Dette er første artikkel i en serie vi har kalt Nettverksskolen, som skal gå fast i hver utgave av PC World Norge. De påfølgende artiklene vil gi konkret innføring i ulike grunnleggende nettverksteknologier, begreper og standarder. Har du noen gang lurt på hva en hub eller svitsj er, eller hva som er forskjellen på dem? Eller hvordan et nettverk egentlig fungerer?

Da må du følge med i Nettverksskolen, hvor vi skritt for skritt vil ta for oss alt dette, og mer til. Men her skal vi først starte med et generelt overblikk over hva et nettverk er – samt ikke minst: Hvorfor man trenger det.

Hvorfor nettverk?

Et nettverk er en sammenkobling av flere datamaskiner, slik at de kan kommunisere med hverandre og dele på ressurser – hvor ressurser kan være lagringsplass, skrivere og annet utstyr eller tjenester.

Dette kan gi en stor gevinst i form av spart tid og sparte utgifter, samt bedre samarbeidsmuligheter.

Når en ressurs blir delt fungerer den som om den er direkte tilkoblet den enkelte maskin, og brukeren merker derfor ingen stor forskjell. Resultatet kan f.eks. være at man slipper å investere i en skriver til hver PC fordi nettverket deler på den ene skriveren.

En annen klar fordel med nettverk er at man kan bruke elektronisk post (e-post). Med e-post sender man beskjeder, filer og dokumenter, og de ankommer mottaker under et minutt etter de er sendt. E-post kan brukes både i lokalnettverk og globale nettverk.

Verdens største nettverk er Internett som egentlig ikke er noe annet enn mange mindre nettverk som er koblet sammen. Internett består av flere millioner datamaskiner, men et nettverk kan like gjerne være to PCer på hjemmekontoret som er koblet sammen for å utveksle filer.

Nettverkets arkitektur

I større nettverk er det behov for en eller flere tjenere (heter servere på engelsk). Tjenere er kraftige maskiner som er sentrale i nettverket og gir brukernes maskiner tilgang til nettverksressursene. Administrator kan gi brukerne forskjellige rettigheter på grunnlag av deres behov. Tjenere blir ofte brukt som felles lagringsplass, og til å kjøre felles systemer, som databaser, på.

Brukernes maskiner kalles klienter, og det er normalt klientene som kjører de enkelte programmene som blir brukt i arbeidet. Klienter er vanlige PCer eller Macer.

Hjertet i et tjenerbasert nettverk er nettverksoperativsystemet som er installert på en tjener. Nettverksoperativsystemet gir brukerne kontrollert tilgang til filer og andre ressurser. De mest vanlige operativsystemene for nettverk er Novells Netware og Microsofts Windows NT Server.

I små nettverk kan man klare seg uten en dedikert maskin som skal fungere som tjener. Slike nettverk kalles peer-to-peer-nettverk, og her er alle maskinene knyttet opp mot hverandre i motsetning til å være knyttet mot en tjener.

For at maskinene i nettverket skal kunne kommunisere, må de ha nettverkskort og nødvendig programvare installert. Den vanligste måten å koble maskiner sammen på er ved hjelp av kobberkabel, men nettverk basert på fiberkabel, radio- eller infrarøde signaler finnes til spesielle behov. Mer om kabling og nettverkskort senere i nettverksskolen.

Trenger man å koble seg på nettverket hjemmefra kan det gjøres ved hjelp av en telefonlinje, men forutsetter at nettverkssystemet har støtte for det.

Ansatte på reisefot har ofte behov for å sende eller motta e-post. Ved hjelp av en mobiltelefon ringer den bærbare PCen til nettverket på arbeidsplassen og kobler seg på.

Vi ser at nettverket er den viktige delen som binder maskinene sammen og åpner mulighetene for samarbeid.

Nettverksskolen

Nettverk kan være omfattende og det er som oftest systemansvarlige som har ansvaret for at nettverket er tilgjengelig for de ansatte. Selv om du ikke er systemansvarlig, vil det kunne oppstå problemer hvor det er fint å ha basiskunnskapene i orden. Og for stadig flere blir enkle nettverk hjemme aktuelt.

Definisjonen av et nettverk er flere datamaskiner som er koblet sammen med den hensikt at de skal kunne kommunisere og dele ressurser. For at dette skal la seg gjøre på en grei måte er det nødvendig med diverse utstyr, lover og regler. I Nettverksskolen vil vi ta for oss hva som er oppgavene til de forskjellige enhetene som får nettverket til å kjøre knirkefritt. I neste utgave gir vi deg en innføring i OSI-modellen som gir en grunnleggende forståelse for hvordan nettverkskommunikasjon er oppbygd.

Del 2:

Innføring i OSI-modellen

Skal du bli fortrolig med nettverk er det viktig å ha kjennskap til OSI-modellen. Dette er en referansemodell for oppbygning av nettverkskommunikasjon, som vi også vil henvise til senere i Nettverksskolen.

Figur 1: OSI-modellen. Se lenger nede på siden for en presentasjon av lagene.

OSI (Open Systems Interconnection) ble utviklet av ISO (International Standards Organization) tidlig på åttitallet med tanke på å være en guide for fremtidige nettverksarkitekturer. Selv om de fleste standarder fraviker litt fra modellen er den ennå en viktig referansemodell. Og forstår man først OSI-modellen gir det en grunnleggende forståelse av hvordan nettverksløsninger er oppbygd og fungerer.

OSI-modellen er delt inn i syv forskjellige lag, som bygger på hverandre. De fire første lagene beskriver selve nettverket og transporten av dataene, mens de tre siste lagene beskriver tjenester og programvare i nettverket.

Se bildet til høyre og under for en presentasjon av lagene.

Et praktisk eksempel

Dette virker nok veldig teoretisk foreløpig, men stol på oss; det vil gi aha-opplevelser om hvordan ting henger sammen når vi senere i denne serien kommer inn på de forskjellige bitene i nettverket.

La oss gå i gjennom et praktisk eksempel som illustrerer hvordan dette henger sammen:

Ser vi på hvordan chat (direkte samtale) fungerer med utgangspunkt i OSI-modellen blir det slik: En bruker "snakker" med en annen, og skriver "hei" i applikasjonen. Applikasjonslaget (lag 7) flytter dataene fra programmet til presentasjonslaget (lag 6) som oversetter og krypterer dem. Dataene blir så behandlet av sesjonslaget (lag 5) hvor dialogen blir satt til full toveis (duplex) kommunikasjon. Transportlaget (lag 4) pakker dataene som segmenter, og feilrettingsdata blir lagt til.

I nettverkslaget (lag 3) blir det funnet ut hvilket nettverk mottakeren befinner seg i. Datalink-laget (lag 2) pakker dataene i pakker, og den fysiske adressen blir bestemt. Til slutt pakker det fysiske laget (lag 1) dataene som bits og sender dem fra nettverkskortet over til mottakermaskinen.

I mottakermaskinen gjentar så prosessen seg, men i motsatt rekkefølge til "hei" dukker opp på skjermen. Mye for lite kanskje, men denne lagvise oppbygningen gjør konstruksjon av avanserte nettverkstjenester mer fleksibel. Endringer kan gjøres i ett lag uten at det påvirker de andre lagene.

Når vi senere i Nettverksskolen kommer inn på konkrete nettverksløsninger og standarder vil du kjenne igjen deres plassering og funksjon i OSI-modellen.

Lag 1: Det fysiske laget
Det fysiske laget er den fysiske koblingen mellom enhetene i nettverket. Laget er opptatt av å sende og motta databits over den fysiske forbindelsen. Det fysiske laget spesifiserer de mekaniske og elektriske grensene for å opprette og vedlikeholde den fysiske forbindelsen. Standardene på dette laget definerer for det meste kabling, plugger og kontakter.

Lag 2: Datalink-laget
Datalink-laget produserer små pakker av de rå bitstrømmene fra det fysiske laget. I disse pakkene blir det i tillegg til dataene, laget adresse til avsender og mottaker. Dermed kan vi definere hvem som skal kunne motta dataene vi sender.

Datalink-laget inkluderer også feilretting. Dersom data er gjengitt feil, ber laget om at dataene må bli sendt om igjen. Dersom dataene blir sendt for fort, ber laget om at senderen må roe ned sendingene.

Lag 3: Nettverkslaget
Mens lag 2 (datalink-laget) har mulighet for adressering innen ett nettverk, har nettverkslaget mulighet for å adressere pakker for sending mellom flere og ulike nettverk. Ved Internett-bruk sørger laget for at informasjonen havner hos rett maskin. Nettverkslaget må også passe på at dataene blir sendt den mest effektive veien dersom det finnes flere alternativ.

Lag 4: Transportlaget
Transportlaget er et slags mellomlag som skjuler detaljene fra de underliggende lagene for de tre øverste lagene. Dersom data ikke har kommet frem, går stafettpinnen til lagene over for å ta aksjon.

Lag 5: Sesjonslaget
Dette laget lar brukere opprette en forbindelse (sesjon). Laget sjekker at sikkerheten er så god som den kan bli for at forbindelsen kan starte. Når kommunikasjonen er i gang, er det sesjonslaget som administrerer dialogen.

Lag 6: Presentasjonslaget
Dersom to maskiner som kommuniserer har forskjellig dataformat, kan presentasjonslaget konvertere begges format til et felles format. Det er på dette laget at komprimering og de-komprimering foregår, samt kryptering og de-kryptering.

Lag 7: Applikasjonslaget
Det siste laget tilpasser brukerens programmer til nettverket. Applikasjonslaget gjør at programvaren kan overføre filer, sende e-post og ellers utføre andre tjenester over nettverket. Laget sørger for en program-til-program kommunikasjon.

Del 3:

Kabling og topologi

Vi begynner nå med Lag 1 fra OSI-modellen du husker fra forrige gang; med ett nettverks grunnleggende kabling og struktur. Et velvalgt kabelsystem er avgjørende for en god og fleksibel nettverksløsning.


Figur 1: Et enkelt nettverk basert på buss-topologien	Figur 2: Stjerne-topologien med en sentral hub
	Figur 3: Nettverk basert på ring-topologien

Når man skal lage et nettverk, finnes det flere typer kabler man kan bruke. Vi skal her ta for oss de viktigste, men først litt om nettverksløsningens grunnleggende fysiske struktur -- eller topologi, som det heter.

Topologier
De tre vanligste typene nettverksstruktur, eller topologi, er buss, stjerne og ring.

Buss-topologi
En buss-topologi består i sin enkelhet av et stykke kabel hvor det er flere PCer som er hektet på (figur 1). Når data sendes blir sendingen sendt til alle maskinene, men det er kun den PCen som har mottakeradressen som snapper opp dataene. Det er bare en maskin som kan sende data om gangen, hvilket medfører at en bussnettverk med mange PCer er tregere enn et nettverk med få PCer.

Fordi at signalene i en buss blir sendt gjennom hele nettverket, vil de gå fra den ene enden av bussen og til den andre. Dersom ingenting stopper dataene vil de fortsette frem og tilbake i kabelen, og dermed sperre for andre maskiner som vil sende data. For å stoppe dataene er det nødvendig å plassere en terminator i alle ender av kabelen som ikke fører noe sted. Et brudd i kabelen, eller en terminator som blir fjernet vil dermed ramme hele nettverket og ingen maskiner kan kommunisere.

Stjerne-topologi
I stjerne-topologien er alle PCene koblet til en sentral node (figur 2). Signaler fra en PC går til den sentrale enheten som ofte er en hub, og deretter til alle maskinene som er tilknyttet huben. Ulempen med en stjerne-topologi er at det går med mer kabel, og dersom huben feiler vil hele nettverket gå ned. Men dersom kabelen fra én PC feiler, skjer det ingenting med nettverkstilgangen for de øvrige PCene. I dag er det stjerne-topologien som er den vanligste å bruke.

Ring-topologi
Ring-topologien (figur 3) kobler sammen maskinene ved hjelp av en kabel som går i ring. Her finner vi ingen terminatorer eller ender, og kommunikasjonen foregår ved at signalene sendes fra maskin til maskin i én retning. I motsetning til den passive buss-topolgien, blir signalene forsterket på hver maskin og sendt videre til nestemann. Ulempen er at ettersom hver maskin er involvert i sendingen, blir hele nettverket rammet dersom en maskin feiler.

I dag er det ofte tilfeller hvor flere topologier er kombinert ved f.eks. en stjerne-buss eller stjerne-ring alt ettersom hvilket behov som er tilstede.

Kabeltyper
Kabler er den vanligste løsningen når man skal sende data mellom datamaskiner, men hvilken type som passer best avhenger av mange faktorer. Vi deler kabeltypene inn i disse tre hovedtypene: Koaksialkabel, tvunnet parkabel og fiberoptisk kabel.

Koaksialkabelen
Denne kabeltypen finnes i dag i mange installasjoner, men hadde sin storhetstid på 80-tallet. Årsaken til at kabelen ble så mye brukt var at den var relativ rimelig, samt at den var lett og fleksibel å arbeide med. Koaksialkabelen består av en kobberleder som er omgitt av isolasjon, folie eller nett, og et ytre belegg. Det finnes både en tynn og en tykk koaksialkabel i nettverkssammenheng. Den tynne er svart og blir brukt på avstander opptil 185 meter, mens den tykke er gul og klarer avstander opptil 500 meter uten at signalene blir for mye svekket. Den tykke er dyrere og mer komplisert å installere. Buss- og ring-topologien benytter seg som oftest av koaksialkabel.

Tvunnet parkabel
En tvunnet parkabel består av to isolerte kobbertråder som er tvunnet rundt hverandre. Flere slike trådpar kan ligge sammen i én kabel for å fylle behovene.

Det er to typer av tvunnet parkabel: Uskjermet og skjermet. Den uskjermede (UTP) varianten er den som oftest blir installert i dag, og kan strekke seg opptil 100 meter i lengde. Kabelen er også delt inn i 5 kategorier hvor kategori 5 er standarden for datatrafikk opp til 100 Mbps. Denne består av 4 trådpar og er den vi vanligvis bruker i nettverk i dag. Kabelen er dessuten den samme som vi benytter som moderne telefonledning, og kostnadene er dermed lave p.g.a. det store produksjonsvolumet. Uskjermet parkabel er vanligst å finne i stjerne-topologier.

Skjermet tvunnet parkabel (STP) har en ekstra metallfolie rundt lederne som blir jordet. Dette gjør at kabelen klarer raskere overføringer over lengre avstander, og er mindre utsatt for støy. STP er dyrere enn UTP, og krever mer arbeid ved installasjon.

Fiberoptisk kabel
I motsetning til andre kabler bruker denne lys i stedet for elektriske signaler, og elektrisk støy har dermed ingen innvirkning. Fiber har stor kapasitet fra 100 Mbps og opp til flere Gbps. Dessuten er rekkevidden på 2 - 25 km.

Dessverre er kabelen ennå dyrere enn andre typer, spesielt ved installasjon. Installasjon av fiberoptisk kabel er vanskelig, og kabelen tåler lite bøying på grunn av at lyset skal reflekteres riktig i de forskjellige lagene i kabelen. Selve kabelen består av en glass- eller plastkjerne som er omgitt av et nytt glasslag. Ytterst er det en robust isolasjon. Teleselskapene legger i dag nesten bare fiberoptisk kabel. Bortsett fra hastighet og distanse, er også sikkerhet en av fiberens store fordeler ettersom den ikke kan tappes på samme måte som kobberkabler.

Del 4:

Nettverkskort

Nå har vi tatt for oss valg av kabel og nettverksstruktur (topologi), og så må PCen forbindes til dette. Det gjøres med hjelp av et nettverkskort.

Nettverkskortets hovedoppgave er å flytte datasignaler fra PCen til nettverkskabelen.

Nettverkskortets hovedoppgave er å flytte datasignaler fra PCen til nettverkskabelen. Vi har her tatt steget opp på Lag 2 i OSI-modellen. Det er forskjellige kort og løsninger, men felles for dem alle, er at de er koblet til PCens systembuss, og at nettverkskabelen er koblet til kortet.

Buss-type

Et nettverkskort kan være integrert i PCen, men det vanligste er at man setter i et kort i et utvidelsesspor på PCens buss. Som kjent finnes en rekke ulike standarder for dette - ISA, MCA, EISA, VESA, PCI og PC-kort (PCMCIA). MCA og EISA er ikke særlig aktuelle lenger, så for stasjonære PCer står valget mellom et ISA-nettverkskort og et PCI-nettverkskort. ISA er fortsatt noe rimeligere, men PCI har en rekke fordeler. De oppnår en langt bedre ytelse ved å benytte seg av 32 eller 64 bits overføringer med en klokkefrekvens på 33 eller 66 MHz. PCI kan komme opp i hele 264 Mbps mot ISAs begrensning på 8.33 Mbps. Med slike forbedringer i forhold til ISA, fungerer også busmastering mer effektivt. Busmastering vil si at nettverkskortet har en egen Direct Memory Access (DMA) prosessor som gjør det mulig å aksessere maskinens internminne uten å vente på PCens prosessor. PCI er normalt også bedre på plug&play, dvs. lettere å konfigurere. Vi anbefaler at man i dag satser på PCI-nettverkskort.

For bærbare maskiner er alternativet PC-kort (PCMCIA), som er så små at de krever en ekstern adapter for kabeltilkobling. PCMCIA-kort finnes i tre standarder, hvor type tre er det nyeste og beste valget. Type tre er bakoverkompatibel med de foregående versjonene.

Nettverks-type og tilkobling

Nettverkskortet må også være tilpasset nettverkstypen man kjører. Både kabeltypen, som vi gikk igjennom sist (fiber, koaks, tvunnet parkabel, osv.), og nettverksstandarden dvs. om det er Ethernet, Token Ring eller annet som benyttes i nettet (dette skal vi ta for oss neste gang).

Mest utbredt i dag er uskjermet parkabel (UTP) som blir benyttet i stjerne-topologien, som du kunne lese om i forrige utgave. PCI-nettverkskort for dette har én utgang bak som er beregnet for kontakten til uskjermet parkabel. Denne kontakten er en moderne telefonplugg, og heter RJ45. Eldre kort, såkalte kombo-kort, har flere utganger slik at man kan velge mellom hvilken kabeltype man skal bruke. Kombo-kort kan være programmerte til å bruke en bestemt utgang, slik at man ved hjelp av brytere eller en egen applikasjon må omprogrammere kortet for å bruke en annen utgang.

Delen på kortet som foretar omformingen av signalene fra PCen til kabelen er en transceiver som er en sender og mottaker. Noen kort har også en AUI-utgang som tillater brukerne å benytte seg av en ekstern transceiver. F.eks. kan et kort med en ekstern transceiver brukes til fiberoptisk kabel, selv om kortet ikke har støtte for denne type kabel.

Kortets hastighet

De ulike nettverksalternativene har også ulike hastighetsalternativer, som nettverkskortet må være tilpasset. For vanlige Ethernet-nettverk er den ordinære hastigheten 10 megabit pr. sekund, men Fast-Ethernet med 100 Mbps blir stadig vanligere.

Mange planlegger for at behovet for 100 Mbps kan komme på et senere stadium ved å kjøpe kort som støtter begge deler, såkalte 10/100-kort. Da er det bare å skifte sentralt, og klientene vil kunne utnytte den nye hastigheten. Vær oppmerksom på at også huber underveis må støtte den aktuelle hastigheten, og 10/100-huber er foreløpig sjeldnere.

Hastigheten avhenger også om kortet har egen prosessor eller ikke. Men selv kort med prosessor kan bli en flaskehals dersom prosessoren ikke henger med på den hastigheten som PCen genererer. I tillegg kan det være dårlige programmerte instruksjoner i kortets ROM-brikke som kan medføre forsinkelser.

Signalering

Nettverkskortet sender faktisk signaler før de egentlige dataene blir sendt over nettverket. Avsender-kortet samarbeider med mottaker-kortet for å bli enige om størrelsen på sendingene, tidsintervaller, hvor lang tid det skal ta før en bekreftelse på mottatt data skal sendes, hvor mye data hvert kort kan ta imot før det flyter over og ikke minst hvilken hastighet som skal benyttes.

Hvilke adresser som kortene får er bestemt av IEEE som tildeler kortprodusentene unike adresser som blir brent inn i hvert enkelt kort. Resultatet er at hvert kort og hver PC dermed får sin egen adresse i nettverket. Men det har oppstått problemer ettersom det i noen tilfeller lar seg gjøre å endre kortets adresse slik at to kort får samme adresse.

Tjenere og arbeidsstasjoner

På grunn av at tjenere må behandle store mengder av nettverkstrafikk, bør de være utstyrt med de beste og raskeste nettverkskortene. For litt større nettverk kan det være aktuelt med mer enn ett nettverkskort i tjeneren. Det finnes også kort som opptar én kortplass i maskinen, men som oppfører seg som to kort med to utganger.

Arbeidsstasjonene kan klare seg med rimeligere løsninger fordi de som oftest ikke er like hyppige brukere av nettverket.

1213121: Nettverkskort finnes med flere typer utganger som avhenger av hvilken kablingstype som skal brukes.

Del 5:

Ethernet eller Token Ring?

Vi har tidligere i nettverksskolen sett på kabler, topologier og nettverkskort. Et nettverk må også ha en logisk topologi. De vanligste standardene her er Ethernet og Token Ring, som vi skal se nærmere på denne gang.


I Ethernet-baserte nettverk kan det oppstå kollisjoner når to maskiner starter sendinger samtidig.	I Token Ring er det kun maskinen som er i besittelse av et token som kan sende data.

Du har sikkert hørt begrepene Ethernet og Token Ring i forbindelse med nettverk, men vet du hva disse begrepene innebærer?

Vi har tidligere vært igjennom et nettverks grunnleggende fysiske struktur, eller topologi. Nå skal vi se på den logiske topologien, også kalt aksessmetoden.

Lag 2 i OSI-modellen, Datalink-laget (se PCW nr.10), deles inn i Logical Link Control (LLC) og Media Access Control (MAC). Ethernet og Token Ring finner vi på MAC-laget.

Ethernet

Ethernet er i dag den mest utbredte standarden for lokalnettverk. IEEE (Institute of Electrical and Electronics Engineers) har definert standarden som 802.3, hvor bruken av tvunnet parkabel er blitt vanligst, og heter 10BASE-T. 10BASE-T har en begrensning på 10 Mbps, derav navnet. BASE betyr at det dreier seg om et basisbånd nettverk. Basisbånd vil si at bitverdier skifter elektriske nivåer, og at vi bare kan ha én forbindelse over kabelen samtidig.

Ethernet kan også kjøres over andre typer kabler, og finnes i disse definisjonene under 802.3-spesifikasjonen: 10BASE-2 bruker tynn koaksialkabel som kan ha en lengde opptil 185 meter, 10BASE-5 går på en tykkere koaksialkabel og takler lengder opptil 500 meter og til slutt 10BASE-F som benytter seg av fiberoptisk kabel.

Raskere versjoner av Ethernet blir også vanligere ettersom prisene faller. Dette dreier seg som Fast Ethernet, 100BASE-T som har en makshastighet på 100 Mbps og Gigabit Ethernet som er tatt i bruk for høyhastighetsnett.

Ethernet brukes i buss- og stjernetopologien som vi så på i forrige utgave.

Kollisjoner

CSMA/CD (Carrier Sense Multiple Access with Collision Detection) er en protokoll som brukes i Ethernet for å detektere kollisjoner i nettverket. Før en enhet i nettverket sender data over kabelen sjekker den om linjen er ledig. Dersom linjen er ledig, kan PCen starte sendingen. Er det data i transitt på kabelen, må de andre maskinene vente til dataene har nådd sin destinasjon.

Ethernets svake side inntreffer dersom to maskiner starter å sende på samme tidspunkt, og det oppstår en kollisjon. CSMA/CD detekterer da at kollisjonen har oppstått. Etter kollisjonen venter maskinene en tilfeldig valgt tid før de prøver å sjekke om linjen er ledig på nytt. Antall kollisjoner stiger derfor med antall brukere i nettverket, og nettverket blir dermed tregere.

Når trafikken overstiger et visst nivå, blir det flere kollisjoner som igjen forårsaker enda flere kollisjoner og nettet kveles. Ved en slik metning må nettet segmenteres, dvs. deles opp i mindre segmenter, noe man kan bruke svitsjer eller rutere til (mer om dette i senere artikler).

Selv om det kan høres ut som om dette går tregt for seg, er CSMA/CD raskt nok til at brukerne ikke merker noen vesentlig svekkelse av hastigheten.

Det finnes også en mindre utbredt og tregere metode for å unngå kollisjoner som heter CSMA/CA.

Token Ring

Standarden som brukes i Token Ring er IEEE 802.5, hvor IBM Token Ring Network utgjør den mest kjente implementasjonen. Det som kjennetegner Token Ring er at den maskinen som blir slått på først oppretter et token som vandrer rundt i nettverket til en maskin plukker det opp. Den samme maskinen opptrer senere også som en monitor. Monitoren har som oppgave å rette feil som oppstår, og kan f.eks. sette igang et nytt token dersom det forrige er forsvunnet. Tokenet gir tillatelse til den maskinen som kaprer det til å sende data.

Når en maskin blir slått på, sjekker den at det ikke finnes andre maskiner med samme adresse. Deretter forteller den de andre i nettverket at den eksisterer.

Når en PC sender data, går signalene fra sendermaskinen innom alle maskinene på vei til mottakeren, men det er kun mottakeren som får tilgang til dataene. Når sendingen er ankommet mottakeren, får senderen en bekreftelse på mottaket, og sender et nytt token ut i nettet. Neste maskin som skal sende signaler må vente på at tokenet passerer for å kunne "kapre" det. Det er kun den maskinen som er i besittelse av tokenet som kan sende data.

Denne løsningen forhindrer dermed kollisjoner ettersom det er kun én maskin som har tilgang til tokenet på samme tid. Det er begrensninger for hvor lenge en maskin kan legge beslag på tokenet, og enkelte maskiner kan prioriteres høyere enn andre.

Token Ring finnes i de to hastighetene 4 og 16 Mbps, og nylig kom det en standard på High Speed Token Ring med hastighet på 100 Mbps.

Kablingen er enten skjermet eller uskjermet parkabel, og et Token Ring nettverk er dyrere og mer komplisert enn Ethernet, men utnytter båndbredden mye bedre.

Del 6:

Protokoller

Hvilket språk snakkes i nettverket?

PCene i nettverket må bruke de samme nettverksprotokollene for å kunne kommunisere – de må snakke samme språk. Det finnes mange ulike protokoller for datakommunikasjon, her viser vi deg de viktigste.

I TCP/IP brytes dataene opp i pakker. TCP sørger for at dataene blir satt sammen i riktig rekkefølge ved ankomst, mens IP sørger for at dataene kommer til rett maskin. En god sammenligning er derfor postverket.

Det finnes en rekke protokoller som er beregnet til forskjellig bruk, og de fleste består av flere protokoller sammensatt i en gruppe. Protokoller er en nødvendighet for datakommunikasjon, hvor de samme protokollene må være installert både hos sender og mottaker for at kommunikasjonen skal bli vellykket.

Noen protokoller ble utviklet før større nettverk var vanlige, mens andre kan være ustabile. Det lønner seg derfor å ha en viss forståelse før man bestemmer seg for hvilken eller hvilke protokoller man skal implementere.

Et nettverk kan operere med flere protokoller for kommunikasjon. I Windows-verdenen kan man binde ulike protokoller opp mot forskjellige applikasjonene.

TCP/IP

TCP/IP (Transmission Control Protocol/Internet Protocol), også kjent som Internett-protokollene, er i dag helt klart det mest populære settet med protokoller for datakommunikasjon. Nesten alt av operativsystemer og utstyr kan benytte seg av TCP/IP, og i tillegg er TCP/IP rutbar, dvs. at den gjør det mulig å kommunisere over flere lokalnett, og på Internett (vi kommer mer tilbake til ruting senere i Nettverksskolen).

Når en maskin vil sende data til en annen, er det IP-protokollen som tar seg av adresseringen, og leder dataene til den riktige maskinen. IP befinner seg på lag 3 (Nettverkslaget) i OSI-modellen.

TCP sørger for å bryte datamengdene opp i mindre pakker, og setter sammen disse pakkene i riktig rekkefølge ved mottak. På Internett hender det at pakkene tar forskjellige veier på sitt vei til målet, og de kan derfor komme frem i en annen rekkefølge enn de ble sendt. Pakkene blir derfor nummerert slik at TCP kan holde styr på dem. TCP generer også en sjekksum ved sending som blir sjekket ved mottak. Dersom sjekksummen ikke stemmer, er det oppstått en feil, og TCP forlanger at sendingen gjøres om igjen. TCP befinner seg på lag 4 (Transportlaget) i OSI-modellen. Databrukeren merker ikke at dataene er delt opp i pakker, alt skjer godt skjult.

Den mest brukte IP-versjonen i dag er versjon 4 (IPv4), men neste generasjon IP-versjon 6 (IPv6) begynner å ta form.

Andre protokoller som er utviklet spesielt for TCP/IP-settet er SMTP (e-post), FTP (filoverføring), SNMP (nettverksadministrasjon) og HTTP (Web).

Siden TCP/IP er den klart viktigste protokollen, vil vi komme tilbake til en nærmere beskrivelse av denne senere i Nettverksskolen.

NetBEUI

NetBEUI er en liten og effektiv protokoll som vi finner på Transportlaget i OSI-modellen. Protokollen følger med i alle nettverksproduktene fra Microsoft, og er først og fremst beregnet på små Microsoft-baserte lokalnett ettersom den ikke er rutbar. Fordelene ligger i at den er kompakt, noe som er viktig for MS-DOS-baserte PCer, og at den tilbyr en høy hastighet. Antageligvis er NetBEUI den raskeste protokollen man kan bruke for å dele filer. Alt den forlanger av konfigurasjon er et PC-navn.

IPX/SPX

IPX/SPX (Internetwork Packet Exchange/Sequenced Packet Exchange) er et protokollsett som benyttes i Novell-nettverk. Dette er også en liten og rask protokoll i et lokalnett, men i motsetning til NetBEUI er den rutbar.

I et Novell NetWare-nettverk trenger IPX/SPX ingen omfattende adressering for at en kommunikasjon til klientene skal opprettes. Adresseringen foretas av tjeneren, som automatisk sender informasjonen til klienten.

