ADSL v tuzemsku: Jaké vlastně je?

Základní parametry ADSL jsou již obecně známy, v podrobnostech však zájemci zatím často tápou. V následujícím tex...


Základní parametry ADSL jsou již obecně známy, v podrobnostech však zájemci
zatím často tápou. V následujícím textu se zaměříme na nabídku služeb ADSL
tuzemských operátorů z hlediska výsledné funkce pro koncového zákazníka.
Vycházeli jsme z informací, které jsme získali od poskytovatelů BroadNet Czech,
Ipex, Czech On Line a SkyNet.
Jádrem nabídek ADSL poskytovatelů (ISP) jsou služby ADSL Profi a ADSL Basic,
které jim velkoobchodně poskytuje Český Telecom. Jednotliví ISP je nabízejí pod
různými obchodními názvy, nebo jako součást větších balíčků, pouze pro
stručnost je zde označujeme jako Profi a Basic. Kromě menších rychlostí má
Basic včleněný NAT, druhou fázi přihlašování přes palubní desku SSD a vyšší
agregaci 1 : 50.
Ke službám se zatím povinně musí pronajmout modem STHome nebo směrovač STPro.
Druh služby a zařízení je technicky libovolně kombinovatelný.
ISP ke službám přidává dynamickou nebo pevnou IP adresu, u Profi případně i
veřejný subnet. Další služby zahrnují různou kvalitu internetové konektivity,
možnosti schránek, hostingu, zřizování VPN, technickou podporu, ale i obsahové
a jiné dosud netradiční služby. ISP může nabízet i řešení infrastruktury v
místě zákazníka, pokud je nezajišťuje jiný dodavatel IT.
Z uvedených voleb může vzniknout řada variant zapojení a konfigurací s
různorodou funkčností. Na obrázcích u tohoto textu jsou uvedeny 4 varianty
celkového zapojení, které dokumentují typické vlastnosti služeb a zařízení
(číslování 1-4 používáme jak na obrázcích, tak v textu).
Vhodným počátkem, od něhož lze jednotlivé varianty začít vysvětlovat, je
spojení vedoucí z STHome (nebo STPro vysvětlení všech zkratek je uvedeno ve
vloženém slovníku) po lince ADSL do Telecomu. Na tomto spoji běží poměrně dobře
známý protokol PPP, zabalený uvnitř ATM, tj. PPPoA, prochází přes DSLAM a sítí
ATM Telecomu až do některého přístupového serveru NAS, kde se PPP rozbaluje a
zakončuje. Tento PPPoA spoj existuje ve všech variantách Basic/Profi i v
instalacích a konfiguracích STHome/STPro, liší se pouze způsobem navazování a
udržování.

