Nu, nu voi vorbi despre ziua păcălelilor. Este vorba de ziua în care description-ul jobului meu se cam schimbă.

Este vorba despre acea schimbare despre care vă anunţasem cu ceva vreme înainte. Începând cu data din titlul materialului, în loc de firewall-uri şi echipamente de reţea Cisco, voi administrata sisteme (sau servere) Solaris&Linux. Mi s-a oferit posibilitatea să fac parte dintr-o echipă aflată la început de drum şi cu o grămadă de planuri mişto pentru viitor. Deşi experienţa mea tehnică din trecut nu este una foarte “stufoasă” vis-a-vis de Solaris şi Linux, spre deosebire de cea acumulată alături de Cisco, Check Point, F5, am decis să accept această provocare. Ştiu că nu îmi va fi uşor, dar la fel de bine ştiu că după ce îmi voi adăuga la bagajul de cunoştiinţe, şi mai sus menţionatele sisteme de operare, pot să spun că am curaj să fac cam orice.  Networking-ul şi *nix-ul sunt un fel de frăţiori, unul fără altul nu prea există, cel puţin din punctul meu de vedere.

Bineînţeles, faptul că job-ul meu de zi cu zi nu va mai include începând cu data de 1 Aprilie Cisco şi Check Point nu înseamnă că vor dispărea din viaţa mea. Voi continua în particular  dezvoltarea mea profesională vis-a-vis de IT security şi networking în paralel, şi bineînţeles proiectele la care lucrez.

Singura schimbare care apare este că în loc de 16 ore (bine, nici chiar aşa ) pe zi dedicate Cisco-ului şi Check Point-ului vor fi doar 8. Restul de 8 vor merge înspre Solaris şi Linux. Deci, am planuri mari pentru acest an 2009. Pe lângă CCSP, voi încerca şi o certificare Linux (sper eu un RHCE) şi una Solaris. Chiar săptămâna viitoare voi participa la cursul de SA-202-S10 System Administration for the Solaris 10 OS. Part 2.

Aşadar, începând cu săptămâna viitoare îşi vor face apariţia pe acest site în plus faţă de materialele dedicate networking-ului şi Linuxului şi cele dedicate Solaris-ului.

P.S. Îmi cer scuze pentru materialele destul de rare din această perioadă, dar gripa şi primăvara m-au ţinut un pic mai departe de tastatură.

O să mai repet aici o chestie pe care am spus-o în ultimul articol şi pe care trebuie să nu o uitaţi, şi anume că switch-urile împart domenii de coliziune, iar routerele domenii de broadcast.

Mulţi poate vor zice “ok…dacă din cauza VLAN-urilor putem avea domenii de broadcast diferite, nu mai avem nevoie de routere.” Treaba asta este cu două tăişuri. De exemplu, “by default”, hosturile dintr-un VLAN nu pot comunica cu cele din alt VLAN diferit decât cu ajutorul unui router, sau unui device de Layer 3…aşa că nu mai speraţi degeaba pentru că routerele nu dispar aşa usor.

Să ne imaginăm acum “un stol” de frame-uri care zboară de colo-colo prin reţeaua noastră. Switch-urile trebuie să ştie şi să urmărească toate tipurile de frame-uri, plus să înţeleagă ce să facă cu ele în funcţie de adresa lor MAC. Aceste frame-uri sunt “administrate” de către switch în funcţie de tipul linkului prin care ele circulă.

Sunt două tipuri de linkuri într-un switched environment -nu ştiu cum să îi zic în română-.

Linkuri de tip access (access links) – acest tip de link face parte doar dintr-un VLAN. Orice device ataşat la un access link nu ştie de apartenenţa lui la vreun VLAN, doar ştie că el face parte dintr-un domeniu de broadcast şi nu are nicio cunoştinţă despre reţeaua fizică. Switchul şterge orice informaţie despre vreun VLAN din frame înainte să îl trimită printr-un access link. Device-urile conectate prin linkuri de tip acces nu pot comunica cu alte echipamente care nu fac parte din VLAN-ul lor, doar dacă pachetele sunt rutate (Layer 3, router…vă amintiţi, nu? ).