De fleste datautvekslinger mellom maskiner i et NetWare-nettverk blir utført ved hjelp av IPX. Men når en klient må gjennom en ruter for å få kontakt med en tjener, er det SPX som blir brukt. SPX tar over i de tilfellene IPX ikke har de rette funksjonene. Det er for eksempel SPX som mottar bekreftelse på at mottaket av data er utført. SPX opererer på lag 4 i OSI-modellen (Transportlaget), mens IPX befinner seg på lag 3 (Nettverkslaget). Mens IPX-protokollen er lik IP, har SPX store likheter med TCP. Derfor utfører IPX/SPX omtrent de samme tjenestene som TCP/IP

Selve IPX-adressen er en blanding av nettverkskortets fysiske adresse og en logisk nettverksadresse.

Microsoft tilbyr NWLink som sin IPX/SPX-versjon. Denne protokollen tilbyr ikke aksess til NetWare fil- og skrivertjenester, men den tilbyr en metode for å transportere data til NetWare-tjeneren.

Del 7:

Forstå TCP/IP

Internett-protokollen TCP/IP er blitt den definitivt viktigste protokollen for datakommunikasjon, også i lokale nettverk. Forrige gang tok vi for oss protokoller generelt, her får du vite mer om dette mest populære protokollsettet.

TCP/IP (Transmission Control Protocol/Internet Protocol) er et sett med lover og regler som definerer hvordan data blir utvekslet i et datanettverk. TCP/IP ble utviklet underveis i det prosjektet som har blitt til Internett slik vi kjenner det i dag, og er også blitt den viktigste protokollen for interne nettverk -- ikke minst pga. behovet for Internett-kommunikasjon.

TCP

Når en TCP-bruker ber om en forbindelse, sender den en forespørsel til en annen maskin. For å kunne sende en slik forespørsel, må senderen spesifisere mottakerens adresse og portnummer. Når denne såkalte "handshake-prosedyren" er gjennomført, tilbyr TCP en full duplex-forbindelse, dvs. at data kan strømme i begge retninger på samme tid. Maskinene holder selv styr på de data den sender og mottar. Når forbindelsen skal avsluttes, blir det fra en av maskinene sendt en beskjed om at det ikke er mer data å sende. Den andre maskinen bekrefter beskjeden, og data kan ikke lenger bli sendt.

I motsetning til TCP, er IP en forbindelsesløs protokoll, dvs. at det ikke er noen oppkoblet forbindelse mellom de som skal kommunisere. Hver pakke som går gjennom Internett blir behandlet som en egen pakke helt uavhengig av de andre pakkene. Dersom en av veiene til målet ikke er tilgjengelig, har ruterne funksjoner for å omdirigere pakkene. TCP/IP er dermed en rutbar protokoll. På mange måter kan man sammenligne det med å sende et langt brev fordelt over en haug av postkort, hvor kortene tar forskjellige veier frem til mottakeren.

En IP-header sitter i hver pakke, og inneholder opphavsadresse, mottaksadresse og andre opplysninger som mottakeren trenger. Ettersom IP ikke selv er i stand til å sjekke etter feil, får den hjelp av ICMP (Internet Control Message Protocol) som rapporterer om oppståtte feil til avsenderen. Feilfinning og sammensetning av dataene i riktig rekkefølge utføres ikke av IP, men må løses på et høyere lag.

Alle maskiner som skal bruke IP i et lokalnett, må altså ha sin egen IP-adresse. Dette nummeret kan konfigureres lokalt på hver maskin, eller maskinen kan ved oppstart henvende seg til en tjener for å motta en adresse. Tildelingsprotokollen DHCP (Dynamic Host Configuration Protocol) gjør det mulig for nettverkstjeneren å dele ut dynamiske adresser til de maskinene i lokalnettet som ber om det. Derimot må tjeneren ha en fast IP-adresse for å kunne tildele klientene adresser, og for å bli gjenkjent av Internett-brukere.

Adresseringer

Hver PC som er tilknyttet et TCP/IP-nett må ha sin unike adresse for å kommunisere. Slike IP-adresser er et 32-bit nummer som identifiserer senderen eller mottakeren av data.

Når vi snakker om IP-adresser, blir de gjerne oppgitt som fire nummer delt med punktum. F.eks. 168.243.231.23. Disse numrene er delt inn i fire klasser, hvor klasse A omfatter adressene i mellomrommet 0.0.0.1 til 127.255.255.254 og har 7 bit for å identifisering av nettverket, og 24 bit for identifisering av datamaskinen. Klasse B strekker seg fra 128.0.0.1 til 191.255.255.254, og tilbyr 14 bit for identifisering av nettverk, og 16 bit for å gjenkjenne maskinen. Klasse C er mellom 192.0.0.1 og 223.255.255.254, og bruker 21 bit for nettverksidentifikasjon, og 8 bit for maskinidentifikasjon. Klasse D er brukt til å implementere en form for multicasting.

Det er tilnærmet umulig å oppdrive en ledig Internett-adresse i klasse A. Det er kun klassene B og C hvor man kan få tildelt adresser til sin organisasjon.

IP-adresser for internbruk i lokalnettet kan settes opp av IT-avdelingen og trenger ingen godkjenning. Men det er viktig å skille disse fra de "ekte" Internett- IP-adressene, og man må være på vakt slik at man ikke oppretter to like adresser. Interne adresser blir heller ikke sett fra eksterne Internettbrukere.

Domener

Ettersom det er enklere å huske navn enn slike lange talladresser, kan man i de fleste TCP/IP-kommandoer erstatte tallene med et navn. Det er en DNS-prosess (Domain Name Server) som sørger for at tallene blir koblet til riktig domenenavn. Et stort antall DNS-servere over hele verden er organisert i et nettverk, hvor nyregistrerte domenenavn hele tiden utveksles mellom DNS-serverene.

Internett har et hierarkisk system, hvor en typisk adresse kan se slik ut: mango.pcworld.no, hvor no forteller at dette nettverket befinner seg i Norge. Slike navn er standardiserte for Internett. Pcworld er navnet på organisasjonen som har dette domenet, og mango henviser til en gruppe maskiner i organisasjonen pcworld. Stigroar.mango.pcworld.no kan derfor henvise til en brukers maskin under domenet mango.

Klasse	fra	til
A	0.0.0.1	127.255.255.254
B	128.0.0.1	191.255.255.254
C	192.0.0.1	223.255.255.254

Del 8:

Nettverkets stifinnere

Slik virker rutere

Ruterens hovedoppgave er å få informasjonen frem til mottakeren, på tvers av ulike nettverk, men den kan også utføre andre oppgaver, f.eks. opptre som en brannmur. Vi ser nærmere på hvordan ruteren arbeider.

Rutere kan rute datapakker mellom ulike typer nettverk, dvs. finne ruten de bør ta for å komme til målet og sende dem videre. Forutsetningen er at protokollene som benyttes lar seg rute av ruteren. De må altså være det vi kaller rutbare protokoller. Eksempler på rutbare protokollene er IP, IPX, og AppleTalk. DEC, LAT og NetBEUI er eksempler på protokoller som ikke er rutbare (se Nettverksskolen del 6 om protokoller).

Velger vei

Ettersom ruteren tar i bruk lag 3 i OSI-modellen, kan den benytte seg av de logiske adressene på lag 3 (Nettverkslaget). I motsetning til de fysiske adressene (på lag 2) som er brent inn i nettverkskortet av kortprodusenten, kan de logiske adressene konfigureres av en administrator. Rutere bruker slike IP- eller IPX-adresser som sitter i pakkens adressefelt for å finne ut pakkenes destinasjon, og finner dermed ut hva som vil være den beste og kanskje rimeligste veien å sende pakken.

Når to nettverk er koblet sammen ved hjelp av en ruter, slipper ruteren kun gjennom de pakkene som har mottaksadresse på den andre siden. Dette betyr at lokal trafikk på det ene lokalnettet ikke vil påvirke et annet lokalnett. Denne jobben kan også utføres av en bro, så man må selv vurdere hvor intelligent enheten bør være. Broer er mindre intelligente, og har mindre arsenal av funksjoner å skilte med.

Dessverre er det slik at jo mer intelligent en enhet er, jo lenger tid tar selve prosesseringen. En annen ulempe er at installasjon og konfigurasjon av rutere kan være frustrerende komplekst.

Statiske rutere

Vi deler ruterne gjerne inn i de to hovedtypene; statiske og dynamiske rutere. Forskjellen ligger i at statiske rutere krever at administratoren setter opp og konfigurerer ruting-tabellen og definerer hver enkel rute. Denne type rutere er ikke særlig intelligente, og bruker dermed de samme rutene selv om det ikke alltid er like optimalt. Statiske rutere er derimot regnet som mer sikre ettersom man må definere hver rute manuelt.

Dynamiske rutere

Dynamiske rutere finner automatisk andre ruter, og trenger derfor ikke å mates manuelt med all informasjon. Men de må settes opp manuelt første gang. De foretar en vurdering av veivalg før de sender hver pakke, og kan dermed ta hensyn til kostnader og trafikkbelastninger. Ettersom dynamiske rutere er i stand til å bedømme hvilken vei som vil være den raskeste for pakken, er den en av nettverkets mest intelligente enheter. Ruteren lytter på nettverket, og identifiserer hvilke deler som er mest belastet. Dersom en rute er treg, vil ruteren finne en annen utvei å sende dataene dersom det er mulig. Ruteren kan blant annet sammenligne hvor mange hops de forskjellige veiene krever. Hop er den avstanden en pakke må bevege seg mellom ruteren eller andre enheter i nettverket på vei til mottakeren. Men det kan også være antall rutere som pakken må innom før den når målet.

Ruting-tabeller

Når flere dynamiske rutere som binder sammen ulike nettverk skal samarbeide, kreves det at de snakker sammen. Fellesnevneren i dette språket er ruting-tabeller. Dynamiske rutere kan sammenligne lengdene i tabellen og dermed regne ut den optimale ruten for hver pakke.

For å oppdatere ruting-tabllene finnes det to typer ruting-protokoller: Distanse-vektor og link-state, hvor den førstnevnte protokollen utveksler informasjon med de andre ruterne i nettverket helt til alle ruterne er sikre på at naboruteren vet alt om nettverkets topologi. Distanse-vektor bruker Routing Information Protocol (RIP) for å kunne oppdatere ruting-tabellene.

Link-state-algoritmen har mange likhetstrekk med Distanse-vektor, men skiller seg hovedsakelig ut ved at den sender kun informasjon til sine naborutere ved topologiendringer. Dette gir mindre trafikk og belastning av nettverket. Link-state tar i bruk protokollen Open Shortest Path First (OSPF) for å snakke med andre rutere. Dersom du ønsker å se eller redigere ruting-tabellen for nettverket, kan du skrive route print i en DOS-boks. For en beskrivelse av hvordan du benytter deg av programmet kan du skrive route.

Sikkerhet

Rutere kan settes opp slik at de hjelper til å bedrer sikkerheten. Når for eksempel ruteren er koblet til Internett, kan den skjule hele nettverket på innsiden for resten av verden. Dette skjer mens de på innsiden kan se maskinene på utsiden. En god sammenlikning er et vindu som fungerer som speil på den ene siden. Ruteren kan også sperre for visse adresser eller tjenester som de ansatte ikke skal ha tilgang til. Ruterfunksjoner kan også oppnås med programvare som kjøres på en nettverkstjener, men som oftest vil det optimale være maskinvareruting.

Rutere opererer på Nettverkslaget i OSI-modellen, og kan derfor binde sammen ulike nettverk, slik som Ethernet og Token ring.

Del 9:

Setter fart på nettverket

Slik arbeider svitsjer og broer i nettverket

Svitsjer og broer kan bedre ytelsen i nettverket, og gi fleksible, skalerbare løsninger. Vi ser nærmere på hvordan de fungerer og hvordan du bruker de effektivt.

Antall kollisjoner i nettverket stiger som oftest når antall brukere øker. For å redusere en stor del av slike kollisjoner kan man sette inn en bro eller en svitsj for å dele nettverket opp i mindre deler.

Broer

Broene kan dele opp nettverket i to eller flere deler, og slipper kun gjennom de nettverkstrafikk-pakkene som skal på den andre siden. Dersom en PC sender data til en annen PC i det samme segmentet, vil altså den andre siden av broen ikke bli belastet. Dette kan bedre ytelsen sammenliknet med et nettverk uten bro. Og det reduserer sjansen for en såkalt metning i nettverket. Broene opererer på lag 2 (Datalink-laget) i OSI-modellen, og tar utgangspunkt i de innbrente MAC-adressene på PCenes nettverkskort.

Svitjser

En svitsj er egentlig en avansert utgave av en bro. Svitsjer har vært vanligst å finne i stamnett. Men vi vil se langt flere svitsjer også andre steder i nettverkene i tiden som kommer p.g.a. sterkt reduserte priser.

I nettverket finner svitsjen ut hvilket segment den skal sende data til, slik at data ikke strømmer rundt i hele nettverket før den finner mottakeren.

Den kan tilby høyere ytelse en broen, men arbeider på samme lag i OSI-modellen som broen. Den største forskjellen ligger i at svitsjer har flere porter slik at den kan dele opp et nettverk i mange segmenter. Ulempen med svitsjer er at de ikke kan basere sine oppgaver på IP-adresser, fordi de kun opererer på lag 2. Dermed kan svitsjer ikke erstatte rutere hvis man ønsker å koble seg til Internett eller oppnå god sikkerhet, ettersom Internett er basert på IP.

Det er viktig å merke seg at de nettverk som ikke har metningsproblemer kan få en dårligere ytelse ved å innføre svitsjer. Grunnene til det er at svitsjene bruker tid på å prosessere pakkene, og at de kan ha en begrenset størrelse på hurtigbufferen.

Vi deler svitsjing inn i port-svitsjing og segment-svitsjing. Med port-svitsjing mener vi at datamaskiner er koblet rett på en eller flere porter på svitsjen for å oppnå full ytelse. Denne metoden har til nå vært lite brukt p.g.a. sin høye kostnad som oppstår når én maskin legger beslag på én port. Segment-svitsjing kobler som oftest en hub på en eller flere av svitsjens porter, slik at en port opererer et helt segment. Det går også å kombinere disse metodene.

Svitsjene er som oftest enkle å installere, og de er selvlærende. De finner selv Ethernet-adressene i hvert segment, og bygger en tabell som beskriver i hvilket segment de forskjellige adressene befinner seg. Svitsjen lytter alltid på alle sine porter. Når data ska sendes til at annet nettverkssegment, sjekker svitsjen i hvilket segment mottakeradressen befinner seg, og sender så dataene dit.

Det finnes to måter en svitsj kan arbeide på. Den kan benytte seg av den samme teknikken som broer bruker, ved at den først lagrer informasjonen, utfører en feilsjekk, og deretter sender pakken videre. Den andre måten går ut på at svitsjen kun sjekker pakkens mottaker- og sender-adresse for å hurtig sende dataene til mottakeradressen. Dette kan forårsake feil ettersom det ikke blir utført noen feilsjekk, men det sparer samtidig tid. Det finnes også produkter som kombinerer disse metodene ved at feilsjekkingen trer i kraft dersom det oppstår en viss mengde feil i dataene som blir sendt.

I mange store nettverk er det ikke alltid at segmentene har behov for like stor båndbredde. Dessuten kan det være nettverkstjenere med mange brukere som krever stor båndbredde for å unngå flaskehalser. Løsningen er å tildele en eller flere porter på svitsjen med høyere hastigheter. Slike løsninger kaller vi høyhastighetslinker. Slike høyhastighetslinker kan f.eks. ta i bruk Fast Ethernet (100 Mbps), mens de vanlige portene får tildelt 10 Mbps Ethernet. I slike tilfeller er det imidlertid viktig å merke seg at det er nødvendig å mellomlagre, feilsjekke og så sende data videre for å tilpasse de to hastighetene til hverandre. Svitsjer er også et godt alternativ når kun deler av nettverket skal oppgraderes til Fast Ethernet.

I Token Ring-miljøer kan man også tildele slike høyhastighetslinker, og benytte seg av High Speed Token Ring til de som trenger stor båndbredde.

Lag 3-svitsjing

En lag 3-svitsj har muligheten til å bruke IP-adresser for å rute pakker via nettverket. Svitsjen har altså en innebygget ruter-funksjon. Denne type svitsjer skiller seg fra rutere, ved at funksjonaliteten for rutingen sitter i maskinvaren i stedet for i programvaren. Dette gjør svitsjen raskere, men mindre fleksibel enn rutere hvor det meste styres av progamvare.

Lag-3 svitsjer er altså hybride enheter som kombinerer ruterens egenskaper med svitsjens hastighet. De arbeider derfor både på lag 2 og lag 3 i OSI-modellen. I utgangspunktet er svitsjer enklere å konfigurere og sette opp enn rutere, men de mangler da også mange av ruterens funksjoner.

Det er også snakk om lag-4 svitsjing hvor vi finner TCP, men det skal vi ikke komme inn på her.

Hovedoppgaven til svitsjer og broer er å dele nettverk opp i mindre biter slik at data kun sendes til det segmentet hvor mottakeren befinner seg.

Del 10:

Knutepunkt i nettverket

Hub – En vital ingrediens

Hubene er ikke spesielt intelligente, men de har en svært sentral og viktig rolle i nettverk som er basert på stjerne-topologien.

Som vi har sett tidligere i Nettverksskolen, bruker stjerne-topologien en hub som midtpunkt. Alle maskinene i nettverket legger beslag på en port på huben, og teoretisk vil oppbyggingen ligne en sjøstjerne hvor huben befinner seg i midten. Vanlige huber har typisk 4, 8, eller 16 porter, hvor PCer, skrivere, filtjenere og annet utstyr kobles til. Huben fungerer dermed som nettverkets midtpunkt hvor alle signalene må gjennom. Huber blir brukt med Ethernet og parkabel, som er det mest populære i dag. De finnes for 10 Mbps og 100 Mbps, hvor sistnevnte er klart dyrest. 10/100 huber omstiller seg til den hastigheten som nettverkskortene bruker. Vi deler hubene inn i tre kategorier.

Passive huber

Dette er den enkleste form for en hub, som kun tar i mot signaler på én port for deretter å sende dem utover alle portene. De har ingen funksjoner for å hjelpe til dersom det oppstår feil i maskinvaren, og gjør lite for å bedre ytelsen i nettverket. Disse hubene egner seg til små nettverk, og er meget prisgunstige. Passive huber passer best når meldinger og pakker skal distribueres til alle deltakerne i nettverket samtidig.

Aktive huber

Disse hubene gjør alt som de passive hubene gjør, men har flere funksjoner og muligheter. Blant annet kan de se på dataene før de sendes ut. De benytter seg av en "lagre og sende" metode, og fungerer som en multiport repeater. Selv om hubene ikke har mulighet til å gjøre prioriteringer når det gjelder datapakkene, kan de reparere pakker med feil. Dessuten kan de forsterke de signalene som er svekket underveis. Noen kan også varsle om feil når noe ikke virker slik det skal, f.eks. hvis det finnes en dårlig kabel på en av portene. Aktive huber kan synkronisere utvalgte pakker når de blir sendt, og er dyrere enn sine passive søsken. De arbeider på det fysiske laget (lag 1) i OSI-modellen.

Intelligente huber

Til sist har vi intelligente huber som har mulighet til å arbeide på MAC-laget på lag 2 i OSI-modellen. Dette betyr at de kan ta utgangspunkt i de fysiske adressene som vi finner på nettverkskortene. Ved å innføre slike huber i nettverket, kan man sentralisere administrasjonen av nettverket til én plass. Denne type huber har også mulighet til å identifisere problemer på de enhetene som er tilknyttet huben.

Intelligente huber kan ha porter for tilknytning av høyhastighetslinker til stamnettet. Det er som oftest støtte for 10, 16 og 100 Mbps for de som bruker henholdsvis Ethernet, Token Ring og Fast Ethernet. I Token Ring brukes for øvrig betegnelsen MSAU (MultiStation Access Unit) om en hub. Intelligente huber arbeider egentlig på samme måte som en svitsj, ved at den kan levere ulik båndbredde til de forskjellige enhetene som er tilknyttet huben. Vi kaller slike huber for svitsjede huber, og de bestemmer hvilke porter som skal ha hvilke pakker ved å sjekke adressefeltene på alle pakkene. Trafikken reduseres på hver port, og nettverket blir mer effektivt. Den oppfører seg dermed på samme måte som en ren svitsj. I noen tilfeller kan huber også inneholde ruterfunksjoner. En del har også klokke for å synkronisere pakkene.

Koble sammen

Når man skal koble flere huber sammen, må man passe på å bruke en spesiell port til dette. Som oftest er den en knapp bak på huben som forteller hvilken port dette gjelder. Knappen skal trykkes for at det skal være mulig å koble to huber sammen. Ellers fungerer porten som de øvrige portene. I utgangspunktet krysser huben alle signalene slik at man slipper å bruke kryssede kabler. En krysset kabel er en kabel hvor de små ledningene inne i kabelen ligger i ulik rekkefølge i kabelens to ender. For at huber skal snakke sammen, må signalene inne i kabelen mellom hubene være ukrysset. Det som derfor skjer er at man slår av kryssingen på denne spesielle porten, og hubene ser hverandre.

Det er først og fremst når man har gått tom for ledige porter på huben at man pleier å koble til en ny hub. Men det kan også være tilfeller hvor det er behov for å sette en ny hub i et annet rom for å opprette en gruppe datamaskiner der. Sistnevnte tilfelle vil også spare mye kabel, og gjøre arbeidet med senere feilsøking enklere. Istedenfor å trekke kanskje åtte kabler gjennom vegger og tak, slipper man unna med én.

Svitsjet fremtid

Inne i en hub finner vi nesten det samme som i en svitsj. Silisium, kabler og noen kontaktpunkter. I nær fremtid vil vi derfor se at spranget mellom svitsjer og huber blir betydelig mindre når det gjelder pris. Som vi så i forrige nummer, så utfører svitsjer de samme oppgaver som huber, men de har langt flere muligheter. I følge produsentene av slikt utstyr, går vi mot en svitsjet fremtid hvor hubene erstattes av svitsjer.

Del 11:

Nettverk uten tjener

Punkt-til-punkt-nettverk

Mindre nettverk kan klare seg uten nettverkstjener ved å benytte seg av funksjonaliteten som allerede finnes i operativsystemet.

Den enkleste form for nettverk er punkt-til-punkt-nettverk (peer-to-peer), hvor hver maskin kan være både klient og tjener. For nettverk med under ti maskiner som er lokalisert på samme sted, og sikkerheten ikke er en viktig faktor, er punkt-til-punkt-nettverk et enkelt og rimelig valg for å dele filer, lagringsplass, skrivere, mm. Man slipper utgifter til egen nettverkstjener og programvare for administrasjon, så lenge nettverket ikke skal utvides i den nærmeste fremtid.

Operativsystem

For å sette sammen et punkt-til-punkt-nettverk kreves det to eller flere PCer, nettverkskort, kabler og et operativsystem som har den nødvendige funksjonaliteten. Windows NT Workstation, Windows for Workgroups, Windows 95/98 og OS/2 har denne funksjonaliteten innebygget, og man trenger dermed ikke å investere ytterligere for å koble maskinene sammen. For operativsystem uten denne støtten, kan man ta i bruk programvare som NetWare Lite, Personal NetWare eller LANtastic.

Windows 2000 Professional vil, når den kommer, ha ennå bedre støtte for slike nettverk, hvor hver maskin automatisk blir tildelt en IP-adresse. Den første gangen PCen starter og ikke finner en DHCP-tjener, tildeler PCen seg selv en IP-adresse som fra før ikke finnes i nettverket. Deretter bruker den NetBIOS for å finne andre maskiner i nettverket. Når nettverket senere kanskje skal kobles til en DHCP-tjener, vil PCene automatisk omstilles til å ta i bruk denne tjeneren.

Windows 98 Second Edition vil ha støtte for at et slikt punkt-til-punkt-nettverk kan dele Internett-oppkobling (Internet Connection Sharing).

Del ressursene!

Fremgangsmåten i dag under Windows 98 er at man kobler maskinene sammen, for deretter å legge til Klient for Microsoft-nettverk. Dette finner man ved å velge Nettverk i Kontrollpanelet. Hver PC må dessuten få et unikt navn, og de PCer som skal kobles sammen må ha samme navn på arbeidsgruppe. Det siste som gjenstår før maskinene kan dele ressurser, er at hver maskin må dele ut de ressurser som andre skal få tilgang til. Dette gjøres ved å trykke på Deling av filer og skrivere, og så krysse av for ønsket valg. Etter en nødvendig omstart, kan man gå inn på Min datamaskin for å høyreklikke den stasjonen eller katalogen som man skal dele med andre. Velg så Deling, angi et navn og velg om området skal være passordbeskyttet eller ikke. Nå skal den valgte stasjonen eller katalogen være delt. Men husk at også eventuelle underliggende kataloger blir tilgjengelige for de andre medlemmene i arbeidsgruppen. I et punkt-til-punkt -nettverk er det vanlig at én av maskinene er tilkoblet en skriver, som deles av de andre i nettverket. Skriveren kobles opp som vanlig på denne PCen, men "Jeg vil kunne dele skriverne mine med andre" i Nettverk under Kontrollpanel må være krysset av. De andre maskinene må velge å legge til en nettverksskriver når de så skal installere skriveren.

To maskiner

Skal man koble sammen to PCer ved hjelp av Klient for Microsoft-nettverk ved hjelp av tvunnet parkabel (TP), må man bruke en krysset kabel mellom maskinene. Dette er en kabel hvor send- og motta-signalene er byttet om i den ene enden. Som oftest skiller denne type kabel seg ut ved å ha en annen farge enn de "vanlige" nettverkskablene. Er du usikker på om det er en krysset eller ukrysset kabel du har med å gjøre, kan du sjekke rekkefølgen på de forskjellige trådene. Tabellen forteller hvilke tråder som hører hjemme hvor i en slik krysset kabel.

RJ-45 kontakt 1		RJ-45 kontakt 2
Rekkefølge		Rekkefølge
1	<- ->	3
2	<- ->	6
3	<- ->	1
6	<- ->	2

Fordeler og ulemper

Ved at punkt-til-punkt-løsninger finnes innebygget i de vanligste operativsystemene, hjelper det til å holde kostnadene og kompleksiteten nede for små bedrifter. Ved at man i tillegg slipper å investere i en nettverkstjener og administrasjonsprogramvare burde friste mange. Ulempene er at det mangler en sentral administrasjon, liten kontroll på hvor data befinner seg, dårlig sikkerhet og at alle brukerne må ha en viss forståelse for hvordan nettverket fungerer ettersom de skal fungere både som bruker og administrator. Dessuten vil de brukerne som tilbyr filer, harddiskplass, skriver, CD-ROM-stasjoner eller andre ressurser merke store variasjoner i ytelsen på sin PC når andre benytter disse ressursene. Alle vil også være avhengige av at PCene som tilbyr delte ressurser er slått på og fungerer for å kunne brukes. Brukerne vil også oppleve at en utskriftsjobb vil ta lenger tid enn om skriveren hadde vært utstyrt med en innebygget skrivertjener, eller om skriveren hadde vært tilknyttet en dedikert tjener. Det størst problemet med en slik type nettverk oppstår imidlertid dersom nettverket vokser, og administrasjonen blir en fulltidsjobb.

Del 12:

Nettverkstjeneren

Nettverkets sentral

Forrige gang så vi på enkle punkt-til-punkt-nettverk. Denne gang skal vi se på tjenerbaserte nettverk, som er en bedre løsning når antall brukere eller behov øker.

I et punkt-til-punkt-nettverk, som vi så på forrige gang, snakker PCene (klientene) direkte med hverandre og deler ressurser hos hverandre. I et tjenerbasert nettverk har man en egen PC (nettverkstjener) som fungerer som sentral for nettverket. Alle klientene i nettverket forholder seg til denne og deler ressurser via denne.

Når man har alle felles ressurser sentralt via en dedikert maskin gir det større oversikt, pålitelighet, tilgjengelighet og ytelse enn når man sprer det rundt på klientene. Særlig når antall brukere eller avanserte behov øker. En nettverkstjener kan også kjøre sentrale applikasjoner som alle brukerne kan jobbe mot, f.eks. et felles kunderegister.

En slik nettverkstjener kjører normalt et eget nettverksoperativsystem, som har egenskaper spesielt egnet for slike oppgaver. Eksempler på dette er Windows NT Server, Novell NetWare eller Unix.

Brukerkonto

Når brukerne som er tilkoblet et tjenerbasert nettverk starter sine arbeidsmaskiner blir de spurt om brukernavn og passord for å logge seg inn på nettverkstjeneren. På forhånd har nettverkets administrator opprettet en brukerkonto på nettverkstjeneren som definerer hvilke rettigheter hver bruker skal ha. Med rettigheter mener vi her tilgang til bestemte applikasjoner, disker og annet utstyr som er tilkoblet nettverkstjeneren. Dermed er det kun brukere som via administratoren har fått en konto, som kan ta del i nettverket. Sikkerhetsgraden er dermed langt høyere i forhold til et punkt-til-punkt-nettverk. Det er også gode muligheter for å opprette grupper av brukere, hvor hver gruppe eller bruker kan ha forskjellige rettigheter. For eksempel kan en gruppe ha adgang til alle filområdene på nettverkstjeneren, mens en annen kan få adgang til et begrenset område. Brukerne kan også få tildelt private lagringsområder på nettverkstjeneren. Disse områdene vil oppfattes som brukerens harddisk, og kun slippe inn den aktuelle brukeren.

Når en bruker samtidig skal ha tilgang til Internett, kan dette gjøres ved at brukeren automatisk tildeles en IP-adresse ved innlogging. Vi husker at TCP/IP-protokollene må være installert på klientene for at dette skal la seg gjøre. For at klientene skal få tildelt en ny IP-adresse ved hver innlogging, er det nødvendig at det er installert programvare for DHCP på nettverkstjeneren. DHCP (Dynamic Host Configuration Protocol) har et visst antall IP-adresser som er definert av administratoren til rådighet. Når en bruker logger seg av, frigjøres brukerens IP-adresse, og kan brukes av den neste brukeren som logger seg inn.

