NAT (Network Address Translation)
- překlad síťových adres, je funkce síťového routeru pro změnu IP adres packetů procházejících zařízením, kdy se zdrojová nebo cílová IP adresa převádí mezi různými rozsahy. Nejběžnější formou je tzv. maškaráda (maskování), kdy router IP adresy z nějakého rozsahu mění na svoji IP adresu a naopak - tím umožňuje, aby počítače ve vnitřní síti (LAN) vystupovaly v Internetu pod jedinou IP adresou. Router si drží po celou dobu spojení v paměti tabulku překladu adres.
- Tuto funkci podporují téměř všechna současná síťová zařízení.
- zjednodušený proxy
- pracuje na síťové a transportní vrstvě
- nahrazuje interní adresy adresou firewallu
- tabulky překladů má iniciovány zevnitř sítě
- režimy překládání:- dynamický- pro skryté adresy
- statický- počet vnitřních adres = počet vedlejších adres → chrání se tak porty serverů
- smart NAT- dělá překlady adres podle volné kapacity linek k jednotlivým providerům
- jde na výstup routeru tak, aby byl zajištěn plynulý provoz
Výhody
- umožňuje připojit více počítačů na jednu veřejnou IP adresu
- zvyšuje bezpečnost počítačů připojených za NATem (potenciální útočník nezná opravdovou IP adresu)
Omezení
- Počítače připojené přes NAT nemají plnohodnotné připojení a proto na nich nefungují některé protokoly. V podstatě se jedná o protokoly vyšších vrstev (například FTP, SIP a další), které přenášejí informaci s adresou navíc uvnitř paketu. Při překladu adres se musí pakety zpracovávat celé a to může být velice náročné, proto tyto protokoly nebývají podporovány.
Implementace
- Ve světě Windows je to například program WinRoute. Funkce je implementována i v samotných Windows (Win2K a následovníci) Linuxová implementace je například u iptables.
- Pro BSD je možné použít IP Filter a z něj pak ipnat
PAT (Port Address Translation)
je rys síťového zařízení, které překládá TCP, nebo UDP komunikace probíhající mezi místními počítači používající privátní sítě a vzdálenými počítači používající sítě veřejné. Umožňuje to lidem používat jednu veřejnou IP adresu pro mnoho místních počítačů v rámci soukromé sítě, kterou obvykle je místní počítačová síť (Local Area Network neboli LAN). PAT zařízení viditelně modifikuje IP balíčky (pakety) v okamžiku, kdy projdou skrz. Tato modifikace vytváří dojem, že všechny pakety, které se jsou odesílány do veřejné sítě od mnoha místních počítačů na soukromé síti, vypadají jako od jediného vzdáleného počítače, který je představován jednotkou PAT.
Vztah mezi NAT a PAT
PAT je podmnožina NAT a těsně souvisí s konceptem překladu síťových adres. PAT je také známá jako přetížená NAT. V PAT je obecně jediná veřejně odkrytá IP adresa a všechny soukromé počítače se připojují pomocí jedné odkryté adresy. Přicházející balíčky z veřejné sítě jsou poslány k jejich cílům na soukromé síti pomocí odkazů uložených v tabulkovém seznamu obsaženém uvnitř PAT zařízení, které tímto způsobem udržuje komunikaci mezi jednotlivými páry veřejných a soukromých síťových portů. PAT upravuje jak odesílatelovu soukromou IP adresu, tak i číslo portu. PAT zařízení si vybere čísla portů, která budou vidět vzdálenými počítači na veřejné síti. Tímto způsobem PAT operuje ve 3. síťové vrstvě a zároveň 4. transportní vrstvě OSI modelu, zatímco základní NAT operuje jen ve vrstvě 3.
