Návrh kompletní struktury lokální sítě pro Gymnázium Zlín

Transkript

1 Mendelova zemědělská a lesnická univerzita v Brně Provozně ekonomická fakulta Návrh kompletní struktury lokální sítě pro Gymnázium Zlín Bakalářská práce Vedoucí práce: Ing. Ludmila Kunderová Petr Halamíček Brno 2006

2 volna strana pro zadani prace

3 Prohlašuji, že jsem tuto bakalářskou práci vyřešil samostatně s použitím literatury, kterou uvádím v seznamu. V Brně

4 Rád bych tímto poděkoval vedoucí bakalářské práce Ing. Ludmile Kunderové, za její cenné rady a připomínky při tvorbě práce a zapůjčení materiálů, odkud jsem čerpal potřebné informace. Dále bych rád poděkoval Ing. Patrikovi Serafinovičovi a Bc. Petrovi Dádákovi za rady a připomínky technického charakteru.

5 Abstract Halamíček Petr. Proposal of a complete structure of Local Area Network for the Secondary School Zlín. Bachelor Thesis This bachelor thesis presents a complete proposal of LAN structure for the Secondary School Zlín-Lesní čtvrť and contains the following chapters: Basic terminology of computer networks, which are an integral part of the infrastructure of school buildings, principles of designing of structured cable networks, their installation, configuration of services running on the server, passive and active elements, mutual interconnection and network safety. Abstrakt Halamíček Petr. Návrh kompletní struktury lokální sítě pro Gymnázium Zlín. Bakalářská práce. Brno, Tato bakalářská práce pojednává o kompletním návrhu struktury počítačové sítě pro Gymnázium Zlín, Lesní čtvrť. Vysvětlení základnách pojmů z oblasti počítačových sítí, jež se staly neodmyslitelnou součástí infrastruktury budov typu škola. Principy navrhování strukturované kabeláže, zahrnující pasivní a aktivní prvky sítě. V práci je řešen problém instalace kabelových rozvodů, pasivních i aktivních prvků, jejich vzájemné napojení. Tato práce popisuje instalaci s konfiguraci vybraných služeb běžících na serveru a řeší problém zabezpečení navrhnuté sítě. Práce je kompletním návrhem počítačové sítě a mohla by posloužit jako projektová dokumentace při budování této sítě. 5

6 Obsah OBSAH 1 Úvod a cíl práce Úvod Cíl práce Teoretický základ Síťové architektury Referenční model ISO/OSI Architektura TCP/IP Síťové technologie Základní pojmy Druhy sítí podle rozsahu Síťové topologie LAN Strukturovaná kabeláž Základní pojmy strukturované kabeláže Aplikační třídy Charakteristika kabeláže Kabely Použité kabeláží systémy Strukturovaná kabeláž Solarix Pasivní prvky Ethernet IEEE WIFI IEEE Záložní zdroj Použité aktivní prvky Server Internet Instalované programové vybavení na serveru Operační systém CentOS DHCP Přidělování IP adres DNS Proxy server - Squid Zabezpečení sítí Návrh sítě Popis pavilonu 1 dispoziční řešení Kabelové trasy Rozvaděč Osazení racku aktivními a pasivními prvky Propojení aktivních a pasivních prvku LAN Návaznost LAN na jiné objekty

7 OBSAH 3.5 Připojení k CESNET SW a HW návrhy počítačových sestav Počítač do kanceláří Počítač na výuku Počítač na výuku grafiky server Sun Fire V20z Zvolená HW konfigurace Instalovaný operační systém CentOS Technické údaje k připojení Konfigurace zabezpečení iptables Konfigurace DHCP serveru Konfigurace proxy serveru squid Rozpočet Závěr 58 5 Literatura 59 Přílohy 61 A Výpis serverových síťových rozhraní ifconfig 62 B DHCP server 63 C Iptables 64 D Obrázky 65 E Výkresy 67 7

8 1 Úvod a cíl práce 1 ÚVOD A CÍL PRÁCE 1.1 Úvod Počítačové sítě a Internet se dnes staly neodmyslitelnou součástí infrastruktury při budování nových budov. V budově typu škola, je nutnost vybudování dobré počítačově sítě řekl bych nutností a má velký vliv na kvalitu výuky ve škole, vědecko- -výzkumnou činnost a usnadnění práce pracovníkům. Síť bude používána při výuce, vědecko-výzkumné činnosti i na běžnou administrativu a agendu. Toto využití klade značné nároky na stav celé infrastruktury celé sítě. Důležitou součástí je dnes také pevné a kvalitní připojení do prostředí Internetu. Pokud získáme toto přiřit patřičným zabezpečení, oddělení celé vnitřní sítě od Internetu. Důležitá je i vnitřní bezpečnost a definování oprávnění ve vnitřní síti, kterou se chystám navrhnout. Vzhledem k zaměření mého středoškolského studia na počítačové sítě, jsem již tehdy pokládal za zajímavý úkol pokusit se naprojektovat nějakou větší počítačovou síť, například pro nějakou školu. Během svých studii jsem pracoval pro projekční firmu AP atelier, s. r. o, kde jsem pracoval jako pomocný kreslič v AutoCadu a dostal se tak k zajímavým zakázkám typu Gymnázium Lesní čtvrť, kde jsem například zakresloval návrh vybavení interiéru nábytkem. Již tehdy jsem se pokusil zakreslit si do výkresu můj návrh počítačové sítě. Při výběru tématu napsání Bakalářské práce, bylo tedy mé rozhodování jednoduché. Zvolil jsem si navrhnout počítačovou síť pro novostavbu a rekonstruované objekty Gymnázia Lesní čtvrť ve Zlíně. Navrhnout počítačovou síť (kabeláž, aktivní a pasivní prvky), navrhnout pracovní stanice a jejich software, navrhnout příslušné servery a jejich programové vybavení a navrhnout zabezpečení této sítě. Vzhledem k velkému rozsahu mé práce nebudu popisovat stávající stav, z několika důvodů, jedná se z velké části o novostavbu a tím pádem stávající počítačově rozvody vůbec neexistují nebo ve staré budově jsou malé počítačově sítě, vytvořené jen provizorně jako laboratoře. 1.2 Cíl práce Kompletní návrh strukturované kabeláže pro Gymnázium Lesní čtvrť ve Zlíně, tedy horizontální a vertikální rozvody, aktivní a pasivní prvky. Návrh pracovních stanic, serveru a jeho programového vybavení. Řešení problematiky zabezpečení navržené sítě. Navrhnout pasivní (racky, vedení kabeláže, horizontálními a vertikálními rozvody), aktivní prvky (switche, huby, routery), pro rozsáhlejší počítačovou síť. Měla být nejméně 100 Mb/s a páteřní spoje minimálně 1 Gb/s. Navrhnout jaké servery by škola měla zakoupit. Vybrat přiměřené servery k této síti, vhodný záložní zdroj UPC a způsob připojení do sítě. Dále navrhnout potřebný software, programy a služby, které budou nainstalovány na servery a popsat základní konfiguraci těchto programu. 8

9 1.2 Cíl práce Navrhnout hardwarovou softwarovou konfiguraci pracovní stanic, počítačů s přihlédnutím k hlediskům: cena, výkon, kvalita. Bude proveden návrh všech počítačů v síti. Tedy do každé učebny jinou, protože se bude v každé učebně učit nějaký jiný předmět (např. počítač na grafiku, počítač na výuku Unixu nebo na výuku Office). Vybrat operační systém. Dále připojení k vnější síti, tedy k Internetu. Navrhnout optimální připojení k počtu počítačů a zabezpečení tedy navrhnout konfiguraci firewallu. Popsat konfiguraci vybraných aplikací na serveru. Konkrétně způsob nakonfigurování proxy serveru (squid) a DHCP serveru. Vytvořit rozpočet pro použité komponenty sítě a navrhovaného hardwaru. 9

10 2 Teoretický základ 2 TEORETICKÝ ZÁKLAD 2.1 Síťové architektury Referenční model ISO/OSI Pro snadnější řešení velmi složitého úkolu přenosu dat v síti je počítačová síť rozdělena do několika vrstev, u nichž je přesně definován protokol spojení. Úkoly, které mají jednotlivé vrstvy na starosti, mohou být implementovány programovými objekty takového typu, jaký podporuje příslušný operační systém. Mohou to tedy být samostatné procesy, rezidentní programy popřípadě rutiny či podprogramy. Tyto programové objekty nazýváme entity. V každé vrstvě může být několik entit (pro různé varianty služby). Vazby jednotlivých entit různých vrstev se děje přes přechodové body (port, SAP Service Access Point). Každá entita komunikuje pouze se sousedními vrstvami, tj. využívá služeb vrstvy bezprostředně nižší, nebo poskytuje služby vrstvě bezprostředně vyšší. Komunikace pak vypadá tak, že vrstva vyšší předá nižší vrstvě data spolu s žádostí (popisem) o provedení služby. Ta si vezme pouze pokyny pro svou činnost a ostatní pokyny a data považuje za jeden společný balík dat. Obdobně nižší vrstva při předávání přibalí k datům pokyny pro vyšší vrstvu (o jaká data se jedná, odkud pochází, výsledek operace atd.). Dvě entity stejných vrstev u různých koncových nebo uzlových počítačů nemohou spolu přímo komunikovat. Výjimku tvoří fyzická vrstva, tj. nejnižší vrstva. 1. Aplikační vrstva (Application Layer) Je to sedmá nejvyšší vrstva architektury. Vrstva tvoří rozhraní k vlastnímu programu. Původně měla obsahovat vlastní aplikace, ale tyto byly z ní vytlačeny. V aplikační vrstvě zůstaly jen některé společné části aplikací a různé podpůrné služby ( , vzdálený přístup, terminálová emulace). Je to tedy nejvyšší vrstva starající se o přenos dat mezi dvěma aplikacemi. Z hlediska uživatele jde o spuštění aplikace ze serveru nebo o přenos souborů. 2. Prezentační vrstva (Prezentation Layer) Tato vrstva převádí formát dat do universální podoby přístupné pro celou síť. Jedna a táž posloupnost bitů, slabik nebo slov může pro příjemce znamenat něco jiného, než pro odesílatele. Zatímco nižší vrstvy mají za úkol doručit veškerá přenášená data přesně v takové podobě, v jaké byla vyslána, tato vrstva má za úkol zajistit, aby také znamenaly totéž. V praxi to obnáší například konverze čísel mezi různými formáty, převod znaků ASCII do kódu EBCDIC, kódování, komprimace, kryptografie a po přenosu zajišťuje zpětný převod. Slouží pro přenos pro aplikační vrstvu. Např. zajišťuje transformaci LF u Unixového vysílání na CRLF pro příjemce DOS. Je zodpovědná za komprimaci dat a za jejich kódování. 3. Relační vrstva (Session Layer) Také též spojovací vrstva. Tato vrstva má za úkol vedení dialogu mezi koncovými účastníky: navazování spojení, jeho udržování, synchronizaci a rušení, 10

11 2.1 Síťové architektury sdílení jednoho transportního spojení (o větší kapacitě) více relačními spojeními nebo naopak více současných transportních spojení pro jedno relační spojení a podobně. Zajišťuje také práva, hesla a omezení. Je to poslední vrstva nezávislá na konkrétním typu sítě a jejím transportním protokolu. 4. Transportní vrstva (Transport Layer) Zajišťuje vlastní přenos dat. Přijímá data z relační vrstvy, rozkládá je na pakety (nejmenší ucelená jednotka přenášených dat) a přenese paket při každém přístupu na síťovou vrstvu. Zabezpečuje, aby se celá zpráva dostala k příjemci správně, tedy zajišťuje spolehlivost. Zajišťuje tedy i opakování zprávy v případě chyby a její opětovné sestavení po přenosu. V rámci této vrstvy spolu přímo komunikují koncoví účastníci. Tedy tato vrstva řídí síťový provoz, dělí datové bloky podle transportního protokolu do paketů a hlídá, aby pakety byly kompletní, vysílány a přijímány ve správném pořadí. Tato vrstva je již závislá na hardware. Je zodpovědná za cílovou a vysílací adresu. 5. Síťová vrstva (Network Layer) Má za úkol doručit data (pakety) až k jeho koncovému příjemci. V praxi to znamená, že musí volit směr, respektive cestu přenosu tak, aby se data dostala přes různé mezilehlé uzly až k svému cíli. Původní představa referenčního modelu byla taková, že tato vrstva bude fungovat výhradně na spojovacím principu, a bude zajišťovat spolehlivý přenos. Tato vrstva tedy volí trasu podle adres odesilatele a příjemce, respektive mezi příjemce. Zajišťuje adresování a směrování dat v síti od zdroje k cíli přes několik mezilehlých prvků. Přenosová cesta se buď dynamicky mění při průchodu paketů jednotlivými prvky sítě (datagramová služba nespojově), nebo se na začátku spojení nejprve vytvoří virtuální cesta (spojově-orientovaná cesta). Na této vrstvě pracují například routery. 6. Linková vrstva (Data Link Layer) Úkolem vrstvy je zajistit bezchybný přenos dat mezi přímo propojenými (sousedními) stanicemi. Vytváří rámce (frames), které obsahují mimo vlastních přenášených informací i údaje pro adresování a zabezpečení proti chybám přenosu a údaj pro rozpoznání začátku rámce. Hlídá bezchybnost přenosu. U spolehlivého přenosu žádá o nové zaslání poškozeného paketu. Přidává adresu nejbližšího příjemce a kontrolní informace. 7. Fyzická vrstva (Physical Layer) Umožňuje přenos jednotlivých bitů komunikačním kanálem bez ohledu na jejich význam. Ve fyzické vrstvě jde o definici fyzických signálů používaných na reprezentaci logických 1 a logických 0. Vrstva předepisuje i vlastnosti přenosového média, charakteristiky signálu, rychlost přenosu, tvary konektorů. Na této vrstvě pracují repeatery, huby. 11

12 2.1 Síťové architektury Architektura TCP/IP TCP/IP byl vyvinut z protokolu NCP z projektu ARPA univerzit USA pro ministerstvo obrany USA. Jeho součástí se pak stal protokol IP určený pro WAN. Pak společnost povolila implementaci TCP/IP do Unixu. Model TCP/IP je nezávislý na přenosovém mediu a je určen jak pro WAN, tak i pro LAN, jak pro sériové linky, koaxiální kabely, tak i pro vysokorychlostní optické sítě. Model OSI sdružuje do 4 vrstev, které zachovávají funkce OSI. Filozofie TCP/IP (Transmission Control Protocol/Internet Protocol) předpokládá, že na nižších vrstvách jsou pouze nespolehlivé přenosové služby. Zajištění spolehlivosti dělají vyšší vrstvy a to jen při jejich vyžádání. Tento protokol je užíván v heterogenní síti (původně určené pro UNIX). 1. Aplikační vrstva (Application Layer) V této vrstvě jsou skutečně provozovány základní aplikace v rámci TCP/IP. Aplikační vrstva zajišťuje přenos a srozumitelnost zpráv. (OSI vrstvy 7 aplikační, 6 prezentační, 5 relační). Tato vrstva využívá služby: TELNET, FTP, SMTP, WWW, RIP, DNS, SSL (Secure Socket Layer standard pro šifrovaný provoz je protokol). SSL protokol má verze SSLv2, SSLv3 a TLS. Pracuje nad vrstvou TCP/IP a umožňuje činnost protokolům HTTPS, FTPS, SMTPS. 2. Transportní vrstva (Transport Layer) TCP protokol zajišťuje navázání spojení, zaručení celistvosti zprávy a ukončení spojení. Dále pokud to požaduje aplikace, tato vrstva pro ní zajistí spolehlivost, tj. změní nespolehlivý charakter síťové služby na spolehlivý. UDP User Datagram protokol je jen jednoduchou obálkou nad síťovou vrstvou. UDP nevyžaduje navázání spojení. Adresuje aplikace pomocí dvoubajtových portů. Adresace UDP je shodná s adresací TCP, ale každá má své vlastní číslování. Do jednoho portu na jedné IP adrese může vést několik spojení, pokud se liší identifikace druhého konce spojení. 3. Síťová vrstva (Internet Layer) IP protokol se snaží co nejrychleji doručit data (datagram) přes případné mezi uzly až k jejímu koncovému adresátovi tedy jejím úkolem je směrování. Proto nabízí pouze nespolehlivou přenosovou službu a to nespojovaného charakteru. Na této vrstvě pracují i jiné protokoly ICMP a na rozhraní se síťovou vrstvou jsou protokoly ARP, RARP. Dalším úkolem je vytváření datagramů. IP protokol je nespojovaný nespolehlivý protokol s částečnou detekcí chyb. Tato detekce se týká pouze kontrolního součtu hlavičky protokolu. ICMP Internet Control Message Protokol přenáší zprávy o chybách a řídící zprávy (např. příkaz Ping). Je pevnou částí protokolu IP (využívá služeb IP) a proto je také nespolehlivý a nespojovaný protokol. Pomocí ICMP lze zjišťovat propustnost a dostupnost sítě. ARP Address Resolution Protokol zabezpečuje pro IP fyzické adresy (MAC Medium Access Control) podle logické IP adresy. Proto ARP 12

13 2.2 Síťové technologie vyšle paket s logickou IP adresou všem uzlům, a ten, který ji u sebe najde předá zpět fyzickou adresu. RAPR Reverse ARP zjišťuje logickou adresu k fyzické (obdobně jako ARP). 4. Vrstva síťového rozhraní (Network Access Layer) Má za úkol zajistit přenos rámců (frame) mezi dvěma přímo propojenými počítači. V této vrstvě jsou definované metody přístupu na médium (od koaxiálního kabelu po optiku). Jelikož zde velmi záleží na konkrétní přenosové technologii (Ethernet, Token Ring a podobně), TCP/IP tuto vrstvu nijak blíže nespecifikuje (vrstvy 1 fyzická a vrstva 2 spojová-linková). Do této vrstvy patří adaptéry s ovladači. 2.2 Síťové technologie Základní pojmy Počítačová síť vytváří distribuovaný výpočetní systém. Tvoří ji: uzly číslicová zařízení, která umí pracovat s daty a procesy. Za servery označujeme ty stanice, které poskytují některé ze svých prostředků, například disky, tiskárny, do sítě. V síti může být i více serverů. Pracovní stanice (workstation) slouží přímo uživatelům a používají služeb sítě, nebo mohou pracovat samostatně. hrany komunikační prostředky. Jsou to hardwarové prvky umožňující propojení sítě. Rozlišujeme síťové desky, kabeláž, zesilovače, rozbočovače, přepínače, brány a mosty. síťový software souhrn softwarových prostředků zajišťující činnost sítě. Určuje vlastnosti sítě (rozsah služeb), zabezpečení, koncepce uložení dat a způsob práce v síti. organizační zabezpečení personální zajištění, provozní pravidla, pravidla pro přístup k síti. Počítačové sítě se zřizují pro: zvýšení spolehlivosti (zálohování v aplikačních systémech např. několik tiskáren), sdílený přístup k datům a programům, sdílený přístup k hardwarovým zařízení (tiskárny), dokonalejší ochrana dat, komunikace mezi uživateli (zasílání zpráv, dialog, pošta) Druhy sítí podle rozsahu AN (Access Network) zajišťují přístup koncových uživatelů k Internetu přes síť poskytovatele internetových služeb. 13