Fordeler og ulemper

Tjenerbaserte nettverk bør vurderes for nettverk med mer enn fem brukere, litt avhengig av behov. Sikkerheten er bedre ivaretatt fordi man kun trenger å administrere brukernes kontoer på tjeneren, og viktige data som skal deles er samlet sentralt. Dersom brukerne lagrer sine dokumenter på nettverkstjeneren, er det kun her administratoren behøver å foreta sikkerhetskopiering. Økonomisk sett kan en innføring av tjenermaskiner redusere kostnadene ved at arbeidsstasjonene ikke har behov for store harddisker, RAM og prosessorkraft. Dette gjelder spesielt ved bruk av et nettverk hvor det meste av prosesseringen foregår på nettverkstjeneren. Det finnes mange gode administrasjonsverktøy som kan kjøres på nettverkstjeneren for å gi administratoren stor kontroll over alle nettverkets enheter. Slike verktøy kan melde fra før det oppstår en feil og gi god oversikt over nettverket.

Ulempene ved en tjener/klient-løsning er at man må investere i en datamaskin som egner seg som en tjenermaskin. Nettverkstjenere er som oftest en god del dyrere enn arbeidsstasjonene, og man trenger dessuten nettverksoperativsystem og gode enheter for sikkerhetskopiering, samt en avbruddsfri strømforsyning som sørger for batteristrøm til nettverkstjeneren ved brudd på strømnettet. Nettverkstjenere bør generelt være godt utstyrt med datakraft, minne og lagringskapasitet for å kunne betjene klientene raskest mulig. I tillegg bør man ha en eller flere systemadministratorer som kan ta seg av installasjon, drift og vedlikehold. I mange tilfeller vil det lønne seg å satse på flere små nettverkstjenere i forhold til en stor. Dette er fordi at nettverkstjenere kan bli en flaskehals dersom de får for mange samtidige oppgaver å hanskes med. Det er også mulig å koble flere nettverkstjenere sammen, slik at de fordeler oppgavene seg i mellom, og den ene kan overta hvis den andre feiler (cluster, load balancing, failover). Dette gir bedre ytelse og driftssikkerhet.

Nøkkelord for en nettverkstjener er først og fremst god stabilitet og høy ytelse.

Nettverkstjeneren kan blant annet ta imot henvendelser fra klienter og administrere skriverkøer.

Del 13:

Nettverksoperativsystemet

Sjefen i nettverket

Som vi har sett, er nettverkstjeneren sentralen i nettverket, men den er hjelpeløs uten et egnet operativsystem som administrerer nettverket.

Tidlig på 80-tallet vokste behovet for å kunne administrere filer og utskrifter i et nettverk. Og ettersom denne nettverksfunksjonaliteten ikke var tilstede i DOS, startet utviklingen av nettverksoperativsystemene.

Hovedoppgaven til et nettverksoperativsystem (NOS) er å administrere nettverket, samordne ressurser og yte tjenester for nettverkets medlemmer. I et ordinært tjener/klient-nettverk er det et NOS som administrerer inn- og utlogginger av godkjente brukere og angir hvilke rettigheter som hver enkelt bruker skal ha. Vi skiller mellom generelle operativsystem og ekte NOS, sistnevnte kun egner seg til å brukes på en nettverkstjener.

Flere oppgaver

For at brukerne skal slippe lang responstid, tilbyr NOS fleroppgavekjøring (multitasking), dvs. at nettverkstjeneren kan behandle mer enn én oppgave om gangen. Samtidig finnes det funksjoner for flertrådskjøring (multithreading), som innebærer at flere deler (tråder) av et program blir kjørt samtidig. Forutsetningen er at programmet er utviklet slik at trådene kan kjøres samtidig uten å forstyrre hverandre.

Nettverksoperativsystemet åpner også mulighetene for å kjøre felles applikasjoner som f.eks. databaser eller gruppevare (Lotus Notes, Microsoft Exchange eller Novell GroupWise). Vi kaller i slike tilfeller nettverkstjeneren for applikasjonstjener.

Protokoller

For at klientene skal snakke samme språk som nettverksoperativsystemet, må de bruke de samme protokollene. Et NOS håndterer klientenes unike adresser i nettverket og tildeler IP-adresser automatisk til klientene ved hjelp av en DHCP-tjener. Dersom det er flere nettverkstjenere med ulike plattformer i nettverket, kan det være nødvendig å bruke flere typer protokoller på klientene. Dette bør imidlertid unngås dersom det er mulig. I dag bruker de fleste IP som protokoll, men de ulike NOSene har egne protokoller. Novell NetWare har f.eks. IPX/SPX, men har nå også gjort det mulig å benytte seg av IP.

Katalogtjenester er i ferd med å bli en vesentlig del av et moderne NOS. Hensikten er at store mengder opplysninger om alle nettverkets objekter (brukere, ressurser, innstillinger) skal være lett tilgjengelig. Katalogtjenester skal gi en enklere og forbedret administrasjon og felles innlogging til styring av ulike tjenester.

Administrator kan foreta endringer i en brukers rettigheter, og disse endringene spres umiddelbart ut i nettverket. Med en katalogtjeneste kan nettverkets ressurser vises som en hierarkisk trestruktur. For å aksessere katalogtjenesten bruker man bestemte protokollsett som f.eks. LDAP (Lightweight Directory Access Protocol). Katalogtjenester kan i mange tilfeller også brukes på tvers av de ulike operativsystemene. I dag er Novell den ledende leverandøren av katalogtjenester med sin NDS (Novell Directory Services) som finnes for en rekke plattformer. Microsoft presenterer Active Directory i Windows 2000.

Fjernaksess

Et NOS skal også kunne la hjemmekontor koble seg opp til lokalnettverket på arbeidsplassen. Dette kan dette gjøres på to måter. Man kan benytte seg av en VPN-løsning (Virtual Private Network), hvor brukeren kan kobles til bedriftens nettverkstjener via Internett. Ved en slik løsning krypteres informasjonen før den går over Internett, og dekrypteres når den er ankommet destinasjonsstedet. Det er mye som ligger til rette for at L2TP-protokollen (Layer Two Tunneling Protocol) blir den nye standarden for denne type trafikk.

Den andre løsningen er basert på oppringning hvor brukeren må ringe til nettverkstjeneren via et modem eller en ISDN-forbindelse for å logge seg på det interne nettverket. I begge tilfellene får brukeren de samme mulighetene som om han var på arbeidsplassen.

I forbindelse med fjernaksess er det viktig å tette alle hull hvor uvedkommende brukere kan få adgang til nettverket, derfor benyttes det som oftest en brannvegg i samarbeid med slike løsninger.

Sikkerhet og lagring

Lagring og sikkerhetskopiering er en nødvendighet og de nye nettverksoperativsystemene har innebygde funksjoner for lagring. Når Windows 2000 kommer vil vi se integrerte funksjoner for HMS (Hierarchical Storage Management) hvor de minst brukte filene kan lagres på tregere men rimeligere løsninger som f.eks. optiske media og båndstasjoner. Et NOS skal også utføre sikkerhetskopiering til fastsatte tider, gjerne på tider når det er minst trafikk.

NOS har gjerne også funksjoner som gjør det mulig å lastbalansere trafikken mellom flere nettverkstjenere. Og dersom en av nettverkstjenerne feiler, kan trafikken automatisk omdirigeres til en annen nettverkstjener. I mange tilfeller trenger man ekstra lisenser eller spesialversjoner av operativsystemet for å sette opp et slikt system.

Del 14:

Novell NetWare

Vi har tidligere sett generelt på nettverksoperativsystemer og deres funksjon, nå skal vi se konkret nærmere på de viktigste av disse, og starter med pioneren Novell NetWare.

Novell ble grunnlagt i 1983 og er i dag mest kjent for nettverksoperativsystemet NetWare som ble til tidlig i 1983. NetWare var det første ekte filtjenersystemet som var tilgjengelig for PC-nettverk. Det var i utgangspunktet utviklet for Novells proprietære S-Net-filtjenere og nettverkskort. NetWare tok i bruk en proprietær katalog- og filstruktur som var utviklet for en rask filaksess. NetWare har tradisjonelt vært meget effektiv som fil- og skrivertjener, men ikke like godt egnet som applikasjonstjener.

NetWare består av klientprogramvare som kjører på arbeidsstasjoner med Windows NT, 95, 98 eller 3.1, UNIX, OS/2, MAC OS eller DOS, og tjenerbaserte programmer som kjører på en nettverkstjener. NetWare har en helt annen arkitektur og virkemåte enn Windows, og er noe mer komplisert å administrere på grunn av sitt brukergrensesnitt. NetWare har en fast kjerne, men som bare er en del av operativsystemet. Den resterende delen av systemet utgjøres av NLMer (NetWare Loadable Module) -- tilleggsmoduler som kan lastes eller fjernes uten at nettverkstjeneren må tas ned. Dette gjør at NetWare kan tilpasses ulike behov. Før versjon 4 av NetWare var man nødt til å starte DOS-baserte programmer for å administrere NOSet. I dag finner vi alle disse integrert i et felles grensesnitt. NetWare er ment for mellomstore og store nettverk, men Novell tilbyr NetWare for Small Business for mindre nettverk som kan administreres av personer uten stor nettverkserfaring.

Volumer

I motsetning til Windows NT opererer ikke NetWare med partisjoner men med volumer. NetWares viktige systemfiler befinner seg i SYS-volumet som opprettes ved installasjon av NetWare. Skrivemåten for å aksessere katalogene i et volum kan f.eks. være slik: SYS:SYSTEM, hvor SYSTEM er en katalog under SYS-volumet. For at et volum skal bli tilgjengelig for NOSet må det monteres (mount). På denne måten kan man også ha volumer som ikke er tilgjengelige. En montering foregår typisk i filen autoexec.ncf. En MAP-kommando kan videre koble volumet til en bokstav, f.eks. E:. Koblinger og individuelle tilpasninger gjøres via loginskript ved innloggingen av brukerne. Dette er en egenskap fra NDS.

NDS (Novell Directory Services)

Katalogtjenesten NDS er nettverkets gule sider hvor alle opplysninger om nettverkets ressurser finnes. I 1996 skiftet den navn fra NetWare Directory Services til Novell Directory Services etter at den ble løsrevet fra NetWare-produktet for å kunne benyttes også av andre produkter.

NDS består av en global database som inneholder tjenester og ressurser som er tilgjengelig i nettverket. Databasen har en hierarkisk arkitektur og ligger ikke fysisk på en enkelt nettverkstjener.

Fordelene er mange, f.eks. kan brukere klare seg med kun ett passord selv om man skal inn på flere nettverkstjenere eller logge seg inn fra ulike PCer. Ressurser i nettverket, som f.eks. brukere, nettverkstjenere, skrivere, osv. er alle objekter og vises som en hierarkisk katalogstruktur som er enkel å navigere seg i.

Administrasjon av nettverket kan foregå fra ett sted, og det kan være flere administratorer med hvert sitt ansvarsområde. Etter at Novell bestemte seg for å koble katalogtjenesten fra NetWare, har den nå kommet i versjon nummer 8 og tilbys til blant andre Windows NT. Selv om NDS er den klart ledende katalogløsningen, kan det være problematisk å konfigurere, samt at det kan bli for omfattende for mindre nettverk. For å kunne kjøre NDS 8 er det nødvendig å ha NetWare 4 eller 5. Den største nyheten med NDS 8 er skalerbarheten, hvor det ikke lenger er noen begrensninger på antall objekter eller brukere.

NetWare 5

Tidligere har Novell satset på sine IPX/SPX-protokoller som lenge var de dominerende protokollene for LAN. NetWare 5 som kom ut i 1998 er således den første versjonen som fokuserer på ren IP. Men IPX/SPX er på plass for å sikre bakoverkompatibiliteten til de eldre versjonene.

Versjon 5 inkluderer JRE (Java Runtime Environment) for Windows 95 og Windows NT. Dette skal sikre at Java-applikasjoner skal kunne kjøres uten problemer på NetWare 5. I tillegg er det innebygget støtte for CORBA (Common Object Request Broker Architecture) og ORB (Object Request Broker). Kjernen i systemet støtter flerprosessorkjøring, samt at det finnes såkalte neste generasjons filsystem, skrivertjenester og avansert sikkerhet - SAS (Secure Authentication Services) og PKIS (Public Key Infrastructure Services).

Netscapes FastTrack Web-tjener og Web-leser er integrert, og det finnes støtte for LDAP versjon 3.

En WAN Traffic Manager håndterer data som skal ut over WAN-forbindelser og gir en forbedret administrasjon. I NetWare 5 finner vi også tjenester for DHCP og DNS som er tett integrert med katalogtjenesten. Integrert er også IBMs WebSphere og en fembruker versjon av Oracle 8.

Del 15:

Windows NT Server

Windows NT Server er Microsofts nettverksoperativsystem, med brukervennlig grafisk Windows-grensesnitt oppå en langt kraftigere kjerne.

Microsoft Windows NT (New Technology) har en historie som strekker seg tilbake til 1993, og versjon 4.0 ble lansert i august 1996. NT er et rent 32-bits operativsystem som finnes i to versjoner: Windows NT Workstation og Windows NT Server. Workstation-utgaven kan stå for seg selv, være medlem av en arbeidsgruppe eller opptre som en klient av nettverksoperativsystemer som Windows NT Server eller Novell NetWare. Forskjellen på de to versjonene er at Server-versjonen i tillegg er utstyrt med funksjoner som gjør den egnet som et nettverksoperativsystem (NOS). NT støtter både punkt-til-punkt-nettverk og klient-tjener-nettverk. Videre er NT Server også utstyrt med Web-leser og den innebygde Web-tjeneren Internet Information Server.

Arkitekturen

NT 4.0 kan lett forveksles med brukergrensesnittet til Windows 95, men det er stor forskjell på arkitekturen under panseret. NT er fullt 32-bits og med ekte beskyttet fleroppgavekjøring. Systemarkitekturen i NT består grovt sett av Kernel Mode og User Mode. Kernel Mode består igjen av NT Executive, Kernel og HAL (Hardware Abstraction Layer) som alle er ansvarlige for de grunnleggende funksjonene i operativsystemet. NT Executive er det mest omfattende laget i Kernel Mode, og består igjen av flere underlag som har sine spesielle oppgaver som minnehåndtering, sikkerhet og prosesstyring. Kernel arbeider mer mot maskinvaren enn NT Executive, og tar seg blant annet av samkjøringen av flere prosessorer og avbruddssignaler til prosessoren. HAL er en utskiftbar del som er vesentlig når NT skal brukes på ulike prosessor-plattformer. NT Server er utviklet fra bunnen av for å være prosessoruavhengig og lett å flytte til nye arkitekturer.

Kernel Mode er en privilegert modus, dvs. at den kan kjøres over alle andre prosesser og ikke kan kastes ut av minnet. Modusen har også ubegrenset tilgang til minne og maskinvare.

User Mode er uten slike privilegier, og må sende forespørsler til Kernel Mode for å få tillatelse til å bruke maskinressursene. Ettersom vanlige programmer opererer i User Mode, vil dermed ikke hele maskinen gå ned dersom programmene inneholder feil, fordi selve operativsystemet opererer i Kernel Mode.

Filsystem

Windows NT kan bruke filsystemet FAT (File Allocation Table), men får mest utbytte av sitt eget NTFS (NT File System). I motsetning til FAT, så

kan NTFS logge endringer i filsystemet. Det er også innebygde

mekanismer som sjekker at dataene blir skrevet korrekt, og at områdene på harddisken hvor dataene skrives ikke er ødelagt. NTFS har mulighet for tilgangskontroll på filer, disker og kataloger, men mangler krypteringsmuligheter (kommer i Windows 2000 Server). Filsystemet kan komprimere filer, og dette gjøres med en attributt til enkeltfiler eller -kataloger. NTFS byr på en høyere ytelse enn FAT på grunn av at NT prøver å lagre dataene i sammenhengende blokker. Det er mulig å konvertere partisjoner med andre filsystem til NTFS, men motsatt vei er dette umulig. NTFS kan videre ta i bruk lange filnavn, og koble sammen flere harddisker til ett volum. Dette er spesielt nyttig på nettverkstjeneren.

Domener

I nettverk hvor én eller flere nettverkstjenere kjører NT Server, kan nettverket inndeles i domener for å gi en lettere oversikt. Hver NT Server kan settes til å være domenekontroller for sitt domene, og holder styr på en liste over alle brukerne i systemet. Når en arbeidsstasjon starter, kontakter den domenelista på domenekontrolleren. For at administrator skal slippe å lage de samme brukerkontoene på flere domener, er det hensiktsmessig å opprette et tillitsforhold som gjør det mulig å aksessere informasjon også på andre nettverkstjenere. For relativt små nettverk er det mest aktuelt med den såkalte Single Domain Model som inneholder ett domene som kun kan ha én domenekontroller som administrerer alle brukere og grupper. Denne modellen anbefales for nettverk med opptil 15 nettverkstjenere. Dersom det er flere domener, må hvert domene ha et unikt navn.

Protokollene

I Windows NT Server må man ved installeringen ta stilling til om man skal bruke NetBEUI, IPX, SPX eller TCP/IP. Pass på å ikke bruke flere protokoller enn nødvendig, fordi det vil redusere ytelsen. TCP/IP-protokollsettet er det mest fleksible, som også anbefales dersom man skal benytte seg av Internett. Ellers har NT Server også støtte for DHCP, WINS og DNS. NT Server brukte før sine egne protokoller, NetBEUI, men har nå TCP/IP som standard-protokoll.

Windows 2000

Windows 2000 er navnet på etterfølgeren til NT 4.0, og kommer i likhet med NT 4 i versjoner for arbeidsstasjon og nettverkstjenere. Den kanskje viktigste endringene i forhold til NT. 4.0 Server er at domene-begrepet er erstattet av en omfattende katalogtjeneste, Active Directory, som lagrer all informasjon om brukere, passord, enheter osv. – à la Novell NetWares NDS-tjeneste.

Del 16:

Unix

Tidligere har vi sett på Novell NetWare og Windows NT, nå tar vi for oss Unix -- et ekte flerbrukersystem som regnes som stabilt, kraftig og modent.

Unix er et operativsystem som kan kjøres på en rekke ulike maskinvare-plattformer, og var det første operativsystemet som var skrevet i programmeringsspråket C. Unix-nettverk benytter seg i hovedsak av Ethernet, og bruker TCP/IP-protokollsettet.

Unix-miljøet og klient/tjener-modellen var svært viktige elementer i utviklingen av Internett. Mange funksjoner vi finner i dagens Internett er derfor hentet nettopp fra Unix.

Arkitekturen til Unix

Unix består av Kjernen som legges inn i minnet når nettverkstjeneren starter, og blir der helt til maskinen slås av. Oppgaven til Kjernen er å kontrollere alle prosessene som kjører, og administrere bruken av de ledige ressursene.

Utenfor Kjernen finner vi Skallet som startes hver gang en bruker logger seg inn, og avsluttes når brukeren logger seg ut. Skallet er en kommandotolker som leser kommandoene som brukerne skriver. Dersom en kommando er godkjent, blir denne sendt videre inn til Kjernen for å bli utført. Skallet er ikke en standard modul, og ulike brukere kan benytte seg av forskjellig typer skall på det samme systemet. De vanligste skallene er sh, csh, ksh, tcsh og bash. De ulike skallene er også resultater av ulike behov og tilpasninger, og stammer enten fra Bourne-skallet eller C-skallet. For brukerne betyr de ulike skallene ikke mer enn at de må endre litt på skrivemåten for sine kommandoer dersom de velger å skifte skall.

Filsystemet og kommandoer

Unix kan virke som et svært vanskelig system for nybegynnere med sine kryptiske kommandoer og ingen advarsler før man f.eks. sletter en katalog. Kommandoene i Unix skrives i nesten alle tilfeller med små bokstaver, og de er gjerne ikke på mer enn tre bokstaver. Men det er et omfattende system som er veldig fleksibelt når man først klatret opp den høye brukerterskelen. Når Unix er installert, har man tilgang til et mylder av småprogram som hver har sine spesielle oppgaver. Det er mulig å opprette avanserte kommandoer slik at flere program blir kjørt på den samme tiden, og genererer resultater sammen. Det er dette vi i Unix-sammenheng kaller for piping på engelsk. Unix utvikles av flere produsenter, og hvilke programmer man har tilgang til avhenger derfor av hvilken Unix-versjon som blir brukt.

Samtlige filer i Unix-systemet har tilgangsrettigheter for lesing, skriving og kjøring som må settes korrekt for at de autoriserte brukerne skal få adgang. Hver bruker får et privat område på nettverkstjeneren, som i utgangspunktet ingen andre kan aksessere.

I dette systemet heter Administratorer root og har alltid brukernummer 0. Men root er også navnet på toppen i hierarkiet av katalogstrukturen.

X-Windows-systemet

X-Windows-systemet er en standard som hovedsakelig benyttes av Unix, og hvor mange ulike krefter har hatt muligheten til å forbedre dette vindussystemet. Dette er et åpent plattformuavhengig klient/tjener-system for hvordan man administrerer et vindusbasert brukergrensesnitt i et distribuert nettverk. Dermed må X-Windows-systemet være implementert for at man kan få et grafisk brukergrensesnitt i Unix. I et slikt X-Windows-system er klient/tjener-forholdet ikke slik vi er vant med. Det er nødvendig med minimum en tjener-prosess og en klient-prosess i X-Windows. Disse prosessene kan gå på samme maskin, eller de kan gå på ulike maskiner med forskjellige operativsystem. Når brukeren utfører tastetrykk og beveger muspekeren blir denne informasjonen samlet opp og sendt til klient-prosessen av tjener-prosessen. Klient-prosessen prosesserer så brukerens aksjoner på nettverkstjeneren. Tjener-prosessen utfører deretter resultatene på brukerens skjerm. Brukeren benytter seg som oftest av en X-terminal eller en arbeidsstasjon. X-Windows er utviklet av MIT med støtte fra DEC.

Standarder

Unix er utgangspunktet for POSIX (Portable Operating System Interface) som er et sett med standarder for hvordan operativsystemer skal utformes. Dette gjør at de kan kjøres på ulike datasystemer uten å bli omprogrammert. POSIX 1 setter standarden for hvordan C-programmerte applikasjoner skal være, mens POSIX 2 tar for seg grensesnittet mot Skall og verktøy. POSIX 4 er relativt nytt og fokuserer på administrasjon av flertrådskjøring. POSIX er utviklet i regi av IEEE.

Den Unix-klonen som nå inntar deler av PC-markedet er Linux, som i det siste har fått en bred støtte av tradisjonelle program- og maskinvare-produsenter. Linux fåes fra flere distributører, kan kjøres på en rekke ulike prosessorer og bygger også på POSIX. Den første offisielle versjonen av Linux ble lansert i 1991, og utvikles stadig av en mengde entusiaster verden over. Linux er for noen også et alternativ til Microsoft Windows.

Del 17:

LDAP letter katalogtilgangen

Limet mellom klienter og katalogtjenester

LDAP er bindeleddet mellom brukerne og katalogtjenesten, og er en grunnleggende protokollstandard.

Store nettverk har behov for å lagre all informasjon om nettverket under én paraply. En slik katalogtjeneste eller database, inneholder en samlet oversikt over brukere, e-post-adresser, digitale sertifikater, nettverksnavn osv. Katalogtjenester kan aksesseres fra det lokale nettverket og fra Internett.

LDAP (Lightweight Directory Access Protocol) er et protokollsett som klientene bruker for å sende forespørsler eller for å endre katalogtjenestens innhold over en TCP-basert forbindelse. LDAP har fått et sterkt fotfeste og selskaper som f.eks. Netscape, Microsoft, Novell og Cisco baserer mange av sine produkter på denne protokollen. I et TCP/IP-basert nettverk er DNS (Domain Name System) et katalogsystem som forbinder domenenavn til nettverksadresser. LDAP tilbyr tjenester utover dette, og lar brukerne søke etter personer uten å vite hvor de er lokalisert. Dagens Web-lesere benytter seg av LDAP som sin delte adressebok.

Slik ble den til

Universitetet i Michigan tok utgangspunkt i DAP (Directory Access Protocol) som er en av hovedkomponentene i den tunge standarden for katalogtjenester, X.500. DAP passet dårlig til de klientene som fantes, og det har vært få som utviklet klienter og applikasjoner for denne protokollen, dessuten støtter den ikke TCP/IP. Derfor utviklet dette universitetet en lettere og noe amputert versjon som fikk navnet LDAP. Men det er viktig å se at LDAP kun er et protokollsett, og at X.500 er en standardisert katalogstruktur. I utgangspunktet var LDAP et verktøy for å aksessere X.500-kataloger, men LDAP-tjenere har i de senere versjonene fått muligheter til å kommunisere med hverandre, og fungerer også som enkeltstående tjenere. Slapd (stand-alone LDAP daemon) lytter etter LDAP-forbindelser på port nummer 389, og svarer på de forespørslene som den mottar. Slapd kan så bli konfigurert til å tilby replikeringstjenester med hjelp av slurpd (standalone LDAP update replication daemon). En daemon er et program som kjøres kontinuerlig for å plukke opp forventede forespørsler. Daemon-programmet videresender så disse forespørslene til andre egnede programmer eller prosesser. Den nyeste LDAP-versjonen er nå 3.3.

Hierarkisk struktur

LDAPs arkitektur er basert på en hierarkisk struktur hvor vi på toppen finner verden. Første underkatalog er så land, deretter kommer selskaper, organisasjoner eller steder. Lengre ned finner vi så personer og utstyr eller dokumenter. Et eksempel på hvordan en LDAP-opplysning kan se ut er slik: cn=Martinsen Stig-Roar, ou=Redaksjon, o= PC World Norge, c=NO. En attributt trenger ikke å være en tekstlinje, men kan like gjerne være et bilde, et program eller en lydfil. Men en slik blanding vil medføre større kompleksitet.

En LDAP-katalog kan distribueres til mange tjenere, og hver tjener kan ha en replikert versjon av katalogen som blir synkronisert ved bestemte tidsrom. En LDAP-tjener blir kalt en DSA (Directory System Agent), og tar i mot forespørsler, sender dem videre til andre DSAer dersom det er nødvendig, og sørger for at det blir koordinert ett svar til brukeren. Ulempen med LDAP oppstår for dem som har blandede plattform-miljøer, og hvor synkroniseringen må utføres manuelt av administratorer. LDAP mangler ennå gode funksjoner for replikering.

Sikkerhet

Når versjon 3.0 av LDAP ble lansert, var dette med nye funksjoner som fokuserte mer på sikkerhet enn tidligere. Sensitiv brukerinformasjon som passord ble sperret for brukere som sendte forespørsler til katalogtjeneste-tjeneren for å få uautorisert tilgang. SSL (Secure Sockets Layer) er en god krypteringsmåte som sikrer elektronisk handel og andre transaksjoner over HTTP, og som kan kjøres over LDAP. I et slikt tilfelle bruker man TCP-port 636 istedenfor 389.

TLS (Transport Layer Security) er etterkommeren til SSL, og LDAP har en standard måte for klienter å begynne krypteringen ved å ta i bruk TLS. LDAP-kataloger brukes også i større grad til å lagre og aksessere digitale sertifikater.

Katalogtjenester til alt

Om kort tid vil det være behov for økt funksjonalitet som dagens LDAP ikke kan by på. Derfor har Microsoft og Cisco utviklet DEN (Directory Enabled Networks) som nå er en åpen standard som støttes av en rekke selskaper. DEN vil integrere enheter som rutere, svitsjer og VPN-løsninger i katalogtjenesten. Gjennom DEN skal også disse enhetene ta i bruk LDAP for å implementere blant annet autentisering for å oppnå en garantert ende-til-ende kommunikasjon. DEN kan dermed skape økt funksjonalitet, nye tjenester og bedre båndbreddeutnyttelse ved hjelp av LDAP. Microsoft benytter seg av LDAP som sin kjerneprotokoll i applikasjonsgrensesnittet mot sin katalogtjeneste. Dermed kan f.eks. Web-lesere som støtter LDAP hente ut informasjon som er laget i et ADS- (Active Directory Services Interface) katalogtre.

LDAP-protokollsettet gjør det mulig å aksessere kataloginformasjon fra alle datamaskiner som er tilknyttet Internett.

Del 18:

Brannmurer

Sikrer nettverket mot angrep utenfra

Skal det lokale nettverket være best mulig sikret mot hackere og datasnoker er en brannmur en selvfølge.

En brannmur kan implementeres både med maskin- og programbaserte løsninger, eller en kombinasjon av disse. Den er i de fleste tilfeller plassert mellom det lokale nettverket og Internett, og har som oppgave å sperre for visse typer nettverkstrafikk eller aksess mot visse TCP/IP-porter. Den kan for eksempel benyttes til å hindre FTP-aksess inn til nettverket, eller å hindre enkelte IP-adresser eller domener aksess til nettverket. Dermed sikres nettverket mot uvedkommende. For eksempel kan en brannmur benyttes til å kun slippe igjennom e-post og surfing fra innsiden og ut, og kun e-post inn til det lokale nettverket.

Tre hovedtyper

Vi deler brannmurene inn i tre klasser hvor vi finner pakkefiltere, proxyer og SMLI-baserte versjoner.

Pakkefiltrerende brannmurer betegnes som første generasjons brannmurer og det er kun de pakkene som samsvarer med administrators regler og oppsett som slipper gjennom. Slike brannmurer er ofte enkle å implementere, men vanskelige å konfigurere spesielt dersom det er mange regler og brukere man skal ta hensyn til. Pakkefiltrering er som oftest inkludert i TCP/IP-rutere, og en separat brannmur blir derfor overflødig. Ettersom denne type brannmur baserer seg på IP-portnummer kan det være vrient å lage statiske regler med f.eks. protokoller som NFS (Network File System) ettersom de bruker varierende portnumre.

Såkalte Proxy-tjenere regner vi for å være andre generasjon av brannmurer, som gjemmer data og nettverkstjenere for potensielle angripere. En Proxy tar i mot henvendelser, sjekker om den er godkjent, oppretter deretter en forbindelse nummer to til destinasjonen. Dermed er det aldri direkte forbindelse mellom avsender og mottaker. En slik proxy er gjerne plassert mellom nettverksruteren og Internett. Internett ser dermed kun Proxy-adressen. Ulempen er at Proxyer er noe tregere enn det pakkefiltrerende alternativet fordi de må rekonstruere IP-pakkene slik at de når frem til riktig mottaker.

