Žilinská univerzita v Žiline Elektrotechnická fakulta

Katedra telekomunikácií a multimédií

Implementácia operačného systému RouterOS

v prostredí IP sietí

Peter Brezáni

2009

Implementácia operačného systému RouterOS v prostredí IP sietí

BAKALÁRSKA PRÁCA

PETER BREZÁNI

ŽILINSKÁ UNIVERZITA V ŽILINE

Elektrotechnická fakulta

Katedra telekomunikácií a multimédií

Študijný odbor: TELEKOMUNIKÁCIE

Študijný program: Multimediálne technológie

Vedúci bakalárskej práce: Ing. Ivan Dolnák, PhD.

Stupeň kvalifikácie: bakalár (Bc.)

Dátum odovzdania bakalárskej práce: 12. 6. 2009

ŽILINA 2009

ABSTRAKT

BREZÁNI, P. Implementácia operačného systému RouterOS v prostredí IP sietí

[Bakalárska práca].

Žilinská univerzita v Žiline, Elektrotechnická fakulta, Katedra telekomunikácií

a multimédií. Vedúci bakalárskej práce: Ing. Ivan Dolnák, PhD. Žilina: Elektrotechnická

fakulta Žilinskej univerzity v Žiline, 2009.

Bakalárska práca sa venuje problematike operačných systémov určených pre smerovače

a prepínače. Práca analyzuje dostupné prostredia pre ovládanie smerovačov a prepínačov,

snaží sa nájsť ich nedostatky, porovnať ich so systémom RouterOS, predstaviť daný

systém, prezentovať jeho nasadenie, identifikovať možné problémy, predviesť zapojenia

zariadení s RouterOS a sumarizovať výsledky testov v konkrétnych sieťach. Práca ďalej

obsahuje multimediálnu výukovú aplikáciu pre daný systém ako samostatnú prílohu

práce.

Kľúčové slová: RouterOS. Smerovanie. Prepínanie.

ABSTRACT

BREZÁNI, P. Implementation of RouterOS system in IP networks [Bachelor thesis].

University of Žilina, Faculty of Electrical Engineering, Department of

Telecommunications and multimedia. Supervisor: Ing. Ivan Dolnák, PhD.

Žilina: University of Žilina, Faculty of Electrical Engineering, 2008.

The target of this thesis is to analyze currently used environments for routers and

switches, find defects and compare them with RouterOS system. Introduce RouterOS

system, show its functionality and find possible problems. Use system in specific

networks structures and collect output from tests. Create multimedia teaching application

for RouterOS as self attachment in this thesis.

Keywords: RouterOS. Routing. Switching.

Žilinská univerzita v Žiline, Univerzitná knižnica

ANOTAČNÝ ZÁZNAM - BAKALÁRSKA PRÁCA Názov práce: Implementácia operačného systému RouterOS v prostredí IP sietí. Priezvisko a meno: Brezáni, Peter akademický rok:2008/2009

Fakulta elektrotechnická Katedra telekomunikácií a multimédií Počet strán: 57 Počet obrázkov: 31 Počet tabuliek: 8 Počet grafov: 0 Počet príloh: 0 Použitá lit: 5 Anotácia v slovenskom jazyku:

Bakalárska práca sa venuje problematike operačných systémov určených pre smerovače

a prepínače. Práca analyzuje dostupné prostredia pre ovládanie smerovačov a prepínačov,

snaží sa nájsť ich nedostatky, porovnať ich so systémom RouterOS, predstaviť daný

systém, prezentovať jeho nasadenie, identifikovať možné problémy, predviesť zapojenia

zariadení s RouterOS a sumarizovať výsledky testov v konkrétnych sieťach. Práca ďalej

obsahuje multimediálnu výukovú aplikáciu pre daný systém ako samostatnú prílohu

práce.

Anotácia v anglickom jazyku:

The target of this thesis is to analyze currently used environments for routers and

switches, find defects and compare them with RouterOS system. Introduce RouterOS

system, show its functionality and find possible problems. Use system in specific

networks structures and collect output from tests. Create multimedia teaching application

for RouterOS as self attachment in this thesis.

Kľúčové slová: RouterOS. Smerovanie. Prepínanie. Vedúci práce: Ing. Ivan Dolnák, PhD. Recenzent práce: Ing. Peter Kortiš, PhD. Dátum odovzdania práce: 12.6.2009

PREDHOVOR

V roku 2009 si už mnoho ľudí nevie život bez prístupu k internetu ani len predstaviť.

Každodenné používanie internetu je považované za samozrejmosť. Rozvoj internetu

neustále rastie a rastie aj snaha sprístupňovať ho čoraz väčšej časti obyvateľstva. Trend

vývoja nenaznačuje, že by jeho rozrastanie malo utíchať, ba práve naopak. V oblasti tejto

problematiky existuje určitá skupina osôb, ktoré sú zodpovedné za funkcionalitu

internetového pripojenia od hlavnej medzinárodnej distribučnej siete až po lokálnu sieť

v domácnosti. Práve tí stoja pred otázkou aké telekomunikačné zariadenia a systémy

nasadia pre konkrétne prostredie. Pre rôzne prenosové prostredia existujú rôzne aktívne

prvky s rôznymi konfiguračnými prostrediami. Každý poskytovateľ sietí však vo svojej

infraštruktúre rieši problém smerovania a prepínania. V súčasnej adresnej schéme (IPv4)

ale aj jej nástupcovi (IPv6) existuje množstvo všeobecných, štandardizovaných

protokolov pre oblasť smerovania a prepínania. Tieto protokoly si jednotliví výrobcovia

implementujú do svojich systémov, prípadne ich rozširujú o ďalšiu funkcionalitu. V sieti

gigantických rozmerov, akou je práve Internet, je nutné zabezpečiť, aby rôzne systémy

navzájom spolu komunikovali bez ohľadu na to aké systémové prostredie používajú.

Schopnosť komunikácie rôznych platforiem využitím rovnakého protokolu sa nazýva

interoperabilita. Nasledujúce strany predstavujú systém pôvodne určený najmä pre

potreby bezdrôtových poskytovateľov sietí. Implementáciou mnohých protokolov sa

možnosti jeho nasadenia rýchlo rozrástli a vďaka jeho možnosti konfigurácie sa stáva

obľúbeným systémom mnohých poskytovateľov sietí.

Táto práca analyzuje systém RouterOS, zobrazuje jeho prínos v oblasti systémov pre

smerovače a prepínače, prezentuje jeho nasadenie v reálnych sieťach a dokazuje

interoperabilitu niektorých dostupných sieťových protokolov. Práca obsahuje

multimediálnu príručku, ako samostatnú prílohu, v ktorej som zúročil získané vedomosti

v oblasti multimédií. Táto aplikácia má za cieľ zoznámiť sieťového administrátora

s prostredím systému RouterOS, v ktorom by mal byť následne schopný samostatnej

práce.

OBSAH

ÚVOD................................................................................................................................ 15

1 Analýza aktuálne dostupných operačných systémov určených pre smerovače.....16

1.1 Výber používaných operačných systémov pre smerovače ....................................16

1.2 RouterOS a jeho porovnanie s ostatnými operačnými systémami.........................18

2 Charakteristika operačného systému RouterOS.....................................................20

2.1 Konfiguračné prostredie RouterOS........................................................................20

2.2 Licencie a verzie ....................................................................................................21

2.3 Funkcie systému.....................................................................................................22

2.3.1 Smerovanie ............................................................................................................22

2.3.2 Prepínanie ..............................................................................................................22

2.3.3 Ostatné funkcie ......................................................................................................23

2.4 Funkcie a možnosti v závislosti na HW.................................................................23

2.4.1 Vhodnosť použitia na konkrétnych platformách ...................................................24

2.2.2 Identifikácia nedostatkov .......................................................................................24

3.0 Vytvorenie testovacej siete s použitím RouterOS .................................................26

3.1 Aplikácia smerovača s RouterOS ..........................................................................26

3.3.1 Realizácia smerovacej siete. ..................................................................................26

3.1.2 Konfigurácia v prostredí smerovania.....................................................................27

3.1.3 Testovanie a analýza zapojenia..............................................................................40

3.1.4 Zhodnotenie a identifikácia problémov: ................................................................41

3.2 Aplikácia prepínača s RouterOS............................................................................42

3.2.1 Realizácia prepínacej siete.....................................................................................42

3.2.2 Konfigurácia v prepínacom prostredí ....................................................................44

3.2.3 Testovanie a analýza zapojenia..............................................................................47

3.3.4 Zhodnotenie zapojenia prepínacej siete: ................................................................49

4.0 Sumarizácia a interpretácia dosiahnutých poznatkov ............................................50

4.1 Praktické poznatky používania konfiguračných rozhraní......................................50

4.1.1 Praktické poznatky s používania WINBOX ..........................................................50

4.1.2 Praktické poznatky s používania konzoly..............................................................51

4.2 Interpretácia poznatkov multimediálnou formou...................................................52

ZÁVER ..............................................................................................................................56

ZOZNAM BIBLIOGRAFICKÝCH ODKAZOV .............................................................57

ZOZNAM OBRÁZKOV

Obr. 1 Schéma zapojenia smerovacej siete........................................................................26

Obr. 2 Priradenie IP adresy................................................................................................27

Obr. 3 Smerovanie vo WINBOX.......................................................................................27

Obr. 4 Vytvorenie autonómneho systému .........................................................................28

Obr. 6 Nastavenie OSPF rozhrania....................................................................................28

Obr. 8 Konfigurácia OpenVPN servera .............................................................................30

Obr. 9 Pridanie OpenOVP účtu .........................................................................................31

Obr. 10 Určenie zdrojových adries pre preklad .................................................................32

Obr. 11 Definícia prekladu adries ......................................................................................32

Obr. 11 Pridanie statickej adresy .......................................................................................33

Obr. 13 Výber rozhrania pre DHCP server........................................................................34

Obr. 14 Rozsah adries a čas ich pridelenia ........................................................................35

Obr. 15 Definícia DHCP siete, nastavenie brány a adresy DNS servera...........................35

Obr. 16 Konfigurácia DNS servera....................................................................................36

Obr. 17 Konfigurácia OpenVPN klienta............................................................................36

Obr. 18 Označenie paketov................................................................................................37

Obr. 19 Označenie paketov – pridanie názvu ....................................................................38

Obr. 20 Pridelenie hlavného smeru....................................................................................38

Obr. 22 Nastavenie spúšťania skriptu ................................................................................40

