VMware este un soft foarte util pentru un student la calculatoare si in general pentru cineva care vrea sa descopere lumea sistemelor de operare. Ca pasionat de retelistica, mi-a placut in mod special optiunile de interactiune cu reteaua. By default, VMware (Workstation) ofera doua conexiuni cu sistemul de operare gazda: bridged sau NAT (aceste conexiuni se gasesc ca si conexiunile vmnet1 si vmnet8). Bridged inseamna ca si interfata virtuala de retea a sistemului emulat si interfata fizica a sistemului gazda sunt in aceesi retea, acelasi broadcast domain (conectate printr-un switch virtual). NAT inseamna ca sunt retele separate, OS-ul virtual iesind spre Internet prin NAT adica prin masina gazda.

Partea interesanta este ca, cu niste advanced settings, puteti avea mai multe retele in combinatii foarte complexe. Cea mai interesanta topologie pe care am facut-o a fost o simulare a unei retele corporate impartite in 3 branch office si un central office cu un total de 10 masini virtuale (6 clienti si 4 servere emulate in VMware) conectate prin 3 routere Cisco (emulate in Dynamips) cu infrastructura convergenta si ruland o solutie VoIP pe deasupra ei,  toate sub o masina Windows (cu procesorul dual-core si memoria tipand de durere, but doable none the less).

Primul pas este este adaugarea unei interfete noi in sistemul gazda. In Windows facem asta ca si cum am adauga un dispozitiv nou. Din Control Panel -> Add Hardware, alegeti optiunea de adaugare manuala (Advanced). Din lista de tipuri de dispozitive, alegeti Network Adapter. De aici vom adauga un “Microsoft Loopback Adapter” (cu Microsoft ca Manufacturer).  Conexiunea va aparea in Network Connections.

Din VMware Worksation, puteti adauga interfata din meniul Edit -> Virtual Network Settings… Interfata din Windows trebuie asociata cu una din cele 9 interfete virtuale din VMware. Trebuie setata si reteaua de IP-uri ce corespunde interfetei. Dupa ce faceti asocierea, puteti folosi interfetele virtuale in masinile virtuale. De asemnea puteti deschide servicii cum ar fi DHCP sau NAT.

Am vrut sa fac introducerea asta ca suport la alte HOWTO-uri ce vor avea nevoie de un astfel de setup.

In timp ce asteptam sa se instaleze un program pe un Linux am zis sa imi ocup timpul cu un joculet. Si cum Mines nu ma atragea, mi-am adus aminte de ceva ce am descoperit la ROSEdu’s Ubuntu Install Fest: WormuX. Fanii jocului Worms il vor aprecia. WormuX este versiunea de Linux a Worms (cel clasic, nu 3D). E foarte bine facut, se misca mult mai bine ca originalul si este plin de caractere si nume specifice lumii OpenSource.

Daca vreti sa il testati, get it from wormux.org (sau “apt-get install wormux” pt Debian based distros) si have fun luptandu-va cu pinguini, vulpi sau gnu in echipe gen Firefox, GNU sau PHP. Have fun

În ultimul semestru, pe la facultate, tot dau de un termen relativ necunoscut: Grid Computing. Deşi nu cunosc multe despre subiect, cred ca voi stii mult mai multe anul viitor (pentru că, din câte ştiu, în anul 3, la Calculatoare sunt mai multe cursuri care abordează subiectul). Pentru cei care nu sunt familiari cu termenul, un grid este o reţea de calculatoare, unite pentru a pune în comun niste resurse de procesare pentru anumite programe cu cerinţe foarte mari. Este o soluţie mai cost-effective decât a avea un singur super-computer, un grup mare de calculatoare mai modeste, unite într-un grid oferind aceleaşi performanţe.