SMLI (Stateful Multi-Layer Inspection) er en teknikk som ble utviklet for at brannmurene skulle bli mer sikre, enklere og rimeligere å ta i bruk uten å trekke ned ytelsen. SMLI analyserer alle lagene i OSI-modellen og bygger på algoritmer som er optimalisert for en stor datagjennomstrømming. Hver pakke blir sjekket og sammenlignet med de fastsatte reglene. Med SMLI kan brannmuren stenge alle TCP-porter og dynamisk åpne porter når forbindelser krever det. Slike brannvegger må imidlertid kombineres med proxyer for å støtte andre viktige funksjoner som f.eks. autentisering. En regel er at jo tryggere og mer omfattende en brannmur er, jo tregere vil den arbeide.

Nøytral sone

En DMZ (demilitarized zone) er en tjener eller et lite nettverk som befinner seg i en lomme mellom LANet og det offentlige nettverket. En slik løsning skal gjøre det umulig for uvedkommende å få en direkte aksess til nettverkstjenere eller klienter i LANet. Brukerne på utsiden kan kun få tilgang til DMZ-tjeneren som i mange tilfeller inneholder bedriftens Web-sider. DMZ er som regel et eget grensesnitt på brannmuren.

Adresseoversetting

Dagens brannmurer tar i bruk NAT (Network Address Translation) for å gjennomføre en automatisk adresseoversetting. Det betyr at hele det indre nettverket skjules bak brannmuren, og de på utsiden vil ikke ha mulighet til å finne de indre adressene. Dermed bør man også bruke IP-adresser innenfor brannmuren som ikke er Internett-godkjente, men som er satt av til dette formålet, og ikke rutes på Internett. Trafikken fra utsiden og inn kan effektiviseres ved at brannmuren har flere Internett-godkjente IP-adresser slik at den skiller på disse når trafikken skal sendes videre. NAT kan bli definert statisk, eller den kan settes opp til å dynamisk oversette fra godkjente adresser og til interne IP-adresser.

Ikke helt sikker

Brannmurer er med på å redusere antall mulige sikkerhetshull radikalt, men den kan også gi falsk trygghet. For selv om brannmuren er på plass, bør den jevnlig, f.eks. kvartalsvis, testes grundig. Det finnes programmer for slik testing, men de bør helst utføres av en tredjepart som ikke er involvert i salget av enheten. Og man bør i minst mulig grad endre brannmurens innstillinger dersom det ikke er helt nødvendig. En liten justering kan åpne veier for inntrengere. En stor del av dagens operative brannmurer er konfigurert feil, og er derfor mer sårbare enn de burde vært. Det er to filosofier når det gjelder brannmurer. Man kan sperre for alt som ikke trenger å komme gjennom, eller man kan kun sperre det man tror er farlig. Og ettersom brannmurer kan settes opp i ulike variasjoner og måter, må man selv velge hvilke tjenester man skal åpne for. Jo flere tjenester som blir åpnet jo mer sårbart blir nettverket. Og ikke la deg falle for fristelsen til å investere i en brannmur som er overlesset med funksjoner og finesser, fordi det vil medføre større risiko. Merk deg også at de fleste angrep faktisk kommer innenfra det lokale nettverket.

Brannmurens oppgave er å sperre uvedkommendes tilgang til lokalnettets ressurser.

Del 19:

Slik virker VPN-løsninger

Ved å erstatte faste leide linjer eller oppringte løsninger med VPN (virtuelle private nettverk) som tar i bruk Internett, kan man spare store kostnader og få økt fleksibilitet.

Enten man befinner seg hjemme eller er ute å reiser kan man ved hjelp av en VPN-forbindelse få full tilgang til bedriftens lokalnett. Ansatte kobler seg først til Internett, og deretter opprettes en forbindelse til bedriftens VPN-tjener som sørger for kommunikasjonen til det lokale nettverket.
Vi deler VPN inn i de to hovedtypene klient-til-LAN og LAN-til-LAN. VPN administreres som private nettverk, men går i svært mange tilfeller over sikre kanaler på Internett, men ettersom det er Internett som benyttes som bærebjelke er det ingen garanti for stabilitet når det gjelder båndbredden.

Mange ser på VPN som en mulighet for å vinne tilbake kontrollen over kostnadene som er forbundet med infrastruktur og bruk.

Sikkerhet er viktig

Forutsetningen for at selskaper vil ta i bruk VPN-løsninger er at sikkerheten er godt nok ivaretatt. Som oftest er det Internett som er det viktige mellomleddet for slike forbindelser, og Internett i seg selv er langt i fra sikkert. Derfor er det nødvendig at trafikken som går gjennom en VPN-løsning ikke er tilgjengelig for andre. Trafikken kan gå gjennom en tunnel som er en egen kanal hvor dataene er kryptert hele veien fra sender til mottaker. Dataene er dermed utilgjengelige for dem som ikke har tilgang til dekrypteringsmekanismene. Men ettersom sikkerheten må ivaretas ende-til-ende, må det finnes VPN-støtte i alt fra operativsystem til rutere og brannmurer. VPN-forbindelser mellom to LAN er alltid koblet opp, og de statiske tunneler vil dermed legge beslag på båndbredde også når de ikke er i bruk.

Kryptering

Ved kryptering tar man i bruk såkalte nøkler, som er en variabel verdi som opprettes ved hjelp av en algoritme. Jo lengre en slik nøkkel er, jo vanskeligere vil det være å dekryptere den for uvedkommende. Når for eksempel to bedrifter skal kommunisere over en VPN-forbindelse, må de bruke den samme krypteringsalgoritmen og den samme nøkkellengden. Dette betjenes av en SA (Security Association). Vi deler krypteringsmetodene inn i to modeller. Private eller symmetriske nøkler bruker den samme nøkkelen for både kryptering og dekryptering. Symmetrisk kryptering er en rask og effektiv teknologi og de vanligste krypteringsalgoritmene i VPN-sammenheng er i dag RC-4, DES, Triple-DES og FWZ-1. Ulempen med denne teknologien er at den hemmelige nøkkelen lett kan misbrukes dersom en datasnok først får tak i den. Det er derfor viktig å ha mekanismer som skifter nøkler ofte. Man kan velge å endre nøklene manuelt, eller man benytter seg av IKE (Internet Key Exchange).

Offentlige (public key) eller asymmetriske nøkler tar i bruk et par matematiske relaterte nøkler hvor en privat nøkkel blir holdt hemmelig, mens en offentlig nøkkel kan vises til alle. De to mest brukte systemene for offentlige nøkler er i dag DH (Diffie-Hellman) og RSA (Rivest Shamir Adlemen). Systemet for å bruke offentlige nøkler er også kjent som en del av PKI (Public Key Infrastructure). For at større nettverk med mye trafikk skal kunne behandle krypteringer raskt, tilbys det akselerasjonskort som utfører krypteringen i maskinvaren. Dette avlaster prosessoren og utfører dessuten krypteringen og dekrypteringen raskere.

Protokollene

I VPN-sammenheng er det hovedsakelig tre protokoller, som hver tilbyr ulike grader av sikkerhet. Disse er IPSec, PPTP og L2TP. Det er IPSec i samarbeid med L2TP som ser ut til å være de dominerende protokollene, men PPTP med RC4-kryptering er også utbredt ettersom Microsoft satser på dette. IPSec (Internet Protocol Security) tilbyr to sikkerhetsvalg hvor AH (Authentication Header) krever autentisering, og ESP (Encpsulating Security Protocol) som støtter både autentisering og kryptering. Det er i VPN-sammenheng to typer autentisering. Bruker-autentisering er prosessen som verifiserer at senderen faktisk er den han utgir seg for å være, mens data-autentisering sjekker at innholdet er slik det originalt var sendt.

IPSec er i utgangspunktet laget for IPv6, men som en følge av IPv6 sin trege utbredelse er den også modifisert for IPv4, som brukes i dag. IPSec tillater også adresseskjuling uten NAT (Network Address Translation). IPSec oppretter krypterte tunneler mellom to gatewayer, og en datasnok kan forstå pakkene som lager tunnelen men ikke innholdet i pakkene.

L2TP er en kombinasjon og videreutvikling av PPTP (Point-to-Point Tunneling Protocol) fra Microsoft og Ciscos L2F (Layer 2 Forwarding). L2TP utfører ikke kryptering på egenhånd, og benytter seg av IPSec for denne tjenesten.

Ellers er en kombinasjon av SOCKS og SSL (Secure Sockets Layer) et mulig alternativ for opprettelse av VPN, men mangler en bredere støtte i markedet.

IKE er utviklet for å hjelpe de kommuniserende partene med å bli enige om hvilke protokoller, algoritmer og nøkler som skal brukes. Man sjekker også at man kommuniserer med riktig person, og at skifting av nøkler skjer på en forsvarsmessig måte.

Fire metoder

Det er fire måter å sende data i en VPN-forbindelse. Hvilke deler av meldingen som blir kryptert avhenger av hvilken metode man velger. In Place Transmission Mode krypterer kun dataene, og pakkestørrelsen påvirkes ikke. I Transport Mode krypteres også kun dataene, men her vokser pakkestørrelsen og man tar i bruk IPSec. I Encrypted Tunnel Mode vil pakkens IP-informasjon og dataene krypteres med en ny IP-adresse, og det er IPSec som benyttes. Non-Encrypted Tunnel Mode krypterer ingenting og transporterer dermed dataene helt åpent, noe som ikke anbefales i usikre omgivelser.

En VPN-forbindelse kan se slik ut når man tar i bruk kryptering. Både data og sender/mottaker kan krypteres og sendes over Internett gjennom en tunnel.

Del 20:

Administrasjon av nettverket

Nettverksadministrasjon gjør at system- og nettverksadministratorer kan kontrollere og overvåke hele nettverket fra én enkelt maskin.

Verktøy for administrasjon av nettverk er til for å hjelpe administratorer med å forstå og drifte omfattende nettverk. Det finnes en rekke slike systemer, men de har alle de samme kjerneområdene uavhengig av størrelse, form eller produsent. Noen av de mest kjente administrasjonsprogrammene for LAN er HP OpenView ManageX, Intel LANDesk, Network Associates ZAC Suite, Microsoft Systems Management Suite (SMS), Novell ManageWise og Seagate Desktop Management Suite.

Fem kategorier

ISO (International Organization for Standardization ) deler de ulike kjerneområdene inn i fem kategorier. Disse inkluderer feiladministrasjon, kostnadsadministrasjon, konfigurasjonsadministrasjon, ytelsesadministrasjon og sikkerhetsadministrasjon. Vi tar her for oss de ulike kategoriene selv om de til tider overlapper hverandre.

Feiladministrasjon

Fordi at feil kan forårsake nedetid og en uakseptabel nettverksytelse, er feiladministrasjon en av de viktigste elementene for at nettverket skal kunne kjøre effektivt. Det er tre skritt for å håndtere systemfeil i nettverket. Først finner man ut at det er oppstått en feil, deretter isolerer man problemet til den aktuelle komponenten. Til sist må man rette opp feilen. Verktøy for feiladministrasjon inneholder derfor gjerne metoder for å håndtere feilmeldinger, og prosedyrer for å teste nettverkets ulike komponenter. For mange administratorer er nettverksadministrasjon synonymt med feiladministrasjon.

Kostnadsadministrasjon

For at bedrifter skal kunne finne ut hvordan de bruker sine ressurser i nettverket, kan man ta i bruk verktøy for kostnadsadministrasjon. Slike verktøy inneholder mekanismer for å identifisere kostnader, og for å informere brukerne om hvilke kostnader som er inntruffet. Men man kan også finne ut om kostnadene står i står i stil med den ytelsen man oppnår. Dette er også en god måte for å se på metoder for å senke kostnader, og finne ledd som koster for mye.

Konfigurasjonsadministrasjon

Denne kategorien tar blant annet for seg innhentinger og sjekking av antall programvarelisenser på de ulike maskinene i nettverket. Men kan også lagre informasjon om hvor utstyr er innkjøpt, og bruke verktøy for å distribuere ny programvare. Når endringer i et produkt er gjort, er det veldig viktig å ha et system som lagrer disse endringene. Når så spørsmål om det aktuelle produktet kommer, er det for eksempel enkelt å bestille nye deler fordi man sitter på oppdatert informasjon. Jo oftere man foretar endringer i maskinparken, jo større behov er det for konfigurasjonsadministrasjon.

Ytelsesadministrasjon

Ytelsesadministrasjon og feiladministrasjon er av og til vanskelig å skille ettersom høy ytelse ofte er en følge av lite feil. Men ytelsesadministrasjon er også ansvarlig for å opprette statistikker for nettverket, vedlikeholde og analysere logger for systemet og optimalisere flaskehalser. Dessuten er denne kategorien proaktiv i forhold til feiladministrasjon som er reaktiv. Mekanismer samler inn data fra nettverket slik at man kan forutse hvordan tilstanden vil være i morgen. Dermed kan man luke ut feil før de faktisk inntreffer, og brukerne vil ikke merke noen endring.
Kunsten å unngå nettverksproblemer før de inntreffer er å ta i bruk ytelsesadministrasjon, som også er grunnen til at man har såkalte intelligente nettverk. Slike nettverk har evnen til å forutse fremtidige hendelser, og lærer kontinuerlig mer om nettverket ettersom tiden går.

Sikkerhetsadministrasjon

Sikkerhetsadministrasjon er en tjeneste for å administrere hele sikkerhetsaspektet for bedriften. Med alle truslene som virus, ormer og hackere har sikkerhet blitt en egen stor industri, og noe enhver bedrift bør ta på alvor. Muligheten for å opprette, slette og kontrollere sikkerhetstjenester, distribuere sikkerhetsrelatert informasjon eller å rapportere sikkerhetsrelaterte hendelser hører hjemme i denne kategorien. Men kategorien omfatter også brukertilgang, tyveri, overvåking og generering av rapporter og alarmer ved brudd på sikkerhetsreglene. Et system for sikkerhet skal også kontinuerlig prøve å begrense sikkerhetsrisikoen.

Standardene

I dag finnes det kun noen få standarder innen administrasjonsprotokoller. CMIP (Common Management Information Protocol), CMOL (CMIP over LLC) og CMOT (CMIP over TCP/IP) har vært under utvikling i mange år, men aldri fått godt nok fotfeste selv om den har fått støtte fra organisasjoner som ISO og IEEE. Den tilbyr den mest omfattende funksjonaliteten, men det er også dens store ulempe. CMIP legger beslag på så store systemressurser at det er kun et fåtall nettverk som ville takle en implementering uten å foreta store utskiftninger.
Et annet problem med CMIP er at den er vanskelig å programmere fordi det kreves så mange ulike variabler.
For at man skal kunne sjekke tilstanden til nettverkets ulike ingredienser er det også nødvendig at de aktuelle enhetene støtter de protokollene som benyttes. Prinsippet går ut på at en sentralisert nettverkstjener sender forespørsler til nodene i nettverket, som deretter returnerer tilstandsrapporter. CMIP støtter i alt 11 slike forespørselsmetoder, noe som er dobbelt så mange i forhold til den konkurrerende protokollen.
Den mest populære protokollen som benyttes i dag er imidlertid SNMP (Simple Network Management Protocol), men den ser vi nærmere på i neste utgave.

OSI har delt administrasjonen av nettverk inn i kategorier for feil, kostnader, konfigurasjon, ytelse og sikkerhet.

Del 21:

Nettverksadministrasjon 2

Administrasjonsverktøy for nettverk er et viktig element for å oppnå høyere oppetid. Vi ser her nærmere på SNMP (Simple Network Management Protocol), som er den mest populære administrasjonsprotokollen.

SNMP er den dominerende standarden fra IETF når det gjelder utveksling av informasjon som benyttes til administrasjon. SNMP har vært tilstede siden 80-tallet, og versjon 1 har stor utbredelse i dag. Standarden finnes nå i versjon 3, hvor sikkerhet endelig har blitt en integrert del. Det er stor grunn til å tro at SNMP vil være med oss i mange år fremover. SNMP-protokollen brukes til å sjekke tilstanden til alle nettverkets objekter (datamaskiner, rutere, svitsjer, skrivere osv.), og kan dessuten varsle når noe galt ser ut til å kunne inntreffe.

Ofte er det hensiktsmessig å kunne drifte nettverket selv om man er lokalisert et annet sted enn der nettverket befinner seg. Driftsinformasjonen blir i slike tilfeller oversendt med hjelp av SNMP. For større bedrifter med mange avdelinger kan en slik fjerndrift være et godt egnet alternativ.

Sentralisert styring

Ved bruk av SNMP benytter man seg av en NMS (Network Management Station) – en og dedikert maskin som sørger for å samle inn viktig informasjon fra nettverket. Informasjonen som hentes inn inneholder en mengde objekter. Alle disse objektene betegnes som MIB (Management Information Base). En MIB har en hierarkisk oppbygd trestruktur, hvor toppen av treet inneholder den mest generelle informasjonen om nettverket. Hver enkelt gren blir mer detaljert og tar for seg spesielle nettverksområder. Blader på grenene er dermed så spesifikke som en MIB kan bli. Alle MIB-objekter har et globalt unikt ID-nummer som passer inn i den hierarkiske strukturen. En NMS henter all sin informasjon om nettverket fra agenter.

Agenter

En SNMP-agent er et stykke programvare som finnes på nodene i nettverket, og som er ansvarlig for å gi NMS-maskinen tilstandsrapporter når den blir spurt om dette. En agent kan operere på to måter. Den kan svare fra forespørsler fra en NMS, eller den kan selv generere meldinger dersom det oppstår en feil. Slike meldinger kan settes opp til å sendes når det oppstår en komponent-feil eller visse grenseverdier er oversteget. En SNMP-agent kan også betjene flere NMS-maskiner, og NMS-maskiner kan snakke sammen.

Det er ikke alle enheter som støtter SNMP direkte, men noen programmer kan likevel sjekke deres tilstedeværelse og finne så mye informasjon som mulig fra DNS (Domain Name Server).

Protokollene

SNMP befinner seg på Applikasjonslaget (lag-7) i OSI-modellen og bruker UDP (User Datagram Protocol) som også er en standardprotokoll for Internett. UDP bruker IP for å flytte informasjon fra en maskin til en annen. Men UDP kan ikke dele pakkene opp i biter for deretter å sette dem sammen i riktig rekkefølge på samme måte som TCP klarer. SNMP benytter seg av UDP for å spare prosesseringstid, og fordi det som oftest er kun små mengder informasjon som skal utveksles i hvert enkelt tilfelle. I OSI-modellen er UDP plassert på Transportlaget (lag 4).

SNMP-informasjonen består to deler; hodet og en PDU (Protocol Data Unit). De opprinnelige PDUene var Get som henter informasjon fra en agent, Get-next henter så neste objekt på listen, Set skriver objekt i en agent, Trap beskriver hendelsen når agenten spontant sender en beskjed til NMS-maskinen. I SNMPv2 ble det i tillegg lagt til Inform som sender informasjon mellom to NMS-maskiner, og Get-bulk for å sende store mengder data.

Ulemper og fordeler

Den største fordelen med SNMP er at den har er enkel og lett å implementere i nettverket. Det tar ikke lang tid å sette opp, og det gir samtidig lite ytelsestap i nettverket. Dessuten er det lett å programmere de variablene man vil overvåke. En annen fordel er at SNMP er svært utbredt i dag, og at så godt som alle produsenter bygger SNMP-støtte inn i sine nettverksprodukter. Ettersom den også har en enkel struktur, vil den være lett å oppgradere for fremtidens behov.

Men SNMP har også sine feil og mangler. Man har slitt med dårlig sikkerhet som kan gi datasnoker en enkel tilgang til å overvåke de samme enhetene som bedriften gjør. Det betyr at det er forholdsvis enkelt å finne en åpen vei videre i nettverket, eller å få tilgang til data som sendes. I versjon 3 finner vi blant annet autentisering og en nøkkelbasert kryptering som gir forbedret sikkerhet. All informasjon som befinner seg på de ulike enhetene i nettverket blir kryptert. Dermed vil resten av nettverket være sikkert selv om en datasnok kommer seg inn i en enkelt enhet. SNMPv3 kan motta og forstå data fra eksisterende SNMPv1. SNMPv2 fra 1994 var tilnærmet mislykket med tanke på sikkerheten som kun bestod av passord som lett kunne hackes.

SNMP var i utgangspunktet heller ikke beregnet for å lede nettverksadministrasjon i slike nettverk man opererer med i dag. Den var heller en nødløsning i påvente av noe nytt som aldri dukket opp. I den senere tid har IETF utviklet en ny MIB som fikk navnet RMON (Remote Monitoring) for å tildele hver enkel enhet mer intelligens. I dag finnes RMON2 som kan overvåke trafikken på en ende-til-ende basis. Dermed kan RMON2 også plasseres mer selektivt i nettverket. I motsetning til den første utgaven av RMON som opererte på lag 2 i OSI-modellen, kan RMON2 se inn i lagene 3 til 7. RMON2 lar oss overvåke applikasjoner og nettverkskort, og det blir dermed mye enklere å luke ut eventuelle flaskehalser som måtte finnes i systemet.

Neste gang ser vi nærmere på DMTF-standardene for nettverksadministrasjon.

Slik foregår forespørsler og svar i et SNMP-basert nettverk.

Del 22:

Administrasjon 3

Vi har til nå sett på ulike typer og standarder for administrasjon av nettverk. Denne gang går vi videre med standardene for nettverksadministrasjon som er utarbeidet av DMTF (Distributed Management Task Force).

DMTF er en industriorganisasjon som ble grunnlagt i 1992, og som i dag ledes av Cisco, Compaq, Dell, Hewlett-Packard, IBM, Intel, Microsoft, NEC, Novell, SCO, Sun og Symantec. Målet til DMTF er å gjøre administrasjonen av PCer så enkel som mulig. Forkortelsen DMTF sto i sin tid for Desktop Management Task Force, men etterhvert som det kom flere nye standardiseringsinitiativer fra DMTF, som CIM, WBEM og DEN, endret man navn til Distributed Management Task Force. Den viktigste og mest utbredte standarden vi har fra denne organisasjonen i dag er DMI.

DMI

DMI (Desktop Management Interface) er en standard for å beskrive og aksessere informasjon om alle typer PCer og PC-komponenter. Dermed kan administratorer og enkeltbrukere få informasjon om blant annet prosessortype, installasjonsdato og tilkoblede skrivere. I alt er DMI kapabel til å beskrive mer enn 80 000 PC-produkter. Den første DMI-spesifikasjonen (DMI 1.0) ble levert av DMTF i 1994, og kunne da samle informasjon fra en enkeltstående PC. DMI 2.0 var så klar i 1996, og kunne tilby fjerntilgang slik at administrator fikk tilgang til alle PCene i nettverket fra ett enkelt sted. For mens SNMP, som vi så på i forrige utgave, brukes i nettverksutstyr som huber, svitsjer og rutere, brukes DMI i klienter og nettverkstjenere. I dag er DMI godt utbredt.

Fire komponenter

DMI-standarden består av fire hoveddeler. Dette er MIF (Management Information Format), en tekstfil som inneholder informasjon om maskin- og programvaren som benyttes på en PC. Denne filen beskriver hver enkelt komponent. Som standard inneholder hver MIF en ID-gruppe som består av produktnavn, versjon, serienummer og tid og dato for den siste installasjonen. ID-nummeret kan fortelle når komponenten var installert i forhold til andre komponenter.

DMI består også av et Servicelag, en kode som befinner seg resident i minnet, og lar egnet programvare få tilgang til MIF-filer i MIF-databasen. Dette laget ligger over operativsystemet, og er en delt ressurs for alle programmene. Ettersom koden er laget for å kjøre hele tiden, er den utviklet for å bruke lite minne. Her krever SNMP betydelig mer ressurser, og egner seg derfor ikke så godt på klienter.

Den tredje delen er CI (Component Interface) som er en API (Application Program Interface) som sender statusinformasjon til MIF-filen ved hjelp av Servicelaget. Kommandoene som brukes her er Get og Send som modifiserer MIF når det er nødvendig. Men den bruker også Event-kommandoen som forteller administrasjonsprogrammet om eventuelle kritiske hendelser.

Til slutt har vi MI (Management Interface), en administrasjonsprogramvare som kommuniserer med Servicelaget. MI gjør at administrator kan kjøre kommandoene Get, Set og List, hvor sistnevnte lister opp alle enheter som kan administreres med DMI.

For å bruke DMI må man ha en DMI-basert administrasjonsprogramvare og en DMI-basert PC. PCen må inneholde CI, MI og Servicelaget. Disse driverne kan lastes ned fra Internett. DMTF har senere også utviklet andre standarder.

WBEM

WBEM står for Web-Based Enterprise Management og definerer hvordan man via Web-tjenere/lesere kan administrere forskjellige objekter/komponenter i et nettverk. At man gjør dette via Web-standarder, medfører at man slipper koblingen til OS-plattformer og spesifikke administrasjonsprogrammer på klientsiden. Dermed er det mulig å administrere nettverk og systemer gjennom en ordinær Web-leser, gitt at man har de nødvendige rettigheter. WBEM inkluderer CIM som sin datadefinisjon, XML som format og HTTP som sin tilgangsmekanisme.

CIM

CIM står for Common Information Model, og er et felles beskrivelsesspråk/format for objekter i et nettverk, og inngår som en del av WBEM. CIM-modellen støtter fysiske og logiske presentasjoner av nettverkskomponenter som PCer, skrivere, applikasjoner, topologier og komponenter som vifter og strømforsyninger. CIM skal nå etter hvert ligge i bunn på alle standarder fra DMTF. DMTF har senere oppgradert CIM til å kunne vise frem sine opplysninger ved hjelp av Web-teknologien XML (Extensible Markup Language). En av CIMs fordeler er at den er i stand til definere hvilke relasjoner de ulike komponentene til hverandre. En CIM-database kan også inneholde informasjon om nettverket som er samlet inn ved hjelp av SNMP, på samme måte som fra DMI. Selv om CIM i dag har begrenset utbredelse, er det ventet at det blir mer utbredt ettersom det nå støttes av Windows 2000.

DEN

DEN står for Directory Enabled Networking. Katalogtjenester har allerede i mange år kunnet administrere brukere, PCer, tjenere, skrivere, brukere etc., men ikke selve nettverksinfrastrukturen. Med DEN får man også foldet nettverkskomponenter som svitsjer, rutere, aksess-tjenere etc. inn i katalogtjenesten. Dermed kan man sette såkalte "policies" (sett med regler) for individuelle brukere eller grupper av brukere, som i tillegg til de policies man er vant med i katalogtjenester, også bruker funksjonalitet i infrastrukturen. Dermed kan man påvirke båndbredde, forsinkelser og sikkerhet i form av VPNer etc.

Del 23:

Nettverkslagring

Lagringsbehovet i nettverkene øker drastisk år for år, samtidig som båndbreddebehovet også vokser. For at nok data skal kunne lagres uten å trekke ytelsen ned i nettverket, er det blitt mer og mer vanlig med såkalte NAS- og SAN-løsninger. Her beskriver vi de to lagringsmetodene.

Med datavarehus, multimediafiler og Internett antyder enkelte analyseselskaper en lagringseksplosjon hvor verdens lagringsbehov vil tidobles i løpet av de neste to årene, og at lagring vil utgjøre opptil 50 prosent av IT-budsjettet. Og ikke nok med at kapasiteten må økes, men tilgangen til de lagrede dataene må også kunne hentes frem lynraskt. Dessuten må det være enkelt å tilføre nettverket mer kapasitet på kort tid. De to populære teknologiene for å tilfredstille disse kravene er NAS (Network Attached Storage) og SAN (Storage Area Network).

NAS-teknologien

For de noe mindre nettverkene og arbeidsgrupper er NAS en god lagringsløsnig, selv om teknologien er fra midten av 80-tallet. Løsningen er en eller flere filtjenere som kun er myntet på lagringstjenester, og som er koblet til nettverket med Ethernet eller FDDI (Fiber Distributed-Data Interface). Lagringsenhetene er gjerne tilknyttet tjeneren med SCSI-grensesnittet for å tilby tilfredsstillende ytelse. Slike lagringstjenere er tilknyttet nettverket på samme måte som andre PCer, skrivere eller annet utstyr og bruker også de samme protokollene som for eksempel TCP/IP. Tilkoblingen skjer via en svitsj eller en hub, og lagringsprosedyrene belaster derfor ikke nettverkstjeneren. Ulempen med NAS i større nettverk er at hver lagringstjener må administreres hver for seg, noe som kan gi administrator mye arbeid. Men det er også begrensninger i kapasitet og ytelse. Båndbredden i nettverket bør minst være 100 Mbps for å gi tilfredsstillende ytelse.

I den siste tiden har det også dukket opp enkle tynne NAS-tjenere som kobles rett på nettverket og inneholder en rekke harddisker. Harddiskene settes gjerne opp med RAID, og de tynne tjenerne klarer seg uten eget operativsystem. Tilkoblingen til nettverket skjer på samme måte som for eksempel en nettverksskriver. Dessuten kan man gjerne koble på en båndstasjon for sikkerhetskopiering, og man bør tenke på en avbruddsfri strømforsyning (UPS) på samme måte som med nettverkstjeneren. Et NAS-basert nettverk kan også kombineres med et SAN.

SNIA (Storage Networking Industri Association) er en organisasjon som i dag utvikler standarder for NAS. Blant organisasjonens oppgaver er å definere CIFS (Common Internet File System) som i utgangspunktet er utviklet av Microsoft. CIFS gjør at klientene kan åpne, lukke, dele og låse filer. CIFS-protokollen skal legges frem for Internet Engineering Task Force senere.

SAN-teknologien

Et SAN-basert lagringsnettverk er egentlig et eget nettverk inne i nettverket, som ble innført så sent som i slutten av 90-tallet. Dermed blir LANet ikke belastet når SANet utfører interne overføringer eller når det blir utført store sikkerhetskopieringer. En fordel med SAN er at det enklere kan administreres ved hjelp av administrasjonsprogramvare. Denne programvaren letter også arbeidet med å utføre viktige sikkerhetskopieringer. SAN fjerner lagringsaktiviteten fra det ordinære datanettverket, og frigjør dermed mye båndbredde for prosessering av programvare. Det gir nesten ubegrenset langringskapasitet i en felles administrert enhet.

Ulempen med et SAN er at det er en dyr løsning, og at det er såpass nytt at det spiller dårlig på lag med andre typer løsninger som finnes i nettverket. Behovet for en SAN-standard som de største produsentene enes om er derfor stort. Dessuten er et slikt system langt mer komplisert å implementere enn NAS.

For å standardisere grensesnittet for SAN, har Compaq, Intel og Microsoft utviklet VIA (Virtual Interface Architecture). I tillegg til de tre produsentene av denne arkitekturen er det over hundre andre leverandører. VIA er egentlig en industristandard arkitektur for kommunikasjon innen klynger av tjenere og klienter.

