User Oriented QoS System

(1)

VYSOK ´

E U ˇ

CEN´I TECHNICK ´

E V BRN ˇ

E

BRNO UNIVERSITY OF TECHNOLOGY

FAKULTA INFORMA ˇ

CN´ICH TECHNOLOGI´I

´

USTAV INFORMA ˇ

CN´ICH SYST ´

EM ˚

U

FACULTY OF INFORMATION TECHNOLOGY DEPARTMENT OF INFORMATION SYSTEMS

SYST ´

EM PRO U ˇ

ZIVATELEM ˇ

R´IZEN ´

E QOS

DIPLOMOV ´

A PR ´

ACE

MASTER’S THESIS

AUTOR PR ´

ACE

OLD ˇ

RICH PLCHOT

AUTHOR

(2)

VYSOK ´

E U ˇ

CEN´I TECHNICK ´

E V BRN ˇ

E

BRNO UNIVERSITY OF TECHNOLOGY

FAKULTA INFORMA ˇ

CN´ICH TECHNOLOGI´I

´

USTAV INFORMA ˇ

CN´ICH SYST ´

EM ˚

U

FACULTY OF INFORMATION TECHNOLOGY DEPARTMENT OF INFORMATION SYSTEMS

SYST ´

EM PRO U ˇ

ZIVATELEM ˇ

R´IZEN ´

E QOS

USER ORIENTED QOS SYSTEM

DIPLOMOV ´

A PR ´

ACE

MASTER’S THESIS

AUTOR PR ´

ACE

OLD ˇ

RICH PLCHOT

AUTHOR

VEDOUC´I PR ´

ACE

Ing. TOM ´

A ˇ

S KA ˇ

SP ´

AREK

SUPERVISOR

(3)

Abstrakt

Tento diplomový projekt se zabývá moˇznostmi operaˇcn´ıho systému GNU/Linux v oblasti zajiˇstˇen´ı kvality poskytovaných s´ıt’ových sluˇzeb. Práce porovnává a hodnot´ı prostˇredky k zajiˇstˇen´ı kvality sluˇzeb dostupné v operaˇcn´ım systému GNU/Linux. C´ılem práce je diskuto-vat nedostatky a pˇrednosti tˇechto prostˇredk˚u a navrhnout systém, který ˇreˇs´ı problematiku zajiˇstˇen´ı kvality sluˇzeb. Navrˇzený systém vyuˇz´ıvá heuristiky, která umoˇzn´ı uˇzivateli nasta-vit kvalitu sluˇzeb i bez nutnosti studovat specifické vlastnosti komunikaˇcn´ıch protokol˚u na ´

urovni s´ıt’ové nebo aplikaˇcn´ı vrstvy. Souˇcást´ı projektu je také teoretický úvod do proble-matiky kvality sluˇzeb a architektury poˇc´ıtaˇcových s´ıt´ı.

Kl´ıˇ

cov´

a slova

Linux, TCP/IP, IPv6, kvalita sluˇzeb, QoS, Iptables, router, HTB, jádro, ISO/OSI, paket, hlaviˇcka paketu, neuronové s´ıtˇe, klasifikace, datový tok, pcap

Abstract

This master’s thesis deals with the possibilities how to guarantee the quality of service in the area of computer networks using a GNU/Linux operating system. This work compares and evaluates tools which are necessary to guarantee the quality of service. The goal of this work is to discuss the advantages and disadvantages of these tools and to design a system which handles the problem of quality of service. Designed system uses a heuristics, which allows the user to set up the quality of service system without studying specific properties of communication protocols on the network or application layer. This work also includes a theoretical introduction into the quality of service and computer networks.

Keywords

Linux, TCP/IP, IPv6, quality of service, QoS, Iptables, router, HTB, kernel, ISO/OSI, packet, packet header, neural networks, classification, data flow, pcap

Citace

Oldˇrich Plchot: Systém pro uˇzivatelem ˇr´ızené QoS, diplomová práce, Brno, FIT VUT v Brnˇe, 2007

(4)

Syst´

em pro uˇ

zivatelem ˇ

r´ızen´

e QoS

Prohl´

aˇ

sen´ı

Prohlaˇsuji, ˇze jsem tento diplomov´y projekt vypracoval samostatnˇe pod veden´ım

Ing. Tomáˇse Kaˇspárka. Uvedl jsem vˇsechny literárn´ı prameny a publikace, ze kterých jsem ˇ

cerpal.

. . . . Oldˇrich Plchot 15. kvˇetna 2007

Podˇ

ekov´

an´ı

Rád bych na tomto m´ıstˇe podˇekoval pˇredevˇs´ım panu Ing. Tomáˇsi Kaˇspárkovi za odbornou pomoc, poskytnutou pˇri ˇreˇsen´ı problém˚u spojených s t´ımto projektem.

c

Oldˇrich Plchot, 2007.

Tato práce vznikla jako ˇskoln´ı d´ılo na Vysokém uˇcen´ı technickém v Brnˇe, Fakultˇe in-formaˇcn´ıch technologi´ı. Práce je chránˇena autorským zákonem a jej´ı uˇzit´ı bez udˇelen´ı oprávnˇen´ı autorem je nezákonné, s výjimkou zákonem definovaných pˇr´ıpad˚u.

(5)

Obsah

1 Uvod´ 5

2 Kvalita sluˇzeb (QoS) 6

3 Z´akladn´ı principy s´ıt’ov´e architektury 8

3.1 Referenˇcn´ı OSI model . . . 8

3.2 Sada protokol˚u TCP/IP . . . 9

3.2.1 Protokol ICMP . . . 10 3.2.2 Protokol TCP . . . 11 3.2.3 Protokol UDP . . . 12 3.3 IPv6 . . . 12 3.3.1 Automatick´a konfigurace . . . 13 3.3.2 Bezpeˇcnost . . . 14

3.3.3 Kvalita sluˇzeb . . . 15

4 Prostˇredky pro podporu QoS v linuxu 18 4.1 Iptables - paketov´y filter v Linuxu . . . 20

4.1.1 Syntaxe a pouˇzit´ı iptables . . . 20

5 R´ˇızen´ı kvality sluˇzeb pomoc´ı klasifikace datových tok˚u 23 5.1 Návrh systému pro ˇr´ızen´ı QoS pomoc´ı analýzy datových tok˚u . . . 25

6 Implementace navrˇzeného systému 28 6.1 Zachytáván´ı paket˚u . . . 28

6.2 Rozˇrazen´ı paket˚u do jednotliv´ych tok˚u . . . 29

6.3 Vytvoˇren´ı charakteristick´eho vektoru . . . 30

6.4 Klasifik´ator datov´ych tok˚u . . . 32

6.5 Nastaven´ı priorit paket˚um pomoc´ı iptables . . . 35

6.6 Sch´ema ˇrad´ıc´ıch discipl´ın . . . 36

7 Pouˇzit´ı a testy syst´emu 38 7.1 instalace a pouˇzit´ı . . . 38

7.2 Testy pamˇet’ové sloˇzitosti a výpoˇcetn´ı nároˇcnosti . . . 39

8 Z´avˇer 41

(6)

B Popis technick´eho vybaven´ı 49

B.1 Testovac´ı poˇc´ıtaˇce . . . 49 B.1.1 Server . . . 49 B.1.2 Pracovn´ı stanice . . . 49

(7)

Seznam tabulek

3.1 ISO/OSI model . . . 8

3.2 Zn´azornˇen´ı TCP/IP do ISO/OSI modelu . . . 10

6.1 Klasifikace do tˇr´ıd . . . 35

(8)

Seznam obr´

azk˚

u

2.1 Typick´e pˇripojen´ı s´ıtˇe do internetu . . . 7

3.1 Form´at link-local IPv6 adresy . . . 14

3.2 Form´at IPv6 hlaviˇcky . . . 15

3.3 Form´at IPv4 hlaviˇcky . . . 16

4.1 Cesta paketu j´adrem linuxu . . . 21

5.1 Interaktivn´ı provoz pˇres SSH . . . 24

5.2 Neinteraktivn´ı provoz pˇres SSH . . . 25

5.3 Schéma navrˇzeného systému pro ˇr´ızen´ı QoS . . . 27

6.1 Plnˇe propojen´a dopˇredn´a s´ıt’ s jednou skrytou vrstvou a bias neurony . . . 34

6.2 Sigmoid´aln´ı aktivaˇcn´ı funkce . . . 35

7.1 Z´avislost obsazen´e pamˇeti na poˇctu spojen´ı . . . 40

A.1 Typ 1 - Download . . . 45

A.2 Typ 2 - Streamovan´e video . . . 46

A.3 Typ 3 - Interaktivn´ı traffic . . . 46

A.4 Typ 4 - Reˇzie spojen´ı . . . 47

A.5 Typ 5 - Voice over IP . . . 47

(9)

Kapitola 1

´

Uvod

Dneˇsn´ı svˇet si nelze pˇredstavit bez moˇznosti snadné a rychlé komunikace, internetu a mul-timédi´ı. Stále v´ıce poˇc´ıtaˇcových s´ıt´ı, a to jak malých, tak rozlehlých, je pˇripojováno k internetu a vzniká potˇreba tyto s´ıtˇe chránit a zajistit jejich uˇzivatel˚um moˇznost pohodlnˇe, bezpeˇcnˇe a efektivnˇe pracovat. Vˇetˇsina malých a stˇredn´ıch s´ıt´ı pˇripojovaných do inter-netu ˇreˇs´ı problém úzkého hrdla v pˇr´ıpadˇe konektivity do této mezinárodn´ı s´ıtˇe. V mnoha pˇr´ıpadech dokáˇze vhodnˇe nastavený systém pro zajiˇstˇen´ı kvality sluˇzeb na pˇr´ıstupovém bodu do mezinárodn´ı s´ıtˇe uˇsetˇrit ˇcas a pen´ıze pˇripojených uˇzivatel˚u.

Tato práce se zabývá moˇznostmi operaˇcn´ıho systému GNU/Linux v oblasti s´ıt´ı a zajiˇ s-tˇen´ı kvality sluˇzeb pro uˇzivatele pˇripojené do internetu. C´ılem práce je porovnat moˇznosti prostˇredk˚u k tomuto úˇcelu dostupných, diskutovat jejich pˇrednosti a nedostatky a na-vrhnout systém, který ˇreˇs´ı problematiku zajiˇstˇen´ı kvality sluˇzeb. Navrˇzený systém spojuje moˇznosti poskytované standardn´ımi nástroji dostupnými v operaˇcn´ım systému GNU/Linux s novým pˇristupem ke klasifikaci s´ıt’ového provozu.

Souˇcást´ı projektu je teoretický úvod do problematiky kvality sluˇzeb a architektury poˇc´ıtaˇcových s´ıt´ı.

Výsledkem je porovnán´ı moˇznost´ı operaˇcn´ıho sysému GNU/Linux slouˇzit jako platforma pro zajiˇstˇen´ı kvality s´ıt’ových sluˇzeb a implementace navrˇzeného systému, který v reálném ˇ

case reaguje na provoz generovaný jednotlivými uˇzivateli a dokáˇze se mu pˇrizp˚usobovat. Tento diplomový projekt navazuje na roˇcn´ıkový projekt Srovnán´ı s´ıt’ové vrstvy BSD a Linuxu, který tvoˇr´ı základy kapitoly 3 a 4. Dále potom práce navazuje na semestráln´ı projekt, který je souˇcást´ı zadán´ı diplomového projektu. V rámci semestráln´ıho projektu byly vypracovány kapitoly 2,3,4 a ˇcást kapitoly 5. Bˇehem semestráln´ıho projektu byly pro-zkoumány teoretické mater´ıály a navrˇzena architektura výsledného systému.

