Fakulta informačních technologií. Ing. Petr Matoušek, Ph.D.

Vysoké učení technické v Brně Fakulta informačních technologií Praktické úlohy z počítačových sítí Návod na laboratorní cvičení Ing. Petr Matoušek, Ph.D. Brno, 2005

Obsah Úvod 1 Struktura cvičení....................................... 2 Popis laboratorního vybavení................................. 3 Doporučená literatura..................................... 3 1 Úloha - Propojování počítačů a konfigurace LAN 4 1.1 Stručný popis a cíl cvičení............................... 4 1.2 Komentář k vedení cvičení............................... 4 1.3 Požadavky na vybavení................................. 5 1.4 Doporučená literatura.................................. 5 1.5 Zadání úlohy...................................... 6 A. Teoretická část.................................... 14 1.6 Ukázka protokolu k vypracování............................ 18 2 Úloha - Bezdrátové počítačové sítě 23 2.1 Stručný popis a cíl cvičení............................... 23 2.2 Komentář k vedení cvičení............................... 23 2.3 Požadavky na vybavení................................. 24 2.4 Doporučená literatura.................................. 24 2.5 Zadání úlohy...................................... 25 A. Teorie bezdrátových sítí............................... 32 2.6 Ukázka protokolu k vypracování............................ 36 3 Úloha - Přidělování IP adres, NAT a DNS 40 3.1 Stručný popis a cíl cvičení............................... 40 3.2 Komentář k vedení cvičení............................... 40 3.3 Požadavky na vybavení................................. 41 3.4 Doporučená literatura.................................. 41 3.5 Zadání úlohy...................................... 42 3.6 Ukázka protokolu pro vypracování........................... 51 4 Úloha - Bezpečnost počítačových sítí 55 4.1 Stručný popis a cíl cvičení............................... 55 4.2 Komentář k vedení cvičení............................... 55 4.3 Požadavky na vybavení................................. 56 4.4 Doporučená literatura.................................. 56 4.5 Zadání úlohy...................................... 57 ii

OBSAH iii 4.6 Ukázka protokolu pro vypracování........................... 63 5 Úloha - Vytváření sítí WAN 67 5.1 Stručný popis a cíl cvičení............................... 67 5.2 Komentář k vedení cvičení............................... 67 5.3 Požadavky na vybavení................................. 68 5.4 Doporučená literatura.................................. 68 5.5 Zadání úlohy...................................... 69 5.6 Ukázka protokolu pro vypracování........................... 77

Úvod Vážený čtenáři, materiál, který právě čtete, obsahuje zadání praktických cvičení z oblasti počítačových sítí a návody na jejich vypracování. Je určen pro vyučující předmětů týkajících se počítačových sítí na technických vysokých školách. Vznikl při vytvoření nové laboratoře počítačových sítí a distribuovaných systémů na Fakultě informačních technologií VUT v Brně jako podpora výuku předmětů z oblasti sítí. Na přípravě úloh se kromě autora tohoto textu podíleli významnou měrou také Ing. Rudolf Čejka a Ing. Ondřej Ryšavý, Ph.D., kterým tímto děkuji za spolupráci. Zde uvedené návody se v současné době využívají při praktické laboratorní výuce na FIT VUT v Brně. Úlohy předpokládají základní vybavení laboratoře, které je podrobněji popsáno v další podkapitole. Protože charakter úloh vyžaduje oprávnění správce sítě, musí být laboratoř oddělena od akademické počítačové sítě. Pokud vaše pracoviště nemá k dispozici některé popisované přístroje či aktivní sít ové prvky, lze úlohy upravit nebo nahradit jinými. Pořadí uvedených cvičení je připraveno tak, jak by měly úlohy tematicky následovat. Některá cvičení se odkazují na znalosti z předchozích úloh. Uvedený popis cvičení není určen jenom pro vyučující. Má praktický význam také pro studenty. Ti si mohou uvedené postupy vyzkoušet na svém počítači nebo při jednoduchém projení dvou počítačů v síti typu peer-to-peer. Úlohy jsme vybrali tak, aby zahrnovaly základní dovednosti, s kterými se pravděpodobně setká každý správce sítě. Při jejich řešení očekáváme u čtenářů základní znalosti operačních systémů Unix a Windows, orientaci v unixové adresářové struktuře a editace souborů v prostředí vi, případě ee. Při implementaci úloh dáváme důraz na unixové operační systémy (Linux, FreeBSD), které se v praxi nejvíce používají pro sít ové servery a řídící stanice. Ve cvičeních se setkáte i s úlohami z prostředí MS Windows, případně kombinace různých prostředí. Cílem cvičení je ukázat principy počítačových sítí nezávislé na operačním systému. Tento text obsahuje pět cvičení, které jsme v průběhu roku 2005 připravili. Předpokládáme, že počet úloh se postupně zvětší. Další úlohy přidáme do nové verze tohoto textu. Přeji vám, aby byl pro vás tento text užitečný a mohli jste ho prakticky využít bud pro své osobní studium nebo při školní výuku. V Brně, 3.1.2005 Petr Matoušek

Struktura cvičení Jednotlivá cvičení popisovaná v následujících kapitolách mají pevnou strukturu. Na začátku představíme hlavním myšlenku a cíl cvičení. Pak následuje krátký komentář k vedení cvičení a nejčastější chyby, kterých se studenti dopouští. Ve třetí části je uvedena literatura, ze které je možné čerpat teoretické podklady či další náměty na cvičení. V čtvrté podkapitole cvičení je vlastní zadání, které doporučujeme vytisknout a dát k dispozici studentům při řešení úloh. Výsledky cvičení studenti zapisují do protokolů, jejichž ukázky jsou uvedeny v poslední části každé kapitoly. Každé laboratorní cvičení je rozděleno na několik úkolů, které studenti vypracují. Tyto úkoly je nutné dělat v pořadí, jak jsou uvedeny. Některé vyžadují více času, jiné jsou časově méně náročné. Výsledkem každého úkolu je zápis výsledků do protokolu - např. formou vyplnění tabulky nebo zakreslením zapojení. Protokoly studenti odevzdají na dalším cvičení, takže si mohou doma projít zjištěné výsledky. Důležité je, aby protokoly studentům po opravení zůstaly, nebot pro ně představují použitelný návod pro práci v praxi. Při cvičení v laboratořích by měl mít každý student svůj počítač. I když některé úkoly jsou zadány pro dvojice či skupinu, je vhodné, aby si každý student sám vyzkoušel nastavit konfiguraci, která je cílem cvičení. Pokud by dva studenti sdíleli jeden počítač, pak to pro méně zkušeného studenta znamená pasivní příjem informací a význam cvičení se ztrácí. Bezpečnost práce Na prvním cvičení je nutné seznámit studenty se zásadami práce v laboratoři a s bezpečností práce. U elektrotechnických škol můžeme očekávat znalost z vyhlášky 50/1978 Sb., paragraf 4 (pracovník poučený). Přesto je nutné seznámit studenty se zařízeními v laboratoři, hlavním vypínačem elektrické energie a také se zásadami poskytnutí první pomoci při úrazu elektrickým proudem. Přestože studenti nepracují pod napětím ani na živých částech, mohou se při poruše zařízení nebo neopatrné manipulaci v rozvaděči dostat do kontaktu s elektrickým proudem (např. porucha zdroje v počítači, propojování datových kabelů v rozvaděči apod.). Studenti by měli na prvním cvičení podepsat protokol o seznámení s bezpečností práce v laboratoři. Doporučené schema hodiny Cvičení jsou plánovaná jako dvouhodinová (2x50 minut). Většinou záleží na zručnosti studentů, zda všechny úkoly stihnout. Důraz úloh je na pochopení a vysvětlení procvičované látky, nikoliv na mechanickém opakování kroků v zadání a snaze stihnout všechny části. Doporučuji nechat poslední úkol každého cvičení jako nepovinný, aby studenti nebyli stresováni časem. Pokud se vám bude zdát obsah cvičení časově náročný, je možné rozdělit cvičení na dvě části a dát studentům možnost se zaměřit více na jednotlivé úkoly. Doporučené rozdělení hodiny: 1. úvod, teoretické seznámení s cílem cvičení, slovní popis jednotlivých úkolů (cca 20 minut) 2. vypracování jednotlivých úkolů (3x20 minut) 3. závěr, ukončení práce (10 minut) V úvodu vyučující seznámí studenty s cílem cvičení a stručně představí jednotlivé úlohy a zařízení, které budou studenti využívat. Úvod je vhodné vést interaktivně, tzn. dotazovat se studentů na známé

věci a navazovat na jejich dosavadní zkušenosti. Pokud jsou některé úkoly zadány jako skupinové, je vhodné na to studenti upozornit, případně je hned na začátku rozdělit do skupin. V druhé části cvičení pracují studenti sami, resp. ve skupinách. Vyučující je obchází, radí či řeší vzniklé problémy. Závisí na přístupu pedagoga, jakou formu vedení zvolí. Osvědčilo se nám aktivní povzbuzování studentů zejména tehdy, kdy se poprvé setkají se operačním systémem či programem, který předtím neviděli. Pak je přítomnost a povzbuzování učitele motivací pro studenta. Během vypracování úkolů by si studenti měli zapisovat průběžné výsledky. Pokud mají již k dispozici protokoly, mohou to psát rovnou do protokolových archů. Pokud ne, stačí si výsledky poznamenat na papír a při odevzdání příští hodinu výsledky okomentovat a přepsat do standardního protokolu. Na závěr studenti vrátí všechny pomůcky (měřící přístroje, nástroje pro tvorbu kabelů apod.), odhlásí se a vypnou počítače. Popis laboratorního vybavení V této části popisujeme seznam zařízení a nástrojů, které se využívají pro navržené laboratorní úlohy. Úlohy je možné upravit pro jiný typ zařízení, případně je demonstrovat teoreticky. V následující tabulce jsou uvedeny typy přístrojů, které potřebujeme pro výuku, počet kusů v laboratoři (doporučený/minimální), přibližná cena zařízení bez DPH (v cenách roku 2005) a číslo úloh, ve kterých se zařízení použijí. Na pracovních stanicích předpokládáme instalaci operačních systémů MS Windows XP, Linux (distribuce Debian) a FreeBSD. V laboratoři by mělo být deset pracovních stanic, vhodný je ještě jeden počítač pro vyučujícího. Typ přístroje Počet kusů Cena za kus Použití (doporučený/min) v úlohách počítač s monitorem 10/11 33 700,- Kč 1,2,3,4,5 přepínač Belkin Gigabit, 8 portů 2/2 6 054,- Kč 1,2,3,4,5 přepínač Cisco WS-C2350T-24 3/1 16 267,- Kč (*) 1,2,3,4,5 rozvaděč s patch panely 1/1 25 336,- Kč 1,2,3,4,5 krimpovací kleště 10/5 820,- Kč 1 UTP lanko 5E 1.2m na 2 studenty 10,50 Kč/m 1 ořezávátko kabelů 10/5 55,- Kč 1 konektor RJ 45 1 ks na studenta 3,50 Kč/ks 1 tester Micro Mapper 4/2 2 817,- Kč 1 analyzátor NetTool Pro 2/1 28 700,- Kč (*) 1 WiFi karta Belkin 802.11g 10/10 1 062,- Kč 2,3 WiFi AP ASUS WL-300g 2/2 4 519,- Kč 2,3 WiFi AP Linksys 54 Mbps 1/1 3 980,- Kč 2 směrovač Cisco 2620XM 4/4 30 237,- Kč (*) 5 WAN modul pro směrovač WIC-2A/S 6/6 6 587,- Kč (*) 5 sériový kabel pro propojení směrovačů CAB-SS-V35MT 6/6 1 234,- Kč (*) 5 sériový kabel pro propojení směrovačů CAB-SS-V35FC 6/6 1 234,- Kč (*) 5 (*) speciální cena pro Cisco akademie Doporučená literatura Při vytváření textu jsme čerpali zejména z manuálových stránek použitých příkazů, dále pak z úloh popsaných v [?] a [?]. Příklady je možné doplnit o teorii, pro kterou bych doporučil např. [?], [?], [?] či [?].