Det er vanlig at SAN er basert på Fibre Channel hvor man bruker optiske fibre som medium for å oppnå høy nok hastighet. Hastigheten kan komme opp i 1 Gbps ved bruk av single mode fiber som bruker en langbølget laserlyskilde. Men FC kan også brukes med koaksialkabel eller tvunnet parkabel. Fibre Channel er tre ganger raskere enn SCSI (Small Computer System Interface), og er dessuten langt mer fleksibel når det gjelder lengde. Enhetene kan med Fibre Channel og optisk fiber være opptil ti kilometer fra hverandre.

Til et SAN-system kan det også tilkobles system for arkivering eller sikkerhetskopiering. Dette er gjerne bygget på HSM (Hierarchical Storage Management) som automatisk kan flytte data til rimeligere medier som båndstasjoner. Administrator kan sette grenseverdier for når data skal flyttes for å frigjøre harddiskplass. Det er de dataene som blir brukt mest sjelden som flyttes til tregere men rimeligere lagringsalternativer.

I et NAS foregår lagringen på denne måten. Lagringsløsningen hektes direkte på nettverket i motsetning til et SAN som er et eget lagringsnettverk inne i det ordinære LANet.

Del 24:

Trådløst Internett

WAP - Wireless Application Protocol

Når man vil ha tilgang til Internett-baserte løsninger på sine små mobile og trådløse enheter, er det i dag WAP som er det beste alternativet. Vi ser nærmere på dette protokollsettet.

WAP (Wireless Application Protocol) er en sammensmelting av tre teknologier fra like mange produsenter. Istedenfor å ha tre konkurrerende metoder, ble Ericssons ITTP (Intelligent Terminal Transfer Protocol), Unwired Planets HDML (Handheld Device Transport Protocol) og Nokias TTML (Tagged Text Markup Language) slått sammen til en standard som fikk navnet WAP. De tre selskapene fikk også med seg Motorola, og sammen dannet de WAP Forum i 1997. Først kom WAP-versjon 1.0 som ble lite utbredt. I juni 1999 kom så versjon 1.1 som ikke er bakoverkompatibel, men som er den versjonen vi bruker i dag. I versjon 1.2 vil det blant annet komme styrket sikkerhetsfunksjoner og push-teknologi.

WAP-tjeneren

I dagens Internett-samfunn er vi kjent med Web-tjenere som sørger for at klientene mottar informasjonen. For at mobile trådløse enheter skal kunne få tilgang til tilpassede tjenester er det nødvendig å legge til en WAP-tilpasset gateway, eller Wap-tjener. Denne WAP-tjeneren har som oppgave å binde det mobile nettverket til Internett. Forespørselen fra en terminal sendes til denne WAP-tjeneren i WML-formatet (Wireless Markup Language). Wap-tjeneren omformer så disse binære kodene til en HTTP-forespørsel, og sender dem til Web-tjeneren som returnerer en WML-side til WAP-tjeneren. Disse dataene blir så omformet til binær WML før de sendes til mottakeren som har en WAP-telefon eller annen form for terminal med innebygget mikroleser.
Trafikken fra WAP-tjeneren og til den trådløse terminalen skjer ved hjelp av WAP-protokoller. WAP-tjeneren fungerer som et grensesnitt mellom de to protokollene WAP og TCP/IP.

Protokollsettet

WAP-protokollsettet følger OSI-modellen og bruker WAE (Wireless Application Protocol) på Applikasjonslaget. WAE definerer brukergrensesnittet på den håndholdte terminalen. WAE inneholder WML som er et XML-basert språk, WML-skript og WTA (Wireless Telephony Application). Dette er verktøyene som gjør det mulig å utvikle WAP-baserte applikasjoner.

På Sesjonslaget opererer WSP (Wireless Session Protocol). Dette laget forbinder to WAE-tjenester, hvor den ene er forbindelsesorientert og befinner seg over WTP (Wireless Transaction Protocol). Den andre er en forbindelsesløs tjeneste som opererer over WDP (Wireless Datagram Protocol). WSP har alle spesifikasjonene for en sesjon. En sesjon kan deles inn i de tre delene: Start av sesjonen, flytte informasjon frem og tilbake og avslutning av sesjonen.

På Transportlaget finner vi WTP som ligger oppå UDP (User Datagram Protocol), som er en del av TCP/IP. Dette gjøres for å tilby en forenklet protokoll som er egnet for lave båndbredder og mobile enheter. WTP tilbyr tre ulike tjenester, hvor ustabil enveis forespørsel er den første. Deretter finnes det stabil enveis forespørsel, og en stabil toveis kommunikasjon. Stabil kommunikasjon omfatter registrering om overføringen var vellykket eller feilet, og har mulighet for å sende data om igjen. WTP støtter dessuten Protocol Data Unit for å kunne redusere antall beskjeder som sendes. Protokollen prøver å optimalisere brukeropplevelsen ved å levere informasjonen når behovet er der.

I WAP-sammenheng er det WTLS (Wireless Transport Layer Security) som tar seg av sikkerheten, og er basert på SSL (Secure Socket Layer). Sikkerhetsfunksjonene i WTLS kan man velge om man vil bruke eller ikke. WTLS inneholder sikkerhetsfunksjoner som er basert på Transport Layer Security-protokollstandarden. Dette inkluderer sjekk av dataintegritet, kryptering og dekryptering og klient og autentisering.
På Transportlaget er det WDP (Wireless Datagram Protocol) som gjør at WAP kan benyttes over en hvilken som helst arkitektur. Dette gjøres ved at Transportlaget tilpasses den underliggende nettverksarkitekturen, som kan være SMS, USSD, CSD, CDMA, iDEN eller CDPD. WDP sørger for at de overliggende lagene ikke bør bry seg om hva som finnes på det fysiske nivået.

WAP 1.2

I versjon 1.2 av WAP vil det dukke opp Push-teknologi som gjør at data kan sendes til brukeren uten at det først er sendt en forespørsel til tjeneren. Dette vil gi bedre vilkår for blant annet varslingstjenester og markedsføring. For å muliggjøre dette, er det nødvendig å implementere en PPG (Push Proxy Gateway) som konverterer innholdet og oppretter kontakten med terminalen. Før dette skjer er det en Push Initiatior som tar i bruk protokollen OTA (Over The Air) eller PAP (Push Access Protocol). Det finnes også støtte for å sjekke at innholdet er kommet til mottakeren.
Den andre store forbedringen i versjon 1.2 er sikkerheten som nå er betydelig forbedret. Det er full støtte for PKI (Public Key Infrastructure) og digitale nøkler.

Del 25:

Trådløse nettverk

Med en standardisert teknologi som kan tilby opptil 11 Mbps i overføringshastighet, er 802.11b-standarden en god erstatning til kablede nettverk. Vi ser her nærmere på denne teknologien som kan erstatte kabler, eller være en fleksibel forlengelse.

Trådløse nettverk har vært med oss en stund, men teknologien har hatt sine begrensninger når det gjelder båndbredde i forhold til kablede lokalnettverk. Men i dag tilbys det produkter fra en rekke produsenter som baserer seg på 802.11b-standarden som er utviklet av IEEE (Institute of Electrical and Electronics Engineers). 802.11b ble standardisert 16 september 1999, og tilbyr opptil 11 mbps hastighet.

Nå kan for eksempel bærbare PCer enkelt flyttes rundt og likevel være tilkoblet nettverket med en tilfredsstillende ytelse. 802.11b-standarden kan erstatte hele det kablede nettverket, eller være en nyttig forlengelse for visse brukere eller bruksområdene.

Trådløs hub

Trådløse forbindelser i et lokalnettverk er basert rundt aksesspunkter eller basestasjoner, som egentlig ikke er annet enn trådløse huber. Disse basestasjonene kan sammenlignes med miniatyrutgaver av nettverk for mobiltelefoner ved at de opererer med celler og dekningssoner. 802.11 tillater klientene å vandre mellom flere basestasjoner som kan operere på den samme eller separate kanaler. En basestasjon kan for eksempel sende ut et signal hvert 100 millisekund for å gi en indikasjon om trafikk, styrke og andre parametere. Klientene bruker disse signalene til å måle styrken til sin eksisterende forbindelse til basestasjonen. Dersom styrken er svak, vil klienten forsøke å finne en sterkere basestasjon. Det er derfor viktig å planlegge godt før man installerer et trådløst nettverk i sine lokaler, slik at man unngår soner som ikke har dekning. Båndbredden blir dårligere jo lenger vekk man befinner seg fra en basestasjon, og man må ta hensyn til vegger og annet som kan svekke signalene. Basestasjonen har en rekkevidde på omtrent 100 meter under ideelle forhold, og kan betjene opptil rundt 50 brukere. Hver basestasjon i nettverket må ha sin egen unike IP-adresse.
802.11-standarden bruker MAC-protokollen (Medium Access Control) som tilsvarer lag 2 i OSI-modellen. MAC blir brukt til å formatere og adressere datapakkene og detektere feil. MAC arbeider også med standard Ethernet via en basestasjon for å forsikre at det trådløse og kabelbaserte nettverket snakker med hverandre.

Nettverkskort

De trådløse nettverkskortene er på samme måte som basestasjonen utstyrt med antenne, og de finnes for både stasjonære og bærbare PCer.

I likhet med kablet Ethernet så sender trådløse LAN også data i pakker. Hvert nettverkskort har et unikt ID-nummer som opererer som en adresse. I likhet med en ordinært Ethernet-adapter sjekker det trådløse nettverkskortet etter en pause i nettverkstrafikken før det sender sine data ut i nettverket. Dersom det foregår trafikk på nettverket, venter kortet en liten stund før det sjekker etter ledig tid for å sende sine pakker. 802.11b-standarden bruker CSMA/CA (Carrier Sense Multiple Access with Collision Avoidance) for å unngå kaos og krasj der standard Ethernet bruker CSMA/CD (Carrier Sense Multiple Access with Collision Detection).

WECA (Wireless Ethernet Compatibility Alliance) er en gruppe som skal arbeide for at 802.11b-produkter skal virke på tvers av ulike merker. De har derfor laget Wi-Fi (Wireless Fidelity) som skal være et godkjenningsmerke for de produktene som har fullført kompatibilitetstester. Denne logoen vil være en forsikring om at man kan bruke enheten sammen med Wi-Fi-merkede enheter fra andre produsenter.

Spredte signaler

802.11b standarden blir også omtalt som 802.11 HR hvor HR står får High Rate. Teknologien bruker DSSS (Direct Sequence Spread Spectrum), som vi velger å kalle direktesendt spredt spektrum modulasjon. Med DSSS blir signalene spredt utover hele frekvensområdet som er satt av til denne standarden. Dette frekvensområdet er i intervallet 2,4 til 2,4835 GHz. Dersom en eller flere bits blir skadet i overføringen, kan denne teknologien gjenopprette dataene uten å foreta en omsending. For mottakere som ikke er beregnet på å ta i mot DSSS vil signalene høres ut som støy, og de vil ikke bli fanget opp.

Dersom forholdene gjør at signalene blir svakere, vil overføringshastigheten synke først til 5,5 Mbps, deretter til 2 Mbps og så til 1 Mbps.

God sikkerhet

802.11b tar i bruk WEP (Wired Equivalent Privacy) som er basert på digitale nøkler og RC4 PRNG krypteringsalgoritmen fra RSA Data Security. Brukere uten den aktuelle nøkkelen har dermed ingen mulighet for å få tilgang til nettverkstrafikken. Brukerne må dessuten ha korrekt brukernavn, passord og domenenavn for å kunne logge seg inn. Basestasjonene og nettverkskortene må også være innstilt slik at de opererer med samme identiteten (SSID). Dersom de ikke har samme identitetsnummer vil det ikke kunne oppnås forbindelse.

Del 26

Trådløst hjemmenettverk

I forrige utgave så vi på 802.11b-standarden som tilbyr opptil 11 Mbps trådløs forbindelse. Denne gang tar vi for oss SWAP-spesifikasjonen fra HomeRF, hvor fleksibilitet og pris veier opp for en noe dårlig ytelse i forhold til kablede alternativer.

HomeRF Working Group (HRFWG) har definert en åpen spesifikasjon for både tale og datanettverk som mer enn 100 selskaper stilt seg bak. HomeRF er en av flere kommende teknologier for å koble sammen PCer i hjemmet eller på småkontor. HRFWG har også utviklet SWAP (Shared Wireless Access Protocol) som i tillegg til datanettverk også kan brukes i forbindelse med talekommunikasjon. Tjenestene som kan utføres med HomeRF er for eksempel trådløs telefoni, trådløse hjemmenettverk og deling av Internett samt deling av skrivere og filer. Men HRFWG ser også for seg kommunikasjonsløsninger som er innebygd i kjøleskap og lignende for å lage såkalte intelligente digitale hjem.

De største aktørene bak HomeRF er Compaq, Ericsson, HP, IBM, Intel, Microsoft, Motorola og Philips. Enkelte leverandører leverer nå noen av sine PC-modeller med en HomeRF-nettverksløsning. SWAP 1.0-spesifikasjonen ble lansert 5. januar 1999, mens SWAP 1.1 kom 7.juni samme år. Selve HRFWG ble grunnlagt i mars 1998.

Shared Wireless Access Protocol

SWAP er en definisjon som ble utarbeidet og optimalisert for passe inn i hjemmet eller små hjemmekontorløsninger. HomeRF og SWAP støttes av en rekke selskaper som har bundet seg til å sørge for kompatibiliteten mellom SWAP-produktene. Spesifikasjonen til HomeRF har en rekkevidde som strekker seg opptil femti meter. Sendestyrken ligger på 100 mW. Den kan koble sammen opptil ti PCer, og virker med oppringte Internett-tilkoblinger, DSL-teknologi og kabelmodem. SWAP-spesifikasjonen er dermed utviklet for å kommunisere med det vanlige telenettet og Internett. Radiosignalene kan gå gjennom vegger og gulv, men rekkevidden begrenses gjennom visse materialer. Sikkerheten ivaretas med en unik 24-bits nettverksidentitet og kryptering som er basert på LFSR-algoritmen (Linear Feedback Shift Register).

De trådløse forbindelsene finner sted på det frie 2.4 GHz-båndet, og SWAP støtter opptil seks ulike samtaler og en båndbredde på 1 eller 2 Mbps, og har hentet viktige elementer fra den talebaserte spesifikasjonen DECT (Digital Enhanced Cordless Telephony) og TCP/IP. Mye av SWAP-teknologien har sine røtter i den mer kostbare, kraftigere og bedriftbaserte 802.11-standarden.

Man kan på samme måte som med 802.11 bruke SWAP-teknologi uten basestasjon, men i slike tilfeller vil man bare kunne utføre databasert kommunikasjon. En basestasjon er påkrevd dersom man skal ta i bruk tidskritiske tjenester som interaktiv tale, og den har i tillegg gode funksjoner for administrasjon av styrken for de trådløse klientene. Basestasjonen opererer som en gateway til telenettet, og kan kobles til PCen ved hjelp av for eksempel USB-grensesnittet. Nettverksnodene kan være rene telefoni- eller datanoder, eller blandingsnoder som gir begge typer tjenester. Når det gjelder den lignende og sterkt voksende Bluetooth-teknologien, er det ventet at disse to definisjonene skal virke side om side og utfylle hverandre. Selv om de opererer på den samme frekvensen, lover leverandørene at det ikke oppstår konflikter.

Linje- og pakkesvitsjet

Et SWAP-nettverk kan være både linjesvitsjet og synkront for tale, og pakkesvitsjet og asynkront for datatrafikk. Taletjenestene bæres over den klassiske TDMA-protokollen (Time Division Multiple Access) med spesielle mekanismer for beskyttelse mot forstyrrelser. DECT-arkitekturen (Digital Enhanced Cordless Telecommunications) benytter seg av TDMA for å sende radiosignalene til telefoner. Datadelen bruker i likhet med 802.11b også CSMA/CA (Carrier Sense Multiple Access with Collision Avoidance) for å unngå kaos og krasj der standard Ethernet bruker CSMA/CD (Carrier Sense Multiple Access with Collision Detection). Dersom det ikke er noen aktiv talekommunikasjon, vil CSMA/CA legge beslag på hele båndbredden. SWAP er utviklet slik at den er fleksibel og enkel, og derfor er det mulig å utvikle rimelige håndsett, terminaler og multimediekort for PCer, og er derfor en egnet løsning for hjemmenettverk.

HomePNA

Men HomeRF og SWAP arbeider også med å være kompatibel med spesifikasjoner og standarder fra organisasjoner som HPNA (Home Phoneline Network Alliance). Denne alliansen ble stiftet av 3Com, AT&T, Compaq IBM og Intel. HomePNA er et enkelt kablet alternativ for hjemmemarkedet som benytter seg av eksisterende telefonkabler. Dermed slipper man arbeidet og utgiftene med å strekke nye kabler dersom man har telefonuttak på de plassene man skal bruke datamaskinene. Med denne rimelige teknologien kan man bruke Ethernet uten å forstyrre telefonsamtalene, og man trenger dessuten ingen hub fordi man kobler seg rett på telefonuttakene. HomePNA 2.0 kan levere opptil 10 Mbps, og er bakoverkompatibel med versjon 1.0 som kunne by på 1 Mbps. Versjon 2.0 ble lansert 1. desember 1999.

Med den trådløse HomeRF-teknologien kan man koble sammen databaserte (asynkrone) enheter og talebaserte (synkrone) enheter.

Del 27

Trådløse Bluetooth

Den trådløse Bluetooth-standarden er en fleksibel løsning når man har behov for kommunikasjon med både tale og data i sanntid, men standarden har ennå noen begrensninger.

Virtuelle kabler

Bluetooth Special Interest Group (SIG) ble etablert i mai 1998, og hadde som mål å utvikle en spesifikasjon for en RF-basert (dvs. radio) trådløs kommunikasjonsteknologi. Denne gruppen bestod av Ericsson, IBM, Intel, Nokia og Toshiba. I ettertid har en rekke selskaper sluttet seg til denne standarden. Den første spesifikasjonen av Bluetooth ble publisert andre kvartal 1999. Versjon 2.0 vil antakeligvis bli sluppet i år eller neste år. Ved siden av å utvikle spesifikasjonen har SIG også som oppgave å bringe Bluetooth-teknologien til markedet. I første omgang er det Windows 98 og Windows 2000 som er målet når det gjelder PCer, og spesielt bærbare PCer hvor Bluetooth er innbygd og dra nytte av USB-grensesnittet. Bluetooth-navnet er hentet fra vikingkongen Harald Blåtand som ble født i år 908 i Danmark.

Hvordan virker Bluetooth?

Dersom man utstyrer en bærbar PC med Bluetooth, vil den være i stand til å kommunisere trådløst med andre Bluetooth-enheter som for eksempel mobiltelefoner, håndholdte enheter, hodesett, aksesspunkter eller andre bærbare PCer.

Bluetooth SIG 1.0 kan by på overføring av objekter, hvor objekter omfatter filer og kataloger. Men det er også støtte for aksesspunkter som gjør det mulig å få tilgang til Internett, e-post og faks. En bærbar PC med Bluetooth kan enten koble seg via en ordinær telefonkabel, en mobiltelefon eller til et LAN-aksesspunkt. Videre kan spesifikasjonen ta i bruk synkronisering av blant annet kort og kalendere med andre Bluetooth-enheter. Og et Bluetooth-hodesett kan bli trådløst koblet til en PC, og by på lyd.

Maskinvaren

Bluetooth-spesifikasjonen definerer en laveffekt kortbølgeradio som har en rekkevidde på ikke mer enn 10 meter. Selve den elektroniske brikken er ikke større enn 9 x 9 millimeter, og er rimelig å produsere, og har derfor et veldig fleksibelt bruksområde. Radioen opererer i 2,4 GHz frekvensbåndet som er lisensfritt i de fleste land. Det er delte meninger om dette båndet vil bli for lite og skape konflikter, ettersom det er her de andre trådløse alternativene vi til nå har sett på også befinner seg. En enkel forbindelse kan gi en maksimal asymmetrisk overføringshastighet på 721 kbps eller maksimalt tre talekanaler. Disse talekanalene bruker en synkron kommunikasjon, og gir monolyd ved å bruke en 64 kbps CVSD-kodet strøm. Alle forbindelser bruker et TDD (Time-Division Duplex) skjema for dupleks kommunikasjon.

Når en forbindelse opprettes mellom to parter, vil den parten som inviterer til forbindelsen få en midlertidig status som master. En slik master kan ha aktive forbindelser til i alt syv andre enheter som vil få status som slaver. Når en master-enhet er koblet til en eller flere slaver, har vi fått et piconet. Mekanismer gjør det mulig å bruke TDD mellom master og slaver slik at de kan operere som broer mellom piconett, slik at det dannes såkalte scatternett. Det er også funksjoner som gjør det mulig for både master og slaver å oppføre nye forbindelser, eller å akseptere slike forbindelser fra andre.

Bluetooth-protokollene

I denne spesifikasjonen finner vi protokoller og profiler, hvor protokollene spesifiserer hvordan hver komponent skal virke, mens profiler spesifiserer hvordan et sett av protokoller kan brukes for å tilpasse spesifikasjonen til en spesiell modell. LMP (Link Management Protocol), baseband og radio er implementert i maskinvaremodulene, og kan brukes med ulike grensesnitt. Men Bluetooth-enheter bør inneholde HCI (Host Controller Interface). Adaption Protocol (L2CAP) byr på et sett med klient-protokoller som SDP (Service Discovery Protocol) og en seriekabel-emuleringsprotokoll som heter RFCOMM. L2CAP er kjernekomponenten i spesifikasjonen, og bidrar sterkt til at kommunikasjonen kan bli gjennomført. L2CAP inneholder også funksjoner for QoS (Quality of Service) som sørger for riktig prioritering av dataene.

Sikkerhet

Bluetooth-teknologien har innebygget kryptering og autentisering. I tillegg blir sikkerhet ivaretatt med frekvenshopping, hvor man hyppig skifter frekvens. I denne teknologien opererer man med 1600 slike hopp i sekundet. Dette i kombinasjon med den korte rekkevidden vil gjøre det vanskelig for snoker å snappe opp dataen som blir transportert over de virtuelle kablene.

Ulike metoder blir tatt i bruk for å rette opp eventuelle bit-feil underveis. FEC (Forward Error Correction) blir brukt for luke bort feil som oppstår på grunn av svake signaler. En ARQ (Automatic Repeat Request) sørger for en pålitelig sending av datapakkene.

Man kan sette forbindelsene opp til å kreve autentisering en vei, begge veier eller velge å ikke bruke autentisering i det hele tatt. Krypteringen i Bluetooth er innebygd i silisiumbrikken, og tar i bruk nøkkellengder på opptil 128 bit.

Del 28

Virtuelle Lokalnett

Virtuelle lokalnettverk kan gjøre det enklere og rimeligere å foreta konfigurasjoner i svitsjede nettverk, men det er noen fallgruver man bør passe seg for.

Vi har tidligere tatt for oss svitsjer og oppdeling av nettverket i flere og mer effektive deler. VLAN er en betegnelse på at denne segmenteringen er skjedd på logisk basis. Dette vil si at man for eksempel kan utføre segmenteringen slik at det ikke blir lagt vekt på hvor segmentene fysisk befinner seg, men hvor de hører hjemme organisasjonsmessig. Derfor er et VLAN uavhengig av fysiske segmenter. Maskiner i ulike fysiske segmenter kan lage en gruppe som utgjør et VLAN. Et virtuelt lokalnettverk reduserer også store kostnader på grunn av at flyttinger og endringer i nettverket kan skje på en langt enklere måte. Et VLAN kan spenne over én bygning, flere sammenkoblede bygninger eller via WAN, noe som avhenger litt av hvilke hovedtyper for VLAN man velger. Det finnes fire.

Port-basert VLAN

Dette er en metode hvor brukerne i et VLAN er tilknyttet bestemte porter i svitsjen, mens et annet VLAN og brukergruppe har et annet utvalg av porter på den samme svitsjen. I starten benyttet man seg av kun én svitsj til dette formålet. Etter hvert ble man mer avanserte og kunne ta i bruk flere svitsjer, slik at et VLAN kunne bruke bestemte porter på flere svitsjer. Denne metoden er forholdsvis enkel, og er den mest brukte måten å opprette et VLAN på. Ulempen er at administrator må endre informasjonen om brukeren når det er behov for å flytte fra en port til en annen. Men det finnes flere grafiske verktøy som løser dette på en enkel måte.

MAC-basert VLAN

Et VLAN kan også baseres på MAC-adressene som er brent inn i nettverkskortene, slik at brukerne kan flytte seg fritt innenfor nettverket og svitsjporter. Dette gir også en økt grad av sikkerhet ettersom ingen andre nettverkskort får inngangsbillett til nettverket. Ulempen er at brukere med bærbar PC kan støte på problemer ved bruk av dockingstasjon, på grunn av to ulike MAC-adresser. Det er også slik at hver bruker må være medlem av minst ett VLAN, og en slik konfigurasjon gjøres manuelt, dvs. at arbeidsmengden for administrator stiger når antallet brukere vokser. Og denne løsningen kan by på ytelsesproblemer i forbindelse med at behandlingen av medlemskap for de ulike brukerne stjeler båndbredde. Metoden som brukes for dette er at det blir lagt til en adresse i MAC-pakken som viser hvilke eller hvilket VLAN som er mottaker.

Lag 3-baserte VLAN

I likhet med et VLAN som er basert på MAC-adresser, kan også brukere i et VLAN som er basert på lag 3 i OSI-modellen flyttes rundt i nettverket uten å endre sin logiske adresse. De lag 3-baserte svitsjene som benyttes til dette formålet sjekker den logiske adressen i IP-pakkene, og er mest effektive ved bruk av TCP/IP. Mindre effektivt er det i forbindelse med IPX/SPX, DECnet og AppleTalk, ettersom dette er protokoller som ikke krever brukerkonfigurasjon. Brukerne får i slike tilfeller tildelt lag 3-adresser dynamisk, og følgelig en ny adresse ved hver innlogging. Ulempen med lag 3-baserte VLAN er at de kan være mer ressurskrevende enn de to metodene over, ved at det tar lenger tid å behandle lag 3-informasjonen i forhold til lag 2-informasjonen.

IP-multicast-basert VLAN

Et virtuelt LAN som bygger på multicast fungerer på en litt annerledes måte enn de andre alternativene vi har sett på til nå. Multicast innebærer at en pakke sendes rundt til alle mottakere som er med i den aktuelle multicast-gruppen. Denne gruppen av IP-adresser blir definert dynamisk ved at klientene svarer ja på en invitasjon som opplyser om at multicast-gruppen finnes. Ved å opprette et VLAN med denne metoden, vil også endringene for de ulike medlemmene skje dynamisk. Dette gir rom for stor fleksibilitet, og ved å involvere flere rutere kan slike multicast ha en stor rekkevidde ved å ta i bruk WAN (Wide Area Network).

For å oppnå optimal funksjonalitet kan det være aktuelt å kombinere flere av de fire metodene vi har tatt for oss her.

802.1Q

For en tid tilbake var det proprietære løsninger man måtte velge dersom man skulle innføre VLAN, og følgelig måtte man basere seg på enheter som var laget av samme produsent. IEEE definerte i 1998 en standard som har fått navnet 802.1Q. Denne standarden kan lag-2 og lag-3-svitsjer, rutere og maskiner ta i bruk for å legge til informasjon i de nødvendige datapakkene. Lengden på en 802.1Q-ramme (frame) er 16 bits lenger enn en vanlig MAC-ramme, og dermed kan ikke eldre utstyr behandle dette uten videre. I 802.1Q-standarden inngår også 802.1p som styrer trafikkprioriteringer.

Del 29

Telefoni over IP

IP-telefoni består grovt sett av de to standardene H.323 og SIP, hvor den sistnevnte er den nyeste og enkleste metoden som stadig vinner terreng.

Tradisjonelt er det H.323-standarden som har vært utviklet i flere år for at to tjenere eller endepunkter skal kunne utveksle multimediesesjoner som inkluderer tale. H.323 er i dag synonymt med IP-telefoni, og er utviklet av ITU (International Telecommunication Standard). H.323 regnes som en noe tung og for omfattende standard som ble utviklet av telekommunikasjonssiden. SIP (Session Initiation Protocol) er en nyere, raskere og enklere standard som ble utviklet av IETF (Internet Engineering Task Force), og er mer egnet for telefoni og multimedietjenester over Internett, mens H.323 er egnet for bruk i intranett.

H.323

H.323-standarden har arvet mange av sine egenskaper fra ISDN, og har behov for at mange meldinger sendes mellom to ulike endepunkter før en kommunikasjonslinje kan bli operativ. Dette medfører at det tar tid å opprette forbindelser, og at større forsinkelser kan forekomme. ITU prøvde å løse det meste med én protokoll slik man tidligere har gjort med tradisjonell telefoni. Dette virket ikke helt etter planen, og man vil i fremtiden se flere protokoller som virker sammen og overlapper hverandre, men også flere som konkurrerer.

Med en H.323-klient som for eksempel Microsofts NetMeeting kan maskinen spørre en gatekeeper om adressen til en ny bruker. Gatekeeperen finner adressen og videresender den til klienten, som oppretter en forbindelse med den nye klienten ved å bruke H.225, som er en av H.323-protokollene. Når forbindelsen er opprettet blir H.245 brukt for å finne ut tilgjengelige funksjoner for hver klient. H.245 er også en del av H.323-familien som ennå er under utvikling, med blant annet H.323 fast som skal bli kvitt forsinkelsene ved oppkoblingen.

SIP-protokollen

SIP befinner seg på applikasjonslaget i OSI-modellen, og har som oppgaver å opprette, modernisere og avslutte sesjoner eller samtaler med en eller flere deltakere. SIP støtter mobilitet ved at forespørsler blir omdirigert til brukernes aktuelle lokasjon. SIP ble utviklet i IETF MMUSIC (Multiparty Multimedia Session Control), og ble foreslått som standard og publisert som RFC 2543 (Request For Comment) den 17. mars 1999.

I motsetning til H.323 er SIP bygget på samme lest som Web-tjener-protokollen HTTP. Dermed er det langt færre pakker som må utveksles her før den virkelige kommunikasjonen er tilgjengelig for brukeren. Dette reduserer ventetiden mye.