(10)

Kapitola 2

Kvalita sluˇ

zeb (QoS)

V oblasti dneˇsn´ıch poˇc´ıtaˇcových s´ıt´ı znamená pojem kvalita sluˇzeb schopnost s´ıtˇe dosaho-vat poˇzadovaných parametr˚u pro r˚uzné typy s´ıt’ových aplikac´ı na lince o urˇcité ˇs´ıˇrce pásma, kterou je s´ıt’ pˇripojena do dalˇs´ı s´ıt’ˇe (typicky do internetu). R˚uzná ˇreˇsen´ı, zabývaj´ıc´ı se zajiˇstˇen´ım kvality sluˇzeb pro tyto aplikace, mus´ı poˇc´ıtat nejen s jednoduchým rozdˇelen´ım ˇs´ıˇrky pásma, ale také s chybami a problémy,[7] které se vyskytuj´ı v nynˇejˇs´ıch s´ıt´ıch, fun-guj´ıc´ıch na principu pˇrep´ınán´ı paket˚u.

ztracené pakety (packet loss) - m˚uˇze se stát, ˇze nˇekteré z router˚u, vyskytuj´ıc´ıch se v cestˇe paketu, jej nedoruˇc´ı. Tento pˇr´ıpad m˚uˇze nastat napˇr´ıklad pˇri velkém vyt´ıˇzen´ı nˇekteré z cest, kterými paket procház´ı nebo také poruchou nˇekterého z router˚u. V d˚usledku této chyby potom vzniká situace, kdy aplikace, která daný paket oˇcekává, poˇzádá o jeho znovu zaslán´ı a zp˚usob´ı tak zpoˇzdˇen´ı. Pokud vˇsak je sluˇzba navrˇzena tak, ˇze nen´ı nutné obdrˇzet kaˇzdý paket, pak pokraˇcuje v ˇcinnosti, ale je ovlivnˇena touto chybou (napˇr´ıklad krátký výpadek zvuku nebo artefakty v obraze).

zpoˇzdˇen´ı (delay) - m˚uˇze trvat r˚uznou dobu, neˇz paket doputuje do svého c´ıle d´ıky chybám a nebo proto, ˇze putuje jinými cestami, aby se vyhnul zahlceným trasám. Tato doba je pro nˇekteré aplikace kritická a pokud ji nedokáˇzeme udrˇzet pod urˇcitou hranic´ı, tak docház´ı ke zhorˇsen´ı kvality sluˇzby, pˇr´ıpadnˇe k jej´ı nefunkˇcnosti.

zkreslen´ı (jitter) - nastává, kdyˇz pakety doraz´ı do c´ıle s r˚uzným zpoˇzdˇen´ım. Je problémem zejména pro interaktivn´ı pˇrenos audia nebo videa.

nesprávné poˇrad´ı paket˚u - je bˇeˇzné, ˇze pakety procházej´ı velkým mnoˇzstv´ım router˚u, které je mohou poslat r˚uznými cestami, a t´ım pádem také zp˚usob´ı r˚uzné zpoˇzdˇen´ı a pakety jsou doruˇceny v jiném poˇrad´ı, neˇz byly vyslány. Pro nˇekteré sluˇzby to nepˇredstavuje ˇzádný problém, ale napˇr´ıklad pro pˇrenos hlasu a videa je správné poˇrad´ı obdrˇzených paket˚u velmi d˚uleˇzité.

chyba v pˇrenosu - pokud bˇehem cesty doˇslo ke zmˇenˇe jednoho nebo v´ıce bit˚u paketu a oprava chyb v transportn´ı vrstvˇe nedokáˇze data opravit do správného stavu, tak je s paketem jednáno, jako by byl ztracen a je vyˇzádáno jeho opˇetovné zaslán´ı.

Tyto chyby závis´ı na aktuáln´ım stavu s´ıtˇe, který nejsme schopni ovlivnit a je nemoˇzné s urˇcitost´ı pˇredpovˇedˇet, kdy nastanou. Nejˇcastˇejˇs´ımi pˇr´ıˇcinami tˇechto chyb bývá zahlcen´ı nˇekteré z cest, kterými jsou pakety routovány k c´ıli. D˚uleˇzitým krokem pro zajiˇstˇen´ı kvality sluˇzeb je eliminován´ı úzkých hrdel s´ıtˇe. V pˇr´ıpadˇe velkých telekomunikaˇcn´ıch spoleˇcnost´ı,

(11)

poskytuj´ıc´ıch pˇr´ıstup k páteˇrn´ım s´ıt´ım o velmi vysoké propustnosti, mus´ı být s´ıt’ dimen-zována tak, aby nedocházelo k jej´ımu zahlcován´ı a nebo aby byla pˇredem zajiˇstˇena kvalita sluˇzby. K tomuto úˇcelu existuje napˇr´ıklad protokolRSVP (Resource Reservation Protocol, RFC 2205), který je navrˇzen za úˇcelem rezervace kapacity pro poˇzadované sluˇzby skrze celou s´ıt’. Podpora tˇechto protokol˚u je potom obsaˇzena v kaˇzdém routeru páteˇrn´ı s´ıtˇe a zajiˇst’uje tak jej´ı vysokou úroveˇn pˇri zajiˇstˇen´ı sluˇzeb. Úzkým hrdlem se tedy v mnoha pˇr´ıpadech stává bod, ve kterém docház´ı k napojen´ı do této s´ıtˇe.

T´ımto zp˚usobem jsou vˇetˇsinou pˇripojeni bud’ menˇs´ı poskytovatelé pˇripojen´ı k internetu nebo r˚uzné firmy, které maj´ı sjednánu linku o garantované kapacitˇe s operátorem, který má moˇznosti a prostˇredky zajistit s velkou spolehlivost´ı poˇzadovanou ˇs´ıˇrku pásma. Zajiˇstˇen´ı kvality sluˇzeb pro tyto menˇs´ı subjekty spoˇc´ıvá tedy pˇredevˇs´ım v prevenci zahlcen´ı svého pˇr´ıstupového bodu. K tomu, abychom byli schopni kontrolovat kvalitu sluˇzeb na urˇcité lince, mus´ıme m´ıt pod kontrolou obˇe strany toku dat. Pokud bychom pˇripojili do páteˇrn´ı s´ıtˇe pˇr´ımo nˇejaké koncové zaˇr´ızen´ı, pak m˚uˇzeme úˇcinnˇe kontrolovat pouze tok dat, který na tomto zaˇr´ızen´ı vzniká a putuje do páteˇrn´ı s´ıtˇe. Druhý smˇer, odkud data pˇricházej´ı, má pod kontrolou telekomunikaˇcn´ı operátor, který obvykle vyhrad´ı pouze smluvenou kapacitu a dalˇs´ı kroky k ˇr´ızen´ı kvality sluˇzeb v tomto bodˇe zpravidla jiˇz neposkytuje. Aby bylo moˇzné kontrolovat oba dva smˇery toku dat a zajistit nad nimi v rámci moˇznost´ı poˇzadované parametry, tak je tˇreba, v bodˇe pˇripojen´ı k páteˇrn´ı s´ıti, zaˇradit router, který je schopen definovat kvalitu sluˇzeb.

Obr´azek 2.1: Typick´e pˇripojen´ı s´ıtˇe do internetu

K tomu, aby byl router schopen efektivnˇe kontrolovat tok dat, pˇredcházet zahlcen´ı a kontrolovat tak poˇzadované parametry, je nutné obˇetovat urˇcitou ˇcást ze sjednané kapacity linky ve prospˇech ˇr´ızen´ı kvality sluˇzeb. Pokud je linka plnˇe vyt´ıˇzena a fronty na jej´ım koncovém bodˇe jsou plné, zaˇcne docházet k zahazován´ı paket˚u, coˇz zp˚usob´ı zpoˇzdˇen´ı, a to je pro velkou ˇcást aplikac´ı problém. Pokud bychom nesn´ıˇzili rychlost linky na vstupn´ım routeru, tak by docházelo k tvoˇren´ı tˇechto front na výstupn´ı stranˇe poskytovatele a router by tedy nebyl schopen kontrolovat pˇr´ıchoz´ı tok dat. Jakmile je na vstupn´ım routeru nastavena rychlost menˇs´ı neˇz na vstupn´ı lince, tak se tyto fronty pˇresunou na výstup do vnitˇrn´ı s´ıtˇe, který je pod kontrolou routeru a je moˇzné nad nimi provádˇet operace, které umoˇzn´ı zajistit parametry poˇzadované jednotlivými sluˇzbami.

Pokud paket doraz´ı k routeru a nem˚uˇze být okamˇzitˇe odeslán, tak je zaˇrazen do fronty. Kdyby nebyla definována ˇzádná pravidla kvality sluˇzeb, musel by tento paket ˇcekat, neˇz budou odeslány vˇsechny pˇredchoz´ı pakety. To by vˇsak opˇet zp˚usobilo zpoˇzdˇen´ı. Vstupn´ı router ale dokáˇze takový paket zaˇradit na zaˇcátek fronty a umoˇznit tak napˇr´ıklad aplikaci pro streamován´ı audia neruˇsený provoz.

(12)

Kapitola 3

Z´

akladn´ı principy s´ıt’ov´

e

architektury

3.1 Referenˇ

cn´ı OSI model

OSI (Open System Interconnection) je ISO standard, který vznikl v roce 1978 a zrevidován byl v roce 1984. Popisuje rámec s´ıt’ové komunikace pro implementaci protokol˚u v sedmi vrstvách. OSI model je zkonstruován tak, ˇze ˇr´ızen´ı je pˇredáváno z jedné vrstvy do druhé, a to takovým zp˚usobem, ˇze kaˇzdá vrstva m˚uˇze komunikovat pouze se svou sousedn´ı vrstvou.

Referenˇcn´ı OSI model má sedm vrstev, pro které plat´ı následuj´ıc´ı principy:

• vrstva by mˇela být vytvoˇrena tam, kde je potˇreba dosáhnout r˚uzného typu abstrakce,

• kaˇzdá vrstva by mˇela vykonávat pouze jasnˇe definované funkce,

• funkce kaˇzdé vrstvy by mˇela být vybrána s ohledem na definován´ı mezinárodnˇe uznávaných a standardizovaných protokol˚u,

• rozsah vrstvy by mˇel b´yt zvolen tak, aby se minimalizoval datov´y tok mezi zaˇr´ızen´ımi,

• poˇcet vrstev by mˇel být natolik velký, aby nemusely být rozd´ılné funkce sluˇcovány do jedné vrstvy a natolik malý, aby se architektura nestala nepraktickou.

Aplikaˇcn´ı vrstva Tato nejvyˇsˇs´ı vrstva definuje, jakým zp˚usobem m˚uˇze aplikace bˇeˇz´ıc´ı na jednom systému komunikovat s aplikac´ı na jiném systému, ˇc´ımˇz umoˇzˇnuje aplikac´ım pˇr´ıstup ke komunikaˇcn´ım kanál˚um a následnou spolupráci.

7 Aplikaˇcn´ı vrstva – Application Layer http, ftp, SMTP 6 Prezentaˇcn´ı vrstva – Presentation Layer SSL, TLS 5 Relaˇcn´ı vrstva – Session Layer TCP

4 Transportn´ı vrstva – Transport Layer TCP, UDP, SCTP 3 S´ıt’ová vrstva – Network Layer IP, ICMP, ARP 2 Vrstva datových spoj˚u – Data Link Layer Ethernet, ATM, PPP 1 Fyzická vrstva – Physical Layer DSL, ISDN, 100BASE-T

(13)

Prezentaˇcn´ı vrstva Vrstva poskytuje nezávislost na rozd´ılné reprezentaci dat tak, ˇze pˇrevád´ı data z aplikaˇcn´ıho do s´ıtového formátu a naopak. Poskytuje napˇr´ıklad kom-presi dat nebo ˇsifrován´ı a t´ım zajiˇst’uje, ˇze procházej´ıc´ı komunikace je ve správné formˇe, které rozum´ı pˇr´ıjemce. Programy v této vrstvˇe urˇcuj´ı tˇri základn´ı vlastnosti. Datové formáty, napˇr´ıklad ASCII, nebo binárn´ı formát dat, kompatibilitu s operaˇcn´ım systémem hostitelského poˇc´ıtaˇce a zapouzdˇren´ı dat do zpráv tak, aby mohly být pos´ılány pˇres poˇc´ıtaˇcovou s´ıt’.