Obr. 21 Vloženie skriptu....................................................................................................40

Obr. 23 Schéma zapojenia prepínacej siete .......................................................................42

Obr. 26 Štruktúra rozhraní vo WINBOX...........................................................................47

Obr. 27 Prihlasovacie okno aplikácie WINBOX...............................................................51

Obr. 28 Vstupná obrazovka výukovej aplikácie ................................................................52

Obr. 29 Delenie príručky na hlavné časti...........................................................................53

Obr. 30 Úvodná obrazovka časti Hardvér a údržba ...........................................................53

Obr. 31 Konkrétny obsah aplikácie ...................................................................................54

ZOZNAM TABUĽIEK

Tab. 1 Výhody a nevýhody operačných systémov pre smerovače ....................................18

Tab. 2 Testovanie dostupnosti v smere z hlavného smerovača .........................................40

Tab. 3 Testovanie dostupnosti v smere na hlavný smerovač .............................................41

Tab. 4 Adresný priestor pre ...............................................................................................43

Tab. 6 Porovnanie názvovej konvencie IOS a RouterOS..................................................44

Tab. 7 Rýchlosť dát a jej agregácia na rozhraní bonding ..................................................48

Tab. 8 Ovládacie prvky aplikácie ......................................................................................54

ZOZNAM SKRATIEK

IOS (Internetwork Operating System): Názov operačného systému určeného pre Cisco

prepínače a smerovače.

telnet (telekomunication network): Protokol/služba umožňujúca nezabezpečenú,

príkazovú komunikáciu so vzdialeným zariadením prostredníctvom TCP protokolu.

ssh (Secure Shell): Nasledovník telnet-u, ktorý medzi komunikujúcou dvojicou vytvára

zabezpečený tunel.

Wi-Fi: Certifikačná známka/značka zabezpečujúca interoperabilitu medzi rôznymi

bezdrôtovými zariadeniami založenými na štandarde IEEE 802.11.

GUI (graphic user interface): Užívateľské rozhranie, ktoré umožňuje ovládať počítač

pomocou interaktívnych, grafických ovládacích prvkov.

GPL (GNU general public licence): Populárna licencia pre slobodný softvér. Umožňuje

spúšťať daný program na akýkoľvek účel, študovať ako program funguje a meniť ho, šíriť

jeho kópie, vylepšovať program a zverejňovať jeho vylepšenia.

MIPSle, MIPSbe (microprocessor without interlocket pipeline stages): Architektúra

umožňujúca procesoru spracúvať viac inštrukcií súčasne za podmienky, že tieto inštrukcie

nepoužívajú rovnaké prostriedky procesoru.

x86: Označenie architektúry procesorov so 16 bitovou registrovou inštrukčnou sadou.

Touto skratkou bývajú označené aj architektúry IA- 32 alebo i386 spoločnosti Intel.

PPC (PowerPC): Architektúra mikroprocesorov, ktorá bola pôvodne určená na použitie

v domácich počítačoch.

PoE (Power over Ethernet): Napájanie po dátovom sieťovom kábli (44-57V) bez nutnosti

privádzať k zariadeniu samostatný napájací kábel. Definované normou IEEE 802.3af.

OSI model: Medzinárodná norma ISO 7498, je to abstraktný model reálneho sieťového

systému. Prezentuje všeobecné princípy sieťovej architektúry.

MNDP (Mikrotik Neighbor Discovery Protocol): Protokol spoločnosti Mikrotik

umožňujúci detekciu zariadenia s inštalovaným systémom RouterOS v rámci linkovej

vrstvy OSI modelu. Získava informácie o IP adrese, verzii, názve systému a iných

hodnotách prostredníctvom UTP portu 5678.

CDP (Cisco Discovery Protocol): Protokol spoločnosti Cisco, veľmi podobný

a kompatibilný s protokolom MNDP.

MAC adresa (Media Access Control): Jedinečný identifikátor sieťového zariadenia,

ktorý používajú protokoly linkovej vrstvy.

WDS (Wireless Distribution System): Systém, ktorý umožňuje bezdrôtovo prepojiť

prístupové body bezdrôtovej siete. Hlavnou výhodou je, že systém zachováva MAC

adresu iniciátora spojenia prechádzajúcu zariadeniami.

ISP (Internet Service Provider): Poskytovateľ sietí a služieb sietí.

TSL (Transport Layer Security): Protokol pre bezpečnú komunikáciu cez internet

DHCP (Dynamic Host Configuration Protocol): Protokol používaný pre prideľovanie IP

adries uzlom v sieti.

ICMP (Internet Control Message Protocol): Protokol, ktorý používajú operačné systémy

pre odosielanie chybových správ. Často sa používa na testovanie dostupnosti sieťového

uzla.

VLAN (Virtual LAN): Virtuálna sieť určená pre logickú organizáciu siete nezávisle od

fyzickej. Štandardne sa využíva na zariadeniach typu prepínač, kde sa vyberá určitý počet

portov do segmentov.

STP (Spanning Tree Protocol): Protokol linkovej vrstvy, ktorý zamedzuje vzniku

cyklenia paketov v sieti.

OSPF (Open Shortest Path First): Dynamický smerovací protokol typu „link-state“.

MADWIFI (Multiband Atheros Driver for Wireless Fidelity.): Sada ovládačov

s otvoreným kódom pre bezdrôtové adaptéry v prostredí LINUX.

Lua: Výkonný a zároveň jednoduchý interpretovací skriptovací jazyk.

IPv4: Adresná schéma väčšiny súčasného internetu. Používa 32-bitové adresy, ktorých

rozsah nevyhovuje súčasným požiadavkám siete Internet.

IPv6: Nástupca adresnej schémy, ktorý prináša približne 3,4x1038 adries pre koncové

uzly. Úplne by mal nahradiť IPv4 približne v roku 2025.

RIP, RIPng (Routing Information Protocol): Dynamický smerovací protokol používaný

v lokálnych sieťach. Ako metriku používa počet skokov. Verzia RIPng je určená pre

adresné prostredie IPv6.

OSPF (Open Shortest Path First): Dynamický adaptívny hierarchický, distribuovaný

smerovací protokol. Zmeny v smerovacej tabuľke vykonáva na základe zmien stavu siete

v autonómnom systéme.

BGP (Border Gateway Protocol): Dynamický smerovací protokol, ktorý sa využíva

v smerovaní medzi autonómnymi systémami.

VRF (VPN Routing and Forwarding): Technológia, ktorá v sieťach povoľuje

viacnásobné inštancie smerovacej tabuľky na jednom smerovači.

ECMP (Equal-cost multi-path routing): Smerovacia stratégia, u ktorej smer na cieľový

uzol môže viesť viacerými cestami súčasne. Môže byť použitá v spojení v väčšinou

smerovacích protokolov.

MPLS (Multiprotocol Label Switching): Mechanizmus, ktorý smeruje dáta medzi WAN

uzlami s vysokým výkonom.

HWMP+ (Hybrid Wireless Mesh Protocol Plus): Rozšírenie WHMP, ktoré nie je spätne

kompatibilné. Protokol slúži na zabránenie cyklenia dát v bezdrôtových sieťach.

MME (Mesh Made Easy): Smerovací protokol spoločnosti Mikrotik, Ltd. určený pre

mobilné siete s ohľadom na funkcionality tzv. Ad-hoc sietí.

PPTP, L2TP, OpenVPN, IPsec (Point-to-Point Tunneling Protocol, Layer 2 Tunneling

Protocol, Internet Protokol Securoty): Protokoly, ktoré slúžia na vytváranie virtuálnych

privátnych sietí s rôznou úrovňou zabezpečovania.

SLOVNÍK TERMÍNOV

Mikrotik (Mikrotik, Ltd.)

Lotyšská spoločnosť zaoberajúca sa výrobou počítačového vybavenia, predajom

smerovačov, bezdrôtového príslušenstva a vývojom operačného systému RouterOS.

RouterOS

Názov operačného systému určeného pre použitie v smerovacích a prepínacích

sieťach.

RouterBoard

Hardvér vyrábaný spoločnosťou Mikrotik. Je primárne určený pre použitie v

bezdrôtových sieťach. Obsahuje predinštalovaný systém RouterOS.

Firmware

Programové vybavenie, ktoré je integrovanou súčasťou elektronického zariadenia.

Cisco

Jedna z najväčších počítačových firiem dominujúca na poli sieťových prvkov

(od r. 1984).

UNIX

Operačný systém spoločnosti AT&T.

Embedded device

Jednoúčelový systém, v ktorom je riadiaci počítač zabudovaný do zariadenia, ktoré

používa. Tzv. jednoúčelový počítač.

Link aggregation alebo load-balancing

Technika pre rozloženie záťaže medzi dve alebo viacero liniek.

Bonding

Systém RouterOS používa tento názov pre spájanie portov do jedného virtuálneho

rozhranie, ktoré primárne zabezpečuje redundanciu spojenia. Jeho sekundárna

funkcia je rozdeľovať a spájať dáta medzi fyzické rozhrania tvoriace bonding. Takto

rozdelené pakety smerujú k cieľovému uzlu viacerými rozhraniami naraz.

Štandardne sa táto technológia nazýva link aggregation alebo load ballancing.

Default route

Smer, ktorý smerovaču definuje za akou adresou v sieti má hľadať všetky neznáme

adresy.

Script

Zdrojový kód zväčša krátkeho programu, ktorý sa interpretuje až pri spúšťaní.

Bridge

V systéme RouterOS, je to virtuálne rozhranie 2 vrstvy OSI modelu, ktoré spája

fyzické alebo virtuálne rozhrania.

Route distance (metrika)

Hodnota určujúca prioritu konkrétneho smeru. Čím nižšia hodnota, tým vyššia

priorita.

Ethernet

Typ siete, ktorý realizuje vrstvu sieťového rozhrania štandardizovanú normou IEEE

802.3.

POĎAKOVANIE

Na tomto mieste by som chcel vysloviť úprimné poďakovanie tým, ktorí sa akokoľvek

podieľali na vzniku tejto práce. Moje poďakovanie patrí najmä Ing. Ivanovi Dolnákovi,

PhD. za odborné vedenie a pedagogické usmernenie pri jej tvorbe a spoločnosti

MIS ŽILINA, s.r.o. za zapožičanie zariadení Cisco a RouterBoard.