Gangen i opprettelsen av en SIP-forbindelse starter med at en invitasjon går fra senderen til en tjener som bringer tilbake DNS-navnet til den aktuelle mottakeren, samt at senderen mottar adressen til UAS (User Agent Server). I punkt to blir det så sendt en ny invitasjon til UAS fra senderen. I punkt tre sender UAS et ring til mottakeren, og deretter et OK-svar til senderen. Koden som blir sendt som svar er SIP-kode 200. I likhet med andre TCP/IP-svarkoder så er også her en kode som starter med 2, et positivt svar. Forbindelsen er nå opprettet eller kan bli viderekoblet. I punkt fire blir det sendt en bekreftelse fra senderen til UAS. SIP kan opprette en forbindelse på 100 millisekunder, mens det med H.323 kan gå opptil 8 sekunder.

SIP kan kommunisere via multicast, flere unicast-relasjoner eller en kombinasjon av disse. Objektene som adresseres med SIP er brukere ved en nettverkstjener som er identifisert ved en SIP-URL. Brukeren er så identifisert med et brukernavn eller telefonnummer. Tjeneren blir funnet ved hjelp av et domenenavn eller en IP-adresse.

Lettvekteren SIP vil bli utarbeidet videre med spesielt funksjoner for en bedre sikkerhet og i tillegg en bedre evne til å kunne prioritere en bestemt trafikk fremfor en annen. Vi kan også tenke oss at det skal være mulig å definere på forhånd at man vil snakke med f.eks. en fransktalende person i en bedrift man ringer til. Dermed rutes samtalen til en som kan fransk.

H.248 – Megaco

ITU og IETF har omsider også utviklet i fellesskap noe som ITU kaller for ITU-T H.248, og som går under navnet Megaco hos IETF. Dette er en standard for enheter som skal kommunisere med tale, video, data og faks fra tradisjonelle telefoninett og til IP-baserte nett. H.248 bygger en bro mellom IP og telefoni, men bygger også en bro mellom H.323 og SIP-utstyr. Dermed blir det langt enklere å implementere forskjellig utstyr til ulike formål.

Del 30

Neste generasjon IP

Når versjon 6 av IP overtar etter versjon 4 og blir dominerende på Internett, vil vi blant annet problemet med for få adresser forsvinne. Men migrasjonen mellom de to versjonene kan bli lang og problematisk.

Det er liten tvil om at IPv4 vil forsvinne til fordel for IPv6, spørsmålet er bare når. Adressebegrensninger og dårlig ytelse er elementer som versjon 6 skal kunne takle. Med eksplosjonen av antall Internett-brukere og antall nye typer enheter som skal tilkobles er det nødvendig å utvide selve bærebjelken i Internett.

IPv6 er IETFs (Internet Engineering Task Force) neste generasjon av Internett-protokollen. Den ble til allerede i 1994, når man ble klar over de kommende begrensningene.

Nok adresser

Den største og mest velkomne nyheten i IPv6 er at det blir rom for langt flere adresser. Alle som er tilknyttet Internett må ha en egen unik adresse. Teoretisk har IPv4 en maksimal lagerbeholdning på 4,3 milliarder ulike IP-adresser. I løpet av de nærmeste årene vil det ikke være nok IP-adresser. Dette er adresser som baserer seg på 32-bit, og som er av typen 212.71.67.226, IP-adressene bak domenenavn som www.pcworld.no.

IPv6 har 128-bits adresser som gjør det mulig å ta i bruk langt flere adresser. Det er i alt 340 000 000 000 000 000 000 000 000 000 000 000 000 faste IP-adresser som teoretisk kan brukes med IPv6, noe som vil holde et godt stykke inn i fremtiden. Et overslag tilsier at man med IPv6 har ressurser til å opprette over 1 500 IP-adresser på hver kvadratmeter av jordens overflate. Av de 128 bitene i adresselengden, skal de nederste 48 brukes til MAC-adressering. Adressefeltets lengde har økt til det firedoble, og man har kuttet en del ting som ikke har virket slik det var tenkt i starten, til fordel for nye mer optimaliserte funksjoner.

Med neste generasjons IP vil også adresseringen foregå mer systematisk enn hva som er tilfellet i dag. Ulempen med IPv4 er at det er lite system på hvor de ulike adressen befinner seg topologisk eller geografisk. Dermed er det nødvendig for rutere å ha lange lister som de må gå gjennom. Når IPv6-adressene blir distribuert vil det være med et system som baserer seg på en hierarkisk modell. Dette vil gi en ytelsesforbedring ettersom de store Internett-ruterne vil bruke kortere tid på å avgjøre hvor hver enkel IP-pakke skal.

En mellomløsning som skal bedre IPv4 sine problemer med store rutingtabeller er CIDR (Classless Inter-Domain Routing) som systematiserer IP-adresser. Ved hjelp av CIDR kan for eksempel 15 ulike nettverk som ellers vil legge beslag på 15 rader i rutingtabellen, nå kun oppta en rad. Denne raden peker så til en ruter som kan veien til alle disse nettverkene.

Flere forbedringer

Andre nye komponenter i IPv6 er en teknologi som kan foreta prioriteringer av den IP-baserte trafikken. Dette vil bli en standard måte å spesifisere hvordan spesielle trafikktyper skal behandles. Funksjonen som kalles flow label er spesielt viktig for multimedieapplikasjoner og andre programmer som inneholder mye interaktiv trafikk. At en viktig videokonferanse er sikret nok båndbredde kan prioriteres foran nedlasting av filer. Adressering og prioritering er ikke de eneste forbedringene vi vil kunne se, men protokollens header har blitt finjustert og den ubrukte plassen er blitt bedre utnyttet. Headeren er den delen av forsendelsen som leder dataene til sin destinasjon. Med denne forbedrede headeren vil dataene gå gjennom IP-baserte nettverk mye raskere og det blir mindre flaskehalser.

Overgangsproblemer

Det er en god del ting som avgjør om overgangen til Ipv6 skal bli vellykket. I en periode vil det være nødvendig å ha rutere som håndterer både IPv4- og IPv6-trafikk. En løsning her er at man kapsler inn protokollene i hverandre. Dette kan gjøres ved at IPv6-pakker kapsles inn i IPv4-pakker når trafikken skal gå gjennom en IPv4-basert ruter. Når pakken ankommer mottakeren vil det være nødvendig å fjerne IPv4-innpakningen. Alternativ to er at ruteren oversetter mellom de to header-versjonene. IPv6 har eksistert i mange år allerede, og det vil sannsynligvis ta mange år før vi kan ta et skikkelig farvel til IPv4. De første implementasjonene av IPv6 dukket opp i det som kalles Internet2.

Før, under og etter migrasjonen blir det også et sterkt behov for opplæring og testing som medfører økte kostnader. Omveltningen vil også medføre endringer for de fleste prosessprotokollene som vi finner i dagens TCP/IP. Dette er for eksempel Telnet og FTP.

Del 31

InfiniBand erstatter PCI

PCI-bussen er ikke lenger rask nok til å formidle dataene mellom prosessorene og I/O-enhetene i dagens nettverkstjenere. Infiniband blir etterfølgeren til PCI, og lover blant annet langt bedre ytelse og stabilitet.

PCI har en historie som strekker seg tilbake til 1991, og har en mye bedre ytelse og stabilitet enn både ISA og EISA.

InfiniBand er navnet på teknologien som kommer til å erstatte dagens PCI-arkitektur, i første omgang i nettverkstjenere.

Ved siden av en bedre ytelse vil InfiniBand også gi bedre skalerbarhet og et større spillerom for hvordan ulike tjenere kan utvikles med tanke på design. Fokuset på flaskehalser og administrasjon er blitt større enn før. InfiniBand er en ny I/O-teknologi som trolig vil eliminere mye av problemene man finner i de noe slitte I/O-arkitekturene i dag.

Raskere og mer fleksibel

Primært vil InfiniBand være etterfølgeren til PCI (Peripheral Component Interconnect) for tjenere, men samtidig tilbyr denne teknologien langt flere muligheter enn forgjengeren. Selv om PCIs nyeste og mest avanserte versjon, PCI-X, har vist seg å være stabil og rask, og oppnår hastigheter på 1 Gbps, vil den være langt bak InfiniBands arkitektur. I InfiniBand kan for eksempel eksterne lagringsenheter eller forbindelser mellom tjenere gå gjennom en sentral. InfiniBand kan brukes over både kobber- og fiberoptiske kabler. InfiniBands arkitektur skiller seg drastisk fra PCI ved at I/O-enheter kan plasseres opptil 17 meter unna tjeneren når det benyttes kobberkabler, opptil 300 meter unna ved bruk av vanlig fiberoptisk kabel, eller opptil 10 kilometer borte ved hjelp av single-mode fiber.

Når behovet for et I/O buss-system internt i nettverkstjenren er borte, blir det mulig å redusere tjenernes størrelse mye, noe som sparer plass i trange datarom. I stedet for å utvikle tjenere med et visst antall PCI-kortplasser internt, vil tjenerne heller utstyres med InfiniBand HCA (Host Channel Adapter). HCA vil så forbinde tjeneren til en InfiniBand-svitsj som kobler den til et lagringssystem, rutere eller andre tilleggsenheter som er utstyrt med InfiniBand TCA (Target Channel Adapters). På en slik måte kan man enkelt legge til mer lagringskapasitet eller andre ressurser uten å forstyrre eller ta ned tjeneren. InfiniBand-adapterne er intelligente enheter som behandler alle I/O-funksjoner uten at nettverkstjeneren må bruke CPU-kraft til dette. Også internminnet vil få mindre belastning, og operativsystemet kan lages enklere enn hva som er tilfellet i dag.

En InfiniBand-enhet oppdager automatisk alle HCAer og TCAer, og tildeler dem logiske adresser. Ved hjelp av en algoritme oppdages alle nye adaptere når de kobles til. Denne nye spesifikasjonen medfører at adapterne kan ha én, fire eller 12 linker for ulike ytelsesbehov. Disse linkene kan så takle overføringshastigheter på 500 Mbps, 2 Gbps eller 6 Gbps. Teoretisk kan opptil 64 000 enheter bli adressert.

InfiniBand bruker de samme utvidede adressene som vi finner i IPv6 som vi tok for oss i forrige utgave av Nettverksskolen. Dermed er det enkelt å kommunisere med for eksempel Internett-rutere. Protokollene som benyttes har funksjoner som håndterer feiladministrasjon. Det vil også være innebygde elementer for sikkerhet og QoS (Quality of Service). Pakker som blir sendt inneholder mottaker (HCA) og destinasjon (TCA) i den såkalte "InfiniBand Global Route Header". Dette gjør at InfiniBand-svitsjer raskt kan levere pakkene direkte til den korrekte enheten.

For vanlige brukere vil InfiniBand bety at man ikke lenger trenger å sette flere typer adaptere (f.eks. nettverkskort, RAID-kontroller, osv.) inn i ulike tjenere. I stedet blir det én forbindelse til en InfiniBand-basert svitsj, og brukerne slipper dermed unna komplekse konfigurasjoner. InfiniBand tilbyr økt pålitelighet og stabilitet ved at det tilbys flere forbindelsesveier. Dersom en vei blir brutt, kan andre tas i bruk. Dette kan sammenlignes med måten stormaskiner har tilgang til flere partisjoner på.

Med dagens buss-teknologier må hvert kort vente på sin tur for å kommunisere. Med InfiniBand kan hver enkel forbindelse snakke samtidig.

Versjon 1.0 klar

Tidligere organisasjoner som NGIO (Next Generation I/O) fra Intel, og Future I/O som ble drevet av IBM, Compaq og HP slo sine hoder sammen i 1999. Dermed var det duket for grunnleggingen av IBTA (InfiniBand Trade Association). IBTA ledes de syv selskapene IBM, Intel Compaq, HP, Dell, Microsoft og Sun, men 3Com, Adaptec, Cisco, Fujitsu-Siemens, Hitachi, Lucent, NEC og Nortel Networks er med i tillegg som sponsorer. IBTAs teori er at InfiniBand vil bli den vanligste måten å koble tjenere sammen med andre tjenere, til lagringsenheter, nettverksadaptere, rutere og svitsjer.

24 oktober år 2000 utgav IBTA versjon 1.0 av Infiniband-arkitekturen. Spesifikasjonen er nedlastbar på IBTAs Web-sider, som befinner seg på www.infinibandta.org. InfiniBand-produkter vil se dagens lys en gang til neste år.

Del 32

Tjenestekvalitet

Med dagens ulike tjenester i det samme nettet er det viktig med ulike nivåer tjenestekvalitet for at alle resultatene skal bli akseptable.

QoS (Quality of Service) eller tjenestekvalitet er nettverkets kapasitet til å tilby bedre betingelser til en utvalgt type nettverkstrafikk. Både tele og data opererer nå i de samme nettverkene i tillegg til at multimedietjenester også får større innpass. Mest praktisk er det om det ene nettverket kan inneholde alle kommunikasjonstjenestene for hver bedrift. Ettersom datanettverk er laget for å håndtere data etter beste evne, kan de ikke uten videre garantere en viss kvalitet. For også å kunne håndtere flere typer trafikk og kunne garantere at visse typer trafikk får nok båndbredde uten å møte flaskehalser, er det nødvendig å implementere mekanismer for dette i nettverket. Dette konseptet kaller vi tjenestekvalitet.

Kvalitet

Nå er det ikke slik at mer båndbredde nødvendigvis løser problemene for alle typer trafikk. Overføring av video krever høy båndbredde, men kan klare seg fint med en del pakketap. Det motsatte oppleves med tale, hvor det kreves forholdsvis liten båndbredde, men hvor pakketap vil ødelegge talen. Overføring av ren datatrafikk krever ikke høy båndbredde, og pakketap tolereres ikke ettersom viktige data kan forsvinne. Ved ren datatrafikk ligger det derfor mekanismer som sjekker ved ankomst til mottakeren at alle pakkene er intakte og på plass.

På grunn av at de fleste er tilkoblet Internett i dag, er det lite hensiktsmessig å fokusere på tjenestekvalitet kun i et LAN. Dette er fordi overføringshastigheten mellom LAN og WAN vil være svært ulik. Men det kan likevel være lurt å overdimensjonere lokalnettverket slik at det er forberedt på høye trafikktopper. Overdimensjonering vil hjelpe for alle typer tjenester i et LAN.

Utnytt båndbredden

For å oppnå best mulig utnyttelse av båndbredden kan IP-multicast redusere trafikkmengden. Når den samme trafikken skal distribueres til et antall brukere samtidig, vil kun én pakke sendes ut og replikeres av svitsjene og ruterne til de som er medlem av multicast-gruppen. Og ved å ta i bruk komprimering kan man sende opptil fire ganger så mye trafikk gjennom den samme båndbredden.

Prioritering av trafikken

Når en viss type trafikk eller datapakker skal ha høyere trafikkprioritet enn andre, har vi to måter dette løses på. Rutere og svitsjer kan selv implementere en pakkeklassifisering som identifiserer innkommende trafikk og prioritere den. De kan også gi en passende prioriteringsmerking for utgående trafikk. Ellers kan datamaskinene merke pakkene slik at svitsjene og ruterne ser om de skal prioriteres høyere enn andre pakker. Administrator kan definere prioriteringsreglene ut ifra for eksempel type applikasjon, protokoller, brukere eller andre rettigheter.

Protokollfunksjonalitet

RSVP (Resource Reservation Protocol) fra IETF er en nettverkskontroll-protokoll som gjør det mulig å reservere båndbredde i rutere langs kommunikasjonsveien, slik at tilstrekkelig båndbredde er tilgjengelig når overføringen finner sted. RSVP kan også plasseres inne i andre protokoller, og er en del av IIS (Internet Integrated Services). Ved å sende en RSVP-forespørsel med en egnet programvare kan man "bestille" nok båndbredde til en begivenhet som skal skje i nær fremtid. Forespørselen går til nærmeste Internett-gateway med RSVP-tjener. Denne sjekker om man har rettigheter til å reservere båndbredde, og om den er å oppdrive på det aktuelle tidspunktet. Dersom reservasjonen er i orden, blir det sendt beskjed om dette til de neste gatewayene på vei til målet. Dersom reservasjonen ikke kan gjøres på hele veien, vil den bli fjernet hos alle gatewayene. Når pakkene må gjennom en gateway som ikke støtter RSVP, kan de bli innbundet i ordinære pakker. RSVP virker både med IPv4 og IPv6.

DiffServ (Differentiated Services) er en metode som markerer de pakkene som trenger å bli prioritert, og som leser pakkeheadere for å bestemme hvilken tjenestekvalitet meldingen skal få. Differensierte tjenester er den mest avanserte metoden for å administrere trafikk når det gjelder CoS (Class of Service).

IEEE 802.1p, som nå er en del av 802.1D, er en protokoll som kan prioritere pakker i svitsjede nettverk og er støttet av de fleste rutere. 802.1p er en forlengelse av MAC (Media Access Control) headeren i nettverkspakker. Forlengelsen består av en trebits verdi som svitsjer bruker for å prioritere pakker.

COPS (Common Open Policy Service) fra IETF er en protokoll som gjør det mulig for rutere og lag-3-svitsjer å hente prioriteringsregler fra en PDP (Policy Decision Point) hvor administrator definerer hvilken type trafikk som skal ha høyest prioritet. COPS er utviklet for å virke sammen med RSVP.

Del 33

Trådløst bredbånd

Med en overføringshastighet på opptil 54 Mbps og funksjoner for tjenestekvalitet og forbedret sikkerhet er HiperLAN2 et stort fremskritt for radiobaserte nettverk.

Det er ETSI (European Telecommunications Standards Institute)-prosjektet BRAN (Broadband Radio Access Networks) som utvikler High Performance Radio Local Area Network type 2. Ettersom IEEE 802.11a og HiperLAN2 deler det samme fysiske laget kan de også dele de samme komponentene. Dermed er det forholdsvis enkelt å oppgradere til HiperLAN2. I dag er HiperLAN2 det mest avanserte trådløse nettverket vi kjenner til.

På det fysiske laget har HiperLAN2 en overføringshastighet på opptil 54 Mbps, mens det på lag 3 er opptil 25 Mbps. For å oppnå disse hastighetene blir det benyttet en metode som heter OFDM (Orthogonal Frequency Digital Multiplexing) for å sende de analoge signalene. Man kan dele sendingene inn i punkt-til-punkt-forbindelser eller punkt-til-multipunkt.

Med denne teknologien er det enkelt å gi hver forbindelse en spesifikk tjenestekvalitet (QoS). Denne støtten for tjenestekvalitet i kombinasjon med den gode overføringshastigheten, gjør at HiperLAN2 er godt egnet for både video, tale og data. Støtte for tjenestekvalitet har før vært en mangelvare i trådløse nettverk.

Automatisk frekvensallokering

I et HiperLAN2-basert nettverk er det ikke behov for å planlegge frekvensbruken manuelt. Basestasjonene har innebygd støtte for å automatisk velge en godt egnet radiokanal for sendinger innenfor sitt dekningsområde. Basestasjonene lytter også til sine nabostasjoner og til andre radiokilder i området og velger kanaler ut ifra hvilke kanaler som allerede er i bruk av andre basestasjoner, for å minimalisere forstyrrelsene. HiperLAN2 benytter seg av frekvenser i 5 GHz-området og har dermed mindre forstyrrende elementer enn 802.11b og Bluetooth, som vi har sett nærmere på tidligere.

Sikkerhet

Både autentisering og kryptering inngår som en del av HiperLAN2 for å være sikker på at det er kun autoriserte brukere som har tilgang til nettverket. Det er støtte for både DES- og 3-DES-algoritmene når det gjelder kryptering. Alle som er tilknyttet den samme basestasjonen bruker den samme nøkkelen, og det er mulig å kryptere multicast-trafikk. Når det gjelder autentisering er det PKI (Public Key Infrastructure) som blir brukt for å generere en digital signatur. Autentiseringsalgoritmene som støttes er MD5, HMAC og RSA.

Protokollarkitektur

HiperLAN2 består av tre hovedlag. Dette er det fysiske laget, Data Link Control-laget (DLC) og Convergence-laget. Det er altså OFDM som blir benyttet på grunn av sin gode ytelse. Det muliggjør høy båndbredde per kanal, og har samtidig forholdsvis mange kanaler i det aktuelle området, for eksempel 19 kanaler i Europa. OFDM deler opp de ulike signalene og sender dem så parallelt via ulike underfrekvenser. Deretter settes signalene sammen igjen. Denne teknologien er også bedre rustet mot forstyrrelser. DLC-laget består av MAC-protokollen (Media Access Control), EC-protokollen (Error Control) og RLC-protokollen (Radio Link Control) med DLC, RRC (Radio Resource Control) og ACF (Association Control Function). Dette er alle funksjoner for tilgang og sending, samt at de tar seg av forbindelsene. Convergence-laget har som oppgave å tilpasse tjenestekrav fra høyere lag til tjenesten som tilbys av DLC. Ettersom dette laget konverterer pakker fra de høyere lagene slik at de blir tilpasset DLC, er det mulig å standardisere og implementere en DLC og det fysiske laget uavhengig av det kablede nettverket som HiperLAN2 er koblet til. Derfor kan HiperLAN2 benyttes med for eksempel Ethernet, IP, ATM og UMTS.

Virkemåte

Klientene velger basestasjon ut fra signalstyrke, og mottar så en MAC-ID fra den best egnede basestasjonen. Deretter bestemmes hvilken autentiseringsprosedyre og krypteringsalgoritme som skal benyttes. Etter dette blir klienten knyttet til basestasjonen og DLC-forbindelser er opprettet. Klienten sender og mottar data på to forbindelser og støtter to ulike prioriteringskøer. Når klienten forflytter seg kan det være aktuelt å foreta en såkalt "handover", slik at den velger en basestasjon som er bedre egnet for den nye lokasjonen. All opprettet forbindelse og sikkerhetsprofiler blir automatisk gitt over til den nye basestasjonen. Når brukeren beveger seg utenfor dekningsområdet lenger enn en viss tid eller ønsker å bryte forbindelsen, vil forbindelsen bli avsluttet.

Del 34

Radiobølger

Vi har tidligere sett på ulike trådløse nettverksløsninger som benytter seg av radiosignaler. Denne gang setter vi fokus på selve radiosignalene.

Som vi har sett så er trådløse nettverk i mange tilfeller gode alternativer til kablede løsninger, men frekvenser, sendestyrke, korte og lange bølger er alle ting som er avgjørende for hvordan resultatet blir ved en radiobasert kommunikasjon. Det er derfor viktig å vite bakgrunnen for hvordan de ulike teknologiene virker på dette feltet.

En frekvens

Innenfor datakommunikasjon operer man som oftest med radiosignaler i frekvensområdet mellom 10 kHz og 1 GHz. Dette store området er videre inndelt i lisensfrie og lisensbaserte områder. De lisensfrie senderne kjennetegnes ved at de sender med lav sendestyrke, mens de lisensbaserte kan operere med større sendereffekt. Sendere som kun benytter seg av én frekvens, og som i tillegg har liten effekt har gjerne kort rekkevidde. Men radiobølgene kan likevel trenge gjennom flere typer materialer på grunn av sine lange bølger. Totalt sett gir denne teknologien overføringshastighet som ligger på opptil 10 Mbps. Den høyeste overføringshastigheten oppnår man ved å bruke en frekvens som befinner seg i GHz-området.

Lisensbaserte sendere som har stor sendereffekt, og som også kun bruker én frekvens, kan sende så langt det er fri sikt, eller så langt radiobølgene kan reflekteres fra lag i atmosfæren. På den måten kan man sende til andre siden av jorden. Overføringshastighetene er ikke spesielt høyere enn laveffektsutstyr, men man når svært mye lenger. Dette kan være et sikkerhetsproblem ettersom langt flere dermed får muligheten til å snappe opp signalene. Generelt er utstyr som bruker én frekvens utsatt for EMI (elektromagnetiske forstyrrelser) fra ulike elementer som for eksempel elektriske motorer og lignende.

Flere frekvenser

Den andre typen radiokommunikasjon går ut på å sende samtidig over flere frekvenser, og er også kjent som Spread Spectrum. Denne teknologien er igjen delt inn i frekvenshopping og direkte sekvensmodulering. Ved frekvenshopping er både sender og mottaker synkroniserte og beveger seg mellom ulike frekvenser i et avgrenset frekvensområde. De to partene beveger seg samtidig til de ulike frekvensene, og det er senderen som leter frem til en ledig frekvens. Denne metoden tar i bruk hele båndbredden på alle de ulike frekvensene som partene er innom, og deler opp frekvensområdet i 79 kanaler. Det er i alt 78 ulike mønstre når det gjelder frekvenshoppingen. For å unngå problemer bør antallet konkurrerende basestasjoner i det samme området ikke overstige 18.

Ved direkte sekvensmodulering brukes det også flere frekvenser, men dataene er her pakket inn i noe som kalles chips. Innholdene i disse chipene kan ved siden av data også inneholde støy. Men mottakeren vil likevel være i stand til å skille ut datainformasjonen. Mottakeren holder orden på hvilke frekvenser som blir brukt, og henter data fra disse i tillegg til å sette dem i korrekt rekkefølge. Metoden deler opp det tilgjengelige frekvensområdet i 14 kanaler. For å unngå problemer bør det ikke være mer enn 3 slike konkurrerende systemer i det samme området.

Direkte sekvensmodulering byr på større kapasitet enn frekvenshopping. Dersom en uautorisert mottaker får inn disse signalene vil de kun oppleves som støy. Denne teknologien er gjerne dyrere, og blir brukt i de tilfellene hvor frekvenshopping ikke er godt nok. Direkte sekvensmodulering byr på lengre rekkevidde enn andre alternativ.

Mikrobølger

Med denne teknologien kan man ta i bruk jordbaserte stasjoner eller satellitter. Det er det lave GHz-båndet som brukes, og overføringshastigheten begrenser seg til 10 Mbps i de fleste tilfellene.

Med et satellittbasert system befinner satellitten seg nesten 4 000 mil ute i verdensrommet. For å ta i mot disse signalene er det parabolantenner som benyttes. Satellitten roterer på en måte som får den til å opptre om den står fastlåst til jorden. På grunn av den store avstanden er det en forsinkelse som kan være på opptil 5 sekunder.

Bruk av mikrobølger er spesielt godt egnet til kommunikasjon til steder som ligger øde eller hvor det ikke finnes andre kommunikasjonsmetoder. På jorden kan mikrobølger brukes som kommunikasjonsmedium mellom bygninger. Man kan også sette opp flere slike punkter som har et felles tilknytningspunkt. Ulempen er at frekvensene som brukes er reserverte, og at det tar tid å sette opp slikt utstyr. Teknologien er relativt dyr, og kan avlyttes. Dessuten kan den være utsatt for atmosfæriske forstyrrelser, regn og tåke.

Del 35

Permanent oppkobling

DSL (Digital Subscriber Line) gir oss raskere Internett-oppkobling til fast pris via eksisterende telefonlinjer. Vi ser nærmere på teknologien.

Med DSL-teknologien, og i første rekke ADSL (Asymmetric DSL), er man alltid koblet til Internett og prisene er kraftig redusert i forhold til de tradisjonelle faste linjene. Den mest utbredte DSL-teknologien er ADSL, men andre vil gjøre sitt bekjentskap senere.

ADSL

Denne teknologien er asymmetrisk, som betyr at hastigheten til brukeren er høyere enn fra brukeren. På samme måte som ved ISDN bruker man de eksisterende kobberkablene. Overføringshastigheten kan teoretisk komme opp i 8 Mbps, og dette gjøres ved at man tar i bruk frekvenser som befinner seg mellom 25 kHz og 1 MHz. For at dette skal virke er det nødvendig med tilpasset maskinvare i begge ender av linjen. Et DSL-modem modulerer den digitale informasjonen fra PCen. Signalene oversettes så av en DSLAM (Digital Subscriber Line Access Multiplexer) som er lokalisert på den nærmeste sentralen. En DSLAM har som oppgave å skille tale- og datatrafikken, slik at sistnevnte sendes til Internett-leverandøren.

Før data kan overføres må utstyret i begge ender bli enige om hvilke teknologier og hastigheter som skal brukes. En slik operasjon kalles handshake, og har fått betegnelsen G.994.1. Prinsippet er hentet fra metodene som brukes av V.34- og V.90-modem. Metoden brukes for å unngå feil som følge av ukompatible implementeringer.

Begrensninger

Ulempen med all DSL-tekonolgi er at de ulike standardene får dårligere ytelse jo lenger avstanden mellom brukeren og sentralen er. Grunnen til dette er at linjene blir sterkere utsatt for forstyrrelser ved lange strekk. Konsekvensen av dette er at DSL-tilbyderne må redusere overføringshastigheten slik at de kan tilby en garantert hastighet. For ADSL er den kritiske avstanden på 2,5 kilometer.

Sikkerheten er bedre enn for eksempel et kabel-TV-nett, fordi

DSL-teknologien bruker et stjernenett og brukerne får en egen dedikert linje. Den faste oppkoblingen er likevel en trussel, og bør vernes med en brannmur.

Forskjellene

De ulike DSL-versjonene deler vi inn i asymmetriske og symmetriske versjoner. Blant de asymmetriske finner vi ADSL som har fått standardbetegnelsen G.992.1, og kan være opptil 150 ganger raskere enn analoge modem. Ved installasjon er det nødvendig å installere en splitter som separerer tale og data, samt at man må ha et ordinært telefoniabonnement i tillegg.

G.lite er en amputert ADSL-versjon, har betegnelsen G.992.2 og byr på overføringshastighet på opptil 1,5 Mbps til brukeren og opptil 500 kbps fra brukeren. Denne DSL-versjonen er det mulig å installere selv, men støttes ikke i Norge.

VDSL (Very High Bit Rate DSL) er begrenset til svært korte avstander, men kan gi overføringshastigheter på helt opptil 52 Mbps. Imidlertid vil en slik hastighet ikke kunne oppnås hvis avstanden er lengre enn 300 meter. Hastigheter på rundt 12-13 Mbps vil være vanlig på avstander opptil 1,5 kilometer. Mest trolig er dette arvtakeren til dagens ADSL-tilbud.

Den andre kategorien DSL har samme hastighet både til og fra brukeren, og er dermed symmetrisk. Her finner vi SDSL (Symmetric DSL) som støtter overføringshastigheter på opptil 3 Mbps. I likhet med annen DSL-teknologi brukes også her de eksisterende kobberkablene ved at datatrafikken benytter seg av andre frekvenser enn taletrafikken. SDSL er egnet for distribuerte applikasjoner eller videokonferanser.

