Počítačová síť TUONET a její služby Petr Grygárek katedra informatiky Fakulta elektrotechniky a informatiky VŠB-TU Ostrava
Osnova Síťové technologie provozované v TUONETu. Připojení TUONETu do Internetu Možnosti přímého připojování zařízení do TUONETu Význam a konfigurace parametrů pro připojení Autentizace zařízení Přístup ke službám Internetu z TUONETu Přístup ke službám TUONETu z Internetu
Síťové technologie v TUONETu Ethernet struktura přepínačů (huby jen výjimečně) klientské porty: 10/100 Mbps, servery 1Gbps páteřní spoje: 100Mbps, 1Gbps WiFi (IEEE 802.11) 802.11b: 2.5 GHz, max. 11 Mbps 802.11g: 2.5 GHz, max. 54 Mbps zpětně kompatibliní většina AP reálné propustnosti max. cca 1/2 teoretických, závisí na vzdálenosti od AP a počtu aktivních klientů
im a c i M ac i M ac Ethernet (1) Internet Smerovac (router) Prepinace (switch) Pevne pripojena zarízení 802.1x Zarizeni studentu
Ethernet (2) Propojení nestíněnou kroucenou dvoulinkou (UTP5e) přímé propojení (1:1) Konektor RJ-45 (8 pinů) Catalyst 2950 Switch:
WiFi Access Point (AP) vykrývá signálem jednu buňku Pro připojení v klientovi nutno nadefinovat identifikaci sítě (SSID) na VŠB není vysílán tuonet-eap, tuonet-vpn fyzicky tatáž AP
WiFi-pokrytí počítačové učebny, studovna, veřejné prostory,... označení WiFi hotspot postupné pokrývání dalších prostor aktuální stav viz http://wifi.vsb.cz
Identifikace zařízení v síti MAC adresa 48 bitů, např. 00:c0:ae:1c:20:7e napevno vypálená v síťovém rozhraní zařízení celosvětově jednoznačná (3B kód výrobce, 3B přiděluje výrobce) IP adresa 32 bitů, např. 158.196.149.9 zařízení přiřazena administrátorem, konfigurovaná v OS nastavená manuálně staticky přidělena na požádání síťovou službou DHCP (Dynamic Host Configuration Protocol) dynamická volba adresy (mobilní zařízení) stále stejná adresa přidělovaná podle MAC adresy (pevně připojená zařízení)
Identifikace procesu v síti - porty Proces = program právě běžící na některé stanici (připojené k síti) Na stanici s jednou IP adresou současně běží více různých procesů Procesy v rámci stanice rozlišeny číslem portu Čísla portů obecně používaných služeb dohodnuta 80 WWW 23 Telnet 22 Secure Shell 110 Post Office Protocol (čtení pošty)
IP adresa dělení na dvě části: adresa sítě a adresa uzlu v rámci sítě hranici částí určuje maska podsítě (subnet mask) sekvence 32 bitů počet jedniček zleva určuje počet bitů v adrese sítě zapisuje se jako čtveřice dekadických číslic :-( Příklad: IP adresa: 158.196.157.123 Maska podsítě: 255.255.255.0 (11111111.11111111.11111111.0) adresa sítě je 158.196.157.0 adresa uzlu je.123
IP adresa (příklad) 172.16.1.1-172.16.1.254 172.16.1.X 255.255.255.0 158.196.X.X 255.255.0.0 router 192.168.1.(1000)xxxx 255.255.255.240 158.196.0.1-158.196.255.254 192.168.1.129-192.168.1.142
IP adresy VŠB-TU prefix 158.196.x.x jednotlivým segmentům sítě přiřazeny delší prefixy lišící se v dalších bitech maska podsítě na různých segmentech na VŠB různá (VLSM) podle počtu stanic na segmentu rozsahy adres různých segmentů se nesmí překrývat Přidělování starostí správců. Uživatelská zařízení získávají adresu přes DHCP nebo VPN klienta.
