1. Functii

Modelul ZXR10 2609 adopta modul “memoreaza si inainteaza” si suporta switching la nivel Layer 2 la viteza de link pe toate porturile. Viteza maxima este de 5.6Gbps.
Sunt implementate urmatoarele functii:

• Posibilitatea de invatare a adreselor MAC. Marimea tabelei de MAC-uri este de 8k.
• Suporta VLAN-uri (Virtual Local Area Network) si VLAN-uri private conform standardului 802.1q. Numarul maxim de VLAN-uri este de 4094.
• Suporta STP (Spanning Tree Protocol) definit in 802.1d, RSTP (Rapid STP) definit in standardul 802.1w si MSTP (Multiple Spanning Tree Protocol) definit in 802.1s.
• Suporta LCAP (Link Aggregation Control Protocol) definit in 802.3ad.
• Multi-VLAN IGMP (Internet Group Management Protocol) snooping.
• Oglindirea traficului care intra sau iese pe un anumit port.
• Restrictionarea latimii de banda a traficului care intra sau iese la nivel de port.
• Statistici detaliate despre fiecare port.
• Configurare prin consola sau remote folosind Telnet sau SSH.
• Suporta SNMP.
• Posibilitatea de a incarca si descarca fisierele necesare folosind un server TFTP.

2 Structura hardware si principiul de functionare

ZXR10 2609 este un switch cu 9 porturi 10/100Mbps, toate suportand functia de auto MDI/MDI-X. Alimentarea echipamentului se face printr-un alimentator extern. Ventilatia se face natural prin orificiile prevazute in acest scop.
Cu exceptia portului 9, toate celelalte sunt prevazute cu functia VCT (Virtual Cable Tester).

Switch-ul ZTE ZXR10 2609

Exista unsprezece led-uri care indica starea echipamentului si anume:

• Indicatorii de sistem, care includ indicatorul de alimentare (PWR) si un indicator de functionare (RUN). Starea lor este urmatoarea:
  • - dupa pornirea echipamentului, led-ul PWR este aprins si led-ul RUN este stins;
  • daca incarcarea softului se realizeaza cu succes, led-ul RUN incepe sa clipeasca cu frecventa de 1Hz, in caz contrar, el ramane stins.
• Indicatorii care corespund celor noua interfete de retea. Daca led-ul corespunzator este aprins indica link normal pe interfata respective. Atunci cand indicatorul clipeste, indica faptul ca se transmit sau se primesc date pe respective interfata.

Din punct de vedere functional, switch-ul ZXR10 2609, ca si intreaga familie din care face parte si anume ZXR10 2609/2818S/2826S/2852S, este alcatuit din:

• Modulul de control cu rolul de a controla si coordona modulul de switching pentru a indeplini cerintele diferitelor aplicatii in retea. Este format din procesorul central si cateva chipuri externe cu functii specifice. Este prevazut si cu o interfata seriala externa pentru configurare si intretinere .
• Modulul de switching care este format din chipuri dedicate procesarii frame-urilor Ethernet. Rolul sau este de a procesa si schimba pachetele de date trimise de fiecare port.
• Modulul de interconectare care este prezent numai la modelele ZXR10 2818S si ZXR10 2826S.
• Modulul de alimentare cu rolul de a asigura alimentarea celorlalte module ale echipamentului.

Structura hardware ZXR10 2609

3 Metode de management

Avem la dispozitie mai multe modalitati pentru managementul acestui echipament. Unele din acestea necesita sa fim prezenti la locatia unde este montat switch-ul (conectarea seriala), pe cand altele permit managementul de la distanta (telnet, ssh)

3.1 Interfata seriala

Configurarea si intretinerea echipamentului se poate realiza folosind interfata seriala cu care este dotat acesta. In pachetul cu care vine echipamentul exista si un cablu serial, prevazut la un capat cu un conector RJ45 (pentru a fi conectat la switch) si la celalalt cu un conector RS-232 cu 9 pini ( pentru a fi conectat la PC).
Pentru a ne conecta la switch de pe un PC pe care ruleaza sistemul de operare Windows XP, vom folosi programul Hyper Terminal pe care il accesam din meniul Start > Programs > Accessories > Communication > Hyper Terminal.
Se selecteaza COM1 sau COM2, in functie de portul la care este conectat echipamentul.
Atributele portului serial trebuiesc setate in modul urmator:

Baud rate: 9600

Data bits: 8

Parity: None

Stop bit: 1

Data flow control: None

Urmatorul pas este pornirea echipamentului. Dupa ce se termina initializarea, ne putem loga. Im mod implicit, userul este admin si parola zhongxing. 

3.2 Telnet

Dupa ce am alocat un IP echipamentului si l-am montat in retea la locatia dorita, putem sa ne conectam la el folosind protocolul TELNET.
Pentru a creste securitatea echipamentului, avem la dispozitie un mecanism (Remote-Access) prin care putem configura ip-urile de la care ne putem conecta.
Pasii care trebuie urmati pentru a face o configuratie minima sunt:

• activarea / dezactivarea restrictiei de acces (implicit este dezactivat);

set remote-access

• configurarea adresei IP de la care se permite accesul pe echipament;

set remote-access ipaddress

• stergerea tuturor adreselor IP care au drept de acces;

clear remote-access all

• stergerea unei singure adrese IP care are drept de acces;

clear remote-access ipaddress

• afisarea informatiilor legate de Remote-Acces.

show remote-access

În exemplul de mai jos permitem acces pe echipament numai de la IP-uri din clasa 192.168.123.0/24.

zte(cfg)#set remote-access specific
zte(cfg)#set remote-access ipaddress 192.168.123.0 255.255.255.0
zte(cfg)#sho remote-access 
Whether check remote manage address: YES
Allowable remote manage address list:
192.168.123.0/255.255.255.0

3.3 SSH

SSH (Secure Shell ) este un protocol creat de Network Working Group de la IETF si este folosit pentru oferirea de acces la distanta , fiind un inlocuitor mai sigur al protocolului Telnet. Datele trimise prin ssh sunt criptate si, chiar daca datele sunt interceptate, nu se pot afla informatii folositoare din acestea.
Switch-ul ZXR10 2609 suporta SSH versiunea 2.0 si foloseste autentificarea pe baza de parola. Portul folosit este cel implicit si anume 22.
Comenzile disponibile sunt:
set ssh
show ssh
Pentru a ne putea conecta folosind acest protocol putem folosi programul Putty sau un client SSH din Linux,FreeBSD, etc.
Echipamentul suporta logarea doar a unui singur utilizator. Dupa trei incercari esuate de login, conexiunea se inchide in mod automat.
Implicit, functia SSH de pe switch este dezactivata.

3.4 SNMP

SNMP (Simple Network Management Protocol) este cel mai popular protocol de management folosit in prezent. El implica o serie de protocoale si specificatii:

• MIB
• SMI
• SNMP

Prin intermediul acestui protocol se pot culege informatii de management de la diferite dispozitive din retea, dar, in acelasi timp, SNMP permite echipamentelor sa raporteze problemele si erorile catre statiile care se ocupa de managementul retelei.
Managementul unei retele prin SNMP implica trei elemente cheie:

• Dispozitivele cu management care pot comunica prin intermediul retelei. Fiecare dispozitiv contine un agent.
• Network Management Station (NMS), care trebuie de asemenea sa poate comunica prin intermediul retelei si pe care ruleaza procesul de management.
• Protocolul folosit pentru schimbarea informatiilor de management dintre agenti si NMS si anume SNMP.

NMS-ul colecteaza datele prin interogarea agentilor de pe dispozitivele
din retea. Agentii pot raporta erorile catre NMS oricand, chiar inainte ca NMS-ul sa le interogheze. Aceste erori se numesc „traps”. Cand se raporteaza o eroare, NMS-ul poate interoga echipamentul pentru a obtine mai multe informatii ( asta in cazul in care el mai este accesibil.
Toate variabilele din retea sunt stocate in MIB. SNMP-ul monitorizeaza dispozitivele din retea prin interogarea valorilor obiectelor corespunzatoare din MIB.
Switch-ul cu management ZXR10 2609 are implementat MIB-ul standard definit in RFC1213, RFC1493, RFC2674 si RFC2819.
Comenzile disponibile pe acest echipament pentru SNMP sunt:
create community
create view
set community view
set traphost
clear community
clear view
set trap
show snmp

Un exemplu de configurare este prezentat in continuare:
Sa presupunem ca adresa IP a serverului care se ocupa de managementul retelei este 192.168.123.1si switch-ul are un port Layer 3 cu ip-ul 192.168.123.123.
zte(cfg)#config snmp
zte(cfg-snmp)#create community master private
zte(cfg-snmp)#create view masterview
zte(cfg-snmp)#set community master view masterview
zte(cfg-snmp)#set traphost 192.168.123.1 master
zte(cfg-snmp)#show snmp community
CommunityName Level ViewName
————– ——— ————
master private masterview

zte(cfg-snmp)#show snmp view
ViewName Exc/Inc MibFamily
———– ——– ————————
masterview Include 1.3.6.1 

zte(cfg-snmp)#show snmp host
HostIpAddress Community SNMPVersion
—————- ———– ———–
192.168.123.1 master Ver.2 

zte(cfg-snmp)#

3.5 RMON

RMON ( Remote Monitoring) defineste functii standard de management a retelei si interfetele de comunicare dintre consola de management si monitor. RMON ofera o metoda eficienta de a monitoriza comportamentul subretelelor in cazul reducerii incarcarii altor agenti si a statiilor de management.
Comenzile disponibile pe ZXR10 2609 sunt:
set rmon
set history
set statistics
set event
set alarm
show rmon
show history
show statistic
show event
show alarm

4 Managementul fisierelor

In cazul switch-ului ZXR10 2609, dispozitivul in care sunt memorate datele este o memorie FLASH.

