Žilinská univerzita v Žiline - diplom.utc.skdiplom.utc.sk/wan/3738.pdf · 1.2 routeros a jeho...
TRANSCRIPT
Žilinská univerzita v Žiline Elektrotechnická fakulta
Katedra telekomunikácií a multimédií
Implementácia operačného systému RouterOS
v prostredí IP sietí
Peter Brezáni
2009
Implementácia operačného systému RouterOS v prostredí IP sietí
BAKALÁRSKA PRÁCA
PETER BREZÁNI
ŽILINSKÁ UNIVERZITA V ŽILINE
Elektrotechnická fakulta
Katedra telekomunikácií a multimédií
Študijný odbor: TELEKOMUNIKÁCIE
Študijný program: Multimediálne technológie
Vedúci bakalárskej práce: Ing. Ivan Dolnák, PhD.
Stupeň kvalifikácie: bakalár (Bc.)
Dátum odovzdania bakalárskej práce: 12. 6. 2009
ŽILINA 2009
ABSTRAKT
BREZÁNI, P. Implementácia operačného systému RouterOS v prostredí IP sietí
[Bakalárska práca].
Žilinská univerzita v Žiline, Elektrotechnická fakulta, Katedra telekomunikácií
a multimédií. Vedúci bakalárskej práce: Ing. Ivan Dolnák, PhD. Žilina: Elektrotechnická
fakulta Žilinskej univerzity v Žiline, 2009.
Bakalárska práca sa venuje problematike operačných systémov určených pre smerovače
a prepínače. Práca analyzuje dostupné prostredia pre ovládanie smerovačov a prepínačov,
snaží sa nájsť ich nedostatky, porovnať ich so systémom RouterOS, predstaviť daný
systém, prezentovať jeho nasadenie, identifikovať možné problémy, predviesť zapojenia
zariadení s RouterOS a sumarizovať výsledky testov v konkrétnych sieťach. Práca ďalej
obsahuje multimediálnu výukovú aplikáciu pre daný systém ako samostatnú prílohu
práce.
Kľúčové slová: RouterOS. Smerovanie. Prepínanie.
ABSTRACT
BREZÁNI, P. Implementation of RouterOS system in IP networks [Bachelor thesis].
University of Žilina, Faculty of Electrical Engineering, Department of
Telecommunications and multimedia. Supervisor: Ing. Ivan Dolnák, PhD.
Žilina: University of Žilina, Faculty of Electrical Engineering, 2008.
The target of this thesis is to analyze currently used environments for routers and
switches, find defects and compare them with RouterOS system. Introduce RouterOS
system, show its functionality and find possible problems. Use system in specific
networks structures and collect output from tests. Create multimedia teaching application
for RouterOS as self attachment in this thesis.
Keywords: RouterOS. Routing. Switching.
Žilinská univerzita v Žiline, Univerzitná knižnica
ANOTAČNÝ ZÁZNAM - BAKALÁRSKA PRÁCA Názov práce: Implementácia operačného systému RouterOS v prostredí IP sietí. Priezvisko a meno: Brezáni, Peter akademický rok:2008/2009
Fakulta elektrotechnická Katedra telekomunikácií a multimédií Počet strán: 57 Počet obrázkov: 31 Počet tabuliek: 8 Počet grafov: 0 Počet príloh: 0 Použitá lit: 5 Anotácia v slovenskom jazyku:
Bakalárska práca sa venuje problematike operačných systémov určených pre smerovače
a prepínače. Práca analyzuje dostupné prostredia pre ovládanie smerovačov a prepínačov,
snaží sa nájsť ich nedostatky, porovnať ich so systémom RouterOS, predstaviť daný
systém, prezentovať jeho nasadenie, identifikovať možné problémy, predviesť zapojenia
zariadení s RouterOS a sumarizovať výsledky testov v konkrétnych sieťach. Práca ďalej
obsahuje multimediálnu výukovú aplikáciu pre daný systém ako samostatnú prílohu
práce.
Anotácia v anglickom jazyku:
The target of this thesis is to analyze currently used environments for routers and
switches, find defects and compare them with RouterOS system. Introduce RouterOS
system, show its functionality and find possible problems. Use system in specific
networks structures and collect output from tests. Create multimedia teaching application
for RouterOS as self attachment in this thesis.
Kľúčové slová: RouterOS. Smerovanie. Prepínanie. Vedúci práce: Ing. Ivan Dolnák, PhD. Recenzent práce: Ing. Peter Kortiš, PhD. Dátum odovzdania práce: 12.6.2009
PREDHOVOR
V roku 2009 si už mnoho ľudí nevie život bez prístupu k internetu ani len predstaviť.
Každodenné používanie internetu je považované za samozrejmosť. Rozvoj internetu
neustále rastie a rastie aj snaha sprístupňovať ho čoraz väčšej časti obyvateľstva. Trend
vývoja nenaznačuje, že by jeho rozrastanie malo utíchať, ba práve naopak. V oblasti tejto
problematiky existuje určitá skupina osôb, ktoré sú zodpovedné za funkcionalitu
internetového pripojenia od hlavnej medzinárodnej distribučnej siete až po lokálnu sieť
v domácnosti. Práve tí stoja pred otázkou aké telekomunikačné zariadenia a systémy
nasadia pre konkrétne prostredie. Pre rôzne prenosové prostredia existujú rôzne aktívne
prvky s rôznymi konfiguračnými prostrediami. Každý poskytovateľ sietí však vo svojej
infraštruktúre rieši problém smerovania a prepínania. V súčasnej adresnej schéme (IPv4)
ale aj jej nástupcovi (IPv6) existuje množstvo všeobecných, štandardizovaných
protokolov pre oblasť smerovania a prepínania. Tieto protokoly si jednotliví výrobcovia
implementujú do svojich systémov, prípadne ich rozširujú o ďalšiu funkcionalitu. V sieti
gigantických rozmerov, akou je práve Internet, je nutné zabezpečiť, aby rôzne systémy
navzájom spolu komunikovali bez ohľadu na to aké systémové prostredie používajú.
Schopnosť komunikácie rôznych platforiem využitím rovnakého protokolu sa nazýva
interoperabilita. Nasledujúce strany predstavujú systém pôvodne určený najmä pre
potreby bezdrôtových poskytovateľov sietí. Implementáciou mnohých protokolov sa
možnosti jeho nasadenia rýchlo rozrástli a vďaka jeho možnosti konfigurácie sa stáva
obľúbeným systémom mnohých poskytovateľov sietí.
Táto práca analyzuje systém RouterOS, zobrazuje jeho prínos v oblasti systémov pre
smerovače a prepínače, prezentuje jeho nasadenie v reálnych sieťach a dokazuje
interoperabilitu niektorých dostupných sieťových protokolov. Práca obsahuje
multimediálnu príručku, ako samostatnú prílohu, v ktorej som zúročil získané vedomosti
v oblasti multimédií. Táto aplikácia má za cieľ zoznámiť sieťového administrátora
s prostredím systému RouterOS, v ktorom by mal byť následne schopný samostatnej
práce.
OBSAH
ÚVOD................................................................................................................................ 15
1 Analýza aktuálne dostupných operačných systémov určených pre smerovače.....16
1.1 Výber používaných operačných systémov pre smerovače ....................................16
1.2 RouterOS a jeho porovnanie s ostatnými operačnými systémami.........................18
2 Charakteristika operačného systému RouterOS.....................................................20
2.1 Konfiguračné prostredie RouterOS........................................................................20
2.2 Licencie a verzie ....................................................................................................21
2.3 Funkcie systému.....................................................................................................22
2.3.1 Smerovanie ............................................................................................................22
2.3.2 Prepínanie ..............................................................................................................22
2.3.3 Ostatné funkcie ......................................................................................................23
2.4 Funkcie a možnosti v závislosti na HW.................................................................23
2.4.1 Vhodnosť použitia na konkrétnych platformách ...................................................24
2.2.2 Identifikácia nedostatkov .......................................................................................24
3.0 Vytvorenie testovacej siete s použitím RouterOS .................................................26
3.1 Aplikácia smerovača s RouterOS ..........................................................................26
3.3.1 Realizácia smerovacej siete. ..................................................................................26
3.1.2 Konfigurácia v prostredí smerovania.....................................................................27
3.1.3 Testovanie a analýza zapojenia..............................................................................40
3.1.4 Zhodnotenie a identifikácia problémov: ................................................................41
3.2 Aplikácia prepínača s RouterOS............................................................................42
3.2.1 Realizácia prepínacej siete.....................................................................................42
3.2.2 Konfigurácia v prepínacom prostredí ....................................................................44
3.2.3 Testovanie a analýza zapojenia..............................................................................47
3.3.4 Zhodnotenie zapojenia prepínacej siete: ................................................................49
4.0 Sumarizácia a interpretácia dosiahnutých poznatkov ............................................50
4.1 Praktické poznatky používania konfiguračných rozhraní......................................50
4.1.1 Praktické poznatky s používania WINBOX ..........................................................50
4.1.2 Praktické poznatky s používania konzoly..............................................................51
4.2 Interpretácia poznatkov multimediálnou formou...................................................52
ZÁVER ..............................................................................................................................56
ZOZNAM BIBLIOGRAFICKÝCH ODKAZOV .............................................................57
ZOZNAM OBRÁZKOV
Obr. 1 Schéma zapojenia smerovacej siete........................................................................26
Obr. 2 Priradenie IP adresy................................................................................................27
Obr. 3 Smerovanie vo WINBOX.......................................................................................27
Obr. 4 Vytvorenie autonómneho systému .........................................................................28
Obr. 6 Nastavenie OSPF rozhrania....................................................................................28
Obr. 8 Konfigurácia OpenVPN servera .............................................................................30
Obr. 9 Pridanie OpenOVP účtu .........................................................................................31
Obr. 10 Určenie zdrojových adries pre preklad .................................................................32
Obr. 11 Definícia prekladu adries ......................................................................................32
Obr. 11 Pridanie statickej adresy .......................................................................................33
Obr. 13 Výber rozhrania pre DHCP server........................................................................34
Obr. 14 Rozsah adries a čas ich pridelenia ........................................................................35
Obr. 15 Definícia DHCP siete, nastavenie brány a adresy DNS servera...........................35
Obr. 16 Konfigurácia DNS servera....................................................................................36
Obr. 17 Konfigurácia OpenVPN klienta............................................................................36
Obr. 18 Označenie paketov................................................................................................37
Obr. 19 Označenie paketov – pridanie názvu ....................................................................38
Obr. 20 Pridelenie hlavného smeru....................................................................................38
Obr. 22 Nastavenie spúšťania skriptu ................................................................................40
Obr. 21 Vloženie skriptu....................................................................................................40
Obr. 23 Schéma zapojenia prepínacej siete .......................................................................42
Obr. 26 Štruktúra rozhraní vo WINBOX...........................................................................47
Obr. 27 Prihlasovacie okno aplikácie WINBOX...............................................................51
Obr. 28 Vstupná obrazovka výukovej aplikácie ................................................................52
Obr. 29 Delenie príručky na hlavné časti...........................................................................53
Obr. 30 Úvodná obrazovka časti Hardvér a údržba ...........................................................53
Obr. 31 Konkrétny obsah aplikácie ...................................................................................54
ZOZNAM TABUĽIEK
Tab. 1 Výhody a nevýhody operačných systémov pre smerovače ....................................18
Tab. 2 Testovanie dostupnosti v smere z hlavného smerovača .........................................40
Tab. 3 Testovanie dostupnosti v smere na hlavný smerovač .............................................41
Tab. 4 Adresný priestor pre ...............................................................................................43
Tab. 6 Porovnanie názvovej konvencie IOS a RouterOS..................................................44
Tab. 7 Rýchlosť dát a jej agregácia na rozhraní bonding ..................................................48
Tab. 8 Ovládacie prvky aplikácie ......................................................................................54
ZOZNAM SKRATIEK
IOS (Internetwork Operating System): Názov operačného systému určeného pre Cisco
prepínače a smerovače.
