Debreceni Egyetem Informatikai Kar
A PIREHAB Nonprofit Kft. kommunikációs hálózatának elemzése, tesztelése és továbbfejlesztésének tervezése
Témavezető:
Konzulens:
Készítette:
Dr. Almási Béla
Kiss László
Szilágyi Miklós
Egyetemi docens
Informatikus
Debrecen 2013
Köszönetnyilvánítás: Ezúton szeretnék köszönetet mondani Dr. Almási Béla egyetemi docens úrnak, témavezetőmnek, a nyújtott javaslataiért és segítségéért, valamint szeretném megköszönni konzulensemnek, Kiss Lászlónak a dolgozat elkészítéséhez nyújtott segítségét, türelmét és megértését.
Tartalomjegyzék 1.
BEVEZETÉS.................................................................................................................. 5
2.
A PIREHAB NONPROFIT KFT. HÁLÓZATÁNAK ELEMZÉSE ................................ 6 2.1 A TELEPHELY BEMUTATÁSA..................................................................................................................... 6 2.1.1 Informatikai épület .......................................................................................................................... 7 2.1.2 Főépület - földszint .......................................................................................................................... 9 2.1.2 Főépület – emelet ...........................................................................................................................12 2.2 A TCP/IP REFERENCIA MODELL ..............................................................................................................13 2.2.1 Protokollhierarchiák kialakulása ...................................................................................................13 2.2.2 A TCP/IP referenciamodell rétegei .................................................................................................13 2.3 TCP/IP – GÉP A HÁLÓZATHOZ RÉTEG ......................................................................................................14 2.3.1 Réz és optikai kábelek .....................................................................................................................14 2.3.2 Az informatikai épület kábelezése ....................................................................................................15 2.2.3 Főépület - földszint kábelezése ........................................................................................................16 2.3.4 Főépület - emelet kábelezése ...........................................................................................................18 2.3.5 IEEE 802.3u Fast Ethernet .............................................................................................................19 2.4 TCP/IP – HÁLÓZATI RÉTEG .....................................................................................................................20 2.4.1 Internet Protokoll ...........................................................................................................................20 2.4.2 DHCP ............................................................................................................................................21 2.4.2 A hálózat logikai címzése ................................................................................................................21 2.5 TCP/IP SZÁLLÍTÁSI RÉTEG .....................................................................................................................24 2.5.1 PAT................................................................................................................................................24 2.6 TCP/IP ALKALMAZÁSI RÉTEG .................................................................................................................24 2.6.1 Szerver szolgáltatások.....................................................................................................................24
3.
A HÁLÓZAT VIZSGÁLATA ...................................................................................... 26 3.2 A HÁLÓZAT TERHELTSÉGE ......................................................................................................................26 3.2.1 A tűzfalak terheltsége......................................................................................................................26 3.1.2 A switchek terheltsége.....................................................................................................................29 3.2 KÉSLELTETÉSI IDŐ ..................................................................................................................................30 3.4 BIZTONSÁG ÉS MEGBÍZHATÓSÁG ............................................................................................................31
4.
A HÁLÓZAT TOVÁBBFEJLESZTÉSÉNEK TERVEZÉSE ........................................ 34 4.1 DOKUMENTÁCIÓ KÉSZÍTÉSE ....................................................................................................................34 4.2 KÁBELMENEDZSMENT ............................................................................................................................34 4.3 A TERVEZETT TOVÁBBFEJLESZTETT HÁLÓZAT .........................................................................................35 4.3.1 A tervezett hálózat fizikai felépítése .................................................................................................35
3
4.3.2 A tervezett hálózat logikai felépítése................................................................................................36 4.3.1 A tervezett hálózat előnyei - hátrányai............................................................................................39
5.
ÖSSZEFOGLALÁS ..................................................................................................... 40
6.
FELHASZNÁLT IRODALOM .................................................................................... 41 6.1 KÖNYVEK, CIKKEK, TANULMÁNYOK .......................................................................................................41 6.2 INTERNETES FORRÁSOK ..........................................................................................................................41 6.3 KÉPEK, ÁBRÁK FORRÁSA ........................................................................................................................43
4
1. Bevezetés Napjainkban akár az idősebbeket akár a fiatalabbakat kérdezzük, szinte mindenki hallott már a számítógépes hálózatokról legalábbis a hálózatok hálózatáról: az internetről. Ezek a rendszerek életünk szerves részét képezik, már-már el sem tudjuk képzelni életünket nélküle. A számítógépes hálózatok a számítógépek egymás közötti kommunikációját hivatottak biztosítani. Ez a kommunikáció a lehetőségek és a felhasználási módok tucatjait nyitotta meg az emberek előtt, gondolva itt az erőforrások megosztására, vagy akár egy egyszerű elektronikus levél kézbesítésére. Minden hálózat egy, azonos célt szolgál: az emberi, azaz a felhasználói igények kielégítését. Ahogyan a felhasználói igények változnak közvetetten befolyásolják a hálózatokat is. Világunkban számos különböző ilyen hálózat létezik ezek méretükben, technológiájukban, felhasznált eszközeikben, protokolljaikban eltérhetnek, és gyakran el is térnek. Nagy kihívást jelent a hálózati szakemberek számára, hogy ebben a sokrétű világban, melyet ezek a hálózatok alkotnak, biztosítsák, a megbízható adatat átvitelt, a folyamatos kommunikációs kapcsolatot. Szakdolgozatomban, egy mai viszonylatban átlagosnak mondható vállalat hálózatát vettem górcső alá. A mai vállalatok alkalmazkodva a világ elvárásaihoz újabb és újabb igényeket támasztanak a hálózatuk működéséhez. A munkaállomások számának növekedése, a hálózati alkalmazások fejlődése és szaporodása, a hálózati forgalom növekedését így a hálózat fejlesztésére való igényt indokolják. Célom a dolgozatban is felhasznált hálózati alapfogalmak bemutatásán túlmenően a vállalat hálózati passzív és aktív eszközeinek, topológiájának, logikai struktúrájának bemutatása, dokumentálása a TCP/IP réteg besorolási modell szerint. A hálózat hatékonyságának, terhelhetőségének, biztonságának vizsgálata és elemzése. A dolgozat végén továbbfejlesztési és hibajavítási tapasztalatok összegzése, értékelése.
A DOLGOZATBAN SZEREPLŐ CÍMEK, TARTOMÁNYOK, AZONOSÍTÓK BIZTONSÁGI OKOKBÓL ELTÉRNEK A VALÓS HÁLÓZATBAN HASZNÁLTAKTÓL, DE MŰKÖDÉSBEN AZONOS MÓDON HASZNÁLHATÓAK.
5
2. A PIREHAB Nonprofit Kft. hálózatának elemzése 2.1 A telephely bemutatása A PIREHAB Nonprofit Kft. 2006-os megalakulása óta Magyarország egyik legnagyobb rehabilitációs
célokat
megvalósító
munkáltatója.
A
megváltozott
munkaképességű
munkavállalókat foglalkoztató cég országunk 4 megyéjében mintegy 21 telephellyel rendelkezik melynek központja jelenleg Hajdú – Bihar megye székhelyén Debrecenben található. Ez a Debrecen belvárosában elhelyezkedő központ felelős a mintegy 2500 dolgozó ügyeinek intézéséért, a cég vezetéséért, adminisztrálásáért, ezért elengedhetetlen a megbízható informatikai infrastruktúra megléte.[14] A telephely két különálló épületből áll.
1. ábra, A telephelyen található épületek 1, Az informatikai épület. 2, A főépület. A főépület 3 szintből: földszint, emelet, és alagsorból tevődik össze. Informatikai szempontból az alagsor érintetlen ezért azzal a továbbiakban nem foglalkozom.
