Loni jsem se připravoval na výstup na nějaký štít ve Vysokých Tatrách. Nerad chodím sám, takže mi to vyšlo až letos. Vybral jsem si Koprovský štít.
Vyrazili jsme v 6:30 ráno autem z Bánské Bystrice. Provoz na cestách byl poměrně slabý, takže okolo osmé jsme už vyrazili z parkoviště na Štrbském plese směr Popradské pleso.
Počasí přálo, šlapalo se dobře, i kešku jsem stihl odlovit. Když jsme došli až na vrchol, tak jsem se těšil na řetězy, které tam byly při mém posledním výstupu. Ale ouha, řetězy nikde! Tak nevím, jestli vrchol je už bezpečnější, že řetězy nejsou třeba?
Výhled z vrcholu stál za to. Bylo jasno a tak šlo vidět až na střední Slovensko. Trochu mě mrzelo, že jsem si neudělal kvůli technickým problémům s TrekBuddym track log.
Cestu zpět jsme si zpestřovali konzumací borůvek, vodu jsme doplnili v horských potocích, síly... síly nebylo kde doplňovat.
GPSka dnes selhala podruhé. Autem jsme se po cestě zpět zacyklili, ale mapa pod sedadlem spolujezdce opět zajistila návrat na tu správnou cestu.
V počítačové síti VŠB, kde postupně nasazujeme IPv6, provozujeme také bezdrátové sítě. V těchto sítích ale IPv6 v současné době dostupné není. Popíši technické důvody, pro které doposud IPv6 v bezdrátových sítích není dostupné a také technické kroky, které je potřeba realizovat pro vyřešení této situace.
IPv6 je oproti IPv4 je navrženo přeci jen trochu jinak, nelze si představovat, že IPv6 má jen delší adresy. Z našeho pohledu implementace IPv6 v bezdrátových sítích je důležité to, jakým způsobem se v IPv6 síti volí směrovače a konfigurují adresy. IPv6 adresu lze získat přes DHCPv6, ale bohužel ne všechny OS mají DHCPv6 klienta dostupného a funkčního. Proto je potřeba v současnosti podporovat i tzv. autokonfiguraci. Autokonfigurace je navržena tak, že směrovač v příslušné síti oznamuje prefix příslušné sítě (prvních 64 bitů adresy) a stanice si následně podle určitých algoritmů zvolí druhou polovinu adresy (druhých 64 bitů).
Směrovače v IPv6 síti nejsou stanicemi získávány přes DHCPv6 (to dokonce není ani podporováno), ale samy se v síti propagují. K dispozici mají také tři druhy priorit - malá, střední a vysoká. Je ovšem důležité si uvědomit, že tyto RA (Router Advertisements) jsou rozesílány na multicastové IPv6 adresy.
Po tomto úvodu se můžeme podívat na síť VŠB. Ta je postavena na řídicích modulech bezdrátové sítě. Jednotlivé přístupové bezdrátové body jsou z řídicích modulů řízeny a veškerý provoz APček je posílán na tyto řídící moduly prostřednictvím tunelů. To umožňuje velmi rychlé rekonfigurace celé bezdrátové sítě. A to nejen v LAN VŠB. Díky tomuto centralizovanému modelu mohou být shodné služby poskytovány např. v rekreačním středisku Desná, které je připojeno do Internetu prostřednictvím ADSL.
Aby mohly být RA přeposílány na AP, je nutné, aby řídicí moduly podporovaly IPv6 multicast. To programové vybavení našich řídicích modulů Cisco WiSM umožňuje. Takže to vypadá, že nasazení IPv6 v bezdrátových sítích nic nebrání. Ale opak je pravdou. Pokud totiž zapojíte do takové sítě stanici, která se začne propagovat jako směrovač, tak začnou problémy s ostatními koncovými stanicemi. A "vyrobit" takovou stanici je poměrně jednoduché - stačí mít Windows Vista/7 s nastaveným sdílením připojení.
A protože Cisco Wireless Controller nemá podporu pro filtrování RA (RA Guard), tak se musíme spolehnout na to, že taková stanice se nám v síti neobjeví. Naděje sice umírá poslední, ale při tomto rozsahu bezdrátové sítě je brzký konec nadějí v podstatě jistý. V naší síti, kde máme okolo 250 APček, je ve špičkách připojeno zhruba 800-900 uživatelů. Mezi těmito uživateli se běžně našlo 8-9 stanic, které měly nastaveno sdílení připojení a dělali v síti "nepořádek".
Cisco slíbilo, že doplní funkci RA Guard ve fázi 2 (fáze 1 je implementovaná, fáze 2 probíhá), ale pouze u modulů postavených na řadě 5500. Druhá fáze má být dokončena v 2011/Q3-4. A ještě před dvěma lety se prodávaly moduly řady 4400, které samozřejmě máme i my...