telnet (telekomunication network): Protokol/služba umožňujúca nezabezpečenú,
príkazovú komunikáciu so vzdialeným zariadením prostredníctvom TCP protokolu.
ssh (Secure Shell): Nasledovník telnet-u, ktorý medzi komunikujúcou dvojicou vytvára
zabezpečený tunel.
Wi-Fi: Certifikačná známka/značka zabezpečujúca interoperabilitu medzi rôznymi
bezdrôtovými zariadeniami založenými na štandarde IEEE 802.11.
GUI (graphic user interface): Užívateľské rozhranie, ktoré umožňuje ovládať počítač
pomocou interaktívnych, grafických ovládacích prvkov.
GPL (GNU general public licence): Populárna licencia pre slobodný softvér. Umožňuje
spúšťať daný program na akýkoľvek účel, študovať ako program funguje a meniť ho, šíriť
jeho kópie, vylepšovať program a zverejňovať jeho vylepšenia.
MIPSle, MIPSbe (microprocessor without interlocket pipeline stages): Architektúra
umožňujúca procesoru spracúvať viac inštrukcií súčasne za podmienky, že tieto inštrukcie
nepoužívajú rovnaké prostriedky procesoru.
x86: Označenie architektúry procesorov so 16 bitovou registrovou inštrukčnou sadou.
Touto skratkou bývajú označené aj architektúry IA- 32 alebo i386 spoločnosti Intel.
PPC (PowerPC): Architektúra mikroprocesorov, ktorá bola pôvodne určená na použitie
v domácich počítačoch.
PoE (Power over Ethernet): Napájanie po dátovom sieťovom kábli (44-57V) bez nutnosti
privádzať k zariadeniu samostatný napájací kábel. Definované normou IEEE 802.3af.
OSI model: Medzinárodná norma ISO 7498, je to abstraktný model reálneho sieťového
systému. Prezentuje všeobecné princípy sieťovej architektúry.
MNDP (Mikrotik Neighbor Discovery Protocol): Protokol spoločnosti Mikrotik
umožňujúci detekciu zariadenia s inštalovaným systémom RouterOS v rámci linkovej
vrstvy OSI modelu. Získava informácie o IP adrese, verzii, názve systému a iných
hodnotách prostredníctvom UTP portu 5678.
CDP (Cisco Discovery Protocol): Protokol spoločnosti Cisco, veľmi podobný
a kompatibilný s protokolom MNDP.
MAC adresa (Media Access Control): Jedinečný identifikátor sieťového zariadenia,
ktorý používajú protokoly linkovej vrstvy.
WDS (Wireless Distribution System): Systém, ktorý umožňuje bezdrôtovo prepojiť
prístupové body bezdrôtovej siete. Hlavnou výhodou je, že systém zachováva MAC
adresu iniciátora spojenia prechádzajúcu zariadeniami.
ISP (Internet Service Provider): Poskytovateľ sietí a služieb sietí.
TSL (Transport Layer Security): Protokol pre bezpečnú komunikáciu cez internet
DHCP (Dynamic Host Configuration Protocol): Protokol používaný pre prideľovanie IP
adries uzlom v sieti.
ICMP (Internet Control Message Protocol): Protokol, ktorý používajú operačné systémy
pre odosielanie chybových správ. Často sa používa na testovanie dostupnosti sieťového
uzla.
VLAN (Virtual LAN): Virtuálna sieť určená pre logickú organizáciu siete nezávisle od
fyzickej. Štandardne sa využíva na zariadeniach typu prepínač, kde sa vyberá určitý počet
portov do segmentov.
STP (Spanning Tree Protocol): Protokol linkovej vrstvy, ktorý zamedzuje vzniku
cyklenia paketov v sieti.
OSPF (Open Shortest Path First): Dynamický smerovací protokol typu „link-state“.
MADWIFI (Multiband Atheros Driver for Wireless Fidelity.): Sada ovládačov
s otvoreným kódom pre bezdrôtové adaptéry v prostredí LINUX.
Lua: Výkonný a zároveň jednoduchý interpretovací skriptovací jazyk.
IPv4: Adresná schéma väčšiny súčasného internetu. Používa 32-bitové adresy, ktorých
rozsah nevyhovuje súčasným požiadavkám siete Internet.
IPv6: Nástupca adresnej schémy, ktorý prináša približne 3,4x1038 adries pre koncové
uzly. Úplne by mal nahradiť IPv4 približne v roku 2025.
RIP, RIPng (Routing Information Protocol): Dynamický smerovací protokol používaný
v lokálnych sieťach. Ako metriku používa počet skokov. Verzia RIPng je určená pre
adresné prostredie IPv6.
OSPF (Open Shortest Path First): Dynamický adaptívny hierarchický, distribuovaný
smerovací protokol. Zmeny v smerovacej tabuľke vykonáva na základe zmien stavu siete
v autonómnom systéme.
BGP (Border Gateway Protocol): Dynamický smerovací protokol, ktorý sa využíva
v smerovaní medzi autonómnymi systémami.
VRF (VPN Routing and Forwarding): Technológia, ktorá v sieťach povoľuje
viacnásobné inštancie smerovacej tabuľky na jednom smerovači.
ECMP (Equal-cost multi-path routing): Smerovacia stratégia, u ktorej smer na cieľový
uzol môže viesť viacerými cestami súčasne. Môže byť použitá v spojení v väčšinou
smerovacích protokolov.
MPLS (Multiprotocol Label Switching): Mechanizmus, ktorý smeruje dáta medzi WAN
uzlami s vysokým výkonom.
HWMP+ (Hybrid Wireless Mesh Protocol Plus): Rozšírenie WHMP, ktoré nie je spätne
kompatibilné. Protokol slúži na zabránenie cyklenia dát v bezdrôtových sieťach.
MME (Mesh Made Easy): Smerovací protokol spoločnosti Mikrotik, Ltd. určený pre
mobilné siete s ohľadom na funkcionality tzv. Ad-hoc sietí.
PPTP, L2TP, OpenVPN, IPsec (Point-to-Point Tunneling Protocol, Layer 2 Tunneling
Protocol, Internet Protokol Securoty): Protokoly, ktoré slúžia na vytváranie virtuálnych
privátnych sietí s rôznou úrovňou zabezpečovania.
SLOVNÍK TERMÍNOV
Mikrotik (Mikrotik, Ltd.)
Lotyšská spoločnosť zaoberajúca sa výrobou počítačového vybavenia, predajom
smerovačov, bezdrôtového príslušenstva a vývojom operačného systému RouterOS.
RouterOS
Názov operačného systému určeného pre použitie v smerovacích a prepínacích
sieťach.
RouterBoard
Hardvér vyrábaný spoločnosťou Mikrotik. Je primárne určený pre použitie v
bezdrôtových sieťach. Obsahuje predinštalovaný systém RouterOS.
Firmware
Programové vybavenie, ktoré je integrovanou súčasťou elektronického zariadenia.
Cisco
Jedna z najväčších počítačových firiem dominujúca na poli sieťových prvkov
(od r. 1984).
UNIX
Operačný systém spoločnosti AT&T.
Embedded device
Jednoúčelový systém, v ktorom je riadiaci počítač zabudovaný do zariadenia, ktoré
používa. Tzv. jednoúčelový počítač.
Link aggregation alebo load-balancing
Technika pre rozloženie záťaže medzi dve alebo viacero liniek.
Bonding
Systém RouterOS používa tento názov pre spájanie portov do jedného virtuálneho
rozhranie, ktoré primárne zabezpečuje redundanciu spojenia. Jeho sekundárna
funkcia je rozdeľovať a spájať dáta medzi fyzické rozhrania tvoriace bonding. Takto
rozdelené pakety smerujú k cieľovému uzlu viacerými rozhraniami naraz.
Štandardne sa táto technológia nazýva link aggregation alebo load ballancing.
Default route
Smer, ktorý smerovaču definuje za akou adresou v sieti má hľadať všetky neznáme
adresy.
Script
Zdrojový kód zväčša krátkeho programu, ktorý sa interpretuje až pri spúšťaní.
Bridge
V systéme RouterOS, je to virtuálne rozhranie 2 vrstvy OSI modelu, ktoré spája
fyzické alebo virtuálne rozhrania.
Route distance (metrika)
Hodnota určujúca prioritu konkrétneho smeru. Čím nižšia hodnota, tým vyššia
priorita.
Ethernet
Typ siete, ktorý realizuje vrstvu sieťového rozhrania štandardizovanú normou IEEE
802.3.
POĎAKOVANIE
Na tomto mieste by som chcel vysloviť úprimné poďakovanie tým, ktorí sa akokoľvek
podieľali na vzniku tejto práce. Moje poďakovanie patrí najmä Ing. Ivanovi Dolnákovi,
PhD. za odborné vedenie a pedagogické usmernenie pri jej tvorbe a spoločnosti
MIS ŽILINA, s.r.o. za zapožičanie zariadení Cisco a RouterBoard.
