Témata › ADSL › ADSL v tuzemsku: Jaké vlastně je? (Článek)

ADSL v tuzemsku: Jaké vlastně je?

Vojtěch Kment (vyšlo 20.6.2003 kráceně v ComputerWorld 24/2003)

Základní parametry ADSL jsou již známy, v podrobnostech zájemci zatím ale tápou. Článek objasňuje vlastnosti nabídek z hlediska výsledné funkce pro koncového zákazníka na základě informací, které podali poskytovatelé BroadNet Czech, Ipex, Czech On Line a SkyNet.

Jádrem nabídek ADSL poskytovatelů (ISP) jsou služby ADSL Profi a ADSL Basic, které jim velkoobchodně poskytuje Český Telecom. Jednotliví ISP je nabízí pod různými obchodními názvy nebo jako součást větších balíčků, pouze pro stručnost je zde označuji jako Profi a Basic. Kromě menších rychlostí má Basic včleněný NAT, druhou fázi přihlašování přes „palubní desku“ (SSD) a vyšší agregaci 1:50.

Ke službám se zatím povinně musí pronajmout modem STHome, nebo směrovač STPro. Druh služby a zařízení je technicky libovolně kombinovatelný.

ISP ke službám přidává dynamickou nebo pevnou IP adresu, v případě Profi může i veřejný subnet. Další služby zahrnují různou kvalitu internetové konektivity, možnosti schránek, hostingu, zřizování VPN, technickou podporu, ale i obsahové aj. dosud netradiční služby. ISP může nabízet i řešení infrastruktury v místě zákazníka, pokud je nezajišťuje jiný dodavatel IT.

Z uvedených voleb může vzniknout řada variant zapojení a konfigurací s různorodou funkčností. Na obr.1 jsou uvedeny 4 varianty celkového zapojení, které dokumentují typické vlastnosti služeb a zařízení.

Vhodným počátkem, z něhož lze varianty začít chápat, je spojení vedoucí z STHome (nebo STPro) po lince ADSL do Telecomu. Na tomto spoji běží poměrně dobře známý protokol PPP, zabalený uvnitř ATM, tj. PPPoA, prochází přes DSLAM a sítí ATM Telecomu až do některého přístupového serveru NAS, kde se PPP rozbaluje a zakončuje. Tento PPPoA spoj existuje ve všech variantách Basic/Profi i instalacích a konfiguracích STHome/STPro, liší se pouze způsobem navazování a udržování.

(i) ADSL Basic/modem ST Home (dial-up)

V minimalistické variantě (i) má spojení z PC povahu vytáčeného (dial-up) předávaného (reléovaného) spoje PPTP/PPPoA.

Obr.1 – typické varianty využití služeb a zařízení ADSL

Hardwareově se PC spojí s STHome ethernetovým kabelem přímo, nebo přes ethernetový HUB. Tovární IP adresu STHome lze případně překonfigurovat do soukromému prostoru zákazníka. Existuje i druh STHome s USB, Tomáš Filip z Ipexu však upozorňuje, že nepracuje s chipsety USB ViaChip.
Při prvním úkonu uživatele se vyvolá spojení protokolem PPTP, jenž má jako parametry IP adresu STHome a první dvojici login/heslo od Telecomu. Pakety PPTP jsou na STHome přebaleny do PPPoA a přiděleným kanálem ATM vyslány až do NAS. Zde dochází k autentizaci vůči serveru RADIUS Telecomu a přidělení IP adresy ze soukromého prostoru Telecomu, která se stane IP adresou PC vůči právě vytvořenému kanálu PPTP. Telecom nezaručuje, zda je dynamická nebo pevná.

Při druhém úkonu uživatel spustí prohlížeč a otevře webové stránky tzv. dashboardu (SSD), modifikovaného pro ISP, jenž je nyní již přístupný. Zde zadá druhou dvojici login/heslo od ISP, která je přeposlána serveru RADIUS u ISP. Ten kromě autentizace může zaslat zpět pevnou veřejnou IP adresu, jinak se použije adresa dynamicky volená z prostoru ISP. S touto adresou Telecom aktivuje služby NAT a PC uživatele je konečně propojeno do sítě ISP a potažmo na internet.