Relaˇcn´ı vrstva Tato vrstva vytváˇr´ı, udrˇzuje a ukonˇcuje spojen´ı mezi aplikacemi. V inter-netových aplikac´ıch je kaˇzdé sezen´ı pˇriˇrazeno k urˇcitému portu, coˇz je ˇc´ıslo pˇridruˇzené ke konkrétn´ı vyˇsˇs´ı vrstvˇe aplikace. Napˇr´ıklad http server má obvykle ˇc´ıslo portu 80.

ˇ

C´ısla port˚u pˇridruˇzených k hlavn´ım internetovým aplikac´ım jsou pˇriˇrazována organi-zac´ı IANA (Internet Assisgned Numbers Authority) a m˚uˇzeme je nalézt v souboru /etc/services. ˇC´ısla port˚u menˇs´ı neˇz 1024, nazývané také privilegované porty, mohou být otevˇrena pouze superuˇzivatelem. Klienti, kteˇr´ı se pˇripojuj´ı k tˇemto port˚um si mohou být jisti, ˇze na nich bˇeˇz´ı nˇekterá ze standardn´ıch sluˇzeb a ne libovolná sluˇzba puˇstˇená uˇzivatelem. Vˇetˇsina port˚u je nicménˇe k dispozici k dynamickému pˇriˇrazen´ı ostatn´ım aplikac´ım.

Transportn´ı vrstva Tato vrstva poskytuje transparentn´ı pˇrenos dat mezi jednotlivými koncovými systémy nebo poˇc´ıtaˇci a je zodpovˇedná za kontrolu chyb a jejich opravu. Kompletnˇe zajiˇst’uje datový pˇrenos.

S´ıt’ová vrstva Poskytuje pˇrep´ınac´ı a smˇerovac´ı technologie pro pˇrenáˇsen´ı dat, pˇrekládá logické adresy a jména na fyzické adresy a urˇcuje optimáln´ı cestu paketu ze zdroje do c´ıle. Vytváˇr´ı logické cesty, které jsou známy jako virtuáln´ı okruhy (virtual circuits). Jej´ımi funkcemi jsou také pˇresmˇerováván´ı, kontrola chyb, kontrola zahlcen´ı a ˇrazen´ı paket˚u.

Vrstva datových spoj˚u Zajiˇst’uje pˇrenos dat tam i zpˇet pˇres fyzické spojen´ı v s´ıti, dˇel´ı odchoz´ı data do rámc˚u, kontroluje integritu pˇrijatých dat, spravuje pˇr´ıstup k médiu a pouˇzit´ı média a zajiˇst’uje správné ˇrazen´ı paket˚u. Tyto funkce jsou vˇetˇsinou posky-továny ovladaˇcem s´ıt’ové karty, obecnˇeji hardwarem zodpovˇedným za propojen´ı stroje do s´ıtˇe. Takové zaˇr´ızen´ı se oznaˇcuje jako NIC (Network Inteface Card).

Fyzická vrstva Tato vrstva vytváˇr´ı bitový proud (elektrické impulzy, svˇetelný, nebo ra-diový signál atd.) pˇres komunikaˇcn´ı médium na elektrické a mechanické úrovni. Zpˇ r´ı-stupˇnuje hardware ve smyslu odes´ılán´ı a pˇrij´ımán´ı dat na nosiˇci.

3.2 Sada protokol˚

u TCP/IP

Základem pro pˇrenos informac´ı vyˇsˇs´ımi protokoly se stal uˇz roku 1980 protokol IP (Internet Protocol).1Je pouˇz´ıván na paketovˇe orientovaných s´ıt´ıch a zajiˇst’uje pˇrenos paketu, aniˇz by garantoval úspˇeˇsnost doruˇcen´ı, pˇr´ıpadnˇe zajiˇst’oval správnost doruˇcených dat. Tyto úkoly pˇrenechává vyˇsˇs´ım protokol˚um, kterým poskytuje abstrakci nad pˇrenosovým médiem a umoˇzˇnuje tak spojovat s´ıtˇe r˚uzných typ˚u (napˇr. ethernet, ATM, FDDI). C´ılem protokolu

1

Tento protokol byl definován jako standard uˇz v lednu roku 1980 v RFC 760 a do podoby pouˇz´ıvané dodnes a známé jako IPv4 byl upraven v záˇr´ı 1981 dokumentem RFC 791.

(14)

Referenˇcn´ı ISO/OSI model TCP/IP

Aplikaˇcn´ı vrstva S´ıt’ov´e aplikace Prezentaˇcn´ı vrstva Rozhran´ı soket˚u

Relaˇcn´ı Vrstva

Transportn´ı vrstva TCP UDP S´ıt’ov´a vrstva IP ICMP Vrstva datov´ych spoj˚u ARP, RARP, NDIS

Fyzická vrstva Fyzické rozhran´ı s´ıt’ového zaˇr´ızeni

Tabulka 3.2: Zn´azornˇen´ı TCP/IP do ISO/OSI modelu

IP je poskytnout vˇsem zaˇr´ızen´ım v internetu jedineˇcnou adresu v jednodn´em adresn´ım prostoru a umoˇznit tak jejich komunikaci.

Protokol TCP/IP byl p˚uvodnˇe vyvinut jako vˇedecký experiment na univerzitˇe v Berkeley a postupnˇe se stal kl´ıˇcovou technologi´ı Internetu. Protokoly TCP/IP poskytuj´ı uˇzivatel˚um základn´ı sluˇzby jako napˇr´ıklad World Wide Web (WWW), E-mail a dalˇs´ı. Podobnˇe jako ISO/OSI má vrstvovou architekturu. TCP/IP nen´ı v konfliktu s ISO/OSI standardem a naopak, protoˇze oba dva modely byly vyvinuty soubˇeˇznˇe, ale existuj´ı mezi nimi urˇcité rozd´ıly. Nejvˇetˇs´ı rozd´ıl mezi OSI architekturou a TCP/IP je ve zp˚usobu ˇreˇsen´ı problém˚u nad transportn´ı vrstvou a v s´ıt’ové vrstvˇe. OSI má relaˇcn´ı a prezentaˇcn´ı vrstvu, kdeˇzto TCP/IP kombinuje tyto dvˇe vrstvy do aplikaˇcn´ı vrstvy. Potˇreba implementace protokolu, který neudrˇzuje stav spojen´ı také pˇrinutila TCP/IP zkombinovat fyzickou vrstvu a vrstvu datových spoj˚u do jedné vrstvy.

TCP/IP je zkratkou dvou nejpouˇz´ıvanˇejˇs´ıch protokol˚u. TCP (Transmission Control Pro-tocol) je protokol transportn´ı vrstvy, který pˇrevád´ı zprávy do posloupnosti paket˚u na zdro-jovém uzlu a potom je zase sestavuje do p˚uvodn´ıch zpráv na c´ılovém uzlu s´ıtˇe. IP (Internet Protocol) je protokol s´ıt’ové vrstvy, který spravuje adresován´ı tak, aby pakety mohly být smˇerovány skrze uzly nebo i celé s´ıtˇe pracuj´ıc´ı s r˚uznými komunikaˇcn´ımi protokoly. TCP/IP nám umoˇzˇnuje propojen´ı poˇc´ıtaˇc˚u na aplikaˇcn´ı úrovni, coˇz nám umoˇzˇnuje zavádˇet s´ıt’ové sluˇzby, které jsou identifikovány pomoc´ı port˚u.

Implementaci s´ıt’ového stacku v systémech unixového typu si tedy m˚uˇzeme pˇredstavit tak, jak je znázornˇeno v tabulce. Jde rovnˇeˇz o v´ıcevrstvý model, kde urˇcité ˇcásti pln´ı jednu nebo v´ıce funkc´ı z modelu ISO/OSI.

V souˇcasných systémech nejv´ıce pˇrevládá právˇe pouˇzit´ı sady protokol˚u TCP/IP d´ıky jeho jednoduché koncepci, a t´ım pádem také snadné implementaci. Rozˇs´ıˇren´ı tohoto proto-kolu bylo zp˚usobeno pˇredevˇs´ım rozmachem internetu a poptávkou po levných, ale souˇcasnˇe rychlých s´ıt’ových zaˇr´ızen´ıch.

Kvalitn´ı podpora TCP/IP je absolutn´ı nutnost´ı jak´ehokoliv dnes pouˇz´ıvan´eho opera-ˇ

cn´ıho systému. GNU Linux i *BSD systémy, kde bylo TCP/IP p˚uvodnˇe vytvoˇreno, poskytuj´ı v této oblasti sluˇzby na nadstandardn´ı úrovni.

3.2.1 Protokol ICMP

Internet Control Message Protocol se stará o distribuci chybových a kontroln´ıch zpráv zas´ılaných jak routery, tak koncovými zaˇr´ızen´ımi v s´ıti. Tyto zprávy nejsou vˇetˇsinou ge-nerovány uˇzivatelskými aplikacemi, aˇckoliv existuj´ı aplikace jako napˇriklad ping nebo tra-ceroute, pomoc´ı kterých je moˇzno rychle a jednoduˇse diagnostikovat základn´ı stav s´ıtˇe.[5]

(15)

Datagramy protokolu ICMP jsou pˇrenáˇseny protokolem IP a poskytuj´ı zaˇr´ızen´ım v s´ıti infor-mace o stavu s´ıtˇe. Tyto informace jsou vyuˇz´ıvány pˇredevˇs´ım routery, které mohou na jejich základˇe zmˇenit své chován´ı tak, aby byla zachována jejich funkce na co nejlepˇs´ı úrovni. M˚uˇze j´ıt napˇr´ıklad o výbˇer nejvhodnˇejˇs´ı trasy pro smˇerované pakety, nebo o vyuˇzit´ı alternativn´ı trasy pˇri výpadku nˇekterého sousedn´ıho routeru.2 ICMP byl jako standard definován uˇz v záˇr´ı roku 1981 a je popsán dokumentem RFC 792. Tento protokol je vyuˇz´ıván pouze nad komunikac´ı pomoc´ı IPv4. Pro nový protokol IPv6 je definována nová verze ICMP nazývaná také ICMPv6, která v sobˇe kombinuje funkce nˇekolika dalˇs´ıch protokol˚u pouˇz´ıvaných spolu s IPv4. ICMPv6 zahrnuje funkce pˇredchoz´ıho ICMP, IGMP (Internet Group Protocol) a ARP (Address Resolution Protocol).[6]

3.2.2 Protokol TCP

Tento protokol tvoˇr´ı základ dneˇsn´ı s´ıt’ové komunikace a je pouˇz´ıván pro sestaven´ı spojen´ı, které zajiˇst’uje spolehlivý a bezporuchový pˇrenos dat. Nav´ıc je zajiˇstˇeno, ˇze data budou aplikaci dodána v takovém poˇrad´ı, v jakém byla vyslána. Takovýchto spojen´ı mezi jednot-livými koncovými body m˚uˇze být v´ıce a kaˇzdé z nich je jednoznaˇcnˇe urˇceno ˇctveˇric´ı zdrojová ip adresa, zdrojový port, c´ılová ip adresa a c´ılový port. Protokol TCP pracuje s proudem dat, který generuje pˇr´ısluˇsná aplikace. Tento proud dat je dále rozdˇelen na segmenty ob-vykle o maximáln´ı moˇzné velikosti (MTU - Maximum Transmision Unit), které podporuje linková vrstva zaˇr´ızen´ı pˇripojeného do s´ıtˇe. Tyto segmenty - pakety jsou poté pˇredány do niˇzˇs´ı vrstvy, kde jsou zpracovány protokolem IP, který zajist´ı samotný pˇrenos paketu skrze s´ıt’ druhé stranˇe. Pak jej IP pˇredá protokolu TCP, který provede kontroln´ı souˇcet a zjist´ı, zda pˇri pˇrenosu nedoˇslo k chybˇe. Pokud byl paket v poˇrádku pˇrenesen, pak TCP poˇsle potvrzen´ı, ˇze byl paket pˇrijat. Pokud dojde k chybˇe, tak je vyˇzádáno znovuzaslán´ı paketu. Pokud vys´ılaj´ıc´ı strana neobdrˇz´ı potvrzen´ı v urˇcitém ˇcase (RTT - Round Trip Time), tak nastává timeout a odeslán´ı pˇr´ısluˇsného paketu je opakováno.