6
2.1.1 Informatikai épület Az informatikai épület 2 szobából áll melyek nincsenek teljesen külön választva.
2. ábra, Az informatikai épület Az „A” szobában félig leválasztott helyen található a cég POP-ja (point of presence)[10]. Az itt meglévő eszközök fő feladata a hálózat internetre való csatlakozásának biztosítása, kapcsolat létesítése az épületek között, valamint otthont ad egy tűzfal kiszolgálónak (a továbbiakban: Szerver 1) és egy proxy – levelező szervernek (a továbbiakban: Szerver 2) is. Server 1 FreeBSD 8.3-RELEASE-p11 alapú server számítógép 3 db 10/100 Fast Ethernet hálózati interfésszel, Intel(R) Xeon(TM) 2.66GHz processzorral, 1024 MB RAM-al. A hálózatban betöltött szerepe a DHCP, PAT és tűzfal feladatok ellátása. Server 2 Linux - Debian alapú server számítógép 1 db 10/100 Fast Ethernet hálózati interfésszel, Intel(R) Xeon(TM) 2.66GHz processzorral, 2048 MB RAM-al. A hálózatban betöltött szerepe a levelezés és proxy feladatok ellátása. A POP helyiségben egy számítógépasztalon helyezkedik el a hálózat internethez való hozzáférését biztosító az internetszolgáltatótól kapott CISCO EPC 3925 kábelmodem. Az asztal felett egy rack szekrény (a továbbiakban: I. számú rack szekrény), alatta a már említett két szerver foglal helyet.
7
I. számú rack szekrény aktív eszközei fentről lefelé haladva D - Link DGS – 3312 SR switch Az eszköz szekrény tetejében lévő optikai média konverter alatt található és 4 db Gigabit Ethernet 10/100/1000 Base-T, 4 db Combo SFP valamint egy RS-232 konzol interfésszel rendelkezik.[15]
3. ábra, D-link DGS – 3312 SR switch A kapcsoló a kapott kereteket „tárol és továbbít” kapcsolási módszerrel továbbítja portjain egyidejűleg maximálisan 17.8 Gbps sebességgel. Az eszköz un. Layer 3-as modell, az elnevezés az eszköz képességére utal, mivel képes a harmadik, azaz a hálózati réteg bizonyos feladatainak ellátására, mint például az útválasztásra. A switch fő funkciói az alábbiak:[15] Útválasztás: statikus, RIP, RIP V2, OSPF IEEE 802.1Q VLAN SPT: 802.1D, 802.1w Multi-layer Access Control List (ACL)[16] A további funkciók és a termék részletes leírása a dokumentációjában található.[15] A switch képességei további két modullal terjeszthetők ki. Ezen helyek egyikében egy DEM – 340T modullal rendelkezik, amely további négy 10/100/1000 BASE-T kapcsoló interfészt ad a rendszerhez.[16]
4. ábra, DEM – 340T modul
8
Repatec 16 – P nway switch A D - Link kapcsoló alatt elhelyezkedő Repatec switch 16 darab 10/100 Mbps Fast Ethernet interfésszel rendelkező, egyszerű, nem menedzselhető modell.[17]
2.1.2 Főépület - földszint A földszinten a számítógépes hálózat által érintetten 9 iroda, 1 szerverszoba, 1 étkező található, mintegy 28 kiépített végponttal. Az irodákat megszámoztam és betöltött funkciójuk szerint csoportosítottam.
5. ábra, A főépület földszintje A szinten 4 különálló munkacsoport található: Humánpolitika: Irodák jelölése: 1, 2, 3 Bérszámfejtés: Irodák jelölése: 4, 5 Munkaügy: Irodák jelölése: 6, 7 Gazdasági osztály: 8, 9
9
Az étkezőben található rack szekrény (a továbbiakban: II. számú rack szekrény) MDF-ként (main distribution frame)[10] azaz épületek közötti kábelrendezőként funkcionál, mivel az épület itt kapcsolódik az informatikai épületben található POP-hoz.[10]
II. számú rack szekrény aktív eszközei fentről lefelé haladva D - link DES – 1250 G switch Az eszköz a szekrény tetejében lévő optikai média konverter alatt található és 48 db 10/100 Mbps Fast Ethernet, 4 db Gigabit Ethernet 10/100/1000 Base-T és 2 db Combo SFP interfésszel rendelkezik. A Fast Ethernet portok támogatják az IEEE 802.3, IEEE 802.3u szabványokat és a fél illetve teljes duplex működést. A Gigabit Ethernet portok már támogatják az IEEE 802.3ab szabványt is. A Combo SFP portok pedig az eddigien túl támogatják az egy és a multimódusú kábelek nagy részét, melynek részletes leírása a termék dokumentációjában található.[18]
6. ábra, D - link DES – 1250 G kapcsoló A kapcsoló a kapott kereteket „tárol és továbbít” kapcsolási módszerrel továbbítja portjain egyidejűleg maximálisan 17.6 Gbps sebességgel valamint számos fejlett funkcióval, és támogatással is rendelkezik pl.:[18] IGMP Snooping IEEE802.1D Spanning Tree Support static Port Trunk Port Mirroring
10
IEEE 802.1Q VLAN IEEE 802.1p Priority Queues IEEE 802.1X Port-based Access Control Broadcast Storm Control Simple Network Management Protocol(SNMP)[19] D - Link DFL - 700 Tűzfal A tűzfal a szekrény aljában található rögzítés nélkül, bedugva a legalsó kábelrendező és a szekrény közé. Az eszköz három 10/100 Fast Ethernet, valamint egy darab soros interfésszel rendelkezik. Három portja a hálózatban betöltött funkciójuk szerint van elnevezve: WAN, LAN és DMZ.[19]
7. ábra, DES D - Link DFL - 700 tűzfal Az eszköz a számos fejlett tűzfal funkciókon kívül (IDS, DoS, DDoS védelem, tartalom szűrés), DHCP szerver, és fejlett VPN támogatással is rendelkezik.[19]
A bérszámfejtéshez használt kiszolgáló (a továbbiakban Szerver 3) a földszinti szerverszobában található. Server 3: Windows 2003 szerver alapú számítógép, 1 db 10/100 Fast Ethernet hálózati interfésszel, Intel(R) Xeon(TM) 2.66GHz processzorral, 2024 MB RAM-al. A hálózatban betöltött szerepe a bérszámfejtés kiszolgálása. A negyedik irodában lévő rack szekrényben (a továbbiakban III. számú rack szekrény) helyezkednek el a bérszámfejtés és humánpolitikai irodák hálózatát biztosító eszközök.
11
III. számú rack szekrény aktív eszközei 2 db D-link DES – 1250 G Switch Az eszközök megegyeznek az II. számú rackben találhatóval.
2.1.2 Főépület – emelet A főépület emeleti szintjén lévő igazgatóságon a hálózat által érintetten 7 iroda és 1 tárgyaló található mintegy 20 kiépített végponttal. Az emelet tárgyalójában található rack szekrény (a továbbiakban: IV. számú rack szekrény) IDF-ként (inetrior distribution frame)[10] azaz szintek közötti kábelrendezőként funkcionál, mivel az emelet itt kapcsolódik a földszinten található II. számú rack szekrényhez.[10]
8. ábra, A főépület emelete
IV. számú rack szekrény aktív eszközei 1 db D-link DES – 1250 G switch Az eszköz szintén megegyezik az II. számú rackben találhatóval. 12
2.2 A TCP/IP referencia modell A szakdolgozatomban tárgyalt hálózat elemzését a TCP/IP rétegbesorolása alapján készítettem el, mivel ahogy a későbbiekben látni fogjuk ez a napjainkban legelterjedtebb modell, könnyen alkalmazható a gyakorlatban.