Kapitola 1 Úloha- Propojování počítačů a konfigurace LAN 1.1 Stručný popis a cíl cvičení Tato úloha je zaměřená na první seznámení s UTP kabeláží, vytváření kabelů (přímých i křížených), propojování počítačů mezi sebou (sítě typu peer-to-peer) a propojování počítačů pomocí aktivních prvků. V první úloze se studenti seznámí s měřícími přístroji v laboratoři. Pak dostanou sadu testovacích kabelů, u nichž zjistí základní charakteristiky pomocí kabelových testerů. Studenti si dále vyzkouší vytvářet kabely a měřit jejich zapojení (délku, parametry kabelu). Pracují ve dvojicích, každý vytvoří na kabelu jeden konektor. Tento kabel použijí k vzájemnému propojení počítačů. Pokud vyrobí přímý kabel, jsou v laboratoři k dispozici křížové propojky, které umožní použít tento kabel při zapojení s propojkou k připojení dvou počítačů. Ve třetí úloze si studenti spustí počítače pod všemi systémy (MS Windows, Linux, FreeBSD) a pomocí zadaných příkazů zjistí základní konfiguraci počítačů, tj. HW adresu, IP adresu, masku, bránu, rychlost linky a další hodnoty. Ve čtvrté úloze si studenti pomocí vyrobených kabelů propojí sousední počítače a nakonfigurují sít. Je vhodné, aby jeden počítač běžel v systému MS Windows a druhý v jiném systému. Ověří komunikaci pomocí příkazu ping. Pro nastavení IP adres použijí studenti privátní adresy. V pátém úkolu propojí ve skupinách tři počítače. Opět každý počítač bude v jiném operačním systému. Pro propojení potřebují přepínač. Studenti si sami propojí v rozvaděči počítače s přepínačem a zkontrolují podle blikajících kontrolek, zda je připojení funkční a na jaké rychlosti pracuje. Poslední úloha je teoretická (z časových i praktických důvodů). Vyučující předvede studentům, jak se vytvářejí vyvazovací panely (patch panely) do rozvaděče, ukáže rozdíl mezi kabelem UTP typu drát a typu lanko (licna) a vysvětlí základní způsoby vytváření propojení LAN sítí v rozvaděčích. 1.2 Komentář k vedení cvičení Toto cvičení je potřeba dobře zorganizovat, aby se časově zvládlo. První tři úkoly mohou studenti dělat v libovolném pořadí. Na začátku cvičení je vhodné, aby vyučující ukázal studentům, jak se vytváří UTP kabel. Pak rozdá do dvojic kabely o délce cca 1.5m s dvěma konektory RJ45, krimpovací kleště, případně ořezávátko izolace. Vysvětlí různá zapojení, význam barev vodičů i základní charakteristiky kabelů podle tříd (viz příloha zadání). 4

KAPITOLA 1. ÚLOHA- PROPOJOVÁNÍ POČÍTAČŮ A KONFIGURACE LAN 5 Pro vytváření kabelů je vhodné na tabulky nakreslit základní nastavení přímého a křížové nastavení s barvami kabelů, jak pro 100 Mbps, tak i pro 1000 Mbps. V další části někteří studenti vytvářejí kabely (úkol č.2), jiní testují kabely (úkol č.1), případně zjišt ují sít ové nastavení pracovních stanic (úkol č.3). Toto závisí na počtu měřících přístrojů a počtu sad testovacích kabelů pro první úlohu. Před propojování počítačů v přepínačích je vhodné studentům přidělit adresy z privátního adresového prostoru. Pokud si totiž dvě skupiny zvolí stejnou podsít (např. 192.168/16) a použijí stejný přepínač, mohou omylem komunikovat s počítači v jiné skupině, aniž by to zjistili. Poté, co dokončí studenti pátou úlohu, měl by vyučující vysvětlit vytváření vyvazovacích panelů a způsoby uspořádání aktivních prvků v rozvaděči (racku). 1.3 Požadavky na vybavení sada testovacích kabelů s různými chybami a typy propojení (minimálně jedna) měřící přístroj, např. NetTool (minimálně jeden) krimpovací kleště (5 ks pro 10 studentů), UTP lanko (1.5 metru na dva studenty), konektory RJ 45 (min. jeden na studenta), ořezávátko kabelů (5 ks na 10 studentů) přepínače (jeden či více, minimálně deset portů) pracovní stanice (10 ks) s operačními systémy MS Windows, FreeBSD, Linux ukázka UTP zásuvky, modulárního vyvazovacích panelu s tzv. keystone (zářezový s kolmou svorkovnicí), 1.4 Doporučená literatura teorie v [?] a příklady v [?]

KAPITOLA 1. ÚLOHA- PROPOJOVÁNÍ POČÍTAČŮ A KONFIGURACE LAN 6 1.5 Zadání úlohy Cíl laboratorního cvičení naučit se připravovat UTP kabely, rozlišit způsoby zapojení (přímé, křížové) pro rychlosti 10/100 Mbps a 1000 Mbps měření kabelů (zapojení, délka apod.) vzájemné propojování počítačů (peer-to-peer) vytváření propojení více počítačů pomocí aktivních prvků nastavování sít ové konfigurace (OS Windows XP, Linux, FreeBSD) testování sít ového spojení - měřícími přístroji, příkazy OS seznámit se s vytvářením pevné (nepohyblivé) kabeláže Vstupní znalosti zkouška z vyhlášky 50/1978 Sb., paragraf 4 (pracovník poučený) základy OS systému Unix základní rozdělení sít ových zařízení (karta, switch apod.) rozdělení IP adres do podtříd, výpočet sít ové masky, adresy broadcast Úkol 1- testování zapojení kabelů UTP kategorie 5e Úkol: Změřte zapojení vodičů testovacích kabelů, určete jejich délku, rychlost přenosu a typ zapojení. Nakreslete schéma zapojení jednotlivých drátů. Nástroje: Postup: Měřící přístroj NetTool Testovací kabely A,B,C,D 1. Zapojte testovací kabel v režimu single-mode k přístroji NetTool. 2. Proved te test zapojení kabelu - zjistěte délku kabelu a typ zapojení konektorů (norma T536A nebo T536B). 3. Zakreslete mapu zapojení vodičů pro testovaný kabel. 4. Zjistěte, zda se jedná o křížený vodič, určete jeho přenosovou rychlost (podle typu zapojených drátů). 5. Zapište zjištěné informace do tabulky a zakreslete zapojení vodičů jednotlivých kabelů. Vyplňte následující tabulku

KAPITOLA 1. ÚLOHA- PROPOJOVÁNÍ POČÍTAČŮ A KONFIGURACE LAN 7 Kabel A Kabel B Kabel C Kabel D Délka Přímý/překřížený Rychlost přenosu Úkol 2- vytváření kabelů(práce ve dvojicích) Úkol: Připravte UTP kabel pro propojení počítačů/aktivních prvků mezi sebou. Otestujte vytvořený kabel. Nástroje: Postup: kabel UTP 5e lanko (licna), cca 2 metry konektor RJ-45 krimpovací kleště ořezávátko izolace (boxer) tester kabelu NetTool 1. Prostudujte zapojení vodičů UTP kabelu podle normy T568B - viz tabulka na konci. 2. Odměřte si potřebnou délku kabelu (2 metry). 3. Odstraňte izolaci kabelu (max 2 cm) pomocí ořezávátka 4. Upravte vodiče tak, aby podle barvy odpovídaly vybranému zapojení (vyberte si pouze jedno zapojení do dvojice): (a) Uspořádání vodičů podle standardu T568B na obou koncích pro přímé zapojení na rychlosti 100/1000 Mbps. (b) Uspořádání vodičů podle standardu T568A na jednom konci a T568B na druhém konci pro křížové zapojení 1 do rychlosti 100Mbps. 1 Totozapojení sepoužívápropropojenípřepínačůarozbočovačů navzájem,nebopropropojení dvou počítačů mezi sebou.

KAPITOLA 1. ÚLOHA- PROPOJOVÁNÍ POČÍTAČŮ A KONFIGURACE LAN 8 (c) Uspořádání vodičů podle standardů T568A na jednom konci a T568B na druhém konci s křížením drátů (modrá-hnědá) pro křížové zapojení do rychlosti 1000 Mbps. (d) Zarovnejte konce vodičů, aby všechny byly stejně dlouhé (na 1.8 cm). 5. Zapojte vodiče do konektoru RJ-45 a zakrimpujte. 6. Proměřte zapojení vodičů, určete délky kabelu. 7. Zakreslete použité zapojení drátů. 8. Vyplňte příslušnou tabulku. Vyplňte následující tabulku Typ použitého kabelu (standard, kategorie) Typ použitého konektoru (standard) Způsob zapojení vodičů (přímé/křížové) Délka kabelu Typ připojení (T568A/T568B) Použité nástroje Zakreslete zapojení konektoru RJ-45 podle specifikace T568A. Uved te barvy jednotlivých vodičů a typ signálu, který přenášejí - viz tabulka na konci dokumentu. Zakreslete zapojení konektoru RJ-45 podle specifikace T568B. Uved te barvy jednotlivých vodičů a typ signálu, který přenášejí. 1 2 3 4 5 6 7 8

KAPITOLA 1. ÚLOHA- PROPOJOVÁNÍ POČÍTAČŮ A KONFIGURACE LAN 9 Pin Barva 1 2 3 4 5 6 7 8 Signál Úkol 3- zjištění síťové konfigurace počítače Úkol: Zjistěte nastavení sít ové konfigurace svého počítače v operačních systémech Linux, Windows XP a FreeBSD - typy sít ových rozhraní počítače, konfigurace sít ových rozhraní, přenosová rychlost spojení. Nástroje: Windows XP - příkaz ipconfig/all, menu Vlastnosti sít ové spojení Linux - příkazy: ifconfig ethtool eth0 more /etc/resolv.conf netstat -rn hostname FreeBSD - příkazy: ifconfig more /etc/resolv.conf netstat -rn hostname Postup nabootujte příslušný OS přihlaste se jako uživatel ipk (heslo ipk4lab), případně root (heslo root4lab) zjistěte požadované nastavení vyplňte příslušnou tabulku Pro každé sít ové rozhraní vyplňte následující tabulku

KAPITOLA 1. ÚLOHA- PROPOJOVÁNÍ POČÍTAČŮ A KONFIGURACE LAN 10 sít ové rozhraní (u Unixu) MAC adresa (hw address) IP adresa (inet address) maska podsítě adresa pro broadcast doménová adresa implicitní DNS server brána rychlost linky použité příkazy Úkol 4- vytvoření sítě Peer-To-Peer(práce ve dvojicích) Úkol: Pomocí vytvořeného kabelu propojte navzájem dva sousední počítače. Na jednom počítači nastavte OS Windows XP, na druhém systém Linux či FreeBSD. Nástroje: Postup: příkazy FreeBSD/Linuxu: ifconfig, ping příkazy Windows XP: ipconfig /all, ping vyberte si adresy z privátního adresového prostoru - použijte adresy s prefixem 192.168.x.x nebo 172.16.x.x propojte dva sousední počítače UTP kabelem vytvořeným v předchozí úloze nabootujte OS Windows XP na jednom počítači a FreeBSD/Linux na druhém počítači (login: root, heslo: root4lab) na systému FreeBSD/Linux zastavte proces DHCP ps -ax grep dhclient(freebsd) ps -ef grep dhclient(linux) kill <PID> nastavte sít ovou konfiguraci počítačů - IP adresy, masku, brány, DNS servery (pokud je to potřeba) Příkazy na konfiguraci síťového rozhraní Linux: ifconfig <interface> inet <IP> netmask <mask> FreeBSD ifconfig <interface> inet <IP> netmask <mask> otestujte funkčnost spojení zapište způsob nastavení a parametry spojení Výsledek:

KAPITOLA 1. ÚLOHA- PROPOJOVÁNÍ POČÍTAČŮ A KONFIGURACE LAN 11 Počítač IPadresa Maskapodsítě Brána... Úkol 5- vytvoření malé sítě(práce ve trojicích/čtveřicích) Úkol: Pomocí instalované kabeláže propojte alespoň tři počítače do nezávislé sítě. Nastavte sít ovou konfiguraci takto vytvořené sítě s použitím privátních IP adres. Nástroje: Postup příkazy FreeBSD/Linuxu: ifconfig, ping nastavení Windows XP: ipconfig, ping seznamte se s propojením počítačů pomocí aktivních prvků seznamte se s nastavováním aktivních prvků vyberte si adresy z privátního adresového prostoru - použijte adresy s prefixem 192.168.x.x nebo 172.16.x.x zapojte počítače do jednoho aktivního sít ového prvku, využijte původních datových rozvodů nabootujte OS Windows XP, FreeBSD a Linux na třech (čtyřech) počítačích - login root (heslo root4lab) nastavte sít ovou konfiguraci zapojených počítačů - IP adresy, masku, brány, DNS servery (pokud je to potřeba) Příkazy na konfiguraci síťového rozhraní Linux: ifconfig <interface> inet <IP> netmask <mask> route add default gw <IP> FreeBSD ifconfig <interface> inet <IP> netmask <mask> route add default <IP> otestujte funkčnost a rychlost spojení zapište výsledky (způsob nastavení) a parametry spojení Výsledek: Počítač IPadresa Maskapodsítě Brána...

KAPITOLA 1. ÚLOHA- PROPOJOVÁNÍ POČÍTAČŮ A KONFIGURACE LAN 12 Úkol 5- ukázka vytváření statických rozvodů Úkol: Vytvořte spojení dvou jednotek keystone (podobně zásuvka - patch panel) mezi dvěma patch panely a použijte toto propojení k vytvoření sítě pomocí patch panelů. Tuto úlohu řešte pouze pod vedením asistenta. Nástroje: Postup: kabel UTP 5e drát, cca 50 cm (pro dvojici) keystone UTP 5E zářezový s kolmou svorkovnicí ořezávátko izolace s boxerem rámeček do patch panelu UTP kabel s konektory na otestování tester kabelu nastudujte zapojení drátů podle standardu T568B odstraňte izolaci připojte koncové konektory do keystone připevněte keystone do patch panelu vytvořte konfiguraci malé sítě z předchozí úlohy tak, že kabely se budou zapojovat do patch panelů otestujte funkčnost spojení a předved te spojení asistentovi zapište způsob zapojení odstraňte spojení z prvků keystone a vrat te kabel asistentovi Pokyny k vypracování protokolů Vytištěný protokol odevzdají studenti na dalších laboratořích (za tři týdny), nejpozději 29. dubna 2005. Za vypracovaný protokol lze získat až 10 bodů. Protokol bude obsahovat hlavičku, výsledky měření a úlohu k řešení: 1. Záhlaví protokolu Jméno a příjmení studenta, login Datum měření, skupina měření (1-12) Název laboratorní úlohy 2. Výsledky měření Použité přístroje Seznam jednotlivých úkolů v laboratoři

KAPITOLA 1. ÚLOHA- PROPOJOVÁNÍ POČÍTAČŮ A KONFIGURACE LAN 13 3. Závěr (a) Název a stručný popis jednotlivých úloh (b) Výsledek úlohy - tabulky, nastavení apod. Diskuze výsledků. Závěrečné zhodnocení laboratorní práce. Ukončení práce v laboratoři V OS Windows XP zrušte manuální nastavení IP adresa a nastavte automatické zjišt ování IP adresy přes DHCP Vypněte počítač Windows a FreeBSD - tlačítkem power Linux - příkazemhalt Vrat te zhotovené UTP kabely na první lavici.