Numele fisierului de boot este kernel.z

Numele fisierului de configurare este running.cfg

Echipamentul pune la dispozitie un numar mare de comenzi pentru operatii cu fisiere. Cele mai utilizate comenzi sunt:
config ttfs – intrarea in modul de configurare fisiere
md – crearea unui director
remove – stergerea unui director
rename – redenumirea unui fisier
cd – schimbarea directorului curent
ls – lista fisierelor din directorul curent
tftp – upload si download-ul prin intermediul TFTP.
copy – copierea unui fisier
format – formatarea memoriei FLASH.

Fisierul de versiune si fisierele de configurare pot fi salvate sau recuperate folosind TFTP.

4.1. Importul si exportul configurarii

Echipamentul poseda functii de import si de export ceea ce usureaza procesul de configurare si management al switch-ului.

Exportul informatiilor de configurare

Se poate folosi comanda show running-config toFile pentru a exporta rezultatul executiei comenzii show running-config catre un fisier numit config.txt pe care il salveaza in memoria FLASH. Acest fisier poate fi apoi uploadat pe serverul TFTP pentru vizualizare.
Zte(cfg-tffs)# tftp 192.168.123.1 upload config.txt
(unde 192.168.123.1 este adresa IP a serverului TFTP)

Importul informatiilor de configurare

Se poate folosi comanda readconfig pentru citirea comenzilor din fisierul config.txt, pentru a fi executate. Fisierul config.txt poate fi editat manual dupa necesitati si apoi downloadat pe switch folosind comanda de mai jos:
Zte(cfg-tffs)# tftp 192.168.123.1 download config.txt

Este recomandat ca utilizarea comenzii readconfig sa se faca atunci cand nu avem nici o configurare facuta pe switch. Daca una din comenzile care exista in fisierul config.txt intra in conflict cu o setare deja existenta pe switch, executia comenzilor din config.txt va genera erori si va fi oprita.
Atunci cand se editeaza manual fisierul config.txt trebuie avuta mare grija la ordinea in care comenzile sunt executate. In caz contrar, executia readconfig poate genera erori si se opreste atunci cand o anumita comanda din config.txt este citita.

4.2 Backup-ul si recuperarea de fisiere

Fisierele mentionate in aceasta sectiune se refera la fisierul de configurare si la cel de versiune.

Backup-ul fisierului de configurare

Atunci cand o comanda este folosita pentru a modifica configuratia switch-ului, aceasta devine activa imediat. Cand se restarteaza switch-ul, setarile noi facute se vor pierde. Pentru a evita acest lucru trebuie executata comanda saveconfig, pentru a salva configuratia curenta in memoria FLASH.
Pentru a preveni deteriorarea datelor de configurare, se face backup la aceste date folosind TFTP.
Comanda urmatoare se foloseste pentru a face backup la fisierul de configurare pe un server TFTP care are adresa IP 192.168.123.1:
Zte(cfg-tffs)# tftp 192.168.123.1 upload running.cfg

Recuperarea fisierului de configurare

Pentru a downloada de pe serverul TFTP de la adresa 192.168.123.1 fisierul de configurare in memoria FLASH a echipamentului se foloseste comanda:
Zte(cfg-tffs)# tftp 192.168.123.1 download running.cfg

Backup-ul fisierului de versiune

In mod similar ca la backup-ul fisierului de configurare, se foloseste comanda de mai jos pentru a face upload pe un server care ruleaza la adresa IP 192.168.123.1:
Zte(cfg-tffs)# tftp 192.168.123.1 upload kernel.z

Recuperarea fisierului de versiune

Aceasta recuperare este foarte importanta in cazul esuarii update-ului de versiune. Aceasta operatie este identica cu cea prezentata in sectiunea urmatoare referitoare la upgrade-ul versiunii de pe echipament.

4.3 Upgrade-ul versiunii de soft

In nod normal, upgrade-ul versiunii de soft este necesar atunci cand versiunea originala nu suporta unele functii sau echipamentul nu mai ruleaza normal din cauza unor situatii deosebite. Upgrade-ul realizat necorespunzator poate duce la esecul pornirii echipamentului.
Upgrade-ul de versiune se poate face in unul din cele doua cazuri:

• atunci cand echipamentul functioneaza normal
• atunci cand echipamentul functioneaza anormal

Daca starea sistemului o permite, se verifica informatiile legate de versiunea instalata inainte si dupa upgrade. Acest lucru se face prin executarea comenzii version pentru a vedea informatiile software si hardware ale sistemului:
zte(cfg)#version
The System’s Hardware Info:
Switch’s Mac Address: 00.d0.d0.fc.a1.e0

Module 0: ZXR10 2609; fasteth: 9; gbit: 0;

The System’s Software Info:
Version number : 1.0
Version make date: Jan 11 2006
Version make time: 10:30:30

System has run 0 years 0 days 3 hours 39 minutes 42 seconds

A. Upgrade-ul atunci cand sistemul functioneaza normal

Daca echipamentul functioneaza normal, procedura de upgrade este urmatoarea:

• se conecteaza consola echipamentului la porul serial al computerului, folosind cablul special inclus in pachet si un port Ethernet al switch-ului in retea sau direct la placa de retea a statiei pe care ruleaza serverul TFTP.
• se seteaza adresa ip a portului Ethernet de pe switch ( trebuie ca statia pe care ruleaza serverul TFTP sa ajunga cu ping-ul in switch )
• se porneste serverul TFTP pe statia respectiva
• pe switch se tasteaza comanda version pentru a verifica informatiile legate de versiunea curenta
• se intra in modul de configurare a fisierelor si se executa comanda remove pentru a sterge vechiul fisier de versiune. Daca avem destul spatiu in memoria FLASH se poate redenumi acest fisier si pastra in memorie.

Zte(cfg-tffs)# tftp 192.168.123.1 download kernel.z

• se restarteaza switch-ul. Dupa pornirea normala se verifica versiunea care ruleaza pentru a ne asigura ca upgrade-ul s-a efectuat cu succes.

B. Upgrade atunci cand sistemul functioneaza anormal

Atunci cand switch-ul nu poate fi pornit normal sau functioneaza anormal se face upgrade-ul de versiune in modul urmator:

• se conecteaza consola echipamentului la porul serial al computerului, folosind cablul special inclus in pachet si un port Ethernet al switch-ului in retea sau direct la placa de retea a statiei pe care ruleaza serverul TFTP
• se restarteaza switch-ul. In Hyper Terminal se apasa orice tasta atunci cand se cere acest lucru pentru a intra in modul [VxWorks Boot]
• cand se ajunge la promptul [ZxR10 Boot] se introduce caracterul c si se apasa tasta Enter. Aici setam ip-ul portului Ethernet conectat in retea si adresa serverului TFTP. In general, cele doua adrese se afla in aceeasi retea.
• se porneste serverul TFTP
• la promptul [ZxR Boot] se tasteaza zte pentru a trece la starea [BootManager]. Aici se poate tasta ? pentru a vedea lista cu comenzi disponibile
• la promptul [BootManager] se foloseste comanda tftp pentru a face upgrade la fisierul de versiune de pe serverul TFTP
• se executa apoi comanda reboot pentru a restarta switch-ul. Daca echipamentul porneste normal se foloseste comanda version pentru a vedea daca versiunea corecta a fost incarcata. Daca echipamentul nu porneste normal inseamna ca upgrade-ul a esuat si se repeta pasii anteriori.

