycją NTFS. Po zapoznaniu się z powyższymi informacjami należy kliknąć N ext (Dalej).
175P
al Winikiws Deployment Service i Deployment Services i an useV/wdomDeployment Servicesto notai andconS()i#eMKtosoft Windows operating cyctenu aotrłjr encomputer! »vit arePXT-enabled, «M m Deployment Sernresreplacesdemote tnstalation vices (FUS)and assists mthtbe rapidadopoon anddeclovment of Ydndoivp7, WindowsServer 2003R2, idowsWîla, WndwrsServer 2008, WndowsXPandWindowsServer 2003. TheWndows Deployment ServicesIłC snap-n akws you to manageal aspects of .WidowsDeployment Services. Windows Redonnent ............ Stentwi»i WVrvdowsSetup «, DHCP, andDNSservices ari rt Serverdoesnot reryireanyaditKrWrolesor mNTFSpa i Before youbegr, youneedto conftgje WindowsDeployment Servicesby nrmg ether #ieWndows DeploymentservicesConfigurationwirnrdor wtWJM.eie, youwdalsoneedtoaddat least onehoot mage andone mptal mage to themagestore, I ToricUl Wndowsoperabnasystems froma WndowsDepbymentServces server, either thedent roaiputersmusthePxPenahled, w youmet! ‘ ProretalabonEnvrgnnent flVndows P€). Addllmnal Information
R y s u n e k 6 .1 6 2 . O kn o k re a to ra in fo rm u ją c e o w y m a g a n ia c h insta lo w a n e j u s łu g i
3.
W kolejnym oknie kreatora (rysunek 6.163) mamy do wyboru dwie usługi: •
D eploym ent Server (Serwer wdrażania) — funkcja, która umożliwia konfiguro wanie oraz zdalne instalowanie systemów operacyjnych Windows. Za pomocą tej usługi można tworzyć i dostosowywać obrazy, a następnie instalować je na komputerach.
•
Transport Server (Serwer transportu) — funkcja, która pozwala tworzyć obszary nazw multiemisji, które służą do przesyłania danych (w tym obrazów systemu operacyjnego) z serwera autonomicznego. Należy wybrać obie opcje.
jj1
S e le c t R o le S e rv ic e s
Before You Begin Server Koles WD3
Select the role services to nstal for widows Deployment Services: Role servirei: E Deployment server [7] iransport server
uxifirmaDon Progress Results
Description: functionality ofwindows Deployment Services, which you can U3C to configure and remotely install Windows operating systems.With Windows Deployment Services, you can create and customize imaqes and then use them to reimage computers. Deployment Serverie dependent on the tuie parts of Tianspoil Sovet.
R y s u n e k 6 .1 6 3 . K re a to r w y b o ru in sta lo w a n ych u słu g
4.
W następnym oknie należy potwierdzić instalację usługi (rysunek 6.164).
Installation Results
Before YouBegm Server Rdes WDS Role Services Confirmai*«
Ihe fbtowno 'des, roleservices, or fcanres wererotated successfuly:
1
l warringmessagebelow
■ windowsautomateupdawig isnot enabled. Toensure that you newlyanstaled role or feabre Is automatical» updated, turn unWindowsUpdate inCunlrdPend. " Windows Deployment Services TTwfbtoMsg roleservices were metaled:
t installation succeeded
1
ransport Server
1
II
I
0.
SI
Rysunek 6.164. P o d s u m o w a n ie in sta lo w a n e j usłu g i
5.
Jeżeli wszystko jest w porządku, instalacja powinna zakończyć się sukcesem.
K o n fig u ra c ja s e rw e ra W D S Po instalacji serwera należy go skonfigurować. Aby to zrobić, z Administration Tools (N arzędzia administracyjne) należy wybrać Windows D eploym ent Services (Usługi wdra żania systemu Windows) lub Start/Uruchom i wpisać wdsmgmt.msc (konsola WDS) (rysunek 6.165). Rysunek 6.165. O k n o z a rzą d za n ia u s łu g ą W D S
Ç3 Windows Deployment Services file *
*
Action
View
L I“
Help
1 1 ¿
H
03
te- Windows Deployment Services E 35 Servers
serwer.hekon.ioca
^ *^ o n fio u re S « v e r Remove Server view
| P
1
Windows Deployment Services is not configured
This server is not configured. To configue this server, first verify Then liy h ltk ii tire saver, arid ctck Cunfiyuie Saver,
Refresh Help
1 . Przed rozpoczęciem konfiguracji trzeba się upewnić, czy są spełnione następujące wymagania (rysunek 6.166): •
na serwerze musi być zainstalowana usługa katalogowa, DHCP oraz DNS;
•
na serwerze muszą być poprawnie skonfigurowane usługi DHCP i DNS; na serwerze znajduje się partycja systemu NTFS, na której zostaną zapisane obrazy. Jeżeli są spełnione powyższe wymagania, to należy kliknąć N ext (Dalej).
Rysunek 6.166. O k n o kre a to ra k o n fig u ra cji W D S z in fo rm a c ją o w y m a g a n ia c h
JM Deforc You Dcqin
I You can usethis niiacd to configure Wnctows Deployment Sen cucfisjLied. yuu nil need lu odd at least une bout image and u twfnn» ynn w f he ahtetn ratal an nparanng system Before you begin, cnaurc that the following requirements arc met in Services (AO DSJdurtioi -
Tlicie is an active DHCP server un Utenetwork, Tliis is because Windows Dfłdoyiwrr S«v*~*s uses Pm-Rnrt Fvanfton Fnvtmnmari (PXF). whleh rnłes nr DHf.Pfor IParirtmssrYj
-
Tlieie is on active DNS server on you network
-
Tltts server has an NTFS He systempobbju to store mages on
To eontinuo. clck Next
2.
W kolejnym oknie konfiguracji (rysunek 6.167) należy wskazać lokalizację folderu instalacji zdalnej. W tym folderze będą zapisywane przygotowane obrazy systemów. Domyślnie jest to C:\RemoteInstall. Należy zmienić ją na partycję, na której będą przechowane obrazy — nie powinna to być partycja systemowa.
Rysunek 6.167. O k n o kre a to ra k o n fig u ra cji ka ta lo g u p rz e c h o w u ją c e g o o b ra z y
EE
Tłu ramotarrtrtSvi kWor ni oorSaoi boot m ayoa.mai*nayaa. PI rwt«» VlrAnn trployw* laanagefflMlamM Choovtai l«ya anouęhtoIroWol rfllia mag« that ywj nihave Th* partt**>n NTFSpnrtawi im............. FfSarthirpathla thamrurtir rulaliawyrfeidnr Path.____________________________________ ISdtonoMlraul
3.
Brswse , |
W kolejnym kroku kreatora (rysunek 6.168) należy skonfigurować opcje DHCP. Do poprawnego działania tej usługi niezbędny jest protokół DHCP. Zaznaczamy obie opcje. W przypadku gdy serwer DHCP nie jest serwerem Microsoftu, wybieramy tylko pierwszą.
Rysunek 6.168. K o n figu ra cja o p c ji DHCP
iä DHCP Option 60
F ï Owiamk: Host CotWasabon Ptctocd (DHCP)13tunringontl«sserver, checkbdh of Hw*foAnungrłrnrk bam andra» DHCPtoolsto «ASCytwr 60to ré DHCPkaom t a non-Memaoft OHCPsarvwisnairtriflonnriasrvYar thont-Jwk thefrsi bar und manuałyccnfrgu* OHCPowo" 60 Th» VrVxJovtt Deptoymert Servie««Ccrfrgiaation Yrliard detected Mocecft DHCP servie»rurrrrigonthe server IVas«select tromth»tofcrwinqcpOms 17 Donot k«n onpert 67 W C a fw t DHCPoWon 60to PXEOert'
h* moreriotmaOcnon OHCP. c*A Iere
4.
|
ma>
|
Caned
|
W kolejnym oknie kreatora należy zdefiniować ustawienia Preboot Execution En vironment (PXE). Za pomocą poniższych ustawień definiuje się sposób odpowiedzi dla komputerów klienckich (rysunek 6.169): •
Pierwsza opcja spowoduje brak odpowiedzi podczas rozruchu środowiska PXE (Do not respond to any client com puter (N ie odpow iadaj żadnym kom puterom klienckim)).
•
Druga opcja spowoduje uruchomienie PXE tylko na komputerach dodanych do domeny (Respond only to known client com puter (O dpow iadaj tylko znanym kom puterom klienckim)).
• Trzecia opcja pozwoli na uruchomienie ww. środowiska na komputerach z oraz spoza domeny (Respond to all client computer (known and unknown) (Odpowiadaj wszystkim kom puterom klienckim (znanym i nieznanym))). Wybierając opcję trzecią, dodatkowo trzeba zatwierdzić komputer przy użyciu zakładki Pending devices (Urządzenia oczekujące) znajdującej się w przystawce Win dow s Deployment Services (Usługi wdrażania systemu Windows). Należy zaznaczyć opcję trzecią i przejść do następnego kroku poprzez kliknięcie N ext (Dalej). Usługa zostaje skonfigurowana. Rysunek 6.169. U s ta w ie n ia PXE
PXE Saves Iretial Setting*
Youcan usethese settres to defrte which c»ent compuers this server wI respondto khown ckentsare the cterce that you have prestaged in ADDS, Vihen you oreetaoea dent. youcreate a computer account oblect in ADOSthat ismapped to a physical computer Then whenthephysical computerperfoims a PXE boot, the operating systemwll benstaled based onthe eettngs that youhave defined Select on»of thefolowtnj optima O Donot respondlo any tire« computers Respondonlyto knownekonl comedos f* Respondto al dert computers Jtnown andunknown) Requhe adrrrnatretot approval for urAnown computers When youselect tins option, you must approve tire computers ussy tire Pendrty Devices node inlire mapVI In eddtrun, a ccnputer account ml be createdin ADOSfo theutArtowrr dietS Toconfigurethis server, dck Nesfl
1
tolldW' dlfflll tflCK trdlrrjs
c BorA
|
NnU
|
Cancel
|
1Z9.D
5.
Kolejny krok polega na dodaniu obrazu do serwera (rysunek 6.170). Należy włożyć do napędu DVD dysk instalacyjny systemu, np. Windows 7, i przejść do kolejnego kroku — Kreatora dodawania obrazu.
Rysunek 6.170. O k n o kre a to ra d o d a w a n ia o b ra z u
W r that yw luve t i tJ L)*r fe (włpji istlie bmtdble «n
|7 Addnaoeitothe jovernow lo ctosetho «rizsd. dek I inuh
|
ftwh
j
Caned
|
6. Plik .wim ( Windows Im age File) jest skompresowanym plikiem obrazu umożliwia
jącym instalację systemu Windows. Pliki niezbędne do tworzenia obrazu (boot.wim i install.wim) są umieszczone w katalogu instalacyjnym systemu operacyjnego; począwszy od systemu Vista, jest to katalog sources. Aby dodać obraz, w oknie kreatora dodawania obrazu należy podać ścieżkę do napędu DVD (rysunek 6.171). Rysunek 6.171. K a ta log p rz e c h o w y w a n ia o b ra z ó w
*J im*«««
^
wint to id). T)» btitKn
frowe..,
|
7 . W następnym kroku (rysunek 6.172) należy utworzyć grupę obrazów, do której zostaną przyporządkowane pliki instalacyjne. Tworzymy grupę sala24. 8 . Końcowym oknem w kreatorze dodawania obrazów jest okno podsumowania (ry sunek 6.173). Jest to ostatni etap, w którym można dokonać zmian. Jeśli wszystko jest w porządku, należy kliknąć N ext (Dalej). Trwa dodawanie obrazów systemu Windows.
Ttas winedaddsonratalmegr to yore server. Youmusttwveotlerat one ratal mage andoneboot Imageon your server n crder toboot» dent uong Pre-6oot executionEnvironment (PKE) andratalanspereingsystem.
Verifythat the fofewmgnformation« correct.
Anmage gimpo a cdecbon of mages bietsharecommonfle rescutes and scanty. Enter the mage grocofoe theratalmage that youwont to add.
tnstal magegroup!
saU.’r
tambor oł ratalmegns:
4
[at
--------------------- 3 | Create animagegrtatpnamed
|sala24
| next > |
Rysunek 6.172. Tw orzenie g ru p y o b ra z ó w
9.
Cancel
|
«Bade
I
Wert >
|
Canat
|
Rysunek 6.173. P o d s u m o w a n ie d o d a w a n ia o b ra z ó w
W celu przeprowadzenia konfiguracji należy w programie Server Manager (Menedżer serwera) wybrać rolę Windows Deployment Services (Usługi wdrażania systemu Win dow s), gdzie widnieje grupa sala24, do której dodane zostały 4 obrazy 64-bitowej wersji systemu (plik install.wim) (rysunek 6.174). Natomiast w zakładce Boot Images (Obrazy rozruchowe) został dodany plik rozruchu PXE (boot.w im ).
Rysunek 6.174. Z a rz ą d z a n ie p rz y g o to w a n y m i o b ra z a m i
In s ta la c ja s y s te m u W in d o w s 7 z w y k o rz y s ta n ie m o b r a z ó w p rz y g o to w a n y c h w W D S 1.
Po uruchomieniu komputera, na którym ma być zainstalowany system, przy wyko rzystaniu usługi WDS zostanie uruchomiony agent PXE. Rozpocznie on od pobrania adresu sieciowego z serwera w celu podłączenia się do usługi WDS oraz obrazu, z którego nastąpi instalacja (rysunek 6.175).
łetwork boot fron Intel E1B00 Copyright (C) 2003-2008 UMware, Inc. lupyrighl (C) 1997-2000 Intel Curyurnliun :LIENT MAC ADDR IIICP.
00 0C 29 90 98 D9
GUID: 564BBD0B-C37E-5821-24BB-FC22489A98B9
■ MriwlO. Uiiablc (u upen tlie “COM2" m;im I puil: Oiiinuwa ikntcpu. X Virtual device scriaJOwill start disconnected.
R y s u n e k 6 .1 7 5 . B o o to w a n ie s y s te m u z a p o m o c ą PXE
2 . W dalszej kolejności nastąpi nadzorowana instalacja, podczas której należy: •
wybrać język,
•
wprowadzić ustawienia regionalne,
•
określić nazwę instalowanego systemu,
•
nadać hasło administratora,
•
podać klucz produktu,
•
zaakceptować warunki licencji,
•
skonfigurować automatyczne aktualizacje,
•
ustawić datę i godzinę.
3 . Aby uniknąć wprowadzania tych informacji, można utworzyć plik XM L, który pozwoli przeprowadzić nienadzorowaną instalację systemu. Ważne jest, by tak przygotowany plik był podłączony do obrazu, z którego ma być zainstalowany system. ĆWICZENIA
1 . Zainstaluj i skonfiguruj usługę WDS. 2 . Dodaj obraz Windows 7 do usługi.
PYTANIA
1 . Omów usługę WDS. 2 . Co to jest PXE? 3 . Wymień rozszerzenia plików używanych do tworzenia obrazów. 4 . Podaj nazwę pliku obrazu.
6/7. K onfiguracja usług internetow ych 6.7.1. S e rw e r W W W DEFINICJA Serwer sieci WEB (ang. Internet Information Services, IIS) — jest zbiorem ustug
internetow ych udostępnianych przez system y W indow s. Pełni funkcje m.in. serwera FTP oraz HTTP
IIS jest jedną z ról Windows Server 2008 R2. Aby go zainstalować, należy dodać nową rolę. 1.
W kreatorze ról należy wybrać opcję WEB Server (IIS) (Serwer sieci WEB) (rysunek 6.176).
Rysunek 6.176. D o d a w a n ie roli IIS
2.
W kolejnym oknie kreatora dodawania ról (rysunek 6.177) wyświetli się krótka informacja na temat usługi sieci Web (IIS). Należy kliknąć N ext (Dalej).
183
jg
Web S erver (IIS )
introduction to Web Server (US) Web servers ore computers thathave specificsoftware that alows themtoaccent requests fromdent computersand rehmresponses to those requests. Web servers let you share nformationever the Internet, or throughrtranets and extranets, the Web Server role ndudes internet information services (US) 7.0. a inrfied Web platformthat ntegrates US7.0. ASP.Htt, andWindowsMnmi«caOonfoundation, ils AOalso features enhanced scanty, smpfifieddognostKS, anddelegated adnwstraSon.
before rcu »egn server Ilotes RoleServices Confirmation
Things to Mole 1 UsmgWVxfevraSystemResocace Manage (WSRM) canhefcieoue equitable sevictog ofWebsever traffic, espeoaly wbei thee are mdbple roles on dmcompute. i The defaJt nstalabon for the WebServer (US) roteIncludes the mtalaoon ofrole services that enable youtoserve static content, mate mncr customuatxxis (such as defacit ttoaments andHTTPerrors), monitorandtogserver actMty, and configurestatic content compressXxi.
Progress
.
1
Additional Information OverviewofWeb server (US) PytrrtcnofAYaiottcRafcScrYi{canIIS7.Q IlSQveddsts Qvevirw ofWSRM
f-H
hV
|
1PL
f c jf
| s i f”
cancel
|
* 'b
■
R y s u n e k 6 .1 7 7 . In fo rm a c ja n a te m a t in sta lo w a n e j usłu g i
3.
W kolejnym kroku należy wybrać kom ponenty wchodzące w skład serwe ra (rysunek 6.1 7 8 ). Poza podstawowymi, jak serwer http czy ftp, można za instalow ać m .in. funkcje projektow ania aplikacji odpowiedzialne za uru cham ianie dynamicznych skryptów po stronie serwera, funkcje kondycji i diagnostyki zapewniające narzędzia diagnostyczne i m onitom jące serwer web, funkcje wydajności umożliwiające przyspieszenie serwowania stron WWW czy funkcje zarządzania pozwalające na zaawansowane administrowanie usługą.
R y s u n e k 6 .1 7 8 . W y b ó r k o m p o n e n tó w w chodzących w s k ła d usłu g i
f
Select Role Services
iefcserwer m tk n * OB)
iiiOmtCaowanMreonoaueitnia». !J atsmiFimvo • U 'w -tK t E staKCaeentCwrerMwi ! ! ParameCanter*Cancrasaan
OracnpOoo: fc^aSSâàïdSSîateîwb. wtâôl^mr^tonïaiwaS" rrp^aaottdmb r "tu.
00
K IISMan«"««Cans«* [ Mavocrra*Sanee
6
H OS »atabes*Camatoatv
E FT?E>«n**e, hacatwulnfcwvxn
■ ah—
«
4.
_
ir ^ E l
1
cm-
1
Po wybraniu opcji Install (Instaluj) na stronie podsumowującej wybrane komponenty (rysunek 6.179) rozpoczyna się właściwy proces instalacji serwera.
£i 1 ^
Confirm Installation Selections
Before rou Begn
To nsfol die fofcwng roles, roleservices, or feotxes, cb* Instal. (I) 2nfbrmaaonal messagesbelow
Webserver (US) RoleServices
0 Ttiaserver night need tobe restartedafW the rotalatiori completes. (|) F»r! out im r about Wiliam SystrmR n an r Ftwiyri (WSRM)and hoe it un hr^i optillrr CPUusage Web Server Static Content Brectory Browong HTTPloggng Reguect wsntor Seuaity Request Flterng Static Content Coopiressaon USManagement console
< Previous I •
«“ I I
>
II
instal
|
cancel ¿ S U ,*
|n
kJ
R y s u n e k 6 .1 7 9 . In fo rm a c ja n a te m a t in sta lo w a n ych u słu g
5.
W ostatnim oknie jest wyświetlane potwierdzenie zainstalowania usługi (rysunek 6.180).
Installation Results
Before rou Begn server Roteo
The tofowng roles, role services, or feotres w e rotated successfuly;
Webserver (US) «efe services
ifv rotatedrole or feotre a — - Web Server (1X5) The folumnglole w w e He Webserver CorrmonHTTPFeaares Strttc Content Defoiit Document Drectory Browsing Health andDiagnostics Request Morrtt* Reguect Htermg Management Tools
PL
» 10
R y s u n e k 6 .1 8 0 . P o tw ie rd ze n ie za in s ta lo w a n ia usłu g i
6 . Aby przetestować działanie serwera Web, należy w przeglądarce internetowej uru chomionej na serwerze otworzyć adres http://localhost (rysunek 6.181).
185p
^ÜSJXJ
Welcome ¿3 3 ^
lommen
Bienvenido Bem-vînd
Bienvenue
1*0 Velkommen B en v en u to
Welkom
IIS7
in tern e t in fo rm atio n services Välkommen
HojGeldiniz Üdvözöljük
□•«an oona VtLKOMfcN
W itam y
?^?iQu|Cf Kakùç oplocnc
',‘a C». Local rtranet I ProtectedMode: OH
¡Dont
,^|| ç j
|8
«■
\ 100% -
p "» *
R y s u n e k 6 .1 8 1 . S tro n a sta rto w a u słu g i IIS
Wszystkie pliki związane z konfiguracją oraz ze stroną, która jest wyświetlana jako domyślna, znajdują się w katalogu C:/inetpub/wwwroot. W celu skonfigurowania usługi należy uruchomić Internet Information Services Manager (Menedżer Internetowych Usług Informacyjnych) znajdujący się w menu Administrative tools (N arzędzia Administracyjne). Konfiguracja obejmuje m.in. umieszczenie katalogów zawierających serwisy www na dysku serwera, mechanizmy uwierzytelniania, certyfikaty SSL czy strony błędów (rysunek 6.182). R y s u n e k 6 .1 8 2 . S e rw e r W W W (MS)
Po zakończeniu instalacji na pierwszy rzut oka nic nowego się nie pojawia. Jeżeli jed nak sprawdzi się otwarte porty TCP/IP, korzystając z polecenia n e t s t a t , okaże się, że serwer działa i nasłuchuje na porcie 80 (rysunek 6.183).
-lal C:\Users\Administrator>netstat TCP 0.0.0.0:80 TCP C ::]:80
-an I findstr 0. 0. 0. 0: 0 C : :3 : 0
C:\Users\Administrator> hi
/ i
i
'': 8 0 "
LISTENING LISTENING d _l
Jj
R y s u n e k 6 .1 8 3 . W y n ik d z ia ła n ia p o le ce n ia netsta t
Konfiguracja serwera IIS W panelu przystawki menedżera internetowych usług informacyjnych (IIS) są widoczne następujące katalogi lub węzły: •
Start Page (Strona początkow a ) — pierwsza pozycja, która pełni funkcję cyfrowego pulpitu sterowania zawierającego aktualne informacje o połączeniach, serwerach i związanych z nimi zadaniach.
•
Serwer — główne miejsce, w obrębie którego zarządza się właściwościami i funk cjami serwera.
• Application Pools (Pule aplikacji) — obszary fizycznej pamięci przydzielonej apli kacjom działającym w obrębie puli. Pule oddzielają aplikacje od reszty zasobów pamięci wykorzystywanej przez inne usługi serwera IIS. Zapewnia to większą nieza wodność oraz bezpieczeństwo, oznacza jednak konieczność fizycznego zwiększenia ilości pamięci RAM. •
Sites (Witryny WWW) — w tym katalogu znajdują się wszystkie witryny obsługiwane przez serwer WWW. Domyślna witryna jest utworzona podczas instalacji serwera (Default Web Site) (jest dostępna pod adresem http://localhost).
• Witryny FTP — w tym katalogu zlokalizowane są wszystkie witryny FTP obsługi wane przez serwer WWW. Najpierw należy skonfigurować opcje dostępne z poziomu serwera, a dopiero później opcje dostępne z poziomu strony. Zachowując taką kolejność konfigurowania każda nowa strona odziedziczy ustawienia i już w chwili utworzenia będzie poprawnie skon figurowana oraz gotowa do pracy. Praktycznym rozwiązaniem jest ustawienie właści wości na poziomie całego serwera na maksymalnie bezpieczny. Jeżeli gdzieś poziom taki przeszkadza w poprawnym funkcjonowaniu serwisu WWW, można go zmienić dla danego serwisu. Kolejne opcje, które powinniśmy skonfigurować, to: •
Poziom serwera — użytkownik ma do dyspozycji opcje start, stop oraz restart. Uru chamiają one i zatrzymują cały serwer HTTP.
• Authentication (Autoryzacja) — opcje dostępne w tym widoku zależą bezpośrednio od wybranych w czasie instalacji metod uwierzytelniania. Dla metody Anonymous najważniejszym parametrem jest nazwa konta, którym IIS się posługuje, odczytując strony z dysku. Domyślnie wartość parametru jest równa IUSR i to ta grupa musi mieć prawa odczytu katalogów, w których znajdują się pliki html.
•
Compression (Kom presja) — strony są zapisywane w skompresowanej postaci i tak wysyłane klientowi. Dzięki temu znacząco zmniejsza się obciążenie łącza. Możemy też ustalić minimalny rozmiar pliku, który jest poddawany kompresji. Jest to ważne dlatego, że pliki bardzo małe nie zyskują na kompresji na tyle dużo, żeby opera cja taka była opłacalna. Możemy również zmienić domyślny katalog, w którym przechowywane są skompresowane dane, oraz limit objętości skompresowanych danych na dysku.
•
D efault D ocum ent (Domyślny dokument) — lista dokumentów domyślnych z roz szerzeniami, które zwraca serwer, gdy użytkownik wprowadzi np. http://localhost czy http://helion , local.
•
Directory Browsing (Przeglądanie katalogów) — odpowiada za uprawnienia do prze glądania katalogów znajdujących się na serwerze WWW. Ze względów bezpie czeństwa na poziomie serwera należy wyłączyć przeglądanie katalogów i jedynie w konkretnych katalogach włączać tylko wtedy, kiedy jest to potrzebne. Opcja ta jest domyślnie wyłączona. Serwer IIS najpierw sprawdza obecność domyślnego dokumentu i jeśli go nie znajduje, pozwala na przeglądanie katalogu. W opcjach IIS Manager dotyczących przeglądania katalogów określić można, które z widocznych na rysunku parametrów pliku (data, czas, rozmiar i rozszerzenie) są wyświetlane. Należy pamiętać, że nieuzasadnione wyświetlanie katalogów serwera jest uznawane za poważne naruszenie reguł bezpiecznej konfiguracji.
•
Error Pages (Strony błędów ) — protokół HTTP określa, że dla każdego zapytania od klienta w odpowiedzi zwracanej z serwera powinien się znaleźć kod liczbowy informujący, jakiego rodzaju jest to odpowiedź. W normalnych warunkach kod ten ma numer 200 i oznacza, że wszystko poszło dobrze. W przypadku błędu serwer może zamiast samego kodu wysłać również jakieś dane. Przykładowo błąd 404 informuje klienta, że na serwerze nie ma strony, o którą zapytał.
• Logging (Logow anie zapytań) — jedna z najważniejszych funkcji, która powinna być włączona w każdym serwerze. Nawet jeśli logi nie wydają się w danym momencie potrzebne, na pewno w przyszłości zdarzy się tak, że trzeba będzie do nich sięgnąć. Gdy już skonfigurowaliśmy lub sprawdziliśmy ustawienia na naszym serwerze, należy utworzyć nową stronę dla naszej usługi. W celu rozpoczęcia procesu tworzenia nowej witryny WWW należy w pierwszym kroku w oknie Internet Inform ation Services (IIS) Manager (M enedżer internetowych usług informacyjnych (IIS)) prawym przyciskiem klik nąć Sites (Witryny), a następnie opcję Add Web Site (D odaj witrynę sieci Web) (rys. 6.184). Pojawi się okno Add Web Site (D odaw anie witryny sieci Web) (rysunek 6.185). Należy wprowadzić nazwę witryny, np. nowastrona. W sekcji Content Directory (Katalog za wartości) należy wprowadzić ścieżkę identyfikującą fizyczną lokalizację katalogu dla nowej witryny WWW. Może to być domyślny folder c:\inetpub\wwwroot. Następnie trzeba zdecydować, czy nowa witryna będzie używać protokołu http, czy https, podać dla niej adres IP lub pozostawić pole adresu IP puste. Dodatkowo należy określić port — można zostawić domyślny lub ustawić inny, na którym będzie dostępna witryna. Można również podać nagłówek dla nowo tworzonej witryny. Po zamknięciu okna
strona zostanie uruchomiona automatycznie, ponieważ jest zaznaczona domyślnie opcja Start Web Site immediately (Uruchom witrynę sieci Web natychmiast). Stronę wywołujemy, wpisując http:/llocalhost.
Ctmtpnt Dirprtory Physical path:
I--------------------------------------Pass-through authentication rn iv w tfl*:.
Type: |http
IP address: » ] IAl Unassigned
Port:
- I |80
Hostname:
r~ Example: wwvv.contoso.com or marketing.contoso.com
I * Start Web site immedately
Rysunek 6.185. U sta w ie n ia w o kn ie d ia lo g o w y m A d d W e b Site (D o d a w a n ie w itryn y sieci W eb)
|
ĆWICZENIA
1 . Zainstaluj serwer WWW i skonfiguruj go. 2 . Utwórz własną stronę startową.
1 . Jaki protokół umożliwia oglądanie stron WWW? 2 . Pod jakim adresem znajduje się strona startowa? 3 . Na jakich portach musi przepuszczać mch brama internetowa, aby użytkow nicy sieci lokalnej mogli przeglądać strony WWW przy użyciu protokołów HTTP i HTTPS?
6 .7 .2 . FTP DEFINICJA
S e r w e r F T P (ang. File Transfer Protocol) um ożliwia udostępnianie plików i folderów w internecie.
Domyślny katalog dla udostępnionych zasobów to inetpub\ftproot w katalogu głównym dysku systemowego. W celu spersonalizowania praw dostępu do zasobów należy utworzyć konta użytkow ników w systemie. Wcześniej utworzeni użytkownicy systemu też będą mogli zalogować się na serwer FTP, jednak ponieważ w protokole FTP hasła są przesyłane w postaci niezaszyfrowanej i mogą łatwo zostać „podsłuchane” (szczególnie w sieciach z kon centratorami), powinno się korzystać tylko ze specjalnie do tego celu utworzonych użytkowników oraz praw przydzielonych na poziomie zabezpieczeń NTFS. Aby dodać serwis FTP w usłudze IIS, należy umchomić konsolę zarządzania IIS (rysunek 6.186) i wybrać opcję Add FTP Publishing (D odaj Publikację FTP). Zostanie uruchomiony kreator konfiguracji usługi. W pierwszym oknie należy podać adres IP oraz port, na którym usługa będzie aktywna (rysunek 6.187). Jeżeli chcemy, aby użytkownicy logowali się bezpiecznie, należy zaznaczyć opcję Allow SSL (Dostęp przez SSL). W następnym oknie należy określić, w jaki sposób będzie przebiegać identyfikacja osób korzystających z serwera oraz z jakimi uprawnieniami będą się one logowały (rysunek 6.188).
Rysunek 6.186. P u b lika cja s e rw e ra FTP
Rysunek 6.187. K o n fig u ra cja u słu g i FTP
Binding and SSLSettings
Rysunek 6.188. K o n fig u ra cja auto ryzacji o ra z u p ra w n ie ń
191
Połączenie z serwerem FTP zapewnia program — klient FTP. W systemie Windows jest dostępny tekstowy klient FTP, z którego można korzystać w wierszu polecenia, oraz klient wbudowany do programu Internet Explorer. Klient tekstowy FTP może być uruchomiony z wiersza poleceń (rysunek 6.189). Aby połączyć się z wybranym serwerem, należy wprowadzić komendę: ftp
np.: ftp 192.168.18.1
Po połączeniu z serwerem użytkownik zostanie zapytany o login i hasło. Po udanej autoryzacji można korzystać z zasobów serwera. Rysunek 6.189. K lient te k s to w y FTP
B r:\Wmifcnn\trdmri7\i>ncl.nr- ftp W168.1R.1
r
I P ...6 a
Microsoft Windows [Wersja 6.1.7600] Copyright (c) 2009 Microsoft Corporation.
C :\Users\bhalska>ftp 192.168.18.1 ftp> _
Nawigacja po folderach jest podobna do tej znanej z wiersza poleceń. Najczęściej uży wane komendy w tekstowych klientach ftp to: •
cd — zmiana katalogu zdalnego,
• l c d — zmiana katalogu lokalnego, •
d i r — wyświetla zawartość bieżącego katalogu,
•
m kd ir — tworzy katalog na serwerze,
• g e t — pobiera wybrany plik na dysk lokalny, • p u t — wysyła na serwer plik z dysku lokalnego, • pwd — wyświetla nazwę bieżącego katalogu na serwerze, •
a s c i i — zmienia tryb transmisji na znakowy — wykorzystywany przy kopiowaniu plików tekstowych,
•
b i n a r y — zmienia tryb transmisji na binarny — zalecany dla plików innych niż tekstowe,
• by e — zamyka połączenie z serwerem. Pliki pobierane z serwera są zapisywane do katalogu, z którego został uruchomiony klient FTP. W internecie jest dostępnych wiele programów — klientów FTP, które ułatwiają korzy stanie z udostępnianych zasobów. Jednym z nich jest program WinSCP (www.winscp. net). Aby połączyć się z serwerem FTP, należy skonfigurować połączenie do serwera. Po uruchomieniu programu wystarczy podać adres serwera, nazwę użytkownika oraz hasło i wybrać rodzaj protokołu — FTP dla połączeń nieszyfrowanych lub SFTP dla połączeń
szyfrowanych (rysunek 6.190). Parametry te mogą być zapisane w celu późniejszego wykorzystywania. Po wprowadzeniu danych i wybraniu przycisku Logow anie pojawi się ekran zawierający dwa panele — w jednym znajdują się zasoby lokalne, w drugim zasoby udostępnione na serwerze. Rysunek 6.190. P ro g ra m W in S C P — klie n t FTP
Sesja Zachowane sesie środowisko Katalogi Preferencje
Sesja
Narwahnda 1SK.1S8.18.1 Narwa użytkownika
Protokół Protokół ciku:
FTP
*
Ber szyfrowania
Opcje zaawansowane Za**«.
Operacje na plikach są przeprowadzane za pomocą klawiszy funkcyjnych. Kopiowanie, przenoszenie plików, zakładanie katalogów jest możliwe zarówno na dysku lokalnym, jak i na serwerze (w zależności od praw dostępu). Najważniejsze skróty klawiszowe programu WinSCP zostały przedstawione poniżej: F3 — zapewnia podgląd podświetlonego pliku. F4 — pozwala na edycję podświetlonego pliku. F5 — pozwala na kopiowanie podświetlonego pliku lub wielu plików zaznaczonych za pomocą klawisza Insert z katalogu wyświetlanego w jednym panelu do katalogu, który jest wyświetlany w drugim panelu. F6 — przenosi pliki lub zmienia ich nazwy. F 7 — tworzy katalog w katalogu bieżącym. F8 — usuwa plik lub katalog. ĆWICZENIA
1 . Utwórz w usłudze katalogowej nową grupę o nazwie FTP, dodaj do tej grupy dwóch użytkowników ftp _ l i ftp_2. 2 . Utwórz folder FTP, który będzie miejscem publikacji plików. 3 . Utwórz w folderze FTP katalogi i zdefiniuj dla nich następujące uprawnienia: a . ftp _ l — pełny dostęp ma tylko użytkownik ft p _ ly b.
ftp_2
—
pełny dostęp ma tylko użytkownik ftp_2,
c . sterowniki — prawa do odczytu mają obaj użytkownicy.
ÉjͧK3 p 1 . Co to jest usługa FTP? 2 . Na jakim porcie jest aktywna usługa FTP? 3 . Wymień programy, które umożliwią połączenie z serwerem FTP. 4 . Jakie polecenie pozwala połączyć się z serwerem FTP z konsoli?
6 .7.3 . S e rw e r p o c z to w y Jest to usługa, która nie jest instalowana jako dodatkowa rola, ale jako oddzielny pro gram. Gdy planuje się utworzenie serwera dla wąskiej grupy użytkowników, można skorzystać z bezpłatnego oprogramowania, takiego jak MailEnable (www.mailenable. com ). Program oprócz hostingu skrzynek użytkowników dostępnych poprzez protokół POP3 i SMTP oferuje także webmail wykonany w technologii .NET. Dostępnych jest też wiele innych funkcji administracyjnych związanych z doręczaniem e-maili, autoryzacją użytkowników oraz funkcjonowaniem serwera. Administracja jest bardzo wygodna i przebiega z poziomu konsoli MMC, a na uwagę zasługuje to, że MailEnable potrafi uwierzytelniać użytkowników z wykorzystaniem Active Directory. Aby zainstalować usługę, należy pobrać program, a następnie dokonać instalacji, tak jak w poniższych krokach: 1.
W pierwszym kroku wyświetla się informacja o usłudze, którą zamierzamy zainsta lować (rysunek 6.191).
Rysunek 6.191. K re a to r instalacji u s łu g M a ilE n a ble
Welcome to the MaEnable Setup oroqiam. This program wil install MaiEnablc Messaging Services lot Micros«« Windows Ib.W) on your computer.
WARNING: This program is protected by copyright law and international treaties I Inauthnri7er1 reprnriirtmn nr rtetnhuhnn ut tin pruyrem, w arry puitiuri ut it, may result irt severe uvi and criminal penalties, and w l be prosecuted to the maximum extent possible under law.
|| ~Fjexl> ' jj
2.
ranee!
|
W następnym oknie należy podać nazwę użytkownika oraz firmy, na którą program będzie zarejestrowany (rysunek 6.192). W dalszej kolejności są wyświetlane warunki korzystania z oprogramowania.
Rysunek 6.192. Insta la cja usłu g i
3.
Kolejne okno (rysunek 6.193) wymaga wybrania komponentu do instalacji — Web Mail Service, a następnie należy wskazać folder do instalacji oprogramowania oraz nazwę gmpy w menu Start, w której oprogramowanie będzie dostępne.
Rysunek 6.193. W ybór in s ta lo w a n ych u słu g
Select Components In the options to below, select the checkboxes lor the options that you wotid like to have installed The disk space fields relied the requirements of the options you have selected f j Weh Mat Service (Serve(J
Ml VM k
Disk Space Heqined Disk Space Remaining
< Rack
4.
| |f He*1>
il
Cancel
J
Kolejnym elementem, który należy skonfigurować, jest nazwa serwera oraz hasło (rysunek 6.194).
Rysunek 6.194. N a d a n ie n a zw y i h a sła d la instalo w an e j u słu g i
X] MailEnable requites at least one Post Office to deiver mail to and horn. You typically configure one Post Office foi each company that you are hosting mail for. Because this is the first Post Office you aie registering under MailEnable, it should be something that represents you company or business unit name. You wfl also need to supply a password for the Postmaster mailbox tor the Post Ultfice. Post Office Name:
[jjj
Password:
p
Note: The Post Office name should typically be lees than 20 characters and should not contain spaces or any of these characters : [] * ?/
195p
5.
Podczas instalacji należy skonfigurować serwer SMTP (protokół komunikacyjny opisujący sposób przekazywania poczty elektronicznej w internecie) dla urucha mianej usługi (rysunek 6.195).
Rysunek 6.195. K o n figu ra cja s e rw e ra SM TP
Please enter the domain
ie of this host (eg: mydomainname.com).
Domain Name:
Please enter the SMTP listen port (default should be 25): SMTP Port:
[S "
Note: Before you can receive messages from the Internet to domains defined under MailEnable, they need to be registered with Moil Exchanger (MX) Records in your publishing DNS
Administracja przebiega z poziomu konsoli MMC (rysunek 6.196). Program MailEnable potrafi uwierzytelniać użytkowników z wykorzystaniem usługi katalogowej, co bardzo ułatwia administrację. Rysunek 6.196. K onsola d o z a rz ą d z a n ia u s łu g ą
Program pozwala m.in. na tworzenie wielu domen w ramach jednego serwera pocz towego (opcja Create dom ain ), tworzenie skrzynek pocztowych (Create M ailbox), grup użytkowników (Create a Group), import użytkowników (Im port Users) czy ustawienie ograniczeń dyskowych dla skrzynek (Set Quota). Aby założyć skrzynkę mailową dla użytkownika, należy kliknąć prawym przyciskiem myszy M ailboxes i wybrać opcję N ew M ailbox (rysunek 6.197).
Rysunek 6.197. T w o rzen ie now ej skrzyn ki p o czto w e j
P~ M ailEnableAdm in - [M ailE nabie M a n a g e m e n t\M e s s a g in g Manage File
Action
View
Favorites
W indow
Help
I a[ S I 0 | S
<3
[jy l MailEnabie M anagem ent
Filter:
E l 1ËP! Messaging M anager B
Mailbox
Post Offices
B (P helion q
Postmaster
Domains
E l Q } Groups E l [=] Lists Bad Mail
N ew M ailbox... View
►
N ew W indow from H ere
E j i Quarantine
B jJ J Servers B
Refresh
fj
localhost
E
£Ś1 System
El
Help
Services am d Connectors
Pojawi się okno, w którym zostaniemy poproszeni o podanie loginu oraz hasła do skrzynki pocztowej (rysunek 6.198).
Rysunek 6.198. K o n fig u ro w a n ie skrzyn ki p o czto w e j
Po zatwierdzeniu konfiguracji zostanie utworzone konto. Teraz już tylko trzeba zainstalo wać klienta pocztowego, który umożliwi nam wysyłanie i odbieranie maili. Dostępnych jest wiele klientów, program wykorzystany w przykładzie to Mozilla Thunderbird 17.0.6, który można pobrać ze strony http://www.mozilla.org/pl/thunderbird. Po zainstalowaniu klienta należy skonfigurować nową pocztę, podając nazwę właściciela konta pocztowego, adres e-mail oraz adresy serwerów SMTP i POP3 (rysunek 6.199).
197p
xj Imię i nazwisko: |Barbara Halska Adres e-mai: |bhalskaigheion.local IJosio: | ••••••»• I*' Zapamiętaj hasto
Konfigiłacja znaleziona poprzez odpytywanie typowych adreców serwerów
Serwer poczty przychodzącej:
POP3, helion.tocal, Bez szyfrowania
Serwer poczty wychodzącej:
SMTP, heBon.tocal, Bez szyfrowania
Narwa użytkownika:
bhaiska
Nowy adres e-mail | Konfiguracja zaawansowana |
Gotowe
|
Anuluj
|
Rysunek 6.199. K o n fig u ra cja klie n ta p o c z to w e g o
ĆWICZENIA
1 . Zainstaluj serwer pocztowy i skonfiguruj go. 2 . Skonfiguruj konta dla użytkowników. 3 . Zainstaluj klienta pocztowego na stacjach roboczych.
PYTANIA
1 . Omów protokół SMTP, POP3. 2 . Wymień port dla usługi SMTP.
(L 8 . B ezpie czeń stw o 6.8.1. U p ra w n ie n ia Uprawnienia określają, czy dany użytkownik ma dostęp do określonego obiektu i co może z nim zrobić (rysunek 6.200).
Rysunek 6.200. U p ra w n ie n ia
*]
U Permissions for {61738644-F196 11D0-9953-00C04 Security | Group or user names: 1 5 * CREATOR OWNER
15 * SYSTEM Ł,
1
Add... Permissions for Administrators
Remove
Allow
Deny
El □ □
□ □ □
Full Control Read Special pemiissions
For special permissions or advanced settings, dick Advanced.
|
Advanced ----- ---------------
Learn about access control and permissions Cancel
|
Uprawnienia do zasobów kontrolują dostęp użytkowników do folderów oraz zawartych w nich plików i podfolderów. Mogą być one nadawane lub odbierane pojedynczym użytkownikom oraz grupom użytkowników. Ich wykaz zawierają tabele 6.5 oraz 6. 6. Tabela 6.5. U p ra w n ie n ia N TFS d o fo ld e ró w
Uprawnienie
Możliwości
Wyświetlanie zawartości fol deru (List Folder Contents)
Widok nazw plików i podfolderów w folderze.
Odczyt (Read)
Widok plików i podfolderów w folderze oraz przeglądanie własności, uprawnień i atrybutów folderu (Tylko do odczytu (Read-only), Ukryty (Hidden), Archiwalny (Archive), Systemo wy (System)).
Odczyt i wykonywanie (Read Sc Execute)
Przechodzenie przez foldery prowadzące do plików i folde rów, nawet przy braku uprawnień do folderów, przez które się przechodzi. Wykonywanie działań, na które zezwalają uprawnienia odczytu i wyświetlanie zawartości folderu.
Zapis (Write)
Tworzenie nowych plików i podfolderów w folderze, zmiana atrybutów folderu oraz przeglądanie własności i uprawnień do folderu.
Modyfikacja (Modify)
Usuwanie folderu, wykonywanie działań, na które zezwalają uprawnienia zapisu, odczytu i wykonywania.
Pełna kontrola (Full Control)
Zmiana uprawnień, przejmowanie na własność oraz usuwa nie podfolderów i plików, wykonywanie działań, na które zezwalają pozostałe uprawnienia NTFS do folderów.
Uprawnienia NTFS do plików kontrolują dostęp użytkowników do plików. T a b e la 6 .6 . U p ra w n ie n ia NTFS d o p likó w
Uprawnienie
Możliwości
Odczyt {Read)
Odczyt pliku oraz przeglądanie jego własności, uprawnień i atrybutów.
Odczyt i wykonywanie {Read 8c Execute)
Uruchamianie aplikacji, wykonywanie działań, na które zezwala uprawnienie odczytu.
Zapis {Write)
Zastępowanie („nadpisywanie”) pliku, zmiana jego atrybu tów oraz przeglądanie własności i uprawnień do niego.
Modyfikacja {Modify)
Modyfikacja i usuwanie pliku, wykonywanie działań, na które zezwalają uprawnienia zapisu, odczytu i wykonywa nia.
Pełna kontrola {Full Control)
Zmiana uprawnień i przejmowanie na własność, wykonywa nie działań, na które zezwalają pozostałe uprawnienia NTFS do plików.
Aby zmienić uprawnienia dla wybranego pliku lub folderu, należy kliknąć jego ikonę prawym przyciskiem myszy, a następnie z menu kontekstowego wybrać opcję W łaści wości. Na zakładce Zabezpieczenia (rysunek 6.201) wyświetlane są dwie sekcje: Nazwy grupy lub użytkownika oraz Uprawnienia dla (tutaj pojawia się nazwa wskazanego użyt kownika). W pierwszej części okna wybierany jest użytkownik lub grupa użytkowników, w drugiej wyświetlane są jego (ich) prawa. System umożliwia dodawanie użytkowników do listy oraz nadawanie lub odbieranie im konkretnych praw. Możliwość nadawania lub zabraniania dostępu do zasobów mają ich właściciele, czyli osoby, które dany plik lub folder utworzyły, wszyscy członkowie grupy Administratorzy oraz inni użytkownicy, którzy otrzymali do niego uprawnienie specjalne M odyfikacja lub uprawnienie Pełna kontrola. Aby nadać prawa użytkownikowi, który wcześniej ich nie miał, na zakładce Z abez pieczenia należy wybrać przycisk D odaj, a następnie wpisać nazwę tego użytkownika. Aby wprowadzić więcej niż jeden wpis, wystarczy je tylko oddzielić średnikami. Aby sprawdzić poprawność nazw, należy wybrać przycisk Sprawdź nazwy.
S u m o w a n ie u p ra w n ie ń System NTFS sumuje nadane uprawnienia. Członek dwóch grup, z których jedna ma przypisane uprawnienie Odczyt, a druga Zapis, może zarówno czytać, jak i zapisywać dane Wyjątkiem jest prawo odmowy — nadpisuje ono inne uprawnienia. Jeśli grupa, do której należy użytkownik, lub jego konto mają ustawioną odmowę dostępu, sta je się ona efektywna nawet wtedy, gdy użytkownik jest członkiem grup, które dane uprawnienie mają.
Rysunek 6.201. N a d a w a n ie u p ra w n ie ń NTFS
E s a z s
-u^j
Oqółne | Udostępnianie Zabezpieczenia | Dostosowywanie | Nazwy grupy lub użytkownika: (J2 Admristratorzy (SZKOLA\Administratorzy) Klasal (SZKOLAkKIasal) { £ SYSTEM fJJ TWÓRCA-WŁAŚDCIEL jJJ Użytkownicy (SZKOLA\Użytkownicy) i
Dodaj...
Jptawniema dla klasal
|
Usuń
Zezwala]
Udmów
|
n
□
Zapis i wykonanie
□ □
□ □
Wyświetlanie zawartości folderu Odczyt
E E
□ □
-I
Zapis
□
□
^
Pełna kontrola Modyfikacja
Kliknij przycisk Zaawansowane, aby przejść do specjalnych uprawnień lub ustawień zaawansowanych.
OK
|
-±
Zaawansowane I
Anuluj
Zastosuj
D z ie d z ic z e n ie u p ra w n ie ń Ważną cechą systemu uprawnień jest ich dziedziczenie (rysunek 6.202). Uprawnienia przypisywane do folderu nadrzędnego (rodzicielskiego) są domyślnie dziedziczone i rozprzestrzeniane na podfoldery i pliki zawarte w tym folderze. Rysunek 6.202. Z a a w a n s o w a n e u sta w ie n ia z a b e z p ie c z e ń
Uprawnienia j Inspekcja | Właściciel | Czynne uprawnienia | Aby wyświetlić więcej informacji no temat uprawnień specjalnych, zaznacz wpis uprawnienia, a następnie kliknij pizycisk Edytuj. Wpisy uprawnienia Typ | 7e7wa Zezwa... Zezwa... Zezwa... Zezwa... Zezwa.. Zezwa...
Mozwa | Uprawnienie Administratorzy (S7K Pełna knnhnla Klasal (SZKOLASKIa... Zapis i wykonanie Administratorzy (SZK... Peina kontrola SYSTEM Petna kontrola TWÓRCA-WŁAŚCICL Pełna kontrola Użytkownicy (SZKOL... Specjakty Użytkownicy (SZKOI_ Zapis i wykonanie
Dodaj..
| |[_
Cdytu|.,
;|
Odziedziczono po | Zastosuj do
Usui
^ Zezwalai na propaqowanie dziedziczonych uprawnień z obiektu nadrzedneoo do teao obiektu i wszystkich obiektów podrzędnych. Uwzględną je razem z wpisami tutaj zdefiniowanymi. |— Zamień wpisy uprawnienia na wszystkich obiektach podrzędnych na wpisy tutaj pokazane, stosowane do obiektów podrzędnych
Dowiedz się więcej o kontroli dosteou.
OK
|
Anuluj
|
Zas-tosu
Aby zapobiec dziedziczeniu uprawnień do wybranego folderu, trzeba usunąć zaznaczenie odpowiedniej opcji w oknie Z aaw ansow ane ustawienia zabezpieczeń.
201 3
W celu wyświetlenia okna Z aaw ansow ane ustawienia zabezpieczeń należy wybrać opcję W łaściw ości z menu kontekstowego wybranego folderu, a następnie w wyświetlonym oknie przejść do zakładki Z abezpieczenia i wybrać przycisk Zaawansowane. Okno to składa się z czterech zakładek. Pierwsza z nich — Uprawnienia — pozwala na przegląd i zmianę uprawnień specjalnych. W zakładce tej znajduje się opcja Zezwalaj na propagowanie dziedziczonych uprawnień z obiektu nadrzędnego do tego obiektu i wszystkich obiektów podrzędnych. Uwzględnij je razem z wpisami tutaj zdefiniowanymi. Po usunięciu zaznaczenia tej opcji dziedziczenie uprawnień do podfolderów zostanie wstrzymane. Specjalne uprawnienia obejmują następujące opcje: •
Przechodzenie przez folder [W ykonanie pliku,
•
Odczyt atrybutów,
•
Odczyt atrybutów rozszerzonych (m.in. atrybutów kompresji i szyfrowania),
•
Tworzenie plików/Zapis danych,
•
Tworzenie folderów /D ołączanie danych,
•
Zapis atrybutów,
•
Zapis rozszerzonych atrybutów,
•
Usuwanie podfolderów i plików ,
•
Usuwanie,
•
Odczyt uprawnień,
•
Z m iana uprawnień,
•
Przejęcie na w łasność,
•
Synchronizacja.
Zakładka Inspekcja pozwala ustalić, jakie zdarzenia związane z wybranym obiektem mają być zapisywane w dzienniku systemowym, czyli podlegać inspekcji. Zakładka W łaściciel pozwala na przypisanie właściciela danego zasobu, na zakładce Czynne uprawnienia istnieje możliwość sprawdzenia, jakie uprawnienia ma wybrany użytkownik po uwzględnieniu sumowania i dziedziczenia. Należy pamiętać, że odmówienie danego prawa jest ważniejsze niż jego posiadanie. Od mówienie prawa nadpisuje wszystkie uprawnienia, zarówno jawne, jak i dziedziczone.
6 .8 .2 . S z y fro w a n ie S z y fro w a n ie EFS System szyfrowania plików EFS (ang. Encrypting File System) pozwała bezpiecznie prze chowywać dane. System EFS chroni dane, szyfrując je w wybranych plikach i folderach systemu plików NTFS.
Szyfrowanie plików można scharakteryzować następująco: •
Każdy plik ma unikatowy klucz szyfrowania pliku, który jest później wykorzysty wany do jego odszyfrowywania.
•
Klucz szyfrowania pliku jest również zaszyfrowany — jest chroniony przez klucz publiczny odpowiadający certyfikatowi użytkownika w systemie EFS.
•
Klucz szyfrowania pliku jest chroniony także przez klucz publiczny każdego dodat kowego użytkownika systemu EFS, który został upoważniony do odszyfrowywania pliku, oraz każdego agenta odzyskiwania.
Odszyfrowywanie plików można scharakteryzować następująco: •
Aby odszyfrować plik, należy wcześniej odszyfrować klucz szyfrowania pliku. Klucz szyfrowania pliku jest odszyfrowywany, jeśli użytkownik ma klucz prywatny, który pasuje do klucza publicznego.
•
Oryginalny użytkownik może nie być jedyną osobą uprawnioną do odszyfrowy wania klucza szyfrowania pliku. Mogą go również odszyfrowywać inni wyznaczeni użytkownicy lub agenci odzyskiwania za pomocą własnych kluczy prywatnych.
Aby zaszyfrować folder lub plik, należy kliknąć prawym przyciskiem myszy jego ikonę, wybrać Właściwości, następnie na karcie Ogólne wybrać przycisk Zaawansowane i zazna czyć opcję Szyfruj zaw artość, aby zabezpieczyć dane. Przy szyfrowaniu folderu wyświet lone zostanie pytanie, czy szyfrowane mają być również podfoldery. Po zatwierdzeniu i poprawnym zaszyfrowaniu nazwa folderu zostanie wyświetlona czcionką w kolorze zielonym. Odszyfrowanie polega na usunięciu zaznaczenia wcześniej wskazanej opcji. System Windows 7 przed pierwszym uruchomieniem szyfrowania uruchamia kreator zarządzania certyfikatami służącymi do szyfrowania plików (rysunek 6.203). Rysunek 6.203. S zyfro w an ie plikó w w W in d o w s 7
s
( • System szyfrowenia plików
Zarzgdzaj certyfikatami szyfrowania plików Aby zaszyfrować pliki w celu dodatkowego zabezpieczenia należy mieć certyfikat szyfrowania i skojarzony z nim klucz odszyfrowywania na komputerze lub na karcie irilHlicjHrihiHj Ni« można uzyskać dostępu do zaszyfrowanych plików baz lago certyfikatu i klucza. Ten kreator służy do: - Wybrania lub utworzenia certyfikatu szyfrowania plików i klucza. - Wykonania kopii zapaoowoi certyfikatu i klucza w colu umknięcia utraty dostępu do zaszyfrowanych plików. • Ustawienia systemu szyfrowania plików w celu używania karty inteligentnej. - Zaktualizowania poprzednio zaszyfrowanych plikóww celu używania innego certyfikatu i klucza.
Cu .lujittal .sys.iHt.il szyfuiwaiLidp.liKów?
j
Ualej
| | Anuluj 1
203 3
Po wygenerowaniu certyfikatu dla użytkownika możemy zrobić jego kopię zapasową. Aby tego dokonać, należy w panelu sterowania wybrać narzędzie Opcje internetowe, a następnie zakładkę Zaw artość (rysunek 6.204). Wówczas będziemy mieli dostęp do certyfikatów (rysunek 6.205) nie tylko załogowanego użytkownika, ale również pozo stałych certyfikatów, np. sterowników. Rysunek 6.204. O p c je inte rn e to w e — z a k ła d k a Z a w a rto ś ć
Rysunek 6.205. C ertyfikaty
Zamierzony cel:
[
le ocofey | Poiredne urzędy certyffeao j Zaufane ołowne crzedYcertyfikac* ' Wystawiony cfc -„.'bhakfca
Wystawionycrzez
bhato
| Immlią... | | Ftayntuj-.. ) |
|
Datawyg... Przyjaznona
21120+01
| la n m m m
Zamierzone celecertyfikatu Systemszyfrowano otków k Wyświetl J Dowedzse mew o certyfikatach
'
zan*rvj
W tym miejscu możemy wyeksportować certyfikat, co pozwoli nam na odzyskanie da nych, gdyby certyfikat został usunięty z komputera. W celu wyeksportowania certyfikatu należy wybrać opcję Eksportuj. Zostanie uruchomiony kreator eksportu certyfikatów.
W pierwszym oknie kreatora jedynie klikamy Dalej. Dopiero w kolejnym oknie (rysunek 6.206) musimy zdecydować, czy chcemy wyeksportować tylko certyfikat, czy również klucz prywatny dla załogowanego użytkownika. Należy wybrać opcję Tak, eksportuj klucz prywatny. Rysunek 6.206. E ks p o rto w a n ie k lu c z a p ry w a tn e g o
More» wybraćeksport Huczą orywatneoo rajem z certyfikatem.
o Tak, eksportu) kkiczprywatny lic eksportu] kluczaprywatnego
Dowiedz oę więcej o e-gportows-.u .kjezy prywatnych
i < wstecz ||
Uałci >
Przechodzimy do kolejnego okna kreatora (rysunek 6.207), w którym wybieramy roz szerzenie dla tworzonego pliku, jak również to, czy ma być usunięty klucz, gdy eksport zostanie wykonany poprawnie, oraz czy należy dołączyć wszystkie certyfikaty oraz szczegółowe informacje. Dla bezpieczeństwa należy wybrać wszystkie dostępne opcje. Rysunek 6.207. F o rm a t p liku e ksp o rtu
ł ł Kiratm eksportu crrlyfikrlńi* certyfikaty moga być eksportowane w wieluróanych fermatathpików.
Wybierz Fermat, którego chceszużyć CertytatX. 509szyfrowanyWnamtealgorytmemCS? (CER) Certyfikat X.M» szyfrowanyalgorytmemBace-te (.LfcK) Standard składni ywadomośaHyptooraficznyih - certyfikaty WŁT> tr/(MAQ I i V/t4 jest lomnUnr, dolgi f ws/ysllur* intyOuily do u**rkiin yflb«ji
1
»12
o wymiana mfermacyonbłtydi - PKCS (.W-X) 171Wifi jrd toinojfcm*. doigra wsryslkw- tntyfikoly dośrindarrtlyfibii; ¡7 usuń Huczprywatny, jezel ekspert został zakończony pomyślne E tksporBjj wszystfoe wtaćowoea rozszerzone Magazyn certytkatbw seryjnych frmy Mkrosott (.SST) Dowiedz oę więcej o fermatach pików- certyfikatów
; < wstecz ||
Dalci>
| f
W kolejnym oknie kreatora (rysunek 6.208) jesteśmy proszeni o wprowadzenie hasła, które będzie dodatkowo zabezpieczać nasz klucz, by nikt z niego nie skorzystał w celu odszyfrowania zasobów.
205 3
Rysunek 6.208. W p ro w a d z a n ie hasta
Kreator eksportu certyfikatów
Aby zapewnić bezpieczeństwo, musisz zabezpieczyć Iduez prywatny za pomocą hasb.
Wpisz i potwierdź hasto. I lasto;
1
'.'.'picz i potwierdź hacto (obowiązkowe):
I < w stea
|
- alej >
(
Anulu]
|
Po nadaniu hasła jesteśmy proszeni o podanie nazwy oraz miejsca przechowywania klucza (rysunek 6.209). Rzecz jasna nie powinna to być partycja systemowa. Dla bezpie czeństwa warto go umieścić na dodatkowych nośnikach pamięci, dysku zewnętrznym, serwerze plików przechowujących dane w „chmurze”. Rysunek 6.209. E ksp o rt pliku
Kreator eksportu certyfikatów
| Przeglądaj...
< wstecz
|
Dalej >
Anuluj
Ostatnie okno kreatora wyświetla podsumowanie ustawień dotyczących eksportu klucza. Jeżeli wszystkie informacje w nim zawarta są poprawne, należy zakończyć działanie kreatora. Gdy wszystko jest poprawnie, pojawia się komunikat potwierdzający to (ry sunek 6.210). Rysunek 6.210. P o tw ie rd ze nie e kspo rtu k lucza
^
Kreator eksportu certyfikatów
| - ż 3 m|
Eksport zakończył się pomyślnie.
Natomiast jeżeli chcemy odzyskać certyfikat, który został usunięty, należy uruchomić kreator przywracania klucza. Wystarczy dwukrotnie kliknąć wyeksportowany klucz. Pojawi się kreator importu klucza (rysunek 6.211). W kolejnym oknie kreatora wybie ramy plik, który chcemy zaimportować. Rysunek 6 .2 1 1 . Im p o rt pliku
Kreator importu certyfikatów
Wybierz pik, który chcesz zaimportować.
Uwaga: używając następujących formatów, można przechować wiecej niż jeden c w pojedynczym pHai: Wymiana informacji osobistych- PKCS (,PFX,.P12)
#12
Standard składni wladomośa kryptograficznych - certyfikaty PKCS #7 (.P7B) Magazyn certyfikatów seryjnych firmy Microsoft i.SSTł
Dowiedz się więcej o formatach olików certyfikatów
Gdy plik zostanie już wybrany, należy podać hasło (rysunek 6.212), które zostało wpro wadzone podczas eksportu klucza. Jeżeli jest poprawne, przechodzimy do następnego okna, w którym należy określić magazyn dla tego klucza (rysunek 6.213). Możemy skorzystać z domyślnego położenia lub samodzielnie zdecydować, w którym miejscu chcemy umieścić klucz. Ostatnie okno kreatora (rysunek 6.214) wyświetla podsumowanie konfiguracji. Gdy ją potwierdzimy i jeśli wszystko zostało poprawnie skonfigurowane, otrzymamy potwier dzenie wyeksportowania certyfikatu (rysunek 6.215).
2 0 0
im ¡mfHulu cmtyfikotin*
WuAi ¿dtÄv.riieiid b«4ieuealw« Iducz V ywetriy/ » l diiüiHjny lüstern.
wktóiydi przedtt/wywane i
Wpisz haste da kköa prywatnego. o automatycznie wybierzmagazyn certyfikatówna podstawie typucertyfikatu umiećc wszystkiecertyfikaty wnastępującymmagazyne wtocz 3*to ochronę kluczaprywatneoo. Wprzypadkuwybrania tci opct uzytkown* będzie informowanyo każdymuzyouHuczą prywatnego przez aplfeacje.
Z Dotocz wszy»#« wbdcrwosdrozszerzone Dowiedzsię więcej o ochrono Hugy prywatnych
Dowiedz się więcej o raoazyoaęhcertyfkatp.'.
«ED ( «*«
| < wstecz
Rysunek 6.212. H asto
j[
Dalci >
(
Rysunek 6.213. M a g a z y n c e rty fik a tó w
Kreator importu certyfikatów Kończenie pracy Kreatora importu certyfikatów Certyfikat zostanie zaimportowanypo Hłrłęou przycisku 7<*mi Wybrane zostałynactecuiace ustawena:
Rysunek 6.215. Im p o rt z o sta t p o m y ś ln ie u ko ń czo n y
|
Andui
Andui
]
Rysunek 6.214. K re ato r im p o rtu c e rty fik a tó w
ĆWICZENIA
1 . Utwórz folder o nazwie dan e, następnie zapisz wewnątrz niego plik dane.txt zawierający Twoje imię i nazwisko. Folder wraz z zawartością zaszyfruj. 2 . Zaloguj się na inne konto i spróbuj odczytać pliki. 3 . Spróbuj odszyfrować folder. 4 . Spróbuj skopiować niezaszyfrowane pliki do zaszyfrowanego folderu. Czy są zaszyfrowane?
)
ĆWICZENIA c ią g d alszy
5 . Spróbuj skopiować zaszyfrowany folder na tej samej partycji NTFS. Czy jest zaszyfrowany? 6 . Spróbuj skopiować zaszyfrowany folder na inną partycję NTFS. Czy jest zaszyfrowany? 7 . Spróbuj skopiować zaszyfrowany folder na partycję FAT32. Czy jest zaszy frowany?
8.
Spróbuj przenieść niezaszyfrowane pliki do zaszyfrowanego folderu. Czy są zaszyfrowane?
9 . Spróbuj przenieść zaszyfrowany folder na tej samej partycji NTFS. Czy jest zaszyfrowany? 1 0 . Spróbuj przenieść zaszyfrowany folder na inną partycję NTFS. Czy jest zaszyfrowany? 1 1 . Spróbuj przenieść zaszyfrowany folder na partycję FAT32. Czy jest zaszy frowany? 1 2 . Spróbuj zmienić nazwę zaszyfrowanego folderu. 1 3 . Spróbuj usunąć zaszyfrowany folder. 1 4 . Wyeksportuj klucz, skasuj go i po przelogowaniu sprawdź, czy możesz od czytać pliki na koncie, do którego należał klucz. 1 5 . Zaimportuj klucz i sprawdź, czy teraz możesz odczytać pliki.
A ppLocker AppLocker umożliwia tworzenie reguł zezwalających (lub nie) na uruchomienie aplikacji z wykorzystaniem unikalnych tożsamości plików, w celu wskazania użytkowników (albo grup), którzy mogą te aplikacje uruchamiać. Najważniejsze funkcje AppLocker: •
Kontrolowanie następujących typów aplikacji: plików wykonywalnych (.ex e,.com ), skryptów (./s, .p s i, .vbs, .cm d, .bat), plików Instalatora systemu Windows (.m si, .m sp) oraz plików DLL (.dli, .ocx).
•
Definiowanie reguł opartych na atrybutach plików pochodzących z podpisu cyfro wego, w tym wydawcy, nazwy produktu, nazwy pliku oraz jego wersji. Można na przykład utworzyć reguły na bazie atrybutu wydawcy, który pozostaje niezmienny we wszystkich aktualizacjach, lub utworzyć reguły dla określonej wersji pliku.
•
Przypisanie reguły do grupy zabezpieczeń lub do indywidualnego użytkownika.
•
Tworzenie wyjątków od reguł. Możliwe jest na przykład utworzenie reguły, która zezwala na uruchamianie wszystkich procesów systemu Windows z wyjątkiem Edytora rejestru (Regedit.exe).
209 3
•
Użycie trybu Audit-only do wdrażania zasad i zrozumienia ich wpływu przed ich wprowadzeniem ich w życie.
•
Importowanie i eksportowanie reguł. Importowanie i eksportowanie wpływa na wszystkie zasady. Jeśli na przykład eksportujemy zasadę, eksportowane są również wszystkie reguły z wszystkich zbiorów reguł, w tym ustawienia egzekwowania dla zbiorów reguł. Kiedy importujemy zasady, wszystkie kryteria w istniejących zasa dach zostają nadpisane.
^
Konsolo1 [Katalog glowny konsoliUasady Komputer totalny\Kontiguracja komputcroVUstawicnio systemu WmdowsMJstawienia zabeipiccicrtVasady s...
I b Plik
* +l
Akcio
0
Widok
Ulubione
Ukno
Poi
u@
Kauloq główny konsoli ■ ' Zasady Komputer lokalny j -A. Konfiguracja komputera i Ustawienia oprogromot j Zasady rozpoznawa Skrypty (uruchamia iigti Rozmieszczone druk a » Ustawienia zabczpie . .i 7««,ly knnla Zasady lokalne ] Zapora systemu _ Zasady menedze Zasady kluczy pi 3 Zasady ugmnii /
2
Applocker Importuj zasadę-,. ll/^iDdawn'i wyinn/aria tla ka/ik, ktJnkiy iniyil w rrki duxfigunmrrirt. c/y imyiły k] wymuszane, czypoddawane rapekcj. Jesi rac akonhgurowono wymuszana reguł, lapln tu«* wylliK/miR rksnyAln P
5
Wyczyść zasady Widok
Konhguu) wymuszanie reguł
p i Więcej rtomacf o wymuszaniu reguł
4
a H | AppLocker rf l Reguły d 31 Reguły d r j J Rnjuły ill ŚH Zasady zabezpie Konfiguracja zaa ,jy Ustawienia QoS opa
Eksportuj zasadę...
g ) Właściwości B
Pomoc
I Hcguky dla pików wykonywalnych Hoguły:
0
ij*: Regułyda fotdotora Windows
ll*l Rrsyilyrknskryptów Heauly: Me skonfigurowano wymuszana: reguły sq wymuszane
0
R y s u n e k 6 .2 1 6 . K o n fig u ra cja z a b e z p ie c z e ń A p p L o c k e r
AppLocker jest konfigurowany poprzez Group Policy. Aby umchomić interfejs konfigu racji AppLocker, należy umchomić konsolę mmc Edytor obiektów zasad dla komputera lokalnego. W sekcji Konfiguracja komputera należy rozwinąć węzeł Ustawienia systemu Windows, następnie Ustawienia zabezpieczeń, a na końcu Zasady sterowania aplikacjam i. W tym momencie pojawi się AppLocker (rysunek 6.216). WAŻNE
Sam o stworzenie roli nie spow oduje jeszcze jej natychm iastow ego zastosowania — nim nowe zasady zostaną w prow adzone, należy uruchom ić ustugę AppID Service. Bez tej usługi nie b ędą działały reguły zdefiniowane w AppLocker.
Aby aktywować tę usługę, należy umchomić konsolę Usługiy wpisując S e r v ic e s .msc w polu wyszukiwania w menu Start. Zaleca się, aby — zwłaszcza przy pierwszym kon takcie z AppLocker — umchamiać tę usługę manualnie.
B itL o c ker BitLocker jest systemem szyfrującym partycję systemową (domyślnie), ale za jego po mocą można także zaszyfrować każdą inną partycję z wyjątkiem partycji rozruchowej. Najważniejszą zaletą systemu BitLocker jest jednak to, że w całości zaszyfrowane zostają takie pliki systemowe, jak plik hibernacji, plik stronicowania oraz katalog W indows, Users i Program Files, włączając wszystkie katalogi tymczasowe. BitLocker może pracować w trzech trybach — w zależności od wymagań użytkownika co do poziomu bezpieczeństwa oraz technicznych możliwości komputera: •
Tryb bez dodatkowych kluczy — jest to tryb domyślny, w którym funkcja BitLocker szyfruje dane oraz genemje specjalne hasło odzyskiwania. Hasła tego można użyć w celu przywrócenia dostępu do dysku w momencie, gdy zostanie on zablokowany przez system BitLocker.
•
Tryb z numerem PIN — różni się od domyślnego jedynie wymogiem podania ustalonego przed zaszyfrowaniem danych numeru PIN. Jeśli użytkownik zapomni numer lub dostęp do dysku zostanie zablokowany z innych powodów, konieczne jest podanie hasła odzyskiwania.
•
Tryb z kluczem USB — najwyższy poziom bezpieczeństwa zapewnia tryb z ob sługą klucza USB, na którym jest zapisane hasło uruchomieniowe. Różni się ono jednak od hasła odzyskiwania. Przy każdym normalnym uruchomieniu komputera użytkownik zostaje poproszony o włożenie klucza USB w celu odczytania hasła uruchomieniowego. Zaleca się stosowanie kluczy kryptograficznych. W przypadku zgubienia nośnika USB jedyną możliwością uzyskania dostępu do danych jest po danie hasła odzyskiwania.
Rysunek 6.217. S zyfro w an ie B itL o cke r
S z y fro w a n ie d y s k ó w fu n k c ją B itL o c k e r — d y s k i t w a r d e _
C:
$
W łą c z fu n k c ję B itL o c k e r
W y łą c z o n e
S z y fro w a n ie d y s k ó w fu n k c ją B itL o c k e r — B itL o c k e r T o Go E:
W łą c z f u n k c ję B itL o c k e r
W y łą c z o n e
Aby zaszyfrować partycję systemową funkcją BitLocker, należy posiadać moduł zabez pieczający TPM, natomiast pozostałe partycje możemy już bez problemu szyfrować, używając narzędzia BitLocker To Go. W systemie Windows 7 wprowadzono nową funk cję, która umożliwia szyfrowanie nie tylko partycji, ale również przenośnych urządzeń magazynujących, takich jak dyski flash USB i zewnętrzne dyski twarde. Jeżeli posiadamy wersję Ultimate lub Enterprise, możemy przystąpić do szyfrowania partycji narzędziem BitLocker To Go. Najpierw musimy włączyć szyfrowanie na danej
211 o
partycji, klikając prawym przyciskiem myszy dysk (dysk zewnętrzny, pamięć flash) i wybierając opcję W łącz funkcję B itLocker (rysunek 6.218). Rysunek 6.218. W łą c z a n ie fu n kcji B itL o cker
Dysk Inkrilny (fi:)
Otwórz w nowym okn
U
dyl GRMCUU
Wł<<_i funkcję BitLockj Udoitcpnij Przywróć poprzednie wersje
Po włączeniu usługi uruchomi się kreator tworzenia klucza prywatnego dla szyfrowanego urządzenia, w którym musimy podać hasło do odzyskiwania danych lub skorzystać z karty inteligentnej (rysunek 6.219). Rysunek 6.219. W y b ó r sp o so b u o d b lo k o w y w a n ia u rz ą d z e n ia
'fc 5/yf.uwfinir dysków funkcji, Bill ni ket (fi:)
Wybierz ipu^ób udblukuwywdtiid teyo dysku [Fj Użyj hasła w celu odblokowania dysku
2
Hasło powinno awieraC wielkie i małe litery, cyfry, spacje i symbole. Wpisz hasło:
|
Wpisz hasło ponownie j ~ Uzyj mojej karty inteliqentnej. aby odblokować dysk Należywłożyć kortc inteligentne. Podczas odblokowywania dysku koniec
JakŁtiiżysłać / ijrt >■ i Anuluj_
Jeżeli wybraliśmy pierwszą opcję, a więc odblokowanie (odszyfrowanie) przez podanie hasła, w kolejnym kroku kreatora jesteśmy proszeni o wybranie sposobu przechowania klucza odzyskiwania. Do wyboru mamy możliwość wydruku lub zapisania klucza. Pa miętajmy, że nie powinniśmy go przechowywać w miejscu dostępnym dla wszystkich użytkowników (rysunek 6.220).
Rysunek 6.220. S p o s ó b p rz e c h o w y w a n ia k lu c z a o d z y s k iw a n ia
a jjg ^
y S/yfioiunir dysków funkcji) Bill acta (fŁJ Jak chcesz przechowywać klucz odzyskiwania? Jeśli upomnisz hasła lub utracisz kartę inteligentna, moiesz U2yć kim:za odzyskiwania, aby uzyskać dostęp 7*1n n się mpisW klucta ndryskiwan^i w pliku maijrgn wydmknw
: + Zapisz k lu a odzyskiwania w pliku
1
Drukuj klucz odzyskiwania
11
f i . tn irsl ..., .»l»ski.u..L.' Dale
Anuluj
Po wyborze sposobu przechowywania klucza następuje szyfrowanie urządzenia. Jeżeli wszystko przebiegnie bez problemów, otrzymamy potwierdzenie powodzenia operacji, zmieni się też oznaczenie urządzenia (rysunek 6.221). Rysunek 6.221. Z a s z y fro w a n y d ysk
Dysk lokalny (G:) 19,9 GB w olnych z 19,9 GB
p a m ię c i (2 )
Należy pamiętać, że funkcją BitLocker możemy szyfrować dyski tylko w wersji Ultimate i Enterprise, natomiast odszyfrowywać już w wersji Windows XP z SP3.
■
i II 111 II 1 . Zaszyfruj dane w folderze w systemie Windows XP oraz Windows 7. 2 . Wyeksportuj klucz. 3 . Zaszyfruj dane, wykorzystując BitLocker.
PYTANIA
1 . Co to jest EFS?
2 . Co to jest klucz? 3 . Omów usługę BitLocker. 4 . Omów usługę AppLocker.
213 3
6 .9 . C e ntralne zarządzanie stacja m i ro b o czym i/se rw e ra m i Zdalne zarządzanie klientami jest bardzo popularną formą pracy administratorów. Omówione w tej części podręcznika usługi pozwalają na podłączenie wirtualnego pulpitu, co umożliwia administratorom sieci lub zespołowi pomocy technicznej (ang. H elp Desk) wykonanie zdalnie czynności konserwacyjnych i naprawczych lub zmianę ustawień na komputerach użytkowników.
6.9.1. P u lpit z d a ln y W systemach Windows usługa podłączenia pulpitu zdalnego jest instalowana domyślnie z systemem operacyjnym. 1.
Aby możliwe było podłączanie do stacji przez pulpit zdalny, we właściwościach systemu w zakładce Zdalny (rysunek 6.222) należy włączyć możliwość łączenia się z danym komputerem zdalnie poprzez wskazanie określonej opcji połączeń — z dowolną wersją pulpitu zdalnego lub z komputerem, na którym jest uruchomiony zdalny pulpit z uwierzytelnianiem na poziomie sieci (system Windows 7 i wyższe). Można tutaj również zdefiniować, kto może łączyć się z naszym komputerem. Użyt kownicy z grupy Administratorzy m ają prawo łączyć się z usługą zdalnego pulpitu, użytkownicy z innych grup muszą zostać wskazani poprzez wybór opcji Wybierz użytkowników.
Rysunek 6.222. Z e z w o le n ie na p o d łą c z e n ie pulp itu z d a ln e g o
Włażriwnżri cyctemu Nazwa komputera j Spnę ] 7aawansnwane [ Obmna syaemii Zdoby Pomoc zdalna 'V Zezwalai na połączenia Pomocy rdobei z tymkomputerem
1
Co »o stanic oo wlaczcnu Pomocy zdalna
Zaawansowane... Pubit zdolny lOknij opcje, a nastecoe w razie pełrzeby określ, kto może sie leczyć.
7
Nmzezwalaj na poląn. «ea z tymkomputerem Zezwalą na polączena z komputerów z dowolną wei^ą PUpłu zdalnego Imosj bezpiecznej u Zezwala na wleczciid tyłku z kuiuuiżetun. no kluiydi Pulirt zdalnyjmi imnhnminny z ifwt«z>rehianl«n na pozwmie sera izaidziei bezpieczne) | Wyłaaz użytkgwnfcói»... [
Pomóż imwytyąę
I
2.
OK
| |
| | Zanom
|
Gdy chce się uzyskać dostęp do komputera spoza sieci lokalnej chronionej firewallem, należy pamiętać o odblokowaniu odpowiedniego portu na zaporze. Dla usługi Pulpit zdalny domyślnie jest to port 3389. Gdy korzysta się z wbudowanej Zapory systemu Windows, należy zezwolić na ruch przychodzący i wychodzący (rysunek 6.223).
Q 214
Rysunek 6.223. K o n figu ra cja z a p o ry s ys te m o w e j
Właściwości: Pulpit zdalny (ruch przychodzący TCP) Protokoły i porty Ogólne
|
©
Zokres | Zaawansowane Programy i usługi |
Użytkownicy Komputeiy
To jest wstępnie zdefiniowano reguła i nie można modyfikować ruektórycłi jej właściwości.
Ogólne Nazwa: Pulp! zdalny (ruch przychodzący TCP) Opis: Reguło ruchu przychodzącego do usługi Pulpł zdalny zezwalająca na ruch RDP. [TCP 3389]
•
[V] Włączono Akcja o Zezwalaj na połączenie Zezwalaj na połączenie, jeśli jest bezpieczne | Dnst Zablokuj połączenie
Dowiedz sie wiecei o tvch ustawieniach
|
3.
OK
] |
Anukj
|
Zastosuj
W celu uruchomienia zdalnego pulpitu należy uruchomić aplikację Podłączanie pulpitu zdalnego, która znajduje się w grupie Akcesoria (rysunek 6.224). W głów nym oknie aplikacji trzeba podać adres zdalnego komputera, do którego chcemy się podłączyć W celu ustawienia dodatkowych parametrów połączenia należy wybrać przycisk Opcje.
Rysunek 6.224. G łó w n e o k n o aplikacji P o d łą c z a n ie pulp itu z d a ln e g o
%]) Podłączanie p u lpitu zdalnego
1=
1 B
|-E 3 -|
Podłączanie
pulpitu zdalnego -r
Komputer: Nazwa użytkownika: WIN-LC0S5K3HP9T\Admlnistrator Podczas łaczenia zostanie wyświetlony monit o podanie poświadczeń. ▼ Opcje
4.
|
Podłącz
[
Pomoc
|
W kolejnych zakładkach definiujemy szczegóły połączenia, m.in. nazwę użytkow nika, konfigurację ekranu, współdziałanie zasobów lokalnych ze zdalnym kom puterem czy programy, które powinny być umchomione podczas sesji zdalnego pulpitu (rysunek 6.225).
215 0
Rysunek 6.225. K o n figu ra cja pulp itu z d a ln e g o
łr., Podłączanie pulpitu zdalnego
I
Podłączanie
pulpitu zdalnego Ogólne
Bgan | Zasoby lokaine | Programy | Wrażenia | Zaawansowane
I tóawienia logowania .
Wprowadź nazwę komputera zdolnego. Komputer Nazwa użytkownika: WIN-LC0S5K3HP9T'Alministrator Podczas łączenia zostanie wyświetlony monł o podanie poświadczeń Zezwalaj mi na zapisywanie poświadczeń
Ustawienia połączenia Zapisz ustawienia bieżącego połączenia w pliku RDP lub ( otwórz zapisane połączenie. Zapisz
|
Zapiszjako...
[
Podlać:
Otwórz...
|
Pomoc
Jeżeli chcemy się łączyć ze stacjami roboczymi z serwera, cała konfiguracja może zostać zapisana z wykorzystaniem GPO. Wszystkie stacje robocze muszą być podłączone do domeny, a więc mieć konto w jednostce organizacyjnej, dla której zostaną zdefiniowane odpowiednie zasady. 1 . Opcje związane ze zdalnym zarządzaniem mieszczą się w ustawieniach Konfigura cja kom putera/Zasady/Szablony administracyjne/Składniki systemu Windows/Usługi pulpitu zdalnego, gdzie można wprowadzić odpowiednie parametry. 2 . Z perspektywy udostępniania danych istotnym czynnikiem są ustawienia związane z bezpieczeństwem dostępu. Pierwsza z opcji, na którą należy zwrócić uwagę, to Zawsze monituj klienta o h asło po połączeniu — wymusza ona podawanie hasła przy korzystaniu ze zdalnego pulpitu.
6 .9 .2 . U ltraV N C UltraVNC (www.uvnc.com) to implementacja systemu przekazywania obrazu z gra ficznych środowisk pracy (ang. Virtual N etw ork Computing). Jest to program, który umożliwia podłączenie pulpitu na różnych platformach. Do funkcjonowania potrzebuje modułu Serwer instalowanego w systemie, który ma umożliwiać pracę zdalną, oraz modułu klienta do pobierania i wyświetlania danych. Program UltraVNC może pełnić zarówno rolę serwera, jak i klienta, pozwala również na udostępnianie danych przez przeglądarkę internetową z obsługą Javy. Po zainstalowaniu i uruchomieniu usługi na leży skonfigurować takie opcje serwera, jak porty wykorzystywane do połączenia oraz możliwość połączenia przez przeglądarkę (opcja Enable JavaViewer) (rysunek 6.226).