2.2.1 Protokollhierarchiák kialakulása A számítógépes hálózatotok összetettségéből fakadó nehézkes tervezés miatt egymásra épülő rétegekből alakítják ki. A rétegek száma és feladata eltérhet az egyes rétegmodellekben, de minden réteg célja azonos: szolgáltatást nyújtani a felsőbb rétegek számára, miközben a felsőbb rétegeknek „nem kell tudnia”, hogy az adott réteg miként végzi a feladatát. A hálózati adatátvitel során a számítógépek közötti azonos rétegek cserélnek információt egymással. Azt a nyelvet, amelyen ezek a rétegek kommunikálnak, protokolloknak, a rétegek és protokollok halmazát pedig hálózati architektúrának nevezzük. Egy ilyen hierarchikus rendszerben felépített hálózat könnyen kezelhető és átlátható, az esetleges változások könnyen kivitelezhetőek. [1,20]
2.2.2 A TCP/IP referenciamodell rétegei A számítógépes hálózatok ősének tekintett ARPANET fejlődésekkor a különböző protokollok nehezen tudtak egymással együttműködni ezért egy új hivatkozási modell vált szükségessé. A cél egy flexibilis, jól bővíthető, megbízható hálózatot biztosító referenciamodell tervezése volt. A megvalósult irányelveket a kapott hálózati architektúra két legjelentősebb protokollja alapján TCP/IP hivatkozási modellnek nevezték. (Cerf és Khan 1974) [1]
9. ábra, ISO – OSI és a TCP/IP referenciamodell
13
2.3 TCP/IP – Gép a hálózathoz réteg A TCP/IP modell nem definiálja részletesen a réteg működését egyetlen kritériuma az IP csomagok által biztosított hálózathoz való megbízható csatlakozás megléte.[1]
2.3.1 Réz és optikai kábelek A cég hálózatának megbízható kommunikációjának alapját a fizikai eszközök összeköttetéseit szolgáló kábelek és a kábelezések alkotják. Sodrott érpár A sodrott érpár az egyik legrégebben alkalmazott, de mai napig leggyakrabban használt átviteli közeg az Ethernet hálózatokban. A kábel 8 db különböző színnel szigetelt rézhuzalból áll, amiket páronként különböző csavarási számmal (méterenként) összesodortak. A páronkénti csavarások oka az elektromos kölcsönhatások csökkentése így a zaj mértékének redukálása.[2] A vizsgált hálózatban Cat5e (Category 5 Enhanced) sodrott érpáras kábelt használnak.
10. ábra, Cat5e UTP kábel A Cat5e kábel gyakorlatilag abban különbözik a Cat5 kábeltől, hogy szigorúbb tesztelési és elvárási kritériumoknak kell megfelelnie. A kábel 100 Mhz sávszélességen, elméletileg mintegy 1 Gbps sebességre képes, de használata csak 100 Mbps-on javasolt a maximálisan 100 méterre elhelyezkedő két aktív végpont között. Kábelvégződtetés szerint két típusú kábelt különbözetünk meg, az egyenes kötésűt és a kereszt kötésűt. Ha a kábel mindkét végét azonos végződtetéssel, azaz azonos színsorrenddel kötjük be a csatlakozóba egyenes, ellenkező
14
esetben keresztkötésű kábelt kapunk. A végződtetések fajtáját az EIA/TIA 568A, és EIA/TIA 568B szabványokban definiálták.[22] A különböző sodrott érpáras kábelek fajták, mint az STP (Shielded Twisted Pair) vagy az FTP (Foiled Twisted pair) létrejötte, jól mutatja a réz alapú kábelek elektromos kölcsönhatásokra való érzékenységét. Optikai kábelek Az elektromos jelenségeknek kitett helyeken pl.: épületek között, a réz vezeték alapú adatátviteli rendszerek helyett gyakran optikai rendszereket használnak, mivel ezek érzéketlenek az elektromos kölcsönhatásokra.[3] „A fényvezető szálas adatátviteli rendszernek három fő komponense van: a fényforrás, az átviteli közeg és a fényérzékelő (detektor).”[3] Az ilyen rendszereknél az adatátviteli közeg az optikai kábel. Az optikai kábelnek három komponense van: külső műanyag köpeny, tükröző anyag és mag, melynek átmérője függvényében megkülönböztetünk monomódosú és multimódusú kábeleket.[3] A vizsgált hálózatban multimódusú optikai kábelt használnak az épületek közötti és az épület szintek közötti kábelezés megvalósítására.
2.3.2 Az informatikai épület kábelezése Az épületben 8 darab Cat5e iker csatlakozós kiépített végpont található, melyek elhelyezkedését az alábbi ábra mutatja.
11. ábra, Az informatikai épület kábelezése
15
Az ábrán a kék vonalak kábelterelő csatornákat szimbolizálják. Azt, hogy az épületben található eszközök hogyan kapcsolódnak egymáshoz illetve a külvilághoz az alábbi ábra mutatja.
12. ábra, Az informatikai épület összeköttetései
Az ábrán a kék vonalak EIA/TIA 568B szabvány szerinti egyenes, a zöldek kereszt kötésű Cat5e kábelt szimbolizálnak. A CISCO EPC 3925 kábelmodem által szolgáltatott internet a Szerver 1 Fast Ethernet portjának egyikére csatlakozik. A tűzfal kiszolgálóról további kábelek haladnak a Szerver 2 kiszolgálóhoz, és a Repatec switchez. A kapcsolóhoz csatlakozik továbbá az épületben található 8 kiépített végpontból jövő kábelek. A D – Link és Repatec kapcsoló összekötésére kereszt kötésű kábelt alkalmaznak, amely a DGS – 3312 SR switch DEM – 340T moduljába csatlakozik. A D – Link switch egyik SFP portjából kiinduló optikai kábel az épületből kilépve, a föld felett 3-4 méter magasságban húzódik a főépülethez.
2.2.3 Főépület - földszint kábelezése A szint kábelezését aszerint, hogy melyik rack szekrénybe vannak bekötve két részre lehet bontani, melyet az alábbi ábra szemléltet.
16
13. ábra, A főépület földszintjének kábelezése Az étkezőben található II. számú rack szekrény kábelrendezőjébe bekötött kábelek végén található kiépített csatlakozókat és a hozzájuk tartozó kábelvezető síneket kék színnel jelöltem. A szekrényhez így jelenleg 15 kiépített végpont csatlakozik. A négyes számú szobában található III. számú rack szekrényhez tartozó síneket és végpontokat narancs színnel jelöltem. Az itt meglévő végpontok száma 13. A szint eszközeinek csatlakozását az alábbi ábra szemlélteti.
14. ábra, A főépület földszintjének összeköttetései 17
Az ábrán a kék vonalak EIA/TIA 568B szabvány szerinti egyenes, a zöldek kereszt kötésű Cat5e kábelt, a pirosak optikai kábelt szimbolizálnak. Az informatikai épület felől érkező optikai kábel az II. számú rack szekrényben elhelyezkedő D – Link DES – 1250 G D-link Switch SFP portjának egyikére csatlakozik. A kapcsolóra a rack kábelrendezőjén keresztül 14 kliens, egy kiszolgáló és a D - Link DFL-700 Tűzfal WAN interfészére kapcsolódik. A tűzfalból kiindulva két kábel halad a négyes számú irodában található III. számú rack szekrényben található DES – 1250 G D-link kapcsolókhoz. A III. számú Rack szekrényben lévő felső D – Link kapcsolóhoz a kábelrendezőn keresztül 7, az alsóra 6 darab kiépített végpont kötődik.
2.3.4 Főépület - emelet kábelezése A szinten 9 darab Cat5e iker és 2 db Cat5e szimpla csatlakozós kiépített végpont található, melyek elhelyezkedését az alábbi ábra szemlélteti.
15. ábra, A főépület emeletének kábelezése A földszintről jövő optikai kábel a tárgyalóban elhelyezkedő IV. számú rack szekrényben elhelyezkedő DES – 1250 G D-link switch SFP portjába, a kiépített 20 végpont a 48 db Fast Ethernet interfészeik egyikébe van bekötve.
