Úvod do informačních technologií Počítačové sítě Petr Grygárek katedra informatiky FEI Regional Cisco Networking Academy 2005 Petr Grygárek, UIT 1
Přenos dat mezi počítači Jak přenést? /home/gry72/soubor.txt 0110101100001111001111... ; 2005 Petr Grygárek, UIT 2
Propojení počítačů (přenosové médium) metalické vedení optické vedení /home/gry72/soubor.txt 0110101100001111001111... rádiový přenos ; 2005 Petr Grygárek, UIT 3
Jak na médiu vyjádřit jedničky a nuly? Zvolíme vhodnou fyzikální veličinu a měníme ji v čase podle přenášených dat (mluvíme pak o signálu) Napětí Intenzita světelného toku Frekvence rádiové vlny U t 2005 Petr Grygárek, UIT 4
Poruší médium přenášenou informaci? ANO! Médium šum Médium není ideální Zvnějšku na něj působí okolí (šum) 2005 Petr Grygárek, UIT 5
Zabezpečení dat proti chybám Skupiny přenášených bitů shlukneme do rámců a na konec každého z nich připojíme kontrolní součet vypočtený z přenášených dat (checksum) a pořadové číslo Na přijímači stejným způsobem vypočteme kontrolní součet a porovnáme s přeneseným V případě neshody kontrolního součtu nebo přeskočení pořadového čísla musíme chybu opravit DATA Checksum DATA Checksum Checksum =? 2005 Petr Grygárek, UIT 6
Oprava chyb Zpětná vazba z přijímače na vysílač (potvrzování) Potvrzení 1 Rámec 1 Vysílač opakuje rámce, které se cestou k přijímači ztratily nebo došly s chybou ; timeout Rámec 2 Rámec 2 2005 Petr Grygárek, UIT 7
Propojení více počítačů Počítačová síť (zatím lokální) ; Problém: Kdo smí kdy na sdílené médium vysílat, aby vysílání nezkolidovala? Existují k tomu různé algoritmy přístupové metody 2005 Petr Grygárek, UIT 8
Pevná lokální síť Propojení přepínačem (Ethernet) ; 2005 Petr Grygárek, UIT 9
Rádiová lokální síť (WiFi) Propojení přístupovým bodem ; 2005 Petr Grygárek, UIT 10
Komunikace mezi více počítači Musí se dohodnout Metoda sdílení přístupu na společné médium Formát rámce Adresace stanic adresa příjemce i odesílatele připojena k rámci (hlavička) Hlavička DATA Checksum Adresa příjemce Adresa odesílatele 2005 Petr Grygárek, UIT 11
A co když to někdo jiný vymyslí jinak a my se s ním chceme propojit? Co všechno může být jiné? Médium Kódování jedniček a nul Algoritmus sdílení média Formát rámce a adresy stanic Mechanismus opravy chyb Musíme vše vyhodit? NE! Logicky sjednotit a vzájemně propojit vhodným zařízením směrovačem (router) 2005 Petr Grygárek, UIT 12
Logické sjednocení - komunikační protokol Dohoda globálně jednoznačné adresace stanic a konkrétních aplikací (procesů, služeb) na stanicích Dohoda formátu předávaných zpráv - paketů Dohoda algoritmů opravy chyb Musí být implementováno v operačním systému všech stanic, které chtějí vzájemně komunikovat v aktivních prvcích síťové infrastruktury směrovače, přepínače alespoň musí rozumět adresám 2005 Petr Grygárek, UIT 13
Co je vlastně ten Internet? Propojení počítačů nejrůznějších architektur a použitých operačních systémů pomocí rozličných vzájemně propojených síťových technologií (heterogenní prostředí) Lokální sítě (LAN) propojené pomocí směrovačů (router) vytvářejí rozlehlou síť (WAN) Největší rozlehlá síť na světě je Internet 2005 Petr Grygárek, UIT 14
Protokoly Internetu TCP/IP Internet Protocol (IP) nespolehlivé předávání paketů mezi stanicemi User Datagram Protocol (UDP) předávání paketů mezi aplikacemi na stanicích (včetně vysílání pro skupinu stanic a všechny sousední stanice) Transmission Control Protocol (TCP) Spolehlivý přenos obousměrného proudu dat mezi aplikacemi na stanicích Dnes všeobecně používány i v intranetech 2005 Petr Grygárek, UIT 15