ÚVOD

V súčasnosti existuje mnoho komerčných aj nekomerčných systémov pre zariadenia

určené pre prepínacie a smerovacie prostredie. Pri výbere systému pre nasadenie na

konkrétnom zariadení rozhoduje mnoho ukazovateľov, a to najmä cena, spoľahlivosť,

možnosti ovládania, škálovateľnosť, podpora zo strany tvorcu, hardvérové nároky,

licenčné podmienky a iné. Systém, ktorý v práci analyzujem, sa v prostrediach IP sietí

presadzuje najmä vďaka jeho možnostiam ovládania. Intuitívnosť ovládania v prostredí

operačného systému je prvok, ktorý sieťovým administrátorom umožňuje konfigurovať

rôzne operačné systémy bez nutnosti štúdií a školení každého z nich. Práve tento prvok

v dnešných systémoch chýba, a tak mnoho administrátorov istého smerovacieho systému

nedokáže konfigurovať rovnaké parametre v inom smerovacom systéme.

Systém RouterOS, ktorý je nosným prvkom mojej práce, je pomerne nový systém, ku

ktorému v čase písania tejto práce neexistovala žiadna knižná dokumentácia. Cieľom

mojej práce je vytvoriť multimediálnu aplikáciu, ktorá užívateľa oboznámi

s konfiguračným prostredím a možnosťami správy systému. Cieľom práce je aj

demonštrovať funkčnosť konkrétnej siete, konfigurovanej v prostredí RouterOS a zistiť

schopnosť kooperácie štandardizovaných protokolov medzi rôznymi systémami.

Práca je rozdelená do štyroch hlavných kapitol, ktoré sú delené na podkapitoly. Prvá

kapitola pojednáva o súčasne dostupných operačných systémoch určených pre

smerovacie a prepínacie prostredie, definuje a hľadá nedostatky a výhody jednotlivých

systémov v porovnaní k RouterOS.

Druhá kapitola charakterizuje systém a jeho určenie v daných prostrediach, definuje

možnosti jeho využitia a pojednáva o prípadných nedostatkoch systému.

Tretia kapitola je praktickou časťou delenou na dve hlavné časti. V prvej je zobrazená

aplikácia systému na zariadenia v prostredí smerovania. Navrhnutá je konkrétna aplikácia

pre reálne využitie. V tejto časti je detailne zobrazená konfigurácia, príkazy a zdrojový

kód funkčnej siete. Druhá časť implementuje systém do prostredia prepínačov

a v reálnom zapojení testuje interoperabilitu protokolov so systémom Cisco IOS.

Štvrtá kapitola je zhrnutím nadobudnutých poznatkov v práci so systémom RouterOS.

Predstavuje multimediálnu príručku k systému, ktorá je vytvorená ako samostatná príloha

práce.

15

1 ANALÝZA AKTUÁLNE DOSTUPNÝCH OPERAČNÝCH SYSTÉMOV URČENÝCH PRE SMEROVAČE

Aby bolo možné čo najlepšie pochopiť výhody a nedostatky prostredia RouterOS, je

dôležité predstaviť jeho konkurentov na poli operačných systémov. Najpočetnejšia

skupina systémov je založená na systéme LINUX. Tie sú známe otvoreným zdrojovým

kódom, sú voľne rozšíriteľné, bezplatné a majú zložitejšiu štruktúru ovládania. Rozsah

práce by neumožňoval rozoberať každý takýto systém, preto sa zameriavam na

najrozšírenejšie a najpoužívanejšie systémy.

1.1 VÝBER POUŽÍVANÝCH OPERAČNÝCH SYSTÉMOV PRE SMEROVAČE

Cisco IOS (Internetwork Operating System)

Systém Cisco IOS je určený len pre smerovače a prepínače Cisco. Je známy rozsiahlym

príkazovým prostredím deleným do módov. Jednotlivé módy reprezentujú úroveň

oprávnení alebo aktuálne konfigurovanú časť zariadenia (napr. „interface configuration

mode“). Je komerčný a má uzavretý zdrojový kód. Primárne býva nasadený v kritických

infraštruktúrach ako operačný systém centrálnych výkonných smerovačov alebo

prepínačov. Manažment systému je zabezpečený prostredníctvom sériového RS232

rozhrania (z prostredia Windows možno systém konfigurovať službou hyperterminal),

alebo vzdialene, pomocou služby telnet, ssh alebo konfiguračného web-servera IOS.

Štandardne sa využíva ssh alebo telnet.. Jeho ovládanie vyžaduje okrem znalosti

aplikovaných protokolov aj znalosť orientovať sa v príkazovom prostredí. Prostredie

príkazov – konzola, však ponúka pomocníka, ktorý užívateľovi zobrazí stlačením znaku

„?“ na klávesnici možné príkazy s jednoduchým popisom. Cisco poskytuje špecializované

akadémie a vydáva vlastné certifikáty sieťovým administrátorom.

OpenWRT

OpenWRT je systém/firmware založený na LINUX OS. Používa sa ako alternatíva

k firmware dodávaného výrobcom smerovača. Aplikuje sa na klientske bezdrôtové

smerovače a smerovače s malým výkonom. Štandardne poskytuje príkazové konfiguračné

prostredie prostredníctvom telnet a ssh. Je možné rozšíriť ho o možnosť konfigurácie cez

16

web rozhranie. Príkazové prostredie vyžaduje znalosť LINUX OS a neposkytuje

pomocníka príkazov. Systém je bezplatný a má otvorený zdrojový kód. Na OpenWRT sú

založené ďalšie distribúcie, špecializujúce sa na konkrétnu problematiku napr.

PacketProtector – bezpečnostná verzia, ktorá zahŕňa funkcie ako IPS, VPN, IDS.

LINUX – všeobecne

Rôzne distribúcie je možné používať na jednoduchých smerovačoch aj na výkonných

zariadeniach rôznych platforiem. V oboch prípadoch je však konfigurácia zložitá,

neposkytuje potrebného pomocníka a vyžaduje rozsiahle znalosti z oblasti LINUX. Jeho

hlavnou výhodou je rozšíriteľnosť o rôzne služby, napr. služby web server, mail server

a mnohé iné. Štandardne poskytuje príkazové prostredie s pripojením pomocou ssh.

Existuje aj mnoho konfiguračných web prostredí, ktoré ale nedokážu nahradiť príkazy.

Samotný systém poskytuje aj lokálne grafické rozhrania, napríklad GNOME a KDE,

ktoré sa využívajú len v nasadení LINUX-u ako užívateľskej stanice.

FreeBSD

FreeBSD vychádza zo systému UNIX a je binárne kompatibilný s LINUX prostredím.

Pre použitie na smerovačoch poskytuje príkazové, konfiguračné prostredie. Inštaluje sa

prevažne na platforme 32 a 64bit PC (PPC a pod.) S obľubou sa používa na starších,

vyradených PC. Okrem smerovačov je uznávaným systémom v nasadení web server. Jeho

konfigurácia vyžaduje znalosti UNIX, resp. LINUX príkazového prostredia. Je teda

veľmi podobný LINUX-u. Štandardne je bezplatný s otvoreným kódom.

Porovnanie operačných systémov pre smerovače. Ich výhody a nevýhody sú popísané

v tabuľke 1.

17

Tab. 1 Výhody a nevýhody operačných systémov pre smerovače Výhody Nevýhody

Cisco IOS

- robustný, overený a spoľahlivý systém

- pomocník v príkazovom prostredí

- len pre Cisco hardvér - príkazové, konfiguračné

prostredie* vyžaduje rozsiahle znalosti

- vysoká cena - uzavretý zdrojový kód

OpenWRT

- aplikovateľný na nevýkonné, staré smerovače

- otvorený zdrojový kód - bezplatný

- príkazové konfiguračné prostredie bez pomocníka, podobné LINUX

- použitie hlavne na domácich smerovačoch

LINUX

- aplikovateľný na rôzny hardvér

- rozšíriteľný - otvorený zdrojový kód - bezplatný

- príkazové konfiguračné prostredie

- zložitá inštalácia na embedded zariadenia

FreeBSD

- aplikovateľný na rôzny hardvér

- rozšíriteľný - otvorený zdrojový kód - bezplatný - spoľahlivosť v serverovom

nasadení

- príkazové konfiguračné prostredie

- zložitá inštalácia na embedded zariadenia

- ako smerovač sa využíva zriedkavo

*Konfiguračným prostredím sa rozumie také prostredie, ktoré je možné obsluhovať

vzdialene.

1.2 ROUTEROS A JEHO POROVNANIE S OSTATNÝMI OPERAČNÝMI SYSTÉMAMI

Systémov pre smerovače a prepínače je v súčasnosti početné množstvo. Aby sa v tejto

sfére mohol presadiť nový systém, potrebuje riešiť spoločný a kľúčový nedostatok

ostatných systémov. RouterOS v tomto smere predstavil riešenie vzdialenej grafickej

konfigurácie, ktorá umožňuje pohodlne nastavovať jednoduché aj rozsiahle a zložité

vlastnosti. Prichádza však s uzavretým kódom pod vlastnou komerčnou licenciou. Aj

vďaka tomuto faktoru sa veľmi rýchlo rozrastá a nasadzuje vlastné protokoly a riešenia

špecifických problémov sietí. Tento operačný systém je určený pre prepínacie aj

smerovacie prostredie, v príkazovom prostredí nazývanom konzola alebo terminál

obsahuje rozsiahleho pomocníka, ktorý sa vyvoláva rovnako ako v konzole Cisco

systému IOS zadaním znaku „?“. Systém možno jednoduchým spôsobom inštalovať na

väčšinu dostupných hardvérových platforiem. Na rozdiel od systémov LINUX nie je

18

škálovateľný, teda nie je možné ho ľubovoľne rozširovať o funkcie. Tie sú striktne

definované výrobcom systému v jeho vlastných inštalačných balíkoch. Medzi výhody

v systéme možno zaradzovať prvky, ktoré priamo nesúvisia s oblasťou smerovania alebo

prepínania a nie sú bežnou súčasťou iných systémov. Sú to napríklad databáza User-

manager, kde je možné v súčinnosti s rádius serverom definovať účty koncových uzlov,

obmedzovať a prioritizovať ich prevádzku, zaznamenávať množstvo prenesených dát

a iné udalosti. Táto funkcia má na zariadení aj vlastné webové rozhranie. Systém hotspot

je ďalšia funkcia, ktorá v systéme ponúka sprievodcu pre vytvorenie systému

prístupového bodu do siete, kde sa užívateľ autorizuje v rámci samostatného web

rozhrania zariadenia [1]. Obdobné funkcie sú však v škálovateľných systémoch LINUX

dostupné, vyžadujú si len ich implementáciu do systému. Všeobecne je teda možné

povedať, že medzi nesporné výhody systému patria najmä možnosti jeho vzdialeného

ovládania. Najväčšou nevýhodou je cena a uzavretý zdrojový kód.