18
2.3.5 IEEE 802.3u Fast Ethernet A vizsgált hálózat LAN technológiája az IEEE (Institute of Electrical and Electronics Engineers) által 1995-ben elfogadott 802.3u szabványgyűjteményre épül, ami magában foglalja a hálózat fizikai és adatkapcsolati megvalósítására vonatkozó irányelveket. A szabvány az 802.3 Ethernet továbbfejlesztéseként jött létre azzal a céllal, hogy a már bevált Ethernet nagyobb hálózati sebességre legyen képes. A gyors Ethernet lényege, hogy a kommunikáció során a bitidőt 100 ns-ról 10 ns-ra csökkentették, így érve el a tízszeres sebességnövekedést.[4] A hálózati kommunikáció során elengedhetetlen az egyértelmű azonosítás, így minden csatlakoztatott eszköz minden interfészéhez egyedi MAC (Media Access Control) címet rendelnek. A MAC cím egy olyan egyedi 12 darab hexadecimális számsorozat, amit gyártó rendel az adott interfészhez. A cím első 6 számjegye a gyártót azonosítja és kiadását az IEEE felügyeli. A második 6 számjegy a gyártó által választott és adminisztrált egyedi azonosító. Ezt az egyedi azonosítót használják fel az eszközök a „keret”-ek küldéséhez. A keret egy 518 bit és 1518 Byte közötti Manchester kódolást használó bitsorozat, amely az Ethernet adatkapcsolati kommunikáció alapját képezi.[5] A hálózatban, amikor több hálózati eszköz csatlakozik egy megosztott adatátviteli közeghez, ütközési tartományt alkotnak. Az ütközési tartományban keletkezett ütközéseket a második rétegbeli eszközök, mint például a kapcsolók nem továbbítják, így a hálózatot ütközési tartományokra osztják. A kapcsolók a portjaikon érkezett keretek forrás MAC címe és az adott port alapján egy un. CAM (content-addressable memory) táblát épít fel, amit a kapott keretek továbbítására használ fel.[20] A hálózatban található kapcsolók a kereteket „tárol és továbbít” kapcsolási módszer szerint továbbítja, mely során a kapcsoló csak a teljes keret beérkezését, és CRC ellenőrzését követően továbbítja.[20] Az olyan keretek amelyeknek a cél MAC címében csupa 1-es bit szerepel, adatszórásos (Broadcast) üzenetek küldése során keletkeznek és a kapcsolók a forrásinterfészük kivételével minden portjukon továbbítják. A szórás üzenetek csak az adott hálózatban továbbítódnak így a hálózatok egyben szórási tartományokat is képeznek.[5]
19
2.4 TCP/IP – Hálózati réteg A hálózati réteget a TCP/IP modellben szokás internet (az „internet” szót itt általánosságban értelmezzük) rétegnek is nevezni. A réteg feladata, hogy az állomások csomagokat tudjanak küldeni bármelyik hálózatba illetve annak biztosítása, hogy csomagokat tudjanak továbbítani a célállomástól függetlenül. Ennek érdekében az internet réteg meghatározta az internet protokoll (IP protokoll) használatát. [1]
2.4.1 Internet Protokoll Az Internet Protokollt (IP, RFC-791) a csomagkapcsolt hálózati kommunikációra tervezték. Az információ továbbítása során az adatokat csomagoknak nevezzük.[21] A protokollban definiáltak szerint a hálózati kommunikációhoz minden aktív hálózati eszközhöz logikailag rendelni kell egy egyedi IP címet. Az IP címeknek ma jelenleg két használatos verziója van: IPv4 és IPv6[6]. Mivel a vizsgált hálózat IPv4 es címzést használ, ezért a továbbiakban csak ezt tárgyalom. Minden IPv4-es cím 32 bitből áll, amiket pontotokkal elválasztott decimális formában ábrázolunk. A címek egyértelműen kódolják a hálózatot és kliens egy adott interfészét, így a kiosztásukat és azt, hogy egyediségük ne sérüljön a ICANN (Internet Corporation for Assigned Nantes and Numbers) nonprofit szervezet biztosítja. Eredetileg a címeknek öt osztályát definálták A-tól E-ig.[6] A címek optimálisabb felhasználása miatt bevezették, hogy a cégek a nekik szánt hálózati címeket alhálózatokra bontsák. Az alhálózatra bontáshoz szükséges alhálózati maszk alkalmazásával meghatározható a cím hálózati azonosítója, így számos címtartomány definiálását tette lehetővé.[6] A különböző hálózatok vagy alhálózatok közötti forgalomirányítás a routerek feladata. A forgalomirányító a beérkezet csomag fejrészében szereplő cél IP címét, a saját forgalomirányító (routing) táblájához hasonlítva dönti el, hogy azt melyik interfészén keresztül továbbítja. Ezt a folyamatot forgalomirányításnak nevezzük.[6] A forgalomirányító tábla létrejöttének, azaz felépítésének több módja van:[20] statikus routing – explicite a karbantartó/rendszergazda által
20
dinamikus routing – a forgalomirányítók állítják elő különböző forgalomirányító protokollok segítségével, mint pl.: RIP, IGRP, OSPF[20]
2.4.2 DHCP A DHCP (Dynamic Host Configuration Protocol, RFC 1531) dinamikus címkiosztást tesz lehetővé. A címkiosztás során egy kiszolgáló a DHCP szerver osztja ki az IP címeket egy meghatározott tartományból, egy maghatározott időtartamra azoknak a klienseknek, akik azt kérik. A folyamat első lépéseként a kliens szórásos üzenetet küld a hálózatba (DHCPDISCOVER). A DHCP szerver a kapott kérésre megvizsgálja, hogy van e még kiosztható címe a rendelkezésre álló címtartományból. Ha van, a kliensnek felajánlja azt, amit DHCPOFFER üzenetként jelez. A kapott felajánlások közül a kliens választ egyet, és elküldi igényét a szervernek (DHCPREQUEST). A szerver a cím bejegyzéséről megerősítést küld a kliensnek (DHCPACK/DHCPNAK)[7,20].
2.4.2 A hálózat logikai címzése A vizsgált hálózatban logikailag 4 különböző hálózatot definiáltak. Az első hálózat az informatikai épületben található tűzfal szervertől, a főépületben található D – Link tűzfalig illetve a főépület emeletéig terjed. A hálózat azonosítója: 192.168.5.0 /24 A hálózat címtartománya: 192.168.5.0 - 192.168.5.255 Felhasználható címek száma: 254 Kiosztott címek száma: 36 A hálózathoz tartoznak az I., II., és IV számú rack szekrény kapcsolójához tartozó kliensek, és az alábbi eszközök: Tűzfal szerver LAN interfésze: 192.168.5.1 Bérszámfejtés szerver: 192.168.5.2 I. számú rack szekrény D – Link switch: 192.168.5.4 II. számú rack szekrény D – Link switch: 192.168.5.3 II. számú rack szekrény D - Link DFL – 700 tűzfal WAN interfésze: 192.168.5.5 IV. számú rack szekrény D – Link switch: 192.168.5.6
21
A hálózatban a címek dinamikus kiosztását a tűzfal szerver-en telepített DHCP szerver végzi a 192.168.5.100 - 192.168.5.254 tartományban. A második és a harmadik hálózatot a D - Link DFL – 700-as tűzfal hozza létre DMZ és LAN portjain, így gyakorlatilag útválasztó szerepet tölt be a három hálózat között. Az második hálózat a D - Link DFL – 700-as tűzfal-tól a II). számú rack szekrény felső kapcsolójához tartozó kliensekig terjed. A hálózat azonosítója: 192.168.6.0 /24 A hálózat címtartománya: 192.168.6.0 - 192.168.6.255 Felhasználható címek száma: 254 Kiosztott címek száma: 5 A hálózathoz tartoznak az 1, 2, és 3-as iroda kliensei és az alábbi eszközök: II. számú rack szekrény: D - Link DFL – 700 tűzfal DMZ interfésze: 192.168.6.1 III. számú rack szekrény: D – Link switch: 192.168.6.2 A hálózatban a címek dinamikus kiosztását a D - Link DFL – 700 tűzfal végzi a 192.168.6.100 - 192.168.6.254 tartományban. A harmadik hálózat a D - Link DFL – 700-as tűzfal-tól a III. számú rack szekrény alsó kapcsolójához tartozó kliensekig terjed. A hálózat azonosítója: 192.168.7.0 /24 A hálózat címtartománya: 192.168.7.0 - 192.168.7.255 Felhasználható címek száma: 254 Kiosztott címek száma: 5 A hálózathoz tartoznak az 4,5, és 6-as iroda kliensei és az alábbi eszközök: II. számú rack szekrény: D - Link DFL – 700 tűzfal LAN interfésze: 192.168.7.1 III. számú rack szekrény: D – Link switch: 192.168.7.2
22
A hálózatban a címek dinamikus kiosztását a D - Link DFL – 700 tűzfal végzi a 192.168.7.100 - 192.168.7.254 tartományban.