PC vystupuje tedy vůči internetu pod adresou od ISP (pevnou nebo dynamickou), vůči kanálu PPTP má adresu ze soukromého prostoru Telecomu (pevná/dynamická neurčena). Tyto 2 adresy jsou překládány NAT 1:1 uvnitř sítě Telecomu, pravděpodobně v SSG. Vůči případné místní LAN zůstává PC původní soukromá adresa z prostoru zákazníka, nebo se staticky nastaví vhodně k tovární adrese STHome.

Pro funkci PPTP je ve Windows třeba mít konfigurován „Telefonní adaptér VPN – PPTP“. V různých verzích Windows se konfiguruje odlišně, v principu je však dostupný od Windows 95 až po XP. Ovladače STHome obsahují podporu PPTP i pro Macintosh, klienti PPTP jsou dobře dostupní i pro FreeBSD, Linux i jiné systémy Unix.

U verzí Windows 95 a 98 se uvádí, že v době aktivace PPTP nemusí být dostupná komunikace s místní LAN, rovněž u nich nelze vytvořit PPTP tunel v PPTP tunelu. Novější verze Windows by měly zvládat paralelní komunikaci i vícenásobné tunelování. Obojí není problém ani pro Unix.

Varianty s ADSL Profi

V připojeních ADSL Profi odpadá druhý úkon s přihlašováním k SSD. Server RADIUS Telecomu při prvním dotazu od NAS rozpozná, že uživatel má službu Profi a dotaz předá na autentizaci serveru RADIUS u ISP, jenž ověří login/heslo (přidělované nyní pouze od ISP). ISP může vrátit i pevnou adresu IP a oproti Basic navíc i volitelně veřejný subnet, jenž se bude z NAS směrovat do kanálu PPPoA. Jinak se opět použije dynamická adresa z prostoru ISP. U služby Profi veřejná IP adresa dojde vždy až k uživateli, nepřekládá se, existují však různé možnosti instalace a konfigurace zařízení a vytváření spojení PPPoA. U všech variant připadá do úvahy případ připojení jediného počítače, varianty (ii) a (iii) by měly být kombinovatelné i mezi sebou.

(ii) ADSL Profi - NAPT (on demand)

Varianta (ii) dokumentuje jednu z využitelných funkcí STPro - konfiguraci zvanou spojení na žádost (on?demand), v níž STPro začne samočinně vytvářet spojení v případě, že obdrží IP paket adresovaný do internetu od kteréhokoliv k němu připojeného PC. Dodávaná verze STPro je vybavena 4 porty 10-BaseT, pro skromné uživatele (pouze 10Mbps) je lze tedy využít zároveň i jako HUB, pro náročnější stohovat s rychlejšími HUBy.

Login/heslo pro připojení se konfiguruje pouze uvnitř STPro, PC jsou nastaveny pro běžnou komunikaci po místní LAN s bránou v STPro. STPro pracuje s jednou veřejně přidělenou IP adresou, kterou přes NAPT rozmítá mezi PC v LAN.

V tomto zapojení může být spoj PPPoA v STPro konfigurován případně i jako always-on. Pokud se STPro použije ve zhruba této variantě se službou Basic, musí se však PPPoA vytvářet vždy on-demand a uživatel z prvního PC kromě zaslání paketů projít i přihlašováním přes SSD.

(iii) ADSL Profi - routing (always on)

Příklad (iii) zobrazuje klasický způsob, jímž se běžně připojují lokální sítě k internetu a jenž se službou Profi je též možný. Protokol PPPoA je zde v STPro konfigurován jako stále zapnutý (always on), STPro opět má nakonfigurovány i přihlašovací heslo/login. ISP musí připojení přidělit i subnet veřejných adres, směrovaný do STPro. Protože STPro neobsahuje žádné zvláštní bezpečnostní vlastnosti, je vhodnější DMZ umístit až k navazující firewall FW. Všechny počítače v DMZ používají veřejné IP adresy, lze na nich instalovat obecné servery (SMTP, HTTP, FTP...). Architektura (iii) je nejobecnější a klade nejmenší nároky na kombinovatelnost platforem, služeb a serverů.