Topologie Internetu (obecné propojení LAN) LAN 1 LAN 5 LAN 4 LAN 3 LAN 2 Směrovač- specializovaný počítač předposílající pakety mezi propojenými sítěmi 2005 Petr Grygárek, UIT 16
Internet = síť s přepínáním paketů Výchozí brána (default gateway) 112.1.10.200 158.196.135.16 112.1.10.200 DATA 2005 Petr Grygárek, UIT 17
Činnost směrovačů (1) 112.1.10.200 158.196.135.16 2005 Petr Grygárek, UIT 18
Činnost směrovačů (2) 112.1.10.200 ` 158.196.135.16 2005 Petr Grygárek, UIT 19
Činnost směrovačů (3) 112.1.10.200 158.196.135.16 2005 Petr Grygárek, UIT 20
Hledání nejkratší cesty k cíli Směrovací tabulka 112.1.10.200 158.196.x.x 112.1.10.x 112.1.10.x 158.196.135.16 11.x.x.x 11.x.x.x Statická konfigurace 11.100.100.20 Distribuované algoritmy pro automatické vyhledávání 2005 Petr Grygárek, UIT 21
Potřebujeme v síti něco dalšího, než směrovače? Čistě technicky ne Pro pohodlí uživatelů a správců sítě ano Systémové síťové služby provozované na serverech (obvykle s OS Unix) v jednotlivých lokálních sítích 2005 Petr Grygárek, UIT 22
Systémové síťové služby Domain Name System (DNS servery) Mapují doménová jména počítačů na jejich IP adresy Dynamic Host Configuration Protocol (DHCP servery) dynamické přidělování parametrů síťového připojení klientům (IP adresa, maska podsítě, výchozí brána) Lightweight Directory Access Protocol (LDAP servery) Udržují databázi uživatelů oprávněných k přístupu do sítě Hesla, povolené služby, Remote Access Dial-in User Server (RADIUS servery) Zprostředkovávají autentizaci uživatelů připojených přes WiFi (HotSpot) a na veřejné porty přepínačů (HotPlug) Ověřují certifikáty u certifikační autority nebo hesla u LDAP 2005 Petr Grygárek, UIT 23
Servery síťových služeb DNS Jakou adresu má www.seznam.cz? www.seznam.cz INTERNET Přepínač Přiděl mi adresu Vpustit počítač P? DHCP RADIUS Jaké heslo má uživatel U? LDAP Počítač P Uživatel U INTRANET (TUONET) 2005 Petr Grygárek, UIT 24
Bezpečnost sítí Provozuschopnost sítě je dnes nutnou podmínkou základního chodu řady organizací Strategický materiál organizací má elektronickou podobu, dostupný na intranetu organizace která je připojena k Internetu 2005 Petr Grygárek, UIT 25
Autentizace a utajení dat Autentizace = ověření, zda zdroj dat je opravdu tím, za koho se vydává a že data cestou nikdo nepozměnil (integrita dat) Utajení = šifrování dat, aby jejich obsah nemohl přečíst nikdo jiný, než oprávněná osoba/stroj Kde se realizuje? Při přenosu zpráv mezi uživateli Při přístupu do sítě 2005 Petr Grygárek, UIT 26
Virtuální privátní síť (VPN) Telefonní síť tunely modem ISP Šifrování Počítač se softwarem VPN klient Potenciálně nebezpečný veřejný Internet Firewall (filtrace) VPN koncentrátor Dešifrování Šifrování Počítač se softwarem VPN klient Zabezpečená síť (TUONET) 2005 Petr Grygárek, UIT 27
imac imac imac imac Vnitřní síť organizace Firewall Firewall INTERNET uživatel WWW server uživatel hacker hacker Chrání vnitřní síť před útoky zvenčí propouští do vnitřní sítě jen bezpečný provoz Zabraňuje uživatelům organizace v nekalých aktivitách na Internetu propouští do Internetu jen povolený provoz Filtruje na základě IP adres a služeb 2005 Petr Grygárek, UIT 28
Kde se šifruje a dešifruje? Mezi koncovými uživateli síť o tom nemusí nic vědět Na potenciálně nebezpečném úseku mezi uživatelem a bezpečnou sítí Rádiový kanál mezi klientem a přístupovým bodem sítě (WiFi) Klient připojený někde k Internetu přistupující do bezpečné sítě přes Internet VPN tunel 2005 Petr Grygárek, UIT 29