Parametry síťového připojení IP adresa Maska podsítě (subnet mask) Výchozí brána (default gateway) adresa směrovače, kam posílat pakety pro stanice mimo lokální síť zpravidla nejnižší adresa na podsíti IP adresa serveru DNS pro mapování doménových jmen na IP adresy 158.196.149.9 (dns1.vsb.cz), 158.196.147.15 (dns2.vsb.cz) Implicitní doména: pro relativní jména DNS VSB.CZ
im a c i M ac i M ac i M ac im a c im a c i M ac im a c ima c Parametry síťového připojení (příklad) DNS Server DHCP Server = Internet TUONET 158.196.135.0 255.255.255.0 158.196.135.1 158.196.135.2-158.196.135.254 subnet mask 255.255.255.0 default gw 158.196.135.1 158.196.157.1 158.196.157.0 255.255.255.0 158.196.146.1 158.196.157.2-158.196.157.254 subnet mask 255.255.255.0 default gw 158.196.157.1 158.196.146.0 255.255.255.0 158.196.146.2-158.196.146.254 subnet mask 255.255.255.0 default gw 158.196.157.1
Parametry síťového připojení (konfigurace) Autorizovaná zařízení mohou vše získat z DHCP Nenastavujte nepřidělené adresy manuálně! přestane fungovat legálnímu vlastníkovi nebude delší dobu fungovat ani vám i v případě nekoliznosti mnohé servery (služby) legálnost adres testují
i M ac i M ac im a c Způsoby přístupu do TUONETu Pevne pripojení k prepinaci Pripojeni pres VPN (nutna registrace) VPN klient Internet 802.1x pevná struktura TUONET VPN koncentrator Firewall (filtrace) Modemova pripojeni modem Terminal Server tuonet-eap tuonet-vpn Telefonní sít WiFi dynamicky WEP EAP TLS WiFi nesifrovano VPN (IPSec) CZFree Pripojeni pres VPN
Přístup přes Ethernet Vhodný pro přenos větších objemů dat Připojení do veřejného portu přepínače (10/100Mbps) Před vpuštěním do sítě bude požadována autentizace certifikátem Operační systém musí podporovat 802.1x
Přístup přes WiFi s EAP-TLS Pokud ovladač WiFi klienta podporuje EAP-TLS Autentizace certifikátem (předaným přes EAP) Použit WEP s dynamickou výměnou klíčů (128-bitových)
Přístup přes VPN (princip) Šifrovaný tunel přes veřejný Internet (nebo WiFi infrastrukturu tuonet-vpn) (šifrovaný tunel IPSec, prvotní symetrická hesla předsdílená, dále dynamická dohoda) Tunel ukončen na hraničním bodu TUONETu VPN koncentrátoru VPN koncentrátor vpustí uživatele až po autentizaci uživatelským jménem a heslem (LDAP) Je potřebný speciální software-vpn klient Po přihlášení platným jménem a heslem uživatele z LDAP lze získat z WWW stránek VŠB-TU Pro Win/Linux zdarma, pro WinCE/Palm komerční
Přístup přes VPN (vlastnosti) Po autentizaci přidělení IP adresy z rozsahu VŠB-TU stanice se logicky ( virtuálně ) stává součástí TUONETu Přístupová práva a omezení jako pro stanice pevně připojené k TUONETu Vhodné i pro WiFi klienty nepodporující EAP-TLS a WEP s dynamickou výměnou klíčů Pokud ISP nepropouští IPSec, možno jej tunelovat v UDP (port 4500) nebo TCP (port 10000) Tunelování řeší i problém NAT
Přístup přes VPN (konfigurace) Přístup z WiFi VŠB-TU nebo z CZFree funguje automaticky (po nastavení VPN klienta) Přístup přes VPN z Internetu musí zvlášť povolit administrátor Ing. Jiří Grygárek (CVT) Pro přístup z WiFi VŠB-TU použijte SSID tuonet-vpn bez WEP (zabezpečení řeší vyšší vrstva-ipsec) POZOR: adresa VPN koncentrátoru jiná pro přístup z Internetu, WiFi VŠB-TU a CZFree Informace viz http://homel.vsb.cz/vpn
Modemová připojení Omezený počet kont (100) Terminálový server disponuje 14 modemy Autentizace TACACS (generována zvláštní hesla) Denní a měsíční časová kvóta Přidělování vždy na začátku semestru Ing. Ivan Doležal (CVT) Viz http://www.vsb.cz/cvt/modemy
Další možnosti připojení do TUONETu Internetové kiosky Koleje-internetová patra Budova B: 2.,3.,4. patro; budova C: 2.,3.,4. patro Žádosti o připojení: Ing. Jiří Grygárek (CVT)