(iv) ADSL Profi / STHome dial-up

Varianta (iv) je zajímavá tím, že si u Profi vystačí s modemem STHome a jedinou veřejnou IP adresou, oproti (iii) je tedy mírně levnější. Postup navazování spojení PPPoA z FW i konfigurace modemu jsou analogické s (i), tj. login/heslo se konfiguruje ve FW a přidělená veřejná IP adresa skončí na počátku tunelu PPTP ve FW. Pro další použití počítači z LAN firmy musí FW velmi dobře podporovat NAPT. Pokud má být spojení navázáno trvale, musí FW periodicky kontrolovat stav připojení a případně PPTP kanál obnovovat, není zde ale NAT ani SSD.

Tato varianta je u ISP skutečně oblíbená. Petr Šedivý ze SkyNet doporučuje zákazníkům především varianty s modemem a jako hlavní platformu server Linux, který řeší bezpečnostní, směrovací a případně i serverové funkce. Petr Spodniak z BroadNet Czech na místo FW doporučuje FreeBSD nebo směrovač s vestavěnými funkcemi firewall.

Ve zbytku článku jsou probrány další technické aspekty připojení.

Vliv překladu adres (NAT, NAPT)

NAT byl původně navržen pro úsporu veřejných adres při připojování podnikových sítí, které se dosahovalo dynamickým přidělováním několika veřejných adres většímu počtu soukromých adres z těch počítačů, které právě chtěly komunikovat. Ještě větší úspory lze dosáhnout rozmítáním portů z jednotlivých veřejných adres na více soukromých (NAPT). Postupy NAT a NAPT ovšem narušují základní paradigma internetu, jímž je transparentní konektivita IP mezi všemi počítači sítě. Protokoly, které buď obsahují IP adresu nejen v hlavičce paketu, ale i v jeho těle, nebo takové, které komunikují po více portech či i více IP adresách zároveň, mají s překlady potíže. Pro jejich průchod je zapotřebí, aby místo překladu obsahovalo pro každý daný protokol bránu na aplikační úrovni (ALG). S NAPT je více potíží než s NAT. Některé protokoly jako IPSec nemohou však projít ani s pomocí ALG.

U služby Basic včetně (i) je NAT neobejditelnou součástí služby. Telecom nespecifikuje přesně, které protokoly jsou jeho ALG podporovány, používá však NAT (tj. překlad 1:1) a nikoliv NAPT. V tabulce 1 jsou shrnuty výsledky průzkumu funkčnosti, smluvně ji však asi nikdo nezaručí. Ve (ii) je NAPT implementován v STPro a pokud vám funkce jeho ALG nevyhovují, prostě použijete jinou variantu s Profi. Ve (iv) je NAPT zcela v moci vaší vlastní firewall, ve (iii) pro počítače v DMZ nemusíte NAT používat vůbec. Pokud v (iv) připojujete jediný počítač (jako FW), NAT se též nepoužívá.

Kategorie Teorie
(RFC 3027, 3022...)
NAT v ADSL Basic
(Český Telecom)
NAT v ADSL Basic
(FAQ firmy Ipex)
NAPT v STPro
(manuál)
Běžné, dobře průchodné protokoly HTTP, SMTP, POP3... HTTP, FTP, Telnet, SSH, Finger, NTP, NFS, ICMP, FTP PASV, Real Audio, CUSeeMe, DNS, ICQ, NetMeeting, H323, H.225, H.245, VDOLive HTTPS, SSL i Kazaa (Peer-to-Peer). HTTP, FTP, Telnet, SSH, Archie, Finger, NTP, NFS atd.+ICMP, FTP PASV, Real Audio, CUSeeMe, DNS, NetMeeting, H323, H.225, H.245, VDOLive atd. obecné protokoly TCP a UPD, např. HTTP.
Průchodné jen s podporou ALG FTP, varianty ICMP, H.323, SIP, MGCP, RTSP, RealAudio, NetBIOS přes TCP/IP (NBT), DNS (části provozu), SNMP (v3), PPTP, L2TP, rshell, rlogin, X.Windows, X-term/Telnet, IPSec výměna IKE FTP, ICMP, IRC, Real Audio, RTSP.DHCP spoofing a DNS relay.
Zcela neprůchodné IPSec AH, IPSec ESP, Kerberos 4 a 5 se šifrovanými tikety IPsec jen v módu “IPSec over TCP“.    