HDSL (High Data Rate DSL) er en gammel traver fra 80-tallet og kan gi opptil 1,5 Mbps i begge retninger, og den bruker to par kabler. HDSL-2 er andre generasjon HDSL, og bruker ett par kabler. Selv om hastigheten er beskjeden, har HDSL-2 fått mye anerkjennelse hos ulike produsenter.

IDSL (Integrated Services Digital Network DSL) er egentlig ISDN over DSL og hastigheten begrenser seg til 144 kbps. Fordelen i forhold til ISDN er at man alltid er oppkoblet uten å betale for antall tellerskritt. En annen fordel er at man kan benytte seg av den samme ISDN-adapteren eller modemet som man har for ISDN. Rekkevidden fra sentral til bruker er begrenset til 5,5 kilometer.

Det siste DSL-medlemmet er SHDSL (Symmetric High bit rate DSL) som har en større rekkevidde enn de andre medlemmene. SHDL kan gi opptil 192 kbps, over dobbelt så lange strekninger som de andre teknologiene. Rekkevidden er på opptil 1,2 mil. Grunnlaget for denne versjonen er hentet fra HDSL, men har en øvre grense på 2,3 Mbps.

Del 36

KVM-svitsjer

Med innføringen av større nettverk, mange nettverkstjenere og behov for bedre administrasjon er KVM-svitsjer et godt hjelpemiddel, også over lengre avstander.

Tidligere, da nettverkene var mindre og nettverksadministrasjon var et mer ukjent begrep, var det nok å bruke den ene skjermen som stod på datarommet. I disse dager er situasjonen en helt annen, man har gjerne mange nettverkstjenere og andre enheter som ofte må konfigureres eller vedlikeholdes. Dersom hver av disse skulle hatt egen skjerm, tastatur og mus, ville det ikke bare tatt opp mye kostbar plass, det ville også vært en stor utgiftspost i regnskapet. I tillegg gir det reduserte strømutgifter, og ettersom man slipper mange skjermer blir det også mindre varmeutvikling og følgelig noe mindre behov for kjølesystemer.

Ideen med KVM-svitsjer (Keyboard, Video og Mus) er at mange nettverkstjenere eller andre tjenere skal kunne betjenes fra én eller et fåtall maskiner. Dette gir administrator en mulighet til å raskt skifte fra den ene tjeneren til den andre uten å forflytte seg fysisk. Dermed slipper man å tilbringe tiden på datarommet, men administrasjonen kan foregå fra kontoret.

Uendelig antall

KVM-svitsjer har blitt en viktig ingrediens i nærmest alle større datarom, og er også kjent som CPU-svitsj eller konsoll-svitsj. Disse kan håndtere fra to til et nærmest uendelig antall tjenere. Når man ønsker å ha tilgang til nettverkstjenere langt unna støyende og varme datarom, må man benytte seg av en såkalt KVM-extender. Dette er en egen enhet som sitter mellom maskinen på administratorens rom og KVM-svitsjen på datarommet. Mellom de to KVM-enhetene går det som oftest en standard kategori 5 UTP-kabel. Dette gjør installasjonen enkel, og man kan i de fleste tilfellene bruke den eksisterende kablingen i bygget. På de nyere typene kan man enkelt svitsje fra den ene tjeneren til den andre ved hjelp av et tastetrykk. Deretter kan man logge seg inn for å gjøre de nødvendige endringer. De fleste svitsjene kan monteres i rack, og virker med NetWare, Windows NT og Windows 2000. Det finnes også andre typer som for eksempel er spesialtilpasset Sun-maskiner.

Fjerndrifting

For å få fjerndriftet en eller flere maskiner har det vært vanlig å ta i bruk fjernstyringsprogrammer som for eksempel Symentecs pcAnywhere. Slike programmer virker over et hvilket som helst IP-nettverk, og kan installeres på nettverkstjenere. De nye digitale KVM-svitsjene gjør også denne jobben, men de kan i tillegg brukes uten at noe ekstra programvare installeres på tjeneren. KVM-svitsjen gjør det dessuten mulig å foreta omstarter av tjeneren og få tilgang på BIOS-nivå dersom det er nødvendig. Det spiller heller ingen rolle hvilket operativsystem som brukes. Digitale KVM-svitsjer bringer ikke signaler til skjermen og trykk fra mus og tastatur i det analoge området. De konverter signalene til digitale pakker som kan sendes over et hvilket som helst IP-nettverk. På den måten er det relativt enkelt å administrere og vedlikeholde avdelingskontorer fra en sentralisert IT-avdeling. En KVM-svitsj vil ikke redusere nettverkstjenerens ytelse, og opplevelsen er som om skjerm, tastatur og mus er koblet direkte til tjeneren.

Den digitale KVM-svitsjen kan på samme måte som tjenerne settes bak brannmuren, slik at den kun er tilgjengelig med for eksempel en VPN-løsning (Virtuelt privat nettverk). Når endringer i skjermbilder eller lignende skjer, blir de sendt til en prosessor i KVM-svitsjen som pakker denne informasjonen og sender den via Internett eller en egen linje.

Enkelte typer med nødvendig programvare når man investerer i denne type svitsjer, som for øvrig ennå er ganske dyre. Dette kan være visningsprogramvare for å se på ulike maskiner, og administrasjonsprogramvare hvor administrator kan definere hvilke brukere eller grupper som skal ha tilgang til hvilke maskiner. Komprimeringsteknologier gjør at det tar liten tid før skjermbildene oppdateres. Skjermoppdateringene kan gjerne også beskyttes med kryptering. De mindre modellene kommer gjerne uten programvare, men har likevel meny på skjermen, passord og gjerne muligheter for å navngi de ulike nettverkstjenerne.

Del 38

Nettverk uten nettverk

Fra tid til annen er det nødvendig å lage små nettverk bestående av bare to eller tre noder. Dette kan være som de første skritt til ett hjemmenettverk, eller bare for å overføre filer mellom to PCer.

- når du bare skal dele litt

De fleste nye operativsystemer har støtte for enkle nettverk. I denne sammenhengen skal vi se på nettverk som LAN eller høyhastighetsnett. Det betyr at vi ser vekk fra oppringte samband eller enklere samband med serie- eller parallellkabel. Grovt sett er det enkleste nettverket koblingen mellom to kommunikasjonspunkter i to forskjellige enheter – nettverkskort, USB-porter, skriverhub - og mediet mellom dem.

Nettverkskort og nettverkskabler er blitt svært rimelig i innkjøp de siste årene. Ved en liten prissjekk før denne artikkelen ble skrevet, fant vi enkle industristandard nettverkspakker med to nettverkskort og krysset kabel til en svært hyggelig pris. Faktisk til samme pris som en USB-overføringskabel, som vi også skal se litt på.

Bredbåndsnettverket

Flere og flere vil komme borti installasjon av enkle nettverk hjemme. Dette vil bli mer og mer vanlig i disse bredbåndstider. De fleste vil måtte installere og/eller innstille nettverkskort og så koble kortet til terminalboksen fra bredbåndsleverandøren din. Innstillingene i nettverksoppsett er greit, og ofte vil bredbåndsleverandøren gjøre dem for deg.

En viktig sak å huske er at nettverkskort er svært følsomt for statisk elektrisitet. De bør derfor behandles forsiktig. I ett sånt lite to-node-system mellom PC og bredbåndsboks har du et lite nettverk, men likefullt et nettverk. Slike nettverk kan enkelt utvides; for eksempel med ekstra nettverkskort og en hub eller ruter.

Fil- og skriveroverføring

To andre helt åpenbare smånettverk er mellom PCen din og en skriver, eller mellom to PCer. Det er ofte en god løsning å bruke nettverk om du for eksempel har to skrivere som ikke har USB-grensesnitt. Alternativet tidligere var en ekstern skrivervender eller å installere en ekstra parallellport i PCen. Det første alternativet er en treig løsning, i alle fall om du velger en manuell vender. Det andre åpner for interne maskinvarekonflikter av en annen verden, samt at disse løsningene ikke er billige, verken i innkjøp eller i form av at en ekstra port lage konflikter i PCen. Om alternativet er en automatisk skrivervender; er det ofte like greit å kjøpe enten en liten skrivertjener, eller et nettverkskort for skriveren om den støtter dette.

I det siste tilfellet er det en enkel sak å sette opp et lite nettverk med en krysset nettverkskabel mellom nettverkskortene i PCen din og skriveren. Det samme prinsippet kan brukes mellom to PCer med nettverkskort. Det viktigste er at nettverkskabelen er krysset; dvs. en 4-pars RJ-45 plugg med pinnene #1 og #3 byttet om og pinnene #2 og #6 byttet om i den ene enden. En skrivertjener er en liten nettverksenhet med skriverporter. De fleste kurante skrivertjenerne er enkle å sette opp i de nyeste versjonene av Windows. I tillegg vil leverandøren av skrivertjenerne levere sitt eget kontrollsystem for full kontroll av egenskapene til skriveren.

USB-/Firewire-nett

USB-kabel for overføring er en av de enkleste måtene å sette opp et hurtig og greit samband mellom to PCer. Ulempen er at dette pr. i dag er en dyr løsning; siden en slik USB-spesialkabel er forholdsvis dyr. Et godt alternativ er å koble til en nettverkshub over USB. Da vil du enkelt kunne kombinere tradisjonell nettverkskabling med USB sin gode egenskaper.

Neste generasjon USB – USB2 -lover ekstrem ytelse for kommunikasjon, men de siste meldingene tyder på at Microsoft ikke vil støtte USB2 i første versjon av Windows XP. Til gjengjeld vil IEEE-1394 Firewire støttes. I dag er Firewire vanlig for Mac-brukere, mens Firewire migreres inn hos vanlige PC-brukere som er avhengig av hurtig overføring fra sine digitale videokameraer. Ulempen er at separate Firewire-kabler foreløpig er dyre.

Del 39

Terminaltjenere

Enkle terminaler knyttet mot en sentral tjener var starten for datarevolusjonen. I de siste årene er nye løsninger basert på de samme prinsippene dukket opp som praktiske og gode løsninger for rasjonell PC-bruk.

- tilbake til framtiden?

Vi definerer tynne klienter som enheter med prosessor, internminne, skjerm, mus og tastatur, men hvor alle programmer og data ligger lagret sentralt i en stor tjener. Tynne klienter mangler eller trenger ikke harddisk, CD/DVD-spiller eller floppydiskstasjon. Det som sendes fra klienten er tastetrykk og museklikk, og terminalen returnerer oppdaterte skjermbilder. Framover vil vi se at tynne klienter også kan være håndholdte enheter og mobiltelefoner, men foreløpig regnes ikke disse med. De kommer imidlertid raskt som fremtidige alternativer.

Fordelen med sentrale tjenere er at vedlikehold og sikkerhetskopiering av alle data blir rasjonelt og enkelt å gjennomføre. I praksis blir flaskehalsen i slike løsninger at terminaltjeneren kan bli for svak til å håndtere all trafikken. Moderne terminalløsninger er svært lite sultne når det gjelder båndbredde. Dette gjør slike løsninger til interessante vurderinger for fjernarbeid eller hjemmekontor, fordi det er mulig å kjøre terminaltjenerløsninger over enkle analoge telefonlinjer med 28,8 kbps båndbredde.

God sikkerhet

Terminaltjenere blir spesielt framholdt for sin sikkerhet. Dette gjelder både fordi all sikkerhetskopiering gjøres sentralt, og systemoppdatering og vedlikehold gjøres en gang; ett sted, med fordelen at dette kan gjøres raskt i en hastesituasjon. Siden ingen data lagres lokalt hos brukeren, er faren for at konfidensiell informasjon skal komme på avveie liten. I tillegg er moderne terminaltjenerløsninger relativt enkle å sette opp, og det er vanskelig å gjøre de gedigne feilene. Om løsningen er bare lokalt med kabelbaserte nettverk, er sikkerheten høy også i overføringen mellom terminalklient og -tjener.

Nå er det likevel ikke helt uproblematisk. Dersom en terminaltjener stopper; stopper alt arbeid fra de tynne klientene. Om dette varer en stund, vil tapet i arbeidstid bli merkbart. Vi kan også se for oss usikre terminalløsninger over Internett fra en tynn klient plassert i et avdelingskontor som et gedigent sikkerhetshull. Dette kan gis høy sikkerhet ved installasjon av "Virtuelle Private Nett (VPN)"-tunneller fra klienten til tjeneren. Om man vil ha et minstemål av sikkerhet, må man i det minste ha oppdaterte antivirusverktøy og en brannmurløsning i hver ende.

Hjemmekontor og hjemme-PC

En løsning som er på vei i neste generasjon hjemmekontor er bruken av terminaltjenerteknologi. I stedet for oppringte samband hvor man overfører e-postinformasjon eller filer til en lokal kopi i brukeren sin PC, er denne informasjonen tilgjengelig via en terminaltjener. Dette øker sikkerheten mot å få informasjon på avveie, og reduserer potensielt kostnadene for sambandet, siden mindre informasjon skal overføres.

Når bredbåndsløsningene kommer for fullt, vil kostnadene for sambandet bli minimert; og løsningen vil framstå som rimelig sikker. Dette gjelder om antivirus og brannmur er installert i den tynne klienten. Vi kan da se for oss svært fleksible løsninger for å gi brukeren varierte arbeidsmuligheter. Kombinert med utbygd Web-basert intranett, har vi en mulighet til å gjøre mye informasjon tilgjengelig også for en hjemmebruker.

Tilpasning av PC til brukeren

Et av problemene man ofte møter med tynne klienter, er at brukerne føler at de mister litt kontrollen over sin egen arbeidsplass. En komplett PC kan tilpasses og oppgraderes etter brukeren sine egne preferanser. En ekte tynn klient er masseprodukt; kanskje i beste fall (eller omvendt…) satt opp etter administratoren sine preferanser.

I nyere terminaltjenerløsninger kan dette til en viss grad løses med mulighet for tilpassninger i brukergrensesnittet. Et godt alternativ er kanskje å installere terminalklienter i komplette PCer, og gi dem til de mest krevende brukerne. Disse PCene vil være både tjukke og tynne klienter, og man kan tilpasse bruken og tilgangen etter dette. På denne måten kan enkle og lite båndbreddekrevende oppgaver gis til brukere som ikke bryr seg så mye om giga- og megahertz, mens de medarbeiderne som krever tunge klienter kan få dette. Brukt aktivt og strategisk, gir dette en mulighet for optimering av maskinparken for å minimere kostnadene ved innkjøp.

For bedrifter og organisasjoner med et ønske om høy oppetid av IT-systemene, kombinert med et ønske om å redusere slitasjen for sine driftsfolk, kan terminaltjener være en god løsning. En terminaltjener satt opp med nødvendige verktøy for driftsadministratorer kan redusere behovet for uttrykninger til alle døgnets tider.

Terminaltjenerpotensiale for håndholdte

Vi har sett løsninger demonstrert som viser hvordan håndholdte PCer og mobiltelefoner i nær framtid vil bli de nye tynne klientene i terminaltjenernettverk. Problemet fram til den siste tiden har vært at sambandet har vært for tregt. Med de nye høyhastighetsmobilnettene, GPRS og Bluetooth er dette snart eliminert. Vi har sett løsninger hvor lagermedarbeideren utstyrt med en Pocket-PC får sine plukklister levert direkte fra ordretjeneren, bekrefter at varene er plukket og pakket, og ordretjeneren gir beskjed til kunder og fakturasystem at ordren kan sendes. Slik vil terminaltjenesten også gjøre kunden mer fornøyd.

For den mobile medarbeider vil løsninger hvor kalenderinformasjon gjøres tilgjengelig via mobiltelefonen bli bedre og enklere å bruke. Slik blir de gamle terminaltjenerne lovende framtidsløsninger for å ha informasjon tilgjengelig overalt og til enhver tid, uten at dette må koste skjorta.

Del 40

Effektiv bruk av PC og LAN

Om situasjonen er at man vil administrere nettverksressurser på en sikker og enkel måte, er terminaltjenerløsninger fra Microsoft eller Citrix gode alternativer. I denne utgaven av Nettverksskolen skal vi se nærmere på en løsning basert på Microsoft sin terminaltjener.

-- effektiv bruk av PC og LAN

Vi definerte i forrige utgave av nettverksskolen en tynn klient som enheter med prosessor, internminne, skjerm, mus og tastatur, men hvor alle programmer og data ligger lagret sentralt i en stor tjener. Tynne klienter mangler eller trenger ikke harddisk, CD/DVD-spiller eller floppydiskstasjon. Det som sendes fra klienten er tastetrykk og museklikk, og terminalen returnerer oppdaterte skjermbilder.

Om man ønsker enkel administrering av nettverket, er en terminaltjener definitivt en enkel vei. I vårt tilfelle installeres en Windows NT4 terminaltjener omtrent som en vanlig tjener, og den tilordnes ett ressursdomene som administratoren har domenekontroll i. I Windows 2000 er terminaltjenerfunksjonalitetet en tjeneste som settes aktivt i en standard tjenerinstallering.

Oppsett av programvare

Fordelen med sentrale tjenere er at vedlikehold og backup av alle data blir rasjonelt og enkelt å gjennomføre. For administrative formål vil dette kunne være tjeneren hvor alle administreringsverktøy som er nødvendige kan installeres. Om man for eksempel legger inn MS Exchange, kan visse administrative oppgaver som ellers betyr lange kvelder med observasjon av en progresjonsmåler, bli betraktelig enklere. En administrator som setter i gang en slik jobb, det være seg for optimering av SQL-databasen eller migrering av en Exchange-tjener fra en fysisk tjener til en annen av hensyn til kapasitet eller yting, kan være innlogget i terminaltjeneren uten å ha terminalklienten stående åpen i sin egen PC. Man kan derfor overvåke progresjonen fra en terminalklient hjemmefra, eller fra hotellrommet når administratoren deltar i eksterne konferanser.

For administratorer som av ulike grunner må reinstallere PCen sin fra tid til annen, vil en terminaltjenerløsning bety store innsparinger i tid. Istedenfor å bruke en dag på å grunninstallere PCen, og så to dager for å legge inn administrering av nettverksressurser, holder det med installering av en terminaltjenerklient lokalt. Dette betyr mye spart tid.

All programvare installeres av NT-tjeneren sin egen administrator. Alle brukerne trenger ikke, og bør antagelig heller ikke ha, administrative privilegier i terminaltjeneren som sådan. Med en slik løsning vil en rimelig sikkerhet ivaretas, og man vil også være i stand til å lage ulike tilgangsprofiler. Dette vil være nødvendig og riktig om man ønsker å dele inn administratorene sine privilegier, om for eksempel visse typer elementære driftsoppgaver er satt ut til tredjepart.

God sikkerhet

En av fordelene med en terminaltjenerløsning er den relativt høge sikkerhet. Imidlertid bør man skjøte på sikkerheten minst med antivirus og personlig brannmur for klientmaskinen, og vurdere VPN-tunnell og kryptering for optimal sikkerhet.

I tillegg bør man ha elementær sikkerhet i nettverket sin brukeradministrasjon, hvor ingen vanlige brukere, heller ikke nettverksadministratorer, har nettverksadministratorprivilegier. Slike privilegier bør gis til en egen administrativ konto for den enkelte nettverksadministrator.

Brukt aktivt vil en slik løsning bli meget sikker. Best illustrert blir den kanskje i scenariet med en vanlig PC med en terminaltjenerklient. En administrator vil her få to-nivå pålogging, en med sin ordinære brukerkonto i en vanlig maskin, og en terminalklient med egen pålogging til terminaltjeneren. Slik enkel to-nivå autentisering er sikkert, og ligner mest sikkerheten til de fleste nettbanker med statiske sikkerhetskort i tillegg til PIN-kode som tilgangskontroll.

Den andre siden av terminaltjenersikkerhet er at siden tjeneren er plassert sentralt, vil sikkerhetskopiering og systemvedlikehold være enkle å iverksette og administrere. I tillegg vil en tjeneren gjerne være plassert i ett datarom med tilgangskontroll, og dermed være lite utsatt for direkte datatyveri.

Tilgang over nettet

Moderne terminalløsninger er svært lite sulten når det gjelder båndbredde. Dette gjør slike løsninger til interessante vurderinger for fjernarbeid eller hjemmekontor, fordi det er mulig å kjøre terminaltjenerløsninger over enkle analoge telefonlinjer med 28,8kb båndbredde. Via bredbånd er det overhodet ikke problem. En annen fordel er at administratorverktøyet kan bety mindre nattlige uttrykninger.

Ulempen er selvsagt at om terminaltjeneren i seg selv ikke krever mye ressurser, så vil definitivt en del av administrasjonsverktøyet kreve det. Og i en litt større bedrift vil fort en driftsoppgave som filflytting kombinert med databaseoptimering bety treig yting. Det er derfor viktig å dimensjonere terminaltjeneren etter med en klar baktanke om at den skal gjøre jobben for flere administrative verktøy.

Del 41

Kabel eller trådløst?

Hva bør du velge når du skal legge nytt nettverk eller utvide det gamle? Er det på tide å gå trådløst, eller skal vi beholde kabelen? I denne Nettverksskolen skal vi se på fordeler og ulemper mellom kabler og trådløst nett.

Er det kabel eller trådløst som gjelder? Moten sier helt klart trådløst, men er det dette du bør velge?På den andre siden, er du interessert i å strekke mer kabel, og få nok en kabelbunt å dekorere gulv og hjørner med? I jobben din er det behov for flere nettverksuttak etter hvert som virksomheten utvider, men hvem vet hva framtiden vil bringe? Fortsetter veksten, kan det fort hende at nye kontorer vil være løsningen. Og et trådløst nettverk kan du ta med deg dit, mens kabelnettverket må ligge igjen.

I dagens kablete nettverk er det stort sett kategori 5 Uskjermet Tvunnet Parkabel (UTP) som gjelder. Denne standarden støtter dataoverføringshastigheter opptil 100 Mbps og er enkel å skaffe, også om du trenger montørhjelp. Denne typen kabel vil også gjelde for de fleste hjemmeinstallasjoner. Unntaket er kabel-TV-baserte samband. Kabel-TV-samband kjører sine signaler gjennom koaksialkabler, som er ett eldre alternativ til UTP. Det siste alternativet er optisk samband, men dette er foreløpig ett forholdsvis dyrt alternativ.

For trådløse nettverk heter den mest aktuelle standarden 802.11b, og denne støttes av de fleste store nettverksleverandørene. Protokollen definerer ett samband med opptil 11 Mbps som går i frekvensområdet 2,4 GHz. Med sikkerhetsstandarden Wired Equivalent Privacy (WEP) gir sambandet også ett nivå sikkerhet.

Fordeler med trådløst

Er man lei av kabler og kabelvaser, kabelstrekk og kabelganger og avanserte logistikkoperasjoner hver gang man vil endre litt i kontorlokalene, er trådløst løsenet. Med en basestasjon og trådløse nettverkskort i bærbare PCer, stasjonære PCer og PDAer, er du hurtig oppe med ett fleksibelt nettverk. Når de trådløse nettverkstjenerne også kommer denne høsten, vil også basestasjonen kunne elimineres, i alle fall i bedriften sitt kontormiljø. Hastigheten i det trådløse nettverket er bare 11 Mbps, men om brukerne i nettverket har forholdsvis normale krav vil dette sjelden være et problem. Om du også velger produkter som er merket Wi-Fi (Wireless Fidelity) er du sikker på at enhetene i det trådløse nettverket vil fungere sammen selv om du blander enheter fra flere leverandører.

Fordeler med kabel

Kabelen har sin klare fordel i at teknologien er grundig utprøvd, og erfaringer kan man få tak i om ett eller annet skjærer seg. Sikkerhetsmessig er den en rimelig sikker partner. I tillegg er kabel raskt – kategori 5 UTP er sertifisert for opptil 100 Mbps. Om det ikke er for mye elektriske installasjoner i nærheten eller sammen med kabelstrekket, vil ikke interferens hindre kabelstrekket i å gi maksimal ytelse i sambandet.

Kostnader og sikkerhet

Kostnadsmessig ligger en kablet og trådløs installasjon omtrent i det samme prisleiet i dag, om man regner med kostnader for kabelstrekk og montering av nettverkspunkter for begge. Men om du er avhengig av å kunne skifte kontormiljø raskt, vil trådløst pr. i dag sannsynligvis lønne seg, fordi du vil kunne ta med det trådløse nettverket når du flytter uten for mye møye. Så om denne fleksibiliteten betyr mye, er valget klart.

Sikkerheten er en utfordring for begge typer samband. Enklest i et sikkerhetsperspektiv er det kablete nettverket. Kabler er identifiserbart, og vet man hvor hele strekket går er det vanskelig å tappe det for informasjon. En god sikkerhetsstrategi vil med enkle virkemidler sikre kabelnettet ditt (se tema i PC World nr 8-2001). Trådløse nettverk har fått et mer eller mindre ufortjent rykte for å være usikkert, men mye kan tilskrives at sikkerheten for et trådløst nettverk må settes opp annerledes enn i et kablet nettverk for å fungere. De største leverandørene av trådløse nettverksløsninger leverer i dag gode løsninger som går ut over WEP-standarden. En leverandør som leverer slik tilleggsikkerhet og som har en utviklingsplan for å øke sin sikkerhet, bør komme langt fram i din vurdering av leverandør. Dette kombinert med WEP og din egen sikkerhetsstrategi vil gi deg god sikkerhet. Vurder i tillegg å alltid sette opp VPN-tunnelling for å legge til det lille ekstra du bør ha i IT-sikkerheten din.

Hva må gjøres?

Det er behovet til brukeren som avgjør om man gjør det ene eller andre. Nøkkelmedarbeideren i en finansiell nøkkelstilling vil for eksempel ha andre krav til nettverket enn den grafiske designeren.

Båndbredde betyr lite for den finansielle controller-medarbeideren, men sikkerheten vil være et nøkkelord. Designeren krever krever hurtig overføring av store mediefiler. Salgsavdelingen din bør helt klart komme seg ut og pleie kundene, og vil naturlig nok ha bærbare PCer. Disse bør være like enkle og fleksible når de kommer innom kontoret. Et trådløst nettverk vil gjøre dem stedsuavhengige.

For designeren din er det i dag bare kabel som gjelder; med mindre hun kan kompromisse ned hastigheten for det litt stiligere og moderne trådløse nettet. Legg til ekstra sikkerhet som VPN, og controlleren din vil fint kunne fungere i et trådløst nett. Selgerne dine er åpenbare kandidater til det trådløse nettverket.

Og i heimen? Vel, kabel er kjent og rimelig, men når du vil jobbe et annet sted enn inne i hjemmekontoret, betyr trådløst mer frihet. Og i moderne familier må gjerne begge jobbe hjemmefra samtidig av og til, og trådløst kan spare deg for investering i to faste kontorplasser.

Del 42

Hvordan sette opp hjemmenettverk - del 1

Du har nettverket på jobben, men nå kommer kravet om nettverk i hjemmet. Partneren din vil kunne jobbe hjemmefra, og ungene vil ha kontakt med Internett, men du vil ikke ha jobb-PCen rotet til med spill og frivare. Det er på tide å sette opp et hjemmenettverk.

Det er tid for endring i organiseringen av IT-parken hjemme. Du har for eksempel hjemme-PCen leid fra jobben, den utgamle fire år gamle PCen ungene bruker til dataspill og to bærbare PCer fra din og partneren sin jobb. Det er på tide å samle ressursene, og dele dem best mulig. Ikke bare for å dele skriver, men også datafiler, sikkerhetsinnstillinger mot Internett og hastigheten når du kobler deg opp mot Internett tilsier deling av ressurser som bare et nettverk kan. Og om kort tid vil bedriften din innføre håndholdte enheter til alle – og dataene skal deles mellom enda flere enheter.

Det er underlig at kravet ikke har dukket opp før. PCen er fast inventar i de fleste hjem. Men det kommer flere PCer inn hjemmet, og det stilles krav til forskjellige bruksområder mellom enheter med store skiller i teknisk standard. Det er behov for å dele ressurser som Internett-tilknytning, skrivere, skanner, bildefiler og musikkfiler slik at alle familiemedlemmene får enklest mulig tilgang. Dette har datanettverk gjort i årevis i bedriften, det er på tide å gjøre det samme hjemme.

Ikke lenger en kjempeinvestering

Det er ikke lenge siden nettverk i hjemmet var ensbetydende med å blåse store mengder penger "ut gjennom vinduet". Slik er det ikke lenger, enkle startpakker koster for øyeblikket 595 kroner + mva., og da har du to nettverkskort, kabler og en nettverkshub eller en svitsj.

Vi skal her kikke på kablet nettverk. Standard i dag og i overskuelig framtid er s.k. kategori 5 uskjermet tvunnet parkabel, UTP. Selv om du satser på bredbånd over kabel-tv-nettet, bør du ikke gå for en løsning med koaksialnettverk videre rundt i hjemmet. Å strekke kabel i hjemmet er en liten utfordring, men med UTP er ikke kablingen veldig omfattende – de er omtrent som lampettledninger og går punkt-til-punkt. Nettverkshuben bør minst ha fire porter, men en hub med åtteporter koster ikke mye mer, og du skal ikke ha mange enheter i nettverket ditt før dette vil svare seg.

Egenprodusert kabel bør vurderes om du er har planer om å forandre nettverket ditt ofte. Om du ikke har planer om dette, kjøp heller ferdig monterte kabler med de lengdene du trenger. Det vil for den minimale kablingen vi snakker om her ikke lønne seg å kjøpe eget verktøy for denne jobben.

Tilleggsenheter

Noe av det første som bør vurderes er om det er på tide med en eller annen bredbåndsløsning som krever en annen sentralenhet enn en enkelt hub. I vår definisjon er bredbånd xDSL, kabelmodem eller Ethernet, selv om dette i utgangspunktet er et tema som debatteres heftig. Om du seriøst vurderer et eller annet bredbånd og avgjøringen om dette er like rundt hjørnet, legg litt penger i en liten bredbåndsruter. Dette vil spare en god del arbeid senere.