KAPITOLA 1. ÚLOHA- PROPOJOVÁNÍ POČÍTAČŮ A KONFIGURACE LAN 14 A. Teoretická část A.1 Kabeláž typy konektoru RJ45 - T568A (standard ISDN) a T568B (standard AT&T) 2 3 3 1 4 2 1 4 1 2 3 4 5 6 7 8 1 2 3 4 5 6 7 8 T586A T586B Význam a použití vodičů T568A Pin Pár Barva Signál Použití 10/100BASE- T Použití 100/1000BASE- T4 1 3 bílo-zelená Transmit Ano Ano (BI DA+) 2 3 zelená Transmit Ano Ano (BI DA-) 3 2 bílo-oranžová Received Ano Ano (BI DB+) 4 1 modrá Not Used Ne Ano (BI DC+) 5 1 bílo-modrá Not Used Ne Ano (BI DC-) 6 2 oranžová Received Ano Ano (BI DB-) 7 4 hnědo-bílá Not Used Ne Ano (BI DD+) 8 4 hnědá Not Used Ne Ano (BI DD-) Význam a použití vodičů T568B Pin Pár Barva Signál Použití 10/100BASE- T Použití 100/1000BASE- T4 1 2 bílo-oranžová Transmit Ano Ano (BI DA+) 2 2 oranžová Transmit Ano Ano (BI DA-) 3 3 bílo-zelená Received Ano Ano (BI DB+) 4 1 modrá Not Used Ne Ano (BI DC+) 5 1 bílo-modrá Not Used Ne Ano (BI DC-) 6 3 zelená Received Ano Ano (BI DB-) 7 4 hnědo-bílá Not Used Ne Ano (BI DD+) 8 4 hnědá Not Used Ne Ano (BI DD-) BI=Bidirectional data, RX=Receive Data, TX=Transmit Data kabel UTP 5e

KAPITOLA 1. ÚLOHA- PROPOJOVÁNÍ POČÍTAČŮ A KONFIGURACE LAN 15 drát - jednotlivé vodiče jsou tvořeny jako shluk malých drátů (používá se pro pevnou kabeláž) lanko (licna) - jednotlivé vodiče tvoří lanko (používá se pro pohyblivou kabeláž) A.2 Typy přenosových médií kroucená dvoulinka (twisted pair) tvořena jedním či více páry měděných vodičů; používá se zejména v lokálních sítích stíněná dvoulinka (STP) - obsahuje čtyři páry měděných vodičů uzavřených v barevné plastové izolaci; páry jsou navzájem zkrouceny, celý kabel je stíněn kovovým pláštěm nestíněná dvoulinka (UTP) - nejběžnější médium tvořené čtyřmi páry měděných vodičů pro připojení se používá konektor RJ-45 (Registered Jack) Typy kabelů UTP Typ kabelu Category 1 (CAT 1) Category 2 (CAT 2) Category 3 (CAT 3) Category 4 (CAT 4) Category 5 (CAT 5) Category 5e (CAT 5e) Category 6 (CAT 6) Použití telekomunikační přenos, nevhodné pro přenos dat přenos do 4 Mbps přenos do 10 Mbps; sítě 10BASET přenos do 16 Mbps; sítě Token Ring přenos do 100 Mbps; sítě Fast Ethernet přenos do 1000 Mbps; sítě Gigabit Ethernet nový standard; sítě Gigabit Ethernet koaxiální kabel obsahuje centrální měděný vodič v plastické izolaci, tkaná měděná mřížka (druhý vodič) nebo kovový plášt (u venkovních rozvodů) a vnější ochranný plastový obal umožňuje propojení na delší vzdálenost než kroucená dvoulinka vnější vodič musí být uzemněn nyní se používá zejména pro video-přenos, vysokorychlostní komunikace v sítích T1/T3 a E1/E3 a kabelovou televizi pro připojení používá konektor BNC (British Naval Connector) maximální šířka pásma a omezení délky:

KAPITOLA 1. ÚLOHA- PROPOJOVÁNÍ POČÍTAČŮ A KONFIGURACE LAN 16 A.3 Adresy Médium Značka Max. šířka pásma Max. délka kabelu 50-ohm koaxiální kabel 10BASE2 Ethernet, Thinnet 10 Mbps 185 m 50-ohm koaxiální kabel 10BASE5 Ethernet, Thicknet 10 Mbps 500 m kategorie 5 UTP 10BASE-T Ethernet 10 Mbps 100 m kategorie 5 UTP 100BASE-TX Ethernet 100 Mbps 100 m kategorie 5 UTP 1000BASE-FX Ethernet 100 Mbps 100 m multimode optical fiber (62.5/125µm) multimode optical fiber (62.5/125µm) multimode optical fiber (50/125µm) single-mode optical fiber (9/125µm) 100BASE-FX Ethernet 100 Mbps 2000 m 1000BASE-SX Ethernet 1000 Mbps 220 m 1000BASE-SX Ethernet 1000 Mbps 550 m 1000BASE-LX Ethernet 1000 Mbps 5000 m fyzická (hardwarová, MAC adresa) - 48-bitové číslo, např. 00:03:47:99:99:43 IP adresa (verze 4) - 32-bitové číslo, např. 147.229.10.14 doménová adresa - řetězec, např. eva.fit.vutbr.cz Mapování adres doménová adresa vs. IP adresa systém DNS (Domain Name System) uloženo v DNS záznamech (typu A, PTR) vyhledávání informací - např. nslookup, dig IP adresa vs. fyzická adresa (Ethernet, Token Ring, ARCnet) přístupový protokol ARP (Address Resolution Protocol) uloženo v arp tabulkách, arp -a Přidělování adres počítačům fyzické adresy - přiděleny výrobcem k sít ovému rozhraní IP adresy - statické nastavení (v konfiguraci sít ového rozhraní), dynamické nastavení (DHCP) doménové adresy - registrovány v DNS, nastavení v konfiguraci sít ového rozhraní Třídy adres

KAPITOLA 1. ÚLOHA- PROPOJOVÁNÍ POČÍTAČŮ A KONFIGURACE LAN 17 Třída adres Začátek adresy Maska podsítě Prefix sítě Třída A 0 1-126 11111111 00000000 00000000 00000000 /8=255.0.0.0 Třída B 10 128-191 11111111 11111111 00000000 00000000 /16=255.255.0.0 Třída C 110 192-223 11111111 11111111 11111111 00000000 /24=255.255.255.0 Třída D 1110 224-239 multicast Třída E 1111 240-254 rezervováno pro experimentální účely Privátní adresy počáteční adresa koncová adresa prefix 10.0.0.0 10.255.255.254 10/8 172.16.0.0 172.31.255.254 172.16/12 192.168.0.0 192.168.255.254 192.168/16

KAPITOLA 1. ÚLOHA- PROPOJOVÁNÍ POČÍTAČŮ A KONFIGURACE LAN 18 1.6 Ukázka protokolu k vypracování Fakulta informačních technologií VUT Brno IPK- laboratorní úloha č.1 Propojování a konfigurace počítačové sítě Jméno a příjmení: Přihlašovací jméno: Datum měření, číslo skupiny: Datum vypracování protokolu: Podpis: Úvod, cíl laboratorního cvičení Použité nástroje:

KAPITOLA 1. ÚLOHA- PROPOJOVÁNÍ POČÍTAČŮ A KONFIGURACE LAN 19 Výsledky měření 1. úkol- Testování zapojení kabelů UTP kategorie 5e Stručný popis úlohy: Výsledky měření: Kabel A Kabel B Kabel C Kabel D Délka Přímý/překřížený Rychlost přenosu Mapa zapojení vodičů testovaných kabelů: 2. úkol- Vytváření kabelů Stručný popis úlohy: Výsledky měření:

KAPITOLA 1. ÚLOHA- PROPOJOVÁNÍ POČÍTAČŮ A KONFIGURACE LAN 20 Typ použitého kabelu (standard, kategorie) Typ použitého konektoru (standard) Způsob zapojení vodičů (přímé/křížové) Délka kabelu Typ připojení (T568A/T568B) Použité nástroje Zapojení vodičů vytvořeného UTP kabelu: Zapojení konektoru RJ-45 podle specifikace T568A a T568B 1 2 3 4 5 6 7 8 Pin Barva 1 2 3 4 5 6 7 8 T568A Signál Pin Barva 1 2 3 4 5 6 7 8 T568B Signál 3. úkol- zjištění síťové konfigurace počítače Stručný popis úlohy: Konfigurace počítače:

KAPITOLA 1. ÚLOHA- PROPOJOVÁNÍ POČÍTAČŮ A KONFIGURACE LAN 21 sít ové rozhraní (u Unixu) MAC adresa (hw address) IP adresa (inet address) maska podsítě adresa pro broadcast doménová adresa implicitní DNS server brána rychlost linky použité příkazy Linux FreeBSD Windows 4. úkol- vytvoření sítě Peer-To-Peer Stručný popis úlohy: Použité příkazy pro konfiguraci: Windows XP FreeBSD Linux Výsledné nastavení počítačů: Počítač IP adresa Maska podsítě Brána... 5.úkol-Vytvořenímalésítě Stručný popis úlohy:

KAPITOLA 1. ÚLOHA- PROPOJOVÁNÍ POČÍTAČŮ A KONFIGURACE LAN 22 Použité příkazy pro konfiguraci: Windows XP FreeBSD Linux Výsledné nastavení počítačů: Počítač IP adresa Maska podsítě Brána... Závěr- přínos laboratorní práce, diskuze výsledků

Kapitola 2 Úloha- Bezdrátové počítačové sítě 2.1 Stručný popis a cíl cvičení V této úloze se studenti seznámí s propojováním počítačů do podsítí pomocí bezdrátových přenosových technologií. Naučí se konfigurovat WiFi sítě, zjišt ovat dostupné sítě v okolí a sílu jejich signálu. Vytvoří si vzájemné propojení počítačů typu peer-to-peer bez přístupového bodu (tzv. ad hoc sítě). Poté si ve skupinách nastaví přístupový bod WiFi (AP) a nakonfigurují jeho nastavení s pracovními stanicemi. Cílem je ukázat, že práce s bezdrátovou technologií je při vytváření sítí principiálně stejná jako s UTP kabeláží. Vždy potřebují nastavit IP adresy, masky, DNS servery a bránu a otestovat kvalitu spojení. Cílem cvičení je ukázat na rozdíly technologie CSMA/CD u Ethernetu a CSMA/CA u WiFi sítí 802.11. Studenti by se měli orientovat v pojmech jako kanál, frekvence a vědět, jaká je doporučená vzdálenost sousedních či překrývajících se bezdrátových sítí. Také by měli znát, jaké materiály zabraňují šíření elmag. signálu a způsobují komunikační problémy WiFi sítí. 2.2 Komentář k vedení cvičení Na začátku cvičení by měl vyučující seznámit s principy bezdrátových sítí, upozornit na základní typy 802.11a,b,g, příslušné frekvence, kódování a použití (viz teoretická část v závěru zadání). Také by studenti měli mít představu o dosahu a rychlosti sítí 802.11. Dále by měl vyučující vysvětlit rozdíl mezi připojením ad-hoc a připojením pomocí AP. Práce bude probíhat ve skupinách a vyučující by měl přidělit jednotlivým skupinám kanály, na kterých budou pracovat tak, aby se nepřekrývaly a vzájemně nerušily. Doporučené rozdělení u sítí 802.11b/g jsou kanály 1, 6 a 11. Je potřeba dát pozor, aby v dosahu nebyla např. školní sít pracující na některém kanálu. Také jsme zjistili, že i když WiFi karty pracující na různých kanálech, tak při použití stejných IP adres v různých skupinách (i při různém SSID) dochází k zarušení a stanice nekomunikují. Proto je vhodné přidělit skupinám i IP adresy, např. 192.168.1.x, 192.168.6.x a 192.168.11.x. Při vypisování informací o nastavení WiFi sítí v různých operačních systémech (MS Windows, Linux, FreeBSD) hodně závisí na výrobci WiFi karty a typu ovladače. Zejména unixové systémy nemusí všechny typy podporovat a pak jsou zjištěné hodnoty nesprávné. Studenti by tuto věc měli odhalit a uvádět pouze skutečné hodnoty síly signálu, frekvence, rychlosti apod. Protože jde o práci ve skupinách, v laboratoři pro 10 studentů s deseti pracovními stanicemi je vhodné provést dělení 3-3-4 na skupiny, přidělit skupinám kanál a IP adresu. Urychlí to čas hledání chyb při špatně vzájemné komunikaci. 23

KAPITOLA 2. ÚLOHA- BEZDRÁTOVÉ POČÍTAČOVÉ SÍTĚ 24 2.3 Požadavky na vybavení 10 pracovních stanic s WiFi kartami alespoň tři přístupové body AP počítače s operačními systémy MS Windows, FreeBSD a Linux 2.4 Doporučená literatura Uvedené publikace jsou víceméně rovnocenné, spousta informací se opakuje. Vhodné pro výuku je knížka od Patricka Zandla, která vyšla v češtině a pak kniha od Jima Geiera, která uvádí základy WiFi sítí. [?], [?], [?] [?], [?]

KAPITOLA 2. ÚLOHA- BEZDRÁTOVÉ POČÍTAČOVÉ SÍTĚ 25 2.5 Zadání úlohy Cíl laboratorního cvičení seznámit se prakticky s technologií bezdrátových lokálních sítí naučit se konfigurovat a vytvářet WiFi sítě testování sít ové konfigurace - Linux, Windows, FreeBSD vytváření ad-hoc sítí a propojování počítačů peer-to-peer konfigurace přístupového bodu (AP) a nastavení sítě pomocí AP zjišt ování přenosu v sítích s AP, filtrování provozu Pokyny k vypracování protokolů Vytištěný protokol odevzdejte na přednášce, nejpozději 10. května 2005. Za vypracovaný protokol lze získat až 10 bodů. Protokol bude obsahovat hlavičku a výsledky měření: 1. Záhlaví protokolu Jméno a příjmení studenta, login Datum laboratorního cvičení, skupina (1-36) Název laboratorní úlohy 2. Výsledky měření Použité nástroje - Access Pointy, WiFi karty Seznam jednotlivých úkolů v laboratoři (a) vytváření Ad-hoc sítě (b) konfigurace a použití přístupového bodu AP (c) zjišt ování konfigurace sít ového rozhraní WiFi (d)... Krátký popis jednotlivých činností. Shrnutí řešení úlohy. Úkol 1- Nastavení ad-hoc sítě(práce ve skupinách) Úkol: 1. Vytvořte nezávislou bezdrátovou sít. 2. Takto vytvořenou sít připojte na Internet přes metalickou sít.