Autentizace uživatelů a zařízení při přístupu do TUONETu Ověření identity uživatele před vstupem do sítě Vstup dovolen jen pro autentizovaná zařízení MAC adresou na konkrétním portu konkrétního přepínače Ethernetu jen pevně připojená zařízení patřící VŠB-TU Certifikátem uživatele na Ethernet přepínačích s veřejnými porty (802.1x) na WiFi AP s podporou 802.1x (SSID tuonet-eap) Uživatelským jménem a heslem (LDAP,TACACS) Přístup přes VPN koncentrátor Modemové připojení
Autentizace certifikátem vydává certifikační autorita VŠB-TU nebo FEI Ing. Ivan Doležal, CVT Pavel Stoklasa, děkanát FEI informace viz http://www.vsb.cz/ca nutno fyzicky kontaktovat správce certifikační autority s občanským průkazem a průkazem studenta vydávané certifikáty platné do r. 2006 možnost odvolání zneužitého certifikátu CRL-Certificate Revocation List Použití pro WiFi VŠB-TU (tuonet-eap) a porty Ethernet s 802.1x
Autentizace jménem a heslem Jménem a heslem LDAP V databázi všichni studenti, hesla jako v Novellu Pro VPN přes WiFi VŠB-TU (tuonet-vpn) Pro VPN z CZFree Pro VPN z Internetu (po registraci) Ing. Jiří Grygárek (CVT) Jménem a heslem TACACS Pro modemová připojení jen registrovaní uživatelé Ing. Ivan Doležal (CVT)
Nastavení a ověření hesla http: // uzivatel.vsb.cz Obsahuje i kontakty na příslušné fakultní správce
Připojení TUONETu do Internetu (CESNET)
CZFree Síť WiFi s volným připojováním uživatelů Podmínky definuje správce konkrétního AP Možnost přístupu do Internetu placená podle lokálních podmínek Ostrava: http://wi.fi.cz VŠB-TU je uzlem CZFree http://www.vsb.cz/cvt/czfree Vstup do sítě školy (a dále do Internetu) možný pro oprávněné uživatele pomocí VPN VŠB-TU není zodpovědná za provoz CZFree
Přístup ke službám Internetu z TUONETu Bezpečnostní omezení povolen jen vybraný provoz dočasné (ephemeral) porty nepropouštěny http://www.vsb.cz/cvt/tuonet/i_podm.htm WWW, POP, IMAP klienti odkudkoli SSH (+scp) odkudkoli Telnet a pasivní FTP jen z homel.vsb.cz FTP z WWW prohlížeče přes cache.vsb.cz:3128 Možnost přeposílání dalšího provozu po dohodě přes Socks5 server Ping mezi TUONETem a Internetem jen z homel.vsb.cz (a služebních sítí)
Přístup ke službám Internetu přes server Socks 1.Nejprve autentizace uživatele u Socks serveru Konkrétní uživatel musí být k použití autorizován Správcem Ing. Ivan Doležal (CVT) 2.Aplikace naváže spojení se Socks serverem a požádá jej o zřízení spojení se serverem služby Socks server je oprávněn zřizovat spojení přes firewall 3.Socks server dále pouze přemosťuje obě spojení pro server služby je Socks transparentní - Mnohé aplikace mají podporu Socks vestavěnu - Knihovna SocksCap pro aplikace bez podpory Socks (náhrada knihoven pro komunikaci v síti)
Přístup ke službám TUONETu z Internetu Z veřejného Internetu (bez použití VPN) přístup do TUONET velmi omezený WWW na vybrané servery Doručení pošty na vybrané servery SSH na homel.vsb.cz Po dohodě se správcem z dohodnuté adresy Ing. Martin Pustka (CVT) Čtení pošty (POP3S, IMAPS) na homel.vsb.cz Přístup k Novell Serverům přes VPN IP Client od Novellu, ne vestavěný od Microsoftu
Elektronická pošta Antivirový filtr Dočasná archivace zavirovaných zpráv Antispamový filtr označování při filtraci a možnost třídění e-mailovým klientem Odesílání pošty jen smtp.vsb.cz (jen z TUONETu), prochází antivirem max 20 MB zpráva (ale ostatní často méně) Čtení pošty WWW rozhraní: posta.vsb.cz (HTTPS) i posílání POP3S, IMAPS z homel.vsb.cz POP3 a IMAP na servery vně TUONETu povolen odevšad El. pošta není šifrovaná ani autentizovaná služba!
Studium počítačových sítí na FEI Bc: Počítačové sítě (3.ročník ZS) Specializace (Ing.): Přepínané a směrované sítě (4.ročník LS) Technologie počítačových sítí (5.ročník ZS) Cisco Networking Academy Program CCNA (semestry 1-4) CCNP (semestry 5-8) jen VŠB-TU a ČVUT
Proč studovat počítačové sítě? Postavte si vlastní TUONET ;-)!