Příklady PAT
Místní počítač na adrese 192.168.0.2 na soukromé síti může žádat o spojení s vzdáleným počítačem na veřejné síti. Počáteční balíček dostává adresu 192.168.0.2:15345. PAT zařízení (které předpokládejme, má veřejnou IP z 1.2.3.4) smí libovolně přeložit tuto zdrojovou adresu: port pár 1.2.3.4:16529 vytváří vstup v jeho vnitřní tabulce která port 16529 použitá pro spojení do 192.168.0.2 na soukromé síti. Jakmile je balíček přijatý z veřejné sítě pomocí PAT zařízení na adrese 1.2.3.4:16529 balíček je předaný na adresu 192.168.0.2:15345.
Výhody PAT
Navíc k výhodám poskytnutým NAT: PAT dovoluje mnoha domácím počítačům sdílet jedinou externí IP adresu.
Nevýhody PAT
- Rozšiřitelnost - mnoho místních počítačů na soukromé síti vytvoří mnoho spojení s veřejnou sítí. Vzhledem k tomu, že počet portů má omezené množství, může se stát, že PAT bude mít nedostatečné množství v překladové tabulce.
- Složitost firewallu - protože veškeré vnitřní adresy jsou skryté za jednou veřejně skryto-přístupovou adresu, je nemožné pro vnější stroje, aby zavedli spojení se specifickým vnitřním strojem bez zvláštní konfigurace na firewallu k tomu, aby předali spojení se specifickým portem. Toto má značný dopad na aplikace jako VOIP, videokonference, a jiné peer-to-peer aplikace.
PAT implementace
Základní obousměrná komunikace
Obě, jak IP adresa, tak i port musí být přesně známé všemi účastníky toužícími po úspěšné komunikaci. Porty jsou jedinečné koncové body komunikace na vzdáleném počítači. Spojení skrz PAT zařízení je udržováno pomocí kombinovaného mapování portů a IP adres. PAT řeší konflikty, které by mohly nastat, pokud by se dva různé počítače snažili použít stejné číslo portu k založení nového unikátního spojení zároveň.
Obdoba k PAT
PAT zařízení je podobné k recepční v kanceláři která má jedno veřejné telefonní číslo. Všechny odchozí telefonní hovory vedoucí z kanceláře se jeví jako přicházející ze stejného telefonního čísla. Jakákoli příchozí volání musí být převedená do správné privátní přípony operátorem, který se musí volajícího člověka zeptat, s kým by rád mluvil. Privátní přípony nemohou být vytáčeny přímo z okolních sítí.
Překlad koncového bodu
S PAT veškerá komunikace probíhající se vzdálenými počítači ve skutečnosti obsahuje externí IP adresu a informaci o číslu portu jednotky PAT, místo domácích IP adres a čísel portů jednotlivých místních počítačů v privátní síti. PAT jen překládá IP adresy a porty místních počítačů a schovává pravý koncový bod místního počítače na soukromé síti.
Viditelnost operace
PAT operace jsou typicky transparentní pro oba vnitřní i externí počítače. Typicky vnitřní počítač si uvědomuje pravdivou IP adresu a TCP či UDP port externího počítače. Charakteristicky PAT zařízení může fungovat jako standardní brána pro místní počítač. Nicméně vzdálený počítač si uvědomuje jen veřejnou IP adresu pro PAT zařízení a specifický port je užívaný pro komunikaci jménem specifického místního počítače.
PROXY SERVER
- je server počítačové sítě, který umožňuje klientům nepřímé připojení k jinému serveru. Proxy server funguje jako prostředník mezi klientem a cílovým serverem, překládá klientské požadavky a vůči cílovému serveru vystupuje jako klient. Přijatou odpověď následně odesílá zpět na klienta. Může se jednat jak o specializovaný hardware, tak o software.
- Aplikační proxy server je server speciálně určený pro určitý protokol resp. aplikaci. Za pomocí něj lze analyzovat obsah komunikace, případně ji pozměňovat (např. odstraňování reklam z http požadavků, blokování webových stránek podle obsahu,...) nebo ukládat požadavky do vyrovnávací paměti (cache), a tak zefektivnit komunikaci.