Protokol TCP dokáˇze také urˇcitým zp˚usobem zamezovat zahlcen´ı linky. D´ıky ˇcasovaˇc˚um a zas´ılán´ı potvrzen´ı jsou vys´ılaj´ıc´ı strany schopny odhadnout podm´ınky na s´ıti a adekvátnˇe k nim pak pˇrizp˚usobit datový tok. Tato kontrola datového toku ale vycház´ı pouze z infor-mac´ı z´ıskaných z koncových uzl˚u spojen´ı. Zp˚usob, jakým teˇcou data mezi koncovými body, uˇz má na starosti protokol IP, který pracuje na tˇret´ı vrstvˇe podle ISO/OSI. Na ˇctvrté vrstvˇe, kde pracuje protokol TCP tedy nen´ı moˇzné pˇresnˇe urˇcit, co zp˚usobuje zahlcen´ı, pˇr´ıpadnˇe z jakého d˚uvodu. TCP vycház´ı pouze z informac´ı o nutnosti pˇreposlat urˇcité segmenty dat. Nicménˇe TCP mus´ı být schopno tuto situaci ˇreˇsit, aby nedoˇslo k úplnému zahlcen´ı linky a t´ım pádem také k nefunkˇcnosti sluˇzeb vyuˇz´ıvaj´ıc´ıch TCP.

Kaˇzdý vys´ılaný segment dat je um´ıstˇen do fronty s ˇcasovaˇcem, který urˇc´ı, za jak dlouho má být paket pˇreposlán. Pokud by z jakéhokoliv d˚uvodu na s´ıti doˇslo k velkému zvýˇsen´ı provozu a k zahlcen´ı a neexistovaly by mechanismy, které se s touto situac´ı vyrovnaj´ı, tak by nastalá situace jeˇstˇe zvýˇsila souˇcasné zahlcen´ı. Doˇslo by k tomu z toho d˚uvodu, ˇze by nˇekteré segmenty nebyly pˇreneseny nebo byly pˇreneseny pozdˇe, coˇz by zp˚usobilo jejich opˇetovné vyslán´ı a jeˇstˇe dále zat´ıˇzilo s´ıt’ a situace by mohla doj´ıt tak daleko, ˇze by byla s´ıt’ naprosto nepouˇzitelná.

T´ım, ˇze TCP urˇc´ı úroveˇn, pˇri které nejsou vys´ılané pakety potvrzovány protˇejˇskem, z´ıská informaci, která je pouˇzita pˇri zamezen´ı zahlcen´ı. P˚uvodn´ı standard RFC 793 neobsahoval témˇeˇr ˇzádné instrukce, jak se vyhýbat zahlcen´ı linky. Pozdˇeji se ovˇsem ukázalo, ˇze právˇe

2_{Routery v p´}_ateˇ_{rn´ıch s´ıt´ıch m´ısto protokolu ICMP ˇ}_{casto vyuˇ}_{z´ıvaj´ı vyspˇ}_el´_{e routovac´ı protokoly jako jsou}

(16)

zahlcován´ı linky je velký problém a byly vyvinuty pˇr´ısluˇsné techniky ˇreˇsen´ı, které byly nakonec shrnuty v RFC 2001. Jsou to techniky TCP Slow Start, Congestion Avoidance, Fast Restransmit a Fast Recovery Algorithms.

V RFC 3168 byl popsán protokol ECN - Explicit Congestion Notification jako doplnˇek do sady TCP/IP. Je to signalizaˇcn´ı protokol, který má pˇredcházet zahlcen´ı.

3.2.3 Protokol UDP

Tento protokol je dalˇs´ım ze sady protokol˚u TCP/IP. Je pouˇz´ıván pro pˇrenos krátkých zpráv nazývaných datagramy. UDP (User Datagram Protocol) ale na rozd´ıl od TCP nevytváˇr´ı spojen´ı a neposkytuje bezporuchový pˇrenos dat, pˇrenos dat ve správném poˇrad´ı, znovu zas´ılán´ı ztracených paket˚u, detekce a zahazován´ı duplicitn´ıch paket˚u a podporu pro zame-zován´ı zahlcen´ı linky. Pokud je nˇekterá z tˇechto vlastnost´ı aplikac´ı poˇzadována, tak mus´ı být zajiˇstˇena ve vyˇsˇs´ıch vrstvách. D´ıky absenci reˇzie tˇechto vlastnost´ı je UDP ˇcasto rychlejˇs´ı a výkonnˇejˇs´ı pro aplikace, kde je potˇreba pˇrenést rychle mnoho krátkých zpráv k mnoha klient˚um. Je také pouˇz´ıváno k multicastu a broadcastu. Mezi konkrétn´ı aplikace vyuˇz´ıvaj´ıc´ı tohoto protokolu patˇr´ı napˇr´ıklad DNS systém, aplikace pro streamován´ı multimédi´ı, hlasové sluˇzby, poˇc´ıtaˇcové hry atd.

T´ım, ˇze chyb´ı jakékoliv techniky pro zamezen´ı zahlcen´ı linky, je nutné implementovat tyto mechanismy do s´ıt’ových prvk˚u, aby se pˇredeˇslo pˇr´ıpadnému kolapsu s´ıtˇe d´ıky nekon-trolovanému provozu, který aplikace vyuˇz´ıvaj´ıc´ı UDP generuj´ı. V praxi jsou to vˇetˇsinou routery, které d´ıky ˇrazen´ı paket˚u do front a jejich pˇr´ıpadnému zahazován´ı dokáˇz´ı kontrolo-vat datový tok zp˚usobený protokolem UDP, pˇredcházet tak zahlcen´ı a udrˇzet stanovenou ´

uroveˇn kvality i pro ostatn´ı aplikace.

V souˇcasné dobˇe je vyv´ıjen protokol DCPP - Datagram Congestion Control Protocol (RFC 4340),/indexDCPP (Datagram Congestion Control Protocol) který zajist´ı kontrolu zahlcen´ı na niˇzˇs´ı vrstvˇe a kaˇzdá aplikace, která tuto funkˇcnost bude poˇzadovat, nemus´ı tuto techniku sama implementovat. DCPP je urˇceno aplikac´ım, které potˇrebuj´ı obousmˇerné unicastové spojen´ı s kontrolou zahlcen´ı, ale nepotˇrebuj´ı spolehlivé doruˇcen´ı datagram˚u a doruˇcen´ı ve správném poˇrad´ı. Jsou to aplikace pro streamován´ı multumédi´ı a hlasové sluˇzby.

3.3 IPv6

Tento protokol, p˚uvodnˇe nazýván IPng (IP next generation), byl navrˇzen jako následn´ık protokolu IPv4 a v roce 1994 byl oficiálnˇe schválen organizac´ı IETF (The Internet En-gineering Task Force). Hlavn´ım d˚uvodem jeho definice byla potˇreba zvˇetˇsen´ı adresového prostoru, protoˇze s rozvojem internetu se ukázalo, ˇze adresový prostor, poskytovaný proto-kolem IPv4, bude zanedlouho vyˇcerpán. IPv6 adresa má 128 bit˚u oproti 32 bit˚um adresy IPv4, coˇz poskytuje obrovské mnoˇzstv´ı jedineˇcných IP adres a vyˇreˇs´ı se tak na velmi dlou-hou dobu problém s nedostatkem adres. Aˇckoliv nedostatek IPv4 adres mˇel znaˇcnˇe urychlit nástup IPv6, tak se tomu doposud nestalo d´ıky implementaci technik CIDR3 a NAT4, které ˇsetˇr´ı adresový prostor a oddaluj´ı tak nevyhnutelný nástup nového protokolu.

3_{CIDR - Classless Inter-Domain Routing je zp˚}_{usob interpretace IP adres popsan´}_{y v RFC 1518 a RFC}

1519, který nahradil pˇredchoz´ı syntaxi IP adres zaloˇzenou na tˇr´ıdách. CIDR pˇrináˇs´ı rozdˇelen´ı velkých s´ıt´ı na pods´ıtˇe, ˇc´ımˇz je umoˇznˇeno efektivnˇejˇs´ı vyuˇzit´ı adresového prostoru a je ulehˇceno smˇerovaˇc˚um.

4

NAT - Network Address Translation je technika pˇrekladu veˇrejné IP adresy na neveˇrejné, která umoˇzˇnuje pˇristupovat poˇc´ıtaˇc˚um v privátn´ı s´ıti do Internetu. Tato technika ˇsetˇr´ı adresový prostor a také chrán´ı poˇc´ıtaˇce ve vnitˇrn´ı s´ıti pˇred útokem z internetu. Na druhé stranˇe ale omezuje funkˇcnost mnoha sluˇzeb, zejména tˇech, které vyˇzaduj´ı umoˇznˇen´ı spojen´ı z internetu, nebo sluˇzeb vyuˇz´ıvaj´ıc´ıch bezstavové protokoly.

(17)

Tento nový protokol pˇrinese ovˇsem mnohem v´ıc, neˇz jen vˇetˇs´ı adresový prostor. IPv6 poskytne oproti IPv4 model, kdy se kaˇzdý klient s´ıtˇe bude moci spojit s jakýmkoliv dalˇs´ım klientem bez nejr˚uznˇejˇs´ıch omezen´ı, která vyvstávaj´ı zejména pˇri pouˇzit´ı pˇrekladu ad-res. Pˇri návrhu protokolu byl brán velký ohled na moˇznosti ˇr´ızen´ı kvality sluˇzeb, coˇz je dalˇs´ı souˇcasná slabina IPv4, který p˚uvodnˇe s t´ımto problémem nepoˇc´ıtal. Je zjednoduˇsena hlaviˇcka IPv6 paketu a routery tak maj´ı ulehˇcenou práci se zpracován´ım nových paket˚u. Dalˇs´ımi d˚uleˇzitými vlastnostmi je moˇznost zabezpeˇcen´ı, autentifikace a mobility. Pˇresná specifikace protokolu je popsána v dokumentu RFC 2460.

Podpora protokolu IPv6 existuje jak v linuxovém jádˇre, tak v jádrech systém˚u *BSD jiˇz pomˇernˇe dlouhou dobu a tato technologie je jiˇz bez problém˚u pouˇzitelná ve vˇsech zmiˇnovaných systémech. Implementac´ı IPv6 do linuxového jádra se zabývá projekt USAGI (Universal Playground for IPv6) a podpora je zaˇclenˇena od jádra verze 2.2. *BSD systémy vyuˇz´ıvaj´ı práce projektu KAME a obsahuj´ı IPv6 od BSD 4.0. Oba dva tyto vývojové týmy samozˇrejmˇe spolupracuj´ı a tedy nejsou nijak velké rozd´ıly v návrhu a koneˇcném ˇreˇsen´ı podpory pro IPv6 v tˇechto systémech. Dá se ˇr´ıct, ˇze v této oblasti jsou Linux a *BSD ekvivalentn´ı, a pokud se v nˇekterém ze systém˚u osvˇedˇc´ı nˇejaké nové postupy a zp˚usoby implementace, tak se vˇetˇsinou importuj´ı i do ostatn´ıch systém˚u.