A jaké je tedy řešení pro tento případ? V prvé řadě je potřeba používat nejvyšší možnou prioritu pro RA našeho oficálního směrovače. Tím snížíme pravděpodobnost, že objeví-li se v síti cizí směrovač, že stanice jej použije. Druhým nutným technickým krokem je zprovoznění zneplatňovače RA. To je program, který poslouchá na síťovém rozhraní, a zaznamená-li RA od zařízení, které nemá v seznamu platných směrovačů, tak okamžitě pošle do sítě zneplatnění tohoto oznámení. Tím docílíme toho, že než stačí stanice tuto cestu použít, tak je zneplatněna.
Toto řešení vypadá funkčně, v poloprovozním režimu na vybraných částech bezdrátové sítě se osvědčilo, takže předpokládám, že s novým semestrem jej nasadíme v celé síti. Návrh je takový, že u každého z obou řídicích modulů bude umístěn jeden "zneplatňovač". Tím řešíme jednak zálohu pro případ výpadku a také zajištění doručení zneplatnění, protože oba servery budou umístěny v různých částech metropolitní sítě. Nicméně stále je to jen workaround, který fixuje jen důsledky.
A jak je tento zneplatňovač postaven? Je jím linuxový systém, který podporuje 802.1Q a zneplatňování realizuje program RAMON. Tento přístup lze samozřejmě aplikovat i u pevných sítích. Ale v nich máme přeci jen trochu více možností. Ty zkusím ale rozebrat jindy.
Tento režim plánuji provozovat minimálně následující rok. Přibližně za rok budeme řešit další problém související s rozvojem - nedostatečná redundantní kapacita řídicích modulů vzhledem k provozovaným APčkům. V tu dobu budeme muset řešit buď upgrade nebo doplnění řídicích modulů a při volbě platformy jistě bdueme přihlížet ke kvalitě implementace IPv6. Na každý pád čekám, že Cisco se pohne s rozvojem IPv6 v oblasti centralizovaných bezdrátových sítí kupředu.
Na konci roku 1999, těsně před Vánoci, jsem dostal nabídku pracovat na jednom zajímavém projektu. Cílem bylo vytvořit Internetový obchodní dům EasyWorld. V té době takových obchodů moc nebylo. Projekt financovala německá firma a hlavní vývoj probíhal v ČR.
V těch letech to byla poměrně velká Internetová aplikace, navíc ještě vyvíjená v Ostravě. Německá firma měla vyvinutý v té době produkt, který umožňoval generovat WWW stránky a také seznam zboží. Obojí mělo být z programu přímo exportovatelné přímo do prostředí EasyWorldu. Ten program pro Windows napsal a udržoval nějaký německý student, který kvůli tomu přestal studovat fyziku.
Já měl mít na starosti všechny systémové věci toho projektu. Od zapojení sítě, síťových prvků až po správu a konfiguraci všech serverů v projektu použitých. Práce to byla poměrně rozsáhlá, bylo potřeba vyřešit zastupitelnost a tak se do projektu zapojil ještě kamarád Karel, který se mnou tehdy dělal na výpočetním centru VŠB.
Termíny byly naprosto šibeniční. Všichni jsme měli jsme dva měsíce na to, abychom rozjeli projekt, navrhli technická řešení a ta zprovoznili v nějaké předváděcí verzi. Po těch dvou měsících byla plánována výstava ve Švýcarsku (rozsahem něco jako Invex) a tam jsmě měli ten obchod prezentovat a také byla naplánovaná televizní reklamní kampaň. Programátorům jsem tehdy vůbec nezáviděl. V té době jsem ještě trochu více programoval, takže jsem jim dělal ještě konzultace okolo PHP (tedy ve verzi RC4). My s Karlem jsme při vývoji museli řešit nasazení PHP4, sladění s Oraclem, což se ne vždy dařilo. Ve finále jsme tak trávili u serverů odpolední a noční hodiny. Vzdálené přístupy tehdy nebyly moc reálné, kapacita linky vývojového centra byla tuším 64kbps a doma jen dial-up. Večerní autobusové linky domů jsem znal nazpamět :-)
Z pohledu sítě byla celá sestava složena ze směrovače (Cisco 3660), L2 přepínače Cisco Catalyst 2950. Zadavatel měl poměrně velká očekávání, takže jsme navrhli do sítě ještě i load-balancer Radware WSD-Pro, který obsluhoval celkem tři aplikační servery. Tehdy se podle dodavatele počet těchto zařízení dal spočítat na prstech dvou rukou, takže bylo zajímavé se s tím zařízením setkat a nasadit.
Na přelomu února a března jsme naložili dva servery do auta a vyrazili s kolegou Pavlem na týdenní výlet do Švýcarského Curychu. Celodenní cesta proběhla celkem dobře. Jen se občas ještě lehce orosím při vzpomínce na noční dálniční půlkilometrové couvání po přejetí exitu. Tehdy jsem to Pavlovi vážně nerozmluvil. Instalace a konfigurace systému na výstavišti nakonec proběhla dobře a tak největší technický problém celé akce byla demontáž přístrojové desky auta, za kterou zapadl parkovací lístek výstaviště :-). Trochu jsem měl obavy jak budu řešit bez rozumné konektivity nějakou špatnou funkcionalitu projektu, ale naštěstí vše běhalo bez problémů. Byli jsme zapojeni za nějakým NATem, přístup ven byl jen k webu, dovnitř se nebylo možné spojit ani SSH tunely.
Po instalaci stánku i samotné aplikace firma pozvala celý výstavní tým na večeři do restaurace. Po celodenní práci to bodlo. Kručící žaludek se po náročném dni hlásil o slovo. Večeře se k mé smůle odehrála v Mexické restauraci, kde snad i obyčejný chleba byl ostrý. Já ostré opravdu nemusím, takže jsem se musel spokojit s chlebem :-) Výstava skončila dobře, ve vývoji se mohlo pokračovat. Na zpáteční cestě jsem udělal ještě jednu životní zkušenost - je zbytečné chodit k McDonaldovi, človek se tam stejně nenají :-)
Do provozu by celý systém byl v ČR nasazen nejprve v Ostravském uzlu komerční části sítě CESNET. Tato síť byla následně prodána Contactelu. Vzpomínám si na setkání nad celým clusterem spolu s novými, rychle najatými, obchodníky Contactelu. Celá sestava se tedy sestávala ze tří aplikačních serverů, jednoho management serveru, jednoho HP serveru s databází Oracle, směrovače, přepínače a load-balanceru. Tehdy chtěl dodavatel mít garantovány z dnešního pohledu směšné 2Mbps (linka do Contactel uzlu byla 8Mbps) a dokonce za to byl připraven zaplatit. Ale obchodníci Contactelu se nám smáli a říkali, že 2Mbps je moc a stejně nám to nikdo nenabídne. Nabídka přišla o měsíc později tehdy začínající GTS. Takže Contactel splakal nad výdělkem a sestava se přesunula na GTS. Já už od té doby neměl sestavu přímo pod rukama (tj. jedna síťová karta mého osobního PC nebyla zapojena do interní sítě clusteru :-) a vzrostly mi tak výrazně latence.
Ke konci roku jsme připravili přesun celého clusteru do sítě v Mnichově. Pro samotný přesun HW jsme připravili dva servery, které převzaly dočasně všechny důležité funkce. Všechno zařízení se naložilo do dodávky a odvezlo se do Mnichova. Do Mnichova jsme vyrazili s Karlem a šéfem projektu Honzou. Servery jsme vyložili, zprovoznili, synchronizovali a nakonec přepojili do ostrého provozu.
Návštěva ISP v Mnichově byla zajímavá. Žádné malé místnosti 5x5m, ale obrovské sály 50x30m, dlouhé chodby a velké monitorovací centrum, kde se mi podařilo se oficiálně v pozdních večerních hodinách navštívit a pokecat s operátory.
Projekt skončil podobně jako některé další v té době. Po asi třech letech firmě došly finance a projekt ukončila. I nějaké drobné nám tehdy nebyly vyplaceny, ale to vem čert. Ta atmosféra při vývoji byla obrovsky inspirující, zažít opravdu těsnou spolupraci celého týmu. To jsou věci, které člověk ocení.
Říká se, že když nejde hospodář na střechu, tak střecha jde k hospodáři. Zatím marně přemýšlím nad pěknou transpozicí tohoto přísloví do světa IT. A na toto přísloví jsem si vzpoměl, když jsem za poslední měsíc řešil dva technické problémy. Oba byly vyústěním dlouhodobého podceňovaní stavu IT.
I přes uvedené dva příklady si myslím, že outsourcing IT má na světě své místo. Ono nakonec je stejně všechno o samotných lidech a jejich přístupu, bez ohledu jsou-li přímo nebo nepřímo zaměstnaní.
Příběh první - server odolávající zubu času
Bylo nebylo, asi v roce 2003 mě kontaktoval jeden pán (řekněme Novák) z jedné IT firmy. Potřeboval pomoci se situací v jedné ne úplně malé společnosti, které zajišťují provoz IT. Hořekoval, že všichni úředníci stojí a čekají, až opět server pojede. Tak jsem se pustil do zjišťování stavu. Linuxový server s instalovanou Sambou najednou přestal jet. Při fyzické obhlídce jsem zjistil, že v rohu zastrčené obstarožní PCčko je plné prachu. Už si přesně nepamatuji na skutečný problém, ale vybavuje se mi, že to bylo pravděpodobně fsck, které se muselo při bootování OS spustit ručně. Některé datové disky byly formátovány na EXT2, některé na FAT. Na CDROMce ušetříme, tak u serveru být nemusí. Klasika. Zálohy už dávno nefungovaly. Heslo roota samozřejmě nikdo neměl. Zásadní problém a zprovoznění napraveno během nedlouhé chvíle. Patnáct úředníků jásalo, že může opět pracovat, dalších patnáct vzdychlo, že opět musí pracovat :-)
Schůzka s vedením společnosti byla zajímavá. Doporučil jsem, aby si koupili pořádný server s HW RAIDem. Tehdy to vycházelo tuším na cca 60-80 tisíc Kč. To však bylo v rozporu s plánovanými investicemi do IT. Ke konci roku si pan totiž ředitel kupuje za tuto částku nový notebook. A protože končí rok, tak v květnu by snad mohli dát něco dohromady.
Střih. Nacházíme se v roce 2010, počátek léta. Volá mi pan Novák, jestlipak si pamatuji na server v té společnosti. No jasně, já si pamatuji věcí... :-) "Tak ten server odešel. Asi disky." Přežil, chudák, v té konfiguraci dvoje či troje povodně, ale věkem sejdeme nakonec všichni. "Musíme s tím něco co nejrychleji udělat, firma musí šlapat!". Podařilo se mi obnovit datový svazek, ale samotný systém už ne. Takže jsem systém celý nainstaloval a zprovoznil. Firma se plácla přes kapsu a zcela nový 80GB disk (cena 1TB disku v r.2010 nedosahuje 2 tis. Kč - poznámka autora pro naše potomky) doplnila o vyřazené PCčko některého z úředníků. Firma se za těch pár let rozrostla. Síťaře nepotěší pohled na několik SOHO přepínačů zapojených do série, blikající všemi barvami v krásném prostředí husté kabeláže... Rytířovo srdce však začne bušit a klást si otázku - je v té zadrátované džungli nějaká Síťová Růženka? A server...? Ten se reinkarnoval. Jo, RAID... jasně, probereme to... A pokud neumřeli, tak to asi probírají dodnes.
Příběh druhý - dokud se směruje, ještě se neumřelo
Jako každou pohádku, tak i tuto začnu slovy bylo nebylo... Bylo nebylo, v jednom městě byla jedna nejmenovaná společnost, obchodující docela úspěšně na Internetu. A tuto společnost napadlo, že by měla zabezpečit svou síť, serverové služby, mít duální připojení, firewall... I pořídilo se příslušné technické vybavení. Příjemné bylo, že shodu na technickém vybavení a zejména na financích za toto vybavení, se podařilo najít poměrně rychle. To nebývá vždy pravidlem :-) Vše šlo přes firmu, která hodně IT věcí naší společnosti outsourcovala. Vše bylo nainstalováno, zprovozněno.
A po zhruba čtyřech-pěti letech se ozvala ona outsourcující firma s tím, že potřebují něco velmi naléhavě změnit (konkrétně IP adresy). Na celém řešení (dva směrovače, jeden Linux v pozici serveru) se po dobu jejich služby nic nového neudělalo a nic nestalo. A uptime 1260 dní potěší oko každého admina :-) Po jisté anabázi se mi na systémy podařilo přihlásit (kdeže se ztratila u firmy má odevzdaná dokumentace?). Změnily se nameservery, úplně se změnil čas (NTP nedosažitelné), špatně fungující resolving u web serverů... Hlavně, že to sype^H^H^H^Hjede!
Jeden směrovač firma zresetovala do továrního nastavení tak, že ho nedokázala zprovoznit. A tak ho raději odložila a nahradila starším modelem Linksys (hlavně, že to aspoň směruje!).
Změny se udělaly. Outsourcující firma dostála svým závazkům (vždyť se o to stará), klient je spokojen. Administrátora přeci nebudeme přeplácet, udělal jen to, co je třeba. A administrátor si říká, komu není rady, tomu není pomoci.
Závěr
A tak, milé děti, jako v každé pohádce, i zde skončilo všechno dobře... Vždy se najde nějaký rytíř, co zachrání princeznu před zlým drakem. Dobrou noc děti... :-)
A pro ty, co je ještě nespí, nabízím oblíbenou ukolébavku mého bývalého vedoucího kroužku kybernetiky Jardy Kroczka.