Linkuri de tip trunk (trunk links) – trunk-urile pot transporta frame-uri din VLAN-uri diferite. Un link trunk este un link point-to-point de 100- sau 1000Mbps şi poate lega două switch-uri, un switch şi un router, un switch şi un server. Mai pe româneşte, un link trunk face ca un port să facă parte din mai multe VLAN-uri în acelaşi timp.

Nu vă speriaţi. Figura de mai jos va face lumină.

În poza de mai sus, hosturile pot comunica între ele în funţie de VLAN-ul la care sunt asignate. Din ce cauză? Pentru că cele două switch-uri sunt conectate între ele printr-un link trunk. Hosturile în schimb sunt conectate la switch-uri prin linkuri de tip access (access links)…asta înseamnă că ele pot comunica doar într-un VLAN (acela din care fac parte).

Haideţi să vorbim acum despre frame tagging. O să ziceţi “ce dracului mai e şi asta?”.  Este o metodă de identificare a frame-urilor. Şi cum se realizează asta? Fiecărui frame i se va ataşa un VLAN ID, astfel încât fiecare switch să ştie din ce VLAN vine un frame şi unde să îl trimită.

Acum…trebuie să menţionăm că există mai multe feluri de trunking: Inter-Switch Link (ISL) şi IEEE 802.1Q.

Metoda Inter-Switch Link(ISL) poate fi folosită doar pe echipamentele CISCO şi doar pe linkurile de Fast Ethernet şi Gigabit Ethernet.

Metoda IEEE 802.1Q, creată de către IEEE (Institute of Electrical and Electronics Engineers), este o metodă standard de frame tagging. Ce presupune ea de fapt? Inserarea a încă unui câmp în frame, acel câmp identificînd VLAN-ul din care vine frame-ul respectiv. Dacă să zicem că vreţi să faceţi trunk între un switch Cisco şi altul de la alt producător, nu puteţi folosi decât această metodă de trunking.

Haideţi să ne oprim aici deocamdată, şi în următorul material din categoria Networking vom vorbi despre VTP (VLAN Trunking Protocol), moduri de operare ale VTP-ului, rutarea între VLAN-uri, precum şi câteva exemple de configurare în CLI a VLAN-urilor.

Până atunci uptime cât mai lung vă doresc!

1. ? – înseamnă “Ajutor!”.Doar tastează “?” în CLI(command-line interface) şi vei avea o listă întreagă a comenzilor care se pot folosi în modul de lucru în care te afli la momentul iniţierii comenzii.

Poţi folosi “?” şi atunci când nu ştii următorul parametru pentru altă comandă sau pentru a afla toate comenzile care încep cu o anumită literă. De exemplu să ne uităm la output-ul comenzii show d? :

2. show running-configuration -îţi afişează configuraţia curentă de pe orice switch, router sau firewall Cisco.

După ce faci modificări în configul curent pentru a salva aceste modificări tastează repede copy running-configuration startup-configuration .

3. copy running-configuration startup-configuration – salvează configuraţia din RAM(memoria volatilă) în memoria NVRAM (cea nevolatilă), pentru ca la următorul reboot schimbările să îţi rămână în picioare. Poţi folosi direct comanda prescurtată: copy run start. Comanda copy o mai poţi folosi şi pentru copierea configului curent pe un server TFTP de exemplu.

4. show interface – afişează statusul interfeţei (up/down), statusul protocolului pe interfaţă, gradul de utilizare, erorile, MTU-ul (maximum transmission unit), etc.

5. show ip interface şi show ip interface brief – prima variantă afişează informaţii despre protocolul IP şi configurările pe toate interfeţele. Cea de-a doua îţi arată un status rapid al interfeţelor plus adresa IP acolo unde este cazul, status Layer 2 şi Layer 3.