KAPITOLA 2. ÚLOHA- BEZDRÁTOVÉ POČÍTAČOVÉ SÍTĚ 26 1.1 Vytvoření nezávislé podsítě IBSS Postup: 1. Příprava počítače (a) vypojte u počítačů kabely metalického vedení (b) nabootujte na jednom počítači systém FreeBSD, na druhém Linux a na třetím Windows XP (c) na systému FreeBSD/Linux zastavte proces DHCP ps -ax grep dhclient (FreeBSD) ps -ef grep dhclient (Linux) kill <PID> 2. Konfigurace bezdrátového přenosu (fyzická vrstva - MAC) (a) zvolte si parametry spojení - SSID (libovolný řetězec, case-sensitive), číslo kanálu (4, 7 nebo 11) (b) nastavte příslušné parametry v systému pro sít ové rozhraní FreeBSD - viz dále (nastavuje se současně se síťovou konfigurací) Linux - iwconfig (zjištění síťového rozhraní) iwconfig <interface> essid <string> mode Ad-Hoc channel <number> Windows - Network Connection/Wireless Network/Properties/Wireless Net/Add nastavení ad-hoc sítě, zadání SSID, bez zabezpečení WEP kanál lze nastavit v konfiguraci ovladače (Advanced) 3. Konfigurace sít ové vrstvy (a) vyberte si adresy z privátního adresového prostoru - použijte adresy s prefixem 192.168.N.x nebo 172.16.N.x, kde N je číslo kanálu, který používáte pro přenos (b) nastavte sít ovou konfiguraci počítačů - IP adresu, masku apod.

KAPITOLA 2. ÚLOHA- BEZDRÁTOVÉ POČÍTAČOVÉ SÍTĚ 27 FreeBSD - ifconfig(zjištění síťového rozhraní) ifconfig <interface> inet <IP address> netmask <mask> ssid <string> mediaopt adhoc channel <number> Linux - ifconfig <interface> inet <IP address> netmask <mask> Windows - Network Connection/Wireless Network/Properties/General/TCP-IP /.../Wireless/Advanced/Settings/Advanced/Wireless/Settings/ICMP - povolení posílání ICMP paketů (program ping) (c) otestujte funkčnost spojení FreeBSD - ifconfig wicontrol <interface>-l (stav připojených stanic) ping <IP address> Linux - ifconfig, iwconfig ping <IP address> Windows - Network Connection/Wireless/View Wireless Networks ping <IP address> 4. Vyplňte následující tabulku parametrů připojení svého počítače: operační systém stanice název sítě (SSID) protokol 802.11 frekvence a kanál rychlost přenosu úroveň signálu (dbm) úroveň šumu (dbm) zabezpečení (encryption) 1.2 Připojení podsítě k Internetu 01 01 01 BSS Ethernet Switch

KAPITOLA 2. ÚLOHA- BEZDRÁTOVÉ POČÍTAČOVÉ SÍTĚ 28 1. připojte UTP kabelem počítač s OS Windows do přepínače 2. nastavte u druhé sít ové karty (UTP) přidělování adresy pomocí DHCP 3. načtěte konfiguraci z DHCP serveru - ipconfig/renew 4. povolte přístup ostatním počítačům v síti na Internet přes toto rozhraní Network Connections/LAN/Properties/Advanced/Internet Connection Sharing 5. nastavte na dalších počítačích bránu FreeBSD: route add default <IP address> Linux: route add default gw <IP address> výpis routovací tabulky: netstat -rn 6. zapište nastavení počítačů takto vytvořené sítě 7. výsledek zapojení podsítě s bránou: Počítač OS Rozhraní IP adresa Maska podsítě Brána Úkol2-VyhledáváníWiFisítí Úkol: Zjistěte nastavení sít ového rozhraní WiFi svého počítače pod operačními systémy Linux, Windows a FreeBSD. Detekujte dostupné WiFi sítě. Určete jejich identifikaci (SSID), parametry přenosu (rychlost, číslo kanálu) a vlastnosti spojení (síla signálu, šum apod.) Použijte následující příkazy a programy: FreeBSD - ifconfig wicontrol <interface>-l (stav připojení) wicontrol <interface>-l (dostupné sítě) Linux - ifconfig iwconfig iwlist <interface> scanning Windows - Network Connections/Wireless/Properties/View Wireless Networks Belkin Wireless Utility

KAPITOLA 2. ÚLOHA- BEZDRÁTOVÉ POČÍTAČOVÉ SÍTĚ 29 Postup: 1. nabootujte příslušný OS 2. přihlaste se jako uživatel root (heslo root4lab) 3. zjistěte pomocí zadaných příkazů informace o WiFi rozhraní pod každým operačním systémem 4. zjistěte informace o dostupných WiFi sítích 5. vyplňte níže uvedené tabulky Informace o sít ovém rozhraní: sít ové rozhraní (u Unixu) MAC adresa (hw address) IP adresa (inet address) použité příkazy Linux FreeBSD Windows XP Informace o dostupných sítích (uved te maximálně čtyři): název sítě (SSID) HW adresa AP status připojení protokol 802.11 frekvence a kanál rychlost přenosu úroveň signálu (dbm) úroveň šumu (dbm) zabezpečení (encryption) název sítě (SSID) HW adresa AP status připojení protokol 802.11 frekvence a kanál rychlost přenosu úroveň signálu (dbm) úroveň šumu (dbm) zabezpečení (encryption) Úkol3-NastaveníWiFisítěpomocíAP (práce ve skupinách) Úkol: Seznamte se s použitím a konfigurací přístupového bodu (AP). Vytvořte pomocí přístupového bodu podsít s přístupem do Internetu. Nastavte konfiguraci přístupového bodu - přidělování adres přes DHCP (pouze u AP ASUS).

KAPITOLA 2. ÚLOHA- BEZDRÁTOVÉ POČÍTAČOVÉ SÍTĚ 30 Postup: AP 01 01 01 BSS Ethernet Switch 1. připojte AP do sítě metalickou linkou 2. konfigurace AP: AP ASUS (a) vyhledejte AP v seznamu dostupných WiFi sítí firemní nastavení: SSID = default IP adresa = 192.168.1.1 uživatel/heslo = admin/admin (b) připojte se k AP pomocí WWW prohlížeče (c) nastavte nové SSID, číslo kanálu a IP adresu (d) změny uložte a obnovte spojení k AP (e) povolte připojení lokální k vnější síti (Home Gateway) (f) nastavte ručně IP adresu, sít ovou masku, bránu a DNS server vnější sítě WAN (podsít 10.10.10.x) (g) nastavte DHCP - rozsah přidělovaných adres (h) nastavte sít ovou konfiguraci ostatních počítačů v sítí - přidělování adres přes DHCP FreeBSD/Linux- dhclient <interface> AP Linksys Windows - Network Connections/Wireless/Properties/General/TCP-IP (a) vyhledejte AP v seznamu dostupných WiFi sítí firemní nastavení: SSID = linksys IP adresa = 192.168.1.245 uživatel/heslo = -/admin (b) připojte se k AP pomocí WWW prohlížeče (c) nastavte nové SSID, číslo kanálu (d) změny uložte a obnovte spojení k AP (e) nastavte ručně IP adresu, sít ovou masku a bránu AP

KAPITOLA 2. ÚLOHA- BEZDRÁTOVÉ POČÍTAČOVÉ SÍTĚ 31 (f) nastavte ručně sít ovou konfiguraci ostatních počítačů v sítí - IP adresu, masku a bránu tak, aby mohli komunikovat s vnější sítí přes AP 3. otestujte funkčnost lokální komunikace i přístupu na Internet 4. zapište nastavení počítačů takto vytvořené sítě Použitý AP: Počítač Operační systém Rozhraní IP adresa Maska podsítě Brána 5. Popište způsoby použití daného AP v síti, možnosti konfigurace apod.

KAPITOLA 2. ÚLOHA- BEZDRÁTOVÉ POČÍTAČOVÉ SÍTĚ 32 A. Teorie bezdrátových sítí A.1 Úvod do bezdrátových technologií Bezdrátové sítě jsou založené na přenosu signálu ve formě elektromagnetických vln volným prostorem (vzduchem). Základní komponenty bezdrátové sítě: Distribuční systém - zajišt uje logické připojení počítače při pohybu mezi různými přístupovými body Přístupový bod (Access Point) - obvykle slouží jako most (bridge) mezi bezdrátovou a kabelovou sítí Bezdrátové médium - tvoří fyzickou vrstvu podle standardu 802.11 (přenos pracuje nejčastěji v pásmech 2.4 GHz a 5 GHz) Stanice - zařízení (počítač, PDA, notebook, mobil), které obsahuje sít ové rozhraní (WiFi kartu) do bezdrátové sítě A.2 Přehled frekvenčních pásem pro bezdrátový provoz Služba Frekvence Poznámka rozhlas AM 535-1705 khz Komerční rozhlasové stanice analogové televizní kanály 2 54-88 MHz televize až 6 (VHF) rozhlas FM 88-108 MHz Komerční rozhlasové stanice analogové televizní kanály 7 174-216 MHz televize (i pro digitální vysílání) až 13 (VHF) analogové televizní kanály 470-806 MHz televize (i pro digitální vysílání) 14 až 69 (UHF) buňkové služby 825-894 MHz analogové POTS ISM (industrial, scientific, 902-928 MHz bezlicenční pásmo medical) PCS 1850-1990 MHz bezdrátové sítě 2G ISM 2.4-2.4835 GHz bezlicenční pásmo, 802.11 MMDS (Multichannel Multipoint 2.1-2.7 GHz bezdrátové sítě 3G Distribution Service) U-NII (Unlicensed National 5.15-5.35 GHz, 5.725-5.825 GHz bezlicenční pásmo, 802.11 Information Infrastructure) (pouze v USA), v Evropě HiperLAN LMDS (Local Multipoint 27.4-31.3 GHz Distribution System) Volný prostor (optika) W-Band 60 GHz široké pásmo, optika Volný prostor (optika) IR 765 nm široké pásmo, optika A.3 Bezdrátové sítě WLAN Standardy pro fyzickou vrstvu: infračervené pásmo (IR) - rychlost 1 Mbps (základní rychlost) a 2 Mbps (zvýšená rychlost) FHSS - RF signál 2.4 GHz s přenosem dat 1-2 Mbps

KAPITOLA 2. ÚLOHA- BEZDRÁTOVÉ POČÍTAČOVÉ SÍTĚ 33 DSSS - RF signál 2.4 GHz s přenosem dat 1,2,5.5 a 11 Mbps Rozprostřené spektrum Rozprostřené spektrum (spread spectrum) je metoda používaná pro modulaci informace na bity posílané do éteru. Základním konceptem je rozdělení informace do série radiových kanálů a frekvencí. Počet frekvencí je kolem 70 a informace se pošle přes většinu těchto kanálů předtím, než se demoduluje. Pásmo 2.4 GHz je rozděleno do dvanácti (či třinácti) kanálů, které jsou od sebe vzdáleny 5 MHz. Systémy používající rozprostřené spektrum vyžadují frekvenční pásmo široké 22 MHz. Kanál FCC (USA, ITSI (Evropa) Francie Španělsko Japonsko Kanada) 1 2.412 2.412 2.412 2 2.417 2.417 2.417 3 2.422 2.422 2.422 4 2.427 2.427 2.427 5 2.432 2.432 2.432 6 2.437 2.437 2.437 7 2.442 2.442 2.442 8 2.447 2.447 2.447 9 2.452 2.452 2.452 10 2.457 2.457 2.457 2.457 2.457 11 2.462 2.462 2.462 2.462 2.462 12 2.467 2.467 2.467 13 2.472 2.472 2.472 14 2.484 V různých zemích se používají podle jiných standardů různé frekvenční rozsahy kanálů v pásmu 2.4 GHz: V České republice smí zařízení pro venkovní provoz pracovat pouze v pásmu 2.4 GHz a maximální výkon vysílače smí být 100 mw (20 dbm) - licence ČTÚ 12/R/2000. Proto je potřeba vyzářený výkon regulovat. Základní typy rozprostřeného spektra: DSSS (Direct sequence spread spectrum) - poskytuje přenos do 11 Mbps (HR DSSS), původní standard pouze 2 Mbps. DSSS má menší výkon spektrální hustoty, tzn. na stejný výkon vyzáří větší rozsah frekvencí, což zmenšuje výkon dalších lokálních systémů pracujících ve stejném frekvenčním spektru. Systém používá frekvenční pásma široká 22 MHz, celkem jsou k dispozici tři nepřekrývající se pásma (kanály 1, 6 a 11). FHSS (Frequency hopping spread spectrum) - přenos do 3 Mbps. Protože u FHSS dochází k přeskoku frekvencí, je možné provozovat více individuálních systémů v dané oblasti, aniž by se rušily. FHSS systém přizpůsobí výběr kanálu tak, aby se přenos uskutečnil mimo zarušené kanály. Dostupná šířka 83.5 MHz je rozdělena do 79 (nebo 75) kanálů po 1 MHz. Zbylých 45 MHz slouží jako ochranné pásmo proti interferencím. Radiový signál skáče v náhodném pořadí po těchto kanálech - každých 30 sekund vystřídá 75 kanálů (na každém vysílá 400 ms).