5. Configurare Quality of Service

Switch-ul ZXR10 2609 pune la dispozitie functii de QoS si de control a prioritatii. Prioritatea pachetelor de date poate fi determinata de adresa MAC sursa a pachetelor de date, de VLAN, de userul 802.1P, layer 3 DSCP sau de prioritatea implicita a portului.
Secventa de determinare a prioritatii este urmatoarea:

• prioritatea pachetelor de date trimise de CPU ( este determinata de procesor)
• prioritatea pachetelor MGMT ( pachete de date de management ca de exemplu pachete BPDU). Prioritatea acestor pachete este determinata de initializare
• prioritatea adresei MAC sursa setata static
• prioritatea VLAN-ului
• prioritatea serului 802.1P
• prioritatea Layer 3 DSCP
• prioritatea implicita a portului.

Dupa ce prioritatea pachetului de date este determinata folosind una dintre politicile prezentate mai sus, politicile care o urmeaza sunt ignorate. Pentru a folosi prioritatea implicita data de port, urmatoarele conditii trebuie sa fie satisfacute:

• pachetele de date sa nu fie date trimise de procesor sau pachete de date de management
• sursa MAC a pachetelor nu poate fi o adresa statica sau nu este activata aceasta functie
• nu este activa prioritatea VLAN-ului din care apartin pachetele sau a VLAN-ului din care face parte portul
• nu este activa prioritatea userului 802.1P sau pachetele de date nu sunt pachete TAG
• nu este activa prioritatea DSCP pe portul respectiv

Dupa configurarea politicii de control a prioritatii, daca switch-ul primeste frame-uri de date, frame-urile cu cea mai mare prioritate sunt trimise primele
Implicit este activa prioritatea DSCP si celelalte sunt inactive. Se pot activa si dezactiva aceste prioritati in functie de necesitati.
Daca sunt active atat prioritatile bazate pe user 802.1P cat si Layer 3 DSCP si pachetele de date primite de porturi contin pachete 802.1P, switch-ul va folosi prioritatea 802.1P.
Modelul ZXR10 2609 nu suporta prioritatea bazata pe adresa MAC sursa si prioritatea bazata pe VLAN-uri.
Avem la dispozitie urmatoarele comenzi pentru configurarea QoS:
set qos queue-schedule
set qos priority-map user-priority
set qos priority-map ip-priority
show qos queue-schedule
show qos priority-map

6 Limitarea bandwidth-ului pe porturi

Switch-ul cu management ZXR10 2609 ofera functia de a limita bandwidth-ul pe fiecare port in parte, atat in cazul traficului care intra pe portul respectiv cat si a celui care iese prin portul respectiv.
Aceasta functie este utila atunci cand se doreste limitarea traficului facut de un anumit sistem din retea care este conectat direct in unul din porturile switch-ului sau a unui grup de sisteme conectate toate, prin intermediul unui alt switch, intr-un port din switch-ul ZXR10 2609.
Sintaxa comenzii este:
set port <portlist> bandwidth ingress { off | on rate <64-256000>}{tcpdrop|flowcontrol}

set port <portlist> bandwidth egress { off | on rate <64-256000>}

Plaja de valori este de la 64 kbps pana la 256000 kbps.
Variabila <portlist> poate lua valori de la 1 la 9 ( corespunzator numarului portului pe care se doreste sa se faca limitarea). Daca se doreste sa se limiteze mai multe porturi se separa numarul portului prin virgula:
set port 3,4,5 bandwidth egress on rate 128
Pentru a se opri limitarea se foloseste:
set port 3,4,5 bandwidth egress off

6.1 Testarea functionalitatii limitarii bandwidth-ului

Intentionam sa limitam la diverse valori traficul de download pe care il face o statie conectata in portul 8 am switch-ului ZXR10 2609.
Pasii pe care i-am urmat sunt:

• ne conectam pe echipament folosind interfata seriala in modul prezentat in sectiunea 3.1 ( login: admin , parola: zhingxing )

setam ip-ul 192.168.123.123/24 pe switch

Welcome !
ZTE Corporation.
All rights reserved.

login:admin
password:*********
zte>

• Intram in modul general de configurare

zte>ena
password:*******
zte(cfg)#

• avem nevoie de o functie Layer 3 pentru a seta ip-ul, pentru aceasta trebuie sa intram in modul router

zte(cfg)# 
zte(cfg)#config router
zte(cfg-router)#

• acum avem acces la functia set ipport

zte(cfg-router)#set ipport 1 ipaddress 192.168.123.123/24
zte(cfg-router)#set ipport 1 enable

• verificam setarile ipport

zte(cfg-router)#sho ipport
IPport En/Disable IpAddress Mask MacAddress VlanId
—— ———- ——— —– ———– ——
1 enabled 192.168.123.123 255.255.255.0 00.d0.d0.fc.a1.e0 1

• adaugam ruta statica, pentru ca sistemul care il vom folosi pentru monitorizare prin SNMP nu se afla in acelasi retea cu switch-ul

zte(cfg-router)#iproute 0.0.0.0/0 192.168.123.1 

• verificam tabela de routare

zte(cfg-router)#show iproute
Type IpAddress Mask Gateway Metric IPport
—— ————— ————— ————— direct 192.168.123.0 255.255.255.0 192.168.123.123 0 1
static 0.0.0.0 0.0.0.0 192.168.123.1 1 1
Total: 2

• configuram agentul SNMP

zte(cfg-router)#
zte(cfg-router)#exit
zte(cfg)#config snmp
zte(cfg-snmp)#create community master private
zte(cfg-snmp)#create view masterview
zte(cfg-snmp)#set community master view masterview
zte(cfg-snmp)#set traphost 86.105.128.90 master
zte(cfg-snmp)#show snmp community
CommunityName Level ViewName
————– ——— ————
master private masterview

zte(cfg-snmp)#show snmp view
ViewName Exc/Inc MibFamily
———– ——– ————————
masterview Include 1.3.6.1 

zte(cfg-snmp)#show snmp host
HostIpAddress Community SNMPVersion
—————- ———– ———–
192.168.123.1 master Ver.2 

zte(cfg-snmp)#

• urmeaza configurarea NMS-ului (si anume 86.105.128.90) pentru a interoga agentul SNMP de pe switch-ul cu management. Informatiile despre aceasta statie se gasesc in anexele lucrarii
• dupa ce am stabilit comunicarea intre NMS si agentul SNMP de pe switch, urmeaza limitarea bandwidth-ului pe portul 8 la 512 kbps.

zte(cfg)#set port 8 bandwidth egress on rate 512

In graficul de mai jos, trasat pe baza informatiilor obtinute prin SNMP se observa ca se pastreaza in mod constant bandwidth-ul.

Limitarea traficului ce iese pe portul 8 la 512 kbps, apoi la 256 kbps

In a doua parte a graficului se observa o limitare introdusa de switch pe care s-a introdus comanda:

zte(cfg)#set port 8 bandwidth egress on rate 256

In graficul de mai jos este vizibila functia de limitare introdusa ( in prima parte a graficului este un varf trasat inainte de activarea limitarii).

Limitarea traficului ce iese pe portul 8 la 1024 kbps

Limitarea in acest caz s-a realizat cu comanda:
zte(cfg)#set port 8 bandwidth egress on rate 1024
Traficul care vine pe portul 8 al switch-ului nu este limitat.

Detalii NMS folosit

Pentru interogarea SNMP a agentului existent pe switch-ul ZXR10 s-a folosit o masina dotata cu procesor Intel Pentium III la 1Ghz, cu 256 MB RAM pe care ruleaza sistemul de operare freeBSD versiunea 6.0-STABLE.
Graficele au fost trasate folosind Cacti ( http://www.cacti.net/ ), o solutie distribuita sub licenta GNU General Public License ( http://www.gnu.org/copyleft/gpl.html )
Functionalitatea sa se bazeaza pe RRDTool ( http://www.rrdtool.org/ ).
Toate informatiile necesare pentru crearea de grafice sunt obtinute prin interogarea cu ajutorul unui pooler si apoi stocate intr-o baza de date MySQL (http://www.mysql.com/). Interfata este scrisa complet in PHP.
Versiunile folosite au fost:

• cacti-0.8.6h_42
• rrdtool-1.2.11
• apache-2.2.2
• php4-4.4.2_2
• mysql-server-4.1.20

Conectaxiunea dintre NMS si switch s-a realizat prin intermediul unei retele metropolitane.

Cu toti trimitem zilnic mail-uri ( la colegi, prieteni, etc). Acest lucru nu ar fi posibil fara existenta protocolului SMTP.
Obiectivul protocolului SMTP este de a trimite mail-uri intr-un mod eficient. El este independent de sistemele care participa la comunicatie, atat timp cat se asigura un canal prin care datele ( sub forma de siruri ) sa fie transmise intr-un mod ordonat .