A negyedik és egyben utolsó hálózat a tűzfal szerver és a levelező-proxy kiszolgáló között helyezkedik el. A hálózat azonosítója: 192.168.8.0 /24 A hálózat címtartománya: 192.168.8.0 - 192.168.8.255 Felhasználható címek száma: 254 Kiosztott címek száma: 2 A hálózathoz tartozó eszközök: Tűzfal szerver DMZ interfésze: 192.168.8.1 Levelező – proxy kiszolgáló interfésze: 192.168.8.2 A negyedik hálózatban lévő eszközöket és hálózati eszközökben szereplő forgalomirányító táblákat statikusan hozták létre
23
2.5 TCP/IP Szállítási réteg A hálózati réteg felett elhelyezkedő szállítási réteg célja megegyezik az ISO-OSI modell ugyanolyan névvel ellátott rétegével, azaz cél és forrásállomás azonos rétegbeli entitásainak kommunikációját biztosítja. Két lényeges protokollja van: felhasználói datagram protokoll (User Datagram Protocol, UDP) és átvitel vezérlő protokoll (Transmission Control Protocol, TCP). A TCP megbízható, összeköttetés alapú protokoll így a forgalomszabályzáson túlmenően célja a hibamentes kapcsolat biztosítása az állomások között. A TCP-vel ellentétben az UDP nem megbízható, összeköttetés nélküli protokoll, így főképp akkor használják, amikor a gyors válasz sokkal fontosabb, mint a pontos.[1]
2.5.1 PAT Ahhoz, hogy a vizsgált hálózat részt vegyen az internet nyilvános hálózatán, helyi magán címeket nyilvánosra kell fordítani. A fordítás folyamatát hálózati cím és port fordításnak, röviden PAT-nak (Port Address Translation, RFC 4787) nevezzük.[12] Amikor a kliens a privát hálózatból üzenetet küld a nyilvános hálózatba, akkor a címfordítást végző átjáró az üzenet forrás IP-címét és port számát kicseréli a nyilvános IP-címre és egy 1024-nél nagyobb egyedi port-számra, majd feljegyzi azt az erre szolgáló táblában. Az üzenetre küldött válasz esetén az átjáró kicseréli forrás IP és port címét a táblázatban lévő IP cím és port szám párosra, és így juttatja el az üzenet kliensnek.[12] Mivel az átjáró csak akkor végez címfordítást, ha a kapcsolatot a belső hálózatról kezdeményezték, a PAT használata jelentős biztonsági tényező.[12] A vizsgált hálózatban címfordítást a Szerver 1 és D – Link DFL – 700 tűzfal egyaránt végez.
2.6 TCP/IP Alkalmazási réteg A szállítási réteg felett az alkalmazási réteg helyezkedik el. Mivel az ISO-OSI modellel ellentétben a TCP/IP modell elhagyta a viszony és megjelenítés rétegeket, ez a réteg az összes jellemző magasabb szintű protokollt tartalmazza.[1]
2.6.1 Szerver szolgáltatások A hálózatban az alábbi szerverszolgáltatások találhatóak meg:
24
Szerver 1, DFL – 700 tűzfal: DHCP Szerver 2, SMTP, POP3, IMAP, Tárgyorsítás (proxy) Szerver 3, SQL SMTP Az elektronikus levelek kézbesítésére az SMTP (Simple Mail Transfer Protocol, RFC 2821) protokoll használatos. A kézbesítés során a kliens megbízható TCP kapcsolatot létesít a kiszolgáló 25-ös portjával, majd az üzenet ASCII kódolással továbbítódik.[8]
POP3 A POP3 (Post Office Protocol Version 3, RFC 1939) egy egyszerű levél-hozzáférési protokoll. Működése során a felhasználó levelező programja TCP kapcsolatot létesít a kiszolgáló 110-es portjával, majd végrehajtja az alábbi fázisokat:[8] 1. Engedélyezés: felhasználó beléptetése 2. Tranzakciók: levelek letöltése és törlésre jelölése 3. Frissítés: levelek törlése[8]
IMAP Az IMAP (Internet Message Access Protocol, RFC 2060) használatával a felhasználó leveli nem töltődnek le számítógépére, hanem a szerveren maradnak. Az IMAP szerver rendszerint a 143-as portot figyeli és kérelem esetén itt létesít TCP kapcsolatot. Használatának előnye, hogy a felhasználók különböző kliensekről is elérhetik leveleiket.[8] Tárgyorsítás A proxy szerver köztes szerepet játszik az internet felé irányuló kérések folyamán. A hálózatban betöltött fő szerepe a fokozott biztonság és sebességnövekedés. Használatával a hálózat internet felé irányuló forgalmát lehet csökkenteni azzal hogy, a felhasználók HTTP kéréseire adott választ a szerver bizonyos ideig a gyorsító tárában tárolja, így a gyakran ismétlődő kéréseket maga válaszolja.[9]
25
3. A hálózat vizsgálata Napjainkban nincs olyan hálózat ami korlátlan ideig tökéletesen üzemelne. Egy hálózat rendelkezésre állását, elérhetőségét százalékos formában mérhetjük le így az elérhetőség növelése nagyobb rendelkezésre állást biztosít. A telefonos rendszereknél elvárt öt-9 es rendelkezésre állás például azt jelenti, hogy a rendszernek rendelkezésre állnia az idő 99,999%-ában, így maximum 0,001%-ban lehetünk szolgáltatás nélkül.[11] A vizsgált hálózatban elvárás a munkaidő alatti maximális rendelkezésre állás, kivéve persze a cég POP-ját ahol a munkaidőn túli rendelkezésre állás szintén kiemelten fontos. További elvárás a szerver szolgáltatások elérése és a folyamatos megfelelő sebességű internet szolgáltatás megléte. A hálózat tesztelését a fenti szempontok alapján végeztem el, így a következőket vizsgáltam meg: terheltség és átmenő forgalom az egyes alhálózatokra jutó késleltetés mértéke a hálózat megbízhatóságának és biztonsági szempontjait
3.2 A hálózat terheltsége 3.2.1 A tűzfalak terheltsége Tűzfal szerver A POP helyiségben elhelyezkedő tűzfalra telepített pfSense program 2.1 es változatában számos statisztikát láthatunk mind a hálózatra, mind a szerverre vonatkozóan. A vizsgálat időpontjában (átlagos munkanap 14 óra körül) a szerver processzorának terheltsége minimális (10% alatt), az 1024 Mb RAM kihasználtsága 15% volt, ami jónak mondható. A szerveren 12 napja karbantartást végeztek ezért pár órára leállították. A működése óta a portjaira vonatkozó adatokat az alábbi táblázat szemlélteti.
26
16. ábra, Tűzfal szerver interfészek Az ábrán látható, hogy a WAN porton, azaz a külvilág felől jövő forgalom nagyobb része bejövő, azaz a letöltések forgalma nagyobb mint a feltöltéseké. A letöltési fogalom nagy része HTTP, FTP és levelezés. A feltöltési forgalom egy részét a kívülről elérhető levelező szerver forgalma adja. A DMZ port azaz a levelező és proxy szerver forgalma jelentős mértékű. Mivel a WAN porton is nagy mértékű letöltési forgalom van, arra lehet következtetni, hogy a DMZ porton áthaladó adatok nagy részben HTTP lekérdezések és kisebb részt a belső hálózatból a levelező szerver irányába indítottak. A megadott időszakban a három interfész egyikén sem volt tapasztalható hibás, vagy ütközött keret. A tűzfalon átmenő teljes 24 órás forgalmat, 5 perces bontásban az alábbi ábra szemlélteti:
17. ábra, Tűzfal szerveren átmenő forgalom – 1 nap alatt 27
Az ábrán látható, hogy az adott napon több mint 16 Gbyte adatforgalom érkezett az interfészekre, melyekhez viszonyítva a blokkolt adatmennyiség elenyésző. Ugyanezen érték 1 heti nézetben, órákra lebontva a következőképpen alakul:
18. ábra, Tűzfal szerveren átmenő forgalom – 1 hét alatt Az ábrából megállapítható, hogy a tűzfalon hetente több mint 100 Gbyte adat haladt át. DFL – 700 tűzfal Az II. számú Rack szekrény aljában található tűzfal, fontos pontja a hálózatnak, mivel átjáróként funkcionál három különböző hálózatba és védi a gazdasági osztályt az illetéktelen hozzáférésektől. A tűzfal a vizsgálat időpontjában 109 aktív kapcsolat alatt mintegy 2%- os CPU terheltsége és 20/62 Mbyte-os memória használata nem számít nagynak.
19. ábra, DFL – 700 tűzfal terheltsége
28
3.1.2 A switchek terheltsége Az II. számú rack szekrényben lévő D – Link DES – 1250 G Switch 17 aktív Fast Ethernet portján összesen 11000991344, a két SFP optikai porton pedig 1634750750 darab keret haladt át, a 417 napos rendelkezésre állás óta. Azt tudjuk, hogy egy keret mérete 518 bit és 1518 byte közé esik, így a switchen kezelt keretek mérete mintegy 762 Gbyte és 17899 Gbyte közé kell, hogy essen. Ezt, ha elosztjuk a 417 napos rendelkezésre állási idővel, akkor 1,8 Gbyte és 43 Gbyte közötti értéket kapunk. Mivel kapott adatmennyiség a kapcsoló portjain be illetve kilépő kereteket is tartalmazza, és tudva, hogy a kapcsoló kereteket nem állít elő (kivéve adminisztráció, SNMP), az adott adatmennyiséget megfelezve hozzávetőlegesen megkapjuk a switchen átfolyó adatok méretét, ami átlagos napi 0,9 Gbyte és 21,5 Gbyte. Itt megjegyezném, hogy ezek a számok csak becsült értékek és csak a kapcsolón átfolyó adatforgalom mértékét szemléltetik, nem feltétlen felelnek meg a valóságnak, mivel egy adott keretet a switch több portján továbbíthat, és gyakran továbbít is, gondolva itt a broadcast üzenetekre. A további D – Link DES – 1250 G switchen elvégzett terheltségi számítások eredményét rack szekrények szerint az alábbi táblázatban foglaltam össze:
20. ábra, A kapcsolókon átfolyó adatmennyiség Az ábrán látható, hogy a legnagyobb adatforgalom az II. számú rack szekrényben megtalálható kapcsolón halad át, ami a hálózat felépítéséből egyértelműen adódik. Megfigyelhető továbbá, hogy a kevesebb forgalom ellenére a III. számú rack szekrényben található switcheken a vételi hibák (Rx Error) száma magasabb az II. számúnál. A vételi hibák gyakran utalnak kábelezési problémára.
29
3.2 Késleltetési idő A hálózatok tesztelésére leggyakrabban az ICMP (Internet Control Message Protocol) üzeneteket használják. Az ICMP üzenetek olyan IP csomagba ágyazott üzenetek, melyeknek számos típusa van. Ezek az típusok az ICMP üzenet type részében vannak megjelölve.[20] Rendszerint az operációs rendszerek Ping parancsával lehet ICMP ECHO_REQUEST üzeneteket küldeni a célállomás felé. Mivel ezek az ICMP üzenetek csak a hálózat adott időpillanatában lévő késleltetésről szolgáltatnak információt továbbiakban a tűzfal szerverben lévő statisztika eredményét mutatom be. A szerver pfSense programjában lévő, a szerver WAN portjára vonatkozó statisztikák eredményét az alábbi ábrát láthatjuk:
21. ábra, Tűzfal szerver WAN portján való késleltetés
Az ábrán a 24 óra alatti késleltetési idő látható 5 perces bontásban. A késleltetés mértéke viszonylag egyenletes, az átlagos késleltetési idő 1.33 ms ami jónak mondható.
Azt, hogy tűzfal szerver mekkora késleltetéssel éri el a II. számú rack szekrényben elhelyezkedő D – Link DFL 700-as tűzfalat az alábbi ábra szemlélteti. 30
22. ábra, Tűzfal szerver és a D – Link DFL – 700 tűzfal közötti késleltetés A késleltetés mértéke az egész nap folyamán 1 ms alatti, ami jónak mondható. Amint láthattuk az eredményeken a késeltetési időből a hálózat ezen része jól vizsgázott.
3.4 Biztonság és Megbízhatóság A megbízható adatátvitelhez nem elég a minőségi eszközök és összeköttetések kialakítása. A hálózatot a lehető legnagyobb mértékben hibatűrővé kell tenni. A hibatűrő kialakítást redundás elemekkel biztosított alternatív útvonalakkal, szünetmentes tápegységekkel, kettőzött illesztőkártyákkal stb. érhetjük el. Így az esetleges meghibásodás estén, a tartalék redundás elem átveheti a hibás elem szerepét a hálózatban.[13] A hálózati eszközök megbízhatóságának két mértéke van: MTBF (mean time between failure) meghibásodások között eltelt átlagos idő MTTR (mean time to repair) helyreállításig szükséges átlagos idő[13] Az MTFB egy gyártó által megadott, tesztelések sorozatának eredményeképpen létrejött érték. A D – Link DES – 1250 G switch-ek esetében ez az érték: 298917 óra, ami több 34 évet jelent. A hálózat nem tartalmaz redundás hálózati eszközöket, így egy egy esetleges meghibásodás a hálózat egyes részeinek elérhetetlenségeit eredményezheti. 31
Az elhelyezett szervereket viszont minden esetben szünetmentes tápegység védi, az elektromos hálózat ingadozásától, és az esetlegesen hirtelen bekövetkezett szolgáltatás kimaradástól. A cég POP-jában elhelyezkedő szervereket egy APC 2200, a főépület szervertermében található kiszolgálót egy FSP 1000 típusú szünetmentes tápegység védi. Az MTTR ideje nagyban függ a hálózat a hálózatot karbantartó cégtől, a tartalék eszközök rendelkezésre állásától. A cég informatikai épületében számos tartalék eszköz, mint pl.: hálózati kártyák, tápegységek, csatlakozók és kábelek vannak raktározva. Tovább növelheti a hiba helyreállításának idejét az, hogy a hálózat nem rendelkezik dokumentációval, sőt a rack szekrényben elhelyezkedő patch panelek – kábelek sincsenek címkézve. Egy esetleges kábelhiba esetén igen nagy gondot jelenthet a hiba okának felderítése. Biztonsági szempontok A
számítógépes
hálózatok
biztonságát
fizikai,
emberi
és
technikai
tényezők
veszélyeztethetik.[23] Dolgozatomnak nem célja az esetleges támadási formák részletes leírása, csak az alapvető biztonsági kockázatok feltárása. Fizikai biztonsági kockázatot jelent, hogy illetéktelenek viszonylag könnyen hozzáférhetnek a rack szerényekhez, mivel azok ajtaja rendszerint nyitva találhatóak, gyakran a kilógó kábelek miatt nem zárhatóak.
23. ábra, II. számú rack szekrény 32
További kockázati tényező, hogy a POP helyiségen nincs zárható ajtó. Ez azért lenne fontos, mert a kulcsfontosságú hálózati eszközökön kívül a levelező szerver is itt helyezkedik el amin bizalmas adatok lehetnek. Az II. számú rack szekrény elhelyezkedése sem ideális mivel a vizes blokk felett található, így egy esetleges csőtörés is komoly gondokat okozhat.
Az emberi kockázati tényező minimalizálására szigorú házirendet és jogosultsági köröket alkalmazhatunk. Alapvető irányelv, hogy a dolgozó csak akkora jogkörrel rendelkezzen, ami a munkája elvégzéséhez feltétlen szükséges. A hálózat több logikai hálózatra bontásával azaz VLAN-ok kialakításával lehetőség lenne tovább növelni a biztonságot. A hálózat technikai kockázati tényezői közé tartozik a hardveres és szoftveres hibák, biztonsági rések, vírusok, trójaik stb. A hálózat technikai biztonságában kiemelt szerepet töltenek be az alkalmazott tűzfalak és a klienseken és szervereken funkcionáló vírusirtó és tűzfal szoftverek helyes beállítása és naprakésze tartása. Vizsgálatom során egyes hálózati eszközökön szereplő firmware-ek azaz az eszközvezérlő programok nem voltak naprakészek. A firmware frissítések fontos tényezői a hálózat biztonságának és teljesítményének így frissítése erősen javasolt.