Rysunek 6.226. K o n figu ra cja p o rtó w V N C
Incoming Connections pÿl Accept Socket Connections Display Number or Ports to use: O Display 0
Ports
NB Main:
5900
Http:
5800
[y j Enable JavaViewer {Http Connect)
n Allow Loopback Connections [ H LoopbackOnly
1.
W celu zabezpieczenia połączenia należy zdefiniować hasło. Istnieje możliwość wy korzystania uwierzytelniania systemu Windows, w tym także przy użyciu domeny (rysunek 6.227).
Rysunek 6.227. U s ta w ie n ie h ase t V N C
Authentication VNC Password:
••••••••
View-Only Password:
••••••••
i n Require MS Logon (User/Pass./Domain) I I New MS Logon (supports multiple domains) |
2.
Configure MS Logon Groups
Gdy usługa zostanie już zainstalowana, do podglądu pulpitu wystarczy przeglądar ka internetowa. Trzeba w niej podać adres IP i port, na którym nasłuchuje usługa (rysunek 6.228).
Rysunek 6.228. D o s tę p d o se rw e ra U ltraV N C p rze z p rz e g lą d a rkę inte rn e to w ą
f Q [dell] c
O iq?.i 68 .1.1 oisann
| Options |__________| Record |__________
|______
|
~ : ; - |
V N C Authentication
6 .9 .3 . T e a m V ie w e r TeamViewer (www.teamviewer.pl) to narzędzie przeznaczone do zdalnego kontrolowa nia systemu przez sieć bez konieczności instalacji serwera/klienta na dysku twardym komputera. Połączenie między komputerami jest bezpieczne, gdyż program wykorzy stuje szyfrowanie RSA oraz AES. Do głównych zadań programu należy m.in. zdalne kontrolowanie komputerów i serwerów, przenoszenie plików pomiędzy komputerami, prowadzenie pokazów, prezentacji szkoleń czy też połączeń wideo. Do największych zalet programu należy bezproblemowa komunikacja przez internet, nawet z poziomu sieci prywatnych bez konieczności rekonfigurowania sieci czy przekierowania portów. Dodatkowo program może zostać uruchomiony bez instalacji (rysunek 6.229).
2 1 0
Rysunek 6.229. In s ta la c ja /u ru ch a m ia n ie p ro g ra m u wytnerz, czy chceszuzyskaćzdalnydostępdo tegokomputera pćir»e|. f i zaimtałul
TeamViewer zostane zainstalowany natymkomputerze.
r Wyświetl ustawwSazaswaaowaie
7.0.157Z3 |
Laiei >
|
Amiul
|
Przy instalacji należy wskazać rodzaj licencji (rysunek 6.230). Darmowa wersja do celów niekomercyjnych nie może być uruchamiana na systemie Windows Server. Rysunek 6.230. W y b ó r licencji
- r ix i
9
C rinetui poiinnyrh pnwyzei
|
1.
Mci > |
AnuM
|
Kolejny krok instalacji to akceptacja warunków licencji (rysunek 6.231).
Rysunek 6.231. A k c e p ta c ja w a ru n k ó w licencji
Umowa licencyjna Przed zainstalowaniem programu zapoznaj się z umową licencyjną TeamVbewer 7.
r> » j
Nartćnij Dn rinhi ahy przejść rln dalszej rzęśri iirmwy. TEAMVEWER® END-USERLICENSEAGREEMENT PŁEASECAREFULLY REVIEWTHEFOLLOWINGTERMSAND CONDITIONS OF THIS END IISFR IICFNSF AGPFFMFNT ("FI I A"). Thk FI IA is a legal agreement between ymiand TeamViewer Gmbl I C'TCAMVICWCR') for the licensing and use of the TeamViewer software, which includes TeamViewer, TeamViewer Manager, TeamViewer Web Connectof, TeamViewer Portable, TeamViewer MSI Package, TeamViewer for IPad®, iPhone® and Andrcrd®, computer software and applications ("SOFTWARE"). This EULA Jeśli zgadzasz się na warunki umowy licencyjnej, kłfni) Dalej aby przejść do ketejnego etapu. Aby zainstalować program, musisz zgodzić się na warunki umowy licencyjnej TeamViewer 7. W Akceptuję worunWumowy licencyjnej ry Przyjmuję do wiadomości i zgadzam się, ze będę korzystać z apttacji TeamViewer wylguui«; do cełiźwliehnneiLyiiyili i ««JywńJuokiyiJi.
< Wstecz
2.
|
Dalej >
|
Anuluj
|
Kolejny ekran programu instalacyjnego pozwala wybrać tryb instalacji (rysunek
Rysunek 6.232. Tryb instalacji
Wybici z liyb instalacji Wybierz, czy chcesz uzyskać dostęp do tero komputera póżniel.
a
Czy lI iicsz puźi iej uzyskać zdai ry duslęp du kuiąjulcia, na którym instalujesz prusyani <• Nip (itnmyżlnip) Możliwe jest nawiązywane połączeń wychodzących i przychodzących. Aby nawiązań połączenie przychodzące, musisz uruchomić Teamviewera i podać partnerowi wygcncrowonc losowo hasło (hasło to zmienia się przy każdym uruchomieniu TeamViMwerA). C Jak Po zakończeniu instalacji, skorzystaj z menedżera konfiguracji TcamVicwora po to, by mieć rtndęp rtn knmpufera w każdej rhwili i dnwnlnegn miejera. lećli cknrtigi iri ijec? hadn wstępnie zdefiisuwane, tanputai będzie dustępny nawet przed zaiuyuwai liemdu systemu Windows,
7
Uwaga: W każdej chwili możesz zmienić wybrane ustawienia,
3.
Następnie należy określić rodzaj dostępu: pełny dostęp automatycznie przyznawany zdalnemu użytkownikowi lub dostęp do poszczególnych działań na komputerze lokalnym potwierdzany przez użytkownika lokalnego (rysunek 6.233).
Rysunek 6.233. R odzaj d o s tę p u
9 Instalator programu TcamVicwcr 7
a
Kontrola dostępu Wybierz tryb kontroli dostępu
r* PcIny dostęp (zalecony) Pu udoLzeniu, Twój partner uzyska peiny duslęu du Twujeuu kumputera. ć~ Potwierdź wszystko M kk pnłwififdzać wszydkia ibidana prniyam i l aamvieww w krmfurerw
7
CWsrw-7 |
4.
l)ala)>
|
Amiip
j
W kolejnym kroku (rysunek 6.234) istnieje możliwość instalacji sterownika VPN programu TeamViewer. Pozwala on na tworzenie wirtualnej sieci prywatnej pomię dzy użytkownikami — nie jest on wymagany do korzystania ze zdalnego pulpitu.
Rysunek 6.234. Instalacja s te ro w n ika VPN
5.
Następnie należy wybrać katalog docelowy i instalacja zostaje zakończona.
219
q
Po instalacji i umchomieniu programu istnieje możliwość podłączenia do komputera zdalnego. W tym celu należy uzyskać identyfikator oraz hasło komputera zdalnego (Twój ID oraz H asło). Identyfikator zdalnego komputera należy podać w polu Identyfikator partnera w głównym oknie programu (rysunek 6.235). Po wybraniu opcji Połącz z part nerem pojawia się pytanie o hasło. Po podaniu poprawnego hasła zostaje wyświetlone okno z pulpitem zdalnego komputera. Rysunek 6.235. T e a m V ie w e r
im . - m m
¿J TedinVíwret Itrtaczcmc
Dodatki
l'ornée
Licencja bezpłama (ty*» do użytlai nefcomercyptego) -bh. Zdalne sterowanie
▼" M eeting
Zezwól na zdalne sterowanie Jesi ebeeszzezwotć na zdahe sterowanie.
à Zdalne sterowanie Komputerem Wprowadź identyfikator partnera aby komputerem. kłcntytikator partnera
ŁffW l.fc
595 470 033 3731
0
I
Transfer pŁu Połącz z partnerem
O Gotowy oo połączena (bezpaczna połączona)
Komputery i kontakty »
A4 ĆWICZENIA
1 . Połącz się pulpitem zdalnym ze stacją roboczą. 2 . Zainstaluj programy i dokonaj połączenia przy ich wykorzystaniu.
PYTANIA
1.
Co to jest pulpit zdalny?
6/10. M onitorow anie w system a ch W ind ow s Monitorowanie (ang. monitoring) to działania polegające na obserwowaniu systemu w celu jak najwcześniejszego wykrycia nieprawidłowości. Najczęściej monitoruje się systemy pod kątem bezpieczeństwa, ciągłości działania lub wydajności. Informacje na temat monitorowania urządzeń sieciowych oraz transmisji w sieci zostały opisane w podrozdziale 8.7 — „Monitoring sieci i urządzeń sieciowych”.
6 .10 .1. M e n e d ż e r z a d a ń W in d o w s
M e n e d ż e r z a d a ń (ang. task manager) jest narzędziem stużącym do m onitorowania w syste m ie W indow s. Z je g o p o m o c ą m o żem y s p ra w d zić u ru ch o m io n e a plika cje i działające procesy, ilość używanej i d ostępnej pam ięci RAM, obciążenie procesora, użycie łącza internetow ego oraz aktyw ności użytkowników.
Aby go uruchomić, po zalogowaniu się do systemu operacyjnego należy wybrać kom binację klawiszy Ctrl+Alt+Delete, a następnie opcję M enedżer zadań. Główne okno programu składa się z zakładek pozwalających monitorować różne parametry urucho mionego systemu (rysunek 6.236). Rysunek 6.236. M e n e d ż e r za d a ń W in d o w s
; * Menedżer zadań Windows Plik
Opcje
Widok
Okna
Pomoc
Aotócaoe j Procesy | Usługi | Wydajność | Sieć
| Użytkownicy
Zadanie
Stan
P zarządzenie -Wynłd wyszukiwania
Urudw... Urucho... Urucho... Urucho... Iln«rhn... Urudn... Urucho...
: Skype" -halskab rozdziały k£]rozdział -gotowy.doc [Tryb zgodność] - Micro.. PndrącznŁ ? mgniU»vw<*m: opikocji - Szukaj w Guuyle - Gwg.. U b a s a @WTF
6
7 7
akońc zartame
Procesy; 70
Procesor CPU: 61%
|
Przełącz ru
Pamięć fizyczna: 58%
Aplikacje to pierwsza zakładka, która informuje o uruchomionych programach oraz ich stanie. Zarządzanie aplikacjami jest możliwe poprzez menu kontekstowe (rysunek 6.237), które udostępnia między innymi polecenia: Rysunek 6.237. M e n u ko n te ksto w e
p™t,ez™ Przesuń na wierzch M in im alizuj Maksymalizuj Kaskadowo Sąsiadująco w poziom ie Sąsiadują co w pionie Zakończ zadanie Utwórz p lik zrzutu Przejdź do procesu
221 c
•
Przełącz na — pozwala na przełączenie użytkowania na wybraną aplikację i mini malizuje okno Menedżera zadań Windows,
•
Przesuń na wierzch — otwiera okno wybranej aplikacji,
•
Zakończ zadanie — pozwala na wyłączenie wybranego programu z poziomu systemu operacyjnego,
•
Przejdź d o procesu — przenosi do zakładki Procesy, w której jest zaznaczony proces odpowiadający wybranej aplikacji.
Zakładka Procesy (rysunek 6.238) wyświetla aktywne procesy wraz z dodatkowymi informacjami dotyczącymi: • N azw y obrazu, •
N azw y użytkownika,
•
procentowego wykorzystania procesora — Procesor CPU,
•
ilości pamięci przydzielonej poszczególnym procesom — Pamięć,
•
opisu procesu — Opis, opcja dostępna tylko w Windows 7 i Vista.
Rysunek 6.238. P ro cesy
Wybór kolumn w tabeli procesów jest możliwy w menu W idok po wybraniu opcji Wybierz kolumny. Opcje w menu kontekstowym (rysunek 6.239) pozwalają m.in. na zamknięcie procesu — Zakończ proces, zamknięcie procesu oraz wszystkich procesów potomnych — Zamknij drzewo procesów , przypisanie priorytetu — Ustaw priorytet oraz określenie procesora lub rdzenia, na którym zadanie ma być wykonywane — Ustaw koligację. Przypisanie wyższego priorytetu do danego procesu powoduje, że pracuje on szybciej kosztem pozostałych aplikacji.
Rysunek 6.239. M e n u ko n te ksto w e W in d o w s 7
Otwórz lokalizację pliku Zakończ proces Zamknij drzewo procesów Debuguj Wirtualizacja funkcji Kontrola konta użytkownika Utwórz plik zrzutu Ustaw priorytet
►
Ustaw koligację... Właściwości Przejdź do usług
Kolejna zakładka Menedżera zadań Windows — Usługi — wyświetla informacje na temat usług uruchomionych w systemie operacyjnym (rysunek 6.240). Na liście usług są wyświetlane następujące informacje: •
nazwa usługi — N azw a,
•
unikalny identyfikator procesu PID (ang. Process IDentifier) — PID,
•
opis usługi — Opis,
•
stan usługi (uruchomiona lub zatrzymana) — Stan,
•
grupa, do której należy usługa — Grupa.
Rysunek 6.240. U słu g i
Plik Opcjr Wiilnk Piirnw ApltocK [ Procesy , uskjgi Wydaireść | Sieć
5.»
ProtectedSt, NetlcpPort. licUogon r.eylco idsvc EPS AxInstSV WSearch WMPNetwo.. wnukpSrv
Menedżer,,. Magazyn c... uskjga udo,.. NeUogon i ¿a izolacja Idu... VrindowsC... 528 SyMemszy... Instalator f... 3634 wndewss... 2900 Usłjgaudo... y/MIPerfb... Usługa Ad... *op*:-r ane 1900 VMnare N...
| Użytkownicy
Zatrz... Zatrz... Zatrz... Zatrz... Zatrz...
. 1
Procesor CPU: 14%
Urtigi-.
1
Pamięć fizyczna: 59%
W ydajność to zakładka, która umożliwia zapoznanie się z wykorzystaniem zasobów komputera — procesora i pamięci fizycznej (rysunek 6.241). Taka informacja jest szczególnie przydatna, gdy niezbędne jest odnalezienie najmniej wydajnego elementu systemu, który przyczynia się do obniżenia jego wydajności. Informacje, jakich dostar cza ta zakładka, to: •
użycie procesora CPU oraz historia użycia,
•
użycie pamięci oraz historia użycia,
•
informacje o dostępnej pamięci fizycznej,
•
informacje dotyczące pamięci stronicowania.
223 3
Rysunek 6.241. W y d a jn o ś ć
Zakładka Sieć (rysunek 6.242) umożliwia zapoznanie się z danymi dotyczącymi inter fejsów sieciowych. Informacje, jakich dostarcza, to: •
nazwa interfejsu,
•
wykorzystanie łącza w procentach,
•
prędkość transmisji,
•
stan połączenia.
Rysunek 6.242. M o n ito rin g sieci
* Menedżer zadart Windows PI* Opcje Widok Pomoc Acifcacje Procesy ! usop wydajność S*ć
uzyDrownc*
Potoczenieuta bezprzewodowe]
1
«
BilEiBiBiil
Pofeczene
Nowo korty
Wykorzystane... Szybko... Stan
Poleczenetofcal.-. Pc-laczeneaeo... Procesy; 72
001 .
0% %
Procesor CPU: 29%
EOOMtyi Potoczono 54me.'! Potoczono Pamięć fizyczna: 54%
Ostatnia zakładka Menedżera zadań Windows — Użytkownicy— pozwala na monitoro wanie użytkowników systemu operacyjnego. Wyświetla listę użytkowników połączonych lub załogowanych do systemu wraz z dodatkowymi informacjami (rysunek 6.243): •
nazwą użytkownika,
•
identyfikatorem sesji,
•
nazwą klienta,
•
stanem sesji,
•
sesją.
Rysunek 6.243. U żytko w n icy
; * Menedier :adań Windowi I Plik Opcje Widok Pomoc
4
AC* Q£ I Fłoccsy | us*jp : '.VydajnoK | s«eć
Procesy. 73
Procesor CPlfc95%
Uir*»»«*»
Pamiec fizyczna: 58%
6.10.2. M o n ito r z a s o b ó w Dodatkowe informacje dotyczące używanych zasobów są przedstawione w narzędziu M onitor zasobów (rysunek 6.244). Jest to aplikacja dostępna w systemach Windows 7 oraz Vista, która przedstawia graficznie zużycie zasobów dostępnych dla systemu ope racyjnego, takich jak: • P rocesor CPD, • Pamięć, •
Dysk,
•
Sieć.
Monitor zasobów jest dostępny w Start/Akcesoria/Narzędzia systemowe oraz w zakładce W ydajność Menedżera zadań Windows. Rysunek 6.244. M o n ito r z a s o b ó w
225
0
6 .1 0 .3 . D zienn iki z d a rz e ń s y s te m u W in d o w s Do kontrolowania działania systemu operacyjnego system Windows udostępnia dzien niki zdarzeń (ang. event log), w których są rejestrowane zdarzenia zachodzące w systemie. Wraz z rejestrowanym zdarzeniem są zapisywane data i godzina jego wystąpienia, źród ło (np. aplikacja, która je wywołała) oraz typ informacji (Inform acja, Ostrzeżenie lub też Błąd). Aby przejrzeć zawartość dzienników zdarzeń, można użyć graficznego narzę dzia Podgląd zdarzeń (rysunek 6.245) dostępnego w menu N arzędzia administracyjne lub polecenia w e v t u t i l w trybie tekstowym. Rysunek 6.245. P o d glą d zd a rze ń
* * : ö B0 y Podglądzdarzeń (Lokalny) Poz.cn Ci)Wo,maye Cj)lnformeye (l)Informacje ci V""' (J>Informacje f i Zdarzeniaprzesyłanedal* (J)Informacje :■ Jtl Dzienniki aplikacji i uslug (X)Informacje , ■Subskrypcje (Tllnformacje ©Informacje ©Informacje !j; Informacje Tr-fn,™.,,.
• V Dzienniki systemuWind» k j Apükacja Cl Zabezpieczenia □ Ustmicme
Data 1godzina 2011-12-112236:08 2011-12-11223S08 2011-12-11223105 2011-12-11223103 2011-12-11223102 2011-12-11 2233:56 »11 12 102238:30 2011 12 1022:36:10 201! 12 1022:3803 2011 12 10223734
Ogćłne SzczcgOły___________ |Pak*t KB92K42mW pomyślnie jrr
Ztddlo Servicing Servicing Servicing Servicing Servicing Servicing Servicing Servicing Servicing Cniicin,
’ O 30 |rj
importuj widok mestandard... Wyczyii dacnmfc... Fikruj bieżącydziennik,.. Wtaipweici Znajdź... Zapiszwszystkiezderzeniaje... Dokci udanie dolego due...
B Pomoc rzemei Servicing
Nazwadziennika:
Systemy Windows 7 oraz Windows Server 2008 R2 udostępniają następujące dzienniki zdarzeń: • Aplikacja — rejestruje zdarzenia generowane przez uruchomioną aplikację. O tym, które zdarzenia są rejestrowane, decydują projektanci programu. •
Zabezpieczenia — rejestruje zdarzenia związane z zabezpieczeniami, jak udane lub nieudane próby logowania, czy zdarzenia związane z dostępem do zasobów, takie jak tworzenie lub otwieranie plików albo innych obiektów. O tym, które zdarzenia będą zapisywane w dzienniku zabezpieczeń, decydują administratorzy systemu.
•
Ustawienia — zakładka rejestruje zdarzenia związane z instalacją aplikacji.
•
System — rejestruje zdarzenia systemu Windows, np. ładowanie sterowników lub bibliotek.
•
Zdarzenia przesyłane dalej — rejestruje zdarzenia przesłane do dziennika przez inne komputery.
•
Dzienniki aplikacji i usług — rejestrują zdarzenia pochodzące z konkretnych aplikacji lub usług, które nie wpływają na działanie całego systemu operacyjnego. Ta kategoria dzienników składa się z dzienników: administracyjnych, operacyjnych, analitycznych i debugowania.
6.10.4. M o n ito r w y d a jn o ś c i s y s te m u System Windows udostępnia narzędzie do badania wydajności systemu operacyjnego — program Performance M onitor (M onitor wydajności) (rysunek 6.246). Jest on dostępny w menu Administrative Tools (N arzędzia administracyjne). M onitor wydajności korzysta z modułów zbierających dane (D ata Collector Set), które rejestrują wybrane parametry pracy systemu operacyjnego określone przez administrato ra. Aby utworzyć zestaw zdefiniowany przez użytkownika (User De fine d), należy wybrać opcję New/Data Collector Set (N owy/Zestaw m odułów zbierających dane) w menu Action (Akcja). Dane zarejestrowane przez monitor wydajności pozwalają na analizę wpływu uruchamianych programów i usług na wydajność systemu. Rysunek 6.246. P e rfo rm a n ce M o n ito r — M o n ito r w yd a jn o ś c i
J ] l> - IflJ ifl
nrip
U
►■
la
iwW vot
9 MomtartigToflk 3 . r»ta Cdm» Sm ł, L!Vf Oelklfd
Acteurt>m»y j PerformanceCouneer
PerformanceCoulter
Ctl|>erllo^VIOOSV»M04K4001WKeniel.ell CVrrfcęsV“ *>SV°l»HO-oootvmwr termy. Cperflogs^EOS^aJCBHtP-rjOOlSforfomiinceC» C:fcerfeosVWB120120435-0001> w l ,
' SystemCisgroeocs SystemPerformance .. StartupEvuitTreseSess ł* U*“ 3 U System 3 ;-JjAt6y«DiKtWï0i«l» U. 2012W30-0001 SystemCWsmta S : SystemPerformance
D o d a w a n ie liczn ikó w d o m o n ito ra w y d a jn o ś c i Aby dodać licznik do monitora wydajności, wystarczy skorzystać z paska narzędzi. Po kliknięciu przycisku Add (Dodaj) pojawi się okno Add counters (D odaw anie liczników). W sekcji Available counters (Dostępne liczniki) należy wybrać interesujący nas licznik, np. Processor Performance (W ydajność procesora), frequency (licznik częstotliwości). W tej sekcji możemy również zdefiniować wystąpienia wybranego obiektu (Instances o f selected object). Gdy już wszystko zostanie ustawione, należy kliknąć Add (Dodaj). Wówczas licznik pojawi się w sekcji Added counters (D odane liczniki). Następnie klikamy OK i wtedy licznik zostanie dodany (rysunek 6.247). Rysunek 6.247. D o d a w a n ie liczn ikó w p ro g ra m u M o n ito r w y d a jn o ści
tmlorm otceiectedotyfct-
Mcb
||
CK
|
Conęel
227 3
I
ĆWICZENIA
1 . Sprawdź, w jaki sposób są wyświetlane informacje w programie Menedżer zadań oraz Monitor wydajności. 2 . Stwórz nowy licznik w Monitorze wydajności. /-ki PYTANIA
1.
Wymień narzędzia do monitorowania systemu Windows znajdujące się w sy stemie.
6/11. W irtu aliza cja W irtualizacja zasobów komputerowych to technologia, która pozwala na jednoczesne udostępnianie danych wielu programom, np. wielu systemom operacyjnym uruchomio nym równocześnie na jednej platformie sprzętowej. W wirtualnym środowisku używane systemy operacyjne nie mają bezpośredniego dostępu do zasobów sprzętowych, za ich zarządzanie odpowiada platforma wirtualizacji. Wprowadzenie warstwy wirtualizacji pomiędzy sprzęt a systemy operacyjne pozwala uniezależnić się od faktycznie wykorzy stywanego sprzętu, co daje ogromne korzyści i elastyczność w budowie infrastruktury sieciowej (rysunek 6.248). Wirtualny system operacyjny może zostać szybko i bezprob lemowo przeniesiony na inny serwer działający na innych komponentach sprzętowych (np. w przypadku awarii używanego serwera), ponieważ na nowym sprzęcie będzie działał w środowisku wirtualnym, które będzie przydzielało takie same „wirtualne” komponenty, jakie były wykorzystywane wcześniej. Rysunek 6.248. S c h e m a t w irtua liza cji
Systemy / Aplikacje / Użytkownicy Wirtualizacja Sprzęt / Zasoby
Oprogramowanie do wirtualizacji pozwala na tworzenie i uruchamianie wirtualnych maszyn z 32- lub 64-bitowym systemem operacyjnym zarówno Windows, Linux, jak i innym, takim jak Solaris, FreeBSD czy Novell. Najbardziej popularne oprogramowanie do wirtualizacji to: •
Hyper-V — możliwa jest tylko instalacja na serwerze 2008 i nowszych.
• VMware Player — możliwa instalacja na systemach Windows oraz Linux. • VirtualBox — możliwa instalacja na systemach Windows oraz Linux.
6.11.1. H yp e r-V Hyper-V to oprogramowanie do wirtualizacji firmy Microsoft. Narzędzie to jest dostępne jako osobny produkt — Hyper-V Server 2008 — lub jako rola w systemie Windows Server 2008 oraz Windows Server 2008 R2. Do zainstalowania roli Hyper-V wymagany jest procesor 64-bitowy, który wspiera wirtualizację sprzętową (Intel VT - Intel Virtualization Technology lub AMD-V - AMD Virtualization). Instalacja serwera Hyper-V polega na dodaniu nowej roli (rysunek 6.249). Rysunek 6.249. Insta la cja roli H ype r-V
Select Server Roles BeforerouMfln ■
I'
Conümatai
Select oneor moretcte toastal wr tte server. Rote:
Description:
□ ROM1Orrrmi BomnmSown D ABMBTM1WVFederationServices □ AceveWrcctorvUghtKeght DrcctcryService* □ ACRveOrcctorv foetidManagementServices ID feptcanonServer D DHCPServer !_I>tSServer
virtual machines and thenresouices. Eechvirtual machineis avlrtuallied computer erstemthat operates inan
D NetworkOokr andAccessServxes !_ □ |D |D
RemoteDesktopServxes Webserver (US) WfodonsOepforniecvlServices WfridprisSeivet UrdateServices
Mwe obovtserver rcte
II
—
1
1
—
1
W kolejnym oknie kreatora wyświetlają się informacje na temat instalowanej usługi (rysunek 6.250). Rysunek 6.250. In fo rm a cja na te m a t Instalacji usłu g i
Kolejny krok instalacji pozwala na wybór fizycznego interfejsu, który ma być użyty jako połączenie zewnętrzne dla maszyn wirtualnych (rysunek 6.251). Rysunek 6.251. T w o rzen ie w irtu a ln e g o interfejsu s ie c io w e g o
Create Virtual Networks
>a virtual network.
0 local AreaCamecocn RealtefcRUSIMDAlllO FartfyPa-EGigabit Ethernet HICJCiS«.»)
Cwał
|
W następnym oknie należy potwierdzić instalację usługi.
Kroki tw o r z e n ia w irtu a ln e j m a s z y n y Aby utworzyć wirtualną maszynę, należy w narzędziu Server Manager (M enedżer serwera) wybrać rolę Hyper-V. Następnie klikając prawym przyciskiem myszy nazwę serwera, z menu kontekstowego należy wybrać opcję New/Virtual M achine (Nowy/W irtualna m aszyna) (rysunek 6.252), która uruchomi kreator tworzenia wirtualnej maszyny. Rysunek 6.252. T w o rzen ie now ej w irtu a ln e j m a szyn y
□
^ 'I je 3¿2 ]
l a w w -w w »»« Features Chagnoshn C o n d o n a tio n Storage
yłtual machnę* werefoend onthaoei
ć) Łnwiw * Ityprr-VSettinpr..3 ŚfJ W&ial NetworkManager... EiltDOt.. ¿ i tnooectusk... ( i) StopService
Mb vnual machmeleiected
A R«».r Server Ci Refresh
W kolejnym oknie należy podać nazwę dla nowo tworzonej maszyny oraz ścieżkę dostępu, gdzie ma być utworzona (rysunek 6.253).
Rysunek 6.253. O k n o d e fin io w a n ia n a z w y i ścieżki
*J ■
Specify Ndine dud L o td lk m
k
a nJfcicaliun fui tlić vir lud nadane.
Assign Memory Configure Networking Connect Virtual Hvd Diak Instalobon Options I- store the vrtual machine n a different location locobon; |7"
< Previous ||
Next s
|
Hash
|
Cancel
|
W kolejnym oknie (rysunek 6.254) należy określić rozmiar pamięci RAM, która będzie przydzielona dla nowej maszyny wirtualnej — minimalna wartość to 8 MB, a maksy malna to aż 65 536 MB. Rysunek 6.254. R o z m ia r p a m ię c i R AM
E3S ■
Assiyn Mem ory
ReforeYnu Regm Speofy Name and Li
Sueufv tlie onuuit of menu v tu otuidLe tu Ifis vaUmI modaie. Yuu uji sueufy an dinuuit from 8 r-fc through bbbib MB. lo improve performance, specify more than the m for the ooerotno system. Memoryt |
Configure Networking Connect Vrtuoi Hard Disk
3E MB
| ) Whcn youdcddc he
Instalnbon Options
W kolejnym kroku należy wskazać kartę sieciową, z której będzie korzystać wirtualna maszyna (rysunek 6.255).
231 3
Rysunek 6.255. K o n fig u ra cja interfejsu ■
C on fiyure N etw orking
Rpfhrp Ynn Regin Specfy Name and Location Configure Networking
Enduren virludmodnie indujesenetworkadapter, Youion ipnlipue tlte network adapter louse a vrtual network, or it can reman disconnected.
Myc about «nfafinq nctYwk odaotos
Connect Virtual Hard Disk Installaton Ootons
< Previous |
Next >
|
Hntdi
|
Cancel
Kolejny ekran (rysunek 6.256) wymaga określenia rozmiaru dysku wirtualnej maszyny oraz opcjonalnie wskazania pliku VHD zawierającego dysk dla wirtualnej maszyny. Rysunek 6.256. K o n figu ra cja w irtu a ln e g o d ysku
GE Connect Virtual Hard Disk
Rpfnrp Y«i Rpfjm Speofy Name andLocation AsognMemory Configure Networking Connect Vrtual Hard Disk Instaloton Options
Name:
|wndows7.vtid
Inalkli: |C:'|Kpi-.'fililí f i . iniirriKyiy,»-!-Y\Y< llWH^iil r*sk-.\ Sue:
I
< i GS IHuiiun: 20-WG8)
W kolejnym kroku (rysunek 6.257) należy określić, w jaki sposób będzie instalowany system na nowej wirtualnej maszynie. Można: •
dokonać późniejszej instalacji (Install an operating system later),
•
rozpocząć instalację z fizycznego dysku (Physical CD/DVD drive) lub z obrazu ISO (Im agefile (.iso)),
|
•
rozpocząć instalację ze stacji dyskietek (Install an operating system from a b oot flopy disk) lub wirtualnej stacji dyskietek ( Virtual floppy disk (.vfd)),
•
rozpocząć instalację, korzystając z sieciowego serwera instalacji (Install an operating system from a netw ork-based installation server).
Rysunek 6.257. O p c je instalacji d la w irtu a ln e j m a szyn y
■
Installation Options
RefhreYou Regm
Yuu can msla! a i waatng systan nowif you luve access tu Hie setup mala, o la».
SpecifyName and Location AssignMemory
^
Ccnhgure Networking
C instal an operating systemfroma hoot mjfivn-ROM
npri«ling systemlain
Connect Virtual Hard Disk Installation Oi
^ Fhyr-:c. CO.OVT 3 :
f
C Image flic (.iso);
Install on operating systemfroma boot floppy disk
Install an opcrabno systemfroma network based instałabon sc
W ostatnim oknie kreatora wyświetla się podsumowanie konfiguracji tworzonej ma szyny (rysunek 6.258). Rysunek 6.258. P o d s u m o w a n ie d la in sta lo w a n e j m a szyn y
Completing the New Virtual Machinę Wizard
RpfnreYou Begin
ic abuut tu uedle the
Specify Name and Location AssignMemory Configure Networking Connect Virtual Hard Diok Instalatun Options
Name; My: rrt: Lkskt Operating System;
windows? 512MB t oral Area Cameroon - virtual Network CtyjsersfkjbkcpoaMientsyiyper-y^rtualHardL^ksyflndows/ Will be instaled at a later time
te the virtual machine and dose the wizard, dkk finish.
233 3
6 .1 1 .2 . V M w a re Player
V M w a r e P l a y e r (http://w w w .vm w are.com /products/player/) jest program em , który u m ożliw ia tw orzenie w irtualnych m aszyn bez konieczności instalow ania serwera. To bezpłatne oprogram ow anie służy d o tworzenia i uruchamiania wcześniej przygotowanych m aszyn w irtua lnych . N arzę d zie p o zw a la na u ru ch o m ie n ie p o n a d 200 syste m ó w operacyjnych — w tym m.in. różnych w ersji W indow sa i dystrybucji Linuksa. Program pozw ala obsłużyć do 8 rdzeni procesora i 32 GB pam ięci RAM d la każdej z w irtualnych maszyn.
W celu stworzenia nowej wirtualnej maszyny w głównym oknie programu (rysunek 6.259) należy wybrać kreator tworzenia wirtualnej maszyny (Create a N ew Virtual M achine). Rysunek 6.259. V M w a re Player
Welcome to VMware Player [jpj Wmjjrof Create a New Virtual Machine
Windows XP Professional XP_CGZAMIN mux R ji] OpenSUSE
Open a Virtual Machine
a Upgrade to VMware Workstation
Help View VMwae Ploya'i tielp tonlenls.
Po uruchomieniu kreatora należy określić, w jaki sposób będzie instalowany system operacyjny na nowej wirtualnej maszynie (rysunek 6.260): •
z fizycznego CD-ROM-u,
•
z obrazu ISO,
•
instalacja zostanie przeprowadzona później.
Q 234
Rysunek 6.260. D e fin io w a n ie s p o s o b u instalacji syste m u o p e ra c y jn e g o
N ew Virtual M achine W izard Welcome to the New Virtual Machine Wizard A virtual machine is like a physical computer; it needs an operating system, How will you install the guest operating system? Install from: ^ >Installer disc: b j Stacja dysków DVD RW (E:) *
Insert the installer disc into this drive to continue,
1Installer disc image file (iso):
11 will install the operating system later, The virtual machine will be created with a blank hard disk.
Kolejne okno to funkcja Easy Install odpowiedzialna za automatyczną, nienadzorowaną instalację systemów operacyjnych. Opcja ta pozwala na pominięcie większości kolejnych kroków programu instalacyjnego, takich jak wybór partycji czy dodanie użytkowników systemu (rysunek 6.261). Rysunek 6.261. Instalacja n le n a d z o ro w a n a
N ew Virtual M achine W izard Easy Install Information This Is used to install Windows Server 2008 R2 x64,
Windows product key
Version o f Windows to install [ Windows Server 2008 R2 Enterprise
▼
Personalize Windows Full name:
bhalska
Password:
(optional)
Confirm:
I I Log on automatically (requires a password) |
Help
]
[
< Back
] [
Next >
|
Cancel
W następnym kroku (rysunek 6.262) należy podać nazwę wirtualnej maszyny oraz miejsce, gdzie zostanie ona utworzona.
235 3
Rysunek 6.262. N a z w a d la now ej w irtu a ln e j m a szyn y
N ew Virtual M achine W izard Name the Virtual Machine What name would you like to use for this virtual machine?
Virtual machine name:
Location: C:VJsersV3halskaV)ocuments\Virtual Machines\Windows Server
[
< Back
] |
Next >
j Browse...
| [
Cancel
]
]
W kolejnym oknie (rysunek 6.263) należy określić rozmiar wirtualnego dysku poprzez podanie jego maksymalnej wielkości. Można podzielić wirtualny dysk na części, wybie rając Split virtual disk as a multiple file. Należy pamiętać o zabezpieczeniu odpowiedniej ilości miejsca na partycji, na której została wskazana lokalizacja plików. Na tym etapie istnieje tylko możliwość utworzenia nowego dysku, nie można wskazać istniejącego. Rysunek 6.263. W irtu a ln y d ysk
New V irtual M achine W izard Specify Disk Capacity How large do you want this disk to be?
The virtual machine's hard disk is stored as one or more files on the host computer's physical disk. These file(s) start small and become larger as you add applications, files, and data to your virtual machine. Maximum disk size (GB):
.M M t
Recommended size for Windows Server 2008 R2 x64: 40 GB © Store virtual disk as a single file O Split virtual disk into multiple files Splitting the disk makes it easier to move the virtual machine to another computer but may reduce performance with very large disks,
I
< Back
| |
Next >
| [
Cancel
)
W ostatnim oknie kreatora (rysunek 6.264) wyświetla się podsumowanie konfiguracji. Zaznaczona opcja Power on this virtual m achine after creation odpowiada za automa tyczne uruchomienie maszyny po jej utworzeniu i rozpoczęcie instalacji systemu.
Rysunek 6.264. P o d s u m o w a n ie tw o rz e n ia now e j w irtu a ln e j m a szyn y
New Virtual Machine Wizard Ready to Create Virtual Machine Click Finish to create the virtual machine and start installing Windows Server 2UU8 K2 x b i and then VMware Iools. The virtual machine will be created with the following settings: Name:
Windows Server 2008 R2 x64
Location:
C:\Users\bhalslca\DocumentsWirtual MachinesXWin
Version:
Workstation 6.5 7.x
*
Operating Syst... Windows Server 2008 R2 x64 Hard Disk:
40 GB
Memory:
1024 MB
•
*•
~~
Customize I lordware...
-
"
"~i
Finish
|
■
|
I?1 Power on this virtual machine after creation
|
< Back
| |
Cancel
6 .1 1 .3 . V irtu a lB o x VirtualBox jest kolejnym popularnym oprogramowaniem, które umożliwia tworzenie wirtualnych maszyn. Pod względem funkcjonalności to oprogramowanie jest bardzo podobne do programu VMware Player omawianego wcześniej. Program można pobrać ze strony: h ttps://www. virtualbox .org/wiki/Downloads Aby utworzyć nową wirtualną maszynę, w głównym oknie programu (rysunek 6.265) należy wybrać przycisk N ow a, który uruchomi kreator tworzenia nowej maszyny wir tualnej. Rysunek 6.265. G łó w n e o k n o p ro g ra m u V irtu alB o x
I ^ .'i'S h lw P m r
Oracie VMVnVws!5u>Manager Plik Maszyna Pnmor
[© S totoMy ’
O Witamy w VrtuaBoxl
iiUgowte
8
lewaa«ć I w oknaorzezraaorajest dowy*me tnt fetymaszyn«rtuahychdosteenydi natymfccmputerrr. listajest terazpusta, pnnewarnie ufnorrenojeczze radnej masryny *byutiK»rKnow«n»luahamasiyne,B>Oi!e»usnać pnyoaknawa n»gtónmympaskunartedBWr” , rłmesrrrnny»nagerreakra.
^ (k ł
MoJnataHewcisną: UsynszTl, abyuzyskać natydroastcranpomoći * odawdnf stron* Madomo¿a.
Instalację nowej maszyny należy rozpocząć od określenia nazwy nowo tworzonej wir tualnej maszyny oraz rodzaju i wersji systemu operacyjnego, który będzie instalowany (rysunek 6.266).
237 3
Rysunek 6.266. T w o rzen ie now ej m a s z y n y w irtua lne j
ifkSy Twm/rnir imwrj nMirynywiilurtlnrj
Kolejnym krokiem jest określenie rozmiaru pamięci operacyjnej RAM, która będzie przydzielona dla tej maszyny (rysunek 6.267). Rysunek 6.267. R o z m ia r p a m ię c i R AM d la w irtu a ln e j m a szyn y
O
Tworzenie nowej maszyny wirtualne!
W następnym kroku należy określić rozmiar wirtualnego dysku (rysunek 6.268) oraz typ pliku, w jakim będzie zapisany dysk wirtualny (rysunek 6.269). Rysunek 6.268. O k re ś le n ie ro zm ia ru w irtu a ln e j partycji
d 238
niiwrj iiM\jyny wiilualnr,
Rysunek 6.269. O k re ś le n ie typu, w ja k im b ę d zie za p is a n y w irtu a ln y d ysk
W ostatnim oknie kreatora jest wyświetlane podsumowanie dla nowo tworzonej m a szyny (rysunek 6.270).
1 . Co to jest wirtualizacja?
239 O
¡Z 6 I1 2 . Pliki w sa d o w e Pliki wsadowe (ang. batch files) to zestaw poleceń systemu operacyjnego wykonywa nych w trybie wsadowym, zapisywanych w plikach tekstowych — (tzw. skryptach). Do działania nie wymagają trybu graficznego i są wykonywane w trybie tekstowym. Pliki wsadowe w systemach Windows są zapisywane w plikach z rozszerzeniem .bat lub .cmd. Do tworzenia skryptów wystarczy Notatnik oraz znajomość poleceń systemu Windows. Aby uzyskać pomoc na ich temat, należy wpisać w wierszu poleceń h e lp (rysunek 6.271). Rysunek 6.271. W ie rs z p o le c e ń
NTTRIB BREAK BCDEDIT
COLOR com COMPACT
U y śu ietla lu b ś n ie n ia atry b u ty p lik u . Wyłącza lu b włącza rozszerzone sprawdzanie klaw iszy CTRL'C. Ustawia w łaściw o ści u ba z ie danych rozruchu w c e lu k o n tr o li ladoua rozruchu. U y śu ietla lub n od y flku je l i s t y k o n tr o li dostępu plików. Uywołu.ic .ieden program wsadowy z innego. UyświeLla luli zm ienia .M/uę 1. ¡e>ą.:HUn kalaluu u. U ysw ictla lub uotaw ia numer ahtywnc.i s tro n y hodouc.i. U y ś-ieL la luli zm ienia nazwę l.irżąrey n k a ta lo gu . Sprawdza dyck i w yśw ietla ra p o rt o jeg o e ta n ie . U y iu ln tlA lu b n nd yfiknje s ta n sprawdzania dysku przy rozruchu. C zyści ek ran . Uruchamia nowe w ystąpienie in te r p r e te r a poleceń systenu Windows. Ustawia domyślny k o lo r t ł a i pierwszego planu k o n s o li. Porównuje zaw artość dwóch plików lu b zestawów plików . U y śu letla i pozwala na m odyfikację l i s t y plików , skompresowanych r p a r t y c ji NI PS. K.mwerLujn .... Ima iny PAT na wuli.miiiy NTFS. Nim nm*nfl ki.uwrrl i.ua.'
By otrzymać pomoc dla konkretnego polecenia, należy po wpisaniu nazwy polecenia dodać /?, np.: t r e e /? (rysunek 6.272). Rysunek 6.272. P o m o c d la p o le c e n ia tree
IAUKK1LL Kończy lub zatrzym uje uruchomiony proces lu b a p lik a c je TIMF UyświeLla luli ustaw ia c zas sys l.einuwy. TI TLE Ustawia t y t u ł okna d la 3C 3.ji CMD.EXE. TRFF U y ś u irtla sLrukl.urr kataluyuu dysku luli ś c i e ż k i . IVPE Wyświetla zaw artość p lik u teketow ego. JER Wyświetla w ersje systenu Windows. UF.RIFV I n c tr u u je cyctem Windowe, aby cprawdzał poprawność zapicu plików HOL UGORY UNIC
U y śu letla e ty k ie tę oraz numer s e ry jn y dysku. Kopiuje p l i k i i k a ta lo g i. U y śu letla in fo rm acje UMI wewnątrz in terakty w nej powłoki po leceń .
Al.y uzyskać w ię c e j iufnrraai:j i na LeraaL n a rz ęd z i, znliacz u p is w iersze pnlei: w pomocy o n iin c . C -\Ucerc\bhalcka>tree /? Przedstaw ia g r a f ic z n ie s tr u k tu rę folderów na dysku lub u o k r e ś lo n e j ir .ie ż r rREE [d ysk: 1[ś c ie ż k a ] [/PI [/A]
S k ry p t nr 1 Rysunek 6.273. S k ry p t nr 1
c is i echo w ita j w s w ie c ie skryptów pause
Q 240
•
c i s — czyszczenie ekranu.
•
ech o — wyświetlanie komunikatu na ekranie.
•
p a u se — zatrzymanie przetwarzania pliku wsadowego do naciśnięcia dowolnego klawisza.
Aby zablokować wyświetlanie wykonywanych komend w danym pliku, należy jako pierwszą dodać linijkę: @echo o f f.
S k ry p t nr 2 Rysunek 6.274. S k ry p t n r 2
vWŁ>>! —UoUtn* Pt* Myęi» formu Wtaotc Pcowc
|3echo off echo Skrypt tworzący katalog
•
m k d ir e : \ b a s i a l pause
cis echo Skrypt wyświetlający zawartość nowo utwozonego katalogu
d ir e :\b a s ia l
•
m kd ir — tworzenie katalogu.
•
d i r — wyświetlanie zawartości katalogu.
Istnieje możliwość stosowania parametrów wywołania skryptów: •
%0 — zawsze zwróci nazwę skryptu, w którym jest zastosowany.
•
Zmienne od %1 do %9 mogą przechowywać kolejne wartości przekazywane jako parametry uruchomieniowe skryptu.
S k ry p t nr 3 Rysunek 6.275. S k ry p t n r 3
Uruchamiając ten skrypt, po podaniu jego nazwy należy podać wartości dla dwóch parametrów, np.: dla %1 — B a r b a r a %2 H a lsk a . Rysunek 6.276. E fekt d z ia ła n ia s kryp tu n r 3
Microsoft Windows [WersJa 6. i .7600] ~ Copyright (c) 2 0 0 9 Microsoft Corporation. Wsz e lkie prawa zastr C : \ U s e r s S b h a 1s k a > d : D: \ > e d Podręcznik D : N P o d r ę c z n i k > c d skrypty D:\Podr«cznik\sk r y p t y > s k r 3 . b a t B a r b a r a H alska Witaj Halska B a r b a r a zyc z e m iłego dnia B arb a r a skr3.bat
D:SPodrecznikSskrypty>l
241
Istnieje możliwość pobierania wartości do zmiennych podczas wykonywania progra mów poprzez polecenie set /p
S k ry p t n r 4 Rysunek 6.277. S k ry p t n r 4
... .-■a-
lkrAemó— CJecho off set /p imie="Podaj imie " echo witaj %imie% echo Imie %imie% »
•
dane.txt
s e t /p im ie = "P o d a j i m i ę " — umożliwia wyświetlenie na ekranie Podaj im ie, a następnie zapisanie w zmiennej im ie tego, co użytkownik wprowadzi z klawiatury.
•
%imie% — umożliwia odwołanie do zawartości zmiennej im ie .
•
>> — umożliwia przesłanie strumieniowo wyników polecenia znajdującego się z lewej strony znaków » do pliku znajdującego się z prawej strony.
Rysunek 6.278. W y n ik d zia ła n ia skryp tu nr 4 D :''Podręcz n ikSs k r y pt y>
Jeżeli chcemy, aby plik wsadowy uruchamiał się podczas startu systemu Windows, po jego przygotowaniu i zapisaniu z rozszerzeniem .bat należy za pomocą polecenia regedit umieścić w rejestrze klucz, w którym będzie znajdowała się ścieżka dostępu do tego pliku. Po uruchomieniu Edytora rejestm odszukujemy klucz: HKEY_LOCAL_MACHINE\SOFTWAREXMicrosoft\Windows\CurrentVersion\Run, po czym z menu wybieramy Edycja/N owy/W artość ciągu. Po wpisaniu nazwy naszego wpisu klikamy go prawym przyciskiem myszy, z menu kontekstowego wybieramy M odyfikuj i wpisujemy w polu D ane wartości ścieżkę dostępu do pliku wsadowego (rysunek 6.279).
]g Cdytor rejestru Plik Cdycjo Widok Ulubione Pomoc .
NetCache OEMInformaticn
Nazwa
Typ
Dane
(Domyślna) REG.SZ alj]RiMfiWnd RFC..S7 Contro(Ccnter3 REG SZ .*•> DBRMTray REG.SZ i* ] Dell Webcam Ce... REG.SZ -i-jHotKeysCmds REG.SZ i£ lglxTi*y RFfi.SZ ■üf-MSC REG.SZ Persisterwe RFG.S7 ^ RtHDVCpl REG SZ i^jSunJavaUpdateS... REG.SZ Szkolna Tapeto REG.SZ ■*b VMware hqtray REG.SZ i!Ö%k
UOBŁ
Parental Controls i . Personalization PhntnPrnpwtyHanrllM PnPiysprep PreviewHandlers PropertySystem . RrlMbilily Kenamel-iles
. RunOnirF« . SettinqSync Setup SharedOLLs Shell Extensions Sl.rSCompalibifity ShellServiceObjeetDelayload Sidebar SideRySide , SMUtn SMI
(wartość nie ustalona) C:\Prognwn Fil^\Rr..ll.r.\R.rr.r.rr.un\R.MlrWnd.r... C:\Program Files\Brothcr\ControlCcntcr3\brctrcen... C:\Dell\OBRM\Reminder\DbrmTraykon.exe "C:\Program niesNDdl Webcam\Dell Webcam Cen... C:\Windows\system32\hkcmd.exe C:\W.mtrlwAvy.trrnW.ytrl ray.r«r "C:\Proqram hilcs\Microsott Security Clrcnftmssce... Ci\Windnwi\syctemT?\igfyprrs.p«e C:\Program Rlcs\Realtck\Audio\HDA\RtHDVCpl.e... "C:\Program Files\Common Files\Java\Java Updat.. C:\Program riles\MlKOI lASSzkolna Tapeta\Screz.C... "CftProqram FilesWMwareWMware PlayerMtqtray.... V.Ukiypt.bal*
Edytowanie ciaqu Narna wartości sloypt Danewartości: C:\akryptbst'| OK
U
M .
R y s u n e k 6 .2 7 9 . T w o rzen ie k lu cza w re je strze syste m u
6 .1 2 .1 . P o le c e n ia z w ią z a n e z o b s łu g ą sie ci D o d a w a n ie d o d o m e n y Systemy Windows oferują wiele poleceń związanych z obsługą sieci. Dodawanie do domeny umożliwia skrypt: @echo off netdom join %computername% / domain:he l i o n .local passwordd:p0sswOrd /reboot:5
/u s e r d :administrator
/
Odłączenie komputera od domeny: @echo off netdom remove %computername% passwordd:p0sswOrd /reboot:5
/domain:helion.local
/userd:administrator /
Poniższe polecenie konfiguruje statycznie kartę sieciową (interfejs) o nazwie Local Area Network o adresie 192.168.18.1 oraz masce podsieci 255.255.255.0: netsh interface ip set address name="Local addr=192.168.18.1 mask=255.2 5 5 .2 5 5 .0
Area
Network"
source=static
Poniższe polecenie konfiguruje kartę sieciową do pobierania adresu IP z serwera DHCP: netsh interface ip set address name="Local Area Network" source=dhcp
Poniższe polecenie dodaje ustawienie serwera DNS dla interfejsu sieciowego: netsh interface ip addr=194.204.159.1
set
dns
name="Local
Area
Network"
source=static
243
Poniższe polecenie podłącza (mapuje) zdalny katalog dan e do dysku X: net use x: \\192.168 .1 8 .l\dane
Poniższe polecenie odłącza katalog dane od dysku X: net use x: \\192.168 .1 8 .l\dane /delete
1 . Utwórz powyższe skrypty i sprawdź ich działanie. /-rKJ
1 . Z jakim rozszerzeniem możemy zapisywać skrypty w systemach Windows? 2 . Który z parametrów zwraca nazwę skryptu? 3 . Jakie polecenie pozwala utworzyć katalog? 4 . Jakie polecenie pozwala podpiąć komputer pod domenę? 5 . Jakie polecenie pozwala mapować udział sieciowy?
7
=tL* Linux Linux jest systemem operacyjnym, który może występować w wersji dla stacji roboczej, np. OpenSUSE, lub dla serwera, np. SUSE Linux Enterprise Server (SLES). Systemy ope racyjne w wersji dla stacji roboczej zostały omówione w podręczniku Kw alifikacja E.12. M ontaż i eksploatacja kom puterów osobistych oraz urządzeń peryferyjnych. Podręcznik do nauki zawodu technik informatyk. SUSE Linux Enterprise Server (SLES) — komercyjna dystrybucja Linuksa rozpowszech niana przez firmę Novell, która udostępnia wiele aplikacji umożliwiających utrzymanie i administrację. Flagowym narzędziem do administracji jest YaST2. Najważniejsze cechy tej dystrybucji to: •
mechanizm wirtualizacji — serwer Xen,
•
samba — serwer pozwalający na współdzielenie zasobów,
•
serwer WW W — oparty na serwerze Apache,
•
serwer wydruku — cups.
G ra fic z n e in terfe jsy lin ukso w e Bazą dla każdego graficznego interfejsu użytkownika jest X Window System, zwany również X lub X I I . Dystrybucje Linuksa najczęściej opierają się na dwóch środowiskach (omówionych w podręczniku K w alifikacja E.12. M ontaż i eksploatacja kom puterów osobistych oraz urządzeń peryferyjnych. Podręcznik do nauki zaw odu technik informatyk): •
KDE,
•
GNOMĘ.
245 0
^ [7 .1 . Instalacja system u SUSE Linux E nterprise S erver (SLES)
W y m a g a n ia system ow e: •
Kom puter osobisty z procesorem Pentium* III 500 MHz lub lepszym (zalecany Pentium 4 2.4 G H z lub lepszy albo dow olny p rocesor A M D 64 lub Intel* EM64T).
•
Fizyczna pam ięć RAM 512 MB (zalecana 1 GB).
•
D ostępna przestrzeń dyskow a 3 GB (zalecana większa).
•
Ekran o rozdzielczości 8 0 0 x 6 0 0 (zalecana 1 0 2 4 x7 6 8 lub większa).
ISO instalacyjne systemu SUSE Linux Enterprise Server (SLES) 11 SP 2 można pobrać ze strony www.suse.pl. 1.
W pierwszym oknie instalatora (rysunek 7.1) należy wybrać opcję Instalacja, można również zdefiniować język, co pozwoli przeprowadzić instalację w języku polskim (F2 Języ k Polski).
uruchomienia Z dysku twardego Naprawa systemu System ratunkowy Sprawdzenie płyty Instalacyjnej Test oprogramowania sprzętowego Te« parnie« I
Opcje uruchamiania |
Fi Pomoc Fi lezyk F3 Tryb graltc/ny r-4 Źródło FS jadro 11>Sterownik polski 1024 N 268 CO-BOM irnmyślny Nie
R y s u n e k 7 .1 . K re ato r instalacji SUSE
2 . W kolejnym oknie kreatora (rysunek 7.2) trzeba określić język oraz układ klawiatury i zapoznać się z licencją, którą należy zaakceptować, aby przejść do następnego okna. 3 . W kolejnym kroku (rysunek 7.3) można sprawdzić nośnik. Jeżeli na nośniku będą jakieś błędy, instalacja zostanie anulowana. Ten krok zabezpiecza przed błędami, które mogą wystąpić podczas instalacji.
umowa licencyjna
. zmnualomnic luj korzystanic z UNlbJUtUO OHHDCłWWWU* IN IYHZ JUO SKŁADNIKOM) OZNACZ*, ZŁ UZY1KOMIK KYHA2A ZOO* NAZNIAZANlb nSTANMEMAHl NINIEJSZE) U W JEiLI UZftKOWiK ME Z&IOZA SIE NI NAFIMU ZWARTE HNINIEJSZEJ UKJNIE. ME KMIMEłi PCSIERAC. WSTAŁUIAC ANI UZTNAC 9 .................
i
.(Mewy*) jatt prawny« poroiu«!«nin ilydly Uiwtkowtikia« (podalotta lub mchy) a flta« Nturll Im (rwany tlal«^ . 1rwy Ndi«U*1 Qprugra«awanl« akrwylonw w autor»k:eyo i u«ou««l ;*w«rty«i pry*; Siany Zjedracrona (.USA* i lub i m kraje or»z codUęa)« warunko« nimaji:«) Uaowy Dowolna wyroja ak!u«U:«cy)r.i lub poiocnicz« Oprijraiowania. Hory Użytkownik to:« pobrać lub otrtyaat i ktiryj ni« tewariyiiy ułowa licencyjna wyraźni« raitypujyca ty tAiowy. jast »royrałewanie« i podłoga postanowienio* nimt jirc) uacwy Jedli kbroyraaowani« stanowi wtrsjt aktualizacyjna lub poaocnicza. użytkownik
R y s u n e k 7 .2 . K re ato r instalacji
S p r a w d z a n ie n o ś n ik a
ru£CVMWurCł-tworo 0 6 CDRlOUdcwlorOl •
SLES-1 1-SP2-DVD-*8G O4-Build070ti-Mo-UidI •Nośnik; CMII •Rozmiar 3246SS0 kfi
Rysunek 7.3. S p ra w d z a n ie n ośn ika
24 O
5.
Po sprawdzeniu nośnika następuje faza instalacji, podczas której są wykrywane i sprawdzane podzespoły (rysunek 7.4).
R y s u n e k 7 .4 . W y k ry w a n ie p o d z e s p o łó w k o m p u te ra
6.
Po sprawdzeniu podzespołów należy wybrać tryb instalacji (rysunek 7.5): a ) N ow a instalacja, b ) A ktualizacja, c ) N apraw a zainstalowanego systemu.
Rysunek 7.5. Tryb instalacji
248
7 . W kolejnym kroku (rysunek 7.6) trzeba określić strefę czasową.
R y s u n e k 7 .6 . Z e g a r i stre fa c z a s o w a
8 . Krok siódmy pozwala na wybór scenariusza pracy serwera (rysunek 7.7), który obejmuje: maszynę fizyczną (używaną także dla w pełni wirtualizowanych maszyn), maszynę wirtualną (dla środowisk parawirtualizowanych, takich jak Xen) i host wirtualizacji Xen (do użycia jak platforma hostowa hypervisora). Dorównuje to rosnącej liczbie opcji dopuszczanych w serwerowych edycjach Windows 2008, gdzie wirtualne maszyny są obecnie częścią procesu preinstalacji.
Rysunek 7.7. W y b ó r sce n a riu sza instalacji
249 O
9.
Okna Ustawienia instalacji (rysunek 7.8) można użyć do przeglądania zapropono wanych opcji instalacji i partycjonowania oraz do zmiany poszczególnych opcji w razie potrzeby. Zakładka Przegląd zawiera opcje wymagające interwencji ręcznej (w większości instalacji). Zakładka Z aaw ansow ane zawiera bardziej rozbudowane opcje. Na tym etapie jest możliwe samodzielne ustawienie partycjonowania dysku.
Rysunek 7.8. U sta w ie n ia instalacji
UWAGA
System y plików dostępne w Linuksie: a ) ext2, ext3, ext4 -— popularny system plików, o m ów iony w podręczniku K w a lifik a c ja E .1 2 . M o n ta ż i e k s p l o a t a c j a k o m p u t e r ó w o s o b i s t y c h o r a z u r z ą d z e ń p e r y fe r y jn y c h . P o d r ę c z n i k d o n a u k i z a w o d u t e c h n i k in fo rm a ty k , b) reiserFS — system plików, który obsługuje duże partycje oraz duże pliki d o 16 TB,
c ) XFS — to 64-bitow y system plików przeznaczony d o serwerów. D om yślnym system em plików SLES 11 jest ext3, aczkolw iek reiserFS jest również o b sługiwany, tak jak inne, w tym : ext2, jfs, NTFS, ext4. SWAP to partycja wymiany, używana przez system do tym czasow ego przechow ywania danych w pam ięci RAM,
Jeżeli dokonujemy samodzielnego partycjonowania dysku, należy pamiętać, że system Linux do prawidłowego funkcjonowania potrzebuje partycji rozruchowej z systemem plików ext. Ponadto zaleca się również utworzenie partycji SWAP.
W AŻNE
Jeśli nie d okonano żadnych zm ian w w ybranym oprogram ow aniu, dom yślnym ś ro do wiskiem graficznym będzie GNOMĘ. Aby zainstalow ać KDE, należy kliknąć odnośnik Oprogram ow anie i w ybra ć KDE. Zależnie od d ostępnej przestrzeni na dysku m ożna w ybrać instalację obu środow isk. Aby kontynuow ać, należy nacisnąć Instaluj.
1 O. W kolejnym oknie (rysunek 7.9) wyświetla się informacja o warunkach licencji czcionek od Agfa. Po akceptacji można przejść do następnego kroku instalacji.
Rysunek 7.9. W a ru nki licencji
1 1 . Po zaakceptowaniu warunków licencji oraz zatwierdzeniu instalacji rozpoczyna się podstawowy proces instalacji, w wyniku którego dysk zostanie podzielony na partycje (rysunek 7.10). 7
P r z e p r o w a d z e n ie in s ta la c ji
S U M - L in u « E M W p r lM
■ ■ ■ ■
1 —
s «— •
Rysunek 7.10. P rz e p ro w a d z e n ie p o d s ta w o w e j instalacji
1 2 . Po zakończeniu podstawowej instalacji i restarcie systemu można przystąpić do konfiguracji, a pierwszym krokiem jest nadanie hasła dla konta root, czyli admi nistratora (rysunek 7.11).
Rysunek 7 .1 1 . D e fin io w a n ie h a sta d la a d m in istra to ra
1 3 . W następnym oknie konfiguracji (rysunek 7.12) należy nadać nazwę dla serwera oraz nazwę domeny DNS, do której on należy.
Rysunek 7.12. N a z w a k o m p u te ra i d o m e n y
d 252
1 4 . W kolejnym oknie kreatora konfiguracji (rysunek 7.13) można skonfigurować ustawienia interfejsów sieciowych czy zapory systemowej. §5 Konfiguracja sieci SUSEUnux na**»iKtiwnmu««-i v »Ma«HM MalMM /ipoiii w«iovm KM*f»cJa
um«nmwon : r r * " ““
—
M -*-*
—
£
R y s u n e k 7 .1 3 . K o n fig u ra cja sieci
1 5 . W kolejnych krokach następuje testowanie konfiguracji sieci i po zakończeniu zostaje wyświetlona informacja o tym, jaką konfigurację usług sieciowych wybra liśmy. Można jeszcze zmodyfikować ustawienia lub zatwierdzić je, przechodząc do następnego kroku (rysunek 7.14).
R y s u n e k 7 .1 4 . P o d s u m o w a n ie ko n fig u ra cji u s łu g s ie cio w ych
1 6 . W kolejnych oknach można określić centrum klienta oraz aktualizację online.
253 3
1 7 . Następne okno (rysunek 7.16) umożliwia utworzenie konta dla użytkownika oraz zmianę domyślnych ustawień konfiguracyjnych dla nowo tworzonego konta (zostało to omówione w części dotyczącej zakładania konta użytkownika).
Rysunek 7.15. M e to d a uw ie rzyte ln ia nia
1 8 . W oknie M etoda uwierzytelniania użytkowników (rysunek 7.15) m ożna wybrać jedn ą z następujących opcji: a ) Uwierzytelnianie lokaln e (/etc/passwd), b ) LDAP (ang. Lightweight Directory Access Protocol) — jest zbiorem protokołów przeznaczonym do uzyskiwania dostępu i zarządzania informacją dotyczącą zasobów, c ) NIS (ang. N etw ork Inform ation Service) — jest protokołem typu klient-serwer, opracowanym przez Sun Microsystems, służącym do śledzenia użytkowników i nazw hostów w sieci, d ) D om ena Windows.
Rysunek 7.16. K o n to u żytko w n ika
d 254
1 9 . W ostatnich oknach instalacji wyświetla się informacja o systemie, który właś nie zainstalowaliśmy (rysunek 7.17), konfiguracji sprzętowej oraz o możliwości wygenerowania pliku AutoYaST. Jest on kopią ustawień zdefiniowanych podczas tej instalacji i może być wykorzystany do automatycznej instalacji następnych systemów.
Release Notes fo r SUSE Linux Enterprise Server 11 Service g Pack 2
Rysunek 7.17. In fo rm a c ja o za in s ta lo w a n y m syste m ie
2 0 . Po zakończeniu instalacji system się resetuje i pozwala na pierwsze zalogowanie (rysunek 7.18).
Rysunek 7.18. P ierw sze lo g o w a n ie d o syste m u
P
........................... 1 . Zainstaluj SLES ze środowiskiem graficznym GNOME.
To PYTANIA
1 . Jaki system plików jest wymagany do instalacji systemu Linux? 2 . Wymień dwa środowiska graficzne 3 . Wymień wymagania systemowe.
255 0
.2. P o dstaw y system u o p e ra cyjn e g o Linux 7.2 .1 . S y s te m p lik ó w System plików tworzy mechanizm bezpośredniego przechowywania i dostępu do danych zapisanych na dyskach. Na potrzeby Linuksa został stworzony system plików ext (ang. Extended File System). Wraz z rozwojem systemu operacyjnego były tworzone kolejne wersje systemu plików — w 2008 roku został wydany system ext4, który umożliwia obsługę woluminów o wielkości do 1024 petabajtów (1 petabajt = 1024 terabajty). System plików Linuksa w przeciwieństwie do windowsowych nie dzieli przestrzeni dy skowej na dyski logiczne — w ramach niego jest dostępny tylko jeden katalog główny z hierarchiczną strukturą katalogów. Katalog główny jest oznaczany ukośnikiem — znakiem /. Katalogi w systemie Linux zostały przedstawione poniżej. /— katalog główny, /bin — zawiera wykonywalne pliki najbardziej podstawowych narzędzi systemowych dostępne dla wszystkich użytkowników, /boot — zawiera pliki niezbędne do uruchomienia systemu w przypadku większości dystrybucji, a także obraz jądra systemu, /dev — zawiera pliki specjalne wskazujące na urządzenia w systemie — za ich pomocą system komunikuje się z nimi, /etc — zawiera pliki konfiguracyjne systemu, /h om e — w tym katalogu znajdują się katalogi domowe użytkowników systemu, flib — zawiera dzielone biblioteki systemowe oraz moduły jądra w katalogu /lib/m odules, /m nt — tutaj są montowane (podłączane do systemu) dodatkowe dyski (np. partycje systemu Windows), /proc — wirtualny katalog zawierający informacje o uruchomionych procesach, /root — katalog domowy użytkownika root, /sbin — zawiera pliki wykonywalne, które mogą być uruchomione tylko przez admi nistratora systemu, /sys — zawiera pliki systemu operacyjnego, /tm p — katalog służący do zapisu plików tymczasowych, /u sr — katalog zawierający dodatkowe oprogramowanie (odpowiednik katalogu Program Files w systemie Windows), /v a r— katalog przeznaczony na pliki, które często ulegają zmianie, np. logi systemowe, pliki udostępniane przez serwer WWW itp.
d,256
Informacje na temat montowanych partycji i systemu plików znajdują się w pliku letcl fstab (rysunek 7.19).
P lik
Edycja
d a l:/e tc
#
W id o k cat
Terminal
K arty
Pomoc
fs ta b
-
/d e v /s d a l
sw ap
sw ap
d e fa u lts
0 0
/d e v /s d a 2
e x t3
a c l,u s e r _ x a ttr
1 1
p ro c
/ /p r o c
sysf s
/s y s
sysf s
n o a u to
0 0
d e b u g fs
/s y s /k e r n e l/d e b u g
d e b u g fs
n o a u to
0 0
usbf s
/p r o c /b u s /u s b
usbf s
n o a u to
0 0
d e v p ts
/d e v /p t s
d e v p ts
m o d e = 0 6 2 0 ,g id = 5
0 0
p ro c
d e fa u lts
0 0 -
Rysunek 7.19. Z a w a rto ś ć p liku fs ta b Tabela 7 .1 . W y b ra n e o p c je m o n to w a n ia s y s te m u p likó w
Opcja
Opis
Ext2
Ext3
Ext4
ReiserFS
XSF
SWAP
Montowanie z wykorzystaniem /etc/fstab
Zawiera informacje dotyczące identyfikacji systemu plików
+
+
+
+
+
+
Montowanie przez użytkownika
Udostępnia funkcję montowania przez zwykłego użytkownika
+
-
+
+
+
-
Lista kontroli dostępu ACL
Pomaga kontrolować prawa dostępu do plików i katalogów
+
+
+
+
-
-
Tryb księgowania
Określa tryb księgowania danych
-
+
+
+
-
-
Priorytety SWAP
Określa numer priorytetu partycji
-
-
-
-
-
+
W systemie Linux wyróżnia się następujące rodzaje plików: w wynikach działania komendy l s
- 1) —
•
plik zwykły (oznaczany znakiem zbiór danych zapisanych na dysku,
•
katalog (oznaczany „d”) — określający katalog na dysku,
•
dowiązanie symboliczne (oznaczane „ 1”) — określające plik wskazujący na inny plik w systemie,
•
urządzenie znakowe (oznaczane „c”) — plik specjalny do którego dostęp jest realizowany znak po znaku (bajt po bajcie),
•
urządzenie blokowe (oznaczane „b”) — plik specjalny reprezentujący do którego dostęp jest realizowany przez większe porcje danych zwane blokami,
reprezentujący
257 0
•
nazwany potok (ang. nam ed pipe, oznaczany literą „p”) — plik wymiany informacji między procesami działający jako kolejka FIFO (ang. first in first out),
•
gniazdo (ang. socket, oznaczane „s”) — plik wymiany między procesami.
W systemie plików Linux dane są uporządkowane. Podłączenie kolejnego dysku do systemu wymaga jego zam ontowania (od ang. mount) — dotyczy to zarówno dysków CD, jak i dysków twardych. Dostęp do danych zapisanych na tych dyskach jest możliwy poprzez katalog, w którym zostały one zamontowane. Dla przykładu gdy mamy dysk C:\ w systemie FAT32 i zamontujemy go w katalogu /mnt/drivec — ten folder zawiera całą zawartość dysku C:\. Jeśli na dysku FAT32 w systemie Windows został utworzony katalog c:\dokumenty, w systemie Linux będzie on dostępny pod adresem/m nt/drivée/dokum enty. Przykład montowania partycji FAT: mount - t v f a t / d ev / s d a l / m n t/ d riv ec gdzie - t oznacza system plików, a /dev/sdal miejsce, gdzie znajduje się partycja, natomiast /mnt/drivec miejsce, gdzie zostanie zamontowana, a więc katalog, w któ rym znajdzie się Windowsowy dysk C. Jeżeli chcemy dowiedzieć się więcej na temat polecenia mount, wystarczy skorzystać z parametru d— help polecenia: : mount - - h e l p lub użyć wbudowanego system pomocy “man”: : man mount
7 .2 .2 . U rz ą d z e n ia w s y s te m ie Linux Linux postrzega urządzenia podłączone do komputera jako pliki, co powoduje, że każde urządzenie ma swój odpowiednik w katalogu /dev. Aby odwołać się do jakiegoś urządzenia, system wykorzystuje odpowiedni plik w tym katalogu. W przypadku dysków zarówno fizyczne urządzenia, jak i poszczególne partycje są reprezentowane w katalogu /dev. Najważniejsze urządzenia w systemie operacyjnym są przedstawiane za pomocą na stępujących katalogów: /dev/console — konsola systemu operacyjnego, /dev/m ouse — mysz szeregowa, /dev/hda — pierwszy dysk IDE, /d ev /h d al — pierwsza partycja pierwszego dysku, /dev/hda2 — druga partycja pierwszego dysku, /dev/hdb — drugi dysk IDE, /d ev /h d bl — pierwsza partycja drugiego dysku,
d,258
/dev/sda — pierwszy dysk SATA, /d ev /sd al — pierwsza partycja na pierwszym dysku, /dev/null — urządzenie puste (do testów).
7 .2 .3 . In te rp re te r p o le c e ń Jądro systemu operacyjnego (ang. kernel) zapewnia zarządzanie pamięcią i procesami, dostęp do zgromadzonych danych itp. Za komunikację z użytkownikiem jest odpowied zialna powłoka systemu operacyjnego (ang. shell), zwana także interpreterem poleceń. Powłoka systemu Linux pełni taką samą funkcję jak konsola cmd w systemie Windows, jej zadaniem jest wykonywanie poleceń konsolowych. Przy czym użytkownik może wybrać jedną z kilku dostępnych powłok systemowych. Powłoka systemu operacyjnego to program, który udostępnia interfejs pomiędzy użyt kownikiem a jądrem systemu; w przypadku systemu Linux ma ona postać wiersza poleceń. Jądro systemu zawiera wszelkie procedury potrzebne do przeprowadzania operacji wejścia i wyjścia, zarządzania plikami itp.; powłoka pozwala z nich korzystać Powłoki obsługują również skryptowy język programowania, który umożliwia tworzenie tzw. skryptów powłoki (odpowiedników plików wsadowych w systemie Windows). W systemie Linux najczęściej są używane następujące powłoki systemowe: • sh (od ang. Shell) — to powłoka stworzona dla systemów Unix przez Stephena Bourne’a; zwana jest także powłoką Bourne’a. • rsh (od ang. R em ote Shell)— jest jedną z odmian powłoki Bourne’a. Litera R w jej nazwie odnosi się do słowa reduced, czyli ograniczona. Udostępnia okrojone funkcje powłoki sh. • csh (od ang. C Shell) — jest jedną z powłok systemowych, która nawiązuje do składni języka C Powłoka csh wniosła wiele ulepszeń w stosunku do sh, m.in. aliasy i historię komend. • ksh (od ang. K o m Shell) — jest całkowicie kompatybilna wstecz z powłoką sh, zawiera także wiele elementów z powłoki csh, np. historię wpisanych kom end ksh obejmuje wbudowany system obliczania wyrażeń arytmetycznych oraz zaawanso wane funkcje skryptów, podobne do tych używanych w bardziej zaawansowanych językach programowania, takich jak AWK, Sed i Perl. • bash (od ang. Bourne Again Shell) — rozszerzona powłoka zawierająca historię poleceń oraz konstrukcje umożliwiające sterowanie przepływem danych ( i f , w h ile , f o r ) . Jest ona domyślną powłoką systemu Linux. • zsh (od ang. Z Shell) - nadaje się zarówno do interaktywnej pracy z systemem, jak i do wykonywania skryptów. Jest powłoką najbardziej przypominającą Korn shell (ksh), jednak zawiera wiele ulepszeń, takich jak: edycja wiersza poleceń, historia oraz programowalne dopełnianie poleceń. W systemie Linux powłoka jest ładowana po zalogowaniu użytkownika.
259 3
Polecenia rozpoznaw ane przez interpreter dotyczą:
•
tworzenia procesów i zarządzania nimi,
•
obsługi wejścia-wyjścia,
•
administrowania pamięcią pomocniczą i operacyjną,
•
dostępu do plików i katalogów.
7.2 .4 . K onsola, te rm in a l System Linux powstał jako system tekstowy. Graficzny interfejs użytkownika jest na kładką na system tekstowy. W niektórych dystrybucjach po instalacji domyślnie jest ładowany graficzny system okienek dla systemu Linux zwany X Window. System Linux powstał na bazie systemu Unix, który był eksploatowany na kompu terach typu mainframe — wydajnych maszynach, gdzie praca odbywała się poprzez terminal pozwalający na komunikację z komputerem. Aby lepiej wykorzystywać moc obliczeniową, do komputera podłączano wiele terminali, które umożliwiały pracę wielu użytkownikom jednocześnie. Mianem konsoli określa się sposób tekstowej komunikacji z systemem operacyjnym — przykładem konsoli może być wiersz poleceń w systemie Windows lub tryb tekstowy systemu Linux. Aktualnie terminy konsola i terminal są używane zamiennie, przy czym ich geneza jest różna. Po uruchomieniu systemu Linux dla użytkownika jest domyślnie (konfiguracja w /etc/ inittab) dostępnych 7 konsol wirtualnych — 7 środowisk pozwalających na równoczesną pracę użytkowników. Przełączanie między nimi umożliwia kombinacja klawiszy AIt+Fl — Alt+F7. Przejście do poszczególnych konsol z uruchomionego środowiska X Window (uruchamianego w domyślnej konfiguracji) umożliwia kom binacja Ctrl+Alt+Fl — Ctrl+Alt+F6. Na każdej konsoli można zalogować się jako inny użytkownik, dzięki czemu można wykonywać wiele zadań równocześnie. Pracując na konsoli tekstowej, użytkownik może uruchamiać zadania w tle, co pozwala na przetwarzanie naraz wielu zadań, a także pozostawienie działających programów po wylogowaniu użytkownika. Linux umożliwia pracę na konsoli tekstowej, gdy jest uruchomione środowisko X Window. W tym celu należy uruchomić tzw. emulator terminala, który otwiera okno tekstowe z prawami aktualnie załogowanego użytkownika. W systemie Linux istnieje możliwość zdalnej pracy — poprzez program emulujący terminal można połączyć się z serwerem przez sieć i uruchamiać wybrane zadania. Zdalne logowanie do systemu pozwala na uruchamianie wszystkich zadań, w tym także środowiska graficznego. Programy umożliwiające zdalną pracę to telnet (transmisja jest nieszyfrowana) oraz ssh (transmisja szyfrowana). Terminal możemy znaleźć w aplikacjach dystrybucji SLES w kategorii dotyczącej sys temu, gdzie mamy do dyspozycji Terminal G nom ę lub XTerm (rysunek 7.20), możemy
Q260
go również wywołać, klikając na pulpicie prawym klawiszem myszy — pojawi się okno, w którym należy wybrać opcję Otwórz w terminalu (rysunek 7.21).
Rysunek 7.20. P rze g lą d a rka a plika cji/S ystem /T e rm in a l G n o m e F
I U tw órz
katalog
U tw órz a k tyw a to r... d i U tw órz d o k u m e n t
9
>
O tw ó rz w te rm in a lu
U p o rzą dku j w e d łu g n a z w y @ U trz y m y w a n ie w y ró w n a n ia
0
W kle j
Z m ie ń tło pulpitu
Rysunek 7 .2 1. O k n o d ia lo g o w e
7 .2 .5 . U p ra w n ie n ia w s y s te m ie Linux W systemie Linux nadaje się prawa dostępu do plików i katalogów. Te prawa to odczyt (read), zapis (write), wykonanie (execute). Mogą być one przydzielone użytkownikowi (właścicielowi), grupie, która jest właścicielem pliku, oraz wszystkim pozostałym użyt kownikom. Poszczególne prawa oznaczane są literami: odczyt — „r”, zapis — „w”, wykonanie — „x”, a także za pomocą liczb: odczyt — „4”, zapis — „2”, wykonanie — „1”. Sumowanie poszczególnych liczb odpowiadających uprawnieniom pozwala na ich proste przedsta wianie. Poniższa tabela prezentuje zapis uprawnień oraz ich wyjaśnienie.
261 3
Tabela 7.2. U p ra w n ie n ia w p o sta ci liczb o w e j
Odczyt
Zapis
Wykonanie
4
2
1 X
0 — brak uprawnień 1 — wykonanie 2 — zapis
X
3 — zapis, wykonanie
X X X
4 — odczyt
X
X
X
X
X
X
5 — odczyt, wykonanie
6— odczyt, zapis X
7 — odczyt, zapis, wykonanie
Każdy plik oraz katalog ma przypisanego swojego właściciela oraz grupę właściciela — dla nich oraz pozostałych użytkowników są przydzielane prawa dostępu. Aby wyświetlić listę plików i katalogów w konsoli tekstowej, należy skorzystać z pole cenia l s . Opcje tej komendy, które pozwolą wyświetlić więcej informacji, to: - a — wyświetla wszystkie pliki i katalogi (w tym także ukryte),
-1 — wyświetla szczegółową informację o plikach (w tym czas utworzenia oraz prawa dostępu), - s — wyświetla rozmiar plików (w blokach), - s h — wyświetla rozmiar plików w przejrzystym formacie (np. 3 K, 300 M, 3 G). Po wydaniu polecenia l s - l a zostanie wyświetlona lista wszystkich plików i katalogów wraz z prawami dostępu (rysunek 7.22).
Plik Cdycja Widok Terminal Pomoc drwxr x uucp uucp 4096 2010- 05- 05 uucp -rur- r 1 rnol root 5819 7017-07-04 v imi < -rw-r 3728 2012-02-03 warnquota.conf 1 root root -rw- r 4306 2009-00-12 wgetrc 1 root root 4006 11 10 23:38 X U drwxr X x 12 root root 6bd 2009- 02- 21 xattr.conf -rw-r 1 root root drwxr X x 4096 11-10 22:31 xdq root root -rw-r 673 7011-11-14 xir.Htd.conf l root root drwxr X x 2 root root 409G 11-11 21:39 xin etd.d drwxr X x 2 root root 4096 11-10 22:37 xml drwxr X x 2 root root 12288 11 10 22:46 xscrccnsavcr drwxr X x d root root 4096 11-10 23:01 vast 2 -rw-r root root 779 11-10 23:04 yp.conf - rw - r rout root 199 7009-07-75 /profile -rw-r root root 313 2010-00-09 zsh_c oirmand_not_f ouod 45 2009-02-25 zshenv -rw-r root root rw r 6010 2000 02 25 zshrc root root drwxr X -x d root root d09b 11-10 22:49 zypp bhalska@sles:/ tc> Is -la
-
b
a
Rysunek 7.22. W yn ik d z ia ła n ia p o le c e n ia ls -la
d 262
-
Przykład pokazuje katalogi znajdujące się w katalogu /etc. Kolejne kolumny oznaczają: • prawa dostępu, • liczbę dowiązań, •
nazwę właściciela pliku,
•
nazwę grupy,
• rozmiar pliku, • datę modyfikacji, •
nazwę pliku.
Pierwsza część wyświetlanych danych oprócz praw dostępu zawiera również informację o typie danej pozycji na liście. Pierwszy znak przyjmuje jedną z następujących postaci: •
oznacza zwykły plik,
• „b” oznacza specjalny plik blokowy, • „c” oznacza specjalny plik znakowy, • „d” oznacza katalog, • „ 1” oznacza link symboliczny, • „p” oznacza potok, • „s” oznacza gniazdo. Kolejne litery oznaczają prawa dostępu dla właściciela pliku (znaki od 2 - 4 ) , grupy (znaki 5 - 7 ) oraz pozostałych użytkowników (8 -1 0 ). Przykładowy wpis: drwx----------- 7 u s e r
u sers
4 0 9 6 0 7 - 2 1 1 3 :0 0 u s e r
oznacza katalog (pierwsza litera d) z prawami odczytu, zapisu i wykonania dla właścicie la (grupa i pozostali użytkownicy nie mają żadnych praw do tego katalogu), właścicielem jest użytkownik user, grupa, do której należy właściciel pliku, to users, katalog zajmuje na dysku 4 kb, ostatnia modyfikacja została przeprowadzona 21 lipca bieżącego roku o godzinie 13:00, nazwa katalogu to user. Zmianę praw dostępu do katalogu lub pliku umożliwia polecenie chmod. Wymaga ono określenia, czyje uprawnienia należy zmienić, na jakie oraz jakiego pliku lub katalogu ta zmiana będzie dotyczyć. Prawa dostępu mogą być podane zarówno w postaci licz bowej, jak i znakowej. W przypadku postaci liczbowej podaje się trzy kolejne liczby reprezentujące prawa dla właściciela, grupy oraz pozostałych użytkowników. Składnia polecenia wygląda następująco: chmod k o d _ p r a w a _ d o s t ę p u n a z w a _ p l i k u _ l u b _ k a t a l o g u Dla przykładu chmod 6 40 i n f o . t x t oznacza, że plik info.txt będzie miał następujące prawa dostępu: dla właściciela: odczyt i zapis (4+2), dla grupy: odczyt (4), dla pozostałych użytkowników: brak praw (0).