19

2 CHARAKTERISTIKA OPERAČNÉHO SYSTÉMU ROUTEROS

RouterOS je komerčný operačný systém postavený na operačnom jadre LINUX. Je

vyvíjaný lotyšskou spoločnosťou Mikrotik (Mikrotik, Ltd.). Bežne sa využíva na

zariadeniach RouterBoard, na ktorých býva predinštalovaný. Jeho nasadenie nie je však

obmedzené len na tieto zariadenia. Systém je rozšírený najmä u poskytovateľov

bezdrôtových sietí a služieb sietí pre jeho obrovské konfiguračné možnosti v tejto oblasti.

Poskytuje väčšinu používaných smerovacích a prepínacích protokolov. Disponuje

prehľadným konfiguračným, príkazovým aj grafickým prostredím a je použiteľný na

zariadeniach malých výpočtových výkonov aj na robustných viacprocesorových

serveroch.

2.1 KONFIGURAČNÉ PROSTREDIE ROUTEROS

RouterOS prináša okrem štandardných príkazových konfiguračných prostriedkov konzoly

(prístup cez telnet, ssh) aj vlastné grafické konfiguračné prostredie nazvané WINBOX.

To umožňuje vzdialenú konfiguráciu v prehľadnom a užívateľsky jednoduchom,

zabezpečenom alebo nezabezpečenom prostredí.

Zariadenie s inštalovaným operačným systémom RouterOS je tiež možné konfigurovať

pomocou webového rozhrania (táto forma sa využíva minimálne). Systém si získal

obľubu hlavne vďaka rozhraniu WINBOX, ktoré umožňuje komplexnú správu zariadenia

aj pre neprofesionálnych užívateľov, čím sa WINBOX stal jedným z najdôležitejších

prvkov systému. Služba WINBOX na strane zariadenia počúva na TCP porte 8291, ktorý

možno zmeniť alebo službu zakázať. Užívateľská aplikácia WINBOX pre vzdialené

ovládanie z operačného systému Windows je dostupná na stiahnutie priamo zo smerovača

na adrese: „http://IPadresaZariadenia/winbox/winbox.exe“ alebo na stránke výrobcu.

Medzi nosné prvky ovládania systému prostredníctvom WINBOX patrí možnosť

konfigurácie smerovača bez korektného nastavenia na sieťovej vrstve (podľa OSI

modelu). Aplikácia dokáže vyhľadávať zariadenia podporujúce protokol MNDP alebo

CDP a pripojiť sa prostredníctvom MAC adresy. Aplikácia je určená pre systém

Windows, je možné ju ale používať v prostredí LINUX aj MAC OS prostredníctvom

nástrojov WINE, resp. DARWINE.

20

Najsilnejším konfiguračným nástrojom je prostredie príkazového riadku, ktoré je

chronologicky delené do sekcií podľa kategórií, má rozsiahleho pomocníka a mnohé

diagnostické nástroje. Rovnako ako u WINBOX, je možné v príkazovom riadku

komunikovať medzi dvoma zariadeniami na linkovej vrstve OSI modelu. O túto možnosť

sa stará služba mac-server, ktorú možno aplikovať na konkrétne rozhranie zariadenia.

Vďaka tomu je možné konfigurovať smerovač aj po užívateľskej chybe na sieťovej

vrstve.

2.2 LICENCIE A VERZIE

Podľa historického vývoja sú verzie označované ako 1.x, 2.x, 3.x atď., pričom vývojový

cyklus hlavnej verzie je menej ako 2 roky. Číslo pred bodkou označuje hlavnú verziu,

číslo za bodkou číslo aktualizácie. Aktualizácia hlavnej verzie je možná podľa konkrétnej

licencie.

Napriek tomu, že je systém založený na jadre LINUX (spadajúci pod licencie GPL) nie je

bezplatný a je licencovaný do viacerých úrovní. V súčasnosti sa predávajú úrovne

(levely) 3, 4, 5 a 6.

Level 3 sa používa v najlacnejších zariadeniach v klientskom nasadení. Táto verzia je

samostatne nepredajná a býva predinštalovaná v nevýkonných zariadeniach RouterBoard.

Táto licencia neumožňuje použiť bezdrôtový adaptér zariadenia v režime prístupového

bodu.

Level 4 je plnohodnotný systém obmedzený len počtom súčasne vytvorených tunelových

pripojení (cca 200). Umožňuje aktualizáciu o 1 hlavnú verziu.

Level 5 rozširuje level 4 o možnosť aktualizácie systému o dve verzie, rozširuje počet

tunelových pripojení.

Level 6 ponúka neobmedzený počet tunelových pripojení a aktualizáciu o dve hlavné

verzie [2].

Licencie systému sa viažu na pevný disk konkrétneho zariadenia. V súčasnosti stojí

najpredávanejšia úroveň (level 4) približne 45 USD.

21

2.3 FUNKCIE SYSTÉMU

Systém RouterOS sa okrem nasadenia ako smerovač alebo prepínač využíva aj ako filter

sieťovej prevádzky, koncentrátor tunelových spojení, ako zariadenie pre kryptovanie

komunikácie, server siete hotspot, server databázy užívateľov, proxy server a iné.

V oblasti konfigurácie vo WINBOX je možné povedať, že užívateľ znalí sieťových

technológií a protokolov by mal byť schopný samostatnej práce v systéme, a to hlavne pre

intuitívne usporiadanie položiek tohto prostredia. Aj z toho dôvodu je v teoretickej časti

práce vynechávaná obrazová dokumentácia a nie je poukazované na konkrétne

nastavenia formou návodu. Systém pracuje s rozhraniami typu ethernet s rýchlosťami

10Mbps – 1Gbps a bezdrôtovými adaptérmi.

2.3.1 SMEROVANIE

Smerovanie je nosným prvkom komunikácie v prostredí IP sietí. Z názvu operačného

systému RouterOS vyplýva, že táto funkcionalita je jeho základnou zložkou. V systéme je

možné definovať statické smerovanie v grafickom aj príkazovom prostredí. Každá

definícia je v systéme zobrazená ako samostatná entita, ktorú možno upraviť, zakázať

alebo povoliť. Okrem statického smerovania systém pozná nasledovné dynamické

protokoly pre adresný priestor IPv4: RIP v1, v2; OSPF v2 a BGP v4. Pre adresný priestor

IPv6 sú to: RIPng, OSPF v3 a BGP. Okrem týchto štandardných protokolov podporuje aj

VRF a ECMP smerovanie. V posledných verziách RouterOS implementuje aj MPLS.

Špecifickým prostredím pre smerovanie sú bezdrôtové siete, kde okrem vyššie uvedených

protokolov možno aplikovať protokol MME alebo vlastné rozšírenie protokolu HWMP

nazývané HWMP+ [3].

2.3.2 PREPÍNANIE Prepínanie je účastné aj v procese smerovania, jeho samostatná aplikácia sa v systéme

zväčša nepoužíva. Napriek tomu je možné systém používať ako plnohodnotný prepínač.

Rozhrania, ktoré budú účastné pri prepínaní, je nutné pridať do jedného virtuálneho

rozhrania, ktoré sa v systéme nazýva bridge (sieťový most). Pre zamedzenie cyklenia dát

v prepínacej sieti systém podporuje protokoly STP a RSTP. Systém tiež podporuje

virtuálne siete tzv. vlan, kde môžu existovať samostatné virtuálne siete v rámci jednej

reálnej podľa protokolu IEEE 802.1Q.

22

2.3.3 OSTATNÉ FUNKCIE

Okrem základných sieťových operácií systém podporuje veľké množstvo služieb. Rozsah

práce nie je dostatočný na to aby boli všetky podrobne rozpisované, a tak budú

spomenuté len niektoré kľúčové možnosti systému.

V oblasti bezdrôtových adaptérov poskytuje rozsiahle konfiguračné možnosti.

V súčasnosti podporuje zariadenia štandardov 802.11a, b, g. Vo verzii 4.x je pripravovaná

podpora 802.11n [4]. V tejto oblasti disponuje mnohými nástrojmi pre skenovanie

dostupných sietí, zachytávanie bezdrôtovej komunikácie, zisťovanie využitia

frekvenčného spektra a iné. Spoločnosť Mikrotik, Ltd. implementovala do systému

vlastný protokol Dual-Nstreme, ktorý dokáže reálne zvýšiť prietokové možnosti

bezdrôtového spojenia. Funkcionalitu bezdrôtových sietí rozširuje služba hotspot, ktorá

umožňuje autorizovať pripájaných užívateľov v prostredí vlastného web servera, ktorého

obsah je možné ľubovoľne upraviť.

V oblasti VPN je možné konfigurovať server a klient protokolov PPTP, L2TP, OpenVPN

a PPPoE. Konfigurovať je možné aj IPsec tunely. Systém obsahuje sekciu firewall kde je

možné definovať množstvo parametrov pre filtrovanie, označovanie a obmedzovanie

dátovej prevádzky. Pre zvýhodňovanie istých typov sieťovej prevádzky pred inými a ich

rýchlostné obmedzovanie slúži nástroj Queue. Systém umožňuje vytvárať rôzne grafy

a umožňuje prístup k hodnotám prostredníctvom protokolu SNMP vo verziách 1, 2 a 3.

Zabezpečenie spojenia poskytuje aj možnosť konfigurovať RADIUS server. RouterOS je

vybavený množstvom diagnostických nástrojov pre skúmanie stavu siete, a to najmä

oblasť dostupnosti uzlov, šírky prenosového prostredia a zobrazovania a zachytávania

aktuálnej dátovej prevádzky.

2.4 FUNKCIE A MOŽNOSTI V ZÁVISLOSTI OD HARDVÉRU

Systém RouterOS je k dispozícii vo verziách pre nasledovné platformy: mipsle, x86,

PPC, mipsbe a iné x86/Intel/amd PC.

Všeobecne platí, že všetky funkcie systému možno využívať na minimálnej hardvérovej

konfigurácii: Embedded device 133MHz mipsle procesor, 16MB operačnej pamäti,

16MB pevnej pamäti, vyžaduje sériové a sieťové rozhranie. Výkon systému je však na

uvedenej konfigurácii značne obmedzený, preto je vhodný napr. na nasadenie ako

smerovač koncového uzla.