Protocolul SMTP foloseste urmatorul model de comunicatie: transmitatorul, ca urmare a unei cereri de transmisie a mail-ului, stabileste o legatura bidirectionala cu receptorul. Receptorul poate fi destinatarul final al mail-ului sau doar un intermediar. Comenzile SMTP sunt generate de catre transmitator si trimise catre receptor. Raspunsurile SMTP sunt generate de catre receptor si transmise transmitatorului.

Dupa ce se stabileste canalul de comunicatie intre transmitator si receptor, transmitatorul trimite comanda MAIL indicand expeditorul mail-ului. Daca receptorul poate accepta mail-ul de la expeditorul respectiv va raspunde cu mesajul OK.
Apoi, transmitatorul trimite comanda RCPT indicand destinatarul mail-ului. Daca receptorul poate primi mail-uri pentru destinatarul respectiv va raspunde cu mesajul OK, in caz contrar va raspunde cu un mesaj de eroare. Transmitatorul si receptorul pot negocia mai multi destinatari. Atunci cand destinatarii au fost negociati, transmitatorul trimite mesajul propriu-zis, terminat cu o secventa speciala.Daca receptorul primeste mesajul corect, va raspunde cu mesajul OK. Dialogul trebuie sa aiba loc secvential, pas cu pas, cate un singur pas o data.

Dupa cum spuneam mail-urile pot fi trimise direct spre receptorul final sau spre un intermediar. Din acest motiv este necesar sa se precizeze numele de host al destinatiei finale precum si utilizatorul caruia ii este destinat mesajul.
Atunci cand un mesaj este trimis catre mai multi destinatari, protocoul SMTP incurajeaza trimiterea datelor din mesaj o singura data pentru toti destinatarii care apartin aceluiasi sistem destinatie.

Comenzile si raspunsurile folosite de catre protocolul SMTP au o sintaxa rigida, care trebuie respectata cu strictete. Raspunsurile au atasate si cate un cod numeric. Comenzile si raspunsurile pot fi scrise atat cu majuscule cat si cu minuscule si sunt formate din caractere din setul ASCII.

Codurile numerice ale raspunsurilor sunt prezentate mai jos, ordonate dupa functii:

500 Syntax error, command unrecognized
501 Syntax error in parameters or arguments
502 Command not implemented
503 Bad sequence of commands
504 Command parameter not implemented
211 System status, or system help reply
214 Help message
220 <domain> Service ready
221 <domain> Service closing transmission channel
421 <domain> Service not available, closing transmission channel
250 Requested mail action okay, completed
251 User not local; will forward to <forward-path>
450 Requested mail action not taken: mailbox unavailable
550 Requested action not taken: mailbox unavailable
451 Requested action aborted: error in processing
551 User not local; please try <forward-path>
452 Requested action not taken: insufficient system storage
552 Requested mail action aborted: exceeded storage allocation
553 Requested action not taken: mailbox name not allowed
354 Start mail input; end with <CRLF>.<CRLF>
554 Transaction failed

Comenzile SMTP sunt urmatoarele:

HELO <SP> <domain> <CRLF>
MAIL <SP> FROM:<reverse-path> <CRLF>
RCPT <SP> TO:<forward-path> <CRLF>
DATA <CRLF>
RSET <CRLF>
SEND <SP> FROM:<reverse-path> <CRLF>
SOML <SP> FROM:<reverse-path> <CRLF>
SAML <SP> FROM:<reverse-path> <CRLF>
VRFY <SP> <string> <CRLF>
EXPN <SP> <string> <CRLF>
HELP [<SP> <string>] <CRLF>
NOOP <CRLF>
QUIT <CRLF>
TURN <CRLF>

Un exemplu simplu de trimitere a unui mesaj este cel de mai jos, unde mail-ul este trimis de Ionel de la host-ul exemplu.net catre Sergiu, Paul, Dan de la hostul dest.net

Transmitator: MAIL FROM:<Ionel@exemplu.net>
Receptor: 250 OK
Transmitator: RCPT TO:<Sergiu@dest.net>
Receptor: 250 OK
Transmitator: RCPT TO:<Paul@dest.net>
Receptor: 550 No such user here
Transmitator: RCPT TO:<Dan@dest.net>
Receptor: 250 OK
Transmitator: DATA
Receptor: 354 Start mail input; end with <CRLF>.<CRLF>
Transmitator: Blah blah blah…
Transmitator: …etc. etc. etc.
Transmitator : <CRLF>.<CRLF>
Receptor: 250 OK

Acest mail a fost acceptat pentru Sergiu si Dan. Paul nu are cont la host-ul dest.net.

Spanning Tree Protocol a fost definit de catre IEEE prin standardul 802.1D. Acest protocol elimina posibilitatea aparitiei fenomenului “broadcast storm” prin eliminarea automata si logica a buclelor in retea.

STP ( Spanning Tree Protocol ) este un protocol de comunicatii care are ca scop asigurarea redundantei retelei. Switch-urile cu management folosesc STP pentru a comunica unul cu celalalt despre caile redundante din retea si starea acestora.

In reteaua exemplificata mai jos exista mai multe bucle, cum ar fi cea formata de link-urile A-B-C si link-urile B-D-E. Pentru eliminarea acestora, STP foloseste un algoritm care este prezentat in continuare.

Fig. 1– Retea cu bucle fizice

Primul pas este selectarea de catre STP a unui “root bridge”. Acesta reprezinta centrul logic al retelei. Selectarea acestuia se face prin schimbul de mesaje numite “Bridge Protocol Data Units” (BPDU) intre echipamentele din retea. Fiecare BPDU contine identificatorul dispozitivului care l-a generat. Cine are identificatorul cel mai mic devine “root bridge”. Dupa aceasta selectie, prevenirea buclelor se poate face numai in conditia in care doar un echipament poate transmite mai departe traficul care vine din directia root-ului spre oricare link.

STP determina pentru fiecare echipament portul pe care e conectat, doar pentru acele echipamente care au voie sa retransmita traficul de la root bridge. Acest proces se realizeaza prin schimbul de BPDU. Aceste date BPDU contin costul traseului, care este configurabil de catre utilizator, lucru ce permite prioritizarea unei cai fata de alta.

In exemplul considerat, fiecare link fizic are costul 10. Caile posibile de parcurgere a traficului de la echipamentul 1 la echipamentul 4 sunt: C,A-B si A-D-E. In acest caz, calea C are costul 10, calea A-B are costul 20 si calea A-D-E are costul 30. Calea aleasa va fi C.

Urmatorul pas este ca STP-ul sa inlature buclele din retea prin blocarea porturilor de pe ambele capete a unei legaturi. Un port in aceasta stare nu va trimite si nici nu va receptiona pachete BPDU.

Fig. 2 – Eliminarea buclelor din retea cu ajutorul STP

Din acest moment, STP monitorizeaza reteaua pentru eventualele defecte care pot apare (intreruperi) sau schimbari de topologie ( echipamente noi adaugate, legaturi noi adaugate, schimbari de configuratie a echipamentelor, etc.). Atunci cand unul din aceste lucruri se intampla, STP se va adapta noii topologii.

De exemplu, daca link-ul D se intrerupe, asa cum este aratat in figura de mai jos, echipamentul 4 va fi cel care preia rolul sa trimita traficul spre echipamentul 3. Acest lucru se obtine prin parcurgerea intregului algoritm STP de la inceput, atunci cand s-a intrerupt link-ul.

Protocolul STP a fost conceput pentru a fi folosit in retelele unde o cadere de cateva minute este acceptabila. Totusi, sunt situatii cand acest timp este prea mare, cum ar fi cazul retelelor transportatorilor de date sau a providerilor, unde se cer timpi mult mai mici.

Pentru a imbunatati aceste performante, IEEE a definit o alta versiune a protocolului STP, mai rapida, numita Rapid Spanning Tree Protocol (RSTP) in standardul 802.1w. Marele avantaj al RSTP este ca reuseste sa repuna reteaua in functiune in mai putin de o secunda in cazul unei modificari de topologie.

Fig. 3 – Schimbarea topologiei intr-o retea cu STP activ

Traficul IP multicast are cateva caracteristici speciale. Adresa IP destinatie este in domeniul 224.0.0.2 pana la 239.255.255.255. Adresa MAC destinatie a traficului multicast incepe cu 01:00:5e si se termina cu cei mai putini semnificativi 23 biti a adresei ip destinatie.

IETF (Internet Engineering Task Force) a definit IGMP ca grupuri asociate de statii care transmit si receptioneaza pachete IP multicast. Fiecare statie membra a grupului trebuie sa fie transmitator sau receptor. Statia care doreste sa devina receptor trimite un mesaj IGMP “group join” catre transmitatorul acelui grup. Fiecare dispozitiv Layer 3 prin care trece acest mesaj retine interfata sursa si grup id-ul. Cand transmitatorul trimite pachete ip multicast, echipamentul Layer 3 va transmite mai departe aceste pachete doar pe interfetele de pe care a primit mesaje de “join group”.