ÚVOD
V súčasnosti existuje mnoho komerčných aj nekomerčných systémov pre zariadenia
určené pre prepínacie a smerovacie prostredie. Pri výbere systému pre nasadenie na
konkrétnom zariadení rozhoduje mnoho ukazovateľov, a to najmä cena, spoľahlivosť,
možnosti ovládania, škálovateľnosť, podpora zo strany tvorcu, hardvérové nároky,
licenčné podmienky a iné. Systém, ktorý v práci analyzujem, sa v prostrediach IP sietí
presadzuje najmä vďaka jeho možnostiam ovládania. Intuitívnosť ovládania v prostredí
operačného systému je prvok, ktorý sieťovým administrátorom umožňuje konfigurovať
rôzne operačné systémy bez nutnosti štúdií a školení každého z nich. Práve tento prvok
v dnešných systémoch chýba, a tak mnoho administrátorov istého smerovacieho systému
nedokáže konfigurovať rovnaké parametre v inom smerovacom systéme.
Systém RouterOS, ktorý je nosným prvkom mojej práce, je pomerne nový systém, ku
ktorému v čase písania tejto práce neexistovala žiadna knižná dokumentácia. Cieľom
mojej práce je vytvoriť multimediálnu aplikáciu, ktorá užívateľa oboznámi
s konfiguračným prostredím a možnosťami správy systému. Cieľom práce je aj
demonštrovať funkčnosť konkrétnej siete, konfigurovanej v prostredí RouterOS a zistiť
schopnosť kooperácie štandardizovaných protokolov medzi rôznymi systémami.
Práca je rozdelená do štyroch hlavných kapitol, ktoré sú delené na podkapitoly. Prvá
kapitola pojednáva o súčasne dostupných operačných systémoch určených pre
smerovacie a prepínacie prostredie, definuje a hľadá nedostatky a výhody jednotlivých
systémov v porovnaní k RouterOS.
Druhá kapitola charakterizuje systém a jeho určenie v daných prostrediach, definuje
možnosti jeho využitia a pojednáva o prípadných nedostatkoch systému.
Tretia kapitola je praktickou časťou delenou na dve hlavné časti. V prvej je zobrazená
aplikácia systému na zariadenia v prostredí smerovania. Navrhnutá je konkrétna aplikácia
pre reálne využitie. V tejto časti je detailne zobrazená konfigurácia, príkazy a zdrojový
kód funkčnej siete. Druhá časť implementuje systém do prostredia prepínačov
a v reálnom zapojení testuje interoperabilitu protokolov so systémom Cisco IOS.
Štvrtá kapitola je zhrnutím nadobudnutých poznatkov v práci so systémom RouterOS.
Predstavuje multimediálnu príručku k systému, ktorá je vytvorená ako samostatná príloha
práce.
15
1 ANALÝZA AKTUÁLNE DOSTUPNÝCH OPERAČNÝCH SYSTÉMOV URČENÝCH PRE SMEROVAČE
Aby bolo možné čo najlepšie pochopiť výhody a nedostatky prostredia RouterOS, je
dôležité predstaviť jeho konkurentov na poli operačných systémov. Najpočetnejšia
skupina systémov je založená na systéme LINUX. Tie sú známe otvoreným zdrojovým
kódom, sú voľne rozšíriteľné, bezplatné a majú zložitejšiu štruktúru ovládania. Rozsah
práce by neumožňoval rozoberať každý takýto systém, preto sa zameriavam na
najrozšírenejšie a najpoužívanejšie systémy.
1.1 VÝBER POUŽÍVANÝCH OPERAČNÝCH SYSTÉMOV PRE SMEROVAČE
Cisco IOS (Internetwork Operating System)
Systém Cisco IOS je určený len pre smerovače a prepínače Cisco. Je známy rozsiahlym
príkazovým prostredím deleným do módov. Jednotlivé módy reprezentujú úroveň
oprávnení alebo aktuálne konfigurovanú časť zariadenia (napr. „interface configuration
mode“). Je komerčný a má uzavretý zdrojový kód. Primárne býva nasadený v kritických
infraštruktúrach ako operačný systém centrálnych výkonných smerovačov alebo
prepínačov. Manažment systému je zabezpečený prostredníctvom sériového RS232
rozhrania (z prostredia Windows možno systém konfigurovať službou hyperterminal),
alebo vzdialene, pomocou služby telnet, ssh alebo konfiguračného web-servera IOS.
Štandardne sa využíva ssh alebo telnet.. Jeho ovládanie vyžaduje okrem znalosti
aplikovaných protokolov aj znalosť orientovať sa v príkazovom prostredí. Prostredie
príkazov – konzola, však ponúka pomocníka, ktorý užívateľovi zobrazí stlačením znaku
„?“ na klávesnici možné príkazy s jednoduchým popisom. Cisco poskytuje špecializované
akadémie a vydáva vlastné certifikáty sieťovým administrátorom.
OpenWRT
OpenWRT je systém/firmware založený na LINUX OS. Používa sa ako alternatíva
k firmware dodávaného výrobcom smerovača. Aplikuje sa na klientske bezdrôtové
smerovače a smerovače s malým výkonom. Štandardne poskytuje príkazové konfiguračné
prostredie prostredníctvom telnet a ssh. Je možné rozšíriť ho o možnosť konfigurácie cez
16
web rozhranie. Príkazové prostredie vyžaduje znalosť LINUX OS a neposkytuje
pomocníka príkazov. Systém je bezplatný a má otvorený zdrojový kód. Na OpenWRT sú
založené ďalšie distribúcie, špecializujúce sa na konkrétnu problematiku napr.
PacketProtector – bezpečnostná verzia, ktorá zahŕňa funkcie ako IPS, VPN, IDS.
LINUX – všeobecne
Rôzne distribúcie je možné používať na jednoduchých smerovačoch aj na výkonných
zariadeniach rôznych platforiem. V oboch prípadoch je však konfigurácia zložitá,
neposkytuje potrebného pomocníka a vyžaduje rozsiahle znalosti z oblasti LINUX. Jeho
hlavnou výhodou je rozšíriteľnosť o rôzne služby, napr. služby web server, mail server
a mnohé iné. Štandardne poskytuje príkazové prostredie s pripojením pomocou ssh.
Existuje aj mnoho konfiguračných web prostredí, ktoré ale nedokážu nahradiť príkazy.
Samotný systém poskytuje aj lokálne grafické rozhrania, napríklad GNOME a KDE,
ktoré sa využívajú len v nasadení LINUX-u ako užívateľskej stanice.
FreeBSD
FreeBSD vychádza zo systému UNIX a je binárne kompatibilný s LINUX prostredím.
Pre použitie na smerovačoch poskytuje príkazové, konfiguračné prostredie. Inštaluje sa
prevažne na platforme 32 a 64bit PC (PPC a pod.) S obľubou sa používa na starších,
vyradených PC. Okrem smerovačov je uznávaným systémom v nasadení web server. Jeho
konfigurácia vyžaduje znalosti UNIX, resp. LINUX príkazového prostredia. Je teda
veľmi podobný LINUX-u. Štandardne je bezplatný s otvoreným kódom.
Porovnanie operačných systémov pre smerovače. Ich výhody a nevýhody sú popísané
v tabuľke 1.
17
Tab. 1 Výhody a nevýhody operačných systémov pre smerovače Výhody Nevýhody
Cisco IOS
- robustný, overený a spoľahlivý systém
- pomocník v príkazovom prostredí
- len pre Cisco hardvér - príkazové, konfiguračné
prostredie* vyžaduje rozsiahle znalosti
- vysoká cena - uzavretý zdrojový kód
OpenWRT
- aplikovateľný na nevýkonné, staré smerovače
- otvorený zdrojový kód - bezplatný
- príkazové konfiguračné prostredie bez pomocníka, podobné LINUX
- použitie hlavne na domácich smerovačoch
LINUX
- aplikovateľný na rôzny hardvér
- rozšíriteľný - otvorený zdrojový kód - bezplatný
- príkazové konfiguračné prostredie
- zložitá inštalácia na embedded zariadenia
FreeBSD
- aplikovateľný na rôzny hardvér
- rozšíriteľný - otvorený zdrojový kód - bezplatný - spoľahlivosť v serverovom
nasadení
- príkazové konfiguračné prostredie
- zložitá inštalácia na embedded zariadenia
- ako smerovač sa využíva zriedkavo
*Konfiguračným prostredím sa rozumie také prostredie, ktoré je možné obsluhovať
vzdialene.
1.2 ROUTEROS A JEHO POROVNANIE S OSTATNÝMI OPERAČNÝMI SYSTÉMAMI
Systémov pre smerovače a prepínače je v súčasnosti početné množstvo. Aby sa v tejto
sfére mohol presadiť nový systém, potrebuje riešiť spoločný a kľúčový nedostatok
ostatných systémov. RouterOS v tomto smere predstavil riešenie vzdialenej grafickej
konfigurácie, ktorá umožňuje pohodlne nastavovať jednoduché aj rozsiahle a zložité
vlastnosti. Prichádza však s uzavretým kódom pod vlastnou komerčnou licenciou. Aj
vďaka tomuto faktoru sa veľmi rýchlo rozrastá a nasadzuje vlastné protokoly a riešenia
špecifických problémov sietí. Tento operačný systém je určený pre prepínacie aj
smerovacie prostredie, v príkazovom prostredí nazývanom konzola alebo terminál
obsahuje rozsiahleho pomocníka, ktorý sa vyvoláva rovnako ako v konzole Cisco
systému IOS zadaním znaku „?“. Systém možno jednoduchým spôsobom inštalovať na
väčšinu dostupných hardvérových platforiem. Na rozdiel od systémov LINUX nie je
18
škálovateľný, teda nie je možné ho ľubovoľne rozširovať o funkcie. Tie sú striktne
definované výrobcom systému v jeho vlastných inštalačných balíkoch. Medzi výhody
v systéme možno zaradzovať prvky, ktoré priamo nesúvisia s oblasťou smerovania alebo
prepínania a nie sú bežnou súčasťou iných systémov. Sú to napríklad databáza User-
manager, kde je možné v súčinnosti s rádius serverom definovať účty koncových uzlov,
obmedzovať a prioritizovať ich prevádzku, zaznamenávať množstvo prenesených dát
a iné udalosti. Táto funkcia má na zariadení aj vlastné webové rozhranie. Systém hotspot
je ďalšia funkcia, ktorá v systéme ponúka sprievodcu pre vytvorenie systému
prístupového bodu do siete, kde sa užívateľ autorizuje v rámci samostatného web
rozhrania zariadenia [1]. Obdobné funkcie sú však v škálovateľných systémoch LINUX
dostupné, vyžadujú si len ich implementáciu do systému. Všeobecne je teda možné
povedať, že medzi nesporné výhody systému patria najmä možnosti jeho vzdialeného
ovládania. Najväčšou nevýhodou je cena a uzavretý zdrojový kód.