ADSL Basic/STHome
V první, minimalistické variantě má spojení z PC povahu vytáčeného (dial-up)
pře-dávaného (reléovaného) spoje PPTP/PP PoA. PC se hardwarově spojí s STHome
ethernetovým kabelem přímo, nebo přes ethernetový hub. Tovární IP adresu STHome
lze případně překonfigurovat do soukromému prostoru zákazníka. Existuje také
druh STHome s USB, Tomáš Filip z Ipexu však upozorňuje, že nepracuje s čipsety
USB ViaChip.
Při prvním úkonu uživatele se vyvolá spojení protokolem PPTP, jenž má jako
parametry IP adresu STHome a první dvojici login/heslo od Telecomu. Pakety PPTP
jsou na STHome přebaleny do PPPoA a přiděleným kanálem ATM vyslány až do NAS.
Zde dochází k autentizaci vůči serveru RADIUS Telecomu a přidělení IP adresy ze
soukromého prostoru Telecomu, která se stane IP adresou PC vůči právě
vytvořenému kanálu PPTP. Telecom nezaručuje, zda je dynamická nebo pevná.
Při druhém úkonu uživatel spustí prohlížeč a otevře webové stránky tzv.
dashboardu (SSD), modifikovaného pro ISP, jenž je nyní již přístupný. Zde zadá
druhou dvojici login/heslo od ISP, která je přeposlána serveru RADIUS u ISP.
Ten kromě autentizace může zaslat zpět pevnou veřejnou IP adresu, jinak se
použije adresa dynamicky volená z prostoru ISP. S touto adresou Telecom
aktivuje služby NAT a PC uživatele je konečně propojeno do sítě ISP a potažmo
na internet.
PC tedy vystupuje vůči internetu pod adresou od ISP (pevnou nebo dynamickou),
vůči kanálu PPTP má adresu ze soukromého prostoru Telecomu (pevná/dynamická
neurčena). Tyto 2 adresy jsou překládány NAT 1 : 1 uvnitř sítě Telecomu,
pravděpodobně v SSG. Vůči případné místní LAN zůstává PC buď původní soukromá
adresa z prostoru zákazníka, nebo se staticky nastaví vhodně k tovární adrese
STHome.
Pro funkci PPTP je ve Windows třeba mít konfigurován "Telefonní adaptér VPN
PPTP". V různých verzích Windows se konfiguruje odlišně, v principu je však
dostupný od Windows 95 až po XP. Ovladače STHome obsahují podporu PPTP i pro
Macintosh, klienti PPTP jsou dobře dostupní rovněž pro FreeBSD, Linux i jiné
systémy Unix.
U verzí Windows 95 a 98 se uvádí, že v době aktivace PPTP nemusí být dostupná
komunikace s místní LAN, rovněž u nich nelze vytvořit PPTP tunel v PPTP tunelu.
Novější verze Windows by měly zvládat paralelní komunikaci i vícenásobné
tunelování. Obojí není problémem ani pro Unix.

Varianty s ADSL Profi
V připojeních ADSL Profi odpadá druhý úkon s přihlašováním k SSD. Server RADIUS
Telecomu při prvním dotazu od NAS rozpozná, že uživatel má službu Profi, a
dotaz předá na autentizaci serveru RADIUS u ISP, jenž ověří login/heslo
(přidělované nyní pouze od ISP). ISP může vrátit i pevnou adresu IP a oproti
Basic navíc i volitelně veřejný subnet, jenž se bude z NAS směrovat do kanálu
PPPoA. Jinak se opět použije dynamická adresa z prostoru ISP. U služby Profi
veřejná IP adresa dojde vždy až k uživateli, nepřekládá se, existují však různé
možnosti instalace a konfigurace zařízení a vytváření spojení PPPoA. U všech
variant připadá v úvahu případ připojení jediného počítače, varianty ADSL Profi
NAPT a routing by měly být kombinovatelné i mezi sebou.

ADSL Profi NAPT
Druhá základní varianta dokumentuje jednu z využitelných funkcí STPro
konfiguraci zvanou spojení na žádost (on-demand), v níž STPro začne samočinně
vytvářet spojení v případě, že obdrží IP paket adresovaný do internetu od
kteréhokoliv k němu připojeného PC. Dodávaná verze STPro je vybavena 4 porty
10-BaseT, pro skromné uživatele (pouze 10 Mb/s) je lze tedy využít zároveň i
jako HUB, pro náročnější stohovat s rychlejšími huby.
Login/heslo pro připojení se konfiguruje pouze uvnitř STPro, PC jsou nastavena
pro běžnou komunikaci po místní LAN s bránou v STPro. STPro pracuje s jednou
veřejně přidělenou IP adresou, kterou přes NAPT šíří mezi PC v LAN.
V tomto zapojení může být spoj PPPoA v STPro konfigurován případně i jako
always-on. Pokud se STPro použije ve zhruba této variantě se službou Basic,
musí se však PPPoA vytvářet vždy on-demand a uživatel z prvního PC kromě
zaslání paketů projít i přihlašováním přes SSD.