Tab. 1 - Průchodnost internetových protokolů přes služby NAT a NAPT v českém ADSL

Provoz ALG nutně zatěžuje prvky NAT. Ke dvoutýdennímu výpadku překladu FTP v dubnu mělo dojít právě z důvodů přetížení směrovačů Cisco v SSG, kvůli kterému byly přepnuty do výkonějšího režimu CEF, jenž však v prostředí SSG vykázal chybu implementace. Jiné potíže s ALG mohou vyvstat, pokud k protokolu existují nebo vznikají nové mírné variace.

Vzhledem k tomu, že překlad 1:1 žádné veřejné adresy neušetří, má včlenění NAT do ADSL Basic spíše marketingově-obchodní důvody.

Kromě ALG vám pro překonání NAT/NAPT může pomoci proxy služba daného protokolu, bezpečně instalována v DMZ, na FW, popř. i poněkud méně bezpečně veřejná proxy na internetu.

Servery u zákazníka za ADSL

Kvůli malé kapacitě odchozího směru ADSL a agregaci do úvahy připadá především provoz poštovního serveru SMTP a interaktivních částí aplikací HTTP. Pro serverové služby je nejvhodnější varianta (iii). Druhou ještě poměrně snadnou je (iv), zde již ale je třeba předem vědět, zda se zamýšlená kombinace platforem a serverových služeb podporuje. Servery jsou teoreticky možné i u (ii) se statickou definicí NAPT. Požadujte vždy pevnou IP adresu, ve (iii) i veřejný subnet.
Zprovoznění serverů za ADSL Basic je věcí více triků s nejistými výsledky. Zapojení u zákazníka je rámcově dle (iv), zbytek služby podle (i). ISP musí přidělovat pevnou veřejnou IP adresu. FW musí nejen udržovat trvalé připojení PPPoA sledováním a vytáčením PPTP jako v (iv), ale vždy se následně automaticky probít i přes SSD. Pro Windows již existují utilitky a pro Unix skripty, které oboje zařídí. Přesto se může stát, že se časem změní způsob přihlašování. FW musí být dále schopna pracovat s potenciálně dynamicky přidělovanou adresou pro PPTP. Pokud serverová aplikace běží na FW, nesmí její konfiguraci ani běhu vadit, že se její přijímací IP adresa za jízdy občas změní. Konečně, zejména u protokolů vyžadujících ALG si nemůžete být příliš jisti, jak budou přes NAT procházet v opačném směru, než síť Telecomu čeká.

Pro uživatele s Basic se proto jako vhodná komunikační alternativa jeví některé moderní P2P aplikace, které nevyžadují skoro nic a protunelují se i prostředími, které se tomu aktivně brání.

Agregace

U Profi je uváděna agregace až 1:20, u Basic 1:50. Kaskáda agregace DSLAM - NAS ... ER je postupná, přesné rozložení je chráněné know-how Telecomu. ISP uvádějí, že k úplné agregaci zřejmě dochází již na úrovni několika jednotek stovek uživatelů.

Jisté je, že ve vyústění kaskády na ER Telecomu by „velikost kanálu“ měla být součtem 1:20 + 1:50 celkové kapacity kontrahovaných uživatelů daného ISP, bez ohledu zda jsou „vytáčecí“ uživatelé právě připojeni nebo ne. Parametr by měl též znamenat, že u žádného z uživatelů v žádném případě neklesne propustnost pod daný zlomek rychlosti linky. Telecom pouze uvádí, že v běžném provozu by se propustnost měla blížit spíše horní hranici rychlosti. Jan Pechanec z Czech On Line upřesňuje, že režie ATM činí 10% a PPP přibližně 2%, tzn., že např. z linky ADSL 192/64 zbyde i v ideálním případě bez agregace propustnost IP 169/56 (kbps).

K agregaci dochází běžně uvnitř sítě každého ISP při provozu veřejného internetu, tu je však třeba odlišit od agregace na přístupových linkách. ISP za proměnlivě „stlačovanou“ linkou již nejsou schopni garantovat propustnost aj. vlastnosti virtuálních kanálů IP, VPN apod. Právě zde zůstává i po ADSL tržní prostor dražších datových linek.