Şi totuşi cei care se gândesc la un grid de calculatoare, de obicei se gândesc la nişte calculatoare high-end. Dar adevărul este că sunt foarte multe reţele de tip grid care se bazeaza pe PC-uri obişnuite. Prima mea interacţiune cu un astfel de grid a fost SETI@home. Proiectul SETI (Search for Extra-Terrestrial Intelligence) se ocupă cu captarea de unde radio din spaţiu (poate aţi auzit de array-ul mare de sateliţi SETI). Aceste semnale sunt procesate în scopul descoperirii de inteligenţă în univers. O mare parte din procesarea semnalelor se face pe calculatoare normale ale userilor care îşi pun la dispoziţie PC-urile în scopul ştiinţei. Ideea că aş putea eu contribui la un proiect de cercetare aşa mare, desi într-o măsură extrem de mică mi-a fost de ajuns să mă înscriu. Tot ce trebuia era să rulez pe calculatorul meu un clinet făcut de la cei de la Universitatea Berkeley, BOINC şi să las calculatorul deschis să îşi facă treaba (şi să mă uit cum procesorul meu nu mai scadea sub 99%…ever…).  După ce am acumulat puţină experienţă pe temă şi am descoperit că există şi altfel de astefel de proiecte (desi la momenul respectiv SETI@home era cel mai mare) am decis să mă înscriu la un poiect cu mai multe aplicaţii practice: Rosetta@home (găsirea de proteine). E draguţ că SETI@home ofera şi diplome digitale (simbolic, ca rasplată pentru donaţia de putere de procesare).

Într-un final am decis să investesc resursele într-un alt grid: World Community Grid care funcţionează tot pe baza BOINC (deşi iniţial aveau ei un program propriu, dar la care aparent au renunţat în favoarea BOINC care avea mai mult suport şi experienţă). Mi-a plăcut mai mult deoarece (avea şi un site mai frumos ) avea posibilitatea de a ‘lucra’ pentru mai multe proiecte (managementul lor fiind făcut de ei).

Chiar aveam de gând să scriu un articol despre Home Grid Computing şi despre aceste site-uri. Am avut acum motivaţie deoarece zilele acestea Word Community Grid a atins un milestone de 200 milioane de rezultate returnate de la useri (dintre care 14 000 sunt ale mele ). De asemenea, milestone persoanal, pentru rezultatele returnate am primit un milion de puncte, ceea ce m-a clasat in primii 10 000 de useri (ok… poate nu sună foarte impresionant, but for me it’s a victory având în considerare că am concurenţă din partea unor universităţi, laboratoare de cercetare, corporarţii şi user vechi din comunitate).  Btw, există şi o echipă a Politehnicii dar din păcate eu şi înca un user suntem activi .

Deci dacă aţi vrut vreodata să contribuiţi ştiinţei şi nu aţi ştiut cum, sau dacă vreţi să puneţi procesorul (sau procesoarele ) care stau idle la muncă, aţi putea să vă înscrieţi în unul din proiecte acestea. Do it for the geek in you

Din newsletterul cel de toate ziele de la Slashdot (sau cel putin din zilele cand mai apuc sa il citesc…) am gasit o stire interesanta. Btw, Slashdot este un site de stiri din lumea tehnica (motto-ul site-ului cred ce zice tot “Slashdot: News for nerds, stuff that matters” ). Este un loc bun pentru cei ce vor sa fie up to date cu ce se intampla in lumea IT (eu sunt abonat la newsletter si primesc email dimineata la prima ora pe care il citesc de obicei inainte sa plec la facultate).

Stirea respectiva vorbea despre un tool de hacking care poate sparge conturile de GMail. Putin speriat de inceputul stirii, dar noroc ca in aceeasi stire prezinta si noul feature de la Google impotriva la asaceva: folosirea HTTPS permanent. Daca nu ati observat, by default, HTTP Secure se foloseste doar la login, dupa, pentru navigare in interfata de webmail este HTTP chior.  Am gasit acest lucru foarte ciudat de la inceput si as fi vrut sa existe sesiunea permanenta pe HTTPS (nu zic ca ar fi total sigura, dar m-as simti mai bine).