Det andre spørsmålet er skriver, eller skrivere. Det er ikke uvanlig at det er flere skrivere i huset, og det er engang slik at utskrifter med en litt eldre blekkskrivere koster det hvite ut av øynene. Spesielt om behovet er utskrifter i svart/hvitt – eller simpelthen bare tekst. Blekkskriverne er uovertruffne for forholdsvis rimelige fargeutskrifter, og for å piffe opp noe av korrespondansen. Men banken din gir vel strengt tatt blanke i navnet ditt i farge på toppen av lånesøknaden. Med mindre rødfargen du har valgt matsjer fargen i kontoutskriften din, kanskje... En gammel matriseskriver, eller en rimelig laserskriver, bør klart settes inn som en ressurs i nettverket – i hjemmenettverket ditt vil dette gi rom for innsparing, fordi bruksmønsteret for profesjonell bruk er mer tekstorientert. Og her er kostnadene lavere med en annen skriver enn blekkskriver.

Man bør vurdere å sette en skriver direkte som en egen node i nettverket, både for enkelhet og sikkerhet. Det er mulig å sette opp skriverne som egne enheter tilkoblet hver sin PC, og bruke Skriverdelingen i Nettverksinnstillingene i Windows til å dele ut skriveren tilkoblet PCen. Ulempen er at PCen må startes eller stå på for å få tilgang til skriveren, samt at skriverdelingen i Windows 9x/ME åpner et par bakdører i operativsystemet som en kriminell hacker vil kunne utnytte. Disse kan lukkes, men det er dessverre en større konfigureringsjobb i seg selv. Om man har en brannmur installert som programvare i PCen eller i ruteren mot bredbåndssambandet ditt, reduseres denne risikoen, men den fjernes ikke. Under Windows 2000 og så langt vi har sett i Windows XP er sikkerhetsproblemet mindre.

Den enkleste måten å sette skriverne opp som en egen node, er ved å kjøpe en enkel skrivertjener – dette er enheter med nettverkskort i en side, og to eller tre vanlige parallellporter i den andre. Noen har også kommet med USB-porter for skrivere som støtter dette, men dette er litt utenom temaet her. Dersom du har fått tak i en brukt laserskriver, kan denne ha et eget innebygd nettverkskort. Dette er ekstrautstyr som koster mye ved nykjøp, men det gjør jobben litt enklere.

Oppsummering del 1

Du har din gamle PC, PCen skaffet gjennom Hjemme-PC-prosjektet til bedriften til partneren din,– og en bærbar PC fra jobben som du har med deg overalt for å kunne gjøre jobben din. I tillegg har du en hub, enten som en egen enhet eller en del av bredbåndsruteren. Og to skrivere; en laserskriver og en fargeblekkskriver. Etter å ha planlagt hvordan disse enhetene bør plasseres, har du også skaffet et passe lager av UTP-kabler i riktige lengder. I neste utgave av Nettverksskolen skal vi gå gjennom oppsett av hjemmenettverket ditt.

Del 43

Hvordan sette opp hjemmenettverk - del 2

Vi gikk i forrige utgave gjennom de grunnleggende enhetene i et hjemmenettverk. Vi skal nå se litt på hvordan disse kobles sammen, og forhåpentligvis hjelpe deg litt videre.

Utfordringen din er å koble sammen flere PCer, ved hjelp av en hub. Du har din gamle PC, PCen skaffet gjennom hjemme-PC-prosjektet til bedriften til partneren din,– og en bærbar PC fra jobben som du har med deg overalt for å kunne gjøre jobben din. I tillegg har du en hub, enten som en egen enhet eller en del av bredbåndsruteren du kjøpte etter testen av rutere i nr. 10. Og to skrivere; en laserskriver og en fargeblekkskriver. Du har en viss idé om å få plass til en PC på hjemmekontoret, en kontakt i TV-stua, og den eldste PCen på et av barnerommene. For å få dette opp har du et passe lager med UTP-kabler i riktige lengder.

Enkelt Windows-nettverk

Sentralt i nettverket ditt bør du ha en god stasjonær PC. Til denne kobler du Internett-sambandet ditt, og i alle fall en av skriverne dine. Dersom du velger å koble Internett-sambandet rett i denne hoved-PCen, bør du ha et eget kort som går til resten av nettverket ditt. Dersom du kjører et enkelt nettverksamband, uten egen ruter, forutsetter vi at du kjører Windows og bruker Internet Connection Sharing. Husk å installere en egen brannmur ipå hoved-PCen din og i alle klientene du har i nettverket for å sikre nettverket. Selv om du kjører oppringt samband over analog linje eller ISDN-linje, bør du ha denne beskyttelsen om du vil unngå å eksponere hele nettverket ditt for potensielle crackere (kriminelle hackere). Du bør lage en arbeidsgruppe i nettverksinnstillingene, som du bør kalle noe annet enn "Workgroup". Dette siste er en enkel måte å gjøre det vanskeligere å hacke seg inn i nettverket ditt, samt at du gjør nettverket mer "ditt".

Et nettverk må ha en egen protokoll for at enhetene skal kunne snakke sammen, og dersom du har installert Internett-samband fra før, vil denne Internett-maskinen gjerne ha TCP/IP-protokollen som standard. TCP/IP har blitt den definitive standarden når vi snakker nettverk, men dersom du skal ha PCer fra jobben, kan disse likevel ha installert protokoller fra jobben som ikke er TCP/IP. Du bør legge inn ekstraprokoller for dette. For å sjekke innstillingen din, kan du enkelt finne ut dette ved å bruke "Kjør..:"-valget i startmenyen i Win9x-nettverk, mens du åpner en DOS-vindu i NT4/Win2x. Kommandoen for TCP/IP-innstillingene for Win9x er "Winipcfg", mens kommandoen i NT4/Win2k er "ipconfig".

Nettverk med bredbåndsruter

Med en bredbåndsruter mellom deg og Internett-sambandet, kan du la denne sørge for sikkerheten din via den innebygde brannmuren, samt at den kan settes opp til å dele ut egne adresser via sin innebygde DHCP-tjener. Muligheten til dette konfigurerer du enkelt i de fleste ruterne, og om du stiller inn alle PC-klientene dine til å motta IP-adresse automatisk vil de bli tildelt et internt, privat IP-nummer som vil gjøre det nesten umulig å bryte seg inn i nettverket ditt. Innstillingen for å gjøre enhetene i nettverket ditt i stand til å akseptere IP-tildeling finner du under egenskapsarket til TCP/IP-protokollen i nettverksinnstillingene dine.

Deling av filer

Fildeling gjøres best om du definerer færrest mulig kataloger slik at de er tilgjengelig i nettverket. Kanskje bør bare en eller to kataloger med alle underkataloger inneholde alle filene du trenger. I utgangspunktet er det ikke vanskelig å dele hele stasjoner ut til alle i nettverket, men argumentet er at om noen er uheldig med en feil slettingskommando, kan viktige systemfiler blir slettet. Og slike ting skjer gjerne på det minst passende tidspunktet. En annen fordel er at når du skal sikkerhetskopiere fellesfiler, vil du ha én katalog å konsentrere deg om.

Deling i Windows-nettverket gjøres ved å definere en katalog som "Felles", og dele den i nettverket med å høyreklikke på katalognavnet og velge "Deling…". Deretter gir du den et "vennlig" delingsnavn (del denne som), slik som "Arbeid", "Bilder", Musikk" etc. Husk å begrense antallet som kan koble seg til denne delingen om du kjører NT/Win2k, mens det er kjempeviktig å skru på autentisering på ressursnivå i Win9x-nettverk.

Skrivere installeres enten i de stasjonære PCene dine om de begge har paralellport. Om du har en skriver som støtter USB, kan de evt. kobles til en sentralt plassert PC. Deretter deler du ut skriverne ved å høyreklikke og velge "Deling…" fra kontekstmenyen, omtrent slik du gjorde med fildeling lenger oppe.

Internett-deling

Om dette er gjort riktig, vil du se de andre maskinene og deres delte kataloger og skrivere i "Mitt nettverk" på den enkelte maskin i nettverket. Når dette er klart, bør du fra "hovedmaskinen" din starte opp og kjøre vegviseren for deling av Internett (Internet Connection Sharing) for å gi de andre maskinene i nettverket tilgang til Internett.

Vær så god – kos deg med hjemmenettverk!

TIPS

Ta det rolig – bruk god tid
Nettverkskort (og andre enheter inne i PCen) er ømfintlige for statisk elektrisitet – sørg for å "avstatifisere" deg med jevne mellomrom
Koble fra strømkilder før du kobler nettverksenheter inn i nettverket ditt
Start opp én og én enhet etter hvert som du er ferdig med å stille dem inn for å sjekke at det virker, og skru dem av før du går videre
Vær streng med hvordan du åpner nettverket ditt i starten, og gjør dine egne regler mer fleksible når du får mer erfaring

Del 44

Oppsett av trådløst nettverk - Del 1

Du trenger å utvide hjemmenettverket ditt, eller ser med gru på kabelvaser og kabelstrekk rundt i boligen eller i kontorene når nye medarbeidere skal inn. Kanskje det er på tide å gå trådløst til verks?

På tide å utvide nettverket ditt med trådløse løsninger?

Trådløse nettverk har vært en litt uoppnåelig drøm for mange av oss, men det siste halve året har utviklingen gått i rakettfart. I markedet for avanserte løsninger og enkle småkontorløsninger har det vært stor utvikling, og i forbrukermarkedet har det vært ekstremt mange nylanseringer. Samtidig, og prisene har prisene gått ned.

For de fleste er flere PCer vanlig, men uansett om man ønsker å kunne surfe etter nye oppskrifter ved kjøkkenbenken eller om man vil benytte nye muligheter for fleksibel jobbing, er det kabelbaserte nettverket en grense. Å trekke med seg kabel rundt om, eller strekke nye kabler er lite fleksibelt og fryktelig rotete.

Trådløse alternativer

Utvalget av trådløse teknologier er for øyeblikket konsentrert rundt tre typer: Wireless LAN, Bluetooth og Home RF. Det er fordeler og ulemper med dem alle, for eksempel er det litt mer jobb med å sette opp et WLAN-nettverk enn et Bluetooth-nett, mens kapasiteten i et WLAN er bedre enn for Bluetooth. Home RF sliter litt med lite utvalg av produkter, men fordelen her er den åpenbare at om du allerede har trådløse telefoner og terminaler, kan disse oppgraderes til også å være noder i et trådløst nettverk.

I det følgende vil vi ta for oss det typiske WLAN-nettverket, men det kan være greit å få med at det ene langt fra utelukker det andre. Om du kjører den bærbare PCen din med WLAN til bredbåndssambandet ditt, og med Bluetooth til den håndholdte, vil dette stort sett gå helt fint.

Sikkerhet

Hovedinnvendingen for de fleste er den intuitive usikkerheten knyttet til om datatrafikken din kan plukkes opp av uvedkommende. Trådløst er tross alt trådløse radiosignaler som kan gå alle veier. Og etter denne høsten sine hendinger rundt risiko og sikkerhet, er dette mer aktuelt enn noensinne.

Sikkerhet er her som ellers en konkret vurdering du må gjøre, hvor sikkerhet må veies mot brukervennlighet og tilgang. Men de fleste trådløse samband har nå gode sikkerhetsmuligheter, og de beste har et sikkerhetsnivå som reduserer risikoen til et minimum.

WLAN har en egen sikkerhetsstandard som kalles WEP, og dette minstenivået bør du minst benytte deg av når du setter opp en WLAN-løsning. I tillegg bør du ha tilleggsikkerhet i form av 128-bits kryptering, dynamiske krypteringsnøkler framfor statiske eller låsing av kommunikasjonen til kun å gjelde mellom godkjente nettverksenheter (MAC-nummeret på nettverksenheten din brukes som unik gjenkjenner). bør du i valget mellom en trådløs ruter og et enkelt aksesspunkt sterkt vurdere å legge litt i sikkerheten i en trådløs ruter, hvor du kan bruke brannmurfunksjonaliteten i ruteren for økt sikkerhet. Med en slik ruter kan du sette opp ditt eget, private nettverk med egne, private IP-nummer.

Ruter eller aksesspunkt

Du kan i utgangpunktet godt sette opp ett nettverk hvor en sentral enhet som en stasjonær PC er tilkoblet en type basestasjon, eller ett aksesspunkt. Om du kjører en slik løsning sammen med for eksempel Internett Connection Sharing i en Windows-PC, vil du kunne dele ut for eksempel Internett-sambandet fra denne stasjonære PCen til andre enheter med trådløse nettverkskort. Ulempen er at dette betyr en egen konfigurering av brannmurfunksjonalitet, og en litt mer plundrete sikkerhetsinnstilling. Sikkerhetsnivået vil også bli lavere enn alternativet.

Med en bredbåndsruter vil mye kunne løses. Og en kabelbasert ruter mellom Internett-sambandet ditt og en stasjonær PC med aksesspunkt kan være en rimelig trinnvis løsning om du allerede har et kabelnettverk satt opp, men vil øke fleksibiliteten i det. Om du står klar for å lage et nytt nettverk, er det i og for seg like greit å kjøpe en trådløs bredbåndsruter, fordi kostnaden med ruter og aksesspunkt vil bli lavere i en slik kombinasjon.

Nettverkskort

Det er i hovedsak tre måter å koble en PC trådløst til nettverket. I den bærbare vil et PC-kort være det enkleste og mest elegante, mens du også kan velge en USB-basert ekstern enhet som enkelt kan gå om hverandre slik at du fleksibelt kan koble til en stasjonær PC med USB-grensesnitt, eller en bærbar PC.

I tillegg til den stasjonære er et eget PCI-kort med trådløst grensesnitt en mulighet. Her er ofte løsningen fra leverandørene et PCI-kort med PC-kort grensesnitt som en bærbar PC. Dette er et smaks- og kostnadsspørsmål, men du slipper mye enklere unna med USB om du ikke gidder eller har plass til å åpne og montere et PCI-kort i den stasjonære PCen. Kostnadsmessig kan USB-løsningen fort vise seg å være rimeligst og enklest, men det er ikke alle leverandørene som gir deg et slikt valg ennå.

Når det gjelder standarder innen WLAN, er det i tillegg til WLAN-protokollen selv og WEP-sikkerhetsstandarden en egen standard som skal garantere at trådløse enheter går sammen uavhengig av produsent. Denne Wireless Fidelity-standarden (WiFi) bør du ha som et absolutt valgkriterium i tillegg til WEP med tilleggssikkerhet.

I neste utgave av nettverksskolen skal vi se nærmere på hvordan du skal sette opp enhetene i et trådløst nettverk.

Del 45

Oppsett av trådløst nettverk - Del 2

Du har fått en trådløs ruter i hus, og har skaffet et par trådløse kort i første omgang. Denne gangen skal vi se på hvordan dette skal settes sammen.

Trådløst nettverk er en fleksibel og sikker måte å sette opp et nettverk.

Du har en trådløs ruter og et par trådløse kort. Om du har lest vår test av trådløse rutere i nr 11, vet du at vår anbefaling var en 3Com-ruter, som vi i denne sammenhengen skal bruke som utangspunkt for å sette opp et WLAN-nettverk.

I utgangspunktet er trådløse rutere veldig like, i den forstand at de fleste er trådbaserte i den forstand at de har en tre- eller fireporters svitsj eller hub for trådbaserte nettverk, i tillegg til at de har et trådløst aksesspunkt. Fordelene med en slik kombinasjon er åpenbare, du må ha et kabelbasert samband for å konfigurere ruteren, og du har mulighet til å sette opp en skrivertjener som gjør at du har tilgang til en skriver uavhengig av å ha en spesifikk PC stående på hele tiden. En av de bedre ruterne tilgjengelig i markedet har til og med en innebygd skrivertjener.

Tilgang og oppsett

I hovedsak settes alle ruterne nå enkelt opp med Web-baserte grensesnitt mot en PC som får tildelt IP-adressen sin fra ruteren. Dette vil si at PCen du kobler til ruteren, må settes opp uten faste IP-adresser. Dette gjøres fra Egenskaper i nettverkskontrollen i Win9x-PCer, eller fra egenskaper for nettverkskortet i WinNT-baserte operativsystemer (NT4, Windows 2000 og XP). Du angir her at IP-nummeret skal tildeles automatisk. Etter at dette er satt aktivt, blir du for de fleste PCer bedt om å restarte maskinen. Dette er det viktig at du gjør.

Når du så er klar med PCen, er kobler du den med kabel til baksiden av ruteren, kobler ruteren til bredbåndssambandet og til strømnettet. De fleste nyere rutere konfigureres enkelt med en Web-leser, og vi vil konsentrere oss om denne måten. Imidlertid er det langt fra uvanlig at en del av ruterne vil gi deg muligheten til å sette innstillinger ved et serielt grensesnitt og ulike telnetkommandoer. Dette vil i spesielle tilfeller bare være nødvendig for oppdatering av den interne styringsprogramvaren (firmware'n) i ruteren. Med mindre du er særskilt glad i kommandobasert programmering, hold deg unna…

Når Web-leseren din er vel oppe og kjører, taster du inn en URL oppgitt av ruterleverandøren. Denne består av et IP-nummer, og om alt er riktig, vil du få et innloggingsvindu hvor du angir et brukernavn og passord.

De fleste ruterne har egne veivisere for innstilling, og du oppgir her de grunnleggende innstillingene for IP-nummer fra bredbåndsleverandøren din, hvilket sikkerhetsnivå du ønsker og hvor mange enheter du vil koble til, og hvilke interne IP-nummerrekker de skal få IP-nummeret sitt fra.

Brannmur og sikkerhet

De fleste rutere vi har testet har sin egen innebygde brannmur, og dette gir deg en unik mulighet til å sette et sikkerhetsnivå som er veldig enkelt å vedlikeholde, og hvor nivået er høyt. I utgangspunktet er det kun IP-nummeret til ruteren som "synlig" på Internett, maskinene du kobler til vil være "usynlige". Om du i tillegg setter opp vern med sikkerhetsstandarden for trådløse samband - WEP, vil det være vanskelig å avlytte den trådløse kommunikasjonen. For de fleste av ruterne er det nok å sette brannmuren aktiv, selv om det er gode muligheter for å tilpasse denne til for eksempel å nekte nedlasting av programmer eller visse typer mediafiler om du skulle ønske det.

Et av de viktigste momentene du må få med deg, er å endre i alle fall brukernavn og passord for ruteren din. Se også om du kan endre ruteren sin egen IP-adresse som du brukte første gang du logget deg inn for innstillinger. Grunnen er at ruterleverandørene gjør få og små endringer fra rutertype til rutertype, og for sikkerhetsskyld bør du ikke la en slik gylden mulighet ligge åpen for crackere (kriminelle hackere).

Konfigurer nettverkskort

Du får i utgangspunktet tre typer nettverkskort/enheter som skal koble PCen din til den trådløsruteren. Det vanligste er et PC-kort, men etter hvert kommer også USB-baserte små enheter. I tillegg har vi PCI-grensesnittkort som installeres som et vanlig tilleggskort i maskinen din. Disse har enten egen sender, eller baserer seg på at du putter et PC-kort inn i maskinen.

I utgangspunktet kan du se etter WiFi-merket når du kjøper trådløst utstyr. Dette merket står for kompatibilitet mellom enhetene, men det sier lite eller ingenting om hvor mye de yter. Dette betyr at du kan kjøpe en veldig billig nettverksenhet med WiFi-merke, og skal kunne koble den opp til en normalpriset ruter, og dette skal virke. Imidlertid vil avstanden kunne variere; vi har sett billige kort med en rekkevidde ned i 25 meter innendørs, mens et kvalitetskort fort klarer 100 meter. Sjekk før du kjøper.

Nettverkskortet/enheten vil stort sett bli automatisk detektert, og du må installere drivere fra egne CDer før den opptrer som et nettverkskort i maskinen din. I utgangspunktet er det to innstillinger som er viktige; arbeidsgruppe må være identisk mellom kort og ruter, og WEP-innstillingene må være de samme. Om du er sikkerhetsorientert og har en ruter med tilleggsikkerhet utover WEP, må du også ha like innstillinger.

Da skal det være å teste oppsettet; og har alt gått bra, finnes det gode oppskrifter for feiring på nettet - ta den trådløse PCen inn i kjøkkenet og utnytt det!

Del 46

Sikkerhet i nettverket del 1

Nettverket er glimrende for deling av ressurser, men det har også potensielle svakheter. Sikkerhet i nettverk er å ta de grepene som lar deg utnytte alle mulighetene i fred.

Det er enkelt å redusere de verste truslene mot nettverket.

Sikkerhet i nettverket inneholder noen grunnleggende forutsetninger - men først noen tips om hvordan du legger opp til gode sikkerhetsrutiner. Grunnleggende datasikkerhet var tidligere i hovedsak noe nettverksadministratoren trengte å bry seg om, mens brukeren kunne ta det mer med ro. Sikkerhet i den enkelte PCen var antivirusprogramvare, og kanskje passord for enkelte filer. Etter hvert har behovet for sikkerhet på PCen endret seg, dessverre. På samme måte som en bil trenger bilbelter i god stand, oljeskift og vedlikehold av og til for sikker og stabil drift, trenger nettverk og PCer grunnleggende sikkerhet, vedlikehold og oppdateringer for å være trygge.

Grunnleggende sikkerhet er å hindre uvedkommende adgang til dine data - og unngå at de tappes, ødelegges eller endres uten ditt vitende - for å være viss at du får gjort jobben din uten tap av tid. Alle de tiltak du setter i gang for å få til dette er sikkerhet. Og på samme måte som at ingenting er helt sikkert i dagliglivet, er målet å få det sikkert nok. I IT sikkerhet gjelder grunnregelen at det eneste som er sikkert, er at IT aldri blir helt sikkert.

Antivirus

Den første trusselen man møter i IT-hverdagen, er datavirus. Disse småprogrammene er trusler som arter seg slik at de kan endre dine data, ødelegge dem, eller sette IT-ressursene dine i gang med meningsløst sludder framfor effektivt arbeid. Sikkerhetstiltaket er først og fremst å bruke et godt antivirusprogram, og ofte kan det være en idé å bruke to - en i arbeids-PCene, og en annen på tjenerne i nettverket. Dette er ikke fordi AV-programmene er notorisk dårlige. Men responsen når det gjelder ulike nye trusler varierer fra leverandør til leverandør, og et dobbelt sett med antivirusverktøy snurper inn maskevidden i sikkerhetsnettet ditt. Har du mye trafikk ut mot Internett, bør i allefall den første maskinen Internett-trafikken møter ha et eget antivirussystem.

Brannmur

Det er ikke lenge siden brannmurer - maskiner eller programvare som filtrerer trafikk mellom Internett og internt nett - var forbeholdt virkelig store nettverk. Slik er det ikke lenger. Nå bør enhver som har kobling mot Internett, ha minst én brannmur. I hjemmenettverket holder det som regel å installere en programvarebrannmur, og av disse finnes det flere gode, og noen av dem er også gratis for hjemmebruk. I små organisasjoner kan en programvarebrannmur holde, men det er tilrådelig å ha en maskinvarebasert brannmur. Fra fantasipriser for kun kort tid tilbake, er det et vell av gode enheter med brannmur for mindre nettverk tilgjengelig. Vi har sett små rutere med gode brannmurløsninger omsatt til lav pris, og selv om vi går opp i nettverk med 15-20-brukere koster brannmurer med gode ruterfunksjoner en brøkdel, og mindre enn hva en dags nedetid i en slik bedrift vil koste.

Passord

Passord har lenge vært en enkel sikkerhetsregel, men enkelheten har også gjort den til et svakt ledd. Altfor ofte er passordene altfor enkle, og det skal ikke mye fantasi til for å knekke dem. Dessverre er det nødvendig å legge mer omtanke i dette enn før. Kjører man et nettverksoperativsystem, er det tvingende nødvendig både å legge opp regler for kompleksitet, unngå at brukere gjentar gamle passord, og tvinge fram passordendringer med jamne mellomrom. Og - husk å sikre selve brukerdatabasen.

Om man kjører enkle klienter som kjører et eller annet enkelt OS som en Win9x-versjon eller eldre Mac OS, er passordmulighetene der bare tull, og så enkle å knekke at man ikke trenger mye fantasi. Om du tenker å kjøre flere applikasjoner fra nettverk og ut til klient, bør du tidligst mulig legge inn at en bruker og et passord får tilgang til mest mulig. Forbannede brukere som må taste nye passord for å utføre enkle arbeidsoppgaver i eininga, er en sikkerhetsrisiko i seg selv.

Oppdateringer

Vedlikehold er en nødvendighet, og et godt sikkerhetssystem må oppdateres. Og oppdateringa må legges inn i en utine, som selv må oppdateres. Oppdatering av antivirusprogramvare er den vanligste sikkerhetsbristen for både nettverk og hjemmekontor, og i vår stadig mer mobile hverdag vil dette bety nye utfordringer. Antivirus hjemme, og opplæring av brukeren til oppdatering, er nok dessverre IT-administratoren sin tunge plikt. Heldigvis blir flere og flere av sikkerhetsprogrammene utstyrt med automatiske oppdateringsrutiner.

Viktigst er likevel oppdateringer av selve operativsystemet og brukerapplikasjonene, og av filtjenere og NOS. Alle kjente OS har sikkerhetshull, og uavhengig av om du kjører Linux, Netware, Unix eller Windows og dette eller hint av en Office-pakke, må jevnlige oppdateringer til. Og dette må gjøres som en rutine. Hvordan dette dokumenteres, er heldigvis litt friere. Men en liten sjekkliste for deg selv kan være nyttig når et eller annet riv ruskende galt skjer. Og husk å ta sikkerhetskopier av både data og rutiner.

Neste gang skal vi se litt mer på avanserte sikkerhetsinnstillinger.

Del 47

Sikkerhet i nettverket del 2

I forrige utgave av nettverksskolen startet vi med punkter for elementær sikkerhet. Når sikkerhet skal utvikles og implementeres i et mer avansert nivå, krever dette først og fremst kunnskap om situasjonen i dag – og en god slump analyse.

Avansert sikkerhetstenking er i bunn og grunn mye analysearbeid.

Avansert IT-sikkerhet kjennetegnes av mye kunnskap. Og kunnskapen gjelder ikke nødvendigvis innstillinger av avansert programvare og sære bokser. Kunnskapen er grunnleggende knyttet til en helt klar forestilling om hva man ønsker. For å repetere grunnleggende sikkerhetstenking: Det eneste som er sikkert, er at ingenting er helt sikkert. Om vi fortsetter tankegangen: Sikkerheten må være sikker nok – og i balansen mellom disse erkjenningene settes det opp en sikkerhetsretningslinje.

Analysere trusselbildet

Hvilket trusselbilde står man overfor? Det er klart at det er andre krav til sikkerhet på hjemmekontoret med en enkel, kombinert maskin for dataspill og hjemmebudsjett, enn til kontor-PCen med tegninger og kundeopplysninger. Men tankegangen bør være den samme: Hva kan skje dersom dataene mistes? Hvor lenge kan man klare seg før data kommer tilbake? Hvilke data er sårbare for bedriften? Hvor viktige er bildene på hjemme-PCen av barna som små? Ut fra slike spørsmål, settes rammeverket for sikkerhet opp. Og retningslinjene for IT-sikkerhet bør både være en strategisk plan og retningslinjer – hvor rullering med jevne mellomrom er en del av strategien.

Standardisering

Et grep som både øker sikkerhet og reduserer IT-kostnader, er standardisering av maskinvare og programvare. Ulempen er at dette kan føre til støy innad i organisasjonen. Men om man velger å kjøpe inn maskinvare av et spesielt merke for hver type tjener, PC eller bærbar, vil en rammeavtale kunne føre til lavere pris og bedre servicekvalitet. Om man standardiserer slik at alle tjenerne kjører samme operativsystem, eller hvor alle tjeneren kontrolleres av samme autentiseringstjeneste, vil problemer knyttet til tilpasning av programvare og innføring av ny programvaretype bli redusert. Og en standard for hvilket operativsystemet enkelt-PCene skal kjøre vil kunne føre til svært effektiv administrasjon av PCer. Og gode standarder vil redusere risikoen for feil, ustabilitet eller ukyndig bruk av IT-systemet, og øke sikkerheten.

Filsystemer og kryptering

Om man ønsker å ha sterk sikring av datafilene, er et slikt krav en effektiv måte å redusere valgproblemene. Kryptering er en verdifull tilleggsikkerhet, men dette sikres foreløpig best med tredjepartsprogramvare. Krypteringsretningslinjer for e-post er noe som vil komme, men foreløpig baseres dette på at flere må ha digitale sertifikater. Om man vil ha samband mellom avdelingskontorer eller hjemmekontorer og en sentral datatjeneste, er innføring av VPN en enkel måte å sikre kommunikasjon. VPN-enheter er etter hvert blitt rimelige og enkle å skaffe og sette i drift.

Brannmurer og DMZer

I et nettverk av noe størrelse, må det være maskinvarebaserte brannmurer. Slike brannmurer er etter hvert blitt enklere å sette opp, med flere valgmuligheter og redusert pris. I tillegg bør man vurdere å dele opp nettverket, både for å få effektivisert kommunikasjon i nettverket, men spesielt viktig er det om man ønsker å åpne opp for at eksterne leverandører eller Web-brukere skal få tilgang til deler av informasjonen. Dette bør føre til at man vurderer å opprette en "demilitarisert sone" (DMZ) hvor man setter tjenere med slik informasjon, slik som Web-tjenere og ytre mottak/antivirusskanning av e-post.

Teste-teste-teste

En av de store utfordringene i et nettverk er oppetid og stabilitet. Dette kan lett arte seg som en debatt mellom ulike operativsystem, men dette er en grov forenkling. Alle moderne nettverksoperativsystemer gir stabile tjenere, men det er en overoptimisme at alt kan installeres problemfritt i ulike maskiner uten videre. Dette er stort sett bare tull, og kun en satsing på skikkelige testrutiner og etablering av testmiljø vil sikre oppetid. Innen IT-sikkerhet er dette en vesentlig suksessfaktor.

Forankring

Hvordan settes et sikkerhetsarbeid i verk? Det viktige er å forankre informasjonen på ledernivå utenfor IT-avdelingen. Og innebærer strategiarbeidet vesentlige endringer i måten man jobber med IT, må god informasjon til brukere/kunder ha høy prioritet. Og dette gjelder uavhengig av om man hindrer tilgangen til "Big Boring" over jobbnettet, eller avgrenser dataspill i hjemmenettverket til én maskin.

I neste utgave skal vi ta for oss håndholdte PCer og de nye sikkerhetsutfordringene de representerer.

Copyright © 2002 Øyvind Haugland Sist endret: 10 april 2013

Copyright © 2002 Øyvind Haugland
Sist endret: 10 april 2013