ADSL Profi routing
Třetí varianta služby ADSL představuje klasický způsob, jímž se běžně připojují
lokální sítě k internetu a jenž je též možný se službou Profi. Protokol PPPoA
je zde v STPro konfigurován jako stále zapnutý (always on), STPro má opět
nakonfigurováno i přihlašovací heslo/login. ISP musí připojení přidělit i
subnet veřejných adres, směrovaný do STPro. Protože STPro neobsahuje žádné
zvláštní bezpečnostní vlastnosti, je vhodnější demilitarizovanou zónu (DMZ)
umístit až k navazujícímu firewallu (FW). Všechny počítače v DMZ používají
veřejné IP adresy a lze na nich instalovat obecné servery (SMTP, HTTP, FTP
ap.). Uvedená architektura je nejobecnější a klade nejmenší nároky na
kombinovatelnost platforem, služeb a serverů.

ADSL Profi/STHome
Poslední, čtvrtá varianta je zajímavá tím, že si u Profi vystačí s modemem
STHome a jedinou veřejnou IP adresou, oproti předcházející variantě je tedy
mírně levnější. Postup navazování spojení PPPoA z FW i konfigurace modemu jsou
analogické s variantou ADSL Basic, tj. login/heslo se konfiguruje ve FW a
přidělená veřejná IP adresa skončí na počátku tunelu PPTP ve FW. Pro další
použití počítači z LAN firmy musí FW velmi dobře podporovat NAPT. Pokud má být
spojení navázáno trvale, musí FW periodicky kontrolovat stav připojení a
případně PPTP kanál obnovovat, není zde ale NAT ani SSD.
Tato varianta je u ISP skutečně oblíbená. Petr Šedivý ze SkyNetu doporučuje
zákazníkům především varianty s modemem a jako hlavní platformu server Linux,
který řeší bezpečnostní, směrovací a případně i serverové funkce. Petr Spodniak
z BroadNet Czech na místo FW doporučuje FreeBSD nebo směrovač s vestavěnými
funkcemi firewallu.

Vliv překladu adres
NAT byl původně navržen pro úsporu veřejných adres při připojování podnikových
sítí, které se dosahovalo dynamickým přidělováním několika veřejných adres
většímu počtu soukromých adres z těch počítačů, které právě chtěly komunikovat.
Ještě větší úspory lze dosáhnout rozšířením portů z jednotlivých veřejných
adres na více soukromých (NAPT). Postupy NAT a NAPT ovšem narušují základní
paradigma internetu, jímž je transparentní konektivita IP mezi všemi počítači
sítě.
Protokoly, které buď obsahují IP adresu nejen v hlavičce paketu, ale i v jeho
těle, nebo takové, které komunikují po více portech či více IP adresách
zároveň, mají s překlady potíže. Pro jejich průchod je zapotřebí, aby místo
překladu obsahovalo pro každý daný protokol bránu na aplikační úrovni (ALG). S
NAPT je více potíží než s NAT. Některé protokoly jako IPSec nemohou projít ani
s pomocí ALG.
U varianty Basic je NAT nezbytnou součástí služby. Telecom nespecifikuje
přesně, které protokoly jsou jeho ALG podporovány, používá však NAT (tj.
překlad 1 : 1) a nikoliv NAPT. U druhé varianty je NAPT implementován v STPro,
a pokud uživateli funkce jeho ALG nevyhovují, prostě použije jinou variantu s
Profi. Ve verzi ADSL Profi/STHome je NAPT zcela v moci uživatele, připojuje-li
se jediný počítač, NAT se též nepoužívá. Ve variantě ADSL Profi routing pro
počítače v DMZ není třeba NAT používat vůbec.
Provoz ALG nutně zatěžuje prvky NAT. K poměrně široce publikovanému
dvoutýdennímu výpadku překladu FTP v dubnu 2003 mělo dojít právě z důvodů
přetížení směrovačů Cisco v SSG, kvůli kterému byly přepnuty do výkonějšího
režimu CEF, jenž však v prostředí SSG vykázal chybu implementace. Jiné potíže s
ALG mohou vyvstat, pokud k protokolu existují nebo vznikají nové mírné variace.
Kromě ALG může pro překonání NAT/NAPT pomoci proxy služba daného protokolu,
bezpečně instalována v DMZ, na FW, popř. i poněkud méně bezpečně veřejná proxy
na internetu.

Servery za ADSL
Kvůli malé kapacitě odchozího směru ADSL a agregaci připadá do úvahy především
provoz poštovního serveru SMTP a interaktivních částí aplikací HTTP. Pro
serverové služby je nejvhodnější třetí varianta. Další, ještě poměrně snadnou,
je varianta čtvrtá, zde již ale je třeba předem vědět, zda je zamýšlená
kombinace platforem a serverových služeb podporována. Servery jsou teoreticky
možné i u 2. varianty se statickou definicí NAPT. Požadujte vždy pevnou IP
adresu, ve variantě 3 i veřejný subnet.
Zprovoznění serverů za ADSL Basic je věcí více triků s nejistými výsledky.
Zapojení u zákazníka se realizuje rámcově dle varianty 4, zbytek služby podle
1. ISP musí přidělovat pevnou veřejnou IP adresu. FW musí nejen udržovat trvalé
připojení PPPoA sledováním a vytáčením PPTP jako ve verzi 4, ale vždy se
následně automaticky probít i přes SSD. Pro Windows již existují utility a pro
Unix skripty, které oboje zařídí. Přesto se může stát, že se časem změní způsob
přihlašování. FW musí být dále schopen pracovat s potenciálně dynamicky
přidělovanou adresou pro PPTP. Pokud serverová aplikace běží na FW, nesmí její
konfiguraci ani běhu vadit, že se její přijímací IP adresa za jízdy občas
změní. Konečně, zejména u protokolů vyžadujících ALG, si uživatel nemůže být
příliš jist, jak budou přes NAT procházet, jestliže se vydají opačným směrem,
než síť Telecomu čeká.
Pro uživatele s Basic se proto jako vhodná komunikační alternativa jeví některé
moderní P2P aplikace, které nevyžadují skoro nic a protunelují se i
prostředími, jež se tomu aktivně brání.

Agregace
U verze Profi je uváděna agregace až 1 : 20, u Basic 1 : 50. Kaskáda agregace
od DSLAM po ER (hraniční směrovač) je postupná, přesné rozložení je chráněným
know-how Telecomu. ISP uvádějí, že k úplné agregaci zřejmě dochází již na
úrovni několika stovek uživatelů.
Jisté je, že ve vyústění kaskády na ER Telecomu by velikost kanálu měla být
součtem 1 : 20 + 1 : 50 celkové kapacity kontrahovaných uživatelů daného ISP,
bez ohledu na to, zda jsou dial-up uživatelé právě připojeni, nebo ne. Parametr
by měl též znamenat, že u žádného z uživatelů v žádném případě neklesne
propustnost pod daný zlomek rychlosti linky. Telecom pouze uvádí, že v běžném
provozu by se propustnost měla blížit spíše horní hranici rychlosti. Jan
Pechanec z Czech On Line upřesňuje, že režie ATM činí 10 % a PPP přibližně 2 %,
to znamená, že např. z linky ADSL 192/64 Kb/s zbude i v ideálním případě bez
agregace propustnost IP 169/56 Kb/s.
K agregaci dochází běžně uvnitř sítě každého ISP při provozu veřejného
internetu, tu je však třeba odlišit od agregace na přístupových linkách. ISP za
proměnlivě "stlačovanou" linkou již nejsou schopni garantovat propustnost a
jiné vlastnosti virtuálních kanálů IP, VPN apod. Právě zde zůstává i po ADSL
tržní prostor dražších datových linek.