Przy nadawaniu praw dostępu w postaci znakowej, składnia wygląda nieco inaczej: chmod k t o _ o p e r a c j a _ p r a w o n a z w a _ z a s o b u gdzie: kto — określa komu są nadawane prawa (u — właścicielowi pliku, g — grupie właściciela pliku, o — innym użytkownikom, a — wszystkim), operacja — oznacza przypisanie lub odebranie prawa (+ lub -), prawo — oznacza prawa, które się zmienia (w — zapis, r — odczyt, x — wykonanie). Dla przykładu chmod u-w i n f o . t x t oznacza, że właściciel pliku info.txt stracił prawo zapisu do pliku. Zmianę właściciela plików umożliwia polecenie chown, ze składnią: chown n o w y _ w ł a ś c i c i e l n a z w a _ p l i k u _ l u b _ k a t a l o g u np. chown u s e r k a t a l o g i Zmianę grupy pliku umożliwia polecenie ch g rp , ze składnią: ch g rp n o w a _ g r u p a n azw a p li k u _ _ lu b k a t a l o g u np. ch g rp u s e r s k a t a l o g i Można również, w jednym poleceniu, dokonać zmiany zarówno grupy, jak i właściciela pliku: chown u s e r :g r u p a p l i k Poleceniem chown możemy również zmienić właściciela grupy plików: chown u s e r :g r u p a * . o d t
7 .2 .6 . P o d s ta w o w e p o le c e n ia s y s te m u Linux System Linux zawiera polecenia związane z usługami działającymi zarówno na rzecz użytkownika, jak i systemu operacyjnego. Polecenia związane z uzyskiwaniem pomocy: •
man [p o l e c e n i e ] — wyświetla podręcznik systemowy (ang. manuał) dotyczący wybranego polecenia, np. man l s ,
•
[p o l e c e n i e ] — h e lp — wyświetla krótką pomoc na temat wybranego polecenia, np. l s — h e lp ,
•
a p ro p o s [ t e m a t ] — wyświetla listę poleceń związanych z wskazanym tematem, np. a p ro p o s d i r e c t o r .
264
Polecenia związane z systemem operacyjnym: •
su — pozwala na logowanie na różne konta użytkowników, np. su b a s i a ; jeżeli wpiszemy tylko su, nastąpi logowanie na konto root,
•
sudo — umożliwia wykonanie innego polecenia z uprawnieniami superużytkownika (root),
•
pwd — wyświetla bieżący katalog (ścieżkę wskazującą, gdzie się aktualnie znajdu jemy),
•
d a te , tim e — wyświetla/ustawia datę lub czas systemowy,
• l a s t — wyświetla listę ostatnich logowań do systemu, •
u p tim e — wyświetla czas, który upłynął od ostatniego restartu systemu,
•
h i s t o r y — wyświetla listę ostatnio wykonywanych komend,
• . / n a z w a _ p r o g ra m u — uruchamia program wykonywalny znajdujący się w bie żącym katalogu, •
shutdow n [ - o p c j a ] [ - t l i c z b a _ s e k u n d ] — zamyka (opcja-h)/restartuje (opcja - r ) system operacyjny po określonej liczbie sekund, wymaga uprawnień administratora,
•
mount/unmount — pozwala na zamontowanie (odmontowanie) dysku,
•
find — pozwala na odszukanie pliku spełniającego odpowiednie warunki,
•
np. find / -nam e muzyka odszuka w całym drzewie katalogów pliki i katalogi o nazwie muzyka,
•
s t a r t x — uruchamia z poziomu terminala sesję graficznego interfejsu X Window.
Powyżej zostały wymienione tylko przykłady, więcej poleceń związanych z działaniem systemu operacyjnego jest dostępnych m.in. w katalogach /bin oraz /sbin.
P o le c e n ia z w ią z a n e z p lik a m i i k a ta lo g a m i •
cp [p l i k _ ź r ó d ł o w y ] [ p l i k _ d o c e l o w y ] — kopiuje plik źródłowy na plik docelowy, np. cp p l i k p l i k 2, np. cp / h o m e / h a lsk a / p lik / h o m e/ h alsk a/ k o p ia,
•
mv [ p l i k _ ź r ó d ł o w y ] źródłowego,
•
rm [ p l i k ] — kasuje pliki, r m - r [ k a t a l o g ] — kasuje katalog wraz z zawartością,
[ p l i k _ d o c e l o w y ] — przenosi lub zmienia nazwę pliku
•
m kd ir [ n a z w a _ k a t a lo g u ] — tworzy nowy katalog,
•
cat
•
to u c h
[n azw a p l i k u ] — wyświetla zawartość pliku bez możliwości edycji, [n azw a p l i k u ] — tworzy pusty plik.
A rc h iw iz a c ja , k o m p re s ja i d e k o m p r e s ja plików Podstawowym programem do archiwizacji — łączenia wielu plików w jedno archiwum — jest program tar. Program ten domyślne archiwizuje wskazane pliki bez ich kompresji — jest ona wymuszana parametrem. Użycie programu t a r umożliwia składnia:
265 3
t a r - o p c j e [n azw a_n o w eg o _arch iw u m .tar] p l i k i _ k a t a l o g i _ d o _ z a rc h iw iz o w a n ia . Najważniejsze opcje będące argumentami programu t a r to: - c — tworzy nowe archiwum, - f — zapisuje archiwum do pliku (zamiast wysyłać do strumienia wyjściowego), - x — rozpakowuje pliki z archiwum, - t — wyświetla listę plików znajdujących się w archiwum, -u — dodaje do archiwum tylko zmienione pliki, - r — dołącza kolejne pliki do archiwum, - z — kompresuje/dekompresuje archiwum programem gzip (tworzy archiwum .tar.gz). Przykładem użycia programu t a r może być kompresja plików zawierających logi sy stemowe — pliki zapisujące pewne operacje występujące w systemie operacyjnym: tar -czf log.tar.gz /var/log/
Aby zdekompresować wybrany plik, można użyć polecenia: tar -xzf log.tar.gz
System Linux oferuje wiele programów do kompresji danych (zmniejszania ich wielkości na dysku). Jednym z najpopularniejszych formatów pozwalających na kompresowanie plików zarówno w systemach Windows, jak i dystrybucjach Linuksa jest ZIP. Aby utworzyć archiwum ZIP w systemach Linux, należy skorzystać z następującego polecenia: z ip n a z w a _ a rch iw u m .zip p lik i _ d o _ k o m p r e s ji gdzie: n a z w a _ a rc h iw u m . z i p to plik wynikowy, który zostanie utworzony przez program kompresujący, p l i k i _ d o _ k o m p r e s j i — to pliki, które m ają zostać skompresowane. Aby uzyskać informacje o skompresowanym pliku, można skorzystać z programu z i p i n f o , z parametrem w postaci nazwy pliku skompresowanego. Do dekompresji archiwum ZIP jest używane polecenie ze składnią u n z ip n azw a_ p l i k u . z ip . Innym formatem kompresji jest gzip, który tworzy pliki z rozszerzeniem .gz. Kompresja tym programem odbywa się przy użyciu składni: g z ip p lik _ d o _ k o m p r e s ji Aby przeprowadzić dekompresję, wykorzystuje się składnię: g u n z ip a rch iw u m .gz
266
7 .2 .7 . O b s łu g a p ro g ra m u v i/v im Wraz z każdą dystrybucją systemu Linux są rozprowadzane różne edytory tekstu. Jed nym z najpopularniejszych jest edytor vi (od ang. visual) i jego następca — vim (od ang. vi improved — vi poprawione) (rysunek 7.23). Edytor ten mimo pracy w trybie tekstowym oferuje wiele opcji znanych z rozbudowanych graficznych edytorów tekstów, takich jak kopiowanie, zaznaczanie bloku tekstu, kolorowanie składni w przypadku edycji kodu źródłowego itp. Praca w trybie tekstowym początkowo może się wydawać niewygodna, jednak po zapoznaniu się z programem staje się bardzo efektywna. Aby uruchomić edytor tekstu, należy użyć składni: v i n a z w a _ p lik u która uruchomi okno programu z wczytanym plikiem do edycji. Edytor vi pracuje w dwóch trybach — trybie wprowadzania tekstu (tryb edycji) oraz trybie poleceń (w którym są przeprowadzane operacje na wprowadzonym tekście). Edytor vim oferuje dodatkowo tryb wizualny, który pozwala na operowanie na blokach tekstu. Program uruchamia się w trybie poleceń, na ekranie jest wyświetlana zawartość edy towanego pliku. Aby rozpocząć wprowadzanie danych do pliku, należy przejść w tryb edycji poprzez naciśnięcie klawisza I (od ang. insert — znaki są wprowadzane w miejscu, w którym znajduje się kursor) lub klawisza A (od ang. append — znaki są wprowadzane w miejscu za kursorem), po czym na dole ekranu pojawi się nazwa trybu — insert (lub w pro wadzanie). Wprowadzanie tekstu odbywa się w sposób intuicyjny poprzez klawisze alfanumeryczne. Nawigacja po tekście jest możliwa za pomocą klawiszy kursora. Aby wrócić do trybu poleceń, należy nacisnąć klawisz Esc. W tym trybie można przeprowadzać zaawansowaną edycję tekstu za pomocą odpowiednich poleceń. Najważniejsze z nich, pozwalające na zakończenie pracy z programem i zapis pliku, to: : w — zapisuje plik, : w n a z w a _ p l i k u — zapisuje zmiany w pliku pod nową nazwą, : q — zamyka program, : q ! — zamyka program bez zapisania zmian. Polecenia można łączyć ze sobą, np. : wq — zapisuje plik i zamyka program. Inne polecenia dostępne w trybie poleceń są związane z edycją tekstów: i — przechodzi w tryb edycji (dopisuje dane od miejsca, w którym znajduje się kursor), a — przechodzi w tryb edycji (dopisuje dane za kursorem),
267 3
A — przechodzi do trybu edycji z dopisywaniem na końcu linii, R — przechodzi do trybu edycji z nadpisywaniem znaków, o — tworzy nową linię pod linią, w której znajduje się kursor, i przechodzi do trybu edycji, 0 — tworzy nową linię nad linią, w której znajduje się kursor, i przechodzi do trybu edycji, r < l i t e r a > — zmienia literę znajdującą się pod kursorem, h — przesuwa kursor o znak w lewo, j — przesuwa kursor o linię w dół, k — przesuwa kursor o linię do góry,
1—
przesuwa kursor o znak w prawo,
W— przesuwa kursor o słowo do przodu, B — przesuwa kursor o słowo do tyłu, G — przechodzi do ostatniego wiersza, < lic z b a > G — przechodzi do wskazanego wiersza, x — usuwa znak pod kursorem, dd — usuwa bieżącą linię, yy — kopiuje bieżącą linię do schowka, p — wstawia dane ze schowka, u — cofa ostatnią operację, CTRL+R — powtarza operację usuniętą, / v i z o r z e c — wyszukuje wyraz zgodnie z w z o rc em w dokumencie, nawigacja po wyni kach jest możliwa przez klawisze n/N , : s / t e k s t l / t e k s t 2 — zmienia t e k s t l na t e k s t 2 , v — przechodzi do trybu wizualnego (wyłącznie w vim), który pozwala na zaznaczanie danych. Zaznaczenia mogą być kopiowane, przenoszone, usuwane itp., : s p < n a z w a _ p lik u > — dzieli okno programu na dwie części i otwiera plik w nowej części okna, CTRL+W — przenosi kursor między kolejnymi oknami programu. Powyżej przedstawiono jedynie podstawowe polecenia programu vi, który, jak widać, oferuje bardzo wiele wygodnych funkcji pozwalających na zaawansowaną edycję tekstu. Korzystanie z programu na początku wydaje się skomplikowane, jednak z czasem edycja tekstu przy użyciu trybu poleceń pozwala na bardzo wydajną pracę.
268
Edycja
puk
widoK
Terminal
Pomoc
VIM - Vi rozbudowany wersja 7.2.108 Autor: Bram Moolenaar i Inni. Vim jest open source i rozprowadzany darmowo Pomóż biednym d z ie cio m w U gandzie! wprowadź :h e lp ic c f < E n te r > d la in f o r m a c ji o tym wprowadź :q wprowadź :help lub wprowadź :help version7
zakończenie programu pomoc na bieżąco dla informacji o wersji
Rysunek 7.23. E d yto r vi
11p
i
ii
i
i i ii
1 . Sprawdź zawartość pliku fstab. 2 . Wywołaj konsolę i korzystając z edytora vi, stwórz w swoim katalogu plik o nazwie dane, a następnie wprowadź do niego swoje imię i nazwisko. 3 . Sprawdź prawa dostępu do tego pliku. 4 . Zrób kopię tego pliku, nazywając ją kopiadane. 5 . Stwórz katalog kopie i do niego skopiuj plik dane. 6 . Stwórz katalog dan e i do niego przenieś plik dane. 7 . Zrób archiwum z katalogu dane. 8 . W swoim katalogu domowym utwórz następującą strukturę katalogów:
ŚLĄSKIE
D C MAZOWIECKIE
269 3
|
PYTANIA
1 . Wymień najważniejsze katalogi systemowe zapisywane w katalogu głównym systemu Linux. Jakie dane są w nich przechowywane? 2 . Który z katalogów systemu Linux przechowuje pliki konfiguracyjne? 4 . Wymień najważniejsze katalogi zapisywane w katalogu głównym systemu Linux. Jakie dane są w nich przechowywane? 5 . Jakim poleceniem możemy znaleźć plik? 6 . Jakim poleceniem możemy sprawdzić bieżącą ścieżkę? 7 . W jaki sposób powtórzyć ostatnio wykonane polecenia w trybie tekstowym? 8 . W jaki sposób sprawdzić parametry wywołania dostępne dla wybranego polecenia? 9 . Wymień polecenia związane z zarządzaniem katalogami w systemie Linux. 1 0 . Jakie polecenie pozwala na wyszukiwanie plików? 11.
Jakie polecenie pozwala na bezpieczne zamknięcie systemu Linux?
C3. Pakiety system u Linux Instalacja oprogramowania w systemie Linux wygląda nieco inaczej niż w systemach Windows — oprogramowanie jest rozprowadzane jako pakiety dystrybucyjne, pro gramy instalacyjne lub kody źródłowe do samodzielnej kompilacji.
7.3.1. P a kie ty d y s try b u c y jn e Aby uprościć sposób instalacji dodatkowych programów, wydawcy dystrybucji tworzą tzw. repozytoria oprogramowania — specjalne serwery, na których są składowane wszystkie pakiety (czyli programy, biblioteki, sterowniki, dokumentacja itd.) dla danej dystrybucji, dzięki czemu stają się one łatwo dostępne i mogą być instalowane w jed nakowy sposób. Pakiety to odpowiednio przygotowane archiwa w formie binarnej, zawierające pliki z oprogramowaniem. Dodatkowo zawierają one także specjalne metadane, które umoż liwiają automatyczne skonfigurowanie programu do instalacji, oraz dokumentację dla danej paczki. Niektóre pakiety do poprawnego działania wymagają innych pakietów — pomiędzy nimi tworzą się zależności. Aby instalacja była kompletna, należy wraz z pakietem głównym zainstalować te pakiety, z którymi łączą go wspomniane zależności. Istnieją różne rodzaje pakietów dystrybucyjnych — najczęściej powiązanych z dystry bucją systemu operacyjnego: •
rpm — Red Hat Package — występują w dystrybucjach opartych na Red Hat — jak Fedora Core, Mandriva, SUSE,
dg zp
•
deb — występują w dystrybucjach opartych na Debianie — Ubuntu, Mepis, Knoppix,
•
tgz — archiwa tar — pakiety dystrybucyjne w Slackware.
W każdej dystrybucji systemu jest dołączane oprogramowanie do zarządzania pakie tami dystrybucyjnymi, które pozwala na pobieranie, instalowanie, aktualizowanie i usuwanie pakietów. Takie oprogramowanie jest dostępne zarówno w wersji graficznej, jak i tekstowej. W dystrybucji SUSE Linux za zarządzanie pakietami odpowiada program zy p p er. Zypper to konsolowy menedżer pakietów. Pozwala on na zarządzanie oprogramowaniem oraz aktualizacjami systemu operacyjnego. Poniżej zostały przedstawione najczęściej wykorzystywane funkcje pozwalające na zarządzanie oprogramowaniem. Najczęściej wykorzystywane komendy zyppera pokazuje tabela 7.3. Tabela 7.3. K o m e n d y d la n a rzę d zia z y p p e r
zyppe r
wyświetla wszystkie informacje o użyciu zyppera
zyppe r h e lp s e a r c h
wyświetla pomoc związaną z s e a r c h , czyli wyszukiwaniem
z y p p er l i s t - p a t c h e s
wyświetla informację o poprawkach
z y p p er p a t c h
nakłada poprawki (czyli aktualizuje system)
z y p p er s e a r c h s q l i t e
wyszukuje pakiety, których nazwa zawiera s q l i t e
z y p p er rem ove s q l i t e
2
usuwa s q l i t e 2
z y p p er i n s t a l l s q l i t e 3 z y p p er i n s t a l l YaST2
instaluje s q l i t e 3 *
instaluje wszystkie pakiety, których nazwa zaczyna się od YaST2 *
z y p p er u p d a te
aktualizuje pakiety do ich najnowszych wersji — o ile to możliwe
z y p p er re p o s lub z y p p er l r
wyświetla listę repozytoriów
z y p p er l r
-u
wyświetla informacje o położeniu (URI) repozytorium
z y p p er l r
-d
wyświetla dodatkowe informacje o repozytoriach
z y p p er l r
-P
wyświetla priorytet repozytoriów i sortuje je według niego
z y p p er l r
- e m oja l i s t a
zapisuje (eksportuje) repozytoria do pliku mojajista.repo
271 O
zyppe r r e f
odświeża informacje o dostępnych pakietach
z y p p er dup
pobiera i instaluje pakiety — UWAGA! zalecane, gdy trzeba zmienić dostawców pakietów
z y p p er ad drep o p o ł o ż e n i e re p o z y to r iu m n azw a
umożliwia dodanie repozytoriów
z y p p er r e f r e s h
odświeża repozytoria
z y p p er rem overepo
usuwa repozytoria
Aby zainstalować program w trybie graficznym, należy uruchomić menedżer pakietów dla trybu graficznego — znajduje się on w YaST2 w sekcji Oprogramowanie w narzędziu Z arządzanie oprogram owaniem (rysunek 7.24). gik PaKJM KonnguMCi) jMBlMci Csej* padano p«noc wiat* - WyitukiOiup/prw Pod uirtommeinatadasp
i------------ R rsssn
“ Pakia'
[6a i Podsumowor«
iamstaocw.notdoa Podmtat
SlUUjW ST; SIMOMlKIOW* 66 PoMummraraacn O Ovnxn D RPM■Wymaa*-
Trytł nyszukMama
9P" Dan»lotman» lutlnu.. woijjo LiabpakM (Kwmikirnan
O fiOIrMmnvM0»0t£UMf
Anului
i^ctplul
R y s u n e k 7 .2 4 . O kn o d o d a w a n ia i u su w a n ia p ro g ra m ó w w G N O M E
Różne narzędzia do instalacji programów: •
a p t (ang. Advanced Packaging Tool) w dystrybucji Debian, Ubuntu,
•
urpmi w dystrybucji Mandriva,
•
s l a p t - g e t w dystrybucji Slackware,
•
rpm, z y p p er w dystrybucji SUSE.
7 .3 .2 . P ro g ra m y w p o s ta c i p lik ó w b in a rn y c h Instalacja programów za pomocą instalatorów odbywa się podobnie jak w systemie Windows — polega na uruchomieniu programu. Aby uruchomić program, należy naj pierw nadać plikowi prawo do uruchamiania, używając komendy: chmod u+x nazwa_pliku
0272
a następnie go uruchomić: ./ nazwa_pl i ku
W przypadku instalacji w trybie graficznym wystarczy uruchomić plik poprzez dwu krotne kliknięcie.
7 .3 .3 . K o m p ila c ja z p lik ó w ź ró d ło w y c h Jeśli wybrany program jest rozprowadzany jako pliki źródłowe, można przeprowadzić jego kompilację. Większość programów dla systemu Linux jest rozprowadzana na licencji GPL, więc ich pliki źródłowe również są udostępnione, co pozwala na ich kompilację oraz popra wianie. Kompilacja programu bezpośrednio na komputerze, na którym ma on pracować, pozwala na lepsze dopasowanie kodu, dzięki czemu programy skompilowane w niektórych przypadkach pracują wydajniej niż te zainstalowane z pakietów dystrybucyjnych. Najczęściej pliki źródłowe są rozprowadzane jako pliki skompresowane, w związku z czym pierwszym krokiem przed właściwą kompilacją jest rozpakowanie plików. Dekompresja jest przeprowadzana w zależności od programu kompresującego: Dla plików tar: tar -xvf plik.tar
dla plików tar.gz: tar -xvzf plik.tar.gz
dla plików tar.bz2 tar -xvjf plik.tar.bz2
Po dekompresji plików źródłowych należy wejść do katalogu, w którym się one znaj dują, a następnie uruchomić skrypt co n fig u re, sprawdzający dostępność wszystkich potrzebnych bibliotek oraz ostrzegający przed możliwymi błędami w kompilacji. Do kompilacji pakietów jest niezbędne posiadanie kompilatora. Aby go uruchomić, należy użyć komendy: ./ configure
Po sprawdzeniu dostępności bibliotek trzeba przeprowadzić właściwą kompilację po przez komendę: make
Instalację skompilowanych plików źródłowych umożliwia wydanie komendy z upraw nieniami root: make install
Aby odinstalować oprogramowanie zainstalowane ze źródeł, z poziomu tego samego katalogu, z którego przeprowadzana była instalacja, należy użyć komend: make uninstall
a następnie: make clean
273 f —c
ĆWICZENIA
1.
Zainstaluj Kadu przy użyciu dowolnych pakietów.
PYTANIA
1 . Jakie są pakiety dystrybucyjne w systemach Linux? 2 . Jakim poleceniem w SLES instalujemy pakiety z konsoli? 3 . Jakim poleceniem kompilujemy program z plików źródłowych?
7^4. K onfiguracja interfejsów siecio w ych W systemie SLES wykrywanie sprzętu jest w dużym stopniu zautomatyzowane. Podczas instalacji systemu narzędzie administracyjne YaST2 wykrywa kartę sieciową oraz inne urządzenia sieciowe. Jeżeli w sieci istnieje jakiś serwer DHCP, to system po wykryciu karty i otrzymaniu odpowiedzi od serwera DHCP od razu ją uaktywni. Jeśli chcemy zdefiniować statyczny adres, możemy do tego wykorzystać narzędzie Ustawienia sieciowe w YaST2 lub konsolę i polecenie i f config. Przed uruchomieniem narzędzia administracyjnego zostaniemy poproszeni o podanie hasła do konta root. W celu skonfigurowania karty należy w narzędziu YaST2 wybrać Urządzenia sieciow e, następnie Ustawienia sieciowe. Otworzy się okno Ustawienia sieci z listą wykrytych zainstalowanych kart sieciowych w zakładce Przegląd (rysunek 7.25). Ł Ustawienia sieci *•41«
ŁTr"3lł I
nosmtws
Birmom
Rysunek 7.25. K o n fig u ra cja ka rt s ie cio w ych
0 2 .7 4
'y W zakładce Opcje globaln e należy wybrać jedną z dwóch metod konfiguracji sieci: •
opcję Kontrola użytkownika przez program NetworkManager — aplet NetworkManager będzie używany do zarządzania wszystkimi interfejsami sieciowymi,
•
metodę tradycyjną, czyli opcję Kontrola przez ifup.
W tej zakładce można również włączyć/wyłączyć obsługę IPv6 i wybrać opcje konfi guracji klienta DHCP. W celu modyfikacji ustawień karty należy wybrać opcję Edytuj w zakładce Przegląd.
7.4 .1. K o n fig u ra c ja k a rty s ie c io w e j w te rm in a lu Jeśli mamy jedną kartę sieciową w komputerze, to będzie ona widoczna w systemie jako ethO, kolejna będzie miała numer ethl itd. W celu konfiguracji karty ethO musimy edytować plik /etc/sysconfig/network/ifcfg-ethO/ za pomocą dowolnego edytora pliku, np. vi (rysunek 7.26). Plik Edycja Widok Terminal
Pomoc
gOOTPROTO='static' BROADCAST-'' FTHTOOI _OPTTONS_' ' IPACOR='192.168.18.1/24'
MTU='' NAMb-'«2b4bbM oiqabit Nbiwum=' •
bthernet Controller (copper)'
fCMOTC_IPADDR='' CTARTMOCC='auto' USFRCCWTRffl -'no'
" ltc t g - e th O "
I t y l k o o d c z y t I 10L, 197C___________________________1,1
W szystko
|
R y s u n e k 7 .2 6 . Z a w a rto ś ć p liku /e tc/sysco n fig /n e tw o rk/ifcfg -e th O
Aby karta działała poprawnie, w tym pliku powinny znaleźć się następujące ustawienia: • IPADDR=11 9 2 .1 6 8 . 0 . 2/24 1— opcja określająca adres karty sieciowej oraz maskę podsieci. /24 odpowiada masce 255.255.255.0. •
network =
•
BROADCAST=11 — określa adres rozgłoszeniowy sieci. Pusty parametr oznacza, że adres rozgłoszeniowy wynika z adresu IP/maski podsieci, zgodnie z konfiguracją w /etc/sysconfig/network/config.
' ' — adres samej sieci.
•
STARTMODE= — określa start urządzenia, może to być: a u to — urządzenie jest uruchamiane automatycznie przy starcie systemu lub przy inicjalizacji; m anuał — urządzenie musi być uruchomione „ręcznie” .
•
BOOTPROTO=' none 1 — pozwala wybrać, w jaki sposób karta sieciowa ma otrzy mywać adres, "n o n e " można zastąpić przez " s t a t i c " (statyczna konfiguracja) albo "d h cp " (konfiguracja zostanie dostarczona przez serwer DHCP).
•
MTU=11 — określa wartość MTU (M aximum Transmission Unit). Pusty parametr spowoduje przyjęcie wartości domyślnej, która dla protokołu Ethernet jest równa 1500 bajtów.
•
NAME=1' — nazwa karty sieciowej.
Jeżeli chcemy skonfigurować ustawienia karty sieciowej za pomocą polecenia i f config, musimy mieć uprawnienia użytkownika rooi, inaczej system zwróci komunikat błędu. Żeby zmienić uprawnienia, należy w konsoli wpisać polecenie su, następnie system poprosi o hasło do konta root. Przykładowa konfiguracja (rysunek 7.27): ifconfig ethO 192.168.18.1 netmask
255.255.255.0
Polecenie ifc o n f ig poza umożliwieniem konfiguracji karty sieciowej pozwala również na sprawdzenie, w jaki sposób są już skonfigurowane interfejsy sieciowe. Aby uruchomić to polecenie, użytkownik musi mieć je przypisane do swojej zmiennej środowiskowej PATH. Jest to zmienna zawierająca oddzieloną dwukropkami listę katalogów — na niej powłoka będzie szukać programu, którego nazwę do wykonania wprowadził użytkownik (np. ifc o n fig ). Jeżeli program nie zostanie znaleziony, powłoka wyświetli komunikat o błędzie (rysunek 7.27). Polecenie to można także uruchomić, korzystając z konta administratora. W tym celu należy w konsoli uzyskać uprawniania administratora po leceniem su, a następnie uzyskamy konfigurację kart przy użyciu polecenia ifc o n fig . PI* Edycji Widok Terminal Pomoc bhalsk.i@Sl.£Slł:-/Dflsl ifc o n fig LAb’.olutM p.it h to • ifc o n fig ' i s ' /lib in /i fconf ig 1, i t aught bo lntnnrhid to bo run only by user w ith uupttruuur priv ile g e :, (eg. ro o t), bash: ifc o n fig : comnand not found bhulsk uiiSLESl : - /Dusk top» su Hasto: SLES11. home bhdUkd. Desk lop » ifc o n fig ethO 102.168.18.1 ntrtausk 255.255.255.0 SŁES11: /home. bhalska.’Desktop |
00
1
R y s u n e k 7 .2 7 . W y w o ła n ie p o le c e n ia ifco nfig
W celu dodania poleceń z /sbin do zmiennej środowiskowej danego użytkownika należy wywołać polecenie: e x p o r t PATH=" $ PATH: / s b in " Kolejnym narzędziem, które umożliwia konfigurację interfejsów sieciowych, jest pole cenie i p (rysunek 7.28). Np. i p a d d r e s s show — zostaną zwrócone adresy interfejsów sieciowych.
027Q
bhalskanisles;-/Desktop Plik Eaycja Wldok Terminal Pomoc bhalska@sles:~/Desktop> ip address show l: lo: «LODI’BACK,UP,LWhK U>> IlltU IMBtj qdisc noquouc otatc UWNCMN link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 m e t 127.0.0.1/8 hrd 127.255.255.255 sr.ope host lo m e L 127.0.0.2/8 br d 127.255.255.255 scope host secondar y lo inetb ::1/128 scope host valid_lft forever preferred_lft forever 7: eth?: mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 1000 link/ether 00:0c:29:f7:78:f9 brd f 7 ; F f : f f: f f : f f :f f inet 192.168.18.1/2-1 brd 192.168.18.255 scope global eth2 inct6 fc80::20c:29ff:fef7:78f9/64 scope link valid_ltt forever preferred_ltt forever elli3: «BROADCAST,MLLTICAST,UP,LCVER_LP> mtu 1500 qdisc pfifo_fast stale UfKNCWN qlen 10O0 link/ether 00:0c:29:f7:78:03 brd f f : f f :ff:ff:ff:ff inct6 fo80: :20c:2£)ff :fof7:7803/64 scope link valid_lft forever preferred_Lft forever___________________________________________________
Rysunek 7.28. Wywołanie polecenia ip
Polecenia związane z interfejsami sieciowymi: •
i f config lub i p — umożliwia wyświetlanie statusu aktywnych interfejsów siecio wych oraz ich modyfikację.
/-KI ĆWICZENIA
1 . Skonfiguruj dwa interfejsy: a . Pierwszy jako lokalny LAN z adresem statycznym: 192.168.nr_w_dzienniku. 1. b.
Drugi jako zewnętrzny WAN z adresem uzyskiwanym z serwera DHCP.
2 . Sprawdź zawartość pliku konfiguracyjnego karty sieciowej. 3 . Sprawdź adresy, wykorzystując polecenie i fco n fig . 4 . Sprawdź informację na temat interfejsów, wykorzystując polecenie ip .
PYTANIA
1 . Jakim poleceniem sprawdzamy adres IP w systemie Linux? 2 . W jakim pliku znajduje się konfiguracja interfejsów sieciowych? 3 . Jaki wpis w pliku konfiguracyjnym dotyczy adresu?
L5. Z arządzanie użytkow nikam i i gru p a m i W systemach operacyjnych Linux rozróżniamy dwa główne rodzaje użytkowników: •
zwykli użytkownicy: są to konta pozwalające na dostęp użytkowników do systemu i bezpieczną pracę w systemie,
•
użytkownicy systemowi: są to konta tworzone podczas instalacji systemu używane przez rozmaite usługi, narzędzia i aplikacje, aby zapewnić efektywną pracę serwera.
277
Najważniejszym kontem w systemie Linux jest konto root. Jest to konto o najwyższych uprawnieniach i jedyne konto, które do przechowywania profilu ma przypisany katalog root. Pozostałe konta użytkowników są przechowywane w katalogu hom e. Konto root jest tworzone podczas instalacji systemu. Tworzenie innych kont nie jest wymagane, ale mocno zalecane. Każde konto ma numer identyfikacyjny użytkownika UID (ang. User Id): •
dla root UID = 0,
•
dla pozostałych UID > 1000 w dystrybucji SUSE.
Nowe konto użytkownika można utworzyć, korzystając z YaST2 lub konsoli. W celu dodania użytkownika uruchamiamy YaST2, a następnie wybieramy Z abezpie czenia i użytkownicy (rysunek 7.29).
F iltr
1
1
G fo sciwcr slh
a g>F Serwer squid \
[1} Serwet T r r r
'H U ' Usługi sieciowe (xinetd)
'
G ru p y Oprogramowanie
WOI
Różne Spiręt
W irtu a liz a c ja
system instalacja hipciwcora i naizę
Urządzenia sieciowe Usługi sieciowe WMuHlI/acjii
■■Hp Konfiguracja sciwcra rclokacji
Z a b e z p ie c z e n ia 1 u ż y tk o w n ic y
zabezpieczenia i użytkownicy
Centrum bezpieczeństwa i p
^ *
Konfiguracja AppArmoi
Linu* Audit Fuiriewuik (LAFj
^
Sudo
Inne
4^
Wspólny certyfikat serwera
Zaiządzanlc CA
Zapora sieciowa
¿ cL Zaiządzanlc użytkownikami i ..
In n e ^^ Jj liifaiinncjH o wydaniu
| ^
Knnliijuiatja Centrum Obslu
T y 1 Pornoc techniczna
R y s u n e k 7 .2 9 . YaST2: U żytko w n icy
Następnie wystarczy wybrać Z arządzanie użytkownikam i i grupam i, potem w zakładce Użytkownicy kliknąć D odaj (rysunek 7.30).
0278
o Zarządzanie użytkownikam i i grupami użytkownicy
Duduj Pomoc
Grupy
Edytuj
Wartości domyślne dla nowych użytkowników Ustawienia uwierzytelniania
Usuń
Opcje zaawansowane »
j
Anuluj
|[
OK
j
R y s u n e k 7 .3 0 . Z a k ła d k a U żytko w n icy
W dalszej kolejności należy nadać nazwę dla nowo tworzonego użytkownika oraz hasło (rysunek 7.31). u N ow y użytkownik lokalny Dane użytkownika
|
Szczjigóły
Ustawieniu hasłu
Wtyjzkl
Pełna nazwa użytkownika
Nazwa użytkownika
l" >
Potwierdzenie hasta
D Odbiera pocztę systemową □ Wyłącz logowania użytkownika
|
Pomoc
Anuluj
R y s u n e k 7 .3 1 . D o d a w a n ie n o w e g o u żytko w n ika
279 0
W kolejnej zakładce Szczegóły (rysunek 7.32) można zmienić domyślne ustawienia dla nowo tworzonego użytkownika, takie jak katalog domowy (domyślnie hom e), upraw nienia do tego katalogu (domyślnie 775) oraz domyślne grupy (users). t'łvs ruiffrWTflrTHHTCT w N o w y u ż y tk o w n ik lok a lny Dane użytkownika
Szczegóły
Ustawienia hasta
Wtyczki
Identyfikaloi użytkownika (UIO) 11002
1
Giupy dodatkowe users □ audio
Katalog domowy |fhomeA«stOl
Przeglądaj
7lyt; iiprawmieókatalogu domowego Iw □ Pusty katalog domowy
1 Pozmiai katalogu w MB
□ WZy) szyfrowanego katalogu domowego Dodatkowe informacje o użytkowniku
Powloką logowania |/bln/bash
-
1l i 09 □ □ □
console dzemon dralout dtsk «oppy «P
n i i □ □ □
J T haldaemon kmem lp mail
1 1 man
Grupa domyślna l„ . „
C;
j □ modem
Pomoc
!
Anuluj
|j
OK
R y s u n e k 7 .3 2 . S z c z e g ó ły d o ty c z ą c e n o w e g o u żytko w n ika
W zakładce Ustawienia h asła można zdefiniować wymagania dotyczące hasła oraz czas jego ważności (rysunek 7.33).
« • N o w y u ż y tk o w n ik lok a ln y Om» użytkownika
Szczegóły
Ustawienia {jasła
wtyczki
OstrzeZ na podaną liczb; dni przed wygaintfciem nasla
I’
~1
Okieil. przez 11«dni po wygaśnięciu hasła dopuszczać logowanie
Fi
fi
Maksymalna liczba dni z tym samym hasłem |9 8 9 9 9 Minimalna liczba dmz tym samym hasłom
Data wygaśnięcia
| Pomoc
|
R y s u n e k 7 .3 3 . U sta w ie n ia h a sła
280
| Anułuj
|
QK
Aby dodać użytkownika w konsoli, należy skorzystać z poniższych poleceń, które wy magają uprawnień administratora: •
u s e ra d d (SUSE) lub a d d u ser (inne dystrybucje) — dodanie użytkownika,
•
passw d — nadanie hasła dla użytkownika.
Jak w przypadku użytkowników, również każdej grupie, do której może należeć użyt kownik, jest przydzielony unikatowy identyfikator GID (ang. Group Id). Gmpy są tworzone dla użytkowników charakteryzujących się daną cechą. Dzięki grupom jest możliwe ustalenie uprawnień dla większego grona użytkowników jednocześnie — nie zaś dla każdego indywidualnie. Większość zwykłych użytkowników jest dodawana do grupy users. W systemie są też inne grupy, zazwyczaj używane do zadań specjalnych. Istnieją trzy typy grup: •
grupy standardowe (GID > 100),
•
grupy systemowe (GID 1 do 99),
•
grupa root (GID = 0).
Aby dodać nową grupę, postępujemy tak jak przy dodawaniu nowego użytkownika: jest to druga zakładka w narzędziu Zarządzanie użytkownikami i grupami (rysunek 7.34). Należy nadać nazwę dla nowej grupy, można również określić hasło, które stanowi zabezpieczenie przed modyfikacją ustawień dla grupy. Można też określić, do jakich innych grup będzie należeć dana grupa. E N o w a g r u p a lo k a ln a Dano gnipy
Wtyczki Członkowie grupy □ « > : bhaiska
Nazwa giupy |halon
□ daemon identytlkato! (pupy (GID) □ game. □ haMaemsn □ lp □ man L messagebus
1
i
..................... .
..................................... I
□ nobody n ntp □ polkituser
Potwierdzenie hasła I
I
E” “
□ puppet
¿nulu,
£>K
R y s u n e k 7 .3 4 . T w o rzen ie n o w e j g ru p y
Dodawanie nowej grupy z konsoli jest możliwe przy użyciu polecenia groupadd.
281 —q
Polecenia związane z użytkownikam i i grupam i: • u s e r a d d — tw orzenie now ego użytkownika, • i d — wyświetlenie ID użytkownika, • p a s s w d — nadanie/zm iana hasta, • l o g o u t — w ylogowanie, • w, u s e r s , w h o — m niej lub bardziej szczegółow o p o d a ją inform acje o załogow anych użytkownikach, • w h o a m i — spraw dzenie, kim jesteśmy, • m e s g — zezwolenie na przyjm ow anie komunikatów, • w r i t e — wystanie w iadom ości d o danego użytkownika, • f i n g e r — w yświetlenie szczegółow ych inform acji o użytkownikach, • s u — um ożliwienie logow ania na konto innego użytkownika, • s u d o — um ożliwienie wykonyw ania poleceń jako inny użytkownik (np. root), • chow n ■ — um ożliwienie zm iany w łaściciela pliku lub katalogu.
Domyślnie, kiedy plik jest tworzony przez użytkownika, jego właścicielem jest ten użytkownik, a grupa, do której użytkownik należy, jest również przypisywana do pliku.
1 . Stwórz nową grupę grupa_A. 2 . Stwórz użytkownika userOl. 3 . Dodaj użytkownika userOl do grup a_A. 4 . Sprawdź, jakie UID posiada nowo tworzony użytkownik. 5 . Sprawdź, kto jest aktualnie załogowany.
1 . Jakim poleceniem z konsoli tworzymy nowego użytkownika? 2 . Jaki numer UID ma root? 3 . Jakie uprawnienia są nadawane dla katalogu domowego użytkownika? 4 . Jakim poleceniem możemy sprawdzić numer ID użytkownika?
J3. Z arządzanie pro ce sa m i i usługam i W systemach operacyjnych wszystkie uruchomione programy to procesy. Zadaniem jądra systemu operacyjnego jest sterowanie procesami, zarządzanie czasem dostępu do procesora, przekazywanie go pomiędzy kolejne procesy (wielozadaniowość), które mogą przyjmować następujące stany: •
działający — aktualnie wykonujący jakąś operację,
•
uśpiony — proces czeka na jakieś zdarzenie systemowe, np. odczyt danych z dysku,
•
gotowy do wykonania — proces czeka na przydzielenie mu procesora,
•
zombie — proces zakończył działanie, czeka na zakończenie go przez proces ma cierzysty.
Procesy dzielimy również na: •
proces potomny (podrzędny) (ang. child process) — proces rozpoczęty przez inny proces, który jest procesem nadrzędnym (rodzicielskim) dla procesu potomnego,
•
proces nadrzędny — rodzicielski (ang. parent process) — proces rozpoczynający (wywołujący) inne procesy (procesy potomne).
Każdy proces w systemie ma przyporządkowany unikalny numer PID (ang. Process IDentifier), który zostaje mu nadany podczas uruchamiania. Pozwala on na jednoznaczną identyfikację procesu w systemie. Wszystkie procesy w systemie Linux są procesami potomnymi procesu in it, który ma identyfikator 1 — jest on tworzony podczas startu systemu operacyjnego. System wykonuje dany proces przez pewien czas, a następnie przekazuje procesor do dyspozycji kolejnemu procesowi. Dla każdego procesu istnieje przypisany użytkownik, który go uruchomił. Na potrzeby usług takich, jak serwer WWW czy serwer pocztowy są tworzone specjalne konta, które służą do uruchomienia wybranej usługi. Usługi w systemach Linux są nazywane demonami (ang. daem on). Jako system wielozadaniowy system Linux pozwala na uruchamianie zadań w tle w try bie tekstowym. Standardowo programy są uruchamiane na pierwszym planie (następuje interakcja z terminalem) lub w tle (program działa, ale nie ma interakcji z terminalem).
Z a rz ą d z a n ie p ro c e s a m i p ie rw s z o p la n o w y m i i p ro c e s a m i w tle Środowisko powłoki Linuksa pozwala na pracę procesu na pierwszym planie (foreground) bądź w tle (background). Procesy wykonywane na pierwszym planie są rozpoczynane w oknie terminala i pracują, dopóki proces się nie zakończy. Okno terminala nie wróci do znaku zachęty, dopóki wykonywanie programu nie zo stanie zakończone.
283 3
Istniejące procesy mogą być przeniesione z pierwszego planu do działania w tle, gdy są spełnione poniższe warunki: •
proces musi być rozpoczęty w oknie terminala bądź w powłoce konsoli,
•
proces nie potrzebuje danych wejściowych z okna terminala.
Polecenia w powłoce mogą zostać zaczęte na pierwszym planie bądź w tle. Aby uruchomić program, który rozpocznie przetwarzanie w tle, na końcu polecenia uruchamiającego należy wpisać znak &, np. x e y e s & To polecenie uruchomi w tle działanie programu xeyes — dla użytkownika zostanie wyświetlona informacja o numerze uruchomionego procesu (PID). Aby sprawdzić zadania wykonywane w tle, należy skorzystać z polecenia jo b s (rysu nek 7.35), które wyświetla numer zadania w tle, nazwę procesu, jego status (działają cy — ang. running, zatrzymany — ang. stopped, zakończony — ang. don e). b a s ia @ lin u x : - /D e s k t o p P lik
E d y c ja
W id o k
T e rm in a l
3 a s ia @ lin u x : ~ /D e sk to p > [1 ] 3 9 7 3
Pom oc
xeyes &
D a s ia @ lin u x : ~ / D e s k to p >
xeyes &
[2 ] 3 9 7 6 D a s i a @ l in u x : ~ / D e s k t o p >
xeyes &
[3 ] 3 9 7 9 o a s ia @ lin u x : ~ /D e sk to p >
xeyes
'Z [4 ]+ S to p p e d D a s i a @ l in u x : ~ / D e s k t o p >
xeyes jo b s
[1 ]
R u n n in g
xeyes &
[2 ]
R u n n in g
xeyes &
[3 ]-
R u n n in g
[4 ]+ S to p p e d o a s ia @ lin u x : ~ /D e sk to p >
xeyes & xeyes
Rysunek 7.35. W y n ik d z ia ła n ia p o le c e n ia jobs
W celu zatrzymania bieżącego zadania po to, aby ponownie je uruchomić do działania (przenieść), należy nacisnąć kombinację klawiszy Ctrl+Z (rysunek 7.36) — program zostanie zatrzymany i będzie mógł być ponownie uruchomiony poleceniem fg . Nato miast kombinacja Ctrl+C kończy bieżący proces uruchomiony na pierwszym planie. Aby przywrócić wybrane polecenie na pierwszy plan, należy użyć polecenia f g, podając jako parametr numer zadania w tle, który wyświetla polecenie j o b s . Polecenie f g bez parametru przeniesie na pierwszy plan zadanie, które zostało przeniesione na drugi plan jako ostatnie. Np. wywołujemy polecenie x e y e s , następnie zatrzymujemy je kombinacją klawiszy Ctrl+Z, po czym sprawdzamy, jaki ma numer, i poleceniem f g 1 przywracamy do
d 284
działania. Kiedy proces zostanie przywrócony, kończymy jego działanie kombinacją Ctrl+C (rysunek 7.36).
Plik
Edycja
W id o k
Terminal
b a s ia @ lin u x : ~ /D e s k t o p >
Pomoc
xeyes
AZ [1 ]+
S to p p e d
xeyes
b a s i a @ l i n u x : ~ /D e s k t o p > [l]+
jo b s
S to p p e d
xeyes
b a s ia @ lin u x : ~ /D e s k t o p >
fg
1
xeyes AC
R y s u n e k 7 .3 6 . P rzykład d z ia ła n ia fg, C trl+ Z , C trl+ C
Aby zmienić status zadania wykonywanego w tle, należy użyć komendy bg z numerem zadania. Polecenie to powoduje, że status zadania w tle zmienia się z zatrzymanego na działający (rysunek 7.37).
Plik
Edycja
W id o k
Terminal
b a s ia @ lin u x : ~ /D e s k t o p >
Pomoc
xeyes
Az [1 ]+
S to p p e d
b a s i a @ l i n u x : ~ /D e s k t o p > [1 ]+
xeyes
xeyes bg
1
&
R y s u n e k 7 .3 7 . P rzykład d z ia ła n ia p o le c a n ia bg
Z każdym procesem w systemie Linux jest związane pojęcie strumienia, czyli danych przekazywanych do programu i danych, które generuje dany proces — zwykle występują trzy strumienie (rysunek 7.38): •
stdin — strumień wejściowy, domyślnie związany z klawiaturą, z której są wpro wadzane dane,
•
stdout — strumień wyjściowy, domyślnie związany z ekranem, na którym są wy świetlane wyniki pracy programu,
•
stderr — strumień wyjściowy, domyślnie związany z ekranem, na którym są wy świetlane błędy generowane przez dany proces.
285 0
Jedną z zalet ułatwiających pracę w systemie Linux jest możliwość przekierowania strumieni do plików. Operatory przekierowań to: > — przekierowuje strumień wyjściowy do zwykłego pliku podanego jako parametr. Jeśli plik nie istnieje, zostanie utworzony, jeśli istnieje, cała zawartość zostanie zastąpiona. » — przekierowuje strumień wyjściowy do pliku, dopisując dane na koniec pliku. < — przekierowuje na strumień wejściowy dane zawarte we wskazanym pliku. Aby przekierować wyniki pracy wybranego programu do pliku, należy użyć konstrukcji: nazwa_polecenia
[parametry] > plik_z_wynikami
np. ls -la > moje_dane.txt
Polecenie to zapisze w pliku moje_dane.txt zawartość bieżącego katalogu (wynik działania polecenia l s - l a ) . Użycie konstrukcji: nazwa_polecenia
[parametry] »
plik_z_wynikami
spowoduje, że wyniki działania programu zostaną dopisane na końcu wybranego pliku. W celu przekierowania strumienia wejściowego używa się konstrukcji: nazwa_polecenia
[parametry] < plik_z_danymi
np. mail [email protected] < informacja.txt
Powyższa linijka spowoduje wysłanie zawartości pliku inform acja.txt na adres pocztowy uczeń [email protected]. Kolejnym przykładem funkcjonalności rozwiązań związanych z pracą w trybie teksto wym są potoki danych — są to strumienie wyjściowe jednego procesu przekazywane jako dane wejściowe do innego procesu. W przypadku potoków operatorem pozwala jącym na przekazanie jest symbol |, dla przykładu: program_pierwszy | program_drugi
np. ls -la | grep uczeń
W przytoczonym przykładzie wyniki działania funkcji l s zostają przekazane na wejście dla programu g re p . Ma on za zadanie wypisanie tylko tych linii, w których znajduje się słowo u cz eń . Danymi wejściowymi drugiego programu (grep ) jest lista plików będąca wynikiem działania pierwszego programu ( ls ) . Podczas przekazywania potoków między procesami bardzo często jest używana wspo mniana komenda g rep . Służy ona do wyświetlania tylko tych linii, które pasują (lub nie pasują) do określonego wzorca.
Uproszczona składnia wygląda w sposób następujący: grep [-v] wzorzec [plik]
gdzie - v — oznacza opcję negacji wzorca, w z o r z e c — oznacza treść do wyszukania, p l i k — oznacza plik, którego zawartość ma być sprawdzona (gdy nie używamy po toków). Wzorce są tworzone na bazie wyrażeń regularnych. W tabeli 7.4 przedstawiono znaki specjalne, pozwalające na tworzenie dowolnych wyrażeń. T a b e la 7 .4 . Z n a ki s p e c ja ln e w y k o rzystyw a n e w w y ra ż e n ia c h re g u la rn y c h
Znak
Opis Dopasuj dowolny znak
$
Dopasuj poprzedzające wyrażenie do końca wiersza
-
Dopasuj występujące po operatorze wyrażenie do początku wiersza
*
Dopasuj zero lub więcej wystąpień znaku poprzedzającego operator
[]
Dopasuj dowolny znak ujęty w nawiasy, np. [a b c 0 1 2 ]
[— ]
Dopasuj dowolny znak z przedziału, np. [ 0 - 9 ] — wszystkie cyfry; [ a - z ] — wszystkie małe litery; [ 0 -9 a -z A -Z ] — wszystkie litery i cyfry
[A ]
Dopasuj znak, który nie znajduje się w nawiasach
Aby lepiej zilustrować mechanizm tworzenia wyrażeń regularnych, w tabeli 7.5 zostały przedstawione przykłady zastosowań. T a b e la 7 .5 . W yko rzysta n ie w y ra ż e ń re g la rn ych w p ro g ra m ie g re p
Polecenie g re p , A l a '
Opis p lik
Wypisze linie zawierające wyraz Ala
g re p , A . a ' p l i k
Wypisze linie zawierające wyrazy takie jak Ala, Aga, Ara, A+a itp.
g re p , A [ l g ] a ' p lik
Wypisze linie zawierające wyrazy Ala i Aga
g re p , AA l a ' p l i k
Wypisze linie rozpoczynające się od słowa Ala
g re p ,G o * g le ' p lik
Wypisze linie zawierające wyrazy rozpoczynające się na literę „G”, kończące się na „gle”, które między tymi literami zawie rają dowolną liczbę liter „o”
287 3
Innym programem wykorzystywanym podczas przekazywania potoków jest m ore, który wyświetla dane z podziałem na strony (po zapełnieniu ekranu danymi czeka na naciśnięcie klawisza przez użytkownika, aby kontynuować wyświetlanie).
1 . Jaki proces jest ładowany jako pierwszy? 2 . Rozwiń skrót PID. 3 . Jakim skrótem klawiszowym zatrzymujemy proces? 4 . Jakie polecenie wyświetla procesy działające w tle?
7.6.1. M o n ito ro w a n ie p ro c e s ó w i p rio ry te ty Możemy przeglądać informacje o procesach i przydzielać priorytety, zarówno dla zadań wykonywanych na pierwszym planie, jak i w tle, następującymi narzędziami: •
ps
•
p stre e
•
n ic e i r e n ic e
•
to p
•
k i l l
•
s le e p
ps Możemy przeglądać pracujące procesy poleceniem ps (ang. pro ces s status) (rysunek 7.39). Rysunek 7.39. W y n ik d z ia ła n ia p o le c e n ia p s
l P lik
Ed ycja
W id o k
Terminal
Pom oc
b a s ia @ lin u x : ~ /D e s k t o p > ps P I D TTY
T IM E CMD
3 9 4 6 p ts /O
0 0 : 0 0 : 0 0 b ash
4001
0 0 :0 0 :0 0
p ts /0
ps
Opcje tej komendy, które pozwolą wyświetlić więcej informacji, to: - A — wyświetla wszystkie procesy, także procesy innych użytkowników (rysunek 7.40),
- a — wyświetla wszystkie procesy umchomione w aktualnym oknie terminala,
-1 — wyświetla szczegółową listę informacji o procesach (w tym czas utworzenia oraz prawa dostępu), -m — sortuje według zużycia pamięci,
G 288 p—
- u — wyświetla informację o procesach wybranego użytkownika, - x — przegląd procesów, które nie są kontrolowane z żadnego terminala. basia;S ilinux:--/D esktop
H Plik
Edycja
WiUok
Terminal
_
□
«
Punrut
3759 ? 0 0 :0 0 :0 0 g v ts d -tra s h 3763 ? 0 0 : 0 0 : 0 0 g v t s - h a l-v o lu m e 3765 ? 0 0 : 0 0 : 0 0 g v ts - g p h o to 2 -v o 37 6 7 ? 0 0 : 0 0 : 0 0 g p k - u p d a t e - ic o n 3772 ? 0 0 : 0 0 : 0 0 g n o m e-vo lu m e-co 3777 ? 0 0 : 0 0 : 0 0 p yth o n 3 7 81 ? 0 0 : 0 0 : 0 0 g v fs d -b u rn 3795 ? 0 0 : 0 0 : 0 0 gnom e-power-m an 3796 ? 0 0 : 0 0 : 0 0 gn o m e-sc ree n sa v 3820 ? 0 0 : 0 0 : 0 0 g n o m e -te rm in a l 3826 ? 0 0 : 0 0 : 0 0 g n o m e -p ty -h e lp e 3828 p ts /0 0 0 : 0 0 : 0 0 bash 3842 p t s /0 0 0 : 0 0 : 0 0 ps bas ia @ lir> u x ~ /D e s k to p > ps -A
Rysunek 7.40. W y n ik d z ia ła n ia p o le c e n ia p s - A
Poniżej, w tabeli 7.6 znajduje się opis niektórych pól w liście procesów otrzymanej za pomocą polecenia p s. Tabela 7.6. T a b e la pól w liście p ro c e s ó w p o le c e n ia ps
Pole
Opis
UID
ID użytkownika
PID
ID procesu
PPID
ID procesu rodzica
TTY
Numer terminala kontrolnego
PRI
Numer priorytetu (im niższy, tym więcej czasu pracy procesora jest przy dzielane do procesu)
NI
( n ic e )
Wpływa na regulację dynamicznego priorytetowania
STAT
Obecny stan procesu
TIME
Użyty czas CPU
COMMAND
Nazwa polecenia
Możliwe wartości pola STAT (stan procesu) pokazuje tabela 7.7. Tabela 7.7. Ta b e la o p isu w y b ra n y c h s ta n ó w p ro ce su
Kod
Opis
R (runnable )
Wykonywanie — proces jest uruchomiony i wykonuje kolej ne instrukcje
s (sleeping)
Oczekiwanie — czeka na zewnętrzne zdarzenie (takie jak dostarczenie danych)
289 3
Kod
Opis
D (Uninterruptablesleep)
Blokada przerwań — proces nie może być zakończony w tym momencie
T (TracedorStopped)
Zawieszenie
X
Jest martwy
z (zom bie)
Proces zakończył się, ale nie było jeszcze żądania jego wyniku (wartości zwrotnej) — czyli zamknięcie procesu nie zostało jeszcze obsłużone przez proces rodzica
s
Lider sesji
+
Jest w grupie procesów planowanych
p s tre e Za pomocą polecenia p s t r e e można przeglądać procesy w formacie struktury drzewa, czyli hierarchii (rysunek 7.41). File Edit View Terminal Tabs Help
bhalska(jldalpstree init— |— acpid - a u d i t d — i— a u d ispd--- { audispd} L-{auditd} — b o n o b o - a c t i v â t i--- {b o n obo-act i v a i i) — c o n s o l e -kit-dae-- 6 3 * [ {console-kit-dae}] — c ron - c upsd -3*(dbus-daemon] — 3 * [dbus-launch] — gconfd-2 -gdm g d m -s i m p l e - slav— r— X I— gdm-session-wor—
-g n o m e -s e s s io n —
—g n o m e - k e y r i n g - d g n o m e - p o w e r - man g n o m e -s c r e e n s a v —g n o m e - s e t t i n g s
{ g n o m e - s e t tin g s -)
R y s u n e k 7 .4 1 . W yn ik d z ia ła n ia p o le c e n ia pstre e
By zakończyć serię procesów, należy znaleźć właściwy nadrzędny proces (rodzica) i go zakończyć Polecenie p s t r e e pomaga zidentyfikować poszukiwany proces źródłowy. Opcja - p wyświetla PID procesów. Opcja - u wyświetla ID użytkownika, jeśli zmienił się właściciel. Ponieważ lista procesów jest przeważnie długa, można wprowadzić polecenie w forma cie: p s t r e e -u p | l e s s , by wyświetlać ją „strona po stronie”, a właściwie „ekran po ekranie”.
n ic e i re n ic e Linux zawsze stara się rozdzielić dostępny czas pracy na komputerze sprawiedliwie dla wszystkich procesów. Niestety nie jest to możliwe, dlatego że procesy mają różne priorytety. Im wyższy priorytet, tym więcej zasobów otrzymuje proces. Jako użytkow nicy mamy możliwość zmiany priorytetów, gdy potrzebujemy, aby dla danego procesu zostało przydzielone mniej lub więcej czasu procesora. Możemy to zrobić, wprowadzając priorytety dla procesów za pomocą polecenia n i c e (rysunek 7.42). Jest to polecenie, które uruchamia proces z podanym, a nie domyślnym priorytetem. Domyślna wartość wynosi zero, najmniej ważny to wartość 19, a najważ niejszy to -2 0 . Im ważniejszy jest proces, a więc im wyższy ma priorytet, tym więcej zasobów i czasu procesora zostaje dla niego przydzielone. Polecenie n i c e przydziela procesowi specyficzną wartość atrybutu -n , która wpływa na obliczenie priorytetu procesu (zwiększenie lub zmniejszenie). Tylko użytkownik root ma prawo uruchomienia procesu z ujemnym poziomem n i c e . Gdy zwykły użytkownik spróbuje to zrobić, pojawi się komunikat o błędzie. Np. n i c e - n - 3 v i p l i k Rysunek 7.42. Z m ia n a prio ryte tu d la p ro c e s u vi
& b as ia (ttlin u x:~ 7D es kto p
’M P lik
Edycja
W id o k
Terminal
Pomoc
b a s ia @ lin u x : ~ /D e s k to p > n ic e [1 ]
-n
-3
vi
p lik
&
3798
n ic e :
u s ta w ie n ie
p o p ra w k i
n ie m o ż liw e :
[l]+ E x it 1 b a s i a @ l i n u x : ~ / D e s k t o p > su
n ic e
B ra k
-n
-3
d o s tę p u
vi
p lik
H a s ło : l i n u x : /h o m e / b a s i a / D e s k t o p [1 ]
#
n ic e
-n
-3
vi
p lik
&
3815
l i n u x : /h o m e /b a s ia /D e s k t o p
#
Powiązane polecenie r e n i c e służy do zmiany priorytetu procesu, który jest już uru chomiony, w odróżnieniu od polecenia n i c e , które dotyczy uruchamianego procesu. Tak jak w przypadku polecenia n i c e , tylko root ma prawo zmiany priorytetu na wyższy ( np. na -3 ). Wykorzystamy przykład powyżej i dokonamy zmiany priorytetu dla tego procesu za pomocą polecenia r e n i c e : s l e e p : r e n i c e - n +3 -p 37 88 (rysunek 7.43). Rysunek 7.43. Z m ia n a prio ryte tu d la p ro c e s u slee p za p o m o c ą p o le c e n ia re nice
b a s ia (ą lin u x :*'/D e s k to p P lik
Ed ycja
W id o k
Terminal
l i n u x : /h o m e /b a s ia /D e s k to p [1 ]
Pom oc #
n ic e
«
ps
-3 vi plik &
3788
l i n u x : /h o m e / b a s i a / D e s k t o p P ID TTY
T IM E CMD
3711 p t s /0
0 0 : 0 0 : 0 0 su
3739 p t s /0
0 0 : 0 0 : 0 0 bash
3788 p ts /0
0 0 :0 0 :0 0 v i
3789 p ts /0
0 0 : 0 0 : 0 0 ps
[l] +
S to p p e d
l i n u x : /h o m e / b a s i a / D e s k t o p 3788:
o ld
p r io r ity
-3 ,
#
n ic e
-n
-3
vi
p lik
re n ic e
-n
+3
-p
3788
n ew p r i o r i t y
l i n u x : /h o m e / b a s i a / D e s k t o p
3
#
291 3
top Polecenie to p pozwala na obserwowanie procesów w sposób ciągły — wyświetla aktu alizowaną w krótkich odstępach czasu listę. Umożliwia to monitorowanie pracujących procesów praktycznie w czasie rzeczywistym. Może również służyć do przydzielania nowej wartości n i c e procesom bądź do ich kończenia. Przy użyciu to p obowiązują te same zasady co przy zmianie poziomu n i c e procesu za pomocą polecenia r e n i c e . Użytkownik bez uprawnień administratora może pod wyższyć poziom n i c e , jednak nie może go obniżyć Po wprowadzeniu polecenia top zostanie wyświetlona lista, jak poniżej na rysunku 7.44.
to p - 2 1 : 3 4 :3 7 up 37 m in , 2 u s e rs , lo a d a v e ra g e : 0 . 1 3 Tas ks : 107 t o t a l , 2 ru n n in g , 105 s le e p in g , 0 sto p p e C p u (s ): 1 .7 \u s , 2.7 % s y , 0 .0 % n i, 9 5 .6 % ld , 0.0% w a, Hem: 5058 20 k t o t a l , 47 57 48 k u se d . 3007 2k f r e e , Swap: 21 04472k t o t a l , 0k u se d , 2104472k f r e e ,
2756 3933 64 3453 5 ICO 67 59 1 2 3 4
ro o t b h a ls k a ro o t ro o t b h a ls k a b h a ls k a ro o t ro o t ro o t ro o t.
20 20 15 20 20 20 20 15 RT 15
0 40840 14m 6 9 44 5 0 87 09 2 17m 13m S •5 0 0 0 S 0 3280 1132 9 3 2 S 0 92 31 2 18m 12m R 0 2416 976 7 6 4 R 0 1008 356 3 0 8 S -5 0 0 0 S -5 0 0 0 S 0 -5 0 0 S..
2 .7 1 .3 0 .7 0 .7 0 .7 0 .7 0 .0 0 .0 0 .0 0 .0
2 .9 3 .5 0 .0 0 .2 3 .7 0 .2 0 .1 0 .0 0 .0 0 .0
R y s u n e k 7 .4 4 . W y n ik d z ia ła n ia p o le c e n ia to p
Wyświetlona lista jest domyślnie sortowana według czasu pracy i aktualizowana co 3 sekundy. Opis jej poszczególnych kolumn został zawarty w tabeli 7.8. Można zakończyć działanie to p wprowadzeniem q. T a b e la 7 .8 . O p is d o m y ś ln y c h ko lu m n
Kolumna
Opis
Kolumna
Opis
PID
ID procesu
S
Status procesu
USER
Nazwa użytkownika
%CPU
Użycie CPU w procentach
%MEM
Użycie pamięci (RES) w procentach
TIME +
Czas CPU
COMMAND
Nazwa polecenia
PR
Priorytet
NI
Wartość NICE
VIRT
Obraz wirtualny (w kB)
RES
Stały rozmiar (w kB)
SHR
Rozmiar dzielonej pamięci (w kB)
Polecenia zarządzające procesami dostępne w to p można przeglądać poprzez wpro wadzenie ? lub h.
Q 292
Opcje linii poleceń mogą być użyte do zmiany domyślnego zachowania top: •
t o p - d 5 (opóźnienie — delay) zmieni domyślne opóźnienie przed odświeżeniem (3 sekundy) na 5 sekund,
•
t o p - n 3 (pętla — iterations) spowoduje, że to p zrezygnuje po trzecim odświeżeniu.
kill Procesy w systemach Linux na ogół kończą się samoistnie. Czasem jednak istnieje po trzeba wymuszenia wcześniejszego zakończenia procesu — np. procesu zawieszonego, w nieskończonej pętli itd. Zakończenie programu można wymusić przez wysłanie do procesu odpowiedniego sygnału. Do wysyłania sygnałów do procesów służą narzędzia k i l l i k i l l a l l . Składnia polecenia: k ill
-sygnał numer_procesu
Różnica między narzędziami: •
k i l l — jako wymagany parametr przyjmuje PID procesu, do którego ma być wy słany sygnał,
•
k i l l a l l — parametrem jest nazwa procesu (sygnał zostanie wysłany do wszystkich procesów o wybranej nazwie).
W parametrach poleceń możemy użyć nazw sygnałów lub ich numerów: np. k i l l -SIG K IL L lub k i l l - 9 k i l l -STOP lub k i l l - 1 9 k i l l - 9 PID (np. k i l l - 9 390 5 ) — to polecenie spowoduje zakończenie procesu (rysunek 7.45) BI Plik
_ Ed ycja
W id o k
Terminal
b a s ia 0 lin u x :~ /D e s k to p > P ID TTY
Pomoc
ps
T IM E CMD
3905 p ts /0
0 0 : 0 0 : 0 0 bash
3922 p ts /o
0 0 : 0 0 : 0 0 ps
b a s ia @ lin u x : ~ /D e s k t o p > k i l l
-9
3905|
Rysunek 7.45. D zia ła n ie p o le ce n ia kill, któ re s p o w o d u je z a m k n ię c ie konsoli
Sygnał SIGKILL spowoduje natychmiastowe zakończenie działania procesu, sygnał STOP — jego zatrzymanie. Inny przykład poleceń wywołujących tę samą procedurę zakończenia procesu — ob sługę sygnału TERM: kill -TERM kill -SIGTERM kill -17
293 D
Jeżeli użyjemy narzędzi k i l l lub k i l l a l l bez parametrów, domyślnie do wybranego procesu zostanie wysłany sygnał TERM, który spowoduje, że proces podejmie działania prowadzące do prawidłowego zakończenia. Aby wyświetlić dostępne sygnały w systemie, można użyć polecenia: kill -1 1) SIGHUP
2) SIGINT
3) SIGQUIT
5) SIGTRAP
6) SIGABRT
7) SIGBUS
9) SIGKILL
10) SIGUSR1
4) SIGILL 8) SIGFPE1
11) SIGSEGV
12) SIGUSR2
13) SIGPIPE
14)
SIGALRM
15) SIGTERM
16) SIGSTKFLT1
17) SIGCHLD
18)
SIGCONT
19) SIGSTOP
20) SIGTSTP
SIGTTIN
22)
SIGTTOU
23) SIGURG
21)
25) SIGXFSZ 29) SIGIO
26) SIGYTALRM 30) SIGPWR
24) SIGXCPU
27) SIGPROF
31) SIGSYS
28) SIGWINCH
34) SIGRTMIN
35) SIGRTMIN+1
36) SIGRTMIN+2
37) SIGRTMIN+3
38) SIGRTMIN+4
39) SIGRTMIN+5
40) SIGRTMIN+6
41) SIGRTMIN+7
42) SIGRTMIN+8
43) SIGRTMIN+ 9
44) SIGRTMIN+10
45) SIGRTMIN+11
47) SIGRTMIN+13
48) SIGRTMIN+14
49) SIGRTMIN+15
51) SIGRTMAX-13
52) SIGRTMAX-12
53) SIGRTMAX-11
46) SIGRTMIN+12 50) SIGRTMAX-14 54) SIGRTMAX-10
55) SIGRTMAX-9
56) SIGRTMAX-8
57) SIGRTMAX-7
58) SIGRTMAX-6
59) SIGRTMAX-5
60) SIGRTMAX-4
61) SIGRTMAX-3
62) SIGRTMAX-2
63) SIGRTMAX-1
64) SIGRTMAX
s le e p s l e e p to polecenie, które opóźnia działanie wybranych akcji, czyli wymusza przerwę w działaniu. Po skończeniu się czasu przerwy terminal wyświetli nową linię i polecenia będzie można wpisywać dalej. Np. s l e e p 2
J ĆWICZENIA
1 . Polecenia p s, jo b s , bg, fg , to p , s l e e p , k i l l a l , k i l l 2 . Uruchom kilka procesów s l e e p 1 5 0 , każdy z nich przerwij Ctrl+Z. 3 . Wywołaj polecenie jo b s procesy.
i zobacz, jaki status mają wywołane wcześniej
4 . Wywołaj polecenie bg %1. 5 . Wywołaj polecenie f g %1, a następnie użyj skrótu Ctrl+Z. 6 . Wywołaj polecenie bg %1. 7 . Uruchom w konsoli Firefoksa. 8 . Wywołaj w drugiej konsoli p s -a u .
d 294
9.
W tej konsoli, w której został uruchomiony Firefox, użyj skrótu klawiatu rowego Ctrl+Z.
1 O. Jeszcze raz wywołaj w drugiej konsoli p s -a u . 1 1 . Zakończ proces Firefoksa. 1 2 . Wywołaj p s -a u x . 1 3 . Spróbuj zabić proces i n i t . d poleceniem k i l l - 9
1
1 4 . Zakończ proces powłoki b ash . 1 5 . Uruchom program x e y e s w tle poleceniem x e y e s &. 1 6 . Zatrzymaj („zabij”) proces x e y e s poleceniem k i l l a l l x e y e s .
1 . Do czego służy polecenie bg? 2 . Podaj nazwę polecenia, którym można zabić proces. 3 . Jakie polecenie pozwala sprawdzić procesy użytkownika załogowanego?
S 777. M onitoring Informacje o sprzęcie można uzyskać z plików z katalogu /proc oraz za pomocą poleceń. Pliki związane z monitoringiem systemu Linux: /proc/cpuinfo — informacja o procesorze, /proc/m em info — informacja o pamięci operacyjnej, /proc/devices — urządzenia używane w systemie, /proc/ioports — porty wejścia-wyjścia (I/O), /proc/interrupts — lista IRQ (przerwań), /proc/dm a — kanały DMA (bezpośredni dostęp do pamięci), /proc/bus/pci/devices — urządzenia PCI, /proc/scsi/scsi — urządzenia SCSI. Natomiast polecenia są następujące: hw in fo — generuje spore podsumowanie o sprzęcie. Możemy też dodać parametry, np. — s h o r t (skrócone podsumowanie) lub — lo g p l i k (wtedy wynik będzie przekierowany do pliku): # hwinfo
| less
# hwinfo — short # hwinfo — log raport.txt
295p
hdparm — pozwala obejrzeć lub ustawić parametry dysków, f d i s k — pozwala obejrzeć partycje oraz zarządzać nimi. i o s t a t — pokazuje statystyki użycia urządzeń pod kątem operacji wejścia-wyjścia, wymaga doinstalowania pakietu systat. l s p c i — lista urządzeń PCI; opcje - v i - w pozwalają ujawnić nieco więcej szczegółów, d f , du — pozwala ustalić zużycie miejsca na dysku, f r e e — użycie pamięci operacyjnej. v m s ta t — narzędzie monitoringu, które dostarcza informacji o użyciu pamięci opera cyjnej, a także informacji o Błock IO i aktywności CPU. l p s t a t — wypisuje informację o stanie usług drukowania LP. Monitoring systemu jest możliwy również w trybie graficznym. Służy do tego narzędzie M onitor systemu (rysunek 7.46). Pakiet pozwala na graficzne przeglądanie uruchomio nych procesów systemu i zarządzanie nimi. Dostarcza również przegląd dostępnych zasobów, takich jak użycie procesora i pamięci. Rysunek 7.46. M o n ito rin g s yste m u
Monitorowanie fcdycja Widok Pomoc System Procesy Zasoby systemy plików Hardware Historia CPU
^i v
- j ' - v - v '- y
j
s *
»
u
■ ■ CPU 40,-1% Historia wykorzystania pamięci i przostrzani wymiany
Przestrzeń wymiany ^
111,0 MB (22,b %> Z 494.0 MB
0 Bajtów (0.0 %) Z 2.0 OB
Historia sicei
Igjl Udbieiame ^
Łącznie odebtane
0 Bajtów/s 1,0 KB
wysyłanie Łącznie wysiane
o Bajtów/s 642 bajty
1 . Korzystając z powyższych poleceń, sprawdź konfigurację partycji. 2 . Sprawdź, ile jest użytej pamięci RAM. 3 . Sprawdź listę przerwań IRQ. 4 . Ustal zużycie miejsca na dysku.
•
PYTANIA
1 . Jakim poleceniem w Linuksie możesz stworzyć partycję? 2 . Jakie polecenie generuje raport o stanie systemu? 3 . Jaki plik przechowuje informacje o procesorze?
ZJ3. Usługi sieciow e 7.8 .1. D N S WSKAZÓWKA
BIND (ang. Berkeley Internet N am e Domain) jest jednym z najpopularniejszych serwe rów DNS w ykorzystywanym w system ach Linux i Unix. BIND stanowi niezmiernie w ażny składnik zapewniający poprawne rozwiązywanie nazw. Serwer DNS to w ielka rozproszona baza danych, w której są przechowywane odwzorowania nazw dom enowych na adresy IP
Głównym plikiem konfiguracyjnym serwera DNS jest plik /etc/nam ed.conf. Zawiera on informacje na temat obsługiwanych stref oraz opcji działania samego serwera. Aby zapewnić poprawne działanie serwera związanego z rozwiązywaniem nazw, należy wyedytować dwa pliki: •
/etc /h o s t.c o n f— zawiera informacje o kolejności, w jakiej system powinien od pytywać różne systemy (serwery DNS, NIS) przy rozwiązywaniu nazwy sieciowej,
•
/etc/resolv.conf— definiuje kolejność przeszukiwania domen i zawiera adresy ser werów nazw.
Plik h ost.con f może zawierać następujące opcje: • o r d e r — polecenie to określa kolejność, w jakiej będą odpytywane systemy, • m u lti — pozwala określić, ile wyników może zwrócić system rozwiązywania nazw. Najczęściej przy konfiguracji w pliku /etc/resolv.conf stosuje się dwa słowa kluczowe: • n a m e se rv e r — określa adres serwera DNS, • dom ain — określa nazwę domeny, do której należy komputer. W celu zainstalowania usługi rozwiązywania nazw w systemie SUSE należy w YaST2 w grupie Usługi sieciow e odnaleźć Serwer DNS (rysunek 7.47).
297 3
g | Konfiguracja iiHD “ §i Narwy lio-.lcrw Oprogramowanie
Spngł Ucąazema ueciowe Usługi sieciowe
Pirynaleiroti ito ilor
£ t—
| ¿ i Serwer ONS
•Q1s.™rHnp
Rysunek 7.47. YaST2: U słu g i s ie c io w e /S e rw e r D NS
Po kliknięciu tej usługi uruchomi się kreator inicjalizacji konfiguracji (rysunek 7.48), który najpierw sprawdzi, czy usługa jest zainstalowana; jeżeli nie jest, przeprowadzi instalację. Rysunek 7.48. In icja liza cja ko n fig u racji s e rw e ra D NS
Po zainstalowaniu usługi jest przeprowadzana wstępna konfiguracja. W pierwszym ok nie należy podać adresy pośredniczące (rysunek 7.49), z których usług będzie korzystał serwer, jeśli sam nie będzie potrafił rozwiązać nazw. Rysunek 7.49. D o d a w a n ie a d re su p o ś re d n ic z ą c e g o
-i Instalacja serwera DNS Ustawienia przekazującego
W następnym oknie trzeba skonfigurować strefę DNS dla danej domeny (rysunek 7.50). Należy podać nazwę domenową oraz zdefiniować typ jako główny. Rysunek 7.50. S trefy DNS
S Instalacja serwera DNS: Strefy DNS
(prań ssonagurorwn#ttiefyo» So«fi “ Typ
Przerani I ( WTOCZ
[
W ostatnim oknie kreatora (rysunek 7.51) należy otworzyć port oraz określić sposób uruchamiania dla usługi. Rysunek 7.51. D NS — k o ń cze n ie p ra c y kre ato ra
w In stalacja se rw e ra D NS: Kończenie pracy kreato ra V Otwór? port w zaporze
ragóty zapory SM£lowe|
Pnrt zapory Stadowej |est otwarty nawszystkich mteireisacft P AKtyvnij obsług* LDAP Uruchamiam* podczas uruchamiania systemu : Włączone - uiucftom seiwet UNb podczas uruchamiania systemu • wyt.|i mm m im i ou«. matabyi uruchamiany tylko igr m it • Przekazujący 192 168 18 1
Zaawansowana konfiguracja serweta DNS
Pomoc
Przerwij
Wstecz
Zakończ
Jeżeli usługa została już zainstalowana oraz wstępnie skonfigurowana, można przejść do konfiguracji zaawansowanej poprzez ponowne uruchomienie kreatora usługi DNS, który tym razem nic nie instaluje, tylko wczytuje ustawienia. W celu dodania rekordów do strefy DNS należy jeszcze raz umchomić usługę i edytować strefę (ang. zone). Następnie przejść do zakładki Rekordy (ang. records) i dodać rekordy (rysunek 7.52). W celu dodania rekordu należy uzupełnić trzy pola:
299 D
•
Klucz rekordu — tutaj wprowadza się nazwę konkretnego hosta,
•
Typ — określa rodzaj odwzorowania, jaki ma realizować dany rekord: »A — translacja nazwy domenowej na adres IPv4, » AAAA — translacja nazwy domenowej na adres IPv6, » CNAME — alias dla nazwy domenowej, » PTR — przypisanie adresu hosta do IP. Rekordy wskaźnika (PTR) są używane do wyszukiwania wstecznego,
•
Wartość — adres hosta lub nazwa aliasu. YaST2 (jako administrator)
.
Edytor stref Ustawienia dla strety rwiion local
£odstawowe
Rekordy NS
Ustawienia rekordu Klucz rekordu
Rekordy MX
SOA
Typ
| serwer
A Translacja nazwy domeny (IPv4)
Wartoic i
\192 168 18
Rekordy
1 Zmień Dodaj
Skonflgurowane rekordy zasoDów Klucz rekordu www
v
Typ
Wartość
Usuń
CNAME serwer
Rysunek 7.52. E d yto r stref
i
A
ĆWICZENIA
1 . Zainstaluj i skonfiguruj usługę DNS.
a
N
a
PYTANIA
1 . Jak nazywa się serwer DNS w Linuksie? 2 . Podaj nazwę oraz ścieżkę pliku konfiguracyjnego serwera DNS.
7 .8 .2 . DH CP W celu zainstalowania lub skonfigurowania usługi DHCP należy przejść w YaST2 do narzędzi Usługi sieciowe i wyszukać Serwer DHCP. Jeżeli nie jest on jeszcze zainstalowany, to po uruchomieniu pojawi się komunikat pozwalający na instalację (rysunek 7.53). Pliki konfiguracyjne serwera to /etc/dhcpd oraz /etc/sysconfig/dhcpd.
d 300
Rysunek 7.53. K re a to r ko n fig u ra cji DHCP
Po zainstalowaniu pojawia się Kreator tworzenia serwera DHCP. W pierwszym kroku poprosi o wybranie karty sieciowej, dla której serwer DHCP będzie świadczył swoje usługi (rysunek 7.54). Powinna to być karta dla sieci wewnętrznej, czyli lokalnej, o adresie statycznym. Rysunek 7.54. W y b ó r ka rty siecio w e j d la u słu g i D HCP
W kolejnym oknie kreatora (rysunek 7.55) należy zdefiniować ustawienia globalne, takie jak: •
N azw a dom eny, np. helion .local,
• Adres IP głów nego serwera nazw, • Adres IP wtórnego serwera nazw, •
Brama dom yślna (router),
•
Serwer czasu N TP,
•
Serwer wydruku,
•
Serwer WINS,
•
D om yślny czas dzierżawy.
301 D
Są to dane, które są przekazywane przy pobieraniu adresu IP dla klienta. Kreator tworzenia serwera DHCP (2 z 4): Ustawienia globalne Otiiuga lo- i
ni acmysini (router)
r
1
Domyślnyczas Ozjeiza
~
ir . . . . . . . . . . . .
' I S*»l R y s u n e k 7 .5 5 . U sta w ie n ia g lo b a ln e s e rw e ra DHCP
W kolejnym kroku konfiguracji można określić zakres adresów oraz czas dzierżawy. W tym oknie można również dodać strefy przeszukiwania dla serwera DNS. Uruchamia się kolejny kreator: N ow a strefa wyszukiwania DNS, w którym są zapisane ustawienia podane podczas konfiguracji serwera DHCP (rysunek 7.56). • Uruchamianie serwera DHCP: Nowa strefa wyszukiwania DNS — krok 1 z 3
Pomoc
Pratrwrj
j
P»«l
|
R y s u n e k 7 .5 6 . U ru c h a m ia n ie s e rw e ra DHCP: N o w a stre fa w y s z u k iw a n ia DNS
W kolejnym oknie (rysunek 7.57) należy dodać serwery przeszukiwania DNS. Gdy zostaną dodane, można wrócić do konfiguracji serwera DHCP. Jeżeli nasza lokalna strefa nie potrafi rozwiązać nazw, należy dodać inne serwery DNS, które to umożliwią. Uruchamianie serw era DHCP: Serw ery nazw strefy — krok 2 z 3
Dja«j | Frrtrwij
WłUct
OaUj
R y s u n e k 7 .5 7 . U ru c h a m ia n ie s e rw e ra DHCP: S e rw e ry n a z w strefy
W ostatnim oknie kreatora (rysunek 7.58) należy zdefiniować, w jaki sposób ma być uruchamiany serwer DHCP. i Kreator tworzenia serwera DHCP (4 z 4): Uruchamianie
R y s u n e k 7 .5 8 . K re a to r tw o rze n ia s e rw e ra DHCP: U ru ch a m ia n ie
Usługa została zainstalowana oraz wstępnie skonfigurowana, można więc przejść do konfiguracji zaawansowanej, w której można określić statyczne przydzielanie adresów IP na podstawie adresów MAC (rysunek 7.59).
303 D
serwer DHCP: Zarządzanie hostami Kairy Oyiummny DHCP
2ai«t«1rowanyIwsl Nawa •' IP
AdlMIpirrtOWy
Nawa |>*i|
1
Typ
Ü
Aartł |F
Doda]
Adiwupcrtwy Iwocwcoecc • sm*™
imi.nw liłcia
Psnwc ;
i“ '» ' «
y»uhz luty £nulu| J f Zafcofts J
Rysunek 7.59. S e rw e r DHCP: Z a rz ą d z a n ie h o sta m i
Usługę taką jak DHCP można również uruchomić z konsoli: /etc/init.d/dhcpd (start|stop|restart|status)
s t a r t — uruchamia usługę, s t o p — zatrzymuje usługę, r e s t a r t — restartuje usługę, s t a t u s — wyświetla status usługi. Aby zatrzymać, uruchomić lub przeładować dowolną usługę, należy zalogować się do powłoki jako root. Uruchamianie usług za pomocą konsoli jest bardzo przydatne podczas wprowadzania zmian w ustawieniach usługi. Pozwala sprawdzić, czy usługa wystartuje, a jeżeli nie, zostaną wyświetlone komunikaty, które wskazują błędy popełnione podczas konfiguracji. Wszystkie usługi, jakie możemy w ten sposób uruchomić lub sprawdzić ich status, znajdują się w katalogu /etcjin it.d, np. cups, sshd, pure-ftpd, smb.
aK
A
ĆWICZENIA
1 . Zainstaluj i skonfiguruj usługę DHCP. 2 . Zdefiniuj przydzielenie adresu IP na podstawie adresu fizycznego (MAC).
aK ( \
PYTANIA
1 . Omów usługę DHCP. 2 . Co to jest MAC? 3 . Jakim poleceniem uruchamiamy usługę ręcznie?
c 304
7 .8 .3 . R o uting Routing jest procesem wyznaczania tras, wykorzystującym mechanizmy z trzeciej warstwy (sieci) modelu OSI. Funkcja określania ścieżki pozwala routerowi na porównanie adresu odbiorcy z do stępnymi trasami zawartymi w tablicy routingu i na wybór najlepszej trasy. Routery mogą zdobyć informacje na temat dostępnych tras za pomocą routingu statycznego lub dynamicznego. Trasy skonfigurowane ręcznie przez administratorów sieci są określane mianem tras statycznych. Trasy, o których informacje zostały otrzymane od innych routerów za pomocą protokołu routingu, są określane mianem tras dynamicznych. Wpisy wewnątrz tablicy routingu zawierają przede wszystkim: •
przeznaczenie — sieć docelową podaną w formie adresu sieci,
•
urządzenie, przez które trasa jest osiągalna — fizyczne urządzenie bądź adres na stępnego skoku.