Bezpečnost

Bezpečnost varianty (i) samé o sobě je žádná, u (ii) je slabá. V obou těchto případech by na PC zákazníka měly být instalovány alespoň softwareové firewally. Potíží varianty (i) je, že se musí podporovat ochrana na spoji PPTP, čemuž mnohé produkty na trhu nemusí vyhovovat. Protože Telecom ani ISP žádnou softwareovou firewall nepřibalují (narozdíl od amerických poskytovatelů ADSL), lze v realitě očekávat, že většina zákazníků uvedených variant nebude mít instalováno nic, nebo s pochybnou konfigurací, a bude spoléhat, že na běžném dial-up se jim nic nepřihodilo.
Rozdíl ADSL spočívá v dlouhodobosti připojení, vyšší rychlosti a zpravidla pevně přidělované adrese IP - riziko je řádově vyšší. Kromě průniků do dat počítačů hrozí především to, že se stanou oblíbenou přestupní stanicí pro útoky do jiných systémů. Protože taková PC zpravidla nevedou žurnály, může být následně obtížné prokázat, že uživatel není skutečným pachatelem. Bezpečnost (iii) a (iv) závisí od vlastností firewall FW a kvality její konfigurace, správy a dohledu, od ekonomické až po v současnosti dosažitelné bezpečnostní maximum.

Postup zřizování a správa provozu

Možnost zřízení ADSL na číslu vaší telefonní nebo ISDN linky si můžete nezávazně ověřit v interaktivním formuláři, který poskytují jednotliví ISP i Telecom. Výše uvedené informace vám mohou být vodítkem toho, co lze od ADSL očekávat, kterou službu, zapojení, zařízení a k tomu náležející služby si vybrat. Objednávka se činí vždy u jednoho z ISP, který sám podobjedná zřízení linky u Telecomu.

Telecom během zřizování postupně pošle poskytovateli 4 zprávy, které lze přeposlat objednávajícímu:
1. Do 24 hodin potvrzení objednávky a výsledek prvotního otestování možností instalace ADSL (vyloučení podvojné linky, tarifikační informace AOT apod.).
2. Výsledek technického šetření (kvalita párů).
3. Potvrzení času instalace, telefonicky domluveného.
4. Oznámení o zřízení linky (do 21 dnů).

Telecom zajišťuje pouze instalaci telefonní části, tj. rozbočovače, modemu/routeru a ethernet kabelu. Zařízení je v přednastavené konfiguraci pro zapojení podle (i), resp. (iv) s jediným počítačem FW, spojení se předvede pouze na PC technika. Pokud vám později během provozu přestane jít telefon, volejte podporu Telecomu, pokud nejde internet, podporu ISP.

---
Autor je konzultant elektronického podpisu
http://www.vkc.cz

Technologie ADSL

ADSL je technologie pro vytvoření vysokorychlostní digitální datové linky (192kbit/s - 8 Mbit/s) po běžné telefonní dvoudrátové místní smyčce. Písmeno „A“ značí asymetričnost datových rychlostí, směrem k účastníkovi se většinou využívá několikrát vyšší rychlost než od něj – např. 192/64 kbit/s.

ADSL je schopno koexistence se stávající telefonní analogovou nebo ISDN2 přípojkou, takže do objektu není nutno přivádět nové kabely nebo vedení, ani rušit existující způsoby komunikace.Spojení ADSL využívá vyšší frekvence než jsou používány pro přenos hovoru nebo kanálů ISDN2. Pro oddělení frekvencí na smyčce se na straně zákazníka i v ústředně používá tzv. splitter (rozbočovač), u účastníka jsou alternativně možné i tzv. distribuované filtry (nikoliv zatím v ČR). Telefonní nebo ISDN linka je pak zakončena v ústředně telefonní sítě (PSTN) stejným způsobem jako byla dříve. Na druhých výstupech rozbočovačů se vytvoří modemové spojení ADSL.