19
2 CHARAKTERISTIKA OPERAČNÉHO SYSTÉMU ROUTEROS
RouterOS je komerčný operačný systém postavený na operačnom jadre LINUX. Je
vyvíjaný lotyšskou spoločnosťou Mikrotik (Mikrotik, Ltd.). Bežne sa využíva na
zariadeniach RouterBoard, na ktorých býva predinštalovaný. Jeho nasadenie nie je však
obmedzené len na tieto zariadenia. Systém je rozšírený najmä u poskytovateľov
bezdrôtových sietí a služieb sietí pre jeho obrovské konfiguračné možnosti v tejto oblasti.
Poskytuje väčšinu používaných smerovacích a prepínacích protokolov. Disponuje
prehľadným konfiguračným, príkazovým aj grafickým prostredím a je použiteľný na
zariadeniach malých výpočtových výkonov aj na robustných viacprocesorových
serveroch.
2.1 KONFIGURAČNÉ PROSTREDIE ROUTEROS
RouterOS prináša okrem štandardných príkazových konfiguračných prostriedkov konzoly
(prístup cez telnet, ssh) aj vlastné grafické konfiguračné prostredie nazvané WINBOX.
To umožňuje vzdialenú konfiguráciu v prehľadnom a užívateľsky jednoduchom,
zabezpečenom alebo nezabezpečenom prostredí.
Zariadenie s inštalovaným operačným systémom RouterOS je tiež možné konfigurovať
pomocou webového rozhrania (táto forma sa využíva minimálne). Systém si získal
obľubu hlavne vďaka rozhraniu WINBOX, ktoré umožňuje komplexnú správu zariadenia
aj pre neprofesionálnych užívateľov, čím sa WINBOX stal jedným z najdôležitejších
prvkov systému. Služba WINBOX na strane zariadenia počúva na TCP porte 8291, ktorý
možno zmeniť alebo službu zakázať. Užívateľská aplikácia WINBOX pre vzdialené
ovládanie z operačného systému Windows je dostupná na stiahnutie priamo zo smerovača
na adrese: „http://IPadresaZariadenia/winbox/winbox.exe“ alebo na stránke výrobcu.
Medzi nosné prvky ovládania systému prostredníctvom WINBOX patrí možnosť
konfigurácie smerovača bez korektného nastavenia na sieťovej vrstve (podľa OSI
modelu). Aplikácia dokáže vyhľadávať zariadenia podporujúce protokol MNDP alebo
CDP a pripojiť sa prostredníctvom MAC adresy. Aplikácia je určená pre systém
Windows, je možné ju ale používať v prostredí LINUX aj MAC OS prostredníctvom
nástrojov WINE, resp. DARWINE.
20
Najsilnejším konfiguračným nástrojom je prostredie príkazového riadku, ktoré je
chronologicky delené do sekcií podľa kategórií, má rozsiahleho pomocníka a mnohé
diagnostické nástroje. Rovnako ako u WINBOX, je možné v príkazovom riadku
komunikovať medzi dvoma zariadeniami na linkovej vrstve OSI modelu. O túto možnosť
sa stará služba mac-server, ktorú možno aplikovať na konkrétne rozhranie zariadenia.
Vďaka tomu je možné konfigurovať smerovač aj po užívateľskej chybe na sieťovej
vrstve.
2.2 LICENCIE A VERZIE
Podľa historického vývoja sú verzie označované ako 1.x, 2.x, 3.x atď., pričom vývojový
cyklus hlavnej verzie je menej ako 2 roky. Číslo pred bodkou označuje hlavnú verziu,
číslo za bodkou číslo aktualizácie. Aktualizácia hlavnej verzie je možná podľa konkrétnej
licencie.
Napriek tomu, že je systém založený na jadre LINUX (spadajúci pod licencie GPL) nie je
bezplatný a je licencovaný do viacerých úrovní. V súčasnosti sa predávajú úrovne
(levely) 3, 4, 5 a 6.
Level 3 sa používa v najlacnejších zariadeniach v klientskom nasadení. Táto verzia je
samostatne nepredajná a býva predinštalovaná v nevýkonných zariadeniach RouterBoard.
Táto licencia neumožňuje použiť bezdrôtový adaptér zariadenia v režime prístupového
bodu.
Level 4 je plnohodnotný systém obmedzený len počtom súčasne vytvorených tunelových
pripojení (cca 200). Umožňuje aktualizáciu o 1 hlavnú verziu.
Level 5 rozširuje level 4 o možnosť aktualizácie systému o dve verzie, rozširuje počet
tunelových pripojení.
Level 6 ponúka neobmedzený počet tunelových pripojení a aktualizáciu o dve hlavné
verzie [2].
Licencie systému sa viažu na pevný disk konkrétneho zariadenia. V súčasnosti stojí
najpredávanejšia úroveň (level 4) približne 45 USD.
21
2.3 FUNKCIE SYSTÉMU
Systém RouterOS sa okrem nasadenia ako smerovač alebo prepínač využíva aj ako filter
sieťovej prevádzky, koncentrátor tunelových spojení, ako zariadenie pre kryptovanie
komunikácie, server siete hotspot, server databázy užívateľov, proxy server a iné.
V oblasti konfigurácie vo WINBOX je možné povedať, že užívateľ znalí sieťových
technológií a protokolov by mal byť schopný samostatnej práce v systéme, a to hlavne pre
intuitívne usporiadanie položiek tohto prostredia. Aj z toho dôvodu je v teoretickej časti
práce vynechávaná obrazová dokumentácia a nie je poukazované na konkrétne
nastavenia formou návodu. Systém pracuje s rozhraniami typu ethernet s rýchlosťami
10Mbps – 1Gbps a bezdrôtovými adaptérmi.
2.3.1 SMEROVANIE
Smerovanie je nosným prvkom komunikácie v prostredí IP sietí. Z názvu operačného
systému RouterOS vyplýva, že táto funkcionalita je jeho základnou zložkou. V systéme je
možné definovať statické smerovanie v grafickom aj príkazovom prostredí. Každá
definícia je v systéme zobrazená ako samostatná entita, ktorú možno upraviť, zakázať
alebo povoliť. Okrem statického smerovania systém pozná nasledovné dynamické
protokoly pre adresný priestor IPv4: RIP v1, v2; OSPF v2 a BGP v4. Pre adresný priestor
IPv6 sú to: RIPng, OSPF v3 a BGP. Okrem týchto štandardných protokolov podporuje aj
VRF a ECMP smerovanie. V posledných verziách RouterOS implementuje aj MPLS.
Špecifickým prostredím pre smerovanie sú bezdrôtové siete, kde okrem vyššie uvedených
protokolov možno aplikovať protokol MME alebo vlastné rozšírenie protokolu HWMP
nazývané HWMP+ [3].
2.3.2 PREPÍNANIE Prepínanie je účastné aj v procese smerovania, jeho samostatná aplikácia sa v systéme
zväčša nepoužíva. Napriek tomu je možné systém používať ako plnohodnotný prepínač.
Rozhrania, ktoré budú účastné pri prepínaní, je nutné pridať do jedného virtuálneho
rozhrania, ktoré sa v systéme nazýva bridge (sieťový most). Pre zamedzenie cyklenia dát
v prepínacej sieti systém podporuje protokoly STP a RSTP. Systém tiež podporuje
virtuálne siete tzv. vlan, kde môžu existovať samostatné virtuálne siete v rámci jednej
reálnej podľa protokolu IEEE 802.1Q.
22
2.3.3 OSTATNÉ FUNKCIE
Okrem základných sieťových operácií systém podporuje veľké množstvo služieb. Rozsah
práce nie je dostatočný na to aby boli všetky podrobne rozpisované, a tak budú
spomenuté len niektoré kľúčové možnosti systému.
V oblasti bezdrôtových adaptérov poskytuje rozsiahle konfiguračné možnosti.
V súčasnosti podporuje zariadenia štandardov 802.11a, b, g. Vo verzii 4.x je pripravovaná
podpora 802.11n [4]. V tejto oblasti disponuje mnohými nástrojmi pre skenovanie
dostupných sietí, zachytávanie bezdrôtovej komunikácie, zisťovanie využitia
frekvenčného spektra a iné. Spoločnosť Mikrotik, Ltd. implementovala do systému
vlastný protokol Dual-Nstreme, ktorý dokáže reálne zvýšiť prietokové možnosti
bezdrôtového spojenia. Funkcionalitu bezdrôtových sietí rozširuje služba hotspot, ktorá
umožňuje autorizovať pripájaných užívateľov v prostredí vlastného web servera, ktorého
obsah je možné ľubovoľne upraviť.
V oblasti VPN je možné konfigurovať server a klient protokolov PPTP, L2TP, OpenVPN
a PPPoE. Konfigurovať je možné aj IPsec tunely. Systém obsahuje sekciu firewall kde je
možné definovať množstvo parametrov pre filtrovanie, označovanie a obmedzovanie
dátovej prevádzky. Pre zvýhodňovanie istých typov sieťovej prevádzky pred inými a ich
rýchlostné obmedzovanie slúži nástroj Queue. Systém umožňuje vytvárať rôzne grafy
a umožňuje prístup k hodnotám prostredníctvom protokolu SNMP vo verziách 1, 2 a 3.
Zabezpečenie spojenia poskytuje aj možnosť konfigurovať RADIUS server. RouterOS je
vybavený množstvom diagnostických nástrojov pre skúmanie stavu siete, a to najmä
oblasť dostupnosti uzlov, šírky prenosového prostredia a zobrazovania a zachytávania
aktuálnej dátovej prevádzky.
2.4 FUNKCIE A MOŽNOSTI V ZÁVISLOSTI OD HARDVÉRU
Systém RouterOS je k dispozícii vo verziách pre nasledovné platformy: mipsle, x86,
PPC, mipsbe a iné x86/Intel/amd PC.
Všeobecne platí, že všetky funkcie systému možno využívať na minimálnej hardvérovej
konfigurácii: Embedded device 133MHz mipsle procesor, 16MB operačnej pamäti,
16MB pevnej pamäti, vyžaduje sériové a sieťové rozhranie. Výkon systému je však na
uvedenej konfigurácii značne obmedzený, preto je vhodný napr. na nasadenie ako
smerovač koncového uzla.