Bezpečnost
Bezpečnost prvních dvou variant připojení je velmi slabá. U třetí a čtvrté
varianty závisí na vlastnostech firewallu a na kvalitě jeho konfigurace, správy
a dohledu.
Rozdíl ADSL oproti běžnému dial-upu spočívá v dlouhodobosti připojení, vyšší
rychlosti a zpravidla pevně přidělované adrese IP riziko je tedy řádově vyšší.
Autor je konzultantem elektronického podpisu (www.vkc.cz)

Technologie ADSL
ADSL je technologie pro vytvoření vysokorychlostní digitální datové linky (192
Kb/s 8 Mb/s) po běžné telefonní dvoudrátové místní smyčce. Písmeno "A" ve
zkratce značí asymetričnost datových rychlostí, směrem k účastníkovi se
většinou využívá několikrát vyšší rychlost než od něj např. 192/64 Kb/s. ADSL
je schopno koexistence se stávající telefonní analogovou nebo ISDN2 přípojkou,
takže do objektu není nutno přivádět nové kabely nebo vedení ani rušit
existující způsoby komunikace.
Spojení ADSL využívá vyšší frekvence, než jsou používány pro přenos hovoru nebo
kanálů ISDN2. Pro oddělení frekvencí na smyčce se na straně zákazníka i v
ústředně používá tzv. splitter (rozbočovač), u účastníka jsou alternativně
možné i tzv. distribuované filtry (v ČR však zatím nikoliv). Telefonní nebo
ISDN linka je pak zakončena v ústředně telefonní sítě (PSTN) stejným způsobem,
jako byla dříve. Na druhých výstupech rozbočovačů se vytvoří modemové spojení
ADSL. Na straně zákazníka musí být instalován modem ADSL, nebo jiné zařízení
(směrovač) modem obsahující. V prostorách ústředny modem ADSL zpravidla splývá
s funkcí jednotky DSLAM, v níž se koncentrují přívody linek ADSL od více
účastníků. Základním protokolem běžícím mezi modemy ADSL bývá běžně ATM. Modemy
jsou prodloužením sítě ATM do místa účastníka.
Pro využití linky ADSL je nutné zajistit další pokračování přenosu za DSLAM.
Přenos dat pokračuje sítí ATM, případně se z ní převádí/rozbalují sítí
přenášené protokoly, jako je v současnosti populární IP.

Slovník použitých zkratek
ADSL-Asymmetric DSL (asymetrická digitální účastnická linka)
ATM-Asynchronous Transfer Mode (přenosový asynchronní mód protokol)
CEF-Cisco Express Forwarding
CIP-Classical IP (klasické IP)
DMZ-Demilitarized Zone (delimitarizovaná zóna)
DSL-Digital Subscriber Line (digitální účastnická linka)
DSLAM-DSL Access Multiplexer (přístupový multiplexer linek DSL)
ER-Edge Router (hraniční směrovač sítě)
FW-Firewall
IP-Internet Protocol (internetový protokol)
ISDN-Integrated Services Digital Network (digitální síť s integrovanými
službami)
ISP-Internet Service Provider (poskytovatel služeb internetu)
LAN-Local Area Network (místní síť)
PAT-Port Address Translation (dtto NAPT)
P2P-Peer-to-Peer (sítě s přímou komunikací uživatelů mezi sebou)
PPP-Point-to-Point Protocol (protokol bod-bod pro přenos IP)
PPPoA-PPP over ATM (PPP přes ATM)
PPPoE-PPP over Ethernet (PPP přes Ethernet)
PPTP-Point-to-Point Tunnelling Protocol (tunelující protokol bod-bod pro přenos
IP)
PSTN-Public Switched Telephone Network (veřejná telefonní síť)
NAPT-Network Address Port Translation (překlad síťových adres portů)
NAS-Network Access Server (přístupový server sítě)
NAT-Network Address Translation (překlad síťových adres)
RS-RADIUS Server (server pro řízení přístupu uživatelů)
S-Splitter (rozbočovač)
SSG-Service Selection Gateway (brána pro volbu služby)
SSD-Service Selection Dashboard (webová "palubní deska" pro volbu služby)
STHome-Speed Touch Home (modem ADSL dodávaný Telecomem)
STPro-Speed Touch Pro (modem/router ADSL dodávaný Telecomem)
VPN-Virtual Private Network (virtuální soukromá síť)
WAN-Wide Area Network (rozlehlá síť)









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.