Na straně zákazníka musí být instalován modem ADSL, nebo jiné zařízení (směrovač) modem obsahující. V prostorách ústředny modem ADSL zpravidla splývá s funkcí jednotky DSLAM, v níž se koncentrují přívody linek ADSL od více účastníků. Základním protokolem běžícím mezi modemy ADSL bývá běžně ATM. Modemy jsou prodloužením sítě ATM do místa účastníka.Pro využití linky ADSL je nutné zajistit další pokračování přenosu za DSLAM. Přenos dat pokračuje sítí ATM, případně se z ní převádí/rozbalují sítí přenášené protokoly, jako je v současnosti populární internetové IP.

Přeprodej připojení ADSL

Pokud je místní smyčka ve výhradním využívání jednoho operátora, účastník je nucen využít i k pokračování přenosu za DSLAM jeho služby. Operátor zprostředkovává pokračování přenosu svou sítí až ke zvolenému protějšku, kterým zpravidla bývá některý poskytovatel internetu (ISP). Tento způsob se používá v současné nabídce ADSL v ČR.Obecně lze vytvářet mezi více přípojkami ADSL (obecně xDSL) i přímé spoje ATM pro WAN nebo VPN i bez angažování ISP aj. prostředníků vůbec.

Rozbalení (zpřístupnění) místní smyčky

Druhá hlavní možnost využití ADSL vzniká v případě tzv. rozbalení smyček (unbundling). Při něm se v místní ústředně nachází jednotky DSLAM od více různých operátorů. Zákazník si zvolí, ke kterému operátorovi chce nechat připojit svou linku ADSL, popř. i telefonní linku. Každý operátor si pak zajišťuje odchod svých dat svými prostředky, nebo dohodou s jinými přítomnými operátory. Tato metoda vede k opravdové (oligopolní) konkurenci operátorů i větší rozmanitosti přenosových technologií, znamená však, že konkurující si operátoři musí samostatně investovat do jednotek DSLAM v místních ústřednách a do jejich propojení. Předpokladem je i politické a/nebo antimonopolní rozhodnutí, nutící hlavního operátora ke kolokaci s alternativními operátory a prodeji či pronájmu smyček.

Zkratky použité v článku / obrázcích

ADSL - Asymmetric DSL (asymetrická digitální účastnická linka)
ATM - Asynchronous Transfer Mode (přenosový asynchronní mód - protokol)
CEF - Cisco Express Forwarding
CIP - Classical IP (Klasické IP)
DMZ - Demilitarized Zone (delimitarizovaná zóna = perimetrická síť)
DSL - Digital Subscriber Line (digitální účastnická linka)
DSLAM - DSL Access Multiplexer (přístupový multiplexer linek DSL)
ER - Edge Router (hraniční směrovač sítě)
FW - Firewall
IP - Internet Protocol (internetový protokol)
ISDN - Integrated Service Data Network (integrovaná datová síť služeb)
ISP - Internet Service Provider (poskytovatel služeb internetu)
LAN - Local Area Network (místní síť)
PAT - Port Address Translation (dtto NAPT)
P2P - Peer to Peer (sítě s přímou komunikací uživatelů mezi sebou)
PC - Personal Computer (osobní počítač nebo jiné zařízení)
PPP - Point to Point Protocol (protokol bod-bod pro přenos IP)
PPPoA - PPP over ATM (PPP přes ATM)
PPPoE - PPP over Ethernet (PPP přes ethernet)
PPTP - Point to Point Tunnelling Protocol (tunelující protokol bod-bod pro přenos IP)
PSTN - Public Switched Telephone Network (veřejná telefonní síť)
NAPT - Network Address Port Translation (překlad síťových adres portů)
NAS - Network Access Server (přístupový server sítě)
NAT - Network Address Translation (překlad síťových adres)
RS - RADIUS Server (server přo řízení přístupu uživatelů)
S - Splitter (rozbočovač)
SSG - Service Selection Gateway (brána pro volbu služby)
SSD - Service Selection Dashboard (webová „palubní deska“ pro volbu služby)
ST Home - Speed Touch Home (modem ADSL dodávaný Telecomem)
ST Pro - Speed Touch Pro (modem/router ADSL dodávaný Telecomem)
VPN - Virtual Private Network (virtuální soukromá síť)
WAN - Wide Area Network (rozlehlá síť)

 


 Obsah © 2002-2006 Vojtěch KMENT CONSULTING