33
4. A hálózat továbbfejlesztésének tervezése 4.1 Dokumentáció készítése A hálózat jelenleg nem rendelkezik dokumentációval, ez a hálózat bővítése, módosítása vagy meghibásodása esetén gondot jelenthet és jelentősen megnövelheti a hálózat karbantartásának idejét. A hálózat dokumentálásába érdemes belevenni az alábbiakat: a hálózat fizikai alaprajzát, összeköttetéseit a felhasznált eszközök számát, elhelyezkedését, típusát, verziószámát, garancia idejét végpontok – rack szekrény szerinti kapcsolatát táblázatos formában a hálózat logikai címzését, a hálózati eszközök IP címeit a hálózati eszközökhöz adminisztrálásához szükséges belépési azonosítókat tartalék eszközök leltár listáját
4.2 Kábelmenedzsment Ajánlott lenne a hálózat végpontjainak egyértelmű azonosíthatóságot szolgáló egyedi felcímkézése pl.: A 4. irodában található aljzatokat így megcímezni: [104-1,104-2], ami egyértelműen utalna a szintre, irodára és az adott aljzatra. A rack szekrényekbe lévő patch panelekre szintén ezt a címzést lenne érdemes alkalmazni. Érdemes továbbá a rack szekrényekben lévő kábeleket kábelkötegelőkkel elrendezni, a nem használt összekötő kábeleket eltávolítani. A rendezett kábelezéssel elérhető, hogy a rack szekrényeket be lehessen csukni így csökkentve a biztonsági kockázatot. A switcheknél tapasztalható vételi hibák miatt az adott interfészekhez tartozó kábelek kábelteszterrel való kimérése, a hibás kábelek cseréje, csatlakozások javítása javasolt lehet.
34
4.3 A tervezett továbbfejlesztett hálózat Az új hálózati topológia kialakításánál fő szempontom a meglévő hálózati eszközpark, és kábelezés megtartásával, átrendezésével a jobb kihasználtság, kedvezőbb terhelésmegosztás és homogenitás elérése.
4.3.1 A tervezett hálózat fizikai felépítése Az új hálózati topológia megtervezése során a I. számú rack szekrényben található D – Link DGS – 3312 SR kapcsolót a II. Számú rack szekrénybe helyeztem át. A III. szekrényben található D - Link DES – 1250 G switchek egyikét pedig a I. számú rack szekrénybe, valamint az 1 es szervert közvetlen erre kötöttem. Az informatikai épület, és főépület földszintjének új tervezett hálózatát az alábbi ábrák szemléltetik.
24. ábra, A tervezett új hálózat 35
Az informatikai épületben a már említett eszköz cserén kívül 16 portos Repatec kapcsolóra a továbbiakban már nem volt szükség. A D - Link DES – 1250 G Switch Fast Ethernet interfészére a 8 db végpont, a Gigabit Ethernet interfészére a Szerver 1 csatlakozik. A kapcsoló SFP interfészén keresztül optikai kábellel csatlakozik a főépülethez. A főépületben a már meglévő kapcsoló mellé került a D – Link DGS – 3312 SR switch, amelyek között optikai összeköttetést alakítottam ki. Mivel az újonnan áthelyezet kapcsolónak 4 db SFP inetrfésze van erre lett áthelyezve az emeleti optikai is. További változtatás volt, hogy a Szerver 3 és II. számú rack szekrénybe lévő megmaradt kapcsoló a Layer 3-as switch Gigabit Ethernet interfészeire csatlakozik. A II. számú rack szekrényből áthelyezett kapcsoló szerepét a megmaradt kapcsoló vette át.
4.3.2 A tervezett hálózat logikai felépítése A tervezett hálózatban már nem 4 hanem 5 különböző hálózat lett definiálva. Az első hálózat az informatikai épületben található Szerver 1-től, a főépületben található D – Link Layer 3-as kapcsolóig terjed. A hálózat azonosítója: 192.168.0.0 /24 A hálózat címtartománya: 192.168.0.0 - 192.168.0.255 Felhasználható címek száma: 254 Kiosztott címek száma: 5 A hálózathoz tartoznak az I. és II. számú rack szekrény kapcsolójához tartozó kliensek, és az alábbi eszközök: Szerver 1 LAN interfésze: 192.168.0.1 I. számú rack szekrény D – Link switch: 192.168.0.2 II. számú rack szekrény Layer 3 kapcsoló: 192.168.0.3 A hálózatban a címek dinamikus kiosztását a D – Link kapcsoló végzi a 192.168.0.100 192.168.0.254 tartományban.
36
A második hálózat az II. számú rack szekrényben található Layer 3-as kapcsolótól, a szintén itt található Layer 2-es D – link kapcsolóig terjed. A hálózat azonosítója: 192.168.1.0 /24 A hálózat címtartománya: 192.168.1.0 - 192.168.1.255 Felhasználható címek száma: 254 Kiosztott címek száma: 16 A hálózathoz tartoznak az I. számú rack szekrény kapcsolói és a Layer 2-es switches tartozó kliensek: II. számú rack szekrény Layer 3 kapcsoló: 192.168.1.1 II. számú rack szekrény Layer 2 kapcsoló: 192.168.1.2 A hálózatban a címek dinamikus kiosztását a Layer 3 kapcsoló végzi a 192.168.1.100 192.168.1.254 tartományban. A harmadik hálózat az II. számú rack szekrényben található Layer 3-as kapcsolótól, III. számú rack szekrényhez tartozó kliensekig terjed, valamint szintén ehhez a hálózathoz lett rendelve a Szerver 3 is. A hálózat azonosítója: 192.168.2.0 /24 A hálózat címtartománya: 192.168.2.0 - 192.168.2.255 Felhasználható címek száma: 254 Kiosztott címek száma: 9 A hálózatban használt eszközök címei: II. számú rack szekrény Layer 3 kapcsoló: 192.168.2.1 III. számú rack szekrény Layer 2 kapcsoló: 192.168.2.2 Szerver 3: 192.168.2.3 A hálózatban a címek dinamikus kiosztását a Layer 3 kapcsoló végzi a 192.168.2.100 192.168.2.254 tartományban.
37
Amint látszik ezzel a logikai felépítéssel az 1 – 5-ig terjedő irodák egy hálózatra kerültek. Ha le szeretnénk választani 1-3 és 4-5 irodákra, ezt úgy tehetjük meg, hogy a III. számú rack szekrény ás az II. számú rack szekrény között megmaradt kábelt is rákötjük a III. szekrényben található kapcsolókra, így létrehozva egy újabb hálózatot. A két hálózat teljes szeparálását pedig a III. számú rack szekrényben lévő kapcsolón két külön VLAN definiálásával lehet elérni. A negyedik hálózat az II. számú rack szekrényben található Layer 3-as kapcsolótól, IV. számú emeleti rack szekrényhez tartozó kliensekig terjed. A hálózat azonosítója: 192.168.3.0 /24 A hálózat címtartománya: 192.168.3.0 - 192.168.3.255 Felhasználható címek száma: 254 Kiosztott címek száma: 11 A hálózatban használt eszközök címei: II. számú rack szekrény Layer 3 kapcsoló: 192.168.3.1 IV. számú rack szekrény Layer 2 kapcsoló: 192.168.3.2 A hálózatban a címek dinamikus kiosztását a Layer 3 kapcsoló végzi a 192.168.3.100 192.168.3.254 tartományban. A ötödik és egyben utolsó hálózat megegyezik a vizsgált hálózat negyedik hálózatával. A D - Link DFL – 700 Tűzfal a bérszámfejtés hálózatát volt hivatott védeni. Az új kialakításban a Layer 3 as switch funkciói között szereplő Multi-layer Access Control List (ACL) látja el ezt a feladatot.