6. configure terminal, enable şi interface – toate cele trei comenzi sunt importante.Sunt folosite pentru a intra dintr-un mod de operare în altul. Să mă explic. Atunci când te conectezi pe un switch,router,etc. eşti întâmpinat cu promptul “>”. Eşti într-un mod de operare în care nu prea poţi să faci nimic dăunător pentru tine sau pentru alţii (în acest mod mă simt eu cel mai bine, cel mai “admin dintre admini” ). Ca să intri în privileged mode trebuie să iniţiezi comanda enable. Prompterul va deveni un diez (#) Ca să intri în global config mode bagă un config terminal (sau conf t). Prompterul se transformă în switch(config)#. În acest mod îţi recomand să te “plimbi” cu mare grijă pentru că dacă nu eşti atent s-ar putea să te “împiedici”, mai ales dacă te joci pe un echipament productiv.

Pentru a schimba un parametru al unei interfeţe, să zicem IP-ul, trebuie să treci în modul configurare interfaţă (interface configuration mode). Pentru asta foloseşte comanda interface. Prompterul devine switch(config-if)#. Toate cele scrise la acest subpunct le aveţi pozate mai jos:

7. no shutdown – cu această comandă dăm enable la o interfaţă…se poate şi în sens invers: no shutdown. Deci cu aceste două comenzi “pornim” şi “oprim” interfeţe. Ambele comenzi trebuiesc introduse doar în modul de configurare interfaţă.

8. show ip route – comandă folosită pentru afişarea tabelei de rutare, adică lista tuturor reţelelor pe care le cunoaşte routerul.

9. show version – îţi arată configuration register-ul (adică setările pentru booting ale echipamentului), ultima dată când switchul/routerul a fost resetat, versiunea de IOS, modelul exhipamentului, memoria RAM şi FLASH,etc.

10. debug – se foloseşte cu o grămadă de opţiuni şi nu “funcţioneşte” fără. Cu ajutorul acestei comenzi analizezi, “debăguieşti” cum zicem noi, anumite aplicaţii, protocoale, servicii. Aşa numita activitate de debugging este prezentă zi de zi în viaţa unui sysadmin.

Aş fi vrut să fie mai scurt materialul ăsta, dar se pare că nu prea mi-a reuşit.

Vă salut!

Ce înseamnă VLAN? Virtual LAN…adică un LAN virtual (şi nu fizic). Să zicem că avem un switch cu 48 de porturi fizice. Vrem să împărţim cele 48 de computere conectate la aceste porturi în două LAN-uri diferite astfel încât traficul dintr-o reţea să nu ajungă în cealaltă, fără a fi nevoiţi să mai cumpărăm un switch. Cu ajutorul VLAN-urilor putem realiza acest lucru. De asemenea putem să conectăm mai multe switch-uri configurate cu multiple VLAN-uri, astfel ca traficul dintr-un anume VLAN să fie forwardat în alt VLAN diferit. Acest feature se cheama trunking.

Înainte de a putea înţelege conceptul de VLAN, trebuie să înţelegem exact ce înseamnă un LAN.  Cea mai bună definiţie a unui LAN în acest context o putem formula astfel: Un LAN include toate device-urile care fac parte din acelaşi domeniu de broadcast(daca un device trimite un frame broadcast, toate celelalte din LAN vor primi acest frame).

Un switch care nu are configurat niciun VLAN va trata toate interfeţele ca făcînd parte din acelaşi domeniu de broadcast. Când vom configura însă VLAN-uri pe un switch, acel switch poate pune unele interfeţe într-un domeniu de broadcast iar altele în alt domeniu. Aceste domenii de broadcast create de switch se numesc VLAN-uri.

Deci să recapitulăm. Un VLAN este un domeniu de broadcast creat de un switch sau mai multe. Haideţi să facem şi un desen…sau două chiar.