KAPITOLA 2. ÚLOHA- BEZDRÁTOVÉ POČÍTAČOVÉ SÍTĚ 34 OFDM (Orthogonal Frequency Division Multiplex) - rozdělení pásma do velkého množství úzkých kanálů. Data se přenášejí v každém kanálu pomaleji, signál je však robustnější. Výsledkem je přenos až 54 Mbps. Původně přijaté jako standard pro 802.11a (pásmo ISM 5 GHz), v roce 2003 použité i pro pásmo 2.4 GHz jako 802.11g. Standardy 802.11 Pracovní skupina Technologický standard 802.11a 54 Mbps, 5 GHz (není povoleno v ČR pro venkovní použití) 802.11b 11 Mbps, 2.4 GHz 802.11d world mode and regulatory domains 802.11e quality of service 802.11f Interaccess Point Protocol (IAPP) 802.11g 2.4 GHz, higher data rate 802.11h Dynamic frequence allocation, transmit power control mechanism 802.11i Authentication and security A.4 Architektura WiFi sítí WLAN tvoří: WLAN stanice/klient Přístupový bod (AP, Access Point) - most mezi bezdrátovými sítěmi či mezi bezdrátovou sítí a pevnou sítí (např. metalickou). AP pracuje jako bázová stanice pro bezdrátové sítě - poskytuje přístup do drátové sítě WLAN klientům. Součásti WLAN sítě Basic Service Set (BSS) - základní blok sítě tvořený bezdrátovými stanicemi, které komunikují přímo či nepřímo mezi sebou Independent BSS (IBSS) - BSS, kde stanice komunikují mezi sebou v režimu peer-to-peer Infrastructure BSS - WLAN s přístupovým bodem, který umožňuje WLAN klientům připojit se i mimo vlastní WLAN; dvojnásobný rádius (leží ve středu dvou nejvzdálenějších stanic) Distribution system (DS) - bezdrátová sít obsahující páteřní spojení mezi přístupovými body. Extended service set (ESS) - překrývající se IBSS, kde přístupové body přenášejí provoz přes distribuční systém; WLAN klienti se mohou připojit přes libovolný AP v systému ESS Distribuční služby Distribuční systém musí nabídnout následující služby WLAN klientům. Tyto služby obvykle poskytují přístupové body: Připojení (Association) - logické spojení mezi AP a klientem; DS musí vědět, kam se mají posílat data; každý klient se připojí maximálně k jednomu AP, AP obsluhuje více klientů Odpojení (Disassociation) - ukončení spojení mezi AP a klientem; AP může donutit klienta k odpojení (omezení zdrojů, uzavření AP, nedostupnost AP); klient se odpojí při opuštění sítě

KAPITOLA 2. ÚLOHA- BEZDRÁTOVÉ POČÍTAČOVÉ SÍTĚ 35 Opětovné připojení (Reassociation) - používá se při pohybu klienta uvnitř ESS; klient se odpojí od jednoho AP a připojí se k druhému; nově asociovaný přípojný bod kontaktuje předchozí AP, což je potřeba pro doručení dat směrovaných klientovi Distribuce (Distribution) - při každém posílání dat používá WLAN klient distribuční systém. DS dá klientovi nutné informace pro připojení k BSS. Distribuce využívá ke své činnosti operaci připojení, odpojení a opětovné připojení. Během distribuce musí být klient připojen ke konkrétnímu AP z důvodu přijímání datového toku. Integrace (Integration) - tato služba připojí WLAN klienta do dalších LAN (bezdrátových či drátových). A.5 Technické parametry přenosu Velký vliv na dosah bezdrátového signálu má prostředí, kde se signál šíří. Následující tabulka uvádí jednotlivé materiály, které mohou způsobit útlum signálu: Typ prostředí Útlum Příklad Vzduch Minimální Dřevo Nízký Části kanceláře Omítka Nízký Vnitřní zdi Syntetické materiály Nízký Části kanceláře Azbest Nízký Stropy Sklo Nízký Okna Voda Střední Mokré dřevo, akvárium Cihly Střední Vnitřní a venkovní zdi Mramor Střední Vnitřní zdi Papír Vysoký Papírové role, krabice Beton Vysoký Podlahy, venkovní stěny Kov Velmi vysoký Nábytek, železobeton, výtahové šachty Přijímač vyžaduje pro příjem signálu na stanovené rychlosti určitou úroveň přijímaného signálu. Pro vyjádření této hodnoty se používá veličiny zisk, případně citlivost přijímače. Citlivost se udává jako záporná hodnota, čím nižší číslo, tím je výsledek lepší. Pro citlivost se používají jednotky dbm (decibel na miliwatt). Jde o logaritmickou stupnici. Např. rozdíl 3 dbm představuje dvojnásobek citlivosti. Příklad citlivosti některých WiFi karet je uveden v následující tabulce: Karta 11Mbps 5.5Mbps 2Mbps 1Mbps Oricono PCMCIA -82 dbm -87 dbm -91 dbm -94 dbm Cisco Aironet 350-85 dbm -89 dbm -91 dbm -94 dbm Belkin AP -78 dbm Linksys WPC11v1-76 dbm -80 dbm -80 dbm -80 dbm Z-Com XI626-85 dbm -88 dbm -89 dbm -92 dbm

KAPITOLA 2. ÚLOHA- BEZDRÁTOVÉ POČÍTAČOVÉ SÍTĚ 36 2.6 Ukázka protokolu k vypracování Fakulta informačních technologií VUT Brno IPK- laboratorní úloha č.2 Bezdrátové počítačové sítě Jméno a příjmení: Přihlašovací jméno: Datum měření, číslo skupiny: Datum vypracování protokolu: Podpis: Název a cíl laboratorního cvičení Použité přístroje a zařízení: Výsledky laboratorního cvičení 1. úkol- Nastavení ad-hoc sítě s přístupem na Internet Stručný popis úlohy:

KAPITOLA 2. ÚLOHA- BEZDRÁTOVÉ POČÍTAČOVÉ SÍTĚ 37 Použité příkazy(pro konkrétní 0S): Tabulku parametrů počítače po připojení: operační systém stanice název sítě (SSID) protokol 802.11 frekvence a kanál rychlost přenosu úroveň signálu (dbm) úroveň šumu (dbm) zabezpečení (encryption) Schéma výsledné konfigurace počítačů s vyznačením IP adres stanic: Výsledné nastavení zapojených počítačů s připojením do Internetu: Počítač OS Rozhraní IPadresa Maskapodsítě Brána

KAPITOLA 2. ÚLOHA- BEZDRÁTOVÉ POČÍTAČOVÉ SÍTĚ 38 2.úkol-VyhledáváníWiFisítívokolí Stručný popis úlohy: Informace o síťovém rozhraní: sít ové rozhraní (u Unixu) MAC adresa (hw address) IP adresa (inet address) použité příkazy Linux FreeBSD Windows XP Informace o dostupných sítích(uveďte maximálně čtyři): název sítě (SSID) HW adresa AP status připojení protokol 802.11 frekvence a kanál rychlost přenosu úroveň signálu (dbm) úroveň šumu (dbm) zabezpečení (encryption) název sítě (SSID) HW adresa AP status připojení protokol 802.11 frekvence a kanál rychlost přenosu úroveň signálu (dbm) úroveň šumu (dbm) zabezpečení (encryption)

KAPITOLA 2. ÚLOHA- BEZDRÁTOVÉ POČÍTAČOVÉ SÍTĚ 39 3. úkol- Vytvoření WiFi sítě pomocí Access Pointu: Stručný popis úlohy: Stručný popis použitého Access Pointu(název, možnosti připojení): Výsledek nastavení: Použitý AP: Počítač Operačnísystém Rozhraní IPadresa Maskapodsítě Brána Závěr- přínos laboratorní práce, diskuze výsledků

Kapitola 3 Úloha- Přidělování IP adres, NAT adns 3.1 Stručný popis a cíl cvičení Cílem cvičení je naučit se konfigurovat lokální sít a připojit ji k Internetu. Jedná se o velmi praktickou úlohu typu máme firmu, která má lokální sít a přes poskytovatele internetového připojení (ISP) se zapojí do Internetu. Od ISP dostane firma jednu veřejnou IP adresu, zbytek firmy bude napojen na privátní IP adresy. Ve cvičení si studenti nejprve vytvoří sít alespoň tří počítačů se statickými IP adresami, které si ručně nastaví na každé pracovní stanici. Pro lokální sít se použijí adresy z privátního adresového prostoru. V druhé části studenti nakonfigurují na jedné stanici DHCP server pro dynamické přidělování adres. Ostatní stanice si nastaví konfiguraci tak, aby si mohli načíst adresu dynamicky z DHCP serveru. Úspěšnost přidělování IP adres je vhodné zkontrolovat v záznamech DHCP serveru. Ve třetím úloze si studenti na jedné stanici nakonfigurují druhé sít ové rozhraní (v našem případě bezdrátovou sít ) a připojí ho k Internet. Zároveň nastaví překlad adres NAT mezi lokálním a vnějším rozhraním. Ostatní stanice si nastaví NAT server jako bránu do vnější sítě a vyzkouší komunikaci. Nyní mohou všechny stanice komunikovat mezi sebou i do Internetu. Pouze však pomocí IP adres. Pro překlad doménových jmen je nutné nastavit DNS server. DNS server bude fungovat pouze v lokální síti, ostatní dotazy budou přesměrovány na DNS server vnější sítě. Protože se záznamy lokálního DNS serveru nebudou šířit mimo lokální sít, mohou si studenti vytvořit DNS záznamy pro libovolnou doménu, třeba i první úrovně (.cz,.com apod.). 3.2 Komentář k vedení cvičení Toto cvičení je dosti náročné na čas. Možná bude vhodnější provést nastavení DNS v dalším cvičení. Co se týká vedení cvičení, musí být vyučující připraven řešit požadavky, kdy komunikace mezi počítači nefunguje, adresy nejsou přidělovány (nebo nesprávně) apod. Lze proto využít klasické nástroje kontroly konfigurace, např. programy netstat-rn pro výpis směrovací tabulky, kontrola logů DHCP ve/var/log/dhcpd.log, nastavení sít ové konfigurace počítače ifconfig, či nastavení pravidel firewall ipfw list. Po zavedení modulů pro firewall (ipfw) a překlad NAT (ipdivert) dojde k zablokování veškeré komunikace na všech rozhraních počítače. Důvodem je, že při zavedení modulů se nastaví implicitní 40

KAPITOLA3. ÚLOHA-PŘIDĚLOVÁNÍIPADRES,NATADNS 41 pravidla firewall, která zakazují veškerou komunikaci. Studenti tím budou překvapeni, protože předtím vše fungovalo. Je nutné vést je postupně k tomu, aby sami odhalili problém. Např. tím, že zkusíping na jiný počítač v LAN sítí (to nebude fungovat), pak na svou vlastí IP adresu (to také nebude fungovat) a nakonec na lokální smyčkulocalhost (ta také nebude pracovat). Z toho by měli usoudit, že nejde komunikaci na jejich programu a zamyslet se nad tím, které kroky k tomu mohli vést. Výpisem pravidel firewallu ipfw list tuto informaci zjistí. 3.3 Požadavky na vybavení pracovní stanice (některé s dvěma sít ovými rozhraními) přepínače (stačí i jeden, pozor však na přijímání dynamických IP adres od DHCP serverů z jiných skupin) přístupový bod WiFi AP (v případě, že do vnější sítě se připojujeme přes WiFi sít ) počítače se systémem FreeBSD a s nainstalovanými službami DHCP, DNS a moduly IPFW a IPDIVERT Protože se při konfiguraci služeb zadává více informací do konfiguračních souborů, je vhodné studentům připravit šablonu konfiguračního souboru (např. pro DNS, DHCP apod.). V zadání úlohy jsou dávky vypsány v textu. Je v nich naznačeno, které informace je potřeba nastavit. 3.4 Doporučená literatura [?], [?] manuálové stránky dhcpd(8), dhcpd.conf, dhclient(8), dhclient.conf příkazy ping, ifconfig, netstat, kldload, ipfw

KAPITOLA3. ÚLOHA-PŘIDĚLOVÁNÍIPADRES,NATADNS 42 3.5 Zadání úlohy Cíl laboratorního cvičení naučit se konfigurovat adresy počítače v podsíti nastavit statickou konfiguraci IP adres počítačů v podsíti vytvořit dynamickou konfiguraci IP adres počítačů v podsíti pomocí DHCP otestovat přidělování adres připojit lokální sít do Internetu pomocí překladu adres NAT nastavení lokálního DNS serveru pro přidělování lokální domény nastavení aliasu www pro lokální server Vstupní znalosti zkouška z vyhlášky 50/1978 Sb., paragraf 4 (pracovník poučený) znalost příkazů OS systému Unix znalost editoru vi nebo ee rozdělení IP adres do podtříd, výpočet sít ové masky, adresy broadcast Úkol1-StaticképřidělováníIPadresvpodsíti IP 192.168.x.x IP 192.168.x.x Ethernet Switch IP 192.168.x.x Úkol: Vytvořte podsít tvořenou nejméně dvěma počítači. Nastavte statické IP adresy pro všechny počítače v síti a otestujte spojení. Příkazy:

KAPITOLA3. ÚLOHA-PŘIDĚLOVÁNÍIPADRES,NATADNS 43 ifconfig ping Postup: 1. Vytvořte skupinu alespoň dvou počítačů. 2. Propojte počítače ve skupině do sítě pomocí jednoho přepínače. 3. Spust te na počítači operační systém FreeBSD a přihlaste se jako root, heslo root4lab. 4. Zvolte si pro počítače adresy z prostoru privátních adres třídy C. 5. Nastavte statickou adresu na počítači: (a) jednorázově pomocí příkazu ifconfig: i. Nastavte IP adresu počítačů v síti příkazem ifconfig. ifconfig <interface> inet <ip_address> netmask <mask> ii. Otestujte vzájemnou komunikaci příkazem ping. (b) napevno do konfigurace i. Nastavte zvolenou adresu v konfiguračním souboru/etc/rc.conf: ifconfig_<interface>="inet <ip_address> netmask <mask>" ii. Rebootujte počítač. iii. Otestujte vzájemnou komunikaci příkazem ping. 6. Zapište si použité příkazy, nastavení v konfiguračním souboru a konfiguraci podsítě. Nastavení podsítě podle následující tabulky: Počítač Rozhraní IP adresa Maska podsítě Úkol 2- dynamické přidělování IP adres v podsíti Úkol: Nakonfigurujte na vytvořené síti DHCP server, který bude přidělovat počítačům v síti IP adresy. DHCP server nastavte na jednom počítači, na ostatních počítačích nastavte dynamické získávání adres z DHCP serveru. DHCP server bude přidělovat IP adresy nejprve všem počítačům, které si o ně požádají (část 1), a potom pouze počítačům s registrovanou MAC adresou (část 2). Příkazy: skript/usr/local/etc/rc.d/isc-dhcpd.sh pro spuštění DHCP serveru skript/etc/rc.d/netif pro start/restart sít ového rozhraní (včetně dotazu na DHCP server) 1.část-postup:

KAPITOLA3. ÚLOHA-PŘIDĚLOVÁNÍIPADRES,NATADNS 44 IP 192.168.x.x IP? DHCP server DHPC request Ethernet Switch DHPC request DHPC request IP? 1. Nastavení DHCP serveru: (a) Ponechte statickou IP adresu DHCP serveru v/etc/rc.conf. (b) Nastavte spuštění DHCP serveru v/etc/rc.conf: dhcpd_enable="yes" dhcpd_ifaces="<interface>" dhcpd_withuser="root" dhcpd_withgroup="wheel" (c) Nastavte na DHCP server následující konfiguraci v/usr/local/etc/dhcpd.conf (použijte šablonu /root/isa1/dhcpd.conf): authoritative; default-lease-time 7200; max-lease-time 14400; deny bootp; ddns-update-style none; use-host-decl-names on; log-facility daemon; subnet <subnet_ip> netmask <subnet_mask>{ option ip-forwarding off; pool { max-lease-time 1800; range <starting_ip> <ending_ip>; allow unknown clients; } } (d) Spust te DHCP server příkazem/usr/local/etc/rc.d/isc-dhcpd.sh start 2. Nastavení DHCP klientů na ostatních počítačích: (a) V konfiguraci/etc/rc.conf nastavte: ifconfig_<interface>="dhcp" (b) Spust te DHCP klienta příkazem/etc/rc.d/netif restart <interface> 3. Otestujte přidělování IP adres počítači. Přečtěte si logovací záznamy DHCP serveru v /var/log/dhcpd.log. 2.část-postup:

KAPITOLA3. ÚLOHA-PŘIDĚLOVÁNÍIPADRES,NATADNS 45 IP 192.168.x.x HW=xx:xx:xx:xx:xx:xx IP? DHCP server DHPC request HW=yy:yy:yy:yy:yy:yy IP? Ethernet Switch X DHPC request DHPC request 1. Změňte nastavení DHCP serveru tak, aby přiděloval IP adresy pouze počítačům s registrovanou MAC adresou (a) V sekci subnet zakomentujte rozsah adres pro přidělování (celou podsekci pool) - pomocí znaku #. (b) Přidejte na konec konfiguračního souboru DHCP serveru sekci host obsahující konfiguraci pro každý počítač ve tvaru: host <name> { hardware ethernet <xx:xx:xx:xx:xx:xx>; fixed-address <IP_address>; } (c) Restartujte server příkazem/usr/local/etc/rc.d/isc-dhcpd.sh restart 2. Otestujte přidělování IP adres počítači. Přečtěte si logovací záznamy DHCP serveru. Zapište do protokolu konečnou konfiguraci DHCP serveru a DHCP klienta. Vysvětlete jednotlivé položky v nastavení DHCP serveru (viz man dhcpd.conf).

KAPITOLA3. ÚLOHA-PŘIDĚLOVÁNÍIPADRES,NATADNS 46 Úkol 3- připojení lokální sítě do Internetu pomocí NAT 192.168.x.x private LAN Internet ISP 192.168.x.x Ethernet Switch gateway public IP 192.168.x.x Úkol: Požádejte ISP (cvičitele) o povolení přístupu do Internetu přes WiFi rozhraní DHCP serveru lokální sítě. Nakonfigurujte OS počítače pro překlad adres - zaved te a nastavte moduly ipfw a ipdivert. Nakonfigurujte NAT a pravidla firewallu pro přístup lokálních počítačů do Internetu. Příkazy: Postup: ifconfig, ping, netstat, kldload, ipfw 1. Konfigurace fyzického připojení LAN do Internetu: (a) V konfiguračním souboru/etc/rc.conf nastavte dynamické získávání adresy DHCP serveru pro WiFi rozhraní (public IP): ifconfig_<interface>="dhcp ssid NETLAB" (b) Připojte se přes WiFi rozhraní k serveru ISP/etc/rc.d/netif start <interface> Poznámka: pokud dostanete IP adresu s SSID VUTBRNO(fakultní WiFi síť), požádejte o IP adresu znovu příkazem/etc/rc.d/netif restart <interface> (c) Otestujte připojení do Internetu příkazem ping eva.fit.vutbr.cz, 147.229.10.14. 2. Nastavení překladu adres na bráně: (a) Zaved te manuálně moduly ipfw a ipdivert pro překlad adres: kldload ipfw kldload ipdivert (b) Do souboru/boot/loader.conf přidejte automatické načtení modulů příkazy: ipfw_load="yes" ipdivert_load="yes" (c) Otestujte komunikaci příkazem ping.

KAPITOLA3. ÚLOHA-PŘIDĚLOVÁNÍIPADRES,NATADNS 47 (d) Zkontrolujte nastavení pravidel firewall příkazem ipfw list. (e) Nastavte firewall a NAT i. Přidejte do/etc/rc.conf následující příkazy: firewall_enable="yes" firewall_type="open" natd_enable="yes" natd_interface="<wifi_interface>" gateway_enable="yes" ii. Proved te restart firewallu:/etc/rc.d/ipfwstart iii. Proved te aktualizaci směrování:/etc/rc.d/routing start iv. Zkontrolujte nastavení pravidel firewallu příkazem ipfw list. 3. Konfigurace počítačů v lokální síti pro přístup na Internet (a) Nastavte DHCP server tak, aby poskytoval počítačům v LAN informaci o směrování - adresu implicitní brány: (v souboru/usr/local/etc/dhcpd.conf, sekce subnet): option routers <gateway_ip>; (b) Restartujte DHCP server:/usr/local/etc/rc.d/isc-dhcpd.sh restart. (c) Na počítačích v LAN znovu načtěte konfiguraci z DHCP serveru /etc/rc.d/netif restart <interface>. 4. Otestujte nastavení pomocí příkazů ifconfig, netstat -rn a ping. Zapište do protokolu (slovně) jednotlivé kroky vedoucí k nastavení překladu adres u počítače. Co je všechno potřeba nakonfigurovat? Zapište výsledné nastavení sítě včetně IP adres, sít ových masek a brány na jednotlivých počítačích v síti do následující tabulky. Označte vnější rozhraní sítě a vnitřní podsít. Nastavení získáte příkazy ifconfig a netstat -rn. Počítač Rozhraní IP adresa Maska podsítě Brána

KAPITOLA3. ÚLOHA-PŘIDĚLOVÁNÍIPADRES,NATADNS 48 Úkol4-nastaveníDNSserveruslokálnídoménou p1.pocitac.cz private LAN ping www.seznam.cz Internet ISP p3.pocitac.cz Ethernet Switch DNS+gateway public IP ns.pocitac.cz local DNS server Úkol: Nastavte v lokální síti DNS server, který bude obsahovat doménové adresy počítačů v síti. Postup: 1. Konfigurace DNS serveru: named.conf A records master/cz.palecek A records master/cz.malicek root servers PTR records localhost PTR records named.root master/192.168.x master/localhost.rev (a) V adresáři/etc/namedb spust te dávku sh make-localhost. Zvolte si doménu. Vytvoří se nový konfigurační soubor/etc/namedb/master/localhost.rev. (b) Přidejte vaši zónu (např. domena.cz) do souboru/etc/namedb/master/<cz.domena>. Zaregistrujte všechny počítače ve vaší síti (A záznamy): <host1> IN A <IP_address1> <host2> IN A <IP_address2> <host3> IN A <IP_address3> (použijte připravenou šablonu v/root/isa1/cz.domena). (c) Přidejte reverzní zónu pro počítače ve vaší síti do souboru/etc/namedb/master/<network IP> <IP_address1> IN PTR <host> <IP_address2> IN PTR <host> <IP_address3> IN PTR <host> (použijte připravenou šablonu v/root/isa1/192.168.1)

KAPITOLA3. ÚLOHA-PŘIDĚLOVÁNÍIPADRES,NATADNS 49 (d) Upravte konfigurační soubor DNS serveru/etc/namedb/named.conf. (použijte šablonu v/root/isa1/named.conf) (e) Povolte spuštění DNS serveru v/etc/rc.conf: named_enable="yes" (f) Změňte nastavení v souboru/etc/resolv.conf na vyhledávání požadované domény: search xxx.cz nameserver 127.0.0.1 (g) Spust te DNS server příkazem/etc/rc.d/named start. Zkontrolujte funkčnost v záznamech v souboru/var/log/messages. 2. Ověřte správnou funkčnost přímých i reverzních DNS překladů pomocí příkazů dig a dig -x. 3. Nastavení DNS u počítačů v lokální síti: Prostřednictvím DHCP serveru zašlete informace o primárním DNS serveru a implicitní doméně ostatním stanicím v síti. (a) Přidejte nastavení do/usr/local/etc/dhcpd.conf, sekce subnet: option domain-name"<local_domain.cz>"; option domain-name-servers <IP_address>; (b) Restartujte DHCP server příkazem /usr/local/etc/rc.d/isc-dhcpd.sh restart. (c) Aktualizujte DHCP záznamy na klientských stanicích: /etc/rc.d/netif restart <interface>. (d) Zkontrolujte přidělení DNS serveru v/etc/resolv.conf. 4. Přidejte do DNS záznam www.domena.cz. (a) Do konfiguračního soubor přidejte alias na vybraný počítač ve vaší síti: www IN CNAME <host> (b) Restartujte DNS server příkazem/etc/rc.d/named restart. (c) Ověřte funkčnost vyhledání počítače www.<domena>.cz. V protokolu popište způsob konfigurace DNS serveru a nastavení záznamů pro překlad lokální domény (přímé i reverzní záznamy). Pokyny k vypracování protokolů Vytištěný protokol odevzdejte na dalších laboratořích (za tři týdny). Za vypracovaný protokol lze získat až 7 bodů. Protokol bude obsahovat hlavičku a výsledky jednotlivých úloh. 1. Záhlaví protokolu Jméno a příjmení studenta, login Datum měření, skupina měření (1-34) Název laboratorní úlohy

KAPITOLA3. ÚLOHA-PŘIDĚLOVÁNÍIPADRES,NATADNS 50 2. Výsledky měření Použité příkazy Seznam jednotlivých úkolů v laboratoři (a) Název a stručný popis jednotlivých úloh (b) Výsledek úlohy - tabulky, nastavení apod. 3. Závěr Diskuze výsledků. Závěrečné zhodnocení laboratorní práce. Ukončení práce v laboratoři Před odhlášením spust te dávku isa1 pro zrušení vytvořených konfiguračních souborů. Vypněte počítač tlačítkem power.

KAPITOLA3. ÚLOHA-PŘIDĚLOVÁNÍIPADRES,NATADNS 51 3.6 Ukázka protokolu pro vypracování Fakulta informačních technologií VUT Brno ISA- laboratorní úloha č.1 Vytvoření lokální sítě s překladem adres a přístupem na Internet Jméno a příjmení: Přihlašovací jméno: Datum lab.cvičení, číslo skupiny: Datum vypracování protokolu: Podpis: Výsledky laboratorního cvičení 1. úkol- statické přidělování IP adres v podsíti Stručný popis úlohy: Použité příkazy: Výsledné nastavení zapojených počítačů:

KAPITOLA3. ÚLOHA-PŘIDĚLOVÁNÍIPADRES,NATADNS 52 Počítač Rozhraní IP adresa Maska podsítě 2. úkol- dynamické přidělování IP adres v podsíti Stručný popis úlohy: Výsledné nastavení DHCP serveru(včetně stručného popisu nastavení): authoritative; default-lease-time 7200; max-lease-time 14400; deny bootp; ddns-update-style none; use-host-decl-names on; log-facility daemon; subnet { option ip-forwarding off; pool { max-lease-time 1800; range allow unknown clients; } } host { hardware ethernet fixed-address } Výsledné nastavení DHCP klienta:

KAPITOLA3. ÚLOHA-PŘIDĚLOVÁNÍIPADRES,NATADNS 53 3. úkol- připojení lokální sítě do Internetu pomocí NAT Stručný popis úlohy: Popis nastavení překladu adres v počítači u systému FreeBSD: Výsledné nastavení sítě: Počítač Rozhraní IP adresa Maska podsítě Brána 4. úkol- nastavení DNS serveru s lokální doménou Stručný popis úlohy:

KAPITOLA3. ÚLOHA-PŘIDĚLOVÁNÍIPADRES,NATADNS 54 Způsob konfigurace lokálního DNS serveru ve FreeBSD: Výsledné nastavení přímého zónového souboru vytvořené domény: Závěr- zhodnocení laboratorní práce, diskuze výsledků