Tablica routingu jest skonfigurowana w SLES za pomocą plików konfiguracyjnych znajdujących się w /etc/sysconfig/network/w pliku routes — określenie tras. Dla każdego interfejsu, który wymaga określenia trasy pakietów, należy zmodyfikować plik letcl sysconfig/network/ifroute-ethO dla pierwszej karty sieciowej. Dla każdej kolejnej nazwa pliku to ifroute-*, gdzie * oznacza numer interfejsu, tj. kolejno e th l, eth 2 itd. Poniższe skrypty w katalogu /etc/sysconfig/network/scripts/ pomagają przy obsłudze tras: • i f u p - r o u t e — na utworzenie trasy, • ifd o w n -r o u t e — wyłączanie trasy, • i f s t a t u s - r o u t e — do sprawdzania stanu tras. Konfigurację routingu można również przeprowadzić przy użyciu narzędzia YaST2. W tym celu należy przejść do zakładki Rutowanie. Pierwszą opcją, jaką należy skon figurować, jest Bram a dom yślna (rysunek 7.60). To ustawienie pozwoli określić trasę domyślną dla pakietów. Rysunek 7.60. R utow a n ie
305 3
Można również dodać nowy wiersz do tablicy nitowania. Żeby to zrobić, trzeba skon figurować kilka istotnych opcji, takich jak: •
Przeznaczenie — określa adres podsieci, który jest jednocześnie pierwszą kolumną w tablicy, np. 192.168.18.0,
•
Brama — adres urządzenia sieciowego pełniącego rolę lokalnego routera, do którego zostaną skierowane pakiety, np. 192.168.18.1,
•
M aska sieci — maska podsieci przypisana do adresu określonego w pierwszej ko lumnie, np. 2 55.255.255.0,
•
Urządzenie (opcjonalnie) — nazwa urządzenia dla określonego wiersza w tablicy trasowania,
•
Opcje — można określić dodatkowe opcje dla dodawanych tras.
Ostatnią opcją, jaką można ustawić, jest włączenie przekazywania IP. Jest ona niezbęd na w przypadku, gdy serwer ma pełnić rolę routera dla innych komputerów w sieci (rysunek 7.61). R y s u n e k 7 .6 1 . D o d a w a n ie tra sy ro utingu
Aby sprawdzić tablicę routingu, należy w konsoli wywołać polecenie r o u t e (rysunek 7.62).
Plik
Edycja
Widok
Terminal
Pomoc
l i n u x : /h o m e /b a s ia /D e s k to p # r o u te K e rn e l TP r n u t in g t a h l e D e s t i n a t io ni Gateway Genmask ,0 lin u x .s ite 2 5 5 . 2 5 5 .2 5 5 .0 ) * 2 5 5 . 2 5 5 .2 5 5 .0 link-local * + loopback d e fa u lt 1 9 2 . 1 G 8 .1 .2 ix :/hot ;/bd!>id/De!>k lop » |
2 5 5 .2 5 5 .0 .0 2 5 5 .0 .0 .0 0.0.0.0
F la g s UG U U U UG
M e tr i c 0 0 0 0 0
Ref 0 0 0 0 0
Use 0 0 0 0 0
if ace e th l c th 2 e th l lo e th 2
R y s u n e k 7 .6 2 . T ablica ro utin g u
Pierwsza kolumna w tablicy na powyższym rysunku odnosi się do adresu przeznaczenia, czyli adresu hosta, podsieci, sieci, do której jest zaadresowany pakiet. W drugiej kolumnie jest określony adres IP routera będącego następnym skokiem dla pakietu pasującego do
Q306
pary d e s tin a tio n / g e n m a s k , czyli kolumny 1. i 3. z rysunku 7.62. Kolumna, która zawiera genm ask, jest ściśle związana z kolumną oznaczającą przeznaczenie i pozwala zdefiniować, ile mamy adresów w danej podsieci w każdej z klas adresu IP (to zagadnienie zostało omówione w podrozdziale 4.6). Interesująca jest też ostatnia kolumna. W niej są podane nazwy interfejsów sieciowych, przez które dany pakiet jest kierowany do sieci. Urządzenie sieciowe może mieć kilka takich interfejsów (kart sieciowych) i każdy z nich może być przyłączony do innej sieci. Ważne jest więc, aby dane zostały przekierowane do odpowiedniego interfejsu. Pierwszy zapis w danej tablicy wskazuje dokładnie, że datagram adresowany do komputerów w podsieci 192.1 6 8 .1 8 .0 ma być skierowany do interfejsu eth l. Wyraz default określa adres domyślny, czyli każdy adres, który nie znajdował się w pierwszej kolumnie na poprzednich pozycjach. Określenie loopback określa pętlę lokalną, czyli odniesienie do siebie samego. i ĆWICZENIA
1.
Skonfiguruj nową trasę routingu.
PYTANIA
1 . W jakim pliku znajduje się konfiguracja tras routingu? 2 . Jakie polecenie pozwala na tworzenie nowej trasy? 3 . Jakim poleceniem sprawdzamy trasę routingu?
7.8 .4 . NAT Do skonfigurowania usługi NAT, tak jak i routingu, są potrzebne co najm niej dwa interfejsy sieciowe. Jeden będzie obsługiwał sieć zewnętrzną (internet), a drugi sieć wewnętrzną (lokalną). Pierwszym krokiem jest konfiguracja ustawień kart sieciowych w YaST2 (rysunek 7.63). Rysunek 7.63. K o n figu ra cja ka rt s ie c io w ych
307
W ramach routingu dwa interfejsy sieciowe należy podzielić na strefę zewnętrzną dla karty, która jest podłączona do internetu, i na strefę wewnętrzną dla karty podłączonej do sieci lokalnej. W ustawieniach karty, która obsługuje połączenie z internetem, w zakładce Ogólne należy zmienić ustawienia Strefa zapory sieciowej na Strefa zewnętrzna (rysunek 7.64). Rysunek 7.64. U sta w ie n ia karty siecio w e j: s tre fa ze w n ę trzn a
ł . Ustawienia karty sieciowej Aktywacje urtadtenia Uaktywnij urządzenie
SBili »pety naciowej Pnypn Interfejs do stietyzaporysu Śfiatazewnętrzna vuąer kontrolęuiząazoń pner Kmierne»dlarwyktycn użytkowników Maksymalna jednosta IranKaiu 1MTU1 ustaw¡¿TU
I
~
Należy zapisać wszystkie ustawienia. Następnie można przejść do ustawień kolejnej karty, tym razem obsługującej sieć lokalną (rysunek 7.65). Należy zmienić ustawienia zapory sieciowej dla tej karty, ustawiając ją na Strefę w e wnętrzną (niechroniony) . Rysunek 7.65. O k re ś le n ie strefy d la interfejsu
?, Ustawienia karty sieciowej Oflolne
m ;m
AMywKji urządzenia Uaktywnij ucądzeme Podczas uruchamiana systemu
0
strefa tapety sieciowej Przypisz interfejs do sbelyzapoiy sieciowej Stieta wewnętrzna iniecmonlonyo 1 i '.viąęz Kontro!«urządzeń rzaz Klnłemet dla zwyMyclt użytkowników llltMTU)
S|W«
:
Kolejną czynnością, jaką należy wykonać, jest przypisanie nazwy hosta do pętli zwrotnej IP (Loopback IP). Po przejściu w ustawieniach sieci YaST2 do zakładki Nazwa hosta/DNS, trzeba włączyć opcję Przypisz nazwę hosta do adresu IP pętli zwrotnej (rysunek 7.66). Rysunek 7.66. P rzyp isa n ie n azw y h osta d o pętli zw rotne j
• ustawienia sieci OpgagMuHna
Era««**!
Na£wak«npt**ra jSLESII / ZnąaA kompularapee OMCP
hołta/OMS
£ul
NaowaRomany | h'llonlocal
MMpta*kort*.«-:*nris LC'rt raiortń flomyiinycni Sarwaiynaiwi MO Osmanpresaauluwania 1192IM IB1
0o®anapcsiiuknf/ania | nelion»cal
S~**.na7»2 1
1
1
1
P«n«
finukii
Ot.
Teraz należy włączyć przekierowanie IP (IP Forwarding). Można to zrobić w ustawieniach sieci YaST2, w zakładce Rutowanie. Wystarczy zaznaczyć odpowiednią opcję: W łącz przekazywanie IP (rysunek 7.67). Rysunek 7.67. W łą c z e n ie p rz e k a zy w a n ia w z a k ła d c e R utow a n ie
Jeżeli karty sieciowe zostały skonfigurowane poprawnie, w kolejnym kroku należy skonfigurować Zaporę sieciową. Zapora sieciowa jest narzędziem, które znajduje się w YaST2 w grupie Zabezpieczenia i użytkownicy. W oknie zapory sieciowej należy dla każdego interfejsu zdefiniować rodzaj strefy. Dla karty wewnętrznej, czyli lokalnej, wy bieramy strefę wewnętrzną, natomiast dla karty zewnętrznej (np. internet) określamy strefę zewnętrzną (rysunek 7.68).
309 3
uiuenamttni* Dozwolone usługi Translacja adresów Rozgłaszanie unsiuga iPsae Poziom zapisu w dzienniku Własne zasady
FE K o n fig u ra c ja z a p o r y s ie c io w e j: In te r fe js y Urządzenie
wyrażenie niestandardowe
v
interfejs alfie wyrażenie
Skonfigurowano w
any
streta zewnętrzna
R y s u n e k 7 .6 8 . K o n fig u ra cja z a p o ry siecio w e j
Kolejną czynnością, którą należy wykonać, jest włączenie translacji adresów (ma skarady). W oknie Konfiguracja zapory sieciow ej wybieramy opcję Translacja adresów i następnie Translacja adresów sieci (rysunek 7.69). R y s u n e k 7 .6 9 . K o n fig u ro w a n ie m a s k a ra d y w z a p o rz e sie cio w e j
Teraz wystarczy kliknąć przycisk Dalej. Wyświetli się wówczas podsumowanie translacji adresów, a translacja adresów IP zostanie włączona. ĆWICZENIA
1.
Zainstaluj i skonfiguruj usługę NAT.
PYTANIA
1 . Na czym polega technologia translacji adresów IP? 2 . Jak są oznaczane karty sieciowe w systemie Linux?
7 .8 .5 . VPN VPN (ang. Virtual Private N etw ork, Wirtualna Sieć Prywatna) — jest tunelem, przez który płynie ruch w ramach sieci pomiędzy klientami końcowymi za pośrednictwem publicznej sieci (takiej jak internet) w taki sposób, że węzły tej sieci są przezroczyste dla przesyłanych tak pakietów. Można opcjonalnie kompresować lub szyfrować prze syłane dane w celu zapewnienia lepszej jakości lub większego poziomu bezpieczeństwa. Jedną z propozycji do tworzenia sieci VPN jest OpenVPN. Oprogramowanie to jest wydawane na licencji GNU GPL, jest darmowe i ma otwarty kod Do budowania szy frowanych tuneli, w odróżnieniu od wielu innych rozwiązań, nie jest wykorzystywany protokół IPSec, ale szyfrowanie oparte na bibliotekach OpenSSL. Wykorzystywany OpenSSL jest rozwijany na bieżąco, co gwarantuje duże bezpieczeństwo i szybką re akcję na wykryte błędy. Wadą pakietu OpenVPN jest nigdzie nieopisany protokół komunikacji, który mimo wykorzystania OpenSSL-a może być powodem problemów z bezpieczeństwem. Instalację przeprowadza się z konsoli za pomocą polecenia zy p p er (rysunek 7.70) (instalacja za pomocą polecenia zy p p er została omówiona w punkcie 7.3.1). zypper install openvpn
hhal.k a£SL6Sl1: -/Ćwiktop> «u •jif.il; homo, bh.Uk. Dttktop » zyppar inst wczytywania danych repozytonun... Odczytywania zainatalewanych pakiet«.... Rozwiązywania zaleznolci pakietu...
1 nowy pakiet do zainstalowania. Całkowity rorniar danych do pobrania: 330.0 KiS Po wykon coatame dodatkowo 73?.o KiB. Czy kontynuować? It/n/tJ (t): t
R y s u n e k 7 .7 0 . In sta la cja O p e n V P N za p o m o c ą p o le c e n ia z y p p e r
Sprawdzamy, czy mamy sterownik wirtualnego interfejsu TUN/TAP, za pomocą poleceń (rysunek 7.71): #modprobe tu n — powinno nic nie wyświetlić, #dmesg | g re p tu n — wyświetla sterownik wirtualnego interfejsu.
Plik
Edycja
W idok
Terminal
Pomoc
S L E S ll: /e tc /o p e n v p n S L E S ll: /e tc /o p e n v p n
# m o d p ro b e t u n # dmesg | g r e p t u n
[ 9 9 3 2 .4 9 9 2 0 7 ] [ 9 9 3 2 .4 9 9 2 1 0 ]
U n i v e r s a l T U N /T A P d e v ic e d r i v e r , 1 . 6 (C ) 1 9 9 9 - 2 0 0 4 M ax K ra s n y a n s k y
tu n : tu n :
Rysunek 7 .7 1. P ole ce n ia s p ra w d z a ją c e s te ro w n ik w irtu a ln e g o interfejsu
311 3
Następnie należy wygenerować na routerze klucz, który będzie wykorzystywany do szyfrowania i uwierzytelniania transmisji (rysunek 7.72). operwpn — genkey — secret /etc/openvpn/static.key b h a lska @ S L E S 1 1 :~ /D e skto p P lik
E d y c ja
W id o k
T e rm in a l
_
□
X
Pom oc
S L E S 1 1 : / h o m e / b h a ls k a / D e s k t o p # o p e n v p n S L E S 1 1 : / h o m e / b h a ls k a / D e s k t o p #
--g e n k e y
--s e cre t
/ e t c / o p e n v p n / s t a t ic . key
Rysunek 7.72. G e n e ro w a n ie klucza
Serwer będzie forwardował pakiety, wobec czego w pliku /etc/sysctl.conf należy dopisać linijkę, wykorzystując np. edytor vi (rysunek 7.73): n e t .ipv4.ip_forward=l bhalaka «SL E 011 ¡-/Desktop Plik
Edycja Widok Terminal
Pomoc
n e t .i p v 4 . i c m p _ e c h o _ i g n o r e _ b r o a d c a s t s = 1 # e n a b l e route v e r i f i c a t i o n o n a l l i n t e r f a c e s n e t . i p v 4 . c o n f .all.rp_filter = 1 # e n a b le
ip V 6
f o r w a r d in g
# n e t . ip v 6 . c o n f . a ll. f o r w a r d in g
= 1
# in c r e a s e th e num ber o f p o s s ib le i n o t if y ( 7 ) f s . i n o t if y . m a x _ u s e r _ w a t c h e s = 6 5 5 3 6
w a tc h e s
# a v o i d d e l e t i n g s e c o n d a r y IPs on d e l e t i n g the p r i m a r y net.ipv4.conf.default.promotesecondaries = 1
IP
net.ipv4.conf.all.promote_secondaries - 1 n e t .i p v 4 . i p .f o r w a r d - Q " s y s c t l .conf" 1 3 L ,
5 2 5 C z a p i s a n o ______________________________
Rysunek 7.73. W p is w p liku sysc tl.c o n f
Następnie należy utworzyć grupę oraz konto użytkownika na potrzeby tunelu (rysunek 7.74): groupadd openvpn useradd -g openvpn -d /usr/local/etc/openvpn — s/bin/false -f 1 openvpn bhalika a SLES11 -/Desktop
u Plik Edycja Widok Teiminal Pomoc
SLESll:/etc # groupadd openvpn SLESll:/etc # useradd -g openvpn -d /usr/local/etc/openvpn -s /bin/false SLESll:/etc # |
Rysunek 7.74. T w o rzen ie g ru p y
-f 1 openvpn
i u żytko w n ika
W następnym kroku należy stworzyć plik konfiguracyjny /etc/openvpn/openvpn.conf dla naszego tunelu z wpisami (rysunek 7.75). Jego treść powinna wyglądać mniej więcej tak:
312
dev tun
#rodzaj interfejsu
local 192.168.18.1
#adres IP serwera
proto udp
ttprotokół transportowy tunelu
port 17997 user openvpn group openvpn secret static.key
ttklucz prywatny serwera
if config 10.8.0.0 255.255.255.0
ttklasa adresowa, z której przydzielamy IP klientom
comp-1zo
#algorytm kompresji
3
b h a ls k a # S L ESI l :-/Desktop
Plik
Edycja
dev
tu n
Widok
Terminal
lo c a l
1 9 2 .1 6 8 .1 8 .1
p ro to
udp
p o rt
17997
user
openvpn
g ro u p
openvpn
se c re t sever
Pomoc
s t a t ic . k e y 1 0 .8 .0 .0
2 5 5 .2 5 5 .2 5 5 .0
c o m p - lz o
p o p e n v p n .c o n f"
10L,
132C
Rysunek 7.75. Plik ko n fig u ra cyjn y o p e n v p n .c o n f
Gdy już wszystko zostanie skonfigurowane, należy uruchomić serwer (rysunek 7.76). T e r m in a l
Plik
Edycja
Widok
Terminal
-
Pomoc
l i n u x # / e t c / in it .d / o p e n v p n s t a r t S t a r t i n g OpenVPN lin u x :- # Rysunek 7.76. U ru c h o m ie n ie u słu g i z konsoli
Jeżeli wszystko jest dobrze skonfigurowane, to usługa wystartuje, a w interfejsach sie ciowych pojawi się dodatkowy interfejs sieciowy (rysunek 7.77). Piat I dyc|H widok terminal pomoc
cotlisions:0 txqueuelen:G RX bytes:4012 (3.9 Kb) TX bytes:4012 (3.9 Kb) tunO
Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 inet a d d r :10.8.0.0 P-t-P:255.255.255.0 Hask:255.255.255.255 UP P0INT0P0INT RUNNING N0ARP HULTICA5T MTU:1500 Metric:l RX packets;0 errors:0 dropped:0 overruns;0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:100 RX bytes:G (0.0 b) TX bytes:0 (0.0 b)
SLES11:/etc/openypn
U____________________________________________________________________[
Rysunek 7.77. Interfejs siecio w y: Interfejs tu n e lo w a n ia tunO
Żeby mogło zostać zrealizowane połączenie, należy również odblokować port dla tej usługi: 17997.
313 3
Ć W IC Z E N IA
1 . Zainstaluj i skonfiguruj usługę VPN.
P Y T A N IA K O N T R O L N E
1 . W jakiej warstwie modelu OSI pracuje VPN? 2 . Co oznacza skrót VPN? Do czego służy VPN? 3 . Z jakich protokołów korzysta usługa openVPN?
7 .8 .6 . Firew all, czyli z a p o ra s ie c io w a Bezpieczeństwo systemu informatycznego jest jednym z priorytetowych elementów podczas projektowania struktury budowanej sieci. Z tego też względu bardzo ważne jest zabezpieczenie serwera pełniącego rolę routera. Zapora sieciowa w Linuksie składa się z poniższych tabel: •
f i l t e r — zawiera większość reguł filtrowania oraz określa, czy dany pakiet zostaje dopuszczony (ACCEPT), czy odrzucony (DROP). » INPUT — obsługuje pakiety przychodzące z zewnątrz, przeznaczone do lokalnego hosta. » FORWARD — obsługuje pakiety nitowane przez hosta (pomiędzy interfejsami sieciowymi). » OUTPUT — obsługuje pakiety generowane lokalnie przez hosta.
•
n a t — wspiera mechanizm maskarady, czyli translacji adresów. » PREROUTING— służy do modyfikowania pakietów przychodzących. » OUTPUT — służy do modyfikowania pakietów generowanych lokalnie jeszcze przed routingiem. » POSTROUTING — służy do modyfikowania pakietów tuż przed wysłaniem.
•
m angle — służy do wprowadzania zmian w pakietach. » INPUT — obsługuje pakiety przychodzące z zewnątrz, przeznaczone do lokalnego hosta. » OUTPUT — obsługuje pakiety generowanie lokalnie przez hosta. » FORWARD — obsługuje pakiety rutowane przez hosta (pomiędzy interfejsami sieciowymi). » PREROUTING— służy do modyfikowania pakietów przychodzących. » POSTROUTING — służy do modyfikowania pakietów tuż przed wysłaniem.
•
raw — jest tabelą o najwyższym priorytecie i do niej trafiają najpierw pakiety.
Opcje filtrowania: •
ACCEPT (zaakceptuj pakiet) — przepuszcza pakiet.
•
DROP (odrzuć pakiet) — nie przepuszcza pakietu.
•
REJECT (blokuj i usuń) — blokuje i usuwa pakiet, informując o tym nadawcę.
•
QUEUE (przepuść) — przepuszcza pakiet do przestrzeni użytkownika.
Do ręcznego zarządzania służy polecenie i p t a b l e s . W celu sprawdzenia domyślnie skonfigurowanych reguł należy wpisać i p t a b l e s - 1 . Pliki i p t a b l e s znajdują się w katalogu /usr/sbin/iptables (w SLES), a w niektórych dystrybucjach w Isbinliptables. PRZYKŁAD 1 1
Po w pisaniu poniższych kom end ko m pu ter będzie a kceptow ał w yłącznie połączenia skierowane na porty HTTP i SSH:
1
# i p t a b l e s - P FORWARD DROP # ip ta b le s # ip ta b le s - j
IN P U T DROP
-A
IN P U T
— p ro to c o l tcp
— d e s tin a tio n -p o r t
22
-A
IN P U T
— p ro to c o l tcp
— d e s tin a tio n -p o r t
80
ACCEPT
# ip ta b le s -j
-P
ACCEPT
Zapora znajduje się w grupie Zabezpieczenia i użytkownicy w YaST2 (rysunek 7.78). Jest usługą domyślnie instalowaną w serwerze, natomiast użytkownik musi ją skonfiguro wać oraz włączyć. Rysunek 7.78. YaST2: Z a p o ra sie c io w a (firewall)
Cantrum (terowani* YaST2 ijako id n ln M n till O r Serwei SIP
ÏÏP Stiwui squid
jl[ Serwer TFTP
( y usługi sieciowe (iinetd)
Grupy Oprogramowanie Różne Spiztt Urządzenia sieciowe wiitusicacia Zabezpieczania i użytkownicy
WOl Wirtualizacja f^ ł Instalacja hipn.wi.-ara I narzf
Konflguiacja r.eiwm.i »lokacji
Zabezpieczenia i użytkownicy centrum bezpieczeństwa i p fjfJ Llnui Audit Fiarrwwoik (LAFi | | Wspólny rertytlkat serwera
Konfiguracja AppArmor
â
łud®
1 3 7ap°,a s|*c|owa
zaiządzaroe CA
A 4 ¿arządzame użytkownikami i.
ijPl Informacjo o wydaniu
$ Konflguiacja Cunlnim Obvlu
J y 1Pomoc temnirznn
315 0
W pierwszym oknie konfiguracji zapory sieciowej należy określić opcje uruchamiania. Możemy zdefiniować automatyczne lub ręczne uruchamianie zapory oraz włączyć ją bądź wyłączyć (rysunek 7.79). Rysunek 7.79. Firewall: W łą c z a n ie /w y łą c z e n ie usłu g i
Kolejnym elementem konfiguracji są interfejsy, którym powinna zostać przyporządko wana odpowiednia strefa (rysunek 7.80): •
zewnętrzna (internet) — strefa, z której przychodzące pakiety są kontrolowane, zanim zostaną przekazane do sieci wewnętrznej,
•
wewnętrzna (lokalna) — strefa chroniona przez zaporę sieciową. uruchamiani* Dozwolona usługi Translacja adresów Rozgłaszanie OMiuga iRsec Poziom zapisu w dzienniku Własne zasady
Konfiguracja zapory sieciowej: Interfejsy Interfejsy tapoiy sieciowej Urządzenie v intoitejs alBo w/iazcnto 825-tSEM Gigabit Ethernet Contiol ethO wyiazenie niestandardowe
Rysunek 7.80. F irew all: K o n fig u ra cja interfe jsó w
W kolejnym oknie można określić, jakie usługi będą przepuszczane między siecią ze wnętrzną oraz siecią wewnętrzną (rysunek 7.81). Należy określić reguły wychodzące oraz przychodzące, a więc filtrowanie ruchu sieciowego. Filtrowanie pakietów może odbywać się według różnych kryteriów, takich jak: •
numer portu źródłowego,
•
numer portu docelowego,
•
protokół,
•
nazwa usługi.
Podczas konfiguracji usługi należy zdefiniować, które usługi (protokoły, porty) będą w sieci dostępne. Rysunek 7 .8 1 . Firewall: D o z w o lo n e u słu g i
Podczas wyboru usługi i dodawania jej do grupy usług, które są dozwolone, system od razu otwiera porty, na których usługi pracują (tabela 7.9). Porty można również samodzielnie skonfigurować, wybierając opcję Z aaw ansow ane w oknie konfiguracji dozwolonych usług. Tabela 7.9. U słu g i i ich p orty w e d łu g s ta n d a rd u IAN A
Serwis
Porty TCP
Porty UDP
CUPS (aka IPP)
631
631
HTTP
80
80
HTTPS
443
443
Samba serwer
139
139
netbios serwer
137, 138
137, 138
SSH
22
22
VNC Server
5900
5900
FTP DHCP
20,21 67, 68
20,21 67, 68
DNS
53
53
Samba klient
137
3 1 0
1 . Uruchom usługę i skonfiguruj interfejsy, na których usługa będzie nasłuchiwać 2 . Stwórz skrypt odblokowujący usługę DNS za pomocą iptables. 3 . Odblokuj poszczególne usługi: a . Samba serwer
b. DNS c . DHCP d . SSH
1 . Omów usługę zapora sieciowa. 2 . Na jakim porcie działa usługa HTTP, HTTPS, SSH? 3 . Jakie polecenie dotyczy pakietów przychodzących, a jakie pakietów wychodzących?
U sługi s e rw e ro w e 7.9.1. A u to ry z a c ja u s łu g Lightweight Directory Access Protocol (LDAP) jest protokołem przeznaczonym do uzyskiwania dostępu do usług katalogowych i zarządzania informacją. Usługa katalogowa LDAP służy do przechowywania informacji m.in. o użytkownikach, grupach, urządzeniach sieciowych. Upraszcza w znaczący sposób zarządzanie użytkow nikami, urządzeniami, aplikacjami i relacjami pomiędzy nimi. Informacje są zorganizo wane w strukturze drzewa (D IT — Directory Inform ation Tree), natomiast poszczególne obiekty identyfikuje się poprzez nazwę wyróżniającą (D N — D istinguished N am e). Pierwszy, a zarazem najbardziej szczegółowy atrybut jest nazywany względną nazwą wyróżniającą (RDN — Relative DN). Przykładem DN-a będzie: CN=Barbara Halska, OU=E13, 0=Helion, C=Local, gdzie CN=Barbara Halska to RDN dla tego DN-a. W ramach dystrybucji SLES jako implementacje protokołu LDAP wykorzystujemy OpenLDAP. Usługę trzeba doinstalować Aby to zrobić, wystarczy w YaST2 w usługach sieciowych umchomić serwer LDAP, po czym nastąpi doinstalowanie pakietu openldap2. Po zainstalowaniu jest uruchamiana usługa. W pierwszym oknie należy określić wa runki uruchamiania: •
czy ma być automatyczne uruchamiana przy starcie systemu, czy nie,
•
czy ma się po uruchomieniu zarejestrować w usłudze SLP (Service L ocator Protocol) umożliwiającej automatyczne wykrycie usługi przez klientów.
Można również otworzyć port w zaporze sieciowej (firewallu). W kolejnym oknie należy określić typ serwera (rysunek 7.82), do wyboru jest: •
Serwer autonom iczny,
•
Serwer nadrzędny w konfiguracji replikacji,
•
Serwer repliki (podrzędny).
Rysunek 7.82. Typ serw era: a u to n o m ic z n y
W kolejnym oknie przechodzimy do konfiguracji TLS (rysunek 7.83). Komunikacja w środowisku OpenLDAP jest szyfrowana za pomocą protokołu TLS. Konfiguracja na tym poziomie sprowadza się do włączenia szyfrowania i podania podstawowych parametrów: •
W łącz TLS — włączenie TLS, należy podać lokalizację certyfikatu,
•
W łącz interfejs LDAP przez SSL — serwer przyjmuje połączenia na porcie 636,
•
Użyj wspólnego certyfikatu serwera — możemy użyć do celów testowych certyfikatu stworzonego podczas instalacji SLES11; w warunkach normalnej pracy należy użyć innego certyfikatu, podając jego parametry w odpowiednich polach.
Rysunek 7.83. U s ta w ie n ia TLS
3Konfiguracja serwera LDAP
Ustawienia TLS
319 3
W kolejnym oknie należy skonfigurować bazę danych (rysunek 7.84). Rysunek 7.84. K o n fig u ra cja b a zy d a n y c h LDAP
3 Nowa baza danych
gazonyDN !**•*• «MtmmniMn
| W ops«aanwr cri
!
i
RH«ogbizySwytb * Łpyi**l
dwyctiJ* 0:ny!lni|mauicMMOpenOAP
Pomoc
Mułu,
. woma ,
1
W polu Typ bazy danych (D atabase Type) należy wybrać typ bazy bdb, a do wyboru jest: •
bd b — Berkley D ata B ase,
•
hd b (domyślnie) — H ierarchical Berkley D ata Base.
Kolejne opcje, które również należy zdefiniować, to: •
Bazow y D N — określa nazwę korzenia bazy danych,
•
D N administratora — określa nazwę uprzywilejowanego użytkownika bazy danych, w tym miejscu należy również zaznaczyć opcję D odaj bazow y D N , co umożliwi dołączenie nazwy domeny bazowej zdefiniowanej wyżej,
•
H asło administratora LDAP— umożliwia ustawienie hasła użytkownika bazy danych, domyślnie jest to hasło do konta rooi,
•
Sprawdzenie h asła,
•
Katalog bazy danych, gdzie trzeba zaznaczyć opcję Użyj tej bazy danych jako domyślnej dla klientów OpenLDAP.
W ostatnim oknie konfiguracji wyświetla się podsumowanie (rysunek 7.85). Rysunek 7.85. P o d s u m o w a n ie k o n fig u ra cji se rw e ra LDAP
'i Podsumowanie konfiguracji serwera LOAP Konfiguracja początkową
Tworzenie początkowej bazy danych z następującymi parametrami
Główne pliki konfiguracyjne to slapd.con f oraz Idap.con f znajdujące się w katalogu /etc/openldap.
C e n tru m c e rty fik a c ji — C A (ang. c e rtific a tio n au th o rity) Zarządzanie CA udostępnia możliwość konfiguracji oraz wygenerowania certyfikatu, który będzie stanowił lokalny urząd certyfikacji na potrzeby usług sieciowych. Jest usługą, która pozwala na użycie zaawansowanych mechanizmów autoryzacji, np. przy serwerach WWW, co zwiększa bezpieczeństwo. W celu konfiguracji usługi certyfikacji należy w pierwszym kroku ją włączyć oraz okre ślić, czy korzystamy już z istniejącego serwera CA, czy tworzymy nowy (rysunek 7.86). Usługę tę należy wybrać z YaST2 Zabezpieczenia i Użytkownicy/Zarządzanie CA. Rysunek 7.86. W ybór CA
Po uruchomieniu centrum certyfikacji trzeba wygenerować główny certyfikat — Utwórz główny CA. Na początku należy określić dwie nazwy dla certyfikatu: •
N azw ę CA — jest nazwą techniczną dla tworzonego obiektu,
•
N azw ę wspólną — określa nazwę tworzonego centrum certyfikacji CA.
Należy również dodać adres e-mailowy administratora oraz informacje dotyczące or ganizacji (rysunek 7.87). Rysunek 7.87. T w o rzen ie n o w e g o C A
Utwórz nowy Rod CA (etap 1/3)
1
- J
L
321 O
W następnym oknie konfiguracji należy określić hasło dostępu, długość klucza uży wanego dla certyfikatu oraz długość ważności certyfikatu (rysunek 7.88). W opcjach zaawansowanych można dookreślić ustawienia związane z certyfikatem z uwzględnie niem standardu X .509. Rysunek 7.88. H a s ło d la n o w e g o C A
Po wprowadzeniu informacji wyświetla się podsumowanie konfiguracji (rysunek 7.89). Rysunek 7.89. P o d s u m o w a n ie d la now ego CA
Jeżeli wszystko jest skonfigurowane zgodnie z oczekiwaniami, należy wybrać opcję Utwórz.
7 .9 .2 . S e rw e r w y d ru k u Zarządzanie serwerem wydruków jest jednym z zadań, które może pełnić serwer. Zada niem takiego serwera jest rozgłaszanie drukarek w sieci, kolejkowanie zadań wydruku oraz organizacja praw dostępu do drukarek konkretnym komputerom lub użytkow nikom.
d 322
Proces instalacji we wszystkich systemach operacyjnych przebiega w prawie identyczny sposób. •
Po pierwsze, należy wybrać rolę, jaką w naszej sieci będzie spełniała drukarka — czy będzie drukarką sieciową, a więc będzie z niej korzystać wielu użytkowników, czy też drukarką lokalną, czyli dostęp będą miały do niej tylko osoby korzystające z komputera, do którego jest fizycznie podpięta.
•
Potem pozostaje tylko konfiguracja sieci w przypadku drukarki sieciowej lub wybór lokalnego portu przy drukarce lokalnej.
In s ta la c ja d ru k a rk i lokalnej Drukarki lokalne podłącza się do serwera, wykorzystując do tego jeden z fizycznych portów. W zależności od modelu drukarki może to być port równoległy, szeregowy, podczerwieni (IrDA) lub USB. Do każdego z wymienionych interfejsów jest przypisany plik urządzenia znajdujący się w katalogu /dev.
In terfe jsy i p rz y p is a n e im u rz ą d z e n ia •
Port równoległy — /dev/lpO.
•
Port szeregowy — /dev/ttySOy Idev/ttySl.
•
Port IrDA — od /dev/irlptO do /dev/irlpt3.
•
Port USB — od Idevlusb/lpO do /dev/u sb/lpl5.
In s ta la c ja d ru k a rk i s ie c io w e j Aby podłączyć drukarkę sieciową, trzeba znać jej adres IP. Drukarkę można dodać, korzystając z graficznego narzędzia administracyjnego YaST2, w którym należy wybrać narzędzie D rukarka, następnie Konfiguracje drukarek i kliknąć D odaj (rysunek 7.90). Rysunek 7.90. K o n fig u ra cja d ru k a re k
Po dodaniu drukarki system w pierwszym kroku będzie skanował w poszukiwaniu drukarki, a następnie pobierze informacje o odpowiednich sterownikach dla danej dmkarki (rysunek 7.91). Rysunek 7.91. P o b ie ra nie in fo rm a cji o ste ro w n iku d ru ka rki
Jeżeli system nie znajdzie urządzenia, przeprowadzamy ręczną konfigurację (rysunek 7.92). Dodajemy sterownik dla dmkarki, klikając Więcej sterowników. Dodatkowo trzeba nadać nazwę dla kolejki — w naszym przypadku będzie to brother. Rysunek 7.92. R ęczn a k o n fig u ra cja d ru k a rk i
Dodawanie konfiguracji nowej drukarki oBjbSUCpo»ą««nls
BI
PotąRronls
Opis
Pfltypisi ttBłcwn* Słukaj
|dowolnymotfal
Domyślnylozmiar papistu IjBtli ot
Po dodaniu dmkarki można wrócić do okna konfiguracji dmkarek, gdzie wśród dmkarek lokalnych powinna pojawić się nasza drukarka (rysunek 7.93).
Rysunek 7.93. D ru ka rka w id o c z n a w o k n ie ko n fig u ra cji
E
Aby dodać drukarkę sieciową, należy w oknie dodawania drukarki wybrać opcję Kreator połączeń. Kreator ten został podzielony na 4 części (rysunek 7.94): •
Urządzenie p od łączon e bezpośrednio — jest to część, która dotyczy konfiguracji drukarki podłączonej bezpośrednio przez wybór odpowiedniego portu lub usługi, takich jak: » Port równoległy, » Port USB, » Port szeregowy, » Urządzenie Bluetooth, » SCSI, » Urządzenia HP (HPLIP) — linuksowy system obsługi drukarek HP.
•
D ostęp do drukarki sieciow ej albo serwera z usługą wydruku — w tej części należy skonfigurować wydruk sieciowy: » Port TCP — port dla drukarki lub serwera wydruku, » P rotokół LPD — protokół drukowania w sieci, » P rotokół IPP — protokół wykorzystywany do komunikacji z drukarką w sieci.
•
Sewer wydruku — w tej części należy wybrać odpowiedni serwer wydruku, przez który będzie możliwy wydruk: » M icrosoft Windows/SAMBA (SMB/CIFS) — wydruk w oparciu o udostępnianie drukarki za pomocą Microsoft lub usługi Samba, » Tradycyjny serwer UNIX (LPR) — tradycyjny uniksowy serwer wydruku w oparciu o protokół LPR, » Serwer CUPS, » Serwer drukujący N ovell N etware (IPX).
•
Ustawienia specjalne.
325.0
Rysunek 7.94. K o n figu ra cja p o łą c z e n ia z d ru k a rk ą s ie c io w ą
W części D ostęp do drukarki sieciowej albo serwera z usługą wydruku należy wybrać Port TCP, gdzie w Ustawieniach połączenia trzeba podać adres IP drukarki, z listy rozwijanej wybrać producenta i przetestować połączenie. Jeżeli test zostanie zakończony sukcesem, można wrócić do okna dodawania drukarki, gdzie powinna się pojawić nasza drukarka.
S e rw e r w y d ru k u C U PS Obecnie najczęściej stosowanym serwerem wydruku w systemach Linux jest CUPS (ang. C om m on UNIX Printing System). Ten najbardziej uniwersalny serwer jest domyślnie zainstalowany w dystrybucji SLES, wymaga jednak konfiguracji. Pakiety, które są niezbędne do udostępnienia serwera wydruków opartego na CUPS, pokazuje tabela 7.10. Tabela 7.10. P akiety CUPS
Pakiet
Zawartość
cups
Demon usługi drukowania: cu p sd
c u p s -c lie n t
Umożliwia uruchomienie klienta cups
c u p s -d riv e r s
Sterowniki dla kolejek drukowania
c u p s -lib s
Biblioteki usługi drukowania
Konfiguracja serwera CUPS odbywa się z wykorzystaniem dowolnej przeglądarki WWW. Aby połączyć się z serwerem z komputera, na którym jest on zainstalowany, w polu adresu trzeba wpisać h t t p : / / l o c a l h o s t : 631 (w przypadku konfiguracji serwera uruchomionego na innym komputerze wpisujemy zamiast localhost adres IP komputera z uruchomionym CUPS). Uruchomiony CUPS i prawidłowo wpisany adres pozwoli nam na zobaczenie strony domowej serwera (rysunek 7.95).
Rysunek 7.95. K o n fig u ra cja s e rw e ra w y d ru k u CUPS
Poszczególne zakładki serwisu umożliwiają skonfigurowanie tej usługi. W zakładce Administracja (rysunek 7.96) można dodać drukarki, zadania, skonfigurować serwer. Rysunek 7.96. A d m in is tra c ja s e rw e re m w yd ru ku V A d m in is tra c ja ■
■TT^.T-iT
Kolejna bardzo ważna zakładka to Drukarki, w której można zmienić ustawienia drukar ki, określić uprawnienia dla użytkowników, wydrukować stronę testową, co skutkuje pojawieniem się zadania, które m.in. można anulować (rysunek 7.97). Rysunek 7.97. K o n fig u ra cja d ru k a re k
3 2 0
Aby określić, czy dany użytkownik może drukować, czy nie, należy wybrać opcję Ustaw zezwolonych użytkowników i wpisać nazwę użytkownika oraz ustalić, czy dla danego użytkownika drukowanie będzie dozwolone, czy zabronione (rysunek 7.98). Rysunek 7.98. U sta w ie n ie z e z w o lo n ych u ż y tk o w n ikó w
. t w * ^ M in iu m £3lmi
7 .9 .3 . S e rw e r p lik ó w S a m b a Serwer Samby umożliwia udostępnienie linuksowych usług drukowania oraz serwera plików stacjom roboczym Windows, OS X , OS/2, Linux. Użytkownicy mogą współ dzielić katalogi i drukarki systemu linuksowego tak, jak to robią na serwerze Windows. Można też skonfigurować Sambę jako kontroler domeny, a nawet podłączyć do domeny Usługi Katalogowej. Usługa ta używa protokołu SMB (ang. Server M essage Block). Serwer Samby to trzy współpracujące ze sobą demony. Pierwszy z nich to smbd, który jest odpowiedzialny za
328
współdzielenie plików, drukarek, uwierzytelnianie oraz blokowanie zasobów. Drugi to nmbd, który zapewnia wsparcie dla usług nazewniczych w standardzie WINS (pozwala rejestrować i rozpoznawać nazwy NetBIOS jako używane w sieci adresy IP). Ostatnim demonem jest winbindd, który integruje bazy danych wykorzystywane podczas wery fikacji praw użytkowników. Należy zainstalować następujące pakiety Samby: •
samba: główny pakiet Samby, zawiera oprogramowanie serwera,
•
samba-client: zawiera narzędzia klienta Samby.
Można sprawdzić, czy wymagane pakiety są już zainstalowane, przy użyciu poleceń (informacja o pakietach w podrozdziale 7.3): •
rpm -q samba
•
rpm -q samba-client
Jeżeli są zainstalowane, zostanie podana ich wersja, jeżeli nie, pojawi się komunikat o błędzie (rysunek 7.99). g Plik Edycja Widok Teiininal
basiaijfcslesl -/Desktop Pomoc
Directory: /home/basia/Desktop wto, 15 maj 2012, 13:33:23 CEST basia@slesl:-/Desktop> rpm - q samba samba-3.4.3-1.17.2 basia@s'lesl:-/Desktop> [J Rysunek 7.99. S p ra w d z e n ie w ersji za in sta lo w a n e j u słu g i S a m b a
W wersji serwerowej SUSE Enterprise ta usługa jest już zainstalowana, więc pozostaje ją tylko skonfigurować Aby to zrobić, trzeba przejść do zakładki Usługi sieciow e i wy brać serwer Samby. Po uruchomieniu kreatora konfiguracji należy określić nazwę grupy roboczej lub domeny (rysunek 7.100). Rysunek 7.100. N a d a n ie n a zw y d la g ru p y ro b o cze j lub dom eny
329 3
W kolejnym kroku należy określić, jaką rolę ma pełnić serwer Samby (rysunek 7.101), wybierając jedną spośród następujących opcji: •
Podstawowy sterownik dom eny (PDC) — główny kontroler domeny,
•
Zapasow y sterownik dom eny (BDC) — zapasowy kontroler domeny,
•
N ie jest sterownikiem dom eny.
Rysunek 7.101. R odzaj se rw e ra Sam by
Po wybraniu typu serwera wyświetli się kolejne okno konfiguracyjne dla serwera. Pierw sza zakładka Uruchamianie pozwala zdefiniować, w jaki sposób będzie uruchamiana usługa, oraz dostosować zaporę sieciową do współpracy z serwerem poprzez otwarcie portów dla usługi (rysunek 7.102). Rysunek 7.102. U ru c h a m ia n ie usłu g i
Konfiguracja serw era Samby
Kolejna zakładka nosi nazwę Udziały i umożliwia konfigurację oraz dodawanie udziałów dyskowych, drukarek (rysunek 7.103). Tabela w górnej części okna przedstawia zasoby serwera. Każdy z widocznych w tym miejscu udziałów odpowiada oddzielnej sekcji w pliku sm b.conf. Wybrany udział jest określany przez pięć zmiennych w kolejnych kolumnach. W pierwszej jest informacja o statusie udziału — włączony lub nie. W celu zmiany statusu udziału należy użyć przycisku Przełącz status. Kolejna kolumna Tylko do odczytu informuje, z jakimi prawami został dodany udział. Następna kolumna informuje
Q330
Rysunek 7.103. U d z ia ły
' ■ Konfiguracja serw era Samby Udziały
Tożsamo«
DomenyjaiAan«
Ścierw
Komentair
Ustiwitnu |,OAP
Dostępni udały Status “ Tytkoao ooczytu
i E*r Narwa
yyęączoi» hi« nom«* Homo Ontctoiws SNtączoi» Tik pnrOTts Aw/tmp Ali Pimteis ’»‘.'łączona Tak pnntt /vai
v
0 Pc*iącz status
w i f t h i i y i u w u i i i p n ti iity tk s w M Iitw i ?«7wól nawspółużytkowani« katalogówużytkowników Z«m4l pa Postępdla goicl
0 nazwie udziału i nie ma większego znaczenia dla konfiguracji. Kolejna — określa ścieżkę do udziału. Ostatnia kolumna to komentarz dla danego udziału. W celu dodania nowego udziału należy kliknąć opcję D odaj. Pojawi się kreator do dawania, który nas poprowadzi. W pierwszym oknie kreatora trzeba podać nazwę udziału, następnie określić typ udziału — katalog czy drukarka — oraz ścieżkę udziału 1 uprawnienia (rysunek 7.104): •
Tylko d o odczytu,
•
Odziedzicz listy ACL — listy kontroli dostępu (ang. Access Control List — ACL).
Jeśli dany katalog nie został wcześniej utworzony, system umożliwi jego utworzenie podczas określania ścieżki udziału. Rysunek 7.104. N o w y u d zia ł
!•') Nowy udział
|KMaioyx trniym mapracowników___________ Typ uditBłu
l/SioflWbail^dwu V tytko ooodczytu
Przeglądaj / ourwoicz listyaci.
331 C
Jeżeli udział został poprawnie dodany, powinien pojawić się na liście udziałów (rysunek 7.105). Każdemu z udziałów odpowiada oddzielna sekcja w pliku konfiguracyjnym smb.conf. YaST2 (jako administrator)
J Konfiguracja serwera Samby Uruchamianie
Domeny zaufane
Udziały
IJsiawienia j_DAP
Dostępne udziały Status v
Tylko do odczytu
Nazwa
Ścieżka
Komentaiz
Włączono
Nic
gioups
/tiomcfgroups
All groups
LWłączono W lyrone
— Nie
nrłwnrF Profiles Pemirp Usuń
R y s u n e k 7 .1 0 5 . P o tw ie rd ze n ie d o d a n ia n o w e g o u d zia łu
W tym miejscu można również zdefiniować, którzy użytkownicy (z jakiej grupy) będą mogli korzystać z tego zasobu, oraz ograniczyć maksymalną liczbę udziałów (rysunek 7.106). R y s u n e k 7 .1 0 6 . W s p ó łu ż y tk o w a n ie p rz e z u ż ytko w n ikó w
■ _!' Konfiguracja serw era Sam by UuKłiamlanls
Udziały
Dostępne udziały Włączone Włączone NotwoiK Piaitioc Sumce
Współużytkowanie przez użytkowników 3 Zezwól na współużytkowanie katalogów użytkowników □ Zezwól na dostęp dla gości Uprawniona grupa
s : Maksymalna liczba udziałów
W zakładce Tożsam ość można zmienić ustawienia (rysunek 7.107), takie jak: •
Grupa robocza lub nazwa dom eny,
•
Kontroler dom eny,
•
WINS — umożliwia rozwiązywanie nazw netbiosowych,
•
NetBIOS-owa nazwa hosta — umożliwia identyfikację hosta w sieci.
d 332
R y s u n e k 7 .1 0 7 . Z a k ła d k a T o ż s a m o ś ć w o k n ie K o n figu ra cja s e rw e ra S a m b y
;Ć_; K o n fig u ra c ja s e rw e ra S a m b y Uiuchaminnle
Udziały
Domany ?aufana
j OBslug» senwira WINS Kontroler domeny Główny (PDC) SI Pobiuu adres seiwua WINS pepizez DHCP U Nai«7y urywa«! wins dla uryskania narwy hor
[ slosl!
W kolejnej zakładce (rysunek 7.108) można dodać domeny zaufane. Można w tym miejscu zdefiniować domeny, których użytkownicy będą mieli na zasadzie zaufania dostęp do konfigurowanej domeny Samby. Ważne jest, aby przy dodaniu domeny za ufania nadać hasło, które będzie wykorzystywane podczas przydzielania dostępu do zaufanej domeny.
R y s u n e k 7 .1 0 8 . Z a k ła d k a D o m e n y z a u fa n e w o kn ie K o n fig u ra cja s e rw e ra S a m b y
W ostatniej zakładce istnieje możliwość skonfigurowania uwierzytelniania przy użyciu LDAP (rysunek 7.109). Aby to zrobić, trzeba znać: •
adres serwera LDAP — protokół przeznaczony do korzystania z usług katalogowych, pozwalający na wymianę informacji za pośrednictwem TCP/IP (został omówiony w punkcie 7.9.1).
•
nazwę bazy użytkowników.
•
hasło administracyjne.
333 3
Rysunek 7.109. U s ta w ie n ia LDAP
K o n fig u ra c ja s erw era S am by Uruchamiani*
TozsamoiC
Udział*
Zaplecie M i, pa»« a Uzy] zapiecz* haseł 10AP Agi« UW. serwer* LOAP neton ucai
Domertylaidan*
Usttwieoi*
Uwierzytelnianie ONao admimstracli Hasio Mnwiisn*cy|M
Zaplecie Idmap 0 Uiyi zaplecza umap i.dap
Hasło admnisliacyir»* (ponowruei
Bazowa ONdo przstzuKrwan
Tejtuppoleczenie
ęomoc
MU,u,
!
Ustawema zaawansowane
1
-
OK
J
W ostatnim kroku konfiguracji serwera Samby trzeba nadać hasło do celów admini stracyjnych (rysunek 7.110). Ważne jest, aby to hasło było inne od hasła konta root. Rysunek 7.110. Definiowanie hasła
Y a S T 2 (ja k o a d m in is tr a to r) Do prawidłow ego działania, se iw e r S am ba w ym aga konta ad m in istrato ra (root). Zostanie ono te ra z utworzone. H asło ad m in istrato ra Sam by:
Zw eryfikuj hasło
OK
] |
A nuluj
W celu sprawdzenia udziałów należy umchomić lub wpisać w przeglądarce adres serwera Samby: W1 92.168.18.1. Jeżeli wszystko jest dobrze skonfigurowane, zgłosi się serwer Samby (rysunek 7.111). Rysunek 7.111. Serw er S am by
Ê ’
d
' . •
d '
Aby zalogować się do serwera Samby, trzeba mieć założone konto użytkownika na serwerze. W tym celu z konsoli należy wpisać: smbpasswd -a basia
Po wpisaniu powyższego polecenia trzeba podać hasło dla użytkownika. Po poprawnym zweryfikowaniu hasła konto zostanie utworzone.
1 . Zainstaluj i skonfiguruj usługę Samba jako główny kontroler domeny. 2 . Dodaj do usługi udostępniany zasób o nazwie wspólny, do którego wszyscy mają prawa tylko do odczytu.
1 . Omów usługę samba. 2 . Co oznacza zapis PDC? 3 . W jaki sposób mogą być uwierzytelniani użytkownicy? 4 . Jakim poleceniem dodajemy użytkowników do serwera Samby?
Z 7 A 0 . U sługi in te rn e to w e 7.10.1. S e rw e r W W W (A pache) Apache — otwarty serwer HTTP, dostępny dla wielu systemów operacyjnych (m.in. UNIX, GNU/Linux, BSD, OS X , Microsoft Windows). Apache jest najszerzej stosowanym serwerem HTTP w internecie. W połączeniu z inter preterem języka skryptowego PHP i bazą danych MySQL Apache stanowi jedno z naj częściej spotykanych środowisk w firmach ofemjących miejsce na serwerach sieciowych.
In s ta la c ja s e rw e ra A p a c h e W celu zainstalowania serwera Apache w repozytoriach oprogramowania należy wy szukać apache2, a system wybierze związane z nim pakiety, takie jak (rysunek 7.112): •
apache2
•
apache2-example-pages
•
apache2-prefork
335 0
Rysunek 7.11 2. W y b ó r p a k ie tó w d o instalacji
Plik Pakiet Koniguiacja Zależności Opcje Dodatki Pomoc Widok »
Podsumowanie instalacji
0 usuń
X
0 Zainstaluj
V
0 Aktualizacja
♦,
0 Usuwany automatycznie 0 instalowany automatycznie
* f.
0 Aktualizowany automatycznie 0 łanu
O
0 Chroniony
6
.♦
Anuluj
Akeepmi
Po zainstalowaniu i uruchomieniu usługi Serwer H TTP, która jest składową Usługi sieciow e w YaST2, pojawi się kreator konfiguracji serwera HTTP. W pierwszym oknie poprosi o podanie portu dla usługi oraz interfejsów, na których ta usługa będzie na słuchiwała, oraz otwarcie portu w zaporze sieciowej (rysunek 7.113). Rysunek 7.113. W y b ó r u rzą d ze ń s ie c io w y ch
5ai Kreator serwera HTTP (1/5) -- Wybór urządzeń sieciowych
g ÓWgHitwaew ilWWaM Sitiigoyupocy 5» PoitZIJMiySIKIWW)I«« OtMltyM«ttySJKtl «41»)Ł»C|I
W kolejnym oknie można wybrać moduły, które mają być doinstalowane (rysunek 7.114): •
obsługę skryptów PHP,
•
obsługę skryptów Perl,
•
obsługę skryptów Python.
Rysunek 7.114. W y b ó r m o d u łó w
^ K1'''" “'' serw* HTTP <2/5) ~ M°da,> / Wl*:? oiK>uq. tfcrypfów¡-'Hi--: Włącz oDiMg» jwyptiw P|H Włącz obsftjpf sKiyptówPytiign
W następnym oknie kreatora konfiguracji wyświetla się informacja dotycząca konfigu racji serwera oraz miejsca przechowywania plików (rysunek 7.115). Można to zmo dyfikować lub pozostawić bez zmian, przechodząc do następnego okna konfiguracji. Rysunek 7.115. P o d s u m o w a n ie k o n fig u ra cji se rw e ra
Kreator serw era HTTP (3/5) -- Host domyślny
op
ncomr VuvrtMr»/»p»cli*iAconV ‘Ajsi/sIłarpłap-acheZtcons' /cgt-BW7srv/*wvWt||M)iiV
W kolejnym oknie konfiguracji istnieje możliwość stworzenia wirtualnych hostów, czyli poddomen, a więc wielu różnych serwisów internetowych. W naszym przypadku nie jest to wymagane. W ostatnim oknie kreatora konfiguracji wyświetla się podsumowanie, można w nim także określić sposób uruchamiania usługi oraz dokonać zaawansowanej konfiguracji serwera HTTP. Po zakończeniu procesu instalacji i konfiguracji usługi należy sprawdzić, czy usługa działa, przez wpisanie w przeglądarce http://localhost (rysunek 7.116). Usługa jest rów nież dostępna pod adresem, który został zdefiniowany podczas konfiguracji. W tym przykładzie jest to: 192.168.18.1. Domyślnym katalogiem, w którym są przechowywane dokumenty obsługiwanej wi tryny, jest /srv/www/htdocs. W innych dystrybucjach często jest to /var/w w w /localhost/ htdocs lub /var/w ww/htdocs.
3 3 0
Rysunek 7.116. S p ra w d z e n ie u słu g i w p rz e g lą d a rc e
Plik
Edycja
Vÿidok
Historia
Zakładki
Narzędzia
Pomoc
[ 1hllp //lo t altlost/ ^
[ [__] localhoot
Serwer HTTP Síes 11SP2
Sama usługa może być konfigurowana w trybie graficznym za pomocą YaST2, jak rów nież w pliku konfiguracyjnym / etc/apache2/httpciconf. Pozostałe pliki związane z usługą znajdują się w katalogach /etc/apache2, /etc/apache2/conf.d, /etc/apache2/vhosts.d oraz /etc/apache2/sysconfig. d. Do najważniejszych katalogów serwera Apache należą: •
conf.d — przechowuje pliki konfiguracyjne dodane przez inne moduły,
•
sysconfig.d — zawiera pliki konfiguracyjne utworzone automatycznie na podstawie pliku /etc/sysconfig/apache2,
•
vhosts.d — zawiera pliki konfiguracyjne hostów wirtualnych.
Do najważniejszych plików konfiguracyjnych należą: •
httpcLconf— główny plik konfiguracyjny serwera WWW, zawiera instrukcje i usta wienia globalne, a także dotyczące lokalizacji dodatkowych plików konfiguracyjnych,
•
default- server conf — przechowuje opcje globalne dla hostów wirtualnych, które są tworzone na serwerze,
•
errors.con f— plik określający zachowanie się serwera po wykryciu błędów, opcje zawarte w tym pliku są wyspecyfikowanymi opcjami domyślnymi dla dodawanych na serwerze hostów wirtualnych,
•
listen.c o n f — przechowuje adresy IP oraz powiązane z nimi numery portów, na których będzie nasłuchiwał serwer,
•
server-tuning.c o n f— konfiguracja parametrów zwiększających wydajność,
•
ssl-global.con f— konfiguracja połączeń szyfrowanych przez SSL,
•
u id c o n f— tożsamość, w kontekście której będzie działał proces serwera Apache (w dystrybucji Suse domyślnie użytkownik wwwrun i grupa www w innych może być apache, apache2 lub www-data),
•
mod'_*.con f— są to pliki konfiguracyjne modułów instalowanych domyślnie przez ser wer Apache; pliki modułów instalowanych dodatkowo znajdują się w katalogu conf.d.
Zawartość katalogu /etc/apache2/conf.d zależy od tego, które moduły zostały wybrane podczas instalacji. Mogą znajdować się w nim następujące pliki: •
ap ach e2 -m an u al.con f— dokumentacja konfiguracji serwera Apache,
•
inst_server.conf.in — plik konfiguracji instalacji z pliku httpcLconf
•
m od _ p erl.con f— konfiguracja modułu interpretera dla Perl,
•
p h p 5 .c o n f— konfiguracja modułu interpretera dla PHP,
•
ph p m y ad m in .con f— konfiguracja narzędzia phpMyAdmin.
q338
|
Ć W IC Z E N IA
1 . Zainstaluj i skonfiguruj serwer Apache. 2 . Stwórz własną stronę internetową i opublikuj ją na swoim serwerze WWW. 3 . Stwórz własną stronę internetową w PHP i opublikuj ją na serwerze WWW
P Y T A N IA K O N T R O L N E
1 . Omów usługę serwera WWW 2 . Jak nazywa się główny plik konfiguracyjny serwera Apache? 3 . Z jakim rozszerzeniem należy zapisywać strony WWW i do jakiego katalogu serwera Apache należy je skopiować?
7 .1 0 .2 . S e rw e r FTP Pure-FTPd to szybki serwer FTP. Oprogramowanie charakteryzuje się bardzo łatwą obsługą i wsparciem dla najnowszych wersji Linuksa. Serwer wspiera protokoły IPv4 i IPv6, wirtualne domeny i wiele innych usług. Platforma zawiera również narzędzia do zarządzania portami, ograniczeniami transferu. Ważną cechą serwera Pure-FTPd jest możliwość wznowienia transmisji danych w przypadku zerwania połączenia, od miejsca, w którym została ona przerwana. Sesja w ramach usługi jest zestawiana z wykorzysta niem protokołu TCP w taki sposób, że aktywowane są dwa oddzielne połączenia. Jedno służy do przekazywania poleceń (port 21) i określa się je mianem połączenia kontrolnego, drugie służy do przesyłania danych. Protokół FTP może pracować w dwóch trybach: •
aktywnym — połączenie kontrolne na porcie 21, nawiązywane przez klienta, przesył danych na porcie 20, nawiązywane przez serwer,
•
pasywnym — port 21 dla poleceń i port powyżej 1024 dla transmisji, zestawiane przez klienta.
Pakiety dla serwera Pure-FTPd możemy zainstalować z repozytoriów (zostało to om ó wione w podrozdziale 7.3) znajdujących się na nośniku lub z YaST2 (rysunek 7.117). Po wybraniu instalacji usługi kreator instaluje jeszcze dodatkowe niezbędne pakiety (rysunek 7.118). Po zainstalowaniu usługi w celu jej skonfigurowania oraz uruchomienia z usług siecio wych w YaST2 należy wybrać Serwer FTP. Wyświetla się kreator konfiguracji, gdzie w pierwszym oknie należy zdefiniować sposób uruchamiania usługi i można ją od razu uruchomić (rysunek 7.119).
339 3
Rysunek 7.117. Insta la cja sen/vera FTP z re p o z y to rió w
W v
Słum
□OKM cn
i BPM-gre«»«' WWtagum' Ol^.pU.4-
Rysunek 7.118. Instalacja d o d a tk o w y c h p a k ie tó w d o FTP
Rysunek 7.119. K o n figu ra cja u ru c h a m ia n ia FTP
ml b«xpolj«lmo. nnłfpunc* pakiety»*t«ły imUnwnt w c« ¿nuanyautcmatyc?ne
i Uruchamianie FTP
W następnym oknie kreatora (rysunek 7.120) są definiowane informacje ogólne, takie jak: •
umask — to maska uprawnień nowo tworzonych plików (w momencie tworzenia nowego pliku),
•
położenie katalogu FTP dla użytkowników anonimowych.
Rysunek 7.1 20. U s ta w ie n ia o g ó ln e
i Ustawienia ogólne FTP £lwoot dlawvrysts*h
KatalogPIP oa i£yfKMmk4Manommowyeii
[
||pą«#4M |,
W kolejnym oknie należy określić wydajność serwera (rysunek 7.121), a więc podać takie informacje, jak: •
M aksymalny czas bezczynności w m inutach,
•
M aksym alna liczba klientów z jednego /P,
•
M aksym alna liczba klientów ,
•
M aksym alny transfer lokalny podany w kB/s,
•
M aksym alny transfer anonim ow y podany w kB/s.
Rysunek 7.121. U s ta w ie n ia w yd a jn o ś c i FTP
WKMiniMfs.
M Ustawienia wydajności FTP
Ihnocytłtmaiw Maksymalnaacream i«»«! isaiwgoIP Maksymalnakc;til klianttrw 10
Maksymalnyltantlsi łokilny[KB/s) Maksymalnytranshl anonlmpny(KtVs] 5
Pomoc
finuiu)
| lafcoftci J
341
W następnym oknie kreatora (rysunek 7.122) należy określić sposób uwierzytelniania: •
Tylko dla anonim ow ych,
•
Tylko dla uwierzytelnionych,
•
Dla wszystkich.
R y s u n e k 7 .1 2 2 . U sta w ie n ia zaaw ansow ane
I Ustawienia zaawansowane FTP yb pajywny Naprony mportutryWi pasyMMge Natwyzny mppm! Bytu papywntflo
Wyląc! SSUTIS AJccoptuj S$t i TVS Odr.-ut potąc.'eniaBoj SSI/TIS
£ Otwprj part « ippogo »«cnmaj
SicitjWy zapory «itcwwoj
Port zapory WKlowoj |«t otwartyna wszysOriclt mtarfujsach
W ostatnim oknie konfiguracji serwera FTP (rysunek 7.123) można zmienić ustawienia dotyczące bezpieczeństwa oraz otworzyć port w zaporze sieciowej. Po konfiguracji należy sprawdzić status usługi. W tym celu z konsoli wystarczy wpisać: /etc/init.d/pure-ftpd status p P lik
basia tts le s l :/e tc /in it.d Edycja
W id ok
Terminal
Pomoc
s le s l: / e t c / in it . d # /e tc /in it.d /p u r e - ftp d c h e c k in g f o r p u r e - f t p d : s l e s l : / e t c / i n i t . d tr
s ta tu s
R y s u n e k 7 .1 2 3 . S ta tu s u słu g i
Łączenie z serwerem z konsoli SUSE (rysunek 7.124): ftp 192.168.18.1
Łączenie z serwerem z konsoli Windows (rysunek 7.125): ftp open 192.168.18.1
_
□
X
PliK Edycja Wiaok Terminal Pomoc si psl : / p tr/ in it.d M f t p 1 9 ? .lfifi.18.1 connected to l'J .lb U . l t i . l . 220-Welcome to Pure-FTPd. 7?0-You a re user numher 1 o f 10 allow ed. l l ’ve con nection s a r e a ls o welcome on t h is s e r v e r . 220 You w ill be discon nected a f t e r 15 minutes of in a c t i v it y . Name (1 9 2 .1 0 8 .1 8 . l r b a s i a ) : b a s ia J J l User b a s ia UK. Password required Password: 230-Your bandwidth usage i s re st ric t e d 230-User b a s ia has group a c ce s s t o : sairba u sers video 230 OK. Current r e s tr ic te d d ir e c to r y i s / Remote system type i s UNIX. U sin g b in ary mode to t ra n sfe r f i l e s . fto > I
2
220
Rysunek 7.124. P o łą cze n ie z s e rw e re m FTP z konsoli SUSE
Rysunek 7.125. P o łą cze n ie z s e rw e re m FTP z konsoli W in d o w s XP
Łączenie z serwerem przez klienta FTP, np. FileZilla (rysunek 7.126):
Rysunek 7.126. Ł ą cze n ie z s e rw e re m FTP p rze z klie n ta FTP FileZilla
1 . Zainstaluj i skonfiguruj usługę FTP. 2 . Stwórz nową grupę w usłudze katalogowej o nazwie FTP, dodaj do tej grupy dwóch użytkowników ftp _ l i ftp_2. 3 . Stwórz folder FTP, który będzie miejscem publikacji plików. 4 . Stwórz w folderze FTP katalogi i zdefiniuj do nich następujące uprawnienia: a . ftp _ l — pełny dostęp ma tylko użytkownik ftp _ l,
b. ftp_2 —pełny dostęp ma tylko użytkownik ftp_2, c . sterowniki — prawa do odczytu mają obaj użytkownicy.
P Y T A N IA K O N T R O L N E
1 . Omów usługę FTP. 2 . Na jakim porcie jest aktywna usługa FTP? 3 . W jaki sposób można się połączyć z usługą FTP? 4 . Jakie polecenie pozwala połączyć się z serwerem FTP z konsoli?
7 .1 0 .3 . S e rw e r p o c z to w y Podczas instalacji serwera SLES od razu zostaje zainstalowany serwer poczty elektro nicznej Postfix (MTA), który jest odpowiedzialny za przekazywanie i dostarczanie poczty elektronicznej.
P o ję c ia p o d s ta w o w e MTA — M ail Transfer Agent — są to programy takie jak Postfix, które zajmują się prze syłaniem poczty w sieci. MUA — Mail User Agent — są to programy wykorzystywane przez użytkownika do komponowania wiadomości, odczytu wiadomości itp., czyli programy takie jak Mutt. MDA — M ail Delivery Agent — przykładem takiego programu jest procmail, który jest odpowiedzialny za dostarczenie poczty lokalnie do użytkownika (wykonuje m.in. filtrowanie poczty). FQDN — Fully Qualified D om ain N am e — pełna nazwa domenowa, składa się z nazwy hosta oraz domeny, w której dany host się znajduje. QM — Queue M anager— program wchodzący w skład serwera Postfix, odpowiedzialny za przetworzenie poczty czekającej w kolejce.
Open Relay — to określenie serwera pocztowego, którego oprogramowanie nie jest zabezpieczone przed nieautoryzowanym wykorzystaniem przez osoby niepowołane do wysyłki poczty elektronicznej, zazwyczaj spamu. UCE — Unsolicited Com m ercial E m ail — ogólne określenie dla niepożądanej poczty, dotyczy ono poczty docierającej do serwera, której z określonych powodów nie chcemy przetwarzać Żeby można było skutecznie zainstalować serwer za pomocą YaST2, w sieci muszą działać usługi LDAP, DHCP, DNS oraz musi być włączone uwierzytelnianie lokalnych użytkowników systemowych. Można również samodzielnie przeprowadzić instalację, ale trzeba ręcznie skonfigurować odpowiednie pliki znajdujące się w katalogu letclpostfix. W celu konfiguracji serwera pocztowego należy uruchomić YaST2 i z usług sieciowych wybrać serwer pocztowy. W pierwszym oknie konfiguracji (rysunek 7.127) trzeba określić typ konfiguracji, do wybom jest prosty i zaawansowany. Rysunek 7.127. K o n fig u ra cja s e rw e ra p o c z to w e g o
Konfiguracja serwera poczty elektronicznej
W kolejnym oknie konfiguracji należy zdefiniować rodzaj połączenia internetowego, na tomiast w następnym oknie określić adres serwera poczty wychodzącej (rysunek 7.128). Rysunek 7.128. P oczta w y c h o d z ą c a
Poczta ^chodząca
S.IW.I Kelty »ythM^cn |.mlphalonloc.j
|
345 0
Po przejściu do następnego okna konfiguracji poczty przychodzącej (rysunek 7.129) można skonfigurować następujące informacje: •
otwarcie portu w zaporze sieciowej,
•
serwer poczty przychodzącej wraz z protokołem,
•
nazwę użytkownika zdalnego,
•
użytkownika lokalnego,
•
przekierowanie e-maili adminstratora.
Rysunek 7.129. P oczta p rz y c h o d z ą c a
W celu sprawdzenia serwera pocztowego można wysłać e-mail, korzystając z konsoli (rysunek 7.130). Rysunek 7.130. T e sto w a nie s e rw e ra p o c z to w e g o
Plik Fdycja Widok Terminal Pomoc D ire c to r y : /hom c/bosio/Desktop sob, 19 maj 2012, 15:15:22 CEST hasi a@sles1 : - /n * sktop> su s le s l:/h o ra e /b a s ia /D e s k lo p a m a il basia -s l s i « /e tc /lie s Is s le s l : /home/basia/Desktop » mail H eirloom n u ilx v e rs io n 12 .2 0 1 /0 7/0 7. Typo ? f o r h e lp . " / v a r /s p o o l/w a il/ b a s i« " : 1 message 1 new >N 1 r o o tQ s le s l.h e lio n . S at Hay 19 15:16 41/1310 t e s t Held 1 message i l l /v a r/s p g u l/m a il/b a s ia You have mail i n /v a r/s p o o l/m a il/h a s ia s l c s l : /home/b a s ia /Desktop #
Pocztę można też odbierać, wykorzystując program pocztowy, np. Mutt (rysunek 7.131), który znajduje się w aplikacjach SUSE.
R y s u n e k
7 .1 3 1 .
P ro g ra m p o c z to w y M u tt
Po uruchomieniu klienta pocztowego (rysunek 7.132) dostępna jest konsola, gdzie można skonfigurować konto pocztowe, które umożliwi wysyłanie i odbieranie poczty R y s u n e k
7 .1 3 2 .
K lient p o c z to w y M u tt
baiitattslesl -IDciktop
a
_ □ X
| Plik Edycja Widok Terminal Pomoc iiW y j-.iic «SdikSpocoiPopifSt :NdilStr v:Zobdif fo t . d:Uiu IlOdpowil 1 0 + K jj 10 root ( 2D test - '- U n it: /vor •.iio o t/o .iil/b j-.ij litego:! 1.3K I-—trcvcrsB -dote/dote)--- - - ( d U ) - - - l DdtUi Sdt, 10 May 2012 15:18:21. »0200 Pion; root
• " ,0"-
| This f i l e dnr.fr ibns a number of hostname To address # mappings fo r t f in TCP/IP subsystem. I t is mostly # On smal 1 systonis. th is t i l e can bn used instead of a § ■named" name nr f Synta*: # # IP Addrnr:n Pult Q u alified ppistnamo Short Hostname 127.0.0.1
loealhost
# special 1IPv6 addresses
7 1 1 . W irtu a liz a c ja SLES 11 ma wbudowane wsparcie wirtualizacji przez mechanizm Xen. Dzięki wirtuali zacji można zwiększyć efektywność wykorzystywania dostępnych zasobów systemu oraz poprawić jego skalowalność. Na bazie mechanizmu wirtualizacji Xen mogą pracować nie tylko systemy z rodziny UNIX, ale także Microsoft. Najważniejsze korzyści ze stosowania wirtualizacji to: •
efektywne i optymalne wykorzystanie sprzętu (ang. efficient hardware utilzation),
•
niezależność od sprzętu (systemy pracujące na maszynach wirtualnych nie muszą mieć sterowników sprzętu maszyny bazowej),
•
łatwość migracji maszyn wirtualnych, co znacząco redukuje czasy przestoju (ang. reduced down time) przy awariach,
•
płynne przydzielanie zasobów sprzętowych — „na żądanie” (ang. flexible resource allocation ),
•
uproszczenie zarządzania zasobami sprzętowymi.
347 3
Xen składa się z trzech głównych składowych, którymi są: •
monitor wirtualnej maszyny (Virtual M achine M onitor), zwany hypervisorem (hy pervisor),
•
jądro Xen (X enkernel) — zmodyfikowane pod parawirtualizację jądra Linuksa (używane dla Domeny 0 lub Domeny U),
•
narzędzia Xen (X entools) — zestaw poleceń konsolowych i graficznych aplikacji stosowanych do zarządzania wirtualnymi maszynami.
Hypervisor jest ładowany do pamięci podczas uruchamiania systemu poprzez GRUB. title Xen kernel=/x e n .gz module=/vmlinuz-xen module=/inird-xen
In s ta la c ja X en System wirtualizacji Xen można zainstalować przy instalacji systemu operacyjnego — jako jego składową — albo można go doinstalować do systemu wcześniej zainstalo wanego. W tym celu w W irtualizacja wybieramy opcje Instalacja hiperwizora i narzędzi oraz Konfiguracja serwera relokacji (rysunek 7.133). Rysunek 7.133. YaST2: Instalacja h yp e rw lzo ra
Serwer squid Serwer TFTP
Cf)' Usługi sieciowe (smetd)
Grupy Novell AppArmor Oprogramowanie RóZne
© W0' Wirtualizacja
spirgr System Ur7ą
"5 Instalacja hiperweora I narzq Zabezpieczenia i użytkowi
Wittiaii?ac|a
r entrum bezpieczeństwa i p
Zabezpieczenia i użytkownicy
a s. . ri
Zapora sieciowa
^
Zarządzanie użytkownikami I...
m-
nmacje o wydaniu
W-
lir framework (lAT)
Wspólny certyfikat serwera 4 ^ Zarządzanie CA
Konflguraqa centrum Obsiu
Pomoc techniczna
Wyświetla się okno, w którym należy wybrać, którą platformę wirtualizacji chcemy zainstalować (rysunek 7.134).
d 348
Y a S T 2 (ja ko a d m in is tra to r)
Proszę wybrać platformę wirtualizacji do instalacji
□
KVM Anuluj
| |
Akceptuj
|
Rysunek 7.134. W y b ó r p la tfo rm y d o w irtua liza cji
W kolejnym oknie pojawia się informacja o niezbędnych pakietach, które muszą być doinstalowane, aby usługa działała poprawnie (rysunek 7.135). Należy wybrać opcję Instaluj. Rysunek 7.135. K re ato r instalacji — w y b ó r usłu g , k tó re m u s z ą b yć z a in s ta lo w a n e
Po zainstalowaniu pakietów następuje pierwsza konfiguracja, w której należy określić interfejs sieciowy. Można w tym miejscu potwierdzić tworzenie mostu sieciowego dla sieci hostujących wirtualne maszyny (rysunek 7.136). Rysunek 7.136. K o n figu ra cja m o s tu sieci
349 0
Po zainstalowaniu należy zrestartować system, po czym w menu bootloadera pojawia się dodatkowa opcja Xen (rysunek 7.137). Rysunek 7.137. B o o tlo a d e r
Jeżeli zależy nam na dom yślnym urucham ianiu jądra Xen, trzeba zm odyfikow ać w pis o dom yślnej o pcji w pliku /boot/grub/m enu. 1st: timeout 8 gfxmenu (hdO,l) /boot/message
default 0 urucham ia pierwszą opcję od góry w menu, default 1 — drug ą itd. Należy w pisa ć num er opcji o dp ow iadającej Xen.
T w o rz e n ie w irtu a ln e j m a s z y n y Można to zrobić poleceniem z konsoli: vm-install
albo narzędziem YaST2/W irtualizacja/Tworzenie maszyn wirtualnych (YaST2/Virtualization/Create Virtual Machines). Kreator tworzenia wirtualnej maszyny prowadzi przez kolejne etapy tworzenia (rysunek 7.138). Należy uważnie czytać sugestie i informacje wyświetlane w kolejnych oknach. W pierwszym oknie kreatora wyświetla się informacja na temat tego, co będzie się działo w następnych oknach oraz jakie dane będą potrzebne do utworzenia nowej wirtualnej maszyny. W następnym oknie należy wybrać nową instalację lub użycie istniejącego obrazu.
q350
Rysunek 7.138. T w o rzen ie now ej w irtu a ln e j m a szyn y
Czy zainstalow ać system operacyjny? komeczn«bidzieizrnstafcwonie wrvmsystemu op«tcyjnejo natomiast wprzypadkuprzenoszenia istnwgąongo systemu dokomputerauirtualnogo. eząsto dysk z istniejącymsystomomoperacyjnym można*v»ocysła< tal;« w komputerze«Wuainym systemoperacyjny oorar dyskur juzz «Mającysystem operacyjny
systememoperacyjnym
Przy nowej instalacji należy wybrać z listy typ systemu operacyjnego (rysunek 7.139). Rysunek 7.139. W y b ó r s y s te m u in s ta lo w a n e g o na w irtu a ln e j m a szyn ie
Typ system u o p eracyjn eg o Proszą okreilHi typ systemu operacyjnego, który wyCiac oopówieonie ustawienia oomyśine oraz pomoże systemy opetacyjne działające wtrytie paiawntualtzaejl
SUSfc Linux tnteipnse Desktop SUSE Lmu. Fntr-ipiKi- Desktop SUSC Linux Enterprise Server 8 SU5E Lmux Enterprise Server 9 inux tnteipnse
10
openSUSE openSUSE 11
Windows (inny) WindowsNT
W zależności od wybranego typu systemu operacyjnego pojawiają się sugestie wartości parametrów maszyny wirtualnej, które można modyfikować (rysunek 7.140). Usta wienie Instalacja systemu operacyjnego (ang. Installation operating system) pozwala na określenie medium, z którego instalujemy system.
351 3
Rysunek 7.140. P o d s u m o w a n ie u sta w ie ń d la w irtua lne j m aszyny
■
TWorienie komputera wirtualnego
_ - *
I P o d su m o w an ie Aby dokonać zmian w ustawieniach proszą wybrać myszą odpowiedni nagłówek Aby zatwierdzić ustaw*«nrai utworzyć maszyną wirtualną proszą nacisnąć przycis» OK Metoda vnmjaiizac|i Nazwa komputera yMrtuainego «•*11 urządzenia Pimi« początkową: 20 MB Pamicc maksymalna: MB Grafika l klawiatura Parawwtuafczowanakarta graficzna Dyski ? NapędCDROMlub DVD(jshy/deWsrO) Karty sieciowe i Wttybló parawtituilizacji. Adtes MAC generowany losowo instalacja systemu operacyjnego Syriom operacyjny: SUSCLinui Enterprise Si w i II Ziooio instalacji Napąd CD-ROMlub OVDiprry/doWsrOi
«SflK Przed instalacją należy określić źródło instalacji. W tym celu trzeba kliknąć niebieski napis Instalacja systemu operacyjnego i utworzyć wirtualny dysk (rysunek 7.141). Rysunek 7.141. T w o rzen ie w irtu a ln e g o d y s k u d o Instalacji w irtu a ln e j m a szyn y
|■
Tworzenie komputera wirtualnego
_ -
I In stalacja system u operacyjn eg o
1
Proszą okietlić startowy dysk wirtualny
• Oyst. wirtualny
NapądCDROMlub OvD (pFry/drrćsrOi
C
+fiodaj
O Saecwwy adies URL O RozruchPkS Niektóre systemy operacyjne pozwalająna atrtomatyzacją procesu instalscp poprzez podanec odpowiedniego adiesu URL lub pliku Aby wybrać wiącej ne jeden piet. proszą zaznaczyć cary katalog
1
Pak AutoVIST
£XZ"a)«i
Niektóre systemy operacyine obslugutą dodatkowe argumenty które śluządozmiany domyilnych ustawień procesówmstalocp l uiucbanuoma systemu Dodatkowe argumenty Prosząwybrać zachowa™«, gdy system operacyjnykończy pracą przez wysączonle, ponowne uruchomienie lub pizez awarią komputera Ustawienia zadziałająpo zakończeń« wysącz | dramy Uruchomponownie Awana
S
restart deshoy
-
Qö"u'ui Do zarządzania wirtualnymi maszynami służy graficzne narzędzie znajdujące się YaST2/ W irtualizacja/M enadżer Maszyn Wirtualnych.
d 352
Po kliknięciu prawym przyciskiem wybranej pozycji z listy maszyn wirtualnych można obejrzeć dotyczące jej szczegóły: wydajność, zajętość zasobów. Natomiast w zakładce sprzęt można przejrzeć i zmodyfikować parametry sprzętu maszyny (rysunek 7.142). Domain-0 Maszyna wirtualna Plik
Maszyna wirtualna Widok
e| 0| 55
on 8
v
Wyślij klawisz
h
OveMew
1^1 Performance □
Proccooor Memuiy
Użycie procesora:
, Ili
iii__
BootOptions ¡¿5 console Użycie pamięci:
216 MB 0f225 MB
Wejś r.ie/wyjśrie ctysku:
Rysunek 7.142. P a ra m e try w irtua lne j m a szyn y
System operacyjny maszyny wirtualnej można „zamrozić” (ang. suspend), zatrzymać, zrestartować, uruchomić. j ¡1
Ć W IC Z E N IA
1 . Zainstaluj i skonfiguruj moduł Xen. 2 . Stwórz wirtualną maszynę dowolnego systemu operacyjnego.
P Y T A N IA
1 . Omów usługę Xen. 2 . Jakim narzędziem tworzy się wirtualne maszyny Xen?
353 3
^¿7A2.. S k ry p ty W systemie Linux skrypty mogą być tworzone w powłoce: •
bash.
Skrypty w systemach Linux mogę być tworzone w dowolnym edytorze, tu wykorzy stamy np. edytor vi. Skrypty w Linuksie nie wymagają specjalnego rozszerzenia, tak jak w Windows .cm d lub .bat. Są również plikami wykonywalnymi, więc wymagają nadania uprawnienia x. Pierwszy skrypt będzie wyświetlał komunikat w konsoli (rysunek 7.143).