Ideea ca aceasta noua optiune trebuie activata manual.  Optiunea se afla in Settings -> General -> Browser connection: si trebuie setata pe Always use https

Recomand sa o activati ca nu strica

Daca vreti sa va jucati cu un router Cisco si nu aveti acces la un echipament adevarat, aveti nevoie de un soft care sa va ofere aceleasi functii ca the real deal. Am mai mentionat Packet Tracer, un tool oferit de Cisco cu multe functii oferite (cel putin de la versiunea 4 in sus). Imi place foarte mult sa il folosesc si il recomand. Dar Packet Tracer este un simulator. Aceasta inseamna ca doar simuleaza ce ar trebui sa faca adevaratul router. In spate sunt doar niste if-uri si else-uri si in functie de ce comanda este introdusa si anumiti parametrii se returneaza un output.

O alta varianta ar fi un emulator. Diferenta este ca in loc sa simuleze ce ar face codul IOS-ului (sistemul de operare al routerelor Cisco), el chiar ruleaza codul doar ca nu pe platforma routerului (Power PC) ci pe o platforma de PC (i386).  Un astfel de soft este Dynamips, care ruleaza IOS-ul pe un PC sub forma unui daemon (serviciu), accesibil prin telnet pe un port pe localhost. Pentru a crea o retea de astfel de routere avem nevoie de un al doilea program care sa le lege. Aici intervine Dynagen. Acesta controleaza instante de dynamips in functie de setarile fisierului .net unde se mentioneaza routerele si felul in care sunt conectate (prin interfete Ethernet/ Seriale, switch virtual sau nor de Frame Relay).

Dar interfata dynagen este foarte user unfriendly (command line care mai ales in Windows e..well..Windows). Aici intervine GNS3. Este o interfata grafica care ruleaza deasupra lui dynagen si dynamips si este la fel de usor de folosit ca Packet Tracer. Puteti downloada installerul de Windows complet cu toate pachetele necesare (inclusiv dynamips si WinPCAP- pachetul ce captureaza pachetele pe pe interfete) de aici.

Dupa instalare, la prima rulare a GNS3 trebuie specificata calea catre executabilul dynamips (ar trebui sa fie detectat automat) si, mai important, calea catre un IOS. Atentie! Dynamips este doar emulatorul, programul de baza PESTE care ar rula un IOS. Asta inseamna ca de sistemul de operare al routerului trebuie sa faceti rost voi (Cisco IOS este un sistem de operare proprietar si closed-source… trebuie sa aveti drep de folosire al lui). IOS-ul vine sub forma unui fisier .bin, cu o dimensiunea de 10-50MB in functie de capabilitatile versiunii respective. Trebuie sa asociati modele de routere din GNS3 cu anumite sisteme de operare.

Designul unei topologii este foarte usor. All drag’n'drop. Adaugati echipamente din meniul din stanga si le conectati cu cablurile respective.

(Don’t mind the quality of the images…all done in MSPaint )

Pasul urmator este sa porniti routerele…

Dupa pornire, puteti sa accesati routerele prin Telnel. Din acelasi meniu ca si Start aveti Console. Rezultatul:

Si asta ar fi GNS3 in 10 minute. Recunosc ca sistemul nu e chiar usor pentru un incepator, dar de multe ori merita.

Pros and Cons: Proul este ca e un emulator si nu un simulator, deci permite cea mai realistica simulare a unui router. Cons-urile sunt mai multe: in primul rand mananca o cantitate imensa de resurse (RAM si CPU). In al doilea rand, trebuie sa procurati IOS-ul (ceea ce nu e usor). Si de simulat, nu putem emula decat routere si PIX-uri (cu ceva munca am inteles ca se poate emula si un Switch Layer3).

Am zis ca o introducere in acest sistem este necesara deoarece as dori sa revin cu alte exemple de lucruri ce pot fi facute cu aceste tooluri.

