Univerzitní sít - leden 2012 David Rohleder davro@ics.muni.cz 24. ledna 2012
Masarykova univerzita ÚVT MU se stará o páteřní sít mezi jednotlivými lokalitami jednotlivé fakulty jsou nezávislé, ÚVT má pouze doporučující/konzultační roli IPv4: 147.251.0.0/16 IPv6: 2001:718:801::/48 Muninet: 217.69.96.0/20, 2a00:5800::/32
Provoz Základní info tlf. číslo 54949 4241 zajištění provozu v pracovní době služba na sále (7 22) mimo tuto dobu je tlf. číslo 54949 4241 přepojeno na CPS první liníı pro styk ostatními při poruchách jsou operátoři, zaznamenají poruchu a přesměrují na správného technika u již nahlášeného problému by operátoři měli vědět předpokládaný čas vyřešení problému
Požadavky na sít, hw, fyzická topologie sítě Požadavky na sít, hw, fyzická topologie sítě: duální napojení všech lokalit do centrálních prvků možnost 10Gbit připojení každé lokality možnost připojovat nejen univerzitní zákazníky (CESNET, komerce) optická sít mezi jednotlivými lokalitami je vlastněna MU, obvykle v dostatečném množství optických kabelů
Řešení požadavků Řešení požadavků: oddělení provozu do VRF centrální prvky: Cisco 7600 accessové prvky: Cisco Catalyst 3750-E MPLS core možnost používat MPLS-VPN pro oddělení zákazníků do samostatných sítí Catalyst 3750-E neumí MPLS - současné řešení není úplně ideální
MPLS MPLS Multi Protocol Label Switching přepínání na základě značek (labels) proč? směrování (L3) vs přepínání paketů(l2) označování paketů na hranici sítě jednodušeji realizovatelné v hardware P routery jsou jenom rychlé vidle na přehazování rámců nová verze přepínání rámců (kdo si vzpomene na tu předchozí?)
MPLS - formát rámce Umístění v teoretickém skoro-modelu ISO/OSI stacku: IP MPLS Ethernet, Frame relay, ATM, PPP, etc Physical Layer formát rámce:
MPLS - rozdělení prvků Prvky v MPLS síti můžeme rozdělit na: P Provider: stará se pouze o přehazování paketů z jednoho rozhraní na druhé podle značek v paketech (rychlé rozhodování) PE Provider Edge: směrovač na hranici sítě poskytovatele, provádí klasifikaci paketů a přiřazení správného značky (labelu) CE Customer Edge: zákazníkův směrovač
Funkce P směrovače P směrovač je zařízení, které slouží k rychlému přehazování paketů z portu na port. K tomu: nemusí znát celou směrovací tabulku stačí mu cesta k výstupním bodům MPLS sítě běží některý IGP protokol, nejčastěji OSPF běží doplňkový protokol k šíření značek (labelů) LDP (Label Distribution Protocol) RFC 5036 proč dva protokoly?
Funkce PE směrovače PE směrovač je zařízení na hranici sítě poskytovatele, který se stará o správné označkování každého paketu správnou značkou. K tomu: musí znát celou směrovací tabulku běží BGP+ protokol běží IGP a LDP protokoly může vytvářet MPLS VPN
MPLS VPN MPLS VPN umožňuje vytvářet virtuální privátní sítě různým zákazníkům přes sít ovou infrastrukturu poskytovatele připojení. K tomu se využívá stohování MPLS značek. možnost mít v jedné síti překrývající se adresní prostory (mnoho sítí používá privátní adresové prostory) VRF: Virtual Routing and Forwarding nutné rozšířit směrovací protokol, aby umožňoval toto překrývání adresních prostorů. Ideální pro BGP+
Fyzická topologie sítě law 23 rect 17 sci 20 fss 22 gw.muninet sw-muninet ics 11 phil 21 cps 14 klac 29 koma 30 c-ics 1 c-rect 3 miru 28 econ 18 ics-f ufz 25 vin 31 ics-srv 12 cps-srv 15 druz 27 c-econ 4 c-cps 2 gw.mu. ukb 19 R98 R121 ped 24