Plik
Edyc|a
Widok
Terminal
Pomoc
# l / b in / b a s h | echo " W it a j w s w ic c ic s k ry p tó w "
- - WPROWADZANIE - -
1 ,1 2
W szystko
Rysunek 7.143. S kryp t nr 1
Przed uruchomieniem skryptu należy zmienić uprawnienia na 775 dla tego pliku, a na stępnie wywołać go, podając . / n a z w a _ s k r y p t u (rysunek 7.144).
n i e , 13 m aj 2 0 1 2 , 1 5 :4 0 :3 8 CE5T b a s ia @ lin u x :~ /l> e s k to p > v i s k r l b a s i a 0 l in u x : -/D e s k to p > chmod 7 7 5 s k r l b ;» s iA @ h n iix :~ /D e s k tn p > . / s k r l W it a j w ś w ie c ie s k r y p tó w b a s ia @ lin u x :~ /D e s k to p > |
Rysunek 7.144. U ru c h a m ia n ie skryp tu nr 1
Parametry wywołania obsługuje się w ten sam sposób jak w skryptach windowsowych, czyli od 0 do 9, przy czym 0 zawsze zwraca nazwę skryptu. W Linuksie, aby odczytać wartość z parametm bądź zmiennej, przed nazwą należy wstawić $. Pi* Etytjs wwo» Tomu* Pomoc
#!/bin/bash echo $0 echo Wita] $1 $g
'■skr2" 3L. 37C
Rysunek 7.145. S kryp t nr 2
Plik Edycja widok Tomwul Pomoc
b a s i a @ li n u x : - / D e s k t o p » v i s k r 2 b a s i a @ li n u x : - / D e s k t o p » chm od 7 7 5 s k r 2 b a s i a @ li n u x : - / D e s k t o p » . / s k r 2 B a s i a H a l s k a ./s kr2 W it a j B a s ia H a ls k a b a s i a @ li n u x : - / D e s k t o p » |
Rysunek 7.146. U ru c h o m ie n ie skryp tu nr 2
Poza parametrami w skryptach możemy również definiować zmienne. Plik Edycja widok Tonrwiai Pomoc
#!/bin/bash e c h o "Podaj imie r e a d i t n ie echo Twoje imie to: Simig
Rysunek 7.147. S kryp t nr 3
Puk Edycia widok iummu Pomoc
b a s ia @ lin u x :- / D e s k to p > b a s ia @ lin u x : - / D e s k to p » b a s ia @ lin u x : - / D e s k to p » P o d a j im ie B a s ia T w o je i m i e t o : B a s i a b a s i a @ li n u x : - / D e s k t o p »
v i s k r3 chm od 7 7 5 s k r 3 ./s k r3
Rysunek 7.148. U ru c h o m ie n ie skryp tu nr 3
W skryptach można również korzystać z instrukcji warunkowych. Instrukcja warunkowa i f . . . ma postać: if warunek then instrukcja fi
if warunek then instrukcja else instrukcja fi
if warunek then instrukcja elif instrukcja else instrukcja fi
PORÓWNANIA LICZBOWE • - g t : większy od, • - l t : mniejszy od, • -ge: większy od, równy, • -le: mniejszy od, równy, • - e q : równy, • -n e : różny od. PORÓWNANIA TEKSTOWE • - z : sprawdza, czy ciąg jest pusty, • -n : sprawdza wartość ciągu, • =: równy, •
! =: różny,
•
S t r : sprawdza, czy ciąg jest zerowy.
OPERACJE LOGICZNE • - a : logiczne i (zamiast - a można stosować &&), • - o : logiczne lub (można stosować też | |), •! : logiczne nie. TESTY NA PLIKACH • - f : plik istnieje i jest zwykłym plikiem, • - s : plik nie jest pusty, • - r : plik jest możliwy do odczytu, • -w: plik może być modyfikowany, • - x : plik może być uruchamiany, • -d : jest katalogiem, • -h : jest dowiązaniem symbolicznym, • - c : nazwa odnosi się do urządzenia.
# ! /b in /b a s h ech o " S k r y p t s p ra w d z a c z y da ny p l i k ech o "P o d a j nazwę p l i k u ad p l i k l f [ - f s p lik ) ech o P l i k
is tn ie je
ech o P l i k fi
n ie i s t n i e j e
is tn ie j"
2 ,2
Rysunek 7.149. S kryp t nr 4
¿356
W s z y s tk o
Pkk Edycji SWdok Tłtmtnsi Pomoc
basia@lin u x : ~ / D e s k t o p > vi skr4 basia@lin u x : - / D e s k t o p > c h mod 775 skr4 basia@lin u x : ~ / D e s k t o p > ./skr4 Skrypt s p r awdza czy dany plik istnie] Podaj n a zwę pliku skr4 Pli k istnieje basi a @ l i n u x : - / D e s k t o p > ./skr4 Skrypt s p r awdza czy dany plik istniej Podaj n a zwę pliku test Pli k n ie istnieje basia@lin u x : ~ / D e s k t o p >
R y s u n e k 7 .1 5 0 . U ru c h a m ia n ie skryp tu nr 4 P ę t le
•
while w a r u n e k do a k c j a done — while wykonuje akcję (akcja), dopóki warunek (w a r u n e k ) ma wartość prawda (true).
•
until w a r u n e k do a k c j a done — until wykonuje akcję (akcja), dopóki warunek (w aru n ek) ma wartość fałsz (false).
•
for z m ien n a in l i s t a - w a r t o ś c i do a k c j a done — pętla for-in została zaprojektowana do użytku z listami wartości. Są one kolejno przyporządkowywane do zmiennej (z m ien n a ).
•
for z m ien n a do a k c j a done — odnosi się do argumentów skryptu, przypo rządkowując je kolejno do zmiennej (zmienna).
Plik Edycji Wlflck Tm iui Pomst
# ! / b in/bash e cho 'Skrypt w y ś w i e t l a j ą c y nazwy z określonej listy"
1
jed en dwa trz y echo $i
R y s u n e k 7 .1 5 1 . S kryp t nr 5
Pik Etyti» wwok Tomunil Pomoc
b asia@lin u x : ~ / D e s k t o p > vi skr5 b asia@lin u x : ~ / D e s k t o p > c h mod 775 skr5 b asia@lin u x : - / D e s k t o p > ,/skr5 Skrypt w y ś w i e t l a j ą c y n a zwy z określonej listy jeden dwa trzy b asia@lin u x : - / D e s k t o p » |
Rysunek 7.152. U ru c h o m ie n ie skryp tu nr 5
Ć W IC Z E N IA
1.
Utwórz wszystkie skrypty omówione w tym rozdziale i sprawdź ich działanie.
P Y T A N IA
1 . Jaki wpis musi być na początku każdego skryptu? 2 . W jakiej powłoce można pisać skrypty? 3 . Jakie uprawnienia należy nadać dla skryptu, aby był wykonywalny?
J 3 . C e n tra ln e z a rz ą d z a n ie s ta c ja m i ro b o c z y m i 7.13.1. SSH D E F IN IC JA SSH (ang. Secure Shell) to standard protokołów kom unikacyjnych używanych w sieciach kom puterow ych TCP/lR w architekturze klient-serwer.
Usługa SSH to następca protokołu Telnet, służąca do terminalowego łączenia się ze zdalnymi komputerami. Transfer wszelkich danych jest zaszyfrowany. Protokół SSH opiera się na kryptografii klucza publicznego. Do korzystania z SSH są potrzebne dwa klucze: publiczny oraz prywatny. Klucz publiczny jest powszechnie do stępny, klucz prywatny musi być dobrze chroniony. Każda kombinacja klucz prywatny/ klucz publiczny jest niepowtarzalna. Klucz prywatny nie jest przesyłany przez sieć. Gdy dane są zaszyfrowane za pomocą klucza publicznego, odszyfrować je można tylko za pomocą klucza prywatnego konkretnego użytkownika. W wersji serwerowej Linuksa ta usługa jest już zainstalowana, natomiast nie jest skon figurowana ani nawet uruchomiona. Aby przeprowadzić konfigurację, należy w YaST2 spośród usług sieciowych uruchomić konfigurację SSHD (rysunek 7.153). centrum sterowania YaVT2 ijaKo admim stratori
U s łu g i s ie c io w e
Filtr |ssh|
J
Konfiguracja SSHD
Grupy Usługi sieciowe
Rysunek 7.153. K o n fig u ra cja s e rw e ra SSHD
358
W pierwszej zakładce konfiguracji serwera (rysunek 7.154) należy zdefiniować port, na którym będzie pracowała usługa, można również włączyć dodatkowe funkcje serwera: •
przekazywanie TCP,
•
przekazywanie X I I ,
•
kompresję.
Rysunek 7.154. K o n fig u ra cja portu o ra z fu n kcji se rw e ra
.■ Ko nfig uracja s e rw e ra SSHD
Poit v
Dodaj
Cdytuj
usuń
Funkcje serweta K Włącz pizekazywameJCP wi ącz praokazywadit xii ■Z Włącz kompiesją
Pt.'nrwi|
Jakończ
W kolejnej zakładce należy skonfigurować ustawienia logowania (rysunek 7.155). Jed nym z nich jest umożliwienie logowania się użytkownika root. Rysunek 7.155. K o n figu ra cja lo g o w a n ia
j a K o nfig uracja s e rw e ra SSHD Ogólne
Ustawienia logowania
la piOŁ uttlóizytemiama Uwierzytelnianie RSA ? Uwierzytelnianie kluczem puDlicznym
359 3
W ostatniej zakładce należy wybrać m etodę szyfrowania (rysunek 7 .1 5 6 ). Rysunek 7.156. M e to d y szyfro w an ia
OH i Konfiguracja serw era SSHD OjOln«
UstaMoni
MS128-CK »•si28-cn l**192ctK
|Zł|jc
Ć W IC Z E N IA
1.
C360
Zainstaluj i skonfiguruj serwer SSH, a następnie zaloguj się do niego z Win dowsa.
|
P Y T A N IA
1 . Omów usługę SSH. 2 . Na jakim porcie pracuje usługa SSH? 3 . W jaki sposób można się połączyć z serwerem SSH?
7 .1 3 .2 . V N C Do połączenia zdalnego służy narzędzie VNC (ang. Virtual N etw ork Computing), które umożliwia przekazywanie graficznego obrazu z pulpitu maszyny odległej, do której się połączymy. Serwer VNC jest składową usług sieciowych. W celu jego konfiguracji należy uruchomić narzędzie Administracja zdalna (VNC) (rysunek 7.158). Usługi sieciowe
Piltr M
I
Adminlstiacji zdalna (VNO
Grupy Usługi słodowe
Rysunek 7.158. A d m in is tra c ja zd a ln a
W oknie konfiguracji należy uruchomić serwer zdalnej administracji oraz otworzyć port w zaporze sieciowej (rysunek 7.159). Po zakończeniu usługa zostanie uruchomiona.
& Otneri pert w laporit »itcwwłj
S iti. jMy iapoiy Mcmn)
Port jjpoiy »loclwafJoot otwarty nawybtanyCll mtwfe)«ch
Pomoc I
[ rgoiwtj j | wwocz , | Zołortct
Rysunek 7.159. U ru c h a m ia n ie z d a ln e j a d m in istra cji
361
1 . Skonfiguruj połączenie z usługą VNG
|
P Y T A N IA
1 . Omów usługę VNG 2 . Do czego służy usługa VNC? 3 . Za pomocą jakich programów można połączyć się z serwerem VNC?
7 J 4 . K opia z a p a s o w a Większość systemów operacyjnych dysponuje narzędziami służącymi do tworzenia kopii zapasowej. W SLES to narzędzie znajduje się w YaST2 (rysunek 7.160). Kopia zapasow a systemu umożliwia generowanie kopii na podstawie określonego wcześniej profilu. Jeżeli go nie ma, to w tym miejscu można go stworzyć lub też ręcznie wykonać kopię zapasową. Rysunek 7.160.
Kopia zapasowa
¿3 K o p ia za p a s o w a s yste m u Dostępni prettl» Nazwa v Opis
ustawienia automatycznego twocema kopii zapasowych
Zaiządzanie profilami * Utwórz ręcznie kopię zapasową
Aby ręcznie wykonać kopię zapasową, w następnym oknie (rysunek 7.161) należy: •
nadać nazwę dla pliku, pamiętając o podaniu pełnej ścieżki, np. /tm p/kopia.tar,
•
określić miejsce przechowywania pliku jako plik lokalny bądź serwer sieciowy NFS oraz wybrać typ archiwum.
Rysunek 7.161. U s ta w ie n ia a rc h iw u m
«3 Ustawienia archiwum
• Ptkjakalny O INgS) A«« IglutMCM!tf«ia ttfS VV>t**l7 isaCłlosaminy
iyp archiwum • uw n arcnwimkopi ztptiMUj archMun tma poaafsnmam.(ap-paip 2
| Opel«
orntozya-łyn* lisięznaieruitythpnkOw
Pomoc
Sntfui
ffislta
g»>|
W kolejnym oknie kreatora (rysunek 7.162) można określić wybór plików do archiwum: •
D ołącz pliki nie należące do żadnego pakietu — zostaną dołączone pliki, które nie należą do żadnego z zainstalowanych pakietów.
•
Stwórz kopię zapasow ą zawartości wszystkich pakietów .
•
Wyświetl listę plików przed utworzeniem kopii zapasow ej — bardzo przydatna opcja, która umożliwia wyświetlenie listy dołączanych plików przed zrobieniem kopii.
•
Sprawdź sumę MD5 zam iast rozmiaru i daty m odyfikacji — umożliwia wyszukiwanie zmienionych plików po analizie sumy kontrolnej.
Rysunek 7.162. O p c je tw o rze n ia kopii zapasow ej
O Opcje tworzenia kopii zapasowych MUMtpllMw fcfl 0
W ramach zaawansowanej konfiguracji (rysunek 7.163) można ustalić dodatkowe opcje dla tworzenia kopii, takie jak określenie lokalizacji pliku oraz możliwość utworzenia kopii zapasowej systemowych obszarów dysku twardego.
363 3
Rysunek 7.163. Z a a w a n s o w a n e o p c je tw o rz e n ia kopii z a p a so w e j
3 Zaawansowane opcje tworzenia kopii zapasowej
■ /
0M71TOWOyllu«MUd»?)
1 OKU
|
|dn*
AnJUl
WIDC
OK
W kolejnym kroku (rysunek 7.164) jest wymagane określenie zasobów, które zostaną pominięte podczas tworzenia kopii, może być zdefiniowany w dwóch formach: •
K a talog — specyfikuje bezwzględnie ścieżkę do katalogu w systemie plików.
•
System plików — określa rodzaje systemu plików.
Rysunek 7.164. O k re ślen ie w a ru n k ó w p rz e s z u kiw a n ia
Po określeniu elementów, które zostaną pominięte podczas przeszukiwania zawartości dysku, i po przejściu D alej rozpoczyna się proces gromadzenia informacji na temat plików, jakie mają wejść w skład kopii (rysunek 7.165).
Rysunek 7.165. O d c z y ty w a n ie p a k ie tó w w łą c z a n y c h d o tw o rz o n e j kopii
3 wyszukiwanie zmodyfikowanych plików lica» mMimycnimoo,«Mwmytnpuo* 38» CMwwityrozimir i».« M3 wymMramwpakmn
441» J2 1
n
¿mm
Ć W IC Z E N IA
1.
Wykonaj kopię zapasową plików znajdujących się w Twoim katalogu domowym.
P Y T A N IA
1 . Do czego służy narzędzie kopia zapasow a systemu? 2 . Czy możemy zrobić kopię zapasową pojedynczych plików?
365 0
d 366
s
Konfigurowanie urządzeń sieciowych Zasady konfigurowania urządzeń sieciowych są podobne w przypadku wielu produ centów oferujących sprzęt do zastosowań domowych i małego biznesu (ang. SOHO — Smali O ffice H om e Office) — zmiana parametrów konfiguracyjnych zazwyczaj odbywa się poprzez przeglądarkę WWW po uruchomieniu adresu wybranego urządzenia. W zależności od producenta domyślny adres może być różny, przy czym zawsze jest to adres prywatny. Domyślnie dostęp do konfiguracji urządzeń sieciowych przez przeglądarkę jest zabezpie czony przy użyciu loginu oraz hasła — każdy z producentów używa własnych loginów i haseł niezbędnych do konfiguracji. Są one dostarczane wraz z urządzeniem. Konfiguracja poprzez przeglądarkę WWW pozwala na łatwą i intuicyjną pracę w try bie graficznym, gdzie najczęściej jest dostępny również system pomocy kontekstowej przydatny dla użytkowników. Konfigurację urządzeń sieciowych w podręczniku zaprezentowano na przykładzie urządzeń firmy D-Link. Wybór ten został podyktowany popularnością tych urządzeń w zastosowaniach domowych. Dodatkowo w celu zapoznania czytelników z konfiguracją urządzeń do zastosowań bardziej komercyjnych przedstawiono konfigurację urządzeń sieciowych firmy Cisco — lidera na rynku zastosowań biznesowych.
..
8 1 K o n fig u ro w a n ie u rz ą d z e ń s ie c io w y c h p rz e z p rz e g lą d a rk ę W W W W dalszej części rozdziału, jako przykład, został użyty router D-Link DIR-665. Aby rozpocząć konfigurację urządzenia sieciowego poprzez przeglądarkę (w naszym przypadku użyty został router D-Link DIR-665), należy sprawdzić przypisany mu adres
367 0
IP. Przy zakupie nowych urządzeń wraz z dokumentacją są dostarczane: domyślny adres IP urządzenia oraz domyślny login i hasło. W przypadku gdy urządzenie było wcześniej konfigurowane i dane te zostały zmienione, istnieje możliwość przywróce nia fabrycznych ustawień poprzez przytrzymanie przycisku reset znajdującego się na obudowie urządzenia. W przypadku urządzeń firmy D-Link urządzeniom sieciowym jest fabrycznie przypi sywany adres 192.168.1.1 lub 192.168.0.1 , login użytkownika to Admin, hasło użyt kownika Admin. Aby rozpocząć konfigurację urządzenia, należy podłączyć kabel sieciowy do portu w komputerze oraz do portu w urządzeniu (w przypadku gdy urządzenie posiada porty zarówno LAN, jak i WAN, kabel wpinamy do jednego z portów LAN).
W przypadku urządzeń bezprzew odow ych czasem istnieje m ożliw ość podłączenia się do dom yślnej sieci bezprzew odow ej, co pozw ala na ko nfigurację bez konieczności używania kabli.
Jeśli urządzenie ma skonfigurowany serwer DHCP nadający adresy IP, wówczas do kom putera zostaje przypisany adres z właściwej sieci (o ile system operacyjny jest skonfi gurowany do automatycznego pobierania adresu IP). Jeżeli urządzenie sieciowe nie ma możliwości nadania adresu IP dla komputera, wówczas należy skonfigurować adres IP karty sieciowej, aby znajdował się on we właściwej sieci. Dla domyślnego adresu urządzeń firmy D-Link przykładowe parametry konfiguracji protokołu IP wyglądają następująco: Adres IP:
192.168.1.100
Maska podsieci:
255.255.255.0
Brama domyślna:
192.168.1.1
Po właściwej konfiguracji użytkownik może uruchomić dowolną przeglądarkę interne tową i przejść do konfiguracji urządzenia poprzez wpisanie w pasku adresu przeglądarki adresu IP urządzenia sieciowego. W naszym przypadku pojawi się m onit o login i hasło użytkownika, widoczny na rysunku 8. 1. Rysunek 8.1. Logowanie d o routera DIR-665
C368
Po poprawnej weryfikacji nazwy użytkownika i hasła użytkownik jest przenoszony na właściwą stronę konfiguracji. Poszczególne parametry konfiguracyjne specyficzne dla urządzeń danego typu zostały omówione w dalszej części podręcznika.
2. K o n fig u ro w a n ie u rz ą d z e ń s ie c io w y c h firm y C is c o Urządzenia sieciowe Cisco pracują pod kontrolą systemu operacyjnego IOS (ang. Inter network Operating System), który działa w trybie tekstowym, obsługa jest więc podobna do obsługi wiersza poleceń systemu Windows bądź powłoki systemu Linux. Istnieje również możliwość uruchomienia konfiguracji poprzez stronę WWW, niemniej jednak zaawansowani użytkownicy preferują konfigurację w trybie tekstowym, która pozwala na szybsze wprowadzanie zmian. Dostęp do konfiguracji urządzeń firmy Cisco może odbywać się przez protokół telnet lub SSH (w zależności od konfiguracji urządzenia), jednak podstawowym sposobem zmiany ustawień jest podłączenie komputera bezpośrednio do urządzenia sieciowego przez specjalny port konsolowy w urządzeniu (ang. console), do którego podłącza się kabel typu roll-over (zwany także kablem konsolowym lub kablem nuli modem). Ory ginalny kabel firmy Cisco (zazwyczaj dołączony do sprzętu) dostarczany razem z za kupionym sprzętem jest płaski, z jednej strony zakończony wtykiem RJ-45, z drugiej wtykiem żeńskim DB9, i ma kolor jasnoniebieski. Konfiguracja poprzez port konsolowy wymaga podłączenia kabla do portu szerego wego w komputerze oraz skonfigurowania oprogramowania typu emulator terminala, które pozwala na bezpośrednią komunikację poprzez port szeregowy (np. Putty — www.putty.org). Domyślne parametry dostępu poprzez port konsoli dla urządzeń Cisco: •
prędkość: 9600,
•
8 bitów danych,
•
bez parzystości,
•
1 bit stopu,
•
kontrola przepływu: brak.
Konfiguracja programu Putty do komunikacji poprzez port szeregowy z portem konsoli urządzenia Cisco została przedstawiona na rysunku 8.2. Domyślnie dostęp poprzez port konsolowy nie jest zabezpieczony hasłem — można je ustawić w konfiguracji urządzenia.
Połączenie przez port konsolow y jest realizowane bezpośrednio przez port szeregowy, tak w ięc nie w ym aga konfiguracji protokołu IP na kom puterze użytkownika.
IIH PuTTY Configuration
\*£2m\
Categoiy: Options controlling local serial lines
B - Session | ■ Logging B - Terminal Keyboard Bell Features B Window Appearance Behaviour Translation Selection Colours B ” Connection Data Proxy Telnet Rlogin SSH Serial
Select a serial line Serial line to connect to Configure the serial line Speed (baud) Data bits Stop bits Parity Flow control
|
Open
j [
Cancel
R y s u n e k 8 .2 . K o n fig u ra cja p ro g ra m u Putty d o k o m u n ik a c ji z u rz ą d z e n ia m i C isco
Po poprawnym skonfigurowaniu połączenia konsolowego i uruchomieniu routera w oknie emulatora terminala można obserwować komunikaty przekazywane przez proces uruchamiania urządzenia (rysunek 8.2). System Bootstrap, Version 12.3(8r)T8, RELEASE SOFTWARE Cisco 1841
(fc l )
(revision 5.0) with 114688K/16384K bytes of memory.
Self decompressing the image :
######################################################################## ## [OK] Restricted Rights Legend
Use, duplication, or disclosure by the Government is subject to restrictions as set forth in subparagraph (c) of the Commercial Computer Software — Restricted Rights clause at FAR sec. 52.227-19 and subparagraph (c) (1)
(ii) of the Rights in Technical Data and Computer
Software clause at DFARS sec. 252.227-7013.
cisco Systems,
Inc.
170 West Tasman Drive San Jose, California 95134-1706
Cisco IOS Software, 1841 Software (C1841-ADVIPSERVICESK9-M), Version 12.4(15)T1, RELEASE SOFTWARE (fc 2 )
Technical Support: http://www.cisco.com/techsupport Copyright
(c) 1986-2007 by Cisco Systems, Inc.
Compiled Wed 18-Jul-07 04:52 by pt_team Image text-base: 0x60080608, data-base:
0x6270CD50
Po uruchomieniu routera urządzenie zgłasza się w trybie użytkownika, na co wskazuje znak > po nazwie urządzenia, np.: Router>
Tryb użytkownika (ang. user exec m ode) pozwala tylko oglądać niektóre statystyki routera, bez możliwości zmian konfiguracji. Aby wprowadzić zmiany w ustawieniach urządzenia, należy zmienić tryb pracy na tryb uprzywilejowany (ang. privileged exec m ode) komendą enable. Jeśli zostało skonfigurowane zabezpieczenie hasłem, wówczas użytkownik zostanie poproszony o podanie hasła dostępu, po czym urządzenie zmieni znak zachęty na #, np.: Router#
Konfiguracja urządzenia jest dostępna po wejściu w tryb konfiguracji, co z poziomu połączenia konsolowego jest możliwe poprzez komendę configure terminal. Wy konanie komendy powoduje zmianę zgłoszenia routera: Router (config)#
Wyjście z trybu konfiguracji jest możliwe poprzez kombinację Ctrl+Z lub przy użyciu komendy e x i t . Tryb konfiguracji pozwala na ustawienie ogólnych parametrów urządzenia, takich jak jego nazwa, data, czas czy hasła dostępu. Konfiguracja poszczególnych inter fejsów sieciowych odbywa się po wejściu w tryb konfiguracji wybranego interfejsu poprzez komendę interface n a z w a _ p o r t u , np. interface FastEthernet 0/0, co zmienia zgłoszenie routera na: Router (config-if)#
Urządzenia firm y C isco pozw alają na testow anie konfiguracji bez ich zapisyw ania — zm iany w ustawieniach następują w m om encie zaakceptow ania polecenia klawiszem Enter, jednak zapisanie ich na state w ym aga w prow adzenia d odatkow ej kom endy: copy running-config startup-config
która zapisze bieżącą konfigurację (running-config) w m iejsce konfiguracji startowej urucham ianej po włączeniu urządzenia (startup-config).
Aby zmienić nazwę urządzenia, która pojawia się po zalogowaniu, należy w trybie uprzywilejowanym wykonać następujące komendy: Router# configure terminal Router (config) # hostname Urzadzeniel Urzadzeniel (config) #exit
371 3
W celu wprowadzenia hasła dostępu dla trybu uprzywilejowanego: Router# configure terminal Router (config) # enable password hasło Router (config)# exit
Komenda enable password hasło ustawia hasło dostępu do trybu uprzywilejowa nego, przy czym hasło to jest zapisane w pliku konfiguracyjnym tekstem niezaszyfrowanym. Aby zapisać w pliku konfiguracyjnym hasło zaszyfrowane, należy użyć komendy enable secret h a s ło . Do ustawienia hasła dostępu dla połączenia konsolowego służą następujące komendy: Router# configure terminal Router (config)# line console 0 Router (config-line)# password hasło Router (config-line) # login Router (config-line)# exit Router (config)# exit
Komenda line console 0 powoduje przejście w tryb konfiguracji połączenia kon soli, komenda password hasło ustawia hasło wymagane do zalogowania na hasło, komenda login powoduje włączenie autoryzacji po podłączeniu przez konsolę. Konfiguracja zabezpieczenia hasłem dla połączeń telnet jest przeprowadzana w taki sam sposób, przy czym konsole telnet w systemie IOS są oznaczane nazwą VTY. Tak więc w powyższym przykładzie należy linię line console 0 zastąpić przez line vty 0 5, gdzie druga liczba wskazuje na liczbę jednoczesnych połączeń do konsoli telnet (najnowsze wersje oprogramowania pozwalają na obsługę równocześnie 15 połączeń; wówczas należy użyć komendy line vty 0 15).
^Z £ Ł 3 . K o n fig u ra c ja Głównym zadaniem przełącznika jest dzielenie sieci na segmenty w 2. warstwie modelu OSI na podstawie adresu MAC podłączonych urządzeń. Zaletą przełączników (w po równaniu z koncentratorami) jest podział sieci na domeny kolizyjne. Więcej informacji na ten temat można znaleźć w podrozdziale 5.3. Podział przełączników pod względem ich funkcjonalności wygląda następująco: •
Przełączniki niezarządzalne — proste urządzenia typu włącz i używaj, które nie oferują użytkownikowi zaawansowanych funkcji, pełnią podstawową funkcję prze łączania ramek. Są to urządzenia najczęściej używane w niewielkich sieciach, gdzie bezpieczeństwo i wydajność nie są kluczowe.
•
Przełączniki zarządzalne — urządzania zaawansowane, pozwalające na zwiększenie bezpieczeństwa oraz wydajności sieci. Urządzenie tego typu umożliwia zmianę wielu parametrów przełączania, co pozwala łatwo rozbudowywać sieci i zarządzać nimi.
•
Przełączniki warstwy trzeciej — to urządzenia, które oprócz przełączania na podsta wie adresów MAC dodatkowo przełączają transmisje w oparciu o adres IP. Działanie
przełącznika warstwy trzeciej jest podobne do działania routera wyposażonego jedy nie w porty Ethernet, przy czym przełącznik ze względu na architekturę sprzętową wykorzystującą układy ASIC (ang. Application Specific Integrated Circuits) działa szybciej. Dodatkowo przełączniki nie obsługują interfejsów innego typu oraz nie oferują wielu funkcji routera (np. NAT).
8 .3 .1 . P a ra m e try k o n fig u ra c y jn e p rz e łą c z n ik ó w z a rz ą d z a ł nych Przełączniki do zastosowań domowych i małego biznesu najczęściej są urządzeniami, które nie są zarządzalne, czyli nie mają możliwości konfiguracji. W zastosowaniach komercyjnych są używane urządzenia zarządzalne, które pozwalają zachować wyższy poziom bezpieczeństwa, a także dają możliwość wpływania na ruch sieciowy. Funkcje, które mogą być konfigurowane w zaawansowanych przełącznikach, to m.in.: •
Protokół STP (ang. Spanning Tree Protocol) — protokół zatwierdzony w dokumencie IEEE 8 0 2 .Id pozwalający na kontrolę połączeń pomiędzy przełącznikami — jeśli między nimi występują zwielokrotnione połączenia, są one blokowane i urucha miane jedynie w przypadku wystąpienia awarii połączenia podstawowego. W sieci wykorzystującej protokół STP istnieje główny przełącznik zarządzający, w którym są ustawiane łącza redundantne (zapasowe) w celu zachowania ciągłości pracy na wypadek awarii jednego z nich. Łącza zapasowe są blokowane przez protokół STP i uruchamiane jedynie w przypadku awarii. Istnieją modyfikacje protokołu: RSTP (ang. Rapid Spanning Tree Protocol) opisany w dokumencie IEEE 8 0 2 .Iw , pozwa lający na szybsze wznowienie prawidłowej pracy sieci, oraz MSTP (ang. Multiple Spanning Tree Protocol) opisany w dokumencie IEEE 8 0 2 .ls, który umożliwia rów noważenie obciążenia pomiędzy przełącznikami i zapewnia równocześnie wiele ścieżek transmisji.
•
P rotokół SNMP (ang. Simple N etw ork M anagem ent Protocol), opisany w dokumencie RFC 1157, to uniwersalny protokół służący do zarządzania urządzeniami sieciowymi i monitorowania ich. Działanie protokołu polega na rozsyłaniu zapytań przez opro gramowanie nadrzędne (ang. manager) do agentów SNMP pracujących na urządze niach sieciowych w celu zdobycia informacji o ich aktualnym stanie. Dane te są gro madzone w bazie MIB (ang. M anagement Inform ation Base). Przełączniki dodatkowo mogą zostać skonfigurowane tak, aby wysyłać informacje w przypadku określonych zdarzeń sieciowych, takich jak awaria łącza czy niewłaściwa próba połączenia.
•
Port Mirroring funkcja pozwalająca na przesyłanie danych z wybranego portu lub wybranej sieci VLAN równocześnie do innego portu — tworzy się kopia przecho dzących przez urządzenie danych (ten jeden port działa tak, jak całe urządzenie „poprzedniej generacji”, czyli koncentrator, ruch jest powielany, a nie przekazywany pomiędzy wybranymi portami). Operacja taka daje możliwość monitorowania ruchu na wybranym segmencie sieci, na wybranym porcie lub na wybranej sieci VLAN. W przypadku urządzeń firmy Cisco funkcja ta nosi nazwę SPAN (ang. Switched Port Analyzer) lub RAP (ang. Roving Analysis Port) w przypadku urządzeń firmy 3Com.
373 0
•
QoS (ang. Quality o f Service) — usługa pozwalająca na kształtowanie mchu w celu poprawienia jakości usług transmisji danych. Usługa QoS umożliwia ustawienie priorytetów dla wybranego typu mchu sieciowego w celu zapewnienia jak najlepszej jakości dostarczanych usług (np. mch VoIP powinien mieć wyższy priorytet przy transmisji niż inne przesyłane dane, przykładowo pliki pobierane protokołem FTP). Poziomy priorytetu ruchu opisane w dokumencie 8 0 2 .lp zostały przedstawione w tabeli 8. 1.
T a b e la 8 .1 . Priorytety ru ch u zd e fin io w a n e w d o k u m e n c ie IEEE 802.1 p
Priorytet ruchu
Znaczenie
Rekomendowane zastosowanie
7
Network Control
Ruch krytyczny dla zarządzania siecią i jej działania
6
Voice
Aplikacje wrażliwe na opóźnienia, np. VoIP — opóźnie nia mniejsze niż 10 ms
5
Video
Aplikacje wrażliwe na opóźnienia, np. telewizja interak tywna — opóźnienia mniejsze niż 100 ms
4
Controlled Load
Aplikacje wykorzystujące z góry określone pasmo, np. transmisje strumieniowe
3
Excellent Effort
Aplikacje transmitujące ważne dane
2 1 0
Spare
Ruch mało istotny
Background
Ruch masowy
Best Effort
Priorytet domyślny, gdy nie są ustawione inne wartości
•
Z arządzanie pasm em (ang. bandw ith control) — usługa pozwalająca ograniczyć przepustowość na wybranym porcie.
•
Sieci wirtualne (ang. Virtual L ocal Area Network — VLAN) — opisany w dokumencie IEEE 8 0 2 .IQ standard pozwalający na podział urządzeń podłączonych do jednej fizycznej sieci na niezależne sieci logiczne. Komunikację pomiędzy sieciami VLAN zapewnia router. Przynależność urządzeń sieciowych do konkretnej sieci wirtual nej może być określana zarówno na podstawie portu przełącznika, do którego jest podłączone dane urządzenie, jak i na podstawie adresu MAC karty sieciowej tego urządzenia.
• Agregacja łączy (ang. link agregatioń) — usługa umożliwiająca łączenie przełączników równocześnie kilkoma połączeniami, co pozwala na utworzenie za pomocą wielu fizycznych połączeń jednego połączenia logicznego (wirtualnego kanału) charakte ryzującego się większą przepustowością oraz większą niezawodnością. •
Połączenie trunk — zaawansowane urządzenia sieciowe pozwalają również na zna kowanie identyfikatorem sieci VLAN ramek przesyłanych pomiędzy przełącznikami, co umożliwia transmisję jednym łączem ramek z wielu sieci wirtualnych. Specjalny znacznik (ang. tag) dodawany do ramki pozwala rozpoznać sieć VLAN, do której dana ramka powinna zostać skierowana.
8 .3 .2 . K o n fig u ra c ja p o d s ta w o w a Konfiguracja urządzenia sieciowego została przedstawiona na przykładzie modelu z serii DGS-1200 firmy D-Link. Jest to urządzenie przeznaczone do budowy małych, zarządzanych sieci komputerowych. W zależności od modelu może być wyposażone w 16, 24 lub 48 portów. Panel konfiguracji urządzenia jest dostępny poprzez stronę WWW domyślnie pod adresem 192.168.0.1. Po jego uruchomieniu użytkownik zostanie zapytany o hasło dostępu — domyślnie Admin. Po lewej stronie panelu konfiguracyjnego znajduje się menu wyboru określonych para metrów konfiguracyjnych. Po wybraniu jednego z nich w głównej części okna pojawia się formularz pozwalający na zmianę oraz zapis ustawień (rysunek 8.3).
^m ąTiz .—
D -L in k ^ Too” „ ..
* adm.n - 132.160.0.100 SBLogout
BondingNrtMrinlor Psopie
j
D evice Information
' SNMP betting ' PasswoiOAccess
Static MAC DynamieFoewsramt armoring
Device lype Firmware Verson Protocol Version WAGAddress DHCP C ent IPAddress Subnet Mast, Default Rate.way Safeguard Engine T.opP System Name System Location Logii Timeout (nitrites) System up time 802.1D Spanning Tree Port Mirroring Broadcast Storm Control Jumbo Frame ICMPSnooping SNMPstatus S02 I- Status
6
06S.1224T 4.00.09 . 00-14-6C-00-00-00 Disabled setting 192.168.0.1 255.255255.0 19711580754 Enabled setting . .
100.00
000.0 5
0
flays o nours i irons ib seconas Disabled setting Disabled setting Disabled setting Disabled setting Disabled setting Disabled setting Disabled setting
Rysunek 8.3. Panel ko n fig u ra c y jn y p rz e łą c z n ik a z serii D G S -1 2 0 0
Konfiguracja podstawowych parametrów urządzenia jest dostępna w menu System/Sy stem Setting. Pozwala ono na ustawienie adresu IP, pod którym będzie dostępny panel konfiguracji urządzenia (adres statyczny lub automatyczne pobieranie adresu z serwe ra DHCP). Dodatkowo w panelu konfiguracji istnieje możliwość przypisania nazwy urządzenia wraz z opisem lokalizacji, co w przypadku rozbudowanych sieci pozwala administratorowi na łatwiejsze zarządzanie urządzeniami sieciowymi. Włączanie oraz ustawianie prędkości działania poszczególnych interfejsów sieciowych jest możliwe w menu System/Port Setting.
375 0
8.3.3. K o n fig u ra c ja p ro to k o łu S N M P Parametry konfiguracyjne protokołu SNMP są dostępne w menu System/SNMP Setting (rysunek 8.4).
Rysunek 8.4. K o n fig u ra cja p ro to k o łu S N M P
Protokół SNMP w celu komunikacji z użytkownikami wymaga uwierzytelnienia, do którego są wykorzystywane wcześniej skonfigurowane hasła dostępu pozwalające na odczyt (tzw. public jcom m unity) oraz odczyt i zapis (privatejcom m unity). Hasła te należy wprowadzić w polach Read_Only (dla odczytu) oraz Read_W rite (dla odczytu i zapisu). Ustawienia Trap Setting pozwalają na automatyczny zapis informacji o danym zdarzeniu, które wystąpiło w urządzeniu, do serwera SMTP (określa się go poprzez podanie jego adresu IP). Zdarzenia, które mogą być zapisywane, to: •
System D evice Bootup (restart urządzenia);
•
Fiber Link Up/Link Down (włączenie/wyłączenie portu światłowodowego, jeśli wy stępuje);
•
Fiber A bnorm al Receive Error (błąd odbiom danych przez port światłowodowy, jeśli występuje);
•
Fiber A bnorm al Transmit Error (błąd wysyłki danych przez port światłowodowy, jeśli występuje);
•
Twisted Pair Link Up/Link Down (włączenie/wyłączenie portu RJ-45);
•
Twisted Pair A bnorm al Receive Error (błąd odbioru danych przez port RJ-45);
•
Twisted Pair A bnorm al Transmit Error (błąd wysyłki danych przez port RJ-45).
Oprogramowanie pozwala użytkownikowi wybrać poszczególne typy zdarzeń poprzez zaznaczenie odpowiednich pól na formularzu.
8.3.4. K o n fig u ra c ja p ro to k o łu STP Konfiguracja protokołu STP jest dostępna w menu Configuration1802.ID Spanning Tree (rysunek 8.5).
O Si-iteßAtfäm
80 2.1 D S p a n n in g T re e C o n fig u ra tio n Sytfem Selling ‘ Pen Serano - SNMP Selling ‘ Pajjmord ACOS!! Control î 802 1C VLAN ¿ ICMP Snooping
2H32nZEBa
021
B . U Spannrig i ee STP Global Setting Bridge Próríy (0 - 05S3S) Bridge Ma* Age -40)
(6
Dridoe licito T m ( -
„ I.IACAddress Table SutlcMAC
01 01 Port
10 )
03 04 OG 07
24
Root Bridge
*5]
RaMPort
2]
Root Path Cost
1
Patn Cost( -Bib'Ji) -
10]
Poth Cost
10 110 0 110 0
8
B B1 00 01:7221 47:32| "I 56| Í
1
ToPort »
Disabled
32708|
Bridge torward Delay (4-30) I-romPort
: I * Ooo.ni, ■ Safeouara Engine r Brosdcaü StormControl a \f0802 1X
® Enabled
Apply
1
2 1
Pnonty(T). bS) 1
M|
Priority 128
120 120 128
128
State Disabled Disabled Disabled Disabled ntaaniM Disabled Disabled
* El
Rysunek 8.5. K o n fig u ra cja p ro to k o łu STP
W przełącznikach protokół STP jest domyślnie wyłączony, aby nie obciążać dodatko wo sieci własnymi komunikatami (BPDU — Bridge Protocol D ata Unit). W celu jego uruchomienia w oknie konfiguracji należy zmienić stan protokołu na włączony (ang. Enabled). Dodatkowo panel konfiguracyjny pozwala na zmianę następujących para metrów protokołu STP: •
Bridge Priority— priorytet urządzenia — to wartość z zakresu 0 - 65535 określająca priorytet przekazywanych ramek.
•
Bridge Max Age — maksymalny czas życia komunikatów BPDU — to wartość po zwalająca ustawić maksymalny czas krążenia w sieci komunikatów protokołu BPDU w celu zabezpieczenia przed krążeniem danych w sieci w nieskończoność
•
Bridge H ello Time — czas pomiędzy wysyłaniem kolejnych komunikatów informu jących, że urządzenie pracuje poprawnie.
•
Bridge Forward D elay — maksymalny czas pomiędzy zmianami statusu łącza.
Dodatkowo istnieje możliwość ustawienia priorytetów oraz kosztów transmisji przez wybrany port, co pozwala na określenie, które z wielu łączy w danym momencie będzie wykorzystywane do transmisji. Im niższy koszt transmisji (ang. path cost) oraz priorytet (ang. priority), tym większe szanse, że port zostanie wybrany do przekazywania danych przez algorytm protokołu STP.
37O
8.3.5. K o n fig u ra c ja Q oS Wybrany przełącznik w swojej konfiguracji oferuje jedynie proste zarządzanie jakością usług pozwalającą na określenie priorytetów transmisji dla każdego z portów. Standard IEEE 8 0 2 .lp określający priorytety ruchu umożliwia dodawanie do przesyłanej ramki znacznika (ang. tag) wskazującego jego priorytet. Gdy urządzenie operuje na ramkach oznakowanych, korzysta z priorytetów określonych w przesyłanych danych, a kiedy ramki nie mają znacznika priorytetu, wykorzystywane są ustawienia priorytetów trans misji dla poszczególnych portów. Aby ustawić priorytety transmisji pomiędzy poszczególnymi portami, należy w menu wybrać Q oS/802.1p D efault Priority (rysunek 8.6), a następnie dla wybranego portu ustawić jeden z 4 dostępnych priorytetów (najwyższy, wysoki, zwykły, niski — ang. highest, high, m iddle, Iow). • DOS-1224T Synem $ System Seltiny
' Jum&o Frame ' 802.10 VLAN
r-psarurlty ~ Safeguard Engine ‘ Broadcast Storm Contra!
R y s u n e k 8 .6 . K o n fig u ra cja QoS
8 .3 .6 . K o n fig u ra c ja łą c z a ty p u tru n k Wybrane urządzenie pozwala na utworzenie 6 połączeń typu trunk, każde z nich może zawierać do 8 portów. Aby utworzyć połączenie typu trunk, należy wybrać w menu Configuration/Trunking (rysunek 8.7), a następnie wprowadzić nazwę danego połączenia oraz wskazać porty, które mają do niego należeć
- t*> bypem ¿. System Setting ' Trip Selling Pen Setting f SUMP Setting ' Password Access Control - yH Configuration 802 IQ VLAN
■nmffi
£ IGMP Snooping " 802 ID Spanning Tree v Pon Mirroring ^.QeS * 802 1p Default Priority 3 f0 Security
Ir u n k in g C o n fig u ra tio n
M
•
• -a • ■• _
a s a
02 IF >3 SF 04 05 06
■ ■ ■
■ ■ ■
■ ■ ■
, / , ■ I I J v l / M
: n
i n n
n n
n n
J
I n n
1
I
n o
Hole t Trunking name ehoukl be leee than 20 characters
■
■
1 1 ■
i (
Apjrly
|
’ Broadcast Storm Control S p 802 IX - y MAC Address Table Static MAC 4 Dynamic Forwarding Tati* - i*. Monitoring ’ Statistic»
R y s u n e k 8 .7 . K o n fig u ra cja p o łą c z e n ia typ u tru n k
8 .3 .7 . K o n fig u ra c ja u s łu g i p o rt m irro rin g Konfiguracja usługi port mirroring jest dostępna w menu Configuration/Port Mirroring (rysunek 8. 8). Aby uruchomić usługę w oknie konfiguracji, należy zmienić stan usługi na włączony (E nabled), wskazać port docelowy, do którego będą duplikowane dane (Target port) oraz porty źródłowe, skąd dane mają być przekazywane do portu docelo wego (Source Port Selectiori). Oprogramowanie urządzenia pozwala wybrać, jakie dane z portu źródłowego mają być przekazywane do portu docelowego: TX — dane wysyłane, RX — dane odbierane, B oth — zarówno dane wysyłane, jak i odbierane. * DGS-1224T : f- System Setting
-
P o rt M irro rin g C o n fig u ra tio n Port Mrronno
0 Enabled
Target Port
u
..
.> ... l .
Disabled
05
Anfiguratinfl Source Port selection
0
I Snltrer M d e ^ lect
0102
03 04 05 06 07 06 09
1011 12
13 14 15 16 17 18 19
202122
23 24 I
3
-i 10 QoS a 802.1p Default Piiwily ri 0 . Security S Safeguird Engine Broadcast Stwrn Curtlrul S 802 IX 53: • Sett.-; i .-a ; aj _ StatleMAC ' Dynamic Forwarding TsOle
TX RX Bnth Hnne
i All t All I All
I ) I fSi
T x T in r w T É g iS iii
0 0 0 0 0 0 0 00000
o o o o
Rysunek 8.8. K o n fig u ra cja u słu g i p o rt m irro rin g
379 0
8.3.8. K o n fig u ra c ja sie ci V L A N Konfiguracja sieci wirtualnych VLAN jest dostępna w menu Configuration/8 0 2 .IQ VLAN (rysunek 8.9). Po jego wybraniu pojawia się informacja dotycząca wszystkich skonfigu rowanych sieci wirtualnych oraz przypisanych do nich portów. Urządzenie pozwala na przypisywanie do sieci VLAN portów działających w dwóch trybach — Untag VLAN Ports oraz Tag VLAN Ports. W pierwszym z nich urządzenie podłączone do portu nie musi znakować ramek identyfikatorem sieci VLAN, bo każda ramka przekazywana tym portem należy do jednej, wskazanej sieci VLAN. Drugi typ pozwala na przypisanie portu do wielu sieci VLAN, przy czym ramki muszą być znakowane identyfikatorem sieci VLAN.
' PsssrtOfd Access Control r | ŚConfiguration
0
IOMP Snooping ■ S02.1D Spanning Trae ir Port Mirroring V QoS ’ 802. Ip Default Priority Georrity ' Safeguard Engine • Droadcast Storm Control - t*. 802.1X
R y s u n e k 8 .9 . K o n fig u ra cja sieci V L A N
Aby utworzyć nową sieć VLAN, należy wybrać przycisk Add VID, podać identyfikator oraz nazwę, a następnie wskazać, które porty urządzenia i w jakim trybie mają należeć do nowej sieci. Edycja poszczególnych sieci VLAN odbywa się w podobny sposób jak ich dodawanie; aby przejść do trybu edycji, należy wybrać link, na który wskazuje identyfikator wy branej sieci VLAN. Zaprezentowane przykłady konfiguracji pokazują, w jaki sposób odnaleźć interesujące ustawienia w wybranym modelu urządzenia. Interfejsy graficzne różnych modeli lub innych producentów na ogół różnią się wyglądem, jednak zasada konfigurowania po szczególnych parametrów pozostaje zbliżona.
8 .3 .9 . K o n fig u ra c ja p rz e łą c z n ik a firm y C is c o Konfiguracja adresu IP niezbędnego do zdalnego logowania się do urządzeń dla przełącz ników firmy Cisco może być określona dla urządzeń pracujących w tzw. administracyjnej
: 38°
sieci VLAN. Domyślnie urządzenia mają tylko jedną sieć VLAN o identyfikatorze 1, dla której nie został przypisany żaden adres IP, w związku z czym dostęp do konfiguracji jest możliwy jedynie przez port konsoli. Aby przypisać urządzeniu adres IP, należy w trybie uprzywilejowanym wykonać na stępujące komendy: Switch# configure terminal Switch(config)# interface vlan 1 Switch(config-if)# ip address 192.168.0.5 255.255.255.0 Switch(config-if)# no shutdown Switch(config-if)# exit Switch(config)# exit
Kolejne komendy oznaczają wejście w tryb konfiguracji, przejście do konfiguracji wirtualnego interfejsu sieci VLAN 1, przypisanie adresu IP oraz maski podsieci dla wybranej sieci VLAN, uruchomienie sieci, opuszczenie trybu konfiguracji interfejsu, opuszczenie trybu konfiguracji. Przypisanie adresu IP pozwala na komunikację pomiędzy zdalnymi urządzeniami a przełącznikiem. Aby możliwe było zalogowanie się i zdalna praca na urządzeniu, dostęp do konsoli telnet powinien być zabezpieczony hasłem. Konfiguracja ustawień poszczególnych portów urządzenia odbywa się poprzez wejście w trybie uprzywilejowanym do konfiguracji wybranego interfejsu, a następnie wpro wadzenie wybranych ustawień. Switch# configure terminal Switch(config)# interface FastEthernet 0/1 Switch(config-if)# speed auto Switch(config-if)# duplex auto Switch(config-if)# no shutdown Switch(config-if)# exit Switch(config)# exit
Kolejne komendy oznaczają wejście w tryb konfiguracji, przejście do konfiguracji interfejsu o numerze 1, ustawienie automatycznej negocjacji prędkości portu, ustawie nie automatycznej negocjacji trybu pracy portu, włączenie portu, opuszczenie trybu konfiguracji interfejsu, opuszczenie trybu konfiguracji. Aby sprawdzić stan kolejnych interfejsów urządzenia, należy wprowadzić komendę: Switch# show interfaces
lub gdy chce się sprawdzić stan konkretnego interfejsu, podać jego adres: Switch# show interface FastEthernet 0/1
Ustawienie haseł dla protokołu SNMP jest możliwe w trybie uprzywilejowanym za pomocą następujących komend: Switch# configure terminal
381 3
Switch (config )# snmp-server community public RO Switch (config )# snmp-server community private RW Switch (config) # exit
Kolejne komendy oznaczają wejście w tryb konfiguracji, przypisanie hasła public dla odczytu (parametr RO — ang. read, only), przypisanie hasła private dla zapisu i odczytu (parametr RW — ang. read write), wyjście z trybu konfiguracji. Aby uruchomić protokół STP na urządzeniach firmy Cisco, należy wskazać tryb jego pracy w trybie konfiguracji poprzez następujące komendy: Switch# configure terminal Switch (config) # spanning-tree mode pvst Switch (config )# exit
Kolejne komendy oznaczają wejście w tryb konfiguracji, umchomienie protokołu STP w trybie p v s t (ang. per-vlan spanning tree m ode), wyjście z trybu konfiguracji. Tryb pvst to standardowy protokół STP. Istnieje możliwość uruchomienia trybu per-vlan rapid spanning tree m od e przez wybranie komendy s p a n n i n g - t r e e mode r a p i d - p v s t . Aby na przełączniku firmy Cisco uruchomić priorytety transmisji na danych portach, należy włączyć globalnie priorytet wybranego portu następującymi komendami: Switch# configure terminal Switch (config )# mis qos Switch (config )# interface FastEthernet 0/1 Switch (config-if )# mis qos cos 0 Switch (config-if )# exit Switch (config )# exit
Kolejne komendy oznaczają wejście w tryb konfiguracji, uruchomienie usługi QoS na urządzeniu, wejście w tryb konfiguracji konkretnego interfejsu, przypisanie klasy usług na danym porcie, opuszczenie trybu konfiguracji interfejsu, opuszczenie trybu konfiguracji. Poniższa konfiguracja pozwala na utworzenie łącza zagregowanego. Switch# configure terminal Switch (config) # interface FastEthernet 0/1 Switch (config-if )# channel-group 1 mode auto Switch (config-if )# interface FastEthernet 0/2 Switch (config-if )# channel-group 1 mode auto Switch (config-if )# interface port-channel 1 Switch (config-if )# switchport mode trunk Switch (config-if )# exit Switch (config )# exit
Kolejne komendy oznaczają wejście w tryb konfiguracji, wejście w tryb konfigura cji interfejsu F a s t E t h e r n e t 0/1, przypisanie portu do pierwszego kanału agregu jącego pracującego w trybie automatycznym, wejście w tryb konfiguracji interfejsu
FastEthernet 0/2, przypisanie portu do pierwszego kanału agregującego pracującego w trybie automatycznym, wejście w tryb konfiguracji wirtualnego interfejsu agregują cego port-channel 1, ustawienie trybu pracy portu jako portu trunk (przekazuje dane z informacją, do której sieci VLAN one należą), opuszczenie trybu konfiguracji interfejsu, opuszczenie trybu konfiguracji. Usługa port mirroring na urządzeniach firmy Cisco jest nazywana SPAN (ang. Switched Port Analyzer). Jej konfiguracja została przedstawiona poniżej. Switch# configure terminal Switch (config) # monitor session 1 source interface FastEthernet 0/1 Switch (config )# monitor session 1 destination interface FastEthernet 0/10 Switch (config )# exit
Kolejne komendy oznaczają wejście w tryb konfiguracji, przypisanie do 1. sesji m oni toringu portu źródłowego— FastEthernet 0/1, przypisanie do 1. sesji monitoringu portu docelowego — FastEthernet 0/10, opuszczenie trybu konfiguracji. Aby dodać sieć VLAN i przypisać jej wybraną nazwę, należy użyć poniższej konfiguracji: Switch# configure terminal Switch (config )# vlan 20 Switch (config-vlan )# name siec-vlan20 Switch (config-vlan )# exit Switch (config )# exit
Kolejne komendy oznaczają wejście w tryb konfiguracji, wejście w tryb konfiguracji sieci VLAN o identyfikatorze 2 0, przypisanie nazwy siec-vlan2 0, opuszczenie trybu konfiguracji sieci, opuszczenie trybu konfiguracji. Aby przypisać dany port do wybranej sieci VLAN, należy użyć poniższej konfiguracji: Switch# configure terminal Switch (config) # interface FastEthernet 0/1 Switch (config-if) # switchport mode access Switch (config-if) # switchport access vlan 20 Switch (config-if )# exit Switch (config )# exit
Kolejne komendy oznaczają wejście w tryb konfiguracji, wejście w tryb konfiguracji interfejsu FastEthernet 0/1, ustawienie trybu pracy portu w sieci VLAN jako portu należącego do wybranej sieci, dołączenie portu do wirtualnej sieci VLAN 20, opuszczenie trybu konfiguracji interfejsu, opuszczenie trybu konfiguracji. Przełączniki firmy Cisco pozwalają na uruchomienie pomiędzy routerami połączeń przekazujących informacje dotyczące sieci VLAN, do których należy przekazywana ram ka — port pracujący w trybie trunk należy do wielu sieci VLAN. Poniższa konfiguracja prezentuje, w jaki sposób przypisać tryb pracy trunk do interfejsu FastEthernet 0/24. Switch# configure terminal Switch (config )# interface FastEthernet 0/24
383 3
Switch (config-if )# switchport mode trunk Switch (config-if) # switchport trunk allowed vlan all Switch (config-if )# exit Switch(config)# exit
Kolejne komendy oznaczają wejście w tryb konfiguracji, wejście w tryb konfiguracji interfejsu F a s t E t h e r n e t 0/24, ustawienie trybu pracy portu w sieci VLAN jako portu trunk, przypisanie do portu trunk wszystkich sieci VLAN, opuszczenie trybu konfiguracji interfejsu, opuszczenie trybu konfiguracji. Pokazane przykłady konfiguracji pozwalają na przygotowanie wydajnego środowiska pracy. Dostępność poszczególnych ustawień zależy od posiadanej konfiguracji sprzętowej oraz zainstalowanej wersji systemu IOS. Urządzenia firmy Cisco m ają szereg zaawanso wanych parametrów konfiguracyjnych, które wykraczają poza ramy niniejszej publikacji.
£L4. K onfiguracja routera Głównym zadaniem routera jest zapewnienie połączeń między sieciami na podstawie propagowanych przez protokoły routingu informacji oraz przekazywanie pakietów IP pomiędzy sieciami. Szczegółowy opis funkcji routerów znajduje się w podrozdziale 5.4.
8 .4 .1 . P a ra m e try k o n fig u ra c y jn e ro u te ró w Routery do zastosowań domowych i małego biznesu najczęściej są urządzeniami mają cymi jeden interfejs dostępu do sieci WAN (RJ-45 dla połączeń Ethernet lub RJ-11 dla połączeń ADSL) oraz interfejsy do podłączenia urządzeń sieci LAN (porty RJ-45 i opcjo nalnie interfejs sieci WiFi). W profesjonalnych zastosowaniach w firmach zajmujących się transmisją danych routery są bardzo zaawansowanymi urządzeniami, pozwalającymi na łączenie wielu sieci WAN pracujących w różnych technologiach z wieloma sieciami LAN. Bardzo często są to urządzenia o budowie modularnej, które pozwalają w razie potrzeby na rozbudowę sprzętową przy zastosowaniu specjalnych kart rozszerzeń. Najczęściej konfigurowane parametry routerów to m.in.: •
Interfejs WAN — tryb pracy interfejsu, mechanizm komunikacji z dostawcą inter netu, adresacja IP.
•
Serwer DHCP — większość routerów oferuje możliwość uruchomienia serwera DHCP, co pozwala na automatyczne przypisywanie adresów IP dla urządzeń w sieci lokalnej.
•
P rotokół SNMP (ang. Simple N etw ork M anagem ent P rotocol) — to uniwersalny protokół opisany w dokumencie RFC 1157, służący do zarządzania urządzeniami sieciowymi i monitorowania ich.
•
Technologia NAT — routery oferują możliwość uruchomienia technologii translacji adresów, czyli zamiany prywatnych adresów urządzeń sieci LAN na adresy publicz ne, co pozwala na dostęp do internetu w przypadku zbyt małej liczby publicznych adresów IP.
•
Przekierowanie portów (ang. Port Forwarding) — usługa pozwalająca na przekierowanie danych z określonego portu routera na konkretny port urządzenia pracującego w wewnętrznej sieci LAN. Przekierowanie portów pozwala na uruchamianie tzw. serwerów wirtualnych — usług dostępnych z sieci zewnętrznej działających na komputerach, które nie mają publicznych adresów IP.
•
Strefa zdem ilitaryzowana (ang. D em ilitarized Zone) — jest to obszar sieci kompu terowej zwiększonego ryzyka włamania, w którym działają urządzenia i serwery świadczące usługi dla użytkowników sieci zewnętrznej, ale pracujące również w sieci wewnętrznej.
•
Routing statyczny — możliwość ręcznego przypisania trasy kierującej pakiety do określonej sieci (poprzez wybrany interfejs lub adres IP).
•
Routing dynam iczny — pozwala na automatyczną wymianę pomiędzy routerami informacji na temat tras dostępu do osiągalnych przez nie sieci.
•
QoS (ang. Quality o f Service) — usługa pozwalająca na kształtowanie mchu w celu poprawienia jakości usług transmisji danych w routerach, działająca na poziomie pakietów IP.
Do zaprezentowania konfiguracji konkretnego urządzenia sieciowego został wybrany model z serii DSL-2640 firmy D-Link. Jest to urządzenie mające wiele parametrów konfiguracyjnych, pozwalające na połączenie lokalnej sieci LAN bezpośrednio z siecią internetową typu ADSL dzięki wbudowanemu modemowi.
8 .4 .2 . K o n fig u ra c ja p o d s ta w o w a Panel konfiguracji urządzenia jest dostępny poprzez stronę W W W domyślnie pod adresem 192.168.1.1. Po jego uruchomieniu użytkownik zostanie zapytany o login oraz hasło dostępu — domyślne ustawienia to: login Admin, hasło Admin. Okno konfiguracji składa się ze stałego menu górnego oraz zmiennego menu znajdują cego się po lewej stronie. Główna część ekranu zawiera edytor parametrów konfigura cyjnych z obszam wybranego menu (rysunek 8. 10). Rysunek 8.10. G łó w n e o k n o k o n fig u ra cji ro ute ra ■
Advanced
Toots
Status
Tfcs Quick Setup wit guideyou through the steps necesseryto configure your DSL Router.
setartttterherk hmfhełrwłrtenable 1ISI AirirvrnmwT 0
DSLAuto connect
9
385
8.4.3. K o n fig u ra c ja in te rfe js u W A N Konfiguracja interfejsu sieci rozległej pracującego w trybie ADSL polega na wprowadze niu parametrów połączenia, które są dostarczane przez dostawcę usług internetowych (ang. Internet Service Provider). Połączenia ADSL są oferowane przez dostawców tele komunikacyjnych i powszechnie dostępne na terenie praktycznie całego kraju. Aby skonfigurować parametry połączenia internetowego, należy na głównej stronie panelu konfiguracyjnego w menu po lewej stronie wybrać opcję WAN, która uruchomi kreator ustawień. Na kolejnych stronach użytkownik musi określić — zgodnie z para metrami otrzymanymi od usługodawcy — następujące wartości: • VPI — Virtual Path Identifier (liczba z zakresu 0 - 2 5 5 ) — identyfikator wirtualnej ścieżki w wirtualnym obwodzie sieci telekomunikacyjnej pracującej w standardzie ATM (ang. Asynchronous Transfer Mode). • VCI — Virtual Channel Identifier (liczba z zakresu 3 2 -6 5 5 3 5 ) — identyfikator wirtu alnego kanału na danej ścieżce w sieci telekomunikacyjnej pracującej w standardzie ATM. Parametr jest zależny od konkretnego dostawcy usługi dostępu do internetu. •
Kategorię usług sieci ATM — do wyboru z listy: UBR Without PCR (Unspecified Bit Rate w ithout Peak Cell Rate), UBR With PCR (Unspecified Bit Rate with Peak Cell Rate), CBR (Constant Bit Rate), Non Realtime VBR (N on-Real-time Variable Bit Rate), Realtime VBR (Real-tim e Variable Bit Rate).
lr i|#\ .T L Si nn K
Building Networta lor People
D SL-2640B A dvanced
T o o ls
S ta tu s
Rysunek 8 .1 1 . W y b ó r typ u sieci ATM w ko n fig u ra cji ro ute ra
T386
• Typ enkapsulacji w sieci ATM — LLC/Snap-Bridging lub VC/MUX. • Typ protokołu sieciowego w sieci ATM — do wyboru z listy: PPP over ATM (PPPoA), PPP over Ethernet (PPPoE), MAC Encapsulation Routing (MER), IP over ATM (IpoA), Bridging (rysunek 8.11). • W przypadku wyboru protokołu PPP używanego przez dostawców usług interne towych wymagane są: podanie loginu oraz hasła dostępu do sieci, a także wybór sposobu otrzymania adresu IP bramy domyślnej po połączeniu. Kolejne okno kreatora pozwala na ustawienie hasła dostępu dla protokołu PPP, uru chomienie technologii translacji adresów oraz zapory ogniowej na routerze. Po zapisaniu zmian router zostanie automatycznie zrestartowany, a połączenie z do stawcą internetowym powinno zostać nawiązane.
8 .4 .4 . K o n fig u ra c ja s ie c i LA N — s e rw e ra D H C P o ra z DN S Konfiguracja ustawień dla sieci lokalnej jest dostępna poprzez wybór z menu po lewej stronie opcji LAN (rysunek 8.12).
Hom e
___________________________________________________
Local Area N etwork (LAN) Setup Configure the D51 Router IP Address and Subnet Mask for LAN interface. Save button only saves the LAN configuration data. Sav&'Reboot button saves the LAN configuration data and reboots the renter to make the new configuration effective.
□ Enable IGMP Snooping «B Standard Mode C Blocking Mode
Start IP Address; 192.163.1.2 End IP Address; 192.168.1.254 Leased Time (hour); 24 Enable DHCP Server Relay______ DHCP Server IP Address: I
□ Configure the second IP Address and Subnet Mask for LAN interface
Rysunek 8.12. K o n fig u ra cja u sta w ie ń sieci lokalnej o ra z s e rw e ra DHCP
380
Aby poprawnie skonfigurować serwer DHCP, należy podać adres IP (IP Address), pod którym w sieci lokalnej będzie widoczny router (będzie on propagowany w sieci jako adres bramy domyślnej), maskę podsieci (Subnet Mask) oraz zakres adresów, jakie mają być nadawane przez protokół (pola Start IP Address oraz End IP Address są dostępne po uruchomieniu serwera po zaznaczeniu opcji E nable DHCP Server). Dodatkowo urządzenie pozwala na ustawienie czasu, na jaki jest nadawany adres IP przez serwer DHCP (Leased Time). Wybrane urządzenie nie pozwala na zdefiniowanie adresu IP serwera DNS przekazy wanego przez serwer DHCP — przekazywanym adresem IP serwera DNS jest zawsze adres routera. Do poprawnego przekierowania zapytań DNS przez router niezbędne jest ustawienie adresu poprawnego serwera DNS, który będzie w stanie odpowiedzieć na zapytania kierowane z wewnątrz sieci. Aby to zrobić, należy wybrać w menu po lewej stronie opcję DNS (rysunek 8.13).
D-Link
Building Networks lor People
—
D SL-2640B Home
A dvanced
T o o ls
S ta tu s
DNS S e rv e r C on figu ra tion
I f 'Enable Automate Assigned DNS’ checkbox is selected, this router will accept the first received DNS assignment from one of the PPPoA. PPPoE or MER/DHCP enabled PVCfs) during the connection establishment. I f the checkbox is not selected, enter the primer,' and optional seconder,' DNS server IP addresses, Click 'Apply’ button to save the new configuration. You must reboot the router to make the new configuration effective. □ Enable Automatic Assigned DNS
Primary DNSs« Seconder,' DNS
J
Apply
R y s u n e k 8 .1 3 . K o n fig u ra cja a d re su D NS
Wybór opcji Enable Automatic Assigned DNS pozwala na używanie adresu serwera DNS przypisanego przez dostawcę internetowego podczas nadawania adresu IP.
8 .4 .5 . K o n fig u ra c ja p ro to k o łu S N M P Konfiguracja protokołu SNMP jest dostępna po wybraniu w górnym menu opcji Advanced, a następnie w menu po lewej stronie SNMP (rysunek 8.14).
R y s u n e k 8 .1 4 . K o n fig u ra cja p ro to k o łu S N M P
Aby uruchomić protokół SNMP, należy wybrać opcję Enable oraz skonfigurować hasła dla odczytu (R ead Comm unity), a także odczytu i zapisu (Set Community). Dodatkowo można ustawić nazwę, lokalizację oraz dane kontaktowe do osoby zarządzającej wy branym urządzeniem. Istnieje również możliwość określenia adresu IP serwera, który gromadzi dane dotyczące zdarzeń na urządzeniu (Trap M anager IP).
8 .4 .6 . K o n fig u ra c ja te c h n o lo g ii NAT, p rz e k ie ro w a n ia p o rtó w o ra z s tre fy z d e m ilita ry z o w a n e j Uruchomienie technologii NAT jest możliwe na etapie konfigurowania sieci WAN — w oknie kreatora ustawień należy zaznaczyć opcję Enable NAT., która uruchomi translacje adresów z sieci lokalnej na adres publiczny interfejsu WAN. Przekierowanie portów pozwala na inicjację dostępu do usług sieciowych działających w sieci wewnętrznej poprzez stałe zdefiniowanie przekierowania portów interfejsu WAN na dany port wybranego urządzenia po stronie sieci LAN. Usługa ta umożliwia uruchamianie usług i serwerów dostępnych spoza sieci lokalnej, mimo że nie mają one publicznego adresu IP. Tworzenie serwerów wirtualnych poprzez przekierowanie portów jest możliwe po wybraniu opcji Virtual Server dostępnej po kliknięciu opcji Advanced z górnego menu, gdzie są prezentowane wszystkie uruchomione przekierowania. Po wybraniu przycisku Add zostaje uruchomione okno pozwalające na dodanie kolejnego przekierowania (rysunek 8.15).
389 3
D-Link
Building Networks lor People
T o o ls
S ta tu s
NAT - V irtu a l S ervers
is the 'Inte rn al Port Virtual Server Remaining number of entries th at can be configured:32 Server Name: _______________________________ # Setea a Service; Setea One (S Custom Server: Server IP AdtSress:
192.168.E
R y s u n e k 8 .1 5 . K o n fig u ra cja p rze kie ro w a n ia p o rtó w
Aby dołączyć kolejne przekierowanie, należy wybrać wcześniej zdefiniowaną usługę z listy (Select a Service) lub dodać własną poprzez podanie jej nazwy (Custom Server), zdefiniowanie zakresów portów do przekierowania z interfejsu WAN (External Port) oraz zakresu portów sieci wewnętrznej, na które dane mają zostać przekierowane (Internal Pori), a także typu protokołów, które mają być przekierowywane (TCP, UDP, TCP/UDP). Wymagane jest również zdefiniowanie adresu IP urządzenia w sieci wewnętrznej, do którego dane mają zostać przekierowane (Server IP Address). Po zapisaniu ustawień wszystkie dane kierowane na adres interfejsu WAN na wybrany port zostaną przekierowane bezpośrednio na wskazany port urządzenia pracującego w sieci wewnętrznej. Umchomienie strefy zdemilitaryzowanej pozwala na przekierowanie całego ruchu przychodzącego, który nie jest kierowany do wcześniej zdefiniowanych serwerów wir tualnych, do wybranego adresu IP. Konfiguracja strefy zdemilitaryzowanej polega na przypisaniu adresu IP urządzenia; można to zrobić, wybierając w górnym menu opcję Advanced, a następnie w menu po lewej stronie opcję DMZ.
8 .4 .7 . K o n fig u ra c ja ro u tin g u d y n a m ic z n e g o i s ta ty c z n e g o W rozbudowanych sieciach istnieje konieczność zapewnienia automatycznej wymiany pomiędzy routerami informacji o sieciach, które są osiągalne przez dany router. W tym celu zostały stworzone protokoły routingu, które przesyłają informacje pomiędzy
węzłami sieci. Na ich podstawie powstają tablice routingu pozwalające na wybór op tymalnej trasy przesyłania danych. W urządzeniach dla zastosowań domowych i małych firm najczęściej udostępniany jest protokół RIP (ang. Routing Inform ation Protocol). W celu wybrania najlepszej ścieżki posługuje się on liczbą kolejnych routerów, przez które wędruje określony pakiet. Konfiguracja protokołu RIP w wybranym urządzeniu jest dostępna po wybraniu opcji RIP z karty Routing po wskazaniu w górnym menu opcji Advanced. Aby umchomić protokół RIP, należy zaznaczyć opcję Enabled przy polu G lobal RIP Mode. Dodatkowo można skonfigurować wersję używanego protokołu (wersja 1. lub 2.) oraz tryb pracy (aktywny albo pasywny). Routing statyczny pozwala na ręczne przypisanie trasy do określonej sieci, co umożliwia konfigurację tras przesyłu danych. Konfiguracja routingu statycznego polega na wskazaniu adresu sieci docelowej wraz z maską podsieci oraz podaniu adresu lub wybraniu interfejsu, przez który dane mają być przesyłane do wskazanej sieci. Jest ona dostępna po wybraniu opcji Static Route na karcie Routing po wskazaniu w górnym menu opcji Advanced (rysunek 8.16).
D-Link
BulldlnoNetworks lor People
D SL-2640B Tools
Status
Routing - Static Route Add
Destination Network Aófress: Subnet M-ssk: 1 Use Gateway ÎP Adüress Lae
LAN/brO '
Apply
R y s u n e k 8 .1 6 . K o n fig u ra cja ro u tin g u s ta ty c z n e g o
8 .4 .8 . K o n fig u ra c ja u słu g i Q oS Usługa QoS pozwala na identyfikację, klasyfikację i przypisywanie priorytetów ruchu sieciowego przechodzącego przez router, aby zapewnić lepszą jakość transmisji dla danych wrażliwych na opóźnienia (np. transmisji wideo). Ustawienia usługi QoS są dostępne w menu QoS po wybraniu górnej zakładki Advanced. Konfiguracja usługi QoS na routerach polega na utworzeniu klas ruchu (rysunek 8.17), dla których są przypisywane konkretne — ustawione przez administratora — parametry ruchu:
391
• ATM Transmit Priority — priorytet transmisji na poziomie komunikacji sieci ATM, •
IP Precedence — priorytet transmisji określany w nagłówku pakietów IP na pierw szych 3 bitach pola TOS (type o f service),
•
IP Type O f Service — rodzaj transmitowanych danych określany w nagłówku pakietu IP na ostatnich 5 bitach pola TOS {type o f service),
•
priorytet 802. lp dla łącza WAN — ustawienie priorytetów na poziomie transmisji w sieci Ethernet (o ile łącze WAN używa znakowania ramek). i raffle Class Name! 1*1 Enable Differentiated Service Configiration Assign ATM P rio rity and/or IP Precedence and/or Type Of Service fo r the If nan-blank value is selected for 'Mark IP Precedence' and/or 'Mark IP Type Of Service', the correcponding TOS byte in the IP header of the upstream packet s overwritten by the selected value. Note: I f Differentiated Service Configuration checkbox is selected, you w ill only need to assign AT M p riority. IP Precedence w ill not be used fo r classification. IP TOS byte w ill be used fo r DSCP mark. -w •w » ▼
Assign ATM Transmit Priority: Mark IP Precedence: Mark IP Type Of Service: Mark 802. lp if 802.1q is enabled on WAN:
Specify Traffic Classification Rules Enter the following conditions either fo r IP level, SET-1, o r fo r IEEE 802.1p, SET-2. SET-1 Physical LAN Poo: Physcal LAN Port: Protocol! Source IP Address: Source Subnet Mask: UDP/TCP Source Port (port or port:port): Destination IP Address: Destination Subnet Mask:
___________________________ ▼ -* ▼
UDP/TCP Destination Port {port or port:port): SET-2 802. Ip Priority:
___________________________ ▼
R y s u n e k 8 .1 7 . U sta w ia n ie p rio ryte tó w ru chu
Po ustawieniu priorytetów należy wybrać, jaki ruch ma być znakowany zgodnie z po wyższymi ustawieniami, na podstawie następujących kryteriów: •
Fizyczny port urządzenia (ang. Physical LAN port).
•
Protokół (ang. Protocol) — TCP/UDP.
•
Źródłowy adres IP (ang. Source IP Address).
•
Źródłowa maska podsieci (ang. Source Subnet Mask).
•
Źródłowy port UDP/TCP (ang. UDP/TCP Source Port).
•
Docelowy adres IP (ang. Destination IP Address).
•
Docelowa maska podsieci (ang. Destination Subnet Mask).
•
Docelowy port UDP/TCP (ang. Destination Port).
•
Źródłowy adres MAC (ang. Source MAC Address).
•
Maska źródłowego adresu MAC (ang. Source MAC Mask).
•
Docelowy adres MAC (ang. D estination MAC Address).
•
Maska docelowego adresu MAC (ang. Destination MAC Mask).
•
Priorytet ruchu w warstwie 2. — 802. Ip Priority.
Maska adresów MAC pozwala na wybór adresów spełniających określone kryteria — podobnie jak maska podsieci przypisywana w konfiguracji protokołu IP. Dla każdej klasy wymagane jest również podanie jej nazwy. Po zapisaniu klasy przy uży ciu przycisku Apply ruch sieciowy będzie wysyłany zgodnie z przypisanymi priorytetami. Kształtowanie ruchu sieciowego przy użyciu usługi QoS jest bardzo rozległym zagad nieniem wykraczającym poza ramy podręcznika, w którym przedstawiono jedynie podstawowe i łatwe do zrozumienia zasady konfiguracji usługi.
8 .4 .9 . K o n fig u ra c ja z a b e z p ie c z e ń sie ci — fire w a ll Routery to urządzenia pracujące na styku sieci wewnętrznej i zewnętrznej, w związku z czym są one często narażone na ataki z zewnątrz sieci. W celu wyeliminowania po tencjalnych zagrożeń większość urządzeń ma wbudowane funkcje zabezpieczeń sieci — zaporę ogniową (ang. firewall). Funkcjonalność zapory ogniowej pozwala na filtrowanie ruchu przychodzącego i wychodzącego pod względem źródłowych i docelowych adresów IP oraz portów, a także protokołu warstwy czwartej. Domyślnie prezentowane urządzenie blokuje cały ruch przychodzący, a wbudowa ny mechanizm pozwala na odblokowanie wybranego rodzaju ruchu przychodzącego. W przypadku ruchu wychodzącego domyślnie cały ruch jest dozwolony; filtrowanie pozwala na ograniczenie wybranego rodzaju ruchu. Konfiguracja filtrowania adresów IP jest dostępna na karcie IP Filter po wybraniu z gór nego menu opcji Advanced, gdzie można określić ustawienia dla ruchu przychodzącego (ang. inbound filter) oraz wychodzącego (ang. outbound filter) — rysunek 8.18.
Advanced
Tools
Status
Add IP Filter - Outgoing The screen allows you to create a filter rule to identify outgoing ÏP traffic by specifying a name and at least one condition below. All of the specified conditions m this filter rule must be satisfied for the rule to take effect, Click 'Apply' » save and activate the filter. Filter Name: Protocol! Source IP address: Source Subnet Mask: Source Port (port or port:port): Destination IP address; Destination Subnet Mask: Destination Port (port or pott:port):
Rysunek 8.18. K o n fig u ra cja filtró w IP d la p o łą c z e ń w y c h o d z ą c y c h
8.4.10. K o n fig u ra c ja ro u te ró w firm y C is c o Przykładowa konfiguracja routera firmy Cisco odnosi się do urządzenia zapewniającego komunikację sieci lokalnej z dostawcą internetu poprzez łącze typu ADSL. Łącza typu ADSL należą do łączy wdzwanianych (ang. D ial-up), czyli takich, które mogą działać jedynie wtedy, gdy połączenie zostanie nawiązane. Połączenia tego typu pozwalają na uruchamianie tzw. Routingu na żądanie (ang. Routing on dem and), np. w przypadku awarii innego łącza, czy też umożliwiają łączenie się przy użyciu jednego interfejsu fizycznego z wieloma dostawcami internetu lub innymi lokalizacjami sieci. Aby poprawnie skonfigurować połączenie wdzwaniane, niezbędne są następujące elementy: • Interfejs fizyczny (ang. Physical interface) — port routera, który będzie połączony z siecią dostawcy internetu lub siecią telekomunikacyjną. • Interfejs logiczny (ang. D ialer interface) — to zestaw ustawień konkretnego wdzwanianego połączenia z siecią (takich jak numer telefonu, jeśli jest potrzebny, login i hasło niezbędne do podłączenia się do zdalnej sieci). • Pula interfejsów wdzwanianych (ang. D ialer pool) — to przypisanie interfejsów fizycznych do interfejsów logicznych. Interfejsy pozwalające na podłączenie do sieci ADSL w routerach Cisco są oznaczane nazwą ATM. Przykładowa konfiguracja routera do połączenia z siecią ADSL może wyglądać następująco: Router# configure terminal Router (config) # interface DialerO Router (config-if) # ip address negotiated Router (config-if)# encapsulation ppp Router (config-if)# dialer pool 1 Router (config-if)# ppp chap hostname login Router (config-if)# ppp chap password hasło Router (config-if)# interface ATMO/O Router (config-if)# no ip address Router (config-if)# pvc 0/35 Router (config-if)# encapsulation aal5mux ppp dialer Router (config-if)# dialer pool-member 1 Router (config-if)# exit Router (config)# exit
Kolejne komendy oznaczają uruchomienie trybu konfiguracji, wejście w tryb kon figuracji interfejsu logicznego DialerO (numer interfejsu jest nadawany dowolnie), uruchomienie automatycznego pobierania adresu IP, włączenie protokołu PPP, przypi sanie interfejsu do puli 1., ustawienie loginu do zdalnej sieci, ustawienie hasła dostępu do zdalnej sieci, przejście do konfiguracji interfejsu fizycznego, usunięcie przypisania adresu IP, ustawienie wirtualnej ścieżki i wirtualnego kanału połączenia ATM, wybór enkapsulacji dla połączenia ATM, przypisanie interfejsu do puli 1., wyjście z trybu konfiguracji interfejsu, wyjście z trybu konfiguracji.
Uruchomienie technologii NAT wymaga utworzenia listy dostępu (ang. Access list) — jest to lista reguł sprawdzająca adresy IP mchu sieciowego, które są wykorzystywane przede wszystkim do filtrowania mchu, ale również przy konfiguracji usług routera. Urządzenia Cisco oferują trzy rodzaje list dostępu: •
Listy standardowe (ang. standard list) — pozwalają na sprawdzenie tylko źródło wego adresu IP.
•
Listy rozszerzone (ang. extended list) — pozwalają na sprawdzenie źródłowego i docelowego adresu, a także portu i protokołu warstwy czwartej.
•
Listy nazywane (ang. nam ed list) — pozwalają na tworzenie list określanych nazwa mi, a nie liczbami. Mogą służyć zarówno do sprawdzania adresu źródłowego, jak również źródłowego i docelowego adresu oraz portu i protokołu warstwy czwartej.
Przetwarzanie listy dostępu odbywa się zgodnie z kolejnymi wpisami; jeśli przesyłany pakiet spełnia wamnki określonego wpisu, kolejne wpisy nie są sprawdzane. Określenie zakresu adresów w listach dostępu odbywa się przy użyciu maski odwrotnej (ang. wildcard m ask). Jest to liczba 32-bitowa, wskazująca, które kolejne liczby w adresie IP muszą być zgodne z zapisem na liście dostępu — bity oznaczone w masce cyfrą 1 nie muszą być zgodne z zapisem na liście, bity oznaczone 0 muszą być równe, np.: Adres IP:
192.168.1.1
Maska odwrotna:
0.0.0.255
oznacza zakres adresów 1 9 2 .1 6 8 .1 .0 -1 9 2 .1 6 8 .1 .2 5 5 . Przy konfigurowaniu list dostępu można stosować specjalne słowa kluczowe: •
any zastępuje adres IP 0 .0 .0 .0 oraz maskę 2 5 5 .255.255.255 i oznacza dowolny adres sieciowy.
•
h o s t zastępuje maskę 0.0.0.0 i oznacza konkretny adres IP (dopasowanie wszystkich bitów adresu IP i adresu znajdującego się na liście).
Definiowanie list dostępu odbywa się w trybie konfiguracji urządzenia po słowie klu czowym a c c e s s - l i s t . Dla list standardowych przewidziane są numery 1 - 9 9 ; ich konfiguracja wygląda następująco: Router# configure terminal Router (config)# access-list 1 permit host 192.168.1.10 Router (config) # access-list 1 permit 192.168.2.0 0.0.0.255 Router (config) # exit
Kolejne polecenia oznaczają umchomienie trybu konfiguracji, dołączenie do standar dowej listy dostępu 1 zezwolenia dla adresu 192.168.1.10, dołączenie do standardo wej listy dostępu 1 zezwolenia dla sieci 192.168.2.0, opuszczenie trybu konfiguracji. Taki zapis listy dostępu powoduje, że dopuszcza ona jedynie ruch pochodzący z adresu 1 92.168.1.10 oraz z sieci 192.168.2.0. Domyślnie każda lista na końcu zawiera niejawny zapis deny any, który oznacza, że żaden inny ruch nie zostanie zaakceptowany.