23
S narastajúcim výkonom hardvéru samozrejme narastá výkon celého systému, a teda aj
dátová priepustnosť. V súčasnej verzii (3.19) je možné nasadiť systém na
viacprocesorové zariadenia s maximálne 2GB operačnej pamäte, podporuje viacjadrové
procesory. RouterOS používa súborový systém ext2fs, od verzie 3.15 umožňuje
manažment viacerých pevných diskov [5].
2.4.1 VHODNOSŤ POUŽITIA NA KONKRÉTNYCH PLATFORMÁCH
Najčastejšie sa systém RouterOS využíva na tzv. embedded zariadeniach, teda na
jednoúčelových zariadeniach integrujúcich procesor, pamäte a rozhrania na jednu dosku
plošného spoja. Takýmito zariadeniami sú aj tzv. RouterBoard, ktoré vyrába spoločnosť
Mikrotik, Ltd. Zariadenia majú niekoľko portov typu miniPCI, ktoré môžu byť osadené
bezdrôtovým adaptérom alebo rozhraním 3G. Systém pre rozpoznanie bezdrôtových
kariet používa linuxový ovládač MADWIFI. Embedded zariadenia sú zväčša napájané
jednosmerným napätím od 12 do 48V. Práve ich rozmer a možnosť napájania umožňuje
ich nasadenie v neprístupnom prostredí, napríklad na konštrukcií anténneho stožiara
a podobne. Primárne bývajú nasadené ako bezdrôtové smerovacie zariadenia. Okrem
RouterBoard je na trhu mnoho podobných zariadení, na ktoré je možné systém aplikovať.
Sú to napríklad zariadenia s názvom Wrap a Alix s procesormi AMD od spoločnosti PC
Engines GmbH, zariadenia RouterStation od spoločnosti UBIQUITI NETWORKS,
zariadenia spoločnosti Soekris Engineering, Inc. a iné.
Druhým typom zariadení, na ktoré sa systém aplikuje bývajú výkonné viacprocesorové
smerovače, resp. prepínače. Takéto zariadenie so systémom RouterOS je schopné
vytvárať stovky tunelových spojení, obmedzovať a filtrovať veľké množstvo
pretekajúcich dát, kryptovať sieťovú prevádzku a iné. Jedno z najvýkonnejších zariadení
vyrobených pre systém RouterOS je PoweRouter 2200 vyrobený spoločnosťou Link
Technologies, Inc. Zariadenie má 22 gigabitových sieťových portov a dva 4-jadrové Intel
Xeon procesory.
2.2.2 IDENTIFIKÁCIA NEDOSTATKOV
Počas vývoja tejto práce som pri konfigurácii nenatrafil na žiadne kľúčové nedostatky
v operačnom systéme. Pri použití niektorých smerovacích protokolov som zaznamenal
anomálie, ktoré prestali vznikať po aktualizácií systému, preto odporúčam používať na
zariadeniach účastných v danej sieťovej infraštruktúre vždy rovnakú verziu systému.
24
Výkon systému je samozrejme obmedzený dostupnými prostriedkami hardvéru, a preto je
potrebné zvážiť, aké zariadenie je pre dané použitie postačujúce. Systém poskytuje
vlastné skriptovacie rozhranie. To však neposkytuje možnosť ladenia kódu, a tak je
niekedy zložité nájsť chybu v rozsiahlom skripte. Tento nedostatok by malo odstrániť
nasadenie známeho programovacieho rozhrania Lua, ktoré je plánované vo verzii 4.
V súčasnosti je často skloňovaná virtualizácia, ktorá je v systéme už čiastočne
podporovaná, jej plnohodnotnú verziu však možno očakávať až vo verzii 4. Za nedostatok
systému sa dá považovať aj to, že systém poskytuje len tie funkcie, ktoré sú obsiahnuté
v systémových balíkoch spoločnosti Mikrotik, Ltd. Počas práce som však nenašiel žiadnu
kľúčovú funkciu, ktorá by v systéme chýbala.
25
3.0 VYTVORENIE TESTOVACEJ SIETE S POUŽITÍM ROUTEROS
Pre testovanie som navrhol dve základné aplikácie zariadenia s inštalovaným systémom
RouterOS, t.j. smerovanie a prepínanie.
3.1 APLIKÁCIA SMEROVAČA S ROUTEROS
V smerovacom prostredí navrhujem redundantnú smerovaciu infraštruktúru pre pripojenie
podnikovej siete. Do siete musí byť možné pristupovať vzdialene. Zdrojová (verejná)
adresa zariadení komunikujúcich z vnútornej siete smerom von musí byť nemenná.
3.3.1 REALIZÁCIA SMEROVACEJ SIETE
Pre účel redundancie použijem na pripojenie hlavného smerovača do siete internet dva
smerovače s RouterOS a modem mobilného poskytovateľa. Pre účel zachovania jednej
výstupnej (zdrojovej) adresy a možnosť prístupu do vnútornej siete bude pripojenie
realizované dynamickým tunelom.
Na obrázku 1 je znázornená schéma zapojenia.
Obr. 1 Schéma zapojenia smerovacej siete
26
27
Popis hlavných zariadení v schéme na obrázku 1:
1.ISP 1 – brána – smerovač RB600 - jednoúčelová procesorová doska od spoločnosti
Mikrotik s architektúrou PPC s predinštalovaným systémom RouterOS v. 3.22
2.ISP 1 – záloha – smerovač RB532 - jednoúčelová procesorová doska od spoločnosti
Mikrotik s architektúrou MIPSLE s predinštalovaným systémom RouterOS v.
3.22
3.ISP 2 – modem mobilného poskytovateľa
4.ISP 1 – centrálna serverovňa – smerovač architektúry x86 s inštalovaným systémom
RouterOS v. 3.22
5.Hlavný smerovač - smerovač RB450 - jednoúčelová procesorová doska od
spoločnosti Mikrotik s architektúrou MIPSBE s predinštalovaným systémom
RouterOS v. 3.22
3.1.2 KONFIGURÁCIA V PROSTREDÍ SMEROVANIA
Nastavenie ISP 1 – brána:
Nastavenie smerovania OSPF:
Konfigurácia je z grafického prostredia WINBOX a týka sa len rozhrania pripojeného
k hlavnému smerovaču. Na obrázku 2 je znázornené priradenie IP adresy a na obrázku 3
organizácia smerovacích protokolov grafického prostredia WINBOX.
Obr. 2 Priradenie IP adresy Obr. 3 Smerovanie vo WINBOX
Pridanie nového autonómneho systému pre smerovanie v protokole OSPF je znázornené
na obrázku 4. Konfigurácia identifikátora smerovača je zobrazená na obrázku 5.
Obr. 4 Vytvorenie autonómneho systému Obr. 5 Definovanie ID smerovača
Nastavenie aktívneho rozhrania pre OSPF je zobrazené na obrázku 6. Obrázok 7
zobrazuje pridanie siete, ktorá bude distribuovaná v autonómnom systéme OSPF.
Obr. 6 Nastavenie OSPF rozhrania Obr. 7 Priradenie smerovanej siete
28
Nastavenie ISP 1 – záloha:
Toto pripojenie je sekundárnou cestou a jeho konfigurácia je veľmi podobná ako
v predošlom prípade. Z tohto dôvodu uvádzam konfiguráciu z príkazového prostredia.
Nastavenie IP adresy: ip address add address=172.22.1.13/30 interface=ether3
Nastavenie smerovania: >routing ospf set router-id=172.22.1.2 >routing ospf area add name=AS1 area-id=0.0.0.1 >routing ospf interface add interface=ether3 authentication=md5 authentication-key=heslo >routing ospf network add network=172.22.1.12/30 area=AS1
Nastavenie ISP 1 centrálna serverovňa:
Pre tunel z hlavného smerovača som použil typ OpenVPN. Systém RouterOS vyžaduje na
strane OpenVPN servera TSL certifikát. Komunikácia však striktne nevyžaduje klientský
certifikát.
Vytvorenie certifikátu:
>certificate create-certificate-request – Príkazom sa spustí sprievodca Z vygenerovaného súboru je možné získať certifikačný súbor rôznym spôsobom,
v mojom prípade som použil portál www.cacert.org.
Import certifikátu: >certificate import file-name=certificate-response.pem >certificate import file-name=private-key.pem
Následná konfigurácia OpenVPN servera je zobrazená na obrázku 8.
29
Obr. 8 Konfigurácia OpenVPN servera
Rovnaká konfigurácia v príkazovom prostredí konzoly vyzerá nasledovne:
>interface ovpn-server server set enabled=yes mode=ip netmask=30 default-profile=default certificate=cert1 require-client-certificate=no auth=sha1,md5
Definícia nového účtu OpenVPN servera pre prihlásenie klienta je znázornená na
obrázku 9.
30
Obr. 9 Pridanie OpenOVP účtu
Rovnaká definícia sa v príkazovom prostredí realizuje nasledovne: >ppp secret add name=bakalarka service=ovpn password=heslo profile=default local-address=172.22.254.1 remote-address=172.22.254.2
Konfigurácia prekladu lokálnych adries na verejnú je zobrazená na obrázkoch 10 a 11.
31
Obr. 10 Určenie zdrojových adries pre preklad
Obr. 11 Definícia prekladu adries
V príkazovom prostredí konzoly sa preklad adries definuje nasledovne: >ip firewall nat add chain=srcnat src-address=172.22.254.2 action=src-nat to-addresses=verejna adresa V sekcii NAT, firewallu systému RouterOS sa definujú aj presmerovania požadovaných
portov na hlavnú bránu resp. smerom do lokálnej siete.
32
Hlavný smerovač:
Na hlavnom smerovači sú zadané statické IP adresy podľa obrázka 12. Dynamická adresa
je nastavená na rozhraní, ktoré sa spája s modemom mobilného poskytovateľa.
Obr. 12 Aktivácia DHCP klienta
Obr. 11 Pridanie statickej adresy
Pri dostupnosti mobilného pripojenia (obrázok 12) systém pridáva do smerovacej tabuľky
hlavný smer s metrikou 115. Tento smer je využívaný v prípade nedostupnosti oboch
OSPF liniek.