Je ještě co vymýšlet aneb aktuální problémy počítačových sítí Garantovaná kvalita služby ve WAN přenosová rychlost, zpoždění, rozptyl zpoždění nutné s ohledem na prorůstání s telekomunikačními sítěmi ( IP everywhere - výhodou škálovatelnost) Skupinové vysílání (multicasting) telekonference, multimédia, Mobilita uživatelů, směrování v mobilních ad-hoc sítích Širokopásmové přístupové sítě jak dostat vysokorychlostní Internet ke koncovým uživatelům s únosnými náklady Bezpečnost Detekce útoků, ochrana před útoky Autentizace a šifrování přenosů mezi koncovými uživateli 2005 Petr Grygárek, UIT 30
A jak je to u nás na VŠB-TU? 2005 Petr Grygárek, UIT 31
TUONET a připojení do Internetu CESNET TUONET INTERNET 2005 Petr Grygárek, UIT 32
Jak se lze autentizovat? Uživatelské jméno a heslo Uloženy pro všechny uživatele centrálně na LDAP serveru Certifikátem Identifikace uživatele elektronicky podepsaná certifikační autoritou instituce lze získat po identifikaci jménem a heslem (LDAP) na http://www.vsb.cz/ca certifikát získaný online je jen pro přístup do sítě 2005 Petr Grygárek, UIT 33
Parametry síťového připojení IP adresa a maska podsítě (subnet mask) 158.196.x.x maska podsítě slouží ke zjištění, zda je cíl na LAN nebo mimo ní IP adresa výchozí brány (default gateway) adresa směrovače, kam posílat pakety pro stanice mimo lokální síť zpravidla nejnižší adresa na podsíti IP adresa serveru DNS pro mapování doménových jmen na IP adresy 158.196.149.9 (dns1.vsb.cz), 158.196.147.15 (dns2.vsb.cz) Implicitní doména pro relativní jména DNS (např. www.cs[.vsb.cz]) VSB.CZ Oprávněná zařízení vše získají z DHCP Nepřidělujte manuálně nebude vám fungovat!!! 2005 Petr Grygárek, UIT 34
imac imac imac Pevná struktura propojené přepínače Internet klientské porty: 10/100 Mbps, servery 1Gbps spoje: 100Mbps, 1Gbps Směrovač (router) Přepínače Pevně připojené počítače Zařízení studentů s certifikáty 2005 Petr Grygárek, UIT 35
Připojení zařízení studentů do pevné struktury Vhodné pro přenos větších objemů dat Připojení jen do HotPlug portu přepínače (10/100Mbps) Před vpuštěním do sítě bude požadována autentizace certifikátem Je třeba mít instalován certifikát Operační systém musí podporovat standard 802.1x 2005 Petr Grygárek, UIT 36
Bezdrátová struktura - napojení na pevný distribuční systém IEEE 802.11b: 2.5 GHz, max. 11 Mbps IEEE 802.11g: 2.5 GHz, max. 54 Mbps Reálně cca 1/2 teoretické přenosové rychlosti (!) 2005 Petr Grygárek, UIT 37
Pokrytí areálu bezdrátovou sítí počítačové učebny, studovna, veřejné prostory,... označení WiFi hotspot postupné pokrývání dalších prostor aktuální stav viz http://wifi.vsb.cz 2005 Petr Grygárek, UIT 38
Model pokrytí areálu VŠB-TU (jaro 2005) 2005 Petr Grygárek, UIT 39
imac imac Identifikátor rádiové sítě (SSID) tuonet-eap tuonet-vpn WiFi šifrováno (dynamický WEP) autentizace certifikátem (EAP TLS) WiFi nešifrováno, VPN klient 2005 Petr Grygárek, UIT 40
Připojení zařízení studentů do bezdrátové struktury TUONETu SSID= TUONET-EAP (preferováno) Autentizace certifikátem (předaným přes EAP) Pokud ovladač WiFi klienta podporuje EAP-TLS Použit WEP s dynamickou výměnou klíčů (128-bitových) SSID= TUONET-VPN Nemá-li operační systém podporu EAP-TLS Je třeba mít instalován VPN klient lze stáhnout z http://homel.vsb.cz/vpn žádná registrace není potřebná autentizace na VPN koncentrátoru uživatelským jménem a heslem (LDAP) 2005 Petr Grygárek, UIT 41
Přístup z volného Internetu Použití VPN nutno mít instalován VPN klient Nutná registrace na CVT Ing. Jiří Grygárek, A1017 Ze sítě CZFree lze přistupovat bez registrace Dostanete automaticky přidělenu IP adresu z rozsahu VŠB (158.196.x.x) Stejná práva a omezení jako uživatelé připojení do TUONETu přímo 2005 Petr Grygárek, UIT 42
Modemová připojení Dnes spíše okrajová záležitost terminálový server disponuje cca 14 modemy Používají se zvlášť generovaná hesla mimo LDAP Denní a měsíční časová kvóta Přiděluje Ing. Ivan Doležal (A 1039 ) Viz http://www.vsb.cz/cvt/modemy 2005 Petr Grygárek, UIT 43