395,0
Konfiguracja list rozszerzonych wygląda następująco: Router# configure terminal Router (config)# access-list 100 permit tcp host 192.168.1.100 host 201.202.203.204 eg 22 Router (config) # access-list 100 deny tcp 192.168.1.0 0.0.0.255 any eq 22 Router (config)# access-list 100 deny tcp 192.168.1.0 0.0.0.255 any eq 25 Router (config) # access-list 100 permit tcp 192.168.1.0 0.0.0.255 any Router (config)# exit
Kolejne polecenia oznaczają uruchomienie trybu konfiguracji, dołączenie do rozszerzo nej listy dostępu 100 zezwolenia dla adresu 192.168.1.100 do komunikacji z adresem 20 1 .2 0 2 .2 0 3 .2 0 4 na porcie 22, zabronienie dostępu z sieci 192.168.1.0 dla połączeń kierowanych na port 22, zabronienie dostępu z sieci 192.168.1.0 dla połączeń kiero wanych na port 25, zezwolenie na dostęp z sieci 192.168.1.0 dla połączeń kierowa nych na dowolne porty dowolnych adresów IP, opuszczenie trybu konfiguracji. Taki zapis listy dostępu pozwala na komunikację na porcie 22 jedynie urządzenia o adresie 192.168.1.100 z urządzeniem o adresie 201.202.203.204. Pozostałe połączenia na porcie 22 są zabronione, podobnie jak zabroniona jest komunikacja na porcie 25. Pozostała komunikacja z innymi portami pochodząca z sieci 192.168.1.0 jest dozwolona. Podob nie jak w przypadku listy standardowej, niejawny zapis deny any oznacza, że żaden inny ruch nie zostanie zaakceptowany. Istnieje również możliwość utworzenia nazywanych list dostępu, dzięki czemu nie trzeba ograniczać się do dostępnych numerów przeznaczonych dla danego rodzaju listy. Konfiguracja zezwalająca na mch pochodzący z adresu 192.168.1.10 oraz sieci 19 2.168.2.0 przy zastosowaniu list nazywanych wygląda następująco: Router# configure terminal Router (config)# ip access-list standard RuchZSieci Router (config-std-nacl)# permit host 192.168.1.10 Router (config-std-nacl)# permit 192.168.2.0 0.0.0.255 Router (config-std-nacl)# exit
Konfiguracja translacji adresów na urządzeniach firmy Cisco odbywa się w trzech etapach: •
określenie interfejsu wewnętrznego oraz zewnętrznego;
•
określenie puli adresów zewnętrznych, dla których ma być wykonywana translacja adresów;
•
określenie ruchu, który ma mieć adresy tłumaczone za pomocą listy dostępu, oraz przypisanie listy do określonej puli adresów zewnętrznych.
Przykładowa konfiguracja translacji adresów mchu pochodzącego z sieci 192.168.1.0 podłączonej do interfejsu F a s t E t h e r n e t 0/0 na adres 2 0 1 .202.203.204 przypisany na interfejsie G i g a b i t E t h e r n e t 0/0 wygląda następująco: Router# configure terminal Router (config)# interface FastEthernet 0/0
Router (config-if)# ip address 192.168.1.1 255.255.255.0 Router (config-if)# ip nat inside Router (config-if)# interface GigabitEthernet 0/0 Router (config-if)# ip address 201.202.203.204 255.255.255.0 Router (config-if)# ip nat outside Router (config-if)# exit Router (config)# ip nat pool Pulal 201.202.203.204 201.202.203.204 netmask 255.255.255.255 Router (config) # ip access-list standard RuchZSieciLan Router (config-std-nacl)# permit 192.168.1.0 0.0.0.255 Router (config-std-nacl)# exit Router (config)# ip nat inside source list RuchZSieciLan pool Pulal overload Router (config) # exit
Kolejne komendy oznaczają wejście w tryb konfiguracji, wejście w tryb konfiguracji interfejsu FastEthernet 0/0, przypisanie adresu 192.168.1.1, ustawienie interfejsu jako wewnętrznego dla technologii NAT, przejście do konfiguracji interfejsu Giga bitEthernet 0/0, przypisanie adresu 201.202.203.204, ustawienie interfejsu jako zewnętrznego dla technologii NAT, opuszczenie konfiguracji interfejsu, utworzenie puli adresów zewnętrznych, na które będzie tworzone tłumaczenie, utworzenie standardo wej nazywanej listy dostępu, dopuszczenie ruchu pochodzącego z sieci 192.168.1.0, opuszczenie konfiguracji nazywanej listy dostępu, przypisanie translacji adresów dla adresów wewnętrznych, które spełniają warunki listy RuchZSieciLan, tłumaczenie adresów na zdefiniowaną wcześniej pulę adresów zewnętrznych Pulal, opuszczenie trybu konfiguracji. Urządzenia Cisco pozwalają również na przekierowanie portów lub całego ruchu na wskazany adres IP. Aby przekierować ruch z portu 8080 interfejsu zewnętrznego na port 80 urządzenia o adresie 1 92.168.1.50, należy użyć następującego polecenia: Router# configure terminal Router (config)# ip nat inside source static tcp 192.168.1.50 80 201.202.203.204 8080 extendable Router (config) # exit
Aby uruchomić usługę serwera DHCP na routerze, należy zarezerwować adres IP inter fejsu routera, który nie będzie przypisywany przez serwer DHCP, i zdefiniować pulę adresów wraz z parametrami, np.: Router# configure terminal Router (config) # ip dhcp excluded-address 192.168.1.1 Router (config) # ip dhcp pool PulaDHCP Router (dhcp-config)# network 192.168.1.0 255.255.255.0 Router (dhcp-config) # default-router 192.168.1.1 Router (dhcp-config) # dns-server 192.168.1.50 Router (dhcp-config)# exit Router (config)# exit
Kolejne komendy oznaczają wejście w tryb konfiguracji, wyłączenie adresu 192.168.1.1 z puli adresów przydzielanych przez serwer DHCP, utworzenie puli adresów DHCP o nazwie PulaDHCP, przypisanie sieci 192.168.1.0 do przydzielanych adresów, przypi sanie adresu bramy domyślnej przekazywanego przez serwer DHCP, przypisanie adresu serwera DNS przekazywanego przez serwer DHCP, opuszczenie trybu konfiguracji puli DHCP, wyjście z trybu konfiguracji. Konfiguracja parametrów protokołu SMTP w oprogramowaniu routera odbywa się w taki sam sposób jak w przypadku konfiguracji przełączników (punkt 8.3.9). Urządzenia firmy Cisco pozwalają na bardzo zaawansowaną parametryzację jakości usług. Ze względu na złożoność tego zagadnienia, które wykracza poza ramy podręcznika, omówiona zostanie podstawowa funkcjonalność pozwalająca przypisywać wybrany ruch do kolejek o różnych priorytetach. Podstawowa konfiguracja kolejkowania w urządzeniach Cisco pozwala na uruchomienie 4 kolejek o priorytetach wysokim, średnim, normalnym oraz niskim (h ig h , medium, n o rm al, low). Przypisanie ruchu, który ma być kierowany kolejką o wybranym prio rytecie, odbywa się za pomocą omówionych wcześniej list dostępu. Ze względu na większe możliwości weryfikowania najczęściej używane są w tym celu listy rozszerzone. Po utworzeniu list dostępu należy je przypisać do wybranej listy kolejek z odpowied nimi priorytetami, a następnie przypisać listę kolejek do określonego interfejsu, np.: Router# configure terminal Router(config)# access-list extended 100 Router (config-ext-nacl)# permit
tcp
any
any eq 22
Router (config-ext-nacl)# permit
tcp
any
any eq23
Router(config-ext-nacl)# ip access-list extended 110 Router(config-ext-nacl)# permit
tcp
any
any eq 25
Router(config-ext-nacl)# permit
tcp
any
any eq 80
Router(config-ext-nacl)# permit
tcp
any
any eq 110
Router(config-ext-nacl)# ip access-list extended 120 Router(config-ext-nacl)# permit tcp any any eq 21 Router(config-ext-nacl)# exit Router(config)#
priority-list 1 protocol ip
high list 100
Router(config)#
priority-list 1 protocol ip
medium list 110
Router(config)#
priority-list 1 protocol ip
low list 120
Router(config)#
priority-list 1default normal
Router(config)# interface FastEthernet 0/0 Router (config-if) # priority-group 1 Router(config-if)# exit Router# exit
W powyższym przykładzie po wejściu w tryb konfiguracji zostają skonfigurowane kolejne rozszerzone listy dostępu — lista 100 wskazująca dowolny ruch kierowany na porty 22 i 23 (usługi SSH i telnet), lista 110 wskazująca dowolny ruch kierowany na
porty 25, 80 i 110 (usługi SMTP, WWW, POP3) oraz lista 120 wskazująca dowolny ruch kierowany na port 21 (usługa FTP). Następnie zostaje utworzona lista kolejek nr 1 (ruch spełniający warunki listy 100 będzie kierowany z priorytetem wysokim, ruch spełniający warunki listy 110 z priorytetem średnim, ruch spełniający warunki listy 120 z priorytetem niskim, pozostały ruch ma domyślnie ustawiony priorytet normalny), po czym zostaje ona przypisana do interfejsu F a s t E t h e r n e t 0/0. Konfiguracja protokołu RIP na urządzeniach firmy Cisco polega na uruchomieniu usługi oraz wskazaniu sieci, które mają być rozgłaszane przy użyciu protokołu RIP. Router# configure terminal Router (config) # router rip Router (config-router)# network 192.168.1.0 Router (config-router)# network 192.168.2.0 Router (config-router)# exit Router (config)# exit
Kolejne komendy konfiguracji oznaczają wejście w tryb konfiguracji, uruchomienie konfiguracji protokołu RIP, umchomienie rozgłaszania informacji o sieciach 192.168.1.0 oraz 192.168.2.0 przy użyciu protokołu RIP, wyjście z trybu konfiguracji protokołu routingu, wyjście z trybu konfiguracji. Aby sprawdzić tablicę routingu, w której znajdują się adresy dostępnych sieci wraz z informacją, w jaki sposób są one osiągalne, należy użyć komendy: Router# show ip route
Konfiguracja filtrowania ruchu na urządzeniach firmy Cisco opiera się na utworzeniu listy dostępu oraz przypisaniu jej do określonego interfejsu dla połączeń przychodzących i (lub) wychodzących — samo utworzenie listy dostępu nie powoduje rozpoczęcia filtro wania mchu, gdyż listy mogą być wykorzystywane również do konfiguracji innych usług (np. kolejkowania). Przykładowa konfiguracja tworzy listę dostępu zezwalającą jedynie na mch WWW (port 80 i 443) do wszystkich urządzeń oraz ruch generowany przez serwery poczty (na porcie 25 i 110) kierowany do urządzenia o adresie 201.202.203.204, a następnie uruchamia filtrowanie mchu wychodzącego zgodnie z utworzoną listą na interfejsie F a s t E t h e r n e t 0/0. Router# configure terminal Router (config)# ip access-list extended RuchWychodzący Router (config-ext-nacl)# permit tcp
any any eq 80
Router (config-ext-nacl)# permit tcp
any host 201.202.203.204
eq 25
Router (config-ext-nacl)# permit tcp
any host 201.202.203.204
eq 110
Router (config-ext-nacl)# exit Router (config) # interface FastEthernet0/0 Router (config-if) # ip access-group RuchWychodzący out Router (config-if)# exit Router (config)# exit
399 3
Kolejne komendy konfiguracyjne oznaczają wejście w tryb konfiguracji, utworzenie rozszerzonej listy dostępu o nazwie RuchW ychodzacy, zezwolenie na cały ruch wy chodzący kierowany na port 80, zezwolenie na ruch wychodzący kierowany na port 25 serwera o adresie 2 0 1 .2 02.203.204, zezwolenie na ruch wychodzący kierowany na port 110 serwera o adresie 2 0 1 .2 02.203.204, opuszczenie konfiguracji listy dostępu, wejście w tryb konfiguracji interfejsu F a s t E t h e r n e t 0/0, przypisanie dla ruchu wy chodzącego listy dostępu o nazwie RuchW ychodzacy, opuszczenie trybu konfiguracji interfejsu, opuszczenie trybu konfiguracji.
7^875. K onfiguracja urządzeń be zp rze w o d o w ych Najbardziej popularne urządzenia bezprzewodowe pozwalają na komunikację z siecią przy użyciu fal radiowych o częstotliwości 2,4 Ghz (w standardzie 802.1 lb , 802.1 lg oraz 802.1 ln ) lub też 5 GHz (w standardzie 802.1 la). Na infrastrukturę sieci bezprzewodowej składają się punkty dostępu (ang. Access point) z dołączanymi antenami oraz bezprzewo dowe karty sieciowe montowane w urządzeniach. W segmencie urządzeń profesjonalnych występują dodatkowo kontrolery punktów dostępu (ang. Access point controller). Sieci bezprzewodowe (ang. Wireless L ocal Area NetWork — WLAN) mogą pracować w dwóch trybach: •
w trybie ad hoc, w którym urządzenia łączą się bezpośrednio z sobą,
•
w trybie infrastruktury, z wykorzystaniem punktów dostępowych (ang. Access point).
Punkt dostępowy to centralny punkt sieci bezprzewodowej. Przekazuje dane między urządzeniami, pozwala także na podłączenie sieci bezprzewodowej do sieci kablowej. Punkty dostępowe mają dwa interfejsy sieciowe: interfejs bezprzewodowy (gniazdo do podłączenia anteny) i interfejs sieci kablowej (najczęściej gniazdo RJ-45 do podłączenia sieci Ethernet). Punkty dostępowe mogą komunikować się z sobą, co pozwala na budowę złożonej infrastruktury łączącej urządzenia znacznie od siebie oddalone.
8 .5 .1 . P a ra m e try k o n fig u ra c y jn e u rz ą d z e ń b e z p rz e w o d o w y c h Podstawowe parametry konfiguracyjne urządzeń dostępowych do sieci bezprzewodo wych odnoszą się do nazwy sieci oraz opcjonalnych zabezpieczeń: •
Identyfikator sieci bezprzewodowej (ang. Service Set IDentifier — SSID) — nazwa sieci bezprzewodowej; urządzenia, które mają pracować w jednej sieci, muszą mieć ten sam identyfikator sieci.
•
Rozgłaszanie identyfikatora sieci (ang. SSID Broadcast) — ustawienie pozwalają ce ukryć sieć bezprzewodową — nie będzie ona widoczna podczas przeglądania
dostępnych sieci WLAN, dostęp do niej będzie możliwy po wpisaniu jej nazwy. Do zmiany tych ustawień odnoszą się także ukrycie sieci (H ide WLAN) lub ukrycie punktu dostępu (Hide Access Point). •
Kanał działania sieci (ang. channel) — ustawienia pozwalające wybrać konkretny kanał transmisji — w obrębie wybranego zakresu częstotliwości jest wyodrębnionych kilkanaście kanałów (w Polsce jest to 13 kanałów). Ich wydzielanie ma za zadanie umożliwienie funkcjonowania na jednym obszarze kilku sieci bezprzewodowych działających w tym samym zakresie częstotliwości. Często ustawienia kanału są wybierane automatycznie, użytkownik musi określić tylko kraj, w którym działa urządzenie, gdyż kanały transmisji mogą się różnić w zależności od terytorium.
•
Rodzaj zabezpieczenia sieci (N etw ork Autenticatioń) — ustawienie pozwalające określić sposób szyfrowania danych.
•
Hasła dostępu do sieci.
Urządzenia bezprzewodowe mogą pracować bez szyfrowania danych (tryb niezalecany ze względów bezpieczeństwa) lub w jednym z następujących trybów szyfrowania danych: • WEP (ang. Wired Equivalent Privacy) — tryb pozwalający na używanie kluczy 64-bitowych lub 128-bitowych. Szyfrowanie WEP zostało złamane i nie jest uzna wane za bezpieczne. • WPA (ang. WiFi Protected Access) — zabezpieczenie wykorzystujące cykliczne zmiany klucza szyfrującego podczas transmisji; może działać w dwóch trybach: Enterprise (klucze są przydzielane przez serwer Radius dla każdego użytkownika sieci) lub Personal (wszyscy użytkownicy sieci korzystają z dzielonego klucza — ang. Pre-Shared Key — PSK). • WPA2 — poprawiona wersja protokołu WPA, zalecana do zabezpieczeń sieci bez przewodowych. Konfiguracja urządzeń bezprzewodowych została przedstawiona na przykładzie wcześ niej omawianego routera DSL-2640B firmy D-Link. Urządzenie to jest nazywane ro uterem bezprzewodowym. Oznacza to, że jest to router z wbudowanym punktem dostępu — interfejsem dla sieci bezprzewodowej. Dodatkowo została przedstawiona konfiguracja bezprzewodowej karty sieciowej zainstalowanej w systemie Windows w celu podłączenia do sieci WiFi.
8 .5 .2 . K o n fig u ra c ja sie ci b e z p rz e w o d o w e j Ustawienie parametrów sieci bezprzewodowej jest dostępne na głównej stronie panelu konfiguracyjnego po wybraniu opcji Wireless z lewego menu. Na głównej stronie konfiguracji interfejsu bezprzewodowego (rysunek 8.19) znajduje się opcja uruchomienia sieci bezprzewodowej (Enable Wireless), ukrycia rozgłaszania nazwy sieci (Hide Access Point), ustawienia identyfikatora sieci (SSID), a także wskazania kraju, w którym działa urządzenie, w celu poprawnego przypisania kanałów (Country).
401 3
H f 1SI n m3 - L 1 lKr Bulldlno Networks lor Peanie
DSL-2640B H om e
Advanced
Tools
Status
W ireles s - Basic
This paoe allows you to configure basic features of the wireless IAN interface. You can enable or disable the wireless IAN interface, hide the network from active scans, set the wireless network name (also known as 55ID) and restrict the channel set based on country requirements. Click "Apply” to configure the bask wireless options,
0
Enable Wireless
□
Hide Access Point
SSIDi
Wireless
BSSIDi
02:19:5B:C7i8F:50
Country;
UNiTED STATES
0
Enable Wireless G
Guest SSID:
G-es
Apply
R y s u n e k 8 .1 9 . K o n fig u ra cja interfejsu b e z p rz e w o d o w e g o
Wybrane urządzenie pozwala na skonfigurowanie dodatkowej — gościnnej — sieci WiFi (Enable Wireless Guest NetWork). Jest to niezależna sieć bezprzewodowa zapewniająca dostęp do intenetu, bez zabezpieczeń i możliwości połączenia do głównej — wcześniej skonfigurowanej sieci. Konfiguracja zabezpieczeń sieci WiFi jest dostępna poprzez wybór opcji Security (ry sunek 8.20). Pozwala ona ustawić rodzaj zabezpieczeń oraz ich parametry: klucz dla szyfrowania WEP, natomiast dla szyfrowania WPA i WPA2 należy wskazać klucz lub adres serwera Radius oraz rodzaj kodowania stosowanego przy zabezpieczeniach (TKIP, silniejsze AES oraz TKIP+AES). Aby uruchomić sieć bezprzewodową w systemie Windows 7, należy poprawnie zain stalować kartę sieciową oraz odpowiednio ustawić niezbędne parametry — nazwę sieci, do której użytkownik ma zostać podłączony (wybrać, jeśli jest rozgłaszana, lub wpisać, jeżeli jest ukryta), oraz hasło dostępu do sieci i skonfigurować protokół IP. Aby podłączyć komputer do sieci bezprzewodowej, należy w Panelu sterowania wy brać Sieć i internet/Centrum sieci i udostępniania, a następnie wskazać opcję Połącz lub rozłącz lub wybrać w obszarze powiadamiania paska zadań (w prawym dolnym rogu obok zegara) ikonę 9?l • Wyświetlona zostanie lista dostępnych połączeń sieciowych, na której są widoczne działające i dostępne połączenia sieciowe (rysunek 8.21). W obszarze Połączenia sieci bezprzew odow ych są wyświetlane wszystkie sieci WLAN, które rozgłaszają swoje nazwy.
D-Link
Bulldlnę Networks lor People
H om e Wireless - Security
This page allows you to configure security feature of the wireless LAN interface. You can sets the network authentication method, selecting data encryption, specify whether a network key is required to authenticate to this wireless network and specif,' the encryption strength. Click "Apply" ® configure the wireless security options. Select SSIDi Network Authentication: WPA Pre-Shared Key: WPA Group Rekey Interval: WPA Encryption: WEP Encryption:
<5
Back
^
Apply
R y s u n e k 8 .2 0 . K o n fig u ra cja z a b e z p ie c z e ń sieci
Obecnie połączono r . - -
Sieć niezidentyfikowana Bralc dostępu do sieci
Połączenie te lefoniczne i sieć VPN Połączenie sieci bezprzewodowej W LAN I
O tw órz C entrum sieci i udostępniania
R y s u n e k 8 .2 1 . O k n o d o s tę p n y c h p o łą c z e ń s ie cio w ych
Po kliknięciu nazwy wybranej sieci pojawi się przycisk Połącz. Kliknięcie go automa tycznie uruchomi połączenie sieciowe. Jeśli dostęp do sieci jest zabezpieczony, pojawi się monit o hasło dostępu do sieci (rysunek 8.22).
403 0
laSial
tj? Połącz z siecią
Wpisz klucz zabezpieczeń sieci
Klucz zabezpieczeń:
Haslol23| □
1
Ukryj znaki
|
OK
[
Anuluj
]
R y s u n e k 8 .2 2 . M o n it o h a s to d o s tę p u d o sieci b e z p rz e w o d o w e j
W przypadku gdy sieć nie rozgłasza swojej nazwy, nie pojawia się ona na liście dostęp nych połączeń sieciowych. Aby podłączyć się do takiej sieci, należy w Panelu sterowania wybrać Sieć i internet/Centrum sieci i udostępniania/Zarządzaj sieciam i bezprzewodowymi, a następnie przycisk D odaj. W nowym oknie zostanie uruchomiony kreator dostępu do sieci bezprzewodowej, w którym należy wybrać opcję Ręcznie utwórz profil sieciowy, a następnie podać kryty identyfikator sieci, typ zabezpieczeń i rodzaj szyfrowania oraz klucz (rysunek 8.23). ' ©
a Ua.1
.•¡i Ręczne nawiązywanie połączenia z siecią bezprzewodową
Wprowadź informacje o sieci bezprzewodowej, którą chcesz dodać. Nazwa sieci:
W LANI
Typ zabezpieczeń:
WPA2-Pe,sorai
Typ szyfrowania:
Klucz zabezpieczeń;
|jK jp
Haslol23|
> |
w □ Ukryj znaki
[y] Uruchom to połączenie automatycznie [H Połącz; nawet jeśli sieć nie wykonuje emisji Ostrzeżenie: jeśli wybierzesz tę opcję, może to zagrozić prywatności komputera.
Dalej
[
R y s u n e k 8 .2 3 . R ęczn e tw o rz e n ie profilu sieci b e z p rz e w o d o w e j
Anuluj
|
.
k__
¡ZI£L6. K onfiguracja usług telefonii internetow ej (VoIP) Telefonia internetowa, inaczej zwana VoIP (ang. Voice over Internet Protocol), pozwala na przesyłanie głosu przez sieć cyfrową działającą w oparciu o protokół IP. Standar dowa telefonia umożliwia transmisję danych w postaci analogowej, przez co dane te potrzebują większej przepustowości łącza, a dodatkowo jakość tego rodzaju połączeń jest niższa niż w przypadku komunikacji cyfrowej. Operatorzy VoIP oferują szereg usług pozwalających na wykorzystanie telefonii in ternetowej nie tylko do przesyłania rozmów pomiędzy komputerami, ale również na wykonywanie połączeń do publicznej sieci telefonicznej (ang. Public Switched Telepho ne N etw ork — PSTN), wysyłanie i odbieranie faksów czy pozyskanie standardowego numeru telefonu z dowolnej strefy numeracyjnej.
8 .6 .1 . P a ra m e try k o n fig u ra c y jn e VoIP Technologia VoIP do komunikacji wykorzystuje protokół SIP (ang. Session Initiation P rotocol), który jest odpowiedzialny za ustanawianie i kończenie połączeń. Jest to pro tokół warstwy aplikacji oparty na języku HTML. Na sieć SIP składają się następujące elementy: •
Terminal końcowy — Agent SIP; może nim być telefon IP, telefon analogowy pod łączony do bramki VoIP {VoIP gateway) lub aplikacja obsługująca protokół SIP.
•
Serwer Proxy SIP — kieruje połączeniami pomiędzy rozmówcami. Jego adres musi być skonfigurowany na terminalu końcowym w celu nawiązywania połączeń. Po zwala nawiązywać połączenia z innymi terminalami końcowymi oraz numerami publicznej sieci telefonicznej.
•
Serwer przekierowań (ang. redirect server) — zwraca adres odbiorcy rozmowy lub adres serwera proxy protokołu SIP, do którego rozmówca jest podłączony.
•
Serwer rejestracji SIP — dokonuje mapowania nazw użytkowników SIP na adresy serwerów proxy, dla których są one dostępne.
Komunikacja w sieciach VoIP polega na przesyłaniu za pomocą protokołu RTP (ang. Real-time Transport Protocol) zakodowanego i często również skompresowanego dźwięku. Za kodowanie dźwięku do postaci cyfrowej odpowiedzialne są tzw. kodeki (ang. codec). Ich użycie zależy od dostawcy usług telefonii internetowej — na ogół sieci pozwalają na używanie kilku z nich w zależności od możliwości łącza internetowego oraz oczekiwanej jakości połączenia. Tabela 8.2 prezentuje zestawienie używanych w technologii VoIP kodeków — jak wynika z zawartych danych, im lepsza jakość połączenia, tym większa jego wymagana przepustowość.
405 3
Tabela 8.2. Z e sta w ie n ie k o d e k ó w VoIP w ra z z p a ra m e tra m i
Częstotliwość wysyłania pakietów z dźwiękiem
Wymagana przepustowość
Nazwa kodeka
Próbkowanie
G.711u
64,0 kbit/s
G.711a
64,0 kbit/s
G.726-32
32,0 kbit/s
iLBC
15,0 kbit/s
GSM
13,0 kbit/s
G.729
8,0 kbit/s
20 ms 20 ms 20 ms 20 ms 20 ms 20 ms
G. 723.1 MPMLQ
6,3 kbit/s
30 ms
21,9 kbit/s
G. 723.1 ACELP
5,3 kbit/s
30 ms
20,8 kbit/s
87,2 kbit/s 87,2 kbit/s 55,2 kbit/s 37,5 kbit/s 32,5 kbit/s 31,2 kbit/s
Dostęp do sieci VoIP powinien być skonfigurowany na terminalu końcowym, którym może być komputer z odpowiednim oprogramowaniem (ang. softphon e), telefon IP lub bramka VoIP (urządzenie pozwalające na podłączenie sieci VoIP poprzez port RJ-45, telefonów analogowych przez porty RJ-11). W celu uruchomienia telefonii internetowej jest wymagana konfiguracja protokołu SIP (nazwa serwera proxy, nazwa użytkownika SIP, nazwa domeny SIP, hasło dostępu) oraz wybranie kodeków dostępnych w sieci, do której jest podłączane urządzenie.
8 .6 .2 . K o n fig u ra c ja o p ro g ra m o w a n ia — k lie n ta SIP Konfiguracja oprogramowania do komunikacji VoIP przy użyciu protokołu SIP została przedstawiona na przykładzie programu ZoIPer (www.zoiper.com). Parametry protokołu SIP powinny zostać dostarczone przez dostawcę usług. Domyślnie program instaluje się w języku angielskim. Aby to zmienić, należy kliknąć prawym przyciskiem myszy ikonę programu, a następnie wybrać Language/Polski. Żeby podłączyć oprogramowanie do sieci SIP, należy w głównym oknie programu wybrać ikonę Opcjey a następnie D odaj nowe konto SIP, po czym wybrać nazwę profilu połączenia — po wykonaniu tych kroków na liście kont SIP pojawi się nowa pozycja. Po jej wskazaniu zostanie wyświetlone okno konfiguracji parametrów dla wybranego konta SIP (rysunek 8.24). Podstawowe parametry konfiguracji to domena, nazwa użytkownika oraz hasło. Prze łącznik Pokaż opcje zaaw ansow ane pozwala na ustawienie dodatkowych parametrów połączenia, które mogą być wymagane przez dostawcę usług (m.in. często wymagany parametr Zewnętrzny proxy).
4$ Zol Per opcje ■Opcje konta SIP--------------------------------------------------------------------------------------------------------Ę H : ■ Konta SIP
i E
sipl ! : :..........Extras i «¡j, Dodaj nowe konto SIP E ^ Konta IAX
i
•
B
Domena: |sip.dostawca-voip.pl Nazwa użytkownika; [voipuser
Dodaj nowe konto IAX Opcje protokołu Opcje SIP
Hasto; | * * * * * *
Nazwa dzwoniącego: |voipuser
• Opcje IAX Opcje RTP Opcje STUN J jg Sieć 3 J2J opcje audio
rytkownik dla autentykacji: |
Kontrolery dźwięku Kodeki dźwięku Opcje ogólne
B
1 •J W
| 7 Użyj zewnętrznego proxy Zewnętrzny proxy : jproxy.dostawca-voip.pl
Połączenia Fax Diagnostyka
Numer poczty głosow ej: Wygaśnięcie rejestracji : 13600 [~ Userport
I-
Wybrane kodeki
1”
□
Force RFC-3264
Use rport media
| Używaj połączenia przez UDP
| *■|
| Użyj DTMF RFC-2833
|* |
Użyj domyślnego serwera STUN
Subscribe for M W I: | both
|* |
|»|
[7 Pokaż opcje zaawansowane OK
] [
Anuluj
] [ Zastosuj
]
Rysunek 8.24. K o n fig u ra cja p o łą c z e n ia SIP w p ro g ra m ie Z o lP er
Po poprawnym skonfigurowaniu usługi istnieje możliwość korzystania z telefonii in ternetowej. Aby wybrać połączenie, należy w głównym oknie programu (rysunek 8.25) wprowadzić numer telefonu lub nazwę użytkownika SIP osoby, z którą ma być nawiązane połączenie, a następnie wybrać ikonę oznaczoną zieloną słuchawką. -#
Z o IP e r
Połączenie do wykonania *
u s® 1
1
1
2
1
' ...................................... □
3
ö J
1
|
4
'
|
........
100 5
1
«
' '
f
M l
? lal
Konto sipl (Zarejestrowano) (SIP)
<
*
___________________
Wyrejestruj
J
Rysunek 8.25. G łó w n e o k n o p ro g ra m u Z o lP er
407 0
Aby możliwe było odbieranie połączeń przychodzących z publicznej sieci telefonicznej, konto SIP na serwerze powinno być odpowiednio skonfigurowane przez dostawcę usług VoIP (przypisany publiczny numer z sieci PSTN).
8 .6 .3 . K o n fig u ra c ja b ra m k i VoIP Przykładowa konfiguracja bramki VoIP została przedstawiona na przykładzie bramki DIV-140 firmy D-Link. Jest to urządzenie pozwalające na podłączenie 4 telefonów ana logowych i skonfigurowanie dla każdego z nich niezależnego połączenia SIP. Dodatkowe funkcje urządzenia pozwalają na grupowanie numerów telefonicznych, do których może być równocześnie kierowane połączenie, a także automatycznych przekierowań połączeń, książki adresowej czy szybkich połączeń pod wybranymi numerami telefonicznymi. Domyślnie panel konfiguracyjny urządzenia jest dostępny pod adresem 10.0.0.1 jedynie przez protokół HTTPS przy użyciu nazwy użytkownika adm in oraz hasła password. Okno konfiguracji jest podzielone na dwie części — po lewej stronie znajduje się menu pozwalające wybrać grupę parametrów konfiguracyjnych, których edycja będzie się odbywać w głównej części okna. Konfiguracja adresacji IP i sposobu podłączenia do sieci lokalnej jest możliwa za po średnictwem menu N etw ork Configuration/General. Podstawowe ustawienia SIP są dostępne w menu VoIP Configuration — można ustawić adresy serwerów SIP oraz porty, na których działają. Dodatkowo istnieje możliwość ustawienia wspólnej autentykacji dla poszczególnych usług SIP (rysunek 8.26).
Rysunek 8.26. K o n fig u ra cja a d re s ó w s e rw e ró w SIP
Konfiguracja parametrów poszczególnych portów telefonicznych jest dostępna w menu Port Configuration/General (rysunek 8.27).
R y s u n e k 8 .2 7 . K o n fig u ra cja u sta w ie ń p o rtu te le fo n ic z n e g o
Parametry dla poszczególnych portów pozwalają na ustawienie numerów wewnętrz nych dostępnych z pozostałych linii, autentykacji dla protokołu SIP oraz przekierowań połączeń (zawsze gdy zajęte, po określonej liczbie sygnałów dzwonka). Po zapisaniu ustawień dla wybranego portu telefon podłączony do niego może korzystać z usług dostawcy VoIP. Aby poszczególne linie były dostępne przez numery publicznej sieci telefonicznej, trzeba je przypisać do poszczególnych kont użytkowników SIP przez dostawcę usług.
¿ZiŁ7. M o n ito rin g sie ci i u rz ą d z e ń s ie c io w y c h Ważnym elementem zarządzania siecią komputerową jest bieżący monitoring jej dzia łania. Pozwala on na wczesne wykrycie nieprawidłowości i przywrócenie sieci do właściwego stanu, co umożliwia zapobieganie awariom. W zależności od rodzaju sieci i oczekiwanej dostępności usług sieciowych monitorowane są różne aspekty jej funk cjonowania, takie jak: •
dostępność węzłów sieci,
•
dostępność wybranych usług sieciowych,
•
obciążenie łączy internetowych,
•
obciążenie serwerów sieciowych,
•
zdarzenia na urządzeniach sieciowych (np. wyłączenie interfejsu sieciowego, zmiana trasy routingu) i serwerach (np. wyłączenie usługi, próba logowania).
409 3
Dodatkowo w dużych serwerowniach monitoruje się również infrastrukturę powiązaną z sieciami, np. napięcie w urządzeniach UPS czy działanie klimatyzacji w serwerowni. Termin monitoring sieci może wiązać się również z monitorowaniem przesyłanych przez sieć danych w celu ich analizy (np. próby włamań, wyciek danych itp.).
8.7.1. M o n ito rin g d z ia ła n ia sie ci — p ro g ra m N etT o ols P ro fe ssio n a l Dostępnych jest wiele programów pozwalających na monitoring działania sieci — za równo w wersji komercyjnej, jak i bezpłatnej; mogą one działać na różnych platformach. Dla systemów Linux jednym z najpopularniejszych programów do monitoringu jest rozpowszechniany na licencji GPL Nagios, który pozwala na monitorowanie dostęp ności węzłów sieciowych, usług sieciowych działających w sieci, a także użycia zasobów systemowych na serwerach. W przypadku wykrycia nieprawidłowości system może wysłać powiadomienie za pomocą poczty elektronicznej lub wiadomości SMS. Dla systemu Windows również istnieje szereg programów do monitoringu sieci. Do zaprezentowania działania tego rodzaju aplikacji zostało wybrane oprogramowanie NetTools Professional firmy Axence (www.axencesoftw are.com ). Jest to pakiet opro gramowania pozwalający na monitoring dostępności urządzeń sieciowych wraz z po wiadamianiem, a także na weryfikowanie usług działających na określonych serwerach, skanowanie sieci w celu wykrycia uruchomionych urządzeń czy przeglądanie bazy SNMP. Na główne okno programu NetTools Professional składa się górny pasek nawigacji, który pozwala na uruchomienie wybranego narzędzia do monitoringu, pasek adresu, w którym podawany jest adres IP lub nazwa urządzenia, jakie ma zostać zdiagnozowane, oraz główny obszar roboczy zależny od wybranego narzędzia. Narzędzie NetW atch pozwala na monitorowanie dostępności wybranego urządzenia (rysunek 8.28). Aby rozpocząć monitorowanie, należy w pasku adresu podać nazwę lub adres IP urządzenia, a następnie kliknąć przycisk D odaj. Parametry monitorowania — limit czasu na odpowiedź oraz częstotliwość wysyłania zapytań — mogą być ustawione w obszarze Opcje urządzenia. Monitoring dostępności na bieżąco aktualizuje dane w głównej tabeli: nazwę DNS i adres IP, czasy odpowiedzi (min/max/średni), a także liczbę pakietów wysłanych i utraconych. Na głównym wykresie poniżej tabeli można zobaczyć czasy odpowiedzi oraz procent utraconych pakietów w wybranym czasie. Aby wyświetlić dane historyczne w różnych okresach czasu (np. ostatnie 5 minut, godzina, dzień, tydzień, miesiąc), należy wybrać dany okres czasu, klikając odpowiadającą mu ikonę na pasku narzędziowym wykresu. Aby ustawić parametry powiadamiania o występujących problemach z dostępnością, należy wybrać opcję Ustaw alarm y (rysunek 8.28), gdzie istnieje możliwość wskazania warunków oraz sposobu powiadamiania.
Rysunek 8.28. M o n ito ro w a n ie d o s tę p n o ś c i u rzą d ze ń s ie cio w ych
Narzędzie WinTools pozwala odczytywać informacje udostępniane przez usługę WMI (ang. Windows M anagem ent Instm m entation), która umożliwia zarządzanie zasobami komputerów pracujących w systemie Windows, takimi jak dostępne usługi, informacje o dyskach, zapisy w dziennikach systemowych itp. Narzędzie L okaln e przedstawia informacje dotyczące sieci na lokalnym komputerze (m.in. tabelę adresów IP, tabelę ARP, tabelę routingu, otwarte porty, dane o kartach sieciowych, statystyki dla TCP/UDP i ICMP). Narzędzie Ping pozwala na wizualną prezentację wyników działania komendy p in g , dodatkowo zawiera 5-minutową historię, dzięki czemu można zaobserwować zmiany w dostępie do wybranego komputera czy urządzenia. Tracę to narzędzie prezentujące kolejne routery na trasie wędrówki pakietu IP do adresu docelowego (rysunek 8.29). Dodatkowo są podawane czasy odpowiedzi oraz liczba pakietów utraconych, co pozwala określić miejsce powstawania zatorów w sieci, dzięki lokalizacji wolno działających lub przeciążonych routerów. Jest to odpowiednik polecenia t r a c e r t w systemie Windows.
411 o
LeJLaJfiSi
ter Atenie NetTuub Professional - Trai Elik
Narzędzia
l« l NctWatch
Eumoi
W
WinTools
% Pinq
Lokalne
Ijg l
> Trace
Lookup
Przepustowość NetChcek
U
9
TCP/IP workshop Skanuj porty
Skanuj siec
g
173.194-35.181 (gmailcom)
Hop IP 1 192.1681 1 2 192.1b8.121 3 213.25 2205 4 713755185 0 134.204.170.113 0 193.251.250.7? 7 193.251.249.54 8 /214.238.Z8 9 7214.236.20 10 718 739 48174 11 209.80.200.33 12 173.194.35.101
Nazwa DNS
Ostot. Średnia 7 8 b 10 kat-iul.neo.tpnelpl 31 33 kat-r? Ipner pl 35 41 worał.tynelyl 40 bundle-elhe»2.lftti3rrankfutopentronsitnet C4 GO googlc S.GW.opcnIransitnct 58 52 49 5/ 49 55 55 83 60 63 0mai.com 5C G2
Mm Maks Wysł yvs 2 % 13 13 2C i * 27 55 13 73 55 13 30 07 13 53 77 13 51 74 13 4/ n 13 48 72 13 55 137 13 06 80 13 5C 00 13
R y s u n e k 8 .2 9 . N a rz ę d z ie tra cę
Narzędzie Lookup pozwala na zbadanie rekordów DNS określonej domeny. Działa po dobnie jak komenda n slo o k u p systemu Windows, przy czym automatycznie podaje wszystkie wpisy dotyczące wybranej domeny oraz informację z bazy WHOIS, która zawiera dodatkowe dane o domenie, takie jak właściciel, dane kontaktowe, czas wy gaśnięcia itp. Rysunek 8.30 przedstawia wynik działania narzędzia Lookup dla domeny google.com. (ZaUEliS
(2* Atenie NetTouls Piufessiuridl ■Lookup £lik
Narzędzia
Eumui
l«l
[£1
C
NetWatch
Wmlools
Lokalne
Arlrnt
yuuyfc.uu
Serwet DNS: Pott DNS:
% Ping
>
Irace
fi=l Lookup
'nepuctoweec NetCheck
173194 351 fi4 (gnngteram)
• : SRA (Start i i znne aithmity] PrkiKsy Responsible petson
88.38 S3
MinimumTTL MS (Authoritative HomeSetvct)
nslyujjeiuii dns-admin.oooqle.ee 3012033000 7200 i8nn 1203600 300
nsl.goode.con 1/3.134.35169 173.194.35.174 173194 36167 173.134.30.162 173.194.35.1S5 1/3.134.35.161 173.194.35.166 173194 351S3 173.134.30.164 173.134.35.100 173.194.35.1S8 MX (Mail t «change)
Rysunek 8.30. W y n ik d z ia ła n ia n a rzę d zia n slo o ku p
0412 p—
1
ICP/ P workshop śkanuj porty
(Sr bkanuj ciec
jg
Prędkość łącza pozwala zbadać narzędzie Przepustowość. Wysyła ono określoną wiel kość danych pod wskazany adres i bada czas odpowiedzi, co pozwala na oszacowanie przepustowości łącza. Narzędzie N etCheck pozwala na sprawdzenie jakości połączenia z wybranym urządze niem — za pomocą transmisji różnej wielkości pakietów sprawdzana jest dostępność i parametry połączenia (rysunek 8.31). Axence NetTools Professional - NetCheck Plik
Narzędzia
NetWatch
Pomoc
WinTools
Lokalne
NetCheck
9
TCP/IP workshop Skanuj porty 173.194.36.182 lgmail.cc
Skanuj sieć
g
■
bUbatów 1UUUbaitow bUUUbatów 2kB/s
29kBA
64kB/s
32 KB/s
TOiib bbrrts Narzędzie to pozwała sprawdzić ¡okuśj pułgozctiia siewwegu. Pomaga też wykryć problemy ze sptcętan (kaUe, yratuda. ilp).
138ms
75 mc Pakietów Wysłane Otrzymate Unacone
6(100%) 0(0%)
5(100%) 0 (0 %)
6(100%) 0(0%)
16(100%)
0(0%)
P n łn rż R n ifi 7 ur7ąri7RniRm rl7 in łn p m w itlłn w n
R y s u n e k 8 .3 1 . W y n ik d z ia ła n ia n a rzę d zia N e tC h e c k
TCP/IP workshop to narzędzie pozwalające na nawiązanie bezpośredniego połączenia z wybranym portem TCP/UDP. Narzędzie pozwala tworzyć i wysyłać zapytania kierowa ne bezpośrednio na wybrany port oraz śledzić odpowiedzi przekazywane przez serwer. Dodatkowo istnieje też możliwość uruchomienia nasłuchiwania na wybranym porcie i kontroli zapytań otrzymywanych od innych urządzeń sieciowych. Narzędzie Skanuj porty pozwala na sprawdzenie dostępnych usług (portów nasłuchują cych) na wskazanym urządzeniu. Narzędzie umożliwia wybranie zakresu skanowanych portów oraz określenie limitu czasu na odpowiedź. Wyniki działania skanowania portów zostały przedstawione na rysunku 8.32.
413 3
Çu
n s w iS '
Axerice NetToob Professional - Skanuj (jorly
£lik
Naiicdiia
Romoi
Igi
l&!
NetWatch
Win loéis
%
Lokalne
Ping »
I
Lookup
2
Pr spustowosc MetCheck
ICP/1Mworkshop Skanuj porty
Skanuj sieć
1
1731!M3S1R?(gm»lmm)
Sk<9M>
Porty Olwúí S(*awd one
25»i*p Wlp 110 pop3
2
00
14.1 ñnap 443 https 4C5 antps 563 sncra 5«/ submii-ion
Opcje Skarna Puly (mril kriuwri) do
Porly
330 ulu3í 3120 iqurf-http 5190 x i auau Mlp-pioxy anai tinrkirn-irmap 3388 sui-araweibuLł.
Smite Mail Tiaridei WorldWide Web HTTP PoatOlftccV.3 Network. Newt Ttarwler Ptotocol InwrimMail Amass Prntnml v? nuae 141p(SSL) smtp protocol over TLS/GGL(was ssmtpl
America Online. Abo can be usedby ICQ Common H11H pioxy/cecond web terver port I f f rap user rnnsnle SuriAnswerLiuuk HTTP savia. Oi uruup3d sirca
R y s u n e k 8 .3 2 . W yn ik d z ia ła n ia n a rzę d zia S kanuj porty
Narzędzie Skaner sieci pozwala na skanowanie urządzeń działających w wybranej sieci. Po podaniu adresu narzędzie za pomocą polecenia ping sprawdza dostępność wszystkich urządzeń pracujących w sieci, do której należy podany adres. Dodatkowo użytkownik ma możliwość skanowania portów na wszystkich komputerach, co pozwala na łatwe zdiagnozowanie usług działających w obrębie całej sieci. Wynik działania skanera sieci został przedstawiony na rysunku 8.33.
£lik tj»rsedft» £»moc
NrtWateh
WinTeelf
l nlralnr
Ping
AUur^ urządzenia
«
SprAmrtnvw
opcje Skrm Porty Lral
2S
2 3
1
I,r«uy --------------------- ' do 10 : t
Wlpóhrot*SNMP uubk.
•
Intormacje o ur...
8
IP Serwity
Trace itw t >
IP 21277.100.1 212771002 717/7 UH« 21277100.5 21277.1006 21277.100.7 21277.1008 212771009 212/7.100.10 2127710011 21277100.12 71777 im U 21277.100.15 212/7.10016 71777 im 17 2127710018 212/7.100.19 21777 im 21277.100.21 21277.10022
20
Lookup PrtepuifawoV NctCherrk
TCP/ff* workshop Skanuj porty | Skanuj tier
[
Urzrytwne proUwppl JUaWH.yvnr.s4 i
|
SNMP
21Z77.100.101 IwpVI MAC
Sciwity PING[01. HTTP[80]. HTTPS [««3]. IMAP4[143] PING[OLHTTP[801 PING[OLHI IP [00] PING[0], HTTP[801.HTTPS[«31 PING[01.HTTP[80] PING[Oj HTTP[00) PING[0|. HTTP[80] PING[01HTTP[801 PING[01HTTP[805 PING[0], HTTP[M] PING[OLHTTP[80LHTTPS [443] PINU[UJ. IMAP4[14J| PING[O] HTTP[M] PING[OJ.HTTP[80]. HTTPS [««3], IMAP4[143] PING|0LHI I P[SOLIMAP«|143] PING[OLHTTP[0011MAP«[141] PING[0].HTTP[80] PINGI0LHI TPI80LIMAP411«3| PING[OJ. IMAP4[14.11 PING[0], HTTP[80] IMAP4[143] RNG[01HTTPI80LIMAP4[1431 PING[01
Syrtcm
/ Czai odoeeaedn ■ 38 33 E 33 40 41 4U 39 40
«1 39
40 40 40 38 * 39 33 40
R y s u n e k 8 .3 3 . W y n ik d z ia ła n ia n a rzę d zia S ka n e r sieci
Ostatnim narzędziem oferowanym przez pakiet NetTools Professional jest przeglądar ka protokołu SNMP, która pozwala przeglądać dane udostępniane przez urządzenia sieciowe.
8.7.2. M o n ito rin g i a n a liza tra n s m ito w a n y c h
d a n y c h — p ro g ra m W ire s h a rk Do analizy danych przesyłanych siecią niezbędny jest program pozwalający na ich prze chwytywanie, czyli pobieranie i zapis w celu przetwarzania. Istnieje wiele programów, które spełniają tę funkcję. Są one nazywane snifferami (od ang. sniffer). Sniffer to program, który zapisuje cały ruch krążący w sieci — zarówno dane właściwe bezpośrednio przetwarzane przez oprogramowanie, jak i dane służące do sterowania ruchem (np. potwierdzenia otrzymania pakietów, zapytania DNS czy nawiązywanie sesji szyfrowanej), które na ogół nie są dostępne dla użytkowników. Przechwytywanie danych stosuje się zarówno do rozwiązywania problemów z siecią, analizy ruchu oraz danych, jak i w celu poznania zasad działania protokołów komuni kacyjnych czy oprogramowania sieciowego — zapisane dane mogą być analizowane na wszystkich warstwach modelu OSI, co pozwala dokładnie zapoznać się z mechanizmem przygotowania danych do transmisji. Użycie programu typu sniffer zostało przedstawione na przykładzie programu Wireshark (,http://www.wireshark.org/) rozpowszechnianego na licencji GNU GPL2. Należy zwrócić uwagę, że przechwytywanie w sieciach zbudowanych z wykorzysta niem przełączników jest możliwe jedynie dla danych wysyłanych przez komputer użytkownika oraz adresowanych do tego komputera, a także danych kierowanych do wszystkich w danej sieci (ang. bm adcast). Aby możliwe było przechwytywanie danych ze wszystkich urządzeń sieciowych, powinny być one podłączone do koncentratora lub do przełącznika pozwalającego na uruchomienie usługi port mirroring. Gdy chce się analizować ruch sieciowy kierowany do internetu, należy podłączyć koncentrator pomiędzy przełącznik a interfejs routera. Aby rozpocząć pobieranie ruchu sieciowego, należy wskazać interfejs sieciowy, z którego dane mają być pobierane, i opcjonalnie ustawić parametry pobierania, takie jak filtry dotyczące zapisywanego ruchu, czas zapisu lub ilość zapisanych danych, rozpoznawanie nazw itp. Wybór interfejsu do pobierania danych odbywa się w menu Capture Interfaces (rysunek 8.34). | / l | Wireshark: Capture Interfaces Description
ii a IP
Packets Packets/s
iŁ a
Stop
1 JMicron
fe80::f09b:ccba:e8cl:faed
0
0
Start | Options ] | Details ]
£i?D Microsoft
fe80::8f5:207b:e7ab:c90e
0
0
Start | [ Options ) [ Details ]
£ 3 Microsoft
192.1681.100
17
0
Start
0
0
Start | | Options | Details |
¿ f j MS LoopBack Driver fe80::64d4:8b8d:356:caeb Help
Options
|
Details ]
Close
]
Rysunek 8.34. W y b ó r interfejsu d o p o b ie ra n ia d a n y c h
415 0
Po kliknięciu opcji Start rozpocznie się zapisywanie ruchu sieciowego zgodnie z ustalo nymi opcjami. W głównym oknie programu zostanie wyświetlona tabela z informacją o pobranych pakietach (rysunek 8.35). Standardowo wyświetlane są: kolejny numer pobranego pakietu, czas, adres źródłowy, adres docelowy, protokół, wielkość danych oraz informacja o pobranych danych.
c
WSKAZÓWKA
A by uświadom ić sobie, jak wiele pakietów jest transm itowanych w sieci, w arto rozpocząć pobieranie ruchu bez żadnych ograniczeń i uruchom ić przeglądarkę internetow ą lub klienta poczty elektronicznej.
R y s u n e k 8 .3 5 . P o b ie ra nie d a n y c h
Pod tabelą są wyświetlane informacje dotyczące transmisji danych w różnych warstwach modelu OSI, m.in.: •
bity w ramce dla warstwy fizycznej,
•
źródłowy i docelowy adres MAC oraz rodzaj przesyłanych danych dla warstwy łącza danych,
•
źródłowy i docelowy adres IP, suma kontrolna dla warstwy sieci,
•
źródłowy i docelowy port dla warstwy transportowej,
•
dane właściwe dla protokołu warstwy aplikacji.
Poniżej został zaprezentowany zapis binarny lub heksadecymalny transmitowanych danych. Po dwukrotnym kliknięciu wybranego pakietu dane dotyczące transmisji oraz zapis binarny zostaną wyświetlone w nowym oknie. Na rysunku 8.36 zostało przedstawione
C 416
al JO299997941923683.1» 8888 DNS73SUndłNlquay Awvw*.gcogl«.pl I II, :
R y s u n e k 8 .3 6 . A n a liza tra n sm isji z a p y ta n ia k ie ro w a n e g o d o s e rw e ra D NS
przykładowe zapytanie kierowane z komputera o adresie 192.168.1.100 z portu 49720 do serwera DNS o adresie 8. 8. 8.8 na port 53 dotyczące nazwy www.google.pl. Analiza transmisji danych została przedstawiona w sposób pozwalający zobrazować, jak ważne jest używanie w transmisji sieciowej połączeń szyfrowanych. Na przykładzie pobranych danych został przeanalizowany niezaszyfrowany ruch kierowany do serwera FTP, dzięki czemu możliwe jest odczytanie loginu i hasła przesyłanego nieszyfrowanym tekstem. Aby rozpocząć analizę danych, należy uruchomić przechwytywanie danych, a następnie klienta usługi FTP, spróbować zalogować się do serwera i zatrzymać przechwytywanie danych. Pobrane dane są zależne od ruchu generowanego przez aplikacje działające na kompu terze oraz transmisje sieciowe. Aby wyświetlić jedynie transmisje związane z analizo wanym ruchem, można użyć filtrów, podając nazwę konkretnego protokołu (FTP) lub klikając pakiet prawym przyciskiem myszy i wybierając opcję Follow TCP Stream — wówczas program automatycznie ustawi filtr na wszystkie pakiety związane z wybraną transmisją. Przykładowa analiza transmisji dotyczyć będzie połączenia o następujących parametrach: •
Adres serwera FTP:
192.168.1.101
•
Adres klienta FTP:
192.168.1.100
•
Nazwa użytkownika FTP:
uczeni
•
Hasło użytkownika FTP:
haslol23
410
W celu pełnej analizy zaleca się odnalezienie pierwszego pakietu kierowanego pod adres serwera FTP oraz wybranie opcji Follow TCP Stream (rysunek 8.37).
i p i l i l i ¡ n im i m R y s u n e k 8 .3 7 . A n a liza n a w ią za n ia p o łą c z e n ia d o se rw e ra FTP
Przeglądając dane wysyłane w kolejnych pakietach, można zaobserwować komunikaty, które są przesyłane pomiędzy klientem (lokalną aplikacją FTP) a serwerem (oprogra mowaniem udostępniającym pliki). Pierwszy pakiet (nr 5) nawiązuje połączenie z por tem 21 serwera, przesyłane są pakiety synchronizacji i potwierdzające odbiór danych i serwer wysyła powitanie (pakiet nr 10), które można obserwować w oknie programu klienckiego (rysunek 8.38). y 104315*871921681101197.168.U00FTP£
...
C ..,'.:- - ,,,,.,
Askeycoi Totrrnrt protocol version 4, sri: 19?. 168.1.101 (19?. 168.1.101), Ost: 19?.168.1.100 (19?. 168.1.100) Transmission control . src Port: ftp (?1), Ost Port: , source port: ftp (?l) Destination port: 290S1 (?90S1) sequence number: 1 (relative sequence number) [Next sequence number: 42 (relative sequence number)] Acknowledgement number: 1 (relative ack number) Header length: 20 bytes • Flags: 0x018 (psm, ack) window size value: 68 [calculated window size: 17408] [window size scaling factor: 256] - checksum: 0xl57d [validation disabled] . 1n flight: 41] File Transfer protocol (ftp ) : to Quick -n easy f :c rea : arg: welcome to q
Rysunek 8.38. A n a liza p ro to k o łu FTP — z g ło s z e n ie se rw e ra
c
418 p—
W pakiecie nr 20 klient FTP wysyła nazwę użytkownika — Request: USER u cz en i, serwer FTP odpowiada (pakiet 21) prośbą o hasło — Response: 331 Password required fo r u czen i. Pakiet 33 — Request: PASS h a s lo l2 3 zawiera hasło użytkownika u cz en i, na które serwer odpowiada pakietem 34 — Response: 2 3 0 User successfully logged in, co oznacza poprawne zalogowanie. Analiza tych danych pokazuje, jak łatwo i w krótkim czasie można odczytać informacje transmitowane przez nieszyfrowane połączenia, takie jak FTP, telnet, POP3, SMTP czy HTTP. Analizie danych mogą być poddane wszystkie protokoły, co pozwala sprawdzić, jakie dane są transmitowane, może być również przydatne podczas odzyskiwania haseł zapamiętanych w programach komputerowych, np. w kliencie poczty elektronicznej. Ć W IC Z E N IA
1 . Sprawdź dostępne urządzenia sieci komputerowej. W jaki sposób można je skonfigurować? Zapoznaj się z ich dokumentacją. 2 . Zbuduj sieć o topologii jak na rysunku 8.39. W konfiguracji przełączników wyłącz protokół STP. Sprawdź poprawność połączenia przy użyciu komendy p in g . Czy pojawiają się problemy w transmisji? Wyjaśnij dlaczego.
192.168.1.10 /2S5.255.25S.0
192 168 1 50/255.255 255 0
192.168.1.40 /255.255.2S5.0
R y s u n e k 8 .3 9 . T o p o lo g ia w yko rz y s tu ją c a p rze łą czn iki, z a w ie ra ją c a pętlę
419 3
3 . Zbuduj sieć na podstawie rysunku 8.39 z uruchomionym protokołem STP. Sprawdź poprawność połączenia pomiędzy komputerami 1 9 2 .1 6 8 .1 .1 0 a 192.168.1.20 przy użyciu komendy ping. Jak zachowa się połączenie w przy padku rozłączenia go pomiędzy komputerami o adresach 192.168.1.10 oraz 192.168.1.20? 4 . Zbuduj sieć o topologii jak na rysunku 8.40. Sprawdź dostępność połą czeń pomiędzy poszczególnymi komputerami. Rozpocznij równoczes ną transmisję dużych plików (powyżej 500 MB) pomiędzy komputerami 192.168.1.10 a 192.168.1.110, 192.168.1.20 a 192.1 6 8 .1 .1 2 0 ,1 9 2 .1 6 8 .1 .3 0 a 192.168.1.130 oraz 192.168.1.40 a 192.168.1.140. Sprawdź, jak w zależ ności od obciążenia spada wydajność łącza.
192.168.1.30 / 255.255.255.0
192.168.1.40 / 255.255.255.0
192.168.1.140 / 255.255.255.0
192.168.1.130 / 255.255.255.0
Rysunek 8.40. T o p o lo g ia z b u d o w a n a z w y k o rz y s ta n ie m p rz e łą c z n ik ó w
5.
0420 p—
W sieci zbudowanej na podstawie rysunku 8.40 uruchom zwielokrotnione łącze, a następnie równoczesną transmisję plików jak w ćwiczeniu 4. Sprawdź, jak zmienia się czas transmisji przy uruchamianiu dodatkowych połączeń pomiędzy przełącznikami.
6 . Zbuduj sieć na podstawie topologii przedstawionej na rysunku 8.41. Uruchom dowolną transmisję do internetu na wszystkich komputerach, a następnie za pomocą oprogramowania typu sniffer zbadaj ruch w sieci. Czy możliwe jest podejrzenie transmisji z innych komputerów? 7 . W sieci zbudowanej na podstawie rysunku 8.41 w przełączniku uruchom usługę port mirroring i przekieruj cały ruch do i z routera na port, do którego jest podłączony Twój komputer. Za pomocą oprogramowania typu sniffer sprawdź przesyłane dane.
192.168.1.30 /255.25S.255.0
192.168.1.40 /255.255.255.0
R y s u n e k 8 .4 1 . T o p o lo g ia d o s tę p u d o internetu
8 . Zbuduj sieć na podstawie topologii przedstawionej na rysunku 8.40. Sprawdź dostępność poszczególnych połączeń między komputerami przy użyciu ko mendy p in g . Utwórz sieci VLAN, do których zostaną przypisane następujące komputery: a)
VLAN10: 192.168.1.10 oraz 192.168.1.110
b)
VLAN20: 192.168.1.20 oraz 192.168.1.120
c)
VLAN30: 192.168.1.30 oraz 192.168.1.130
d)
VLAN40: 192.168.1.40 oraz 192.168.1.140
Sprawdź dostępność połączeń pomiędzy poszczególnymi komputerami. Które z połączeń przestały działać? Wyjaśnij dlaczego.
421 O
Q
Ć W IC Z E N IA c d .
9.
Zbuduj sieć na podstawie topologii przedstawionej na rysunku 8.42. Uru chom na serwerze o adresie 10.10.10.10 serwer WWW.
R y s u n e k 8 .4 2 . T o p o lo g ia s y m u lu ją c a d z ia ła n ie internetu
Sprawdź dostępność serwera z poszczególnych komputerów w sieciach podłączonych do routerów 1. oraz 2. 1 0 . Na komputerze o adresie 192.168.1.10 uruchom serwer stron WWW, a na stępnie przekierowanie portu 80 na port 80 serwera WWW. Sprawdź dzia łanie przekierowania z drugiej sieci poprzez uruchomienie w przeglądarce adresu routera 1.: 10. 10. 10. 1. 1 1 . Na routerze 2. uruchom firewall zabraniający dostępu do stron WWW (port 80) dla komputera o adresie 192.168.100.10. 1 2 . Uruchom na routerze 1. serwer SNMP. Sprawdź za pomocą dowolnego oprogramowania korzystającego z tego protokołu parametry urządzenia.
422
13.
Zbuduj sieć na podstawie topologii przedstawionej na rysunku 8.43 oraz skonfiguruj dostęp do sieci bezprzewodowej z wykorzystaniem szyfrowania WPA2. Skonfiguruj poszczególne komputery, aby uzyskiwały dostęp do sieci bezprzewodowej. Uruchom serwer DHCP na routerze bezprzewodowym, tak by przypisywał urządzeniom w sieci wewnętrznej adresy z sieci 176.16.1.0.
R y s u n e k 8 .4 3 . T o p o lo g ia z w y k o rz y s ta n ie m ro ute ra b e z p rz e w o d o w e g o
1 4 . Znajdź w internecie dostawcę usług VoIP, który oferuje darmowe połączenia pomiędzy swoimi abonentami. Utwórz konto użytkownika usługi, a na stępnie skonfiguruj zgodnie z zaleceniami usługodawcy oprogramowanie pozwalające na korzystanie z usług VoIP. Sprawdź możliwość połączenia z innym użytkownikiem sieci. 1 5 . Przy użyciu oprogramowania Wireshark przechwyć login i hasło przesyłane protokołem FTP. 1 6 . Przy użyciu oprogramowania Wireshark spróbuj przechwycić ruch związany ze stronami WWW wygenerowany przez innego użytkownika sieci.
423 3
|
P Y T A N IA
1 . Jakie są domyślne parametry konfiguracyjne połączenia z portem konsoli dla urządzeń firmy Cisco? 2 . Jaka komenda w systemie operacyjnym urządzeń Cisco pozwala na wejście w tryb uprzywilejowany? 3 . Jaka komenda w systemie operacyjnym urządzeń Cisco pozwala na zapisanie konfiguracji? 4 . Czym różni się przełącznik warstwy trzeciej od routera? 5 . Czym różni się przełącznik zarządzalny od niezarządzalnego? 6. W której warstwie modelu OSI działa router?
7 . Do czego służy Spanning Tree Protocol (STP)? 8 . Jak nazywa się protokół pozwalający na monitorowanie pracy urządzeń sieciowych i zdalne zarządzanie nimi? 9 . Jak nazywa się usługa pozwalająca na przesyłanie danych transmitowanych wybranym portem przełącznika do innego portu, np. w celu analizy danych? 1 0 . Co oznacza skrót QoS? Do czego służy ta usługa? 1 1 . Co oznacza skrót VLAN? 1 2 . Do czego służą wirtualne sieci lokalne? 1 3 . Na jakiej podstawie urządzenia mogą być podłączane do wybranej sieci VLAN? 1 4 . Co jest niezbędne, aby umożliwić komunikację pomiędzy różnymi sieciami VLAN? 1 5 . Do czego służy agregacja łącza? 1 6 . Jak nazywa się połączenie pozwalające na przekazywanie ruchu z sieci VLAN pomiędzy przełącznikami? 1 7 . Do czego używany jest serwer DHCP uruchamiany na routerach? 1 8 . Czym jest technologia translacji adresów? Do czego służy? 1 9 . Na czym polega usługa przekierowania portów? Do czego może być stoso wana? 2 0 . Co oznacza strefa zdemilitaryzowana w odniesieniu do sieci komputero wych? 2 1 . Czym różni się routing statyczny od routingu dynamicznego? 2 2 . Na podstawie jakich parametrów transmisji TCP/IP ruch sieciowy może być filtrowany w urządzeniach zabezpieczających transmisję (firewall)? 2 3 . Do czego mogą być wykorzystane listy dostępu (ang. access list) w urządze niach Cisco?
d
424
P Y T A N IA c d .
2 4 . Jakiego rodzaju listy dostępu występują w urządzeniach firmy Cisco? Czym różnią się od siebie? 2 5 . Co oznacza skrót WLAN? 2 6 . W jakim trybie mogą pracować urządzenia sieci bezprzewodowych? 2 7 . Co w konfiguracji urządzenia sieciowego oznacza skrót SSID? 2 8 . Wymień rodzaje szyfrowania stosowane w zabezpieczeniach sieci bezprze wodowych. 2 9 . Co oznacza skrót VoIP? 3 0 . Do czego służy protokół SIP? 3 1 . Co oznacza termin softphone w odniesieniu do telefonii internetowej? 3 2 . Czy w sieci VoIP istnieje możliwość uzyskania standardowego numeru telefonicznego dostępnego z sieci telefonicznej? 3 3 . Do czego służy oprogramowanie typu sniffer? 3 4 . Wymień znane Ci protokoły przesyłające niezaszyfrowane dane, które mogą być podglądane w sieci.
425 0
d 426
■
Projektowanie i wykonanie sieci kom puterowych Projektowanie sieci komputerowych to złożony proces, na który składa się opracowanie wielu aspektów, takich jak: •
Projekt sieci fizycznej: » dobór medium transmisyjnego, » dobór urządzeń sieciowych, » wybór lokalizacji gniazdek sieciowych, punktów dystrybucji, umieszczenia okab lowania sieciowego.
•
Projekt sieci logicznej: » model adresacji IP, » podział na sieci VLAN, » routing wewnątrz sieci, » miejsca styku z innymi sieciami, strefy zdemilitaryzowane, » uruchamiane usługi, » zabezpieczenia.
Wszystkie plany powinny opierać się na założeniach biznesowych — zdiagnozowanych i spisanych potrzebach użytkowników sieci, a także uwzględniać budżet przeznaczony przez zleceniodawcę na wykonanie sieci. Dobrze zaprojektowana sieć powinna: •
spełniać oczekiwania użytkowników,
•
zapewniać wymaganą przepustowość,
•
zapewniać wymagany poziom bezpieczeństwa i ochrony danych na etapie ich trans misji i przechowywania,
•
zapewniać wymaganą dostępność sieci (ang. availability) — ciągłość pracy,
•
zapewniać skalowalność (ang. scalability) — umożliwiać łatwą rozbudowę,
•
umożliwiać łatwą diagnozę usterek oraz szybką — najlepiej automatyczną — rekonfigurację w przypadku wystąpienia awarii.
9/1. N o rm y i zalecenia zw iąza ne z p ro je kto w a n ie m sieci ko m p u te ro w ych Normy związane z budową sieci komputerowych dotyczą samego okablowania struktu ralnego, ale również jego testowania, kanałów telekomunikacyjnych czy administracji infrastrukturą telekomunikacyjną w biurowcach. Pierwsza norma — EIA/TIA 568A — Standardy okablowania strukturalnego budynków (ang. Building Telecomm unications Wiring Standards) — została wydana w 1995 roku w Stanach Zjednoczonych. Na jej podstawie powstało wiele norm towarzyszących: •
EIA/TIA 5 6 9 C om m ercial Building T elecom m unications fo r Pathways an d Spaces (kanały telekomunikacyjne w biurowcach);
•
EIA/TIA 5 7 0 Residential Telecomm unications Cabling Standard (kanały telekomuni kacyjne w budynkach mieszkalnych);
•
EIA/TIA 606 The Administration Standard for the Telecommunications Infrastmcture o f Commercial Building (administracja infrastruktury telekomunikacyjnej w biurowcach);
•
EIA/TIA 6 0 7 Com m ercial Building Grounding and Bonding Requirements fo r Tele com m unications (uziemienia w budynkach biurowych);
•
TSB 6 7 Transmission Performance Specification for Field Testing o f Unshielded Twisted -Pair Cabling Systems (pomiary systemów okablowania strukturalnego);
•
TSB 72 Centralized Optical Tiber Cabling Guidelines (scentralizowane okablowanie światłowodowe);
•
TSB 75 H orizontal Cabling for Open Office (okablowanie poziome dla biur o zmien nej aranżacji wnętrz);
•
TSB 95 Additional Transmission Performance Guidelines for 4-Pair 100 W Category 5 Cab ling (dodatkowa wydajność w transmisji dla okablowania typu skrętka 5. kategorii).
Normy amerykańskie były podstawą utworzenia norm międzynarodowych zatwier dzonych przez Międzynarodową Organizację Normalizacyjną (ang. International Or ganization fo r Standardization — ISO) — ISO/IEC 11801 — oraz norm europejskich określonych w dokumencie EN 50173. Normy obowiązujące w Polsce są implementacją norm europejskich i są zapisane w dokumentacji PN-EN 50173 (Technika informatyczna. Systemy okablow ania strukturalnego), która składa się z następujących części: 1. Wymagania ogólne. 2. Pomieszczenia biurowe. 3. Zabudowania przemysłowe. 4. Zabudowania mieszkalne. 5. Centra danych. W dokumentacji PN-EN 5 0 174 (Technika informatyczna. Instalacja okablow ania) po dzielonej na następujące części:
1. Specyfikacja i zapewnienie jakości. 2. Planowanie i wykonawstwo instalacji wewnątrz budynków. 3. Planowanie i wykonawstwo instalacji na zewnątrz budynków. 4. Badanie zainstalowanego okablowania. Oraz w dokumentacji PN-EN 50310 (Stosowanie połączeń wyrównawczych i u ziem iają cych w budynkach z zainstalowanym sprzętem informatycznym). Oprócz norm związanych z techniką informatyczną wskazana jest znajomość norm PN-IEC 60364 (Instalacje elektryczne w obiektach budowlanych) i PN-HD 60364 (Instalacje elektryczne niskiego napięcia), najważniejszymi z tych norm częściami są: •
PN -IEC 6036 4 -4 -4 4 2 — Ochrona dla zapewnienia bezpieczeństwa — Ochrona przed przepięciami.
•
PN-IEC 6036 4 -7 -7 0 7 — Wymagania dotyczące specjalnych instalacji lub lokaliza cji — Wymagania dotyczące uziemień instalacji urządzeń przetwarzania danych.
•
PN-HD 60364-4-41 — Ochrona dla zapewnienia bezpieczeństwa — Ochrona przed porażeniem elektrycznym.
•
PN-HD 60364-4-444 — Ochrona dla zapewnienia bezpieczeństwa — Ochrona przed zaburzeniami napięciowymi i zaburzeniami elektromagnetycznymi.
•
PN-HD 60364-5-551 — Dobór i montaż wyposażenia elektrycznego — Inne wy posażenie — Niskonapięciowe zespoły prądotwórcze.
Normy określające parametry okablowania strukturalnego przypisują mu odpowiednie kategorie (norma amerykańska) lub klasy (norma międzynarodowa i europejska). Różnica pomiędzy nimi polega na tym, że kategoria dotyczy jedynie okablowania, a klasa określa wymagania, jakie musi spełniać kompleksowe łącze transmisyjne złożone z okablowania, osprzętu transmisyjnego, gniazdek itp. Zestaw klas okablowania strukturalnego przedstawia się następująco: •
Klasa A — pozwala na realizację usług telefonicznych z pasmem częstotliwości do 100 kHz.
•
Klasa B — pozwala na realizację usług telefonicznych oraz usług terminalowych z pasmem częstotliwości do 1 MHz.
•
Klasa C (kategoria 3) — podstawowe usługi sieci lokalnych wykorzystujące pasmo częstotliwości do 16 MHz.
•
Klasa D (kategoria 5) — dla szybkich sieci lokalnych wykorzystujących pasmo czę stotliwości do 100 MHz. W roku 1998 powstało rozszerzenie klasy D (zwane też kategorią 5e) definiujące bardziej restrykcyjne wymagania.
•
Klasa E (kategoria 6) — realizacja usług w paśmie częstotliwości do 250 MHz (dla aplikacji wymagających pasma 200 MHz). Okablowanie kategorii 6. jest wykorzysty wane w sieci Gigabit Ethernet — wymaga stosowania zmodyfikowanych złączy RJ-45.
•
Klasa F (kategoria 7) — do realizacji usług w paśmie częstotliwości do 600 MHz. Wy maga stosowania okablowania podwójnie ekranowanego S-STP (każda para otoczona jest ekranem, dodatkowo występuje ekran obejmujący cztery pary). Dla tej klasy okablowania będzie możliwa realizacja transmisji z szybkością przekraczającą 1 Gb/s.
429 3
9.1.1. E le m e n ty o k a b lo w a n ia s tru k tu ra ln e g o Normy projektowania sieci dotyczą budowy bardzo rozbudowanych sieci obejmujących wiele budynków — taki obszar jest nazywany kampusem (ang. cam pus). Normy określają następujące elementy sieci okablowania strukturalnego: •
Kampusowy punkt dystrybucyjny (ang. cam pus distributor — CD) — centralny punkt sieci, z którego jest rozprowadzane kampusowe okablowanie szkieletowe.
•
Kampusowy kabel szkieletowy (ang. campus backbone cable) — to okablowanie łączące kampusowy punkt dystrybucyjny z punktami budynkowymi. Powinien to być kabel światłowodowy, dopuszcza się jednak stosowanie okablowania miedzianego. Gdy okablowanie jest prowadzone na zewnątrz budynku, rekomenduje się stosowanie połączeń światłowodowych ze względu na ich odporność na warunki zewnętrzne.
•
Budynkowy punkt dystrybucyjny (ang. building distributor) — punkt, w którym są zakończone budynkowe kable szkieletowe. Jest on również określany jako MDF (ang. Main Distribution Facility).
•
Budynkowy k a b e l szkieletow y (ang. building backb on e cable — główny punkt dystrybucyjny) — kabel łączący budynkowy punkt dystrybucyjny z piętrowym punktem dystrybucyjnym lub łączący ze sobą piętrowe punkty dystrybucyjne.
•
Piętrowy punkt dystrybucyjny (ang. floor distńbutor) — jest centralnym punktem sieci na piętrze, od którego jest rozprowadzane okablowanie poziome. Jest on również określa ny jako IDF (ang. Interm ediate Distribution Facility— pośredni punkt dystrybucyjny).
•
K abel poziom y — łączy punkt piętrowy dystrybucyjny z gniazdem telekomunikacyj nym lub punktem pośrednim, o ile taki występuje. Może być kablem miedzianym lub światłowodowym.
•
Punkt pośredni (ang. consolidation point) — opcjonalny punkt połączenia w okablo waniu poziomym tworzony pomiędzy piętrowym punktem dystrybucji a gniazdem telekomunikacyjnym.
•
Kable punktu pośredniego (ang. consolidation point cable) — kabel łączący punkt pośredni z gniazdem telekomunikacyjnym.
•
Gniazdo telekom unikacyjne (ang. telecom munications outlet) — gniazdo sieci kom puterowej będące zakończeniem okablowania poziomego. Pozwala na podłączenie urządzeń poprzez kabel połączeniowy (ang. work area cord). Gniazda telekomunika cyjne montuje się w obszarach roboczych (ang. work area) — miejscach, w których pracują użytkownicy sieci.
•
Zespół gniazd telekomunikacyjnych przeznaczony dla wielu użytkowników (ang. Multi -user Telecomm unication Outlet) — zgrupowane gniazdo telekomunikacyjne, często stosowane w otwartych obszarach roboczych, takich jak sale konferencyjne czy otwarte przestrzenie biurowe.
Rozmieszczenie elementów okablowania strukturalnego zostało przedstawione na rysunku 9.1. Jak wynika z przedstawionej terminologii, normy mówią o budowie sieci w topologii gwiazdy bądź rozszerzonej gwiazdy. Dodatkowo normy dopuszczają zastosowanie po łączeń zapasowych (redundantnych), które zmieniają czystą strukturę gwiazdy, niemniej jednak pozwalają zapewnić większą wydajność lub mniejszą awaryjność sieci.
Rysunek 9.1. E le m e n ty o k a b lo w a nia stru k tu ra ln e g o w p rz y k ła d o w e j sieci
O k a b lo w a n ie p io n o w e 1 P u n k ty ro z d z ie lc z e 2 O k a b lo w a n ie p o z io m e 3 G n ia z d a a b o n e n c k ie 4 O k a b lo w a n ie k a m p u s o w e 5
Rysunek 9.2 przedstawia strukturę połączeń w sieci okablowania strukturalnego.
O k a b lo w a n ie kam pu sow e
O k a b lo w a n ie p io n o w e
O k a b lo w a n ie p o z io m e
P o łą c z e n ie d o d a tk o w e
WSKAZÓWKA
Nie wszystkie przedstaw ione elem enty muszą w ystępow ać w każdej projektow anej sie ci. Projekt pow inien zakładać ich dopasow anie do konkretnych warunków, w których sieć będzie działać, np. sieć budow ana na obszarze 2 pokoi nie będzie zawierała bu d ynkow ego i piętrow ego punktu dystrybucji, ale tylko jeden z nich, będący głów nym p unktem dystrybucji całej sieci.
431 3
9.1.2. Z a le c e n ia d o ty c z ą c e p ro je k to w a n ia sie ci Normy określają szereg czynników, które mają wpływ na jakość transmisji w sieci oraz na jej skalowalność Najważniejsze z nich zostały przedstawione poniżej: •
Na każde 1000 m 2powierzchni biurowej powinien przypadać jeden piętrowy punkt rozdzielczy.
•
Na każdym piętrze powinien zostać zaprojektowany co najmniej jeden punkt roz dzielczy — jeżeli na danym piętrze jest przewidywane małe nasycenie punktami abonenckimi, obszary robocze mogą być obsłużone z innego piętrowego punktu rozdzielczego.
•
Na każde 10 m2powierzchni biurowej powinno przypadać jedno gniazdo telekomu nikacyjne (punkt abonencki) wyposażone w 2 gniazda RJ-45 i gniazdo sieci elek trycznej (najlepiej dedykowanej jedynie dla urządzeń komputerowych, co pozwoli zapewnić odpowiednią jakość dostarczanego prądu).
• W obrębie całej sieci powinna być wprowadzona jednolita numeracja elementów sieci — wszystkie elementy okablowania powinny być czytelnie oznaczone unikal nym numerem; po wykonaniu instalacji należy wykonać dokumentację sieci, która powinna być przechowywana i aktualizowana przez administratora sieci. •
Przewody zasilające i teleinformatyczne muszą przecinać się pod kątem 90°.
•
Promień zgięcia kabla miedzianego powinien być przynajmniej od średnicy kabla.
•
Promień zgięcia kabla światłowodowego w zależności od jego rodzaju wynosi za zwyczaj 30, 15 i 7,5 mm.
•
Kable teleinformatyczne muszą przebiegać minimum 0,9 m od silników, sprzętu przemysłowego oraz minimum 30 cm od opraw świetlówkowych (mogą one zaburzać transmisję danych poprzez wytwarzane pole elektromagnetyczne).
8-krotnie większy
• Jeżeli kable zasilające i teleinformatyczne są prowadzone w rurkach (podtynkowo lub natynkowo), muszą to być oddzielne rurki. •
Sieci zasilające i komputerowe mogą być prowadzone w jednym kanale kablowym; w takim przypadku kable teleinformatyczne powinny być oddzielone przegrodą i znajdować się poniżej kabli zasilających.
• Jeśli sieci są prowadzone w podniesionej podłodze lub podwieszanym suficie, ka nały kablowe powinny być montowane z zachowaniem minimum 5 cm dystansu.
9 .1 .3 . Z a le c e n ia d o ty c z ą c e o k a b lo w a n ia Aby zapewnić łatwe zarządzanie elementami okablowania strukturalnego, wszelkie kable, które stanowią stałą część infrastruktury — nie są podłączane do urządzeń końcowych — są zakańczane na tzw. panelach krosowych (ang. patch pan el) lub na gniazdach. Kable służące do podłączenia urządzeń do paneli są nazywane kablami krosowymi (ang. patch cord), kable do podłączenia gniazd z urządzeniami — kablami połączeniowymi (ang. work area cord). Tabela 9.1 pokazuje całkowite dopuszczalne długości okablowania (włącznie z kablami krosowymi oraz połączeniowymi) oraz zalecany rodzaj kabla dla poszczególnych podsystemów okablowania strukturalnego.
T a b e la 9 .1 . D o p u s z c z a ln e d łu g o ś c i o k a b lo w a n ia w p o s z c z e g ó ln y c h s e g m e n ta c h sieci o k a b lo w a n ia stru ktu ra ln e g o
Podsystem
Zalecany rodzaj okablowania
Dopuszczalna długość
Skrętka UTP Okablowanie poziome
Skrętka STP Skrętka FTP
100 m (włącznie z kablami krosowymi oraz połączeniowymi)
Skrętka S-STP Skrętka UTP Okablowanie pionowe
Skrętka STP Skrętka FTP
100 m
Skrętka S-STP Światłowód jednomodowy Światłowód wielomodowy Okablowanie kampusowe
W zależności od użytego typu świat łowodu i urządzeń nadawczo-odbior czych, na chwilę obecną nawet do 100 km.
Skrętka UTP Skrętka STP Skrętka FTP
100 m
Skrętka S-STP
9 ,2 . M e to d o lo g ia tw o rze n ia projektu Nie istnieje jeden prawidłowy sposób tworzenia projektu sieci komputerowej — jest on zależny od wymagań zamawiającego, wielkości sieci czy też wcześniejszych doświad czeń projektanta. Zaproponowana metodologia zawiera etapy, które — zrealizowane w odpowiedniej kolejności — pozwolą na bezproblemowe stworzenie projektu sieci. Zakładana metodologia składa się z następujących etapów: 1 . Analizy biznesowej potrzeb zamawiającego. 2 . Projektu logicznego sieci. 3 . Projektu fizycznego sieci. 4 . Doboru urządzeń sieciowych. 5 . Kosztorysowania. 6 . Dokumentacji.
9 .2 .1 . A n a liz a b iz n e s o w a p o trz e b z a m a w ia ją c e g o Najważniejszym aspektem projektowania sieci jest jej dostosowanie do potrzeb zama wiającego. Jeśli stworzony projekt nie będzie uwzględniał wszystkich zaleceń klienta, stanie się bezużyteczny. Jeżeli na jego podstawie zostanie zbudowana sieć, nie będzie ona pełnić swojej roli i będzie wymagać zmian, co pociągnie za sobą dodatkowe koszty.
433 D
Na podstawie informacji uzyskanych podczas analizy biznesowej projektant podejmuje szereg ważnych decyzji, takich jak: •
wybór aplikacji sieciowych — systemów finansowo-księgowych, systemów opera cyjnych dla stacji roboczych i serwerów,
•
wybór sprzętu komputerowego (stacje robocze i serwery),
•
wybór topologii sieci i używanych protokołów komunikacyjnych,
•
wybór urządzeń sieciowych (przełączniki, routery, firewall),
•
wybór elementów okablowania strukturalnego (przewody, panele krosowe, szafy dystrybucyjne),
•
sposób połączenia z siecią internet,
•
wybór poziomu bezpieczeństwa.