23

S narastajúcim výkonom hardvéru samozrejme narastá výkon celého systému, a teda aj

dátová priepustnosť. V súčasnej verzii (3.19) je možné nasadiť systém na

viacprocesorové zariadenia s maximálne 2GB operačnej pamäte, podporuje viacjadrové

procesory. RouterOS používa súborový systém ext2fs, od verzie 3.15 umožňuje

manažment viacerých pevných diskov [5].

2.4.1 VHODNOSŤ POUŽITIA NA KONKRÉTNYCH PLATFORMÁCH

Najčastejšie sa systém RouterOS využíva na tzv. embedded zariadeniach, teda na

jednoúčelových zariadeniach integrujúcich procesor, pamäte a rozhrania na jednu dosku

plošného spoja. Takýmito zariadeniami sú aj tzv. RouterBoard, ktoré vyrába spoločnosť

Mikrotik, Ltd. Zariadenia majú niekoľko portov typu miniPCI, ktoré môžu byť osadené

bezdrôtovým adaptérom alebo rozhraním 3G. Systém pre rozpoznanie bezdrôtových

kariet používa linuxový ovládač MADWIFI. Embedded zariadenia sú zväčša napájané

jednosmerným napätím od 12 do 48V. Práve ich rozmer a možnosť napájania umožňuje

ich nasadenie v neprístupnom prostredí, napríklad na konštrukcií anténneho stožiara

a podobne. Primárne bývajú nasadené ako bezdrôtové smerovacie zariadenia. Okrem

RouterBoard je na trhu mnoho podobných zariadení, na ktoré je možné systém aplikovať.

Sú to napríklad zariadenia s názvom Wrap a Alix s procesormi AMD od spoločnosti PC

Engines GmbH, zariadenia RouterStation od spoločnosti UBIQUITI NETWORKS,

zariadenia spoločnosti Soekris Engineering, Inc. a iné.

Druhým typom zariadení, na ktoré sa systém aplikuje bývajú výkonné viacprocesorové

smerovače, resp. prepínače. Takéto zariadenie so systémom RouterOS je schopné

vytvárať stovky tunelových spojení, obmedzovať a filtrovať veľké množstvo

pretekajúcich dát, kryptovať sieťovú prevádzku a iné. Jedno z najvýkonnejších zariadení

vyrobených pre systém RouterOS je PoweRouter 2200 vyrobený spoločnosťou Link

Technologies, Inc. Zariadenie má 22 gigabitových sieťových portov a dva 4-jadrové Intel

Xeon procesory.

2.2.2 IDENTIFIKÁCIA NEDOSTATKOV

Počas vývoja tejto práce som pri konfigurácii nenatrafil na žiadne kľúčové nedostatky

v operačnom systéme. Pri použití niektorých smerovacích protokolov som zaznamenal

anomálie, ktoré prestali vznikať po aktualizácií systému, preto odporúčam používať na

zariadeniach účastných v danej sieťovej infraštruktúre vždy rovnakú verziu systému.

24

Výkon systému je samozrejme obmedzený dostupnými prostriedkami hardvéru, a preto je

potrebné zvážiť, aké zariadenie je pre dané použitie postačujúce. Systém poskytuje

vlastné skriptovacie rozhranie. To však neposkytuje možnosť ladenia kódu, a tak je

niekedy zložité nájsť chybu v rozsiahlom skripte. Tento nedostatok by malo odstrániť

nasadenie známeho programovacieho rozhrania Lua, ktoré je plánované vo verzii 4.

V súčasnosti je často skloňovaná virtualizácia, ktorá je v systéme už čiastočne

podporovaná, jej plnohodnotnú verziu však možno očakávať až vo verzii 4. Za nedostatok

systému sa dá považovať aj to, že systém poskytuje len tie funkcie, ktoré sú obsiahnuté

v systémových balíkoch spoločnosti Mikrotik, Ltd. Počas práce som však nenašiel žiadnu

kľúčovú funkciu, ktorá by v systéme chýbala.

25

3.0 VYTVORENIE TESTOVACEJ SIETE S POUŽITÍM ROUTEROS

Pre testovanie som navrhol dve základné aplikácie zariadenia s inštalovaným systémom

RouterOS, t.j. smerovanie a prepínanie.

3.1 APLIKÁCIA SMEROVAČA S ROUTEROS

V smerovacom prostredí navrhujem redundantnú smerovaciu infraštruktúru pre pripojenie

podnikovej siete. Do siete musí byť možné pristupovať vzdialene. Zdrojová (verejná)

adresa zariadení komunikujúcich z vnútornej siete smerom von musí byť nemenná.

3.3.1 REALIZÁCIA SMEROVACEJ SIETE

Pre účel redundancie použijem na pripojenie hlavného smerovača do siete internet dva

smerovače s RouterOS a modem mobilného poskytovateľa. Pre účel zachovania jednej

výstupnej (zdrojovej) adresy a možnosť prístupu do vnútornej siete bude pripojenie

realizované dynamickým tunelom.

Na obrázku 1 je znázornená schéma zapojenia.

Obr. 1 Schéma zapojenia smerovacej siete

26

27

Popis hlavných zariadení v schéme na obrázku 1:

1.ISP 1 – brána – smerovač RB600 - jednoúčelová procesorová doska od spoločnosti

Mikrotik s architektúrou PPC s predinštalovaným systémom RouterOS v. 3.22

2.ISP 1 – záloha – smerovač RB532 - jednoúčelová procesorová doska od spoločnosti

Mikrotik s architektúrou MIPSLE s predinštalovaným systémom RouterOS v.

3.22

3.ISP 2 – modem mobilného poskytovateľa

4.ISP 1 – centrálna serverovňa – smerovač architektúry x86 s inštalovaným systémom

RouterOS v. 3.22

5.Hlavný smerovač - smerovač RB450 - jednoúčelová procesorová doska od

spoločnosti Mikrotik s architektúrou MIPSBE s predinštalovaným systémom

RouterOS v. 3.22

3.1.2 KONFIGURÁCIA V PROSTREDÍ SMEROVANIA

Nastavenie ISP 1 – brána:

Nastavenie smerovania OSPF:

Konfigurácia je z grafického prostredia WINBOX a týka sa len rozhrania pripojeného

k hlavnému smerovaču. Na obrázku 2 je znázornené priradenie IP adresy a na obrázku 3

organizácia smerovacích protokolov grafického prostredia WINBOX.

Obr. 2 Priradenie IP adresy Obr. 3 Smerovanie vo WINBOX

Pridanie nového autonómneho systému pre smerovanie v protokole OSPF je znázornené

na obrázku 4. Konfigurácia identifikátora smerovača je zobrazená na obrázku 5.

Obr. 4 Vytvorenie autonómneho systému Obr. 5 Definovanie ID smerovača

Nastavenie aktívneho rozhrania pre OSPF je zobrazené na obrázku 6. Obrázok 7

zobrazuje pridanie siete, ktorá bude distribuovaná v autonómnom systéme OSPF.

Obr. 6 Nastavenie OSPF rozhrania Obr. 7 Priradenie smerovanej siete

28

Nastavenie ISP 1 – záloha:

Toto pripojenie je sekundárnou cestou a jeho konfigurácia je veľmi podobná ako

v predošlom prípade. Z tohto dôvodu uvádzam konfiguráciu z príkazového prostredia.

Nastavenie IP adresy: ip address add address=172.22.1.13/30 interface=ether3

Nastavenie smerovania: >routing ospf set router-id=172.22.1.2 >routing ospf area add name=AS1 area-id=0.0.0.1 >routing ospf interface add interface=ether3 authentication=md5 authentication-key=heslo >routing ospf network add network=172.22.1.12/30 area=AS1

Nastavenie ISP 1 centrálna serverovňa:

Pre tunel z hlavného smerovača som použil typ OpenVPN. Systém RouterOS vyžaduje na

strane OpenVPN servera TSL certifikát. Komunikácia však striktne nevyžaduje klientský

certifikát.

Vytvorenie certifikátu:

>certificate create-certificate-request – Príkazom sa spustí sprievodca Z vygenerovaného súboru je možné získať certifikačný súbor rôznym spôsobom,

v mojom prípade som použil portál www.cacert.org.

Import certifikátu: >certificate import file-name=certificate-response.pem >certificate import file-name=private-key.pem

Následná konfigurácia OpenVPN servera je zobrazená na obrázku 8.

29

Obr. 8 Konfigurácia OpenVPN servera

Rovnaká konfigurácia v príkazovom prostredí konzoly vyzerá nasledovne:

>interface ovpn-server server set enabled=yes mode=ip netmask=30 default-profile=default certificate=cert1 require-client-certificate=no auth=sha1,md5

Definícia nového účtu OpenVPN servera pre prihlásenie klienta je znázornená na

obrázku 9.

30

Obr. 9 Pridanie OpenOVP účtu

Rovnaká definícia sa v príkazovom prostredí realizuje nasledovne: >ppp secret add name=bakalarka service=ovpn password=heslo profile=default local-address=172.22.254.1 remote-address=172.22.254.2

Konfigurácia prekladu lokálnych adries na verejnú je zobrazená na obrázkoch 10 a 11.

31

Obr. 10 Určenie zdrojových adries pre preklad

Obr. 11 Definícia prekladu adries

V príkazovom prostredí konzoly sa preklad adries definuje nasledovne: >ip firewall nat add chain=srcnat src-address=172.22.254.2 action=src-nat to-addresses=verejna adresa V sekcii NAT, firewallu systému RouterOS sa definujú aj presmerovania požadovaných

portov na hlavnú bránu resp. smerom do lokálnej siete.

32

Hlavný smerovač:

Na hlavnom smerovači sú zadané statické IP adresy podľa obrázka 12. Dynamická adresa

je nastavená na rozhraní, ktoré sa spája s modemom mobilného poskytovateľa.

Obr. 12 Aktivácia DHCP klienta

Obr. 11 Pridanie statickej adresy

Pri dostupnosti mobilného pripojenia (obrázok 12) systém pridáva do smerovacej tabuľky

hlavný smer s metrikou 115. Tento smer je využívaný v prípade nedostupnosti oboch

OSPF liniek.

Konfigurácia IP adries v konzole vyzerá nasledovne: >ip address add address=172.22.2.1/24 interface=ether1 >ip address add address=172.22.1.18/30 interface=ether2 >ip address add address=172.22.1.14/30 interface=ether3 >ip dhcp-client add interface=ether4 host-name=workS1 add-default-route=yes default-route-distance=115

33

Konfigurácia smerovania OSPF:

Z dôvodu podobnosti konfigurácie nižšie uvedenej sekcie s predošlou, uvádzam len

príkazové prostredie: 1. >routing ospf set router-id=172.22.2.1 2. >routing ospf area add name=AS1 area-id=0.0.0.1 3. >routing ospf interface add interface=ether2 authentication=md5 authentication-key=heslo 3. >routing ospf interface add interface=ether3 authentication=md5 authentication-key=heslo 5. >routing ospf network add network=172.22.1.16/30 area=AS1 6. >routing ospf network add network=172.22.1.12/30 area=AS1

Prvým príkazom sa nastavuje identifikátor smerovača, druhým názov a identifikátor

autonómneho systému protokolu OSPF. Tretí a štvrtý príkaz definuje aktívne OSPF

rozhrania. Posledné dva príkazy pridávajú adresy sietí aktívnych v autonómnom systéme

OSPF smerovania.

Pre preklad adries lokálnej siete na hlavnom smerovači je použitý príkaz: >ip firewall nat add chain=srcnat src-address=172.22.2.0/24 action=masquerade

Konfigurácia DHCP servera:

Pre konfiguráciu DHCP servera poskytuje systém špeciálneho sprievodcu. Jednotlivé

kroky konfigurácie sú zobrazené na obrázkoch 13, 14 a 15.

Obr. 13 Výber rozhrania pre DHCP server

34

35

Obr. 14 Rozsah adries a čas ich pridelenia Obr. 15 Definícia DHCP siete, nastavenie brány a adresy DNS servera

V príkazovom prostredí sa DHCP server konfiguruje nasledovne: gateway for dhcp network: 172.22.2.1

>ip dhcp-server setup Select interface to run DHCP server on Select pool of ip addresses

given out by DHCP server dhcp server interface: ether1 addresses to give out: 172.22.2.2-172.22.2.254

Select network for DHCP addresses

Select DNS servers dhcp address space: 172.22.2.0/24 dns servers: 172.22.2.1

Select lease time Select gateway for given network lease time: 3d

Nastavenie DNS servera:

DNS server, ktorý odpovedá na DNS požiadavky sa v príkazovom prostredí nastavuje

nasledovne: >ip dns set primary-dns=adresa_servera allow-remote-requests=yes

Rovnaká konfigurácia v grafickom prostredí je znázornená na obrázku 16.

Obr. 16 Konfigurácia DNS servera

Konfigurácia OpenVPN klienta je zobrazená na obrázku 17.

Obr. 17 Konfigurácia OpenVPN klienta

36

Príkaz pre konfiguráciu v príkazovom prostredí : >interface ovpn-client add name=oVPN connect-to=adrea_openVPN_serv port=1194 mode=ip user=bakalarka password=heslo profile=default certificate=none auth=none cipher=none add-default-route=no Nastavenie statického smerovania cez tunel:

Smerovač sám osebe disponuje nastavením hlavných smerov z protokolu OSPF a DHCP

klienta z mobilného pripojenia. Pre dáta pochádzajúce z vnútornej siete podniku je

potrebné definovať smerovanie cez OpenVPN tunel. Pre tento účel je potrebné najskôr

označiť pakety pochádzajúcich z vnútornej siete, čo je zobrazené na obrázkoch 18 a 19.

Obr. 18 Označenie paketov

37

Obr. 19 Označenie paketov – pridanie názvu

Rovnaká konfigurácia v príkazovom prostredí: >ip firewall mangle add chain=prerouting action=mark-routing new-routing-mark=localInput passthrough=yes src-address=172.22.2.0/24

Pridanie hlavného smeru je zobrazené na obrázku 20.

Obr. 20 Pridelenie hlavného smeru

38

Rovnaká konfigurácia pre príkazové prostredie: >ip route add gateway=172.22.254.1check-gateway=ping distance=1 routing-mark=localInput

Po dokončení konfigurácie som otestoval jej funkčnosť a zistil som, že pri výpadku

spojenia z oboch smerovačov ISP 1 sa tunel vytočí prostredníctvom mobilného

pripojenia. Po obnove spojení tunel zostane vytočený mobilným spojením. Nakoľko je

toto spojenie určené ako záložné, je dôležité aby sa po obnovení hlavných pripojení tunel

vytočil práve ním.

Pre odstránenie tohto problému som napísal skript, ktorý kontroluje počet entít

v smerovacej tabuľke a v prípade zmeny reštartuje tunel.

Zdrojový kód skriptu: :global routecount :if ([/ip route print count-only ]!=routecount) do={ /interface ovpn-client disable 0 :delay 6 /interface ovpn-client enable 0 :delay 6 :set routecount [/ip route print count-only] } Vytvorený skript som následne vložil do systému, čo je znázornené na obrázku 21

a pridal som jeho pravidelné spúšťanie podľa obrázku 22.

Script sa spustí každých 20 sekúnd a doba, počas ktorej sa reštartuje tunel, je 6 sekúnd.

Z uvedeného vyplýva, že teoretický maximálny čas nedostupnosti pripojenia je 26

sekúnd.

39

Obr. 22 Nastavenie spúšťania skriptu

Obr. 21 Vloženie skriptu

3.1.3 TESTOVANIE A ANALÝZA ZAPOJENIA

Zapojenie som testoval prerušovaním liniek, odpájaním napájania zariadení, zámerne

chybovou konfiguráciou adries a kombináciou spomínaných možných porúch.

Zaznamenal som 30 časových intervalov nedostupnosti siete v smere od hlavného

smerovača von a 30 v opačnom smere.

Tab. 2 Testovanie dostupnosti v smere z hlavného smerovača č. pokusu 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15doba (s) nedostupnosti 0 5 40 7 0 0 15 6 3 5 0 0 0 0 15

č. pokusu 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30doba (s) nedostupnosti 8 0 12 0 47 0 0 0 0 12 0 3 0 0 0

Najvyššia a najnižšia hodnota: 47s, 0s

Priemerná hodnota: 5,93¯s

40

Tab. 3 Testovanie dostupnosti v smere na hlavný smerovač č. pokusu 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15doba (s) nedostupnosti 26 8 23 8 0 28 7 16 16 8 11 16 7 16 26

Č. pokusu 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30doba (s) nedostupnosti 10 7 17 25 18 - 8 8 20 12 21 14 8 37 9

Najvyššia a najnižšia hodnota: úplná nedostupnosť, 0s

Priemerná hodnota: 18,5s

3.1.4 ZHODNOTENIE A IDENTIFIKÁCIA PROBLÉMOV Pri testovaní v smere z hlavného smerovača som dosiahol akceptovateľné výsledky, došlo

však k viacerým anomáliám vo fáze spracovania paketov pri NAT na hlavnom smerovači.

Pakety pochádzajúce z adresy na rozhraní oVPN smerovača nemali jednoznačne korektne

definované smerovanie. Z dôvodu použitia prekladania adries zo segmentu vnútornej

podnikovej siete práve na adresu vyššie spomínaného rozhrania je potrebné jednoznačné

definovanie smeru. Pre vyriešenie tohto problému som doplnil nasledujúcu konfiguráciu: >ip firewall mangle add chain=output action=mark-routing new-routing-mark=localInput passthrough=no src-address=172.22.254.2

Pri testovaní v smere do hlavného smerovača došlo pri pokuse č. 21 k neúspešnému

vytočeniu tunela, ktoré sa prerušilo vo fáze autentifikácie. Táto chyba vyústila

do celkovej nedostupnosti siete. Problém som vyriešil rozšírením a drobnou úpravou

skriptu.

Upravený kód: :global routecount :if ([/ip route print count-only ]!=routecount) do={ /interface ovpn-client disable 0 :delay 3 /interface ovpn-client enable 0 :delay 13 :set routecount [/ip route print count-only] } :if ([/ping 172.22.254.1 count=5]=0) do={ /interface ovpn-client disable 0 :delay 2 /interface ovpn-client enable 0 :log info "neuspesne vytoceny tunel!!!" }

41

Skript po overení zmien v smerovacej tabuľke preverí ICMP paketom funkčnosť tunela,

po piatich neúspešných pokusoch skript reštartuje tunel a zapíše do sekcie Log

informáciu. Takto konfigurované zariadenie sa po 3. dni testovania ukázalo ako

spoľahlivé a funkčné.

3.2 APLIKÁCIA PREPÍNAČA S ROUTEROS

V zapojení prepínacej siete bola testovaná interoperabilita systému a jednotlivých

protokolov so systémom Cisco IOS.

3.2.1 REALIZÁCIA PREPÍNACEJ SIETE

Pre komplexnú demonštráciu som navrhol prepínaciu sieť s použitím systému Cisco IOS

a RouterOS v redundantnej STP doméne so smerovačom s RouterOS, ktorý redundantne

smeruje segmenty vlan 10 a vlan 99 medzi sebou a zabezpečuje link aggregation.

V nasledujúcom zapojení sa systém RouterOS vyskytuje aj v nasadení smerovač aj

prepínač.

Schéma zapojenia:

Obr. 23 Schéma zapojenia prepínacej siete

42

Tab. 4 Adresný priestor pre jednotlivé vlan segmenty Tab. 5 Adresy rozhraní

vlan ID adresný priestor 10 172.22.0.0/27 20 192.168.20.0/24 99 192.168.254.0/24

RB433 RB450 port adresa port Adresa 2,3 192.168.254.1/24 1,5 192.168.254.101/24vlan 20 192.168.20.1/24

Tabuľky 4 a 5 popisujú aké adresné priestory sú definované v jednotlivých vlan sieťach

a aké adresy sú definované na konkrétnych rozhraniach zariadení.

Popis hlavných zariadení v schéme na obrázku 23:

6.Catalyst 3548 XL – 48-portový prepínač od spoločnosti Cisco s inštalovaným

operačným systémom IOS 12.0(5)WC17

7.RB433 – jednoúčelová procesorová doska od spoločnosti Mikrotik s architektúrou

MIPSLE s predinštalovaným systémom RouterOS v. 3.22 v zapojení smerovač

8.RB450 – jednoúčelová procesorová doska od spoločnosti Mikrotik s architektúrou

MIPSLE s predinštalovaným systémom RouterOS v. 3.22 v zapojení vlan

prepínač

9.RB532 – jednoúčelová procesorová doska od spoločnosti Mikrotik s architektúrou

MIPSBE s predinštalovaným systémom RouterOS v. 3.22 v zapojení koncový

uzol

10. RB600 – jednoúčelová procesorová doska od spoločnosti Mikrotik s architektúrou

PPC s predinštalovaným systémom RouterOS v. 3.22 v zapojení koncový uzol

11. Smerovač vlan 10 – externé zariadenie demonštrujúce komunikáciu s RB532

v oddelenej vlan sieti

12. Konfiguračný počítač siete vlan 99 smerovaný do siete vo vlan 20

Aplikácia vlan v prostredí RouterOS:

V prepínacích sieťach sa často vyskytujú problémy v konfigurácii, ktoré vznikajú najmä

pre rôznu názvovú konvenciu súvisiacich entít v operačných systémoch. Tieto sú

popísane v tabuľke 6.