3.3.1 Automatick´a konfigurace

Dalˇs´ı výhodou oproti IPv4 je automatická konfigurace zaˇr´ızen´ı v s´ıti. Protokol poˇc´ıtá se dvˇema zp˚usoby nastaven´ı s´ıt’ových parametr˚u. Prvn´ım zp˚usobem je takzvaná stavová konfigurace, coˇz vlastnˇe nen´ı nic nového, protoˇze se jedná o konfiguraci prostˇrednictv´ım DHCPv65 serveru nebo PPP, kdy klient vyˇsle do s´ıtˇe dotaz a pˇr´ısluˇsný server mu pˇridˇel´ı vˇsechny potˇrebné parametry, které potˇrebuje vˇedˇet. Novinkou jebezstavová konfigurace[8], která nevyˇzaduje DHCP server. Je zaloˇzena na objevován´ı soused˚u, kdy klient, který se pˇripojuje do s´ıtˇe, pos´ılá multicastový poˇzadavek RS (Router Solicitation), na který odpov´ı router takzvaným RA (Router Advertisement) paketem. Klient nemus´ı nutnˇe pos´ılat RS pa-ket, ale m˚uˇze si pasivnˇe poˇckat na RA paket, který smˇerovaˇc periodicky zas´ılá. Z odpovˇedi smˇerovaˇce se klient dozv´ı prefix identifikuj´ıc´ı danou s´ıt’ a sestav´ı svou IP adresu z tohoto prefixu a identifilátoru rozhran´ı (vˇetˇsinou 64 bit˚u), který se jednoznaˇcnˇe vygeneruje z jeho MAC adresy. Pokud je v s´ıti v´ıce smˇerovaˇc˚u, tak klient pouˇz´ıvá vˇsechny z nich stˇr´ıdavˇe a postupnˇe si upravuje svou smˇerovac´ı tabulku na základˇe ICMPv6 zpráv generovaných tˇemito smˇerovaˇci. Jestliˇze se klinet pˇripoj´ı do s´ıtˇe, kde nejsou smˇerovaˇce, tak je schopen automaticky vygenerovat pouze tzv. link-local adresu, se kterou bude okamˇzitˇe schopen komunikovat s ostatn´ımi klienty pˇripojenými na stejném segmentu s´ıtˇe. Tato lokáln´ı ad-resa nen´ı smˇerovatelná do dalˇs´ıch s´ıt´ı. Jak je vidˇet na obrázku, tak link-local adresa má daný prefixfe80, dalˇs´ıch 48 bit˚u jsou nuly a ˇcást interface ID je vygenerována automaticky podle hardwarové adresy. Na mém poˇc´ıtaˇci je napˇr´ıklad hardwarová adresa rozhran´ı eth0

00:13:D3:9B:E7:17 a z n´ı vygenerovan´a link local adresa fe80::213:d3ff:fe9b:e7176

Proces autokonfigurace se nevztahuje na smˇerovaˇce, které mus´ı být nastaveny manuálnˇe nebo nˇejakým jiným zp˚usobem.

5

DHCP servery jsou aplikace komunikuj´ıc´ı prostˇrednictv´ım protokolu DHCP (Dynamic Host Configu-ration Protocol) a umoˇzˇnuj´ı zaˇr´ızen´ım pˇripojených do s´ıtˇe poˇzádat o pˇridˇelen´ı IP adresy a dalˇs´ıch s´ıt’ových parametr˚u. DHCP server poté pˇridˇeluje zaˇr´ızen´ım adresy z definovaného rozsahu, který má k dispozici, tak aby nedocházelo ke konflikt˚um zaˇr´ızen´ı, kdy má v´ıce zaˇr´ızen´ı stejnou IP adresu.

6

Pokud se v adrese vyskytne nˇekolik po sobˇe jdouc´ıch nulových skupin, tak je moˇzné je nahradit dvojic´ı dvojteˇcek. Ta se vˇsak v zápisu kaˇzdé adresy sm´ı objevit jen jednou, aby zápis byl jednoznaˇcný.

(18)

Obr´azek 3.1: Form´at link-local IPv6 adresy

D´ıky autokonfiguraci je znaˇcnˇe ulehˇceno vytváˇren´ı a dalˇs´ı propojován´ı s´ıt´ı. Pˇrináˇs´ı znaˇcné výhody mobiln´ım zaˇr´ızen´ım, které se mus´ı neustále pˇrihlaˇsovat do jiných s´ıt´ı a konfigurovat své parametry.

3.3.2 Bezpeˇcnost

Uˇz d´ıky obrovskému rozsahu adres je IPv6 bezpeˇcnˇejˇs´ı protokol. Výchoz´ı pods´ıt’ má 264 adres (pˇribliˇznˇe 18∗1018), coˇz neumoˇzˇnuje útoˇcn´ık˚um efektivnˇe skenovat celou pods´ıt’. I kdyby byl schopen útoˇcn´ık proskenovat 1 000 000 adres za sekundu, tak by mu trvalo v´ıce neˇz 500 000 let, neˇz by nalezl vˇsechny poˇc´ıtaˇce v s´ıti. Útoˇcn´ıci budou muset vyvinout jiné strategie pro z´ıskáván´ı IP adres, které ovˇsem nejsp´ıˇse nebudou tak pˇr´ımoˇcaré, jednoduché a rychlé jako souˇcasné zp˚usoby.

D´ıky rozˇs´ıˇren´ı bezstavového protokolu popsaném v RFC 3041 mohou nav´ıc klienti gene-rovat veˇrejné adresy, které se v ˇcase mˇen´ı. Zmˇeny adresy je dosaˇzeno zmˇenou pole interface identifier, ˇc´ımˇz se také samozˇrejmˇe zmˇen´ı celá adresa a pro potenciáln´ı útoˇcn´ıky je pak mnohem tˇeˇzˇs´ı takový stroj identifikovat a napadnout.

IPv6 poskytuje také kryptograficky generované adresy[1]. Kryptograficky generovaná adresa (CGA) je IPv6 adresa z´ıskaná prostˇrednictv´ım zabezpeˇceného objevován´ı soused˚u (SEND - Secure Neighbour Discovery), pro kterou je vygenerována ˇcástinterface identifier na základˇe vypoˇcten´ı haˇsovac´ı funkce z veˇrejného kl´ıˇce a dalˇs´ıch parametr˚u. Vazba mezi adresou a veˇrejným kl´ıˇcem m˚uˇze být ovˇeˇrena vypoˇcten´ım haˇsovac´ı funkce a porovnán´ım s interface ID. Zprávy zas´ılané z takovéto adresy mohou být chránˇeny pˇr´ısluˇsným soukromým kl´ıˇcem. Toto zabezpeˇcen´ı ke své funkci nepotˇrebuje ˇzádnou certifikaˇcn´ı autoritu nebo jinou bezpeˇcnostn´ı infrastrukturu.

V IPv6 bylo moˇzné se zbavit protokolu ARP (Address Resolution Protocol), který v IPv4 zajiˇst’uje identifikaci soused˚u na linkové vrstvˇe. Funkce tohoto protokolu je nahrazena nˇekolika funkcemi ICMP a dalˇs´ımi schopnostmi, které jsou dohromady definovány v pro-tokolu objevován´ı soused˚u (ND - Neighbour Discovery). D´ıky absenci ARP bude nemoˇzné provádˇet útoky typu ARP cache poisioning.7

Dalˇs´ım pˇr´ınosem pro bezpeˇcnost pˇrenosu dat je sada protokol˚u IPSec (IP Security) im-plementovaných pˇr´ımo v IPv6. IPSec zajiˇst’uje bezpeˇcný pˇrenos paket˚u na s´ıt’ové vrstvˇe a v souˇcasné dobˇe je pouˇz´ıváno pˇredevˇs´ım k implementaci virtuáln´ıch privátn´ıch s´ıt´ı (VPN). Funkˇcnost, kterou pˇrináˇs´ı IPSec je nezbytná pro nˇekteré vlastnosti, které IPv6 pˇr´ımo po-skytuje. Jedná se napˇr´ıklad o podporu mobiln´ıch zaˇr´ızen´ı, kde je vyˇzadováno autentizované

7_´

Utoˇcn´ıkovi se m˚uˇze do s´ıtˇe podaˇrit vloˇzit nepravou vazbu mezi IP adresou a MAC adresou (ARP paket), ˇ

c´ımˇz doc´ıl´ı toho, ˇze data ze stroje obˇeti jsou doruˇcena jinam, nebo v˚ubec nejsou doruˇcena. Situace se stává kritickou, pokud je obˇet´ı útoku brána. To m˚uˇze vést k odepˇren´ı sluˇzby pro celou s´ıt’ (DOS Attack).

(19)

spojen´ı mezi zaˇr´ızen´ım a jeho home-agentem.

3.3.3 Kvalita sluˇzeb

Prvn´ım krokem ke zlepˇsen´ı kvality sluˇzeb, kterou je schopno IPv6 poskytovat, bylo výrazné zjednoduˇsen´ı hlaviˇcky IP paketu oproti IPv4. Tato zmˇena umoˇzn´ı rychlejˇs´ı zpracován´ı pa-ket˚u, coˇz bude m´ıt za následek menˇs´ı nároky kladené na velmi vyt´ıˇzené routery a t´ım pádem také vˇetˇs´ı propustnost s´ıtˇe.

Obr´azek 3.2: Form´at IPv6 hlaviˇcky

Podle RFC 2474 se v hlaviˇcce paketu nacház´ı pole, které slouˇz´ı k rozliˇsen´ı sluˇzeb v iternetu a nastaven´ı priority, s jakou bude paket zpracován. Tento model se nazývá Di-fferentiated Services a nahrazuje pˇredchoz´ı pole ToS (Type of Service) v IPv4 a traffic class v IPv6. DS pole definuje per-hop behavior (PHB), coˇz je rozhodnut´ı o zp˚usobu, jakým bude paket klasifikován a jaká strategie se pouˇzije pˇri jeho odeslán´ı. V dokumentu RFC nen´ı naˇr´ızeno, jakým zp˚usobem maj´ı systémy implementovat takovéto chován´ı. To jak se jednotlivá zaˇr´ızen´ı postav´ı k moˇznosti vyuˇz´ıt této vlastnosti, závis´ı tedy pouze na výrobci, pˇr´ıpadnˇe na administrátorovi systému. To se projevilo jako nevýhoda, protoˇze r˚uzné smˇerovaˇce se mohou k paket˚um chovat r˚uznˇe a nelze pˇredpovˇedˇet chován´ı takového spojen´ı. Z komerˇcn´ıho hlediska je nemoˇzné zajistit r˚uzné tˇr´ıdy konektivity na základˇe to-hoto systému, protoˇze to, co jeden poskytovatel m˚uˇze povaˇzovat za prioritn´ı provoz, druhý tˇreba pˇreˇrad´ı do bˇeˇzného provozu. Tento zp˚usob funguje pouze pokud vˇsichni dodrˇzuj´ı stanovená pravidla. Realita je ovˇsem taková, ˇze nˇekteré systémy jednoduˇse nastav´ı vˇetˇs´ı prioritu svému provozu, i kdyˇz k tomu nemaj´ı patˇriˇcný d˚uvod.