imac imac Bay Networks imac imac imac imac Připojení do TUONETu shrnutí Pevné připojení k přepínači (HotPlug port) Připojení s VPN klientem z Internetu (nutná registrace) Internet 802.1x VPN koncentrátor pevná struktura TUONET Firewall (filtrace) Terminal server tuonet-eap tuonet-vpn Modemová připojení Areál VŠB-TU Telefonní sít WiFi šifrováno (dynamický WEP) autentizace certifikátem (EAP TLS) WiFi nešifrováno, VPN klient CZFree Připojení s VPN klientem z CZFree (registrace není třeba) 2005 Petr Grygárek, UIT 44
Přístup ke službám Internetu z TUONETu Povolen jen vybraný provoz WWW klienti odkudkoli SSH (+scp) odkudkoli Telnet a pasivní FTP jen z homel.vsb.cz FTP z WWW prohlížeče přes cache.vsb.cz:3128 Odchozí poštovní brána smtp.vsb.cz Možnost přeposílání dalšího provozu přes Socks5 server Ping mezi TUONETem a Internetem jen ze služebních sítí Detaily viz http://www.vsb.cz/cvt/tuonet/i_podm.htm 2005 Petr Grygárek, UIT 45
Přístup ke službám TUONETu z Internetu Z veřejného Internetu přístup do TUONET velmi omezený WWW na vybrané servery Doručení pošty na vybrané servery Čtení pošty (POP3S, IMAPS) na homel.vsb.cz Pro ostatní použijte VPN klienta Přístup k Novell Serverům přes VPN IP Client od Novellu, ne vestavěný od Microsoftu 2005 Petr Grygárek, UIT 46
Antivirový filtr Elektronická pošta dočasná archivace zavirovaných zpráv Antispamový filtr Daily digest dočasně ukládány na serveru CVT, možnost si vyžádat Odesílání pošty jen přes smtp.vsb.cz (jen z TUONETu), prochází antivirem max 20 MB zpráva (ale ostatní často méně) Čtení pošty WWW rozhraní: posta.vsb.cz (HTTPS) i posílání POP3S, IMAPS z homel.vsb.cz El. pošta není šifrovaná ani autentizovaná služba! 2005 Petr Grygárek, UIT 47
Studium počítačových sítí na FEI 2005 Petr Grygárek, UIT 48
Proč studovat počítačové sítě? Postavte si vlastní TUONET ;-)! (nebo alespoň síť doma, ve firmě, v domě nebo na vesnici, ) 2005 Petr Grygárek, UIT 49
Bakalářské studium: Počítačové sítě (3.ročník ZS) Co se naučíte? Orientovat se v technologiích pro LAN Ethernet, WiFi Orientovat se v protokolech TCP/IP Sledovat provoz v počítačové síti síťovým analyzátorem a rozumětmu Navrhovat a prakticky zkonstruovat vlastní síť s IP protokolem Adresování (včetně překladu adres NAT), směrování Prakticky pracovat se síťovými prvky (přepínače, směrovače) Cisco, Linux Spravovat některé síťové služby DNS a DHCP servery Rozumět protokolům základních síťových aplikací WWW, elektronická pošta,... Užitečné pro ladění internetových aplikací Navrhnout a konfigurovat základní bezpečnostní mechanismy Filtrace paketů (ACL) Programovat síťové aplikace (C,Java) a spoustu dalších věcí 2005 Petr Grygárek, UIT 50
Magisterské studium - specializace Přepínané a směrované sítě (LS) IP verze 4 detailně,ip verze 6 Směrovací protokoly - intranety i Internet, optimalizace směrování Kvalita služby v IP sítích Multicasting (skupinové vysílání) Přepínané sítě pokročilé možnosti Technologie počítačových sítí (ZS) Ethernet detailně ISDN, Frame-Relay, ATM Vzdálená správa sítí Kombinace přepínání a směrování (MPLS) Virtuální privátní sítě Přístupové linky xdsl WiFi 2005 Petr Grygárek, UIT 51
Cisco Networking Academy Program Při FEI VŠB-TU Ostrava funguje Regionální akademie CNAP http://rcna.vsb.cz Praktické kurzy počítačových sítí v současné době mimo kreditní systém (za poplatek) příprava k certifikátům Cisco Certified Network Associate a Cisco Certified Network Professional CCNA (semestry 1-4) CCNP (semestry 5-8) jen VŠB-TU a ČVUT 2005 Petr Grygárek, UIT 52