Lďiâi˜ÊÓ䣣
/,
Ê
/
MONITORING, ŘÍZENÍ A ZAJIŠTĚNÍ PROVOZU SÍTĚ
9, Ê<,/"6Ê-/ù
OD PŘÍSTUPOVÉHO BODU K CENTRÁLNĚ SPRAVOVANÉ SÍTI
÷.Ê6Ê-
" Ê69
CZECHACCELERATOR DOSTÁVÁ ČESKÉ FIRMY DO SVĚTA
"-
xÓÊ
NOVINKY
AKTUALITY Z PODNIKOVÉHO IT
ÈÓÊ
ŠESTKA MÍSTO ČTYŘKY
IPV6 V PRAXI
ÇÓÊ
SPRÁVA INCIDENTŮ
ITIL KROK ZA KROKEM IV
xÎÊ
POŘÁDEK VE VAŠÍ SÍTI
ŘÍZENÍ PROVOZU SÍTĚ
È{Ê
AKTIVNÍ SÍŤOVÁNÍ
AKTIVNÍ PRVKY V SÍTÍCH
ÇÈÊ
UVOLNĚTE TY MILIARDY
BUDOUCNOST EKONOMIKY
xÈÊ
MISTR DRÁTENÍK
KABELÁŽ PRO 10 GB
ÈÈÊ
VYBRAT TEN SPRÁVNÝ
NÁVRH AKTIVNÍCH PRVKŮ
ÇnÊ
ŘEŠENÍ IDENTIT
CO PŘINÁŠÍ SPRÁVA IDENTIT
xnÊ
PŘÍDĚL DATOVÉ POTRAVY
QUALITY OF SERVICE QOS
ÈÇÊ
BRNO V SILICON VALLEY
TIPY ČECHŮ Z VALLEY
näÊ
VÝPADKY POD KONTROLOU
APC SMARTUPS X 1500VA
ÈäÊ
SMB HARDWAROVÉ FIREWALLY
USG FIREWALLY ZYXEL
ÈnÊ
WEBY, VYTVÁRAJTE SA
MICROSOFT WEBMATRIX
nÓÊ
UNITED COMMUNICATIONS
OFFICE COMMUNICATOR V PRAXI
È£Ê
HYBRID LÉTAJÍCÍ VZDUCHEM
HYBRIDNÍ BEZDRÁTOVÉ SÍTĚ
ÇäÊ
AŤ TO FRČÍ
RATIONAL TEAM WEBTOP
aktuality
Nové Wi-Fi body od HP s propustností 900 Mb/s
Společnost HP uvedla na trh novou
řadu přístupových Wi-Fi bodů
s názvem HP Mobile Access
Solution. Zahrnují dvojitý
rádius standardu 802.11n,
přičemž každý rádius
dokáže přenášet tři
datové proudy namísto
dvou. Díky tomu by se
mělo dát dosáhnout
celkové propustnosti až
900 Mb/s a HP slibuje výrazně
vyšší výkon, než mají podobné
konkurenční produkty. Mobile
Access Solution naleznete
v přístupových modech
E-Series Multi Service
Mobility 430, 460 a 466.
Součástí dodávky je
také jednotný software
pro administraci, který
umožňuje najednou
spravovat klasické
i bezdrátové aktivní prvky.
VMware View 4.6 s lepším vzdáleným přístupem
View 4.6 od VMware
pro virtualizaci
desktopů na serverech
už je k dispozici.
Novinka si dává
za cíl především
vylepšit vzdálený
přístup uživatelů
k virtualizovaným operačním systémům.
Protokol PCoIP nyní podporuje View Security
Server, díky němuž je možné ke vzdáleným
systémům bezpečně
přistupovat i bez
použití SSL VPN.
VMware se s PCoIP už
delší dobu snaží firmám
nabídnout technologii,
která by v praxi
skutečně nabídla
použitelné streamování operačních systémů
uživatelům. V této oblasti soupeří především
s Citrixem.
Siemens nabízí unified communications jako
cloudovou službu
Siemens začal nabízet OpenScape Cloud
Solutions, balíček cloudových služeb pro
sjednocenou komunikaci a hromadnou práci
více uživatelů. Služba sjednocuje funkce
aplikací OpenScape UC, OpenScape Voice
a OpenScape Web Collaboration. Kromě
skutečnosti, že je možné tyto služby nově
využívat jako cloudovou službu v externích
datových centrech, Siemens zkouší začlenit
také nové technologie, například dotykové
ovládání pro koncové produkty. K dispozici
je například také zásuvný modul pro Google
Apps. OpenScape Cloud Solutions jsou
dostupné výhradně přes obchodní partnery
Siemensu.
Windows Intune jdou
na český trh
Už 23. března se na český trh dostane
produkt Windows Intune od Microsoftu
s tím, že všem zájemcům bude k dispozici
i třicetidenní bezplatná zkušební verze.
Windows Intune je součástí cloudové
strategie redmondského giganta, který
touto cestou chce nabídnout firmám všech
velikostí jednoduchou centrální správu
počítačů přes cloud. Ke správě tedy není
potřeba vlastnit fyzicky serverová řešení,
ale vše se odehrává formou služby. Intune
umožňuje správu
všech počítačů přes
cloud a je jedno, zda
jsou to počítače ve
firemní síti, nebo stroje
v terénu. Součástí
licence je také
upgrade systémů na Windows 7 Enteprise.
Zkušební verzi a ukázková videa hledejte na
windowsintune.com a podrobný článek
očekávejte v příštím Connectu.
VMware vCenter
Operations pro
správu cloudu
Nová služba vCenter Operations od
VMware umožňuje zjednodušenou správu
služeb v privátním i externím cloudu a ve
virtualizovaném prostředí. Zabudovaný
panel v reálném čase informuje o veškerém
provozu v monitorované a spravované síti.
Nová analýza lépe monitoruje veškeré dění,
a má tak zrychlit řešení problémů až o 40 %.
Zajímavou funkcí má být práce v reálném
čase se všemi prostředky, takže je možné
veškeré operace vykonávat za chodu
bez výpadků chodu. K dispozici je také
automatická detekce změn a monitoring
pro případné ladění podle aktuálních
požadavků IT.
Cisco Expo
Jednou větou
HP chce budovat cloudovou platformu
a App Store s aplikacemi
VMware View už je k dispozici také pro
iPad. Můžete se tak dálkově připojovat
k virtualizovaným desktopům
52
Connect! březen 2011
Acer nabízí nový mikroprojektor C112 pico
s výdrží až 2 hodiny
Společnost SeaMicro představila server
s 256 procesory Intel Atom N570
Novým šéfem Motorola Solutions ČR je
Ivan Kunert
Společnost Cisco pořádá ve dnech 20. 4.
a 21. 4. 2011 tradiční konferenci Cisco Expo.
Ta je určena pro všechny odborníky, kteří
se zajímají o datová centra a virtualizaci
nebo se chtějí informovat o novinkách,
trendech a technických podrobnostech
v oblasti síťových služeb a technologií. Více
na www.ciscoexpo.cz.
téma
ším kroku je nutné definovat, co chcete, co
je pro vás důležité. Jinými slovy definovat
pravidla. Ve třetím kroku je pak potřeba
zajistit prosazení těchto pravidel. Následně vše vyhodnotíte a případně korigujete.
Zpětná vazba je nutnou podmínkou.
De facto jsme si stručně popsali, co je
to traffic management. Jedná se o proces
tvořený následujícími kroky:
monitorování
klasifikace (definování pravidel)
prosazení pravidel (akce)
dlouhodobé monitorování (sledování
trendů a záznam dat, accounting)
Přesné a spolehlivé monitorování (rozpoznání) jednotlivých aplikací je základem
dobrého řešení. V dnešní době je nezbytná identifikace na sedmé aplikační vrstvě.
Proč? Důvodů je několik. Řada aplikací
je tvořena více protokoly, například VoIP
(H.323, SIP) jsou tvořeny signalizačním
protokolem a hlas se přenáší pomocí RTP.
Mnoho aplikací využívá HTTP protokolu,
někdy se mluví o „webifikaci“. A v neposlední řadě přibývá aplikací, které jsou úmyslně napsány tak, aby byly téměř neodha-
*"ÿÊ6Ê6.Ê-/
Průvodce řízením provozu sítě
Proč a kdy se vyplatí řídit provoz ve vaší síti? Jaké jsou typy
řízení provozu v síti a jaký je vliv jednotlivých druhů aplikací
na provoz v síti? Dozvíte se v průvodci řízením provozu sítě.
N
eustálá dostupnost informací je
dnes pro řadu organizací naprostou nutností. Nedostupnost nemusí být způsobena jen výpadkem, v mnoha
případech „stačí“, když je síť pomalá. Společnost Infonectics Inc. ve svém výzkumu
vyčíslila finanční důsledky problémů v různých oborech. Více v přiložené tabulce.
Jak je vidět, jedná se o nezanedbatelná čísla. Asi není potřeba nikoho obzvlášť
přesvědčovat, že je lepší problémům předcházet. Co tedy může způsobit problémy
provozu v síti? Představa, že si nevytisknete
fakturu, protože někdo rozeslal hromadný
e-mail, nebo že se nedovoláte pomocí
VoIP, protože někdo stahuje v P2P síti film
nebo poslouchá internetové rádio, se může
zdát přehnaná. Bohužel se však často jedná
o realitu.
Různé aplikace mají na síť různé požadavky. V podstatě se jedná o čtyři parametry – pásmo (bandwith), zpoždění (delay),
proměnlivost zpoždění (jitter) a ztrátovost
(packet loss). Stahování DVD z internetu
může trvat několik dnů, ale musí se přenést bez ztráty jediného znaku. Při zpoždění přes 200 ms je telefonování přes IP
prakticky nepoužitelné, naopak ztrátovost
paketů kolem 1 % lidské ucho díky své nedokonalosti nezaznamená.
Jak zajistit, aby síť byla natolik inteligentní a dokázala se k jednotlivým aplikacím chovat tak, jak vyžadují? Právě toto řeší
traffic management, česky bychom řekli
schopnost řídit provoz v síti. Traffic management představuje inteligenci sítě. Jedna
z definic říká, že inteligence je schopnost
přizpůsobit se změnám. Podmínky v síti se
mění neustále, tudíž se jedná o kontinuální
proces. Pokud chcete něco řídit, nejen v síti,
musíte v prvé řadě vědět, co se děje. V dal-
AUTOR
specialista na datové sítě firmy INTELEK
Proces traffic managementu
Rovněž klasifikace, tj. vydělení určité části provozu, musí být maximálně flexibilní.
Čím více kritérií lze využít, tím lépe – zdroj/
cíl, aplikace, čas, VLAN, DSCP. Podmínkou
jsou víceúrovňová pravidla, jen tak lze definovat profil jednotlivých uživatelů nebo
profil provozu na jednotlivé pobočky.
Jedná se o nástroj k prosazení toho,
co je důležité pro vás a vaše uživatele.
V podnikovém prostředí lze P2P nebo
Skype blokovat, v síti poskytovatele interAplikace
Ztrátovost Zpoždění
Jitter
Šířka
pásma
Mail
velký
malý
malý
malý
Přenos souborů
velký
malý
malý
střední
IP telefonie
malý
velký
velký
malý
Videokonference malý
velký
velký
velký
Ztráta způsobená nefunkčností sítě podle odvětví
Odvětví
Alexej Dubov
litelné. P2P nebo Skype využívají náhodně
zvolené dynamické porty, šifrování atd. Bez
DPI (Deep Packet Inspection) technologie je dnes nemožné takový úkol úspěšně
zvládnout. DPI je klíčem k účinnému řízení
provozu sítě.
Energetika
Zdravotnictví
Roční zisk
[miliardy
USD]
6,75
44
Roční ztráta
způsobená výpadkem
[miliony USD]
Hodinová ztráta
Část způsobená
způsobená výpadkem
výpadkem [%]
[tisíce USD]
Část způsobená
degradací
výkonu [%]
4,3
1,624
72
28
74,6
96,632
33
67
38,710
56
44
1,573
51
49
Cestovní ruch
0,85
2,4
Finance
1,2
0,379
Connect! březen 2011
53
téma
netu naopak prioritizovat.
Lze garantovat maximální
prioritu pro přístup do SAPu
pro účetní oddělení v době
účetní uzávěrky. Uživatelé
VoIP budou mít garantované minimální pásmo podle
použitého kodeku.
Monitoring v reálném
čase vám umožní okamžitě
odhalit problémy v síti, nesprávně definovaná pravidla, problematické aplikace
Proces traffic managementu
i uživatele. Dlouhodobý
monitoring a možnost definovat reporty vám umožní sledovat trendy
gementu musí být mnohem flexibilnější
v síti a předcházet problémům. V prostředí
než firewall. Musí garantovat minimum a/
poskytovatele internetového připojení lze
nebo omezovat maximum. Musí být schodlouhodobý záznam dat použít pro účtopen garantovat minimum nebo omezovat
vání podle přenesených dat (billing).
maximum nejen na úrovni pravidel, ale
i pro každé jednotlivé spojení (session).
Řada událostí v síti se děje nepředvídatelně. Může se jednat o šíření síťového
Jen tak lze garantovat potřebné parametry
červa, spam, 100% zatížení internetové
pro jednotlivé VoIP hovory podle zvolenépřípojky atd. O takových událostech je
ho kodeku. Není od věci mít také možnost
vhodné být informován okamžitě, ještě než
omezit počet současných spojení i počet
problémy zaznamenají uživatelé. Způsob
nových spojení za sekundu. Lze tak zamezit
zasílání upozornění si lze zvolit podle důlemimo jiné šíření červů a omezit DoS útoky.
žitosti – e-mail, SNMP trap nebo SMS.
Neméně důležitá je i podpora priorit – zjedKomplexní řešení řízení provozu pro
nodušeně řečeno na jeden paket s prioritou jedna, dva pakety s prioritou dvě atd.
malé i velké firmy nabízí společnost Allot
Communications. Řada produktů NetEnDobré QoS řešení musí mít ošetřeno
i stav, kdy dojde v rámci definovaného
forcer umožňuje monitorovat a formovat
pravidla nebo i celé sítě k vyčerpání pásprovoz od 2 Mb/s do 5 Gb/s, a to právě
na sedmé vrstvě (L7). V kombinaci s Nema. Ne vždy je možné spočítat minima tak,
tXplorerem, což je centrální management
aby jejich součet odpovídal dostupnému
a reporting, dokáže vyhovět požadavkům
pásmu. Uživatelé se spoléhají na rozložení
i těch největších firem a operátorů.
provozu v čase a poskytovatelé internetu se
vždy snaží svou kapacitu prodat několikrát.
Klasifikace a zajištění kvality
V takové situaci se mohou uplatnit právě
provozu
priority. Provoz s vyšší prioritou se prosadí
Jako klasifikační kritéria lze zvolit zdroj a cíl
na úkor provozu s nižší prioritou. Lze tak do(MAC, IP adresa, subnet, rozsah IP adres,
sáhnout toho, že VoIP telefony budou fungovat vždy, i tehdy, když bude síť přetížena
host name), protokol nebo aplikaci, čas,
stahováním filmů či rozesíláním pošty.
VLAN nebo DSCP (Differentiated Services
Pouze dynamická garance QoS umožní
Code Point). Jejich kombinací je možné
flexibilně vyčlenit specifickou část provozu
optimální využití sítě. Pokud byste napřípro monitorování i pro QoS „akci“.
klad garantovali 5 VoIP hovorů s kodekem
G.711, znamenalo by to, že máte neustále
Flexibilita a přehlednost jsou přitom veobsazeno 500 kb/s bez ohledu na to, zda
lice důležité. Definovat pravidlo pro „Josefa
Nováka“ nebo pro „SAP server“ je jistě přeněkdo telefonuje, nebo ne. Pokud je pásmo
hlednější než pro IP adresu 192.168.1.25.
přidělováno pouze v dané chvíli existujícíMožnost předefinovat a pojmenovat si
mu provozu, a jakmile je daný provoz ukonjednotlivé objekty tak, aby se s nimi jedčen, je opět volné, je síť využita naprosto
noduše pracovalo, je velkou výhodou. Podokonale. Umožňuje pak splnit protikladné
hodlné je také sdružit jednotlivé objekty
požadavky – umožní stahovat filmy nebo
hudbu pomocí P2P plnou rychlostí a poudo skupin, například „účetní oddělení“,
ze v okamžiku, kdy někdo zvedne telefon,
„tiskové servery“, „neplatiči“ či „nežádouje P2P dočasně potlačeno, a to přesně jen
cí aplikace“. Lze tak jednoduše definovat
o pásmo potřebné pro daný kodek. Hovor
i hromadná pravidla pro jednotlivé objekty ve skupině nebo naopak jedno pravidlo
má garantované vše potřebné pro maxipro celou skupinu.
mální kvalitu a v okamžiku, kdy je hovor
V dalším kroku definujete QoS, jinými
ukončen, stahování může pokračovat opět
slovy co se s daným provozem stane. Loplnou rychlostí. To je extrémní případ, ale
totéž lze uplatnit pro CITRIX tisk, rozesílaní
gicky se nabízí provoz v daném pravidle
pošty, videokonference atd.
povolit a zakázat, ale řešení traffic mana-
54
Connect! březen 2011
Není od věci podívat se
také na to, jaký způsob pro
„shapping“ je zvolen. Klasické
mechanismy používané směrovači jsou účinné pouze pro
určitý typ provozu a nejsou
dynamické. Nevhodný je určitě „rate limiting“, jinými slovy
zahazování paketů. Některé
aplikace jsou na to velmi citlivé a třeba hráčům online her
to může způsobit problémy.
Pro TCP aplikace je ideální využít zrychlování/zpomalování
TCP ACK paketů, které dokáže
zrychlit nebo zpomalit příslušnou aplikaci. Pokud si chcete být kvalitou zvoleného
řešení opravdu jisti, je vhodné ověřit, jak
dané řešení funguje s P2P aplikacemi. Ty
totiž řadu standardních mechanismů ignorují.
DPI (Deep Packet Inspection)
Stále více aplikací se maskuje, aby nebyly
v provozu rozpoznatelné. Z jakého důvodu? V posledních několika letech došlo na
internetu k významné změně. Objevily se
P2P aplikace, které uživatelům umožňují
sdílet prakticky cokoliv, nejčastěji hudbu
a filmy. Když se v roce 1999 objevil Napster,
hudební nakladatelství se snažila zamezit
provozu všemi prostředky a po velké právní
bitvě dosáhla soudního zákazu. Myšlenka
se však ujala a dnes existují desítky P2P
aplikací – např. Kazaa, BitTorrent, Direct
Connect. Jedná se o decentralizované
sítě.
P2P sítě lze rozdělit na centralizované
(Napser), decentralizované (Kademlia), decentralizované nestrukturované (Gnutella)
a hybridní (Skype). Každý uživatel je klientem, který může stahovat obsah jiných uživatelů dané P2P sítě. Zároveň je i serverem,
který nabízí své soubory ke stažení jiným.
Pro zajímavost, v současné době je nejrozšířenější aplikací BitTorrent se 135 miliony
uživatelů a v průměru 60 až 80 % provozu
na internetu je dnes P2P.
Klasické aplikace, jako web, elektronická pošta i VoIP, znamenají pro síť krátkodobou zátěž – prohlédnete si webovou
stránku, odešlete e-mail, po ukončení hovoru zavěsíte. Pokud se ale uživatel např.
EDonkey rozhodne stáhnout deset nových
filmů, každý z nich zabere několik GB a to
znamená permanentní zatížení linky na
řadu dnů. Je proto logické, že se poskytovatelé internetu snaží takový provoz řídit.
Programátoři P2P si toho jsou ovšem velmi
dobře vědomi a vyvinuli řadu technik na
ztížení rozpoznání jejich aplikací.
První generace programů používala tzv.
port hopping (přeskakování portů), kdy se
TCP/UDP porty náhodně měnily. Druhá generace pak začala využívat HTTP protokol
téma
a následně i šifrování pomocí SSL. Zatím
poslední P2P aplikace využívají vlastní šifrování (eMule). Přesněji řečeno, používá se
pojem „obfuscation“ – šifrování se zde nevyužívá pro zajištění soukromí, ale pouze
za účelem znemožnění detekce.
P2P v HTTP protokolu
Pro rozpoznání takového provozu nestačí
pouze se dívat na hlavičky jednotlivých paketů, ale je potřeba hledat signatury v jejich obsahu. Často nejen ve více paketech,
ale i ve více spojeních (sessions). Je nutné
kombinovat i více metod.
Základní metodou je vyhledávání textového řetězce, stejně jako u antiviru. Samozřejmě je nutné hledat řetězec pouze
v relevantní části provozu. Pokud by se řetězec hledal v libovolné části provozu, pak
by byla řada aplikací rozpoznána nesprávně (false positive). Jednoduchý příklad –
řetězec Kazaa má smysl detekovat pouze
v políčku „user agent“ protokolu HTTP.
Další metodou jsou numerické vlastnosti protokolu. Může se jednat o vyjádření řetězce v jiném formátu, např. v ASCII
(ahoj = 97 104 111 106), ale i o složitější
záležitosti, jako délka paketů, délka zprávy
a její pozice v paketu apod.
Nejsložitější metodu detekce pak představují statistické a heuristické analýzy. Při
heuristické analýze se metodou „pokus
a omyl“ hledá jednoznačná charakteristika
provozu dané aplikace.
Pokud jste dočetli až sem, možná si říkáte, že ve vašem podniku či úřadě je přece
P2P i Skype zakázáno, tak proč se něčím
takovým zabývat. Je pro to několik důvodů.
Když zvážíte statistiky provozu na internetu, které říkají, že v průměru 60 % provozu
v pracovní době je P2P, je jasné, že zákazy
jsou neúčinné. Přitom pokud definujete
pravidla, musíte mít prostředky pro jejich
prosazení a ověření. P2P, respektive zábavní aplikace, mají vliv na produktivitu práce
i na bezpečnost. Jedná se o kód, který nelze
ověřit, a pokud autor v programu udělal ať
z nedbalosti, nebo úmyslně bezpečnostní
chyby, může dojít ke kompromitaci počítače a odcizení dat.
Jakkoliv se potřeba DPI nejlépe zdůvodňuje na příkladu P2P, existuje řada
podnikových aplikací, kde se také uplatní.
Dobrým příkladem je VoIP. SIP i H.323 –
představují sadu protokolů – signalizace
a RTP pro samotný přenos hlasu. Zřejmý
je trend, že se k většině aplikací přistupuje
přes web; jak již bylo zmíněno, někdy se
hovoří o takzvané webifikaci.
sondy pro monitorování kvality VoIP a další.