Do IP protokol˚u byla také pˇridána podpora ECN (Explicit Congestion Notification, RFC 3168). Je to zp˚usob signalizace smˇerovaˇce o zahlcen´ı linky. D´ıky aktivn´ı správˇe fronty (napˇr. RED - Random Early Detection) jsou schopny smˇerovaˇce detekovat zahlcen´ı jeˇstˇe pˇred t´ım, neˇz fronta pˇreteˇce. A d´ıky ECN uˇz nejsou routery nuceny k zahazován´ı paket˚u, aby indikovaly zahlcen´ı. M´ısto zahozen´ı paketu mohou nastavit pˇr´ıznak CE (Congestion

(20)

Obr´azek 3.3: Form´at IPv4 hlaviˇcky

Experienced) v IP hlaviˇcce. D´ıky kombinaci tˇechto technik jsou omezeny neˇzádouc´ı efekty, které vyplývaly z pˇreteˇcen´ı fronty a výsledkem je nˇekolik zlepˇsen´ı:

• Bude zahazov´ano menˇs´ı mnoˇzstv´ı paket˚u.

• Zv´yˇs´ı se vyuˇzit´ı linky d´ıky tomu, ˇze bude potˇreba m´enˇe TCP synchronizace.

• T´ım, ˇze se bude udrˇzovat rozumn´a velikost fronty, se sn´ıˇz´ı zpoˇzdˇen´ı a zkreslen´ı v jednotliv´ych toc´ıch.

• ˇS´ıˇrka p´asma bude sd´ılena v´ıce rovnocennˇe mezi jednotliv´ymi toky.

Novinkou oproti IPv4 je 20 bitové pole flow label zvolené aplikac´ı nebo jádrem pro daný soket. Flow, neboli tok, je posloupnost paket˚u vyslaných z urˇcitého zdroje do urˇcitého c´ıle, pro kterou poˇzaduje zdroj nˇejaké speciáln´ı zacházen´ı pˇr´ısluˇsnými smˇerovaˇci. Jakmile je oznaˇcen´ı toku vybráno, tak se po cestˇe paketu jiˇz nesm´ı mˇenit. Pokud je oznaˇcen´ı rovno nule, coˇz je výchoz´ı hodnota, tak to znamená, ˇze paket nenáleˇz´ı do ˇzádného toku. Hlavn´ı výhoda oznaˇcen´ı toku spoˇc´ıvá v tom, ˇze smˇerovaˇce nemus´ı zkoumat vnitˇrek paket˚u k tomu, aby identifikoval tok, ke kterému paket patˇr´ı, a to i pokud je pouˇzito ˇsifrován´ı. V IPv6 je kaˇzdý tok jednoznaˇcnˇe identifikován trojic´ı údaj˚u (c´ılová adresa, zdrojová adresa a flow label), oproti tomu v IPv4 paketu k takové identifikaci potˇrebujeme pˇetici (zdrojová a c´ılová adresa, protokol, zdrojový a c´ılový port). Jednoduchá identifikace tok˚u slouˇz´ı k jejich efektivn´ımu klasifikován´ı a následnému pˇriˇrazen´ı priorit.

V souˇcasné dobˇe se pracuje na návrhu protokolu[4], který umoˇzn´ı alokaci nezbytných prostˇredk˚u jednotlivému toku nebo jejich skupinˇe na jejich cestˇe s´ıt´ı. Toto signáln´ı schéma bude vyˇzadovat podporu v hardwaru pˇr´ısluˇsných s´ıt’ových prvk˚u (nejˇcastˇeji smˇerovaˇc˚u). Kvalita sluˇzby tak bude nastavena v reálném ˇcase bez úˇcasti nˇejaké extern´ı softwarové signalizaˇcn´ı struktury, jakou je napˇr´ıklad Reservation Protocol (RSVP). Tuto funkˇcnost bude moˇzné zaˇclenit jak do IPv4, tak IPv6 paket˚u. U IPv6 bude s výhodou pouˇzito pole

(21)

next header, které odkáˇze na dalˇs´ı hlaviˇcku, která bude definovat poˇzadavky toku na kvalitu sluˇzeb. Výhoda IPv6 spoˇc´ıvá v tom, ˇze dokáˇze vyuˇz´ıt tohoto protokolu i pˇri ˇsifrovaných spojen´ıch pomoc´ı IPSec, kdeˇzto s IPv4 to nen´ı bez úpravy IPSec moˇzné.

(22)

Kapitola 4

Prostˇ

redky pro podporu QoS v

linuxu

Kl´ıˇcovými prvky, na kterých je postavena podpora pro ˇr´ızen´ı kvality sluˇzeb v GNU Linuxu jsou tˇri základn´ı prvky:

• Rad´ıc´ı discipl´ına - queuing disciplineˇ

• Tˇr´ıdy - classes

• Filtry/pl´anovaˇce/klasifik´atory - Filters/Policers/Classifiers

Pakety, pˇricházej´ıc´ı z internetu, spadaj´ı pˇr´ımo do filtru, a odtud jsou pˇriˇrazeny pˇr´ısluˇsné ˇrad´ıc´ı discipl´ınˇe, která je následnˇe rozdˇel´ı do jednotlivých tˇr´ıd. Kaˇzdé s´ıt’ové zaˇr´ızen´ı v linuxu vlastn´ı frontu (výchoz´ı frontou je FIFO), která definuje, jak jsou zaˇrazené pakety zpracovávány a ke kaˇzdé frontˇe je pˇriˇrazena tˇr´ıda. ˇRad´ıc´ı discipl´ıny mohou být r˚uzných typ˚u. Mezi nejpouˇz´ıvanˇejˇs´ı patˇr´ı:

• Class Based Queuing (CBQ)

• Hiearchical Token Bucket (HTB)

• First In First Out (FIFO)

• Traffic Equalizer (TEQL)

• Stochastic Fair Queuing (SFQ)

• Random Early Detection

• Generalized RED (GRED)

• Priority

• Hierarchical Fair Service Curve (HFSC) ˇ

Razen´ı paket˚u do front a následná obsluha tˇechto front s definovanou prioritou nebo pro-pustnost´ı je velice d˚uleˇzitým a pouˇz´ıvaným zp˚usobem zajiˇstˇen´ı poˇzadované kvality sluˇzeb. Toto ˇrazen´ı se dˇeje na úrovni s´ıt’ové vrstvy podle schématu ISO/OSI a je navrˇzeno tak, ˇ

(23)

pˇr´ıtomné v jádˇre operaˇcn´ıho systému zaˇrad´ı do front, kde ˇcekaj´ı na dalˇs´ı zpracován´ı. Modi-fikac´ı ˇrad´ıc´ıch strategi´ı m˚uˇzeme dosáhnout rovnocenného sd´ılen´ı ˇs´ıˇrky pásma mezi r˚uznými aplikacemi, uˇzivateli nebo poˇc´ıtaˇci.

Takový zp˚usob oˇsetˇren´ı sd´ılen´ı linky je ale pouˇzitelný pouze vodchoz´ım smˇeru. Jakmile totiˇz paket doraz´ı na s´ıt’ové rozhran´ı v pˇr´ıchoz´ım smˇeru, tak je pozdˇe jej ˇradit do nˇejakých front, protoˇze uˇz spotˇreboval urˇcitou kapacitu pásma k tomu, ˇze byl pˇrijat vstupn´ım roz-hran´ım. ˇReˇsen´ım tohoto problému je nastaven´ı ˇrazen´ı na nadˇrazeném routeru, a to na vnitˇrn´ım rozhran´ı, kde pakety opouˇstˇej´ı router a smˇeˇruj´ı do vnitˇrn´ı s´ıtˇe.

Subsystém, který obstarává ˇr´ızen´ı toku dat, je postaven na r˚uzných modulech, které se zavádˇej´ı do jádra operaˇcn´ıho systému a uˇzivatelských nástroj˚u jako jsou ip, iptables a tc. Dohromady jsou tyto programy schopny vytvoˇrit velice komplexn´ı systém pro zajiˇstˇen´ı kvality r˚uzných sluˇzeb nab´ızených na serverech nebo rovnocenné postaven´ı zákazn´ık˚u ISP. Kl´ıˇcovou roli v definován´ı jiˇz známých front hraje programtc. Pomoc´ı tc se také pˇriˇrazuj´ı jednotlivé tˇr´ıdy k frontám a m˚uˇzeme ho téˇz vyuˇz´ıt k pˇriˇrazen´ı paket˚u do tˇr´ıd. Pˇr´ıkazemtc

bez parametr˚u vyvol´ame syntaxi tohoto pˇr´ıkazu:

# tc

Usage: tc [ OPTIONS ] OBJECT { COMMAND | help } where OBJECT := { qdisc | class | filter | action }

OPTIONS := { -s[tatistics] | -d[etails] | -r[aw] | -b[atch] file }

Kaˇzdé s´ıt’ové rozhran´ı má definován nˇejaký ˇrad´ıc´ı mechanismus paket˚u, který urˇcuje, jakým zp˚usobem budou zpracovány. V linuxu se tento mechanismus nazývá qdisc (queueing dis-cipline) a m˚uˇze být zobrazen pˇr´ıkazem ip link show. Výchoz´ım algoritmem pro ˇrazen´ı paket˚u je pfifo fast, který funguje na principu fronty FIFO. Tuto výchoz´ı hodnotu m˚uˇzeme zmˇenit právˇe pouˇzit´ım nástroje tc:

tc qdisc add dev eth0 root handle 1:0 htb

T´ımto pˇr´ıkazem jsme pˇredefinovali výchoz´ı ˇrad´ıc´ı algoritmus na HTB1 na rozhran´ı eth0. Handle je uˇzivatelem specifikované ˇc´ıslo ve tvaru MAJOR:MINOR. MINOR ˇc´ıslo kaˇzdého plánovaˇce (qdisc) mus´ı být nula.

Koˇrenový qdisc m˚uˇzeme chápat jako hlavn´ı kontejner, do kterého spadá vˇsechen pro-voz. Nad t´ımto koˇrenem m˚uˇzeme vystavˇet potˇrebnou strukturu tˇr´ıd, do kterých rozdˇel´ıme poˇzadované typy provozu tak, aby vyhovovaly daným poˇzadavk˚um:

tc class add dev eth0 parent 1:0 classid 1:1 htb rate 512kbit tc class add dev eth0 parent 1:1 classid 1:20 htb \

rate 100kbit ceil 100kbit prio 0

tc class add dev eth0 parent 1:1 classid 1:21 htb \ rate 300kbit ceil 512kbit prio 1

tc class add dev eth0 parent 1:1 classid 1:22 htb \ rate 100kbit ceil 512kbit prio 2

tc qdisc add dev eth0 parent 1:20 handle 20:0 sfq perturb 10 tc qdisc add dev eth0 parent 1:21 handle 21:0 sfq perturb 10 tc qdisc add dev eth0 parent 1:22 handle 21:0 sfq perturb 10

1

HTB - Hierarchical Token Bucket. Podrobné informace o tomto plánovaˇci a jeho implementaci lze nalézt v dokumentaci na stránkách projektu http://luxik.cdi.cz/ devik/qos/htb/ .

(24)

V tomto pˇr´ıkladˇe jsme tedy definovali tˇr´ıdu, jej´ıˇz propustnost je 512 kilobit˚u za sekundu a n´aslednˇe ji rozdˇelili na tˇri tˇr´ıdy s r˚uznou prioritou a kapacitou. ˇC´ım menˇs´ı je parametr

prio, t´ım je priorita vˇetˇs´ı. Parametr rate urˇcuje minim´aln´ı propustnost tˇr´ıdy a parametr

ceil jej´ı maximáln´ı propustnost. Nav´ıc byl ke kaˇzdé koncové tˇr´ıdˇe pˇridán SFQ2 _pl´_anovaˇ_c,

který zajist´ı rovnocenné postaven´ı jednotlivých spojen´ı spadaj´ıc´ıch do této tˇr´ıdy, obzvláˇstˇe je-li tˇr´ıda plnˇe vyt´ıˇzená.