După cum vedeţi în prima figură avem două domenii de broadcast formate cu ajutorul a două switch-uri. În poza a doua avem exemplul unui switch pe care sunt configurate două VLAN-uri, adică două domenii de broadcast diferite.

Care ar fi motivele ce ne-ar putea determina să creăm nişte VLAN-uri? Păi să zicem că trebuie să grupăm userii dintr-un departament într-un VLAN separat sau ne gândim să reducem overhead-ul pe echipament limitînd fiecare domeniu de broadcast sau poate vrem să izolăm echipamentele mai sensibile din punct de vedere al securităţii într-un VLAN separat.

Vă gândiţi probabil că este complicat de configurat sau este vreo mare şmecherie. Nici pe departe. Trebuie pur şi simplu să configuraţi ceva de genul “interfaţa 0/1 face parte din VLAN1″, ”interfaţa 0/2 face parte din VLAN22″ şi aşa mai departe. Bineînţeles că putem crea VLAN-uri diferite şi în funcţie de MAC-urile device-urilor ce vrem să le despărţim. Dar totuşi este o alternativă mai rar folosită…sau să zicem că eu unul aşa cred.

Cam atât despre VLAN-uri. Anyway aici este doar o mică introducere a conceptului. Este destul de citit, documentat şi încercat pe real stuff. Aşa că mult spor să aveţi.

M-am gândit ca în următorul material din categoria Networking să vorbim despre trunking…so stay tuned.

Adresele IP conţin 32-bit şi sunt de obicei scrise în forma dotted-decimal. Ex.: 192.168.100.1. “Decimal” vine de la faptul că fiecare byte(8 bits) din adresa IP este convertit în echivalentul zecimal. Cele 4 numere zecimale rezultate sunt scrise unul după altul, despărţite de “dots”(puncte). Avem de exemplu o adresă de IP 192.168.100.1 scrisă în forma zecimală, dar de fapt forma ei binară arată cam aşa 11000000 10101000 01100100 00000001.

Fiecare număr zecimal dintr-o adresă IP se mai numeşte şi octet, care înseamnă acelaşi lucru cu byte. De aceea pentru adresa de IP 192.168.100.1, primul octet este 168, al doilea este 100 şi aşa mai departe. Intervalul din care face parte fiecare octet este între 0 şi 255, inclusiv.

Fiecare placă de reţea(network interface) foloseşte o adresă de IP unică. Dacă avem un router, care de obicei are mai multe network interfaces, acesta trebuie să aibă câte o adresă IP pentru fiecare interfaţă.

Trebuie să discutăm puţin şi despre gruparea adreselor IP. Ce trebuie să reţinem?

1. Toate adresele IP ce fac parte din acelaşi grup nu trebuie separate de un router.
2. Adresele IP separate de un router trebuie să facă parte din grupuri diferite.

Gândiţi-vă la adresele IP la fel ca la nişte coduri poştale. În funcţie de acest cod Poşta ştie unde să trimită scrisorile.. Codurile poştale sunt grupate pe oraşe sau zone. La fel şi adresele IP…sunt grupate. Rutarea se bazează pe faptul că toate adresele IP dintr-un subnet sunt în aceeaşi locaţie…astfel toate routerele din reţea fac forward înspre un router care este conectat la acest subnet.

RFC 790 defineşte protocolul IP, inclusiv şi clasele de reţele. IP defineşte 3 clase diferite de reţele, numite A,B şi C, de unde se iau IP-urile ce se asignează diferitelor hosturi. Mai sunt definite şi Clasa D(multicast) cât şi Clasa E(experimentală).

Prin definiţie, toate adresele IP au o parte de network şi una de host. Clasa A,B şi C au diferite lungimi pentru partea de network:

Reţelele de clasă A au partea de netwok 1 byte(8 bits), de clasă B 2 bytes şi clasă C 3 bytes. Automat partea de host este restul de bits rămaşi, adică IP-urile de clasă A au 24 bits(3 bytes) partea de host, cele de clasă B au 16 bits(2 bytes) iar cele de clasă C au 8 bits(1 byte).