Kapitola 4 Úloha- Bezpečnost počítačových sítí 4.1 Stručný popis a cíl cvičení Cílem cvičení je podívat se na různé pohledy bezpečné komunikace. Studenti se seznámí s použitím veřejné i tajné kryptografie a s nástroji na generování klíčů, podpisování certifikátů a další. První část se týká bezpečného přenosu dat a bezpečného přihlášení k počítači pomocí aplikací ssh a scp. V této úloze si studenti vygenerují dvojici klíčů veřejný a tajný pro asymetrickou kryptografii, umístí veřejný klíč na vzdálený počítač a zkusí se na něj přihlásit s použitím těchto klíčů. V druhém úkolu si studenti vyzkouší nakonfigurovat WWW server tak, aby umožňoval bezpečný přenos přes SSL. Pro tento přenos je vyžadována autentizace pomocí certifikátů. Vytvoření certifikační autority a podepisování certifikátů je hlavním důrazem této úlohy. V třetí a poslední části si studenti vyzkouší ve dvojicích vytvořit tunelové spojení přes IPsec. Toto nastavení není triviální a je vhodné pro něj vytvořit dávku pro vytváření virtuálního rozhraní a nastavení šifrování. Pro šifrování je vhodné použít nejjednodušší způsob autentizace, a to symetrickou šifru a tzv.presharedkey. 4.2 Komentář k vedení cvičení Pro studenty, kteří již aktivně používají ssh, je první úkol triviální. Co je důležité, aby si studenti uvědomili, kam se ukládá privátní klíč a kam veřejný. Základní (a celkem běžnou) chybou je kopírovat privátní klíč na vzdálený počítač. Při vytváření certifikátů v druhém úkolu je potřeba dbát na to, zda se certifikát skutečně vytvořil, případně, zda ho certifikační autorita (CA) podepsala. Pokud obsahuje žádost o certifikát špatně údaje, certifikační autorita ho odmítne podepsat. Při řešení se studentům stává, že toto varování přehlédnout a v domnění, že certifikát existuje, postupují dále. Proto je důležité ihned po vygenerování certifikát ověřit - např. prohlížením pomocí příkazu openssl x509 -in <cert> -text. Další běžnou chybou u této úlohy je zadávání informací o certifikátu při jeho generování. Je nutné si uvědomit, že CA pracují hierarchicky podle struktury podepsané stromem DIT (podobně jako DNS server). Tzn. pokud je CA vytvořená pro doménu (country=czech republic, province=morava, organization=vut), tak nepodepíše žádost určenou pro jinou CA (např. country=cz, province=neco, organization=fit). 55

KAPITOLA 4. ÚLOHA- BEZPEČNOST POČÍTAČOVÝCH SÍTÍ 56 V poslední úloze je vhodné vysvětlit studentům, jak funguje tunelové spojení. Tzn. ukázat fyzické adresy na počítačích a jejich nastavení a také způsob vytvoření virtuálního tunelu nad propojovanými sítěmi. Při nastavování by měli mít studenti v jiném okně či na jiném terminálu spuštěn program racoon s parametry-f -d, který vypisuje informace o výměně klíčů a nastavení bezpečné komunikace. Pokud to tak není, je těžké odhalit chybu v nastavení bud hesla nebo IP adres tunelu. 4.3 Požadavky na vybavení pracovní stanice se systémem FreeBSD, aplikace ssh, apache, openssl, racoon a podpora IPsec přepínač pro propojení stanic (mohou být na jednom segmentu) 4.4 Doporučená literatura nastavení systému FreeBSD je popsáno v [?] problematika certifikátů je dobře popsána v [?]

KAPITOLA 4. ÚLOHA- BEZPEČNOST POČÍTAČOVÝCH SÍTÍ 57 4.5 Zadání úlohy Cíl laboratorního cvičení Naučit se pracovat s autentizačními klíči. Umět vytvořit certifikát a podepsat certifikát certifikační autoritou. Nakonfigurovat zabezpečení přenosu HTTP-S pomocí certifikátu. Nakonfigurovat propojení počítačů přes IPsec tunel. Vstupní znalosti znalost příkazů OS systému Unix znalost editoru vi nebo ee adresování počítačů Úkol 1- bezpečné přihlašování pomocí ssh Úkol: Vytvořte autentizační klíče pro komunikaci SSH s heslem a bez hesla. Příkazy: ssh Postup: ssh-keygen ssh-agent ssh-add 1. Přihlaste se na lokální počítač jako uživatel isa s heslem isa4lab. 2. Bezpečné připojení na vzdálený počítač bez autentizačních klíčů (a) Přihlaste se příkazemssh host na vzdálený počítač (např. sousední stanici, uživatel isa). (b) Příkazem exit nebo stiskem Ctrl+D spojení ukončete. 3. Vytvoření veřejného a privátního klíče (a) Příkazem ssh-keygen-t dsa vytvořte autentizační klíč bez hesla. (b) Ověřte obsah a přístupová práva u nově vzniklých souborů~/.ssh/iddsa s privátním klíčem a ~/.ssh/id dsa.pub s veřejným klíčem. 4. Bezpečné připojení na vzdálený počítač s autentizací veřejným klíčem (a) Vyzkoušejte přihlášení na vzdálený počítač. Jaké heslo bylo nutné zadat? (b) Příkazem scp ~/.ssh/id dsa.pub host:.ssh/authorized keys nakopírujte veřejný klíč na vzdálený počítač.

KAPITOLA 4. ÚLOHA- BEZPEČNOST POČÍTAČOVÝCH SÍTÍ 58 (c) Opět vyzkoušejte přihlášení na vzdálený počítač. Jaké heslo bylo nutné zadat? (d) Příkazem ssh-keygen-p -f ~/.ssh/id dsa přegenerujte privátní klíč tak, aby bylo nutné při jeho použití zadat heslo. (e) Opět vyzkoušejte přihlášení na vzdálený počítač. Jaké heslo bylo nutné zadat? (f) Zkuste nejprve zadat prázdné heslo klíče - jaké heslo bylo nutné zadat? 5. Použití démona ssh-agent pro autentizaci. (a) Dvěma příkazy eval ssh-agent (pozor na zpětné apostrofy) a ssh-add zajistěte, aby se privátní klíč dešifroval do démonassh-agent. (b) Opět vyzkoušejte přihlášení na vzdálený počítač. Jaké heslo bylo nutné zadat? (c) Ukončete démona ssh-agent příkazem eval ssh-agent-k (pozor na zpětné apostrofy). (d) Naposledy vyzkoušejte přihlášení na vzdálený počítač. Jaké heslo bylo nutné zadat? Výsledky (do protokolu): 1. Uved te, jaké jste zadávali heslo v příkladě 4a), 4c), 4e), 4f), 5b), 5d). 2. Uvažujte počítače A a B. Popište nastaveníssh na počítačích A a B pro bezpečné připojení ssh z počítače A na počítač B pomocí veřejné kryptografie. Uved te, jak a kde vygenerujete klíče a který kam umístíte (včetně jmen souborů). 3. K čemu slouží démonssh-agent a jak pracuje? Úkol 2- certifikáty a konfigurace zabezpečeného přenosu HTTP-S. Úkol: Nakonfigurujte webový server Apache tak, aby umožňoval zabezpečený přenos s autentizací pomocí certifikátů. Příkazy: Postup: /usr/local/etc/rc.d/apache2.sh openssl startx mozilla 1. Spuštění WWW serveru (a) Přihlaste se na lokální počítač jako uživatel root s heslem root4lab. (b) Do/etc/rc.conf přidejte nový řádek apache2_enable="yes" a příkazem/usr/local/etc/rc.d/apache2.sh start nastartujte webový server. (c) Ověřte, na jakých portech webový server běží: sockstat grep httpd. 2. Autentizace uživatele ke službě WWW bez šifrování (a) Vytvořte soubor/usr/local/etc/apache2/includes/passwd.conf s následujícím obsahem (lze použít i/root/isa2/passwd.conf):

KAPITOLA 4. ÚLOHA- BEZPEČNOST POČÍTAČOVÝCH SÍTÍ 59 <Directory"/usr/local/www"> AuthType Basic AuthName"Private" AuthUserFile/usr/local/etc/apache2/passwd Require valid-user </Directory> (b) Příkazem htpasswd -c /usr/local/etc/apache2/passwd user vygenerujte dvojici uživatel/heslo pro autentizaci. (c) Příkazem/usr/local/etc/rc.d/apache2.sh reload aktivujte novou konfiguraci. (d) V prohlížeči mozilla načtěte stránku http://localhost/ a přihlaste se na webový server. Nejste-li v grafickém režimu, spust te nejprve systém X Window příkazem startx. 3. Vytvoření certifikační autority(ca) (a) Pro výrobu serverového certifikátu je třeba, aby mohl být podepsán certifikační autoritou, přičemž pro naše účely není vhodné nechávat testovací serverový certifikát podepisovat reálnou certifikační autoritou... (b) Vytvořte infrastrukturu pro certifikační autoritu (lze využít dávku/root/isa2/ca-init): CA=/usr/local/ca mkdir ${CA} ${CA}/certs ${CA}/crl ${CA}/newcerts ${CA}/private echo "01" > ${CA}/serial touch ${CA}/index.txt sed -e "s \./democa ${CA} " </etc/ssl/openssl.cnf >${CA}/openssl.cnf chmod -R go-rwx ${CA} (c) Vygenerujte certifikát certifikační autority podepsaný vlastním privátním klíčem (lze využít dávku/root/isa2/ca-ca): CA=/usr/local/ca openssl req -config ${CA}/openssl.cnf-new -x509 -days 365 \ -keyout ${CA}/private/cakey.pem-out ${CA}/cacert.pem 4. Vygenerování certifikátu pro WWW server (a) Vygenerujte žádost o certifikát WWW serveru, kde jako CommonName (CN) použijte celé doménové jméno počítače (lze využít dávku/root/isa2/ca-sc). Aby certifikační autorita zpracovala (podepsala) přijatou žádost, musí být žádost adresována konkrétní CA. To se děje formou definovaných atributů. V laboratoři jsou to: country (c), state/province (st), organization (o) a location (l). Při zadávání údajů můžete ignorovat sekci extra attributes: CA=/usr/local/ca openssl req -config ${CA}/openssl.cnf-new \ -keyout ${CA}/private/newkey.pem-out ${CA}/certs/newreq.pem (b) Vytvořte certifikát, tj. podepište žádost certifikační autoritou (lze využít dávku/root/isa2/ca-sign): openssl ca -config ${CA}/openssl.cnf-days 7 -policy policy_match\ -out ${CA}/certs/newcert.pem-infiles ${CA}/certs/newreq.pem (c) Zkontrolujte údaje na certifikátu - bud prohlížením v X Window pomocí Správce souborů (Konqueror) nebo příkazem openssl x509 -in <cert> -text.

KAPITOLA 4. ÚLOHA- BEZPEČNOST POČÍTAČOVÝCH SÍTÍ 60 5. Nainstalování certifikátu na server (a) Nainstalujte serverový certifikát (lze využít dávku/root/isa2/ca-inst): CA=/usr/local/ca A2=/usr/local/etc/apache2 # kopie certifikátu na WWW server cp ${CA}/certs/newcert.pem ${A2}/ssl.crt/server.crt # kopie privátního klíče WWW serveru a odstranění hesla z klíče openssl rsa -in ${CA}/private/newkey.pem-out ${A2}/ssl.key/server.key 6. Spuštění WWW serveru s podporou SSL (a) Do/etc/rc.conf přidejte další nový řádek apache2ssl_enable="yes" a příkazem/usr/local/etc/rc.d/apache2.sh restart restartujte webový server. (b) Ověřte, na jakých portech webový server běží: sockstat grep httpd. (c) Příkazem mozilla https://localhost/ ověřte funkčnost zabezpečeného spojení a prozkoumejte nabízené informace o certifikátech. Výsledky (do protokolu): 1. Popište příkazy pro vytvoření a podepsání certifikátu. Vypište soubory, kde jsou uloženy certifikáty CA a serveru. Kde jsou umístěny jejich privátní klíče? 2. Proti jakému útoku slouží certifikát WWW serveru? 3. Zapište údaje vygenerovaného serverového certifikátu: verze, vydal (country, state, locality, organization, organization unit, common name), algoritmus, platnost, sériové číslo) Informace o certifikátu zobrazí mozilla nebo příkaz openssl x509 -in <cert> -text. Úkol 3- konfigurace propojení počítačů přes IPsec tunel Úkol: Vytvořte dvojice, ve kterých nakonfigurujte propojení svých počítačů přes IPsec tunel. Příkazy: /usr/local/sbin/racoon ifconfig route setkey ping Postup: 1. Nakopírujte soubory racoon.conf, psk.txt a ipsec.sh z adresáře/root/isa2 do adresáře/usr/local/etc/racoon.

KAPITOLA 4. ÚLOHA- BEZPEČNOST POČÍTAČOVÝCH SÍTÍ 61 2. Nastavte v souboru psk.txt hesla pro symetrické šifrování tunelu. např. 10.10.10.B <heslo_relace_a-b> 3. Upravte adresy v souboru ipsec.sh tak, aby adresy odpovídaly vaší konfiguraci. 4. Na prvním terminálu (přepínat lze klávesami Alt+Fn) spust te/usr/local/sbin/racoon -F -d, kde můžete sledovat trasovací výpisy, jak probíhá vyměňování klíčů. 5. Na druhém terminálu spust te upravenou dávku ipsec.sh pro vytvoření IPsec tunelu a nastavení pravidel použití IPsec. Local Network L_NET=192.168.2.0/24 L_IN = 192.168.2.C R_IN = 172.16.8.D Remote Network R_NET=172.16.8.0/24 gif0 gif0 NET 10.10.10.X L_OUT = 10.10.10.A R_OUT=10.10.10.B NET 10.10.10.X # vytvoření tunelu na počítači s lokální adresou L_OUT /sbin/ifconfig gif0 destroy # zrušení existujícího tunelu /sbin/ifconfig gif0 create # vytvoření rozhraní pro tunel # vytvoření tunelu mezi lokálním a vzdáleným počítačem /sbin/ifconfig gif0 tunnel ${L_OUT} ${R_OUT} # konfigurace tunelu - koncové body tunelu /sbin/ifconfig gif0 inet ${L_IN} ${R_IN} netmask 255.255.255.255 # nastavení směrování vzdálené sítě do tunelu /sbin/route add -net ${R_NET} ${R_IN} # nastavení šifrování pomocí IPsec /usr/sbin/setkey-c << EOF flush; # zruší SPD záznamy spdflush; # nastaví šifrování odchozích paketů spdadd ${L_NET} ${R_NET} any -P out ipsec esp/tunnel/${l_out}-${r_out}/require; # nastaví dešifrování příchozích paketů spdadd ${R_NET} ${L_NET} any -P in ipsec esp/tunnel/${r_out}-${l_out}/require; EOF 6. Spust te příkaz tcpdump -Xi em0, kde můžete sledovat přicházející a odcházející datové pakety na ethernetovém rozhraní počítače.