Nakonec je tˇreba zajistit správné rozdˇelen´ı paket˚u do jednotlivých tˇr´ıd. Zde se naskýtá v´ıce moˇznost´ı: Jednou z nich je pˇr´ımé pouˇzit´ı iptables a c´ıle CLASSIFY, dalˇs´ı moˇznost´ı je pouˇzit´ı c´ıle MARK v iptables pro oznaˇcen´ı jednotlivých paket˚u a následné pˇriˇrazen´ı do tˇr´ıd programemtc.

iptables -t mangle -A POSTROUTING -o eth0 -p tcp --sport 22 \ -j MARK --set-mark 20

tc filter add dev eth0 protocol ip parent 1:0 handle 20 fw flowid 1:20

Posledn´ı moˇznost´ı je vyuˇzit´ı u32 selektoru, který analyzuje hlaviˇcku paketu a podle hodnoty urˇcitých bit˚u nastavuje pˇr´ısluˇsnou tˇr´ıdu. Pouˇzit´ı tohoto nástroje vyˇzaduje detailn´ı znalost struktury hlaviˇcky paketu. Pˇr´ıklady pouˇzit´ı tohoto filtru lze naj´ıt na internetu[5].

4.1 Iptables - paketov´

y filter v Linuxu

Linuxová jádra mˇela paketový filtr jiˇz od verze 1.1. Tato prvn´ı verze byla zaloˇzena na filtru ipfw z BSD Unixu a byla portována do Linuxu v roce 1997 Alanem Coxem. V Linuxu ˇrady 2.0 byl tento filtr vylepˇsen a vznikl nástroj ipwadm, který nastavoval jádro v oblasti filtrován´ı paket˚u.

V jádrech ˇrady 2.2 byl uveden nástrojipchains, který pˇrinesl moˇznost definován´ı vlastn´ıch ˇretˇezc˚u a jejich struktur ke standardn´ım zabudovaným ˇretˇezc˚um (chains) input, output a forward. Kaˇzdý paket procházej´ıc´ı routerem musel proj´ıt alespoˇn tˇremi základn´ımi impli-citn´ımi ˇretˇezci.

Posledn´ı verz´ı paketového filtru v Linuxu jsouiptables. Tento filtr je standardnˇe v jádˇre od verze 2.4 a v souˇcasných jádrech 2.6 je jediným podporovaným filtrem. Velký rozd´ıl oproti ipchains spoˇc´ıvá v pouˇzit´ı ˇretˇezc˚u. Pakety, které procházej´ı routerem (ty které nejsou urˇceny pro router samotný), projdou pouze pˇres ˇretˇezec FORWARD. Tuto skuteˇcnost je tˇreba m´ıt na pamˇeti a na takovém routeru, který ˇcasto bývá i firewallem, je nutno m´ıt dvˇe sady pravidel, a to jednak pro pakety urˇcené pˇr´ımo pro router a dále pro pakety, které budou pˇrepos´ılány do vnitˇrn´ı s´ıtˇe.

Syntaxe programu Iptables je d´ıky jeho komplexnosti pomˇernˇe sloˇzitá a pro podrobné informace je vhodné nahlédnout do manuálové stránky programu, která by mˇela být do-stupná na kaˇzdém poˇc´ıtaˇci s nainstalovaným programem Iptables.

4.1.1 Syntaxe a pouˇzit´ı iptables

Pravidla, která urˇcuj´ı, jak maj´ı být pakety filtrovány jádrem operaˇcn´ıho systému, se definuj´ı pˇr´ıkazem iptablesa následuj´ıc´ımi parametry:

• Typ paketu - urˇcuje typ paketu, kter´y bude pravidlo filtrovat (TCP, UDP, ICMP).

2

SFQ - Stochastic Fair Queueing. V ˇsesté kapitole Traffic Control HOWTO[2] jsou popsány beztˇr´ıdn´ı (classless) plánovaˇce s dalˇs´ımi pˇr´ıklady.

(25)

Obr´azek 4.1: Cesta paketu j´adrem linuxu

• P˚uvod nebo c´ıl paketu

• C´ıl - urˇcuje, jaká akce se provede nad paketem, který vyhovuje kritéri´ım definovaných v pravidle.

Silnou stránkou iptables je moˇznost pouˇzit´ı v´ıce tabulek k rozhodnut´ı o osudu pˇr´ısluˇsného paketu v závislosti na poˇzadované akci, která se má s pˇr´ısluˇsným paketem provést a jeho typu. Výchoz´ı tabulka se jmenujefilter a obsahuje tˇri zabudované ˇretˇezce:

• INPUT pro pakety pˇrich´azej´ıc´ı na poˇc´ıtaˇc samotn´y,

• OUTPUT pro lok´alnˇe generovan´e pakety opouˇstˇej´ıc´ı poˇc´ıtaˇc,

• FORWARD pro pakety routovan´e skrze poˇc´ıtaˇc.

Tato tabulka se pouˇzije v pˇr´ıpadˇe, ˇze nen´ı specifikována explicitnˇe ˇzádná jiná tabulka. Iptables ale implicitnˇe obsahuj´ı dalˇs´ı dvˇe tabulky, které maj´ı svou specifickou úlohu. Tabulka nat m˚uˇze být pouˇzita k modifikován´ı zdrojové nebo c´ılové adresy zaznamenané v paketu. Tato tabulka obsahuje tˇri ˇretˇezce:

• PREROUTING pro pozmˇeˇnov´an´ı paket˚u ihned, jakmile vstoup´ı pˇres s´ıt’ov´e rozhran´ı,

• OUTPUT pro pozmˇeˇnován´ı lokálnˇe generovaných paket˚u pˇred routován´ım,

(26)

Dalˇs´ı tabulkou jemangle, která se pouˇz´ıvá pro r˚uzné dalˇs´ı speciáln´ı manipulace s pa-ketem a obsahuje vˇsechny3 dosud zm´ınˇené ˇretˇezce, jejichˇz pouˇzit´ı je na stejných m´ıstech cesty paketu jako u pˇredchoz´ıch tabulek. Iptables také umoˇzˇnuj´ı vytvoˇrit si dalˇs´ı ˇretˇezce pro kaˇzdou z tabulek.

Vˇetˇsina pˇr´ıkaz˚u vloˇzen´ı pravidla m´a n´asleduj´ıc´ı strukturu:

iptables [-t <table-name>] <command> <chain-name> <parameter 1> \ <option 1> <parameter n> <option n>

Volba<table-name>umoˇzˇnuje vybrat jinou tabulku neˇz implicitn´ı filter. Volba<command>4

je centrum pˇr´ıkazu, kde se specifikuje, jaká akce se provede, napˇr´ıklad pˇridán´ı nebo smazán´ı pravidla z pˇr´ısluˇsného ˇretˇezce, který je uveden volbou <chain-name>. Za <chain-name>

jsou dvojice parametr˚u a voleb, kter´e urˇcuj´ı co se stane, jakmile paket vyhov´ı pravidlu. Pro ´

upln´y pˇrehled struktury pˇr´ıkazu iptablesstaˇc´ı zadat pˇr´ıkaziptables -h.

3

Tato tabulka p˚uvodnˇe obsahovala jen dva ˇretˇezce a to PREROUTING a OUTPUT a to aˇz do verze jádra 2.4.17. Od verze 2.4.18 obsahuje také zbývaj´ıc´ı tˇri ˇretˇezce: INPUT, FORWARD a POSTROUTING.

4

V manuálové stránce lze nalézt kompletn´ı popis pˇr´ıkaz˚u a parametr˚u, zde si postupnˇe ukáˇzeme pouze ty, které budou pouˇzity v pˇr´ıkladech.

(27)

Kapitola 5

ˇ

R´ızen´ı kvality sluˇ

zeb pomoc´ı

klasifikace datov´

ych tok˚

u

Vˇetˇsina souˇcasných ˇreˇsen´ı, které se zabývaj´ı zajiˇstˇen´ım kvality sluˇzeb v s´ıt’ovém prostˇred´ı, jsou zaloˇzena na principu klasifikace jednotlivých paket˚u a následným pˇriˇrazován´ım r˚uzných priorit. Tato ˇreˇsen´ı pracuj´ı vˇetˇsinou na úrovni s´ıt’ové nebo aplikaˇcn´ı vrstvy.

Pokud je klasifikace paket˚u provádˇena na úrovni s´ıt’ové vrstvy, tak jedinými infor-macemi, které slouˇz´ı pro rozˇrazen´ı paket˚u do jednotlivých front s definovanou prioritou, pˇr´ıpadnˇe i propustnost´ı, jsou data uloˇzená v hlaviˇcce paketu. Jsou to zejména ˇc´ısla port˚u, pˇr´ıpadnˇe IP adresy. Pˇri klasifikaci podle ˇc´ısel port˚u je moˇzné úspˇeˇsnˇe rozliˇsit pouze omezené mnoˇzstv´ı sluˇzeb, které maj´ı své ustálené ˇc´ıslo portu.1 _Nˇ_ekter´_{e typy aplikac´ı ale pouˇ}_z´ıvaj´ı

náhodná ˇc´ısla port˚u a v tomto pˇr´ıpadˇe je nen´ı moˇzno dále rozliˇsit, coˇz má vˇetˇsinou za následek to, ˇze skonˇc´ı ve stejné tˇr´ıdˇe bez ohledu na to, zda se jedná o aplikaci vyˇzaduj´ıc´ı prioritn´ı zpracován´ı (napˇr. VoIP) nebo aplikaci, která je z hlediska zajiˇstˇen´ı kvality sluˇzeb neprioritn´ı (napˇr. P2P). M˚uˇze být pouˇzito i pole Type of Service, ale toto ˇreˇsen´ı také nen´ı spolehlivé, protoˇze velké mnoˇzstv´ı aplikac´ı, pˇr´ıpadnˇe i nˇekteré operaˇcn´ı systémy naprosto ignoruj´ı správné nastaven´ı tohoto pole v hlaviˇcce paketu. Nav´ıc toto pole m˚uˇze být libo-volnˇe zmˇenˇeno kaˇzdým routerem, kterým paket procház´ı a nikdy nen´ı zaruˇceno, ˇze hodnota zde nastavená opravdu odpov´ıdá poˇzadovanému zp˚usobu zpracován´ı paketu.

Dalˇs´ı moˇznost´ı, jak klasifikovat pakety, je inspekce paketu na úrovni aplikaˇcn´ı vrstvy, kdy jsou zkoumána pˇrenáˇsená data, která jsou porovnávána oproti databázi typických ˇretˇezc˚u vyskytuj´ıc´ıch se v datech známých sluˇzeb. Toto ˇreˇsen´ı nejen ˇze je pomˇernˇe v´ ypo-ˇ

cetnˇe nároˇcné, ale uˇz ze svého principu nedokáˇze správnˇe klasifikovat jakýkoliv ˇsifrovaný provoz. Problém m˚uˇze nastat taky v pˇr´ıpadˇe, ˇze se objev´ı nˇejaká nová sluˇzba, která nen´ı zahrnuta v databáz´ı známých sluˇzeb a t´ım pádem mohou být takovéto neznámé pakety ˇspatnˇe klasifikovány.

Ani kombinac´ı obou pˇredeˇslých metod nelze ve vˇsech pˇr´ıpadech zajistit správné roz-ˇrazen´ı paket˚u a následné pˇriˇrazen´ı priorit. Na klasifikaci s´ıt’ového provozu lze ale nahlédnout i z jiné strany. M˚uˇzeme upustit od snahy pˇriˇradit kaˇzdému paketu prioritu pouze na základˇe informac´ı z´ıskaných pouze z dat, která jsme schopni vyˇc´ıst z jeho hlaviˇcky a tˇela. Sledujeme-li s´ıt’ový provoz, který jednotlivé aplikace generuj´ı, tak na základˇe jeho charakteristiky jsme schopni odhadnout, do jaké skupiny daná aplikace patˇr´ı.