Každé řešení má své uplatnění, problémem
je ale malá flexibilita. Paketový analyzátor
opravdu zaznamená každý paket a naprosto dokonale se hodí pro odhalování problému v komunikaci konkrétního uživatele
s konkrétní aplikací na konkrétním serveru,
nikoliv však k řešení problémů celé sítě. Vyžaduje velkou znalost daného protokolu
i znalost ovládání daného programu. Nadstavby od konkrétních výrobců pak samozřejmě spolupracují výhradně s aktivními
prvky tohoto výrobce. A pokud se díky
VoIP sondě dozvíte, že MOS (Mean Opinion Score) je nízké a problém je s rozptylem
zpoždění, je to bezpochyby zajímavé, ale
informaci o příčině už nezískáte.
Pro odhalování problémů je potřeba
mít globální přehled – vědět, jak je síť celkově zatížená, znát počet spojení, počet
nových spojení za sekundu (to se velice
hodí při odhalování síťových červů, spamů i DoS útoků), mít přehled, kdo generuje nejvíce provozu („top“ uživatelé), která
aplikace zabírá nejvíce pásma atd. Ideální
je i možnost předdefinovat si pohled na
síť, který poskytne dohledu přehled o stavu sítě (viz obrázek Aktuální stav sítě). Tyto
informace nám ve více než 90 % případů
poskytnou směr, kde hledat problém. Důležité je jednoduché a intuitivní rozhraní,
aby se uživatel mohl soustředit na hledání
informace, nikoliv na konfiguraci. Ideální
je mít možnost odkazovat se z daného
grafu na další, tzv. „drill down“. Například
z grafu o nejaktivnějších uživatelích si lze
kliknout na konkrétní jméno a podívat se,
jaké aplikace používá a s kým momentálně
komunikuje.
Někdy se problém týká výhradně určitého segmentu sítě, konkrétního uživatele,
serveru nebo aplikace. Pak je vhodné mít
možnost nastavit filtr pro sledování části
provozu, která vás zajímá. Jinými slovy klasifikovat provoz z pohledu toho, co je pro
vás zajímavé a důležité. Jaká klasifikační
kritéria se nabízí? Logicky vzato je to:
zdroj a cíl (např. MAC adresa, IP adresa, IP subnet, IP rozsah, host name)
služba, respektive aplikace
čas
VLAN
ToS (Type of Service), respektive DSCP
(Differentiated Services Code Point)
To vše samozřejmě v libovolné kombinaci. Lze tak sledovat konkrétního uživatele na základě jeho IP adresy, provoz
celého oddělení na základě subnetu nebo
VLAN tagu, případně komunikaci účetního
oddělení se SAP serverem v době měsíční
účetní uzávěrky.
Jedna věc je okamžitý stav sítě, ale
často vás zajímá i dlouhodobý trend. Jak
roste zátěž sítě za posledního půl roku, jak
vypadá typický provoz v pracovní době za
poslední měsíc, kolik GB bylo přeneseno
v síti za včerejší den atd. Na základě takových informací lze plánovat upgrade sítě,
navýšení kapacity internetového připojení nebo výměnu serveru za výkonnější.
Lze však také ověřit SLA (Service Level
Agreement), tedy zda dodavatel dodržuje po celou dobu parametry služby, např.
kapacitu spojení a jeho dostupnost. Naopak z pohledu poskytovatele lze tyto
dlouhodobé údaje využít pro účtování
služeb podle množství přenesených dat,
eventuálně i podle přenášeného obsahu.
Jinak budou zpoplatněny hry a jinak ostatní provoz. Řadu takových informací stojí za
to mít k dispozici pravidelně, takže není od
věci mít možnost předdefinovat si reporty
včetně formátu (CSV, PDF, JPG, XML atd.),
které budou zasílány na e-mail uvedené
osoby ve zvoleném intervalu (např. každý
den, každé pondělí). Proces definice pravidel
Monitorování provozu sítě
Pro monitorování provozu si lze v současné
době zvolit řadu řešení. Paketový analyzátor, jako je Ethereal/Wireshark, softwarové
nadstavby různých výrobců, specializované
Connect! březen 2011
55
téma
-/,Ê,/ Jak poznat falešnou kabeláž u 10Gb/s sítí
Kabeláže pro vysokorychlostní sítě je na trhu mnoho. Máme
pro vás tipy, jak vybrat ty nejlepší a jak se nenechat napálit.
V
AUTOR
souvislosti se strukturovanou kabeláží se nyní velmi často mluví
o vysokorychlostním protokolu
10GBaseT a s ním souvisejících kabelážních systémech kategorie 6A. Finální verze
tohoto protokolu, který podporuje přenosové rychlosti 10Gbps na metalické strukturované kabeláži, byla schválena v červnu
2006 – tj. existuje již dostatečně dlouhou
dobu na to, aby se s ní mohla podrobně
seznámit i širší odborná veřejnost. To stejné
platí i pro standardy kabelážních systémů
kategorie 6A, resp. EA (A, které jsou pro přenos protokolu 10GBaseT určeny a jejichž
specifikace již existují ve finální verzi.
Dodavatelé 10G řešení pro metalickou
strukturovanou kabeláž se předhání v proklamacích o spolehlivosti jimi nabízených
systémů a jejich kompatibilitě se standardy
kategorie 6A, resp. EA (A. Jak ale skutečně
poznat, zda jsou tyto informace pravdivé?
Jak může běžný zákazník rozeznat kvalitní
56
Pavel Radkovský
produktový manažer strukturované kabeláže Solarix
ve společnosti INTELEK spol. s r.o.
Connect! březen 2011
systém pro přenos protokolu 10GBaseT od
toho nekvalitního? Cílem tohoto článku je
poskytnout aspoň základní orientaci v této
oblasti a pomoci potenciálním zájemcům
o 10GbE (10 Gigabit Ethernet) v odlišení
spolehlivého řešení pro přenos protokolu
10GBaseT od toho nespolehlivého.
Podle čeho se nejlépe
zorientovat
Pokud Váš dodavatel tvrdí, že
jeho komponenty splňují specifikace systémů kategorie 6A,
resp. EA (A, musí tato tvrzení doložit. To je možné provést několika způsoby. Kromě technických
specifikací, datasheetů s měřením výrobce a existujících referenčních instalací je jedním
z nejspolehlivějších způsobů
doložení osvědčení o shodě
výrobků s daným standardem
vydaným nezávislou testovací
autoritou. V této chvíli všechny
renomované evropské testovací laboratoře poskytují služby
v oblasti testování kabelážních
systémů pro 10GbE dle aktuálně platných
norem. Ačkoliv se nejedná o testování
systému přímo v konkrétní instalaci, ale
spíše o testy v laboratorních podmínkách,
můžou právě tyto certifikáty zákazníkovi
pomoci v základní orientaci mezi různými
řešeními kategorie 6A resp. EA (A.
Aktuální verze certifikátů
Vyžadujte od svého dodavatele kabelážního systému pro vysokorychlostní protokol
10GBaseT platné certifikáty od nezávislých
zkušebních laboratoří posuzující shodu
Tento certifikát podle TIA/EIA-568-B.2-10 Draft 1.4
z února 2005 a ANSI/TIA/EIA-TSB-155 Draft 1.2 z října
2004 nemá vzhledem k své neaktuálnosti a stáří žádnou
vypovídací hodnotu
téma
testovaného systému kategorie 6A, resp.
EA (A podle finálních verzí standardů – tj. nikoliv pouze podle zastaralých pracovních
verzí (tzv. draftů). Certifikáty, které mohou
být i několik let staré a jsou v nich uvedeny
první pracovní verze dané normy, nemohou objektivně doložit spolehlivost testovaných systémů. Splnění této podmínky je
o to důležitější, pokud se jedná o kabeláže
kategorie 6A, resp. EA (A.
Komponenty kategorie 6A, které jsou
určeny pro plnohodnotný provoz protokolu 10GBaseT, jsou v této chvíli definovány
v americké normě ANSI/TIA/EIA-568-B.2-10
resp. v její aktualizaci ANSI/TIA/EIA-568-C.2
, a to jak pro Permanent Link, tak i Channel.
Kabelážní systémy Class EA jsou pak specifikovány v celosvětovém standardu ISO/
IEC 11801 Amendment 2, který byl vydán
o něco později. Opět i ISO/IEC standard
existuje již ve své finální podobě, a to jak
pro topologii Permanent Link, tak i topologii Channel.
Komponenty kategorie 6A
Vyžadujte, aby kabelážní systém kategorie
6A, který vám dodavatel 10G řešení nabízí
a na které vlastní certifikát, byl opravdu
tvořen komponenty kategorie 6A; tedy ne
produkty kategorie 6. Některé společnosti,
jež dodávají řešení pro 10G, totiž klamou
zákazníky tím, že ve svých materiálech
označují komponenty kategorie 6 jako
komponenty kategorie 6A, popř. je skrývají za neexistujícím a nesmyslným označením kategorie 6(A). Komponenty kategorie
6 a ani již zmíněné neexistující kategorie
6(A) nejsou příliš vhodné pro spolehlivý
a bezproblémový provoz vysokorychlostního protokolu 10GBaseT.
Nová kategorie 6A, resp. třída vedení
Class EA vzniká právě z důvodu, aby tuto
spolehlivost a bezproblémovost provozu
protokolu 10GBaseT v plné míře umožnila.
Pokud by k přenosu 10Gbps dostačovaly
bez jakéhokoliv omezení i komponenty
kategorie 6, jak někteří dodavatelé uvádí,
žádná nová kategorie 6A a třída vedení
Class EA, na kterých se usilovně pracovalo
(a v případě CENELEC norem stále ještě
pracuje) by nemusely vůbec vzniknout.
Permanent Link a Channel
Vyžadujte od svého dodavatele 10G řešení
certifikáty jak pro topologii Permanent Link
(tzv. linka), tak i pro topologii Channel (tzv.
Obrázek převzat z materiálů společnosti
Fluke Networks, How to Test to TIA/EIA568-B.2-10,
What every installer needs to know about
the new standard for Category 6A cabling
kanál). Nevěřte společnostem, které vám
tvrdí, že úspěšné měření na topologii Channel jsou pro 10GBaseT dostatečné. Měření
parametrů pro kategorii 6A v topologii
Channel má jistě své opodstatnění, nicméně pro trvalé zajištění bezproblémového
přenosu protokolu 10GBaseT nestačí.
Je to totiž právě topologie Permanent
Link, která je základní topologií pro spolehlivé změření strukturované kabeláže a která má zásadní vliv na kvalitu celého segmentu. V případě, že výrobce je schopen
garantovat spolehlivost svého kabelážního
systému kategorie 6A nejen pro topologii
Channel, ale především pro topologii Permanent Link, má zákazník k dispozici kabeláž, u které není její celkový výkon ovlivňován komponenty, které jsou vzhledem
k svému charakteru a četnosti používání
úzkým hrdlem všech kabelážních systémů
– tzv. patch kabelů.
Dojde-li totiž k poškození nebo opotřebení propojovacích kabelů a zákazník má
správně fungující a certifikované linky, lze
tyto vadné patch kabely nahradit jinými
Tento certifikát obsahuje pouze
komponenty kategorie 6
odpovídajícími patch kabely stejných vlastností, aniž by bylo nutné znovu recertifikovat celý segment a znovu jej kvalifikovat na
provoz 10G. Toto je obecný způsob, jak je
dnes nahlíženo na strukturovanou kabeláž
a její bezproblémovou funkčnost. Testování spolehlivosti instalace kategorie 6A není
tedy vhodné založit výlučně a pouze na
měření topologie Channel. Požadujte proto od svého dodavatele řešení pro 10GbE
oba typy certifikátů – tj. jak Permanent
Link, tak i Channel.
V případě, že se dodavatel ve svých
certifikátech odvolává na nějakou z výše
uvedených norem, ale dokládá shodu
svého kabelážního systému pouze podle
topologie Channel, může být jedním z důvodů skutečnost, že komponenty tohoto
dodavatele ve způsobu testování podle topologie Permanent Link selhávají. Toto by
měl být pro zájemce o spolehlivou kabeláž
kategorie 6A, resp. Class EA velmi důležitý
varovný signál. Společnost Fluke Networks,
významný výrobce měřicích přístrojů pro
testování a certifikaci strukturované kabe-
láže, k tomu ve svém materiálu o měření
kabeláží kategorie 6A říká:
„Úspěšné měření topologie Permanent
Link garantuje, že nainstalovaná horizontální kabeláž splňuje požadovaný výkon
linky a že přípojné body i ukončení kabelu jsou provedeny tak, aby splnily potřebné výkonové parametry. Tato garance
je výhodná především z pohledu celkové
životnosti kabeláže. (…) Patch kabely jsou
několikrát za dobu životnosti kabelážního
systému vyměněny, naopak linky zůstávají
beze změn. (…) Protože změření topologie Permanent Link garantuje splnění nebo
dokonce převýšení požadavků přípojných
bodů dané linky na specifikaci komponentů, měření v topologii Channel bude rovněž
úspěšné v případě, že budou použity odpovídající patch kabely.“ (citováno z materiálů
společnosti Fluke Networks, How to Test
to TIA/EIA-568-B.2-10, What every installer
needs to know about the new standard for
Category 6A cabling).
Testování Alien CrossTalk
Alien CrossTalk (tzv. cizí přeslech – tj.
přeslech mezi páry v různých kabelech
v jednom kabelovém svazku) je novým
důležitým parametrem především pro nestíněné kabeláže kategorie 6A, resp. Class
EA. Pokud chce váš dodavatel řešení kategorie 6A deklarovat úspěšnou certifikaci
odolnosti svého kabelážního systému proti
cizímu přeslechu, musí doložit měření pro
následující parametry: PSANEXT (Power
Sum Alien Near End CrossTalk) a PSAACRF
(Power Sum Alien Attenuation to Cross Talk
Ratio from the Far End, původně označovaný jako PSAELFEXT).
Jinými slovy, chce-li váš dodavatel ve
svých materiálech poukazovat na odolnost
svého 10G řešení proti cizímu přeslechu,
nestačí doložit úspěšná měření pouze
jednoho z výše uvedených parametrů;
úspěšně testovány musí být oba (tj. PSANEXT i PSAACRF). Bez splnění této důležité
podmínky (např. při otestování pouze jednoho z výše zmíněných dvou parametrů)
je jakékoliv prokazování měření odolnosti
kabeláže vůči Alien CrossTalku bezcenné.
Jak již bylo naznačeno výše, Alien CrossTalk je důležitým parametrem především
v případě nestíněných kabeláží. U stíněných kabelážních systémů kategorie 6A,
resp. Class EA je situace mnohem příznivější, neboť odolnost vůči Alien CrossTalku
je dána již samotným provedením komponentů, tj. jejich stíněním. Znamená to, že
z pohledu vlivu cizího přeslechu se v případě použití stíněné kabeláže kategorie
6A, resp. Class EA stává měření parametrů
PSANEXT a PSAACRF nepříliš důležitým,
resp. bude moci být nahrazeno měřením/
garancí parametru Coupling Attenuation
(tzv. vazební útlum). Connect! březen 2011
57
téma
*ÿùÊ/"6Ê
*"/,69
Příděl datové potravy
Některé společnosti provozují aplikace, kde delší čekání
na odezvu vede k ekonomickým ztrátám. Rychlost odezvy
těchto kritických aplikací je pro ně důležitější než odezva
jiných. V případě, kdy chcete upřednostnit jeden typ síťového
provozu proti jinému nebo zajistit určité aplikaci jasné
kvalitativní parametry přenosu, uplatníte nástroje QoS.
P
o zadání klíčového slova QoS (Quality of Service) vám česká verze
Wikipedie zobrazí, že je to termín
používaný pro rezervaci a řízení datových
toků v telekomunikačních a počítačových
sítích s přepínáním paketů. Tato definice
však pokrývá příliš velkou oblast, o které
by bylo možné napsat možná i rozsáhlejší brožurku. Nástroje QoS se uplatňují na
různých protokolech a vrstvách ISO/OSI
modelu, nejen nad IP protokolem. Také
jejich použití nad různými technologiemi
v sítích ISP, jako je ATM, Frame-Relay, MPLS
Traffic Engineering apod. značně přesahuje
rozsah tohoto článku. Proto v následujícím
článku popíši jen opravdu hrubý přehled
problematiky QoS v prostředí unicastového provozu světa IPv4.
K čemu je to vůbec dobré?
Běžná aplikace, například internetový prohlížeč, je poměrně odolná vůči výpadku
či změně pořadí jednoho nebo i několika
paketů. TCP protokol, který pracuje nad
IP protokolem, zajistí opětovné odeslání
takto ztracených paketů, případně zajistí
jejich správné pořadí. Statická HTML stránka se tak v případě ztráty několika paketů
zobrazí jen s malým zpožděním, které je
nezbytné k opětovnému zaslání ztracených
paketů.
Existují však aplikace, pro které kvalitativní parametry přenosu jsou důležité nebo
enormně důležité. Pomineme teď případy,
kdy programátor napsal aplikaci používající pro přenos dat např. UDP protokol a „pozapomněl“ se postarat o případnou ztrátu
nebo přehození paketů. Typickými aplikacemi, pro které jsou kvalitativní parametry
přenosu podstatné, jsou hlasové přenosy,
přenosy videa, některé síťové realtime počítačové hry. K nim v poslední době přibývají i klíčové podnikové aplikace. Když totiž
vyčíslíte čekání na odezvu v řádu dvou či
tří sekund na operaci, vynásobíte počtem
58
Connect! březen 2011
operací za den a počtem lidí, dostanete
nezanedbatelný čas strávený neproduktivním čekáním. Ve chvíli, kdy takto ztracený čas dosáhne úrovně řádu člověkodnů,
představuje to poměrně pádný a finančně
vyčíslitelný důvod k realizaci technických
opatření. O to více, že často je možné je realizovat jen správnou konfigurací zařízení,
které nástroje QoS podporují.
Aplikací QoS nástrojů se nejčastěji
ovlivňují následující kvalitativní parametry přenosu:
Bandwith – šířka pásma
Delay – zpoždění
Jitter – kolísání velikosti zpoždění
Packet loss – ztrátovost paketů
QoS však není jeden jednolitý nástroj
pro řešení problémů se zajišťováním kvalitativních parametrů přenosu. Používá se
celá řada QoS nástrojů. Jejich názvy se mohou podle dodavatele lišit, používají se nejen nad protokolem IP a je možné je zhruba
rozdělit do následujících kategorií:
Classification and marking – klasifikace resp. rozlišení a označení provozu
Congestion management (Queuing)
– správa zahlcení pomocí front
Shaping and Policing – správa datového toku, omezování a vyhrazování
Congestion avoidance – nástroje pro
zabránění zahlcení, např. selektivním zahozením TCP paketu
Link-efficiency – správa efektivního
využití linky, obvykle se týká pomalých linek, komprese nebo fragmentace paketů
Signaling (RSVP, QPPB)
Ostatní
Trocha teorie
Z výše uvedených důvodů je zřejmé, že ve
chvíli, kdy potřebujete zajistit šířku pásma
pro určitou aplikaci nebo preferovat jeden
datový tok před druhým, použijete nástroje QoS. Pokud se hovoří o QoS, musíte si
mimo jiné uvědomit, že se nástroje QoS
Nastavení Quality of Service
používají pro rezervaci a řízení datových
toků tak, aby nedošlo ke snížení kvality síťových služeb ve stavu zahlcení sítě resp.
i v situacích, kdy zahlcení sítě hrozí, avšak
ještě nenastalo. QoS se tedy uplatňuje ve
chvíli, kdy je síť zahlcena, nebo téměř zahlcena. Jinak se QoS neuplatňuje a pakety
plynule prochází zařízením.
Druhou skutečností, kterou je nezbytné si uvědomit, pokud se rozhodnete řešit problémy v síti pomocí QoS, je fakt, že
nastavení QoS nebude schopno vyřešit
obecný nedostatek přenosové kapacity
v síti nebo problémy v přenosové trase. Je
zřejmé, že nemůžete připojit společnost s 5
tisíci zaměstnanci na linku o kapacitě 64
kb/s a je celkem lhostejné, zda s nasazeným QoS, nebo bez QoS. Stejně tak ztrátovost paketů na lince, např. způsobená
radiovým rušením Wi-Fi spoje, nevyřešíte
pomocí nástrojů QoS.
V následující části budou popsány tři
základní architektury QoS jak jsou definovány a v současnosti používány:
Best-effort services
Integrated services (IntServ)
Differentiated services (DiffServ)
Best-effort services
Pokud použijete architekturu Best-effort
services, což by se dalo přeložit jako metoda největší snahy, bude se síť snažit doručit pakety co nejrychleji a nejefektivněji
ze zdroje k cíli. Nebude se rozlišovat, zda
se jedná o „užitečné“ pakety hlasového
hovoru nebo streamované video zcela
nesouvisející s náplní naší práce. Takové
téma
Integrated services (IntServ)
Další architekturou je Integrated services,
která je popsána v RFC 1633. Nástroje IntServ definují signalizační proces, pomocí
kterého mohou jednotlivé datové toky
požadovat rezervaci přenosového pásma
a požadovaného zpoždění. Jedná se o signalizaci od zdroje k cíli, zajišťující rezervaci
přenosového pásma a nastavení zpoždění po celé cestě od zdroje k cíli. K tomu,
aby bylo možné garantovat šířku pásma
a požadované zpoždění, musí architektura zajišťovat minimálně dvě funkce. Prvou
je Resource reservation (rezervace zdrojů)
a druhou je Admission control (řízení přístupu). Resource reservation signalizuje
jednotlivým síťovým komponentám, kolik
pásma a jaké zpoždění požaduje pro přenos od zdroje k cíli. Admission control pak
rozhoduje, zda takto signalizované požadavky akceptuje nebo zamítne.
V současnosti je architektura IntServ
v prostředí IP realizována a implementována protokolem RSVP dle RFC 2205-2215.
V síti, kde máte plně nasazený protokol
RSVP, zdrojová aplikace signalizuje požadavek na zajištění potřebného pásma s požadovaným zpožděním. Příkladem budiž
aplikace pro přenos hlasu, která signalizuje směrem k hlasové bráně požadavek na
rezervaci pásma 120 kb/s se zpožděním
Low Delay. Tento požadavek obdrží první
směrovač po cestě, který vyhodnotí, zda
je možné požadavku vyhovět a pokud
ano, pošle jej na další směrovač. Každý ze
směrovačů po cestě si dočasně vyhradí
takto rezervovanou šířku pásma a čeká na
potvrzení rezervace. Jakmile požadavek
dojde k cíli a ten jej akceptuje, pošle zpět
potvrzení rezervace. V té chvíli každý ze
směrovačů po cestě dočasně vyhrazenou
šířku pásma finálně rezervuje pro tento
datový tok. Aplikace pak nadále periodicky signalizuje požadavek po celou dobu
trvání přenosu, jinak by byla rezervace po
určité době zrušena.
RSVP se uplatní především tam, kde
požadavky na parametry přenosu jsou
zásadní pro funkčnost aplikace. Asi nejviditelnějším případem je přenos videa.
Přenos videa je značně citlivý na ztrátu
paketu. Zjednodušeně řečeno je to proto,
že při zobrazení videa v závislosti na použitém kodeku se následující snímek s výjimkou klíčových snímků většinou počítá
z některého z předchozích snímků, a tedy
jeho ztráta může vést k tomu, že uživatel
musí počkat na další klíčový snímek. Další
aplikací, kde se RSVP uplatní, jsou krizové
situace, kdy na síti zavládne panika a je
nezbytné zajistit chod klíčových systémů
za každou cenu.
Bohužel RSVP má i některé nevýhody.
Je to problematická škálovatelnost, kdy
rezervace jsou prováděny pro jednotlivý
datový tok a pro tento jsou také zasílány
periodické obnovovací rezervační zprávy.
Tyto problémy je možné z části překonat,
jak výkonem síťových komponent, dnešní
směrovače nemají problém zvládat desítky
tisíc RSVP toků, tak i slučováním několika
zpráv do jediné RFC2961-RSVP Bundle
Message. Můžeme asi říci, že pro zajištění
kvality videokonferenčního provozu v rámci WAN sítě jedné organizace se jedná o použitelný a vhodný protokol. Obdobného
výsledku však můžeme dosáhnout i vhodným použitím architektury DiffServ.
Differentiated services
(DiffServ)
V současnosti nejpoužívanější architekturou je DiffServ. Jedná se o následníka
IntServ architektury. Zatímco IntServ architektura je z hlediska svého konceptu
postavená jako signalizace a rezervace od
zdroje k cíli, je DiffServ model postaven na
myšlence kategorizace provozu do jednotlivých tříd (CoS – Class of Service), pro které jsou nástroji QoS zajištěny kvalitativní
parametry přenosu. Tyto parametry jsou
definovány konzistentně v rámci DiffServ
domény. Jsou však uplatňovány na jednotlivých směrovačích nezávisle. DiffServ
architektura je z hlediska svého chování
postavena na myšlence preferování určitého provozu před jiným a parametry jsou
spíše relativní než absolutní.
Architektura DiffServ je definována
v několika RFC. Nejdůležitějšími jsou: RFC
2475 definuje architekturu, RFC 2474 obsahuje detailní popis DSCP pole v IP hlavičce,
RFC 2597 Assured Forwarding PHB group
definuje 12 tříd a standardní způsoby jejich
užití, RFC 2598 pro Expedite Forwarding
třídu pro low latency provoz. Celý proces je pak možné zjednodušeně popsat
následovně. Paket přichází na hraniční
směrovač, kde je na hraničním směrovači
označen odpovídající značkou v IP hlavičce, v položce ToS. DiffServ se používá pro
označování prvních 6 bitů v položce ToS,
přičemž položka ToS je osmibitová a bity
6 a 7 jsou nepoužity. Pakety mohou také
vstupovat do domény již označeny, například IP telefon umí správně označit pakety
hlasového hovoru a signalizace, a pokud
toto zařízení považují za důvěryhodné, tak
akceptují tuto značku. V opačném případě
realizují přeznačení paketu dle vlastní politiky. Paket pak cestuje od jednoho směrovače k druhému směrem k cíli. Každý
ze směrovačů po cestě uplatňuje k dané
třídě provozu svou politiku, nezávisle na
ostatních směrovačích – PHB Per Hop Behaviour. Technicky je možné nastavit libovolné chování na jednotlivých přepínačích
– vlastní PHB, které by však pro správnou
funkci mělo být konzistentní v celé doméně. Existují však i standardizované PHB
definované v RFC, Expedited Forwarding
(EF) RFC 2598 a assured forwarding (AF)
RFC 2597. Pokud paket prochází několika
DiffServ doménami, pak je nezbytné zajistit
konzistentní přístup k paketům, případně
realizovat vzájemné mapování jednotlivých vlastních PHB.
Z hlediska užití je v současnosti DiffServ
architektura asi rozšířenější než IntServ. Velmi často se při nasazení uplatňuje strategie
rozdělení do několika málo tříd, kdy vyhradíte EF pro hlasový provoz, pak definujete
třídu pro kritické firemní aplikace a třídu
pro ostatní aplikace. Někdy je vhodné také
definovat třídu pro „nežádoucí provoz“ a tu
omezit tak, aby uživatelům fungovala, ale
byla dostatečně pomalá. Taková strategie
je obvykle účinnější než prostý zákaz, kterým se často obchází tunelování v HTTP
resp. HTTPS protokolu. Při návrhu QoS pro
naše velké zákazníky, jsme si v IBM ověřili,
že je nesmírně užitečné používat sofistikovanou metodiku návrhu a mít zkušenosti
s jejím návrhem na všech vrstvách ISO/OSI
modelu, nejen nad IP.
Výše byly popsány základní architektury pro nasazení QoS v síti. S rozvojem
aplikací vyžadujících garantované parametry přenosu a současným trendem
„přenosu čehokoliv pomocí IP protokolu“
bude požadavek na zajištění kvality služby
stoupat. Z technické problematiky se tak
stává obchodní. To výrazně zvyšuje motivaci i případné prostředky pro investice pro
nasazení nástrojů QoS. AUTOR
nastavení však nezaručuje žádnou kvalitu
služby. Jestliže je síť s takto nastavenou
QoS strategií zahlcena, pak poté co ji dojdou buffery, začne zahazovat pakety podle
strategie. Paket, pro který není k dispozici
buffer, zahodí – tail drop.
Pokud v síti s touto architekturou chcete řešit její zahlcení, můžete realizovat
opatření vedoucí k omezení nežádoucího
provozu, např. vypojením stanic trvale zahlcujících síť p2p provozem, které síť přenáší, nebo zvětšit šířku pásma. Prvé řešení
je v praxi jen stěží realizovatelné na síťové
úrovni, protože uživatel zatěžující síť nežádoucím provozem obvykle produkuje také
legitimní provoz, který potřebuje ke své
práci. Taková opatření je pak možné realizovat spíše na úrovni správy OS a aplikací,
případně administrativním opatřením, než
odpojením stanice. Druhá volba má zásadní nevýhodu, a tou je finanční náročnost.
Výhodou této architektury je značná škálovatelnost a to, že nevyžaduje žádné použití
nástrojů QoS, tedy snadné nasazení.
Petr Hon
IT Architect, Global Technology Services, IBM Česká
republika
Connect! březen 2011
59
téma
,7,"6Ê
,79Ê*,"Ê-
Co umí nové USG firewally ZyXEL
ZyXEL začal nabízet nové hardwarové firewally z řady USG,
které se svým výkonem a určením řadí do segmentu SOHO
a Small Business. Přinášíme popis novinek a změn.
N
ové USG modely budou postupně
nahrazovat starší modelovou řadu
ZyWALL 2+, 2WG a 5. Modely USG
20, 20W a 50 jsou postaveny na platformě
ZLD „ZyXEL Linux Distribution“, kterou je
obdařena i vyšší modelová řada firewallů
USG. Pokud umíte ovládat vyšší modely,
ovládání nových produktů by pro vás neměl být vůbec žádný problém.
Hlavními výhodami je vyšší flexibilita
konfigurace oproti starší modelové řadě
a vyšší výkon. V době, kdy kabeloví poskytovatelé Internetu bezproblémově nabízí
svým zákazníkům vysokorychlostní internet blížící se rychlostmi 100 Mb/s, musí
i malá firma nebo domácnost být vybavena
bezpečnostní branou, která bude s takto
nabízenou rychlostí korespondovat. Cílem
bude co možná nejrychlejší odbavení dat
se zajištěním maximální bezpečnosti.
1 Gb/s jako standard
AUTOR
Nové USG modely jsou vybaveny všemi
porty o rychlosti 1 Gb/s a vysokou routovací rychlostí. Model ZyWALL USG 20 má
jeden WAN port, čtyři modulární porty
vnitřní sítě a jeden USB port pro připojení
3G karty. Model ZyWALL USG 20W má navíc implementovanou integrovanou Wi-Fi
část v normě 802.11n na frekvenci 2,4 GHz
s odnímatelnými anténami. Norma 802.11n
podporuje datový přenos 2R2T, což znamená dosažení rychlosti až teoreticky 300
Mb/s dle normy, v praxi se ale samozřejmě
60
Petr Koudelka
Security Product Manager, Technical Specialist, ZyXEL
Communications
Connect! březen 2011
dosahuje nižších hodnot. Přenosová rychlost je symetrická v obou směrech komunikace, jak pro download, tak pro upload.
Model ZyWALL USG 50 je osazen dvěma
WAN porty, čtyřmi modulárními porty
vnitřní sítě a dvěma USB porty.
Výkonnostní nárůst oproti starší modelové řadě je několikanásobný. Není důležité
jen navýšení rychlosti routování, která je
nyní na 100 Mb/s,
ale důležitým aspektem je také celkový
možný počet navázaných spojení (sessions) nebo rychlost
navazování nových
spojení.
Nové modely disponují službami Content Filtering (filtrace
WEB stránek) a AntiSpam. CF je ve verzi
zdarma, kdy zákazník vyjmenovává klíčová
slova nebo domény ručně. Ve verzi placené (jednoletá a dvouletá licence) se online
vyhodnocují stránky na základě spolupráce s externí databází společnosti BlueCoat,
kde jsou kategorizovány. Řešení Anti-Spam
filtrace je zdarma a je implementováno
stejně, jako na vyšších USG modelech pomocí vyhodnocení DNSBL serverů.
Díky možnosti vybudovat IPSec VPN tunel souběžně se SSL VPN tunelem dokáže
takto malé zařízení obsloužit většinu potřeb přístupu do vnitřní sítě firewallu, a to
na vysoké bezpečnostní úrovni.
Nové USG firewally jsou navrženy tak,
aby byly schopny ušetřit maximum energie
různými šetřícími mechanismy. Pokud přes
zařízení neprochází vysoký datový tok, popřípadě je datový tok minimální, procesor
zařízení sníží svoji spotřebu na minimální
hodnotu, která je dostačující pro zajištění
odbavení požadovaného datového toku.
Další technologií je detekce zařízení zapojených na ethernetová nebo Wi-Fi rozhraní.
Pokud na síťovém portu není detekován
kabel fyzicky, dochází k jeho odpojení.
Není-li detekován žádný klient na Wi-Fi,
dochází ke snížení četnosti vysílání datových rámců.
Maximální teoretická spotřeba dosahuje hodnot 15 W pro USG 20/20W a 17 W pro
USG 50, což už je hodnota blízká spotřebě
běžné úsporné žárovky. Jedná se o maximální spotřebu při maximální zátěži zařízení. Reálná spotřeba v běžném provozu
je mnohem nižší. téma
9,Ê/
Ê
6<1
Technologie hybridních bezdrátových řešení
Jako součást bezdrátových sítí lze použít hybridní bezdrátová řešení. Oproti klasickým síťovým
prvkům nabízí hned několik výhod.
H
AUTOR
ybridní bezdrátový bod
(pro obsluhu v pásmech
2,4 i 5 GHz) lze nastavit
do tří režimů: samostatná jednotka (Stand Alone), řízená jednotka
(Managed AP) a řídicí jednotka
(Controller Mode). V prvním režimu, tj. v režimu samostatné
jednotky, plní přístupový bod
základní požadavky. Jak se počet
přístupových bodů zvyšuje, můžete jeden z přístupových bodů
konfigurovat do režimu řídicí
jednotky. V této konfiguraci plní
jednotka nejenom funkci přístupového bodu, ale navíc nabízí
možnost spravovat jiné přístupové
body. Podobně jako u WLAN switchů může hybridní přístupový bod
eliminovat problémy při správě
několika přístupových bodů.
Integrované rozhraní hybridních přístupových bodů umožňuje aplikovat bezpečnostní pravidla a měnit hesla podle aktuální
potřeby. Vestavěný server Radius
zjednoduší i ty nejkomplikovanější realizace WPA2 bez nutnosti zakoupit, vybudovat a udržovat server Radius. Komunikace mezi řídicí
jednotkou a řízeným přístupových
bodem je přenášena s využitím
nejnovějšího protokolu CAPWAP
(Control and Provisioning of Wireless Access Point), navrženého
organizací IETF a chráněného šifrováním DTLS (256-bit AES). Navíc
platí, že na řízeném přístupovém
bodu není uložen žádný konfigurační soubor, čímž se eliminuje riziko ztráty citlivých údajů při krádeži
přístupového bodu, nehledě na to,
že povědomí o této skutečnosti
efektivně minimalizuje rizika krádeže přístupového bodu, protože
z něj nelze získat žádná data.
Martin Bratičák
Indirect Sales Channel Manager, ZyXEL
Communications
Plné funkcí
Hybridní přístupové body jsou vybaveny funkcí automatické volby
kanálů a také funkcí optimalizace
a vyrovnávání zátěže. Přístupový bod
nejprve vyhledá kanál s nejmenší mírou rušení. RF statistika je centrálně
uložena na řídicí jednotce, a tak má
síťový administrátor představu o celkové situaci.
Realizační potřeby mohou vyžadovat, aby přístupový bod plnil
různé funkce. Hybridní přístupové
body mají nejmodernější RF konstrukci, pokročilé funkce QoS, dokážou filtrovat a kontrolovat MAC
adresy a detekovat neoprávněné
přístupové body.
Na rozdíl od bezdrátových řešení založených na switchi není třeba
dokupovat nové řídicí jednotky nebo
měnit staré jednotky za výkonnější, když počet přístupových bodů
v hybridní sestavě překročí kapacitu
jednoho hybridního přístupového
bodu. Stačí jednoduše přepnout
jeden další hybridní přístupový bod
do režimu řídicí jednotky, čímž se
okamžitě zvýší řídicí kapacita.
Podobně jako jiná WLAN řešení dokáže hybridní přístupový bod
spravovat přístupové body na různých podsítích. Hybridní řešení se
však liší od obvyklých WLAN řešení
tím, že administrátor nemusí řešit
dilema, zda zvolit samostatný přístupový bod, nebo WLAN switch:
podpora tří režimů na hybridním
přístupovém bodu umožňuje měnit
poměr přístupových bodů / řídicích
jednotek podle aktuální potřeby.
Hybridní technologie vlastně
transformuje tradiční přístupový bod
na řídicí jednotku nebo řízený přístupový bod, a tak šetří čas i peníze.
Hybridní technologie je skutečným
škálovatelným řešením, které může
vyrůstat z jednoho přístupového
bodu až k centrálně spravované
bezdrátové síti, která dokáže podporovat až 100 uživatelů. Connect! březen 2011
61
téma
.-/Ê-/"Ê
÷/9ÿ9
Co v praxi přináší IPv6
Poslední bloky IPv4 adres velké přibližně 16 milionů adres
byly rozděleny mezi pět regionálních registrů. Co bude dál?
AUTOR
Jedním z pilířů původního internetu byla
takzvaná end-to-end konektivita, kdy každé zařízení na internetu mohlo navázat
komunikaci s kterýmkoli jiným. Nejlépe
si to lze představit na zjednodušeném
internetovém telefonování, kdy vezmete
do ruky telefon, vyťukáte číselnou adresu,
a telefon na druhé straně začne zvonit. Aby
toto fungovalo, je potřeba, aby každá firma
i každá domácnost, kde je více než jedno
internetové zařízení, měla přidělený rozsah veřejných (globálních) IP adres. Každé
zařízení v síti dostane některou z IP adres.
Každá aplikace na daném zařízení použije
nějaké číslo portu (0–65535) pro navázání
spojení.
A jak je tomu ve skutečnosti? Domácnosti i mnohé firmy mají IPv4 adresy z privátních rozsahů (192.168.0.0–192.168.255.255,
172.16.0.0–172.31.255.255 a 10.0.0.0–
10.255.255.255). Na okraji sítě bývá router,
který navíc provádí překlad adres a portů,
a zprostředkovává tak komunikaci s okolním světem. Překlady adres se souhrnně
označují jako NAT (Network Address Translation). Schovávání více privátních adres
za jednu veřejnou se říká IP maškaráda
(Masquerade). Zpřístupňování jednotlivých služeb pod společnou veřejnou adresou je realizováno pomocí přesměrování
portů. Tyto překlady adres dokázaly ve své
době oddálit vyčerpání IPv4 o mnoho let,
za cenu, že koncové počítače nejsou plnohodnotnou součástí internetu a funguje na
nich jen část služeb.
U větších poskytovatelů bývá zvykem,
že překládající router překládá na veřejnou
IP adresu přidělenou od poskytovatele.
Menší poskytovatelé často dávají veřejné
adresy pouze na požádání, takže se kombinuje překlad u uživatele s následným překladem u poskytovatele. Kvůli kritickému
nedostatku adres tuto možnost pravděpodobně brzo zavedou i ti, kteří dosud auto-
62
Pavel Šimerda
Nezávislý lektor, konzultant
a publicista v oblasti počítačových
sítí, komunikace a bezpečnosti
Connect! březen 2011
maticky dávali zákazníkovi jednu veřejnou
adresu pro router.
Překlady adres mimo zákaznickou síť
jsou ale úplně něco jiného. Přináší s sebou spoustu problémů, jako je například
nedostatečná identifikace koncových sítí
i počítačů. Zákazníci sdílejí nejen veřejnou
adresu, ale například různá omezení nebo
zařazení na blacklisty. Jediný zákazník tak
může svým chováním na síti způsobit problémy ostatním. V případě dohledávání takových problémů navíc nezbývá než sáhnout po logování všech spojení, aby vůbec
šly později přiřadit ke konkrétní přípojce.
Aplikace tradičně počítají s tím, že každý
server má svoji adresu, která je stejná při přístupu odkudkoli. Ve chvíli, kdy server nemá
veřejnou adresu jen pro sebe, používá se
přesměrování jednotlivých portů na jeho
privátní adresu. Mnoho aplikací lze nastavit
tak, aby v tomto prostředí fungovaly. Některé, zvláště ty, které ověřují adresu z bezpečnostních důvodů, si s tím úplně neporadí.
Pryč s maškarádou
Ať to vezme člověk z jakékoli strany, překlady adres jsou opravdu užitečné jen ve
výjimečných případech. Potkávat je na
každém kroku přináší jen hromadu problémů, zbytečných nákladů, a hlavně naprosté technologické zabrzdění. Konkrétně
na maškarádu naráží takové jednoduché
a užitečné aplikace, jako je telefonování,
videohovory, přístup ke vzdálené ploše,
sdílení dokumentů a mnoho dalších. Jakékoli bezpečnostní zdůvodnění nasazení
maškarády padá na argumentu, že to vše
lze zařídit lépe. O zabezpečení se stará stavový firewall, na zabezpečení soukromí by
stejně byl potřeba větší adresní prostor.
Pokud bychom přijali myšlenku, že
maškaráda je až na speciální výjimky nežádoucí, jak se ji vlastně zbavíme? Potřebujeme znovu dovést veřejné adresy až na
každý koncový počítač. Bude tedy potřeba
používat delší adresy, které pokryjí dnešní
potřeby. Delším adresám je potřeba přizpůsobit protokol, a když už jsme v těch
změnách, stojí za to vylepšit protokol IP
i v dalších směrech. Takto vznikl protokol
IPv6, tedy protokol pro nový internet.
Porovnání adresního prostoru
Adresy protokolu IPv6 jsou dlouhé 128 bitů
(16 bajtů), které se dále člení. Nejdůležitější
členění dělí adresu na dvě poloviny. Prvních 64 bitů adresy slouží v koncové síti
jako síťový prefix společný všem počítačům. Z toho první tři bity jsou pevně dané
pro současný způsob alokace. Připojením
devíti bitů získáte prefix, který se přiděluje RIRům, tedy v našem případě RIPE NCC.
Dalších dvacet bitů má RIR na identifikaci
prefixů, které přiděluje LIRům, například
místním ISP.
Tedy poskytovatel internetového připojení, který je členem RIPE NCC, dostává
prefix dlouhý 32 bitů, což odpovídá celé
adrese IPv4. Z toho je vidět, že se do IPv6
vejde tolik lokálních registrů, kolik bylo
v IPv4 adres celkem. Pokud LIR použije
na své vnitřní členění 16 bitů, může dávat
zákazníkům 48bitové prefixy a nechat jim
tak dalších 16 bitů na jejich vnitřní členění. Tím vzniknou potřebné 64bitové prefixy
pro koncové sítě.
Identifikátor počítače v síti zabírá 64
bitů, což umožňuje hned několik způsobů
přidělování adres. Nejjednodušší z nich je
takzvaná bezstavová automatická konfigurace, kdy počítače dostanou přidělený
pouze síťový prefix a identifikátor si volí
samy. Při samostatné volbě identifikátoru
se nejčastěji volí mírně upravená MAC adresa, čímž automaticky získáte statickou
(tedy neměnnou) adresu. Druhá nejčastější
možnost je volba dočasné náhodné adresy,
která vám zajistí soukromí.
Další možností je plánovité přidělování
pomocí DHCP serveru z nějakého rozsahu
nebo na základě interního identifikátoru
počítače (DUID). Pro větší sítě existuje
i možnost přidělovat rozsahy DHCP serverům od jejich nadřazených DHCP serverů.
Souběžně s těmito globálními adresami
se používá speciální prefix pro linkové adresy, které fungují nezávisle na tom, jestli
je na vaší síti zajištěno přidělování adres.
To se zvláště hodí v malých domácích
a firemních sítích nebo k jednoduchému
propojení dvou zařízení mezi sebou.
Celosvětová migrace na IPv6
V nedávné době jsme zažili přechod od
analogové televize k digitální. Digitální
a analogová televize jsou věci technologicky i hardwarově velice odlišné, ale při
nějakých těch investicích na straně vysílačů i přijímačů se migrace v jednotlivých
oblastech podařila. IPv6 se připravuje někdy od roku 1994. Stojí na úplně stejných
principech jako IPv4. Data se posílají po
paketech, směruje se pomocí směrovacích tabulek. Podstatné rozdíly jsou snad
jen v adresaci a způsobu přidělování adres.
Ukazuje se, že největší brzdou přechodu
od IPv4 k IPv6 není ani tak technologická
téma
náročnost či nepřipravenost dodavatelů
hardwaru a softwaru, jako prostý nezájem
účastníků internetové komunikace.
Poskytovatelé internetu dostávají od
většiny svých zákazníků peníze za konektivitu pomocí protokolu IPv4. V posledním roce
se situace výrazně zlepšila, ale IPv6 konektivitu poskytovatelé stále ještě nepovažují
za automatickou součást služby „připojení
k internetu“. Poskytovatelé obsahu a majitelé webových stránek stále ještě nevidí na
IPv6 dostatek zajímavých zákazníků. Teprve
v posledních dvou letech začali významní
hráči na trhu zavádět IPv6, a to ještě velmi
opatrně. Webhostingové společnosti ještě
nedávno nebraly IPv6 vážně.
Uživatelé, ať už domácí nebo firemní,
se pokud možno síťovou infrastrukturou
nezabývají, dokud nezjistí, že jim něco
nefunguje. Kromě chyb, které si uživatel
způsobí sám, naprostá většina problémů
souvisí s IPv4 NATem. Nefunguje mi telefonování po internetu, nefunguje mi vzdálená plocha, nemůžu přistupovat na domácí
úložiště z venku. Firemní uživatelé si zaplatí
zavedení nějakého VPN řešení, i kdyby ho
měli používat jen na obcházení maškarády.
Domácí uživatelé se smíří s tím, že svět není
dokonalý. Oddalování přechodu na IPv6
způsobilo, že se zpomalil nástup nových
internetových zařízení a aplikací. V blízké
budoucnosti může toto oddalování způsobit, že nepůjdou nasazovat ani ty, které
dosud fungovaly.
Protokoly IPv6 a IPv4 nejsou kvůli délce
adresy vzájemně kompatibilní. Stroj, který
umí pouze IPv4, nedokáže do odchozích
paketů vměstnat adresu protokolu IPv4.
Oproti migraci na digitální televizi je potřeba postupovat tak, že se IPv4 a IPv6 používá souběžně, a to po dobu mnoha let.
Pokud byste v současné době chtěli ve vaší
síti IPv4 úplně vypnout, museli byste vědět,
na které všechny služby potřebujete přistupovat, a služby jednu po druhé zkontrolovat, případně provozovatele přesvědčit,
aby přidal podporu IPv6. Pro jednoduché
služby, jako je přístup na web, se připravuje
řešení s překladem adres mezi IPv4 a IPv6,
které je velmi podobné tomu v sítích IPv4,
jen ještě o něco komplikovanější.
Co tedy IPv6 vlastně přinese
Nejdůležitější věcí, kterou IPv6 přinese, je,
že nás zbaví nutnosti používat překlady
adres. Nikde není psáno, že se nenajdou
velmi speciální případy, kdy se překlady
adres použijí. Důležitá je ale možnost volby a také to, že vaše síť nebude předem
rozbitá či omezená. V důsledku se výrazně zjednoduší zavádění všech služeb, které
jsou založené na přímé komunikaci. Mezi
ně patří už zmíněné telefonování včetně
videohovorů, přístupy k souborům, vzdálená správa počítačů a mnohé další. A pak
je tu ta věc s vyčerpáním IPv4, o kterém
jsem psal na začátku článku. Takže i kdyby
nás nezaujaly výše uvedené výhody IPv6,
stejně nemáme na výběr.
Protokol IPv6 má velmi podobné bezpečností vlastnosti jako IPv4. Významnou
výhodou IPv6 je povinně implementovaný
IPsec, který se ale prosadil i v IPv4. Na lokálních sítích se pro IPv6 připravují různá
vylepšení, ale dokud se neprosadí, bude na
tom IPv6 stejně špatně jako IPv4.
Zajímavé bezpečnostní implikace má
absence maškarády v koncových sítích.
Maškaráda sice skrývá vnitřní sítě za jednu IP adresu, ale tím, že to není myšleno
jako bezpečnostní opatření, nejsou vlastnosti maškarádujících routerů srozumitelně popsány. Dalo by se říct, že je to jeden
velký zmatek. Zmizení maškarády nejspíš
paradoxně bezpečnost sítí zlepší. Překážka,
která bránila navazování komunikace zvenčí, zmizí, a projeví se potřeba chránit sítě
a počítače skutečným firewallem.
Takový firewall je navíc konfigurovatelný, tudíž můžete konkrétní služby nebo
i stroje bez problémů z venku zpřístupnit.
V kombinaci s IPsecem navíc můžete jednotlivé sítě propojovat šifrovaným kanálem a vyhnete se tím konfiguraci nějaké
složitější VPN.
Problémy s IPv6
V současné době největší problémy s novými IP adresami jsou tam, kde jsou nakonfigurované adresy, případně jen nastavené
záznamy v DNS, a přitom IPv6 konektivita
nefunguje. Můžou to být různé špatně
nastavené routery, servery, aktivní prvky
i uživatelské počítače.
Zajímavé je, že pokud jedna strana má
v konfiguraci IPv6 chybu, a druhá strana
IPv6 nepodporuje, všechno proběhne
v pořádku po IPv4. Lepším řešením, než
čekat se zprovozněním IPv6, je samozřejmě na tyto chyby upozornit a zajistit jejich
nápravu. INZERCE A111000221
SERVER
SR105
!"
] :
}#$ !
:?":  %)$# *:; !:#? ! ~Q !@" z$ ! ;Q
#>[email protected]#$%&'($)&*+*&,-*&01%$2$+#1259
=J$#K-*)N5"-*<=2+$&&U
ƒ „#)Q::\
?:';"
ƒ '###Q
;!#
ƒ ?@$!#
ƒ _%:;g:@
ƒ „)#%!#Q:##$
12.889,-
ƒ z@@
$@$%$}
OD CZK
"
:
0" Made in Germany!
‚$"@Y;"$!Z;;;9%-*<=20>+$&&[email protected]?*
*:;<=%"
;
"
@#
?@(~@$
!#Q!
%@"
www.thomas-krenn.cz
CZ: 840 505 555 · EU: +49 (0) 8551 9150-0
!"#$%&'%$(
)%*:;<=
;>?:!@"Q
!@$"$Y@"Q%($"@:##!Z[[\\\#:;"[[email protected]":%;"":%$
:*:;<=(]!#%":]#@^"(
_`ghjq
wz#(z#{w(z#(z#z@(z#z@{w(||z@
":Q;[email protected]#!#@]<~$":;$":
Connect! březen 2011
63
téma
/6 Ê-é"6 Aktivní prvky v sítích na bázi TCP/IP a Ethernetu
Počítačovým sítím dominuje kombinace Ethernetu a TCP/
IP (přesněji Internet Protocol Suite). Zatímco Ethernet tvoří
infrastrukturu lokální sítě, protokol IP spojuje ethernetové
a jiné sítě mezi sebou. Na tomto principu funguje většina
dnešních počítačových sítí včetně celosvětového internetu.
A
rchitektura těchto sítí je založena
na jejich rozdělení na vrstvy. Zpracování dat v jednotlivých vrstvách
je nezávislé a každá vrstva pouze využívá
služby té bezprostředně pod ní. Dodnes se
používá referenční model ISO/OSI, který
definuje sedm vrstev, z nichž pět má praktický význam v sítích TCP/IP. Jednoduché
síťové prvky pak vykonávají činnost v rámci
jedné vrstvy (za využití vrstev nižších).
Ethernet je technologie, určená pro
místní sítě, která pracuje na první (fyzické)
a druhé (spojové/linkové) vrstvě. Zatímco
fyzická vrstva zajišťuje přenos signálu, do
linkové vrstvy spadá adresování síťových
uzlů (počítačů a dalších zařízení) a posílání a zpracování rámců (bitových sekvencí,
které nesou informaci určenou nějakému
uzlu). K adresování se používá unikátní
48bitová MAC adresa, kterou přiděluje výrobce ze svého rozsahu (nebo výjimečně
administrátor sítě). MAC adresa se nejčastěji zapisuje pomocí šestice dvouciferných
hexadecimálních čísel, oddělených dvojtečkou (například 01:23:45:67:89:ab).
Propojování na fyzické
a linkové vrstvě
AUTOR
Repeater (opakovač) a hub (rozbočovač)
představují dnes již prakticky nepoužívané prvky Ethernetu. Repeater, jak už název
napovídá, jen opakuje (zesiluje) signál mezi
dvěma uzly a umožňuje prodloužit spoj
mezi nimi. Hub naproti tomu předurčuje
moderní síťové prvky tím, že přináší hvězdicovou topologii sítě. Síť, složená z rozbočovačů, opakovačů, kabelů a koncových uzlů
tvoří fyzický segment. Všechna data na síti
probíhají celým segmentem, což má negativní vliv na výkon a bezpečnost sítě. Počet hubů/repeaterů mezi nejvzdálenějšími
koncovými uzly je navíc omezen maximální
dobou odezvy v síti.
Bridge (most) a switch (přepínač)
jsou síťová zařízení, která pracují s celými
ethernetovými rámci a využívají ke své
64
Pavel Šimerda
Nezávislý lektor, konzultant
a publicista v oblasti počítačových
sítí, komunikace a bezpečnosti
Connect! březen 2011
funkci MAC adresy uzlů. Spadají tedy do
linkové vrstvy. Bridge vznikl dříve a sloužil
k propojení (přemostění) dvou nebo více
fyzických segmentů a izolaci jejich vnitřního provozu. K té využívá tabulku MAC
adres uzlů a fyzických portů, za kterými se
uzly nachází. Tabulku průběžně aktualizuje podle zdrojových adres přeposílaných
rámců, takže jen velmi málo dat musí projít
celou sítí.
Bridgování upřesňuje standard 802.1D,
který mimo jiné nabízí RSTP (Rapid Spanning Tree Protocol), který slouží k odstranění cyklů v bridgované síti vyřazením
některých cest z provozu. Switche se řídí
stejným standardem a liší se rychlou implementací bridgování ve specializovaném
hardware. Díky nízké ceně a rychlé odezvě
switche v drátovém Ethernetu nahrazují
nejen bridge, ale i huby a repeatery, čímž
minimalizují zbytečný síťový provoz.
Switchovaná síť bez hubů snižuje počet uzlů ve fyzických segmentech na dva,
a umožňuje tak zavedení plně duplexního Ethernetu a úplné odstranění kolizí. To
společně s filtrováním zbytečného provozu
a paralelním zpracováním paketů s odlišnou cestou nabízí daleko hladší a spolehlivější provoz. Bridge a switche umožňují
navíc propojovat i sítě s různými fyzickými
parametry (jako 100 Mb/s s 1 Gb/s Ethernetem nebo i bezdrátovým Ethernetem).
VLAN switching
Kvůli zabezpečení často potřebujete provozovat ethernetových sítí několik. Můžete
eliminovat množství kabelů a síťových prvků tím, že postavíte jednu místní síť a na ní
provozujete několik virtuálních sítí (VLAN).
K tomu potřebujete zapojit a nakonfigurovat VLAN switche, které své porty rozdělí
do skupin a přiřadí jednotlivým VLAN. Mezi
VLAN se nepřenášejí žádné rámce, sítě jsou
tak bezpečně izolované.
VLAN switche si mezi sebou posílají
ethernetové rámce po takzvaných trunk
spojích (kmenových spojích). Tyto rámce
obsahují navíc hlavičku 802.1Q, jejíž nejdůležitější položkou je 12bitové VLAN ID.
Koncovým zařízením ani switchům, které
se neúčastní VLAN trunkování se tato hlavička neposílá.
Sada protokolů TCP/IP
Ústředním protokolem sady internetových
protokolů je protokol IP v současně používané verzi 4 a postupně nasazované verzi
6, o které se v tomto čísle časopisu ještě
dočtete. Používá se pro Internet i místní
sítě, což ulehčuje vývoj síťových aplikací.
Místní síť navíc může používat globální
(veřejné) IP adresy a být součástí Internetu
(obvykle s nějakými omezeními na firewallu). Protokol IP patří do třetí (síťové) vrstvy
OSI společně s podpůrnými protokoly jako
ICMP (protokol pro diagnostiku a chybové zprávy) a IGMP (protokol pro podporu
multicastingu).
Na rozdíl od MAC adres síťových rozhraní IP adresy odrážejí topologii sítě. 32bitová
adresa se dělí na dvě části, jedna identifikuje síť a druhá konkrétní uzel v síti. Rozdělení
a síťové adresy určuje administrátor, podle
přiděleného nebo privátního rozsahu adres. Počet bitů síťové části adresy se může
psát za IP adresou oddělený lomítkem
(192.168.1.1/24), případně po vyjádření po
staru síťovou maskou (192.168.1.1 netmask
255.255.255.0).
Odesilatel IP paketu na ethernetové
síti musí paket „zabalit“ do ethernetového
rámce a opatřit zdrojovou a cílovou MAC
adresou. K získání cílové MAC adresy slouží
protokol ARP (Address Resolution Protocol)
v případě IPv4 a protokol NDP (Neighbor
Discovery Protocol) v případě IPv6. Oba
protokoly pracují na linkové vrstvě. Jednotlivé uzly si pak udržují cache už zjištěných
informací.
Nově připojené počítače získávají svoji
IP adresu pomocí protokolu DHCP (případně NDP), jen výjimečně má smysl konfigurovat u koncových počítačů adresy ručně.
Směrování paketů
protokolu IP
Pokud se IP síť skládá z několika ethernetových sítí (případně VLAN), jsou tyto sítě
spojené routery, které zprostředkovávají
komunikaci mezi nimi. Obsahuje routovací
(směrovací) tabulku, která určuje, které sítě
jsou dosažitelné přes která síťová rozhraní. Udržuje ji administrátor nebo některý
z mechanismů pro adaptivní směrování
(například protokoly OSPF a BGP). Adaptivní routery umí reagovat i na změny
v rozsáhlé síti.
Administrátor nastaví IP adresy jednotlivých rozhraní routeru včetně délky prefixu,
například 172.16.1.1/24 pro první rozhraní
a 172.16.2.1/24 pro druhé. Router sám přidá
téma
dva záznamy do směrovací tabulky. První
z nich říká, že počítače z rozsahu 172.16.1.0
až 172.16.1.255 jsou dosažitelné přes první
síťové rozhraní. Druhý analogicky popisuje
směrování sítě 172.16.2.0/24 (vynulováním
posledních osmi bitů vzniká adresa sítě).
Spojením (agregací) sítí 172.16.1.0/24,
172.16.2.0/24 a dalších vznikne agregovaný síťový rozsah 172.16.0.0/16 (neboli
172.16.0.0 až 172.16.255.255). Pokud je tento router připojený k jinému routeru, tomu
druhému stačí do směrovací tabulky přidat
jediný záznam pro síť 172.16.0.0/16.
Další užitečnou technologií síťové vrstvy je IPsec, který je nejen povinnou součástí protokolu IPv6, ale i šikovným doplňkem
protokolu IPv4. IPsec umí zajistit autentizaci, integritu a utajení datové komunikace
mezi koncovými uzly nebo vstupními branami do vnitřních sítí. Pro aplikace je IPsec
transparentní, nemusejí ho brát v potaz.
Conntrack, NAT a maškaráda
Protokoly čtvrté (transportní) vrstvy zajišťují transport dat mezi koncovými aplikacemi, tudíž přidávají další adresní prvek,
který určuje na cílovém stroji konkrétní
aplikaci.
Nejpoužívanějšími transportními protokoly jsou UDP a TCP. Oba používají k adresování cílových aplikací 16bitové číslo portu. UDP kromě rozlišování aplikací pomocí
Architektura TCP/IP
zdrojového a cílového portu přidává k IP
už jen velikost datagramu (UDP hlavičky
a dat). TCP navíc poskytuje aplikacím spolehlivý datový proud, který zajišťuje dodání
dat ve správném pořadí.
Connection tracking (stopování spojení) je technologie, která slouží k udržování informací o stavu TCP spojení a UDP
konverzací. Je to základní předpoklad pro
fungování překladů adres a portů (NAT).
Samotné adresy jde překládat i bez informací o spojení, ale například velmi obvyklá
IP maškaráda je postavena na společném
překladu adres i portů. IP maškaráda je
konfigurace, která způsobí, že zdrojová
adresa TCP nebo UDP paketu změní na
některou z veřejných IP adres až na NAT
routeru. Zdrojový port se mění na některý
z volných portů přidružených
k té veřejné adrese.
NAT může poskytnout
určité zabezpečení počítačů
na vnitřní síti proti připojení
z venku. Častou chybou administrátorů je přeceňování
těchto bezpečnostních vlastností, které velmi závisí na imZapouzdření v síti TCP/IP
plementaci i konfiguraci NATu.
Další věc, na kterou je třeba dávat pozor, je
Multi-layer switche obvykle funguvelikost tabulky spojení (conntrack). V příjí stejně jako klasické switche, přepojují
padě naplnění conntrack tabulky z důvotedy ethernetové rámce. K tomu přidávají
du velkého počtu spojení nebo dlouhých
různou úroveň podpory protokolů dalších
timeoutů může nastat situace, kdy nejde
vrstev. Například můžou využívat informací
navázat další spojení.
o prioritě paketu (QoS), která se nachází
Velmi důležitým prvkem zabezpečené
v hlavičce protokolu IP, nebo obsahovat
sítě je firewall. Základní firewall (paketový
hardwarovou implementaci směrování IP
filtr) umožňuje jistou dávku filtrování podle
paketů (L3 switch). Content-switch pak využívá informace všech vrstev od linkové až
ethernetových portů, VLAN, IP adres a TCP/
UDP portů. Stavový firewall pak s využitím
po aplikační a slouží například ke stavbě
conntracku nabízí možnost filtrování podle
high availability řešení pro webové a jiné
aplikační servery.
stavu spojení (konverzace). Dokáže rozlišoConnection tracking, NAT a firewall ze
vat spojení navazovaná z jedné nebo druhé
strany, spojení běžící, nesprávně sestavené
čtvrté vrstvy lze také obohatit o některé
pakety a pakety, které s běžícím spojením
aplikační schopnosti. Mezi jinými podpora
protokolů, které otevírají více souvisejících
souvisí. Firewall rovněž může odlišit komunikaci zabezpečení pomocí IPsec. Pak už si
spojení, a filtrování podle obsahu datové
stačí jen vybrat kritéria, podle kterých firečásti paketu.
wall propouští, odmítá nebo zahazuje paStírání rozdílů mezi uzly
kety, případně loguje informace a spouští
procesy, které reagují na určitou situaci.
Osobní počítač s několika síťovými rozhraními může plnit kromě úlohy koncového
Aplikační protokoly
zařízení například i funkci bridge, routeSvět TCP/IP ukazuje, že pátá (reru, firewallu nebo NAT. Příkladem takové
lační) vrstva a šestá (prezentační)
služby je sdílení připojení k internetu (Invrstva se v praxi příliš neuplatňují.
ternet Connection Sharing) v systémech
Správa relací spadá pod protokol
Microsoft Windows, které využívá protoTCP, podobně jako prezentační
kolu DHCP a technologie NAT. Unixové
vrstvu pohltí aplikační protokosystémy se často chovají jako univerzální
ly. Sedmá je tedy aplikační vrstva,
síťová zařízení. V kombinaci s 802.1Q VLAN
kam spadají protokoly jednotlimůže funkci síťového prvku převzít dokonvých aplikací. Internet Protocol
ce i počítač s jediným fyzickým zařízením.
Suite nabízí nejen důležité podMnoho síťových prvků je naopak možné
půrné protokoly jako DHCP, DNS,
úpravou (náhradou) firmware proměnit
OSPF a BGP, ale pokrývá i protov malý server. Levnější routery obvykle
obsahují nějakou variantu Linuxu nebo
koly obecného použití jako FTP,
HTTP, IMAP, NFS, SMTP, SNMP a jiné. NaproBSD už od výrobce.
stá většina protokolů používaných na sítích
Konfigurace a monitoring
TCP/IP vyvíjených mimo Internet Protocol
síťových zařízení
Suite spadá do aplikační vrstvy.
Na aplikační úrovni lze propojovat poVelká část popsaných síťových zařízení vymocí různých proxy serverů a aplikačních
žaduje konfigurační zásahy administrátora.
bran. Mezi známé příklady patří HTTP a FTP
K tomu se dá použít sériová konzole nebo
síťové rozhraní. Sériový port se připojí kaproxy (obvykle s možností cachování a fitbelem k počítači a v emulátoru znakového
rování výsledků), VoIP brány nebo i transterminálu se pomocí příkazů daného sysportní servery komunikační sítě Jabber pro
tému provede konfigurace. Po síti se lze ke
přístup do ostatních IM sítí.
konfigurační konzoli připojit přes protokoNa všech vrstvách
ly Telnet nebo SSH. Dále je možné použít
Klasický pohled na síť jako hierarchii odděklienta pro konfigurační protokol SNMP
lených vrstev umožňuje snazší pochopení
nebo webovou aplikaci přímo na síťovém
fungování i relativně komplikovaných sítí.
zařízení. Pro monitorování a tvorbu statistik
Přesto mnoho síťových zařízení zasahuje
je vhodný opět protokol SNMP, tentokrát
nastavený jen pro čtení. zároveň do více vrstev.
Connect! březen 2011
65
téma
69,/Ê/ Ê
-*,6 :
Návrh aktivních prvků a tipy pro projektanty sítí
Jak zvolit správný switch aneb kdo se v tom všem zmatku
a značení má vyznat?
T
uzemský trh je již přehlcen množstvím aktivních prvků, názvů, zkratek a názvosloví, které znesnadňují
volbu dobrého, a přitom cenově dostupného řešení. Důležitým pohledem na zařízení
a funkčnost je jeho umístění. Teď není řeč
o umístění do racku či na stůl, ale umístění v síťové hierarchii. Celou síť lze rozdělit
do tří skupin, bez ohledu na momentálně
používanou topologii.
Přístupová síť (access layer)
Přístupová síť slouží pro připojení koncových uživatelů. Vyznačuje se vyšším počtem portů s nižší přístupovou rychlostí
a několika porty s vyšší rychlostí, které jsou
určeny pro přenos informací od uživatelů
či k nim. Prvky v přístupové síti nejčastěji
pracují na druhé (spojové) vrstvě ISO-OSI
modelu a nesou označení L2 access switch.
Access switche jsou stavěny na jednodušších, přesto spolehlivých platformách.
Cena vztažená k jednomu portu je zde
velmi příznivá. Přestože se může zdát, že
není až tak nutné dbát na kvalitu, opak je
pravdou. Vzhledem k charakteru umístění
jsou do switchů umísťovány pokročilejší
funkce zabezpečení, kontroly i dohledu,
které jsou často velmi náročné na výpočty. Mezi nejprodávanější modely značky
Maipu patří S3100-26TC, od značky Signamax lze představit novinku v podobě
500-7624FE2GC.
Na co se zaměřit při výběru aktivního
prvku v přístupové síti? Odpověď na tuto
zdánlivě jednoduchou otázku již tak triviální není. Hlavní aspekt pro výběr zařízení
vyplývá z nutností konkrétní sítě a uvažovaného provozu.
Nejčastěji diskutovaná témata
jsou:
Začlenění a následné šíření VLAN
Přístup a delegace multicastu
Napájení připojených jednotek
AUTOR
(POE)
66
Martin Jech
INTELEK
Connect! březen 2011
Nastavení přístupových pravidel
a management řízení
Přestože podpora standartu 802.1Q
(Virtual LAN) je běžná u většiny spravovatelných switchů dané kategorie, ne vždy
je to shodné s funkčností odpovídající
standardu.
Distribuční síť
(distribution layer)
nologií a maximální možnou propustnou/
přenosovou rychlostí. Na tomto poli není
novinkou pojem 10Gb ethernet, BGP4+,
nebo stále se rozšiřující IPv6. Mezi nejznámější prvky této kategorie patří řada
společnosti Maipu S6800A.
V praxi se jednotlivé vrstvy velmi často
překrývají a doplňují. I to je důvod, proč
se vyplatí vybrat sofistikovanější zařízení
s relativně vyšší cenou. Získáme tím zařízení, které bude dimenzované i na vyšší
rychlost, než je například stávající požadovaná, a zároveň zvládne i pokročilejší
funkce směrování či řízení.
Síťová hierarchie slouží pro předběžný výběr zařízení. Ovšem vypovídajícím
parametrem je plný výčet požadovaných
funkcí, předpokládaného provozu a využití
daného aktivního prvku. Distribuční síť je primárně určená pro koncentraci uživatelů a distribuci funkcí a služeb. Switche na této vrstvě jsou osazeny
porty s vyšší přenosovou rychlostí, tím pádem i switch disponuje vyšší propustnou
rychlostí. Není překvapením, když switche
umožňují použití záložního
napájení a obsahují více
nezávislých zdrojů. Rovněž
otázka redundantního připojení je zde na místě.
Distribuční prvky pracují na pomezí vrstev
spojové a síťové, tedy
L2/L3. Zde se setkáváme
s přechodem mezi přístupovou a páteřní částí sítě,
tedy i základy směrování
Topologie, kde jsou VLAN řešeny v rámci tzv. VLAN porta vytváření tunelů. Pojem
based módu. Jednotlivé připojené PC jsou sice členěny do
Metro Ethernet je zde
„virtuálních“
sítí a komunikace v rámci jednoho switche
jako doma. Parametry, na
odpovídá nastavení, nicméně při připojení dalších switchů
jejichž základě se přiděluje
se informace o vlastních nastavení VLAN sítí nešíří. Dané
Metro Ethernet certifikace,
zapojení tedy neodpovídá prvotně smýšleným plánům.
sice prolínají veškeré vrstvy, zde se však nacházejí
nejčastěji. Jedná se například o podporu Triple-Play
funkcí (internet, telefon,
televize), rozšířené správy
a údržby (OAM), ale musí
splňovat i výkonnostní parametry. Z této skupiny lze
zmínit např. produkt společnosti Maipu SM340028GEF.
Páteřní síť
(core layer)
Tato síť je určena pro přenos velkého počtu dat. Vyznačuje se high-end tech-
VLAN tag-based mód. Každý paket je doplněn
o informaci, ze které VLAN pochází. Tato informace je
dále šířena sítí a na příslušném switchi (routeru) je daný
tag odstraněn. Připojené PC z jedné VLAN tedy mohou
komunikovat v rámci celé sítě a současně je zajištěno
jejich oddělení od ostatních uživatelů sítě.
connect
, "Ê
6Ê-
" Ê
69
Nejezděte sem s něčím, co je ve stavu
vývoje. Je rozhodně lepší, když máte v ruce
hotový produkt, který již slaví úspěch aspoň na domácím trhu. Viděl jsem několik
prezentací skvělých nápadů, ale partneři
či investoři rádi spolupracují na něčem,
co již někomu skutečně slouží a hlavně:
někdo za to platí. To je také důvod, proč
nám zde investoři naslouchají. Vidí něco,
co se již úspěšně prodává v Evropě, a vidí
tak reálný potenciál pro expanzi.
Přivezte něco, co nikdo jiný neumí.
Děláte nejlepší webové stránky na světě?
OK, pokračujte v tom, ale nejezděte sem.
Tady každý dělá nejlepší webové stránky.
Váš projekt musí být skutečně unikátní. Sa-
Tipy brněnské firmy z působení v Silicon Valley
Program CzechAccelerator vyslal do Silicon Valley dvě
brněnské firmy. Zástupce jedné z nich, AdvaICT, nám zaslal
několik poznatků a tipů z legendární oblasti.
V
lednu jsem na Živě.cz informoval
o tom, že mladé brněnské společnosti AdvaICT a COSECT zamířily
na tři měsíce do Silicon Valley v Kalifornii, kde
se nyní snaží navázat kontakty a rozběhnout
svůj byznys. Obě firmy mají velice zajímavé
produkty v oblasti IT bezpečnosti a řadí se
k několika českým společnostem, které už
to díky programu CzechAccelerator v údolí
internetu a nových technologií zkusily.
Jakub Vejmola, který ve Valley zastupuje první zmiňovanou společnost, mi poslal
několik osobních poznatků a pár tipů, jak
to v prestižní technologické oblasti chodí. Zástupci brněnských firem se zpět na
Moravu vrací koncem března, kdy s nimi
natočíme video.
Malý svět, který žije
okamžikem
AUTOR
Jakub Vejmola, Business Development
Manager, AdvaICT: Silicon Valley je takový
malý autonomní svět, který si žije vlastním
životem, a přitom denně ovlivňuje životy
nás všech. Zde vzniklo všechno, co dnes
používá skoro každý, kdo má počítač nebo
chytrý telefon. Vyhledáváme na Googlu,
dražíme na eBay, telefonujeme iPhonem
či Androidem (snad jen ta Windows jsou
z Redmondu).
Údolím však každou chvíli hýbe něco
jiného. Co si myslíte, že je to v současné
době? Dá se to relativně snadno odhadnout třeba podle názvů článků na Živě
– sociální sítě, vývoj mobilních aplikací
Jan Sedlák
redaktor Computeru a Živě.cz
(primárně samozřejmě pro iPhone, iPad
a Android) a cloudy. Vývojáři zběsile hledají díru na trhu, kterou ještě nepokryl
Facebook, investoři hledají nového Marka
Zuckerbergera nebo zázračnou iPhone
aplikaci, které se prodají miliony kopií,
a v neposlední řadě, co není v cloudu, je
dávno nemoderní. Kolem všech těchto věcí
je tu všeobecný „hype“.
Většina společenských akcí, konferencí a prezentací se točí okolo těchto témat.
Společnost, která vyvíjí něco „seriózního“
– například řešení pro síťovou bezpečnost
a správu – tu má paradoxně v tomto okamžiku ztíženou pozici. Podobnou věc jsme
ovšem tušili a zaměřili jsme se především
na prezentaci naší online služby NetHound,
neboť ta je v této chvíli připravena pro masové cloudové nasazení. Služba zde slaví
velký úspěch a i investoři zde uznávají, že
na globálním trhu podobná služba naprosto chybí. Ani appliance řešení FlowMon
ADS vyvinuté ve spolupráci s českou firmou INVEA-TECH, která startovala v Jihomoravském Inovačním Centru, si vůbec
nevede špatně, ale jak říkám, Silicon Valley
teď hýbe především online distribuce. Je to
vcelku logické – pokrýt distribučně tak obrovskou zemi, jakou jsou Spojené státy, je
netriviální úkol na pár měsíců, či dokonce
let. I když se jedná o unikátní produkt, který zde má jen minimální konkurenci, naše
americké protějšky jsou trošku líné se tím
zabývat. Pokrytí online službou však pro
ně může být otázkou dnů.
Mám-li tedy něco poradit firmám, které
by se programu CzechAccelerator chtěly
zúčastnit v dalších měsících nebo se sem
vydat na vlastní pěst, shrnul bych to asi
v těchto pěti bodech:
mozřejmě, že každý má konkurenci. Musíte
tedy najít něco, co konkurence neumí nebo
je v tom slabá. Nedělejme si iluze, AdvaICT
sice v Evropě konkurenci nemá, ale v USA
je nyní zhruba pět podobných firem. Žádná však není schopná poskytnout benefity
svých produktů za srovnatelnou cenu, s nasazením do půl hodiny, nebo dokonce jako
online službu. Najděte i vy svou niku!
Připravte si prezentace a marketingové materiály dle amerického stylu.
Nezačínejte jakoukoliv prezentaci o tom,
jak se jmenuje vaše firma, kdy byla založena, co všechno děláte… Nejedete sem
prezentovat sebe nebo firmu – jedete sem
prezentovat svůj produkt. Na to, abyste na
něj upoutali pozornost, máte asi minutu
(i když investorská prezentace trvá skoro
půl hodiny). Naučte se tzv. „Elevator pitch“.
Během vyjetí výtahem do 3. patra musíte
svému protějšku sdělit, co děláte, v čem
je to unikátní a jaký je potenciál na trhu.
Tímto uveďte každou svou prezentaci, seznámení nebo svou homepage. Věřte, že
se vám to bude hodit kdykoliv a kdekoliv,
zdaleka nejen ve Státech.
„Networkujte“! Tento pro našince možná záhadný pojem má v Silicon Valley velkou tradici. Zjednodušeně řečeno se jedná
o rozšiřování sítě kontaktů. Probíhají zde
denně akce, kde máte možnost potkat se
s lidmi ze svého či jiných oborů. Navíc je
zde extrémně populární sociální síť LinkedIn, která tu slouží právě jako platforma
pro profesionální networking. Na oněch
společenských akcích sbírejte vizitky a pak
popřemýšlejte, které pro vás mohou mít
smysl a které bohužel zřejmě skončí v koši.
Pamatujte, že každý člověk, na kterého narazíte, již může mít velmi dobrou základnu
svých kontaktů. Většina akcí je placených,
takže dle oboru vybírejte ty, které vám skutečně mohou něco přinést.
Vyvíjíte pro iPhone, iPad nebo Android? Už tu máte být! Connect! březen 2011
67
connect
79]Ê69/6,/Ê-
Vytváranie webových aplikácií pomocou WebMatrix
Microsoft vydal nástroj na rýchle vytváranie moderných
dynamických webových aplikácií WebMatrix. Prinášame
podrobnejší pohľad na dostupné funkcie a niekoľko typov na
prácu s aplikáciou.
W
ebMatrix obsahuje v jednom
balíku všetko, čo potrebujete pre vytváranie webových
aplikácií na platforme Windows, vrátane
webového servera IIS Express, webového
frameworku, ASP.NET a embedded databázy SQL Server Compact (embedded
databáza). Produkt je zdarma k dispozícii
na adrese http://www.microsoft.com/
web/webmatrix.
Zámerom tvorcov produktu je pritiahnuť hobby vývojárov na platformu .NET.
WebMatrix je koncipovaný tak, že prvé
projekty v ňom môžete vytvárať prakticky okamžite a postupne si „za pochodu“
osvojíte aj zložitejšie témy. Najvýznamnejšou novinkou je technológia Razor a sada
knižníc pre implementáciu širokej palety
webových služieb a sociálnych sietí.
sa dá vyriešiť jednoducho a intuitívne na
niekoľko riadkov kódu. Avšak prílišnému
optimizmu z predošlej vety bráni slovné
spojenie „do vašej aplikácie“. Aby ste mohli
prepojiť vlastnú aplikáciu s Facebookom,
a tak na ňu prilákať ľudí, musíte vlastnú
aplikáciu mať a musí byť pre používateľa
užitočná. Preto sme tento článok koncipovali ako motivačnú recenziu, ktorá vám poodhalí kľúčové vlastnosti na
praktických príkladoch.
Po spustení vývojového prostredia sa
spustí sprievodca rýchlym vytvorením projektu. V ľavej dolnej časti je okno s tlačidlami pre výber pracovného priestoru, teda
režimu práce. Okno obsahuje tlačidlá Site,
Files, Databases, Reports. Návrh stránky
prebieha v režime Files.
Vytvorenie projektu webovej
aplikácie
Keď sa pozriete na postupnosť nadpisov
statí, možno vás zarazí, že ešte sa na projekte nič neurobilo a už ho ideme spúšťať.
Presne tak, veď sme avizovali, že vývoj
webových aplikácií bude jednoduchý
a intuitívny. Na paneli nástrojov WebMatrixu aktivujte tlačidlo Run. Hoci webové
aplikácie bežne používate, nemusíte sa
starať o ich beh a vo väčšine prípadov ani
netušíte, kde je server, na ktorom vaša aplikácia beží, umiestnený. Teraz
je všetko inak, webová aplikácia bude pre účely testovania
a ladenia spustená priamo na
vašom počítači.
Pred spustením aplikácie
sa uistite, že máte v ľavom
paneli WebMatrixu vybranú
stránku, ktorú chcete testovať.
V tomto projekte je to stránka
default.cshtml.
Vďaka premyslenému výberu vzorových
aplikácií a galérii šablón je táto vývojárska platforma aj napriek absencie možnosti vizuálneho návrhu vhodná pre začiatočníkov. Dokonca aj niektoré hodne
sofistikované záležitosti, ako napríklad
integrovanie vyhľadávania do vašej aplikácie či spolupráca so sociálnymi sieťami,
Spustenie webovej aplikácie
Po spustení sa zobrazí stránka s dvoma záložkami a odkazmi na prihlásenie
a registráciu nového člena. Zdalo by sa
že tu platí, že za málo peňazí je aj málo
muziky, ale opak je pravdou. V šablóne sú
implementované prakticky všetky funkcie
súvisiace s prihlasovaním a registráciou
nových členov, takže môže po doplnení
slúžiť ako základ klubovej stránky. Vo všeobecnosti býva mottom webovej aplikácie
zverejňovať a zviditeľňovať. Sú však aj aplikácie, kedy chcete niektorých používateľov
presunúť do určitej „privátnej zóny“, napríklad pre prezeranie rodinných fotografií,
či zverejňovanie informácií len pre určitú
komunitu používateľov.
Webový fotoalbum alebo
predaj cez Internet na
niekoľko kliknutí
Aby webová aplikácia oslovila používateľa,
musí byť stmelením obsahu, interaktivity
a dizajnu. Zdalo by sa, že tu začiatočník
skončí. Práve naopak, šablóny vzorových
projektov vo WebMatrixe umožňujú vytvárať komplexné interaktívne webové aplikácie aj začiatočníkom, pričom pomerne
bohatú funkcionalitu dosiahnu bez akéhokoľvek programovania.
Šablóna Gallery (Fotoalbum) je nielen
užitočná, ale zároveň je aj odpoveďou na
otázku ako vytvoriť graficky bohatú aplikáciu vo vývojovom prostredí bez možnosti
grafického návrhu? Aplikácia je funkčná
hneď po vytvorení. Návštevníci si môžu
snímky prezerať a po zaregistrovaní aj komentovať, prípadne popisovať.
Pokročilejších čitateľov bude určite zaujímať, kam sa ukladajú obrázky. Aplikácie vytvorené v prostredí WebMatrix môžu
využívať súborovú „embedded“ databázu
SQLServer Compact Edition. V praxi to
znamená, že databáza je súčasťou projektu
Fyzicky sa nachádza v adresári App_data.
Šablóna Bakery vám možno pomôže
rozbehnúť na internete svoj biznis. Je to
klasická aplikácia typu „internetový ob-
AUTOR
Vývojové prostredie Web Matrix má
implementovanú galériu šablón aplikácií
pre populárne weby a CMS portály pre
správu obsahu, vrátane populárnej
blogovej platformy WordPress
68
Ľuboslav Lacko
Nezávislý IT publicista a softwarový vývojář
Connect! březen 2011
Začiatočníkom odporúčame vytvoriť projekt zo šablóny typu a pre prvý projekt vyberte šablónu
Empty Site a pomenujte projekt, napríklad PrvyWeb
connect
Používateľské rozhranie vývojového
prostredia WebMatrix využíva osvedčený
panel nástrojov a pás kariet z kancelárskeho
balíka Office
chod“, ktorá umožňuje predávajúcemu
prostredníctvom webových katalógov
ponúkať svoj tovar a kupujúcim zasa nakupovať a samozrejme nejakou formou za
tovar platiť.
Používateľ v objednávacom formulári
uvedie doručovaciu adresu, kam mu treba
tovar doručiť a mailovú adresu pre zaslanie účtu. Platba sa dá vyriešiť napríklad na
dobierku. Pre odoslanie mailu je potrebné
nastaviť v súbore Order.cshtml parametre
mailového servera napríklad
//SMTP Configuration for Hotmail
WebMail.SmtpServer = „smtp.live.
com“;
WebMail.SmtpPort = 25;
WebMail.EnableSsl = true;
//Enter your Hotmail credentials
for UserName/Password and a „From“
address for the e-mail
WebMail.UserName = „“;
WebMail.Password = „“;
WebMail.From = „“;
Zákazníkovi príde potvrdenie objednávky mailom, ktorý slúži aj ako elegantné
riešenie ukladania objednávok. Aplikácia
totiž využíva len jednu databázovú tabuľku
pre ukladanie údajov o produktoch. Údaje
o objednávkach sa automaticky ukladajú
v zozname odoslanej pošty, takže o túto
vec sa ako prevádzkovateľ aplikácie vôbec
nemusíte starať, stačí vytlačiť odoslané emaily a máte zoznam objednávok, ktoré je
potrebné vybaviť vrátane adries pre doručenie tovaru
RAZOR – nová syntax
pre tvorbu dynamických
webových stránok
Ani motivačná recenzia dobrého návrhového prostredia pre začiatočníkov nemôže
obsahovať len návody typu „máte to hotové na jedno kliknutie“. Aplikáciám je potrebné vdýchnuť život a individualitu, aby
slúžili pre daný účel. Preto bude približne
tretina článku venovaná programovaniu.
Pre pokusy si vytvorte projekt podľa šablóny Empty
Site.
Na prvej stránke sa pokúsime niečo vypísať. Toto
je jednoduchá statická úloha, takže by ste ju mohli
realizovať výhradne pomocou HTML kódu. Prepnite
WebMatrix do režimu Files.
Projekt zatiaľ neobsahuje žiadne stránky, preto si jednu
vytvoríme; na paneli nástrojov v skupine Files kliknite
na tlačidlo New a v menu
vyberte položku New File… Aby sme
urobili prvý krok do sveta ASP.NET, zrealizujeme túto stránku tak, že naplníme dve
premenné textovými reťazcami a vypíšeme ich obsah
<html lang=“en“>
<head>
<meta charset=“utf-8“ />
<title>Prvá webová
stránka</title>
</head>
<body>
@{ var sNadpis = „Hello World
stránka“; }
@{ var sText = „Ahojte
všetci!“; }
<h1>@sNadpis</h1>
<p>@sText</p>
</body>
</html>
Aplikáciu môžete teraz vyskúšať. Hoci
ste sa zatiaľ nezoznámili s Razor syntaxou,
skúste aj nasledujúci príklad, ktorý vypíše
aktuálny dátum a čas.
<body>
<h1>Hello World stránka</h1>
<p>Dátum a čas: @DateTime.
Now</p>
</body>
Aktívny kód je účelovo integrovaný do
HTML a umiestnený v súboroch s príponami cshtml, alebo vbhtml, ktoré využívajú
novú syntax nazývanú Razor. Riadky či bloky Razor kódu rozoznáte veľmi jednoducho, začínajú prefixom @, čiže zavináčom,
a vývojové prostredie ho odlišuje od ostatného kódu sivým podfarbením. Za znakom
@ môže nasledovať jednoriadkový výraz
alebo viacriadkový blok kódu v zložených
zátvorkách. Premenné môžu byť rôznych
typov, číselné, textové, dátumové…
@{ var nCislo = 49; }
@{ var sText = „Ahoj“; }
blok kódu v zložených zátvorkách
@{
var sPozdrav = „Ahojte
všetci!“;
var dtDen = DateTime.Now.
DayOfWeek;
var sOznam = sPozdrav + „
Dnes je: „ + dtDen;
}
<p>Oznam: @sOznam</p>
Vo vnútri bloku je potrebné oddeľovať
jednotlivé príkazy bodkočiarkou. Premenné začínajúce znakom @ môžu byť kdekoľvek v HTML kóde.
<p>Hodnota číselnej premennej je:
@nCislo </p>
<p>Text v textovom reťazci je: @
sText</p>
Platí to aj naopak, vo vnútri Razor kódu
môžete používať HTML tagy, napríklad
@if(IsPost)
{
<p>Ahoj, už sa poznáme.
Teraz je: @DateTime.Now a na túto
stránku ste prišli ces
postback!</p>
}
else
{
<p>Ahoj, si tu prvý krát.
Teraz je: <br /> </p> @DateTime.
Now
}
Pre vykonávanie opakovaných činností
slúži cyklus, pričom v každej iterácii môže
byť činnosť modifikovaná napríklad aktuálnou hodnotou riadiacej premennej cyklu.
Napríklad
@for(var i = 10; i < 17; i++)
{
<p style=“font-size: @(i +
„pt“)“>Veľkosť fontu tohoto textu:
@i</p>
}
Základnou programovou konštrukciou
pre dynamiku aplikácie je podmienka, na
základe jej vyhodnotenia sa program následne vetví. Najjednoduchšie a podmienka vytvorí pomocou príkazu if.
@{
var bDatum = false;
if(bDatum)
{
@DateTime.Today;
}
else
{
<text>- - -</text>
}
}
Publikovanie webovej
aplikácie na server
Po odladení na lokálnom počítači„idete s kožou na trh“ a budete chcieť sprístupniť svoju
aplikáciu na webe pre všetkých. Keď si vyberiete poskytovateľa webhostingu, kde bude
aplikácia umiestnená, môžete ju na záložke
Sites publikovať na webový server. Connect! březen 2011
69
connect
éÊ/"Ê,÷
Agilní vývoj – bublina, nebo trend?
Co znamená agilita ve vývoji a je vůbec prakticky nasaditelná
v organizaci větší než tříhlavý tým?
Z
působů, jak práci v týmu organizovat, je hodně. Cílem většiny
takových přístupů je naučit členy
týmu spolupracovat jako dobrou kapelu
hrající jazz. V takové kapele je totiž každý
hudebník svébytným originálem s vysokou
mírou kreativity. Dohromady ale musí tvořit
sehraný tým, který si vzájemně naslouchá
a vždy tvoří neopakovatelné hudební dílo.
Aby bylo něco takového možné vytvořit i v softwarovém světě, je třeba pomoci
jednotlivým specialistům hrát roli kreativních a zkušených jedinců, kteří naslouchají
svému týmovému okolí. To však není vždy
jednoduché. Mnoho týmů se o to pokouší
vlastními metodami (různé varianty vodopádového vývoje nebo jiné, vlastní přístupy). Některé týmy se nechávají více či méně
inspirovat klasickými vývojovými metodikami (např. Rational/Open Unified Process).
Stále částěji se ale pozornost týmů stáčí na
agilní přístupy. V obecné rovině koketuje
s agilitou asi každý vývojový tým, jak ji ale
prakticky zavést a na co se soustředit?
Pravidlo „just enough“
AUTOR
Mnoho obecných agilních principů je popsáno už v dokumentu „Agile Manifesto“
a mnoha studiích, které tyto myšlenky dále
70
Zdenek Borůvka
Softwarová divize, IBM střední a východní Evropa
Connect! březen 2011
rozvíjejí. Většina těchto dokumentů se však
snaží postihnout základní principy agility
a nezaměřuje se už tolik na její praktické
nasazení. Přitom praktické nasazení a praktické zkušenosti jsou to, co může agilní vývoj rozšířit do formy běžně používaného
standardu.
Jednou z cest, jak začít, je přijmout
myšlenku, že v agilním světě se snažíme
dívat optikou „just enough“. Je-li tedy cílem
zefektivnit fungování týmu, pak může být
dobrým krokem vpřed začít zjednodušovat vnitřní pravidla a procesy. A to nikoli
proto, abychom některá důležitá témata
mohli vynechat, ale proto, abychom se
zaměřili na činnosti, které jsou pro dosažení našich cílů opravdu důležité, a dělali je
v minimálním smysluplném rozsahu (tedy
tak, abychom s minimálním úsilím dosáhli
toho, co skutečně potřebujeme). Agile requirements, agile testing atd. často potom
znamená aplikaci pravidla „just enough“ na
jednotlivé disciplíny softwarového vývoje.
Nejde ale o to vyhnout se správě požadavků či testování jako takovým. Naopak jde
o to se zaměřit na co možná nejefektivnější
sběr, sdílení a údržbu požadavků v aktuálním stavu bez zbytečného úsilí navíc.
Mnoho týmů ale nechce experimentovat se zaváděním agilních principů do
vlastních metodik, ale rozhodují se pro přechod na některou z osvědčených agilních
metodik. I když jich existuje celá řada, jednou z nejčastěji používaných je SCRUM.
Existuje mnoho popisů metodiky
SCRUM a mnohé firmy nabízejí školení
s možností certifikace účastníků na SCRUM
mastery. To, co je ale velmi těžké školením
či dokumentem předat, je vlastní zkušenost
se zaváděním takové metodiky. Malé týmy
(do 5–7 lidí) se často rozhodují pro adopci
metodiky SCRUM samy a učí se na vlastních
chybách. Větší týmy se i vzhledem k souvisejícím rizikům obvykle rozhodují pro odbornou asistenci se zaváděním metodiky.
IBM má v oblasti zavádění agilních metodik široké zkušenosti. Celou řadu těchto
zkušeností jsme získali, když jsme se před
několika lety rozhodli převést pod vedením
Scotta Amblera velkou část svého interního vývoje na agilně řízené projekty. Tyto
agilně řízené projekty se velmi úspěšně
rozvíjejí (jedním z příkladů je transparentní
a otevřená týmová platforma Jazz – http://
jazz.net). Mimo to interně zkoušíme i další
přístupy, jako je např. KANBAN apod.
Důležitějším zdrojem zkušeností jsou
pro nás ale praktické pojekty, ve kterých
jsme pomohli a dále pomáháme našim
partnerům a zákazníkům úspěšně přejít
například na metodiku SCRUM. Mezi příklady zákazníků lze zařadit významné organizace z oboru bankovnictví, telekomunikací
či logistiky, a to v celém regionu střední
a východní Evropy včetně České republiky,
Slovenska, Polska a Turecka.
Ve všech zmíněných projektech klademe důraz na tři klíčové podmínky úspěšného zavedení nového přístupu k vývoji
– metodiku, tým a nástroje.
Zavedení nové metodiky
Prvním z nich je tedy metodika samotná.
Zavedení nové metodiky by mělo být
samo o sobě projektem, který by měl mít
své požadavky, svůj harmonogram i svá
kritéria úspěchu. Metodiku hodně ovlivňuje typ a velikost projektu, kam agilní
přístup nasazujeme. Jinak je třeba nasadit
SCRUM v agilním projektu vlastního vývoje, jinak ve velkém projektu s několika
subdodavateli apod. Obecně vzato čím
větší daný projekt je, tím více se nová
metodika uspůsobuje prostředí, kultuře
a zvykům organizace. Navíc většina organizací nenasazuje agilní metodiku jako
jedinou možnou, ale postupně ji zavádí
na nových projektech a stávající projekty
nechává obvykle dobíhat v zaběhnutých
kolejích. Běžně tak lze vidět v jedné organizaci projekty, které běží na SCRUMu,
vodopádově organizované projekty i projekty řízené metodikou vlastní (obvykle
odvozené od RUPu).
Klíčovým předpokladem úspěšně nasazené metodiky (a to jakékoli) je schopnost týmu/lidí začít dle metodiky pracovat.
Tomu lze výrazně napomoci školením, které představí stávajícímu či novému týmu
connect
nový způsob práce. Důležitou součástí je
ale i pravidelný coaching/mentoring (po
dobu pilotního projektu), který umožní jednotlivým členům týmu zodpovídat otázky
(typický problém takovýchto inovací je,
že pokud nějaká otázka není zodpovězena dostatečně a včas, tazatel se uchyluje
k původnímu stylu práce, protože je na to
zvyklý; udělá-li to v projektu každý, dobrá
snaha něco zlepšit vyšumí do ztracena).
Po ukončení pilotního projektu odchází
zpravidla jeho členové pracovat do jiných
projektů jako mentoři, a tím se organizace
stává do velké míry soběstačná. Motivovaní lidé, kteří šíří svou motivaci na ostatní,
jsou nejlepším motorem adopce nové
metodiky.
Důležitým aspektem zavádění nové
metodiky jsou i nástroje, které agilní metodiky podporují. Pro agilní projekt není
totiž vhodné používat klasické „rigidní“
nástroje. Jedním z důvodů je vysoká míra
administrace (ať už pro udržení nástrojů
v běhu, či běžné denní práci projektových
týmů). Prostředí pro agilní vývoj by mělo
být jednoduché, pružné a mělo by poskytovat vždy takovou informaci, kterou daný
člověk právě potřebuje, „just enough“. Pokud ale chceme mít vždy ty správné informace, navíc v potřebném kontextu, je těžké
nenutit uživatele vkládat velké množství
dodatečných dat, a tak zpětně nezvyšovat
administrativu. Objevuje se problém, jak
skloubit agilně fungující nástroje s potřebou sběru mnoha různých informací. Příkladem může být dilema mezi skutečně
agilně fungujícím týmem (který typicky
nepoužívá klasické projektové řízení prostřednictvím Gantt grafů) a managementem, který potřebuje dlouhodobě plánovat
zdroje, finance, postup projektů pomocí
tradičních přístupů.
Dnes asi nejpokročilejším řešením (dle
nezávislých analytiků), které tyto problémy
elegantně řeší, je platforma Jazz, konkrétně
modul Rational Team Concert, který je na
platformě Jazz založený. Jeho velkou předností je schopnost poskytnout kompletní
podporu SCRUM týmu, a to nejen v oblasti
plánování, ale i pokud jde o automatický
sběr dat a návaznosti mezi plánováním,
verzováním kódu, dokumentace, modelů
testů apod. a build/release managementem. Přináší jedno prostředí pro všechny
členy týmů dostupné z webu nebo zaintegrované do svých vývojových prostředí (např. MS Visual Studio, IDEA, Eclipse
a další), a tím propojuje nejen členy v jednom týmu, ale i týmy navzájem (např. při
vývoji core banking systému, kdy každou
architektonickou vrstvu spravuje jiný tým
v jiné technologii a často z jiné firmy).
Navíc umožňuje fungovat jako „lepidlo“,
které umí využít a provázat jiné existující technologie napříč vývojovým světem
(např. Subversion, Jira, HP QC, SharePoint,
MS Project apod.).
Potřebné plánování
V oblasti plánování je důležitých hned několik rovin. Předně je to možnost rozpadu
a zaplánování jednotlivých požadavků do
sprintů/iterací a následný přehled postupu
prací včetně „Burn-down/up“ grafů, „Team
Velocity“ a dalších ukazatelů (v této oblasti
je často používaná také analýza, která pomáhá automaticky identifikovat požadavky, které jsou sice zaplánované do sprintu,
ale tým nemá dostatečnou kapacitu je včas
doručit). Asi nejdůležitější rovina plánování
ve SCRUMu je plán týmu. Zde má team leader možnost vidět aktuálně naplánované
úkoly dle jejich vlastníků, vytíženost jednotlivých lidí v týmu, postup práce celého
týmu nebo jednotlivců. Má tak jednoduchou možnost přeplánovat práci v týmu,
je-li to třeba (např. kvůli přetížení klíčových
zdrojů). To vše na úrovni času i náročnosti
(story bodů). Šikovnou pomůckou je také
grafická vizualizace aktivit jednotlivých
členů týmu (ToDo – In Progress – Done),
kterou týmy prochází při pravidelných
SCRUM schůzkách a diskutují o nich. Na
úrovni jednotlivce pak plánování představuje jednoduchý ToDo list, který vždy
aktuálně informuje o všech vlastních úkolech a umožňuje s nimi jednoduše a rychle
pracovat. Velké množství aktivit je automatizovaných a vzájemná spolupráce se pak
stává téměř zábavou.
Mimo plánování nabízí prostředí Team
Concert verzování všeho, co je ve vývojovém projektu třeba verzovat (modely,
kód, dokumentaci, testy apod.), a to i při
paralelním způsobu vývoje (více vývojářů
pracuje současně na stejném kódu). Oblíbenou součástí je i automatizace buildů,
kdy při využití existujících kompliátorů
(Ant, Maven, MS Build, perl kompilátory
apod.) umožňuje prostředí Team Concert
zapojit individuální, kontinuální, noční i integrační buildy (včetně Unit testů) a udr-
žovat automaticky vazbu mezi požadavky/
úkoly, verzemi zdrojového kódu a buildy.
Snadno a rychle je tak možné dohledat řádek i kontext nahlášené chyby i v hodně
starých verzích kódu.
Mezi hlavní důvody, proč se týmy často rozhodují pro prostředí Team Concert,
patří jeho dostupnost (zdarma do 10 uživatelů), možnost podpořit současně agilní
i tradiční týmy (SCRUM, OpenUP, Waterfall,
vlastní procesy), jednoduchost a rychlost
práce/nasazení s cílem omezit tradiční
„projektovou byrokracii“ a široká podpora
jak klientských (Java, .NET, PHP, System I,
System P, Mainframe, Oracle), tak i serverových prostředí (Jira, Subversion, Hudson,
SharePoint, HP QC aj).
I když jsou projektové nástroje jen jedním z několika důležitých aspektů nasazení nové metodiky, významně ovlivňují její
úspěšnost. I proto se snažíme doporučovat
technologie, které sami pro agilní vývoj intenzivně používáme.
Agilní vývoj sám o sobě nedokáže vyřešit problémy, které mezi sebou lidé ve vývojových projektech často mají. Začít používat
agilní praktiky totiž předpokládá více než
jen studium příslušné literatury. Nasazení
agilního vývoje znamená, že se projektový
tým (nejen vývojáři) naučí aplikovat konkrétní agilní praktiky, začne je každodenně využívat v nástrojích, které jsou k tomu
účelu připravené, a bude se pravidelně učit
ze svých chyb. S tím se ostatně v IT branži
setkáváme stále častěji.
Je tedy agilita jenom marketingová
bublina? Rozhodně není. Naše zkušenost
ukazuje, že agilní vývoj může být prakticky
nasaditelný a že nasazením lze dosáhnout
významných zlepšení. Úspěchu dosáhneme především se skutečným obsahem
konkrétně aplikovatelným v běžných
projektech a pokud nezapomeneme na
klíčové předpoklady úspěšného nasazení
– metodika, tým, nástroje. Výsledky agilních projektů našich partnerů a zákazníků
to nakonec dokládají. IBM Rational Team Webtop
Connect! březen 2011
71
connect
-*,6Ê /Ā
ITIL prakticky krok za krokem IV
Service Desk slouží jako rozhraní mezi uživatelem
a poskytovatelem IT služeb. Zároveň ne každý incident se
vyřeší okamžitě, je nutné ho delegovat jiným IT pracovníkům.
Způsob delegování definuje proces nazvaný Správa incidentů.
Zde se dozvíte, jak tento proces navrhnout a implementovat.
P
roces správy incidentů (Incident
management) je základem implementace procesů podle ITILu.
Tento proces pomáhá při řešení primární
výzvy, a tou je udržení IT infrastruktury
v chodu. Ve druhém dílu seriálu bylo popsáno, že bez jejího vyřešení nemá cenu
přemýšlet o zvyšování přidané hodnoty,
snižování nákladů, snižování komplexnosti,
sladění IT se skutečnými potřebami firmy,
splnění legislativních požadavků nebo zajištění základní bezpečnosti. Teprve když
IT infrastruktura funguje, jak má, má cenu
se tím vším zabývat.
Definice procesu
AUTOR
ITIL definuje cíl procesu správy incidentů
následujícím způsobem: Obnovení poskytování IT služby v případě výpadku nebo
omezení kvality. Tato obnova probíhá a je
měřena na základě kritérií dohodnutých
mezi poskytovatelem IT služby a jejím příjemcem. Cílem obnovy přitom není trvalé
odstranění příčin.
Vlastní proces se skládá z několika kroků. Na začátku je proces spuštěn jednou
z následujících událostí:
kontakt Service Desku uživatelem
zjištění nefunkčnosti monitorovacím
systémem
zjištění omezené funkčnosti IT pracovníkem
Ve všech případech je nutné jako první krok incident zaznamenat. Je důležité
zaznamenat skutečně všechny incidenty,
důvodů je několik. V první řadě je to snaha
„nezapomenout“ na žádný incident. Velmi
často se stává, že uživatel kontaktuje pracovníka Service Desku v okamžiku, kdy už
řeší jiný incident. V daný okamžik se zdá,
že si to pracovník bude pamatovat, stačí
ale nějaká další informace (ať už ke stávajícímu incidentu, nebo k jakékoliv jiné činnosti), aby se na nový incident zapomnělo.
Pokud se však incident ihned zaznamená,
máte jistotu, že se mu bude někdo věno-
72
Martin Vitouš
Lektor, konzultant a kouč volného sdružení
ict-123.com
Connect! březen 2011
vat. V druhé řadě je to podklad pro pozdější vyhodnocení četnosti konkrétních
incidentů nebo jejich celých kategorií.
Na základě takového vyhodnocení můžete určit, čemu se budete do budoucna
věnovat. Zároveň vám to umožní spočítat
případné náklady a přínosy trvalého vyřešení tohoto konkrétního incidentu nebo
celé kategorie. Tento krok vykonává pracovník Service Desku.
Druhým krokem je zařazení incidentu,
jeho kategorizace. To v první řadě slouží
k hledání podobného incidentu – nejjed-
době, nebo mimo ni? Pokud nastal incident mimo pracovní dobu, máme určitý
čas k dobru, než začne firma dopad pociťovat. Pokud nastal incident v pracovní době,
určujete, zda se IT služba využívá nepřetržitě, případně jak často. V případě dopadu
se určuje, zda má incident dopad na chod
celé firmy, jednoho oddělení, nebo jednotlivce. Tady se ale mohou objevit i další
faktory. Může se například jednat o plnění
legislativních požadavků nebo požadavků
regulačních orgánů. Tento krok opět vykonává pracovník Service Desku, ale pouze na
základě předem určených pravidel. Prioritu
nikdy neurčuje uživatel. Na základě priority
se pak určí termín, dokdy musí být incident
vyřešen.
Čtvrtým krokem je prvotní diagnostika
incidentu. Prvotní diagnostikou se rozumí
zjištění všech příznaků incidentu a s tím
souvisejících informací. Zde se může jednat o zaznamenání chybových hlášení,
sejmutí obrazovky v okamžiku incidentu,
V první řadě je nejdůležitější
zaznamenat úplně všechny incidenty,
aby se na nich dále mohlo pracovat
nodušší způsob vyřešení incidentu je najít
podobný incident, který byl v minulosti
vyřešen, a opětovně použít existující řešení. Dále je to možnost reportování, vyhodnocování a analýzy incidentů i jejich
řešení. Nakonec je to určení, kdo bude ta
správná osoba pro řešení incidentu. Jaké
všechny informace můžete pro zařazení
použít? Tady je dobré si uvědomit, co se
při oznámení incidentu dozvídáte. Může
to být:
uživatel postižený incidentem (jméno,
oddělení, umístění)
služba postižená incidentem
konkrétní část IT infrastruktury postižená incidentem
V tento okamžik je možné určit, která
z podmínek poskytování IT služby byla
porušena, zda se vůbec jedná o incident
(a ne jenom požadavek uživatele) a za
jakých podmínek musí být chod služby
obnoven. Tento krok vykonává pracovník
Service Desku.
Třetím krokem je určení priority řešení
incidentu. Priorita pro řešení incidentu se
určí kombinací dvou základních informací:
jak naléhavé je incident vyřešit
jaký negativní dopad má incident na
chod firmy
V případě naléhavosti je první určení
jednoduché. Nastal incident v pracovní
zkopírování logovacích souborů, zjištění
nastavení konkrétní součásti IT infrastruktury apod. K systematickému sběru těchto
informací se často využívá tzv. skriptů nebo
rozhodovacích stromů. Na základě odpovědi na jednu otázku určíte další otázky. To
postupně vede k získání úplné informace,
ale hlavně k získání informace relevantní
k danému incidentu. Tento krok má na starost pracovník Service Desku.
Dalším krokem je předání incidentu
konkrétnímu pracovníkovi k řešení. Na
základě stanovené kategorie a priority se
určí, zda řešení může provést pracovník
Service Desku, anebo musí incident předat někomu jinému. Důvodem může být
buď nedostatek specializovaných znalostí,
nedostatek přístupových práv, nebo nedostatek vlastní kapacity (příliš mnoho úkolů).
V případě prvních dvou důvodů je řeč o tzv.
funkční eskalaci a v případě posledního důvodu o tzv. hierarchické eskalaci. Funkční
eskalace znamená, že se předává incident
druhé, případně další úrovni podpory (specializovanému pracovníkovi). Hierarchická
eskalace znamená, že požádáte nadřízené
pracovníky o rozhodnutí, jak se budou využívat omezené zdroje, které máte k řešení
incidentu. Tento krok vykonává pracovník
Service Desku, v případě již předaného
incidentu specializovaný pracovník či ma-
connect
Jak funguje Incident management
nažer. Při eskalaci je potřeba nezapomínat
na termín, dokdy má být incident vyřešen.
Není možné čekat až na vypršení termínu
a teprve pak předat incident další úrovni
podpory.
Následuje hledání řešení. Při hledání
řešení využíváte všech dostupných zdrojů
informací. Může to být jiný, již vyřešený
incident. Může to být informace ze znalostní databáze. V případě, že se nenajde
existující řešení z dostupných zdrojů, je
potřeba najít nové řešení incidentu. Tento
krok obstarává pracovník Service Desku
nebo v případě již předaného incidentu
specializovaný pracovník.
Dále je nutné zajistit implementaci
řešení. Jakmile příslušný pracovník najde
řešení, je nutné ho implementovat. Při
implementaci se může jednat o velmi jednoduchý krok, jako je třeba restart počítače. Může se ale jednat o něco složitějšího,
jako je třeba výměna zařízení, instalace
nové verze programu apod. Pak je potřeba
myslet i na obnovu ztracených dat. Tento
krok vykonává pracovník Service Desku
nebo v případě již předaného incidentu
specializovaný pracovník.
Osmým krokem je uzavření incidentu. Jakmile je řešení implementované, je
nutné informovat uživatele, který ověří,
zda řešení skutečně funguje. Pakliže ano,
Vztahy v rámci Incident managementu
je možné incident uzavřít. Tady dochází
k problémům s komunikací: ve většině
případů se ke komunikaci využívá elektronická pošta, na niž většina uživatelů
reaguje stejným způsobem. Ověří, zda
řešení funguje, a jestliže ano, už se neobtěžují informovat Service Desk. Je proto
dobré stanovit pravidlo, že pokud uživatel neodpoví do určité doby, incident
se automaticky uzavře. Zde se opět stará
zaměstnanec Service Desku.
Pokud se podíváte na popis jednotlivých kroků, můžete určit jednotlivé role,
které se na tomto procesu podílejí:
pracovník Service Desku
specializovaní pracovníci další úrovně
podpory
příslušní manažeři
Pracovník SD je odpovědný za komunikaci s uživatelem pomocí domluveného
komunikačního kanálu. Dále je odpovědný
za zaznamenání incidentu, jeho kategorizaci, určení priority, prvotní diagnostiku
a vyřešení incidentu, případně včasné předání pracovníkům na další úrovni podpory.
Operátor SD je rovněž odpovědný za uzavření incidentu.
Specializovaný pracovník další úrovně je
odpovědný za nalezení a vyřešení incidentu, pakliže k tomu neměl pracovník Service
Desku dostatek znalostí, přístupových práv
nebo zdrojů. Specializovaný pracovník by
neměl nikdy komunikovat s uživatelem přímo, ale vždy prostřednictvím SD.
Příslušný manažer je odpovědný za
poskytování dostatečných zdrojů na
řešení jednotlivých
incidentů. V případě,
že není možné zajistit dostatečné zdroje,
je příslušný manažer
odpovědný za rozhodnutí, jaké incidenty se
budou řešit a v jakém
pořadí. Zároveň jsou
příslušní manažeři odpovědní za komunikaci se zákazníkem.
Další důležitou informací jsou potřebné
vstupy a výstupy tak, abyste byli schopni
proces vykonávat a řídit. Pro první krok je
hlavním vstupem informace o nefunkční
(nebo omezené) IT službě. Tuto informaci
přináší uživatel, monitorovací systém nebo
IT pracovník. Jakmile tento krok vykonáte,
vznikne záznam v nějaké databázi. Tento
záznam obsahuje základní informace o incidentu. Ve druhém kroku k zaznamenaným informacím přidáte kategorii a další
údaje nutné pro zařazení incidentu. Tady
pomáhá především konfigurační databáze
(CMDB), kde máte uložené informace o uživatelích, IT infrastruktuře apod. Výsledkem
je zařazený záznam v databázi.
Na základě zařazení incidentu je možné
v třetím kroku použít specifikaci příslušné
IT služby ke stanovení priority. Tato specifikace má nejčastěji podobu dohody o poskytování IT služby (SLA). Výstupem bude
určená priorita, ale hlavně termín, dokdy
musí být incident vyřešen. Pro kompletní
popis incidentu ve čtvrtém kroku potřebujete od uživatele získat informace o příznacích incidentu (chybové hlášení, logovací
soubory, sejmuté obrazovky apod.). Na základě těchto příznaků získáte kompletně
popsaný incident a následně rozhodnete,
kdo jej bude řešit.
Výstupem pátého kroku je incident
předaný k řešení. K tomu samozřejmě potřebujete seznam pracovníků s popisem
znalostí a oblastí odpovědnosti. Pro nalezení řešení v šestém kroku využijete hlavně záznamů z minulosti. Zajímat vás musí
hlavně historie konkrétního uživatele, IT
služby a příslušné části IT infrastruktury. Pokud nenajdete řešení v těchto záznamech,
hledáte ve všech dostupných znalostních
databázích. Výsledkem je pak návrh vlastního řešení incidentu.
V sedmém kroku pak příslušný pracovník nalezené řešení implementuje. Buď
přímo, nebo pomocí procesu řízení změny. Výsledkem je funkční služba, o čemž
informujete uživatele, aby to mohl ověřit.
Na základě ověření funkčnosti uživatelem
v osmém kroku incident uzavřete. V případě, že jste nemohli použít existující řešení,
ale museli jste najít nové řešení, je dobré
toto řešení zaznamenat ve znalostní databázi pro budoucí snadné vyhledání.
Connect! březen 2011
73
connect
Úlohy stran v procesu Incident managementu
Dodá
Vstup
Krok procesu
Výstup
Využije
Uživatel
Monitorovací systém
IT pracovník
Informace o nefunkční službě
Zaznamenej incident
Záznam v databázi
Service Desk
Service Desk
Záznam v databázi
Informace o uživateli
Informace o IT infrastruktuře
Zařaď incident
Zařazený záznam
v databázi
Service Desk
Zařazený záznam v databázi
Parametry služby
Urči prioritu
Hlavní záznam
v databázi
Termín
Service Desk
Hlavní záznam v databázi
Chybová hlášení
Logovací soubory
Obrazovky
Shromáždi příznaky
Kompletně popsaný
incident
Service Desk
Kompletně popsaný incident
Seznam odpovědných
pracovníků
Předej k řešení
Přiřazený incident
Přiřazený incident
Přiřazený incident
Historie uživatele
Historie IT služby
Historie IT infrastruktury
Existující řešení
Najdi řešení
Řešení
Odpovědný pracovník
Proces řízení změny
Odpovědný pracovník
Řešení
Požadavek na změnu
Implementuj řešení
Funkční IT služba
Zpráva pro uživatele
Uživatel/Service Desk
Uživatel
Potvrzení od uživatele
Uzavři incident
Uzavřený incident
Záznam ve znalostní
databázi
Příslušný manažer
Service Desk
Konfigurační databáze
Service Desk
SLA
Service Desk
Uživatel/IT pracovník
Service Desk
Konfigurační databáze
Service Desk
Ostatní incidenty
Znalostní databáze
Požadavek na změnu
Kombinací jednotlivých kroků procesu,
vstupů/výstupů, těch, co vstupy dodají,
a těch, co výstupy využijí, vznikne přiložená tabulka (SIPOC).
Tímto způsobem definujeme proces
Správy incidentů na základní úrovni.
Implementace
Při implementaci procesu Správy incidentů je potřeba odpovědět na několik otázek.
V první řadě je to otázka, čeho chcete pomocí Správy incidentů dosáhnout. Co je
vaším problémem nebo jakou příležitost
chcete využít. Čím přesnější a jasnější popis, tím lepší výsledky implementace budete mít. Tento popis použijete k definici
vlastního projektu implementace a následně k ověření jednotlivých výstupů projektu. Je samozřejmé, že na základě tohoto
popisu vytvoříte obchodní případ.
Obchodní případ vždy obsahuje analýzu předpokládaných výdajů a přínosů. Tady
je důležité si uvědomit, v jakých oblastech
očekáváte výdaje a v jakých oblastech můžete očekávat přínosy. V případě výdajů se
dá využít jednoduché tabulky.
Vždy budou existovat počáteční výdaje,
které budete muset vynaložit na začátku
při zavádění. Ale nikdy nesmíte zapomenout, že budou existovat průběžné výdaje,
které budete muset vynakládat v průběhu používání procesu a jeho podpůrného
nástroje. Nejčastěji počítejte průběžné výdaje po dobu tří až pěti let. Z finančního
pohledu je pak nutné rozdělit výdaje na
investiční a nákladové. Co se týká jednotlivých výdajových kategorií, tak je dobré
přemýšlet aspoň na začátku v pěti základních aspektech:
software – podpůrný systém pro evidenci incidentů, znalostní databázi apod.
hardware – IT infrastruktura potřebná
pro podpůrný systém
74
Connect! březen 2011
lidé – mzdové náklady a náklady na školení příslušných pracovníků
externí služby – náklady na pomoc externích partnerů
ostatní – jiné náklady (nábytek, topení,
elektřina apod.)
Samozřejmě každá firma má svou vlastní strukturu nákladů, které je potřeba analyzovat a rozpracovat. Těchto pět aspektů
je pouze základ.
V oblasti potenciálních přínosů je možné počítat s přínosy ve dvou základních
oblastech:
snížení výpadků IT služeb na straně firmy (penále placené zákazníkům, smluvní
pokuty apod.)
snížení nákladů na řešení incidentů na
straně IT (kratší doba, možnost věnovat se
něčemu jinému apod.)
V této oblasti je potřeba si uvědomit
jednu zásadní věc: vedení společnosti chce
vždy vidět úsporu pracovních sil, v oblasti
IT k ní ale málokdy dojde. Důvod je ten,
že pracovníci jsou často vytížení operativní
činností a nemají čas na koncepční práci.
Jakmile se jim uvolní ruce, začnou se věnovat této koncepční práci. Dá se říct, že
nedojde k úspoře pracovníků, ale se stejným množstvím lidí uděláte dvakrát tolik
práce.
Jakmile vypracujete obchodní případ
a vedení firmy ho schválí, můžete začít
pracovat na vlastním obsahu. První je na
řadě definice procesu. Je definice procesu
dostatečná? V malých a středních firmách
s malým počtem IT pracovníků s největší
pravděpodobností ano. Pouze v případě
většího počtu IT pracovníků nebo externích partnerů má smysl definici procesu
doplnit. Nejčastěji je potřeba doplnit procesní aktivity ze dvou oblastí:
komunikace – jakým způsobem si budou jednotliví IT pracovníci vyměňovat
informace a navzájem se informovat; jaké
komunikační kanály a nástroje se budou
používat a kdy
předávání – jakým způsobem si budou
jednotliví IT pracovníci předávat vlastní incident; vždy je nutné zajistit jednoznačnou
odpovědnost za práci na incidentu v každém okamžiku
Součástí definice procesu je ale i popis
jednotlivých rolí a jejich odpovědností.
Tady se může situace odlišovat ve většině
firem. Každá firma má svůj zaběhaný systém pojmenování pracovních pozic, jejich
odpovědnosti apod. Procesní role musí
být popsány tak, aby nebyl tento systém
zasažen a nedocházelo k záměnám a nedorozuměním.
Další oblastí, kterou je potřeba definovat, je vlastní obsah záznamu o incidentu.
Každý incident by měl obsahovat určité
informace, které mohou být v některých
firmách specifické. Vždy se ale bude jednat o informace rozdělené do následujících
skupin:
identifikační údaje
jednoznačný identifikační kód
stav incidentu
typ incidentu
(chyba, požadavek apod.)
historie incidentu
údaje o uživateli
jméno
kontaktní informace
(telefon, mail, fax)
umístění (kancelář, patro, pobočka)
nákladové středisko
(v případě fakturace)
údaje o IT službě
název
odkaz na popis služby
kritičnost služby pro firmu
jednotlivé komponenty služby
údaje o IT infrastruktuře
použitý hardware
použitý software
připojení k síti
zařazení incidentu
dopad
naléhavost
priorita
kategorie
termín
bezpečnostní incident
(v případě poruchy zabezpečení)
popis příznaků incidentu
chybová hlášení
připojené soubory
sejmuté obrazovky
vlastní popis
popis řešení incidentu
vlastní popis řešení
kategorie řešení
vazby a souvislosti
ostatní související incidenty, problémy, změny
connect
Vztahy v rámci Incident managementu
Jakmile je hotová definice popisu incidentu, je potřeba přemýšlet o informacích,
které musí být dostupné pro jeho vyplnění a následné řešení. Těmto informacím se
někdy říká master data. Mezi tato master
data patří:
informace o všech uživatelích
informace o poskytovaných IT službách
informace o IT infrastruktuře
informace o odpovědných pracovnících
a podpůrných týmech
informace o pobočkách firmy včetně
adres a kontaktních osob
informace o pracovní době včetně svátků
definice jednotlivých kategorií a typů
incidentů
definice jednotlivých kategorií a typů
řešení incidentů
seznamy otázek pro jednotlivé kategorie a typy incidentů
Samozřejmě není nutné všechny tyto
informace shromáždit na začátku, ale čím
dříve je máte, tím lépe můžete proces automatizovat a tím rychleji můžete incidenty
vyřešit. Dále je tu riziko, že pokud se tyto
informace neshromáždí při zavádění procesu, v rámci každodenních činností na to
nebude čas.
Nakonec přichází na řadu metriky. Každý proces je měřitelný a správa incidentů
není výjimkou. Aby proces dobře fungoval,
je potřeba definovat, jaké informace o jeho
průběhu chcete shromažďovat a vyhodnocovat. Na jejich základě pak budete schopni
proces řídit, ale hlavně ladit podle potřeb
firmy. Mezi doporučené parametry patří:
počty jednotlivých incidentů (podle
typu, data, stavu, odpovědné osoby)
doba předávání mezi jednotlivými týmy
setrvání incidentu v jednotlivých stavech
procento incidentů vyřešených v daném
termínu
procento znovu otevřených incidentů
(uživatel nepotvrdí funkčnost IT služby)
náklady na řešení
Jakmile definujete vše potřebné, je třeba
proces uvést do života. V té chvíli vás čeká
několik důležitých kroků:
shromáždit vlastní master data
implementovat nástroj na podporu
procesu
vyškolit jednotlivé pracovníky
Při volbě a implementaci nástroje na podporu procesu je potřeba přemýšlet nejenom o správě incidentů, ale i o procesech,
které budete pravděpodobně implementovat v budoucnosti. Je potřeba přemýšlet o otevřeném systému, který umožní
propojení těchto procesů, sdílení master
dat, vytváření vazeb, společné vyhledávání
apod. Podpůrné nástroje můžete rozdělit
do několika kategorií:
komplexní systémy – velmi dobrá integrace většiny procesů; nevýhodou bývají
vysoké pořizovací, ale i průběžné výdaje
v řádu stovek tisíc či milionů korun
specializované systémy – velmi dobrá
automatizace konkrétního procesu; nevýhodou bývá uzavřenost systému bez možnosti napojení na jiné systémy
„on demand“ systémy – systémy dostupné pomocí internetu a sdílené něko-
lika firmami; výhodou bývají nízké pořizovací výdaje (pronájem na určitou dobu pro
určité množství uživatelů) a nevýhodou
naopak nemožnost úpravy podle specifických potřeb
Mezi kritické faktory úspěchu pak patří
v první řadě uvědomit si, že implementace
procesu není technická záležitost. Jedná se
o změnu zaběhaného způsobu práce, změnu myšlení jednotlivých pracovníků, a to se
nedá zajistit příkazem. Je potřeba vysvětlit
pracovníkům, proč k zavádění procesu dochází, co jim to přinese, jaké výhody apod.
Je samozřejmě vhodné odměňovat žádané a postihovat nevhodné chování. To je
dlouhodobější proces, ale pouze systematický a otevřený přístup přinese příslušné
výsledky.
Proces správy incidentů je primární
proces řešící základní výzvu, a tou je
udržení IT infrastruktury v chodu. Jeho
implementace není jednoduchá, protože je nutné připravit a shromáždit velké
množství informací, ale hlavně se jedná
o změnu zaběhaného způsobu práce.
Nicméně pokud se podaří tento proces
implementovat, uvolní se postupně ruce
příslušným pracovníkům pro koncepční
práci, která umožní systematicky odpovídat na ostatní výzvy, které před poskytovateli IT služeb stojí. Koncepční práce
je postavená na pravidlech hry definovaných procesem pro rozhraní zákazník/
IT. O toto rozhraní se stará proces Správa
úrovně služeb, o kterém bude příští díl
seriálu. Connect! březen 2011
75
connect
*,"-]Ê16" ù/Ê
/9Ê,9
Barack Obama povečeřel s IT bossy. Co má za lubem?
Americký prezident v San Franciscu povečeřel s šéfy největších
IT a internetových firem. Západ chce využít vědu, inovace
a nové technologie k obnově ekonomiky.
A
AUTOR
merická ekonomika (a potažmo
také ekonomika celého Západu)
stagnuje, nezaměstnanost dosahuje závratných čísel a političtí představitelé se tak snaží nalézt recept pro léčbu
této postkrizové situace. Patří mezi ně
také americký prezident Barack Obama,
který včera večer povečeřel s šéfy nejvýznamnějších amerických technologických
firem, aby s nimi probral možnosti investic
a budoucí spolupráce.
Pozvání na společnou večeři v San
Franciscu přijali hlavouni jako Steve Jobs
z Applu, Mark Zuckerberg z Facebooku, Eric
Schmidt z Googlu, Carol Bartz z Yahoo, Dick
Costolo z Twitteru, Reed Hastings z Netflixu,
John Chambers z Cisca, Paul Otellini z Intelu a Larry Ellison z Oraclu. Přítomen byl
také John L. Hennessy z univerzity ve Stanfordu, která vychovává ty nejlepší světové
technologické vědce a odborníky, a rovněž
John Doerr, zástupce investiční společnosti
76
Jan Sedlák
redaktor Computeru a Živě.cz
Connect! březen 2011
Kleiner Perkins, která v současné době patří
k nejvýznamnějším investorům internetových a IT firem v Silicon Valley.
Americké firmy drží 1 bilion
finančních rezerv
Obama se podle prohlášení snažil s 20 zástupci amerických firem domluvit na možné spolupráci a zajímal se, jak by měl firmám vyjít vstříc, aby byly schopné najímat
více zaměstnanců, a americká ekonomika
tak mohla v budoucnu růst. Dle jeho slov
našel s šéfy firem společnou řeč a budoucnost vidí poměrně optimisticky.
množství kapitálu za posledních 50 let.
Obama je už dříve vyzval k tomu, aby své
prostředky investovaly ve prospěch americké ekonomiky.
Přední ekonomičtí odborníci se shodují
v tom, že Západ nesmí pouze nečinně přihlížet dravosti nových gigantických ekonomik, jako je ta čínská, indická či brazilská,
a nesmí pouze kritizovat podhodnocenost
čínského yuanu. Je bezpodmínečně nutné,
aby v současné situaci západní firmy neustále inovovaly a vytvářely nové a nové
technologie, které jiné firmy nemají. Pouze
to dokáže zaručit odbyt a zájem o západní
zboží.
Pokud ale vláda chce, aby technologické firmy, které se stávají hlavními tahouny
ekonomiky, výrazněji investovaly v zemích,
kde působí, musí k tomu přizpůsobit také
Budoucnost je v technologiích
a inovacích. Kromě USA to ví také
Rusko, Čína a zkouší se to i u nás
Obamovi už delší dobu leží v žaludku,
že americké firmy drží ohromné množství
volného kapitálu, který nijak neinvestují,
i když roste nezaměstnanost. Podle posledních údajů mají americké společnosti na
svých účtech více než 1 bilion finančních
rezerv. IT společnosti přitom drží největší
podmínky. Právě z toho důvodu se Obama od šéfů technologických gigantů snažil
dozvědět, co přesně pro ně může americká vláda udělat. Obecně se samozřejmě
mluví o těch nejlepších podmínkách pro
podnikání. Obama například přímo zmínil
daňovou reformu a vyvážený přístup k re-
connect
gulacím. Demokratický prezident zároveň
zdůraznil, že za úspěchem státu v prvé
řadě nestojí vláda, ale vynalézavost a důvtip firem.
Šéf Bílého domu přislíbil miliardové
investice do síťové infrastruktury a podpory vzdělávání. Nedávno také oznámil
svůj plán pokrýt Spojené státy rychlou
bezdrátovou internetovou linkou. Právě
kvalitní a dostupné internetové připojení
v současnosti může hrát minimálně stejně
důležitou roli, jakou v minulosti hrála dopravní infrastruktura.
Miliardové investice do vědy, výzkumu
a vzdělávání jsou součástí nového rozpočtu Obamova úřadu, na který se však snesla
hromada kritiky. Rozpočet sice počítá s investicemi do nových technologií, podle některých odpůrců ale neřeší drastický schodek veřejných financí Spojených států.
Šéf Intelu novým členem
Obamovy administrativy
Ještě před pár lety platilo, že pokud chtěl
někdo uspět v technologickém oboru, nejčastěji se vydával do Spojených států a zde
pak zakládal společnost a platil daně. I když
je Silicon Valley (a stále více také New York)
pořád centrem světového IT dění, stále více
odborníků z Číny či Indie už ze svých zemí
neutíká a pokouší se byznys rozjet ve své
domovině.
To, že technologie jsou ten správný
směr, lze popsat na příkladu v posledních
měsících tolik oslavovaného Applu. Nové
technologie daly vzniknout iPhonu a iPadu, tedy přístrojům, které definovaly novou
generaci a nové trhy a pumpují do Ameriky příjmy z celého světa. Tedy, ani ne tak
do Ameriky, jako spíše do Applu, který se
díky ohromnému růstu za poslední 2 roky
stal největší technologickou firmou co do
tržní kapitalizace. Stát si ale samozřejmě
přeje, aby taková úspěšná firma neustále
zaměstnávala více a více lidí a platila více
a více daní. A proto se musí snažit o to,
aby to bylo možné a aby v USA vyrostlo
více Applů, Googlů, Facebooků a dalších
moderních společností.
Obama si IT a internetových společností váží, což dokládá také skutečnost,
že jmenoval šéfa Intelu Paula Otelliniho
členem svého nového úřadu pro zaměstnanost a konkurenceschopnost. Tento
úřad nahrazuje dosavadní
úřad pro ekonomickou obnovu a jmenování Otelliniho do
jednoho z křesel vychází například z jeho nedávné kritiky přístupu Obamovy administrativy
k ekonomickému oživení.
Nové technologie a výzkum
nemají hrát významnou roli
pouze ve Spojených státech, ale
zajímat se začínají také ostatní
mocnosti. Nedá se však říci, že
by se jim to stoprocentně dařilo. Čína by si technologické
prvenství velice přála, ale prozatím spíše kopíruje nápady
a technologie nakupuje právě
v Americe. O nutnosti přechodu
z ekonomiky poháněné přírodním nerostným bohatstvím na
vědu a výzkum nedávno mluvil také ruský prezident Dmitrij
Medveděv. Oznámil sice svůj
plán poblíž Moskvy vybudovat
kremelské Silicon Valley, Rusko
má ale poněkud jiné problémy,
které brzkému přerodu ze státem ovládané země k technologické velmoci hodně brání.
Také Česká republika si začíná uvědomovat význam technologické oblasti, i když tento
sektor prozatím není hlavní náplní programu tuzemských politických stran. Oživení je vidět
spíše na regionálních úrovních.
Například Jihomoravský kraj
podporuje investice technolo-
Až si připijeme a najíme se, půjdeme společně vytvářet lepší budoucnost
gických firem v této oblasti a podporuje
výzkum. Funguje zde Jihomoravské inovační centrum podporující vědce a mladé
společnosti a do Brna přichází investovat
velké technologické společnosti.
Budoucnost Západu, zdá se, stojí na
finančních službách a nových technologiích. Večeře šéfů IT firem s Barackem Obamou se stala také
předmětem vtipálků. V tomto komixu ze stránky The Oatmeal si autor dělá legraci z toho, proč pozvánku neobdržel také šéf Microsoftu Steve Ballmer. Autor naráží na to, že
si Obama pozval firmy, které výrazně inovují a definují nové
trhy (v tomto případě Google, Apple, Facebook), mezi něž
Microsoft nepatří. Obama se ale s Ballmerem sešel při nedávné návštěvě čínského prezidenta ve Washingtonu. Společně pak zástupci druhé největší ekonomiky světa vyčítali
špatnou ochranu duševního vlastnictví
Connect! březen 2011
77
connect
ÿ. Ê //
Vhodně nasazené řešení pro správu identit dokáže v mnoha
situacích ušetřit velké množství času a potíží.
N
ejvíce možností pro řešení těchto
problémů by mohl být systém pro
správu identit: tedy takový, který
dokáže z jednoho centrálního místa spravovat identity všech vašich uživatelů ve
všech použitých počítačových systémech
i organizačních jednotkách.
Takto obecně je identita hodně široký
pojem a je vhodné si jej tedy v našem kontextu trochu upřesnit. Nejde o nic tajemného, touto identitou je ve své podstatě
stále náš starý známý uživatelský účet,
který je zaveden v informačním systému
a který obsahuje nejen základní informace
o příslušném uživateli, ale i kompletní sadu
jeho přihlašovacích údajů a oprávnění do
jednotlivých subsytémů používaných ve
vaší síťové infrastruktuře.
Použitím centrální správy identit můžete ušetřit IT oddělení vaší společnosti
obrovské množství času. Identity jsou totiž
tím, co provádí uživatele po celou dobu
systémy. Tím odpadá také další nevýhoda
běžného řešení uživatelských účtů „po staru“: uživatel nemusí dlouze čekat, než mu
budou vytvořeny přístupy do systému, což
především při nástupu nových zaměstnanců může trvat nepříjemně dlouho.
Správa identit tak ve své podstatě nabízí nejen toto usnadnění práce IT oddělení
a zrychlení aplikace změn z pohledu běžného uživatele, ale nabízí také o poznání
vyšší zabezpečení osobních údajů zaměstnanců, než doposud. Data o uživatelích
jsou tak držena na jednom jediném místě
a společnosti se zavedeným tímto systémem daleko lépe plní požadavky bezpečnostních auditů, než společnosti správu
identit nepoužívající.
Jak si takový systém pro Správu identit
představit? Ve své podstatě se jedná o centrální databázi s přehledným uživatelským
rozhraním, která spravuje veškeré potřebné informace o uživatelích, jejich rolích
Správa identit sjednocuje informace
o uživatelích na jednom místě
jeho zaměstnání ve firmě. Při jeho nástupu
je mu vytvořena výchozí identita v každém
ze systémů samostatně (souborový server,
poštovní server, přístup do informačního
systému a další), což je náročné na čas
a především pro další správu. Málokterý
uživatel totiž setrvává na stejné pozici
a tedy se stejnými oprávněními, rolemi –
pokud zaměstnanec dostane jiné pracovní
zařazení, změní se i jeho přístupové informace. Ty potom musí oddělení odpovědné
za správu informační infrastruktury změnit. Pokud dojde k odchodu zaměstnance,
musí být všechny jeho přístupy zneplatněny. A pokud se zaměstnanec později opět
do zaměstnání vrátí, měli by být bez větších
problémů opět obnoveny.
Šetří náklady na IT oddělení
AUTOR
Všechny tyto úkony v případě použití systému pro správu identit odpadají – zde stačí
pouze změnit informace v jednom jediném
centrálním systému, který se poté postará
o jeho rozdistribuování na příslušné pod-
78
Vladislav Janeček
Nezávislý IT publicista a spolupracovník Connectu
Connect! březen 2011
a oprávněních. S ostatními informačními
systémy je řešení pro Správu identit propojeno prostřednictvím takzvaných konektorů, které obstarávají také další operace, jako
je například řízení domovských adresářů
nebo poštovních schránek. Přestože se
implementace konektorů liší v závislosti
na dodavateli systému pro správu identit,
většina z nich je dnes již schopna pracovat
se standardními vrstvami a protokoly jako
jsou SSH, LDAP nebo JDBC.
Nabídka konektorů je široká a pokrývá
většinu v současnosti běžně používaných
koncových systémů.
Zajímavé jsou také možnosti, které
může systém pro správu identit nabídnout také samotným koncovým uživatelům. Těm může být nabídnuto přehledné
webové rozhraní, jehož prostřednictvím
si mohou sami vytvořit nový účet nebo
měnit svá oprávnění. Vše funguje formou
samoobsluhy a IT oddělení je poté pouze informováno o provedených změnách
a v případě potřeby je může zablokovat či
zneplatnit. Nejpraktičtější situace vyplývající z této samoobslužné funkce nastane v případě, kdy uživatel zapomene své
přihlašovací heslo a dokáže si nové vyžádat
zcela sám. Stejně tak usnadní tento systém
pravidelnou změnu hesel uživatelů v případě, že máte ve své síti tento bezpečnostní
prvek zaveden.
Míří i mezi mraky
Existuje mnoho systémů pro správu identit.
Prvním řešením na trhu, které zaručovalo
konzistentní zásady identit a zabezpečení
pro celý informační ekosystém byl Novell
Identity Manager. Ten ve své aktuální čtvrté verzi poskytuje dostatek zabezpečení
i v prostředí nyní tolik populárních cloudových aplikací.
Novell Identity Manager 4 je nabízen
ve dvou odlišných verzích. První z nich
rozšiřuje možnosti předchozí verze 3.6
o lepší škálovatelnost a těsnou integraci se systémy Microsoft SharePoint, SAP
ERP a cloudovými aplikacemi Salesforce.
com a Google Apps. Nabízí rovněž hotové
funkce pro generování výkazů a nástroje
pro čištění dat a návrh rámce zásad. Právě
integrace s aplikacemi jako je Google Apps
je velmi zajímavá i pro menší a střední firmy, které řeší právě prostřednictvím této
služby svůj kompletní informační systém
zahrnující poštovní služby, sdílené kalendáře i systém pro správu dokumentů.
Řešení Novell Identity Manager 4 podporuje široký ekosystém partnerů společnosti Novell, včetně společností ACS, Atos
Origin, Deloitte, ILANTUS, Infosys, KPMG,
Mycroft a Wipro. Výhodou nasazení systému Novell Identity Manager je nejen v obrovském množství použitelných konektorů,
ale také v zabezpečení. Vzhledem k tomu,
že tento systém zaručuje okamžitou odezvu napříč různými prostředími, tak prakticky eliminuje bezpečnostní díry způsobené opožděným rušením uživatelských účtů.
Mezi vylepšení ve verzi Identity Manager
4 patří nástroje, které zajišťují konzistentní
uplatňování podnikových zásad zabezpečení napříč různými systémy a eliminují tak
obvyklý zdroj problémů se zabezpečením
a dodržováním předpisů.
Novell Identity Manager 4 Advanced
Edition rovněž obsahuje nástroje pro čištění dat, návrh rámce zásad a možnost
definovat role a oprávnění jednoduchým
přetahováním myší, takže uživatel nemusí
psát žádný kód. Nasazením systému pro
správu identit získáte také snadnou škálovatelnost vaší infrastruktury a je v podstatě
holou nutností pro všechny společnosti,
které by rády prošly bezpečnostním auditem. Uvažovat by o ní měly také ty, u nichž
správa uživatelských záležitostí nadměrně
vytěžuje pracovníky IT oddělení, vinou
čeho jim nezůstává dostatek času pro řešení významnějších problémů. INZERCE A111003769
Co přináší správa identit
Garantujeme
úsporu diskové kapacity!
HP Thin Guarantee Program
3UiYĹQ\QtQDVWDOWHQVSUiYQŢĴDVSURQiNXSGLVNRYpKRSROH+33$58WLOLW\6WRUDJHDPLJUDFLYDŖLFKGDWQDW\WRV\VWpP\
6SROHĴQRVW+HZOHWW3DFNDUG+3QDEt]tMDNRMHGLQŢYŢUREFHJDUDQFL~VSRUDVNXWHĴQRXRSWLPDOL]DFLGDW9\XŦLMWHQRYŢ
+37KLQ*XDUDQWHH3URJUDPLQWHJUXMWHQRYpGLVNRYpSROH+33$58WLOLW\6WRUDJHGRYDŖtVWiYDMtFtLQIUDVWUXNWXU\DVQLŦWH
NDSDFLWXGLVNRYpKRSROHR
9SŒtSDGĹŦHYDŖHVWiYDMtFtGDWDQHEXGHPRŦQpXORŦLWQDGLVNRYpSROH+33$58WLOLW\6WRUDJHV~VSRURXSDPĹŘRYp
NDSDFLW\]tVNiWHMHGLQHĴQpRGŖNRGQĹQtGDOŖtGLVNRYRXNDSDFLWXYĴHWQĹSŒtVOXŖQpKRVRIWZDUXDVOXŦHEWDNDE\E\OSRŦDGDYHN
NDSDFLW\Y\URYQiQ²A TO ZCELA ZDARMA!
9tFHLQIRUPDFtR+37KLQ*XDUDQWHHSURJUDPXVHGR]YtWHQDZHEX
www.hpstorage.cz| www.hp.cz/3par| www.hp.com/go/3par
&KFHWHOL]tVNDWYtFHLQIRUPDFtRQHMQRYĹMŖtFKWUHQGHFKYREODVWLGDWRYŢFK
FHQWHUŒHŖHQtSURXNOiGiQtGDWDMHMLFKLQWHJUDFLSŒHGHYŖtPYSURVWŒHGt
FORXGXSŒtPRRGSŒHGQtFKRGERUQtNŝDWHFKQLFNŢFKNRQ]XOWDQWŝ+3
SŒLMĶWHQDDNFLwww.hpstorage.cz/demodny
connect
6:*9Ê
*"Ê" /,""1
Záložní zdroj APC Smart-UPS X 1500VA Rack/Tower LCD 230V
UPS je zařízení, na které se musíte absolutně spolehnout. V případě serverového řešení jsou
určitě žádoucí i pokročilé funkce a možnost správy na dálku. To všechno vám může nabídnout
třeba APC Smart-UPS se síťovou kartou.
N
epřerušitelný zdroj napájení
SMX1500RMI2UNC patří do rodiny síťových a serverových UPS od
společnosti APC, která má s výrobou UPS
dlouholeté zkušenosti (od roku 1984).
Tato profesionální UPS se může pochlubit
už v základu síťovým rozhraním realizovaným pomocí adaptéru AP9613 do slotu
SmartSlot. UPS využívá technologii Line
Interactive, což přináší výhodu především
v delší životnosti baterie oproti typu On-line. Na druhou stranu je zde určitá prodleva
(typicky okolo 4 ms), která teoreticky může
způsobit problémy napájenému zařízení,
ale v praxi jsou vůči tomu všechny počítačové zdroje odolné. Výhodou této UPS
je i přítomnost funkce AVR (Automatic
Voltage Regulation), díky které má možnost upravovat hodnoty napětí. V praxi
to znamená, že pokud je napětí elektrického proudu příliš nízké, přepne systém
do takzvaného režimu BOOST a napětí
posílí. V opačném případě, kdy je napětí
příliš vysoké, přepne do režimu BUCK, a tím
hodnotu napětí sníží.
Tři chytré zóny
díky přiloženým plastovým stojanům. V příslušenství samozřejmě
nechybí ani montážní sada pro
uchycení UPS do racku. Plastové
čelo UPS jde jednoduchým pohybem sejmout, ukrývá se pod ním
na jeden šroub upevněná baterie. Vyměnit
baterii u této UPS je tedy úplnou hračkou,
obejdete se bez nutnosti demontáže UPS
z racku. K ovládání UPS slouží čtveřice tlačítek (Esc, šipky a Enter) společně s displejem
a jedním velkým zapínacím tlačítkem. Vedle displeje se ještě nachází čtveřice signalizačních LED, díky kterým rychle poznáte,
co je v nepořádku.
Na zadní straně najdete celkem tři
skupiny lichoběžníkových napájecích konektorů (typ IEC 320C13). První dvě mají
po dvou konektorech, třetí skupina je pak
obsahuje celkem čtyři. Každou skupinu
zvlášť si můžete nastavit – třeba čas vypnutí/uspání připojeného počítače či serveru,
okamžité vypnutí nebo co nejdelší držení
v chodu. Tím de facto nastavíte priority jednotlivých skupin, postupně se budou nejdříve vypínat nepříliš důležité počítače, aby
Síťová karta
AP9631 je nezbytností
pro vzdálenou správu, je však
z celé UPS tou nejdražší komponentou
zbyl výkon pro kriticky důležité systémy.
Testovaná UPS vydrží napájet zařízení tak
dlouho, jak má deklarováno ve specifikaci.
Při 150W zátěži vydržela hodinu a čtvrt, při
400 W pak necelou půlhodinu. Pokud byste ji zatížili maximálním výkonem 1 200 W,
vypnula by se vám do pěti minut. Důležité
ale je, že nemá problém zvládnout i vysoký
výkon. Nevypne se jako některé méně kvalitní UPS. UPS zároveň čas od času provede
diagnostiku a testování baterií tak, že na ně
na chvíli přepne. V případě chyby či většího opotřebení vás UPS upozorní na riziko
AUTOR
Testovaná UPS pasuje do 19" rackové skříně, kde vám zabere dvě pozice (2U), případně je možné ji instalovat i nastojato
80
Antonín Trčálek
Vedoucí testovacího centra
v Computeru
Connect! březen 2011
Rozdělení zásuvek rovnou do tří zón je velmi užitečné, zajistíte tím tak dlouhý chod
nejdůležitějším zařízením
connect
Nastavení, ať už přes aplikaci, nebo přes webové rozhraní, je
velmi podrobné, ale zároveň intuitivní a přehledné
Za předním plastovým krytem, který
lze snadno sundat, najdete snadno
vyměnitelný box s bateriemi
výpadku – ať už LED diodou, hlášením na
displeji, nebo po síti.
Problémem této UPS ale je vcelku vysoký příkon i v případě, kdy se baterie nenabíjí. Řekla si při provozu téměř o 30 W. Důvodem vyšší klidové spotřeby je i zabudovaný
síťový SmartSlot modul. Při napájení ze sítě
jsou sice ventilátory UPS úplně zastavené,
ale vydává nepříjemně bzučivý zvuk. Při
provozu z baterií je tento zvuk přehlušen
hukotem ze zadního 8cm ventilátoru.
Nastavte ji na dálku
Síťový modul může být pro správu UPS
velice užitečný, jedná se však o poměrně
drahou záležitost – samostatně se prodává
za necelých 10 000 Kč. Nemusíte se k UPS
připojovat přes místní rozhraní USB či
RS232, stačí znát IP adresu a port UPS a můžete se k ní přes síť připojit odkudkoliv –
podporuje vzdálené připojení přes HTTPS/
SSL, Telnet i SSH a nemá problém ani s IPv6.
Adaptér má jeden stříbrný RJ45 konektor
velmi spolehlivá, dlouhá výdrž
velké množství funkcí a ochran
možnost externích baterií, vzdálený přístup
S tak podrobným nastavením jednotlivých napájecích skupin se nikde jinde
než u APC nesetkáte
pro síť a další dva černé včetně dvou USB
portů, které slouží k připojení přiloženého
teplotního čidla, kabelu pro COM port
(obojí v příslušenství) a dalších zařízení,
kterými lze vzdáleně monitorovat
podmínky v okolí UPS. Například při
větší změně teploty nebo vlhkosti
vám přijde e-mail, který vás o tom
bude informovat. Není problém ani
na dálku nainstalovat nový firmware
do této síťové karty, a to přes port FTP.
Nechybí ani malá zdířka pro 2,5" stereo
jack konektor, přes který se připojuje ovládací konzole.
Ovládat UPS máte možnost rovnou
třemi způsoby. Nejpřehlednější je webové
rozhraní, v klasické aplikaci pro Windows/
Linux zase najdete přehledné grafy vývoje
velikosti napětí či vybití baterie. K zahození
ani není přímé nastavení na malém dvouřádkovém textovém displeji přímo na UPS,
kde není problém nastavit třeba i priority
jednotlivých napájecích zón nebo jednoduše vypnout pípání při napájení z baterií.
Nicméně displej slouží spíše k monitorování stavu UPS; dozvíte se z něj třeba aktuální
zátěž v ampérech, ve wattech i procentech
dovolené zátěže, zbývající dobu chodu na
baterii nebo třeba účinnost UPS, s jakou zařízení napájí. K nastavení a monitorování
přes webové rozhraní i přiloženou aplikaci
nemám výhrad, vše je přehledné a nic zde
nechybí.
kompromisů. Jeho možnosti využijí především správci vzdálených serverů, u kterých
je nutné na dálku monitorovat jejich záložní zdroj. V případě jakékoliv chyby či neobvyklé situace vám UPS pošle e-mail, její nastavení je navíc jednoduché a přehledné.
To vše je sice vykoupeno vcelku vysokou
cenou téměř 25 000 Kč, ale nesmíte zapomenout, že je v ní zahrnut i síťový modul,
sada pro montáž nastojato nebo do racku
a nechybí ani externí teplotní čidlo. APC SMC 1500 RMI2UNC
Počet chráněných
zásuvek / z toho
zálohovaných
Ochrany
Další chráněné
konektory
Indikace
Komunikační kanál
Vypnutí výstražného
zvuku
Spotřeba samotné
UPS
Pojistka
Zobrazené
informace
Nastavení plánu
vypínání
Zasílání varovných
zpráv
Podpora OS
SmartSlot adaptér
Čeština
Technologie
8 / 8 (8× IEC 320C13), tři zóny
proti podpětí i přepětí
–
LCD displej: doba chodu na baterii,
kapacita baterie, vstupní a výstupní
napětí, frekvence a výkon
USB 2.0, COM, RJ45
přes webové rozhraní, tlačítky
29,3 W
elektronická
stav nabití, vstupní, případě i výstupní
napětí, historie výpadků a problémů
v síti a další
ano
ano
jakýkoliv (webové rozhraní)
zabudovaný, AP9613 Network
Management Card 2
ne
Line-interactive
Profík každým coulem
Rozměry
Testovaná UPS APC Smart-UPS X 1500VA
prokázala, že je skutečně profesionálním
zařízením, které se obešlo bez jakýchkoliv
Udávaný výstupní
výkon
1 500 VA / 1 200 W
Typ akumulátoru
4× 12 V, 5 Ah, možnost externích
baterií
vyšší cena
bzučivý zvuk v klidovém režimu
vysoká klidová spotřeba
Hmotnost
432 × 89 × 490 mm (2U)
24,8 kg
Doba nabíjení
3 hodiny
Příslušenství
2× kabel C13 pro napájená zařízení,
1× napájecí kabel, kit pro montáž
nastojato, kit pro montáž do racku,
teplotní čidlo do RJ45 konektoru,
COM do RJ45, USB kabel
Cena
25 000 Kč s DPH
Connect! březen 2011
81
connect
jednotlivých uživatelů – ti ocenili známé
prostředí MS Office a Sharepoint. Pro představu o celém systému je vhodné dodat, že
GN Netcom má dvacet hlavních poboček po
celém světě a požadavkem bylo i propojení
s hlavními obchodními partnery.
Nasazování celého systému UC bylo
postupné. V první fázi šlo o náhrady klasických vnitrofiremních hovorů a uživatelé
si mohli zvyknout na mírně odlišný přístup.
Už v této fázi však došlo na propojení všech
druhů komunikace – (video)hovory se tak
propojily s instant messagingem. Po šesti
měsících byla přidána a používána funkcionalita pro pořádání konferencí, kterými
se propojují jednotlivé pobočky. Po dalším
půlroce byl systém nasazen i pro externí
hovory. První testování probíhalo v australské pobočce, poté se zapojila všechna
IT oddělení a vybraní uživatelé po celém
/" Ê1Ê*"÷/÷¶Ê
,ùÊÊ-*"/t
United Communications: MS Office Communicator v praxi
P
řechod celé firmy na úplně nový
způsob komunikace je obvykle
provázen očekáváním nepříjemností, vysokých nákladů a samozřejmě
i potížemi jednotlivých uživatelů. Je vhodné podívat se tam, kde už podobný proces
proběhl a využít získané poznatky. Důvody
pro přechod jsou většinou jasné a zřejmé
– velká úspora nákladů (zejména u firem
s geograficky vzdálenými pobočkami)
a management komunikačních kanálů.
Abychom si rozuměli
AUTOR
V tomto konkrétním případě jde o nasazení přímo u zdroje – přechod na UC proběhl
v dánské společnosti GN Netcom, která je
výrobcem headsetů Jabra. Tím se samozřejmě výrazně zjednodušila část procesu,
volba samotného „zvukového“ hardwaru
nebyla problémem.
K dispozici jsou headsety mnoha konstrukcí, a tak je možné zvolit pro každé
použití vhodný model. Uživatelé, kteří te-
82
Rudolf Pleva
publicista, spolupracovník redakce
Connect! březen 2011
lefonují přímo ze svého pracovního místa,
používají kabelové USB headsety (model
BIZ 2400 USB). Pro použití v rámci budovy/
kanceláře slouží bezdrátový náhlavní headset Jabra PRO 9470 s dosahem přibližně
150 m a funkcí aktivního potlačení okolního hluku. Mobilní uživatelé využívají třeba
model Jabra GO 6470.
Použití několika různých modelů má
svoje opodstatnění. Na jednom konci
jsou zde uživatelé, kteří komunikací tráví
většinu pracovní doby. Pro ně je nutností
dokonalá ergonomie, kterou zajistí klasická konstrukce se dvěma sluchátky, naopak
není vhodné použít bezdrátový model, který je závislý na bateriích. Na druhém konci
spektra jsou uživatelé mobilní, kteří telefonují pomocí mobilu a méně často; ti dají
přednost miniaturním rozměrům. Myslet
je potřeba i na pracovníky v Home Office,
kteří jsou do systému UC také zapojeni.
Propojeno
Podstatné je v případě UC nasazení vhodného softwarového nástroje. V tomto případě
byl zvolen MS Office Communicator 2007
a MS Communication Server 2007 R2. Jednou z výhod tohoto řešení je i křivka učení
světě. Po pilotním provozu bylo UC nasazeno i v kodaňské centrále.
Krok k dokonalosti
Je potřeba zmínit i body, ve kterých ještě
systém není dokončen. Ačkoliv je již velká
část hovorů směřování přes SIP, v některých
pobočkách se stále používají klasické PBX
ústředny, které bude potřeba nahradit servery. V centrále společnosti je zatím v provozu i ústředna Cisco, telefonní aplikace v OCS
dosud nedokáže pokrýt všechny požadavky,
které jsou na centrální bod celé společnosti
kladeny. Mobilní telefony zapojené do UC
stále využívají klasické hovory. Připraven je
ale přechod na datové připojení, který by
měl například značně zvýšit kvalitu zvuku
– to však vyžaduje novou verzi OCS, která
se jmenuje MS Lync 2010.
Protože jde o výrobce headsetů, myslí
tvůrci systému i na ergonomii. V této fázi je
headset jen sluchátkem bez dalších rozšiřujících funkcí. V budoucnu by chtěli v GN
Netcom použít headset i jako řídicí zařízení
pro komunikaci – ovládáním přes vhodně
umístěná tlačítka či dotykový displej.
Na první pohled největší nevýhodou
je tak nutnost telefonovat „přes počítač“.
V případě vypnutého počítače skutečně
připadá v úvahu pouze použití samostatných mobilů. Tato nevýhoda ale vychází
z principu celého systému, kde bylo prvotním požadavkem především propojení
instant messagingu a telefonie. INZERCE A111005596
VoIP není žádnou novinkou, plné využití této technologie je
ale ve většině organizací ještě hodně daleko. Cílem by mělo
být propojení hovorů do struktury ostatní komunikace – tedy
vytvoření toho, čemu se říká United Communications.
Download

Connect 3/11 stahujte v PDF zdarma zde