KAPITOLA 4. ÚLOHA- BEZPEČNOST POČÍTAČOVÝCH SÍTÍ 62 7. Na třetím terminálu spust te příkaz ping -p 4461746120 host se vzdálenou adresou R OUT. Co vidíte u přicházejících a odcházejících paketů? 8. Na třetím terminálu spust te příkaz ping -p 4461746120 host se vzdálenou adresou tunelu R IN. Co vidíte u přicházejících a odcházejících paketů? Výsledky (do protokolu): 1. Popište slovně princip vytvoření tunelového spojení při použití šifrování IPsec. 2. Zakreslete výsledné nastavení včetně použitých IP adres rozhraní, koncových bodů tunelu a tunelované podsítě. Uved te příkazy s hodnotami parametrů, které jste nastavili při řešení. 3. Zapište, čím se liší výstup analýzy ICMP paketu při spojení bez použití šifrování a při spojení pomocí IPsec. Pokyny k vypracování protokolů Vytištěný protokol odevzdejte na dalších laboratořích (za tři týdny). Za vypracovaný protokol lze získat až 7 bodů. Protokol bude obsahovat hlavičku a výsledky jednotlivých úloh. 1. Záhlaví protokolu Jméno a příjmení studenta, login Datum měření, skupina měření (1-34) Název laboratorní úlohy 2. Výsledky měření Použité příkazy Seznam jednotlivých úkolů v laboratoři (a) Název a stručný popis jednotlivých úloh (b) Výsledek úlohy - tabulky, nastavení apod. 3. Závěr Diskuze výsledků. Závěrečné zhodnocení laboratorní práce. Ukončení práce v laboratoři Před odhlášením spust te dávku isa2 pro zrušení vytvořených konfiguračních souborů a pro vypnutí počítače.

KAPITOLA 4. ÚLOHA- BEZPEČNOST POČÍTAČOVÝCH SÍTÍ 63 4.6 Ukázka protokolu pro vypracování Fakulta informačních technologií VUT Brno ISA- laboratorní úloha č.2 Bezpečnost v počítačových sítích Jméno a příjmení: Přihlašovací jméno: Datum lab.cvičení, číslo skupiny: Datum vypracování protokolu: Podpis: Výsledky laboratorního cvičení 1.úkol- bezpečné přihlašování pomocí ssh Stručný popis úlohy: Použité příkazy: 1. Uveďte, jaké heslo(heslo čeho- účtu na vzdáleném počítači, privátního klíče, veřejného klíče, účtu na lokálním počítači) jste zadávali během řešení úlohy: Úloha Typ hesla Úloha Typ hesla 4a) 4c) 4e) 4f) 5b) 5d)

KAPITOLA 4. ÚLOHA- BEZPEČNOST POČÍTAČOVÝCH SÍTÍ 64 2.UvažujtepočítačeAaB.ZapištenastavenísshprobezpečnépřipojeníAna B.Uveďtekdeajakvygenerujeteklíčeakterýkamumístíte. 3.Kčemusloužíssh-agentajakpracuje? 2. úkol- certifikáty a konfigurace zabezpečeného přenosu HTTP-S Stručný popis úlohy: 1. Popište příkazy pro vytvoření a vygenerování certifikátu. Vypište soubory, kde jsou uloženy certifikáty a privátní klíče. Certifikační autorita WWW server uložení certifikátu uložení klíče 2. Proti jakému útoku slouží certifikát WWW serveru?

KAPITOLA 4. ÚLOHA- BEZPEČNOST POČÍTAČOVÝCH SÍTÍ 65 3. Zapište údaje o vytvořeném certifikátu WWW serveru: verze vydal(c,st,l,o,ou,cn) algoritmus šifrování algoritmus dig. podpisu platnost certifikátu sériové číslo 3. úkol- konfigurace propojení počítačů přes IPsec tunel Stručný popis úlohy: 1. Popište slovně princip vytvoření tunelového spojení při použití šifrování IPsec 2. Zakreslete výsledné nastavení včetně použitých IP adres rozhraní, koncových bodů tunelu a tunelované podsítě. Uveďte příkazy s hodnotami parametrů, které jste nastavili při řešení.

KAPITOLA 4. ÚLOHA- BEZPEČNOST POČÍTAČOVÝCH SÍTÍ 66 3. Zapište, čím se liší výstup analýzy ICMP paketu při spojení bez použití šifrování a při spojení pomocí IPsec. Závěr- zhodnocení laboratorní práce, diskuze výsledků

Kapitola 5 Úloha- Vytváření sítí WAN 5.1 Stručný popis a cíl cvičení Cílem cvičení je vytvořit lokální sítě LAN a propojit je pomocí směrovačů do sítě WAN. Studenti se také seznámí se směrovači, jejich programováním a nastavením statického a dynamického směrování. Studenti vytvoří konfiguraci lokální sítě a nakonfigurují směrovač tak, aby komunikoval se směrovači sousedních sítí. Kromě konfigurace rozhraní nastaví také pravidla pro směrování. Nejprve tzv. statické směrování, kdy vzdálené sítě zadají ručně do konfigurace a v druhé fázi dynamické směrování pomocí protokolu RIP. 5.2 Komentář k vedení cvičení Cvičení je náročné na přípravu a propojení aktivních prvků do konfigurace použitelné pro cvičení. Každý počítač musí mít kromě sít ového kabelu také konzolový kabel pro připojení k řídícímu portu směrovače. Přes tento port studenti budou směrovače konfigurovat. Je vhodné nastavení na směrovači nechat pouze v paměti a nezapisovat do Flash paměti. Pak stačí pouze restartovat směrovač (příkaz reload) pro obnovení konfigurace po chybě. Studenti vytváření lokální podsítě tak, že se propojí přes klasické sít ové rozhraní do přepínače a z přepínače do směrovače. V lokální síti bude vždy jeden počítač. Dále se lokální stanice připojí přes sériové rozhraní (a konzolový kabel, roll-over cable) na management port směrovače. Přes hyperterminál v MS Windows budou takto konfigurovat směrovač. Směrovače jsou propojeny mezi sebou do kruhu sériovými linkami. Studenti pracují ve dvojicích vždy u jednoho počítače. Tato úloha je náročnější, protože málokterý student kdy konfiguroval směrovač. Proto spolupráce ve dvojicích je přínosnější. Úloha je kritická na čas, protože všechny skupiny musí mít současně nakonfigurované statistické směrování a poté všechny dynamické. Pokud některá skupina zaostává a ostatní nastaví dynamické směrování, pak nelze komunikovat se směrovačem pomalejší skupiny. V závěru cvičení, když jsou všechny směrovače propojeny do kruhu a mají nastaveno dynamické směrování, je vhodné, aby vyučující demonstroval ono dynamické chování. Stačí rozpojit jeden sériový kabel mezi libovolnými dvěma směrovači, a směrovací protokoly překonfigurují automaticky cesty k libovolnému počítači. Studenti by podle směrovacích tabulek měli zjistit, mezi kterými dvěma počítači k výpadku došlo. 67

KAPITOLA 5. ÚLOHA- VYTVÁŘENÍ SÍTÍ WAN 68 5.3 Požadavky na vybavení pět pracovních stanic s konzolovými kabely (sériové připojení ke směrovači) pět směrovačů pět přepínačů (lze i méně, více LAN sítí může být na jednom směrovači) aplikaci HyperTerminal na pracovních stanicích 5.4 Doporučená literatura popis nastavení směrovačů a příkazů pro Cisco směrovače je [?] a [?].

KAPITOLA 5. ÚLOHA- VYTVÁŘENÍ SÍTÍ WAN 69 5.5 Zadání úlohy Cíle laboratorního cvičení Nastavení komunikace terminál router Zjištění základních informací o zařízení Pochopení uživatelských režimů, základní konfigurace zařízení Nastavení routeru pro statické směrování Nastavení routeru pro dynamické směrování Vstupní znalosti vytváření sítí adresování počítačů základní znalosti principů směrování Úkol 1- Připojení se k routeru a zjištění základních informací Úkoly: Konfigurace terminálu pro vytvoření spojení s routerem Zjištění některých informací o zařízení Situace: Program HyperTerminal je jednoduchý nástroj, který je možno použít pro ustanovení spojení s routerem. Sériový port PC je připojen prostřednictvím kříženého kabelu ke Console portu routeru. Pro připojení je použit DB9/RJ-45 adaptér. Schéma je znázorněno na obrázku. Terminálová relace umožňuje jak monitorování činnost tak úplnou konfiguraci nastavení routeru. Příkazy: show version show flash show interface 1. Přihlášení k routeru

KAPITOLA 5. ÚLOHA- VYTVÁŘENÍ SÍTÍ WAN 70 (a) Otevřete aplikaci HyperTerminal (Start Programs Accessories Communications Hyper Terminal) (b) V Connection Description zadejte Vámi zvolené jméno identifikující spojení (c) V Connect To vyberte sériový port COM1 (d) V COM1 Properties nastavte hodnoty: Bits per second: 9600 Databits: 8 Parity: None Stopbits: 1 Flow control: None (e) V terminálovém okně stiskněte ENTER, poté by se měla objevit odpověd od routeru s výzvou zda chcete spustit dialogový konfigurační režim (Initial Configuration Dialog). Odpovězte No. 2. Získání základních informací o zařízení (a) Pomocí příkazu show version vypište informace o hardwarové konfiguraci routeru. Vybrané informace zapište do protokolu. (b) Pomocí příkazu show flash vypište informace o Flash paměti zařízení. Vybrané informace zapište do protokolu. (c) Pomocí příkazu show interfaces vypište informace o rozhraních zařízení. Vybrané informace zapište do protokolu. Úkol 2- uživatelské režimy a základní nastavení Úkoly: Přechod mezi různými uživatelskými režimy, nastavení hesla Nastavení některých vlastností a uložení konfigurace Situace: Router je zařízení s komplikovaným konfiguračním režimem. Pro terminálové spojení s routerem jsou k dispozici různé uživatelské režimy. Tyto režimy slouží rozdílným účelům a umožňují selektivní řízení přístupu k různým funkcím zařízení. Základní uživatelské režimy jsou: User EXEC - poskytuje základní monitorovací funkce, v tomto režimu není možné měnit konfiguraci routeru. Příkazová řádka v tomto režimu obsahuje jako oddělovač znak >. Privileg EXEC - režim umožňuje měnit základní konfiguraci routeru a spustit globální konfigurační režim. Příkazová řádka v tomto režimu obsahuje jako oddělovač znak#. Global configuration mode - v tomto režimu přímo přístupném z Privileg EXEC režimu se mění globální nastavení zařízení. Dále jsou k dispozici specifické konfigurační režimy, které zpřístupňují konfiguraci jednotlivých modulů zařízení, například rozhraní, směrování, komunikace, a podobně. Příkazová řádka poskytuje funkci historie příkazů, doplňování neúplných příkazů (tlačítkem TAB) a interaktivní nápovědu pro neúplné příkazy (klávesou?).

KAPITOLA 5. ÚLOHA- VYTVÁŘENÍ SÍTÍ WAN 71 V případě zvládnutí předchozího úkolu je komunikace s routerem ustanovena. Relace routeru běží v základním uživatelském režimu, příkazová řádka vypadá takto: router> Příkazy: enable - přechod do privilegovaného režimu (Privileg EXEC) disable - přechod do uživatelského režimu (User EXEC) help,? - interaktivní systém nápovědy hostname - změní název routeru configure - přechod do globálního konfiguračního režimu (Global configuration mode) enable password - nastavení heslo pro privilegovaný režim 1. Přechod mezi režimy (a) Přejděte do privilegovaného režimu a vypište seznam příkazů v tomto režimu. Pokuste se podle jejich popisu odhadnout k čemu se tyto příkazy mohou použít. router>enable router#? (b) Přejděte do globálního konfiguračního režimu a opět vypište dostupné příkazy v tomto módu. router#configure terminal router(config)#? (c) V globálním konfiguračním režimu nastavte nový název routeru. Zvolte název r0x podle pořadí routeru ke kterému jste připojen (Dále bude popisován případ pro router r02). Opust te konfigurační režim. router(config)#hostname r02 2. Nastavení hesla (a) Nastavte heslo pro přechod do privilegovaného režimu a vyzkoušejte toto nastavení. r02(config)#enable password cisco r02(config)#exit r02#disable r02>enable Password:cisco (b) Vrat te se do globálního konfiguračního režimu a nastavte heslo pro připojení k routeru. Použijete příkazline pro výběr vstupu a přechod do specifického konfiguračního režimu pro tento vstup.

KAPITOLA 5. ÚLOHA- VYTVÁŘENÍ SÍTÍ WAN 72 r02(config)#line console 0 r02(config-line)#password cisco r02(config-line)#login r02(config-line)#exit r02(config)# Úkol 3- konfigurace rozhraní a směrování Úkoly: Nastavení konfigurace pro sériové rozhraní routeru Nastavení konfigurace pro rozhraní Ethernet Nastavení informací pro statické směrování Situace: Na obrázku je zobrazena část zapojení sítě routerů. Každý router má připojenu lokální sít na svém rozhraní f0/0 (ethernet). Například router r02 má na svém rozhraní f0/0 připojenu sít 192.168.2.0. Toto rozhraní má adresu192.168.2.1. Routery jsou mezi sebou propojeny sériovou linkou, tak, že sériové rozhraní s0/1 routeru r01 je připojeno k sériovému rozhraní s0/0 routerur02. Toto spojení je v rámci sítě192.168.12.0. V této konfiguraci, kdy jsou routery přímo propojeny sériovým spojením je nutné aby byl jeden z routerů nastaven jako DCE (modem) a poskytoval hodinový signál, který je nutný pro synchronní přenos dat po tomto typu média. Toto schéma je typické pro laboratorní podmínky. V reálném nasazení je obvykle sériové rozhraní routeru spojeno se zařízením s funkcí modemu. Rozdíl je znázorněn na následujícím obrázku.