43

44

Tab. 6 Porovnanie názvovej konvencie IOS a RouterOS Všeobecne Cisco IOS RouterOS

vlan virtuálne rozhranie definované jedinečným ID

virtuálne rozhranie definované na fyzickom alebo virtuálnom rozhraní s jedinečným ID

rozhranie, ktoré dáta opúšťajú bez prídavného tagu (vlan) v hlavičke paketu

vlan access port, ktorý je definovaný na fyzickom rozhraní

fyzický port, ktorý môže byť spolu s vlan rozhraním súčasťou bridgu

rozhranie, ktoré dáta opúšťajú s prídavným tagom (vlan) v hlavičke paketu

trunk port, ktorý je definovaný na fyzickom rozhraní.

fyzické alebo virtuálne rozhranie, na ktorom sú vytvorené vlan rozhrania

ID vlan, z ktorej pakety opúšťajúce trunk port neobsahujú tag (vlan)

trunk native vlan, definovaný na trunk porte -

3.2.2 KONFIGURÁCIA V PREPÍNACOM PROSTREDÍ

V popise zapojenia smerovacej siete som uvádzal kompletnú konfiguráciu zariadení.

V tejto časti sa zameriam len na hlavné nastavenia.

Cisco catalyst 3548 XL:

Pred výpisom konfigurácie je potrebné uviesť, že prepínacie parametre a formát príkazov

sa môže líšiť v závislosti od verzie systému IOS.

Nastavenie štandardných trunk portov: Interface FastEthernet 0/1 switchport trunk encapsulation dot1q switchport trunk native vlan 99 switchport trunk allowed vlan 1,10,20,99 switchport mode trunk

interface FastEthernet0/48 switchport trunk encapsulation dot1q switchport trunk native vlan 99 switchport trunk allowed vlan 1,10,20,99 switchport mode trunk

Tieto konfigurované trunk porty sú pripojené k prepínaču RB450 a vytvárajú redundantný

okruh v spoločnej STP doméne.

Nastavenie redundantného (bonding) trunk spojenia na smerovač sa v prostredí IOS

realizuje nasledovne:

interface FastEthernet0/17 port group 1 switchport trunk encapsulation dot1q switchport trunk native vlan 99 switchport trunk allowed vlan 1,20,99 switchport mode trunk

interface FastEthernet0/33 port group 1 switchport trunk encapsulation dot1q switchport trunk native vlan 99 switchport trunk allowed vlan 1,20,99 switchport mode trunk

Nastavenie prístupových portov: interface FastEthernet0/16 switchport access vlan 10 spanning-tree bpdufilter enable interface FastEthernet0/47 switchport access vlan 99 spanning-tree portfast

Nastavenie vlan rozhraní: interface VLAN1 shutdown interface VLAN99 ip address 192.168.254.100 255.255.255.0 ip default-gateway 192.168.254.1

Nastavenie RB450 ako prepínač s RouterOS:

Pre funkciu prepínača je nutné v systéme definovať virtuálne rozhrania bridge pre každú

vlan samostatne (okrem natívnej) nasledovne: Interface bridge add name=br_trunk arp=enabled protocol-mode=rstp Interface bridge add name=br_vlan10 Interface bridge add name=br_vlan20 Následne je nutné pridať virtuálne rozhrania vlan s ich identifikátorom: Interface vlan add name=vlan10 vlan-id=10 interface=br_trunk Interface vlan add name=vlan20 vlan-id=20 interface=br_trunk

Vyššie uvedené virtuálne rozhrania sa spolu s reálnym rozhraním pridávajú do bridge

nasledovne: Interface bridge port add interface=ether1 bridge=br_trunk Interface bridge port add interface=ether2 bridge=br_vlan10 Interface bridge port add interface=ether3 bridge=br_vlan20 Interface bridge port add interface=ether5 bridge=br_trunk Interface bridge port add interface=vlan10 bridge=br_vlan10 Interface bridge port add interface=vlan20 bridge=br_vlan20

45

Zobrazenie stavu portov v rámci rozhrania „bridge br_trunk“ (porty ether1 a ether5), v prostredí WINBOX je zobrazené na obrázkoch 24 a 25.

Obr. 24 Stav portu ether1 Obr. 25 Stav portu ether5

V konfigurácii RouterOS sa nevyskytuje vlan 99, ktorá je v prostredí IOS definovaná ako

„native vlan“. Z tabuľky 6 vyplýva, že pakety pochádzajúce z tejto vlan komunikujú

s virtuálnym rozhraním br_trunk systému RouterOS.

Nastavenie smerovača RB433:

Hlavnou úlohou zariadenia RB433 s inštalovaným systémom RouterOS je smerovať

medzi sebou siete vlan 99 a vlan 20.

Nastavenie bonding rozhrania sa v prostredí konzoly realizuje nasledovne: Interface bonding add name=bond_trunk slaves=ether2,ether3 mode=balance-rr link-monitoring=mii-type2 Nasleduje konfigurácia vlan rozhrania:

Interface vlan add name=vlan20 mtu=1500 vlan-id=20 interface=bond_trunk

Adresy rozhraní sú nastavené podľa tabuľky 5. Štruktúru jednotlivých rozhraní a ich

organizáciu v prostredí WINBOX zobrazuje obrázok 26.

46

Obr. 26 Štruktúra rozhraní vo WINBOX

3.2.3 TESTOVANIE A ANALÝZA ZAPOJENIA

Konfiguračné možnosti bonding:

Systém RouterOS umožňuje použiť štyri rôzne módy pre dosiahnutie redundancie a link

aggregation v konfigurácii bonding:

1. 802.3ad:

Dynamické delenie linky. Každé fyzické rozhranie v bonding zdieľa rovnakú rýchlosť.

Ak je medzi dvoma uzlami používajúcimi technológiu link aggregation umiestnený

prepínač, musí tento podporovať štandard IEEE 802.3ad.

2. Ballance alb a tlb:

Adaptívne prerozdeľovanie dát podľa vyťaženosti rozhraní. Tento mód je závislý od

použitého hardvéru, ktorý túto technológiu podporuje. Mikrotik v súčasnosti nevyrába

žiadne zariadenia s tlb implementáciou. Verzia alb by mala byť podporovaná od verzie

3.22. V mojom zapojení v kooperácii s IOS nepracuje spoľahlivo.

3. Ballance-rr (round-robin load ballancing):

Fyzické rozhrania v bonding posielajú a prijímajú dáta v sekvenčnom poradí.

4. Ballance-XoR:

Pre smerovanie dát používa xor politiku. Mikrotik v oficiálnych zdrojoch deklaruje, že

v súčasnosti nepodporuje link aggregation v tomto móde.

47

Testovanie redundancie a link aggregation:

Pre účely testovania som použil klient - server aplikáciu b-test, ktorá je implementovaná

aj v systéme RouterOS. Aplikácia generuje TCP alebo UDP komunikáciu k zvolenému

uzlu alebo v smere od neho. Testoval som rýchlosť prietoku dát medzi počítačom vo vlan

99 (podľa obrázka 22) a zariadením RB600 vo vlan 20.

Počas testovania som zistil, že v móde 802.3ad v nastaveniach bonding na zariadení

RB433 je link aggregation nefunkčný. Počas viacerých pokusov v móde 802.3ad došlo

k úplnej nedostupnosti a spojenie bolo obnovené až po reštarte zariadenia Cisco catalyst

3548XL. Preto som testovanie v tomto móde 802.3ad a ballance-alb vynechal

a považujem ich za nevhodné pre použitie s IOS zariadeniami. Výsledky testov sú

zobrazené v tabuľke 7.

Tab. 7 Rýchlosť dát a jej agregácia na rozhraní bonding Rýchlosť v Mb/s

POČÍTAČ RB 433 bonding Tx Rx Smer dát

počítača Bonding mód TX Rx Ether2 Ether3 Ether2 Ether3 Ballance XoR

45 - 0,4 49 49 0,4 Odosielanie

Ballance-rr 46 - 24,7 25,1 49,7 0 Ballance XoR

- 91 96 1,7 1,6 96 Prijímanie

Ballance-rr 91,6 49 48,7 97 0 Ballance XoR

35,1 35,2 37,3 37,4 37,6 37,3 Obojsmerne

Ballance-rr 35,3 35 37,4 37,6 75 0 kde Tx – smer posielanie dát

Rx – smer prijímania dát

Popri konfigurácii som zaregistroval dlhšie časové intervaly pre zotavenie bonding

rozhrania po zmene v jeho konfigurácií na strane systému RouterOS. Priemerná doba

zotavenia je 32s.

48

3.3.4 ZHODNOTENIE ZAPOJENIA PREPÍNACEJ SIETE

Z tabuľky 6 vyplýva, že oba testované módy správne prerozdeľovali rýchlosť.

Obojsmernú komunikáciu som zámerne obmedzil tak, aby sa rýchlosť odosielania

približne rovnala rýchlosti prijímania. V zapojení boli použité zariadenia s fyzickými

portami typu ethernet s rýchlosťou 100Mbps a sieťové káble kategórie 5e v dĺžke

maximálne 3m. Je nutné zdôrazniť, že bonding býva často nasadzovaný v prostrediach,

kde rozhrania, ktoré ho tvoria, majú rôzne prenosové vlastnosti a pakety, ktoré nimi

putujú, nemajú zhodný čas, za ktorý dosiahnu cieľ. Napríklad bezdrôtové spojenia.

V takýchto prostrediach je funkcia link aggregation obmedzená alebo nefunguje vôbec

a bonding zabezpečuje len redundanciu.

Aplikácia systému RouterOS v prepínacom prostredí je vhodná napríklad v prípade

potreby rozšírenia vlan siete v mieste, kde je obmedzená fyzická infraštruktúra.