Analiza potrzeb zamawiającego powinna zdefiniować wymagania funkcjonalne doty czące sieci (używane aplikacje, działające usługi) oraz strukturę organizacyjną zamawia jącego wraz z zakresem dostępu do danych i usług sieciowych. Na etapie analizy należy również zapoznać się z infrastrukturą, w której sieć ma powstać, w celu odpowiedniego zaplanowania tras przebiegu okablowania, umieszczenia punktów dystrybucji sieci czy gniazdek sieciowych. Analizę biznesową potrzeb klienta należy rozpocząć od zebrania informacji dotyczą cych zamawiającego — trzeba określić wielkość firmy, rodzaj prowadzonej działalności, potencjał rozwoju firmy (oznaczający możliwą rozbudowę sieci). Kolejnym etapem analizy powinno być zapoznanie się ze strukturą organizacyjną firmy, liczbą osób zatrudnionych w poszczególnych działach czy realizowanymi przez dane komórki zadaniami. Wiedza ta pozwala na zaplanowanie usług, jakie będą wykorzy stywane na poszczególnych stanowiskach, oraz rodzaju sprzętu i oprogramowania wy maganego na danych stacjach roboczych. Znajomość struktury organizacyjnej pozwala również zaplanować logiczny podział sieci na podsieci czy wirtualne sieci VLAN, tak aby zapewnić niezbędny poziom bezpieczeństwa danych. Następnym krokiem w przygotowaniu do projektowania sieci jest zebranie informacji 0 infrastrukturze — lokalizacjach, w jakich ma działać sieć komputerowa. Należy określić położenie pomieszczeń oraz budynków, rozmieszczenie pracowników poszczególnych działów oraz przewidywane zapotrzebowanie na punkty abonenckie w konkretnych pomieszczeniach (tzw. nasycenie). Na tym etapie niezbędne jest pozyskanie planów budynków wraz z wymiarami, a także odległościami pomiędzy budynkami, w przypadku gdy budowana sieć ma obejmować swoim działaniem wiele lokalizacji. Dane te są niezbędne w celu zaprojektowania właś ciwego rozmieszczenia punktów dystrybucji sieci oraz okablowania. Warto sprawdzić, czy zamawiający ma jakieś wytyczne dotyczące rozmieszczenia punktów dystrybucji, 1 zweryfikować je pod kątem wymagań projektowania tego typu pomieszczeń (patrz punkt 9.2.3). Istotne jest również uwzględnienie specyficznych parametrów pracy sieci, np. tego, że transformatory w pobliżu działającej sieci mogą zakłócać jej pracę, przeszkody pomiędzy antenami sieci bezprzewodowej mogą wpływać na jej wydajność itp.
Zbierając informacje na temat infrastruktury, warto sprawdzić dostępną instalację elektryczną, która jest niezbędna do poprawnego działania sieci. Gdy nie ma instalacji o właściwych parametrach, należy uwzględnić jej przygotowanie w planowanych pracach. Istotne jest również pozyskanie informacji o istniejącej instalacji klimatyzacji. Jest ona niezbędna do chłodzenia serwerowni w celu zapewnienia optymalnych warunków pracy zainstalowanych tam urządzeń. Jeśli w budynkach klimatyzacja była wcześniej uruchamiana, należy sprawdzić możliwość jej rozbudowy. Jeżeli takiej instalacji nie ma, trzeba zbadać warunki jej uruchomienia. Po zbadaniu infrastruktury należy określić wymagania funkcjonalne dotyczące sieci, przede wszystkim to, do czego sieć będzie wykorzystywana, jakie usługi będą w niej uruchamiane, jakie oprogramowanie ma być użyte, gdzie i w jaki sposób powinien być dostępny internet, na ile jest on kluczowy w działalności firmy. Warto również sprawdzić, czy zamawiający korzysta obecnie z usług jakiegoś dostawcy internetowego, czy zamierza kontynuować współpracę, czy też przewiduje jego zmianę — często zamawiający może nie być świadomy tego, że są inni usługodawcy. Jeśli został określony dostawca usług internetowych, należy zbadać ofertę pod kątem potrzeb budowanej sieci — sprawdzić oferowane prędkości, interfejsy dostępu do sieci, publiczne adresy IP, łącza zapasowe itp. Podczas analizy trzeba także określić, jakie kluczowe usługi sieciowe będą realizowane wewnętrznie (na własnych serwerach w obrębie projektowanej sieci), a jakie zewnętrznie (na serwerach poza siecią). Podane zagadnienia pokazują zakres koniecznych do zebrania informacji, które pozwolą na stworzenie wstępnego zakresu prac i kosztorysu. Dokumenty te powinny być przed stawione do akceptacji zamawiającemu w celu uniknięcia nieporozumień wynikających z błędnej interpretacji przedstawionych informacji. Właściwe prace projektowe powinny rozpocząć się dopiero po zaakceptowaniu przez klienta spisanych wymagań. Przedstawione zagadnienia ustalane z zamawiającym są bardzo ogólne, dzięki czemu mogą być wykorzystywane w wielu przypadkach, niemniej jednak nie należy traktować ich jako ostatecznych. Każdy projekt jest indywidualny, związany z różnymi wymagania mi klienta czy infrastrukturą, w której ma być tworzony. W procesie analizy powinno się jak najlepiej określić wszelkie wymogi i ograniczenia stawiane budowanej sieci, w związku z czym należy go dostosować do konkretnych warunków.
9 .2 .2 . P ro je kt lo g ic z n y sie ci Na podstawie danych zebranych podczas analizy można rozpocząć projektowanie logiczne sieci. Na projekt logiczny składa się ogólna koncepcja sieci, adresacja IP, sieci VLAN czy podział sieci na segmenty wraz z połączeniami między nimi. Na tym etapie nie przedstawia się konkretnych rozwiązań sprzętowych, ale jedynie funkcje i usługi sieciowe uruchamiane na serwerach — urządzenia dobiera się na podstawie logicznego projektu sieci. Logiczny projekt tworzy się metodą zstępującą — od ogółu do szczegółu (ang. top-down). Pierwszym etapem prac jest stworzenie ogólnego schematu sieci obejmującego stmkturę
435 3
organizacyjną oraz usługi sieciowe (rysunek 9.3). Taki wstępny plan powinien zostać rozbudowany o informacje na temat urządzeń sieciowych uwzględniające połączenia pomiędzy poszczególnymi lokalizacjami oraz ogólną liczbę podłączanych urządzeń sieciowych.
Rysunek 9.3. S zkic lo g ic z n e g o s c h e m a tu sieci
Następnie dla każdego obszaru sieci powinna zostać zaproponowana adresacja IP — dla interfejsów konkretnych urządzeń sieciowych można przypisać stałe adresy, a dla urządzeń końcowych wskazać adres sieci. WSKAZÓWKA
Ze względu na elastyczność i łatw ość konfigurowania dla urządzeń końcow ych (stacji ro boczych) zaleca się autom atyczną konfigurację protokołu IPza p om o cą protokołu DHCR n atom iast dla urządzeń sieciowych oraz serwerów zaleca się konfigurację statyczną.
Projekt adresacji IP powinien uwzględniać publiczne adresy IP, które przekaże dostaw ca sieci internet — będą one przeznaczone do zapewniania dostępu do internetu czy uruchamiania niezbędnych usług sieciowych — oraz adresy prywatne zaproponowane przez projektanta. Aby opracować schemat adresacji dla projektowanej sieci, należy określić liczbę po trzebnych adresów IP zarówno na etapie projektowania, jak i w przyszłości, podczas rozwoju sieci. Adresy IP powinny być przypisane dla takich urządzeń, jak:
•
urządzenia końcowe — komputery użytkowników, komputery administratorów, serwery, drukarki sieciowe, telefony oraz kamery IP itp.;
•
urządzenia sieciowe — interfejsy LAN i WAN routera, interfejsy administracyjne urządzeń sieciowych — przełączników, punktów dostępu sieci bezprzewodowej itp.
Po określeniu wszystkich urządzeń, które do prawidłowego działania potrzebują adresów IP, należy podjąć decyzję dotyczącą podziału sieci na niezależne podsieci. Dzielenie sieci na podsieci ma na celu: •
Zarządzanie ruchem rozgłoszeniowym — podział na podsieci ogranicza transmisje rozgłoszeniowe.
•
Zwiększenie bezpieczeństwa — poszczególne usługi mogą być dostępne w różnych, niezależnych podsieciach.
•
Spełnienie specyficznych wymagań sieciowych.
Gdy zna się wymagania odnośnie do podziału na podsieci IP, należy podjąć decyzję o zakresie i użytych klasach adresów IP. WSKAZÓWKA
N a etapie projektow ania w arto również stworzyć ogólny schem at nadaw ania adresów IP w obrębie poszczególnych sieci. Np.: • Pierwszy adres IP danej sieci jest zarezerw owany d la bram y dom yślnej. • A dresy IP serwerów w sieci są przypisyw ane z zakresu X.X.X.10 - X.X.X.49. • Adresy IP urządzeń końcow ych zawierają się w zakresie X.X.X. 1 0 0 - X.X.X. 199. • Adresy IP urządzeń sieciowych w danej sieci m ieszczą się w zakresie X.X.X.210 X .X X .230. Przyjęty schem at pow inien zostać opisany w dokum entacji sieci.
Następnym krokiem w przygotowywaniu logicznego projektu jest stworzenie sieci VLAN oraz przypisanie do nich poszczególnych portów w urządzeniach sieciowych. Sieci VLAN powinny uwzględniać zakres dostępu do poszczególnych usług sieciowych, strukturę organizacyjną oraz dostęp do poszczególnych danych. Na tym etapie ze względów bezpieczeństwa warto rozważyć osobną sieć na potrzeby administracji urządzeniami komputerowymi. Jest to wyodrębniona sieć, w której są dozwolone procedury zdalnego logowania na urządzenia sieciowe (np. SSH, RDP). Wydzielenie takiej sieci pozwoli na łatwą kontrolę dostępu do kluczowych elementów infrastruktury sieciowej i zminimalizowanie ryzyka podłączenia się do nich z wnętrza sieci osobom nieupoważnionym. Ostatnim etapem projektowania logicznego jest dobór oprogramowania. Na podsta wie założeń zebranych podczas analizy należy określić oprogramowanie, które będzie działać w sieci na poszczególnych serwerach. Dotyczy to zarówno oprogramowania
437 3
bezpośrednio związanego z usługami działającymi na rzecz użytkowników, jak i opro gramowania narzędziowego na potrzeby diagnozowania czy monitoringu sieci oraz bezpieczeństwa sieciowego. Podczas projektowania sieci, na etapie analizy, zamawiający często przedstawia włas ną koncepcję używanego oprogramowania — czy to programów użytkowych, czy też serwerów sieciowych. Jest to podyktowane posiadanymi licencjami lub wykształconą w danej technologii kadrą. Projektowana sieć powinna zawsze spełniać wymagania zamawiającego, w związku z czym w przypadku, gdy oprogramowanie jest jasno okre ślone, ten zakres projektu może zostać pominięty. WSKAZÓWKA
Zdarza się, że zam aw iający w ym ag a dostosow ania projektu sieci do istniejących w fir mie rozwiązań sprzętowych bądź program ow ych. D obry projekt powinien uwzględniać w ym agania zam aw iającego, lecz nic nie stoi na przeszkodzie, by w prow adzić d o pro jektu sugestie czy zalecenia, które pozw olą — zdaniem projektanta — na zwiększenie w ydajności sieci.
9 .2 .3 . P ro je kt fiz y c z n y sie ci Na podstawie projektu logicznego należy utworzyć projekt fizyczny sieci. Projekt fizyczny powinien zawierać opis wybranego okablowania, konkretnych urządzeń sieciowych (włącznie ze wskazaniem modeli i ich parametrów technicznych), a także plan ułożenia okablowania strukturalnego wraz z punktami dystrybucji w poszczególnych budynkach. Projekt ten powinien opierać się na założeniach projektu logicznego, obowiązujących normach (patrz podrozdział 9.1), a także zaleceniach oraz wymaganiach producentów sprzętu. Na podstawie projektu logicznego oraz planów budynków należy wybrać okablowanie sieci dla poszczególnych jej segmentów — okablowania poziomego, pionowego oraz kampusowego. WSKAZÓWKA
Wielu p rod u ce ntów elem entów okablow ania strukturalnego oferuje kom pleksow e roz w iązania d la catej infrastruktury o kab lo w a n ia — od kabli, przez panele krosowe, gniazda, po zaciskarki d o kabli. Używanie w obrębie catej projektow anej sieci części jed n e go pro d ucenta często jest w arunkiem uzyskania bądź przedłużenia gwarancji na pojedyncze elementy.
Projektowanie rozmieszczenia okablowania należy rozpocząć od analizy projektów in frastruktury — jeśli istnieje konieczność utworzenia sieci pomiędzy budynkami, trzeba sprawdzić odległości między nimi oraz wymagania dotyczące przepustowości. Normy
dotyczące okablowania strukturalnego pozwalają na stosowanie między budynkami światłowodów jedno- i wielomodowych oraz skrętki. Wybór konkretnego rozwiązania zależy od wamnków w miejscu instalacji oraz wymaganych parametrów łącza.
Rysunek 9.4. P rojekt sieci u w z g lę d n ia ją c y lo ka liza cje o ra z u rz ą d ze n ia s ie c io w e
Kolejnym etapem tworzenia fizycznego projektu sieci jest rozmieszczenie punktów dystrybucji sieci w obrębie poszczególnych budynków (rysunek 9.4). Najczęściej więk szość najważniejszego sprzętu sieciowego (serwery, macierze dyskowe) jest umieszczona w głównym punkcie dystrybucji — budynkowym lub w przypadku większych sieci kampusowym. Przy wyborze lokalizacji punktu dystrybucyjnego należy uwzględnić następujące czynniki: •
Pomieszczenie nie powinno znajdować się przy zewnętrznej, południowej ścianie budynku — nasłonecznienie i przenikanie ciepła powoduje wzrost temperatury w pomieszczeniu. Dodatkowo na ścianach nasłonecznionych nie można montować wymienników ciepła klimatyzacji. Konieczne staje się więc przedłużanie przebiegów instalacji klimatyzacji, co z kolei ma wpływ na jej wydajność
•
Pomieszczenie nie powinno mieć okien, które mogą powodować przenikanie ciepła z zewnątrz budynku. Jeśli ma, powinny one zostać zamurowane lub w razie braku takiej możliwości przysłonięte żaluzjami odbijającymi ciepło. Każde okno powoduje konieczność zwiększenia mocy projektowanej instalacji klimatyzacji, co przekłada się na wyższe koszty jej założenia i eksploatacji.
439 3
•
Ze względu na ryzyko zalania serwerownia nie powinna się znajdować w najniż szym miejscu budynku.
•
W pomieszczeniu nie powinno być żadnych rur, które stanowią potencjalne źródło wycieku. Jeżeli nie ma możliwości usunięcia rur z wybranego pomieszczenia, należy pod każdą z nich zastosować okap lub rynnę, która odprowadzi wodę, a wewnątrz rynny umieścić czujnik zalania.
•
Powinna istnieć możliwość łatwego transportu sprzętu do punktu dystrybucji.
•
Droga transportowa od wejścia do budynku aż do drzwi do serwerowni powinna mieć szerokość 120 cm, wysokość minimum 2,5 m i wytrzymałość na obciążenie do 1000 kg/m2. Na drodze transportowej, nie mogą znajdować się żadne progi ani stopnie. Cała droga musi być możliwa do pokonania przez wózek do transportu palet. Wymagania te są podyktowane koniecznością transportu urządzeń — nie które z nich (np. wybrane macierze dyskowe) nie mogą być przechylane podczas transportu, gdyż grozi to ich uszkodzeniem.
Należy również wziąć pod uwagę konieczność doprowadzenia do głównego punktu dystrybucji odpowiedniej instalacji elektrycznej, pozwalającej na zapewnienie wystar czającej energii dla pracy wszystkich urządzeń. W przypadku gdy system komputerowy i działająca sieć są kluczowe dla pracy organizacji (np. sterowanie ciągłą produk cją), może istnieć konieczność doprowadzenia zapasowego łącza elektrycznego czy też uwzględnienia podłączenia agregatów prądotwórczych oraz zaprojektowania układów samoczynnie przełączających źródła energii.
P rojekt zasilania powinien zosta ć w ykonany przez o soby posiadające odpow iednie uprawnienia. W zależności od w ym agań zam aw iającego może on stanowić część pro jektu sieci kom puterow ej lub też być o sob n ym projektem opracow anym niezależnie — w ów czas w projekcie sieci należy w skazać zapotrzebow anie na energię elektryczną generowaną przez poszczególne urządzenia sieciowe. Projekt instalacji elektrycznej powinien uw zględniać nie tylko m oc urządzeń kom pute rowych, ale również energię niezbędną d o ładow ania akum ulatorów system ów p o d trzym ujących napięcie (UPS), oświetlenie oraz inne o bw o d y elektryczne, energię do zasilania urządzeń klim atyzacji oraz rezerwę na w ypa d e k wzrostu zapotrzebowania, np. po instalacji dod a tko w eg o serwera.
Serwery i inne aktywne urządzenia sieciowe podczas pracy genem ją ciepło. Ze względu na ich stosunkowo dużą liczbę w punktach dystrybucji sieci ilość generowanego ciepła zagraża poprawnej pracy urządzeń i konieczne jest jego odprowadzenie. W tym celu projektuje się układy klimatyzacji, które m ają za zadanie zapewnienie optymalnej temperatury pracy urządzeń. W przypadku mniejszych punktów dystrybucji, w których pracuje mniejsza liczba urządzeń (np. piętrowy punkt dystrybucji, gdzie działa jeden przełącznik), ilość gene rowanego ciepła może nie wymagać dodatkowego chłodzenia.
UW AGA
Projekt klim atyzacji pow inien zostać sporządzony przez o soby d o tego uprawnione. O d pow iedni d o b ó r urządzeń m a duży wptyw na koszty eksploatacji takiej instalacji — z a po trzebowanie tego typu urządzeń na energię elektryczną jest znaczne, a ich odpow iedni dob ó r pozwala te koszty zm inim alizować. Podobnie jak w przypadku instalacji elektrycznej, plan instalacji klim atyzacji nie musi być częścią projektu sieci kom puterow ej — w takim przypadku w projekcie sieci pow in ny zostać zapisane wyraźne w ytyczne dotyczące jej budowy.
Budynkowe oraz kampusowe punkty dystrybucji powinny zostać określone na pod stawie planów budynków oraz wytycznych zamawiającego zebranych podczas analizy. Podczas przeprowadzania analizy dobrze jest wskazać kilka potencjalnych lokalizacji, w których mogą mieścić się punkty dystrybucji. Na ich podstawie wybiera się najlepsze, które pokryją jak największy obszar roboczy — pozwolą na obsługę możliwie dużej liczby użytkowników sieci pracujących we wskazanych przez zamawiającego pomieszczeniach. Okablowanie poziome wykonuje się najczęściej przy użyciu kabla typu skrętka — mak symalna długość okablowania poziomego bez kabli krosowych i połączeniowych wynosi 90 m. Należy wziąć pod uwagę, że nie jest to maksymalna odległość w linii prostej od punktu dystrybucji do punktu abonenckiego — trzeba uwzględnić konieczność prowa dzenia kabli wzdłuż ścian oraz ewentualne doprowadzenie okablowania z głównego kanału kablowego do gniazdka telekomunikacyjnego. Wyboru najlepszej lokalizacji piętrowych punktów dystrybucji dokonuje się na pod stawie planów budynków, na które są nanoszone okręgi o promieniu 50 m (w skali odpowiadającej skali planów budynku). Środek okręgu stanowi potencjalną lokalizację punktu dystrybucji, okręgi zaś wskazują obszar, który może być pokryty okablowaniem z danego punktu dystrybucji (rysunek 9.5). Jeśli nie istnieje możliwość umieszczenia punktu w wybranym miejscu, należy powtórzyć wyznaczanie lokalizacji. Rysunek 9.5. W y z n a c z a n ie p o krycia o b s z a ró w ro b o czych p rz e z p ię tro w e p u n k ty d ystryb u cji
441
Pokrycie obszarów roboczych pozwala na wybór najbardziej korzystnej lokalizacji dla punktów dystrybucji. Kiedy zostały wybrane lokalizacje punktów dystrybucji, należy wybrać drogi prowa dzenia kanałów kablowych do gniazd abonenckich. Okablowanie strukturalne powinno być prowadzone w kanałach wzdłuż ścian w pla stikowych korytach umieszczanych na dowolnej wysokości ściany lub w rynnach umieszczonych pod sufitem. Dopuszczalne jest również prowadzenie okablowania powyżej podwieszanego sufitu lub pod podwyższoną podłogą, niemniej jednak okab lowanie powinno znajdować się w korytach lub rynnach zamocowanych w odległości co najmniej 5 cm od innych elementów. Na podstawie określonych punktów dystrybucji, wybranego okablowania oraz sposobu jego montażu należy nanieść na plany budynków wyznaczone przebiegi kablowe wraz z gniazdami abonenckimi. Każdy rodzaj okablowania powinien być oznaczony innym kolorem (lub stylem linii), aby łatwo można go było odróżnić Należy również przedstawić przebiegi kanałów kablowych, w których poprowadzone będzie okablowanie. W zależności od złożoności projektu i wymagań zamawiającego projekt może być prosty, pokazujący jedynie przebieg kanałów bez rozbicia na po szczególne elementy, lub dokładny, uwzględniający każdy użyty element, taki jak trój nik, narożnik, łącznik, reduktor, zakończenie kanału, puszki czy obudowy oraz użyte gniazda telekomunikacyjne. W tym drugim przypadku należy dokładnie zapoznać się z ofertą elementów systemu kanałów wybranego producenta, aby sprawdzić i dobrać odpowiednie części, a następnie nanieść je na rysunek. Pod każdym rysunkiem powinna znaleźć się legenda wskazująca, co oznaczają poszczególne symbole użyte na rysunkach.
9 .2 .4 . S y m b o le u ż y w a n e w p ro je k to w a n iu sie ci Polskie normy nie określają dokładnie symboli dla poszczególnych elementów sieci komputerowych, w związku z czym trudno jednoznacznie wskazać, jakie oznaczenia powinny być używane na etapie projektowania. Rysunek 9.6 przedstawia ogólnie przy jęte symbole urządzeń sieciowych oraz proponowane symbole używane w fizycznych projektach okablowania strukturalnego.
9 .2 .5 . D o b ó r u rz ą d z e ń s ie c io w y c h Częścią projektu fizycznego sieci jest dobór odpowiednich urządzeń sieciowych do realizacji założonych zadań.
O k a b lo w a n ie Dobór okablowania sieciowego ma kluczowe znaczenie dla prędkości i jakości działania sieci. Źle dobrane lub źle ułożone okablowanie może spowodować, że nawet najlepszy aktywny sprzęt sieciowy nie będzie mógł osiągnąć oczekiwanej wydajności ze względu na błędy pojawiające się podczas przesyłania sygnałów.
Rysunek 9.6. P ro p o n o w a n e s y m b o le d o u życia w p ro je kta ch sieci k o m p u te ro w y c h
Koncentrator
Most
Przełącznik
Koncentrator
Most
Przełącznik
A Router
Zam knięty k anał kablowy
Z m iana wysokości przebiegu okablowania
Router G niazdo sieciowe wraz z oznaczeniem
O Firewall
o tw arty kanał kablowy
o
Firewall
O kablowanie sieciowe z oznaczeniem liczby prowadzonych przebiegów
Normy określają, jaki rodzaj kabla może być stosowany w kolejnych odcinkach okab lowania strukturalnego. Poza parametrami dynamicznymi określającymi cechy samej transmisji przy wyborze konkretnego okablowania należy brać pod uwagę również parametry mechaniczne: •
Rodzaj przewodnika — w przypadku okablowania miedzianego występują kable typu drut (do układania przebiegów kablowych; są bardziej sztywne, dzięki czemu łatwiej się je układa w korytkach i są bardziej odporne na zagięcia) lub kable typu linka (stosowane jako kable krosowe; są bardziej elastyczne i łatwiej poddają się przy układaniu np. w szafach dystrybucyjnych).
•
Średnicę przewodnika — jest podawana w jednostkach AWG (ang. American Wire Gauge) — musi być dopasowana do zacisków w panelach krosowych i gniazdach abonenckich.
•
Średnicę zewnętrzną kabla — informacja niezbędna w celu poprawnego obliczenia wielkości koryt kablowych.
•
Rodzaj ekranowania — w przypadku budowy sieci w miejscach narażonych na działanie fal elektromagnetycznych w celu eliminacji zakłóceń są stosowane kable z ekranowaniem.
•
Dopuszczalne temperatury pracy oraz temperaturę podczas instalacji okablowania.
•
Dopuszczalne promienie zagięcia kabla przy instalacji i podczas pracy — przekro czenie zalecanych wartości powoduje, że okablowanie nie zachowuje parametrów transmisji — skręcone pary ulegają rozkręceniu.
•
Tworzywo izolacji zewnętrznej — występują dwa rodzaje: standardowa PCV oraz niepalna LSZH (ang. L ow S m oke Zero Halogen), która jest stosowana w instalacjach podwyższonego ryzyka pożaru.
443
•
Masę właściwą kabla — informacja niezbędna do projektowania wytrzymałości kanałów kablowych oraz obliczania obciążenia stropów.
•
Dostępne długości kabla w jednostkowych opakowaniach — najczęściej okablowa nie jest sprzedawane w opakowaniach po 100 lub 305 metrów.
S z a fy d y s try b u c y jn e Punktami dystrybucyjnymi w sieci, w zależności od potrzeb, mogą być osobne po mieszczenia, wyodrębnione części pomieszczeń bądź szafy dystrybucyjne umieszczone w obszarach roboczych. Osprzęt sieciowy w punktach dystrybucyjnych powinien być montowany w szafach dystrybucyjnych typu rack (rysunki 9.7 i 9.8).
n m m im ninw nw nw w w iN ir
iii®
uuiułimuiiiiiuiiiiiiiiiiiiin Rysunek 9.7. S za fa d y s try b u c y jn a sto jąca
Rysunek 9.8. S za fa d ystryb u c y jn a d w u s e k c y jn a w is z ą c a
Jest to standard szaf, stojaków oraz urządzeń stosowany w przemyśle, zatwierdzony przez organizację EIA (ang. Electronic Industries Association) w dokumencie EIA-310-D. Wysokość elementów typu rack określa się w wielokrotności tzw. jednostek (U) — 1 U to wysokość pojedynczego elementu montażowego w szafie (wynosi 4,445 cm — 1,75 cala). Jednostka ta służy do określania wysokości szaf oraz zamontowanych w nich urządzeń. Najczęściej spotykane szafy dystrybucyjne pozwalają na montaż urządzeń o szerokości 19 cali, ich wysokość wynosi od 10 do 45 U, głębokość od 60 do 100 cm; dostępne są w wersjach stojącej lub wiszącej. Wysokość sprzętu sieciowego zależy od jego rodzaju, funkcjonalności czy liczby gniazd Stojące szafy dystrybucyjne mają budowę modularną, która pozwala na ich rozbudowę i łączenie w razie potrzeby instalacji większej ilości sprzętu sieciowego. Najczęściej mają one demontowane boczne ściany, dzięki czemu jest możliwy łatwy dostęp do zainsta lowanych urządzeń. W górnej ścianie szaf dystrybucyjnych montuje się wentylatory, które zapewniają wymianę powietrza w szafie oraz chłodzenie sprzętu. Aby ograniczyć dostawanie się kurzu do wnętrza szafy, wszelkie przewody są wprowa dzane przez tzw. szczotkowe przepusty kablowe.
Dobierając wielkość szafy, należy mieć na uwadze następujące czynniki: •
Serwery w obudowach typu rack powinny być montowane w szafach o głębokości 100 cm w celu zapewnienia odpowiedniej wentylacji wewnątrz szafy.
•
Wysokość szafy powinna uwzględniać nie tylko wysokość zainstalowanych we wnątrz urządzeń, ale również przestrzeń pomiędzy urządzeniami aktywnymi — w celu zapewnienia lepszej cyrkulacji powietrza zalecane jest pozostawienie wolnej przestrzeni o wysokości 1 U pomiędzy elementami aktywnymi, takimi jak serwery, routery i przełączniki.
• Jeśli w szafie dystrybucyjnej trzeba będzie zamontować wiele pionowych połączeń pomiędzy urządzeniami, należy rozważyć zakup szerszej szafy, która pozwala na montaż specjalnych pionowych elementów porządkujących. •
Przy wyborze szafy należy również rozważyć rozwój projektowanej sieci, a co za tym idzie, możliwość instalacji dodatkowych urządzeń w przyszłości.
P a n e le k ro s o w e i o rg a n iz e ry o k a b lo w a n ia Okablowanie sieciowe w szafach dystrybucyjnych jest zakańczane na tzw. panelach krosowych (ang. patch panel). Są to pasywne elementy sieci, które składają się z szere gu gniazd (najczęściej RJ-45 lub gniazd światłowodowych), do nich zaś są podłączane kable tworzonej sieci. Wyprowadzenie zakończeń kabli do paneli krosowych pozwala je w łatwy sposób zorganizować oraz, w razie potrzeby, zreorganizować — każde gniazdo w panelu powinno być opisane, w dokumentacji sieci powinien znajdować się schemat połączeń pomiędzy poszczególnymi gniazdami a urządzeniami sieciowymi w szafie. W zależności od liczby gniazd (najczęściej 12, 24 lub 48) panele są różnej wysokości: 1, 2 oraz 3 U. Dobrym zwyczajem jest stosowanie organizerów kabli (rysunek 9.9), które pozwalają na uporządkowanie okablowania wewnątrz szafy, dzięki zgrupowaniu kabli w jednym obszarze. Dostępne są zarówno organizery poziome montowane najczęściej pomiędzy przełącznikiem a panelem krosowym, jak i organizery pionowe pozwalające na popro wadzenie szeregu kabli wzdłuż szafy. Rysunek 9.9. P o zio m e o rg a n ize ry kabli d o sza f d y s try b ucyj nych
445 0
P rze łą c zn ik i Przełączniki działające w sieciach można podzielić na dwa rodzaje: przełączniki szkie letowe, służące do łączenia innych przełączników, stanowiące szkielet sieci, oraz prze łączniki grup roboczych, które pozwalają na podłączenie końcowych użytkowników. Przełączniki szkieletowe powinny być wydajnymi urządzeniami, które będą w stanie zapewnić wymaganą jakość mchu sieciowego oraz oczekiwany poziom bezpieczeństwa. Najczęściej stosuje się tutaj przełączniki warstwy trzeciej, które działają z prędkościami co najmniej 1 Gb/s. Pozwalają one na kształtowanie ruchu za pomocą list kontroli dostępu czy przełączania na podstawie adresów IP, dzięki czemu sieć pracuje wydajniej. Przełączniki grup roboczych działają najczęściej w piętrowych punktach dystrybucji i służą głównie do podłączenia użytkowników. Nie muszą zapewniać aż takiej wydajno ści oraz dodatkowych funkcji, jakie ofemją przełączniki szkieletowe, dlatego najczęściej stosuje się w tym przypadku przełączniki warstwy drugiej, z obsługą sieci VLAN, jeśli jest to wymagane. Niektóre modele przełączników do zastosowań profesjonalnych m ają budowę modu larną, która w razie potrzeby pozwala na rozbudowę urządzenia o dodatkowe porty — zarówno światłowodowe, jak i RJ-45. Wybór tego typu urządzeń pozwala na łatwą konfigurację sieci w celu dopasowania jej do zmieniających się potrzeb. Jeśli istnieje konieczność podłączenia w obrębie jednego punktu dystrybucji większej liczby użytkowników (niemodularne przełączniki mają maksymalnie 48 portów + 4 dodatkowe gniazda GBIC), trzeba połączyć przełączniki między sobą. Połączenie to może zostać zrealizowane w jeden z następujących sposobów: •
Bezpośrednie połączenie port - port — przy użyciu kabla krosowego łączy się porty kolejnych urządzeń. Wadą takiego rozwiązania jest niska wydajność oraz potencjal ne zagrożenie awarią — gdy połączonych jest kilka urządzeń, przerwanie jednego z połączeń powoduje zerwanie komunikacji pomiędzy kolejnymi urządzeniami. Zaletą są niskie koszty oraz łatwa rozbudowa o następne przełączniki.
•
Bezpośrednie połączenie port - port z redundancją — przy użyciu kabla krosowego łączy się porty kolejnych urządzeń, dodatkowo tworząc pętlę. Rozwiązanie to nie zwiększy wydajności, ale w razie problemów z jednym z łączy protokół drzewa opinającego (ang. Spanning Tree Protocol — STP) uruchomi połączenie nadmiarowe, które pozwoli zachować ciągłość transmisji.
•
Agregacja portów — przy użyciu kabli krosowych wielokrotnie łączy się te same przełączniki. Pozwala to na stworzenie logicznego połączenia pracującego z większą prędkością.
•
Połączenie przełączników w stos (ang. stacking) — jest to specjalne połączenie po między urządzeniami realizowane przez dedykowany do tego celu port o bardzo dużej przepustowości. Urządzenia połączone w ten sposób mają jeden adres IP, co ułatwia administrację. Wadą takiego rozwiązania jest konieczność stosowania urzą dzeń tego samego producenta (brak standardów tego typu rozwiązań) oraz wysokie koszty — nie wszystkie przełączniki mają taką funkcjonalność.
Wydajność przełączników jest określana przez przepustowość (podawana w milionach pakietów na sekundę — mpps), szybkość szyny (Gb/s), szybkość procesora oraz ilość pamięci operacyjnej. Oprócz wydajności przy wyborze przełącznika należy uwzględnić następujące czynniki: •
dostępne interfejsy sieciowe — Ethernet, Fast Ethernet, Gigabit Ethernet, 10 Gigabit Ethernet, realizowane za pomocą skrętki i światłowodu;
•
architekturę przełączania — przełączanie w warstwie dmgiej (dostępność sieci VLAN, możliwość umchomienia usługi QoS, przystosowanie do obsługi VoIP), przełączanie w warstwie trzeciej;
•
wymaganą liczbę portów;
•
dostępne funkcje bezpieczeństwa.
Istotny wpływ na wybór konkretnego urządzenia mogą mieć również warunki napraw i gwarancji. Należy przy tym starać się utrzymać jednolite środowisko sieci, a więc uży wać sprzętu jednego producenta — pozwoli to na oszczędności przy administrowaniu siecią oraz wyeliminuje niektóre problemy z niekompatybilnością niestandardowych rozwiązań (np. agregacja portów). W okablowaniu pionowym oraz okablowaniu kampusowym można wykorzystać kabel typu skrętka lub światłowody, należy zatem odpowiednio dobrać porty w urządzeniu. Istnieje możliwość podłączenia kabla światłowodowego do portu RJ-45 za pomocą specjalnych konwerterów (ang. transceiver). Oferują one zalety transmisji światłowodem bez konieczności zakupu przełączników z portami światłowodowymi.
R o u te ry Podstawowe zadanie routerów to przełączanie pakietów pomiędzy sieciami/interfejsami sieciowymi oraz wyznaczanie trasy do innych sieci. W sieciach lokalnych działają dwa rodzaje routerów — router brzegowy zapewniający dostęp do internetu oraz routery szkieletowe odpowiedzialne za przełączanie pomiędzy wewnętrznymi sieciami. Dodatkowo routery mogą oferować szereg innych usług, takich jak kształtowanie ruchu (usługa QoS), kontrola dostępu czy połączenia VPN. Routery można podzielić ze względu na ich mechanizm działania na: •
Routery sprzętowe — specjalne dedykowane urządzenia zbudowane z wykorzysta niem sprzętu zapewniającego wysoką wydajność przełączania pakietów. Do zasto sowań profesjonalnych używa się urządzeń o budowie modularnej, pozwalającej na podłączanie wielu różnych typów interfejsów.
•
Routery programowe — to komputer z uruchomionym odpowiednim oprogramo waniem zapewniającym przełączanie pakietów. Takie rozwiązania często można spotkać w małych sieciach, które nie wymagają wysokiej wydajności lub w których generowany ruch nie jest zbyt duży. Przykładem wykorzystania routera programo wego jest udostępnianie połączenia sieciowego w systemie Windows — komputer z dwoma kartami sieciowymi zapewnia routing pomiędzy nimi.
447 3
Projektant przy wyborze routera powinien uwzględnić następujące czynniki: • Wydajność — jest określana w pakietach na sekundę (pps); mówi o maksymalnej liczbie pakietów, które router jest w stanie przeanalizować w ciągu sekundy. •
Liczbę i rodzaj zainstalowanych portów — routery (zwłaszcza do zastosowań ko mercyjnych) oprócz standardowych łączy sieci Ethernet (do podłączenia mediów miedzianych, światłowodowych i bezprzewodowych) mogą mieć również interfejsy do podłączenia sieci WAN — porty szeregowe, porty ISDN, porty xDSL itd.
•
Modularną budowę oraz dostępne karty rozszerzeń — w przypadku budowy dużych sieci lub sieci, dla których ważna jest skalowalność, należy wybierać urządzenia możliwe do ewentualnej przyszłej rozbudowy. Dotyczy to zarówno kart z interfejsa mi, jak i elementów mających wpływ na wydajność urządzenia (np. pamięć RAM).
•
System operacyjny urządzenia — funkcjonalność routerów zależy od oprogramo wania, które steruje sprzętem. Urządzenia do zastosowań komercyjnych działają pod kontrolą specjalnych dedykowanych systemów operacyjnych. Często funkcjo nalność, a co za tym idzie, cena urządzenia jest zależna od zainstalowanej wersji systemu operacyjnego.
S e rw e ry Sieci komputerowe są tworzone w celu udostępniania usług sieciowych, które działają na dedykowanych do tego celu komputerach — serwerach. W zależności od wymagań oprogramowania usługi te potrzebują różnej wielkości zasobów serwerowych — mocy procesora, wielkości pamięci RAM, wielkości przestrzeni dyskowej czy prędkości zapisu na dyskach. Właściwy dobór serwera ma kluczowe znaczenie dla wydajności urucho mionego na nim oprogramowania. Aby dobrać odpowiedni serwer, należy znać wymagania stawiane przez aplikacje, które będą na nim uruchamiane, oczekiwany poziom niezawodności i bezpieczeństwa uru chamianych usług czy przewidywany wzrost zapotrzebowania na zasoby. Przy wyborze serwerów należy kierować się następującymi parametrami: •
Wymaganiami sprzętowymi umchamianych aplikacji — ilością pamięci operacyj nej, ilością miejsca na dysku, liczbą oraz szybkością zainstalowanych procesorów, prędkością zapisu na dyskach.
•
Obsługiwanymi macierzami RAID (ang. Redundant Array o f Independent Disks) oraz rodzajem używanych dysków (SCSI/SATA).
•
Oczekiwaną niezawodnością działających usług — stosowaniem redundantnych wentylatorów, zasilaczy itp., możliwością instalacji elementów typu HOT SWAP (wentylatorów, zasilaczy, dysków), które pozwalają na rozbudowę bez konieczności wyłączania serwera.
•
Możliwością rozbudowy — liczbą wolnych gniazd dla instalacji dodatkowych proce sorów, rozszerzeniami pamięci RAM, możliwością podłączenia dodatkowych dysków.
•
Architekturą rozwiązania — aktualnie najczęściej spotykane są serwery 64-bitowe. (Należy pamiętać, że aby w pełni wykorzystać możliwości, jakie daje architektura sprzętowa, trzeba używać 64-bitowych aplikacji).
•
Obudową serwera — serwery sieciowe są dostępne w następujących obudowach: » obudowa typu wieża (ang. tower) — wolnostojąca, do uruchamiania poza szafami dystrybucyjnymi; » obudowa typu rack — do montażu w szafach dystrybucyjnych, ma wysokość od 1 do 6 U, wewnątrz jest zamontowany jeden serwer sprzętowy i wszystkie nie zbędne elementy, takie jak zasilacze, wentylatory, interfejsy sieciowe itp. Serwery tego typu mają zwartą i kompaktową konstrukcję, dzięki czemu miejsce w szafach dystrybucyjnych jest lepiej wykorzystywane. Każdy serwer typu rack montowany w szafie ma niezależny zasilacz, wentylację, interfejsy komunikacyjne oraz pod łączenie klawiatury, myszy i ekranu; » obudowa kasetowa typu blade — jest to obudowa zawierająca wspólny zasilacz, wentylację, interfejsy komunikacyjne oraz podłączenie klawiatury, myszy i ekranu dla właściwych serwerów w postaci karty podłączanej do obudowy poprzez spe cjalne dedykowane łącze (rysunek 9.10). Tego typu rozwiązania charakteryzują się dużą skalowalnością — istnieje możliwość łatwej rozbudowy o kolejny serwer poprzez podłączenie karty do obudowy blade.
•
Oferowanym wsparciem dla systemów operacyjnych — w zależności od planowa nych usług należy określić wsparcie producenta urządzenia dla wybranych systemów operacyjnych.
•
Wsparciem technicznym oraz serwisem oferowanym przez producenta — w za leżności od potrzeb można zakupić dodatkowe wsparcie techniczne oraz usługi naprawcze realizowane w określonym przez zamawiającego czasie (np. naprawa w ciągu 4 godzin od momentu zgłoszenia usterki). Takie pakiety serwisowe często znacznie zwiększają koszty użycia wybranego serwera, jednak gwarantują szybkie reakcje w przypadku wystąpienia awarii.
Rysunek 9.10. O b u d o w a s e rw e ro w a ty p u b la d e
Zaleca się montowanie serwerów w szafach dystrybucyjnych o głębokości 100 cm, co pozwala na swobodną cyrkulację powietrza z tyłu urządzenia. Serwery typu rack są montowane na specjalnych szynach umożliwiających ich wysunięcie w celu konser wacji czy rozbudowy. Serwery typu blade montowane są na stałe do wewnętrznych elementów konstrukcyjnych.
449 O
Często w przypadku konieczności uruchomienia wielu serwerów w jednej organizacji w celu zmniejszenia kosztów zakupu sprzętu oraz jego utrzymania, a także oszczędze nia miejsca w szafach dystrybucyjnych, stosuje się serwery wirtualne. Wirtualizacja serwerów pozwala na uruchomienie na jednym fizycznym serwerze wielu serwerów wirtualnych. Serwer wirtualny jest niezależną instancją sieciowego systemu operacyj nego, pracującego na zasobach, które zostały mu przydzielone przez oprogramowanie obsługujące wirtualizację. Najczęściej stosowane oprogramowanie do wirtualizacji to: •
Microsoft Hyper-V — dostępny jako komponent Microsoft Windows Server 2008 oraz jako osobny produkt — Hyper-V Server 2008. Umożliwia instalowanie w wir tualnej maszynie systemów x86 i x64 z rodziny Windows, ale też SUSE Linux Enterprise od wersji 10.3 i Red Hat Linux Enterprise od wersji 5.2.
• VMware ESX Server — oprogramowanie firmy VMware pozwalające na urucha mianie wielu systemów operacyjnych, m.in. Windows, Linux, Solaris, FreeBSD. Oprogramowanie jest oferowane w darmowej wersji z ograniczoną funkcjonalnością. • XenServer — oprogramowanie firmy Citrix, które pozwala na uruchomienie wielu systemów operacyjnych, m.in. Windows, Linux, Solaris, FreeBSD. Oferowana jest również darmowa wersja. Stosowanie serwerów wirtualnych ma szereg zalet związanych z bezpieczeństwem i do stępnością usług. Dane dotyczące konkretnego serwera wirtualnego mogą być z łatwością przenoszone pomiędzy innymi serwerami fizycznymi, na których działa ta sama wersja oprogramowania do wirtualizacji. Dodatkowo mogą być tworzone obrazy stanu ser wera (tzw. snapshot), które zapisują wszelkie parametry jego pracy (przetwarzane dane, zawartość pamięci RAM, otwarte pliki) w konkretnej chwili, co pozwala odtworzyć stan urządzenia z określonego czasu.
P rze łą c zn ik i o ra z ko n so le K V M W przypadku używania serwerów sieciowych niezbędne jest podłączenie do nich urzą dzeń wejścia-wyjścia, takich jak klawiatura, mysz oraz monitor. Oczywiście po zain stalowaniu systemu operacyjnego istnieje możliwość zdalnego logowania na serwer oraz zarządzania nim, niemniej jednak w przypadku awarii urządzenia lub usługi niezbędne jest bezpośrednie podłączenie klawiatury i monitora (ewentualnie myszy) w celu zdiagnozowania występujących problemów. W przypadku punktów dystrybucji, w których jest uruchamianych wiele serwerów, często niemożliwe jest podłączenie osobnych urządzeń wejścia-wyjścia do każdego z nich. Przełączniki KVM (od ang. K eyboard, Video, M ouse — klawiatura, monitor, mysz) pozwalają na podłączenie jednego zestawu (monitor, klawiatura i mysz) do wielu fizycznych serwerów. Przełącznik KVM pozwala wybrać, który serwer jest aktualnie obsługiwany przez urządzenia wejścia-wyjścia. Do podłączenia serwerów z przełącznikiem KVM wykorzystuje się standardowe kable zakończone wtykami typu PS/2 dla myszy i klawiatury oraz standardowy kabel D-SUB do podłączenia monitorów. Urządzenia wejścia-wyjścia zamiast bezpośrednio do serwera są podłączane do przełącznika KVM.
Aby optymalnie wykorzystać miejsce w punktach dystrybucji, istnieje możliwość instala cji konsoli KVM wewnątrz szafy dystrybucyjnej (rysunek 9.11). Na ogół jest to monitor LCD 15", 17" lub 19", który składa się podobnie jak ekran laptopa, oraz klawiatura wraz z panelem dotykowym (ang. touch pad) zastępującym mysz. Całość najczęściej mieści się w kompaktowej obudowie o wysokości 1 U, często zawiera również wbudowany przełącznik KVM. Rysunek 9.11. K onsola KVM
Z a s ila n ie a w a ry jn e Aby zapewnić ciągłość pracy i dostępność usług sieciowych, stosuje się zasilanie awa ryjne, które w przypadku zaniku czy też skoków napięcia w sieci elektrycznej umożliwi dalszą pracę lub poprawne zamknięcie aplikacji, usług oraz systemów operacyjnych. Urządzenia podtrzymujące napięcie przez krótki czas to UPS (od ang. Uninterruptible Power Supply). Są one wyposażone w akumulatory, które dostarczają napięcia podczas zaniku zasilania sieciowego lub gdy przekroczy ono dopuszczalny zakres. Ich stosowanie ma umożliwić poprawne zapisanie danych i zamknięcie systemu komputerowego lub podtrzymanie zasilania do czasu przełączenia na inne źródło zasilania (inny dostawca energii lub agregat prądotwórczy). Aby właściwie dobrać moc zasilacza UPS, należy zsumować moc wszystkich odbiorni ków, które mają być zasilane z wybranego urządzenia. Moc urządzeń można odczytać z tabliczki znamionowej urządzenia — jest wyrażana w woltoamperach (VA) lub w wa tach (W). Jeśli moc urządzenia nie jest podana, wówczas można ją obliczyć ze wzoru:
451 3
P = U •I, gdzie: U — natężenie prądu wyrażone w amperach (A), I — napięcie prądu wyrażone w woltach (V). Dla zasilaczy UPS podaje się ich moc pozorną wyrażoną w woltoamperach. Moc ta jest sumą mocy czynnej (która jest oddawana do podłączanych urządzeń) oraz mocy biernej (która jest wykorzystywana na pracę urządzenia). Aby przeliczyć moc czynną urządzenia podłączanego do UPS na moc pozorną dla urządzeń komputerowych, przyjmuje się iloczyn mocy czynnej oraz przelicznika 1,4.
Zaleca się, a by m oc zasilacza aw aryjnego byta w iększa od m ocy podłączanych urzą dzeń o około 20% dla urządzeń sieciowych i 3 0 -4 0 % dla serwerów.
PRZYKŁAD
A by obliczyć m oc zasilacza UPS niezbędną do podtrzym ania pracy serwera pobiera jące g o 400 W, m onitora LCD o m ocy 80 W, przełącznika o m ocy 100 W oraz routera o m ocy 70 W, należy: 1 . O bliczyć w ym aganą m oc d la urządzeń:
3.
a)
Serwer:
400 W ■ 1,4 = 560 VA
b)
M onitor:
80 W ■ 1,4 = 112 VA
c)
Przełącznik:
100 W ■ 1,4 = 140V A
d)
Router:
7 0 W - 1 , 4 = 9 8V A
O bliczyć m o c nadm iarow ą d la poszczególnych urządzeń, przyjm ując 40% zapas dla serwerów sieciowych i 20% zapas dla pozostałych urządzeń: a)
Serwer:
560 VA ■1,4 = 784 VA
b)
Monitor:
112 VA ■1,2 = 134,4 VA
c)
Przełącznik:
140 VA ■1,2 = 168 VA
d)
Router:
98 VA ■ 1,2 = 117,6 VA
2 . Sum a obliczonych m ocy nadm iarow ych (1204VA) w skazuje na m inim alną m oc pozorną zasilacza UPS o dpow iednią d la urządzeń o w skazanych param etrach.
Wybierając zasilacz awaryjny dla sieci, należy brać pod uwagę następujące parametry: •
Moc zasilacza, która pozwala określić moc podłączanych urządzeń.
•
Czas pracy na akumulatorze — określa czas podtrzymania energii w podłączanych urządzeniach przy maksymalnym lub procentowym obciążeniu.
•
Liczbę gniazd wyjściowych.
•
Możliwość montażu w szafie typu rack.
•
Możliwość wyprowadzenia gniazd na listwę zasilającą montowaną w szafie — po zwala na łatwiejsze zarządzanie przewodami zasilającymi.
•
Złącza komunikacyjne — są to złącza, które mogą sterować podłączanymi urządze niami — w przypadku przełączenia na tryb pracy na baterii lub osiągnięcia poziomu wyczerpania baterii wysyłany jest sygnał do podłączanego urządzenia, które może rozpocząć pracę w trybie oszczędzania energii lub rozpocząć procedurę wyłączenia. Typy oraz liczba złączy komunikacyjnych występujących w zasilaczach awaryjnych zależą od modelu urządzenia; najczęściej są to złącza R S232 (DB9), USB lub RJ-45.
•
Dołączone oprogramowanie stemjące — w celu zapewnienia poprawnej komuni kacji zasilacza UPS z urządzeniem niezbędne jest zainstalowanie oprogramowania, które reaguje na odbierane sygnały. Wybierając urządzenie, należy zwrócić uwagę, czy dostarczone oprogramowanie jest kompatybilne z systemami operacyjnymi, które m ają pracować na chronionych serwerach. Warto również zapoznać się z jego możliwościami w zakresie powiadamiania administratorów — część z nich pozwala na wyświetlanie informacji na ekranie serwera, część potrafi wysłać wiadomość pocztą elektroniczną lub nawet przy użyciu SMS-a.
9 .2 .6 . R o z m ie s z c z e n ie e le m e n tó w w s z a fa c h d y s try b u c y jn y c h Jeśli do całej sieci został dobrany sprzęt — zarówno aktywny, jak przełączniki, routery czy serwery, jak również pasywny, tj. panele krosowe, listwy zasilające czy prowadnice kabli — należy zaprojektować rozmieszczenie tych elementów wewnątrz szaf dystry bucyjnych. Nie istnieją żadne normy określające układ elementów w szafach. Poniżej przedstawione zostały dobre praktyki pozwalające na zachowanie lepszej ergonomii pracy ze sprzętem instalowanym wewnątrz szaf. Gdy zna się liczbę oraz moc poszczególnych urządzeń, można dobrać odpowiednie pa nele chłodzące do szaf (wentylatory). Najczęściej wentylatory są montowane w górnej ścianie szafy. W przypadku większej ilości generowanego ciepła stosuje się specjalne cokoły, w których montuje się wentylatory. Górne wentylatory odprowadzają gorące powietrze z wnętrza szafy, dolne zasysają chłodne powietrze z pomieszczenia. Zasady montażu elementów sieci wewnątrz szafy określają umiejscowienie elementów od najcięższych (na dole szafy) do najlżejszych (na górze szafy). Na dole najczęściej są montowane zasilacze awaryjne ze względu na ich wagę, powy żej montuje się serwery w obudowach typu rack na specjalnych szynach lub półki, na których mogą być ustawione serwery w obudowach typu tower. Należy pamiętać, że pomiędzy urządzeniami aktywnymi, takimi jak serwery czy prze łączniki, które generują dużo ciepła, należy zostawiać przestrzeń o wysokości co naj mniej 1 U w celu zapewnienia odpowiedniej cyrkulacji powietrza. Producenci szaf
453 0
dystrybucyjnych w swojej ofercie m ają specjalne panele maskujące, które pozwalają zakryć występujące przerwy między urządzeniami oraz zapewniają estetyczny i przej rzysty wygląd całości. Jeżeli istnieje konieczność instalacji konsoli KVM, zaleca się zainstalowanie jej na wy godnej do pracy wysokości. Jeśli zamiast konsoli KVM wewnątrz szafy ma się znaleźć monitor i klawiatura, zaleca się montaż wysuwanej półki (na wysokości zgiętych w łok ciach rąk), na której zostanie umieszczona klawiatura, oraz stałej półki przymocowanej do wewnętrznej konstrukcji, gdzie zostanie usytuowany monitor. Na górze szafy montuje się panele krosowe, poziome organizery kabli oraz aktywne urządzenia sieciowe — przełączniki, routery czy sprzętowe firewalle. Dobrą praktyką jest montaż paneli światłowodowych na samej górze szafy. Pozwala to nie narażać delikatnych światłowodowych kabli krosowych na przypadkowe uszko dzenia. Do tylnej konstrukcji szafy najczęściej montowane są listwy zasilające — pozwalają one na podłączanie zasilania do poszczególnych urządzeń bezpośrednio w szafie dys trybucyjnej. Rysunek 9.12 przedstawia przykładowe ułożenie elementów wewnątrz szafy dystry bucyjnej, zapewniające wygodną pracę i swobodny przepływ generowanego ciepła wewnątrz szafy.
Rysunek 9.12. P rz y k ła d o w e u ło że n ie e le m e n tó w w e w n ą trz sza fy d ystryb u cyjn e j
2 2 1 2 2
U U U U U
Panel krosowy 1 Panel krosowy 2 Organlzer kabli Przełącznik Router
Pólka
1U 1U 1U
Konsola KVM Serwer 3
4 U
Serwer 2
3 U
Serwer 1
3U
M acierz dyskowa
1 1 2 2
Listwa zasilająca Listwa zasilająca UPS 2 UPS 1
U U U U
9 .2 .7. K o s z to ry s o w a n ie p ro je k to w a n y c h sie ci k o m p u te ro w y c h Kosztorys jest dokumentem finansowym określającym koszty przedsięwzięcia. Kosztorys sieci komputerowych może być sporządzony na etapie składania oferty (szacunkowy kosztorys powstały na podstawie przekazanego zapytania ofertowego), na etapie two rzenia projektu (kosztorys wyceniający użyte materiały oraz szacowany koszt nakładu prac) lub po wykonaniu wszystkich założonych prac (kosztorys powykonawczy). Różnice występujące pomiędzy poszczególnymi kosztorysami dotyczą dokładności wyliczeń — kosztorys ofertowy powstaje najczęściej na bazie niezweryfikowanych za łożeń przekazanych przez zamawiającego, a więc często kosztorysant nie jest w stanie precyzyjnie określić całkowitego nakładu pracy oraz dokładnej ilości okablowania, kanałów czy innego sprzętu niezbędnego do zbudowania poprawnie działającej sieci zgodnej z wymaganiami zamawiającego. Kosztorys powstający na podstawie projektu zawiera zdecydowanie dokładniejsze dane — poszczególne elementy są wyceniane na podstawie dokładnego projektu sieci, więc projektant powinien być w stanie przewidzieć wszystkie materiały i prace niezbędne do wykonania prawidłowo działającej sieci. Kosztorys powykonawczy jest sporządzany w celu określenia całości wydatków po niesionych na zbudowanie sieci. Zawiera on najczęściej całość kosztów z dokładnym rozbiciem na użyte materiały, sprzęt oraz zasoby ludzkie. Kosztorys tworzony przy projekcie sieci może składać się jedynie z wykazu wszystkich planowanych elementów sieci (okablowanie strukturalne, urządzenia sieciowe), jak również z wykazu prac niezbędnych do wykonania wraz z cenami. Zakres kosztorysu zależy od wymagań zamawiającego — projekt sieci może być tworzony np. w celu wystosowania zapytania do potencjalnych instalatorów — wówczas koszty prac nie są elementem kosztorysu. Kosztorys składa się z wykazu planowanych elementów, które mają być użyte — nazwy elementu, producenta, modelu urządzenia wraz z jednostką miary, ilością, kosztem jednostkowym oraz kosztem całkowitym. W celu zwiększenia przejrzystości kosztorys może zostać podzielony na części odpo wiadające kolejnym elementom budowanej sieci lub ich lokalizacji czy też funkcji, np. punktom dystrybucyjnym albo budynkom, piętrom lub pomieszczeniom. Jeżeli kosztorys tworzy inwestor, powinien w nim umieścić informację o źródłach cen oraz dacie ich pozyskania. W SK A ZÓ W K A O kreślenie d at przy oferowanych cenach pozwoli zabezpieczyć się przed roszczeniam i zam aw iającego — ceny sprzętu kom puterow ego p odlegają dużym w ahaniom w czasie.
455 3
Fragment przykładowego kosztorysu sieci komputerowej został przedstawiony w tabeli 9.2. T a b e la 9 .2 . F ra g m e n t p rz y k ła d o w e g o ko szto rysu sieci k o m p u te ro w e j
2 Patchcord 2 m 3 Puszka n/t 80 2 mod
Wartość
Cena netto (PLN)
Ilość
szt.
20,00
3,00
60,00
ABC
PC 3202-20
szt.
25,00
5,00
125,00
ABC
PC 34nt2-80
szt.
20,00
o <3 O rsj
ABC
Jednostka miary
PC 3202-05
O o
1 Patchcord 0,5 m
Symbol producenta
Producent
Nazwa
Lp.
Okablowanie strukturalne
4 Ramka do puszki 80
ABC
RC 34nt2-80
szt.
20,00
1,00
20,00
5 Moduł 2xRJ-45
ABC
MC RJ-2x
szt.
10,00
5,00
50,00
6 Okablowanie UTP 305 m ABC
CC UTP305
opak.
2,00
309,00
618,00
7 Patch Panel 24 porty 1 U ABC
PP C5-24
szt.
1,00
134,00
134,00
8 Szafa dystrybucyjna 32 U ABC
SD 32U-GL
szt.
1,00
1450,00
1450,00
9 Organizer pionowy 1 U
ABC
SO 1U
szt.
1,00
44,00
44,00
10 Półka do szafy 19"
ABC
SD P13
szt.
2,00
89,00
178,00
11 Panel chłodzący 19"
ABC
SC C1500-2
szt.
2,00
398,00 Razem
796,00 3495,00
O ferta z 1 4 .0 4 .2 0 1 2 r.
Przy wycenie prac niezbędnych do wykonania sieci można korzystać z norm określo nych na podstawie publikowanych cyklicznie katalogów norm rzeczowych (tzw. KNR) stanowiących zestawienie opisujące m.in. ceny dla określonych prac. Tego typu rozwią zania są stosowane głównie przy dużych projektach i najczęściej przez kosztorysantów budowlanych. Przy projektach niewielkich sieci lokalnych częściej stosuje się przyjęte ceny wykonania większego zakresu prac, np. montażu gniazda abonenckiego, który obejmuje przeciągnięcie kabla do punktu dystrybucji, zaszycie w panelu krosowym oraz gnieździe, przymocowanie gniazda do ściany, opisanie gniazda i portu w panelu krosowym i późniejsze testy. Przy wycenach większych sieci konieczne jest wykorzy stanie katalogów norm rzeczowych. Tworzenie kosztorysów sieci komputerowych jest zadaniem odpowiedzialnym, gdyż zaproponowane w kosztorysie ceny mają bezpośrednie przeliczenie na ponoszone koszty zamawiającego czy też zyski wykonawcy. O ile stworzenie kosztorysu użytych
elementów i materiałów jest stosunkowo proste, o tyle kosztorysowanie prac wymaga więcej doświadczenia, najlepiej zdobytego podczas prac instalacyjnych — pozwala to uniknąć błędnych kalkulacji i założeń dla wykonywanych prac. Dla przykładu montaż gniazd na ścianach kartonowo-gipsowych jest zdecydowanie prostszy i szybszy niż w przypadku ścian z gazobetonu; przewiert w ścianie działowej wymaga mniej nakła dów niż przewiert w zbrojonym stropie itp.
Przy tworzeniu kosztorysu prac należy w ziąć pod uwagę również konieczność używa nia (zakupu/w ypożyczania/am ortyzacji) niezbędnego sprzętu, np. wiertarki d o w ykony w ania przewiertów, testera okablow ania czy spawarki do światłowodów.
9 .2 .8 . D o k u m e n ta c ja p o w y k o n a w c z a sie ci Dokumentacja powykonawcza sieci stanowi pełny opis przyjętych założeń projekto wych, zastosowanych rozwiązań oraz przeprowadzonych testów. Nie istnieją wytyczne dotyczące wyglądu dokumentacji sieciowej, niemniej jednak pewne stałe elementy powinny być w niej zawarte. Przykładowa struktura dokumentacji wraz z opisem po szczególnych zagadnień przedstawiona została poniżej. 1 . Informacje ogólne — rozdział zawierający wstępne informacje dotyczące sieci — kto jest zleceniodawcą projektu, gdzie dana sieć jest projektowana, jakie są podstawo we wymagania stawiane projektowanej sieci oraz jakie założenia w związku z tym zostały przyjęte. 2 . Normy i zalecenia techniczne — w tym rozdziale należy wskazać normy, na podsta wie których sieć została zaprojektowana, zarówno polskie, jak i międzynarodowe. 3 . Ogólna struktura sieci — rozdział powinien zawierać opis logicznej struktury sieci wraz z uzasadnieniem przyjętych rozwiązań. Należy pokazać logiczne projekty sieci, podział na sieci wirtualne, główne elementy systemu. 4 . Okablowanie — rozdział dotyczący okablowania powinien zawierać opis przyjętych rozwiązań dla poszczególnych elementów sieci — okablowania kampusowego, pio nowego oraz poziomego. Dla każdego z nich należy określić wybranego producenta, parametry użytego medium, sposoby jego zakańczania, sposoby montażu i ozna czania. Należy też wskazać przyjęte założenia dotyczące kanałów kablowych oraz sposobów realizacji przebiegów między budynkami (na powierzchni, w dzierżawio nych studzienkach telekomunikacyjnych itp.). W tym rozdziale należy przedstawić schemat dotyczący identyfikacji poszczególnych przebiegów kablowych. 5 . Punkty dystrybucyjne — rozdział powinien zawierać opis poszczególnych punktów dystrybucji — szaf wraz z wyposażeniem, rodzaju sprzętu, użytych zabezpieczeń, wymagań dotyczących chłodzenia itp. Należy również dołączyć informacje dotyczą ce poszczególnych przebiegów kablowych zakończonych w konkretnych punktach dystrybucyjnych.
457 0
6 . Opis instalacji zasilającej
— przy tworzeniu sieci zasilającej ten rozdział powinien zawierać projekt sieci elektrycznej lub w innym przypadku wymagania stawiane dla sieci energetycznej w poszczególnych jej obszarach.
7 . Elementy sieci — ten rozdział dokumentacji zawiera wykaz sprzętu użytego w projek cie wraz z jego parametrami technicznymi. Dotyczy to zarówno urządzeń aktywnych, tj. przełączników, routerów, serwerów (ze wskazaną wersją oprogramowania), jak również elementów pasywnych — szaf dystrybucyjnych, paneli krosowych, gniazd itp. 8 . Wyniki testów — ten rozdział powinien zawierać opis przyjętej metodologii testo
wania sieci, opis narzędzi testujących oraz wyniki testów poszczególnych przebiegów kablowych oraz urządzeń. 9 . Rysunki i schematy — ten rozdział powinien zawierać niezbędne rysunki i schematy wyjaśniające rozmieszczenie i działanie sieci, np. schemat rozmieszczenia gniazd w panelach, schemat połączeń między punktami dystrybucyjnymi, schematy po szczególnych kondygnacji wraz z rozmieszczeniem i numeracją gniazd, oznaczonymi przebiegami okablowania, przebiciami między piętrami. Ze względu na brak ogól nie przyjętych oznaczeń elementów sieci na rysunkach każdy z nich powinien być opatrzony legendą wyjaśniającą użyte na rysunku symbole. Dobrze zrobiona dokumentacja stanowi bardzo istotną część sieci — pozwala admi nistratorom na sprawne i szybkie wyszukanie niezbędnych informacji dotyczących charakterystyki sieci, a także umożliwia nowym pracownikom poznanie szczegółów jej budowy. Podczas użytkowania sieci dokumentacja powinna być aktualizowana — informacje o wszelkich zmianach w sieci, czy to wymianie urządzenia, czy przepięciu kabla kro sowego, należy dołączyć do dokumentacji. W SK A ZÓ W K A W celu łatw iejszego zarządzania zm ianam i w dokum entacji sieci w arto d o elektronicz nego dokum entu w pro w ad zić tabelę inform ującą o wersji dokum entu, dacie i autorze aktualizacji oraz zakresie w prow adzonych zmian.
9 .2 .9 . M o n ta ż e le m e n tó w o k a b lo w a n ia o ra z u rz ą d z e ń s ie c io w y c h Instalacja większości sprzętu sieciowego nie wymaga specjalnych narzędzi — wyjątkiem są przyrządy do zakańczania okablowania (gniazda, panele krosowe, wtyki RJ-45). Aby zamontować urządzenia w szafie dystrybucyjnej, potrzebny jest jedynie śrubokręt oraz ewentualnie opaski zaciskowe do łączenia przewodów.
I n s ta la c ja o k a b lo w a n i a Właściwa instalacja okablowania składa się z tzw. etapu surowego, który obejmuje montowanie kabli w stropach, ścianach i kanałach, oraz etapu przycinania, podczas którego następuje przycinanie, zakańczanie przewodów i układanie ich w organizerach.
E ta p s u ro w y Na etapie surowym montuje się okablowanie. Najczęściej jest ono montowane w plasti kowych korytach lub metalowych rynnach kablowych. Dobór koryt i rynien powinien uwzględniać ilość oraz średnicę okablowania, które ma być prowadzone danym kanałem, a także jego wagę. W sprzedaży jest dostępny szereg systemów kanałów kablowych wielu producentów — w ofercie znajdują się kanały i kształtki (trójniki, narożniki) o różnej szerokości oraz gmbości, które pozwalają na upakowanie różnej ilości kabli. Dodat kowo oferowane są różnego rodzaju gniazda montowane na kanałach lub poza nimi, co pozwala na lepszą aranżację i dostosowanie przebiegów okablowania do wymagań zamawiającego. Montując pionowe przebiegi okablowania między piętrami, należy korzystać z szybów lub rękawów zabezpieczających otwory w stropach. W przypadku montażu nad pod wieszanym sufitem lub pod podniesioną podłogą dopuszcza się możliwość mocowania okablowania do uchwytów kablowych rozmieszczonych w odległości 120 - 150 cm, niedopuszczalne jest natomiast mocowanie kabli do konstmkcji nośnej podwieszanego sufitu lub podniesionej podłogi. Po przygotowaniu kanałów kablowych odpowiedniej wielkości i zamocowaniu ich zgodnie z zaleceniami producenta można rozpocząć właściwe układanie kabli. Należy pamiętać, że każdy pojedynczy przebieg powinien być oznakowany informacją, dokąd okablowanie prowadzi na każdym końcu — ułatwi to identyfikację poszczególnych kabli w szafach dystrybucyjnych.
A by zapew nić łatwiejszą identyfikację i m ontaż okablow ania w panelu krosowym , naj lepiej prow adzić okablow anie z jednego obszaru roboczego, następnie pogrupow ać przew ody w ew nątrz szafy dystrybucyjnej i dopiero po tym etapie rozpocząć pracę nad o kablow aniem kolejnego obszaru roboczego. D o grupow ania okablow ania doskonale nadają się plastikow e opaski zaciskowe, na leży jednak pam iętać, aby nie zaciągać ich zbyt m ocno, gdyż m oże to spow odow ać zgniecenie wewnętrznej struktury kabla, a co za tym idzie, negatywnie w płynąć na pa ram etry transm isji.
Okablowanie prowadzone wewnątrz szafy do panelów krosowych może być montowa ne w specjalnych pionowych organizerach kabli lub mocowane do tylnej części ramy wewnątrz szafy rack.
4 5 9 ,0
Najważniejsze wytyczne dotyczące m ontażu okablow ania zostały przedstawione poniżej:
• Wszystkie przebiegi kablowe powinny kończyć się w szafach dystrybucyjnych lub w gniazdach. •
Należy przestrzegać wymagań producenta w zakresie minimalnego promienia zgięcia okablowania — dla kabla typu skrętka przyjmuje się promień skrętu równy ośmiokrotności średnicy, dla światłowodu — dwudziestokrotność
•
Należy przestrzegać maksymalnej dopuszczalnej długości rozplotu kabla, wynoszącej w przypadku skrętki 13 mm.
•
Należy przestrzegać dopuszczanej przez producenta maksymalnej siły naciągu kabla podczas instalacji.
•
Należy zachować zalecane odległości od źródeł zakłóceń, takich jak źródła ciepła czy urządzenia elektryczne. Dopuszcza się montaż okablowania w odległości 30 cm od wysokonapięciowych źródeł światła (świetlówek), 90 cm od przewodów elek trycznych o mocy 5 kVA (lub większej) oraz 100 cm od transformatorów i silników.
•
Na zewnątrz budynków należy używać specjalnego okablowania przeznaczonego do tego celu.
A by m ożliwa byta tatwa identyfikacja okablow ania w yprow adzonego w kanałach kab lowych oraz w szafach dystrybucyjnych, należy stw orzyć spójn y schem at oznaczania okablowania, kanałów kablowych oraz gniazd. Warto opracow ać jednolity sp osó b oznaczenia, który będzie jednoznacznie w skazyw ał budynek (w sieciach obe jm u ją cych w iele budynków), num er punktu dystrybucji, num er panelu krosow ego w punkcie d ystrybucji oraz num er portu na panelu lub num er pom ieszczenia, gniazda telekom u nikacyjnego i portu, np.: • B1-PD04-PK1_23 — oznacza połączenie zakończone w budynku nr 1, punkt dys trybucji nr 4, panel krosow y nr 1, port nr 23; • B3-P12-G4_2 — oznacza gniazdo zakończone w budynku nr 3, pokój nr 12, gniaz do nr 4, port nr 2.
W projektach fizycznych konieczne jest dokładne oznaczenie przebiegów kablowych, co pozwoli wyliczyć niezbędną ilość okablowania oraz koryt kablowych wraz z do datkowymi akcesoriami. Na całkowitą długość kabla składają się następujące odcinki: • od panelu krosowego do podstawy szafy; • od podstawy szafy do ściany; • odcinki poziome wzdłuż ścian; • odcinki pionowe rozprowadzające okablowanie na ścianach; • grubość stropów oraz ścian, przez które jest prowadzone okablowanie; • około 50 cm nadmiaru okablowania w gnieździe telekomunikacyjnym; • około 50 cm nadmiaru w szafie telekomunikacyjnej.
Przyjmuje się, że na etapie zamawiania okablowania należy powiększyć jego ilość o 1 0 - 3 0 % względem wyliczeń wynikających z obliczeń odcinków nanoszonych na plany budynków.
V
N
UWAGA
P odczas m ontażu wszelkich urządzeń należy sto so w a ć się d o zaleceń producenta oraz bezw zględnie przestrzegać zasad BHR które pozw olą zm niejszyć ryzyko utraty zdrow ia i życia podczas pracy.
E ta p p rzy c in a n ia Na etapie przycinania tworzy się zakończenia okablowania — prowadzone wcześniej przebiegi kablowe są mocowane w gniazdach lub panelach (rysunek 9.13), dodatkowo są układane w organizerach kabli. Rysunek 9.13.
Aby zabezpieczyć przed zniszczeniem aktywny sprzęt sieciowy, podczas zakańczania okablow ania należy bezw zględnie odtączyć drugi koniec okablow ania z urządzenia.
Z a c is k a n ie w ty k ó w ty p u 110 Gniazda telekomunikacyjne oraz panele krosowe są wyposażone we wtyki typu 110, które do poprawnego montażu wymagają specjalnego narzędzia — noża krosowniczego, zwanego także nożem krone lub nożem uderzeniowym (ang. punch down tool), służącego do wciskania i przycinania poszczególnych żył okablowania. Aby rozpocząć zakańczanie przewodów miedzianych, należy ustalić przyjęty standard układu przewodów dla całej sieci (TIA/EIA 568A lub TIA/EIA 568B). Mówią one o kolejności poszczególnych żył (kolorów) w gnieździe. Panele na tylnych złączach mają zaciski oznaczone kolorami właściwymi dla jednego lub obydwu standardów, co pozwala na właściwe zaszycie przewodów.
461 3
Po ustaleniu używanego standardu należy:
1 . Zdjąć około 5 cm izolacji zewnętrznej przewodu. 2 . Rozpleść poszczególne przewody. 3 . Ułożyć poszczególne przewody na właściwych zaciskach przy zachowaniu minimal nej odległości od zakończenia izolacji do zacisku. 4 . Przy użyciu noża krosowniczego wcisnąć przewody do zacisków. 5 . Jeżeli nóż krosowniczy nie ma elementu tnącego nadmiarowe okablowanie, należy je usunąć za pomocą innego narzędzia. Kolejne kroki zaciskania wtyków typu 110 pokazuje rysunek 9.14.
R y s u n e k 9 .1 4 . Z a c is k a n ie w ty k ó w typ u 110
Z a c is k a n ie w ty k ó w R J -4 5 Do utworzenia połączenia pomiędzy elementami sieci (panelami krosowymi, prze łącznikami, gniazdem telekomunikacyjnym) jest potrzebny kabel krosujący lub kabel połączeniowy. W tym typie okablowania najczęściej wykorzystuje się kabel typu skrętka; na obu końcach jest on zakończony gniazdem RJ-45. Standard Ethernet określa, że każdy ze styków złącza RJ-45 ma specyficzne zadanie. Karta sieciowa wysyła sygnały przez styki 1. i 2., a odbiera na stykach 3. i 6. Przewo dy w skrętce muszą być podłączone do odpowiednich styków na obu końcach kabla (rysunek 9.15). Standard TIA/EIA 5 6 8 A definiuje następujący układ kolorów: Biało-zielony, zielony, biało-pomarańczowy, niebieski, biało-niebieski, pomarańczo wy, biało-brązowy, brązowy; z kolei standard TIA/EIA 568B wymienia kolory: bia ło-pomarańczowy, pomarańczowy, biało-zielony, niebieski, biało-niebieski, zielony,
biało-brązowy, brązowy. Kolejność kolorów jest podana dla wtyczki odwróconej za trzaskiem w dół. Para 2
Para 2
R y s u n e k 9 .1 5 . S ta n d a rd y u k ła d u p rz e w o d ó w w e w ty c z c e R J-4 5 (TIA/EIA 5 6 8 A o ra z TIA/EIA 568B)
Przy budowie sieci z wykorzystaniem technologii Ethernet stosuje się dwa rodzaje kabli: •
prosty (ang. straight-through),
•
skrosowany (ang. crossover).
Wersja prosta służy do łączenia urządzenia końcowego (np. komputera, drukarki itp.) z koncentratorem lub przełącznikiem. Obie końcówki kabla mają taki sam układ przewodów. Wersja skrosowana służy do łączenia komputerów bez pośrednictwa koncentratora/ przełącznika lub do łączenia koncentratorów/przełączników. W tym przypadku na końcach kabli zamienione są miejscami przewody 1. i 2. z 3. i 6. W celu utworzenia kabla krosującego lub połączeniowego niezbędne są: •
kabel typu skrętka,
•
wtyczki RJ-45,
•
urządzenie do zaciskania wtyków RJ-45 (ang. crimping tool),
463 3
W celu uzyskania poprawnego kabla należy:
1 . Odciąć wymaganą długość przewodu z zachowaniem kilku centymetrów zapasu. 2 . Zdjąć izolację zewnętrzną kabla na długości 5 cm. 3 . Rozpleść poszczególne splecione pary i wyprostować skręcenia poszczególnych przewodów. 4 . Ułożyć kolejność przewodów zgodnie z wybranym schematem. Dla kabla pro stego — dwa końce powinny być zaciśnięte w tym samym standardzie (TIA/EIA 568A lub TIA/EIA 568B), dla kabla skrosowanego — jeden koniec powinien być zakończony zgodnie ze standardem TIA/EIA 568A, a drugi zgodnie ze standardem TIA/EIA 568B. 5 . Ułożone przewody wyprostować, chwytając jak najbliżej izolacji i przesuwając po nich zaciśnięty kciuk oraz palec wskazujący drugiej dłoni. 6 . Należy skrócić rozplecione przewody do maksymalnie 13 mm — dopuszczalnego rozplotu kabla dla tego rodzaju przewodu oraz zapewnić, że podczas zaciskania element trzymający izolację zaciskany we wtyczce zostanie właściwie umieszczo ny, co pozwoli chronić tworzony kabel przed przypadkowym wyciągnięciem go z wtyczki. 7 . Tak przycięte przewody należy wsunąć do niezaciśniętej wtyczki RJ-45. Nale ży pamiętać, że układ kolorów wybranego schematu mówi o ułożeniu kolorów dla wtyczki odwróconej zatrzaskiem zabezpieczającym w dół. Wewnątrz wtyczki znajdują się rowki, które pozwalają równo prowadzić poszczególne przewody oraz zapobiegają przypadkowej zmianie ich kolejności. Przewody powinny być maksymalnie dociśnięte do przedniej (czołowej) ściany wtyczki. 8. Przed właściwym zaciśnięciem należy sprawdzić poprawność ułożenia kolorów
przewodów wewnątrz wtyczki oraz dosunięcie przewodów do czoła wtyczki. 9 . Należy wsunąć wtyczkę w odpowiednie miejsce w zaciskarce i mocno ścisnąć. 1 0 . Po wyjęciu wystarczy odgiąć dolny zatrzask zabezpieczający. Kolejne etapy zaciskania pokazuje rysunek 9.16. Rysunek 9.16. K olejne e ta p y z a ciska n ia w ty c z k i R J-45
1 2 3 4 5 6 7 8
W SKAZÓ W KA
A by ułatwić sobie pracę, izolacje zewnętrzne m ożna zdejm ow ać przy użyciu specjal nych nacinarek izolacji. W iększość zaciskarek m a noże tnące d o przycinania i w yrów nywania kabli um ieszczo ne w rączkach; pozw alają one na szybkie i spraw ne skrócenie kabli i przewodów. W sprzedaży są oferowane osłony na wtyczki RJ-45, które m ogą, ale nie muszą, być zam ontow ane na okablowaniu. Ich użycie pozw ala ochronić przed złam aniem dolny zatrzask zabezpieczający.
Ł ą c z e n ie ś w ia tło w o d ó w Łączenie światłowodów może odbywać się na dwa sposoby — za pomocą złączek lub specjalnej spawarki. W przypadku połączeń na krótkie odległości są stosowane złącza mechaniczne. Dla długich odcinków, gdzie kluczowa jest minimalizacja strat, najczęściej stosuje się połączenia spawane. Połączenia przy użyciu złączy mechanicznych nie są wykonywane na stałe — podłą czone końcówki mogą być przełączane do innych przewodów inaczej niż w przypadku stałych połączeń spawanych. Rysunek 9.17. Z łą c z a ś w ia tło w o d o w e typ u ST
In s ta la c ja u rz ą d z e ń w s z a fa c h te le k o m u n ik a c y jn y c h Urządzenia wewnątrz szaf telekomunikacyjnych są montowane do ramy montażowej — specjalnej konstrukcji wewnątrz szafy, na której są wykonane kwadratowe otwory. Na jednostkę 1 U składają się 4 otwory rozmieszczone na tej samej wysokości po lewej i prawej części ramy. Urządzenia są mocowane w szafie za pomocą śrub i specjalnych koszyków. Wewnątrz tych ostatnich na stałe montuje się nakrętki, na których są wkręcane śruby (rysunek 9.18). Koszyki wkłada się w otwory wewnątrz ramy montażowej. Poprawnie zamontowane urządzenie przymocowane jest 4 śrubami. Rysunek 9.18. Z e s ta w m o n ta ż o w y d o s z a f typ u ra ck
a
Większość sprzętu pasywnego, takiego jak panele krosowe, półki czy zasilacze awa ryjne, jest wyposażona w specjalne uchwyty dostosowane do montażu na szynach montażowych w szafach typu rack. Obudowy urządzeń aktywnych, takich jak routery, przełączniki czy serwery, nie m ają takich uchwytów — aby je poprawnie zamontować, należy wykorzystać specjalne uchwyty (przełączniki, routery) bądź szyny (serwery) przykręcane do bocznych ścian urządzenia. Po właściwym zamocowaniu urządzeń w szafie, zaszyciu okablowania i opisaniu po szczególnych gniazd w panelach krosowych można przystąpić do łączenia okablowania z urządzeniami. Podłączenie najlepiej rozpocząć od podłączenia klawiatury, myszy oraz monitora lub przełącznika KVM do serwerów. W następnej kolejności można podłączyć zasilanie do zasilaczy awaryjnych lub do listew zasilanych bezpośrednio z sieci elektrycznej. W przypadku serwerów należy również podłączyć okablowanie zapewniające komuni kację pomiędzy zasilaczami awaryjnymi a serwerami, tak by w razie potrzeby można je było wyłączyć. Ze względu na ergonomię pracy okablowanie sieciowe powinno być podłączane na końcu — przewody zasilające oraz przewody łączące klawiaturę, monitor i myszkę są montowane na stałe i najczęściej nie wymagają przełączania, tak jak ma to miejsce w przypadku okablowania sieciowego. Okablowanie sieci strukturalnej może być podłączane do włączonych (działających) urzą dzeń sieciowych; pozwala to na rekonfigurację sieci bez konieczności zakłócania jej pracy.
9 .2 .1 0 . P o m ia ry i c e rty fik a c ja sie ci Testowanie okablowania jest bardzo ważnym etapem budowy sieci komputerowej. Po zwala ono na weryfikację poprawnego działania poszczególnych przebiegów kablowych. Normy mówią o wykonaniu dwóch rodzajów testów — testów statycznych dotyczących fizycznych połączeń przewodów oraz testów dynamicznych weryfikujących parametry transmisji. Testy statyczne pozwalają na zdiagnozowanie następujących uszkodzeń: •
Przerw w obwodzie — polegających na przerwaniu ciągłości przewodu w kablu, spowodowanych najczęściej błędami przy jego zakańczaniu lub uszkodzeniem kabla na etapie instalacji.
•
Zwarć — polegających na zetknięciu przewodów wewnątrz kabla, którym mają być przesyłane dane.
•
Rozdzielenia par — polegającego na pomieszaniu przewodów pomiędzy parami.
•
Błędów mapowania połączeń — polegających na zamianie kolejności poszczególnych przewodów na jednym końcu względem drugiego zakończenia.
Do przeprowadzenia testów statycznych wystarczą proste mierniki, które badają jedynie przepływ prądu pomiędzy zakończeniami. Do przeprowadzenia kompletnych testów
okablowania są potrzebne zaawansowane urządzenia testujące, które pozwalają na testowanie mechaniczne i dynamiczne takich parametrów jak: •
Mapowanie połączeń — określenie przebiegów poszczególnych przewodów w kablu.
• Tłumienie — wskazanie strat sygnału w torze transmisyjnym. Parametr jest okre ślany wdB. •
Straty odbiciowe (ang. return loss) — to miara pokazująca niedopasowanie impedancyjne i niejednorodności całego odcinka kablowego. W przypadku niejednorodności nośnika sygnały mogą zostać odbite i niekorzystnie wpływać na przesyłane dane.