14 2.2 Síťové technologie LAN (Local Area Network) sítě rozkládající se na území podniku či kanceláře, rozsah cca do 1 km, většinou síť v rámci jedné organizace, obsahuje řádově desítky až stovky počítačů, zpravovaná jedním administrátorem či skupinou vzájemně spolupracujících administrátorů, příklad: počítačová síť ve škole. MAN (Metropolitan Arear Network) tyto sítě propojují LAN, jsou to území měst, obcí až do vzdálenosti 80 km. WAN (Wide Area Network) propojování MAN, LAN v rámci území státu, propojují městské LAN, tvoří páteřní vysokorychlostní spoje. Rozsah nad 1 km, spojuje jednotlivé LAN, obsahuje tisíce počítačů, spravovaná na sobě nezávislými skupinami administrátorů, příklad: Internet Síťové topologie LAN Topologie je pojem používaný pro popis způsobu připojení počítačů do sítě. fyzická: je dána způsobem fyzického propojení všech komponent sítě (pracovních stanic, serverů a speciálních komunikačních zařízení), definuje kabelové rozložení sítě, logická: definuje logické rozložení sítě, specifikuje jakým způsobem mezi sebou komunikují prvky v síti, a jak se přenášejí informace, nemusí být shodná s fyzickou topologií. 1. Topologie sběrnice Základním prvkem sběrnicové sítě je úsek přenosového média segment sběrnice. Jednotlivé uzly sítě jsou připojeny k tomuto spojovacímu vedení bez centrální nebo řídící stanice. Přenosovým médiem je nejčastěji koaxiální kabel nebo kroucený dvoudrát, u optických vláken je realizace odboček obtížná. Signál vyslaný do sítě se šíří ke všem účastníkům sítě. Způsob propojení je zřejmý a přidání nebo odehrání stanice ze sítě je snadné. Porucha jednoho uzlu sítě znamená výpadek pouze jednoho účastníka, ale síť může pracovat dále. Další výhodou je cena řešení. Mezi nevýhody patří: obtížná identifikace příčin závad, topologická omezenost počtu uzlů i vzdálenosti mezi nimi, vysoký počet odboček může způsobovat problémy v síti, vysoký počet připojených stanic může značně omezit využití sběrnice, přerušení sběrnice způsobí narušení komunikace v síti. 2. Topologie kruh Kruhová topologie se vyznačuje tím, že jednotlivé uzly sítě jsou propojeny přenosovými médiem do souvislého kruhu. Signál postupně prochází přes všechny propojené počítače. Zprávy se šíří předdefinovaným směrem od jednoho účastníka ke druhému. Když dojde k převzetí zprávy příjemcem, musí byt zprávy 14

15 2.3 Strukturovaná kabeláž odstraněny, aby trvale necirkulovaly. Výhodou je zaručená doba odezvy a regenerace zprávy každém uzlu. Nevýhodou je zhroucení při přerušení kruhu nebo při poruše uzlu. Při poruše stanice je třeba zajistit automatické překlenutí. 3. Topologie hvězda Ve středu hvězdicové sítě působí centrální uzel, k němuž se připojují všechny ostatní uzly sítě přes dvojici dvoubodových spojů, které jsou zpravidla realizovány vodičem typu kroucený dvoudrát. Síť je méně náchylná k poruchám kabelů a souvisejícím výpadkům, ale je velmi citlivá na poruchu uzlu centrálního. Centrálním uzlem může být buď HUB nebo switch. 4. Topologie strom Podobně jako sběrnicová, topologie používá stromová topologie sdílené přenosové médium. Středem topologie je řídící počítač označovány jako kořen. Přenosové médium představuje větvící se kabel, zpravidla twist. Pro přenos zpráv se využívají většinou u každé stanice dva kanály, pro přenos od kořene k dané stanici a pro přenos od stanice ke kořeni. Komunikace je vedena vždy přes kořen a pokud dojde k jeho havárii, znamená to výpadek celé sítě. Výpadek uzlu způsobí výpadek celého podstromu sítě. K výhodám sítě patří snadná rozšiřitelnost. 2.3 Strukturovaná kabeláž Kabeláž tvoří důležitou nezanedbatelnou finanční položku při vytváření sítě. Proto je potřeba typ kabeláže dobře zvážit i s ohledem na perspektivu podniku, technologií sítí a na finanční možnosti. Strukturovaná kabeláž je jedna položka ze souboru inženýrských sítí, kam patří také rozvod vody, kanalizace, plyn, elektřina. Strukturovaná kabeláž nezávisí na použitém komunikačním protokolu. Provedení může být na omítce, v lištách spolu s telefonními rozvody, pod omítkou apod., neboť strukturovaná kabeláž si klade za cíl přenášet jedním druhem kabelu veškeré potřebné informace. V případě kabelových spojů (ne bezdrátových) je potřeba také uvažovat o typech konektorů. Strukturovaná kabeláž má charakter nadčasového řešení, které se snaží respektovat: možné budoucí změny při minimalizaci dalších nákladů, možnost decentralizace systému, dlouhodobost (životnost morální i fyzická 10 až 15 let), vysoké rychlosti, možnost připojení nových HW technologií. Je universální pro použití definovaných protokolů přenosu dat, hlasu a videosignálu. Rozdělení a popis vlastností je dán normami: EIA/TIA568A americká norma, ISO/IEC IS 11801:2002 mezinárodní norma od r. 1995, do níž patří i CTSE Communication Transport System Europe universální kabelový 15

16 2.3 Strukturovaná kabeláž systém vytvářející prostředí pro přenos dat, hlasu a obrazu, splňující kategorii 5E. EN :2002 evropská norma skupiny CENELEC. Při realizaci sítě by měly být dodrženy tyto body: maximální ohyb kabelu 90, zátěž kabelu tahem max. silou 10 kg (může se roztáhnou twistování), na kabelu nesmí být smyčky, stahovací pásky nesmí být příliš utaženy, kabel v lištách volněji (nevypínat), při nacvakování konektorů RJ-45 se nesmí odizolovat více než 13 mm kabelu Základní pojmy strukturované kabeláže Centrální rozvaděč je místo případného připojení sítě na vnější síť. Po areálu pak pokračuje areálový rozvod, zpravidla optické rozvody. Páteřní kabeláž areálu Maximální délka je m bez ohledu na druh kabeláže. Pro páteřní podsystémy jsou doporučeny mnohovidové i jednovidové optické kabely. Preferovány jsou kabely s mnohovidovými vlákny 62,5/125 µ s 4 až 24 vlákny. Lze použít i twisty s přenosovou rychlostí 1 Gb/s, případně 100 Mb/s. Hlavní rozvaděč Propojuje páteřní rozvody budovy s areálovým rozvodem. Páteřní kabeláž budovy maximální délka je 500 m bez ohledu na druh kabeláže. Vzdálenost k zařízením napojených na distribuční uzly nesmí být delší než 20 m. Mezilehlý rozvaděč je místo zakončení všech kabelů jednoho uzlu horizontální kabeláže a propojení s páteřní kabeláží budovy. Horizontální kabeláž Horizontal cabling je kabelový rozvod spojující koncové zásuvky a mezilehlý rozvaděč. Maximální délka je 100 m bez ohledu na druh kabeláže. Vzdálenost k zařízením napojených na distribuční uzly nesmí být delší než 10 m. U horizontální kabeláže jsou preferovány 4 párové měděné symetrické kabely (twisty) UTP/FTP/STP, nebo optické kabely s mnohovidovými vlákny 62,5/125 µ nebo starší a lacinější 50/125 µ. Kabel horizontálního rozvodu může být přerušen zásuvkou pouze jedenkrát. Doporučení: Pro horizontální rozvody jsou doporučeny kabely se 4 twisty 100 ohmů s konektory RJ-45, to je kategorie 5e. UTP jsou buď nestíněné a STP jsou stíněné twisty. Výhodou stíněných je vyšší odolnost proti elmag rušení, ale za cenu vyšších nákladů. 16

17 2.3 Strukturovaná kabeláž Obecně pro tyto rozvody se používají nejlevnější kabely, neboť tyto rozvody jsou na metráž nejdelší. Pracovní místo (working area) je standardy definováno jako objekt, kde je ke kabeláži přípojným kabelem z individuální nebo hromadné zásuvky připojeno koncové zařízení. Pracovní místo je podle standardu, prostor o ploše 9 až 10 m 2, na který musí být 2 zásuvky RJ-45, připojené 4 nebo 2 párovým kabelem. Další alternativa je 1 zásuvka RJ-45 a optická ST nebo SC. Podle normy ISO Aplikační třídy Jednou z nejdůležitějších částí normy je specifikace linky, přenosové cesty, zahrnující pasivní části kabelu, pasivní propojovací prvky a propojovací šňůry. Výkon linky je stanoven na jejím rozhraní. V normách jsou definovány aplikační třídy A až D pro kabeláž s měděnými vodiči i s optickými vlákny. Kritériem pro rozdělení jsou maximální frekvence přenosu. Třída A do 100 khz je určená pro protokoly s nízkou rychlostí (směrové signály, přenos hlasu). Třída B do 1 MHz je určena pro střední rychlosti (ISDN base terminál), Třída C do 16 MHz pro vysoké rychlosti (Token Ring, Ethernet a protokoly se speciálním kódováním 100VG ANYLan). Třída D je pro frekvenci 100 Mb/s (MHz) pro velmi vysoké rychlosti (TPPMD, 100 BaseVG, ATM, 100BaseTX). Třída E do 622 MHz. Součástí norem jsou i maximální délky přenosového kanálu podle druhu přenosového média. Pro charakterizování kabeláže jsou uvedeny tyto parametry: Útlum (attenuation) v db, pro měděné i optické kabely. Přeslech na blízkém konci NEXT v db. Měří se pouze mezi vysílacím a přijímacím párem na straně vysílače. Poměr ztrát mezi útlumem a přeslechem ACR attenuation to crosstalk ratio opět v db Charakteristika kabeláže Pro kabely a pasivní díly jsou stanoveny jak mechanické, tak i přenosové požadavky. Kabely jsou definovány jako nerozebíratelné prvky, to je tedy i s koncovkami (obvykle prořezání izolace pro koncovku, navaření koncovek a podobně). Pro nejčastější kabeláž o impedanci 100 ohmů se předpokládá využití zásuvky obsahující celkem osm pozic, ke kterým jsou jednotlivé páry jednoznačně přiřazeny (čtyři twisty v kabelu). U třídy D nesmí být twist rozmotán na délce větší než 13 mm. Kabely s měděnými vodiči jsou rozděleny: Kategorie 3 pro frekvenci do 16 MHz a 10 Mb/s. 17

18 2.3 Strukturovaná kabeláž Kategorie 4 pro frekvenci do 20 MHz a 16 Mb/s Token Ring. Kategorie 5 pro frekvenci do 100 MHz a 100 Mb/s (4 kroucené páry, twist). Kategorie 5E pro frekvenci do 100 MHz IEEE802. 3ab 4 kroucené páry twist. Kategorie 6 pro frekvenci do 200 MHz a 10 Gb/s. Kategorie 7 nespecifikována, 600 MHz Kabely U kabelů s větším počtem twistů musí jednotlivé páry sloužit stejným službám (všechny linky musí pracovat ve stejném spektru). Proto u páteřních rozvodů se pro každou službu pokládají zvláštní kabely (telefon, data). UTP symetrické twisty s 100 (preferováno), 120 a 150ohmovou impedancí, odolné proti rušení. Kabely jsou opatřovány konektory RJ-45. Plastová folie kolem všech páru, PE izolace, PVC plášť do 60 V, 100 MHz. Impedance 100 ohm ± 20 ohm, kapacita 55 pf/m, útlum 25 db/100 m. FTP jsou kabely se čtyřmi nebo více páry a tyto jsou dohromady stíněné po obvodě hliníkovou fólií. Pod fólií je sběrný pásek (vodič, který v případě porušení fólie zajistí propojení přerušených částí. STP jsou kabely, kde každý twist je stíněn a navíc je celek stíněn obvodovou fólií. Podobně jako FTP je vybaven sběrným páskem. Každý pár s vodícím CuSn drátkem a odstíněn hliníkovou folií. Konektor DB-9. Koaxiální kabel dnes už ne moc často využíván jako spojovací médium, nevyhovuje strukturované kabeláži. Propojování je pomocí BNC konektorů. Mezi výhody patří nízké pořizovací náklady. Výhodou je také odolnost proti rušení. Používají se zásuvky EAD a kabely EAD jako přípojky k počítačům. EAD umožňuje nerušenou funkci sítě při odpojování a připojování počítače. Optické kabely Optické kabely jsou naprosto odolné vůči elektromagnetickému rušení, využívají se pro překlenutí delších vzdáleností. Dále jsou bezpečné s hlediska zabezpečení dat. Jsou tvořena tenkými skleněnými nebo plastovými vlákny uloženými v ochranném obalu. Plastová vlákna mají horší parametry. Rozlišujeme: jednovidová vlákna, která jsou určena pro jednu frekvenci, a která mají lepší přenosové parametry, používají se na větší vzdálenosti ale jsou podstatně dražší, využívá světelných diod pro generování světelného paprsku, velmi tenké vlákno pro úzký paprsek světla z laseru. Vysoká přenosová kapacita, mnohovidová vlákna pro pásma 62, 5 až 1200 nm nebo 200 až 1500 nm, využívá světelné diody pro generování světla, paprsek vniká do jádra optického vlákna tak, že úhel dopadu paprsku s osou jádra je nenulový a dochází při jeho cestě optickým vláknem k odrazům od okrajů jádra kratší vzdálenosti. Optická vlákna jsou buzena diodovými lasery, popř. i LED umístěnými v aktivním zařízení. Pro obousměrný duplexní provoz musí být pokládány ve dvojicích. Nevýhodou optických kabelů jsou vysoké ceny. 18

19 2.4 Použité kabeláží systémy Strukturovaná kabeláž Solarix 2.4 Použité kabeláží systémy Solarix je systém strukturované kabeláže, který nabízí kompletní řešení pro budování pasivních částí počítačových sítí. Vyznačuje se především vynikajícím výkonem, spolehlivostí, jednoduchou instalací a také dobrou cenou. Díky svým vlastnostem a šířce nabízených komponentů je Solarix určen pro všechny velikosti a typy sítí: malé, střední nebo velké instalace, ve stíněném i nestíněném provedení. (Radkovský, 2006) Výkon a kvalita Všechny komponenty systému Solarix jsou navrženy tak, aby poskytovaly maximální výkon a splňovaly, nebo dokonce převyšovaly, požadavky definované v mezinárodních standardech pro strukturovanou kabeláž. Systém Solarix rovněž nabízí komponenty, které reagují na nejnovější trendy v oblasti počítačových sítí například stíněné kabely kategorie 6a a kategorie 7 již nyní podporují nově vznikající standard 10GBaseT. Kvalitu a vynikající výkonové parametry strukturované kabeláže Solarix potvrzuje získání certifikátu celosvětově uznávané testovací laboratoře Third Party Testing (3P), certifikátu Českého telekomunikačního úřadu (ČTÚ) a především více než 300 certifikovaných a již dlouhé roky spolehlivě fungujících instalací po celé České republice a na Slovensku. Solarix kategorie 5e Komponenty produktové skupiny Solarix kategorie 5e jsou kvalitní komponenty strukturované kabeláže, které tvoří ucelené řešení pro návrh a instalaci pasivních částí počítačových sítí. Celá řada Solarix kategorie 5e je vyrobena tak, aby poskytovala vysokou spolehlivost, maximální funkčnost a umožňovala jednoduchou instalaci. Do skupiny produktů Solarix kategorie 5e patří stíněné a nestíněné patch panely, zásuvky, kabely a patch kabely. Všechny tyto komponenty splňují a také převyšují požadavky specifikované v mezinárodních standardech TIA/EIA 568, EN 50173, ISO 11801, a to včetně všech nejnovějších dodatků pro kategorii 5e. Díky těmto vlastnostem umožňují produkty Solarix kategorie 5e provoz i těch nejnáročnějších protokolů určených pro strukturovanou kabeláž (např. Gigabit Ethernet). Na všechny komponenty Solarix kategorie 5e je poskytována standardní záruka 5 let a v případě registrované instalace dokonce 20 let. Vlastnosti produktové řady Solarix kategorie 5e: Splňuje a rovněž převyšuje požadavky podle TIA/EIA 568B. 1, EN : 2002 a ISO 11801: Vysoká spolehlivost všech komponentů. Vynikající přenosové vlastnosti. Maximální funkčnost. Jednoduchá instalace. Všechny komponenty podporují 1000BaseT (Gigabit Ethernet). 19

20 2.4 Použité kabeláží systémy Pasivní prvky Instalační kabel Solarix CAT5e UTP PVC 1000 m/špulka SXKD-5E-UTP-PVC tento instalační kabel je spolehlivou součástí produktové řady Solarix kategorie 5e. Společně s ostatními komponenty systému strukturované kabeláže Solarix vytváří řešení, které zaručuje dlouhou životnost, maximální výkon a bezproblémový chod počítačové sítě. Instalační kabel Solarix kategorie 5e je určený pro horizontální rozvody a bez problémů splňuje požadavky definované v mezinárodních standardech TIA/EIA 568, EN a ISO pro kategorii 5e a je proto vhodný i pro provoz těch nejnáročnějších protokolů určených pro strukturovanou kabeláž Gigabit Ethernet (Elektornický katalog..., 2006). Instalační kabel Solarix CAT6 UTP PVC 50 0m/špulka SXKD-6-UTP-PVC instalační kabel Solarix kategorie 6 je vysoce kvalitní kabel určený pro horizontální rozvody strukturované kabeláže, který splňuje a rovněž převyšuje požadavky specifikované v mezinárodních standardech TIA/EIA 568, EN a ISO pro kategorii 6. Vodiče kabelu jsou vyrobeny z velmi kvalitního měděného drátu o velikosti AWG 23, v případě nestíněné verze kabelu kategorie 6 jsou jednotlivé páry odděleny plastovým křížem. Kabel Solarix kategorie 6 je vhodný pro provoz i těch nejnáročnějších protokolů, které jsou určeny pro metalická vedení a rovněž pro nově vznikající vysokorychlostní protokol 10GBaseT, který nebude možné plnohodnotně provozovat na všech typech metalických kabelů (tj. s kabelem kategorie 5e se pro tento protokol nepočítá a současné UTP kabely kategorie 6 budou omezeny maximální délkou 55 m (Elektornický katalog..., 2006). Zásuvka Solarix CAT5e UTP 2 RJ-45 pod omítku bílá SX288-5E-UTP-WH zásuvka Solarix SX288 je osazena dvěma porty typu RJ-45 se sklonem 45 a je určena k instalaci pod omítku. Je nabízena jak v nestíněném, tak i ve stíněném provedení. Datový kabel se zařezává do IDC svorkovnice typu 110, která je označena barevným schématem podle typu zapojení, a to buď podle standardu T568A, nebo T568B. Tato kompaktní zásuvka s velmi hezkým designem a pevným provedením bez problémů splňuje všechny parametry definované v mezinárodních normách TIA/EIA 568, EN a ISO pro kategorii 5e. Zásuvky SX288 nabízí skvělý výkon, vysokou spolehlivost a velmi jednoduchou instalaci. Součástí balení jsou plastové štítky modré a červené barvy, které slouží k označení jednotlivých portů. Barva zásuvky je bílá. (Elektornický katalog..., 2006) Zásuvka Solarix CAT5e UTP 1 RJ-45 pod omítku bílá SX108-5E-UTP-WH stejný popis jako zásuvka výše, ale jednoportová (Elektornický katalog..., 2006). Zásuvka Solarix CAT5e/6 UTP 2 RJ-45 pod omítku bílá SX9-5E-UTP-WH stejný popis jako zásuvka výše, ale jednoportová a spl- 20

21 2.4 Použité kabeláží systémy ňující standardy TIA/EIA 568, EN a ISO včetně všech aktualizací pro kategorii 5E/6. Jsou osazeny dvěma porty typu RJ-45 se sklonem 45. Vodiče o velikosti AWG se zařezávají do IDC svorkovnice typu Krone. Kontakty jsou na svorkovnici označeny barevným schématem podle typu zapojení a to buď podle standardu T568A nebo T568B. Zásuvky SX9 systému Solarix kategorie 5E jsou dostupné jak v nestíněné, tak stíněné verzi. Zásuvky jsou určeny k instalaci pod omítku nebo do podlahových krabic. Barva zásuvky i boxu je bílá (Elektornický katalog..., 2006). Patch panel Solarix RJ-45 přímý CAT5e UTP nestíněné přímé patch panely produktové řady Solarix kategorie 5e jsou osazeny moduly, jejichž osy jsou kolmé k ose čela panelu. Tyto patch panely jsou dodávány v provedení 12, 24 a 48 portů RJ-45 a jsou osazeny moduly s duální IDC svorkovnicí typu 110/Krone tj. k zařezání lze použít nástroj typu 110 i Krone. Každý kontakt je na této svorkovnici z důvodu snadného zakončení kabelu označen barvami podle typu zapojení, a to buď podle standardu T568A, nebo T568B. Tyto komponenty strukturované kabeláže Solarix jsou vyrobeny tak, aby zaručovaly dlouhou životnost, vynikající funkčnost a především spolehlivost. Nestíněné patch panely Solarix kategorie 5e splňují a rovněž převyšují požadavky na komponenty kategorie 5e definované v mezinárodních normách TIA/EIA 568, EN a ISO Standardní barva patch panelů i modulů je černá. Pro lepší orientaci lze dodat panely s barevnými moduly. Velikost v datovém rozvaděči je v případě 12 a 24 portového provedení 1U a v případě panelu se 48 porty 2U (Elektornický katalog..., 2006). Patch panel Solarix 24 RJ-45 CAT6 UTP 350 MHz černý 1U SX24-6-UTP-BK Solarix CAT6 UTP patch panel je vysoce kvalitní panel kategorie 6, který splňuje požadavky na komponenty této kategorie definované ve standardech TIA/EIA 568, EN a ISO včetně všech nejnovějších aktualizací. Tento panel je testován pro šířku pásma až do 350 MHz, čímž převyšuje požadavky specifikované pro kategorii 6. Panel je dodáván ve verzi s 24 porty RJ-45 a je osazen moduly s IDC svorkovnicí 110. Kontakty jsou na svorkovnici z důvodu snadného zakončení datového kabelu označeny jednotlivými barvami podle typu zapojení a to buď podle standardu T568A nebo T568B. Panel SX24-6-UTP-BK patří do skupiny komponentů systému Solarix kategorie 6 a stejně jako všechny komponenty v této produktové řadě je vyroben tak, aby poskytoval maximální životnost, vynikající výkon, spolehlivost a především jednoduchou instalaci. K panelu lze rovněž dokoupit vyvazovací lištu SMB-350, která umožňuje přehledné vyvázání datového kabelu. Tato lišta se připojuje na zadní stranu těla panelu. Barva Solarix patch panelu kategorie 6 je černá; velikost v datovém rozvaděči je 1U (Elektornický katalog..., 2006). Rack SERV LC06 42U mm 19 serverové rozváděče jsou díky perforaci zadního krytu vhodné k instalaci serverů, ale instalovány mohou být i jiné 19 komponenty. Perforovaný kryt napomáhá lepšímu proudění vzduchu 21

22 2.5 Ethernet IEEE mezi vnitřkem rozváděče a vnějším prostředím. Jedná se o zařízení určené pro instalaci prvků datových a telekomunikačních rozvodů. Konstrukce rozváděče umožňuje jednoduché spojení dvou a více skříní do sestav. Povrchová úprava je provedena práškovou technologií pro vnitřní prostředí (Elektornický katalog..., 2006). 2.5 Ethernet IEEE V dnešní době je dominantní technologií. Specifikuje metodu řízení přístupu k přenosovému médiu LAN CSMA/CD. Stanice, která během vyláni zjistí kolizi na médiu, přeruší vysílaní rámce a odešle speciální posloupnost (jam). Tato posloupnost je navržena tak, aby vyvolala indikaci kolize i u ostatních stanic. V současnosti se používají standarty: 100Base-Fx jako přenosové médium používá multimodový optický kabel, ale existuje i modifikace používající singlemodový optický kabel s větším dosahem, délka kabelu mezi uzly může být v plně duplexním provozu max. 2 km. 100Base-Tx Přenosovým médiem je zde stíněný či nestíněný (s využitím dvou párů) kroucený dvoupár s impedancí 100 ohm (min. Cat 5), délka mezi uzly je maximálně 100 metrů, nosná frekvence je 125 MHz. 100Base-T4 opět přenosovým médiem kroucený dvoupár (stíněný nebo nestíněný) s impedancí 100 ohm, délka segmentu mezi uzly může být max. 100 metrů. Využívá všechny 4 páry kabelu, signál se přenáší třemi páry s nosnou frekvencí 25 MHz a čtvrtý je pro detekci kolizí. 1000Base-X je založen na fyzické vrstvě specifikace Fibre Channel, která má pětivrstvou architekturu. Jsou zde specifikována tři přenosová média: 1000Base-SX 850 nm laser pro mnohavidová vlákna. 1000Base-LX 1300 nm laser pro jednobodová a mnohavidová vlákna. 1000Base-CX pro stíněné kabely twinax. 1000Base-T přenos na metalickém vedení typu UTP (100 ohm) Token Ring (leee ) FDDI (Fibre Distributed Data Interface) FDDI je velice rychlá lokální síť, která používá jako přenosové médium vláknovou optiku a jako protokol přístupu k přenosovému médiu kruh řizený příznakem oprávnění. Kabely FDDI jsou položeny tak, že vytvářejí dva kruhy, jedním se vysilá ve směru hodinových ručiček a druhým naopak. Jestliže se jeden z nich přeruší, druhý lze použít jako záložní. Pokud se přeruší oba kabely ve stejném bodě, lze oba kruhy spojit do jednoho. 2.6 WIFI IEEE Samotný název WiFi vytvořilo WECA (Wireless Ethernet Compatibility Alliance) a v principu jde o bezdrátovou technologii v bezlicenčním nekoordinovaném pásmu 2,4 GHz (ISM Industry, Science, Medical), založenou na protokolu b. Většina 22

23 2.7 Záložní zdroj sítí založených na WiFi funguje na buňkovém principu, kdy centrální přístupový bod zprostředkovává připojení všem stanicím v dosahu analogicky s GSM sítí. Propojení těchto přístupových bodů je řešeno různě nejlevněji vychází spojit je stejnou technologií (po lokální kabelové ethernet síti nebo dokonce přenášet i sdílená data vzduchem), druhý extrém představuje vyhrazené optické vlákno. 2.7 Záložní zdroj APC Smart-UPS 3 000VA RM 2U Smart-UPS 3000VA ve stojanovem provedeni lze při zachování všech výhod a předností řady Smart montovat do standardních 19 racků, přičemž výška jednotlivých modelů je 2U.(APC... ) Technická specifikace: Kapacita: VA/2 700 W. Technologie: line-interaktivní. Nominální výstupní napětí: 230 V. Výstupní napětí: sinusový výstup. Chlazení: žádné speciální požadavky. Přívodní zástrčka: IEC 320 C20. Komunikační rozhraní: RS 232, USB, SmartSlot. Typická nabíjecí doba: 5, 5 minuty (2 700 W), 13, 6 minuty (1 350 W). Baterie: uživatelem za provozu vyměnitelné, olověné, bezúdržbové akumulátory. Racková výška 2U. 2.8 Použité aktivní prvky Bezpečnostní technologie CISCO Cisco StackWise stohovací propojení s propustností 32 Gbps Tato technologie byla vyvinuta pro stohování gigabitových přepínačů při zachování odolnosti a výkonnosti přepínacího systému. Technologie StackWise umožňuje pomocí speciálních kabelů propojit až devět zařízení řady Catalyst v jeden logický přepínač. Celý stoh se chová jako jeden přepínací systém a je řízen přes master switch, který je zvolen z členů stohu. Master switch automaticky vytváří a aktualizuje všechny přepínací a případně i směrovací tabulky. Toto stohování umožňuje přidávat a odebírat switche bez přerušení provozu. Port Security seznam oprávněných MAC adres na portu Cisco podporuje vytváření seznamu oprávněných MAC, jež mohou použít pro připojení pouze konkrétní port. Rozšířenou možností je definice filtrů (ACL) na MAC adresy. Ovšem možností produktů Catalyst je dnes podstatně více než pouhé omezování na MAC. Omezení množství MAC adres na portu. Doplňkovou vlastností je omezení množství MAC adres za portem. Pokud se na portu vyskytne větší množství MAC adres, jsou adresy nad rámec definovaného množství ignorovány. 23

24 2.8 Použité aktivní prvky Toto je ochrana před zahlcením FDB (CAM) tabulek přepínačů falešnými MAC adresami. DHCP Snooping zabraňuje možnosti výskytu jiných než oprávněných DHCP serverů. Představme si situaci, kdy někdo připojil do sítě špatně nakonfigurovaný směrovač nebo access point, který má zapnutou službu DHCP serveru, případně z neznalosti nebo zlého úmyslu zapnul službu DHCP serveru na svém PC. Je malér. Pokud tento nevítaný DHCP server generuje IP adresy ze sítě, v níž je připojen, může docházet k duplicitám IP adres. Pokud přiděluje IP adresy z jiné sítě, může docházet k tomu, že uživatelé nebudou moci komunikovat v rámci LAN (dostanou IP adresu z jiného subnetu). DHCP snooping tabulka obsahuje MAC adresu, IP adresu, čas pronájmu adresy, typ propojení, číslo VLAN a informace o interface, které mají vztah k lokálnímu nedůvěryhodnému interface na přepínači. Neobsahuje informace o uzlech připojených na důvěryhodné interface. Nedůvěryhodný interface je ten, za nímž není (neměl by být) DHCP server. Dynamic ARP Inspection Dynamic ARP Inspection (DAI) je bezpečnostní vlastnost, která kontroluje výskyt ARP paketů v síti. DAI umožňuje správci sítě logovat a rušit ARP pakety s invalidní MAC adresou a zabránit tak rozlišení IP adresy. Cílem je zabránit útoku typu man-in-the-middle. IP Source Guard podobně jako v případě DHCP snooping, je tato vlastnost aktivována na nedůvěryhodných portech. Pro správnou funkci by měla být aktivována společně s funkcí DHCP snooping. Pokud není funkce IP Source Guard použita společně s DHCP snooping, lze použít statické mapování IP adresy na interface a VLAN. V první fázi je veškerý IP provoz na portu, s výjimkou DHCP paketů blokován. DHCP pakety jsou zachyceny procesem DHCP snooping. Když klient od DHCP serveru obdrží platnou IP adresu, je na portu aktivován PVACL (per-port and VLAN Access Control List), který zajistí omezení IP provozu pouze na klienty, jež mají přidělenou důvěryhodnou adresu. Provoz jdoucí do portu s jinou zdrojovou IP adresou než je důvěryhodná adresa je odfiltrován. Tato funkce zabraňuje útoku na síť převzetím IP adresy (volné nebo přidělené jinému uživateli). Subscriber security zajišťuje vzájemné zabezpečení mezi jednotlivými porty Cisco aktivní prvky 1. Cisco WS-C TC-L (48 10/100, 2 10/100/1000, 2 SFP, Gig.) Switch s Inline napájením (IP tel, WLAN Access Pointy) na všech 48, 10/100 portech (Layer 2/3 omezeně/4) /100Base-TX, 2 10/100/1000 a 2 slot pro SFP moduly. Jedná se o wire speed switch (neblokované přepínaní) 17,6 Gbps přepínací matice, přenosová kapacita 13, 1 mil. pps (pro 64 B rámce). Inline napájení: max. 15,4 W na 10/100Base-TX portě pro 24 portů, 24

25 2.9 Server max. 7,7 W pro 48 portů nebo kombinaceip routing (Layer 3): static, RIPv1 a RIPv2. Až VLAN dle Q. Bezpečnost: ACL (Access Lists), x (autentizace), port security, Dynamic Host Configuration Protocol (DHCP) MAC address notification. Management: konzola, Telnet, SSH (Secure Shell), SNMP v3/rmon. Rozšířený Layer 3 routing (OSPF, IGRP, EIGRP, BGPv4). Velikost 1RU. Všechny verze umožňují redundantní napájení pomocí Cisco RPS 675.(Autocont, 2006c) 2. Cisco WS-C3750G-12S-SD (12 SFP) Řada multilayer přepínačů (Layer 2/3/4) Catalyst s 32 Gb/s propustností stohu (Cisco StackWise). Switch (Layer 2/3/4) 12 slot pro SFP moduly. Velikost 1RU. Jedná se o wire speed switch (neblokované přepínaní) 32 Gbps přepínací matice, přenosová kapacita 17, 9 mil. pps (pro 64 B rámce). Vlastnosti: IP routing (Layer 3): static, RIPv1 a RIPv2 pouze, dynamic IP unicast routing, smart multicast routing, OSPF, IGRP, EIGRP, BGP v4. CoS (802. 1p) a DiffServ (MAC nebo IP adresa, TCP a UDP port), až VLAN dle Q. DVMRPStohování: Cisco StackWise (32 Gb/s, až 9 switchů max /100 portů nebo /100/1000 portů). Management: konzola, Telnet, SNMP v3/rmon a web (CMS software), SSH, TFTP. Všechny verze umožňují redundantní napájení pomocí Cisco RPS.(Autocont, 2006a) 3. Cisco WS-C3750G-24TS-E1U (24 10/100/1000,4 SFP) Řada multilayer přepínačů (Layer 2/3/4) Catalyst s 32 Gb/s propustností stohu (Cisco StackWise). Switch s Inline napájením (IP tel, WLAN Access Pointy) na všech 10/100/1000 p. (Layer 2/3/4) 24 10/100/1000Base-T a 4 slot pro SFP moduly. Velikost 1RU. Částečně Wire speed switch 64 Gbps přepínací matice, přenosová kapacita 38, 7 mil. pps (pro 64 B rámce). Inline napájení: max. 15, 4 W na všech 10/100/1000Base-T portech zároveň. IP routing (Layer 3): static, RIPv1 a RIPv2, dynamic IP unicast routing, smart multicast routing, OSPF, IGRP, EIGRP, BGP v4. Až VLAN dle Q, DHCP, Rapid Spanning Tree Protocol dle w. Cisco StackWise (32 Gb/s, až 9 switchů max /100 portů nebo /100/1000 portů) součástí je kabel CAB-STACK-50CM. Management: konzola, Telnet, SNMP v3/rmon a web (CMS software), SSH, TFTP. Všechny verze umožňují redundantní napájení pomocí Cisco RPS 675.(Autocont, 2006b) 2.9 Server Sun Fire V20z Server Sun Fire V20z nabízí vysokou hustotu CPU s faktorem 1-RU. Server Sun Fire V20z je založen na procesorech AMD Opteron s duálním či jednoduchým jádrem a technologie HyperTransport společnosti AMD je srversun Fire V20z vybudován se systémovou architekturou, která obsahuje dvě výpočetní jednotky, podporu paměti až do 16 GB a ultra rychlý podsystém I/0. Výkonnostně překonává většinu serverů 25

26 2.10 Internet ve své třídě a je levnější. Na serveru Sun Fire V20z lze nativně provozovat operační systémy Linux, Windows, Solarix a stávající 32bitové aplikace. Provozovat lze také 64bitovými aplikacemi x64 další generace. Vzhledem k flexibilním možnostem správy (funkce pro LOM s přístupem in-band i out-of-band) a rychlému I/0 subsystému je server Sun Fire V20z ideální jako horizontálně škálovaný klastr: poskytuje snadno rozšiřitelní a vysoce dostupné řešení pro implementaci aplikací pro webovou infrastrukturu, technických výpočetních farem, systémů grid computing, databázových a vývojových služeb, nebo jiných obecných síťových aplikací na vrstvách 1 a 2.(Sun Fire V20z Server..., 2006) Klíčové vlastnosti: Nativní 32bitový, 64bitový výkon za konkurenční 32bitové ceny. O výšce 1-RU. Až dva jedno nebo dvou jádrové procesory AMD Opteron s integrovaným paměťovým řadičem s až čtyřnásobně větší kapacitou a propustností než typ x86 servery. Technologie AMD HyperTransport, nastavuje standard pro další generaci, serverové architektury se dvěma procesory. Paměť až 16 GB, umožňuje zpracovávání velkých databází. Funkce pro LOM (Lights-Out-Management) umožňují vytvořit systém více typů správy serveru včetně přístupu in-band, out-of-band, sériového nebo přes Ethernet access, IPMI, SNMP-CLI. Až dva disky max 300 GB Ultra 320 SCSI s podporou por zrcadlení RAID 1. Jeden 64-bitový PCI-X slot plné rychlosti na 133 MHz, jeden 66 MHz, 64-bitový PCI-X slot. Volba operačních systémů: Je možno provozovat Solarix OS, Linux, VMware a Windows. Nastavení, sledování a správa pomocí doporučeného softwaru Sun N1TM Systém Manager Internet INTERNET je světová komunikační síť s pevnými okruhy nazývaná jako síť sítí. Původně byla určena pro akademické, nekomerční a neveřejné účely, na rozdíl od veřejných datových sítí, dnes je i komerční sítí. Jednotlivé části sítě mají své vlastníky, ale celek nikoliv. Napojení ČR na tuto síť je provedeno po komunikační lince Linec-Praha. Internet nemá páteřní síť, ale soustavu páteřních sítí. Propojení všech providerů je možné buď přes tuto soustavu, nebo pomocí peeringu. Peering znamená, že se několik konkurenčních vlastníků navzájem dohodne o přímém propojení jejich sítí. Z páteře INTERNETu je v uzlu na univerzitě v Linci oddělena větev pro připojení české sítě, která se nazývá CESNET (Czech Educational and Scientific NETwork) končící na ČVUT v Praze. Základ páteře CESNETu je tvořen pevným okruhem Praha-Brno s rychlostí přenosu 10 GB/s. V každém uzlovém bodě je síť zakončena IP/routerem (směrovačem). Tato zařízení jsou všechna hrazena z prostředků CESNETu. V metropolitní sítí Brno existují dvě vnitřní nekomerční páteře 26

27 2.10 Internet a to MU a VUT. Součástí Internetu je řada komerčních sítí. Internet je budován tak, aby se co největší mírou dokázal řídit sám. Díky své koncepci je koordinace dosažena pomocí standardů a maximum rozhodování je na lokální úrovni. Centrální minimum řízení vzaly na sebe některé instituce dobrovolně, poněvadž za určité části cítily zodpovědnost. Obrázek 1: Mapa páteřních sítí v ČR GÉANT páteřní evropská síť, propojuje 24 Evropských státu, hlavní 10 Gb/s páteř propojuje státy Česko, Itálie, Maďarsko, Nizozemí, Německo (hlavní bod), Polsko, Španělsko, Švýcarsko, Velká Británie, 2,5 Gb/s jsou do této sítě připojeny státy: Belgie, Chorvatsko, Irsko, Portugalsko, Řecko, Slovinsko, 633 Mb/s a menší rychlostí připojení jsou připojeny státy jako: Litva, Rumunsko. CESNET2 síť zavedená do 35 míst v ČR, síť CESNET2 je určena pro potřeby vědy a výzkumu. Jejími účastníky jsou proto především instituce, u kterých tvoří vědeckovýzkumná činnost jednu z hlavních priorit Akademie věd České republiky, univerzity a vysoké školy. Jejích služeb však může využívat každá organizace nebo její část aktivní v oblasti vědy a výzkumu (například i výzkumná pracoviště komerčních podniků), propojení s Mnichovem a Linzem je po 10 Gb/s, do sítě Grant, propojení Prahy s Brnem, Olomoucí, Hradcem Králové je po 10 Gb/s, připojení Plzně, Liberce, Českých Budějovic, Ostravy a Zlína je 2,5 Gb/s, další spoje jsou v rozmezí 1 Gb/s do 155 Mb/s. NIX. CZ 20 Funguje od února Peeringovým způsobem je navázána na Londýn, Milán, TelAviv, Oslo atd. 27

28 2.10 Internet Poskytovatelé umožňují napojení na Internet. Obvykle tito provideři tvoří několik větví na sobě závislých providerů. Komunikace mezi jednotlivými providery může být přes páteřní síť nebo peeringem, pokud tyto společnosti se na peeringu přímém propojení dohodly. Pak toto propojení jde přes neutrální peeringový bod (NIX.CZ). Pro výběr poskytovatele je tedy kapacita propojení na vyššího providera, možnosti peeringu a postavení ve větvi providerů. Dalším kriteriem je i počet klientů, spolehlivost, ceny. Technologie připojování k Internetu Jedná se o způsob připojení uživatele k bodu připojení PoP point of presence. Způsobu připojení k Internetu je několik: Telefonní síť je nejběžnější metalické připojení jak komutované, tak i nekomutované. Telefonní síť má omezené pásmo 300 až Hz. Podle Shannonova teorému nelze na této šířce pásma přenášet data s větší rychlostí než 30 kbd. Větší přenosové rychlosti (56 kbd) se dosahují zrušením omezení šířky pásma, obvykle na nesymetrických spojení na úkor zpětné linky nebo zdvojováním (nebo využíváním i více paralelních) linek. ISDN jedná se o digitální síť digitální až k účastníku, který na jednu přípojku může napojit i více analogových nebo digitálních zařízení. ISDN je vlastně určena pro telefonii. Z perspektivních připojení na ISDN je připojení AO/DI Always On/Dynamic ISDN, což znamená že účastník je trvale připojen přes malokapacitní D kanál a v případě potřeby se spojuje patřičný počet B kanálů. xdsl Digital Subscriber Line jsou linky umožňující vysokokapacitní propojení uživatelů bez účasti telefonní sítě jak analogové nebo digitální. Optické připojení Jedná se o připojení přes optické kabely, jsou velmi výhodné, ale drahé. Proto nejsou vedeny přímo až k uživateli, ale do rozvodných bodů. Kabelová televize NEXTRA, CELLO. Pro přenos je využívána část přenosové šířky přenosového media (televizního kabelu). Bezdrátové připojení funguje na základě vybudovaných vysílacích a přijímacích základových stanic, na něž se připojují obvykle notebooky nebo mobilní telefony. Nejznámější poskytovatelé jsou Eridian a Cesnet. Připojení přes satelit největší předností satelitních technologií je všesměrové vysílání ze satelitu, které může přijímat neomezený počet klientů v dosahu satelitu. Přenosy jsou prakticky dvoubodové a mají jisté zpoždění dané vzdáleností dráhy satelitu. Satelity mohou mezi sebou komunikovat přes centrální prvek, nebo přímo. 28

29 2.11 Instalované programové vybavení na serveru 2.11 Instalované programové vybavení na serveru Operační systém CentOS 4. 2 Ačkoliv formálně je distribuce šířená pod akronymem CentOS (The Community ENTerprise Operating System) nováčkem (prakticky od roku 2004). Jde o klon zasloužilého matadora se slavným jménem RedHat, přesněji RedHat Enterprise Linux, RHEL, a který stále zůstává globálně nejužívanější serverovou distribucí, zejména díky oblibě v USA. Na rozdíl od druhého dítka firemního RedHatu, distribuce s názvem Fedora Core, nevznikl CentOS jako vývojový experiment, ale naopak konzervativně zachovává veškeré parametry mateřské distribuce. CentOS je komunitní kompilací ze zdrojových kódů RHEL, uvolněných firmou RedHat pod licencí GPL. RHEL je primárně určen k serverovému či podnikovému nasazení, od něhož se žádá především bezpečnost a spolehlivost a CentOS se jako jeho klon kompilovaný z totožných zdrojových kódů tedy hodí pro ty uživatele, kteří si profesionální (placené) řešení RHEL nemohou či z principu nechtějí dopřát. Bezpečnostní updaty vydávané pro RHEL jsou jen s několikahodinovým zpožděním k dispozici i pro CentOS. V CentOS fungují i binární ovladače psané pro RHEL, stejně jako proprietární software pro tuto firemní distribuci: využívat lze zdrojové balíčky kompilované pro RHEL. CentOS je stejně jako RHEL dostupný pro řadu platforem (ia 32, x86 64, ia64, s390x, ppc a další) a prakticky tedy oproti RHEL budete postrádat pouze firemní podporu. Číslování verzí se shoduje s číslováním RHEL: CentOS 4. 2 je tedy totožný s verzí RHEL 4 Update 2 a podpora aktuální verze 4 bezpečnostními updaty je plánována až do roku 2012.(Tesař, 2005) DHCP Přidělování IP adres Adresování v TCP/IP sítích V sítích s prostředím TCP/IP se pro adresování počítačů používají IP adresy pro identifikaci. Takové adresy jsou unikátní pro celou síť. Jsou přidělovány počítači podle nastavení správcem sítě nebo serverem DHCP. V tom se tedy odlišuje od MAC adresy, tedy té, která je na síťové kartě napevno nastavena, vypálena v paměti sítové karty. Jelikož se pohybujeme v prostředí LAN je třeba pro komunikaci mezi počítači znát kromě IP adresy také právě MAC adresu, aby ethernetové rámce dorazily do správného počítače, potažmo síťové karty. K tomu slouží protokol ARP. IP se v současnosti používá ve IP verzi 4. Adresa sestává z 32 bitů, které se přepisují do tvaru, který je označován jako tečkami oddělená desítková notace. V současnosti již přestává stačit zásoba adres v rozsahu, který nabízí standard IPv4. Z tohoto důvodu vznikl nový standard, a to IPv6. Adresy standardu IPv6 jsou již 128bitové, což nabízí dostatečný prostor pro růst sítí. IP adresa se zapisuje ve třech podobách. Adresa je zapisována hexadecimálně. Vždy 16 binárních cifer je přepsáno do hexadecimálního tvaru, který má tedy 4 cifry. Jednotlivé skupiny jsou odděleny dvojtečkou. 29

30 2.11 Instalované programové vybavení na serveru ARP stanice v síti mají přiděleny IP adresy, které jim jsou přiřazeny nastálo anebo jsou jim dynamicky přidělovány pomocí DHCP. ARP (Address Resolution Protocol) protokol, který má za úkol podle IP adresy zjistit příslušnou MAC adresu. ARP protokol je protokol 3. vrstvy podle OSI a je tedy na stejné úrovni jako IP protokol, má však svůj vlastní typ rámce. RARP v některých případech může nastat situace, že jedna stanice zná MAC adresu jiné, ale nezná její IP adresu. Tato situace může nastat např. pokud DHCP server zpětně kontroluje stanici, které přidělil IP adresu. V tom případě se použije RARP (Reverse Address Resolution Protocol) protokol, který tuto adresu zjistí. RARP používá stejný rámec jako ARP protokol. DHCP (Dynamic Host Configuration Protocol) Protokol vyvinula a spravuje ISC (Internet Software Consortium). Dodává také příslusný software, který je šířen jako open source. Jedná se jak o serverovou, tak i klientskou část. Stanice v naší síti nemají nakonfigurovány pevné adresy, ale mají nastaveno používat DHCP server pro získání IP adresy. Když tedy na stanici vyvstane potřeba používat protokol TCP/IP vyšle v prvním kroku tzv. DHCPDISCOVER na broadcastovou adresu , aby našel dostupné DHCP servery. DHCP server odpoví DHCPOFFER, který obsahuje IP adresu. Každý DHCP server je nakonfigurovaný, aby obsluhoval určitý adresový prostor a z toho nabízel IP adresy. DHCP serverů může být na síti více a stanice si pak z došlých nabídek jednu vybere. Serveru, jehož nabídku si vybrala, pak pošle DHCPREQUEST, kterým o nabídnutou adresu zažádá. Server pak odpoví pomocí DHCPACK, čímž přidělení potvrdí, nebo DHCPNACK, kterým naopak přidělení nepotvrdí a stanice si musí zažádat zcela znovu. Poté, co stanice dostane potvrzení přidělení IP adresy, si ji ještě vyzkouší, jestli ji někdo náhodou nezískal také. Provede to pomocí ARP dotazu. Pokud ji již někdo má, začne se dotazovat znovu od začátku. Pokud je adresa unikátní, začne protokol TCP/IP používat. IP adresa přidělená pomocí DHCP má jen omezenou dobu platnosti. Tuto dobu stanice zjistí z DHCPACK. V polovině času vlastnictví IP adresy si musí stanice tuto platnost prodlužovat. DHCP se používá např. v situacích, kdy je třeba připojit více počítačů k Internetu než je dostupných IP adres a je malá pravděpodobnost, že v jednom okamžiku budou žádat všechny počítače přístup k Internetu, což by v takovém případě znamenalo, že některé počítače budou mít jednoduše smůlu a na Internet se nedostanou. Takovému stavu se dá předejít použitím proxy serveru, který pod jedinou IP adresu schová celou síť. Počítače v síti pak mají přiřazeny vlastní IP adresy. Když chtějí navázat komunikaci se serverem v Internetu pak mají v konfiguraci nastaveno používat proxy server pro zprostředkování přístupu na Internet. V takovém serveru se 30

31 2.11 Instalované programové vybavení na serveru příchozí požadavky s určitými IP adresami stanic převádí na IP adresu proxy serveru s číslem portu, který je zaznamenán do tabulky ke zpětnému převodu adresy na stanici, která si komunikaci vyžádala. Server tedy převezme požadavek na sebe a vyřídí jej. Při odezvě od Internetového serveru pak proxy server porovná číslo cílového portu s tabulkou, kterou si udržuje a rozezná tak, na kterou stanici má zpět pakety přeložit a přeposlat a učiní tak DNS Jmenné služby jsou nástroje sloužící pro převod jmen na IP adresy a naopak. Nejjednodušší z nich je tabulka obsažená v souboru /etc/hosts. Původně to byla 1 tabulka, která obsahovala všechny adresy sítě. Dnes je toto výhodné pouze u malých samostatných sítí. Pro sítě, které jsou připojeny k Internetu je vhodný systém NIS. V rámci NIS síťového informačního systému tvoří tabulky sdílenou databázi, která je spravována jen na jednom serveru a to na NIS serveru. Síťový informační systém NIS poskytuje prostředky pro obecný přístup k databázím. Dřívější název Yelow Pages má pozůstatek v příkazech pro nejobecnější ze jmenných služeb je systém DNS (Domain Name Service). Jedná se o distribuovaný jmenný systém. V tabulkách jmenných serverů se nachází jen údaje o vlastní doméně a cesta k nejbližšímu vyššímu jmennému serveru. Jeho implementace na Unixových stanicích je BIND Berclay Internet Name Service. Hierarchie doménových jmen Systém doménových jmen DNS tvoří konzistentní strukturu. Serverů křenové domény je 13. V každé doméně může být zřízen jmenný server, který uchovává všechny informace o počítačích dané domény. Takový server je pro svou doménu autoritativní a také se tak jmenuje. Jiný název pro autoritativní server je Master Name Server neboli hlavní jmenný server. Jmenné servery uchovávají zjištěné adresy z jiných zón jen na určitou dobu. Zpětný převod adres Pro zpětný převod se na jmenném serveru vytváří pomocná doména in-addr. arpa, která je invertovaným rejstříkem doménových jmen spořádaných podle hierarchie IP adres. Jmenný server BIND Je službou typu klient to server. Klient se nazývá resolver. Resolver je soubor knihovních funkcí standardní knihovny jazyka C. Hlavními rutinami jsou procedury gethostbyname a gethostbyaddr, které vyhledávají adresy a jména. Přes rozhraní resolveru může kterýkoliv program využívat služeb jmenného serveru. Nejčastěji používaný démon jmenného serveru pro jmenné služby je named. Tento démon načte při startu počítače několik souborů do vyrovnávací paměti a čeká na dotazy od uživatelů je elektronická výměna zpráv. Neznámější protokol, který vznikl na bázi TCP/IP je SMTP Simple Mail Transfer Protocol. Základní vlastnosti el. pošty vycházejí z analogie běžné pošty. Elektronický dopis se skládá z obálky a zprávy. Obálka 31

32 2.12 Proxy server - Squid obsahuje důležité informace jako je například odesílatel nebo příjemce zprávy. Přenosový subsystém el. pošty přebírá zprávy od jednotlivých uživatelských agentů, poštovních programů a zabezpečuje jejich dodání adresátovi. Při této korespondenci nemusí být adresát, ani odesílatel přihlášeni do systému. Celý systém nazývaný MHS (Message Handling Systém). Hlavní typy u jsou pošta na lokálních sítích: sendmail, qmail, Microsoft mail. Nejlepším je dle mého soudu qmail. Qmail Původ qmailu sahá do roku Jeho autorem je Daniel Bernstein (DJB), profesor na univerzitě v Chicagu. Aktuální verzí qmailu již několik let zůstává 1. 03, přičemž existují desítky uživatelských patchů a rozšíření, na které jsou uživatelé odkázáni. I díky této politice nenajdete bezpečnější, spolehlivější ani rychlejší MTA než qmail.(petříček, 2002) 2.12 Proxy server - Squid Proxy znamená zmocněnec nebo zástupce. Výraz se používá pro rozhraní, které vykonává určité akce ve jménu někoho jiného. Slouží částečně jako firewall, zabraňuje přístupu k určitým službám. Tento server neuchovává data přímo, ale vede si o nich záznamy a nejčastější data si ponechává v cache. Klienti tedy nemusí přistupovat přímo k serveru, ale k serveru, který hraje roli prostředníka, aniž by to klient tušil. Aplikační proxy jsou programy, které fungují na aplikační vrstvě a zastupují klienta při vznešení požadavků na cílový server tím, že vytváří cache a brány. Proxy servery mohou mít brány do více sítí. Proxy Cache proxy cache slouží jako paměť dat získaných např. ze serverů internetu. Tato data jsou v proxy cache uchována pro dalšího zájemce nebo pro pozdější použití. Použití proxy serverů je rozhraní mezi klienty a serverem při používání služeb. Obvykle klienti jsou uvnitř sítě a servery ve vnější nebo obou sítích, ale existují i proxy pro vnější klienty a konkrétní vnitřní servery. Příkladem je proxy WWW, který pracuje na portu 80. Pokud není na tomto portu připojen proxy, který rozděluje požadavky na jednotlivé vnitřní servery je přístup voláním jednoho WWW serveru zablokován pro ostatní servery, které si tak musí otevřít jiné nestandardní porty. Squid Squid použijeme k připojení vlastní sítě k Internetu. Squid je však velmi výkonný, může pracovat s obrovskou zátěží a je často používán pro optimalizaci provozu na velkých páteřních sítích. Navíc se squidem dají dělat různé věci jako třeba odfiltrování bannerů, či omezování přístupu k některým stránkám či doménám. Při konfiguraci musíme najít kompromis mezi aktuálností dat a úsporou datového provozu. Kešovaní Internet objektu, je způsob na uložení Internet objektu na serveru blíž k dotazující straně než je server zdroje. Internetové prohlížeče mohou použít lokální kešování jako HTTP proxy server pro urychlení nebo šetření šířky pásma. 32

33 2.13 Zabezpečení sítí Proxy servery mohou být použity také pro filtrování obsahu, sledování přístupu nebo zlepšení soukromí. Rozdíl mezi NAT a squid je že, NAT modifikuje hlavičky paketů, ale data neukládá, proxy přijímá požadavky od klientů a vyřizuje je za ně, obsah však ukládá, aby ho mohl poskytnout i někomu jinému, kdo přistoupí na tu samou www stránku. K provozu potřebuje proxy server nějaký odkládací prostor, ten musí být rychlý, protože na rychlosti odkládacího prostoru závisí i rychlost proxy. Schválně říkám odkládací prostor, protože je jedno, kde tento prostor bude, zda to bude síťový disk, nebo ramdisk, ale síťový disk bych nepoužil právě kvůli rychlosti. Potřebná velikost tohoto prostoru se určí konfiugrací, defaultně je to 100 MB. U serverů, které mají mít hodně uživatelů, určitě velikost odkládacího prostoru zvětšíme, klidně i na GB, a dáme jej na ten nejrychlejší disk. Ze zmíněného logicky vyplívá, že proxy pro více uživatelů musí být docela výkonný stroj.(boháč, 2002) 2.13 Zabezpečení sítí Zabezpečení sítí postihuje tyto síťové okruhy: Internet a internetové služby (propojení k Internetu, firewally, NAT, odpovědnost správců, uživatelů, autentizace internetových transakcí, přístup do web systému, zodpovědnost za obsah web dokumentů, bezpečnost CGI, přenos dat FTP, e-commerce). Nebezpečí průniku zvenčí souvisí s problémy připojení privátní (školní) sítě do sítě veřejné (Internetu). Jedná se tedy o připojení naší bezpečné sítě, ke stovkám, tisícům dalších pro nás naprosto neznáních sítí, se všemi jejich uživateli a každý tento uživatel by mohl byt potencionální útočník. Důvěryhodné informace existují v sítích buď uložené zpravidla na fyzické paměti, zpravidla na HDD, ve formě datových souborů nebo přenášena přes fyzická media (počítačová síť) ve formě datových paketu. Oba stavy takto uložených dat představují potenciální pro případné útočníky, jak ze strany vnitřní sítě, tak ze strany Internetu. Případný útočník by mohl naši důvěryhodnost, integritu narušit těmito způsoby. Firewall iptables Firewall je počítačový systém tvořený hardwarem i softwarem, který realizuje administrátorem definovaná bezpečnostní pravidla při propojení sítí. Je to tedy kontrola paketů, práv na hranici dvou a více sítí. Každý IP datagram sebou nese vyjma vlastních užitečných dat také hlavičku, obsahující zejména IP adresu původce i adresáta, zdrojový a cílový port, specifikující program, kterému je datagram určen, a další informace popisující komunikaci, ke které datagram náleží. Paketový firewall je pak jakýmsi filtrem, který na základě těchto informací rozhoduje o tom, které pakety mohou být připuštěny až k programům, nebo které naopak smějí opustit počítač. Každý paket, ať už je jeho původ jakýkoliv, prochází systémem řetězců (chainů), které tvoří tzv. filtrovací tabulku, jak je to vidět na přiloženém obrázku. Pro ozřejmění si můžeme představit paketový filtr jako potrubí a jednotlivé řetězce jako ventily propouštějící pouze vybrané pakety. (Petříček, 2002) 33

34 2.13 Zabezpečení sítí Obrázek 2: Diagram iptables Na začátku se snaží jádro rozhodnout, zda-li je příchozí paket určen pro tento počítač, nebo jestli je potřeba jej routovat jinam. Je-li adresátem on sám, předá paket k dalšímu zpracování do vstupního (INPUT) řetězce. Pokud vyhoví tamějším filtrovacím pravidlům, dostane jej ke zpracování některý z lokálních programů poslouchající na cílovém portu. Pokud je datagram určen někomu jinému a počítači je zkonfigurován jako router, tedy pokud je povoleno routování paketů proměnnou /proc/sys/net/ipv4/ ip forward == 1, paket bude postoupen do řetězce FORWARD a počítač se jej pak pokusí podle svých možností doručit příjemci. Pokud je směrování paketů zakázáno (implicitní stav), bude paket zahozen. Poslední možností je, že datagram vytvořil některý z lokálních programů. Potom je nutné, aby paketový filtr opustil přes řetězec OUTPUT. Kromě zmíněných řetězců INPUT, OUTPUT a FORWARD existují ještě další dva, a to PREROUTING a POSTROUTING, které se ovšem používají především k jiným účelům než k filtrování paketů. Jak je patrné z názvů, PREROUTING je aktivní v době před routováním, tedy procházejí jím jak pakety určené pro lokální stroj, tak i ty, které budou směrovány jinam. Podobně POSTROUTINGem protékají pakety odcházející z našeho počítače, stejně jako směrované datagramy. Tyto řetězce mají zvláštní význam při překladu adres (NAT) a hlavní využití pro naši síť bude u nastavení těchto pravidel pro Squid. Iptables je paketový filtr. Stejně jako u většiny paketových filtrů je i zde filtrace paketů založena na: Typu protokolu TCP, UDP, ICMP. Zdrojová adresa počítač odesílající data. Cílová adresa počítač přijímající data. 34

35 2.13 Zabezpečení sítí Další členění protokolu např. příznak SYN u TCP, nebo typ ICMP (echo- -request, echo-reply). 35

36 3 Návrh sítě 3 NÁVRH SÍTĚ Počítačové sítě a Internet se dnes staly neodmyslitelnou součástí infrastruktury při budování nových budov. V budově typu škola, je nutnost vybudování dobré počítačově sítě, řekl bych nutností a má velký na kvalitu výuky ve škole a usnadnění práce pracovníkům. Síť bude používána při výuce, vědecko výzkumné činnosti, i na běžnou administrativu a agendu. Toto využití klade značné nároky na stav celé infrastruktury celé sítě. Důležitou součástí bude také pevné připojení této nově vybudované sítě doprostřed Internetu. Další důležitou součástí je zabezpečení, oddělení celé vnitřní sítě od Internetu. Důležitá je i vnitřní bezpečnost. Jelikož komplex budov celého gymnázia je značně rozsáhlý a řešení celé počítačově sítě by bylo značně časově i objemově náročné, rozhodl jsem se zabývat se pouze jedním z 7 objektů a to tím pro počítačovou síť nejzajímavějším, a to pavilonem 1, který je kompletně nově postaven a v němž se nachází počítačové učebny a hlavní serverovna. Ve své práci se tedy budu snažit kompletně navrhnout počítačovou síť jen pro tento pavilon číslo 1, k ostatním pavilonům budu přihlížet jen co se týče jejich hlavních připojení a kapacit, tak abych mohl patřičně dimenzovat, servery a aktivní prvky sítě. 3.1 Popis pavilonu 1 dispoziční řešení Nový pavilon 1 je navržen jako třípodlažní objekt (1 podzemní podlaží a 2 podlaží nadzemní) s částečnou nástavbou ve 3. np. 1. pp (suterén) V tohoto podlaží je umístěna vstupní hala dělená na místnost dozoru, prostor centrálních skříňkových šaten, hlavní schodiště, výtah a sklady. V návaznosti na zádveří je navrženo i informační centrum pro vyučující a bude tedy zapotřebí i do tohoto podlaží přivést síťové kabely počítačové sítě. 1. np (vedení) Zde se nachází halový prostor s provozem bufetu s vlastním sociálním zázemím a skladem. Na bufet navazuje uzavřený odbytový prostor. Na tomto podlaží je kromě WC žáků i učitelů a úklidové komory, situována administrativa školy jsou zde místnosti sekretariátu, zástupců ředitele, ekonomický úsek, sociální zázemí administrativy, kabinet kancelář asistentky pro tělesně postižené, ošetřovna. Na patře je rovněž umístěna audiovizuální místnost. V tomto podlaží je zapotřebí vybudování síťových zásuvek téměř v každé místnosti, tak aby administrativní pracovníci mohli ze svých počítačů, přistupovat do sítě a na Internet. 2. np (učebny) Je určeno pro umístění učeben výpočetní techniky a výtvarné výchovy. Na centrální část s halou, výtahem, skladem, lodžií a jednou kmenovou učebnou navazuje učebnová část. Zde jsou umístěny 3 učebny výpočetní techniky, kabinety pro učitele výpočetní techniky a místnosti pro racky a servery, místnost pro správce sítě, dílna a sklad výpočetní techniky, dvě učebny výtvarné výchovy (včetně skladu a kabinetu výtvarné výchovy). Dále je v učebnové části umístěno hygienické 36

37 3.2 Kabelové trasy zázemí žáků a učitelů, lodžie a druhé schodiště. Na tomto patře je umístněna hlavní serverovna školy a do této místnosti , budou svedeny všechny síťové kabely, také se zde budou nacházet rozvaděče racky. Dále je nutno rozvést zásuvky k jednotlivým počítačům v počítačových učebnách. Dále se ne patře nachází kanceláře učitelů. 3. np (studovna) situovaná pouze nad centrální částí slouží pro umístění knihovny a studovny, kabinetu a skladu. Prostory jsou přístupné z haly (ve které je umístěno schodiště a výtah). Ve studovně se nachází několik počítačů pro studenty a také jsou zde kancelář. Je nutné zde vyvést několik počítačových zásuvek, pro připojení. V těchto prostorách je potřeba počítat s rezervou, pro případné přesuny počítačů, nebo rozšiřování jejich počtu. 3.2 Kabelové trasy Trasy kabeláže jsou vedeny nad vnitřním podhledem chodby na kabelových roštech pozinkovaných. Způsob uložení musí být v souladu s ČSN a souvisejícími předpisy. Dále jsou kabely rozváděny ve zdech v plastových PVC trubkách takzvaných husích krcích. Přechody kolem sloupů skeletu, průvlaků, nosníků atd., se budou realizovat v plastových nebo kovových chráničkách, stejně tak i prostupy kabelů přes stropy a v případě vedení kabelu v podlaze jako například v počítačových učebnách je nutné užít chráničky z vyšší tvrdostí, například ocelové. Po skončení montáže bude provedena výchozí revize dle ČSN LAN slouží k propojení všech zařízení v areálu gymnázia, schopných komunikovat mezi sebou pomocí síťového rozhraní (uživatelské počítače, počítače pro obsluhu sítě, servery, tiskárny, objednávkové terminály, modemy, telefonní ústředna a tak dále). Pro rozvody počítačové sítě se použijí uvnitř objektu samostatné metalické rozvody, provedené jako strukturovaná kabeláž UTP kabely kategorie 5e. Norma pro Cat. 5e je charakterizována obousměrným paralelním přenosem signálu po 4 párech při nezměněné šířce přenosového pásma 100 MHz. Při splnění jejich požadavků je garantovaný přenos všech v současnosti známých a normalizovaných aplikací včetně Gigabit Ethernetu. Rozvody LAN Bude použit kabel kroucené dvojlinky a to nestíněný UTP kategorie 5e (drát). Kabeláž, zásuvky, patch panely, rack a veškeré příslušenství ke kabeláži budou od firmy Solarix, díky tomu se vyhneme případné vzájemné nekompatibilitě jednotlivých pasivních prvků. Firma Solarix je jeden s předních výrobců kabelážích systémů. O jeho kvalitě svědčí i to, že dávají až 15 let záruku na své komponenty. Splňují všechny nařízení specifikace a normy. Až na vyjímky bude instalována kabeláž pouze UTP kategorie 5e, bez zvláštního stínění, protože kabely jsou v dostatečné vzdálenosti od všech zdrojů elektromagnetického záření, neboť budou vedeny nad podhledy v plechových žlabech, chráničkách a plastovými husími krky. Kabely jsou typu drát, protože není potřeba žádného čas- 37

38 3.2 Kabelové trasy tého ohýbání, natáhnou se a už se s nimi nebude hýbat. Kabely typu drát jsou také levnější. Kabeláž tedy bude vedena soustavou horizontálních a vertikálních rozvodů. Plechovými, drátěnými nebo umělohmotnými žlaby pozinkovanými, lištami, chráničkami. Hlavně tam kde bude potřeba rozmístění LAN připojovacích zásuvek po místnosti, jako je tomu například v počítačových učebnách, budou kabely husími krky svedeny z podhledových rozvodů zdí do země a následně rozvedeny v podlaze k podlahovým zásuvkám. Vodiče se budou co nejvíce centralizovat a to směrem k chodbě, kde se nad podhledy povedou k místnosti s rackem (místnost správce sítě ), zde budou zavedeny do patch panelů patch panelu Solarix. Patch panely budou popsány, označeny dle projektové dokumentce. Zapojení patch panelů se bude provádět klasicky 1: 1 na přímo a podle zapojovacího schématu B. Na straně účastníků jsou kabely LAN ukončené dvojitými zásuvkami. Zásuvky budou označeny, popsány dle projektové dokumentace. Do každé zásuvky LAN vedou dva UTP kabely ze hlavního rozváděče. Jeden pro LAN síť a druhý jako rezerva nebo napojení na telefon. Optické kabely, které propojuji jednotlivé objekty (pavilony) s hlavní serverovou budou vyvedeny z do racku v místnosti a zakončeny na optický patch panel. Kabely budou mít dostatečnou délkovou rezervu a budou řádně popsány dle projektové dokumentace. Kabely se budou při dokončování stavby natahovat přesně na míru. Realizaci by měla provádět specializovaná firma (například NSN, GITY, apod). Nakonec se kabely proměří testerem na UTP kabely, jestli není někde něco špatně nacvaknuté nebo spojené. Proměří se útlum, přeslech a NEXT. Počítače se v konečné fázi budou připojovat k zásuvkám patch káblíky, které se koupí přesně na míru. Výjimkou budou rozvody v místnosti správce sítě, jelikož zde bude rychlá síť 1000 Mb/s, musí se zde natáhnou vhodné kabely kategorie 6. Musí být použity kabely, zásuvky kategorie 6 a následně proměřit Delay Skew, Return Loss. 2. np učebny Toto patro je pro školní síť klíčové. Nachází se zde serverovna do které jsou svedeny všechny kabely z celé budovy. V místnosti , se nachází rack. Do místnosti a bude přivedeno celkem 164 kabelu z celého pavilonu 1. Budou přivedeny k racku a prostrčeny z podhledu vrchní vstupním otvorem dovnitř. Uvnitř racku budou UTP kabely vyvázány k bočnicím pomocí stahovacích pásek. Při zapojování do patch panelu budou zakráceny přímo na délku a krimpovány (zapojeny) do patch panelu. Do racku jsou přivedeny i čtyři kabely kategorie 6, které jsou rozvedeny pouze kousek po místnosti s rackem a budou sloužit pro připojení vysokorychlostních zařízení například serveru, s gigabitovými síťovými kartami. Tyto kabely budou osazeny do patch panelu kategorie 6. Všechny ostatní kabely (161 vodičů) jsou kategorie 5e, jsou taženy nad podhledy v drátěných korytech, na hlavní chodbu. Zde se rozdělují doprava a doleva. Jednotlivé svazky kabelů se v patřičných místech odděli od hlavního svazku a vedou do jednotlivých místností a dále pak 38

39 3.2 Kabelové trasy k jednotlivým dvojitým zásuvkám, tak jak je patrno z projektové dokumentace. V počítačových učebnách jsou kabely vedeny v podlaze v ocelových chráničkách a vyvedeny do podlahových zásuvek. Zásuvky budou označeny popisky. Svazky kabelů co jsou vedeny do dalšího nadpodlaží (celkem 20 vodičů), jsou vedeny po chodbě směrem k centrální části, tam jsou na dvou místech průvlaky vedeny do dalšího patra 3. np. Rozvod kabelů do nižších pater 1. pp a 1. np je realizován průvlakem ve zdi mezi kanceláří správce sítě a počítačovou učebnou Zde je protáhnuto celkem 54 UTP kabelů které výustí v nižším patře do podhledu, kde budou dále rozváděny v ocelových pozinkovaných koších, dle projektové dokumentace. 3. np studovna Nadstavba knihovny 3. np je pouze nad centrální částí budovy. Nachází se zde studovna s knihovnou, kde studenti budou mít k dispozici pět počítačů, a jeden počítač pro obsluhu (dozor). Je zde počítáno i s případnou rezervou zásuvek pro případné rozšíření o několik dalších počítačů. V místnosti bude na zdi umístěn Access point Cisco Aironet 1 200, který bude připojen do zásuvky , a bude zprostředkovávat bezdrátové připojení mobilním pracovním stanicím. Kabely jsou do tohoto patra přivedeny ze 2. np na dvou místech. První svazek kabelů, obsahuje 8 UTP kabelů, je veden v chráničkách z podlahy do podhledu v místnosti a zde je rozveden k jednotlivým zásuvkám. Druhý svazek (12 ks UTP kabelů) vyúsťuje v místnosti Kabely jsou rozvedeny po místnosti pouze ve zdi ve výšce 40 cm nad podlahou, v plastových chráničkách. Jsou zapojeny do jednotlivých dvojzásuvek, dle projektu. 1. np vedení Na tomto patře jsou je umístěna administrativa školy, jsou zde kanceláře ředitele, zástupců, sekretářek školy, každý z těchto pracovníku musí mít přístup do sítě a na Internet. Dále je zde zasedací místnost, kde bude potřeba vybudování bezdrátového připojení. Před toto patro (1. np) prohází kabeláží rozvody do přízemí. Vyústění kabelů je z vyššího patra 2. np přes strop v chráničce, na hlavní chodbě a hned umístěno do drátěných koryt nad podhledy. Dále jsou kabely vedeny po hlavní chodbě doleva 16 kabelů, doprava 38. Jednotlivé svazky se postupně oddělují a jsou taženy do jednotlivých kanceláří, kde jsou taženy ve zdech až k jednotlivým zásuvkám, které budou popsány projektu. Kabely co směřují do přízemí jsou protaženy chráničkami v podlaze na třech místech. Dvakrát v centrální hale, a jednou na konci hlavní chodby u schodiště. V místnosti (audiovizuální místnost) a (zasedací místnost) budou umístěny Access pointy Cisco Aironet 1 200, pro zprostředkování bezdrátového připojení do sítě. Budou napojeny na zásuvky respektive

40 3.3 Rozvaděč 1. pp šatny Na tomto patře není příliš mnoho počítačových rozvodů. Jsou zde skřínky pro žáky. Dále je zde jedna kancelář a vstupní hala, kde je umístěn bufet, u kterého bude počítač. Kabely jsou přivedeny do tohoto patra na třech místech z vyššího patra 1. np. U schodiště, jsou přivedeny dva kabely a vedeny pouze do místnosti Dva páry jsou přivedeny u výtahové šachty a rozvedeny do strojovny výtahu a jeden pár je přiveden do zásuvky v pultu bufetu. Třetím místem je hlavní hala, zde jsou spuštěny čtyři kabely a odtud jsou nad pohledy přivedeny do místnosti , info centrum učitelů. 3.3 Rozvaděč V místnosti budou umístěny rozvaděče. Místnost je řádně odvětraná a klimatizovaná (popis klimatizace není součástí mé práce a dále se spokojím s faktem že tomu tak bude), je také dostatečně hlukově odizolovaná. Místnost je přístupná z místnosti správce sítě Je zde osazen rozváděč rack pro strukturovanou kabeláž. Rack je vysoký 42U a je vybaven rozvodným panelem napájení 230 V AC, jednotkou s ventilátory, přepojovacími (patch) panely a optickou vanou pro zakončení kabelů s optickými vlákny. V Racku jsou kabely LAN vyvázány k bočnicím, ukončeny a osazeny na přepojovacích patch panelech kategorie 5e. Na druhé straně jsou kabely vedeny do jednotlivých zásuvek kategorie 5e s konektory RJ 45 po celé škole. Konstrukce skříně umožňuje spojení dvou i více skříní do jednoho kompaktního celku. Dveře rozvaděče jsou skleněné a to z 8 mm bezpečnostního skla. Vodiče do skříně je možno přivést jak ze spodu, tak i vrchním dílem skříně. Patch panely budou přehledně popsány čísly zásuvek Osazení racku aktivními a pasivními prvky Rack bude hlavním propojovacím, spojovacím centrem celé sítě. Bude obsahovat aktivní a pasivní prvky. Vzhledem k mým předchozím zkušenostem jsem při konfiguraci aktivních, pasivních komponent, které bude rack obsahovat, volil spíše kvalitní komponenty značky CISCO, Solarix. Zvolil jsem Solarix, aby byla strukturovaná kabeláž navzájem kompatibilní a značku CISCO jsem volil pro to, že je to opravdová špička v síťových technologiích. Jejich switche jsou dobře stohovatelné (Cisco dokonce pomocí tzv. StackWise stohovací propojení s propustností 32 Gbps) a tohoto hodlám využít. Dále CISCO switche jsou velmi výkonné, spolehlivé a mají hodně bezpečnostních opatření, například: Port Security, DHCP Snooping, IP Source Guard, Dynamic ARP Inspection, Subscriber security, popsané výše. Jako první bude rack osazen dvěma záložními zdroji APC. Záložní zdroje budou napojeny na rozvodné panely, jednak na spodní rozvodný panel a hlavně na vertikální rozvodný panel, na zadní straně racku. Takto získáme dostatečně dimen- 40

41 3.3 Rozvaděč Obrázek 3: Pozice prvků v rozvaděči zovanou ochranu před výpadky elektrického proudu. Záložní zdroje slouží též jako přepěťová ochrana, pro aktivní prvky, které se budou osazovat a připojovat do zadní rozvodné lišty APC. Záložní zdroje APC budou umístěny v racku nad rozvodný panel do spodní části, tak jak je patrno z projektové dokumentace. Aby byla zajištěna dostatečná výměna vzduchu bude do vrchní části osazena ventilační jednotka 150 W, se čtyřmi ventilátory vysoká 2U. Ventilační jednotka bude napájena z rozvodného panelu APC a bude tedy imunní proti výpadku elektrického proudu, aby nedošlo k přehřátí racku, pokud budou aktivní prvky v činnosti. Pod touto ventilační jednotkou bude osazena lišta smeták, výšky 1U, pro vedení metalických a optických kabelů k patch panelu. Pod touto vyplňovací lištou bude umístěna optická vana pro 32 spojek typu LC (2U), do které budou přivedeny všechny optické kabely z jednotlivých objektů školy a dvojice optických kabelů z University Tomáše Bati ve Zlíně, která škole poskytuje připojení k Internetu. Mezi jednotlivými pavilony jsou položeny v zemi dvojice kabelů se 4 gradientními vlákny 62, 5 /125 µ, pavilonů je celkem 6 plus jeden pár, bude tedy osazeno celkem 14 portů 41

42 3.3 Rozvaděč na optickém patch panelu. Jednotlivé porty budou přehledně popsány. Mezi tímto optickým a dalším patch panelem je mezera 1U vyplněna smetákovou lištou, pro snadné přivedení a manipulaci s kabely. Dále jsou osazeny dva patch panely Solarix 48 RJ-45 přímý CAT5e UTP. Do nich budou přehledně zakrimpovány UTP kabely přivedené do skříně. Kabely budou do panelu připojovány postupně a přehledně podle čísel zásuvek. Do nejvýše osazeného panelu bude zapojeno 3. np a dále níže postupně 2. np. Následuje jedna 1U mezera pro smetákovou lištu a další dva patch panely Solarix 48 RJ-45 přímý CAT5e UTP. Do nich jsou přivedeny UTP kabely částečně z 2. np a následně pak z 1. np a 1. pp. Celkem je do rozvaděče přivedeno 161 UTP vodičů, rezerva v patch panelech je tedy 31 portu. Pod patch panely následuje 1U smetáková lišta. Pro zásuvky kategorie 6 je osazen patch panel Solarix 24 RJ-45 CAT6 UTP 350 MHz. Do něho jsou zapojeny čtyři vodiče kategorie 6, následuje opět smetáková mezera 1U, tato mezera tvoří v racku hranici mezi pasivními a aktivními prvky, dále jsou osazovány aktivní prvky switche a server. Následují čtyři switche Cisco WS-C TC-L, vysoké 1U, vždy z 1U mezerou pro smetákovou lištu (podle projektové dokumentace), tak aby se patch kabely dali přehledně k switchum přivést. Dále směrem dolů jsou namontovány páteřní switche Cisco řady a to konkrétně Cisco WS-C3750G-24TS a Cisco WS-C3750G-12S-SD. Opět jsou proloženy smetákovou lištou, vše je výšky 1U. Pod posledním switchem je smetáková lišta a následuje 4U mezera. Dále je osazen server Sun Fire V20z, výšky 1U, který bude sloužit jako brána do Internetu (proxy server), jako DHCP server a jako firewall, popřípadě jako FTP server a WWW server (na FTP a WWW by bylo zapotřebí dalšího nebo výkonnějšího serveru a diskového pole, FTP a WWW nejsou tedy součástí mé práce). Pod serverem je 4U mezera. V racku je tedy cca 9U rezerva, což je dost málo a proto v mé práci navrhuji zakoupení a nainstalování i druhého rezervního rozvaděče. Všechny aktivní prvky jsou elektricky napájeny z vertikálního rozvodného elektrického APC panelu. Jsou tedy chráněny proti výpadkům elektrického proudu a přepěťovou ochranou Propojení aktivních a pasivních prvku LAN Všechny kabely z celé budovy jsou tedy od vlastních zásuvek v jednotlivých místnostech přivedeny do místnosti , přivedeny a zakrimpovány do patch panelů kategorie 5E respektive 6. Veškeré optické kabely (4 gradientními vlákny 62, 5/125 µ) jsou taktéž přivedeny do racku a osazeny na optický patch panel. Dále se pasivní prvky a aktivní prvky ve racku, budou propojovat metalickými a optickými patch kabely přesně na míru. Uvnitř rozvaděče je propojení sítě LAN následující: Všechny aktivní (tedy zásuvky do kterých bude fyzicky připojen počítač) se budou propojovat se čtyřmi switchy CISCO 3 560, bude tak dosaženo garantované přenosové rychlosti 100 Mb/s. Toto propojování bude už realizovat správce sítě, podle vlastního uvážení. Switche CISCO budou přes gigabitové porty, propojovány metalickými patch 42

43 3.4 Návaznost LAN na jiné objekty kabely kategorie 6 s RJ-45 konektory, se hlavním switchem Cisco WS-C3750G-24TS-E1U, do kterého se budou také připojovat veškerá případná další zařízení, jako třeba servery. Switch WS-C3750G-24TS-E1U je propojen přes vnitřní sběrnici StackWise s páteřním optickým switchem WS-C3750G-12S-SD, tak je dosaženo teoretické 32 Gb/s propustnosti mezi těmito páteřními switchy. Do WS- C3750G-12S-SD jsou napojeny patch kabely propojující opticky patch panel, tím jsou připojeny jednotlivé pavilony školy do sítě. Pouze optická zásuvka, přes kterou se školní síť bude připojovat k Internetu, nebude propojena s WS-C3750G-12S-SD, ale bude optickým kabelem připojena do serveru Sun Fire V20z na jeho optickou síťovou kartu. Server bude přes své druhé, tentokrát již metalické rozhraní, připojen do switche WS-C3750G-24TS. Takto je tedy školní síť připojena přes bránu a firewall k Internetu. Struktura propojení sítě je patrna ze schématu níže vytvořeném ve MS Visio. Všechny patch kabely budou úhledně a přehledně protahovány smetáky a věšáky, budou vedeny po stranách rozvaděče. Obrázek 4: Pozice prvků v rozvaděči 3.4 Návaznost LAN na jiné objekty Pro objekty rekonstruované a připojované v následných etapách výstavby (pavilony 2, 3, 4, 5, 6, 7) jsou v hlavních trasách položeny optické kabely se čtyřmi gradientními 43

44 3.5 Připojení k CESNET2 vlákny 62, 5/125 µ. V pavilonu 1 jsou tyto kabely přivedeny do serverovny v místnosti a zavedeny do racku, kde jsou zakončeny na patch panel pro optické kabely, na patch panelech jsou řádně označeny a popsány dle projektové dokumentace. Na druhé straně kabelu jsou přivedeny do jednotlivých pavilonů, tam jsou zavedeny do místností k tomu určeným, do místností kde se je v plánu vybudování centrálních míst LAN, jednotlivých pavilonů. (návrh sítě pro pavilony 2, 3, 4, 5, 6, 7 není součástí mé práce, vzhledem k velkému rozsahu na bakalářskou práci). Optické kabely jsou dále přivedeny do serverovny optické kabely pro připojeni sítě školy do Internetu. Tyto kabely jsou taženy v zemi a směřují do hlavní serverovny University Tomáše Bati, která škole poskytuje připojení k Internetu. Jedná se o dvojici optických kabelů 4 gradientními vlákny 62, 5/125 µ. Tyto kabely jsou přivedeny a zapojeny do patch panelu v racku a řádně označeny a popsány dle projektové dokumentace. 3.5 Připojení k CESNET2 Toto připojení je fyzicky realizováno dvojicí optických kabelů se 4 gradientními vlákny 62, 5/125 µ,. Kabely jsou vyvedeny do hlavního racku v místnosti a jsou zakončeny konektory LC a přímo zapojeny do serveru SUN Fire V20z. Tyto kabely jsou přivedeny do racku a vedou do hlavní serverovny University Tomáše Bati, která je připojena do sítě CESNET2 s rychlostí připojení 1 Gb/s. Na základě dohody a smlouvy, škole poskytuje připojení k Internetu s maximální možnou rychlostí 256 Mb/s a vždy garantovanou rychlostí 100 Mb/s. Tato proměnná rychlost je závislá na aktuálních potřebách university. Univerzita Tomáše Bati nám s tímto připojením přidělila i jednu ze svých IP adres, které má přiděleny od CESNET2. Přidělila naší síti IP adresu třídy C a to , toto bude tedy IP adresa optické síťové karty ge0, našeho serveru, tedy venkovní síť. 3.6 SW a HW návrhy počítačových sestav Při návrhu pracovních stanic, jsem kladl důraz na tři kritéria cena, výkon a kvalita. Asi nejlépe tyto tři požadavky splňuje firma Autocont a zvolené sestavy PC jsou tedy z nabídky této renomované firmy. Do budovy budou dodány tři typy různě výkonných strojů, podle způsobu používání. Nejvýkonnější stroje budou dodány do počítačové učebny, pro výuku grafiky. Méně výkonné počítače budou v kancelářích učitelů. Třetí typ nejméně výkonných počítačů bude v dvou zbylých počítačových učebnách, kde bude probíhat výuka méně náročných aplikací. Všechny počítače budou mít LCD panely, hlavně z důvodu škodlivého vyzařování CRT monitorů, tedy bude tím dosažena lepší bezpečnost na pracovištích. Všechny počítače budou připojeny do sítě, pomocí patch kebelů (přesně na míru) k vyvedeným zásuvkám. 44

45 3.6 SW a HW návrhy počítačových sestav Počítač do kanceláří Na těchto počítačích budou pracovat a připravovat se na výuku učitele. Budou si připravovat své materiály, hledat na Internetu, vybírat poštu. Současně bude tento typ počítačové sestavy umístěn i do kanceláří na sekretariátě školy. Celkový počet sestav tohoto typu bude 18. Na těchto počítačích budou provozovány běžné aplikace Word, Excel, Internet Explorer. Bude využíván převážně pro přístup na Internet nebo na případně zřízený Intranet. Není tedy potřeba vysokého výkonu. Tyto počítače budou umístěny v místnostech (kabinetech). Počítač OfficePro 3000N miditower. Procesor: Intel Celeron D 346 (3. 06 GHz, 256 kb Cache, FSB 533 MHz, LGA775). Operační systém: Microsoft Windows XP Professional CZ. Paměť 256 MB DDR400. HDD 80 GB SATA/ otáček, 8 MB cache. FDD MB. CD-ROM 52 ATAPI. Grafika PCIe ATI X550/128 MB, DVI, TV výstup. Síťová karta 10/100 Mbit. Zvuk: 8 kanálové audio. Rozhraní: 4 SATA, ATA100, 1 paralel, 1 seriál, 2 PS/2, až 8 USB 2. 0, klávesnice CZ, optická myš, Software: MS Internet Explorer, antivir Computer Associates etrust s neomezenou platností stahování nových řetězců, slovník angličtiny Lingea Lexicon, Pohoda Start, Money Start, Ekonom, Acrobat Leader. Cena s DPH: Kč. Monitor: 17 LCD Acer AL1751As Crystal-Brite. Display Size 17 palců mm. Pixel Pitch mm. Resolution Brightness 400 cd/m 2. Contrast Ratio 500:1. Max. Refresh Rate Viewing Angle 150 (H), 135 (V). Response Time 8 ms. Input Signal VGA (Analog D-sub) a DVI-D (Digital). Cena s DPH: Kč Počítač na výuku Tyto počítače budou umístěny v dvou počítačových učebnách a v knihově. Celkový počet tedy činí 39 sestav. Studenti na nich budou provozovat a učit se běžný software, typu MS Office. V učebně bude 17 počítačů. Budou umístěny na speciálně navržené stolky, a připojeny patch kablíky do zásuvek (zásuvek je v místnosti 19, tedy rezerva je 2 zásuvky). Počítač OfficePro 3000N miditower. Procesor: Intel Pentium (3. 00 GHz, kb cache, 64bit, FSB 800 MHz, socket LGA775). Operační systém: Microsoft Windows XP Professional CZ. Paměť MB DDR400. HDD 100 GB SATA/ otáček, 8 MB cache. FDD MB. CD-ROM 52 ATAPI. Grafika: PCIe ATI X550/128 MB, DVI, TV výstup. Síťová karta 10/100 Mbit. Zvuková karta: 8 kanálové audio. Rozhraní: 4 SATA, ATA100, 1 paralel, 1 seriál, 2 PS/2, až 8 USB 2. 0, klávesnice CZ, optická myš. Software: MS Internet Explorer, antivir Computer Associates etrust s neomezenou platností stahování nových řetězců, slovník angličtiny Lingea Lexicon, Pohoda Start, Money Start, Ekonom, Acrobat Leader. Cena s DPH: Kč. 45

46 3.7 server Sun Fire V20z Monitor: 17 LCD Acer AL1751As Crystal-Brite. Display Size 17 palců mm. Pixel Pitch mm. Resolution Brightness 400 cd/m2. Contrast Ratio 500:1. Max. Refresh Rate Viewing Angle 150 (H), 135 (V). Response Time 8 ms. Input Signal VGA (Analog D-sub) a DVI-D (Digital). Cena s DPH: Kč Počítač na výuku grafiky V učebně bude probíhat výuka grafiky, tedy práce v grafických editorech jako jsou Corel, PhotoShop, AutoCAD areále. Jsou to tedy náročné programy na hardware počítače. Je potřeba většího výkonu procesoru, velká operační paměť, dobrá grafická karta a LCD monitor s úhlopříčkou alespoň 19 palců. V učebně bude 17 počítačů. Budou umístěny na speciálně navržené stolky, a připojeny patch kablíky do zásuvek, (zásuvek je v místnosti 19, tedy rezerva je 2 zásuvky). Počítač OfficePro 5000N miditower. Procesor: Intel Pentium (3. 40 GHz, kb cache, 64bit, FSB 800 MHz, socket LGA775, Intel Enhanced SpeedStep Technology). Operační systém: Microsoft Windows XP Professional CZ. Paměť: dvoukanálová paměť MB DDRII (až 4GB DDR2-667). HDD 320 GB SATA II otáček, 16 MB Cache. FDD 3. 5 palce MB. DVD-ROM ATAPI. Grafika: PCI Express ATI X MB DDR2, PCIe, DVI, TV-Out. Síťová karta: Intel 10/100/1000 Mbit. Zvuková karta: 8 kanálové High Definition Audio. Rozhraní: 4 SATA 300/150, 1 ATA/133, 1 ATA/100, SPDIF výstup, 1 paralel, 2 serial, 2 PS/2, 4 USB 2. 0, klávesnice CZ, optická myš. Software: MS Internet Explorer, antivir Computer Associates etrust s neomezenou platností stahování nových řetězců, slovník angličtiny Lingea Lexicon, Pohoda Start, Money Start, Ekonom, Acrobat Leader. Cena s DPH: Kč. Monitor: 19 LCD Acer AL1951As Crystal-Brite. Display Size 19 palců Pixel Pitch mm. Resolution Brightness 400 cd/m 2. Contrast Ratio 700:1. Max. Refresh Rate Viewing Angle 150 (H), 135 (V). Response Time 8 ms. Input Signal VGA (Analog D-sub) a DVI-D. Cena s DPH: Kč. 3.7 server Sun Fire V20z Server Sun Fire V20z je založen na procesorech AMD Opteron s jedním či dvěma jádry, výkonostně překonává většinu serverů ve své třídě. Na serveru lze současně provozovat 32bitové a 64bitové aplikace a také několik operačních systémů. Na serveru Sun Fire V20z nativně provozovat operační systémy Linux, Windows, Solarix a stávající 32bitové aplikace. Provozovat lze také 64bitovými aplikacemi x64 další generace. Poskytuje snadno rozšiřitelní a vysoce dostupné řešení pro implementaci aplikací pro webovou infrastrukturu, technických výpočetních sys- 46

47 3.7 server Sun Fire V20z témů, databázových a vývojových služeb, nebo jiných obecných síťových aplikací na vrstvách 1 a Zvolená HW konfigurace Dva dvou jádrové procesory AMD Opteron s integrovaným paměťovým řadičem z až čtyřnásobně větší kapacitou a propustností než typ x86 servery. Technologie AMD HyperTransport, nastavuje standard pro další generaci, serverové architektury se dvěma procesory, 3 3,2 GB/s. 8 GB, registrované paměti DDR1 400 MHz. Dva disky GB Ultra 320 SCSI s podporou pro zrcadlení RAID. DVD Rom a floppy mechanika. Dva porty Gigabit Ethernet na desce, plus do jednoho volného PCI-X slotu osadit Gigabitovou optickou kartu. Funkce pro LOM (Lights-Out-Management) umožňují vytvořit systém více typů správy serveru včetně přístupu in-band, out-of-band, sériového nebo přes Ethernet access. Operační systém Pentos. Cena této konfigurace Serveru SUN Fire V20z je přibližně: Kč Instalovaný operační systém CentOS 4. 2 Příprava instalace Dříve než cokoliv jiného, musíme vědět na jakou architekturu procesoru budeme CentOS instalovat. Na zakoupeném školním serveru jsou dva dvou jádrové procesory x86 AMD Opteron. Bude tedy instalována verze CentOS 4. 3 x Můžeme instalovat jako obvykle lokálně z vypálených CD-ROM (4 CD), přes bittorrent staženého a vypáleného DVD, z ISO obrazu na pevném disku, nebo zvolit síťovou instalaci přes NFS, FTP či HTTP. Vybrat a stáhnout lze také přímo ISO obraz instalačního CD-ROM s předvybraným výběrem balíčků a služeb pro nasazení na server bez grafického prostředí. Instalační CD bootuje samozřejmě do anglického prostředí a nabízí u instalačního CD dnes obvyklé parametry: vedle testu integrity instalačního média, start s různými možnostmi. Zvolit můžete buď instalaci v grafickém (což je hezčí a pohodlnější) nebo v textovém režimu (hodí se pro instalaci serveru, kam nechcete grafické prostředí, pro náš server zvolíme tedy textové prostředí). Zvolíme variantu instalačních CD. Server zapojíme do sítě a připojíme na něj přes VGA vystup monitor a klávesnici. Po startu vstoupíme do BIOSu a zapneme volbu Bootovaní z CD. Restartujeme a vložíme první instalační CD. Konfigurace instalace Instalátor Anaconda provede analýzu hardware (grafické karty, monitoru, myši). Také si můžete již teď zvolit češtinu coby preferovaný instalační jazyk. Americký původ distribuce se nezapře v nabídce rozložení klávesnice jako Czechoslovakian. 47

48 3.7 server Sun Fire V20z Startujete-li s parametrem linux askmethod, je k dispozici nastavení klávesnice v textovém režimu jako cz-us-qwertz a cz-lat2 (popřípadě sk-qwerty). Nastavení oddílů disku nástrojem Disk Druid nabízí grafické znázornění jednotlivých oddílů a jejich obsazení. Zvolit důsledně ruční dělení disku a disky rozdělíme na několik potřebných oddílů: Oddíl / bude mít velikost MB, odkládací oddíl swap bude mít velikost MB, oddíl /var 20 GB, zbylé místo na /dev/sda1 bude namontováno jako /export. Na /dev/sda2 (identický HDD 300 GB) bude zapnutý hardwarový RAID1, pro zrcadlení /dev/sda1. Díky tomu získáme vetší bezpečnost uložených dat, ošetřujeme tím případnou ztrátu dat v případě chyby na disku. Kapacita diskových oddílů swap a /var je dostatečně dimenzovaná, vzhledem k funkci serveru (proxi server s firewall). Lze vybrat ze souborových systémů ext2, ext3 a vfat, pro naše diskové oddíly vybereme souborový systém ext3. Jako zavaděč systému zvolíme Grub. Dále zde máme možnost zvolit si již v této fázi zaheslovaný přístup k zavaděči a tím zabránit v podnikovém prostředí, aby jednotliví uživatelé mohli startovat s vlastními libovolnými bootovacími parametry. Instalátor nabízí i okamžité nastavení sítě, firewallu, povolení vzdáleného přihlášení (SSH) a další služby, které de facto uživatel domácího desktopu nebude potřebovat. Na našem serveru necháme zatím povoleno pouze SSH (port 22), pro vzdálené přihlášení. Výběr instalovaných programů V této fázi instalace můžete zvolit typ desktopu a upravit výběr instalovaných balíčků a tím třeba podstatně zredukovat potřebu místa, pokud nebude instalátor protestovat kvůli závislostem. K dispozici jsou předvolby pro nezkušené uživatele: Osobní systém, Pracovní stanice, Server a Vlastní. Zvolíme položku vlastní. Poté se zobrazí prostředí, ve kterém vybíráme námi potřebné balíčky, pro server je zapotřebí pouze minimální instalace, popřípadě doplněná o možnosti vědecké nástroje, textové internetové prohlížeče, všechny dostupné editory, DHCP server, jmený server Bind, nastroje pro konfiguraci serveru, systémové nástroje a další. Instalace bez grafického prostředí Gdome, KDE. Instalujete-li z klasických CD-ROM, instalátor vám také sdělí, která instalační CD bude postupně vyžadovat. Buďte připraveni na to, že když vám bude nějaké CD chybět, zahájenou instalaci nelze korektně přerušit ani chybějící aplikace prostě neinstalovat a ocitnete se tedy ve smyčce, kterou ukončí pouze hardwarové tlačítko RESET. Zde je také poslední možnost instalaci řádně přerušit beze změn na disku. Rozhodnete-li se instalovat, proběhne formátování zvolených oddílů, vytvoří se souborové systémy a zahájí se vlastní instalace, při níž vám pak již nezbývá než sledovat informace o právě instalovaných balíčcích a modrý progress bar, přičemž trvání celé procedury bude závislé na rychlosti vašeho počítače, použitém instalačním médiu a množství vybraných aplikací. Pro updaty a instalaci dalších aplikací lze vedle nástroje update použít i YUM, pak lze doinstalovat i správce balíčků apt a téměř libovolně doplňovat distribuci aplikacemi v RPM balíčcích s tím, že nebudou muset pravděpodobně ručně upravit některé závislosti. 48

49 3.7 server Sun Fire V20z Technické údaje k připojení Tab. 1: Technické údaje k připojení IP adresa přidělená s připojením Výchozí brána gateway DNS server, primární DNS server, sekundární Maska sítě Konfigurace zabezpečení iptables Firewall nám bude sloužit k zabezpečení sítí schovaných za routerem a také k ochraně routeru jako takového a v poslední řadě bude dělat nat neboli překlad adres, což umožní počítačům ve vnitřní síti chodit do Internetu přes jednu IP adresu. Na Linuxu je toto vše realizováno programem iptables. Zavedení modulů modprobe ip tables základ, spustí firewall, kterému pak budeme dávat pravidla iptables, modprobe ip conntrack ftp umožňuje průchod aktivního ftp firewallem, modprobe ip nat ftp umožňuje průchod aktivního ftp firewallem, modprobe ip MASQUEPADE maškaráda překlad adres, využije hlavně squid. Základní nastavení iptables INPUT Jako první věc co při konfigurování iptables musíme udělat je vybrat bezpečnostní strategii. Můžeme všechny tři základní chainy nastavit na DROP a dále povolovat pouze námi požadovaná pravidla, nebo necháme základní chainy na ACCEPT a sestavíme dokonalou strukturu pravidel tak, aby přes firewall prošli pouze námi chtěné pakety. Zvolíme první variantu a začneme nastavovat. Nejprve tedy přepneme INPUT, OITPUT, FORWARD na DROP příkazy: iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP Dále ve vytvoříme 4 nové třídy pravidel (chainy, usnadňuje to práci a orientaci v iptables). Jako první vytvoříme chain pro ochranu před IP spoofingem z nesmyslných IP adres, a naplníme pravidly: iptables -N spoofing iptables -A spoofing -i ge0 -s /16 -j DROP iptables -A spoofing -i ge0 -s /12 -j DROP iptables -A spoofing -i ge0 -s /8 -j DROP 49

50 3.7 server Sun Fire V20z Takto nastaveny chain připojíme do INPUTU příkazem: iptables -A INPUT -p TCP -i ge0 -j spoofing Dále vytvoříme nový chain tcp segmenty a udp segmenty, ve kterých definujeme TCP respektive UDP spojení na jednotlivé porty na našem serveru, které budeme chtít mít povoleny. V našem případě to bude pouze port TCP port 22. Tento port pro vzdálené přihlášení k serveru necháme otevřený jak pro venkovní, tak i pro vnitřní síť. Této konfigurace docílíme příkazy: iptables -N tcp_segmenty iptables -N udp_segmenty iptables -A tcp_segmenty -p TCP --dport 22 -j ACCEPT iptables -A INPUT -p TCP -j tcp_segmenty iptables -A INPUT -p udp -j udp_segmenty Vytvoříme další třídu pravidel icmp segmenty, pro servisní pakety používané pro přenos diagnostických a chybových zpráv. Pro správné fungování je potřeba propouštět nejméně ICMP typ 3 destination unreachable. Vhodné je povolit také 0 Echo reply, 8 Echo request a 11 Time exceeded, které používají užitečné programy ping a traceroute. Ostatní ICMP zprávy můžete s klidným svědomím filtrovat. Následují příkazy: iptables -N icmp_segmenty iptables -A icmp_segmenty -p ICMP -i eth0 --icmp-type 0 -j ACCEPT iptables -A icmp_segmenty -p ICMP -i eth0 --icmp-type 3 -j ACCEPT iptables -A icmp_segmenty -p ICMP -i eth0 --icmp-type 8 -j ACCEPT iptables -A icmp_segmenty -p ICMP -i eth0 --icmp-type 11 -j ACCEPT iptables -A INPUT -p icmp -j icmp_segmenty V input povolíme všechny příchozí pakety z naší školní, důvěryhodné sítě a také všechny pakety co přichází na rozhraní loopback, tedy na lo0, pro vnitřní komunikaci serveru. Toho dosáhneme příkazy: iptables -A INPUT -p ALL -i eth1 -j ACCEPT iptables -A INPUT -p ALL -i lo -j ACCEPT Nyní je potřeba ošetřit problém z aktivním FTP, a to, že ftp používá dva porty pro komunikaci. A další problém je, že pokud se přihlásíme na server, nedostaneme se z něj nikam, ani pingem. Je to proto, že my sice paket odešleme, ale tento paket se nám už nevrátí, firewall nám ho odmítne a tudíž ke spojení nedojde. Zde musíme povolit stavový firewall, který sleduje veškerý provoz a pakety patřící už k nějakému vytvořenému spojení nebo související s nějakým spojením (např. s ftp nebo ping) propustí. Do INPUTU tedy přidáme: iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT 50

51 3.7 server Sun Fire V20z Dále je nezbytné na firewallu blokovat AUTH, a to ne pravidlem DROP, ale REJECTem. Rozdíl je takový, že zatímco DROP pakety doslova zahodí, RE- JECT je zdvořile odmítne, tedy vygeneruje odesílateli ICMP datagram s oznámením o odfiltrování dotyčného paketu. Některé programy používají službu AUTH ke zjištění, jakému uživateli patří to které spojení. Protože může poskytovat útočníkovi nežádoucí údaje, není dobré ji otevírat světu. Ovšem pokud ji běžným způsobem zablokujeme (DROP), také to není dobře, neboť některé programy (např. SMTP servery) ji mohou využívat v rámci užitečného provozu. Pokud ji tedy budeme filtrovat, může docházet ke značnému zpomalení komunikace, když bude protistrana čekat na vypršení času vyhrazeného k vyřízení AUTH požadavku. Zablokování služby AUTH v INPUTu dosáhneme příkazem: iptables -A INPUT -i ge0 -p TCP --dport REJECT Tímto by jsme měli mít dokončené základní nastavení hlavního chainu INPUT. Vzhledem k tomu, že máme INPUT nastaven na DROP, všechny pakety kterým nevyhoví ani jedno z postupně procházených pravidel, budou zahozeny. Je dobře tedy tyto pakety logovat. Proto na konec tohoto i dalších OUTPUT, i FORWARD dodáme pravidlo pro logování, zahazovaných paketů. iptables -A INPUT -m limit --limit 20/hour --limit-burst 5 -j LOG Uvedený zápis loguje pouze prvních dvacet vyhovujících paketů, ovšem ne častěji než pětkrát za hodinu. Základní nastavení iptables OUTPUT U OUTPUTu se nemusíme zabývat nějakým složitým filtrováním, neboť datagramy, které tudy procházejí, mají svůj původ v našem počítači, proto nepředstavují nějaké zvlášťní bezpečnostní riziko. Povolíme vnitřní komunikaci přes loopback, povolíme odchozí pakety na naše DNS servery a komunikaci s vlastní IP adresou. Povolíme všechnu komunikací do naší důvěryhodné sítě. OUTPUT je nastaven na DROP, všechny zahazované pakety budou logovány. iptables -A OUTPUT -p ALL -s j ACCEPT iptables -A OUTPUT -p ALL -s j ACCEPT iptables -A OUTPUT -p ALL -s j ACCEPT iptables -A OUTPUT -p ALL -s j ACCEPT iptables -A OUTPUT -p ALL -s j ACCEPT iptables -A OUTPUT -j LOG Základní nastavení iptables FORWARD a NAT tabulky Chain FORWARD využijeme pokud chceme směrovat pakety z jedné sítě do druhé. Správným nakonfigurováním bude náš firewall routerem mezi Internetem dostupným z rozhraní ge0 a vnitřní sítí na eth1. Povolíme tedy neomezené směrování 51

52 3.7 server Sun Fire V20z paketů z vnitřní sítě. Pakety v opačném směru budou propuštěny pouze v případě, že patří k nějakému již existujícímu spojení. Pro routování je nezbytné mít v /proc/sys/net/ipv4/ip forward == 1, čehož dosáhneme například příkazem: echo 1 > /proc/sys/net/ipv4/ip_forward iptables -A FORWARD -i eth1 -j ACCEPT iptables -A FORWARD -i ge0 -o eth1 -m state - state ESTABLISHED RELATED -j ACCEPT Protože je jednou ze sítí Internet a druhou LAN s privátními IP adresami, které se nedají používat pro komunikaci s vnějším světem, musíme zkonfigurovat ještě maškarádu neboli SNAT. iptables -t nat -A POSTROUTING -o ge0 -j MASQUERADE Tento příkaz znamená, že router bude pakety odcházející přes rozhraní ge0 maskovat svojí IP adresou ( ). Zvenku to bude vypadat tak, že všechny pakety budou po Internetu putovat s IP adresou a teprve na našem firewallu se budou překládat na adresy vnitřní sítě a rozesílat k jednotlivým stanicím s adresami vnitřní sítě. Čímž se dostáváme ke konfiguraci tabulky NAT. Protože na serveru SUN Fire V20z bude nainstalován kešující proxi server squid, který bude zprostředkovávat připojení i k Internetu pro všechny ostatní stanice v školní síti. Bude nutné na firewalu, vytvořit tak zvanou maškarádu, překlad adres SNAT a DNAT. Tohoto dosáhneme příkazy: iptables -t nat -A POSTROUTING -o ge0 -j MASQUERADE První příkaz je použití SNATu je to IP maškaráda, nebo-li zamaskování IP adresy routovaných paketů adresou routeru. Máme od poskytovatele připojení k dispozici jednu veřejnou IP adresu, ale potřebujeme k síti připojit větší množství počítačů. Proto veřejnou adresu přidělíme routeru (ge0), ostatním počítačům přidělíme privátní IP adresy přes DHCP. Pravidlo způsobí, že pokud ze sítě ,přijde paket, který má v úmyslu opustit router přes vnější rozhraní ge0, tak dojde k nahrazení jeho původní IP adresy za adresu To znamená, že příjemce datagramu bude mít pocit jako kdyby s ním nekomunikovala stanice s nesměrovatelnou adresou , ale přímo router , který stejně tak zajistí, aby se pakety v opačném směru dostaly zpátky k iptables -t nat -A PREROUTING -p tcp - dport 80 -i eth1 -j REDIRECT - to-port 3128 Tento příkaz zapsaný do nat chainu zajistí zněnu IP adresy na adresu adresáta datagramu. Je to přesměrovávání datagramů na jiného adresáta. DNAT nám dává možnost přesměrovat datagram na jiný port bez znalosti přesné IP adresy. Používáme-li program squid na portu v režimu transparentní proxy přesměrujeme všechny http příchozí požadavky, z rozhraní eth1 na port (squid), který ve spolupráci s bind, zajistí maškarádu a zpětný převod IP adres. Výpis tabulky iptables, je součástí příloh, veden jako příloha B. 52

53 3.7 server Sun Fire V20z Konfigurace DHCP serveru Instalace Instalace vlastního DHCP probíhá ze zdrojových kódů, obvyklým configure; make; make install. Pokud se budete instalovat z binárek, nalézá se klientská část v souboru dhcpcd-*.rpm a serverová je k mání v dhcpd-*.rpm, použití příkazu rpm -ivh dhcpcd-*.rpm nebo je možností instalace přes YUM nebo apt-get. Pokud chcete používat dhcpcd, musíte si jej nainstalovat. Dhcpcd znamená DHCP Client Daemon. Před vlastní instalací je třeba ještě upravit směrovací tabulku, protože někteří klienti se nechovají tak, jak dhcpd očekává. Musíme nastavit server tak, aby správně směroval pakety adresované Aby to provedl na síťovou kartu eth0, specifikujeme příkazem: route add -host dev eth0. Konfigurace dhcpd Po instalaci se v /etc nalézá konfigurační soubor dhcpd.conf pomocí kterého se celé DHCP konfiguruje. Zeditujeme ho pomoci nějakého editoru. První volba je název naší domény pro kterou bude DHCP server přidělovat IP adresy a doménová jména. Pro naši školní síť jsem zvolil doménu lesni. net. option domain-name "lesni.net"; Další volbou je nastavení IP adresy DHCP serveru a routeru. Je to vnitřní adresa serveru SUN Fire V20z, tedy Na dalším řádku nastavujeme DNS servery primární, sekundární a ostatní , , jsou DNS servery našeho poskytovatele. option routers ; option domain-name-servers , ; Na dalších dvou řádcích nastavujeme masku sítě ( ) a hromadnou, broadcastovou adresu ( ) pro naši síť. Všechny tyto údaje bude DHCP server delegovat na všechny pracovní stanice, které ho požádají o přidělení síťových údajů. option subnet-mask ; option broadcast-address ; Řádky v konfiguračním souboru: default-lease-time 3600; max-lease-time 7200; Definují na jakou maximální a minimální dobu bude IP adresa zapůjčena a v jakém časovém obdoby musí stanice zažádat o znovu přidělení IP údajů. Následuje odstavec kde je definován rozsah volných IP adres tedy adres, které se nepřidělují na základě MAC (hardwarové) adresy stanice. 53

54 3.7 server Sun Fire V20z subnet netmask { range ;} Za tímto odstavcem následuje deklarativní výčet jednotlivých hardwarových adres jednotlivých stanic co se v naší síti nachází a k ním přidělenou IP adresu s doménovým jménem stroje. Pokud DHCP server požádá nějaká z těchto známých stanic, dostane vždy stejný IP záznam. Výpis souboru dhcpd. conf, je součástí příloh, veden jako příloha C. host pocitac1{ hardware ethernet 00:11:2f:7b:db:a7; fixed-address ;} host pocitac2{ hardware ethernet 52:54:00:e5:0f:9d; fixed-address ;} Konfigurace proxy serveru squid Pro instalaci squidu použijeme balíčkovací nástroj RPM který se postará i o vytvoření uživatele squid. Pokud je squid je spouštěn s rootovskými právy a snaží se jich co nejrychleji zbavit. Defaultně běží pod uživatelem squid a skupinou squid. Důležité je, že tento uživatel musí mít dostatečná práva k adresáři s keší. Hlavním konfiguračním souborem je squid. conf, většinou umístěný v adresáři /etc/squid. Při prvním otevření squid. conf vše přednastaveno na defaultní hodnoty a zakomentováno. Chceme-li nějakou hodnotu změnit, je nutné řádek odkomentovat. Provedeme základní nastavení. Jako první musíme nastavit místo, kam se bude ukládat keš. Slouží k tomu klauzule cache dir a defaultně bude nejspíš nastavena na /var/spool/squid. Další parametry pak určují maximální velikost keše v MB a počet podadresářů (dvě úrovně), které si squid v keši vytvoří. Keš se poprvé inicializuje spuštěním squid -z. cache dir /var/spool/cache, http port 3128 (číslo portu, kam se připojují klienti), cache mem 1024 (velikost pameti v MB rezervovane pro squid). Squid má poměrně dobře propracovaný systém ACL (Access Control List). Omezení přístupu k proxy je asi nejdůležitější. ACL třídy se definují pomocí řádek začínajících acl a požadavky do jednotlivých tříd můžeme řadit podle opravdu mnoha různých parametrů: IP, port, čas, cílová IP, cílová URL, vlastní autentizace a mnoho dalších. ACL operátory pak, na základě tříd, ve kterých požadavek je, určují, co s ním bude dál. Při konfiguraci souboru záleží na pořadí řádek. K řízení HTTP přístupu k proxy je používán ACL operátor http access. Pro konfiguraci acl v souboru squid. conf nastavíme: acl localhost src / (definujeme třídu localhost), acl manager proto cache object (definujeme třídu manager), 54

55 3.7 server Sun Fire V20z acl all src / (definujeme ip rozsah třídy all), acl lesni sit src / (definujeme rozsah sítě), http access allow manager localhost (localhost, manager povol), http access deny manager (vše do patři do třídy manager zakázáno), acl Safe ports port 80 (http), acl Safe ports port 21 (ftp), acl Safe ports port (https, snews), acl Safe ports port 22 (ssh), http access deny!safe ports (definujeme povolené porty pro squid), http access deny CONNECT!SSL ports (definujeme povolené ssl- porty), http access allow localhost (vše co patří localhost, povoleno), icp access allow all (povolíme veškeré ICP požadavky), http access allow lesni sit (povolíme komunikaci pouze z naší sítě), http access deny all (vše ostatní zakázáno), cache mgr xhalamicpef.mendelu.cz ( odpovědné osoby), cache_effective_user nobody nobody, visible_hostname www-cache.lesni.cz. Nejprve jsou definovány čtyři acl třídy, (localhost, manager, all, lesni sit), dále takto nastavené třídy ACL, když musí rozhodnout o tom, který požadavek od klienta pustit a který ne, vezme první z těchto řádků. Vidí, že pokud požadavek spadá do ACL třídy manager a zároveň do třídy localhost, má jej povolit. Tak zkontroluje, zda požadavek do těchto tříd patří. Pokud ano, je požadavek povolen a tím vyhodnocování končí. Pokud ne, přejde se k dalšímu řádku. Ten říká, že vše, co patří do třídy manager, se má zakázat. Takže pokud požadavek patří do třídy manager, povol jej jen tehdy, pokud zároveň patří do localhost. Třída manager jsou požadavky, které používají speciální squidův protokol a používají se jen pro administrativní účely. Třída localhost jsou požadavky z IP adresy , tedy z našeho loopbacku. Dále jsou jako by do třídy Safe ports naplněny porty které bude squid povolovat, mezi jednotlivými řádky platí logické OR. Dalším řádkem, http access deny!safe ports, kde je vykřičník jako logického NOT. Takže řádek http access deny!safe ports řekneme zakaž vše, co nejde na porty 80, 21, 443, 563, 22. Dále povolíme komunikaci přes loopback a povolíme komunikaci z naší vnitřní sítě. Nakonec jakoukoliv jinou komunikaci zakážeme. Tím máme nakonfigurovaný squid a můžeme ho spustit příkazem /etc/ini. d/squid start. Aby se nám spouštěl automaticky squid při startu serveru je potřeba zapsat do tabulky chkconfig, prikazem: chkconfig -LEVEL squid on. Pro úplnost je v příloze přiložen konfigurační soubor squid. conf, jako příloha D. Vzhledem k jeho rozsahu jsou zde zobrazeny pouze měněnné položky. 55

56 3.8 Rozpočet 3.8 Rozpočet Na začátek musím podotknout, že mezní rozpočet, pro vybudování sítě a příslušenství, nebyl nikým zadán, tento návrh vznikl podle mého nejlepšího uvážení a zkušeností, proto byly použity (v některých případech) dosti drahé zařízení, technologie a komponenty, například server SUN Fire, přepínače CISCO a podobně. Tyto technologie se můžou zdát dosti drahé, avšak jejich použití je myšleno jako sázka na ověřenou, spolehlivou technologii s příslibem do budoucna. Tento fakt bude mít vliv na celkovou cenu. Jistě by se dalo, u mnohých použitých technologii značně ušetřit, například použitím jiných levnějších přepínačů, je ovšem otázkou zda by to byl krok správným směrem. V níže vedené tabulce jsou uvedené ceny téměř všech použitých komponentů. Ceny jsem vyhledal na Internetu z velkoobchodních ceníků. Ceny jsou zaokrouhlovány nahoru a uváděny s DPH. V tabulce chybí ceny koryt a lišt pro vedení kabelů, neboť tato záležitost je dosti specifická (na různých místech se požívají různé lišty), takže stanovení ceny takové soustavy je dosti složité a náleží firmě co by pokládání kabelů realizovala. Také do celkové ceny není zahrnuta softwarová výbava, toto je také velice specifická a zaleží to spíš na domluvě s danou softwarovou firmou, dle množstevního odběru. Rozpočet je sestavován orientačně, ceny použitých komponent se v čase mění. Tyto ceny jsou aktuální k Délka UTP kabelu cat 5e, činí 5838 m, cat. 6 činí 10 m. Toto číslo vzniklo přesným měřením jednotlivých úseků kabelážích tras a následným násobením počtem kabelu na dané trase. Toto měřeni bylo možné pomocí nástroje v kreslícím programu Autocad. Celkový počet zásuvek solarix je 165. Z toho je 33 zásuvek jednoduchých, tři jsou podlahové a zbylých 63 je dvojitých, se dvěmi zdířkami. Počty počítačů jsou patrny z tabulky, jejich cena je včetně LCD panelu, popis sestav je uveden výše. Celková cena Kč, je orientační sumou, která by byla minimálně potřeba na vybudování této kvalitní sítě, sestavené z kvalitních prvků. V této ceně není zahrnuta například cena zakázky na fyzické vybudování, nebo další již výše zmiňované prvky. 56

57 3.8 Rozpočet Tab. 2: Rozpočet Název položky Kusů Cena/ks Celkem Instalační kabel Solarix CAT5e UTP Instalační kabel Solarix CAT6 UTP 10 9,5 95 Patchkabel 3m, UTP, Cat5, RJ Patchkabel 3m, UTP, Cat5, RJ Optický patchkabel duplexní, LC, 62,5/ Zásuvka Solarix CAT5e/6 UTP 2 times RJ Zásuvka Solarix CAT5e/6 UTP 1 times RJ Zásuvka Solarix CAT5e/6 UTP podlahová Patch panel Solarix RJ-45 přímý CAT5eUTP Patch panel Solarix 24 times RJ-45 CAT6 UTP Rack SERV LC06 42U 600 times 1000mm Cisco WS-C TC-L Cisco WS-C3750G-24TS-E1U Cisco WS-C3750G-12S-SD (12 times SFP) Server SUN Fire V20z APC Smart-UPS 3000VA RM 2U OfficePro 3000N miditower - do kanceláři OfficePro 3000N miditower - na učebnu OfficePro 5000N miditower - na učebnu SUMA Celkem

58 4 Závěr 4 ZÁVĚR Hlavním cílem mé bakalářské práce bylo navrhnout komplexní funkční strukturu počítačové sítě, pro školní zařízení typu gymnázium, včetně pasivních a aktivních síťových prvků. V budově byly vedeny v každém patře horizontální rozvody LAN a následně propojeny pomocí vertikálních rozvodu. Takto vytvořena struktura sítě byla centralizována do hlavní serverovny, kde byl instalován hlavní rozvaděč a osazen pasivními a aktivními prvky LAN. Následně bylo popsáno vzájemné propojení těchto instalovaných prvků. Tento cíl se podařilo splnit beze zbytku. Při návrhu rozvodu byl brán zřetel na současnou výuku, potřeby učitelů, žáků a zároveň i na budoucí rozvoj moderních metod vzdělávání a stoupající trend v nutnosti počítačové gramotnosti. Dalšími cíli bylo navrhnout dostupné počítačové sestavy na učebny a do kanceláří. Návrh serveru s dostatečnou výpočetní kapacitou a popis instalace a konfigurace vybraných služeb běžících na serveru. Při výběru počítačových sestav byl brán zřetel na tři důležité činitele, cena, výkon a kvalita. Tyto kritéria nejlépe splňuje firma Autocont a navrhované počítačové sestavy jsou z její nabídky. Do racku v serverově byl nainstalován vybraný server značky SUN Microsystem. Byla zvolena dostatečně výkonná varianta. Tento server slouží jako brána do sítě Internetu. Na tento server byl nainstalován operační systém CentOS a byly instalovány a zkonfigurovány programy běžící na serveru. V práci je podrobně popsána instalace a konfigurace služeb iptables (firewall), squid (proxy server) a DHCP server. Za největší úspěch práce považuji to, že práce popisuje opravdu komplexní řešení počítačové sítě od pasivních prvků kabeláže až po konfiguraci proxy serveru. Při tvorbě této práce jsem načerpal mnoho nových zkušeností a poznatků z odborných článků, ale především největším přínosem byly konzultace s odborníky z tohoto oboru. Bakalářská práce mi pomohla ucelit a uspořádat dosavadní znalosti v oboru počítačových sítí. 58

59 5 Literatura 5 LITERATURA Dostálek, L. Velký průvodce protokoly TCP/IP bezpečnost. 2 vyd. Praha: Computer Press, s., ISBN X. Velte, T. J., Velte, A. T. Síťové technologie Cisco: Velký průvodce. Computer Press, 2003, ISBN Janeček, J.,Bílí, M. Lokální sítě. 2 vyd. Praha: Vydavatelství ČVUT, s., ISBN Studenský, I. Paketový filtr v Linuxu [online]. poslední revize [cit. 23. května 2006]. Dostupné z /iptables.1.html. Odvárka, P. Základy topologie a komunikace [online]. c1999, poslední revize [cit. 6. dubna 2006]. Dostupné z clanekid=12. Radkovský, P. Kabelážní systém Solarix [online]. [cit. 12. dubna 2006]. Dostupné z Tesař, M. Vznik a určení distribuce [online]. c1999, poslední revize [cit. 19. dubna 2006]. Dostupné z 2. Petříček, M. Stavíme Mailserver [online]. c1998, poslední revize [cit. 29. dubna 2006]. Dostupné z Boháč, J. SQUID Kešující proxy server [online]. c1998, poslední revize [cit. 29. dubna 2006]. Dostupné z Petříček, M. Stavíme firewall [online]. c1998, poslední revize [cit. 13. května 2006]. Dostupné z CISCO [online]. webové stránky. [cit. 12. května 2006]. Dostupné z /index.html. Elektronický katalog zboží [online]. webové stránky. [cit. 12. dubna 2006]. Dostupné z APC, 2006 [online]. webové stránky. [cit. 13. května 2006]. Dostupné z 59

60 Sun Fire V20z Server [online]. webové stránky. [cit. 17. května 2006]. Dostupné z 5 LITERATURA Autocont [online]. webové stránky. [cit. 22. května 2006]. Dostupné z product card.aspx? sku= &id=--site KOMUNIKACE&dept=--LAN PREPINACE&supplier= CISCO&sort=list price&order=a. Autocont [online]. webové stránky. [cit. 22. května 2006]. Dostupné z product card.aspx? sku= &id=--site KOMUNIKACE&dept=--LAN PREPINACE&supplier= CISCO&sort=list priceorder=a. Autocont [online]. webové stránky. [cit. 22. května 2006]. Dostupné z product card.aspx? sku= &id=--site KOMUNIKACE&dept=--LAN PREPINACE&supplier= CISCO&sort=list priceorder=a. Zabezpečení lokálních datových sítí proti neoprávněným uživatelům [online]. webové stránky. poslední revize [cit. 19. dubna 2006]. Dostupné z temaid=285&clanekid=

61 Přílohy

62 A A VÝPIS SERVEROVÝCH SÍŤOVÝCH ROZHRANÍ IFCONFIG Výpis serverových síťových rozhraní ifconfig Výpis ifconfig -a na serveru SUN Fire V20z ge0 Zapouzdení:Ethernet HWadr 00:11:3B:00:E1:11 inet adr: Všesměr: Maska: inet6-adr: fe80::211:3bff:fe00:e111/64 Rozsah:Linka AKTIVOVANO VSESMEROVE VYSILANI MULTICAST MTU:1500 Metrika:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 kolize:0 delka odchozi fronty:1000 RX bytes:0 (0.0 MiB) TX bytes:0 (0.0 MiB) eth1 Zapouzdreni:Ethernet HWadr 00:08:54:34:70:1D inet adr: Vsesmer: Maska: inet6-adr: fe80::208:54ff:fe34:701d/64 Rozsah:Linka AKTIVOVANO VSESMEROVE VYSILANI MULTICAST MTU:1500 Metrika:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 kolize:0 delka odchozi fronty:1000 RX bytes:0 (0.0 MiB) TX bytes:0 (0.0 MiB) lo Zapouzdreni:Mistni smycka inet adr: Maska: inet6-adr: ::1/128 Rozsah:Pocitac AKTIVOVANO SMYCKA MTU:16436 Metrika:1 RX packets:289 errors:0 dropped:0 overruns:0 frame:0 TX packets:289 errors:0 dropped:0 overruns:0 carrier:0 kolize:0 delka odchoz+ fronty:0 RX bytes:22752 (22.2 KiB) TX bytes:22752 (22.2 KiB)

63 B DHCP server B DHCP SERVER Výpis výpis konfiguračního souboru dhcpd. conf na serveru SUN Fire V20z option domain-name "lesni.net"; option routers ; option domain-name-servers , ; option subnet-mask ; option broadcast-address ; ddns-update-style none; default-lease-time 3600; max-lease-time 7200; subnet netmask { range ; } host pocitac1{ hardware ethernet 00:11:aa:7b:db:a7; fixed-address ; } host pocitac2{ hardware ethernet 52:54:b0:e5:0f:9d; fixed-address ; } host pocitac3{ hardware ethernet 00:00:55:00:00:ff; fixed-address ; } host pocitac4{ hardware ethernet 00:11:3b:00:e1:31; fixed-address ; } host pocitac5{ hardware ethernet 00:81:3b:00:e1:32; fixed-address ; } host pocitac6{ hardware ethernet 00:11:3b:05:e1:2a; fixed-address ; } host pocitac7{ hardware ethernet 00:11:2f:d2:11:96; fixed-address ; } host pocitac8{ hardware ethernet 00:34:00:00:00:ee; fixed-address ; } 63

64 C Iptables C IPTABLES Chain INPUT (policy DROP 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 0 0 spoofing all -- ge0 * / /0 0 0 tcp segmenty tcp -- ge0 * / /0 0 0 udp segmenty udp -- ge0 * / /0 0 0 icmp segmenty icmp -- ge0 * / /0 0 0 ACCEPT all -- eth1 * / /0 0 0 ACCEPT all -- lo * / /0 0 0 ACCEPT all -- * * / /0 state RELATED,ESTABLISHED 0 0 REJECT tcp -- ge0 * / /0 tcp dpt:113 reject-with icmp-port-unreachable 0 0 LOG all -- * * / /0 limit: avg 20/hour burst 5 LOG flags 0 level 4 Chain FORWARD (policy DROP 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 0 0 ACCEPT all -- eth1 * / /0 0 0 ACCEPT all -- ge0 eth / /0 state RELATED,ESTABLISHED 0 0 ACCEPT all -- ge0 * / /0 state RELATED,ESTABLISHED 0 0 spoofing all -- ge0 * / /0 Chain OUTPUT (policy DROP 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 0 0 ACCEPT all -- * * /0 0 0 ACCEPT all -- * * /0 0 0 ACCEPT all -- * * /0 0 0 ACCEPT all -- * * /0 0 0 ACCEPT all -- * * /0 0 0 LOG all -- * * / /0 Chain spoofing (2 references) pkts bytes target prot opt in out source destination 0 0 DROP all -- * * / /0 0 0 DROP all -- * * / /0 0 0 DROP all -- * * / /0 64

65 D Obrázky D OBRÁZKY Obrázek 5: Pohled na pavilon 1 z ulice Obrázek 6: Pohled na centralni cast pavilonu 1 65

66 D OBRÁZKY Obrázek 7: Sun Fire V20z Obrázek 8: Řada switchů Cisco Catalist 3750 Obrázek 9: Rack 66