Směrování v IPv4 Směrování v IPv4: OSPFv2 jako podklad pro BGP (zajišt uje pouze konektivitu sít ových prvků) hlavní směrovací informace jsou šířeny přes BGP BGP zajišt uje: unicastové směrování do Internetu směrování ve VRF směrování multicastu RTBH: černá díra
OSPFv2 OSPFv2 šíří pouze informace o spojovacích sítích mezi routery 147.251.243.0/24, 147.251.244.0/24 všechny směrovače jsou v jedné OSPF area 100, backbone je zhroucená do jediného bodu (každá area v OSPF musí být připojena k backbone) OSPFv2 je svázáno s LDP pro výměnu MPLS labelů
BGP BGP používáme privátní rozsah AS dvojí připojení k CESNETu R98 c-ics a R121 c-cps každý accessový router má vlastní AS (65000 + cisloswitche) abychom nemuseli dělat full mash pro core routery, máme dva route reflectory c-econ a c-rect šíření MPLS-VPN směrovacích informací (rozšíření IPv4 adresy o 64b RD) srovnání s VLAN
Směrování v IPv4 gw.muninet sw-muninet sci 20 cps 14 c-ics 1 c-rect 3 econ 18 ics-srv 12 cps-srv 15 c-econ 4 c-cps 2 gw.mu. ukb 19 ped 24 R98 R121
Směrování v IPv4 gw.muninet sw-muninet sci 20 cps 14 c-ics 1 c-rect 3 MPLS econ 18 ics-srv 12 cps-srv 15 c-econ 4 c-cps 2 gw.mu. ukb 19 ped 24 R98 R121
Směrování v IPv4 gw.muninet sw-muninet sci 20 cps 14 c-ics 1 c-rect 3 MPLS econ 18 ics-srv 12 cps-srv 15 OSPFv2 area 100 c-econ 4 c-cps 2 gw.mu. ukb 19 ped 24 R98 R121
Směrování v IPv4 gw.muninet sw-muninet sci 20 cps 14 c-ics 1 c-rect 3 BGP MPLSAS 65080 econ 18 ics-srv 12 cps-srv 15 OSPFv2 area 100 c-econ 4 c-cps 2 gw.mu. ukb 19 ped 24 R98 R121
Směrování v IPv4 gw.muninet sw-muninet AS 65020 sci 20 cps 14 c-ics 1 c-rect 3 AS 65014 BGP MPLSAS 65080 econ 18 AS 65018 ics-srv 12 cps-srv 15 OSPFv2 area 100 c-econ 4 c-cps 2 gw.mu. AS 2852 ukb 19 AS 65019 R98 R121 ped 24 AS 65024
Číslování VLAN a VRF VRF: název číslo sít základní (univerzita) 0 147.251.243.0/24, 147.251.244.0/24 CESNET 1 195.178.86.0/24 MUNINET 2 217.69.101.0/24 TELEFONY 3 10.0.3.0/24 CPS 4 10.0.4.0/24 USKM 5 10.0.5.0/24
Číslování VLAN mezi core a access Číslování VLAN mezi core a access: Číslo accesového switche *100 + Číslo core switche *10+ VRF VLAN 1932 - spoj mezi ukb.bb10.muni.cz a c-rect.bb10.muni.cz ve VRF MUNINET 19 3 2
RTBH RTBH - Remotely triggered black hole (RFC 5635) blokování na základě informací ve směrovací tabulce urpf - unicast Reverse Path Forwarding cisco: ip verify unicast source reachable-via rx linux: /proc/sys/net/ipv4/conf/*/rp filter není nutné upravovat ACL
urpf - příklad src=a.b.c.d A.B.C.D
RTBH - BGP RTBH realizované přes BGP proč právě BGP? speciálně označené NLRI specifická cesta na každém směrovači v síti do Null0 rtbh směrovač určený pouze pro vkládání směrovacích informací o blokovaných strojích/sítích
RTBH - BGP schema src=a.b.c.d 10.0.0.1 A.B.C.D/32 NH=10.0.0.1
RTBH - výhody/nevýhody Výhody: rozšíří blokování do všech směrovačů bez nutnosti v nich měnit konfiguraci rychlé rozšíření po síti nezatěžuje směrovač tolik jako ACL máme k dispozici automatizovaný nástroj blokující počítače přes XML-RPC (CSIRT-MU) Nevýhody: blokuje komplet celý počítač některé směrovače mají problémy se směrovacími tabulkami zahozené pakety nejdou vidět v počítadlech
IPv6 na MU V dávných dobách byl Internet sít, kde mohl komunikovat každý s každým. Mnohým tato vlastnost v dnešním Internetu chybí. A proto přichází
Co přináší IPv6 Co vám přináší IPv6? větší adresový prostor: 340 282 366 920 938 463 463 374 607 431 768 211 456 problémy tunely (ISATAP, Teredo, 6to4) SLAAC privacy extensions RA ACL
Adresace IPv6 na MU Adresace IPv6 na MU: fakultám a větším celkům přidělováno /56 menším celkům přidělováno /60 koncovým uživatelům nebo sítím přidělováno /64 nebo /60 (pokud chtějí experimentovat) na směrovači koncové sítě doporučujeme <globální prefix>::1
OSPFv3 na MU OSPFv3 na MU: možná adresace nekoncových sítí link-local adresami na spoje mezi směrovači bez statické cesty, kde běží OSPFv3, pouze link-local EUI-64 na spoje k zákazníkům, kde je statická cesta, používáme staticky přidělené link-local adresy typu: FE80::1 - náš směrovač, FE80::10 směrovač prvního zákazníka zákazníkův směrovač komunikuje se světem jednou z globálních IPv6 adres směrovač v páteři má ideálně jednu global IPv6 adresu /128 na Loopbacku, aby mohl odpovídat na zvědavé dotazy (traceroute, ping, mgmt)
Pravděpodobná budoucnost směrování IPv6 Pravděpodobná budoucnost směrování IPv6: zrušení OSPFv3 zavedení BGP IPv6 i do MPLS VPN RTBH pro IPv6?
WiFi WiFi staráme se o WiFi s výjimkou FI a PřF, kontakt <pptp@ics.muni.cz> MUNI-VPN: otevřené připojení, nutné se připojit přes VPN (identifikace uživatele a dodržení směrnice rektora) eduroam: mezinárodní projekt akademické bezdrátové sítě (EDUcation ROAMing) umožňující připojení studentů na kterékoliv škole/organizaci, která je součástí eduroamu. Autentizace přes 802.1x
WiFi - technické řešení na MU WiFi - technické řešení na MU centralizované řešení založené na Cisco WiSM (Wireless Service Module) standardizovaný protokol CAPWAP (RFC 5416) L3 tunely od AP k WiSM možnost mít AP kdekoliv na světě adresy se přidělují na jednom místě
WiFi - pokrytí signálem
WiFi - informace o klientovi
Výstupy WCS Co nabízí WCS: spravuje rádia - kanály, sílu signálu generuje reporty (v pdf, posílá e-mailem,... ) umožňuje přístup k částem systému (pro lokální správce) webové rozhraní sledování uživatelů pro ladění problémů
Multicast Multicast IPv4 protokol pro šíření dat k více cílům datové pakety chodí vždy po dané síti jen jednou, ikdyž se šíří k více cílům 224.0.0.0/4 směrovací informace jsou šířeny v BGP, PIM-SM koncové stanice se přihlašují k přijímání multicastu pomocí protokolu IGMP (Internet Group Management Protocol) málokdo podporuje, akademická sféra je celkem výjimkou ukázka
Telefony Telefony klasická telefonie vs VoIP konvergovaná sít : ano či ne? ještě nepřevedeno do VRF kontakty: Vladimír Schindler, Vlastimil Špaček
Použití privátních sítí Použití privátních sítí 192.168.0.0/16 používáme pro adresování managementu zařízení v místních sítích (WiFi AP, switche, atd.), případně zařízení, která nepotřebují přístup na internet (tiskárny, scannery, atd.) 10.0.0.0/16 používáme pro adresování switchů a dalších zařízení v páteři podle schematu 10.0.hlavní lokální switch.0/24 10.0.X.0 - číslování spojovaček ve VRF X 172.16.0.0/12 nepoužíváme (až na pár výjimek)
Použití privátních sítí 2. Toužíte po vlastním, v univerzitě routovaném, privátním rozsahu? chcete jej? máte pro něj využití? kamery, monitorovací systémy, docházkové systémy, atd... 172.16.0.0/12 bychom mohli rozdělit /16 per fakulta něco pro budova-based IP adresy v samostatném VRF nebo v základním univerzitním rozsahu?
Q&A? Q&A?