•
Opóźnienie propagacji sygnału (ang. delay) — wskazuje czas, w jakim impuls jest przenoszony z jednego końca kabla na dmgi. Parametr jest określany w ns.
•
Różnica opóźnień (ang. delay skew) — jest to różnica między najmniejszą i najwięk szą wartością opóźnienia w torze transmisyjnym mierzona na każdej z par w kablu.
•
Długość kabla — pozwala określić długość mierzonego kabla oraz poszczególnych par — każda para ma inny skręt, co zmienia długości poszczególnych par na całej długości kabla. Najczęściej parametr ten jest określany w metrach.
•
Impedancja — parametr związany z właściwościami geometrii kabla (grubość drutów, odległość pomiędzy nimi, izolacja) i właściwościami dielektryka stanowiącego izo lację w przewodach. Niedopuszczalne jest stosowanie kabli o różnych impedancjach charakterystycznych w jednym systemie okablowania.
•
Przesłuchy — jest to zjawisko przenikania sygnału pomiędzy sąsiadującymi w kablu parami przewodów. Zbyt duży przesłuch powoduje zakłócenia komunikacji w sieci.
Istnieje możliwość zdiagnozowania następujących rodzajów przesłuchów: •
NEXT (ang. N ea r End Crosstalk — przesłuch zbliżny) — występuje, gdy sygnały z jednej pary zakłócają sygnał innej pary na bliższym końcu kabla.
•
PSNEXT (ang. Power Sum N EX T — przesłuch zbliżny skumulowany w jednej pa rze) — występuje, gdy w kablu są wykorzystywane wszystkie przewody, sygnały w jednej parze interferują z przesłuchami z innych par.
•
ELFEXT (ang. Equal Level Far-End Crosstalk — wyrównany współczynnik przesłu chu zdalnego) — określany podobnie jak NEXT, ale poziom sygnału jest mierzony na odległym końcu toru.
•
PSELFEXT (ang. Power Sum E qual Level Far-End Crosstalk — wyrównany współ czynnik przesłuchu zdalnego skumulowany w jednej parze) — skumulowany współ czynnik ELFEXT.
Istnieje możliwość uzyskania certyfikatu producenta gwarantującego spełnianie okre ślonych wymagań przez budowaną sieć. W tym celu należy przeprowadzić testy sieci z użyciem certyfikowanego testera, który przeprowadza wszystkie wymagane testy wy dajnościowe sieci. Jeśli uzyskane wartości nie przekraczają poziomów dopuszczalnych przez normy, świadczy to o spełnianiu określonych parametrów, co pozwala wydać certyfikat danej normy.
467 0
Ważnym elementem certyfikacji sieci jest jej dokumentacja. Mierniki certyfikowane mają wewnętrzną pamięć, w której są zapisywane wyniki przeprowadzonych testów, a dołączane oprogramowanie pozwala na generowanie raportów, wykresów i innych danych w celu przygotowania wysokiej jakości dokumentacji.
JL3. M o d e rn iz a c ja sie ci k o m p u te ro w e j Modernizacja sieci komputerowej ma za zadanie dostosowanie jej do nowych wymagań. Mogą to być modyfikacje związane z wprowadzeniem nowych usług sieciowych, zmianą lokalizacji, dołączeniem kolejnego obszaru roboczego czy zwiększeniem przepustowości sieci. Projekt modernizacji sieci można wykonać w sposób zbliżony do projektu nowej sieci, przy czym urządzenia, technologia i funkcjonalności muszą być kompatybilne z istniejącą siecią. Po przeprowadzeniu analizy biznesowej należy przeprowadzić diagnozę istniejącej sieci. O ile jest dostępna aktualna dokumentacja sieci, prace te nie stanowią większego utrudnienia. Jeśli dokumentacja nie jest prowadzona, należy przeprowadzić inspekcję (inwentaryzację) sieci lub jej fragmentu, w którym będzie modernizowana. Na tej podsta wie trzeba określić elementy infrastruktury, działające protokoły sieciowe, użyty sprzęt, liczbę wolnych portów w urządzeniach sieciowych, ilość wolnego miejsca w kanałach kablowych, działające serwery i usługi sieciowe oraz zasoby dostępne na serwerach.
9 .3 .1 . R o z b u d o w a s e rw e ró w Możliwość rozbudowy serwerów sieciowych najczęściej ogranicza się do zwiększenia pamięci operacyjnej, pojemności dysków czy dołączenia dodatkowej karty sieciowej. Niektóre płyty główne serwerów sieciowych umożliwiają instalację dodatkowych pro cesorów, co zwiększa możliwości obliczeniowe urządzenia. Aby zwiększyć dostępną pamięć lub dodać nową kartę sieciową czy procesor do serwera typu rack, należy wysunąć serwer z szafy oraz zdjąć górną obudowę w celu odsłonięcia płyty głównej (rysunek 9.19), a następnie znaleźć odpowiedni port dla elementu wy branego do rozbudowania. Po poprawnym zamocowaniu elementu można ponownie złożyć obudowę. Instalacja dodatkowego dysku nie wymaga zdejmowania obudowy. Serwery typu rack najczęściej mają z przodu obudowy specjalne wysuwane szuflady, w których montuje się dyski. A UW AGA Prace związane z rozbudow ą serwerów pow inny być wykonywane przy w yłączonym zasilaniu, chyba że rozbudow a d otyczy elem entów typu hot pług, które m ogą b yć in stalow ane przy włączonym zasilaniu (np. wentylatory, zasilacze zapasow e, dyski).
Rysunek 9.19. W n ę trz e s e rw e ra typ u ra ck
Rozbudowa o dodatkową pamięć czy procesor nie pociąga za sobą konieczności insta lacji dodatkowego oprogramowania w przeciwieństwie do montażu dodatkowej karty sieciowej, w przypadku którego może być niezbędna instalacja sterowników. Montaż dodatkowych dysków może wymagać działań w systemie operacyjnym pra cującym na serwerze, które pozwolą zainicjować dyski i udostępnić je aplikacjom. Po prawne działanie wymienionego dysku pracującego w macierzy RAID może wymagać dodatkowego czasu niezbędnego na odbudowanie danych.
E lem enty serwerów do rozbudow y pow inny być zg od n e z w ym aganiam i producenta urządzenia. Zainstalow anie urządzeń, które nie m ają rekom endacji producenta sprzę tu, m oże spow o d ow a ć utratę gwarancji.
Używanie w infrastrukturze sieci serwerów wirtualnych pozwala na znaczne zmniejsze nie kosztów zarządzania serwerami oraz skrócenie czasu potrzebnego do ich uruchamia nia czy przenoszenia. Serwery te są programowo konfigurowalnymi, niezależnymi od siebie instancjami działającymi w obrębie przypisanych przez administratora wspólnych fizycznych zasobów sprzętowych, takich jak dysk, czas procesora czy pamięć operacyjna. Możliwości serwera wirtualnego może zwiększyć administrator, zmieniając jego kon figurację.
469 3
9 .3 .2 . R o z b u d o w a in fra s tru k tu ry Zmiana infrastruktury sieciowej może pociągać za sobą konieczność prowadzenia do datkowego okablowania. Normy projektowania sieci zakładają uwzględnienie już na etapie tworzenia projektu pewnej nadmiarowości w celu przyszłej rozbudowy. Niestety nie zawsze istnieje możliwość przewidywania przyszłych kierunków rozwoju, co powo duje konieczność zwiększonych nakładów przy późniejszej rozbudowie sieci. Aby rozbudować obszar roboczy o dodatkowe gniazda abonenckie, trzeba doprowadzić okablowanie z określonego miejsca do punktu dystrybucji obsługującego wybrany obszar. Prace te powinny być wykonane zgodnie z wcześniej przyjętymi założeniami (określonym schematem kabli, określonym rodzajem okablowania) w celu zachowania jednolitej budowy sieci. Jeżeli dostępne kanały kablowe nie pozwalają na instalację dodatkowego okablowania, należy rozważyć montaż dodatkowych kanałów, które zapewnią miejsce wystarczające dla aktualnych prac oraz przyszłego rozwoju infrastruktury. W przypadku braku miejsca w panelach krosowych należy w szafach dystrybucyjnych zamontować dodatkowe urządzenia pozwalające na poprawne zaszycie okablowania. Przy braku wolnych portów w przełącznikach grupy roboczej można rozważyć dołoże nie dodatkowego urządzenia w szafie dystrybucyjnej, wymianę urządzenia na większe (zawierające większą liczbę portów) lub jego rozbudowę, o ile jest wykorzystywany przełącznik o budowie modularnej. Jeśli urządzenie jest przystosowane do łączenia w stos, pozwoli to na zwiększenie wydajności transmisji między łączonymi urządzeniami.
9 .3 .3 . Z w ię k s z e n ie p rz e p u s to w o ś c i Zwiększenie przepustowości sieci najczęściej jest wymagane w szkielecie sieci (okablo wanie kampusowe oraz okablowanie pionowe). W zależności od planowanego zakresu zmian można rozważyć zmianę medium transmisyjnego na światłowód. Taka modyfika cja wymaga dodatkowo dostosowania przełączników łączących poszczególne odcinki. Jeśli urządzenia te nie mają portów światłowodowych, można użyć konwerterów po zwalających na podłączenie mediów światłowodowych do portu RJ-45. W przypadku urządzeń o budowie modularnej można rozbudować urządzenie o właściwy moduł. Jeśli nie ma możliwości zainstalowania okablowania światłowodowego, można rozważyć zwiększenie przepustowości za pomocą technologii agregacji łącza — pozwala ona na po łączenie przełączników z wykorzystaniem maksymalnie 8 połączeń przy odpowiednim zwielokrotnieniu prędkości. Połączenie to z punktu widzenia infrastruktury sieciowej stanowi jeden logiczny kanał transmisji. Fizycznie jest on realizowany na wielu portach.
'¡Z S L 4. P ro je kt b e z p ie c z e ń s tw a s y s te m ó w i sie ci k o m p u te ro w y c h System komputerowy jest bezpieczny, jeśli działa zgodnie ze specyfikacją (zgodnie z oczekiwaniami użytkownika) oraz zapewnia: 1 . Poufność — dostępność danych tylko dla osób uprawnionych. 2 . Integralność — pewność, że dane nie zostały naruszone/zmienione przez osoby trzecie. 3 . Wiarygodność — pewność, że dane zostały udostępnione przez właściwe osoby i dla właściwych osób. 4 . Dostępność — osiągalność danych w określonym czasie. Aby to zapewnić, należy przewidzieć potencjalne zagrożenia i ograniczyć ich wpływ na system czy sieć komputerową. Koszty bezpieczeństwa systemu komputerowego zależą od wybranych technik i narzędzi — inne będą stosowane do zabezpieczenia danych w banku, inne w małej firmie, a jeszcze inne na prywatnych komputerach. Aby wybrać właściwe mechanizmy zabezpieczeń, należy określić, co w sieci kompute rowej powinno podlegać ochronie: •
stacje robocze oraz komputery przenośne, na których są przetwarzane dane,
•
urządzenia sieciowe,
•
infrastruktura sieciowa,
•
instalowane oprogramowanie,
•
nośniki danych,
•
kopie zapasowe
Zagrożenia, przed jakimi należy chronić systemy komputerowe, to między innymi: •
włamania do systemów komputerowych,
•
wirusy komputerowe,
•
błędy w oprogramowaniu,
•
kradzież sprzętu komputerowego — dysków, komputerów stacjonarnych i prze nośnych,
•
nieuczciwi pracownicy/współpracownicy,
•
nieobecność osób zarządzających siecią,
•
zdarzenia losowe, np. powódź, pożar.
Wszystkie te aspekty mają istotny wpływ na prawidłowe funkcjonowanie sieci. Tworząc mechanizmy zabezpieczeń sieci, należy wziąć pod uwagę ochronę stacji robo czych, ochronę sieci oraz ochronę usług sieciowych.
471 0
9.4.1. O c h ro n a s ta cji ro b o c z y c h Stacje robocze to urządzenia, na których są przetwarzane dane. Ich ochrona powinna polegać zarówno na ograniczeniu fizycznej dostępności dla osób trzecich, jak i możli wości pracy na urządzeniach osób do tego nieuprawnionych. W zależności od założonego poziomu bezpieczeństwa należy rozważyć wprowadzenie następujących zabezpieczeń: •
Dostępu do urządzeń zabezpieczonego hasłem.
•
Ograniczenia dotyczącego umchamianych/instalowanych aplikacji.
• Wymuszenia działania określonych programów chroniących pracę komputera, np. programów antywirusowych, firewalla itp. •
Ograniczenia możliwości usunięcia/wyłączenia określonych aplikacji (np. progra mów antywirusowych).
•
Blokady uruchomienia komputera z nośników wymiennych.
•
Ograniczenia wykorzystywania nośników wymiennych (nagrywarek CD/DVD, pa mięci flash).
•
Ograniczenia wykorzystywania zasobów dyskowych.
•
Rejestracji i kontroli prób dostępu do komputera.
•
Bezpiecznego kasowania poufnych informacji.
•
Zmiany haseł w określonych odstępach czasu.
• Tworzenia haseł spełniających określone wymagania co do złożoności. Zabezpieczenia te mogą być wdrażane przy użyciu oprogramowania zainstalowanego na komputerach lub w przypadku mniejszych systemów komputerowych w postaci procedur wdrażanych w danej organizacji. Często istotna może być również kontrola dostępu do pomieszczeń, gdzie są zainsta lowane stanowiska pracy — pozwala to na zabezpieczenie się przed kradzieżą sprzętu czy nieuprawnionym dostępem do danych. Wybór konkretnego instalowanego oprogramowania zabezpieczającego zależy od ad ministratora sieci — trudno jednoznacznie wskazać najlepszy program typu osobisty firewall czy też program antywimsowy. Na rynku istnieje wiele programów tego typu różniących się prędkościami działania, skutecznością wykrywania zagrożeń czy też ceną, niemniej jednak różnice te są na tyle mało znaczące, że trudno wskazać jednoznacznie najlepsze rozwiązanie. Najważniejsze różnice mogą dotyczyć funkcjonalności zarządza nia oprogramowaniem przez sieć
9 .4 .2 . O c h ro n a sie ci i u rz ą d z e ń s ie c io w y c h Aby właściwie zabezpieczyć zasoby sieciowe, należy zapewnić zarówno bezpieczeństwo fizyczne urządzeń sieciowych, jak również rozważyć zabezpieczenia logiczne danych — filtrowanie ruchu, kopie bezpieczeństwa danych, oprogramowanie antywirusowe na serwerach, szyfrowanie danych na dyskach czy kontrolę dostępu do danych.
Przy tw orzeniu zabezpieczeń sieci należy wziąć pod uwagę:
•
Fizyczny dostęp do punktów dystrybucji, w których pracują serwery oraz zasoby dyskowe.
•
Zdefiniowanie listy stanowisk lub wydzielenie specjalnej sieci, z której istnieje możliwość zarządzania urządzeniami sieciowymi.
•
Zdefiniowanie ruchu sieciowego i ograniczanie zbędnych protokołów sieciowych.
•
Usunięcie lub wyłączenie zbędnych usług sieciowych.
•
Wykorzystywanie w miarę możliwości szyfrowanych protokołów danych (np. https, sftp, ssh).
•
Stosowanie szyfrowanych zapisów na dyskach.
•
Uruchomienie mechanizmów tworzenia kopii bezpieczeństwa danych, aplikacji i ustawień programów, serwerów i urządzeń sieciowych.
•
Wybór odpowiednich zasobów dyskowych zapewniający wymagany poziom nie zawodności (technologia RAID, macierze dyskowe).
•
Wykorzystanie technologii wirtualizacji serwerów, która pozwala na przenoszenie kopii całych serwerów wirtualnych pomiędzy fizycznymi serwerami.
•
Wybór odpowiedniego sprzętu zapewniającego możliwość wymiany/instalacji ele mentów bez konieczności wyłączania urządzenia (tzw. h o t p łu g ).
• Wybór urządzeń zapewniających zwielokrotnione (redundantne) elementy, takie jak zasilacz, wentylator itp. •
Zapewnienie odpowiednich zabezpieczeń przeciwpożarowych.
•
Zapewnienie odpowiedniej temperatury pracy urządzeń.
Podana powyżej przykładowa lista zabezpieczeń sieci nie jest listą kompletną — istnieje szereg innych technik pozwalających na zminimalizowanie ryzyka wystąpienia awarii systemów komputerowych, niemniej jednak wskazany zbiór definiuje szeroki zakres naj bardziej popularnych rodzajów zabezpieczeń. Projektując bezpieczną sieć komputerową, należy rozważyć sens stosowania poszczególnych typów zabezpieczeń, możliwości ich wprowadzenia oraz niezbędne do poniesienia koszty. Im wyższy poziom zabezpieczeń, tym wyższe stają się koszty ich wdrożenia. Często osiągnięcie wymaganego poziomu bezpieczeństwa stanowi kompromis pomiędzy dostępnymi technologiami a budżetem przeznaczonym na ten cel. WSKAZÓWKA
A by zapewnienie m aksymalne bezpieczeństw o użytkownikom należy udzielać tylko i wy łącznie takich uprawnień, które są im niezbędne do pracy. Zm iana zakresu obow iązków użytkownika pow inna pocią g ać za sobą m odyfikację zakresu uprawnień. Należy stosow ać regułę dom yślnej o dm ow y dostępu — jeśli coś nie jest jaw nie dozw o lone, to znaczy, że jest zabronione.
473 0
9 .4 .3 . O c h ro n a d a n y c h o s o b o w y c h Budując bezpieczną sieć komputerową przetwarzającą dane osobowe, należy zwrócić uwagę na wymagania stawiane tego typu rozwiązaniom przez Generalnego Inspektora Ochrony Danych Osobowych (GIODO). Zgodnie z polskim prawem za dane osobowe uważa się każdą informację dotyczącą osoby fizycznej, pozwalającą na określenie tożsamości tej osoby, a więc imię, nazwisko, numer pesel, zdjęcie, ale również adres e-mail zawierający imię i nazwisko. Gdy przetwarza się dane osobowe, należy zgłosić ten fakt do Generalnego Inspektora Ochrony Danych Osobowych. Rejestracji nie podlegają dane przetwarzane przez osoby prywatne oraz dane zbierane w celach księgowych (wystawianie faktur), kadrowych (dane pracowników), dane uczniów i studentów, kartoteki lekarskie, akta klientów kancela rii prawnych, doradców podatkowych oraz dane powszechnie dostępne, np. dane firm. UW AGA Zgodnie z ustawą przetwarzanie danych niezbędnych do wystawiania faktur jest zw ol nione z rejestracji, lecz użycie tych sam ych danych d o realizacji zam ów ienia (np. w y syłki) takiej rejestracji wym aga.
Wyłączenie zbioru z konieczności rejestracji nie oznacza, że zbiór może nie być zabez pieczony — powinien on spełniać określone wymagania, ale nie musi być zgłaszany do biura GIODO. Rozporządzenie Ministra Spraw Wewnętrznych i Administracji w zakresie ochrony da nych osobowych definiuje trzy poziomy bezpieczeństwa przetwarzania danych osobo wych: podstawowy, podwyższony oraz wysoki. Za bezpieczeństwo danych odpowiada powołany w tym celu Administrator Bezpieczeństwa Informacji, który powinien czuwać nad zakresem dostępu do danych dla poszczególnych pracowników, nadzorować sposób przetwarzania danych osobowych w systemach informatycznych, kontrolować zgodność systemu informatycznego z wymaganiami określonymi w przepisach oraz reagować na incydenty naruszenia bezpieczeństwa danych osobowych. Poziom podstawowy dotyczy sytuacji, gdy system nie przetwarza danych wrażliwych (np. pochodzenia rasowego lub etnicznego, poglądów politycznych, przekonań religij nych, danych o stanie zdrowia itp.) i kiedy system komputerowy nie jest podłączony do sieci publicznej. Na poziomie podstawowym wymagane są następujące środki ochrony: 1 . Fizyczna kontrola dostępu do obszaru przetwarzania danych osobowych — ograni czenie dostępu do pomieszczeń, komputerów, serwerów. 2 . Logiczna kontrola dostępu do danych — stosowanie mechanizmu autoryzacji użyt kowników. 3 . Złożoność haseł użytkowników: co najmniej 6 znaków zmieniane nie rzadziej niż co 30 dni.
C474
4 . Zabezpieczenia systemów komputerowych przed działaniem szkodliwego oprogra mowania — stosowanie oprogramowania typu firewall, antywirus itp. 5 . Zabezpieczenia systemów komputerowych spowodowane awarią zasilania lub zakłóceniami w sieci zasilającej — poprzez stosowanie zasilaczy awaryjnych. 6 . Cykliczne tworzenie kopii zapasowych zarówno danych, jak i przetwarzających je programów. Kopie powinny być przechowywane w miejscach zabezpieczonych przed nieuprawnionym przejęciem, modyfikacją, uszkodzeniem lub zniszczeniem, z dala od miejsca ich przetwarzania. 7 . Nośniki danych przeznaczone do likwidacji lub przekazania osobom nieuprawnio nym powinny zostać wyczyszczone z zapisanych danych osobowych. 8 . Kryptograficzna ochrona danych (zapis szyfrowany) dla danych na urządzeniach mobilnych i dostępnych poza obszarem przetwarzania. Poziom podwyższony jest stosowany, gdy w systemie informatycznym są przetwarzane dane wrażliwe oraz żadne z urządzeń nie jest połączone z siecią publiczną. Wymaga ne są środki ochrony z poziomu podstawowego przy zwiększonej złożoności haseł uwierzytelniających (co najmniej 8 znaków, składające się z małych i dużych liter, cyfr oraz znaków specjalnych), a także zabezpieczenie kryptograficzne dla nośników da nych przekazywanych poza obszar przetwarzania danych. Dodatkowo jest wymagane utworzenie dokumentów: polityki bezpieczeństwa danych osobowych oraz instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Poziom wysoki stosuje się, gdy przynajmniej jedno urządzenie systemu informatycznego jest połączone z siecią publiczną. Na wysoki poziom zabezpieczeń składają się takie środki ochrony, jak dla poziomu podwyższonego, a dodatkowo należy chronić system informatyczny przed zagrożeniami pochodzącymi z sieci publicznej poprzez wdrożenie fizycznych lub logicznych zabezpieczeń przed nieuprawnionym dostępem. Zabezpieczenia logiczne powinny zapewnić kontrolę przepływu informacji pomiędzy sy stemem informatycznym przetwarzającym dane a siecią publiczną oraz kontrolę działań inicjowanych z sieci publicznej i systemu informatycznego (np. poprzez zastosowanie zapory ogniowej). W przypadku gdy dane do uwierzytelniania użytkowników systemu są przesyłane w sieci publicznej, należy zastosować środki ochrony kryptograficznej. Polityka bezpieczeństwa danych osobowych powinna zawierać: 1 . Wykaz budynków, pomieszczeń lub części pomieszczeń, gdzie są przetwarzane dane osobowe. 2 . Wykaz zbiorów danych (baz danych) osobowych wraz ze wskazaniem programów do ich przetwarzania. 3 . Opis struktury zbiorów danych wraz z powiązaniami między nimi. 4 . Sposób przepływu danych pomiędzy poszczególnymi systemami przetwarzającymi dane osobowe. 5 . Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.
475O
Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych powinna opisywać: 1 . Procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności. 2 . Stosowane metody i środki uwierzytelnienia oraz procedury związane z zarządza niem nimi i ich użytkowaniem. 3 . Procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkow ników systemu. 4 . Procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania. 5 . Sposób, miejsce i okres przechowywania nośników zawierających dane osobowe oraz kopie zapasowych zbiorów danych. 6 . Sposób zabezpieczenia systemu informatycznego przed działalnością oprogramo wania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu infor matycznego. 7 . Sposób odnotowywania informacji o odbiorcach, którym zostały udostępnione dane osobowe, dacie i zakresie udostępnienia, chyba że system informatyczny jest używany do przetwarzania danych w zbiorach jawnych.
Z a ło ż e n ia p ro je k tu sie c i k o m p u te ro w e j Przygotuj projekt sieci komputerowej dla swojej szkoły. W ramach sieci powinny działać: 1 . Sieć szkolna z dostępem do wspólnej przestrzeni dyskowej. 2 . Sieć nauczycielska z dostępem do wewnętrznego serwera nauczycielskiego oraz serwera z sieci szkolnej. 3 . Sieć biblioteczna z dostępem do serwera, na którym działa oprogramowanie do zarządzania biblioteką. 4 . Sieć zarządzania szkołą z dostępem do serwera z oprogramowaniem do za rządzania szkołą. 5 . Ogólnodostępna sieć bezprzewodowa pozwalająca na przeglądanie stron WWW. Założenia, które powinna spełniać sieć: •
W każdej sali, gdzie odbywają się zajęcia, powinno zostać zamontowanych 8 gniazd sieciowych z dostępem do sieci szkolnej oraz 2 gniazda z dostępem do sieci nauczycielskiej.
Ć W IC Z E N IA c d .
•
W bibliotece powinno znaleźć się 20 gniazd z dostępem do sieci bibliotecznej.
•
W pokoju nauczycielskim powinno znaleźć się 20 gniazd z dostępem do sieci nauczycielskiej.
•
Sieć bezprzewodowa powinna być dostępna na korytarzach oraz na sali gimnastycznej.
•
Dostęp do części usług (strony WWW) na serwerze nauczycielskim powinien być możliwy z internetu.
Jeśli nie ma dokładnych planów budynku, powinien je stworzyć autor projektu. Założenia i ograniczenia związane z tworzeniem sieci należy uwzględnić w pro jekcie. Podczas tworzenia projektu trzeba rozważyć potencjalne lokalizacje punktów dystrybucji, uzasadnić wybór konkretnych m iejsc W projekcie należy wybrać sposób prowadzenia okablowania zarówno na kolej nych kondygnacjach, jak i pomiędzy nimi. Należy zastanowić się nad sposobem i miejscem prowadzenia okablowania między piętrami. Dobór kanałów kablowych powinien uwzględniać liczbę prowadzonych w nich kabli. Sprzęt sieciowy w projektowanej sieci powinien zapewniać odpowiednią dostęp ność usług. Należy uwzględnić możliwości przyszłego rozwoju. Kosztorys sieci powinien obejmować zarówno ceny użytego sprzętu, jak i kosz ty niezbędnych prac W celu uproszczenia kosztorysu należy przyjąć stawki za większy obszar prac
PYTANIA
1 . Jakie klasy miedzianego okablowania są stosowane przy budowie sieci strukturalnych? 2 . Wymień znane Ci elementy okablowania strukturalnego. 3 . Czym różni się budynkowy punkt dystrybucji od piętrowego punktu dys trybucji? 4 . Jaka jest różnica pomiędzy okablowaniem pionowym a okablowaniem poziomym? 5 . Jaki rodzaj okablowania jest zalecany do okablowania poziomego, piono wego oraz kampusowego?
4Z O
P Y T A N IA c d .
6 . Jakie maksymalne długości kabli światłowodowych jedno- i wielomodowych dopuszczają normy? 7 . Wymień kolejne etapy tworzenia projektu sieci. 8 . Jakie informacje powinny być zebrane na etapie analizy potrzeb zamawia jącego podczas tworzenia projektu sieci? Dlaczego ten etap jest kluczowy przy budowaniu dobrego projektu? 9 . W jakim celu tworzy się logiczny projekt sieci? Czym różni się on od pro jektu fizycznego? 10 . Jakie warunki należy wziąć pod uwagę przy projektowaniu adresacji IP dla sieci? 11. Wymień, jakie urządzenia powinny być uwzględnione przy planowaniu adresacji IP dla sieci. 12 . W jakim celu dzieli się sieci na podsieci? 1 3 . D o czego służy wydzielona sieć administracyjna? Dlaczego warto zaprojek
tować taką sieć? 1 4 . Jakie ograniczenia są uwzględniane przy wyborze lokalizacji punktów dys trybucji? 1 5 . Jakie parametry mechaniczne dotyczące okablowania powinny być brane pod uwagę podczas wyboru konkretnego produktu? 16 . W jakich jednostkach są podawane wysokości szaf dystrybucyjnych? 1 7 . Do czego służy panel krosowy? 1 8 . Dlaczego warto stosować organizery kabli? 1 9 . Czym różni się przełącznik szkieletowy od przełącznika grupy roboczej? 2 0 . W jaki sposób można połączyć przełączniki między sobą w celu zwiększenia liczby dostępnych portów w określonej lokalizacji? 2 1 . Czym różni się router sprzętowy od routera programowego? 2 2 . Jakie czynniki należy uwzględnić przy wyborze routera? 2 3 . Jakie parametry mają wpływ na wybór serwera do projektowanej sieci? 2 4 . Czym różni się obudowa serwerowa typu rack od obudowy blade? 2 5 . Czym jest serwer wirtualny? 2 6 . Wymień zalety stosowania serwerów wirtualnych. 2 7 . Wymień oprogramowanie stosowane do wirtualizacji zasobów serwerowych. 2 8 . Do czego służy przełącznik KVM? 2 9 . Z czego jest zbudowana konsola KVM? 3 0 . Do czego służą urządzenia UPS?
478
P Y T A N IA c d .
3 1 . W jakich jednostkach jest podawana moc zasilaczy awaryjnych? 3 2 . Jakie parametry decydują o doborze zasilacza awaryjnego? 3 3 . Podaj optymalny sposób ułożenia elementów w szafie dystrybucyjnej. Z cze go on wynika? 3 4 . W jaki sposób wycenia się w kosztorysie sieci komputerowych prace zwią zane z budową sieci? 3 5 . Jakie elementy powinna zawierać dokumentacja sieci komputerowej? 3 6 . Do czego służy nóż krosowniczy (ang. punch down tool)? 3 7 . W jakich elementach stosowane są złącza typu 110? 3 8 . Czym różni się kabel prosty od kabla skrosowanego? 3 9 . Wymień kolejność kolorów w dwóch standardach układania przewodów we wtyczkach RJ-45. 4 0 . W jaki sposób są łączone światłowody? 4 1 . Jakie parametry mechaniczne i dynamiczne mogą być testowane przy użyciu certyfikowanych testerów okablowania? 4 2 . Na czym polega zjawisko przesłuchu występujące w sieciach komputero wych? 4 3 . Jakie cechy ma bezpieczny system komputerowy? 4 4 . Kiedy stosuje się podstawowy poziom zabezpieczeń, kiedy poziom podwyż szony, a kiedy poziom wysoki w systemach przetwarzających dane osobowe? 4 5 . Czym różnią się poziomy podstawowy, podwyższony i wysoki stosowane przy ochronie zbiorów danych osobowych? 4 6 . Jakie elementy powinna zawierać polityka bezpieczeństwa? 4 7 . Co powinna opisywać instrukcja zarządzania systemem informatycznym?
479 3
W ykaz skrótów AAL (ang. ATM Adaptation Layer) ACL (ang. Access Control List) APIPA (ang. Automatic Private IP Addressing) ARP (ang. Address Resolution Protocol) ASIC (ang. Application Specific Integrated Circuits) ATM (ang. Asynchronous Transfer Mode) AWG (ang. American Wire Gauge) BGP (ang. Border Gateway Protocol) BIND (ang. Berkeley Internet Name Domain) BOOTP (ang. BOOTstrap Protocol) BPDU (ang. Bridge Protocol Data Unit) BSS (ang. Basic Service Set) CA (ang. certification authority) CIR (ang. Committed Information Rate) CSMA/CD (ang. Carrier Sense Multiple Access/Collision Detection) CUPS (ang. Common UNIX Printing System) DFS (ang. Distributed File System) DHCP (ang. Dynamic Host Configuration Protocol) DN (ang. Distinguished Name) DNS (ang. Domain Name System) EFS (ang. Encrypting File System) EIA (ang. Electronic Industries Association) EIGRP (ang. Enhanced Interior Gateway Routing Protocol) ELFEXT (ang. Equal Level FarEnd Crosstalk) ESS (ang. Extended Service Set) F/UTP (ang. Foiled/Unshielded Twisted Pair) FDDI (ang. F iber Distributed Data Interface) FIFO (ang. first infirst out) FQDN (ang. Fully Qualified Domain Name)
FSMO (ang. Flexible Single Operations Masters) FSRM (ang. File Server Resource Manager) FTP (ang. File Transfer Protocol) GID (ang. Group Id) GPO (ang. Group Policy Objects) HTTP (ang. Hypertext Transfer Protocol) HTTPS (ang. Hypertext Transfer Protocol Secure) IAPP (ang. Inter-Access Point Protocol) ICMP (ang. Internet Control Message Protocol) IDF (ang. Intermediate Distribution Facility) IGRP (ang. Interior Gateway Routing Protocol) IIS (ang. Internet Information Services) IOS (ang. Internetwork Operating System) IP (ang. Internet Protocol) IPNG (ang. Internet Protocol Next Generation) IPv4 (ang. Internet Protocol version 4) IPv6 (ang. Internet Protocol version 6) IPX (ang. Internet Packet Exchange) KVM (ang. Keyboard, 1'ideo, Mouse) L2TP (ang. Layer Two Tunneling Protocol) LAN (ang. L ocal Area Network) LD (ang. laser diode) LDAP (ang. Lightweight Directory Access Protocol) LED (ang. light-emitting diode) LSZH (ang. Low Smoke Zero Halogen) MAC (ang. Media Access Control) MAN (ang. Metropolitan Area Network) MDA (ang. M ail Delivery Agent) MDF (ang. Main Distribution Facility) MIB (ang. Management Information Base) MSTP (ang. Multiple Spanning Tree Protocol) MTA (ang. Mail Transfer Agent)
MUA (ang. M ail User Agent) NAT (ang. Network Address Translation) NEXT (ang. N ear End Crosstalk) NFS (ang. Network File System) NIC (ang. Network Interface Card) NIS (ang. Network Information Service) NNI (ang. Network-to-NetworkInterface) NTP (ang. Network Time Protocol) OSPF (ang. Open Shortest Path First) PDC (ang. Primary domain controller) PID (ang. Process IDentifier) POP3 (ang. Post Office Protocol) PPTP (ang. Point to Point Tunneling Protocol) PSELFEXT (ang. Power Sum Equal Level FarEnd Crosstalk) PSK (ang. Pre-Shared Key) PSNEXT (ang. Power Sum NEXT) PSTN (ang. Public Switched Telephone Network) PVC (ang. Permanent I 'irtual Circuits) QM (ang. Queue Manager) QoS (ang. Quality o f Service) RADIUS (ang. Remote Authentication DialIn User Service) RAID (ang. Redundant Array o f Independent Disks) RAP (ang. Roving Analysis Port) RARP (ang. Reverse Address Resolution Protocol) RIP (ang. Routing Information Protocol) RO (ang. read only) RRAS (ang. Routing and Remote Access) RSTP (ang. R apid Spanning Tree Protocol) RTP (ang. Real-time Transport Protocol) RW (ang. read write) S/FTP (ang. Shielded/Foiled Twisted Pair) SF/UTP (ang. Shielded Foil/Unshielded Twisted Pair) SFD (ang. Start Frame Delimiter) SID (ang. Security ID) SIP (ang. Session Initiation Protocol) SLP (ang. Service Locator Protocol)
SMB (ang. Server Message Block) SMTP (ang. Simple M ail Transfer Protocol) SNMP (ang. Simple Network Management Protocol) SOHO (ang. Small Office Home Office) SPAN (ang. Switched'PortAnalyzer) SPX (ang. Sequenced Packet Exchange) SSH (ang. Secure Shell) SSID (ang. Service Set IDentifier) SSO (ang. Single Sign On) STP (ang. Spanning Tree Protocol) SVC (ang. Switched I 'irtual Circuits) TCP/IP (ang. Transmission Control Protocol/Internet Protocol) ToS (ang. Type o f Service) TTL (ang. Time To Live) U/UTP (ang. Unshielded/Unshielded Twisted Pair) UCE (ang. Unsolicited Commercial Email) UDP (ang. User Datagram Protocol) UID (ang. Userid) UNC (ang. Universal Naming Convention) UNI (ang. User Network Interface) UPS (ang. Uninterruptible Power Supply) VLAN (ang. I 'irtual L ocal Area Network) VNC (ang. J 'irtual Network Computing) VoIP (ang. Voice over Internet Protocol) VPN (ang. I 'irtual Private Network) WAN (ang. Wide Area Network) WDS (ang. Windows Deployment Services) WEP (ang. Wired Equivalent Privacy) WLAN (ang. Wireless Local Area Network) WMI (ang. Windows Management Instrumentation) WPA (ang. WiFi Protected Access)
481 3
Słowniczek Ang.
Pol.
access point
punkt dostępowy
access point controllers
kontrolery punktów dostępu
active directory
usługa katalogowa
application layer
warstwa aplikacji
asynchronous transfer m ode
asynchroniczny tryb przesyłania
availability
dostępność sieci
background
tło
backslash
ukośnik wsteczny
bandw ith control
zarządzanie pasmem
basic service set
podstawowy zestaw usługowy
batch files
pliki wsadowe
broadcast
adres rozgłoszeniowy
building backbon e cable
budynkowy kabel szkieletowy
building distributor
budynkowy punkt dystrybucyjny
bus
szyna danych (topologia magistrali)
cam pus
kampus
cam pus backbon e cable
kampusowy kabel szkieletowy
cam pus distributor
kampusowy punkt dystrybucyjny
channel
kanał (np. działania sieci)
child process
proces potomny
codec
kodek
consolidation point
punkt pośredni
consolidation point cable
kabel punktu pośredniego
crossover cable
kabel skrosowany
daem on
demon
data link layer
warstwa łącza danych
debug logging
rejestracja uruchomieniowa
default gateway
brama domyślna
delay
opóźnienie
delay skew
różnica opóźnień
dem ilitarized zone
strefa zdemilitaryzowana
Ang.
destination IP Address
docelowy adres IP
destination port
port docelowy
destination subnet m ask
docelowa maska podsieci
dialer interface
interfejs logiczny
dialer pool
pula interfejsów wdzwanianych
distance vector protocols
protokoły wektora odległości
distribution
dystrybucja
dom ain local
lokalne domenowe
dom ain nam ing m aster
wzorzec nazw domen
don e
zakończony
event log
dziennik zdarzeń
exclusions
wykluczenia
extended file system
rozszerzony system plików
extended list
lista rozszerzona
extended service set
rozszerzony zestaw usług
extended star topology
topologia gwiazdy rozszerzonej
false
fałsz
file server
serwer plików
file services
usługi serwera plików
firewall
zapora ogniowa
floor distributor
piętrowy punkt dystrybucyjny
foreground
pierwszy plan
forwarders
serwery przekazujące
forw ard lookup zone
strefa wyszukiwania do przodu
g lobal
globalne
g lobal catalog
wykaz globalny
help desk
zespół pomocy technicznej
hub
koncentrator
inbound filter
filtr mchu przychodzącego
infrastructure m aster
wzorzec infrastruktury
interm ediate distribution facility
pośredni punkt dystrybucyjny
internet service provider
dostawca usług internetowych
kernel
jądro systemu operacyjnego
laser diode
dioda laserowa
483 3
Ang.
Pol.
layer
warstwa
light-emitting diode
dioda elektroluminescencyjna
link agregation
agregacja łączy
link state protocols
protokoły stanu łącza
loopback
pętla zwrotna
m anual
podręcznik systemowy
m esh topology
topologia siatki
m ixed m esh topology
topologia siatki mieszanej
m odulator-dem odulator
modem
m onitoring
monitorowanie
m ount
montowanie
nam ed list
lista nazywana
nam ed pipe
nazwany potok
n am espace
obszar nazw
network address
adres sieci
network layer
warstwa sieciowa
optical receiver
odbiornik optyczny
optical transmitter
nadajnik optyczny
outbound filter
filtr ruchu wychodzącego
parent process
proces rodzicielski
patch cord
kabel krosowy
patch panel
panel krosowy
perform ance m onitor
monitor wydajności
physical interface
interfejs fizyczny
physical LAN port
fizyczny port urządzenia
physical layer
warstwa fizyczna
port forwarding
przekierowanie portów
presentation layer
warstwa prezentacji
print server
serwer wydruku
privileged exec m ode
tryb uprzywilejowany
protocol
protokół
records
rekordy
redirect server
serwer przekierowań
reduced down time
zredukowany czas przestoju
d 484
Ang.
return loss
straty odbiciowe
ring topology
topologia pierścienia
routed protocol
protokół rutowalny
routing table
tablica routingu
running
działający
scalability
skalowalność
schem a m aster
wzorzec schematu
security
zabezpieczenia
session layer
warstwa sesji
shell
powłoka systemu operacyjnego
shielded
ekranowany
snapshot
migawka
sniffer
sniffer („program węszący”)
socket
gniazdo
softphon e
program służący do wykonywania połączeń telefonicznych przez internet (np. Skype)
Source IP Address
źródłowy adres IP
source port
port źródłowy
source subnet m ask
źródłowa maska podsieci
SSID broadcast
rozgłaszanie identyfikatora sieci
stacking
połączenie w stos
standard list
lista standardowa
star topology
topologia gwiazdy
stopped
zatrzymany
straightthrough cable
kabel prosty
subnet m ask
maska podsieci
suspend
zamrozić
switch
przełącznik
task m anager
menedżer zadań
telecom m unications outlet
gniazdo telekomunikacyjne
terminal services
usługi terminalowe
time to live
czas życia
token
żeton
485 3
Ang.
Pol.
topdown
rozumowanie dedukcyjne (dosł. „od ogółu do szczegółu”)
touchpad
panel dotykowy
tower
wieża (typ obudowy)
transceiver
urządzenie nadawczo-odbiorcze
transport layer
warstwa transportowa
true
prawda
type o f service
typ usługi
universal
uniwersalne
unshielded
nieekranowany
user exec m ode
tryb użytkownika
validate
weryfikacja
VoIP gateway
bramka VoIP
work area
obszar roboczy
work area cord
kabel połączeniowy
workgroup
grupa robocza
zone
strefa
Bibliografia [1] Ball Bill, Poznaj Linux, Mikom, Warszawa 1999 [2] Bensel Paweł, Systemy i sieci komputerowe. Podręcznik do nauki zaw odu technik inform atyk, Helion, Gliwice 2010 [3] Derfler Frank, Freed Les, O kablow anie sieciow e w praktyce. Księga eksperta, Helion, Gliwice 2000 [4] Empson Scott, A kadem ia sieci Cisco. CCNA. Pełny przegląd poleceń, Wydawnictwo Naukowe PWN, Warszawa 2008. [5] Foster-Johnson Eric, Welch John C , Anderson Micah, Skrypty powłoki. Od podstaw, Helion, Gliwice 2006 [6] Józefiok Adam, Budowa sieci komputerowych na przełącznikach i routerach Cisco, Helion, Gliwice 2009. [7] Komar Brian, Administracja sieci TCP/IP dla każdego, Helion, Gliwice 2000 [8] Kry siak Karol, Sieci komputerowe. Kom pendium , wydanie II, Helion, Gliwice 2005. [6] Morimoto Rand, Noel Michael, Droubi Omar, Mistry Ross, Amaris Chris, Windows Server 2 0 0 8 P L Księga eksperta, Helion, Gliwice 2009. [9] Oppenheimer Priscilla, Cisco. Projektowanie sieci m etodą Top-Down, Wydawnictwo Naukowe PWN, Warszawa 2007. [10] Parker Tim, Linux. Księga eksperta, Helion, Gliwice 1999. [11] Pawlak Rafał, O kablowanie strukturalne sieci. Teoria i praktyka. Wydanie III, Helion, Gliwice 2011 [12] Serafin Marek, Sieci VPN. Zdalna praca i bezpieczeństw o danych. Wydanie II roz szerzone, Helion, Gliwice 2009 [13] Sosinsky Barrie, Sieci komputerowe. Biblia, Helion, Gliwice 2011.
Ź ró d ła in te rn e to w e [1] http://www.microsoftvirtualacademy.com [2] http://www.slow7.pl/
[3] https://www.suse.com/pl-pl/documentation/slesl 1/ [4] http://technet.m icrosoft.com
[5] http://www.w ikipedia.org [6] http://www.wss.pl
4
8
0
W p o d rę c z n ik u w y k o rz y s ta n o fo to g ra fie p o c h o d z ą c e z n a s tę p u ją c y c h s tro n in te rn e to w y c h : http://com m ons.w ikim edia.org — rysunki 2.2, 3.7, 5.9, 5.10, 9.12, 9.17 http://www. shutterstock.com — rysunki 3.2, 3.5, 5.1, 5.2, 5.3, 5.4, 5.6, 5.8, 5.11, 9.7, 9.8, 9.9, 9.10, 9.13, 9.16
W yd aw nictw o H elio n d o ło ży ło w szelkich starań , by d o trzeć d o w łaścicieli praw au to rsk ich w szystkich tek stó w literackich lub ich fragm en tó w , fo tog rafii, ilu stracji i zrzutów e k ran o w ych zam ieszczonych w p o d ręczniku . W yd aw nictw o H elio n in form u je, iż w yżej w y m ie n io n e elem en ty zo stały w y k orzystan e w y łącznie w ce la c h eduk acy jny ch , n a po d staw ie art. 2 9 ustaw y o praw ie au to rsk im i praw ach pokrew nych z d n ia 4 lutego 1 9 9 4 r. (tek st je d n o lity z d n ia 1 7 m a ja 2 0 0 6 r. D z. U. n r 9 0 , poz. 6 3 1 . z p ó źn iejszym i zm ian am i).
Skorowidz /, 2 5 6 /bin, 2 5 6
adres d o celo w y p ak ietu , 3 6
BIN D (ang. Berkeley In tern e t N am e D o m a in ), 2 9 7
/boot, 2 5 6 /dev, 2 5 6
IP nadaw cy, 3 6 IP, 4 5
B itL o ck er To G o , 6 8 , 2 1 1 B itL ocker, 6 8 , 2 1 1
/etc, 2 5 6 /hom e, 2 5 6 /lib, 2 5 6 /mnt, 2 5 6 /proc, 2 5 6 /root, 2 5 6 /sbin, 2 5 6 /sys, 2 5 6 /tmp, 2 5 6
o d bio rcy p ak ietu , 3 6 pryw atny, 5 0 publiczny, 5 0 rozgłoszeniow y, 4 5
b lu e to o th , 2 4 B O O T P (ang. B O O T strap P ro to co l), 51
p o stać b in a rn a , 45 p o stać d ziesiętn a, 4 5 p o stać b in a rn a , 45 p o stać d ziesiętn a, 4 5 sieci, 4 5 tra n s la cja , 5 0
/usr, 2 5 6 /var, 2 5 6 lOOOBase, 2 4
źródłow y p ak ietu , 3 6 a d resacja IP, 4 2
lO OOBase-LX, 2 4 1000B A SE -T , 3 2 1 0 0 B a se -F X , 2 3 1 0 B a se 2 , 2 0
ad resacja lo giczn a, 2 8 adresy zarezerw ow ane, 5 2 A D SL, 6 4
1 0 B a se 5 , 2 0 lO G B ase-L R , 2 4 8 0 2 .1 1 .2 4 8 0 2 .1 1 a , 2 4 8 0 2 .1 la c , 2 4 8 0 2 .1 1 b , 2 4 8 0 2 .1 lg , 2 4 8 0 2 .1 I n , 2 4 8 0 2 .1 5 .1 .2 4
A
agregacja łączy, 3 7 4 p o rtó w , 4 4 6 a n te n a , 25
bram k a VoIP, 4 0 5 broad cast, 5 1 , 4 1 5 BSS (ang. B asic Service S e t), 25 bu dyn kow y k abel szkieletow y, 430 bu dyn kow y p u n kt dystrybucyjny, 4 3 0
c CA (ang. certificatio n au th o rity ), 321
A pache, 3 3 5 in s ta la c ja , 3 3 5 APIPA (ang. A utom atic Private IP A ddressing), 5 1 , 71 A ppleTalk, 3 8
C en tru m ce rty fik a cji, 3 2 1 C IR (ang. C o m m itte d In fo rm atio n R ate), 3 3
A ppLocker, 2 0 9 archiw a tar, 2 7 1 arch iw izacja, 2 6 5 A SC IIZ , 3 8
CSM A/CD, 16 C U PS (ang. C o m m o n U N IX P rin tin g Sy stem ), 2 4 5 , 3 1 7 ,
AAL (ang. A TM A daptation Layer), 3 4 access p o in t, 2 5 , 4 0 0
A SIC (ang. A p p licatio n Sp ecific Integrated C ircu its), 3 7 3 ATM (ang. A sy nch ro nou s
ACL (ang. A ccess C o n tro l L ist), 331 Active D irectory, 1 0 1 , 1 0 4 , 131
T ran sfer M o d e ), 1 0 , 33 a u to ry zacja usług, 3 1 8 AWG (ang. A m erican W ire
Active D irectory C ertificate Services, 1 0 4 , 10 8 Active D irectory D o m ain
G au ge), 4 4 3 AWK, 2 5 9
Services, 1 0 4 Active D irecto ry Federation
B
Services, 1 0 4 , 1 0 7 Active D irecto ry Lig htw eig ht D irectory Services, 1 0 4 , 1 0 8 Active D irecto ry R ights
backg ro u n d , 2 8 3 b a jt po b a jc ie , 2 5 7 b ash , 2 5 9 bezp ieczeństw o , 19 8
M an ag em en t Services, 1 0 4 , 107
B o u rn e S tep h en , 2 5 9 BPD U (ang. Bridge P ro to co l D ata U n it), 3 7 7 b ram a d o m y śln a, 3 9 , 1 4 4
B G P (ang. Border Gatew ay P ro to co l), 41
C isco, 3 8 0 C itrix , 4 5 0
326 C zas życia (T T L ), 3 5 , 13 3
D d ae m o n , 2 8 3 data m o d y fik acji, 2 6 3 deb, 2 7 1 D e b ia n , 2 7 1 dem ony, 2 8 3 D FS (ang. D istribu ted File Sy stem ), 16 4 D H C P (ang. D y n am ie H o st C o n fig u ratio n P ro to co l), 3 7 , 51, 101, 141, 300, 317 diody e lek trolu m in escen cy jn e, 2 1 ,2 4 laserow e, 2 1 , 2 4
489 3
D -L in k , 3 7 5 długość k ab la, 4 6 7 długość n ag łó w k a, 35 D N (ang. D istingu ished N am e), 10 7 DN S (ang. D o m ain Nam e Sy stem ), 3 7 , 1 0 1 , 1 3 1 , 2 9 7 , 317 d o staw ca usług in tern eto w y ch , 386 d o stęp n o ść sieci, 4 2 7 d o w iązanie sy m b oliczn e, 2 5 7 d rukarka, 1 2 0 lo k a ln a , 3 2 3 sieciow a, 3 2 3 D SL, 1 0 , 6 4
Fedora C ore, 2 7 0 F IF O (ang. first in first o u t), 2 5 8 firew all, 6 5 , 3 1 4 , 3 9 3 , 4 4 3 sprzętowy, 65
F Q D N (ang. Fully Q ualified D o m a in N am e), 1 3 2 , 3 4 4 Fram e Relay, 1 0 , 33 FreeBSD, 2 2 8 , 4 5 0 F SM O (ang. F lexib le Single
R ou tin g P ro to co l), 41 IIS (ang. In tern e t In fo rm atio n Services), 1 0 2 , 18 3
O p eration s M asters), 1 0 6 F SR M (ang. F ile Server R esource M an ager), 1 6 4 FTP (ang. File T ran sfer P ro to co l),
im p e d a n cja , 4 6 7 in terfejs fizyczny, 3 9 4 logiczny, 3 9 4
flagi, 35 foreground, 2 8 3 forw arders, 1 3 2
pryw atny, 1 0 2 pula in terfejsó w
2 8 , 3 7 , 4 2 , 1 9 0 ,3 1 7 , 3 3 9 ,4 1 9
dyski logiczne, 2 5 6 d zielony k lucz, 4 0 1 d zien n iki zdarzeń , 2 2 6
IEEE 8 0 2 .1 1 ,3 2 IEEE 8 0 2 .3 , 3 2 IEEE 8 0 2 .3 a b , 3 2 IEEE 8 0 2 .3 a e , 3 2 IEEE 8 0 2 .3 b g , 3 2 IEEE 8 0 2 .3 b j, 3 2 IEEE 8 0 2 .3 u , 3 2 IEEE 8 0 2 .3 z , 3 2 IG R P (ang. In terio r G atew ay
w dzw anianych , 3 9 4 sieciow y, 69 zew nętrzny, 1 0 2
G G ID (ang. G rou p Id), 2 8 1
E
G ig ab it E th e rn et, 3 2 , 6 0
e dytor rejestru, 2 0 9 EFS (ang. E n cry p tin g File
g niazdo, 4 2 , 2 5 8 telek o m u n ik acy jn e , 4 3 0
in terp reter p o le ce ń , 2 5 9 IO S (ang. In tern etw o rk O p erating Sy stem ), 3 6 9
Sy stem ), 2 0 2 EIA (ang. E le ctro n ic Industries A sso ciatio n ), 4 4 4 E IG R P (ang. E n h an ce d In terio r
G N O M E , 2 4 5 ,2 5 1 G P O (ang. G rou p Policy O b je c ts ), 12 4 g raficzne środ ow isko pracy, 2 1 6
IPN G (ang. In tern e t P roto co l N ext G e n e ratio n ), 51 IPv 4 (ang. In tern e t P ro to co l version 4 ), 51
grep, 2 8 6 g rupa ro b o cza, 9 , 73
IPv 6 (ang. In tern e t P roto co l version 6 ), 51
grupy
IP X (ang. In tern e t Packet
G atew ay R o u tin g P ro to co l), 41 E L F E X T (ang. E qu al Level Far End C ro sstalk ), 4 6 7 E m u lator k o n tro lera P D C (ang. Prim ary D o m a in C o n tro ller
dy stry bu cyjne, 1 1 6 g lo b aln e, 1 1 7
Em u lato r), 1 0 6 e n k ap su lacja, 2 9 ESS (ang. Extended Service Set), 25
lo k aln e d o m en o w e, 11 7 u n iw ersalne, 1 1 7 u ży tko w n ik ó w , 1 1 6 zabezp ieczeń, 1 1 6
E th e rn et, 1 0 , 3 1 , 3 2 , 6 0 event log, 2 2 6 e x t (ang. E x ten d ed File System ), 256
F F/UTP (ang. Foiled/U nshielded Tw isted Pair), 2 0 fale elek trom agnetyczne, 19 p o d czerw o ne, 2 4 radiow e, 1 9 , 2 4 false, 3 5 7 fałsz, 3 5 7 Fast E th e rn et, 6 0 Fast E th e rn et 100BA SE-T, 3 2 F D D I (ang. Fiber D istribu ted D ata In terfa c e ), 12
d 490
E x ch an g e ), 3 8 ISP (ang. In tern e t Service Provider), 3 8 6
j jąd ro system u op eracy jn ego , 2 5 9
H H elp D esk, 2 1 4
K
H ide W LAN, 4 0 1 H T T P (ang. H y p ertext Transfer P ro to co l), 2 8 , 3 7 , 4 2 , 3 1 7 , 4 1 9 H T T P S (ang. H y p ertext Transfer
k abel energetyczny, 19 k oncentryczny, 19 1 0 B a se 2 , 2 0
P ro to co l Secu re), 3 7 , 3 1 7 h u b , 61 Hyper-V, 2 2 8 , 2 2 9
1 0 B a se 5 , 2 0 bu dow a, 19 cie n k i, 2 0 gruby, 2 0 krosowy, 4 3 2
i IAPP (ang. Inter-A ccess Point P ro to co l), 25 id enty fik ato r, 35 sieci bezp rzew o d ow ej, 4 0 0
m iedziany, 3 2 p ołączeniow y, 4 3 0 , 4 3 2 poziom y, 4 3 0 prosty, 4 6 3 p un ktu pośred niego, 4 3 0
skręcany, 2 0 , 21 ekranow any, 2 0 nieek ranow an y, 2 0 skrosow any, 4 6 3 sym etryczny, 19 św iatłow odow y,
Patrz:
św iatłow ód św iatłow ód, 19 typ u skrętka, 4 6 3 w spółosiow y, 19 k am pus, 4 3 0 k am p u sow y k ab el szkieletow y, 430 k am p u sow y p u n kt dystrybucyjny, 4 3 0 k a n a ł d ziałan ia sieci, 40 1
k o p ia zap aso w a, 3 6 2 K orn Sh ell, 2 5 9
L L 2T P (ang. Layer T w o T u n n elin g P ro to co l), 1 5 5 LAN (ang. L o cal Area N etw ork), 10, 102 LDAP (ang. L ig htw eig ht D irectory A ccess P roto co l), 2 5 4 , 318 LED (ang. L ig ht E m itting
m o d św iatłow odow y, 2 2 M o d e l o d n ie sie n ia O SI (ang. O p en Sy stem In te rco n n e c tio n R eferen ce M o d e l), 2 7 M o d e l TCP/IP (ang. T ran sm issio n C on trol Proto co l/Internet P ro to co l), 29, 30 m o d em , 6 4 m o dulator-dem odu lator, 6 4 m o n ito r, 4 5 0 w y d ajn ości, 2 2 7 zaso bó w , 2 2 5
D io d e ), 2 4 liczba d o w iązań , 2 6 3 L in u x, 2 4 5 , 2 5 6 , 2 6 0 , 4 5 0
m o n ito rin g , 2 2 0 , 2 9 5 m o n ito ro w an ie , 2 2 0 p rocesów , 2 8 8
k ap su łko w anie, 2 9 k arta siecio w a, 2 5 , 5 9 , 6 0 k atalog , 2 5 7 dom ow y, 2 5 6 głów ny, 2 5 6
p ak iety system u, 2 7 0 listy nazyw ane, 3 9 5
m o n to w an ie , 2 5 6 , 2 5 8 , 2 6 5 m o st, 4 4 3 m o u n t, 2 5 8
K D E, 2 4 5 , 2 5 1
LSZH (ang. Low Sm ok e Z ero H alo g en ), 4 4 3
T ree P ro to co l), 3 7 3 M TA (ang. M ail T ran sfer A gent), 344
M
M u tt, 3 4 4 m ysz, 4 5 0
k ern el, 2 5 9 k lasa adresu IP, 4 3 , 4 5 klasa A, 4 4 , 45 klasa B, 4 4 , 45 k lasa C, 4 4 , 45 k lasa D, 4 4 k lasa E, 4 4 k law iatura, 4 5 0 k le je n ie , 2 3 K lient-serw er, 9 K n o p p ix , 2 7 1 k od ek , 4 0 5 k o m p ila cja , 2 7 0 , 2 7 3 k om p resja, 2 6 5 k o n cen trato r, 6 1 , 4 4 3 aktyw ny, 61 pasyw ny, 61 k o n so la, 2 6 0 k o n ta uży tkow nik ów A dm inistrator, 8 7 A dm inistratorzy, 8 7 D o m en o w e, 8 7 G o ść, 8 7 L o kaln e, 8 7 O peratorzy k op ii zapasow ych , 8 7 U żytk ow nicy zaaw an so w ani, 87 w b udow ane, 8 7 k on tro le ry p u n k tó w dostępu, 400 k onw erter, 6 6 m ed ió w , 6 6
rozszerzone, 3 9 5 standardow e, 3 9 5
M AC (ang. M ed ia Access C o n tro l), 6 0 , 1 4 8 tab lica adresów , 6 2 M ailE n ab le , 1 9 4 M A N (ang. M etro p o lita n Area N etw ork ), 10 M and riv a, 2 7 0 m ap o w an ie dysków , 81 m ap o w an ie p o łą cz e ń , 4 6 7 m aska po d sieci, 4 6 , 4 7 p o stać b in a rn a , 4 7 m aszyna w irtu aln a tw o rzenie, 2 3 0 M D A (ang. M ail D elivery A gent), 344 m ech an izm w irtu a liz a cji, 2 4 5 m edia przew od ow e, 19 k a b e l k oncentryczny, 19 m edia tran sm isy jn e , 19 bezprzew odow e, 1 9 , 2 4 przew od ow e, 19 m enedżer zad ań , 2 2 1 m enedżer zaso b ó w serw era p lik ó w , 1 6 4 , 16 8 M ep is, 2 7 1 M IB (ang. M an agem en t In fo rm atio n B ase), 3 7 3 M icro s o ft Hyper-V, 4 5 0 m o d św iatła, 2 2
M o zilla T h u n d erb ird , 1 9 7 M ST P (ang. M u ltip le Sp an n in g
N n a d a jn ik , 2 2 n am esp ace, 165 narzędzia d iagnostyczne, 5 2 NAT (ang. N etw ork Address T ra n sla tio n ), 5 0 , 1 4 9 adresow anie, 1 4 9 rozpo znaw an ie n azw , 1 4 9 tra n s la cja , 1 4 9 nazw a grupy, 2 6 3 nazw a p lik u , 2 6 3 Nazw a w y różn iająca D N (ang. D istingu ished N am e), 1 0 7 n azw any p o to k , 2 5 8 N etB E U I, 38 n e tb io s serwer, 3 1 7 N etTools Professional, 4 1 0 N E X T (ang. N ear End C ro sstalk ), 467 N F S (ang. N etw ork File System ), 37 N IC (ang. N etw ork In terface C ard), 5 9 n ie d o p aso w an ie im p ed an cy jn e, 467 n ie jed n o ro d n o ści o d cin k a kablow ego, 4 6 7
491 3
NIS (ang. N etw ork In fo rm atio n
specjalny, 2 5 7
Service), 2 5 4 N N I (ang. N etw ork -to-N etw ork In terfa c e ), 3 4
tym czasow y, 2 5 6 w sadow y, 2 4 0 w ykonyw alny, 2 5 6 źródłow y
Novell, 2 2 8 , 2 4 5 N T P (ang. N etw ork T im e P ro to co l), 3 7
o braz stanu serw era, 4 5 0 o bszar n azw , 165 o bszar roboczy, 4 3 0 obudow a k asetow a blad e, 4 4 9 rack, 4 4 9
k o m p ila cja , 2 7 3 Podgląd zdarzeń, 13 3 p odstaw ow y k o n tro le r dom eny, 104 p o lecen ie, 2 6 4 apropos, 2 6 4 ascii, 1 9 2 binary, 1 9 2
n slo o k u p , 14 0 passw d, 2 8 2 pause, 2 4 1 ping, 5 3 , 5 4 , 4 1 1 p s, 2 8 8 pstree, 2 8 8 , 2 9 0 p u t, 1 9 2 pwd, 1 9 2 , 2 6 5 ren ice, 2 8 8 , 2 9 1 restart, 3 0 4 rm , 2 6 5 route, 3 0 6 sh u td ow n , 2 6 5
els, 2 4 1
sleep, 2 8 8 , 2 9 4 start, 3 0 4 s ta rtx , 2 6 5 status, 3 0 4 sto p , 3 0 4 su, 2 6 5 , 2 8 2
o d m o n to w an ie , 2 6 5 o k ab lo w an ie, 4 3 3
cp , 2 6 5 date, 2 6 5
sudo, 2 6 5 , 2 8 2 tim e , 2 6 5
k am pusow e, 4 3 3 p io n o w e, 4 3 3 O p en Relay, 3 4 4 O penSU SE, 2 4 5
df, 2 9 6 dir, 1 9 2 , 2 4 1 du, 2 9 6 e ch o , 2 4 1 fdisk, 2 9 6
to p , 2 8 8 , 2 9 2 to u ch , 2 6 5 tracert, 5 5 , 1 4 0
tow er, 4 4 9 w ieża, 4 4 9 o d b io rn ik , 2 2
O penV PN , 3 1 1 o p e racje logiczne, 3 5 6 o p óźn ien ie propag acji sy g nału , 467 organizer o k a b lo w a n ia , 4 4 5 O SP F (ang. O p en S h o rtest Path First), 41
p ak iety d y stry bu cyjne, 2 7 0 , 2 7 1 p anel dotykow y, 4 5 1 p anel krosowy, 4 3 2 , 4 4 5 P C M C IA , 5 9 P D C (ang. Prim ary d o m ain co n tro lle r), 1 0 4 Peer-to-peer, 9 Perl, 2 5 9 p ętla, 3 5 7 for, 3 5 7 lo k a ln a , 4 9 u n til, 3 5 7 z w rotn a, 4 9 PID (ang. Process ID en tifier), 2 8 3 Piętrow y p u n kt dystrybucyjny, 430 p lik , 2 5 7 arch iw izacja, 2 6 5 d ek om p resja, 2 6 5 k om p resja, 2 6 5
d 492
bye, 1 9 2 cat, 2 6 5 cd , 1 9 2 ch d p arm , 2 9 6 ch o w n , 2 8 2
fg, 2 8 4 find, 2 6 5
tree, 2 4 0 u n m o u n t, 2 6 5 u p tim e, 2 6 5 useradd, 2 8 2
finger, 2 8 2 free, 2 9 6 get, 1 9 2
users, 2 8 2 vm stat, 2 9 6 w, 282
grep, 2 8 7 history, 2 6 5
w ho, 2 8 2 w h o am i, 2 8 2
hw in fo , 2 9 5 id, 2 8 2 ifcon fig , 2 7 4 io stat, 2 9 6 ip con fig, 5 2 , 5 3 , 1 4 0 ip tables, 3 1 5
w rite, 2 8 2
jo b s, 2 8 4 k ill, 2 8 8 , 2 9 3 last, 2 6 5 led, 1 9 2
xeyes, 2 8 4 po łączen ie p o rt - p o rt, 4 4 6 p o rt - p o rt z redundancją, 4 4 6 p rzełączn ik ó w w stos, 4 4 6 p o m o c te ch n ic z n a , 2 1 4 PO P3 (ang. Post O ffice P ro to co l), 3 7 , 4 2 ,4 1 9 p o rcje dany ch, 2 5 7
logout, 2 8 2 lpstat, 2 9 6
p o ró w n an ia liczbow e, 3 5 6
lsp ci, 2 9 6 m an, 2 5 8 , 2 6 4 m esg, 2 8 2 m kdir, 1 9 2 , 2 4 1 , 2 6 5
tekstow e, 3 5 6 po rt IrD A , 3 2 3 m irro rin g, 3 7 3 , 3 7 9
m o u n t, 2 5 8 , 2 6 5 n e t acc o u n ts , 9 0 n e t user, 91 n e t, 9 0 n e tstat, 55 nice, 2 8 8 , 2 9 1
rów noległy, 3 2 3 szeregowy, 3 2 3 U SB, 3 2 3 Postfix, 3 4 4 pośred ni p u n k t dystrybucyjny, 430
p o to k , 2 5 8
rou ting u , 3 4 , 4 0 BG P , 3 4 E IG R P, 3 4 IG R P, 3 4
po w ło ka bash , 2 5 9 c sh , 2 5 9
rutow alny, 3 8 sieciow y, 2 7 TCP/IP, 3 7
sh , 2 5 9 z sh , 2 5 9 p o w ło k a system u op eracy jn ego ,
O d czy t, 7 7 O dczy t i w y k on an ie, 7 7 Pełna k o n tro la , 77 Z apis, 7 7 PPTP (ang. P o in t to Point T u n n e lin g P ro to co l), 15 5 praw a d o stępu, 2 6 3 praw da, 3 5 7 p rio ry tet, 2 8 8 h ig h , 3 9 8 Iow , 3 9 8 m ed iu m , 3 9 8 n iski, 3 9 8 n o rm a l, 3 9 8 norm alny, 3 9 8 średni, 3 9 8 w y so k i, 3 9 8 proces d ziałający, 2 8 4 in it, 2 8 3 nadrzędny, 2 8 3 podrzędny, 2 8 3 p o to m ny , 2 8 3 rod zicielsk i, 2 8 3 rozpoczynający, 2 8 3 zakończon y, 2 8 4 zatrzym any, 2 8 4 p rocm ail, 3 4 4 profil m obiln y, 1 2 2 profile u ży tko w n ik ó w , 1 2 2
22 p ro to k ó ł, 35 A RP, 3 4 IC M P , 3 4 IP, 3 4 , 3 7 , 4 2 IP v 4, 4 2 IP v 6, 51 IPX/SPX, 38 L 2T P , 155 PPTP, 1 5 5 RARP, 34
sum a k o n tro ln a, 3 2 ty p ram ki, 3 2
w arstw y a p lik a cji, 3 7 p rzekierow anie p o rtó w , 3 8 5 p rzełączn ik i, 6 2 , 4 4 3 , 4 4 6
RAP (ang. R ov ing A nalysis Port), 374 read only, 3 8 2
niezarząd zalne, 3 7 2 w arstw y trze ciej, 3 7 2 zarządzalne, 3 7 2 p rzesłu ch, 4 6 7
read w rite, 3 8 2 Red H at Package, 2 7 0 R egedit.exe, 2 0 9 reje stracja u ru ch om ien iow a, 13 3
zbliżny, 4 6 7 zbliżny skum ulow any w je d n ej parze, 4 6 7
rekordy, 2 9 9 rep ozytoria o p ro gram o w an ia, 270
p rzesunięcie fragm en tu , 35 przydział dyskow y, 1 6 8
R ID (ang. R elative ID M aster), 106
P S E L F E X T (ang. Power Sum E qu al Level Far End C ro sstalk ), 467
R IP (ang. R ou tin g In fo rm atio n P ro to co l), 4 1 , 391 rodzaj zabezpieczenia sieci, 4 0 1
PSK (ang. Pre-Shared Key), 2 5 PSK (ang. Pre-Shared K ey), 4 0 1 P S N E X T (ang. Power Sum N E X T ), 4 6 7
ro o t, 1 3 1 , 2 5 6 , 2 6 5 ro o t h in ts, 1 3 2 router, 6 2 , 6 3 , 3 8 4 , 4 4 3 , 4 4 7 program ow y, 4 4 7 sprzętowy, 4 4 7
P STN (ang. P u blic Sw itched T elep h o n e N etw ork), 4 0 5 p u b liczn a sieć te le fo n iczn a, 4 0 5 p u lp it zdalny, 2 1 4 p u n k t dostępow y, 2 5 , 6 4
routing , 2 8 , 3 9 , 3 0 5 dynam iczny, 3 8 5 , 3 9 0 statyczny, 3 8 5 , 3 9 0 rozg łaszanie id en ty fik ato ra sieci,
k ontrolery, 4 0 0 ukrycie, 40 1 p u n k t do stęp u , Patrz: p u n kt d ostępow y
400 rozm iar p ak ietu , 35 rozm iar p lik u , 2 6 3 rozproszony system p lik ó w , 1 6 4 ,
p u n k t p ośred ni, 4 3 0 Pure-FTPd, 3 3 9 PuTTY , 3 6 0 PVC (ang. P erm an en t V irtu al C ircu its), 3 3
16 8 różnica o p ó źn ień , 4 6 7 rpm , 2 7 0 RRAS (ang. R ou tin g and R em o te A ccess), 155 R ST P (ang. R apid Sp an n in g Tree
p rom ień lasera, 19 p rop ag acja sy g nału św ietlnego,
adres M AC odbiorcy, 3 2 dane, 3 2 p ream b u ła, 3 2
O SP F, 3 4 RIP, 3 4
k sh , 2 5 9 rsh, 2 5 9
259 p o ziom u p raw n ień, 7 7 M od y fik ow anie, 7 7
RAID (ang. R ed u nd an t A rray o f In d ep en d en t D isks), 4 4 8 ram ka adres M AC nadaw cy, 3 2
Q Q M (ang. Q ueue M an ager), 3 4 4 Q o S (ang. Q u ality o f Service), 37 4 , 3 7 8 , 385
R radius, 2 5 RA D IU S (ang. R em o te A u th en tication D ial-In U ser Service), 1 5 7
P ro to co l), 3 7 3 RTP (ang. R eal-tim e T ran sp o rt P ro to co l), 4 0 5 ruch przychodzący, 3 9 3 ruch wychodzący, 3 9 3 n ito w an ie , 6 3
s S/FTP (ang. Shielded/Foiled T w isted Pair), 21 Sam b a, 2 4 5 , 3 2 8
493 3
Sam ba k lie n t, 3 1 7 Sam ba serw er, 3 1 7 Sed, 2 5 9 serw er, 4 4 8
STP, 4 3 3
w ejściow y, 2 8 5
U TP, 4 3 3 skrypty, 3 5 4 p o w ło k i, 2 5 9
w yjściow y, 2 8 5 sum a k o n tro ln a nag łó w k a, 35 SU SE Linu x E nterprise Server
A pache, 2 4 5 D H C P , 101 D N S, 101 FTP, 3 3 9 intern etow y, 1 0 2
Slackw are, 2 7 1 SLP (Service L o cato r P roto co l), 319
(SLES), 2 4 5 , 2 7 0 in s ta la c ja , 2 4 6 SVC (ang. Sw itched V irtu al
sło w o kluczow e access-list, 3 9 5
C ircu its), 3 3 sw itch , 6 2
k o n tro li dostępu przez sieć, 102 p lik ó w , 1 0 1 , 1 6 4 , 3 2 8 pocztow y, 1 9 4 , 3 4 4
any, 3 9 5 h o st, 3 9 5 S M B (ang. Server M essage B lo ck ),
system operacyjny, 2 5 9 jądro, 2 5 9 p o w ło k a , 2 5 9
P roxy SIP, 4 0 5 p rzekierow ań, 4 0 5 role, 101
328 S M T P (ang. Sim ple M ail Transfer P r o t o c o l), 2 8 , 3 7 , 4 2 , 4 1 9 sn ap sh o t, 4 5 0
system p lik ó w , 2 5 6 szafa d y stry bu cyjn a, 4 4 4 szyfrow anie, 2 0 2
sieci W E B , 18 3 usług term in alow y ch , 101
sn iffer, 4 1 5 SN M P (ang. Sim ple N etw ork
WWW, 102, 245, 335
M an ag em en t P ro to co l), 3 7 ,
w ydruku C U PS, 3 2 6 w ydruku, 1 0 2 , 1 7 1 , 2 4 5 , 3 2 2
373, 388 so ck e t, 2 5 8
X en , 245 serw ery przekazu jące, 1 3 2 SF/UTP (ang. Sh ielded Foil/
so ftp h o n e , 4 0 5 S O H O (ang. Sm all O ffic e H om e O ffic e ), 6 4 , 3 6 7
U nsh ielded Tw isted Pair), 21 SFD (ang. Start Fram e D elim iter), 32 sh ell, 2 5 9
S o laris, 2 2 8 , 4 5 0 SPAN (ang. Sw itched Port A nalyzer), 3 7 4 , 3 8 3 spaw anie, 2 3
SID (ang. Secu rity ID ), 10 6 sieć bezprzew odow a, 4 0 0 8 0 2 .1 1 .2 4 8 0 2 .1 1 a , 2 4 8 0 2 .1 la c , 2 4
S P X (ang. Sequ enced Packet E x ch an g e ), 3 8 SSH (ang. Secure Sh e ll), 3 7 , 4 2 , 317, 358 SSID (ang. Service Set ID en tifier),
8 0 2 .1 1 b , 2 4 8 0 2 .1 lg , 2 4 8 0 2 .1 I n , 2 4 8 0 2 .1 5 .1 .2 4
400 SSO (ang. Single Sign O n ), 1 0 7 s ta cja ro b o cza, 3 5 8 s ta n , 2 8 3
b lu e to o th , 2 4 sieć k om p u tero w a, 9 k lasy fik acja, 9
działający, 2 8 3 g otow y do w y k o n an ia, 2 8 3 uśpiony, 2 8 3
m ie jsk a , 10 p eer-to-peer, 9
zo m b ie, 2 8 3 standard p ro to k o łu CSMA/CD, 32 ST P (ang. Sp an n in g Tree P ro to co l), 3 7 3 , 3 7 7 , 4 4 6
rod zaje, 9 rozległa, 10 ró w n op raw n a, 9
straty o d biciow e, 4 6 7 strefa, 2 9 9 D N S, 1 3 2
k lient-serw er, 9 lo k a ln a , 10 m e tro p o lita ln a , 10
sieć w irtu aln a, 3 7 4 SIP (ang. Sessio n In itia tio n P ro to co l), 4 0 5 sk alo w aln o ść, 4 2 8
w yszu kiw ania do przodu, 135 zd em ilitaryzo w an a, 3 8 5 stru m ień, 2 8 5
skrętka, 1 9 , 2 0 , 21 FTP, 4 3 3
stderr, 2 8 5 std in , 2 8 5
S-STP, 4 3 3
std o u t, 2 8 5
d 494
EFS, 2 0 2
św iatłow ód, 1 9 , 2 1 , 3 2 jedn om odow y , 1 9 , 2 2 , 2 3 , 24, 433 łączen ie, 4 6 5 w ielom odow y, 1 9 , 2 2 , 2 3 , 24, 433
tab lica adresów MAC, 6 2 ta b lic a rou ting u , 3 9 , 3 0 6 tar, 2 6 6 task m anager, 2 2 1 T eam View er, 2 1 7 te ln e t, 4 1 9 T eln et, 3 7 , 4 2 , 3 5 8 te rm in a l, 2 6 0 T erm in al G n o m e , 2 6 0 te rm in al końcow y, 4 0 5 term in atory, 12 te sty n a p lik ach , 3 5 6 tgz, 2 7 1 tłu m ie n ie , 4 6 7 to k e n , 1 6 , Patrz: żeton to p o lo g ia sieci, 11 fizyczna, 11 gw iazdy rozszerzon ej, 1 3 , 14 gwiazdy, 13 m ag istrali, 11 p ierścien ia, 1 2 , 13 po d w ó jneg o p ierścien ia, 12 siatki m ieszan ej, 15 siatk i, 14
lo giczn a, 16 przekazyw ania żetonu , 16 rozg łaszania, 16 to u ch pad, 4 5 1 tra n s la cja adresów , 5 0 trasow an ie, 3 9 , 63 true, 3 5 7 tru n k , 3 7 8 tryb ad h o c, 2 5 , 4 0 0 E nterprise, 25 infrastruktury, 2 5 , 4 0 0 Personal, 2 5 p v st, 3 8 2 uprzyw ilejow any, 371 u ży tko w nik a, 3 7 1 T T L (ang. T im e T o Live), 3 5 , 1 3 3 typ usługi, 35
u U/UTP (ang. Unshielded/ U nsh ield ed Tw isted Pair), 2 0 U b u n tu , 2 7 1 U C E (ang. U n so licited C o m m ercial E m ail), 3 4 5 u dostępnianie drukarek, 8 4 folderów , 74 p lik ó w , 74 zaso b ó w sieciow ych, 74 U D P (ang. U ser D atagram
U SB, 5 9
V irtu a lB o x , 2 2 8 , 2 3 7 VLA N (ang. V irtu al L o ca l Area N etw o rk ), 3 7 4 , 3 8 0 V M w are E S X Server, 4 5 0 V M w are Player, 2 2 8 , 2 3 4 V N C (ang. V irtu al N etw ork C o m p u tin g ), 36 1 V N C Server, 3 1 7
W in d o w s X P , 6 7 W in S C P , 1 9 2 W iresh ark , 4 1 5
VoIP (ang. Voice over In tern e t P ro to co l), 4 0 5 V P N (ang. V irtu al Private N etw ork ), 1 5 4 , 31 1
311 W LA N (ang. W ireless L o cal Area N etw o rk ), 2 4 , 4 0 0 W M I (ang. W ind o w s
w
M an ag em en t In stru m en tatio n ), 411 w ork g roup, 73
WAN (ang. W id e Area N etw ork), 10, 102 w arstw a, 3 0 a p lik a cji, 2 8 , 2 9 , 36 czasu życia, 13 3
łącza dany ch, 2 8 p re zen tacji, 2 8 sesji, 2 8 sieciow a, 2 8 tran sp o rto w a, 2 8 , 3 0 , 3 6 w arunek, 3 5 7
w irtu alizacja, 2 2 8 , 3 4 7 W irtu aln a Sieć P ryw atna, 1 5 4 ,
W PA (ang. W iFi Protected A ccess), 25 W P A 2, 2 6 , 4 0 1 w tyk BN C , 2 0 w ykaz globalny, 1 1 2 w yrażenia regularne, 2 8 7 w y rów nany w sp ółczy n n ik przesłuchu zdalnego, 4 6 7 w yrów nany w sp ółczy n n ik przesłuchu zdalnego skum ulow any w je d n ej parze, 467 w zorzec infrastruktury, 1 0 4 , 1 0 6
W D S (ang. W ind o w s D eploy m ent Services), 1 0 2 , 17 4 W EP (ang. W ired E quivalent
O d czy t, 7 7 O dczy t i w y k on an ie, 77 Pełna k o n tro la , 7 7
Privacy), 2 5 , 4 0 1 w ersja p ro to k o łu IP, 35 w ery fik acja, 14 3
Z apis, 7 7 UPS (ang. U n in terru p tible Power Supply), 45 1 u rządzenia sieciow e, 5 9
W in d o w s, 6 7 , 4 5 0 W in d o w s 7 , 6 7 , 68
k onfigu ro w anie, 3 6 7 urządzenie blo k ow e, 2 5 7 urządzenie znak ow e, 2 5 7
W ind o w s Server 2 0 0 8 R 2 in s ta la c ja , 9 3 lic e n cjo n o w a n ie , 9 4 w ersja C ore, 9 9 , 1 0 0 W in d o w s Serw er 2 0 0 8 R 2 , 67 W in d o w s V ista, 6 7
vi, 2 6 7 v im , 2 6 7
ukrycie p u n ktu dostępu, 4 0 1 ukrycie sieci, 4 0 1 U ltraV N Q 2 1 6 U N C (ang. U niversal N am ing
In terfa c e ), 3 4
68
W ind o w s 8 , 6 7 W ind o w s P h o n e 8 , 6 7
V
dostępu d o sieci, 31 fizyczna, 2 8 in te rn eto w a , 3 0
u p raw n ienia, 7 6 , 1 9 8 , 2 6 1 M od y fik ow anie, 77
W in d o w s 7 Starter, 6 8 W in d o w s 7 U ltim ate,
in te rn eto w e , 3 3 5 serw erow e, 1 6 4 , 3 1 8 sieciow e, 1 3 1 , 2 9 7 u ży tko w n ik , profil, 12 2
P ro to co l), 3 6 U ID (ang. U ser Id), 2 7 8 u k o śn ik , 2 5 6
C o n v e n tio n ), 1 2 8 U N I (ang. U ser N etw ork
W in d o w s 7 H o m e P rem ium , 6 8 W in d o w s 7 P rofessional, 6 8
usługa katalog ow a, 1 0 1 , 1 0 4 in s ta la c ja , 1 0 8 usługi
in s ta la c ja , 18 2 W in d o w s 7 Enterprise, 68
nazw d o m e n , 1 0 6 RID , 1 0 6 sch em atu , 1 0 6
X X W in d o w , 2 6 0 , 2 6 5 X en, 348 in s ta la c ja , 3 4 8 X enServer, 4 5 0 X T erm , 2 6 0
W in d o w s 7 H o m e B asic, 6 8
495 3
Y Y aST 2, 2 4 5
z zacisk an ie w ty ków R J-4 5 , 4 6 2 zakres adresów , 1 4 6 zapis bin arny, 4 3 dziesiętny, 4 3 tradycyjny, 4 3 zapora o g n io w a, 3 9 3 sieciow a, 3 1 4 sy stem o w a, 1 5 8 zarząd zanie p asm em , 3 7 4 zarząd zanie sta cja m i robo czy m i, 358 zasady grupy, 1 2 4 d la dom eny, 1 2 4 d la je d n o stk i o rg an izacy jn e j, 124 d la lo k a c ji, 1 2 4 lo k aln e, 12 4 zasady tra n sm isji, 38 zasilan ie aw ary jn e, 4 5 1 zaso by sieciow e u d o stęp nianie, 7 4 złączk i, 2 3
z m ie n n a, 3 5 7 z n a k po zn ak u , 2 5 7 zone, 2 9 9 zypper, 27 1
z że to n , 17