De-a lungul timpului, IETF a definit trei versiuni de ICMP:

• IGMPv1 : IETF Request for Comments 1112 (RFC 1112) defineste versiunea originala a IGMP. Aici se defineste mesajul de join intr-un grup multicast, dar nu e definite o metoda de parasire a grupului de catre o statie. Cand se foloseste IGMPv1, routerele trebuie sa foloseasca un timer pentru a determina care statii mai sunt membre ale grupului.
• IGMPv2 : este definit in RFC2236 si prezinta mesajul “group leave”, care permite dispozitivelor care stiu de multicast sa stie informatiile despre membrii grupului.
• IGMPv3 : este definit in RFC3376 si reprezinta o revizie majora a protocolului IGMP. In loc de modelul cu un transmitator si mai multi receptori prezent in IGMP versiunea 1 si 2, statiile care folosesc IGMPv3 specifica lista de transmitatori pe care ii asculta.

In mod normal, un switch trateaza traficul IP multicast in acelasi mod ca si traficul broadcast, adica prin trimiterea frame-urilor receptionate pe toate celelalte porturi.

Cu ajutorul IGMP ( Internet Group Management Protocol) snooping, dispozitivele de retea Layer 2 pot lua decizii inteligente in ceea ce priveste trimiterea pachetelor multicast prin examinarea IP-ului din cadrul frame-urilor.

Sa consideram exemplul de mai jos, unde avem o retea heterogena Layer 2 si Layer 3 in care nu se foloseste functia IGMP snooping. Switch-urile sunt conectate la routerul din centru.

Fig. 1 – Retea heterogena Layer 2 si Layer 3

Sa presupunem ca hostul A transmite multicast si hosturile B si C receptioneaza multicast in acelasi grup ca si hostul A. Routerul va transmite corect traficul IP multicast doar spre segmentele in care sunt hosturi ce trebuie sa receptioneze ( statiile B si C). Insa switch-urile Layer 2 vor trimite traficul pe toate porturile sale.

Fig. 2 – Traseul pachetelor multicast fara activarea IGMP Snooping

Cu cat reteaua este mai mare, cu atat mai mult traficul multicast duce la scaderea performantelor retelei.

Sa vedem ce se intampla o data cu configurarea IGMP snooping la nivelul switch-urilor cu management Layer 2.

Fig. 3 – Traseul pachetelor multicast in retea cu IGMP Snooping activ

Dupa cum se observa, in acest caz doar hosturile care sunt in grupul respective de receptie primesc traficul multicast, asa cum ne doream.

Elaborarea standardelor pentru retele a devenit necesara datorita diversificarii echipamentelor si serviciilor, care a condus la aparitia de retele eterogene din punctul de vedere al tipurilor de echipamente folosite. In plus, multitudinea de medii fizice de comunicatie a contribuit la decizia de a defini reguli precise pentru interconectarea sistemelor. ISO a elaborat un model arhitectural de referinta pentru interconectarea calculatoarelor, cunoscut sub denumirea de modelul arhitectural ISO-OSI (Open System Interconnection).
Modelul ISO-OSI imparte arhitectura retelei in sapte nivele, construite unul deasupra altuia, adaugand functionalitate serviciilor oferite de nivelul inferior. Modelul nu precizeaza cum se construiesc nivelele, dar insista asupra serviciilor oferite de fiecare si specifica modul de comunicare intre nivele prin intermediul interfetelor. Fiecare producator poate construi nivelele asa cum doreste, insa fiecare nivel trebuie sa furnizeze un anumit set de servicii. Proiectarea arhitecturii pe nivele determina extinderea sau imbunatatirea facila a sistemului. De exemplu, schimbarea mediului de comunicatie nu determina decat modificarea nivelului fizic, lasand intacte celelalte nivele.
In figura 2 puteti vedea cele sapte nivele ale modelului arhitectural OSI.

In cele ce urmeaza voi prezenta cate ceva despre fiecare nivel:

Nivelul fizic are rolul de a transmite datele de la un calculator la altul prin intermediul unui mediu de comunicatie. Datele sunt vazute la acest nivel ca un sir de biti. Problemele tipice sunt de natura electrica: nivelele de tensiune corespunzatoare unui bit 1 sau 0, durata impulsurilor de tensiune, cum se initiaza si cum se opreste transmiterea semnalelor electrice, asigurarea pastrarii formei semnalului propagat. Mediul de comunicatie nu face parte din nivelul fizic.

Nivelul legaturii de date corecteaza erorile de transmitere aparute la nivelul fizic, realizand o comunicare corecta intre doua noduri adiacente ale retelei. Mecanismul utilizat in acest scop este impartirea bitilor in cadre ( frame), carora le sunt adaugate informatii de control. Cadrele sunt transmise individual, putand fi verificate si confirmate de catre receptor. Alte functii ale nivelului se refera la fluxul de date (astfel incat transmitatorul sa nu furnizeze date mai rapid decat le poate accepta receptorul) si la gestiunea legaturii (stabilirea conexiunii, controlul schimbului de date si desfiintarea conexiunii).

Nivelul retea asigura dirijarea unitatilor de date intre nodurile sursa si destinatie, trecand eventual prin noduri intermediare (routing ). Este foarte important ca fluxul de date sa fie astfel dirijat incat sa se evite aglomerarea anumitor zone ale retelei (congestionare ). Interconectarea retelelor cu arhitecturi diferite este o functie a nivelului retea.

Nivelul transport realizeaza o conexiune intre doua calculatoare gazda (host) detectand si corectand erorile pe care nivelul retea nu le trateaza. Este nivelul aflat in mijlocul ierarhiei, asigurand nivelelor superioare o interfata independanta de tipul retelei utilizate. Functiile principale sunt: stabilirea unei conexiuni sigure intre doua masini gazda, initierea transferului, controlul fluxului de date si inchiderea conexiunii.

Nivelul sesiune stabileste si intretine conexiuni (sesiuni) intre procesele aplicatie, rolul sau fiind acela de a permite proceselor sa stabileasca "de comun acord" caracteristicile dialogului si sa sincronizeze acest dialog.

Nivelul prezentare realizeaza operatii de transformare a datelor in formate intelese de entitatile ce intervin intr-o conexiune. Transferul de date intre masini de tipuri diferite (Unix-DOS, de exemplu) necesita si codificarea datelor in functie de caracteristicile acestora. Nivelul prezentare ar trebui sa ofere si servicii de criptare/decriptare a datelor, in vederea asigurarii securitatii comunicatiei in retea.

Nivelul aplicatie are rolul de "fereastra" de comunicatie intre utilizatori, acestia fiind reprezentati de entitatile aplicatie (programele). Nivelul aplicatie nu comunica cu aplicatiile ci controleaza mediul in care se executa aplicatiile, punandu-le la dispozitie servicii de comunicatie. Printre functiile nivelului aplicatie se afla:
- identificarea partenerilor de comunicatie, determinarea disponibilitatii acestora si autentificarea lor
- sincronizarea aplicatiilor cooperante si selectarea modului de dialog
- stabilirea responsabilitatilor pentru tratarea erorilor
- identificarea constrangerilor asupra reprezentarii datelor
- transferul informatiei

Primele trei nivele de la baza ierarhiei (fizic, legatura de date, retea) sunt considerate ca formand o subretea de comunicatie . Subreteaua este raspunzatoare pentru realizarea transferului efectiv al datelor, pentru verificarea corectitudinii transmisiei si pentru dirijarea fluxului de date prin diversele noduri ale retelei. Acest termen trebuie inteles ca desemnand "subreteaua logica", adica multimea protocoalelor de la fiecare nivel care realizeaza functiile de mai sus. Termenul de subretea este utilizat si pentru a desemna liniile de transmisie si echipamentele fizice care realizeaza dirijarea si controlul transmisiei.

Modelul OSI nu este implementat in intregime de producatori, nivelele sesiune si prezentare putand sa lipseasca (unele din functiile atribuite acestora in modelul OSI sunt indeplinite de alte nivele). Modelul OSI este un model orientativ, strict teoretic, realizarile practice fiind mai mult sau mai putin diferite. Ei, va zice unul dintre voi, pai ce-am batut campii atata cu un model teoretic ? Mie nu-mi foloseste asta la nimic !
Lucrurile nu stau chiar asa. Intelegerea unui alt model este mult usurata de studierea modelului ISO-OSI, motiv pentru care orice carte serioasa il prezinta detaliat.