Kaˇzdá aplikace komunikuj´ıc´ı pˇres s´ıt’ vytvoˇr´ı spojen´ı, které je jednoznaˇcnˇe identifiko-vatelné ˇctveˇric´ı údaj˚u: zdrojová IP adresa, zdrojový port, c´ılová IP adresa, c´ılový port.

1

(28)

Na základˇe tˇechto informac´ı jsme schopni rozˇradit vˇsechny pakety do jednotlivých spo-jen´ı a t´ım pádem pˇresnˇe sledovat charakteristiku datového toku, který generuj´ı. Stˇeˇzejn´ı informac´ı, podle které lze odhadnout o jaký typ aplikace se jedná, je závislost rychlosti pˇrenáˇsených dat na ˇcase. Tyto charakteristiky se u nˇekterých aplikac´ı mohou dokonce v ˇ

case zmˇenit tak, ˇze interaktivn´ı aplikace pˇrejde do neinteraktivn´ıho módu. Pokud tedy jed-notlivé datové toky periodicky sledujeme a klasifikujeme, tak i takovou zmˇenu je moˇzno detekovat a náleˇzitˇe se podle toho zachovat pˇriˇrazen´ım jiné priority. Dalˇs´ı výhodou tohoto ˇreˇsen´ı je schopnost správnˇe klasifikovat i ˇsifrovaný provoz.

Obr´azek 5.1: Interaktivn´ı provoz pˇres SSH

Na obrázku 5.1 je znázornˇena situace, kdy je pˇres SSH vzdálenˇe spuˇstˇena grafická apli-kace, se kterou je následnˇe bˇeˇznˇe pracováno. Toto je pˇr´ıklad datového toku, který potˇrebuje vˇetˇs´ı prioritu, aby bylo uˇzivateli co moˇzná nejlépe umoˇznˇeno pracovat s aplikac´ı opravdu interaktivnˇe. Na obrázku 5.2 je naopak znázornˇeno spojen´ı pˇres SSH, kdy po chv´ıli bˇeˇzné interaktivn´ı práce, jakou bylo procházen´ı adresáˇr˚u, byl spuˇstˇen pˇrenos velkého souboru. Od této chv´ıle spojen´ı pˇrestává m´ıt interaktivn´ı charakter, protoˇze uˇzivatel ˇceká na pˇrenesen´ı souboru. Z grafu je jasnˇe patrná zmˇena charakteristiky takového datového toku.

Jak bylo ukázáno na obrázku, tak lze i z charakteristiky pˇrenosu dat v jednom smˇeru odvodit o jaký typ datového toku se jedná. M˚uˇzeme ale vyuˇz´ıt skuteˇcnosti, ˇze pro úspˇeˇsnou komunikaci je vˇetˇsinou potˇreba pˇrenáˇset data v obou smˇerech. Jedná se napˇr´ıklad o potvr-zován´ı pˇrijatých dat pˇri stahován´ı souboru pˇres protokol http nebo ftp. Jsme tedy schopni sestavit graf, na kterém budou zachyceny charakteristky jak v pˇr´ıchoz´ım, tak v odchoz´ım

(29)

Obr´azek 5.2: Neinteraktivn´ı provoz pˇres SSH

smˇeru, ˇc´ımˇz dosáhneme zvýˇsen´ı informaˇcn´ı hodnoty takového grafu a zjednoduˇs´ıme klasi-fikaci provozu, který daná apliace generuje.

5.1 N´

avrh syst´

emu pro ˇ

r´ızen´ı QoS pomoc´ı anal´

yzy datov´

ych

tok˚

u

Tokem budeme rozumˇet ˇradu po sobˇe jdouc´ıch paket˚u, které se shoduj´ı ve ˇctyˇrech základn´ıch atributech: zdrojová IP adresa, zdrojový port, c´ılová IP adresa, c´ılový port. Spojen´ı bude povaˇzováno za ukonˇcené, pokud ubˇehla pˇredem urˇcená doba od pˇrijet´ı posledn´ıho paketu v daném spojen´ı, a to jak v pˇr´ıchoz´ım, tak odchoz´ım smˇeru. Abychom mohli analyzovat jednotlivé datové toky na urˇcitém rozhran´ı (Ethernet), tak mus´ıme z´ıskat vˇsechny pakety pˇres toto zaˇr´ızen´ı procházej´ıc´ı. Tuto práci obstarává modul aplikace nazvanýpacket sniffer. Pˇri analýze problému z´ıskáván´ı paket˚u se jako nejjednoduˇs´ı, a zároveˇn z pohledu systému nejbezpeˇcnˇejˇs´ı ˇreˇsen´ı nab´ız´ı vyuˇz´ıt knihovnu, která bude kop´ırovat pakety procházej´ıc´ımi pˇres s´ıt’ová rozhran´ı do uˇzivatelského prostoru samotné aplikace. Knihovna by souˇcasnˇe mˇela být multiplatformn´ı, aby bylo umoˇznˇeno portovat aplikaci do prostˇred´ı jiného operaˇcn´ıho systému. Tyto poˇzadavky splˇnuje knihovna pcap - Packet Capture library.2 _Implementace

této knihovny je dostupná pro systémy unixového typu (Linux, *BSD systémy, Solaris a

(30)

dalˇs´ı) a je známa jakolibpcap. Existuje také implementace pro Win32 systémy známa jako WinPcap.

Z´ıskané pakety je nutno v následuj´ıc´ım modulu analyzovat na základˇe informac´ı obsaˇ ze-ných v IP hlaviˇcce a rozˇradit do jednotlivých datových tok˚u. Vhodnou datovou strukturou pro ukládán´ı datových tok˚u se jev´ı kombinace asociativn´ıho pole a kruhového bufferu, kdy v kruhovém bufferu budou uloˇzeny zachycené pakety a kl´ıˇcem do asociativného pole bude struktura jednoznaˇcnˇe identifikuj´ıc´ı jednotlivé datové toky.

Dalˇs´ı modul pracuje nad datovou strukturou obsahuj´ıc´ı jednotlivé toky a periodicky provád´ı vyhodnocen´ı rychlosti pˇrenáˇsených dat v ˇcase a vytváˇr´ıvektor dat obsahuj´ıc´ı in-formace, na jejichˇz základˇe bude provedena klasifikace do jednotlivých tˇr´ıd reprezentuj´ıc´ıch typ provozu.

Pro to, abychom mohli urˇcit typ provozu, reprezentovan´y vektorem dat z´ıkan´ym v pˇredchoz´ım modulu je potˇreba se

”pod´ıvat“ na jeho tvar a porovnat jej s empiricky zjiˇstˇ e-nými vektory jednotlivých typ˚u a vybrat tˇr´ıdu provozu, které se nejv´ıc podobá. K tomuto ´

uˇcelu se dá s výhodou vyuˇz´ıt moˇznost´ı neuronových s´ıt´ı a jejich schopnosti nauˇcit se podle trénovac´ı mnoˇziny vzork˚u rozpoznávat vzorky jim podobné.

Samotnému výbˇeru implementace neuronové s´ıtˇe pˇredcházelo prozkoumán´ı moˇznost´ı a výkonnosti r˚uzných knihoven poskytuj´ıc´ıch rozhran´ı pro práci s neuronovými s´ıtˇemi. Nejd˚uleˇzitˇejˇs´ımi kritérii pro výbˇer vhodné implementace byly pˇredevˇs´ım:

Otevˇrený zdrojový kód - Svobodná licence knihovny nejen ˇze umoˇzˇnujˇe integraci s dal-ˇs´ımi open source knihovnami, ale zaruˇcuje také moˇznost pˇr´ıpadného rozˇsiˇrován´ı jejich funkc´ı a podrobné studium problematiky neuronových s´ıt´ı. Dostupnost zdrojového kódu také umoˇzˇnuje experimentován´ı a dalˇs´ı výzkum na akademické úrovni.

Multiplatformnost - Moˇznosti pouˇzit´ı softwaru výraznˇe rostou, je-li moˇzno jej zkompi-lovat a provozovat na r˚uzných hardwarových platformách a pod r˚uznými operaˇcn´ımi systémy.

Vazby na r˚uzné programovac´ı jazyky - V pˇr´ıpadˇe dalˇs´ıho rozdˇelen´ı funkc´ı programu do na sobˇe nezávislých ˇcást´ı, které mezi sebou komunikuj´ı nen´ı nutné pouˇz´ıvat pouze jeden programovac´ı jazyk. Moˇznost vyuˇz´ıt knihovny ve spojen´ı s jinými programo-vac´ımi jazyky m˚uˇze pˇrinést zjednoduˇsen´ı pˇri vývoji dalˇs´ıch rozˇs´ıˇren´ı programu, nebo pˇri jeho integraci do jiného jiˇz existuj´ıc´ıho systému.

Rychlost a efektivnost - Knihovna by mˇela poskytovat nejen velikou m´ıru abstrakce pro koncového uˇzivatele, ale mˇela by souˇcasnˇe pouˇz´ıvat vysoce výkonných algoritm˚u, ˇc´ımˇz bude vyuˇzitelná pro ˇsirokou ˇskálu aplikac´ı a architektur.

Výˇse zm´ınˇené poˇzadavky dobˇre splˇnuje knihovna Fast Artificial Neural Network Library (FANN).3 S pomoc´ı této knihovny bude sestavena plnˇe propojená dopˇredná neuronová s´ıt’ s jednou skrytou vrstvou. Poˇcet vstupn´ıch neuron˚u se bude rovnat velikosti klasifikovaného vektoru a poˇcet výstupn´ıch neuron˚u bude udávat poˇcet tˇr´ıd, do kterých bude neuronová s´ıt’ rozdˇelovat datové toky.

Rozpoznaný typ a popis datového pˇrenosu jsou vstupem pro dalˇs´ı modul, který pomoc´ı paketového filtru iptables nastav´ı pˇr´ısluˇsnou prioritu tok˚um dat v pˇr´ıchoz´ım i odchoz´ım smˇeru spojen´ı. Zde jiˇz nen´ı jiná moˇznost, neˇz pouˇzit´ı systémovˇe závislé implementace, protoˇze v souˇcasnosti neexistuje a ani nejsp´ıˇse nebude existovat jednotné rozhran´ı nebo

3

(31)

nástroj, který umoˇzn´ı nastaven´ı parametr˚u jádra pro zpracováván´ı paket˚u. Tento modul je ovˇsem navrˇzen tak, ˇze d´ıky pouˇzit´ı uˇzivatelského rozhran´ı iptables nen´ı jeho implementace nijak sloˇzitá a portace modulu by znamenala jej pozmˇenit tak, aby vyuˇz´ıval jiného programu (napˇr´ıklad pf pro OpenBSD a FreeBSD).

Posledn´ı a také systémovˇe závislou ˇcást´ı systému je skript, který nad s´ıt’ovým roz-hran´ım definuje pevnˇe dané schéma ˇrad´ıc´ıch discipl´ın. Tento skript nastav´ı parametry jádra operaˇcn´ıho systému, který potom bude ˇradit pakety do prioritn´ıch front na základˇe in-formace vloˇzené do paketu pomoc´ı programu iptables. V linuxu k tomuto úˇcelu existuje uˇzivatelský nástrojtc. V *BSD systémech se ke stejnému úˇcelu pouˇz´ıvá napˇr´ıklad nástroje altq. Pokud bychom chtˇeli portovat systém pod jiný operaˇcn´ı systém, tak je nutné pˇrepsat tento skript tak, aby vyuˇz´ıval nástroje v tomto systému dostupné.