Ve svém článku bych chtěla navázat na sérii článků Komunikace a počítače autorů Černohlávka a Novotného, které ve Zpravodaji vycházely od září 1995 do června 1996 a popisovaly principy počítačových sítí od OSI modelu až po směrovací protokoly1. Od té doby se sice ve Zpravodaji objevily další články zabývající se problematikou sítí, ale byly, až na malé výjimky, zaměřeny na sítě MU, případně vysokorychlostní síť národního výzkumu ČR a její zapojení do sítí nadnárodních ...
Od roku 1996 se oblast počítačových sítí rychle vyvíjela, přicházely nové technologie a přístupy. Z pasivního transportního media se počítačová síť stává programovatelným distribuovaným výpočetním prostředkem s řadou nových možností, ale i možných problémů.
Primární úkol sítě dopravit data od jedné koncové stanice ke druhé se postupem času začal stále více komplikovat. Pamětníci si vzpomenou na dobu, kdy vystačili se službami ftp a telnet. S postupným rozšiřováním sítí, větším počtem uživatelů a zvyšující se kapacitou linek byly zaváděny i nové síťové služby. V roce 1985 bylo rozpracováno paralelní komunikační schéma - multicast, byly realizovány pokusy přenášet obraz a hlas v reálném čase. To znamenalo zvýšit inteligenci směrovačů tak, aby oproti původnímu pouhému směrování byly schopny replikovat data, odbavovat data s požadovanou kvalitou služby, ... Rozšířila se technologie ATM, směrování začalo být nahrazováno přepínáním. S gigabitovými sítěmi vznikla potřeba maximálního urychlení procesu odbavení dat (MPLS).
Od sítí stále funkčně bohatších a různorodějších byl už pouze krok k tomu, aby uživatel mohl aktivně ovlivnit způsob průchodu svých dat počítačovou sítí [1]. Pro sítě se směrovači, které to umožňují, se vžil název aktivní sítě. Nejprve se jednalo o výběr z nabízených funkcí směrovače, ale brzy se uplatnila idea uživatelských programů prováděných na směrovačích nad vlastními daty. Právě způsobem vkládání programů do směrovače jsou klasifikovány základní typy architektury aktivních sítí.
a) Aktivní sítě s vestavěnými funkcemi
jsou architekturou, kde
přenášená data obsahují identifikátor funkce (případně včetně jejích
argumentů), která se má na směrovači i nad přenášenými daty vyvolat. Zavedení funkcí
do směrovače je výhradně záležitostí jeho správce. Aktivita uživatele je omezena
pouze na výběr vhodné funkce a nastavení hodnot parametrů. Výhodou tohoto
přístupu je, že se paket neprodlužuje a vestavěné funkce lze snadněji kontrolovat,
čímž se zjednodušuje problém s bezpečností. Nevýhodou je malá flexibilita a to,
že klient vlastně neprogramuje směrovač, pouze může selektivně využívat jeho rozšířené
funkcionality.
b) Aktivní sítě se zaváděnými funkcemi
jsou architekturou, která umožňuje uživateli
umístit do směrovače vlastní programy a spouštět je nad směrovanými daty. Uživatelské
programy jsou před vlastním průchodem dat umístěny na směrovač a poté nad daty
vykonávány. Tento přístup je velmi obecný, jeho výhodou je, že se
neprodlužuje délka paketu, na druhé straně ovšem roste režie spojená
s navázáním spojení a rozesláním programů do směrovačů před vlastním
přenosem dat a zvyšují se nároky na zajištění bezpečnosti takových systémů.
c) Aktivní sítě s encapsulovanými programy
jsou třetím přístupem. Kód aktivního programu je umístěn přímo do datagramu.
Jde vlastně o analogii s široce rozšířeným a známým jazykem Postscript
pro tisk dokumentů. Implementací této ideje vznikl jazyk Netscript, jehož kód
je umístěn přímo do datagramů. Na síť je nahlíženo jako na soustavu
virtuálních síťových strojů spojených virtuálními spoji. Obojí dohromady tvoří
virtuální výpočetní prostředek, jenž je programován tímto jazykem.
Je ovšem nutno vzít do úvahy, že program je součástí každého datového paketu a
je tedy omezena jeho velikost.
Dle architektury aktivní sítě, jež je k dispozici, uživatel vybere nebo sestaví kód, který má být na směrovači proveden. Ten se na směrovač dopraví buď před vlastními daty nebo zároveň s nimi. Při průchodu dat směrovač rozpozná, že se jedná o aktivní data a aplikuje na ně patřičný program (např. po průchodu každého desátého paketu pošle zdroji dat potvrzení) a poté data odešle k cíli tak, jak by to udělal každý klasický směrovač. Pro názornost zde bylo použito jisté zjednodušení za účelem nikoli přesně popsat, ale objasnit funkci aktivního směrovače.