In primul rand, in caz ca nu stiati, Cisco a scos certificari noi de nivel associate. CCNA este cea mai cunoscuta certificare Cisco. Pe langa ea, mai exista CCDA la acelasi nivel (dar care, in mod ciudat, necesita certificarea CCNA). Daca CCNA si CCDA erau entry level pentru certificarile de nivel professional CCNP si CCDP (network si design), pentru CCVP sau CCSP (voice si security) nu existau.

Certificarile noi scoase sunt CCNA Security, CCNA Wireless si CCNA Voice. Ciudat cum nu au ales nume mai simple gen CCSA, CCWA si CCVA, dar banuiesc ca e din politica de a promova cel mai de succes produs al lor: CCNA. Nici una din aceste certficiari nu este echivalenta cu CCNA si toate au ca prerequirement certificarea de CCNA.

Din pacate odata cu anuntul despre introducerea certificarilor nu au fost scose si documentatiile. Stirea despre certificari este relativ veche. Zilele trecute Cisco Press a scos o versiune Routh Cut (adica un fel de beta) cartea cu materiale pentru examenul de Wireless (ocazie cu care scriu si articolul), dupa ce deja se scosese cea de Security. Astept in mod special scoaterea cartii de Voice. Pana in toamna ar trebui sa fie scoase toate materialele necesare. Este un zvon (pe care si Cisco il evita) ca se vor scoate cursuri in cadru Cisco Networking Academy pentru aceste certificari.

Am cateva site-uri pe care le urmaresc aproape constant. Chiar daca nu au ceva surprinzator in fiecare zi, stiu ca ocazional gasesc lucruri care merita. xkcd unul din ele, un webcomic destul de cunoscut (cel putin printre apropiatii mei). Unele comicuri sunt foarte funny.

So as the link of the day: http://xkcd.com

Tip: fiecare imagine are ascuns un comment. Tineti mouse-ul deasupra imaginii ca sa il vedeti (asta pe site-ul original ).

Cred ca mi-a placut de cand am vazut descrierea “A webcomic of romance,sarcasm, math, and language”. Combinatia intre ’science’ si ‘romance’ mi s-a parut intersanta.

Avand in considerare ca recent s-a scos versiunea 5.0 a simulatorului Packet Tracer, as vrea sa fac un lab pe ceva nou din acesta versiune: Multilayer Switch (aka MLS) si EtherChannel. Avand in considerare ca Packet Tracer (PT) este userfriendly si foarte intuitiv nu cred ca are rost sa explic cum se foloseste (daca aveti totusi nevoie, incercati tutorialele care vin cu el).
Ce este EtherChannel? Este o tehnologie care permite gruparea mai multor legaturi fizice intre doua echipamente ca o singura legatura logica. Adica daca avem, de exemplu 4 porturi de 100Mb intre doua switch-uri, putem face o legatura echivalenta de 400Mb. De ce am avea nevoie de asaceva, adica de ce nu putem doar lasa cele 4 cabluri singure si sa zicem ca avem lagatura de 400Mb? Remember STP, the Spanning Tree Protocol. Daca nu am avea acest EtherChannel, 3 din cele 4 porturi ar fi blocate pentru a preveni blucle de layer 2.
Topologia: 2 Switch-uri Multilayer (3560-25PS) si 4 hosturi. la fiecare switch sunt conectate cate doua hosturi pe VLAN-uri diferite (vlan 10 si 20 sa zicem). Intre switchuri, conectam 4 cabluri pe FastEthernet pentru a face un trunk (unul singur, nu patru).
Puteti observa din imagine ca 3 linii au ledul portocaliu, asta inseamna ca porturile sunt blocate de catre STP (liniile sunt default de tip access).
Pentru a configura un EtherChannel, trebuie sa grupam mai multe interfete intr-un channel-group. Facem asta intrand pe fiecare interfata si dand comanda channel-group GROUP_NUMBER mode MOD (exista mai multe moduri in care putem seta grupul, depinzand de cele doua protocoale care se folosesc la un EtherChannel, PAgP si LACP, de care nu as vrea sa discut aici…vom alege mode on pentru a ridica EtherChannel-ul).
Tip: Recomand folosirea comenzii interface range care permite configuarea unui grup intreg de interfete cu aceleasi comenzi. Ex “int range f0/1 – 3″ va aplica comenzile ca vor urma pentru f0/0, f0/1 si f0/2. Atentie la spatiile de langa “-” deoarece unele versiuni de IOS sunt sensibile la ele.
Configuare:

Sw1# configure terminal
Sw1(config)# interface range f0/10 – 13
Sw1(config-if-range)#channel-group 5 mode on

Va va aparea mesajul
%LINEPROTO-5-UPDOWN: Line protocol on Interface Port-channel 5, changed state to up
Aceasta este interfata logica creata, pe care vom faca de acum incolo configurarile ca pe un port normal. Numarul interfetei Port-channel este numarul grupului. Facem acelasi lucru pe switch-ul celalalt. Acolo putem folosi de exemplui channel-group 6, numarul avand doar semnificatie locala.
Pentru a configura EtherChannel-ul ca trunk, intram pe interfata logica.

Sw1(config)# interface Port-channel 5
Sw1(config-if)#switchport mode trunk

Trebuie sa asociem porturile pentru hosturi cu vlanurile respective (cu comenzile switchport mode access respectiv switchport access vlan vlanx pe interfete f0/1 si f0/2). Tip: Pentru ca stim ca pe respetivele porturi avem conectate doar hosturi, putem sa le setam cu PortFast pentru a dezactiva STP-ul pe el (spanning-tree portfast pe interfata).
Hadeti acum sa exploram beneficiile de a avea un MLS. Daca aveam switchuri normale, pentru routarea inter-vlan avem nevoie de un router si o topoligie router-on-a-stick (unde aveam un router, conectat la un switch printr-un trunk si cu ajutorul subinterfeteleor bagam routerul in toate VLANurile si stia el sa se ocupe de routare). Un MLS poate poate face routare inter-vlan prin doua moduri: prin routed ports sau prin SVI-uri. Vom discuta doar despre SVI (Switch Virtual Interface). Ele sunt niste interfete virtuale carora le putem asocia o adresa IP si un VLAN. Sunt asemnatoare cu interfetele de management de pe switch-urile layer 2 dar ca nu sunt limitate la una per switch, ci exista una per VLAN. Switchul multilayer va stii sa routeze intre VLANurile care au create pe switch un SVI. SVI-urie vor fi default gateway-urile pentru hosturi. Un SVI se creaza astfel:

Sw1(config)# interface Vlan10

Sw1(config-if)#ip address 10.0.0.1 255.255.255.0

Sw1(config-if)#no shutdown

Trebuie sa setam cate un SVI pentru fiecare VLAN (si vom face asta pe un singur switch deoarece doar pe unul trebuie sa facem routarea). Pentru ca rotuarea sa functioneze trebuie activata (daca nu este deja)

Sw1(config)# ip routing

Si pentru a arata cat de destept este un MLS, mai activam un serviciu gasit pe un router: DHCP. Facem doua pool-uri pentru cele doua VLAN-uri (la fel, vom folosi un singur un singur switch ca server).

Sw1(config)# ip dhcp pool vlan_pool_10

Sw1(dhcp-config)# network 10.0.0.0 255.255.255.0

Sw1(dhcp-config)# default-router 10.0.0.1

Si iata o topologie facuta doar cu Switch-uri Multilayer.

Puteti gasi fisierul Packet Tracer aici.

Sper ca a fost informativ.

Dupa un semestru de Protocoale de Comunicatii unde ni s-a tot povestit despre faimoasele persoanaje ale lui Tanenbaum (Alice, Bob si Trudy) si incercarile disperate ale cuplului Alice-Bob de a trimite mesaje ascunse de malitioasa Trudy (yes, Trudy’s a she ) folosind diverse metode criptografice (printre care se numara si certificatele digitale), am avut ocazia de a folosi in practica conceptele studiate.

Ce este si de ce am avea nevoie de un certificat digital? Este o modalitate de a atesta autenticitatea unei informatii digitale (care poate fi un email, un site, un cod al unui software). Un client – Alice – care primeste o informatie vrea sa fie sigur ca ce a primit vine de cine trebuie -Bob – si ca nu e un material modificat de o a treia persoana neautorizata – Trudy. Daca cei doi (Alice si Bob) nu se pot intelege singuri, pot apela la o a treia entitate, un CA (Certificate Authority), o autoritate in care amandoi au incredere si care poate confirma sau infirma autenticitatea mesajului. Asta era teoria pe care o stiam, dar in practica nu stiam de vreun CA (poate doar de VeriSign pentru ca le vazusem logoul lor cand faceam plati online).

Totul a inceput atunci cand am aflat de la cineva de un Thawte Web of Trust Sign-in Event desfasurat in Bucuresti. Thawte este un CA. Web of Trust este un sistem prin care, pentru a primi un certificat, trebuie sa ai niste puncte pe care le acumulezi de la Notari Thawte. Pentru a primi respectivele puncte, o persoana trebuie sa se intalneasca fata in fata cu notarul Thawte, sa prezinte un formular, o copie dupa actul de identitate si actul de identitate in sine (tot procesul este unul oficial si orice actiune intra sub incidenta legii). Thawte pune la dispozitie gratuit certificate de email (celelalte servicii sunt contra cost). Asta inseamna ca poti semna digital orice email pe care il trimiti. Daca cineva acumuleaza 50 de puncte, ii se poate elibera un certificat digital pentru email. Daca acumuleaza 100 de puncte poate deveni el insusi un Notar. In urma evenimentului mentionat, am reusit sa acumulez mai mult de 100 de puncte si am devenit oficial Notar Thawte ( It was a very happy and geekish moment ) a…si am primit si o minge . Pe langa asta, mi-am eliberat un certificat pentru emailul meu si orice email important pe care il trimit pe pe adresa mea personala, il semnez cu acest certificat.

Dar Thawte pune la dispozitie gratuit doar serviciul de email certificate (ca un adevarat student, caut doar serviciile free ). Din acelasi anturaj am aflat de un alt CA: CAcert. Ei pun la dispozitie si alte certificate (exemplu SSL) totul gratuit. Daca e gratuit, este facut de o comunitate de oameni pasionati (my kind of guys ).  Din pacate asta face acest CA mai putin credibil decat Thawte spre exemplu. Dar oricum, ofera niste servicii dragute. Au un sistem Web of Trust asemanator, doar ca in loc de termenul de “Notary” avem “Assurer“. La fel, o persoana trebuie sa stranga puncte pentru a primi un certificat si eventual pentru a deveni Assurer (notar). Lucrul interesant pe care l-am aflat e ca daca esti Notar Thawte si dovedesti acest lucru primiesti automat 150 puncte.  La 100 de puncte poti deveni Assurer. Zic ‘poti’ deoarece spre deosebire de Thawte mai trebuie sa dai si un test. Dar conluzia este ca folosind acest sistem, incepand de azi sunt si CAcert Assurer (double happy geek ).

Recunosc ca inca nu stiu destul despre aceste sisteme si nu sunt paranoic despre securitate. Dar sunt mai constient de importanta securitatii decat majoritatea. Si desi uneori imi scapa din vedere unele riscuri (mici de obicei) incerc sa fac orice intr-un mod securizat.

Daca sunteti interesati in a obtine un certificat si aveti nevoie de puncte, puteti sa ma contactati si va voi ajuta cu cea mai mare placere .

L.E.: Am primit intre timp si diploma de la CAcert . Diploma care, bineinteles este… semnata digital .