Sa vedem cum se realizeaza un transfer de date intre doua masini gazda. Cel mai bun exemplu este modul in care putem citi o pagina web aflata pe un calculator situat la mare distanta:
- utilizatorul lanseaza un program pentru vizualizarea paginilor web (browser)
- browserul este entitatea aplicatie care va "negocia" pentru noi obtinerea paginii
- nivelul aplicatie va identifica existenta resursei cerute de client (clientul este browserul, care-l reprezinta pe utilizator in aceasta "tranzactie") si a posesorului acesteia (serverul-inteles ca fiind entitatea ce ofera resursa ceruta nu calculatorul central al unei retele; in cazul nostru avem de-a face cu un server de web). Se realizeaza autentificarea serverului (se verifica daca partenerul este intr-adevar cine pretinde ca este (cam ciudata chestie pentru o retea, nu ?)) si se stabileste daca acesta este disponibil (=poate si vrea sa ne satisfaca cererea).
Nivelul sesiune va stabili o conexiune intre procesul client si procesul server
Nivelul transport se va ocupa de intretinerea conexiunii si de corectarea erorilor netratate la nivelul retea
nivelul retea va asigura transferul datelor in secvente (pachete), stabilind drumul acestora intre server si client

Lucrurile sunt ceva mai complicate decat in cele prezentate mai sus. Datele sosesc prin intermediul mediului de comunicatie ca un flux de biti. La nivelul legaturii de date, bitii sunt transformati in cadre, iar la nivelul retea in pachete (vom vedea mai tarziu cum arata un pachet). In cele din urma, datele ajung la nivelul aplicatie unde sunt preluate de browser si ne sunt prezentate. Fiecare nivel adauga sau sterge o parte din informatiile de control atasate datelor de celelalte nivele.

Acest articol este menit sa va faca o idee despre sistemul de operare FreeBSD. El se adreseaza atat utilizatorilor de Linux, cat si celor care nu au incercat inca un sistem de operare bazat pe UNIX.

FreeBSD este un sistem de operare bazat pe 4.4BSD Lite pentru calculatoare Intel (x86 si Itanium), AMD64, Alpha, Sun UltraSPARC. Portarea spre alte arhitecturi este inca in lucru. Nasterea freeBSD-ului a avut loc la inceputul anului 1993. Scopul principal a fost producerea unui sistem de operare care sa inlature deficientele sistemului 386BSD

Dezvoltarea FreeBSD este un proces deschis si flexibil, bazandu-se pe contributia miilor de oameni din toata lumea ce colaboreaza prin intermediul Internetului.

Initialele BSD provin de la "Berkeley Software Distribution". Partile principale ale sistemul de operare sunt: kernelul, librariile C, utilitare ca shell-uri, utilitare pentru lucrul cu fisiere, compilatoare, link-editoare, etc., sistemul X Window cu rolul de display.

Sistemul de operare FreeBSD este mai putin cunoscut, din mai multe motive, printre care: dezvoltatorii sistemului sunt interesati mai mult de optimizarea codului decat de marketing-ul sistemului de operare, interesul dezvoltatorilor este de a face un sistem stabil, nu unul usor de folosit, din acest motiv incepatorii nu se simt prea "confortabil".

Majoritatea utilizatorilor de computere folosesc sistemul de operare Windows, putin folosesc o distributie de Linux si foarte putini folosesc freeBSD. Sa facem o mica comparatie intre Linux si FreeBSD. Ambele sunt sisteme de operare derivate din UNIX, ambele sunt dezvoltate de proiecte necomerciale (exceptie facand distributiile de Linux comerciale, care au aparut in ultimul timp).

Kernelul FreeBSD este dezvoltat si updatat urmand modelul Open Source. Astfel se mentine sub Concurrent Versions System (CVS) un "source tree" public, care contine toate fisierele, incluzand documentatia, de unde utilizatorii pot sa isi copie versiunea dorita a sistemului de operare.

Persoanele din lumea intraga care isi aduc contributia la dezvoltarea sistemului de operare se impart in trei categorii. Cei din prima categorie scriu cod sau documentatie, dar ei nu au voie sa adauge direct cod sursa in sistemul de operare, pentru acest lucru este necesar ca cei din a doua categorie sa verifice codul sursa. A treia categorie se ocupa de menagement-ul proiectului, fiind numita "core team". Se observa deja diferente fata de Linux: nici o persoana nu controleaza intreg continutul sistemului de operare, pe cand in proiectele Linux multor persoane li se permite sa faca modificari. Apoi mai exista un loc central, public, numit "central repository", unde se poat gasi toate sursele sistemului de operare, chiar in in cazul versiunilor mai vechi.

Lansarile de freeBSD se fac in mai multe variante. Asemanator Linux-ului, se asigneaza un numar, de exemplu, 4.8, 5.3. Dar, in plus, mai apare un sufix, indicand scopul. Astfel, versiunea pentru dezvoltatori se numeste CURENT, apoi, la intervale regulate de timp, se lanseaza versiunea RELEASE, care este disponibila pe CD sau se poate downloada prin ftp de pe site-uri.Bug-urile gasite in aceasta versiune sunt remediate, rezultand versiunea STABLE.

Spre deosebire de acest sistem, la Linux exista versiunea stabila si versiunea pentru dezvoltatori. Versiunea stabila are un versiunea minora un numar par (2.0,2.2,2.4, etc), pe cand cele pentru dezvoltatori au un numar impar (2.1,2.3,2.5,etc). In fiecare caz, mai exista un alt numar, specificand exact versiunea. Aditional, fiecare producator incorporeaza anumite utilitati pentru utilizator, de accea numele distributiei este important.

In contrast cu varietatea mare de distributii Linux existente, exista doar trei sisteme open source bazate pe BSD, unul din ele fiind FreeBSD, alaturi de NetBSD si OpenBSD.

FreeBSD-ul este distribuit sub licenta BSD, fiind mai atractiva pentru aplicatiile embedded, fata de Linux, care se distribuie sub licenta GPL (GNU General Public License).

Deoarece pentru FreeBSD sunt create mai putine aplicatii decat pentru Linux, dezvoltatorii FreeBSD-ului au creat un pachet ce permite aplicatiilor realizate pentru Linux sa fie rulate pe FreeBSD. Pachetul include modificarile necesare asupra kernelului pentru a prelucra corect apelurile de sistem din Linux, dar si alte fisiere necesare, cum ar fi librariile C. (Librariile C din freeBSD sunt scrise avand la baza cod sursa Berkeley, nu din GNU). Nu exista diferente notabile de viteza la rularea unei aplicatii Linux pe o masina ce are instalat Linux si rularea aceleasi aplicatii pe o masina ce are instalat FreeBSD (presupunem caracteristicile masinilor ca fiind aceleasi).

Sistemele BSD, in general, si FreeBSD, in particular, au o performanta mult mai ridicata decat sistemele Linux in majoritatea situatiilor, dar este posibil ca in unele situatii este sa nu existe o diferenta de performanta notabila. O remarca importanta este ca FreeBSD-ul poate executa cod Linux, pe cand invers nu este posibil. De remarcat este codul sursa mult mai matur al FreeBSD-ului, ce il fac mai stabil, castigand si prestigiu pe baza acestui fapt.

Va voi prezenta in continuare modalitatea de instalare a sistemului de operare FreeBSD pe o masina PC compatibila i386. Fisierele necesare instalarii pot fi pe un CD/DVD, o partitie DOS pe acelasi calculator, floppy-disk, o locatie FTP ( chiar daca sunteti in spatele unui gateway sau a unui proxy HTTP), un server NFS. Aici voi prezenta metoda de instalare de pe un CD.

Primul pas este sa obtineti ISO-urile necesare de pe un ftp public (recomand ftp://ftp1.ro.freebsd.org/pub/FreeBSD/releases/i386/ISO-IMAGES/5.3/ pentru versiunea 5.3-RELEASE), si sa le ardeti pe CD. Este de preferat sa verificati checksum-ul fisierului downloadat, sa vedeti daca corespunde cu cel publicat pe ftp.

<!–
google_ad_client = "pub-8310769609493718";
/* 300x250_as */
google_ad_slot = "3266981394";
google_ad_width = 300;
google_ad_height = 250;
//–>

Instalarea se face prin bootare de pe CD-ul respectiv, neexistand un executabil care sa fie apelat din alt sistem de operare. Pentru a putea face acest lucru este necesari sa modificati in BIOS ca primul dispozitiv de bootare sa fie CD-ROM-ul. Programul de instalare se numeste sysinstall , fiind de fapt o interfata text.

FreeBSD-ul trebuie instalat pe o partitie primara, unde isi va tine toate fisierele, inclusiv pe cele create de voi. O instalare foarte minima necesita doar 100MB liberi pe hard-disk, dar in acest caz nu va mai ramane loc pentru fisierele pe care doriti sa le creati voi. Un mimin realistic este de 250MB fara interfata grafica si aproximativ 350MB cu interfata grafica. Cu toate acestea aveti nevoie de mai mult spatiu daca doriti sa instalatii si alte aplicatii in afara de sistemul de operare.