V aktivních sítích se otevírají velmi zajímavé možnosti:
Výše uvedené aplikace byly odzkoušeny a popsány, ale výčet možného použití lze samozřejmě rozšířit o další. Například distribuce videosignálů v reálném čase na heterogenní síti, fault tolerantní techniky pro distribuované počítání a další si můžete přidat sami dle své vlastní invence.
Záměrně jsem v předchozím výčtu vynechala aplikaci z nejzajímavějších - kvalitu služby. Kvalita služby je v současném Internetu možná pro většinu uživatelů okrajovým problémem, zítra tomu ovšem může být jinak. Neobejde se bez ní totiž přenos dat v reálném čase, a tedy i dnešní aplikace (např. videokonference). Až na řídké výjimky není na Internetu poskytována a její zajištění je teoretickým i praktickým problémem. Aktivními programy, které mohou ovlivnit průchod dat směrovači, můžeme dosáhnout silnějšího požadavku: data projdou sítí s požadovanou kvalitou služby, je-li to možné, a pokud není, potom s nejlepší takovou, jakou síť dovoluje. Opět si vypůjčím příklad s videosignálem - tam, kde nelze dosáhnout potřebné šířky pásma, může směrovač selektivně posílat pouze obrazy celé scény a vynechávat změny, takže výsledek může být podstatně lepší, než kdyby pakety zahazoval náhodně.
Vyšší flexibilita aktivních sítí implikuje vyšší potřebu zajištění bezpečnosti. Současné směrovače použijí k odbavení paketu pouze paměť potřebnou k jeho dočasnému uchování a něco málo CPU k nalezení cesty. Směrovače v aktivních sítích mohou být využívány daleko intenzivněji. Mnozí z nás se setkali s nechtěným zacyklením programu a s řadou dalších neúmyslných chyb v programech. Pokud se ale tyto chyby nacházejí v aktivních programech na směrovačích, mohou činnost směrovače vážně ohrozit. Uživatelské programy na směrovačích (tj. počítačích bez uživatelských účtů) mohou obsahovat chyby a závady i záměrně za účelem ohrožení činnosti směrovače a zcizení, případně zničení dat. Možná nebezpečí jsou klasifikována jako:
I nepříliš pozorného čtenáře teď určitě napadá řada variací na zneužití aktivních programů ve směrovačích a ve správcích směrovačů roste předsevzetí "dopustit programování směrovačů uživateli pouze přes moji mrtvolu". Ale kaše se nikdy nejí tak horká, jak se uvaří, a jde-li návrh aktivní sítě od počátku ruku v ruce s návrhem její bezpečnosti, je tento problém zvládnutelný. Řadě nebezpečí se lze vyhnout omezením v programovacím jazyce (žádné skoky, pouze konečné cykly, žádné ukazatele), identifikací odesilatele, autorizací přístupu ke zdrojům, sledováním a přidělováním přístupu k systémovým zdrojům během provádění, případně šifrováním přenosů. Kombinací omezení, autorizace a šifrování lze dosáhnout rozumného provozního zabezpečení.
Mým cílem bylo popsat zajímavý trend ve vývoji počítačových sítí a možnosti i nebezpečí, které představuje. Osobně věřím, že pozitiva převažují a že i na MU se podaří postavit na PC směrovačích aktivní síť alespoň k testům a pokusům. Ale ti, kdo mají obavu z toho, co po nich budoucí sítě budou požadovat, se mohou uklidnit - je to paralelní experimentální větev k běžnému provozu a nikdo nebude po uživatelích chtít, aby si programovali odbavení dat na směrovačích, pokud sami tuto potřebu nebudou mít.
Stručně popsaný model aktivní sítě je jednou z možných budoucností počítačových sítí. Není to realita běžné komunikace, ale rozvíjený směr výzkumu a vývoje. Dovolím si zde ocitovat I. Černohlávka: "Počítačová síť je živý organismus a brzy na ni budeme potřebovat biologa." Zajisté šlo o nadsázku. Na druhé straně - počítačová síť se vyvíjí (je vyvíjena lidmi) a tedy podléhá evoluci. Ta nejlépe prověří smysluplnost a užitečnost aktivních sítí pro budoucnost.
| [1] | K. Psounis. Active networks: Applications, security, safety,
and architectures. IEEE Communication Surveys, First Quarter 1999,
Vol. 2, No. 1. Dostupný na:
http://www.comsoc.org/pubs/surveys/
... zpět do textu |
| 1 | Tento článek je malou vzpomínkou k nedožitým čtyřicátinám Ivo
Černohlávka (9. 5. 1960 - 10. 7. 1995). Ačkoliv odešel už téměř před pěti
lety, jeho myšlenky a práce jsou v kruhu jeho spolupracovníků stále
přítomny a živé.
... zpět do textu |
předchozí článek