Konfigurácia IP adries v konzole vyzerá nasledovne: >ip address add address=172.22.2.1/24 interface=ether1 >ip address add address=172.22.1.18/30 interface=ether2 >ip address add address=172.22.1.14/30 interface=ether3 >ip dhcp-client add interface=ether4 host-name=workS1 add-default-route=yes default-route-distance=115
33
Konfigurácia smerovania OSPF:
Z dôvodu podobnosti konfigurácie nižšie uvedenej sekcie s predošlou, uvádzam len
príkazové prostredie: 1. >routing ospf set router-id=172.22.2.1 2. >routing ospf area add name=AS1 area-id=0.0.0.1 3. >routing ospf interface add interface=ether2 authentication=md5 authentication-key=heslo 3. >routing ospf interface add interface=ether3 authentication=md5 authentication-key=heslo 5. >routing ospf network add network=172.22.1.16/30 area=AS1 6. >routing ospf network add network=172.22.1.12/30 area=AS1
Prvým príkazom sa nastavuje identifikátor smerovača, druhým názov a identifikátor
autonómneho systému protokolu OSPF. Tretí a štvrtý príkaz definuje aktívne OSPF
rozhrania. Posledné dva príkazy pridávajú adresy sietí aktívnych v autonómnom systéme
OSPF smerovania.
Pre preklad adries lokálnej siete na hlavnom smerovači je použitý príkaz: >ip firewall nat add chain=srcnat src-address=172.22.2.0/24 action=masquerade
Konfigurácia DHCP servera:
Pre konfiguráciu DHCP servera poskytuje systém špeciálneho sprievodcu. Jednotlivé
kroky konfigurácie sú zobrazené na obrázkoch 13, 14 a 15.
Obr. 13 Výber rozhrania pre DHCP server
34
35
Obr. 14 Rozsah adries a čas ich pridelenia Obr. 15 Definícia DHCP siete, nastavenie brány a adresy DNS servera
V príkazovom prostredí sa DHCP server konfiguruje nasledovne: gateway for dhcp network: 172.22.2.1
>ip dhcp-server setup Select interface to run DHCP server on Select pool of ip addresses
given out by DHCP server dhcp server interface: ether1 addresses to give out: 172.22.2.2-172.22.2.254
Select network for DHCP addresses
Select DNS servers dhcp address space: 172.22.2.0/24 dns servers: 172.22.2.1
Select lease time Select gateway for given network lease time: 3d
Nastavenie DNS servera:
DNS server, ktorý odpovedá na DNS požiadavky sa v príkazovom prostredí nastavuje
nasledovne: >ip dns set primary-dns=adresa_servera allow-remote-requests=yes
Rovnaká konfigurácia v grafickom prostredí je znázornená na obrázku 16.
Obr. 16 Konfigurácia DNS servera
Konfigurácia OpenVPN klienta je zobrazená na obrázku 17.
Obr. 17 Konfigurácia OpenVPN klienta
36
Príkaz pre konfiguráciu v príkazovom prostredí : >interface ovpn-client add name=oVPN connect-to=adrea_openVPN_serv port=1194 mode=ip user=bakalarka password=heslo profile=default certificate=none auth=none cipher=none add-default-route=no Nastavenie statického smerovania cez tunel:
Smerovač sám osebe disponuje nastavením hlavných smerov z protokolu OSPF a DHCP
klienta z mobilného pripojenia. Pre dáta pochádzajúce z vnútornej siete podniku je
potrebné definovať smerovanie cez OpenVPN tunel. Pre tento účel je potrebné najskôr
označiť pakety pochádzajúcich z vnútornej siete, čo je zobrazené na obrázkoch 18 a 19.
Obr. 18 Označenie paketov
37
Obr. 19 Označenie paketov – pridanie názvu
Rovnaká konfigurácia v príkazovom prostredí: >ip firewall mangle add chain=prerouting action=mark-routing new-routing-mark=localInput passthrough=yes src-address=172.22.2.0/24
Pridanie hlavného smeru je zobrazené na obrázku 20.
Obr. 20 Pridelenie hlavného smeru
38
Rovnaká konfigurácia pre príkazové prostredie: >ip route add gateway=172.22.254.1check-gateway=ping distance=1 routing-mark=localInput
Po dokončení konfigurácie som otestoval jej funkčnosť a zistil som, že pri výpadku
spojenia z oboch smerovačov ISP 1 sa tunel vytočí prostredníctvom mobilného
pripojenia. Po obnove spojení tunel zostane vytočený mobilným spojením. Nakoľko je
toto spojenie určené ako záložné, je dôležité aby sa po obnovení hlavných pripojení tunel
vytočil práve ním.
Pre odstránenie tohto problému som napísal skript, ktorý kontroluje počet entít
v smerovacej tabuľke a v prípade zmeny reštartuje tunel.
Zdrojový kód skriptu: :global routecount :if ([/ip route print count-only ]!=routecount) do={ /interface ovpn-client disable 0 :delay 6 /interface ovpn-client enable 0 :delay 6 :set routecount [/ip route print count-only] } Vytvorený skript som následne vložil do systému, čo je znázornené na obrázku 21
a pridal som jeho pravidelné spúšťanie podľa obrázku 22.
Script sa spustí každých 20 sekúnd a doba, počas ktorej sa reštartuje tunel, je 6 sekúnd.
Z uvedeného vyplýva, že teoretický maximálny čas nedostupnosti pripojenia je 26
sekúnd.
39
Obr. 22 Nastavenie spúšťania skriptu
Obr. 21 Vloženie skriptu
3.1.3 TESTOVANIE A ANALÝZA ZAPOJENIA
Zapojenie som testoval prerušovaním liniek, odpájaním napájania zariadení, zámerne
chybovou konfiguráciou adries a kombináciou spomínaných možných porúch.
Zaznamenal som 30 časových intervalov nedostupnosti siete v smere od hlavného
smerovača von a 30 v opačnom smere.
Tab. 2 Testovanie dostupnosti v smere z hlavného smerovača č. pokusu 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15doba (s) nedostupnosti 0 5 40 7 0 0 15 6 3 5 0 0 0 0 15
č. pokusu 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30doba (s) nedostupnosti 8 0 12 0 47 0 0 0 0 12 0 3 0 0 0
Najvyššia a najnižšia hodnota: 47s, 0s
Priemerná hodnota: 5,93¯s
40
Tab. 3 Testovanie dostupnosti v smere na hlavný smerovač č. pokusu 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15doba (s) nedostupnosti 26 8 23 8 0 28 7 16 16 8 11 16 7 16 26
Č. pokusu 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30doba (s) nedostupnosti 10 7 17 25 18 - 8 8 20 12 21 14 8 37 9
Najvyššia a najnižšia hodnota: úplná nedostupnosť, 0s
Priemerná hodnota: 18,5s
3.1.4 ZHODNOTENIE A IDENTIFIKÁCIA PROBLÉMOV Pri testovaní v smere z hlavného smerovača som dosiahol akceptovateľné výsledky, došlo
však k viacerým anomáliám vo fáze spracovania paketov pri NAT na hlavnom smerovači.
Pakety pochádzajúce z adresy na rozhraní oVPN smerovača nemali jednoznačne korektne
definované smerovanie. Z dôvodu použitia prekladania adries zo segmentu vnútornej
podnikovej siete práve na adresu vyššie spomínaného rozhrania je potrebné jednoznačné
definovanie smeru. Pre vyriešenie tohto problému som doplnil nasledujúcu konfiguráciu: >ip firewall mangle add chain=output action=mark-routing new-routing-mark=localInput passthrough=no src-address=172.22.254.2
Pri testovaní v smere do hlavného smerovača došlo pri pokuse č. 21 k neúspešnému
vytočeniu tunela, ktoré sa prerušilo vo fáze autentifikácie. Táto chyba vyústila
do celkovej nedostupnosti siete. Problém som vyriešil rozšírením a drobnou úpravou
skriptu.
Upravený kód: :global routecount :if ([/ip route print count-only ]!=routecount) do={ /interface ovpn-client disable 0 :delay 3 /interface ovpn-client enable 0 :delay 13 :set routecount [/ip route print count-only] } :if ([/ping 172.22.254.1 count=5]=0) do={ /interface ovpn-client disable 0 :delay 2 /interface ovpn-client enable 0 :log info "neuspesne vytoceny tunel!!!" }
41
Skript po overení zmien v smerovacej tabuľke preverí ICMP paketom funkčnosť tunela,
po piatich neúspešných pokusoch skript reštartuje tunel a zapíše do sekcie Log
informáciu. Takto konfigurované zariadenie sa po 3. dni testovania ukázalo ako
spoľahlivé a funkčné.
3.2 APLIKÁCIA PREPÍNAČA S ROUTEROS
V zapojení prepínacej siete bola testovaná interoperabilita systému a jednotlivých
protokolov so systémom Cisco IOS.
3.2.1 REALIZÁCIA PREPÍNACEJ SIETE
Pre komplexnú demonštráciu som navrhol prepínaciu sieť s použitím systému Cisco IOS
a RouterOS v redundantnej STP doméne so smerovačom s RouterOS, ktorý redundantne
smeruje segmenty vlan 10 a vlan 99 medzi sebou a zabezpečuje link aggregation.
V nasledujúcom zapojení sa systém RouterOS vyskytuje aj v nasadení smerovač aj
prepínač.
Schéma zapojenia:
Obr. 23 Schéma zapojenia prepínacej siete
42
Tab. 4 Adresný priestor pre jednotlivé vlan segmenty Tab. 5 Adresy rozhraní
vlan ID adresný priestor 10 172.22.0.0/27 20 192.168.20.0/24 99 192.168.254.0/24
RB433 RB450 port adresa port Adresa 2,3 192.168.254.1/24 1,5 192.168.254.101/24vlan 20 192.168.20.1/24
Tabuľky 4 a 5 popisujú aké adresné priestory sú definované v jednotlivých vlan sieťach
a aké adresy sú definované na konkrétnych rozhraniach zariadení.
Popis hlavných zariadení v schéme na obrázku 23:
6.Catalyst 3548 XL – 48-portový prepínač od spoločnosti Cisco s inštalovaným
operačným systémom IOS 12.0(5)WC17
7.RB433 – jednoúčelová procesorová doska od spoločnosti Mikrotik s architektúrou
MIPSLE s predinštalovaným systémom RouterOS v. 3.22 v zapojení smerovač
8.RB450 – jednoúčelová procesorová doska od spoločnosti Mikrotik s architektúrou
MIPSLE s predinštalovaným systémom RouterOS v. 3.22 v zapojení vlan
prepínač
9.RB532 – jednoúčelová procesorová doska od spoločnosti Mikrotik s architektúrou
MIPSBE s predinštalovaným systémom RouterOS v. 3.22 v zapojení koncový
uzol
10. RB600 – jednoúčelová procesorová doska od spoločnosti Mikrotik s architektúrou
PPC s predinštalovaným systémom RouterOS v. 3.22 v zapojení koncový uzol
11. Smerovač vlan 10 – externé zariadenie demonštrujúce komunikáciu s RB532
v oddelenej vlan sieti
12. Konfiguračný počítač siete vlan 99 smerovaný do siete vo vlan 20
Aplikácia vlan v prostredí RouterOS:
V prepínacích sieťach sa často vyskytujú problémy v konfigurácii, ktoré vznikajú najmä
pre rôznu názvovú konvenciu súvisiacich entít v operačných systémoch. Tieto sú
popísane v tabuľke 6.