Utilitarul principal de insalare se numeste sysinstall (il puteti apela mai tarziu, dupa instalare cu /stand/sysinstall). Acesta se prezinta ca un meniu cu mai multe optiuni. Navigarea facandu-se cu ajutorul tastelor sagesti, a tastei Space si a tastei Enter. In cele ce urmeaza voi prezenta modul de instalare standard. Se selecteaza deci a doua optiune (Standard). Pasul urmator este sa facem slice-ul unde va fi instalat FreeBSD-ul prin apasarea tastei C (Create Slice), specificam apoi spatiul pe care dorim sa il ocupe (sau lasam valoarea implicita data de sistem pentru ocuparea intregului spatiu de pe hard -disc. Tipul slice-ului il lasam default la 165. In cadrul slice-ului astefel creat se vor realize partitiile necesare . Pentru a trece la pasul urmator se apasa tasta Q ( Finish). Dupa ce se alege si boot-managerul, este momentul sa definim partitiile si mount-point-urile acestora. Se poate folosi tasta A (Auto Defaults).

Recomand o instalare minima a sistemului de operare. Alegem mediul unde avem fisierele respective si anume CD/DVD. Dupa terminarea instalarii vom fi intrebati despre cateva setari de baza pe care le dorim sa le realizam la acest moment (setari de retea, timp, mouse,etc), indicatiile fiind destul de sugestive.

Este indicat sa instalati si colectia de porturi. Va fi foarte utila mai tarziu.

Din motive de securitate, nu trebuie sa va logati tot timpul ca si root si de accea adaugati un nou user, de preferabil ca acesta sa fie in grupul wheel pentru a putea executa comanda su root.

Dupa ce terminam de facut toate setarile, iesim din sysinstall, scoatem cd-ul din unitate si ar trebui ca dupa restart sa se incarce sistemul de operare proaspat instalat.

Instalarea aplicatiilor se poate face in doua moduri: folosind pachetele sau porturile. Exista situatii cand un port sau un pachet depinde de altul, in acest caz, se instaleaza automat si pachetul/portul necesar. Recomand copierea pe hard-disk a colectiei de porturi cu mentiunea ca spatial ocupat de acestea nu este mare. In cazul porturilor, la instalarea lor, se downloadeaza de pe internet fisierele cu codul sursa si se compileaza pe sistemul vostru. Acest lucru implica un spatiu suplimentare pe hard-disk deoarece se genereaza fisierele obiect. Pentru economisirea spatiului, puteti sterge apoi fisierele sursa care s-au folosit la copiere.

Copierea colectiei de porturi se poate face imediat dupa instalare alegand din meniul de instalare optiunea Configure, apoi Distribution, selectam ports si apasand OK se trece la copierea lor pe hard-disk.

Inainte de a pregati serverul sa ruleze serviciile de care avem nevoie ar fi bine sa ne asiguram ca acesta ruleaza ultima versiune STABLE disponibila.

La momentul scrierii acestui articol ultima versiune disponibila pentru download era 5.3-RELEASE. Va voi prezenta modalitatea de trece la versiunea 5.3-STABLE. Pentru aceasta este nevoie sa facem cvsup la porturi si la surse, operatie pentru care avem nevoie de o conexiune la internet. Pentru instalarea utilitarului cvsup executam urmatoarele comenzi:

cd /usr/ports/net/cvsup-without-gui
make
make install clean

Deoarece ne-am propus ca functia masinii sa fie de server care sa asigure diverse servicii de retea, nu avem nevoie de interfata grafica si din acest motiv vom folosi cvsup-without-gui. Dupa ce dam comanda make se downloadeaza de pe net pachetul corespunzator si dependintele sale in /usr/ports/distfiles.

Dupa terminarea instalarii, editam folosind editorul ee un fisier de configurare pentru porturi. De exemplu:

ee /usr/local/etc/cvsup-ports

In care vom scrie:

*default host=cvsup2.ro.FreeBSD.org
*default base=/var/db
*default prefix=/usr
*default release=cvs tag=.
*default delete use-rel-suffix
*default compress
ports-all

Iesim din editor cu ajutorul tastei ESC si salvam. La default host putem trece un alt server de pe care sa facem cvsup.

Executam:

/usr/local/bin/cvsup –g –L 2 /usr/local/etc/cvsup-ports

Urmeaza sa facem apoi update si la surse. Editam un fisier de cofigurare:

ee /usr/local/etc/cvsup-src

In care scriem:

*default host=cvsup1.ro.FreeBSD.org
*default base=/var/db
*default prefix=/usr
*default release=cvs tag=RELENG_5
*default delete use-rel-suffix
*default compress
src-all

Facem update cu comanda:

/usr/local/bin/cvsup –g –L 2 /usr/local/etc/cvsup-src

Dupa terminarea executie avem pe hard-disc ultimele surse si porturi.

Urmatorul pas este sa editam fisierul de configurare pentru kernel. Implicit el este /usr/src/sys/i386/conf/GENERIC. Il copiem pe acesta, dandu-i ce nume dorim. De exemplu:

cp /usr/src/sys/i386/conf/GENERIC /usr/src/sys/i386/conf/CUSTOM

apoi:

ee /usr/src/sys/i386/conf/CUSTOM

Observam ca este comentariu in drept la fiecare linie cu explicatia respectivei linii. Pastram ce avem nevoie din acest fisier (in functie de hardware-ul pe care il avem pe sistemul respectiv), restul stergem sau comentam punand un # (diez) la inceputul liniei.Pentru mai multe detalii cititi si fisierul /usr/src/sys/i386/conf/NOTES sau handbook-ul.

La sfarsitul fisierului adaugam si urmatoarele linii:

options VESA
options QUOTA
# IP Firewall
options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=10000
options IPFIREWALL_DEFAULT_TO_ACCEPT
options DUMMYNET
# PF+ALTQ Support
device pf
options ALTQ # ALTQ queueing
options ALTQ_CBQ # ALTQ Class Based Queueing
options ALTQ_RED # ALTQ Random Early Detection
options ALTQ_RIO # ALTQ RED In/Out
# Device Polling
options DEVICE_POLLING
options HZ=1000 # Fine-grained kernel timer

Adaugam in fisierul /etc/make.conf urmatoarele linii:

CPUTYPE?= athlon-xp
NOPROFILE= true
COMPAT4X= true
DOC_LANG= en_US.ISO8859-1

Pentru a alege corect valoarea pentru CPUTYPE?= aruncati o privire in /usr/share/examples/etc/make.conf.

Dam apoi urmatoarele comenzi:

make buildworld
make buildkernel KERNCONF=CUSTOM
make installkernel KERNCONF=CUSTOM

unde, in loc de CUSTOM puneti numele fisierului de configurare pentru kernelul vostru.

Urmeaza sa rebooti in single user mode. Puteti face asta tastand:

init 1

Daca insa folositi shurdown –r now si apoi alegi „Boot in single user mode” este necesar sa mai dati si comanda mount –a inainte de a urma pasii de mai jos, pentru a remonta partitiile.

Dupa ce am boot in single user mode, dam urmatoarele comenzi:

/etc/rc.d/preseedrandom
mergemaster -p
make installworld
mergemaster

Rebootam sistemul si il lasam sa porneasca normal. Dupa ce ne logam, executand uname –a ar trebuie sa afiseze ceva de genul:

FreeBSD host.domeniu.tld 5.3-STABLE FreeBSD 5.3-STABLE #0: Tue Jan 11 09:57:46 EET 2005 root@host.domeniu.tld:/usr/obj/usr/src/sys/CUSTOM i386

Putem spune ca am recompilat cu succes kernelul si avem acum functionala versiune 5.3-STABLE.
Inainte de a trece mai departe, va voi prezenta cateva comenzi uzuale.

cd <dir> schimba directorul curent cu <dir>
ls arata continutul directorului
cp copie un fisier dintr-ul director in altul
date afiseaza sau seteaza data
df afiseaza spatiul liber pe disk (recomandabil df –h)
kill <pid> termina preocesul ce ruleaza cu pid-ul respectiv
locate <fisier> cauta fisierul pe disc
mkdir <dir_name> creaza directorul <dir_name>
mv muta un fisier dintr-un director in altul
passwd seteaza sau modifica parola unui user
ps afiseaza procesele care ruleaza
pwd afiseaza calea absoluta a directorului in care ne aflam

Pentru a afla mai multe detalii despre aceste comenzi sau altele, precum si parametrii pe care acestea le primesc, folositi comanda man urmata de numele comenzii care afiseaza manualul pentru comanda respectiva.

Pentru a se permite logarea prin SSH trebuie sa existe in fisierul /etc/rc.conf linia:

sshd_enable="YES"

O observatie importanta este ca implicit FreeBSD nu accepta logari prin shh ca si root, ci trebuie mai intai sa va logati ca un user normal si apoi, daca userul respectiv se afla im grupul wheel puteti da comanda su –l .

Pentru sporirea securitatii, editati fisierul /etc/hosts.allow si puneti ca prima linie:

ALL : ALL : deny

In acest moment, nimeni nu se poate conecta la masina voastra, nici macar voi.Toate liniile care sunt scrise dupa aceasta nu sunt luate in considerare, deci nu au nici un efect. Regulile din acest fisier se aplica in ordinea aparitiei lor de sus in jos.

Pentru a permite accesul SSH de pe un anumit ip, adaugati, deasupra acestei linii, urmatoarea (bineinteles specificand ip-ul dorit de voi):

sshd : 192.168.0.2 : allow

Plecand de la premiza ca majoritatea utilizatorilor de Linux folosesc acest sistem de operare pentru a asigura accesul unei retele (LAN) la internet, voi explica cum se configureaza FreeBSD-ul pentru a permite acest lucru.

<!–
google_ad_client = "pub-8310769609493718";
/* 300x250_as */
google_ad_slot = "3266981394";
google_ad_width = 300;
google_ad_height = 250;
//–>

Avem nevoie de minim doua placi de retea instalate pe acest calculator. Spre deosebire de linux, unde placile sunt notate eth0, eth1, in FreeBSD acestea primesc nume in functie de producator (rl0, dc0, ep0,etc). Pentru a vedea starea placilor instalate (ce ip au, daca au sau nu link, MAC-ul acestora, etc) se foloseste comanda ifconfig care arata toate interfetele sau ifconfig urmat de numele interfetei pentru a afisa informatii numai despre o anumita interfata. Pentru asignarea unei adrese ip unei interfete se foloseste:

ifconfig <nume_interfata> inet <ip> netmask <netmask>

De exemplu:

ifconfig rl0 inet 192.168.0.1 netmask 255.255.255.0

Pentru ca aceste setari sa se pastreze si dupa rebootarea sistemului, se scrie in /etc/rc.conf:

ifconfig_rl0=”inet 192.168.0.1 netmask 255.255.255.0”

Translatarea de adrese (NAT-Network Adress Translation) se poate realiza in doua moduri: fie folosind ipfilter (ipf) sau mai noul pachet-filter (pf). Pentru utilizatorii care sunt la inceput ipf este mai usor de configurat. Astfel, vom adauga in fisierul /etc/rc.conf:

gateway_enable="YES"
inetd_enable="YES"
ipnat_enable=”YES”
ipnat_rules="/etc/ipnat.rules"

Exemplul fictiv ce urmeaza sper sa ajuta la intelegerea setarilor necesare:

-presupunem ca avem un singur ip dat de catre ISP-ul la care suntem conectat si anume 194.100.2.4, netmask 255.255.255.248 si o retea LAN cu mai multe calculatoare ce au ip-uri din clasa 192.168.0.0/24 (adica de la 192.168.0.1 pana la 192.168.0.254). Legatura cu providerul se face pe rl0 iar reteaua se conecteaza prin intermediul unui switch pe interfata rl1.

-in fisierul /etc/rc.conf vom avea:
ifconfig_rl0=”inet 194.100.2.4 netmask 255.255.255.248”
ifconfig_rl1=”inet 192.168.0.1 netmask 255.255.255.0”
gateway_enable="YES"
inetd_enable="YES"
ipnat_enable=”YES”
ipnat_rules="/etc/ipnat.rules"
defaultrouter=” 194.100.2.1” #gateway-ul providerului

- pentru ca toate calculatoarele din retea sa aiba acces la internet vom scrie in /etc/ipnat.rules:

map rl0 192.168.0.0/24 -> 0.0.0.0/32

-statiile din retea le vom configura cu ip-uri din clasa 192.168.0.0/32, specificand gateway-ul ca fiind 192.168.0.1 (adresa ip a interfetei rl1 de pe router) si DNS-ul dat de provider.

-restart la router si acum toate statiile pot sa acceseze internetul.

-in cazul in care avem mai multe ip-uri date de provider, atunci putem face ca anumite statii din reteaua locala sa iasa pe un unimit ip:

map rl0 192.168.0.10/32 -> 194.100.2.3/32

-daca pe statia respectiva ruleaza un serviciu ce trebuie sa fie accesibil din exteriorul retelei (un server http, ftp, etc), atunci putem face bimap in loc de map, sintaxa fiind aceasi, shimbandu-se doar cuvantul cheie folosit. Atentie: se poate face un singur bimap pentru un ip dat de provider.

Reincarcarea regulilor se face cu:

ipnat –C –F –f /etc/ipnat.rules

Este recomandata citirea Handbook-ului disponibil la adresa: http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/

In retele LAN traditionale, statiile conectate la acelasi switch impart acelasi domeniu. In acest domeniu, fiecare statie primeste pachetele de broadcast trimise de fiecare dintre celelalte statii. Cu cat numarul de statii creste, creste si broadcastul, ceea ce duce la cresterea incarcarii retelei cu efecte negative asupra performantei. Pentru a impiedica acest lucru se poate realiza o separare fizica in sensul ca putem lega cateva statii la switch-ul A, altele la switch-ul B, apoi fiecare switch sa fie conectat intr-un router. Aceasta solutie necesita investitia in echipamente hardware si nu este scalabila.

VLAN-urile ofera izolarea logica in loc de segregarea fizica. Un VLAN este un set de statii care sunt tratate ca un singur domeniu de broadcast. Statiile din acelasi VLAN pot comunica unele cu altele, dar nu pot comunica cu statiile din alt VLAN. Aceasta izolare se realizeaza folosind VLAN Tagging.

Un tag VLAN este o extensie de patru octeti a frame-ului Ethernet care transporta o prioritate (0-7) si un identificator (1-4096). Statiile care suporta VLAN-urile pot aplica aceste tag-uri. Tag-urile pot fi adaugate si de switch-urile care suporta acest lucru, pe baza portului pe care soseste frame-ul.

De exemplu, un switch poate fi programat in asa fel incat sa stie ca porturile 5,3 si 2 apartin VLAN-ului 1 si porturile 7.6.4 apartin VLAN-ului 2. Switch-ul va inainte pachetele de broadcast spre toate porturile de pe acelasi VLAN, dar niciodata spre porturile celuilalt VLAN. In figura de mai jos este prezentata aceasta situatie:

Creare si folosirea VLAN-urilor se face dupa cateva reguli, cum ar fi:

• traficul Layer 2 nu poate ajunge dintr-un VLAN in altul
• fiecare port trebuie sa apartina cel putin unui VLAN static. Implicit un port este membru untagged al VLAN-ului default
• un port poate exista in unul sau mai multe VLAN-uri, in acest caz, “tagging” este folosit pentru a identifica carui VLAN apartine un anumit frame
• un port poate fi definit ca untagged pentru nici un VLAN sau doar pentru un VLAN. Un port care este untagged pentru un VLAN transmite frame-urile destinate acelui VLAN fara tag-ul VLAN in frame-ul Ethernet
• un port poate fi definit ca tagged pentru nici un VLAN sau pentru mai multe VLAN-uri. Un port care este tagged pentru un VLAN transmite frame-urile destinate acelui VLAN cu tag-ul VLAN, incluzand si identificatorul numeric al VLAN-ului
• un port nu poate fi untagged si tagged in acelasi VLAN

Este posbila situatia in care se doreste ca sistemele din VLAN-uri diferite sa aiba acces la un server comun. In acces caz se defineste un port comun si se configureaza in mod corespunzator serverul. Pe server va aparea in cazul in care avem 2 VLAN-uri ca si cum ar fi doua placi de retea.

Folosirea VLAN-urilor aduce pe langa alte avantaje si imbunatatirea performantelor retelei.

Zilele trecute am fost nevoit să implementez VLAN-uri (Virtual Local Area Network) pe un echipament Allied Telesis AT-8000S/16, despre care am mai discutat. Dacă tot am făcut acest lucru, am scris și un scurt tutorial minimal care sper să servească drept exemplu pentru cei interesati, tutorial care se găsește la adresa: http://www.bogdanturcanu.ro/freebsd_vlan_allied_telesis.
Icon-urile pentru Microsoft Visio le puteți descărca de aici.

Un articol interesant și bine documentat despre securitatea rețelelor wireless găsiți la http://braingineer.wordpress.com/2009/07/09/atacand-wpawpa2-psk/ .

Concluzia: nu vă bazați prea mult pe WPA/WPA2-PSK pentru rețele wireless din cadrul firmelor voastre, rețele prin care circulă informații sensibile.