Fiecare adresă IP conţine cel puţin două părţi. Una (sau mai multe) aflată la începutul adresei lucrează exact ca şi codul ZIP şi identifică grupul din care face parte. Toate adresele IP cu aceeaşi valoare în primii bits sunt considerate că fac parte din acelaşi grup(reţea,subnet). Ultima parte a adresei funcţionează ca o adresă locală şi identifică exact device-ul din reţeaua respectivă.

Protocoalele de rutare asta fac…învaţă despre toate aceste grupuri(reţele, subneturi) şi le “fac reclamă” mai departe astfel încât şi alte routere să ştie despre existenţa lor. Toate aceste informaţii învăţate de către router sunt păstrate în aşa zisa tabelă de rutare. Scopul unui protocol de rutare este acela de a completa această tabelă cu absolut toate reţelele-destinaţie şi cu cea mai bună rută(optimă) care trebuie aleasă pentru a ajunge în reţeaua respectivă. Există aici nişte termeni pe care probabil îi veţi găsi în tot felul de documentaţii. Termenul de “routing protocol” se referă la protocolul care învaţă rutele spre diferite reţele şi completează tabela de rutare. Avem apoi termenul de “routed protocol”, care defineşte tipul pachetului rutat într-o reţea. De exemplu protocolul IP este routed, iar RIP este un routing protocol, pentru că routerele îl folosesc pentru a învăţa rutele.

Să revenim la clasele de IP-uri pentru că ne-am abătut destul.

Spuneam mai sus că avem clasa A, B şi C. Haideţi să le definim mai bine şi totodată mai practic.

Clasa A: În sistem zecimal primul octet al unui IP din această clasă poate lua valori între 1 şi 126, adică toate IP-urile în acest interval fac parte din clasa A – 1.0.0.0 to 126.0.0.0

Clasa B: Primul octet ia valori de la 128 la 191, avem astfel următorul interval: 128.1.0.0 to 191.254.0.0

Clasa C: este definită prin următorul interval: 192.0.1.0 to 223.255.254.0

Aceste intervale ar trebui memorate.

Şi uite aşa am ajuns la o parte sensibilă din networking, subnetting-ul. Ce face de fapt subnetting-ul? Păi să zicem aşa într-un limbaj de lemn…împarte clasele de mai sus în grupuleţe de IP-uri în funcţie de câte IP-uri ne trebuie pentru device-urile din reţeaua noastră. Regula claselor de mai sus încă există dar acuma o singură clasă A, B sau C poate fi împărţită în mai multe grupuri mai mici. Subnetting-ul tratează aceste grupuleţe ca pe nişte reţele în sine. Unul dintre principalele scopuri ale subnetting-ului este economisirea de IP-uri. Adică dacă eu am în reţeaua mea 20 de host-uri nu pot să cumpăr o întreagă reţea din clasa B. Ce rost ar avea? Pur şi simplu ar fi o risipă şi nu mai vorbim de costuri…aş intra direct în faliment. Acum…am spus mai sus că o adresă IP este formată din două părţi…partea de network şi cea de host. Acum intervine şi a treia chiar în mijlocul adresei IP. Această parte se formează prin “împrumutul” de bits din partea de host. Partea de network niciodată nu se modifică, adică clasificarea în funcţie de clasele A, B şi C rămâne neschimbată. Deci cum spuneam partea de host se modifică pentru a face loc părţii de subnetting.