V testovanom zapojení som použil zariadenie RouterBoard 450 s predinštalovaným

systémom RouterOS. Toto zariadenie má malé rozmery (90x116 mm) a v čase tvorby

tejto práce sa jeho koncová cena na slovenskom trhu pohybovala okolo 75 EUR, vrátane

skrinky pre vnútorné použitie a 24V napájacieho zdroja. V dobe spracovania mojej práce

(apríl 2009) bola vydaná aj nová verzia RouterOS v. 3.23, ktorá prináša rozšírenie vlan

aplikácie o protokol 802.1ad, teda umožňuje užívateľom pripojeným do jednej vlan

vytvárať ďalšie, vlastné vlan rozhrania.

49

4 SUMARIZÁCIA A INTERPRETÁCIA DOSIAHNUTÝCH POZNATKOV

Počas konfigurácie, testovaní a práce v operačnom systéme RouterOS som si osvojil

prácu v príkazovom aj grafickom prostredí tohto systému. Na tomto mieste by som rád

interpretoval niektoré praktické poznatky, ktoré môžu pomôcť sieťovým administrátorom

začínajúcim prácu práve v systéme RouterOS. Špecifickým zhrnutím vedomostí

o systéme je aj multimediálna príručka, ktorá tvorí samostatnú prílohu.

4.1 PRAKTICKÉ POZNATKY POUŽÍVANIA KONFIGURAČNÝCH ROZHRANÍ Pri vykonávaní operácií v rámci konkrétneho systému je pre sieťového administrátora

najdôležitejšia orientácia v prostredí, aby mohol v systéme rýchlo nájsť požadovanú

položku a vykonať konfiguráciu. Počas práce som v rámci narábania so systémom

RouterOS narazil na isté skutočnosti a poznatky, ktorých interpretáciu považujem za

významný prínos, nakoľko môžu administrátorom umožniť zjednodušenie práce.

4.1.1 PRAKTICKÉ POZNATKY Z POUŽÍVANIA WINBOX

Pri pripájaní pomocou IP adresy (komunikácia na sieťovej vrstve) je dôležité

komunikovať s použitím zabezpečenia a je vhodné ukladať si relácie do pamäte pre lepšiu

orientáciu v zariadeniach. Pri použití MAC adresy (2. vrstva OSI modelu) sa nepoužíva

zabezpečenie ani možnosť zobraziť naposledy konfigurované položky systému.

V opačnom prípade dochádza k „zamrznutiu“ konfiguračného okna a systém automaticky

preruší komunikáciu. Prihlasovacie okno rozhrania WINBOX je zobrazené na obrázku

27. Po 2. vrstve OSI je možné konfigurovať zariadenie aj na bezdrôtovom rozhraní.

50

Obr. 27 Prihlasovacie okno aplikácie WINBOX

Po prihlásení do konfiguračnej obrazovky systému si užívateľ môže pravým tlačidlom

myši na hornom panely zobraziť aktuálnu hodnotu využitia procesora a pamäte. Takto má

administrátor okamžitý prehľad o dopade jeho konfigurácie na celkový výkon systému.

Priamo z prostredia WINBOX je možné prihlasovať sa do konzoly susedného zariadenia

RouterOS, a to aj v prípade, že toto zariadenie neobsahuje žiadnu sieťovú konfiguráciu.

Pripojenie sa realizuje v sekcii IP Neighboors kliknutím pravým tlačidlom myši na

zariadenie a výberom voľby MAC telnet.

4.1.2 PRAKTICKÉ POZNATKY Z POUŽÍVANIA KONZOLY

Konzola systému RouterOS je prehľadne delená do sekcií podobne ako prostredie

WINBOX. V jednotlivých sekciách si užívateľ môže zobraziť možné príkazy a subsekcie

zadaním znaku „?“ z klávesnice. Používanie tohto znaku odporúčam používať vo

všetkých krokoch konfigurácie, čím si hlavne nový užívateľ zaručí správnosť zadaných

parametrov na správnom mieste. Pri písaní jednotlivých príkazov je nápomocný aj kláves

Tab, ktorý za užívateľa dopíše začatý príkaz. Dvojité stlačenie Tab vypíše možné

parametre, príkazy alebo subsekcie, podobne ako pri zadaní znaku „?“.

51

4.2 INTERPRETÁCIA POZNATKOV MULTIMEDIÁLNOU FORMOU Samostatnou prílohou tejto práce je multimediálna príručka pre ovládanie a prácu so

systémom RouterOS. Táto príručka je samospustiteľnou aplikáciou pre systémy

Windows. Je vytvorená v prostredí Adobe Flash a zahŕňam v nej svoje získané vedomosti

ohľadom práce v systéme RouterOS. Obrázok 28 zobrazuje úvodnú obrazovku aplikácie.

Obr. 28 Vstupná obrazovka výukovej aplikácie

Kliknutím na tlačidlo vstup sa zobrazí obrazovka s možnosťou výberu dvoch základných

častí príručky, ako je to zobrazené na obrázku 29.

52

Obr. 29 Delenie príručky na hlavné časti

Pri výbere konkrétnej časti sa zobrazí roletové menu, v ktorom si užívateľ volí jednotlivé

kapitoly, čo znázorňuje obrázok 30.

Obr. 30 Úvodná obrazovka časti Hardvér a údržba

53

Po zvolení kapitoly z roletového menu sa užívateľ dostáva ku konkrétnemu obsahu, čo je

zobrazené na obrázku 31.

Obr. 31 Konkrétny obsah aplikácie

Pre listovanie v kapitolách si užívateľ môže vyrolovať menu kliknutím na text MENU

podľa obrázka 31. V spodnej časti obrazovky aplikácie sa nachádzajú 2 čiarkované čiary.

Horná čierna čiara graficky nahrádza číslovanie obrazoviek v konkrétnej kapitole. Spodná

biela čiara nahrádza číslo kapitoly. Aplikácia obsahuje ďalšie ovládacie prvky, ktoré sú

opísané v tabuľke 8.

Tab. 8 Ovládacie prvky aplikácie Ovládací prvok Význam

Navigácia v obrazovkách konkrétnej kapitoly.

Zväčšenie aplikácie na režim celej obrazovky alebo obnova normálnej veľkosti

Tlačidlo pre návrat k výberu hlavných častí príručky.

54

Táto multimediálna príručka má za úlohu oboznámiť čitateľa s prácou so systémom

RouterOS. Pri jej tvorbe som využil znalosti z oblasti multimédií získané doterajším

štúdiom. Aplikácia je primárne určená pre užívateľov, ktorí sa venujú konfigurácii

aktívnych sieťových prvkov v iných systémových prostrediach. Používaná môže byť

v procese výučby ovládania systému RouterOS, nakoľko neexistuje podobná aplikácia

v slovenskom jazyku.

55

ZÁVER

Smerovacie a prepínacie siete sa stávajú každodennou súčasťou väčšiny obyvateľov

v technicky vyspelých krajinách medzi ktoré patrí aj Slovensko. Naše každodenné písanie

elektronických správ, prezeranie elektronických verejných materiálov, či vyhľadávanie

informácií, sa bez smerovania a prepínania nezaobíde. Tieto siete sa dokonca stávajú

štandardným prostredím aj pre prenos digitálneho obrazu, hlasu ale aj pre prenos

inštrukcií a pre zber dát v priemysle.

Užívatelia služieb týchto sietí sa nezaoberajú tým, akým spôsobom sa k nim požadované

dáta dostávajú. Otázku prenosu dát prostredím riešia sieťoví administrátori, a práve tým

je táto práca určená. Práca predstavuje alternatívu k súčasne používaným operačným

prostrediam smerovačov a prepínačov, predstavuje systém RouterOS. Má za úlohu

zoznámiť sieťových administrátorov s prostredím systému, ku ktorému v súčasnosti

neexistuje žiadna knižná publikácia. Ako výukový materiál slúži najmä multimediálna

príručka, v ktorej som zhrnul poznatky získané prácou v systéme RouterOS. Vďaka

štúdiu multimediálnych technológií som dokázal podať technický materiál užívateľsky

priateľskou formou. Okrem tohto materiálu som v treťom oddiely práce navrhol

dynamickú smerovaciu štruktúru s vlastným skriptom v prostredí RouterOS, ktorú je

možné použiť v reálnej sieti. V druhej časti tohto oddielu sa mi podarilo dokázať

interoperabilitu v kombinovanej sieti s použitím Cisco prepínača a zariadení RouterOS.

Nasadenie systému do prostredia prepínacej siete zariadení Cisco umožňuje jej rozšírenie

za podstatne nižšie náklady.

Tak ako je našou bežnou rutinou používať internet, je aj bežnou rutinou sieťového

administrátora prichádzať do styku s prostrediami telekomunikačných operačných

systémov, a preto je pre každého administrátora dôležité získať široký prehľad

o dostupných systémoch a možnostiach ich nasadenia. Jednou z alternatív systémov je

práve RouterOS.

56

57

ZOZNAM BIBLIOGRAFICKÝCH ODKAZOV

[1] Mikrotik RouterOS Reference Manual V3.0: HotSpot Gateway [online]. Mikrotik,

Ltd., 2008-01-14 [cit. 2009-05-30]. Dostupné na internete:

<http://www.mikrotik.com/testdocs/ros/3.0/refman3.0.pdf>

[2] Mikrotik RouterOS brochure: License [online]. Mikrotik, Ltd., 2009-05-20 [cit.

2009-05-29]. Dostupné na internete:

<http://www.mikrotik.com/pdf/what_is_routeros.pdf>

[3] Mikrotik RouterOS brochure: Routing [online]. Mikrotik, Ltd., 2009-05-20 [cit.

2009-05-26]. Dostupné na internete:

<http://www.mikrotik.com/pdf/what_is_routeros.pdf>

[4] Mikrotik Newsletter: 802.11n support [online]. Mikrotik, Ltd., 2009-05-22 [cit.

2009-05-25]. Dostupné na internete: < http://www.mikrotik.com/pdf/news18.pdf>

[5] Mikrotik Newsletter: Introducing Store [online]. Mikrotik, Ltd., 2008-10-15 [cit.

2009-05-28]. Dostupné na internete:

<http://www.mikrotik.com/pdf/newsletter13Se.pdf>

ČESTNÉ VYHLÁSENIE

Vyhlasujem, že som zadanú bakalársku prácu vypracoval samostatne, pod

odborným vedením vedúceho bakalárskej práce Ing. Ivana Dolnáka, PhD. a používal som

len literatúru uvedenú v práci.

Súhlasím so zapožičiavaním bakalárskej práce.

V Žiline, dňa 1.6.2009 podpis študenta: