COMPUTERWORLD
Specializovaný týdeník o výpočetní technice
o Internetu
(CW 32/96)

Implementace TCP/IP sítě

Rolf Fleishans

Úkolem tohoto článku je popsat implementaci protokolu TCP/IP do sítě PVT a popsat zkušenosti s provozem takovéto sítě (dnes módně nazývané Intranet). Protože toto prostředí souvisí i s dalšími rysy, bude lepší se zabývat celou multiprotokolovou sítí PVT.

V roce 1990 dostalo PVT za úkol realizaci největšího síťového projektu té doby - postavit počítačovou síť pro zpracování kuponové privatizace. Náš podnik byl vyzván proto, protože na své dosavadní síti úspěšně realizoval zpracování prvních svobodných voleb. Tehdejší síť, prakticky první v Československé republice, obsahovala uzlové body SMEP 11 na úrovni tehdejších krajských měst.

Na těchto minipočítačích jel operační system firmy Digital a síťové vybavení DECnet fáze III. Při řešení tohoto problému jsme se museli zamýšlet nad několika skutečnostmi, z nichž nejdůležitější bylo rychlé vybudování nové sítě až do okresní úrovně, její spolehlivost a rychlý zácvik personálu.

Po podrobném prozkoumání situace na tehdejším trhu byla zvolena firma Digital Equipment přesto, že ještě neměla své české zastoupení.

Po jednáních s německými zástupci dodavatelské firmy jsme se rozhodli pro vybudování sítě s lokálními servery VAX a směrovači DECrouter 250, operačním systémem VMS a síťovým prostředím DECnet fáze IV. Na toto vybavení navazoval databázový systém ADABAS/NATURAL od německé firmy SAG. Tato síť byla fyzicky vybudována do 3 týdnů a po instalaci a konfiguraci síťového vybavení DECnet (naplnění síťových databází, konfigurace směrovačů a podobné činnosti) začala hned plnohodnotně fungovat. Tato síť obsahovala 100 lokalit propojených mezi sebou pevnou linkou od Telecomu o rychlosti 14 400 b/s. V každé lokalitě byl VAX, router a různé množství PC, propojených tenkým Ethernetem. Pro spojení po lokální síti byl nasazen produkt Pathworks verze 4, který bez problému komunikoval po Decnetu s celou WAN sítí. Pro management této sítě bylo ještě důležité zakoupit dohlížecí stanici DECmcc, která pomocí protokolu CMIP sledovala všechny směrovače a vaxy a v případě nějaké závady umožnila jejich diagnostiku i nápravu.

Dalším krokem bylo připojení Registračních míst (cca 600 po celé republice) komutovanou linkou přes asynchronní DECnet na nejbližší výpočetní středisko s pevnou linkou. Tímto vznikla síť postavená na prostředcích jednoho dodavatele a bez možnosti včlenění dalších prostředků, které nepodporují tento firemní standard. Po projektu kuponové privatizace a podobných projektech SCP a RMS vyvstal problém dalších zakázek, především zakázek od státní zprávy, které musely splňovat jiný standard a to databázový systém INFORMIX a tudíž jiné síťové protředí - v té době stále populárnější a dnes téměř standard - TCP/IP.

I v této věci naše firma vsadila na zařízení a software od firmy Digital. Hlavní výhodou byla levná a snadná integrace do dosavadního prostředí. Na výpočetní střediska byly nakoupeny RISCové počítače DECsystem s operačním systémem ULTRIX. Jako každý jiný systém typu UNIX i tento systém již obsahuje protokoly TCP/IP a obsahuje i další síťové vybavení DECnet/OSI, splňující dva standardy, a to DECnet fáze IV a OSI. Protože naše routery v té době uměly pouze protokol Decnet fáze IV, museli jsme přikročit k upgradu těchto routerů na WANrouter 250, který přes linkový protokol HDLC uměl pomocí routovacího protokolu Integrated IS-IS routovat TCP/IP, DECnet fáze IV i DECNet/OSI. Protože tyto směrovače potřebují uzel pro download, provedli jsme upgrade síťového vybavení i na VAXech na DECnet/OSI, který toto umožňoval přes MOP protokol. Protože DECnet/OSI měl i další rysy, rozhodli jsme se využít i jich. Jiný prostředek pro management - místo dosavadního NCP, nový jazyk NCL, zobrazující všechny entity logicky oddělené podle OSI vrstev, jmenný servis DECdns, kde je centralizována správa jmen a adres a nejsou třeba lokální databáze, nástavby pro propojování přes OSI protokol.

Po této akci bylo možno připojovat do sítě další počítače s protokolem TCP/IP, ať to byly stroje s operačním systémem typu UNIX nebo jiné, tento protokol podporující - Windows NT, Apple.

Protože dosavadní WANroutery nestačily jak rychlostně tak kapacitně, nakoupily se nové výkonné backbone routery DECNIS 500/600, které při stávajících vlastnostech přinesly do sítě další nové rysy, které s přibývajícími verzemi rostly. Od počátku byla využívána gateway do x.25, kterou jsme využili pro propojení přes VDS Eurotel (dnes NexTel) na jiné organizace a pro připojení některých on-line zákazníků RM-Systému. DECNIS také umí kromě dosavadního linkového protokolu DEC HDLC i CHDLC, který umožňuje propojení na populární routery Cisco.

Routery Cisco byly také dle našich potřeb i potřeb zákazníků okamžitě včleňovány do naší sítě. Tyto routery kromě jejich klasického prostředí TCP/IP umí od verze IOS 10.3 směrovat také DECnet fáze IV a OSI (v terminologii Cisco nazývané ISO CLNS routing). Jejich další výhodou je filtrace adres a aplikací ve všech zmiňovaných protokolech.

Dalším rysem, který přibyl do softwaru routerů Digital, byla i možnost managementu přes protokol SNMP. Proto byla zakoupena pracovní stanice s operačním systémem Digital UNIX a programem NetView, který Digital vyvinul ve spolupráci s IBM. Tento program umožňuje monitorovat uzly přes tento protokol, který právě tak jako TCP/IP, stává se standardem pro řídicí protokoly.

Provozování náročných aplikací jako je Středisko cenných papírů nám ukázalo potřebu vybudovat záložní centrum, které by v případě havárie centrálních počítačů dokázalo převzat provoz na sebe. Proto byla vybudována po Praze MAN-síť využívající optická vedení sítě Metronet firmy DATTEL. Je to dvojitý FFDI kruh o rychlosti 2 x 100 Mb/s. Na tento kruh je centrum napojeno přes GigaSwitch a ostatní lokality přes DECconcentrator 900 od DEC.

Při vzrůstajících aplikačních nárocích vyvstala potřeba zvýšení rychlosti páteřní sítě. Po zhodnocení všech kritérií jsme se rozhodli pro firmu SoftLink, která ve spolupráci s Českými radiokomunikacemi je schopna dodat až 2Mb rádiové spoje. Protože v tomto případě nejde jen o pouhé nahrazení fyzického média, je třeba se rozhodnout mezi 2 druhy paketového přenosu, mezi x.25 a frame relay.

Po zjištění, že nové verze sw pro DECNIS umí frame relay, jsme se rozhodli pro implementaci této nové technologie do naší sítě. Toto byla novinka i pro síť ČRa a tímto jsme se stali jejími prvními zákazníky s touto technologií.

Připojení bylo realizováno na páteřní síti spojující bývalá krajská města a Prahu. V těchto lokalitách se vybudovaly 2Mb/s přípojky do sítě RadioNet a nadefinovaly pevné virtuální okruhy (PVC) na další přípojná místa. Na této vrstvě běží linkový protokol PPP nebo HDLC a nad ním současně TCP/IP a DECnet/OSI. Na tyto spoje jsou navázány pevné, většinou 64kb linky, pronajaté od SPT Telecom.

S postupující oblíbeností celosvětové sítě Internet a při výčtu jeho možností nám bylo jasné, že se bez tohoto zdroje zanedlouho neobejdeme. Proto byl vytvořen plán pro bezpečné připojení naší organizace k tomuto celosvětovému fenoménu. Pro začátek jsme zvolili pouze částečné propojení pro e-mail přes protokol uucp. Po jednání s firmou InternetCZ, tehdy ještě Conet, jsme připojili naši síť přes jejich uzlový bod.

Tím jsme byli aspoň částečně spojeni se světem a přes e-mail mohli neinteraktivně komunikovat i s další řadou internetovských služeb. Zároveň však již probíhal výběr firewallu, který by při plné konektivitě bezpečně ochránil celou naši síť před neautorizovaným vniknutím. Výběr padl na firewall S.E.A.L. od firmy DEC. Tento firewall již 12 let chrání její celosvětovou privátní síť EasyNet a za celou dobu nebyl registrován (při 10-20 pokusech denně) ani jediný úspěšný pokus o průnik.

PVT jako úzký partner DEC vyslalo své odborníky na školení tohoto produktu a nyní je autorizováno poskytovat svými silami tento produkt svým zákazníkům. Na tomto firewallu jsou nadefinovány pravidla přístupu z a do vnitřní sítě PVT. Zde také leží proxy server pro překlad vnitřních adres (hidden adresa typu B podle RFC 1597) do oficiálních internetovských adres.

Pro elektronickou poštu tu bylo nutno vybudovat mailovou gateway s překladem SMTP mailu do jiných mailových systémů především Mailu 11 pro OpenVMS, který se zatím využívá v PVT jako oficiální vnitropodnikový systém. Tento systém je však na ústupu a stále zřetelněji se využívá vlastní SMTP mail. Na každé lokalitě je POP server na DECsystemu a zájemci ho mohou používat pro připojení svých klientských systémů. Tak jako v každé organizaci se využívá nejvíce Eudora, Pegasus Mail for Windows a po raketovém nástupu Windows 95 se mnoho uživatelů přeorientovalo na SMTP mail, vložený do přídavného balíku Plus Pack a zakomponovaného do klienta pro Microsoft Exchange.

Naprostou novinkou je zkoušení nového mailového serveru od firmy Digital - Alta Vista Mail. Tento mailový server běží pod operačním systémem Windows NT a má velice přátelský systém ovládání přes grafický interface. I tento server používá protokoly POP, které se stávají standardy pro připojení klientských mailových systémů.

Po připojení na Internet a jeho rostoucí oblibě i u laické veřejnosti nám bylo jasné, že základ budoucí informační dálnice, která spojí všechny služby, bude právě tato síť. Aby náš podnik zachytil nápor poptávky po těchto službách, vedení rozhodlo o poskytování konektivity do této celosvětové sítě. Bylo rozhodnuto vybudovat zcela novou síť, sloužící právě tomuto účelu.

Při vybudování této nové sítě jsme využili opět služeb sítě ČRa a protokolu frame relay. Síť, dnes označovaná jako Pvtnet, se s vnitřní sítí PVT stýká pouze v jednom bodě (firewall) a ve všech lokalitách je důsledně oddělena. Jako páteřní směrovače byly použity routery firmy Cisco a pro propojení zákazníků přes komutované linky modemové rámy USRobotics.

Při hledání partnera, který by nám poskytl konektivitu na Internet, padla volba na PIPEX, člena Unipalm Group, největšího poskytovatele Internetu ve Velké Británii. Po jednání s touto firmou byla síť PVT připojena 128kb/s spojem do Cambridge. V současnosti se pracuje na jeho posílení.

PVT poskytuje všechny druhy připojení - komutované i pevné linky. Lze využít linky Telecomu nebo i rádiových tras Českých radiokomunikací.

Protože se PVT stalo členem RIPE (což je evropské sdružení Internet-providerů), dostalo právo přidělovat internetovské adresy a má vlastní autonomní systém.

Připojujeme všechny druhy zákazníků - od jednotlivců, připojených přes jeden počítač komutovaným spojem až po připojení celých rozsáhlých sítí velkých organizací. K této službě je možno žádat i speciální služby jako je vybudování firewallu pro bezpečné oddělení sítě zákazníka, vytvoření WWW stránek na vlastním nebo k tomuto vyhraženém WWW serveru.

Takto vypadá historie a současnost sítí PVT. Naším přáním je přispět k celosvětovému rozmachu elektronického šíření informací a k sdílení nových poznatků touto cestou.


| <<< | CW o Internetu | COMPUTERWORLD | IDG CZ homepage |