43
44
Tab. 6 Porovnanie názvovej konvencie IOS a RouterOS Všeobecne Cisco IOS RouterOS
vlan virtuálne rozhranie definované jedinečným ID
virtuálne rozhranie definované na fyzickom alebo virtuálnom rozhraní s jedinečným ID
rozhranie, ktoré dáta opúšťajú bez prídavného tagu (vlan) v hlavičke paketu
vlan access port, ktorý je definovaný na fyzickom rozhraní
fyzický port, ktorý môže byť spolu s vlan rozhraním súčasťou bridgu
rozhranie, ktoré dáta opúšťajú s prídavným tagom (vlan) v hlavičke paketu
trunk port, ktorý je definovaný na fyzickom rozhraní.
fyzické alebo virtuálne rozhranie, na ktorom sú vytvorené vlan rozhrania
ID vlan, z ktorej pakety opúšťajúce trunk port neobsahujú tag (vlan)
trunk native vlan, definovaný na trunk porte -
3.2.2 KONFIGURÁCIA V PREPÍNACOM PROSTREDÍ
V popise zapojenia smerovacej siete som uvádzal kompletnú konfiguráciu zariadení.
V tejto časti sa zameriam len na hlavné nastavenia.
Cisco catalyst 3548 XL:
Pred výpisom konfigurácie je potrebné uviesť, že prepínacie parametre a formát príkazov
sa môže líšiť v závislosti od verzie systému IOS.
Nastavenie štandardných trunk portov: Interface FastEthernet 0/1 switchport trunk encapsulation dot1q switchport trunk native vlan 99 switchport trunk allowed vlan 1,10,20,99 switchport mode trunk
interface FastEthernet0/48 switchport trunk encapsulation dot1q switchport trunk native vlan 99 switchport trunk allowed vlan 1,10,20,99 switchport mode trunk
Tieto konfigurované trunk porty sú pripojené k prepínaču RB450 a vytvárajú redundantný
okruh v spoločnej STP doméne.
Nastavenie redundantného (bonding) trunk spojenia na smerovač sa v prostredí IOS
realizuje nasledovne:
interface FastEthernet0/17 port group 1 switchport trunk encapsulation dot1q switchport trunk native vlan 99 switchport trunk allowed vlan 1,20,99 switchport mode trunk
interface FastEthernet0/33 port group 1 switchport trunk encapsulation dot1q switchport trunk native vlan 99 switchport trunk allowed vlan 1,20,99 switchport mode trunk
Nastavenie prístupových portov: interface FastEthernet0/16 switchport access vlan 10 spanning-tree bpdufilter enable interface FastEthernet0/47 switchport access vlan 99 spanning-tree portfast
Nastavenie vlan rozhraní: interface VLAN1 shutdown interface VLAN99 ip address 192.168.254.100 255.255.255.0 ip default-gateway 192.168.254.1
Nastavenie RB450 ako prepínač s RouterOS:
Pre funkciu prepínača je nutné v systéme definovať virtuálne rozhrania bridge pre každú
vlan samostatne (okrem natívnej) nasledovne: Interface bridge add name=br_trunk arp=enabled protocol-mode=rstp Interface bridge add name=br_vlan10 Interface bridge add name=br_vlan20 Následne je nutné pridať virtuálne rozhrania vlan s ich identifikátorom: Interface vlan add name=vlan10 vlan-id=10 interface=br_trunk Interface vlan add name=vlan20 vlan-id=20 interface=br_trunk
Vyššie uvedené virtuálne rozhrania sa spolu s reálnym rozhraním pridávajú do bridge
nasledovne: Interface bridge port add interface=ether1 bridge=br_trunk Interface bridge port add interface=ether2 bridge=br_vlan10 Interface bridge port add interface=ether3 bridge=br_vlan20 Interface bridge port add interface=ether5 bridge=br_trunk Interface bridge port add interface=vlan10 bridge=br_vlan10 Interface bridge port add interface=vlan20 bridge=br_vlan20
45
Zobrazenie stavu portov v rámci rozhrania „bridge br_trunk“ (porty ether1 a ether5), v prostredí WINBOX je zobrazené na obrázkoch 24 a 25.
Obr. 24 Stav portu ether1 Obr. 25 Stav portu ether5
V konfigurácii RouterOS sa nevyskytuje vlan 99, ktorá je v prostredí IOS definovaná ako
„native vlan“. Z tabuľky 6 vyplýva, že pakety pochádzajúce z tejto vlan komunikujú
s virtuálnym rozhraním br_trunk systému RouterOS.
Nastavenie smerovača RB433:
Hlavnou úlohou zariadenia RB433 s inštalovaným systémom RouterOS je smerovať
medzi sebou siete vlan 99 a vlan 20.
Nastavenie bonding rozhrania sa v prostredí konzoly realizuje nasledovne: Interface bonding add name=bond_trunk slaves=ether2,ether3 mode=balance-rr link-monitoring=mii-type2 Nasleduje konfigurácia vlan rozhrania:
Interface vlan add name=vlan20 mtu=1500 vlan-id=20 interface=bond_trunk
Adresy rozhraní sú nastavené podľa tabuľky 5. Štruktúru jednotlivých rozhraní a ich
organizáciu v prostredí WINBOX zobrazuje obrázok 26.
46
Obr. 26 Štruktúra rozhraní vo WINBOX
3.2.3 TESTOVANIE A ANALÝZA ZAPOJENIA
Konfiguračné možnosti bonding:
Systém RouterOS umožňuje použiť štyri rôzne módy pre dosiahnutie redundancie a link
aggregation v konfigurácii bonding:
1. 802.3ad:
Dynamické delenie linky. Každé fyzické rozhranie v bonding zdieľa rovnakú rýchlosť.
Ak je medzi dvoma uzlami používajúcimi technológiu link aggregation umiestnený
prepínač, musí tento podporovať štandard IEEE 802.3ad.
2. Ballance alb a tlb:
Adaptívne prerozdeľovanie dát podľa vyťaženosti rozhraní. Tento mód je závislý od
použitého hardvéru, ktorý túto technológiu podporuje. Mikrotik v súčasnosti nevyrába
žiadne zariadenia s tlb implementáciou. Verzia alb by mala byť podporovaná od verzie
3.22. V mojom zapojení v kooperácii s IOS nepracuje spoľahlivo.
3. Ballance-rr (round-robin load ballancing):
Fyzické rozhrania v bonding posielajú a prijímajú dáta v sekvenčnom poradí.
4. Ballance-XoR:
Pre smerovanie dát používa xor politiku. Mikrotik v oficiálnych zdrojoch deklaruje, že
v súčasnosti nepodporuje link aggregation v tomto móde.
47
Testovanie redundancie a link aggregation:
Pre účely testovania som použil klient - server aplikáciu b-test, ktorá je implementovaná
aj v systéme RouterOS. Aplikácia generuje TCP alebo UDP komunikáciu k zvolenému
uzlu alebo v smere od neho. Testoval som rýchlosť prietoku dát medzi počítačom vo vlan
99 (podľa obrázka 22) a zariadením RB600 vo vlan 20.
Počas testovania som zistil, že v móde 802.3ad v nastaveniach bonding na zariadení
RB433 je link aggregation nefunkčný. Počas viacerých pokusov v móde 802.3ad došlo
k úplnej nedostupnosti a spojenie bolo obnovené až po reštarte zariadenia Cisco catalyst
3548XL. Preto som testovanie v tomto móde 802.3ad a ballance-alb vynechal
a považujem ich za nevhodné pre použitie s IOS zariadeniami. Výsledky testov sú
zobrazené v tabuľke 7.
Tab. 7 Rýchlosť dát a jej agregácia na rozhraní bonding Rýchlosť v Mb/s
POČÍTAČ RB 433 bonding Tx Rx Smer dát
počítača Bonding mód TX Rx Ether2 Ether3 Ether2 Ether3 Ballance XoR
45 - 0,4 49 49 0,4 Odosielanie
Ballance-rr 46 - 24,7 25,1 49,7 0 Ballance XoR
- 91 96 1,7 1,6 96 Prijímanie
Ballance-rr 91,6 49 48,7 97 0 Ballance XoR
35,1 35,2 37,3 37,4 37,6 37,3 Obojsmerne
Ballance-rr 35,3 35 37,4 37,6 75 0 kde Tx – smer posielanie dát
Rx – smer prijímania dát
Popri konfigurácii som zaregistroval dlhšie časové intervaly pre zotavenie bonding
rozhrania po zmene v jeho konfigurácií na strane systému RouterOS. Priemerná doba
zotavenia je 32s.
48
3.3.4 ZHODNOTENIE ZAPOJENIA PREPÍNACEJ SIETE
Z tabuľky 6 vyplýva, že oba testované módy správne prerozdeľovali rýchlosť.
Obojsmernú komunikáciu som zámerne obmedzil tak, aby sa rýchlosť odosielania
približne rovnala rýchlosti prijímania. V zapojení boli použité zariadenia s fyzickými
portami typu ethernet s rýchlosťou 100Mbps a sieťové káble kategórie 5e v dĺžke
maximálne 3m. Je nutné zdôrazniť, že bonding býva často nasadzovaný v prostrediach,
kde rozhrania, ktoré ho tvoria, majú rôzne prenosové vlastnosti a pakety, ktoré nimi
putujú, nemajú zhodný čas, za ktorý dosiahnu cieľ. Napríklad bezdrôtové spojenia.
V takýchto prostrediach je funkcia link aggregation obmedzená alebo nefunguje vôbec
a bonding zabezpečuje len redundanciu.
Aplikácia systému RouterOS v prepínacom prostredí je vhodná napríklad v prípade
potreby rozšírenia vlan siete v mieste, kde je obmedzená fyzická infraštruktúra.