- Jak je vidět z následujích použití, proxy server se často používá pro oddělení intranetu od Internetu a přitom zároveň umožnění uživatelům intranetu používat služeb z Internetu.
- Proxy server je stavěn pro TCP/IP , ale podporuje i jiné protokoly (IPX).
- Pro některé služby (ftp, telnet, atd.) je vhodné používat balík SOCKS, který je tvořen serverem SOCKS, klientskou knihovnou SOCKS a speciálně modifikovanými základními klienty jako je ftp, telnet, atd. Je to typická Unixovská výbava, která dnes je přenášena i na jiné systémy.
- skrývá privátní klienty
- je dokonalejší než NAT, protože NAT pouze přepisuje hlavičky, zatímco proxy převezme celou komunikaci na sebe a udělá nové spojení
- přes proxy prochází celé služby ne pouze protokoly UDP a TCP
- na jednu adresu zvenčí může připojit celou síť
- blokuje nebezpečí URL
- filtruje nebezpečné obsahy (např. může vyfiltrovat aplety z e-mailu)
- umí se vyhnout fragmentování
KOMUNIKACE
- nevýhody:- je to bod přes který musí všechno jít, když selže spadne celý systém
- proxy server by neměl být součástí routeru
- každá služba musí mít svůj proxy
Proxy servery dělíme na:
• Application Level Proxy Server- tj. servery na aplikační úrovni, které se snaží porozumět a zpracovávat konkrétní protokoly, jako je např. sedmail, program pro zpracování pošty, který je funkčně proxy serverem pro SMTP protokol.
• Circuit Level Proxies- nesnaží se zpracovávat protokol.
Proxy servery můžeme obdobně dělit na:
• vyhrazené servery proxy- jsou určeny pro potřeby jednoho protokolu
• generické proxy servery- podporují více protokolů
TYPICKÁ POUŽITÍ PROXY SERVERU
- Ochrana soukromí- Pro cílový server je klientem proxy server a nikoliv původní klient. To má za následek, že cílovému serveru není známa IP adresa původního klienta. Zejména u webových proxy toto opatření není stoprocentní, protože některé z nich adresu klienta přidávají do upraveného požadavku. Úpravou požadavku lze ale zvýšit soukromí ještě víc, a sice odstraňováním cookies nebo jiných informací (např. referrer – informace o poslední navštívené stránce).
- Zvýšení výkonu komunikace- Pokud se některé požadavky klienta opakují, může si proxy server uložit odpověď do vyrovnávací paměti a odpověď odeslat klientovi přímo, aniž by předal komunikaci k cílovému serveru.
- Bezpečnost- Aplikační proxy server může analyzovat komunikaci a zjišťovat přítomnost např. virů. Dále může procházející požadavky šifrovat a dešifrovat.
- Připojení více klientů k internetu- Klienti nemusí mít přiřazeny veřejné IP adresy a přesto mohou mít přes proxy server přístup ke službám na internetu. (Toho je také možno docílit překladem IP adres, tzv. NAT, který je často zkombinován s firewallem).
2) Harvardská a Von Neumannova struktura počítače, motherboard, základní blokové schéma procesoru, POST.
Harvard
- počítače, které pracují on-line (např. když je v autě zamlžené sklo počítač sám zapne vyhřívání)
Jak je vidět, výše nakreslené blokové schéma se od von Neumannova liší tím, že paměť je zde rozdělena na paměť dat a napaměť programu. To umožňuje, aby řídící jednotka současně používala paměť dat i paměť programu což může urychlit běh programu. Poznamenejme ještě, že von Neumannovo rozložení používá např. mikroprocesor 8080, který má jedinou paměť s adresami 0000H-FFFFH. Naproti tomu Harwardské rozložení používá např. mikroprocesor 8051, který má paměť programu ještě rozdělenu na vnitřní s adresami od 0000H do 0FFFH a vnější paměť s adresami 1000H-FFFFH. Mimo to má ještě paměť dat, jejíž adresy jsou v rozmezí 00H-FFH. Adresace obou pamětí, to znamená paměti dat i paměti programu, je různá. To v praxi znamená, že jednu a tutéž adresu má paměťová buňka v paměti dat i jiná v paměti programu.
Jedno z hledisek, podle kterého lze počítače rozdělit, je rozložení von Neumannovo či Harwardské. Jiné rozdělení je rozdělení podle velikosti, přesněji řečeno podle výkonnosti.
Zde máme několik druhů počítačů a to:
1. Superpočítače– velmi výkonné počítače, používají se hlavně na zpracování dat (např. v NASA)
2. Mainframe– výkonný počítač, řídící jednotka terminálů (např. server)
3. Osobní počítače– určeny pro 1 osobu (PC IBM, PC, Apple Macintosh)
4. Mikropočítače– workstation – středně výkonný počítač, horší než PC, výpočty, grafika (CAD,
CAM, CAI)
5. Domácí počítače– levné, určené pro hry
Zvláštní skupinu osobních počítačů tvoří přenosné počítače. V této skupině rozlišujeme:
1. laptop– počítač na klín, napájený akumulátorem (asi na 2 hodiny), váha cca 5kg
2. notebook– velikost A4, váha 1-3kg, akumulátor až na 20-30hodin (zinko-vzduchové akumulátory),
běžně na 2 hodiny (NiCd akumulátory) nebo 4 hodiny (Li-Ion baterie)
3. penbook– notebook ovládaný perem přes obrazovku
4. palmtop– počítač velikosti dlaně, kompaktibilní s PC, nemá hard disk, paměť do 1MB, hmotnost
1/4kg, rozměry 165x85x22mm (PDA)
5. organizer– elektronický zápisník
Von Neuman
- všechny nynější stolní (osobní) počítače
Von Neuman- pracuje ve dvojkové soustavě
- pracuje podle programu (sledu instrukcí)
- program obsahuje instrukce skoku: 1) podmíněné- if, while,…
2) nepodmíněné- return
- má jednotný paměťový prostor
V roce 1944 byl uveden do provozu první elektronický počítač ENIAC. Měl 18000 elektronek, vážil 30 tun, zaujímal plochu 135m2, dokázal vykonat 300 instrukcí za sekundu. Jeho autor - John von Neumann - použil níže nakreslené blokové schéma, které po něm používali i další konstruktéři počítačů.
Činnost tohoto počítače je možno vysledovat z nakresleného blokového schématu. Srdcem je řídící jednotka, která si vybírá z paměti postupně jednu instrukci za druhou. Tyto instrukce jsou ve tvaru binárních čísel. Řídící jednotka každou instrukci dekóduje a pak ji buď sama vykoná nebo jejím vykonáním pověří aritmeticko-logickou jednotku (ALU). Pokud by instrukce nařizovala vstup či výstup dat, pak se tato operace uskuteční prostřednictvím vstupně-výstupních obvodů (I/O Input/Output). Z hlediska dalšího výkladu však je nutno se zmínit o paměti. Ta je v tomto schématu jediná a nerozlišuje se ani z hlediska uloženého obsahu (data či program) ani z hlediska konstrukce (RAM či ROM). Adresace je jediná a je možné, aby počítač při jedné aplikaci měl v jedné části paměti uložena data, zatímco při jiné měl v téže části uložen program.
Jiné blokové schéma počítače nabízí tzv. Harvardské rozložení:
MAINBOARD
Mainboard neboli motherboard či základní deska je deska, na které jsou umístěny konektory pro procesor nebo procesorovou desku. Procesor je jedním z určujících prvků vlastností celého systému. Na základní desce je dále sběrnice s konektorem pro další desky (karty), systémový řadič, řadič DMA, řadič přerušení, řadič paměti, čítač, řadič klávesnice, cache, konektory pro OP, BIOS, CMOS a řada dalších obvodů.
Velkou část desky zabírají sběrnice. Kromě CPU busu, to je sběrnice vyvedené přímo z procesoru jsou to systémové sběrnice ISA, EISA, lokální sběrnice VESA, PCI a řada dalších jako je cardbus, sekundární sběrnice pro cache a pod.
Některé firmy integrují na základní desku i řadiče disků, grafický adaptér, I/O řadič a někdy i řadič LAN, řadič zvukové karty, popř. i SCSI řadič
Důležitou částí desky jsou i propojky a konektory pro nastavení desky a připojení indikačních zařízení.
Na desce je 12ti kolíkový napájecí konektor pro +-5V a +-12V. Zdroj je připojen dvěma 6ti kolíkovými konektory. Země jsou na kabelech označeny černě a musí být uprostřed 12ti kolíkového konektoru.
ZÁKLADNÍ DESKA
chip set- řadič sběrnice PCI
- jsou na něho napojeny ostatní části počítače
F.S.B.(Front Side Bus)- sběrnice na propojení procesoru a chip setu
B.S.B.(Back Side Bus)- sběrnice pro paměti cache
OP- operační paměť
CMOS- paměť s nízkou spotřebou, hodiny počítače
Napájení CMOS- záložní zdroj (baterie) pro paměť CMOS
cache- rychlé paměti, které řeší nesoulad mezi pamětí a procesorem
N.B.(North Bridge)- rychlý přenos dat mezi GRAFIKOU a PROCESOREM
S.B.(South Bridge)- ostatní přenosy dat
časovač(TIMER)- pracuje nezávisle na procesoru (kdyby jsme přetaktovali procesor, tak by se na hodinách ukazovali jiné hodnoty), je řízen programovým přerušením
DMA- řídí obsluhu periférií a operační paměti
- časovač pro programy
PIO- může být místo DMA
Watch dog- hlídá jestli procesor něco dělá
MIKROPROCESOR
BLOKOVÉ SCHÉMA
ALU- počítá aritmo-logické operace
TEMP- dočasné registry
- udržují neměnnou hodnotu, po dobu počítání jedné operace
ACC- akumulátor, registr, který umožňuje vstup do ALU
- zajišťuje paritu (kontrolu nejnižšího bajtu)- doplňuje devátý bit na sudý nebo lichý počet jedniček
- např.
SWR- ukládá paritu
PF ZF CF,CY přenos bitu zpět chráněný mód
Zero Carry(přenos) přenos bitu Trap (stav testování)
DEKODÉR- zjišťuje co je to za instrukci
- řídí činnost celého procesoru
FIFO 8x- vejde se 8 instrukcí
GPR- registry pro všeobecné použití, ukládají se sem mezi výsledky, nebo často používaná data
BUDIČ- určuje, které data pustí k procesoru
Segmentové registry- slouží k ukládání segmentu (část OP, jejíž velikost je minimálně 4b až 64b)
SP (Stack Pointer)- ukazatel zásobníku
- ukazuje, kde, kam a jak pracovat se stackem (částí OP)
stack- návratové adresy v podprogramu
PC (Program Counter)- ukazuje na instrukci, která se bude provádět (čítač programu)
IP (Instruction Counter)-l obsahuje část adresy
- adresa, se skládá ze dvou částí (SEGMENT:OFFSET). Segment je počáteční adresa, odkud je program uložen, je to část OP a offset je v segmentu.
FPU- zpracovává data v pohyblivé části, jednotka na zpracování čísel v pohyblivé čárce
CACHE- velmi malá paměť a velmi rychlá
- čím větší CACHE tím pomalejší
VÝKON PROCESORU
- Zásadním parametrem, který je procesoru důležitý je frekvence práce jeho jádra. Zdánlivě jde o banální záležitost, protože stačí spočítat kolik milionů či miliard instrukcí je procesor schopen vykonat za sekundu, tj. počet MIPS. Ovšem z praktického hlediska je počet MIPS např. u osmibitového procesoru PIC a u procesoru Intel Pentium zcela nesrovnatelnou veličinou, protože instrukční sady těchto procesorů jsou zásadně odlišné a na výpočet v plovoucí čárce, který udělá Pentium v jediném taktu, může PIC potřebovat několik tisíc operací, zatímco jednoduché bitové operace zvládnou oba procesory v několika taktech.
- Zdálo by se, že tedy alespoň srovnání výkonu v rámci jedné řady procesorů je snadné, ale není tomu vždy tak. Moderní procesory jsou totiž podstatně rychlejší než externí operační paměť, takže reálný výkon značně závisí také na rychlosti a šířce externí paměti a na velikosti a uspořádání vyrovnávacích pamětí cache uvnitř procesoru.
- V této souvislosti je vhodné rovněž připomenout, že celkový výkon systému je určen výkonem procesoru pouze z jedné části. Rychlost je vždy určena úzkým místem v systému. Pokud je např. malá operační paměť, takže operační systém se ji pokusí nahradit odkládáním na řádově pomalejší pevný disk, tak bude prostě na některé nutné aplikace čekat. Rovněž vhodně navržená struktura periferií může výrazně odlehčit zátěž procesoru.
POST (Power On-Self Test)
- test, který ověřuje provozuschopnost celého systému
- spouští se při startu počítače
- druhy startů- studený start- zapnutím zdrojů nebo stisknutím tlačítka RESET
- teplý start- při stisknutí tlačítek Ctrl+Alt+Del
- Test se provádí ve 3 částech:
1) Testují se všechny registry procesoru + test instrukcí, test systémového řadiče, řadič paměti, inicializování řadiče přerušení, inicializace časovače, test ROM BIOSu a test prvních 64kb paměti (tato část se používá na ukládání výsledků testu)
2) BIOS předá řízení grafické kartě (která otestuje sama sebe) → test do 1MB paměti → test paměti nad 1MB (testuje do doby, než najde chybu) → test DMA → test do chráněného režimu a zpět → test klávesnice, disků, portů a CO-PROCESORU
3) test zavádění OS → přepne na interport (zavaděč systému)
- výsledky testu se ukládají do OP
MBR
- první sektor na disku, zobrazí nastavení CMOS, kontrola čísel přerušení u jednotlivých zařízení
BIOS- Basic Input Output System
- je základní programové vybavení počítače. BIOS je prostředník mezi hardware a softwarovým vybavením počítače. Pomocí správného nastavení lze podstatně zlepšit výkon počítače.
- Nastavení BIOSu je uloženo v nevolatilní (CMOS) paměti, protože musí být k dispozici při startu systému. Základní kapacita této paměti je typicky 64B a baterie, která ji napájí vydrží i několik let. Dnešní rozšířené BIOSy mají délku 128kB (uloženy obvykle v FLASH paměti). Některé přídavné desky (diskové řadiče, grafické karty, síťové karty) mají také svůj BIOS. Některé desky podporují tzv. DualBIOS. V počítači jsou potom dva biosy jeden standardní který pracuje při normální práci a druhý umožňující pouze základní nezbytné operace. Druhý BIOS není uložen v FLASH paměti a převezme kontrolu při poruše primárního biosu. Jeho základní funkcí je poskytnout možnost pro opravení hlavního biosu.
- Je to nevolatilní (nemazatelná) paměť (ROM, EEPROM), v níž je uchován základní program pro start a následné řízení HW PC. Tento program lze ovlivnit i určitým nastavením některých jeho parametrů, které jsou uloženy v zálohované paměti CMOS.
Žádné komentáře:
Okomentovat