Clasa A

8 24-X X

Clasa B

16 16-X X

Clasa C

24 8-X X

Computerele, routerele nu se gândesc la IP-uri în forma lor zecimală ci în cea binară. Aşa că nu vă faceţi iluzii, pentru a şti subnetting şi pentru a înţelege foarte bine cum funcţionează subnetting-ul trebuie să ştiţi matematica binară. Adică să transformaţi din zecimal în binar şi invers…deasemenea anumite operaţii logice: ŞI, SAU logic. Nu o să intru în această parte…vă las pe voi să vă documentaţi…sau deja ştiţi chestiile astea. Doar o să vă enumăr mai jos nişte link-uri utile de unde puteţi să învăţaţi subnetting. În plus dacă pot să vă ajut cu lămuriri sau documentaţie mă puteţi contacta la adresa de email alex[at]alexbobica.com .

http://www.ralphb.net/IPSubnet/

http://technet.microsoft.com/en-us/library/bb726997.aspx

http://www.semsim.com/ccna/tutorial/subnetting/subnetting.html — un tutorial super

Cred că nu mai trebuie să vă spun cât de importantă este partea de subnetting în networking. Este pur şi simplu esenţial să înţelegeţi. Fără subnetting nu există reţelistica. Puteţi folosi www.google.com . Există o grămadă de documentaţie super ok care vă poate fi folositoare. Spor la muncă!

Vă salut!

Şi totuşi, nu a fost dintotdeauna aşa de simplu. La început, când dinozaurii încă umblau cu covrigi în coadă, fiecare producător de sisteme de calcul şi-a dezvoltat propriul prorocol de comunicare, astfel încât putem spune că, computerul produs de către compania X putea “dialoga” doar cu un alt computer fabricat de aceeaşi companie. Vremuri grele…nu? Dar am avut noroc şi, deşi iniţial companiile de mai sus au optat pentru menţinerea acestor protocoale de reţea ferite de ochii concurenţei, în anul 1974 IBM face cunoscut opiniei publice protocolul propriu de reţea – Systems Network Architecture(SNA). Astfel puteai cumpăra calculatoare produse de diverse companii şi să zicem şi de IBM, şi ele comunicau, atâta timp cât suportau SNA.

Şi totusi nu era suficient. Astfel că în 1970 The International Organization for Standardization(ISO) a început munca pentru development-ul unui model standardizat în networking, OSI – Open Systems Interconnection.

În paralel, U.S. Defense Department a început deasemenea standardizarea unui protocol de reţea. Cu ajutorul mai multor cercetători din diverse medii universitare, care s-au oferit voluntar, au reuşit să dezvolte TCP/IP, modelul pe care îl ştiţi cu toţii.

TCP/IP a câştigat lupta cu OSI-ul celor de la ISO(nu mă înjuraţi) şi asta în special din cauza încetinelii proceselor de standardizare a celor din ISO. Şi astfel TCP/IP devine cel mai prolific protocol de reţea, OSI-ului revenindu-i rolul de material didactic, ajutîndu-ne să înţelegem cu ce se mănâncă networkingul.

Deocamdată mă voi limita doar la enumerarea layerelor din cele două modele arhitecturale, lăsîndu-vă vouă plăcerea de a aprofunda singuri layer cu layer structura lor şi protocoalele specifice fiecărui nivel.

TCP/IP Architecture : Exemple de protocoale

• Application layer: HTTP,POP3, SMTP
• Transport layer: TCP, UDP
• Internetwork layer: IP
• Network interface layer: Ethernet, Frame Relay

OSI Architecture : Descriere

• Application ex: web browser
• Presentation data format: jpeg, BCD
• Session defineşte startul, controlul şi încheierea sesiunilor de comunicare
• Transport TCP, UDP -layer4
• Network IP – adresarea logică – layer 3
• Data Link 802.3, 802.2, HDLC -layer 2-comunicarea la acest nivel se bazează pe MAC
• Physical caracteristicile fizice ale mediului de transmisie al datelor

Vă mai dau doar un hint, networking-ul fără OSI nu poate fi înţeles, aşa că dacă vreţi să urmaţi o carieră în domeniu ştiţi cu ce să începeţi.

În următoarele articole voi încerca să dezvolt layerele mai importante din OSI, Layer 2,3 şi 4. Pentru restul vă rămâne să vă documentaţi singuri.

Adios!