38
4.3.1 A tervezett hálózat előnyei - hátrányai A tervezett hálózatot a már meglévőhöz hasonlítva látható, hogy addig minden az internet vagy a levelező szerver irányába tartó fogalom most már nem halad át 16 portos Repatec kapcsolón, hanem közvetlen éri el Szerver 1-et. Ennek előnye, hogy a Repatec kapcsoló eltávolításával a hálózat egyszerűsödött, az esetleges meghibásodható eszközök száma csökkent. Továbbá javasolt a Szerver 1 Fast Ethernet interfészeinek Gigabites-re cserélése, hogy a szerver gyorsabb kapcsolatot tudjon létesíteni a D – Link kapcsolóval. A főépület topológiájának megváltoztatásával a szórási tartományok csökkentek, jobban skálázható és menedzselhetővé vált. A logikailag kialakított több hálózat megnövelt biztonságot ad a részlegeknek, valamint VLAN-ok használatával azok tovább szeparálhatóvá váltak. A tervezett hálózat hátránya, hogy a központi Layer 3-as kapcsoló esetleges meghibásodása esetén a főépület hálózati és az informatikai épület között a kapcsolat megszűnik, ezért a jövőben redundás útvonalak kidolgozása válhat szükségessé.
39
5. Összefoglalás Szakdolgozatomban feladatom a PIREHAB Nonprofit Kft. kommunikációs hálózatának elemzése, vizsgálata, és továbbfejlesztésének tervezése volt. A cég hálózatát a TCP/IP referenciamodell segítségével elemeztem. A munkám során a referenciamodell egyes rétegit sorra véve tártam fel a hálózatot, és nem teljes részletességgel ugyan, de tárgyaltam a hálózatban előforduló fogalmak egy részét. Megvizsgáltam a cég épületeinek elrendezését, hálózati eszközparkját, majd feltérképeztem a kiépített hálózat kábelezését. Dokumentáltam a hálózat logikai struktúráját, az eszközök kapcsolatát. Elemeztem a hálózat felépítését, terheltségét, késleltetés idejét, a megbízhatóság és a biztonság koncepcióit. A vizsgálat során a dokumentáció és a kábelmenedzsment hiányával szembesültem. Úgy találtam, hogy a cégnél alkalmazott D – Link eszközök a hálózat méreteit tekintve megállják helyüket, viszont elrendezésük nem logikus, az eszközök tudásukhoz képest nincsenek kihasználva. A cég meglévő eszközparkját és kábelezését felhasználva létrehoztam egy új hálózati tervet, amely, nagyobb áttekinthetőséget, jobb skálázhatóságot, menedzselhetőséget, homogenitást adhat a rendszernek. A dolgozat leadásának idejében a tervezett hálózat még nem valósult meg, vezetői engedélyeztetés alatt áll.
40
6. Felhasznált irodalom 6.1 Könyvek, cikkek, tanulmányok Andrew S. Tanenbaum: Számítógép-hálózatok, Budapest: Panem, 2004. [1] 1. Fejezet: Hivatkozási modellek [2] 2. Fejezet: Sodrott érpár [3] 2. Fejezet: Fényvezető szálak [4] 4. Fejezet: Gyors Ethernet [5] 4. Fejezet: Az Ethernet MAC-protokollja [6] 5. Fejezet: Az IP-protokoll, IP-címek, Alhálózatok [7] 5. Fejezet: RARP, BOOTP és DHCP [8] 7. Fejezet: Üzenettovábbítás, Végső kézbesítés [9] 7. Fejezet: Tárgyorsítás
6.2 Internetes források Cisco CCNA Discovery 4.1 (Cisco Network Academy) [10] 3.2.2 Fizikai környezet [11] 3.3.6 Tervezési megfontolások [12] 4.2.4 Port alapú hálózati címfordítás (PAT) [13] 7.1.2 Megbízhatóság és elérhetőség http://www.cisco.com/web/learning/netacad/index.html Felhasználás dátuma: 2013.08.10.
41
[14] PIREHAB Nonprofit Kft honlapja: http://ww.pirehab.hu Felhasználás dátuma: 2013.09.05 [15] D - Link DGS – 3312 SR switch manual: http://www.dlink.com//media/Business_Products/DGS/DGS%203312SR/Manual/DGS3312SR_Manual_EN _UK.pdf Felhasználás dátuma: 2013.10.5 [16] DEM-340T modul: http://www.dlink.com/hu/hu/support/product/dem-340t Felhasználás dátuma: 2013.10.5 [17] Repatec 16 – P nway switch: http://www.repotec.com/products/UnmanagedSwitch/FastEthernetSwitch/RP_SW16P _SW24P/RP_SW16P_SW24P_2.asp Felhasználás dátuma: 2013.10.10 [18] D - Link DES – 1250 G switch manual: http://www.dlink.com//media/Business_Products/DES/DES%201250G/Manual/DES%201252_Manual_EN_ UK.pdf Felhasználás dátuma: 2013.10.11 [19] DES D - Link DFL - 700 tűzfal manual: http://www.dlinkla.com/sites/default/files/archivos/DFL-700/MANUAL_DFL-700.pdf Felhasználás dátuma: 2013.10.20
42
[20] Almási, Béla: Számítógép-hálózatok oktatási segédlet, Debreceni Egyetem, Informatikai Kar: 2011 http://www.inf.unideb.hu/kmitt/konvkmitt/szamitogephalozatok_oktatasi_segedlet/book.xml.html Felhasználás dátuma: 2013.08.09 [21] Internet Protocol (IP, RFC-791): http://www.ietf.org/rfc/rfc791.txt Felhasználás dátuma: 2013.11.26 [22] Twisted pair http://en.wikipedia.org/wiki/Twisted_pair Felhasználás dátuma: 2013.10.20 [23] Folláth János, Huszti Andrea és Pethő Attila: Informatikai biztonság és kriptográfia http://www.inf.unideb.hu/~pethoe/Jegyzet_PA_20110508.pdf, 2010 Felhasználás dátuma: 2013.10.21
6.3 Képek, ábrák forrása 1. ábra, A telephelyen található épületek: saját készítés 2. ábra, Az informatikai épület: saját készítés 3. ábra, D-link DGS – 3312 SR switch: http://www.dlink.com.au/products/?pid=310 Felhasználás dátuma: 2013.10.23 4. ábra, DEM – 340T modul
43
http://www.dlink.com/hu/hu/support/product/dem-340t Felhasználás dátuma: 2013.10.23 5. ábra, A főépület földszintje: saját készítés 6. ábra, D - link DES – 1250 G kapcsoló http://www.dlink.com//media/Business_Products/DES/DES%201250G/Manual/DES%201252_Manual_EN_ UK.pdf Felhasználás dátuma: 2013.11.07 7. ábra, DES D - Link DFL - 700 tűzfal http://www.dlinkla.com/sites/default/files/archivos/DFL-700/MANUAL_DFL-700.pdf Felhasználás dátuma: 2013.11.07 8. ábra, A főépület emelete: saját készítés 9. ábra, Almási, Béla: Számítógép-hálózatok oktatási segédlet, Debreceni Egyetem, Informatikai Kar: 2011 http://www.inf.unideb.hu/kmitt/konvkmitt/szamitogephalozatok_oktatasi_segedlet/book.xml.html Felhasználás dátuma: 2013.05.10 10. ábra, Cat5e UTP kábel http://www.belkin.com/us/p/P-R7L504-P/ Felhasználás dátuma: 2013.11.07 11. ábra, Az informatikai épület kábelezése: saját készítés 12. ábra, Az informatikai épület összeköttetései: saját készítés 13. ábra, A főépület földszintjének kábelezése: saját készítés
44
14. ábra, A főépület földszintjének összeköttetései: saját készítés 15. ábra, A főépület emeletének kábelezése: saját készítés 16. ábra, Tűzfal szerver interfészek: saját készítés 17. ábra, Tűzfal szerveren átmenő forgalom 1 nap alatt: saját készítés 18. ábra, Tűzfal szerveren átmenő forgalom 1 hét alatt: saját készítés 19. ábra, DFL – 700 aktív tűzfal terheltsége: saját készítés 20. ábra, A kapcsolókon átfolyó adatmennyiség: saját készítés 21. ábra, Tűzfal szerver WAN portján való késleltetés: saját készítés 22. ábra, Tűzfal szerver és a D – Link DFL – 700 tűzfal közötti késleltetés: saját készítés 23. ábra, II. számú rack szekrény: saját készítés 24. ábra, A tervezett új hálózat: saját készítés
45