V testovanom zapojení som použil zariadenie RouterBoard 450 s predinštalovaným
systémom RouterOS. Toto zariadenie má malé rozmery (90x116 mm) a v čase tvorby
tejto práce sa jeho koncová cena na slovenskom trhu pohybovala okolo 75 EUR, vrátane
skrinky pre vnútorné použitie a 24V napájacieho zdroja. V dobe spracovania mojej práce
(apríl 2009) bola vydaná aj nová verzia RouterOS v. 3.23, ktorá prináša rozšírenie vlan
aplikácie o protokol 802.1ad, teda umožňuje užívateľom pripojeným do jednej vlan
vytvárať ďalšie, vlastné vlan rozhrania.
49
4 SUMARIZÁCIA A INTERPRETÁCIA DOSIAHNUTÝCH POZNATKOV
Počas konfigurácie, testovaní a práce v operačnom systéme RouterOS som si osvojil
prácu v príkazovom aj grafickom prostredí tohto systému. Na tomto mieste by som rád
interpretoval niektoré praktické poznatky, ktoré môžu pomôcť sieťovým administrátorom
začínajúcim prácu práve v systéme RouterOS. Špecifickým zhrnutím vedomostí
o systéme je aj multimediálna príručka, ktorá tvorí samostatnú prílohu.
4.1 PRAKTICKÉ POZNATKY POUŽÍVANIA KONFIGURAČNÝCH ROZHRANÍ Pri vykonávaní operácií v rámci konkrétneho systému je pre sieťového administrátora
najdôležitejšia orientácia v prostredí, aby mohol v systéme rýchlo nájsť požadovanú
položku a vykonať konfiguráciu. Počas práce som v rámci narábania so systémom
RouterOS narazil na isté skutočnosti a poznatky, ktorých interpretáciu považujem za
významný prínos, nakoľko môžu administrátorom umožniť zjednodušenie práce.
4.1.1 PRAKTICKÉ POZNATKY Z POUŽÍVANIA WINBOX
Pri pripájaní pomocou IP adresy (komunikácia na sieťovej vrstve) je dôležité
komunikovať s použitím zabezpečenia a je vhodné ukladať si relácie do pamäte pre lepšiu
orientáciu v zariadeniach. Pri použití MAC adresy (2. vrstva OSI modelu) sa nepoužíva
zabezpečenie ani možnosť zobraziť naposledy konfigurované položky systému.
V opačnom prípade dochádza k „zamrznutiu“ konfiguračného okna a systém automaticky
preruší komunikáciu. Prihlasovacie okno rozhrania WINBOX je zobrazené na obrázku
27. Po 2. vrstve OSI je možné konfigurovať zariadenie aj na bezdrôtovom rozhraní.
50
Obr. 27 Prihlasovacie okno aplikácie WINBOX
Po prihlásení do konfiguračnej obrazovky systému si užívateľ môže pravým tlačidlom
myši na hornom panely zobraziť aktuálnu hodnotu využitia procesora a pamäte. Takto má
administrátor okamžitý prehľad o dopade jeho konfigurácie na celkový výkon systému.
Priamo z prostredia WINBOX je možné prihlasovať sa do konzoly susedného zariadenia
RouterOS, a to aj v prípade, že toto zariadenie neobsahuje žiadnu sieťovú konfiguráciu.
Pripojenie sa realizuje v sekcii IP Neighboors kliknutím pravým tlačidlom myši na
zariadenie a výberom voľby MAC telnet.
4.1.2 PRAKTICKÉ POZNATKY Z POUŽÍVANIA KONZOLY
Konzola systému RouterOS je prehľadne delená do sekcií podobne ako prostredie
WINBOX. V jednotlivých sekciách si užívateľ môže zobraziť možné príkazy a subsekcie
zadaním znaku „?“ z klávesnice. Používanie tohto znaku odporúčam používať vo
všetkých krokoch konfigurácie, čím si hlavne nový užívateľ zaručí správnosť zadaných
parametrov na správnom mieste. Pri písaní jednotlivých príkazov je nápomocný aj kláves
Tab, ktorý za užívateľa dopíše začatý príkaz. Dvojité stlačenie Tab vypíše možné
parametre, príkazy alebo subsekcie, podobne ako pri zadaní znaku „?“.
51
4.2 INTERPRETÁCIA POZNATKOV MULTIMEDIÁLNOU FORMOU Samostatnou prílohou tejto práce je multimediálna príručka pre ovládanie a prácu so
systémom RouterOS. Táto príručka je samospustiteľnou aplikáciou pre systémy
Windows. Je vytvorená v prostredí Adobe Flash a zahŕňam v nej svoje získané vedomosti
ohľadom práce v systéme RouterOS. Obrázok 28 zobrazuje úvodnú obrazovku aplikácie.
Obr. 28 Vstupná obrazovka výukovej aplikácie
Kliknutím na tlačidlo vstup sa zobrazí obrazovka s možnosťou výberu dvoch základných
častí príručky, ako je to zobrazené na obrázku 29.
52
Obr. 29 Delenie príručky na hlavné časti
Pri výbere konkrétnej časti sa zobrazí roletové menu, v ktorom si užívateľ volí jednotlivé
kapitoly, čo znázorňuje obrázok 30.
Obr. 30 Úvodná obrazovka časti Hardvér a údržba
53
Po zvolení kapitoly z roletového menu sa užívateľ dostáva ku konkrétnemu obsahu, čo je
zobrazené na obrázku 31.
Obr. 31 Konkrétny obsah aplikácie
Pre listovanie v kapitolách si užívateľ môže vyrolovať menu kliknutím na text MENU
podľa obrázka 31. V spodnej časti obrazovky aplikácie sa nachádzajú 2 čiarkované čiary.
Horná čierna čiara graficky nahrádza číslovanie obrazoviek v konkrétnej kapitole. Spodná
biela čiara nahrádza číslo kapitoly. Aplikácia obsahuje ďalšie ovládacie prvky, ktoré sú
opísané v tabuľke 8.
Tab. 8 Ovládacie prvky aplikácie Ovládací prvok Význam
Navigácia v obrazovkách konkrétnej kapitoly.
Zväčšenie aplikácie na režim celej obrazovky alebo obnova normálnej veľkosti
Tlačidlo pre návrat k výberu hlavných častí príručky.
54
Táto multimediálna príručka má za úlohu oboznámiť čitateľa s prácou so systémom
RouterOS. Pri jej tvorbe som využil znalosti z oblasti multimédií získané doterajším
štúdiom. Aplikácia je primárne určená pre užívateľov, ktorí sa venujú konfigurácii
aktívnych sieťových prvkov v iných systémových prostrediach. Používaná môže byť
v procese výučby ovládania systému RouterOS, nakoľko neexistuje podobná aplikácia
v slovenskom jazyku.
55
ZÁVER
Smerovacie a prepínacie siete sa stávajú každodennou súčasťou väčšiny obyvateľov
v technicky vyspelých krajinách medzi ktoré patrí aj Slovensko. Naše každodenné písanie
elektronických správ, prezeranie elektronických verejných materiálov, či vyhľadávanie
informácií, sa bez smerovania a prepínania nezaobíde. Tieto siete sa dokonca stávajú
štandardným prostredím aj pre prenos digitálneho obrazu, hlasu ale aj pre prenos
inštrukcií a pre zber dát v priemysle.
Užívatelia služieb týchto sietí sa nezaoberajú tým, akým spôsobom sa k nim požadované
dáta dostávajú. Otázku prenosu dát prostredím riešia sieťoví administrátori, a práve tým
je táto práca určená. Práca predstavuje alternatívu k súčasne používaným operačným
prostrediam smerovačov a prepínačov, predstavuje systém RouterOS. Má za úlohu
zoznámiť sieťových administrátorov s prostredím systému, ku ktorému v súčasnosti
neexistuje žiadna knižná publikácia. Ako výukový materiál slúži najmä multimediálna
príručka, v ktorej som zhrnul poznatky získané prácou v systéme RouterOS. Vďaka
štúdiu multimediálnych technológií som dokázal podať technický materiál užívateľsky
priateľskou formou. Okrem tohto materiálu som v treťom oddiely práce navrhol
dynamickú smerovaciu štruktúru s vlastným skriptom v prostredí RouterOS, ktorú je
možné použiť v reálnej sieti. V druhej časti tohto oddielu sa mi podarilo dokázať
interoperabilitu v kombinovanej sieti s použitím Cisco prepínača a zariadení RouterOS.
Nasadenie systému do prostredia prepínacej siete zariadení Cisco umožňuje jej rozšírenie
za podstatne nižšie náklady.
Tak ako je našou bežnou rutinou používať internet, je aj bežnou rutinou sieťového
administrátora prichádzať do styku s prostrediami telekomunikačných operačných
systémov, a preto je pre každého administrátora dôležité získať široký prehľad
o dostupných systémoch a možnostiach ich nasadenia. Jednou z alternatív systémov je
práve RouterOS.
56
57
ZOZNAM BIBLIOGRAFICKÝCH ODKAZOV
[1] Mikrotik RouterOS Reference Manual V3.0: HotSpot Gateway [online]. Mikrotik,
Ltd., 2008-01-14 [cit. 2009-05-30]. Dostupné na internete:
<http://www.mikrotik.com/testdocs/ros/3.0/refman3.0.pdf>
[2] Mikrotik RouterOS brochure: License [online]. Mikrotik, Ltd., 2009-05-20 [cit.
2009-05-29]. Dostupné na internete:
<http://www.mikrotik.com/pdf/what_is_routeros.pdf>
[3] Mikrotik RouterOS brochure: Routing [online]. Mikrotik, Ltd., 2009-05-20 [cit.
2009-05-26]. Dostupné na internete:
<http://www.mikrotik.com/pdf/what_is_routeros.pdf>
[4] Mikrotik Newsletter: 802.11n support [online]. Mikrotik, Ltd., 2009-05-22 [cit.
2009-05-25]. Dostupné na internete: < http://www.mikrotik.com/pdf/news18.pdf>
[5] Mikrotik Newsletter: Introducing Store [online]. Mikrotik, Ltd., 2008-10-15 [cit.
2009-05-28]. Dostupné na internete:
<http://www.mikrotik.com/pdf/newsletter13Se.pdf>
ČESTNÉ VYHLÁSENIE
Vyhlasujem, že som zadanú bakalársku prácu vypracoval samostatne, pod
odborným vedením vedúceho bakalárskej práce Ing. Ivana Dolnáka, PhD. a používal som
len literatúru uvedenú v práci.
Súhlasím so zapožičiavaním bakalárskej práce.
V Žiline, dňa 1.6.2009 podpis študenta: