Renovace sítě a počítačových učeben na SOŠ Podyjí

Transkript

1 Mendelova univerzita v Brně Provozně ekonomická fakulta Renovace sítě a počítačových učeben na SOŠ Podyjí Bakalářská práce Vedoucí práce: Ing. Jiří Balej Martin Šupola Brno 2014

2

3 Poděkování Rád bych poděkoval svému vedoucímu práce, panu Ing. Jiřímu Balejovi, za oborné vedení a konzultace. Děkuji panu Mgr. Pavlu Šarešovi za poskytnutí podrobných informací o stávajícím stavu a podporu při řešení renovace. Dále bych chtěl poděkovat svému kamarádovi Janu Bětíkovi za cenné rady, paní PaedDr. Evě Kantorové za jazykovou korekturu a v neposlední řadě patří veliké díky mým rodičům a bratrovi za trpělivost a shovívavost, kterou ke mně při zpracovávání této práce měli.

4 Čestné prohlášení Prohlašuji, že jsem tuto práci: Renovace sítě a počítačových učeben na SOŠ Podyjí vypracoval samostatně a veškeré použité prameny a informace jsou uvedeny v seznamu použité literatury. Souhlasím, aby moje práce byla zveřejněna v souladu s 47b zákona č. 111/1998 Sb., o vysokých školách ve znění pozdějších předpisů, a v souladu s platnou Směrnicí o zveřejňování vysokoškolských závěrečných prací. Jsem si vědom/a, že se na moji práci vztahuje zákon č. 121/2000 Sb., autorský zákon, a že Mendelova univerzita v Brně má právo na uzavření licenční smlouvy a užití této práce jako školního díla podle 60 odst. 1 Autorského zákona. Dále se zavazuji, že před sepsáním licenční smlouvy o využití díla jinou osobou (subjektem) si vyžádám písemné stanovisko univerzity o tom, že předmětná licenční smlouva není v rozporu s oprávněnými zájmy univerzity, a zavazuji se uhradit případný příspěvek na úhradu nákladů spojených se vznikem díla, a to až do jejich skutečné výše. V Brně dne 21. května 2014

5 Abstract Šupola, M. Renovation of a network and computer classrooms at secondary school Podyji. Bachelor thesis. Brno: Mendel University, The subject of this Bachelors thesis is a renovation of a computer network and computer labs on the secondary technical school Podyjí. It analyzes the current state of the hardware, software and overall structure of the network. The renovation and further improvements are based on the analysis too. This thesis ends with the economical evaluation of the entire project and with benefits for the school. Keywords computer network, renovation, school, classroom, security, VLAN, server, backup Abstrakt Šupola, M. Renovace sítě a počítačových učeben na SOŠ Podyjí. Bakalářská práce. Brno: Mendelova univerzita v Brně, V této bakalářské práci je řešena renovace školní počítačové sítě a počítačových učeben na SOŠ Podyjí. Je provedena analýza stávajícího stavu z hlediska hardwaru, softwaru i struktury celé počítačové sítě. Na základě této analýzy je řešena samotná renovace a případný další návrh na vylepšení. Práce je zakončena ekonomickým zhodnocením celého projektu a přínosy pro samotný subjekt. Klíčová slova počítačová síť, renovace, škola, učebna, zabezpečení, VLAN, server, zálohování

6 Obsah 6 Obsah 1 Úvod a cíl práce Úvod Cíl práce Metodika řešení Přehled literatury Literatura v oblasti hardwaru Literatura v oblasti programového vybavení Literatura v oblasti počítačových sítí a zabezpečení Stránky výrobce Již vzniklé bakalářské a diplomové práce Zásady při vytváření sítí teorie Kabeláž a bezdrátové spoje Metalické kabely Optické kabely Bezdrátové spoje Strukturovaná kabeláž Síťová propojovací zařízení Repeater Hub Bridge Switch Router Gateway Referenční ISO/OSI Model Fyzická vrstva Linková vrstva Síťová vrstva Transportní vrstva... 25

7 Obsah Relační vrstva Prezentační vrstva Aplikační vrstva Architektura TCP/IP a adresace Standard Ethernet Adresace IPv Adresace IPv Překlad adres (NAT) VLAN Nastavení portů VLAN DHCP Relay Požadavky na server Požadavky z hlediska spolehlivosti Požadavky z hlediska výkonnosti Zabezpečení serveru Redundance RAIDové pole Softwarové zabezpečení Zálohování serveru Služby běžící na serveru DNS DHCP AD Print server Souborový server Původní stav sítě a počítačových učeben Konektivita k síti internet Struktura sítě Stávající zabezpečení sítě Stávající servery Počítačové učebny... 38

8 Obsah Učebna Učebna Učebna Výpočetní technika ve sborovně a ředitelně Návrh renovace sítě a učeben Konektivita k síti internet Struktura sítě Nastavení switche Nastavení routeru Nastavení klientů Servery Nastavení hlavního serveru Mail a web server Diskové pole NAS Zabezpečení sítě HW zabezpečení sítě SW zabezpečení sítě Zásady hesel Správa sítě a jejich prvků Počítačové učebny Učebna Učebna Učebna Další výpočetní technika Obecné zabezpečení učeben Cyklus obnovy počítačových učeben Zhodnocení a stav projektu Hardware Software Souhrnné zhodnocení a další náklady Aktuální stav renovace... 59

9 Obsah 9 7 Závěr Vize do budoucna Literatura 62 A Vybrané fotografie 64 B CD/DVD 65

10 Seznam obrázků 10 Seznam obrázků Obr. 1 Zapojení konektoru RJ45 dle EIA/TIA 568A 20 Obr. 2 Ukázka rackové skříně 23 Obr. 3 Sedmivrstvý model ISO/OSI 25 Obr. 4 Ethernetový rámec 27 Obr. 5 Příklad IP adresy verze IPv6 29 Obr. 6 Příklad sítě VLAN 30 Obr. 7 Původní infrastruktura školní sítě. 36 Obr. 8 Schéma ideální sítě s redundancí 41 Obr. 9 Konečný návrh sítě 42 Obr. 10 Switch TP-Link TL-SG Obr. 11 Ukázka webového rozhraní switche TL-SG Obr. 12 Ukázka nastavení sítí VLAN na routeru monowall 45 Obr. 13 Ukázka virtuální portů na routeru 45 Obr. 14 Firewallové pravidlo pro zákaz komunikace z učebny 208 do ostatních učeben. 46 Obr. 15 Nastavení názvu PC a nastavení získání DHCP adresy ze serveru 47 Obr. 16 Možná struktura rozdělení uživatelů 49 Obr. 17 Nesprávné umístění switche není chráněn 64 Obr. 18 Staré servery umístěny v neklimatizované místnosti 64

11 Seznam tabulek 11 Seznam tabulek Tab. 1 Zapojení konektoru RJ45 20 Tab. 2 Kategorie kroucené dvojlinky 21 Tab. 3 Přehled nejpoužívanějších standardů WIFI 22 Tab. 4 Přehled tříd IP adres 28 Tab. 5 Rezervované IP adresy 28 Tab. 6 Výchozí síťové masky pro jednotlivé třídy 28 Tab. 7 Původní aktivní síťové prvky 36 Tab. 8 Srovnání parametrů serverů 38 Tab. 9 Současná konfigurace učebny Tab. 10 Současná konfigurace učebny Tab. 11 Současná konfigurace učebny Tab. 12 Příklad nastavení oborů IP adres pro sítě VLAN 48 Tab. 13 Minimální systémové požadavky aplikace ArchiCAD Tab. 14 Porovnání původních konfigurací jednotlivých učeben 55 Tab. 15 Porovnání nových konfigurací jednotlivých učeben 56 Tab. 16 Souhrn výdajů za nákup potřebného vybavení 59

12

13 Úvod a cíl práce 13 1 Úvod a cíl práce 1.1 Úvod S výpočetní technikou se v dnešní době setkáváme na každém kroku. Vzhledem k jejímu širokému využití se s ní můžeme setkat v obchodech při platbě kartou, v bankomatech, u chytrých telefonů, televizí a další elektroniky. Neexistuje žádný obor, který by se obešel bez použití výpočetní techniky. Již několik let se s ní setkáváme i ve školství, kde pomáhá zkvalitňovat výuku. Již v první třídě základní školy se žáci učí s počítačem správně zacházet a efektivně jej využívat k práci. Díky využití těchto technologií může být studium významně zjednodušeno a výuka může být pojata různými způsoby. Jedním z typických příkladů jsou různé interaktivní aktivity, díky kterým je pro studenty dané učivo pochopitelnější. Například v zeměpise žáci doplňují interaktivní slepé mapy. Dalším typickým příkladem jsou různé výukové aktivity na procvičování jazyků, nebo různé hry rozvíjející paměť a vědomosti. Těchto technologií využívají i starší studenti pro vyhledávání různých informací na internetu, zpracovávání dalších (a nejen školních) úkolů, či další zábavu. Současně s přibýváním výpočetní techniky se začala rozrůstat i celosvětová počítačová síť Internet, bez které by nebyla výměna informací tak snadná. Konektivitu k internetu si zřizovalo stále více subjektů a počítačové sítě ve školství vznikaly postupně na základě potřeb. Vzhledem k tomu, že v mnoha školách není k dispozici mnoho finančních prostředků, jsou tyto sítě již mnohdy zastaralé a nevyhovující. Tato bakalářská práce se zaobírá renovací počítačové sítě a nákupem nových počítačů pro Střední odbornou školu Podyjí s.r.o. Je to soukromá střední škola menšího rozsahu, na které studuje ročně kolem 250 studentů ve dvou oborech. Vzhledem k tomu, že se jedná o soukromou školu menšího rozsahu, je výše finančních prostředků značně omezena. Proto je při realizaci projektů rozhodující především výše nákladů, které je pro jejich realizaci nutné vynaložit, což se hlavně projevuje v méně častém cyklu obnovy technického vybavení, které škole slouží i několik let po jeho morálním i technickém zastarání. 1.2 Cíl práce Cílem této bakalářské práce je modernizace již nevyhovujících počítačových učeben a restrukturalizace zastaralé počítačové sítě tak, aby splňovala současné požadavky, neboť kvalitní technické zázemí zvyšuje efektivitu práce. Hlavním cílem je nákup nové počítačové učebny, která bude sloužit pro výuku studentů oboru Pozemní stavitelství, kteří pracují v grafickém programu ArchiCAD. Dále pak tato učebna bude sloužit i k virtualizovanému řešení pracovních stanic pomocí aplikace Oracle VirtualBox. V budoucnu po dokoupení dalších síťových prvků i jako síťová laboratoř, což využijí především studenti oboru Informačních technologií, zejména

14 Úvod a cíl práce 14 v předmětu Počítačové sítě a systémy, kteří neměli doposud žádnou možnost si své nabyté vědomosti vyzkoušet v praxi. Dalším krokem je upgrade zbylých počítačových učeben, důkladná údržba jednotlivých počítačů, případné rozšíření operační paměti a přechod na novější verzi operačního systému z důvodu končící podpory systému Windows XP. Nezbytnou součástí modernizace je nákup nového síťového serveru, protože ten původní je v havarijním stavu. Současně je řešen i přechod na novější operační systém Windows Server 2008 R2. Dále pak jeho zálohování, spolehlivost, zabezpečení a zřízení diskového pole pro zálohy. Je provedena výměna jednotlivých propojovacích zařízení, popřípadě výměna nebo doplnění kabeláže a celkové zabezpečení sítě. V samotném závěru práce je ekonomické zhodnocení celého projektu a diskuze, co nového tato práce přinesla. Nakonec je naznačena vize do budoucna, jakým směrem by se měl další upgrade ubírat. 1.3 Metodika řešení Prvním krokem k vypracování této práce je nastudování odborné literatury, publikací a závěrečných prací na toto téma, které již vznikly. Také je vhodné se inspirovat jinými řešeními, která jsou aplikovaná například v různých školách. Po prostudování odborné literatury, a tím i seznámení se s problematikou v oblasti návrhu, výstavby a zabezpečení počítačových sítí, se provede analýza stávajícího stavu sítě, jednotlivých síťových prvků, dále pak bude řešen stav serverů a konektivita k síti internet. Bude zanalyzován stav jednotlivých počítačových učeben vzhledem k jejich určení a stav dalších počítačů na škole. Po provedení analýzy je vypracován návrh nové infrastruktury celé sítě jak z hlediska struktury, tak i jejího zabezpečení. Je navržena modernizace serverů a jeho služeb. Dále se provede návrh vylepšení jednotlivých počítačových učeben a všech počítačů na škole. Konečný návrh je pak realizován s ohledem na nízký finanční obnos, který si škola může dovolit vynaložit. Posledním úkolem je ekonomické zhodnocení projektu a naznačení vize do budoucna.

15 Přehled literatury 15 2 Přehled literatury Ohledně této problematiky bylo napsáno již mnoho odborné literatury, článků a jiných prací, ve kterých jsou obdobná řešení. Tato odborná literatura se většinou dělí do jednotlivých okruhů, jako je například literatura, zabývající se základy počítačových sítí, jejich zabezpečením. Seznámil jsem se s některými bakalářskými a diplomovými oracemi, které byly již v minulosti vypracovány. Obecně však lze říci, že vývoj informačních technologií jde velikým krokem kupředu a většina trendů se mění. Stoupají požadavky na zabezpečení, bezporuchový a hlavně spolehlivý provoz. Při návrhu sítě je vhodné se držet obecného řešení, které je v literatuře k dispozici, ale pro daný subjekt je nutná úprava přímo na míru. Univerzální řešení, které by bylo plně funkční a aplikovatelné ve všech subjektech neexistuje. Proto je odborná literatura či hotové práce dobrým vodítkem, ale nikoliv hotovým řešením. 2.1 Literatura v oblasti hardwaru Hardware se vyvíjí velmi rychlým krokem a je třeba jeho trendy sledovat. Týká se to hlavně hardwaru počítačového, ze kterého se skládá samotný počítač. Elektronika velmi rychle zastarává jak po morální stránce, tak i po stránce výkonu. Vyvíjí se stále lepší komponenty. Dobrým vodítkem je kniha Stavíme si počítač (Broža, 2001), která je sice starší, ale čitatele podrobně seznamuje s jednotlivými komponenty a radí, jaké parametry, u kterých komponent sledovat. Je velmi vhodné zajímat se hlavně o internetové portály a odborné časopisy, zabývající se hardwarem, kde bývají aktuální informace. Jedná se například o webové portály extrahardware ( pctuning ( nebo zive ( kde jsou k dispozici i různé srovnávací testy, které docela významně pomohou při výběru správných počítačových komponent. 2.2 Literatura v oblasti programového vybavení Programové vybavení počítačů je taková oblast, která se vyvíjí podobně rychle jako hardware. Vznikají novější verze programů, a naopak od těch starších se postupně upouští a přestávají být podporovány jejich výrobcem. Tato skutečnost se například projevuje absencí nových ovladačů k hardwaru pro operační systém, na kterém je provozován. Dobrým zdrojem je známý internetový portál extrawindows ( který přináší aktualizované informace z oblasti softwaru jak komerčního, tak i opensource. Existuje i literatura, ve které se pojednává přímo o daném softwaru. Aktuálně například knihy ohledně nejpoužívanějšího operačního systému Microsoft Windows 7 - Microsoft Windows 7, podrobná uživatelská příručka (Bitto, 2009) nebo Mistrovství v Windows 7 (Siechert, Stinson a Bott, 2010). O nejnovějším operačním systému Windows 8 společnosti Microsoft již také vznikla kvalitní literatura, zabývající se jeho instalací a nastavením. Je to například Mistrovství v Windows 8 (Northrup, 2013) nebo Microsoft Windows 8,

16 Přehled literatury 16 podrobná uživatelská příručka (Bitto, 2012). Obecně se jedná o literaturu, která podrobně řeší instalaci, nastavení a ovládání operačního systému. Kromě operačních systémů Windows společnosti Microsoft existuje i tzv. GNU/Linux. Je to systém, který je poskytován pod různými typy licencí zdarma. I přesto, že bývá poskytován zdarma, může být v případě Enterprise řešení systém zpoplatněn. Výrobce však k němu poté poskytuje uživatelskou podporu. Linux existuje ve stovkách distribucí, jejichž přehled je dostupný na webovém portálu distrowatch ( Pro každou z nich je k nalezení návod k instalaci, který je většinou umístěn na oficiálních stránkách dané distribuce. Vhodným portálem je linux.cz ( který docela pomůže s výběrem správné linuxové distribuce. Mezi další vhodné zdroje z oblasti OS Linux patří známý portál ABClinuxu ( kde je možné najít různé rady, nebo specifické nástroje. Vzhledem k tomu, že existuje nepřeberné množství linuxových distribucí a jednotlivých portálů či manuálových stránek, které se jim věnují, je zapotřebí hledat. 2.3 Literatura v oblasti počítačových sítí a zabezpečení Situace je mnohem lepší v oblasti sítí a jejich zabezpečení. Sítě a jejich hardware se sice také vyvíjí velikým krokem, ale existuje zde několik standardů, jako jsou například síťové protokoly, které zůstávají již několik let stále v platnosti (jsou definovány v RFC). Jako vhodnou podpůrnou literaturou se tedy hodí TCP/IP v kostce (Pužmanová, 2009), kde autorka pojednává o TCP/IP, jakožto nejrozšířenější sadě protokolů současné doby. Řeší jejich architekturu, funkčnost a seznamuje nás s jednotlivými funkcemi. Další užitečnou literaturou je Velký průvodce protokoly TCP/IP: Bezpečnost (Dostálek, 2003), kde je pojednáváno o zabezpečení počítačových sítích, na které je v současné době kladen veliký důraz z důvodu nárůstu kybernetických útoků. Autor v knize řeší zabezpečení serverů a dat na něm uložených, což je při návrhu sítě velmi důležité téma. Důležitou částí je také samotná počítačová síť, která by měla splňovat aktuální požadavky a být moderní. V této části nám velmi pomůže literatura Moderní komunikační sítě od A do Z (Pužmanová, 2004), která řeší technickou stránku samotných sítí, neplní však funkci příručky. V neposlední řadě je vhodná kniha Mistrovství v počítačových sítích (Bigelow, 2004), což je kniha o sítích a počítačovém hardwaru, která je specifická v tom, že obsahuje otázky i odpovědi běžné problémy, se kterými se můžeme při návrhu sítě setkat. Aktuální informace z této oblasti lze najít i na stránkách společností a výrobců, zabývajících se touto problematikou. 2.4 Stránky výrobce Velmi neocenitelnou pomůckou jsou internetové stránky jednotlivých výrobců, kde jsou k nalezení manuály (návody) a další podpůrný software potřebný k provozu jednotlivých komponent. Například společnost Cisco ( prodávající síťové produkty, má na svých stránkách různé návody. Nabízí na nich

17 Přehled literatury 17 také různá školení či kurzy. Obdobně jsou na tom i ostatní výrobci, například TP- Link ( nebo Intel ( kteří na svých stránkách taktéž mají umístěny manuály, jak se s daným prvkem pracuje nebo jak jej nastavit, taktéž jsou tam k nalezení firmwary a ovladače pro daný prvek. I softwaroví výrobci na svých stránkách uvádí různé možnosti konfigurace či minimální hardwarové požadavky pro provoz daného softwaru. Existují i různá fóra, kde jednotliví uživatelé přispívají svými zkušenostmi nebo mezi sebou řeší specifická nastavení, která nejsou v žádném z návodů uvedena. 2.5 Již vzniklé bakalářské a diplomové práce Pro samotnou SOŠ Podyjí, ve které je prováděna renovace počítačové sítě, již byla studentem VUT vytvořena práce Návrh bezdrátové sítě pro SOŠ Podyjí (Truhlář, 2010). Autor zde navrhuje WIFI síť pro objekt školy. Ve své práci však neřešil stav technického vybavení počítačových učeben, serverů ani sítě jako celku. K realizaci tohoto projektu nakonec vůbec nedošlo a stav sítě zůstal zachován. Samozřejmě je k dispozici spousta dalších prací, zabývajících se touto problematikou, jako je například Modernizace počítačové sítě v prostředí střední školy (Jiří Jirmann, 2007). Autor v této práci řeší původní stav sítě z hlediska bezpečnosti výkonu a ochrany dat, na základě toho uvádí komplexní řešení nové infrastruktury. Ve své práci uvádí, jak vybrat dodavatele jednotlivých komponent. Další prací je Rekonstrukce vnitropodnikové počítačové sítě Obecního úřadu Šatov (Talár Roman, 2007), kde se autor také zabývá strukturou sítě a následně navrhuje zlepšení stavu jak technického tak programového. Práce je zakončena ekonomickým zhodnocením a návrhem používat Open Source software. Dobrou inspirací je také práce Návrh inovace podnikové sítě středního rozsahu (Goldammer, 2013), kde se autor zabývá bezpečností celé sítě a analýzou rizik. Řeší zálohování dat a monitoring sítě. V práci Reengineerinng pořítačové sítě Domu kultury Vsetín, spol. s r.o. (Kostelník, 2011) lze opět získat inspiraci pro řešení počítačové sítě a návrh její topologie. Autor zde uvádí služby serveru a možnosti nastavení jednotlivých prvků. Celá práce je zakončena opět ekonomickým hodnocením.

18 Zásady při vytváření sítí teorie 18 3 Zásady při vytváření sítí teorie Počítačová síť je označení pro propojení jednotlivých počítačů a dalších síťových prvků, nacházejících se ve vzájemné interakci. Je vytvářena za účelem sdílení souborů či informací, sdílení hardwaru a konektivity k síti internet podle určitých pravidel. Základním stavebním prvkem pro vytvoření sítě je kabeláž, která plní funkci síťových spojů. Řadí se mezi pasivní síťové prvky. Rozlišujeme několik typů kabeláže, dělící se do několika skupin. Každá ze skupin je určena pro jiný způsob přenosu signálu mezi jednotlivými uzly. Mezi další prvky patří síťová propojovací zařízení, která se řadí mezi prvky aktivní. Rozdíl mezi aktivními a pasivními prvky je, že prvky aktivní modifikují data přenášená v síti (například zesílení signálu), kdežto prvky pasivní původní data nemění, pouze je přenášejí. Součástí sítě jsou nakonec samotná koncová (uživatelská) zařízení, jako jsou servery, počítače, tablety, tiskárny a další mobilní elektronika. Počítačovou síť je potřebné vytvářet s ohledem na její možnou budoucí modernizaci či rozšíření. Lze očekávat nárůst připojovaných mobilních zařízení, která prudce přibývají díky přítomnosti WIFI modulu (bezdrátová síť). Jedním z dalších požadavků je, aby síť splňovala současné nároky na bezpečnost, rychlost a kapacitu. To vše s ohledem na množství připojených uživatelů. 3.1 Kabeláž a bezdrátové spoje Síťové spoje dělíme podle principu funkčnosti do tří základních skupin. První skupinou jsou metalické kabely, které využívají přenos informací na základě elektromagnetických vln. Druhým typem jsou optické kabely, založené na přenosu informací pomocí světelných paprsků. Třetím typem jsou bezdrátové spoje využívající rádiový, světelný, nebo zvukový přenos. Každý způsob přenosu má svoje výhody a nevýhody, proto záleží na situaci, kdy jakou kabeláž použijeme Metalické kabely Tato kabeláž pracuje na principu elektromagnetického signálu. Data jsou přenášena pomocí elektromagnetických vln, vyznačujících se svou frekvencí, fází a amplitudou. V oblasti metalických kabelů jsou v počítačových sítích používány dva druhy kabelů a to koaxiální kabel a kroucená dvojlinka. 1. Koaxiální kabel Uváděn také pod zkratkou Koax je asymetrický elektrický kabel skládající se ze čtyř vrstev, z toho jsou dvě vrstvy vodičem. První vrstvou je vnitřní vodič, který bývá většinou vyrobený z měděného drátu. Druhá vrstva odděluje vnitřní vodič od stínění. Třetí vrstvou je stínění, které spolu s vnitřním vodičem plní funkci přenosového média. Poslední vrstvou je PVC obal, neboli plášť, který chrání samotný kabel před poškozením. V současné době se pou-

19 Zásady při vytváření sítí teorie 19 žívá jen u starých počítačových sítí. Od těchto kabelů se i přes jejich přijatelné vlastnosti v počítačových sítích upouští. (Pužmanová, 2004) Kabel se dělí na dva druhy a to: 1.1. Silný koaxiální kabel jeho tloušťka je cca 1 cm a maximální délka segmentů 500 m. Používá konektor AUI. Samotný vodič obklopují vrstvy stínění a izolace. Nachází se většinou v páteřním vedení pro Ethernet. (Pužmanová, 2004) 1.2. Tenký koaxiální kabel tloušťka tohoto kabelu je cca 0,5 cm a délka segmentu 200 m. Tyto kabely používají konektory BNC. Používaly se především v sítích založené na topologii BUS (česky sběrnice). (Pužmanová, 2004) 2. Kroucená dvojlinka Uváděna také pod názvem symetrický kabel a je z uvedené kabeláže nejméně výkonný. V současné době to je nejpoužívanější metalický vodič. Skládá se z několika párů měděných vodičů v PVC obalu, které jsou od sebe barevně rozlišeny a navzájem krouceny. Pro počítačové sítě se používá 4 párový kabel s konektorem RJ45. Umožňuje vytvářet pouze dvoubodové spoje a délka segmentu je maximálně 100 m. Dělí se do tří skupin, které se liší ve stínění Nestíněný symetrický kabel (UTP Unshielded Twisted Pair) Neobsahuje žádné stínění a je náchylný narušení, které je částečně eliminováno kroucenými vodiči. S tímto kabelem je vzhledem k jeho tloušťce jednoduchá manipulace, není ale vhodný do míst v blízkosti zdrojů elektromagnetického záření. Výhodou je nízká pořizovací cena, díky níž je tento typ kabelu nejpoužívanější. (Pužmanová, 2004) 2.2. Stíněný symetrický kabel (STP Shielded Twisted Pair) Stíněný kabel, který je složený z kroucených vodičů (stejně jako UTP) a jednoho celkového stínění, většinou hliníková fólie. Tento kabel je vhodný do míst, kde se může vyskytovat elektromagnetické záření. Hůře se s ním manipuluje a může kvůli svému stínění vyžadovat odbornou montáž. Nevýhodou tohoto kabelu jsou značně vyšší pořizovací náklady. Stále používá konektor RJ45. Existuje i kabel FTP, který má oproti STP kabelu stíněný každý pár vodičů a k tomu jedno celkové stínění. Tento kabel je z uvedených tří skupin kabelů nejdražší. Používá se v prostorách, kde je vysoké riziko vzniku rušení, zejména v nemocnicích, kde se pracuje s přístroji. Zapojení RJ45 konektoru je standardizováno (TIA/EIA-568-B; tři telekomunikační standardy). Existují dva mezinárodně uznávané typy zapojení, a to T568a a T568b. Jejich kombinací vzniká křížené a přímé zapojení. Správné zapojení je uvedeno v tabulce č. 1 a na obrázku č. 1.

20 Zásady při vytváření sítí teorie 20 Tab. 1 Zapojení konektoru RJ45 Pin Konektor 1 Konektor 2 Konektor 2 (T568b) klasické (T568b) křížené (T568a) 1 bílo-oranžová bílo-oranžová bílo-zelená 2 oranžová oranžová zelená 3 bílo-zelená bílo-zelená bílo-oranžová 4 modrá modrá modrá 5 bílo-modrá bílo-modrá bílo-modrá 6 zelená zelená oranžová 7 bílo-hnědá bílo-hnědá bílo-hnědá 8 hnědá hnědá hnědá Obr. 1 Zapojení konektoru RJ45 dle EIA/TIA 568A Zdroj (cit ) Kroucená dvojlinka také během své existence prochází vývojem a postupně vznikají nové kategorie, které se mezi sebou liší jak rychlostmi a šířkou pásma, tím i její použitím. Nejnovější kategorie je sice kategorie 7a, avšak nejpoužívanější je v současnosti kategorie 5e. Následující tabulka uvádí rozdíly v jednotlivých kategoriích.

21 Zásady při vytváření sítí teorie 21 Tab. 2 Kategorie kroucené dvojlinky Označení Typ Šířka pásma Uplatnění Cat 1 0,4 Mhz Telekomunikace Cat 2 4 Mhz Starší terminály Cat 3 UTP 16 Mhz 10Base-T, 100Base-T4, Ethernet Cat 4 UTP 20 Mhz 16 Mbit/s, Token Ring Cat 5 UTP 100 Mhz 100Base-TX, 1000Base-T, Ethernet Cat 5e UTP 100Base-TX, 1000Base-T, Ethernet Mhz nejpoužívanější Cat 6 UTP 250 Mhz 10GBase-T, 1000Base-TX, Ethernet Cat 6a UTP 500 Mhz 10GBase-T, 1000Base-TX, Ethernet Cat 7 S/FTP 1200 Mhz 10GBase-T, Ethernet Cat F S/FTP Telefon. CCTV, 1000Base-TX na stejném kabelu, 600 Mhz samostatně 10GBase-T Ethernet Cat Fa Telefon. CCTV, 1000Base-TX na stejném kabelu, 1000 Mhz samostatně 10GBase-T Ethernet Zdroj: Pužmanová, 2004; (cit ) Optické kabely Jsou nejnovějším přenosovým médiem v komunikacích. Tyto typy kabelů využívají světelné paprsky, které se nazývají vidy. Principem funkčnosti je převod elektrického signálu na signál světelný, což zajišťuje světelná LED (Light Emitting Diode) dioda nebo laserová dioda. Rozlišujeme dva typy optických kabelů, jednovidové a mnohovidové. Optický kabel se skládá ze čtyř částí, a to z jádra, primární vrstvy, sekundární vrstvy a PVC obalu. Jádro je hlavní částí celého kabelu, přenáší jednotlivé vidy. Primární vrstva má za úkol zajistit, aby docházelo k odrazu jednotlivých vidů, a ty se neztrácely. Vzhledem k tomu, že je jádro a primární vrstva náchylná na poškození, přichází na řadu konstrukční vrstva, která celý kabel zpevňuje. Na tuto vrstvu se uchycuje konektor. Poslední vrstvou je PVC obal, který chrání celý kabel před poškozením. Optický kabel využívá mnoho typů konektorů, jako jsou například nejznámější ST, SC, FC, nebo MU a MTO/MTP. Protože je optické vlákno hodně malé (v jednotkách μm), je zapotřebí konektory přidělávat pomocí specializovaných přístrojů, které dokáží tak malé vlákno ke konektoru připojit. Signál jednovidových kabelů má konstantní vlnovou délku, díky čemuž je dosaženo lepší kvality přenosu dat. Délka segmentu je v řádech několika kilometrů. Mnohovidové kabely jsou vhodné na krátké vzdálenosti do 600 m a světelné paprsky jsou několika vlnových délek. Co se týče rychlosti přenosu u těchto kabelů, ta se pohybuje již kolem 100 Gbit/s, což jsou oproti metalické kabeláži vynikající rychlosti. (Pužmanová, 2004, Wikipedia) Společnost Intel se chystá v druhé polovině roku 2014 uvést do prodeje MXC optické kabely s rychlostí až 1,6Tb/s.

22 Zásady při vytváření sítí teorie Bezdrátové spoje Může se jednat o optickou (světelnou), radiovou nebo zvukovou (zvukové vlny) komunikaci na dálku, kdy vysílač vysílá signál, který přijímač zachycuje. U optické komunikace se setkáváme buď s laserovým světlem, nebo světlem infračerveným. U rádiové komunikace se využívá rádiových vln, které mají svou specifickou frekvenci a pásmo, ve kterém jsou vysílány. Sonická komunikace funguje na principu zvukových signálů (typicky u ponorek). V oblasti výpočetní techniky se používají především rádiové signály, pro většinu uživatelů známé pod pojmem WIFI (zkratka slova Wireless Fidelity). Je to celkové označení pro standard IEEE WIFI pracuje v bezlicenčním frekvenčním pásmu. Existuje v několika specifikacích, lišících se navzájem v rychlosti komunikace a pásmu, ve kterém pracuje. V tabulce č. 3 jsou uvedeny nejpoužívanější standardy. Tab. 3 Přehled nejpoužívanějších standardů WIFI Standard Pásmo [GHz] Max. Rychlost [Mbit/s] Fyzická vrstva IEEE ,4 2 DSSS IEEE802.11a 5 54 OFDM IEEE802.11b 2,4 11 DSSS IEEE802.11g 2,4 54 OFDM IEEE802.11n 2,4 nebo IEEE802.11ac 2,4 nebo OFDM, MIMO OFDM, MIMO Existují i další standardy jako je například IEEE802.11d, který upravuje standard IEEE802.11b pro jiné kmitočty. Dalším standardem je IEEE802.11e, který má podporu QoS ve vrstvě MAC. Mezi bezdrátové sítě se řadí i sítě PAN (Personal Area Network), což jsou sítě propojující zařízení ve svém okolí. Zde se využívá technologie Bluetooth, specifikované standardem IEEE Strukturovaná kabeláž Strukturovaná kabeláž je základním stavebním kamenem celé sítě. Je to jednotný systém, který propojuje celou IT infrastrukturu. V domácích podmínkách není na závadu, pokud je vedena volně. Ve větších firmách či budovách je však již nutné v kabeláži udržovat pořádek, mít ji sjednocenou a vlastnit k ní dokumentaci, kudy je vedena. U strukturované kabeláže se vedení kabelů dělí na horizontální a vertikální. Horizontální, neboli vodorovné vedení, jsou rozvody kabeláže v rámci jedno-

23 Zásady při vytváření sítí teorie 23 ho patra. U vertikálního vedení je vedena svisle v rámci více pater. Kabely bývají vedeny buď ve zdi, nebo pomocí plastových U lišt. Často také bývá vedena v šachtách, které jsou pro ně určeny. Jednotlivé síťové prvky jsou umístěny v tzv. racku. Za účelem větší přehlednosti v kabeláži se také téměř vždy setkáváme s propojovacími panely (patch panel) nebo propojovacími kabely (patch kabel). Definuje se zde také tzv. páteřní vedení, což je hlavní vedení kabeláže mezi jednotlivými racky. Strukturovaná kabeláž významným způsobem snižuje náklady na další údržbu sítě prostřednictvím snadnějšího rozšiřování a jednodušší správy. Na obrázku č. 2 je ukázka rackové skříně. Obr. 2 Ukázka rackové skříně (zdroj: Síťová propojovací zařízení Pro komunikaci jednotlivých počítačů mezi sebou je zapotřebí propojovacích zařízení, která spolu s kabeláží vytváří logické celky, mezi nimiž se data předávají. Síťová propojovací zařízení se řadí mezi aktivní síťové prvky Repeater Neboli opakovač, je zařízení pracující na fyzické vrstvě ISO/OSI modelu (referenční komunikační model). Přijímá slabý nebo nějakým způsobem poškozený signál a opravený jej vysílá dále do sítě. V praxi jej lze použít pro zesílení slabého signálu. Například pro prodloužení délky segmentu. Repeater lze využít jak u metalických kabelů, tak i u bezdrátových spojů. (Jírovský, 2001) Hub Známý také jako rozbočovač. Je to zařízení, které opět pracuje na fyzické vrstvě ISO/OSI modelu. Jeho úkolem je přeposílání (rozbočování) dat na další porty kromě toho, odkud data přišla. Tento prvek je základním stavebním prvkem sítě s topologií Star (hvězdicová topologie). (Jírovský, 2001)

24 Zásady při vytváření sítí teorie Bridge Most oproti předchozím zařízením pracuje na linkové vrstvě ISO/OSI modelu. Rozděluje síť do menších segmentů. Princip práce mostu je, že si rozdělí síťová zařízení pomocí MAC adres do dvou segmentů. Pokud se dvě mezi sebou komunikující zařízení nachází v jednom segmentu, most rámce do jiných segmentů neodešle. Netýká se to broadcastových (záplavových) rámců, které jsou vždy zaslány do všech segmentů na všechna zařízení Switch Uváděn pod pojmem přepínač. Je to inteligentní síťové zařízení pracující na linkové vrstvě ISO/OSI modelu. Schopností switche je možnost vytvářet nekolizní síťový provoz mezi jednotlivými segmenty. Je naprosto průhledný pro protokoly vyšších vrstev. (Jírovský, 2001). Switch má ve své paměti, uváděné jako CAM (Content Addressable Memory table, česky tabulka adres), uchovaná čísla portů a k nim přiřazené MAC adresy připojených zařízení. Tuto tabulku si v pravidelných intervalech obnovuje. Základním principem switche je přepínání. Přijme-li nějaký packet (balíček dat), podívá se do jeho záhlaví, pro jakou MAC adresu je určený. Na základě své CAM tabulky poté packet přepošle na příslušný port. Nezná-li adresu, zašle switch packet podobně jako hub na všechny porty Router Směrovač pracuje na L3, tedy třetí vrstvě ISO/OSI modelu, díky čemuž úzce spolupracuje s TCP/IP protokolem. Hlavním úkolem routeru je směrování datagramů v síti k jejich cíli na základě IP adresy, která je uvedená v hlavičce packetu. Pracuje s routovací tabulkou, která obsahuje informace o okolních sítích. Fyzicky tedy propojuje sítě, které jsou mezi sebou logicky odděleny. Směrovače lze vidět v kombinaci i s dalšími prvky, jako například v kombinaci se switchem, nebo s integrovaným firewallem (brána zabezpečení). (Jírovský, 2001) Gateway Uváděna také pod názvem brána. Je to zařízení umožňující spojit dvě sítě, které komunikují s odlišnými protokoly. Pracuje na všech vrstvách ISO/OSI modelu, a musí vykonávat i funkci routeru. Brána převezme celou zprávu, provede konverzi na požadovaný formát (změní použitý protokol) a přepošle ji dále. (Dostálek, 2003) 3.4 Referenční ISO/OSI Model ISO/OSI model je teoretický model vypracovaný organizací ISO, který byl v roce 1984 přijat jako mezinárodní norma ISO Jedná se o model otevřených systémů, skládající se ze sedmi mezi sebou vzájemně komunikujících vrstev. Jak uvádí pan Jirovský (2001), navrhovaný model není platný jen pro existující systémy, ale

25 Zásady při vytváření sítí teorie 25 lze jej použít i pro nové aplikace či služby. Model se dělí na horní a spodní vrstvy, přičemž nejvyšší vrstva je uživateli nejbližší. Skupina horních vrstev se zabývá prvky aplikačními, kdežto spodní vrstvy jsou implementovány jak v softwaru, tak i hardwaru a obstarávají přenos dat. Na obrázku č. 3 je ISO/OSI model znázorněn. Obr. 3 Sedmivrstvý model ISO/OSI Fyzická vrstva Zajišťuje udržování spojení mezi médiem přenášející data a mezi komunikujícím systémem. Pro tuto vrstvu je typický přenos dat po médiu pomocí elektrického, optického či radiového signálu. Definuje úroveň napětí, časování, rychlost přenosu nebo použité konektory kabeláže. (Jírovský, 2001) Linková vrstva Je zodpovědná za přenos dat po fyzickém médiu. Existuje v mnoha specifikacích, kdy definuje různé typy topologií, protokoly včetně adresace a způsobu zjišťování chyb. (Jírovský, 2001) Síťová vrstva Tato vrstva je na základě logické adresace zodpovědná za komunikaci, směrování a přenos packetů po síti. Poskytuje systémům otevřené spojení, aby mohly spolu komunikovat Transportní vrstva Úkolem je implementace spolehlivého přenosu samotných dat. Řídí přenos dat mezi dvěma zařízeními, koncentraci dat, realizuje virtuální okruhy a v neposlední řadě obsahuje korekci chyb, kdy například žádá nové vyslání špatně přijatých dat. (Jírovský, 2001)

26 Zásady při vytváření sítí teorie Relační vrstva Smyslem této vrstvy je řízení a provoz relací mezi prvky vrstvy nadřízené. Pojem komunikační relace zahrnuje vyžádání služby service request a odezvu na požadavek služby service response. (Jírovský, 2001) Prezentační vrstva Tato vrstva převádí zprávy do vhodného tvaru, který vyžadují jednotlivé aplikace pro svou další komunikaci. Cílem je prezentace dat jednotným způsobem bez ohledu na jejich různorodost. Mezi další funkce patří žádost o vytvoření či ukončení relace, šifrování, dešifrování, komprese a další. (Pužmanová, 2004) Aplikační vrstva S touto vrstvou komunikují samotné aplikace. Vrstva poskytuje procesům přístup ke komunikačnímu systému a umožňuje jejich spolupráci. Je nejbližší vrstvou k uživateli. Zajišťuje synchronizaci komunikace či dostupnost potřebných zdrojů. (Pužmanová, 2004), (Jírovský, 2001). Mezi nejznámějšími síťovými protokoly fungujícími na této vrstvě jsou například protokoly HTTP (Hypertext Transfer Protocol), DNS (Domain Name Systém), DHCP (Dynamics Host Configuration Protocol), SSH (Secure shell), FTP (File Transfer Protocol - přenos souborů) nebo SNMP (Simple network management protocol pro management sítí). 3.5 Architektura TCP/IP a adresace TCP/IP je rodina přenosových protokolů určených pro řízení komunikace v počítačové síti a jedná se o nejdůležitější protokoly sítě Internet. V porovnání s ISO/OSI modelem je komunikace rozdělena do čtyř základních vrstev a to: Vrstva síťového rozhraní (VSR). Síťová vrstva (Vrstva internetu). Transportní vrstva. Aplikační vrstva. Oproti ISO/OSI modelu je fyzická a linková vrstva sloučena do vrstvy síťového rozhraní. Vrstvy prezentační a relační jsou součástí vrstvy aplikační. Vrstva síťového rozhraní je nejnižší vrstvou architektury TCP/IP a zajišťuje přístup k fyzickému médiu. Cílem je doručit data jiným systémům. Každý síťový standard má vlastní implementaci této vrstvy. Vrstva svým způsobem definuje typ sítě (například Ethernet, Token Ring) a její další vlastnosti. (Pužmanová, 2004) Síťová vrstva zastává logickou adresaci sítě. Cílem je segmentace, předávání datagramů (IP protokol), mapování (protokol ARP) a směrování (např. OSPF). (Pužmanová, 2004) Transportní vrstva je identická s ISO/OSI modelem. Zajišťuje koncový přenos mezi dvěma systémy, nabízí transportní služby, a to spojové (TCP, spolehlivé) a nespojové (UDP, rychlé ale méně spolehlivé). (Pužmanová, 2004)

27 Zásady při vytváření sítí teorie 27 Nejvyšší vrstvou je aplikační vrstva, která obsahuje protokoly jednotlivých aplikací. Dle typu aplikace je využito buď TCP nebo UDP protokolů transportní vrstvy. Patří sem například protokoly FTP, DHCP, DNS, HTTP. (Pužmanová, 2004) Standard Ethernet V současnosti se jedná o nejpoužívanější standard. Je označován jako norma IEEE802.3 a existuje v mnoha specifikacích (100BASE-TX, 1000BASE-TX atd.). Funguje na principu kolizní metody CSMA/CD, a proto je náchylný na kolize, které počtem připojených stanic ke kolizní doméně stoupají. Data jsou posílána v tzv. ethernetových rámcích, které se skládají z šesti částí (viz obrázek č. 4) Obr. 4 Ethernetový rámec Vzhledem k omezení délky rámce dochází k jejich dělení na fragmenty (tzv. fragmentace), které se zapouzdří do rámců MTU (rámec maximální povolené délky jednotky). (Pužmanová, 2004) Adresace IPv4 Protokol IP provádí vysílání datagramů na základě síťových adres obsažených v záhlaví packetu. Jedná se o nespojovou službu. Každý datagram je samostatnou jednotkou a protokol IP nekontroluje správnost doručení dat. Je tedy nespolehlivý. Adresace sítě probíhá pomocí identifikátorů, což jsou jména, adresy, popřípadě cesty, a je prováděna na třetí vrstvě ISO/OSI modelu (tedy na síťové vrstvě). IP adresa se dělí na dvě části, síťovou část a host část. Síťová část je určena pro směrování v síti a identifikuje síťový segment. Host část udává číslo připojeného rozhraní. Jedná se o 32-bitovou adresu zapisovanou po čtyřech oktetech oddělených tečkou. Existuje několik typů adres a to unicastová (individuální), multicastová (výběrová) a broadcastová (záplavová). U samotných adres rozlišujeme celkem 5 tříd, z toho jsou vymezeny 3 třídy adres pro adresaci, jedna třída je skupinová, třída E je určena pro experimenty. V tabulce číslo 4 jsou uvedeny jednotlivé třídy IP adres a jejich rozsah, dále počet sítí pro každou ze skupin. Ve sloupečku struktura je naznačena síťová část adresy (s) a host část adresy (h). V tabulce číslo 5 jsou uvedeny rozsahy adres určené pro soukromé (neveřejné) sítě.

28 Zásady při vytváření sítí teorie 28 Tab. 4 Přehled tříd IP adres třída struktura hodnoty prvního oktetu rozsah IP adres počet sítí třída A S.H.H.H třída B S.S.H.H třída C S.S.S.H třída D skupinová třída E experimenty Zdroj: Pužmanová, 2004 Tab. 5 Rezervované IP adresy třída rozsah A B C Zdroj: Pužmanová, 2004 Protože rozdělení IP adres je neefektivní, používá se také subnetting, známý pod ekvivalentem podsítě. Princip podsítí spočívá v tom, že část určená pro síťové zařízení se rozdělí na adresu podsítě a adresu počítače. Pro rozlišení jednotlivých částí se používá síťová maska, která má stejný formát jako IP adresa, avšak na pozici sítě jsou bity 1 a na pozici adresy počítače jsou bity 0. Maska nám dělí IP adresu na síťovou část a host část. V následující tabulce jsou uvedeny základní masky pro jednotlivé třídy adres. Nejvyšší adresovatelný prefix je 30. Tab. 6 Výchozí síťové masky pro jednotlivé třídy třída maska prefix A /8 B /16 C /24 Zdroj: Pužmanová, Adresace IPv6 Protože IPv4 protokol má omezený adresní prostor, který přestává dostačovat, byla v roce 1995 vypracována nová verze protokolu IPv6. Ta je specifikována v RFC IPv6 funguje obdobně jako IPv4, liší se však adresací a formátem datagramu. Výhodou je mnohem širší adresovatelný prostor, jednodušší záhlaví datagramu a také povinná podpora IPSec. Adresovatelný prostor je 128 bitů (2 128 ). IP adresa se zde dělí na dvě části, a to prefix a identifikátor. Jedno rozhraní může mít

29 Zásady při vytváření sítí teorie 29 více adres IPv6. IP adresa se zde zapisuje v šestnáctkové soustavě a jednotlivé oktety se oddělují dvojtečkou po čtyřech znacích (viz. obrázek č. 5). Rozlišujeme zde adresu unicastovou, multicastovou a anycastovou. Ve svém smyslu má IPv6 adresa dvě funkce, a to funkci identifikační (identifikace rozhraní) a funkci pozicovou (její umístění). I IPv6 adresy mohou využívat DHCP server, avšak v implementaci DHCPv6. Sítě s rozdílnou adresací IPv4 a IPv6 lze mezi sebou spojovat, avšak za podmínky využití tunelu, koexistence obou protokolů nebo překladem. (Pužmanová, 2004) Obr. 5 Příklad IP adresy verze IPv6 Stejně jako u IPv4 umožňuje i IPv6 protokol vytváření podsítí a vytvářet sítě VLAN Překlad adres (NAT) Cílem NAT (Network Address Translating), je umožnění adresování sítě pomocí privátní IP adresy. Prakticky tedy NAT převádí privátní IP adresy na adresy veřejné a naopak. Používá se v sítích pro přístup více lokálních PC k venkovní síti. NAT je prováděn většinou na hraničním routeru sítě, směrující packety do sítě providera, tedy z lokální do venkovní sítě. 3.6 VLAN Sítě VLAN jsou virtuální sítě označované standardem IEEE802.1q. Musí být podporovány switchem a jsou provozovány na síťové vrstvě ISO/OSI modelu. (Bigelow, 2004) Výhodou VLAN je seskupení zařízení v síti a snížení kolizních broadcastových domén. Základním principem je vytvoření virtuálních sítí na síti fyzické, tím i oddělení provozu jednotlivých počítačů. Komunikace mezi sítěmi VLAN je možná díky routeru, který je schopen packety mezi nimi směrovat a odehrává se na základě IP adresace. Rámce pohybující se po síti obsahují informaci, do které sítě náleží. Každý port na switchi je zařazen do určité sítě VLAN. Port, na kterém probíhá komunikace více VLAN, se nazývá TRUNK port. U jednotlivých portů jsou dva typy režimu, mód access a mód trunk. Na obrázku č. 6 je příklad sítě VLAN.

30 Zásady při vytváření sítí teorie 30 Obr. 6 Příklad sítě VLAN Nastavení portů VLAN Nastavení jednotlivých portů je pro jednotlivé výrobce odlišné. Jednotlivé příkazy lze najít například v manuálových stránkách daného zařízení. Například u switchů společnosti Cisco provedeme přiřazení portu do VLAN pomocí příkazu switchport access vlan 100. Nejprve však je nutné pomocí interface range vybrat určité porty. (cisco) DHCP Relay K umožnění komunikace s DHCP serverem ležícím v jiné broadcastové doméně (VLAN) je třeba použít DHCP Relay, který přijímá veškeré všesměrové dotazy z této sítě a přeposílá je na adresu určeného serveru. Této adrese se říká IP helper address. Odpovědi od serveru putují zpět na DHCP Relay, který je dále všesměrově šíří ke klientovi v rámci sítě VLAN. 3.7 Požadavky na server Server je obecné označení pro počítač, který zajišťuje v síti určité služby, které jednotliví uživatelé či zařízení využívají. Server tedy může plnit několik funkcí, například jako webový, který díky protokolu HTTP umožňuje výměnu hypertextových dokumentů, jako souborový server, který plní funkci síťového úložiště dat nebo server aplikační. Mezi další typy serverů patří například databázové servery, DNS servery nebo tiskové servery. Vzhledem k důležitosti serveru v počítačové síti jsou na ně také kladeny určité požadavky, mezi něž patří vysoká spolehlivost, dostupnost, rozšiřitelnost a schopnost pracovat v clusteru (skupině).

31 Zásady při vytváření sítí teorie Požadavky z hlediska spolehlivosti Vzhledem k tomu, že tyto počítače poskytují důležité služby, které v danou chvíli využívá několik uživatelů, není žádoucí, aby došlo k nějaké poruše či dokonce ke ztrátě mnohdy cenných dat. Je tedy nezbytně nutné zajistit bezporuchovou funkčnost těchto služeb. Mezi nejčastější způsoby, jak předejít havárii, je hardwarová ochrana a softwarová ochrana. V případě hardwarové ochrany se většinou jedná o zdvojení jednotlivého hardwaru či užití diskového pole RAID (Redundant Array of Inexpensive Disks). V případě softwarové ochrany využíváme různé antivirové programy a zabezpečení na úrovni uživatelských oprávnění. Data také pravidelně zálohujeme, čímž můžeme předejít jejich ztrátě Požadavky z hlediska výkonnosti Výkon serveru se určuje podle několika faktorů, mezi něž patří velikost sítě, kterou bude obsluhovat, kolik uživatelů se na něj bude připojovat a v neposlední řadě je brána v úvahu také náročnost jednotlivých aplikací a služeb, které na serveru budou provozovány. Výkon serveru se udává podobně jako u osobního počítače, kdy bereme v úvahu výkon procesoru, u kterého určujeme jeho fyzický počet (dvouprocesorové servery), počet jader a velikost jeho vyrovnávací paměti. Dále určujeme velikost operační paměti, velikost úložného prostoru, počet pevných disků a jejich HW zapojení v poli RAID. Důležitý je počet síťových karet, jejich rychlost a funkce. Naopak nejméně důležitý je výkon grafické karty, kdy nám postačí karta integrovaná. Mezi dalšími funkcemi je možnost měnit komponenty za chodu počítače (HotSwap), či redundance, která spadá pod požadavky spolehlivosti. 3.8 Zabezpečení serveru Redundance Vzhledem k tomu, že se jedná o elektroniku, která v průběhu jejího užívání a provozu mění své vlastnosti, lze těžko odhadnout, kdy vypoví svoji službu a dojde tak k nějaké havárii. Před touto vlastností se lze chránit zdvojením, neboli redundancí dané komponenty, či celého serveru. Nejčastěji se jedná provozování služeb na více serverech (tzv. primárního, sekundárního atd.), které poskytují identické služby. V případě poruchy jednoho z nich zaskočí službu ten druhý a naopak. Kromě zdvojování celých jednotek se u serverů také užívá zdvojování zdrojů (redundantní zdroj) či pevných disků zapojených do RAIDového pole, kdy při poruše zdroje či disku lze vadný prvek v případě hotswap provedení za chodu vyměnit za nový, aniž bychom ovlivnili funkčnost samotného serveru. Do redundance lze zařadit i redundantní úložiště (druhé diskové pole).

32 Zásady při vytváření sítí teorie RAIDové pole Za diskové pole lze považovat seskupení jednotlivých pevných disků, které se v systému jeví jako jedna jednotka a pole tak nabízí větší rychlost a odolnost proti chybám. Diskové pole používá šest základních režimů, jejichž kombinací vznikají režimy další. Mezi nejpoužívanější režimy patří RAID0, RAID1 a jejich kombinace RAID1+0 (někdy uváděný jako RAID10). RAIDové pole však v žádném případě nelze považovat za zálohu dat. RAID0 (Stripping) Ze všech režimů nabízí nejlepší výkon, ale neposkytuje žádnou redundanci dat. Ta se zapisují průběžně na všechny jednotky (jejich kapacita se spojí). Při selhání jednoho z disků je pole poškozeno a dojde ke ztrátě dat. (Bigelow, 2004) RAID1 (Mirroring) Uváděno také jako zrcadlení. Princip funkčnosti spočívá na duplikování jednotek. Na dvou fyzických discích jsou uložena identická data. Tento režim je odolný vůči chybám. (Bigelow, 2004) RAID10 (Mirroring and stripping) Tento režim je kombinací polí RAID1 a RAID0. Umožňuje zvýšit rychlost práce s daty při zachování jejich ochrany. (Bigelow, 2004) Softwarové zabezpečení Kromě hardwarového zabezpečení serveru je třeba dbát i na softwarové zabezpečení, které také do jisté míry pomáhá chránit data, ať už před poškozením, ztrátou nebo zcizením. Mezi nejfrekventovanější ochrany patří antivirová ochrana, firewally, či zabezpečení pomocí přístupových práv. Antivirový software Je balík jednotlivých modulů umožňující vyhledávat viry, spyware, rootkity, spamové zprávy a další škodlivý software. Většinou běží na pozadí systému a jeho běh monitoruje. Firewall Brána existuje v mnoha podobách, buď v softwarové podobě, nebo v podobě počítače. Bránou může tedy být počítač, router nebo hostitel. Nachází se mezi důvěryhodnou a nedůvěryhodnou sítí a kontroluje veškerý obsah, který jí prochází. Poskytuje nám ochranu díky filtraci packetů, bráně aplikací, bráně na úrovni obvodů a přístrojům pro kontrolu stavu packetů. Kontrola je prováděna na základě nastavených pravidel, kdy je daná komunikace povolena nebo zakázána. (Bigelow, 2004) Aktualizace Důležitým prvkem je instalace aktualizací příslušného softwaru, pomocí kterých výrobce aplikace odstraňuje objevené chyby a mezery. Aktualizovaný software je méně náchylný na napadení virem či vůči hackingu.

33 Zásady při vytváření sítí teorie Zálohování serveru Zálohování uživatelský dat je nezbytnou součástí údržby serveru, a tím i celé počítačové sítě. Je to nejlepší možnost jak předejít ztrátě mnohdy cenných dat. Existuje několik typů a způsobů zálohování. Mezi zálohovací zařízení patří právě zmiňované diskové pole (nikoliv samotný RAID). Dále pak pásková zálohovací zařízení a optické nosiče. Podle toho, co a jak často zálohujeme, rozlišujeme samotné typy záloh. Nestrukturovaná Jedná se o náhodné ukládání potřebných dat na více úložišť (diskety, DVD ). Úplná záloha Každý celý disk či samotný adresář je kompletně samostatně zálohován bez odhledu na zálohy existující. Poskytuje největší ochranu dat, trvá však nejdéle. (Bigelow, 2004) Přírůstková záloha V případě tohoto typu zálohování se ukládají jen soubory, které byly od poslední zálohy pozměněny. (Bigelow, 2004) Rozdílová záloha Vybrané soubory jsou uloženy pouze v případě, že se od posledního zálohování změnily, aniž by byly označeny jako zálohované. Rozdílová záloha se postupně zvětšuje. (Bigelow, 2004) K samotnému zálohování je většinou potřeba zálohovací software. Jednou z možností je využití výchozí funkce operačního systému, například funkce vytvořit bitovou kopii systému. Lépe je však využít speciální zálohovací software, jako například Acronis True Image pro osobní počítače, Backup & Recovery Server for Windows, nebo freewarový software jako Iperius Backup, který umožňuje samotné zálohování zautomatizovat pomocí předem připravených zálohovacích plánů (například jednou za 24 hodin). 3.9 Služby běžící na serveru Na serveru, jakožto centrálním počítači, většinou běží několik služeb, které ostatní prvky v síti využívají. Celkově můžeme služby rozdělit na důležité a volitelné. Volitelné služby jsou takové, které nejsou nutné k funkčnosti celé sítě, například File Server. Bez důležitých služeb, jako je například DNS, DHCP či AD (Active Directory) by většina sítí nemohla fungovat DNS (Domain Name Systém) Protože jsou IP adresy pro lidstvo těžko zapamatovatelné, používá se k identifikaci místo samotné IP adresy jmenný název daného síťového rozhraní. Pro každé síťové rozhraní v síti existuje jeho doménové jméno, které lze obecně využívat. K dorozumění počítačů je potřeba služby DNS, která překládá jmenné názvy na IP adresy. Systém DNS disponuje vlastní databází obsahující jednotlivé záznamy (DNS věty) které obsahují jmenný název a k němu přiřazenou IP adresu. Chceme-li navá-

34 Zásady při vytváření sítí teorie 34 zat spojení s nějakým serverem, nejprve se zašle požadavek na překlad názvu na IP adresu, po získání IP adresy se spojení teprve naváže. Existuje i tzv. reverzní doména, která naopak překládá IP adresy na jmenné názvy. Pro účely reverzního překladu je definována doména in-addr.arpa. Domény jsou zde tvořeny IP adresami sítí, ale psány pozpátku. (Dostálek, 2003) DHCP (Dynamic Host Configuration Protocol) Tento protokol je hojně užíván k dynamickému (automatickému) přidělování IP adres jednotlivým zařízením v síti. Díky automatickému zapůjčení IP adresy dochází k úplné kontrole nad tím, jak jsou IP adresy přiřazovány. DHCP využívá protokol UDP. Existuje několik typů konfigurace, a to dynamická (přiřazení IP adresy pro určitou dobu), ruční (konfigurace IP adresy pro určitý počítač) a automatické (přiřazení trvalé IP adresy k PC po prvním připojení k síti.). Přidělení IP adresy probíhá ve čtyřech krocích: připojený PC zašle broadcastovou Discover zprávu, pomocí které hledá DHCP Server, unicastovou Offer zprávou mu nabídne volnou IP adresu, která mu bude přidělena, klient zprávou Request zažádá o přidělení nabídnuté adresy, server odesláním zprávy ACK zahájí zápůjčku adresy. (Bigelow, 2004) AD (Active Directory) Je to adresářová služba LDAP v prostředí operačních systémů Microsoft Windows. Zdokonaluje správu a zabezpečení celé spravované sítě. Využívá několik řadičů domény místo hierarchické struktury. (Bigelow, 2004) Active Directory umožňuje centrální správu uživatelských účtů a jejich zabezpečení, správu jednotlivých počítačů a jejich třídění do tzv. organizačních jednotek, zvaných kontejnerů. Pro svoji funkčnost vyžaduje službu DNS Print server (tiskový server) Tiskový, neboli Print Server je zařízení, které zjednodušuje v síti provádění tiskových úloh a sdílení samotných tiskáren. Tiskovým serverem může být například počítač v síti, pomocí něhož jsou připojené tiskárny v síti sdíleny. Tiskovým serverem i samotná tiskárna s vlastním síťovým rozhraním Souborový server Souborový server, neboli také File Server, je označení pro počítač, který umožňuje sdílení a centralizovanou správu souborů na něm uložených. Výhodou je snadnější zálohování. Nad soubory lze aplikovat různá oprávnění, která lze pro jednotlivé soubory nastavit. Jednotlivá oprávnění lze aplikovat na jednotlivce i na celou skupinu uživatelů.

35 Původní stav sítě a počítačových učeben 35 4 Původní stav sítě a počítačových učeben Střední odborná škola Podyjí se nachází ve Znojmě na ulici Jarošova 14. Budova pochází z šedesátých let a během své existence prošla několika stavebními úpravami. Jedná se o zděný objekt o třech podlažích s podsklepením. V celém objektu byla absence počítačové sítě. Jednotlivé učebny výpočetní techniky vznikaly v průběhu několika let dle potřeby na základě požadavků výuky. V roce 1996/97 byla na škole zřízena první počítačová učebna, která obsahovala 12 počítačů s operačním systémem Windows 95. Síť byla založena na tenkém koaxiálním kabelu, topologie sítě byla sběrnice (BUS) a připojení k internetu vytáčené. Postupem času se zřizovaly další počítačové učebny, které průběžně procházely modernizací. Poslední velká modernizace byla uskutečněna v roce 2007 nákupem síťového serveru a nových počítačů do jedné z učeben. Modernizace byla hrazena plně ze školního rozpočtu. Vzhledem k opotřebení a morálnímu zastarání sítě i jednotlivých zařízení je další modernizace po více než 7 letém provozu nutností. 4.1 Konektivita k síti internet V současné době je celá stávající síť založena na standardu Fast Ethernet. Připojení k síti internet je řešeno bezdrátovým připojením k poskytovateli ve sjednaném pásmu 10 GHz o rychlosti 8 Mb/s. Obytné budovy v okolí školy jsou připojeny ve standartním v pásmu 2,4 GHz, respektive 5 GHz. Jedná se o připojení, které by nemělo být rušeno jinými okolními signály. Konektivitu k ISP zajišťuje bezdrátový spoj Orcave Struktura sítě Celá školní síť je rozložena do dvou pater a není dělena na podsítě. Všechny počítače jsou zapojeny do domény Podyjí a přidělování IP adres zajišťuje DHCP server. Jako aktivní síťové prvky jsou použity čtyři 24 portové switche značek Netgear, SMC a Zyxel s maximální rychlostí 100 Mb/s a absencí 1 Gb/s portu. Tyto switche navíc nejsou manageovatelné. V síti se dále nachází školní router v podobě běžného počítače založeného na x86 architektuře. Je na něm nainstalován operační systém Linux, aktuálně Fedora 15 ve 32 bitové verzi. Tento router slouží ke směrování packetů ze školní sítě do sítě poskytovatele. V síti se nachází dva servery, z nichž je v provozu jen jeden. Běží na něm služby AD, DHCP a DNS. Na serveru mají také jednotliví uživatelé své domovské adresáře. Druhý server slouží pro ukládání méně potřebných dat a nyní se zapíná jen v případě potřeby. Jako kabeláž jsou použity obyčejné UTP kabely kategorie 5e, které jsou nestíněné. Kabeláž je tažena po chodbách v plastových U lištách a do každé učebny je přivedena přípojka s jednou RJ45 zásuvkou, umístěnou v montážní krabici. Každá ze zásuvek obsahuje pouze jednu RJ45 zdířku. V případě potřeby připojit více zaří-

36 Původní stav sítě a počítačových učeben 36 zení je nutno konektivitu řešit pomocí malého čtyř portového switche. Na obrázku č. 7 je uvedena současná infrastruktura sítě a v tabulce č. 7 použité switche. Obr. 7 Tab. 7 Původní infrastruktura školní sítě. Původní aktivní síťové prvky Učebna Model Management 208 Netgear ProSafe 24 Port 10/100 Switch NE 306 Netgear ProSafe 24 Port 10/100 Switch NE SMC EZ Switch 1024DT NE 309 Zyxel ES e NE Servery 4 portový switch, značka neznáma NE 4.3 Stávající zabezpečení sítě Síť postrádá jakékoliv zabezpečení. Síťové prvky jsou v učebnách studentům volně dostupné, proto mohou díky absenci hardwarových ochran do sítě připojit vlastní zařízení a být v síti přihlášeni pod právy administrátora. Síťový provoz taktéž není žádným způsobem řízen. U jednotlivých stanic díky nechráněnému přístupu do BIOSu (který není zaheslován) může útočník změnit pořadí bootování a na PC spustit tzv. Live operační systém, který mu umožňuje plný přístup k nastavení samotného počítače. Na některých je navíc k dispozici nezabezpečený lokální účet s administrátorským oprávněním, který se může stát terčem útoku. Všechny zásady a přístupová práva jsou v této chvíli řízeny pomocí AD běžící na serveru. Jednotlivé počítače postrádají jakoukoliv antivirovou ochranu. Taktéž je v celém objektu

37 Původní stav sítě a počítačových učeben 37 absence šifrování kritických dat a jejich záloha není žádným způsobem řešena. Fyzický přístup k serverům má správce sítě, školník a vedení školy, kteří mají od místnosti, kde servery běží, klíče. 4.4 Stávající servery Škola disponuje celkem dvěma servery (třetí je v majetku společnosti Logica, jedná se o administrativní server státních maturit), které jsou jádrem celé školní sítě. První server pochází z roku Je to obyčejná počítačová sestava se třemi 120GB pevnými disky zapojenými do IDE řadiče na základní desce, který neumí RAIDové pole. Dříve, než se koupil server novější a přešlo se na serverovou platformu Windows 2003 Server, server sloužil v síti pouze jako sdílené úložiště dat všech uživatelů. Jedná se o obyčejný PC se sdílenými pevnými disky. Od roku 2007 už slouží jen jako úložiště archivních dat a instalačních souborů. U tohoto serveru není žádným způsobem řešena záloha dat a při havárii některého z pevných disků dojde k jejich ztrátě. Z toho důvodu je tento server pro data velmi nevhodné nadále používat. Kvůli potížím s napájecím zdrojem a občasné nestabilitě byl tento server odstaven z nonstop provozu. Zapíná se jen tehdy, je-li potřeba pracovat s daty, která jsou na něm uložena. Druhý server byl pořízen v roce Společně s ním se koupila licence pro operační systém Windows Server 2003 a jednotlivé PC se zapojily do domény. Zprovoznila se služba Active Directory (AD) a vytvořily se uživatelské účty, na něž se aplikovala uživatelská práva (group policy). Každý uživatel, který má oprávnění používat školní síť, má na tomto serveru vytvořen účet a domovský adresář pro ukládání svých dat. Velikost diskového prostoru pro vlastní data mají všichni studenti omezenou na 250 MB a vyučující na 1 GB. Kromě služby Active directory na tomto serveru běží služby DNS a DHCP. V serveru byly původně dva 250 GB pevné disky zapojené jako hotswap v RAIDovém poli v režimu mirroring (značeno jako 1). V březnu roku 2013 v serveru shořel RAIDový SAS řadič. Z důvodu možného poškození disků a vzhledem k důležitosti dat na nich uložených, byl do serveru preventivně namontován jeden nový 500GB pevný disk. Původní disky byly ze serveru vyřazeny a data, která byla na nich uložena, byla překopírována na disk nový. RAIDové pole nebylo obnoveno a v současné době není zálohování zmiňovaného serveru žádným způsobem řešeno. V současné době hrozí vysoké riziko ztráty uložených dat. V tabulce č. 8 je uvedena konfigurace původních serverů.

38 Původní stav sítě a počítačových učeben 38 Tab. 8 Srovnání parametrů serverů Server 1 Server 2 Procesor Intel Xeon 3040, 1.86 GHz Intel Pentium 4, 1.8 GHz Operační paměť 1 GB DDR2 ECC 512 MB DDR1 noneec Pevné disky Původně 2x 250 GB, nyní 3x 120 GB 1x 500 GB Počet zdrojů 1x 400 W ATX 1x 350 W ATX RAID RAID 1 (nyní bez RAIDu) - Operační systém Windows Server 2003 Standard. Windows XP Professional 4.5 Počítačové učebny Učebna 208 Učebna slouží k výuce výpočetní techniky a internetových prezentací. Je vybavena 17 počítači z roku Ty obsahují jednojádrový procesor Intel Celeron D běžící na frekvenci 2,4 GHz, což je v dnešní době spolu s 512 MB RAM a integrovanou grafickou kartou na pokraji použitelnosti. Pevný disk s kapacitou 40 GB, zapojený do starého IDE řadiče je nedostačující. 17 palcové CRT monitory jsou také zcela nevyhovující z důvodu ergonomie a stáří. Na počítačích je nainstalován operační systém Windows XP Professional a jsou připojené do školní domény. Kromě operačního systému jsou na nich nainstalovány základní aplikace potřebné pro výuku vyučovaných předmětů. Jedná se zejména o freewarový kancelářský balík Open Office, PSPad a kancelářský balík Microsoft Office Na PC chybí antivirová ochrana a BIOS není zaheslován. Síťová kabeláž učebny i elektroinstalace je vedena v montážních U lištách na zdi kolem pracovních stolů, které jsou rozmístěny podél učebny. Na zdi je pověšený 24 portový switch, do kterého je síťová kabeláž zapojena. Tento není nijak chráněn proti neoprávněnému přístupu a je volně dostupný. V tabulce č. 9 je uvedena konfigurace učebny. Tab. 9 Současná konfigurace učebny 208 Procesor Intel Celeron D 2.4 GHz Operační paměť 512 MB Pevný disk 40 GB Grafická karta Integrovaná Monitor 17" CRT Operační systém Windows XP Zapojení do domény ANO

39 Původní stav sítě a počítačových učeben Učebna 306 Tato učebna je nejnovější počítačovou učebnou na škole. Slouží k výuce programování, internetových prezentací a počítačových sítí. Počítače byly nakoupeny v roce Jejich výkon díky dvoujádrovému procesoru Intel Core 2 Duo o frekvenci 2,33 GHz a 2 GB RAM na programování stále dostačuje. Kapacita pevného disku, který je zapojený v řadiči SATA, je 80 GB. Vzhledem k tomu, že mají uživatelé své pracovní adresáře na serveru, není kapacitu disku třeba řešit. Dedikovaná grafická karta nvidia GeForce 7300GS svou funkci plní také dobře. Jako zobrazovací jednotky jsou v této učebně 17 LCD monitory, které jsou pro výuku programování a práci s grafikou malé. Jako operační systém je zde nainstalován Windows XP Professional. Jednotlivé počítače jsou zapojeny do domény. Mezi nainstalovanými aplikacemi jsou kancelářské balíky OpenOffice a Microsoft Office 2000, dále pak TurboDelphi pro výuku programování, PSPad, TopStyle a nějaké systémové nástroje. Jako antivirový program je zde použit MS Security Essentials. Přístup do BIOSu je zde chráněn heslem. V učebně se nachází racková skříň, ve které jsou dva switche a jeden patch panel. Jeden switch je značky Netgear (model ProSafe 24 Port 10/100 Switch) a druhý je značky SMC (EZ Switch 1024DT). Oba switche nejsou manageovatelné. Na rackové skříni je umístěn také školní PC router. Kabeláž je v této učebně vedena na zemi u zdi v rozvodných lištách. Celkově je učebna v zachovalém stavu a její souhrnná konfigurace je uvedena v tabulce č. 10 Tab. 10 Současná konfigurace učebny 206 Procesor Intel Core 2 Duo 2.3 GHz Operační paměť 2 GB Pevný disk 80 GB Grafická karta nvidia 7600GT 256 MB Monitor 17" LCD Operační systém Windows XP Zapojení do domény ANO Učebna 307 Tato učebna slouží studentům oboru Pozemní stavitelství pro výuku předmětů v aplikaci ArchiCAD. Vzhledem k výkonu jednotlivých počítačů a náročnosti samotné aplikace, zde už není výuka vhodná. Největší brzdou je jednojádrový procesor Intel Celeron D a 512 MB operační paměti. Kapacita pevného disku je 40GB, což je pro účely instalací dostačující, ale jeho rychlost je díky pomalému řadiči IDE na hranici použitelnosti. Absence výkonnější grafické karty, kterou aplikace typu CAD vyžadují, k rychlosti také nepřispěje. Cca 3 roky zpátky (2010) se do této učebny kupovaly 22 LCD monitory, které jsou stále v dobrém stavu. Díky integrované gra-

40 Původní stav sítě a počítačových učeben 40 fické kartě a vysokému rozlišení monitoru je práce s aplikací ArchiCAD velmi pomalá. Jako operační systém je zde použit již nepodporovaný Windows XP Professional. BIOS není chráněn heslem a chybí zde antivirový program. Kromě zmíněné aplikace ArchiCAD, je v učebně nainstalován grafický balík Corel Graphics Suite, kancelářský balík MS Office 2000, popřípadě další podpůrný software. Co se týče celkového stavu učebny, tak je docela zachovalá. Disponuje vlastními jističi a proudovým chráničem. Kabeláž je vedena v rozvodných lištách a na každém pracovním stole je zespodu namontovaná dvojzásuvka, do které se zapojuje monitor a počítač. Na zdi je volně přišroubován 24 portový switch Zyxel ES e, který zvládá rychlost pouze 100 Mbit/s. Není manageovatelný a přístup k němu není žádným způsobem chráněn. Následující tabulka obsahuje konfiguraci učebny č Tab. 11 Současná konfigurace učebny 307 Procesor Intel Celeron D 2,4 GHz Operační paměť 512 MB Pevný disk 40 GB Grafická karta Integrovaná Monitor 22" LCD Operační systém Windows XP Zapojení do domény ANO Výpočetní technika ve sborovně a ředitelně Krom počítačových učeben je na škole k dispozici další výpočetní technika. Ve školní knihovně se nachází čtyři učitelské počítače, jejichž konfigurace je velmi různorodá. V zásadě se jedná o směs počítačů o různé konfiguraci obdobné učebnám 208 a 307, které se postupně dle potřeby doplňovaly. V ředitelně se nachází jeden počítač identický těm v učebně 208. Slouží pouze k vedení účetnictví a k běžné kancelářské práci. Vzhledem ke stavu a jejich výkonu je obměna také nutná. Na těchto PC běží operační systém Windows XP Professional a jako antivirový software jsou zde antiviry různých výrobců, jako Avast, MS Essentials, nebo AVG. Mezi softwarem jsou jen základní kancelářské aplikace, které vyučující potřebují k práci, tedy MS Office 2000, nějaký internetový prohlížeč, popřípadě ový klient. Kabeláž ve sborovně, ředitelně a knihovně je vedena v elektroinstalačních lištách. V jednotlivých místnostech zásuvka s jednou RJ45 zdířkou. Počítače jsou k síti připojeny za pomocí malého switche.

41 Návrh renovace sítě a učeben 41 5 Návrh renovace sítě a učeben Na tuto renovaci byla získána dotace z evropské unie s podmínkou spoluúčasti školy. Vzhledem k tomu, že dotace nebyla vyplacená celá, je renovace sítě prováděna průběžně v několika etapách. 5.1 Konektivita k síti internet Stávající konektivita k ISP je zajišťována bezdrátovým spojem o rychlosti 8 Mb/s, což je rychlost vzhledem k počtu zařízení využívající tuto konektivitu na hranici použitelnosti. V současné době je v plánu do nového školního roku 2014/2015 změnit poskytovatele internetu nebo alespoň navýšit rychlost připojení. Na ulici Jarošova, kde škola sídlí, byla v roce 2012 pokládána optická kabeláž. Stálo by za zvážení využít připojení pomocí optického kabelu namísto bezdrátového spoje. Například znojemská společnost iwebs ( nabízí optický internet o rychlosti 100 Mb/s bez rozlišení směru. Tato rychlost by byla pro školu naprosto dostačující. 5.2 Struktura sítě Vzhledem k nevyhovujícímu stavu a morálnímu zastarání původní sítě je její infrastruktura částečně předělána. Ideálním návrhem sítě by bylo zavedení redundance kritických prvků, tím by se v případě selhání některého z nich předešlo pádu celé sítě a porouchaný prvek by tak zaskočil prvek záložní. Schéma ideální sítě je na obrázku č. 8. Obr. 8 Schéma ideální sítě s redundancí Pro školu však redundance není nezbytná. Celou síť by to zbytečně prodražilo a byla by náročná na správu. Z toho důvodu byla zvolena jednodušší implementace

42 Návrh renovace sítě a učeben 42 bez redundance, kde se díky její absenci předejde množným vznikajícím smyčkám, které by bylo nutné ošetřit (pomocí Spanning Tree Protocolu). Správa sítě je tak jednodušší. Pro případ havárie je ve skladu umístěn náhradní switch, kterým je možné téměř ihned porouchaný nahradit. Na obrázku č. 9 je konečný návrh sítě. Obr. 9 Konečný návrh sítě Zásadní změnou je zapojení všech jednotlivých částí sítě do centrálního switche, zejména segmentu, ve kterém jsou umístěny servery, protože od něj lze očekávat, že bude během provozu vytěžován nejvíce. Síť bude také dělena na sítě VLAN: tři sítě VLAN pro počítačové učebny, jedna síť pro ostatní počítače, jedna síť pro učitelské PC, jedna síť pro servery, a poslední bude sloužit pro management síťových prvků (z hlediska bezpečnosti jsou ve vlastní VLAN). Přístupové zásady budou řešeny pomocí firewallu na routeru. Výhodou využití VLAN je rozdělení sítě na menší spravované segmenty, kdy například při zavirování jednoho počítače nedojde k infikaci celé sítě. V první řadě se daly do pořádku počítačové učebny (viz dále kapitola 5.5). Všechna kabeláž byla umístěna do plastových rozvodových lišt a konektory RJ45, u kterých byly ulámány zámečky, byly vyměněny. Původní switche v síti byly nahrazeny novými. Při jejich výběru se jako nejlepší ukázaly TP-Link TL-SG2424 s podporou managementu, které hlavně umí moderní funkce jako například sítě VLAN, nebo zabezpečení pomocí Port Security. Díky možnosti webového managementu tak switche nabízí i lepší správu sítě. Navíc májí 4 SFP sloty pro optický modul, v budoucnu by mohlo být páteřní vedení řešeno optickým kabelem nabízejícím mnohem vyšší rychlosti než kroucená dvojlinka. Switche byly umístěny

43 Návrh renovace sítě a učeben 43 do racku a je na nich zapnuta ochrana Port Security. Na obrázku č. 10 je zmiňovaný switch. Obr. 10 SG2424) Switch TP-Link TL-SG2424 ( Další fáze renovace sítě je závislá na dotaci druhé části peněz, po jejichž získání bude renovace pokračovat. Bude nahrazen původní router za novější. Vzhledem k financím jsou dvě možnosti: pořízení routeru od Mikrotiku, PC router (s mnohem vyšším výkonem) s upravenou linuxovou distribucí (monowall, pfsense či ClearOS), do kterého by škola nemusela vkládat žádné finance. Z důvodu ušetření se zvolí PC Router. Bude využit starý server se dvěma síťovými kartami, na který bude nainstalován systém monowall. Je to unixový systém postavený na FreeBSD s cílem vytvořit kompletní firewall, jako nabízí konkurence, avšak zdarma. Tento router bude směrovat packety mezi VLANami a do venkovní sítě Internet. Bude také na něm Firewall pro řízení provozu sítě a prováděn překlad adres NAT. Koupí se nový síťový server, na kterém poběží služby AD, DHCP a DNS, popřípadě budou služby v budoucnu dle potřeby přibývat. Dále bude pořízeno diskové pole NAS pro zálohy serveru. Celá síť bude adresována následujícím způsobem: síťové prvky budou mít statickou IP adresu třídy A, servery, tiskárny a disková pole budou mít statickou IP adresu třídy B, ostatní zařízení sítě budou mít adresu třídy C a bude obhospodařovat nový DHCP server. Nová síť se bude skládat z šesti kusů manageovatelných switchů, jednoho centrálního PC routeru, serveru obhospodařujícího celou síť, NAS diskového pole pro zálohování a tiskárny s vlastním síťovým rozhraním Nastavení switche Jako přepínače jsou použity 24 portové switche značky TP-Link, model TL-SG2424 s podporou managementu včetně webové správy (viz obrázek č. 11). Mezi důležité patří nastavení statické IP adresy pro management switche, změna výchozího uživatelského jména a hesla pro přístup, překontrolování správného času a nastavení hostname zařízení (ID switche). U jednotlivých portů je povolen Port Security, čímž je částečně ztíženo připojení nepovoleného zařízení. Port security je nastaven pou-

44 Návrh renovace sítě a učeben 44 ze na jednu MAC adresu a v případě připojení cizího neznámého zařízení bude komunikace zahazována (režim protect). Studenti si tedy nemohou připojit svá zařízení. Jakmile bude v provozu nový router, server a budou zprovozněny sítě VLAN, jednotlivé porty se zařadí do příslušné VLANy. Také bude nastaven TRUNK port. Zároveň i samotný switch se zařadí do VLANy managementu. Nastavení u všech switchů je obdobné. Podrobné nastavení je uvedeno v manuálu switche. Obr. 11 Ukázka webového rozhraní switche TL-SG Nastavení routeru Jako router bude použit starý školní server, na který se nainstaluje distribuce monowall, která je poskytována zdarma. Mezi její možnosti patří webový management a distribuce tak splňuje další potřebné požadavky. Tento router zároveň bude sloužit i jako firewall sítě a bude na něm prováděn NAT. Jako jedna z prvních nastavení je hostname routeru, pod kterým bude v síti identifikovaný. Je vhodné použít jednoznačný název, například core. Potom se nastaví doména, ve které pracuje, a změní se přihlašovací údaje pro jeho management. Kromě změny přihlašovacích údajů router nabízí možnost přihlášení přes šifrovaný protokol HTTPS a nastavení portu pro přístup, jehož je z hlediska bezpečnosti také vhodné použít. Je také potřeba nastavit správný čas a časovou zónu. Dále je nutné nastavit jednotlivé porty, jejich IP adresy, maska, nakonec jednotlivé VLANy. Kromě informací o sítích VLAN je také důležité nastavit virtuální rozhraní na portu pro jednotlivé sítě VLAN. Router nám neplní funkci DHCP serveru, který máme vlastní. Proto je důležité nastavit DHCP Relay agenta, který přeposílá broadcastové žádosti o IP adresu našemu DHCP serveru. V případě WAN portu provedeme nastavení, které nám sdělí ISP. Na obrázku č. 11 je znázorněno nastavení VLAN a na obrázku č. 12 jednotlivá rozhraní.

45 Návrh renovace sítě a učeben 45 Obr. 12 Ukázka nastavení sítí VLAN na routeru monowall Obr. 13 Ukázka virtuální portů na routeru Vzhledem k tomu, že škola má jen jednu veřejnou IP adresu, je potřeba použít NAT (maškarádu). Servery v síti nebudou zvenčí dostupné, bude nastaven jen Outbound NAT, který se postará o překlad privátních adres použitých ve školní síti na veřejnou IP adresu. Outbound NAT pravidlo by mělo být nastaveno automaticky. Po konfiguraci síťových rozhraní je třeba nastavit firewallová pravidla, která nám budou řídit provoz sítě. Pomocí firewallu jsou řešeny zásady přístupu mezi

46 Návrh renovace sítě a učeben 46 jednotlivými sítěmi VLAN a k serverům, je zakázána nežádoucí komunikace dle rozhodnutí správce sítě. Filtrované packety na základě jednotlivých pravidel, budou buď propuštěny, nebo zahozeny. Mezi možnostmi nastavení firewallu jsou: akce s packetem (deny, allow, drop/zakázat, povolit, zahodit), interface rozhraní, na které packet přijde, používaný protokol (např. TCP, UDP ), zdrojová IP adresa a port, cílová IP adresa a port. Firewallová pravidla budou nastavována dle potřeby během provozu sítě, například zákaz komunikace mezi jednotlivými učebnami. U systému monowall je ve výchozím nastavení veškerá komunikace zakázána. Budou tedy povoleny jen potřebné porty pro komunikaci se serverem V následujícím příkladu je ukázané pravidlo pro zákaz veškeré komunikace z učebny 208 do ostatních učeben. (Na obrázku č. 14 jsou ukázky pravidel) Obr. 14 Firewallové pravidlo pro zákaz komunikace z učebny 208 do ostatních učeben. Jak je vidět na části výpisu ipfstat, veškerá komunikace z VLAN10 bude do ostatních VLAN (20-50) skutečně zahazována: # Group block in quick from /24 to /24 group block in quick from /24 to /24 group block in quick from /24 to /24 group block in quick from /24 to /24 group Nastavení klientů Nejprve musíme počítače identifikovat v síti: zvolit jeho jméno, nastavit dynamické přidělení IP adresy,

47 Návrh renovace sítě a učeben 47 zapojit jej do domény, vytvořit správcovský účet, nainstalovat potřebný software, Jméno počítače je voleno podle umístění, například PC v učebně 307 má název UC307-PC01. Přístup k administrátorskému účtu má pouze správce sítě. Obr. 15 Nastavení názvu PC a nastavení získání DHCP adresy ze serveru 5.3 Servery Původní server bude nahrazen novým serverem. Jako vhodnou volbou jeví server HP, model Proliant ML310eG8v2, který nabízí pro naše potřeby dostatečný výkon. Je postaven na čtyřjádrovém procesoru Intel Xeon na frekvenci 3,0 GHz, 4 GB RAM a dvouportovou gigabitovou síťovou kartu. Jako diskový prostor má 2x 1 TB HDD zapojený v poli RAID1. Záruka je 3 roky s opravou do druhého dne, tudíž absence hotplug redundantních zdrojů nevadí. Starý server by bylo nevýhodné opravovat, protože samotný řadič není nejlevnější a navíc výkon serveru není na dnešní poměry největší. Původní server se však nevyhodí a bude použit jako router Nastavení hlavního serveru Nejdůležitější částí je konfigurace serveru. Škola vlastní zakoupenou licenci na Windows Server 2008 R2, proto bude zakoupen bez operačního systému, který na něj bude dodatečně nainstalován. Instalace OS V BIOSu je třeba nastavit správný systémový čas a nakonfigurovat RAIDové pole. Disky budou zapojeny v režimu RAID1 a budou zrcadleny. Předejde se tak

48 Návrh renovace sítě a učeben 48 v případě selhání jednoho z nich ztrátě dat. Nastaví se pořadí bootování pro zavedení systému a vše se uloží. Nainstaluje se operační systém. Po nainstalování systému je nastavení správného časového pásma, nakonfigurování správné statické IP adresy a názvu serveru pro identifikaci v síti. Jako název je dobré zvolit nějaký krátký identifikátor (například Cerberus ), původní název vygenerovaný při instalaci je nepřehledný. Instalace DHCP Serveru V dalším kroku bude nainstalován DHCP server a nastaví se pro každou síť VLAN obor přidělovaných IP adres. Pro VLAN100 a VLAN200 obory nastaveny nebudou, protože prvky v těchto sítích mají IP adresy statické. Výchozí bránou bude rozhraní na našem routeru. V následující tabulce jsou uvedeny příklady oborů adres. Tab. 12 Příklad nastavení oborů IP adres pro sítě VLAN Síť Rozsah IP Prefix Výchozí brána DNS VLAN VLAN VLAN VLAN VLAN Instalace Active Directory Následně bude nainstalována služba Active Directory spolu s DNS. Vytvoří se nová doména v nové doménové struktuře a při této instalaci se zvolí se název domény a název NetBIOS. DNS server se nakonfiguruje automaticky pomocí průvodce. Po nainstalování bude úplný název serveru delta.podyji.cz. Po nainstalování služby AD se vytvoří účty uživatelů, následně se jim nastaví práva. Také se pro jednotlivé uživatele definuje jejich pracovní adresář, který bude na místním serveru. Jednotliví uživatelé budou rozdělení v organizačních jednotkách podle ročníku a funkce. Na obrázku č. 15 je ukázka rozdělení uživatelů.

49 Návrh renovace sítě a učeben 49 Obr. 16 Možná struktura rozdělení uživatelů Instalace dalších funkcí a služeb Další rolí, kterou server bude plnit je souborový server. Ten bude využit pro různé pracovní účely, kam třeba budou uživatelé učitelům odevzdávat písemné práce. Jednotliví uživatelé sítě budou mít své domovské adresáře na serveru, kam budou mít přesměrovanou i složku s dokumenty. Z hlediska bezpečnosti je efektivní uchovávat data na centralizovaném místě, které je zálohované, než na jednotlivých počítačích. Správce tak při kolapsu systému nemusí řešit zálohy. Jednotlivé PC tedy plní funkci pomyslného klienta. Mezi dalšími možnými službami běžícími na serveru je role tiskového serveru, který by zjednodušoval tiskové úlohy v síti. Vzhledem k tomu, že škola jednu tiskárnu s vlastním síťovým rozhraním, není za potřebí mít tiskový server vzhledem k počtu studentů v provozu. Zprovoznění serveru spočívá v nainstalování služby tiskového server, jednotlivých ovladačů tiskáren, které se následně v síti sdílí. Kromě zmíněných rolí bude na serveru nainstalován antivirový systém, který bude provádět pravidelné analýzy souborů. Pro jednotlivé pevné disky se také nastaví jejich šifrování. Zálohování serveru Zálohování serveru bude probíhat jednou denně na NAS server pomocí zálohovací utility, který je součástí operačního systému. Pro využití této utility je zapotřebí nainstalovat funkci Zálohování serveru. Mezi zálohami budou domovské adresáře uživatelů, popřípadě instalační a další soubory správce. Jednou týdně také proběh-