Návrh lokální sítě pro výrobní podnik

Mendelova zemědělská a lesnická univerzita v Brně Provozně ekonomická fakulta

Návrh lokální sítě pro výrobní podnik Bakalářská práce

Vedoucí práce: Ing. Ludmila Kunderová

Jana Večeřová

Brno 2006

volna strana pro zadani prace

Prohlašuji, že jsem tuto bakalářskou práci vyřešila samostatně s použitím literatury, kterou uvádím v seznamu.

V Brně 25. 5. 2006

....................................................

Moje poděkování patří ing. Ludmile Kunderové, která se ujala vedení mé bakalářské práce. Děkuji především za její odbornou pomoc při zpracování, za její cenné a podnětné rady.

Abstract Večeřová, J. Local network s proposal for manufacturing concern. Dissertation. Brno, 2006. The Dissertation deals with the modernization s proposal of infrastructure and current local computer network equipment of a manufacturing concern. First section explains generally ideas about computer networks.The main part first describes current computer network s situation and evaluates this situation.Subsequently it is proposed a new optimal solution of computer networks use and there are described all expenses which have arisen during the building-up.Finally are described contributions for company which were caused by these changes.

Abstrakt Večeřová, J. Návrh lokální sítě pro výrobní podnik. Bakalářská práce. Brno, 2006. Práce se zabývá návrhem modernizace infrastruktury a vybavení stávající lokální počítačové sítě výrobního podniku. V první části jsou vysvětleny obecně pojmy počítačových sítí. Ve vlastní práci je nejdříve popsán stávající stav počítačové sítě a zhodnocení jejího stávajícího stavu. V následující části je navrženo nové optimálnější řešení využítí počítačové sítě a popsány všechny náklady, které při výstavbě vznikly. V závěru je popsán přínos změn pro firmu.

5

OBSAH

Obsah 1 Úvod a cíl práce 1.1 Úvod . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.2 Cíl práce . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

8 8 8

2 Metodika práce

9

3 Základní pojmy 3.1 Rozdělení počítačových sítí . . . . . . . 3.1.1 Rozdělení podle rozsahu . . . . 3.1.2 Topologie sítí . . . . . . . . . . 3.2 Síťové architektury . . . . . . . . . . . 3.2.1 Referenční model ISO-OSI . . . 3.2.2 Protokol TCP/IP . . . . . . . . 3.3 Bezpečnost počítačových sítí . . . . . . 3.4 Přenosové technologie LAN . . . . . . 3.4.1 Infrastruktura LAN . . . . . . 3.4.2 Aktivní prvky sítě . . . . . . . 3.4.3 Připojení do Internetu pro malé 3.5 Síťový server menší lokální sítě . . . . . 3.5.1 Operační systém pro server . . 3.5.2 Systémové síťové služby . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . sítě . . . . . . . . . .

4 Vlastní práce 4.1 Představení společnosti . . . . . . . . . . . 4.2 Popis stávajícího stavu sítě . . . . . . . . . 4.2.1 Infrastruktura . . . . . . . . . . . . 4.2.2 Hardware . . . . . . . . . . . . . . 4.2.3 Software . . . . . . . . . . . . . . . 4.2.4 Připojení do Internetu . . . . . . . 4.3 Hodnocení účelnosti . . . . . . . . . . . . . 4.4 Návrh změn . . . . . . . . . . . . . . . . . 4.4.1 Infrastruktura . . . . . . . . . . . . 4.4.2 Hardware . . . . . . . . . . . . . . 4.4.3 Software . . . . . . . . . . . . . . . 4.4.4 Náklady na vybudování lokální sítě

. . . . . . . . . . . .

. . . . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . . . .

10 10 10 10 12 12 14 17 17 18 19 20 22 22 23

. . . . . . . . . . . .

27 27 27 27 28 28 30 31 32 32 33 35 37

5 Zhodnocení a závěr 39 5.1 Zhodnocení . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39 5.2 Závěr . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39 6 Literatura

40

6

OBSAH

Přílohy

42

A Původní stav lokální sítě

43

B Nové řešení lokální sítě

44

C Kongigurační soubor DHCP serveru

45

7

1

1 1.1

ÚVOD A CÍL PRÁCE

Úvod a cíl práce Úvod

Lokální počítačové sítě jsou budovány na pracovištích všech velikostí a v poslední době i v domácím prostředí. Svým uživatelům přináší mnoho výhod, mezi které patří sdílení periférií (tiskáren) a hardwarových prostředků počítače, síťové instalace a provoz aplikací a v neposlední řadě také společný přístup k Internetu. Proto jejich oblíbenost stále stoupá. Když v roce 1957 byla založena ve Spojených Státech společnost ARPA (Advanced Research Projects Agency) zabývající se speciálním výzkumem, nikdo netušil jakého rozmachu počítače dosáhnou. Prvních pět uzlů jejich sponzorované počítačové sítě ARPANET byly instalovány v roce 1969 a jen tři roky poté jich už bylo kolem 37. Během 70-tých let se síť ARPANET stále více rozrůstala a její decentralizovaná struktura tuto expanzi jen usnadňovala. Zárodkem a současně i páteřní sítí celé soustavy sítí vznikajícího Internetu se stala postupně sít ARPANET, která byla převáděna na protokoly TCP/IP a začala k sobě připojovat další vědeckovýzkumné sítě. První lokální síť jako taková byla vytvořena autory z firmy Xerox ve středisku Palo Alto Research Center (PARC). Od té doby jde jejich vývoj stále kupředu. Od metalických kabelů a rychlostí přenosu několika kbit/s k optickým kabelům s Gbit/s přenosovou rychlostí. V průběhu vývoje počítačových sítí vznikla řada nejrůznějších typů sítí a technologií. Pro malé a střední podniky se ovšem stala nejrozšířenější síť typu Ethernet, která je z hlediska instalace nejjednodušší. Téma mé bakalářské práce jsem si vybrala na základě pracovního působení ve výrobním podniku, zabývající se výrobou svíček, kde níže popsaná lokální síť existuje. Firma si přála vhodným způsobem síť zmodernizovat a lépe jí tak využívat ke svým vnitřním i obchodním účelům.

1.2

Cíl práce

Cílem mé bakalářské práce je navržení změn pro lokální počítačovou síť firmy patřící do kategorie malé a středně velké podniky, zabývající se výrobou svíček. Firemní síť již pár let existuje, ale v dnešní době už nevyhovuje stávajícím požadavkům, jako v minulosti. Proto se vedení firmy rozhodlo, že bude potřeba provést změny, které by vyřešily nalezené problémy. Od vynaložených nákladů na modernizaci a zabezpečení se očekává, že se tím zvýší efektivita práce a zlepší se komunikace mezi zaměstnanci a vedením firmy.

8

2

2

METODIKA PRÁCE

Metodika práce

V první kapitole bude zaměřena na teoretickou část počítačových sítí. Budou popsány síťové architektury, přenosové technologie. V následující kapitole se seznámíme se společností, bude popsán stávající stav jejich lokální počítačové sítě z hardwarového a softwarového pohledu. Také zde bude zhodnocení účelnosti a návrh nového řešení. V závěru kapitoly se budu zabývat kalkulací všech nákladů, které vzniknou při realizaci nových řešení. Na závěr bude zhodnocen přínos, které nové řešení přináší pro firemní lokální síť a obecný závěr.

9

3

3 3.1

ZÁKLADNÍ POJMY

Základní pojmy Rozdělení počítačových sítí

Rozdělit počítačové sítě můžeme podle mnoha hledisek, např. podle přenosové rychlosti, rozsahu, typu uzlů a jejich vztahy mezi nimi, topologií, architektury a možnosti přístupu. 3.1.1

Rozdělení podle rozsahu

LAN - Local Area Network Počítačová síť rozprostírající se na omezeném území (např. místnost, budova, areál). Pro vzájemné propojení jednotlivých počítačů se zpravidla využívá pevné spojení s vysokou rychlostí přenos dat a stále propojení přenosovým médiem. MAN - Metropolitan Area Network Předěl mezi LAN a WAN. Sítě většího rozsahu pokrývající např. území velkého podniku nebo města nebo sítě používající určitou konkrétní technologii. WAN - Wide Area Network Síť tvořena menším či větším počtem LAN, které mohou vystupovat i jako uzly WAN. Používají se často ve velmi heterogenním prostředí(různý HW, různé operační systémy, různé druhy propojení sítí). Zásadní rozdílem WAN oproti LAN je skutečnost, že spojení mezi jednotlivými uzly sítě nebývá trvalé, ale naváže se pouze v případě potřeby komunikace mezi uzly. Po ukončení komunikace se spojení opět zruší. Získání okamžité informace z libovolného místa světa je největším přínosem WAN. Lze je vnitřně strukturovat jako: • Páteřní sítě – propojují několik málo sítí, jsou rychlé a spolehlivé a překonávají tzv. první míli. • Sítě střední míle – tvoří přechod mezi páteřní sítí a přístupovou sítí. • Přístupové sítě – propojují body, kde končí vlastní síť poskytovatele a místem, kde se nachází zákazník. Budují se nejhůře. 3.1.2

Topologie sítí

Topologie sítě charakterizuje způsob, jakým jsou mezi sebou propojeny jednotlivé prvky. Přihlíží se k ní hlavně ve fázi zavádění sítě a ve vlastním provozu se již příliš neuplatňují. Rozlišujeme topologii: • fyzickou: je dána způsobem fyzického propojení všech komponentů sítě a definuje kabelové rozložení sítě, • logickou: nemusí se vždy shodovat s fyzickou topologii, definuje logické rozložení sítě a také specifikuje, jakým způsobem mezi sebou komunikují prvky sítě a způsob předávání informací.

10

3.1

Rozdělení počítačových sítí

Topologie sítě je plně určena použitým síťovým hardwarem. V současnosti jsou běžné tyto typy: Sběrnicová topologie – Bus Základem je společná sběrnice, na níž jsou připojeny jednotlivé uzly sítě. Vysílaná informace je předána sběrnici, kde postupuje směrem ke všem uzlům až posledního prvku sběrnice, tzv. terminátoru. Uzel se o informaci přihlásí, jedině když je jejím adresátem. Tuto technologii používá Ethernet realizovaný koaxiálním kabelem. Tato topologie má méně výhod a to je cena řešení a snadnost připojení nového zařízení do sítě a pak už jen samé nevýhody a to například: omezenost uzlů a vzdálenosti mezi nimi, striktní sdílení pásma, složitá administrace, i malá kolize může způsobit velké problémy.

Obrázek 1: Topologie sběrnice

Kruhová topologie – Ring Vysílací část jednoho uzlu je zapojena do přijímací části uzlu následujícího. Informace jsou v sítích s touto strukturou přenášeny od zdroje ve zvoleném směru přes jednotlivé zuly sítě až k adresátovi. V této topologii je možné v jedné chvíli přenášet více informací, avšak jen v případě odlišných tras jejich přenosu. Technologie, které jí využívají jsou Token Ring a FDDI.

Obrázek 2: Topologie kruh

Hvězdicová topologie – Star V současnosti nejvíce používaný trend vytváření počítačových sítí. Spoje od koncových připojených uzlů jsou vedeny do centrální uzlu a komunikuje jen s ním. Centrální uzel buď informace směruje k adresátovi nebo je předává všem dalším uzlům. Popsaná topologie je vhodná nejen pro sítě Ethernet, Token Ring, FDDI, ATM, ale i pro telefonní ústředny. Největší výhodou je snadné připojení nového zařízení, příznivé ceny aktivních prvků a malá poruchovost. Nevýhodou jsou větší náklady na vybudování sítě a také fakt, že dochází ke kolizím.

11

3.2

Síťové architektury

Obrázek 3: Topologie hvězda

Stromová topologie – Tree vzniká propojením několika hvězd, samozřejmě při zachování jednoznačné topologie

Obrázek 4: Topologie strom

Hvězdicově kruhová topologie Kombinací struktury typu hvězda a kruh vznikne hvězdicový kruh. Jednotlivé uzly sítě jsou hvězdicově připojeny k uzlům vyššího řádu (tzv. koncentrátory) – ty uzavírají kruh. Topologie je méně náchylná k poruchám a nedochází ke kolizím, ale vznikají větší náklady na zasíťování a taky obsahuje drahé aktivní prvky sítě.

3.2

Síťové architektury

Síťová architektura je tedy popsána systémem vrstev, služeb, funkc a protokolů. Toto pojetí tedy klade rovnítko mezi síťovou architekturou a vrstvovou architekturou, jinými slovy, jiná než vrstvová architektura se již u distribuovaných systémů a sítí nepředpokládá. Síťová (protokolová) architektura neboli hierarchická soustava protokolů je realizována nejčastěji programově a tvoří tak příslušné síťové vybavení. Síťová architektura je tedy rovněž stukturou síťového vybavení. (Pužmanová, 1998) 3.2.1

Referenční model ISO-OSI

Úkolem každé vrstvy je poskytovat určité služby vrstvě bezprostředně vyšší a to na základě využití služeb vrstvy bezprostředně nižší. Jen nejvyšší vrstva je poskytuje přímo uživateli. V prostředí sítě je přirozené, že vrstvy jednotlivých uzlů spolupracují při plnění svých úkolů s vrstvami jiných uzlů. Tato spolupráce se ale vždy odehrává na úrovni stejnolehlých vrstev. Nikdy by naopak neměly spolupracovat vrstvy na 12

3.2

Síťové architektury

nestejných úrovních. Důležitý je také konkrétní způsob vzájemné komunikace vrstev na stejných úrovních. Pravidla této komunikace a vzájemné interakce obou stran definuje tzv. protokol. Protokoly přitom přísluší jednotlivým vrstvám – různé vrstvy stejných uzlů tedy používají ke vzájemné komunikaci různé uzly. Nebo obráceně, každý protokol vždy „patříÿ do určité vrstvy. Fyzická vrstva (Physical Layer) Jejím úkolem je „fyzickýÿ přenos jednotlivých bitů. Své bezprostředně vyšší vrstvě nabízí dvě služby, příjem bitu a odeslání bitu. Fyzická vrstva je tvořena hardwarem, kterým je realizováno spojení a zabývá se znázorněním jednotlivých bitu na přenosovém médiu. Zda jsou modulovány či kódovány, kolik kontaktů a jaký tvar mají konektory kabelů, jak je řešena synchronizace a časování. Na druhou stranu se nikterak neohlíží na interpretaci bitů, který přenáší. S každým z nich zachází stejně. Linková vrstva (Data Link Layer) Nazývaná také spojovaná vrstva či vrstva datového spoje je první vrstvou, ve které už probíhá přenos dat. Jednotlivé bity jsou baleny do větších celků, tzv. „linkových rámcůÿ a vyšší vrstvy do nich následně přidávají své data. K své činnosti využívá služeb fyzické vrstvy, která se nijak nerozlišuje jednotlivé přenášené bity, je na linkové vrstvě, aby dokázala správně rozpoznat, které bity představují řídící informace (signalizující začátek a konec rámce) a které bity nesou vlastní informace. Tyto rámce přenáší svým přímým sousedům a o existenci dalších uzlů v síti nic neví. Tato vrstva je rozdělena na dvě podvrstvy: • podvrstva řízení linkového spoje (LLC – Logical Link Control) – vyšší vrstva, která se stará prakticky o to samé co původní linková vrstva (framing, spolehlivost – detekce, potvrzování, řízení toku), • podvrstva řízení přístupu ke sdílenému médiu (MAC – Media Access Control) – nižší vrstva, která implementuje přístupovou metodu. Síťová vrstva (Network Layer) Přenáší data nejen mezi dvěma uzly, které jsou přímo spojené, ale zajišťuje přenášeným rámcům, které se v této vrstvě nazývají packety, volbu vhodné trasy resp. cesty (route) přes mezilehlé uzly, a také postupné předávání jednotlivých paketů po této trase od původního odesilatele až k cílovému příjemci. Síťové packety se skládají ze záhlaví obsahující směrovací informace a datové pole, ve kterém jsou uloženy samotné informace. Síťová vrstva zajišťuje, že transportní vrstva, která leží bezprostředně nad ní, připadá, že pracuje s jedinou rozsáhlou sítí a také obsahuje funkce, které se snaží překlenout rozdílné vlastnosti technologií přenosových sítí. Metod jak packety vhodně směrovat existuje celá řada: • Adaptivní a neadaptivní směrování • Záplavové algoritmy • Centralizované směrování • Izolované směrování • Distribuované směrování • Zpětné určení 13

3.2

Síťové architektury

Transportní vrstva (Transport Layer) Je přizpůsobovací vrstvou mezi třemi spodními vrstvami určenými pro přenos dat a třemi nejvyššími vrstvami na podporu aplikací. Transportní vrstva vychází ze stínu skutečné topologie a vytváří dojem, že každý uzel v sítí má přímé spojení se kterýmkoliv jiným uzlem v síti a díky tomu mu se zde stačí zabývat pouze komunikací koncových účastníků (tzv. end-to-end komunikace). Služby, které vrstva poskytuje jsou dvě: • Spojované (connection-oriented) – navazují kvalitní a spolehlivé spojení na začátku přenosu a ke své činnosti tuto službu požadují vyšší tři vrstvy. • Nespojované (connectionless) – nenavazuje spojení na začátku přenosu a využívají jí především nižší tři vrstvy. Relační vrstva (Session Layer) Úkolem této vrstvy je navazování, udržování a rušení relací (sessions) mezi koncovými uzly v síti. Relační vrstva si na nižší vrstvě vyžádá vytvoření komunikačního kanálu a prostřednictvím této relace probíhá komunikace mezi účastníky na principu mechanismu předávání pověření k přenosu data (data token) – vysílat smí vždy ten uzel, který oprávnění vlastní. Tento způsob vedení dialogu se nazývá poloduplexní. Všechna spojení v referenčním modelu ISO/OSI jsou obecně plně duplexní a umožňují tedy přenos oběma směry. Prezentační vrstva (Prezentation Layer) Jednotlivé uzly v sítí mohou používat různou vnitřní reprezentaci dat a proto je na prezentační vrstvě, aby přenášená data dorazila ke svému koncovému příjemci přesně v té podobě, v jaké byla vypsána. V rámci této vrstvy bývá také realizována případná komprese/dekomprese přenášených dat, eventuálně i jejich šifrování/dešifrování a také jejich zabezpečení. Aplikační vrstva (Application Layer) Je určena k poskytováním přístupu do sítě různým aplikacím, tedy aby fungovala jako okno na různých sítových uzlech, které si chtějí vzájemně vyměňovat informace a na druhé straně také slouží koncovým uživatelům k využívaní nejrůznějších sítových aplikací, protože je to poslední vrstva referenčního modelu. 3.2.2

Protokol TCP/IP

Nejrozšířenější síťový protokol, vytvořený v USA na žádost ministerstva vnitra. Požavek bylo zrekonstruovat komunikační síť, jež by zabezpečovala spojení i v době jaderné války. Tak vznikla vojenská síť ARPANET, která se neustále rozrůstala, až se stala dnešní páteřní sítí Internetu. Úplné počátky vzniku používání tohoto, dnes již nejrozšířenějšího, síťového protokolu TCP/IP se nacházejí v době, kdy žádostí ministerstva obrany v USA byl vznesen požadavek, na vytvoření komunikační sítě, jenž by zabezpečovala spojení i v případě jaderné války, přesněji řečeno ještě o několik let zpět. Tak vlastně později vznikla síť ARPANET. Tato síť se nazývala podle pentagonské agentury ARPA 14

3.2

Síťové architektury

(Advanced Research Projects Agency). Roku 1969 byly instalovány první uzly této sítě a tři roky později již tato síť obsahovala na 50 uzlů. Ze sítě ARPANET se později stala dnešní páteřní síť Internetu, který původně sloužil ke sdílení prostředků výpočetní techniky. Architektura TCP/IP je sada protokolů přiřazených do různých funkčních vrstev. V dnešní době se stala standartem „de factoÿ díky implementaci do systému UNIX někdy kolem 80. let. Díky této podpoře a zároveň díky jeho vyplývající historické kompatibilitě vůči velkému množství hardwarových a softwarových systémů se dnes těší velkému rozšíření.

Obrázek 5: Vzájemná souvislost TCP/IP a modelu ISO/OSI

Hlavní rozdíl mezi ISO/OSI a TCP/IP v počtu vrstev, TCP/IP má pouze čtyři vrstvy: Vrstva síťového rozhraní (Network Access Layer) spojuje dvě fyzickou a linkovou vrstvu z referenčního modelu ISO/OSI a má na starosti vše, co je spojeno s ovládáním konkrétní přenosové cesty resp. sítě, a s přímým vysíláním a příjmem datových paketů. V rámci soustavy TCP/IP není tato vrstva blíže specifikována, neboť je závislá na použité přenosové technologii. Někdy je označována také jako Ethernetová vrstva kvůli častému připojování jednotlivých uzlů na lokální sítě typu Ethernet. Síťová vrstva (Internet Layer) již není závislá na konkrétní přenosové technologii. Je implementována ve všech prvcích sítě – směrovacích i koncových zařízeních. Protokoly: • IP (Internet Protocol) – základním protokolem, který má nespojovaný a nespolehlivý charakter datagramové služby. • ARP, RARP (Adress Resolution Protocol, Reverse ARP) – mechanismus dynamického budování a udržování převodních tabulek mezi IP adresami a fyzickými adresami, využívá všesměrového vysílání (broadcastingu) v některých sítí, které umožňují adresovat datový rámec všem uzlům současně. • ICMP (Internet Control Message Protocol) – je povinnou součástí protokolu IP a slouží obecně pro předávání řídících informací a zpráv o chybách a nestandardních situacích. 15

3.2

Síťové architektury

• IGMP (Internet Group Management Protocol) – mapuje skupinovou MAC adresu do síťové skupinové adresy. Transportní vrstva (Transport Layer) neboli také TCP vrstva podle protokolu TCP (Transmission kontrol Protocol), který zajišťuje spojovanou službu mezi dvěma koncovými účastníky a mění nespojovaný charakter přenosu v síťové vrstvě na spojovaný navázáním virtuálního spojení. Na základě potvrzování je vysílající uzel schopen zopakovat ztracené nebo opožděné rámce. Druhým protokolem používaných v transportní vrstvě je UDP (User Datagram Protocol), který je naopak nespolehlivý a nespojovaný. Aplikační vrstva (Application Layer) Tato vrstva na rozdíl od referenčního modelu ISO/OSI spojuje hned tři její vrstvy do jedné a to relační, prezentační a aplikační. Jejími entitami jsou jednotlivé aplikační programy, které komunikují přímo s transportní vrstvou. Protokoly: • FTP (File Transfer Protocol) – protokol je určen čistě pro přenos souborů mezi uzly a předpokládá existenci FTP serverů. Pro řídící spojení používá wellknow port 21 a pro datové spojení port 20. Bohužel není bezpečný a neměl by se používat na nic jiného než na anonymní přístup, které kromě standardních uživatelů chráněných heslem umožňuje i přístup anonymního uživatele do veřejné části archivu. • Telnet – slouží pro tzv. vzdálené přihlašování a je koncipován pro spolupráci různých platforem. • SMTP (Simple Mail Transfer Protocol) – poštovní protokol pro vzájemnou komunikaci mezi poštovními servery. Předpokládá trvalou dostupnost příjemce i odesílatele a proto byly vyvinuty ještě POP3 (Post Office Protocol, verze 3) a IMAP (Internet Message Access Protocol), které umožňují odesílat zprávy i koncovým uživatelům, kteří nemusí být trvale dostupní. • HTTP (HyperText Transfer Protocol) – slouží pro komunikaci mezi WWW servery a jejich klienty (browsery). Je koncipován jako bezestavový.

Obrázek 6: Architektura a vzájemná souvislost protokolů rodiny TCP/IP

16

3.3

3.3

Bezpečnost počítačových sítí

Bezpečnost počítačových sítí

Každý, kdo připojuje vlastní síť k Internetu, by měl pečlivě zvážit všechna možná rizika a ohrožení, a to vše skloubit se svými představami a zvyklostmi. Výsledkem pečlivé rozvahy by mělo být strategické rozhodnutí o tom, co povolit či připustit, čemu se spíše bránit, čeho se vyvarovat za každou cenu. Takovouto rozvahu označujeme jako bezpečnostní politiku. Po jejím vypracování nastává otázka, jak tuto bezpečnostní strategii realizovat. Jedním ze základních řešení pro ochranu lokálních sítí je firewall. Firewall v překladu z angličtiny znamená ohnivá stěna nebo také protipožární stěna. V oblasti počítačových sítí je firewall obecný název pro všechna řešení, která mají za cíl zabezpečovat připojenou privátní síť před sítí veřejnou, zejména pak chránit jí před takovým druhem přístupu, jaký provozovatel privátní sítě považuje za nežádoucí. Základním principem firewallu je koncentrovat veškerou komunikaci do jednoho místa. Toto místo se nachází mezi vnitřní sítí a vnejším Internetem. Všechny přenosy procházejí firewallem a zde jsou kontrolovány na oprávněnost přístupu i opuštění vnitřní sítě. V současné době jsou firewally schopny plnit celou řadu dalších funkcí, kromě své hlavní funkce – ochrany proti nežádoucímu přístupu zvenčí. Mohou to být tyto funkce: • Regulace přístupu vlastních uživatelů (uživatelů vnitřní sítě) do sítě Internet. Provozovatel privátní síte může regulovat přístup uživatelů k různým serverum nebo omezit využívání nekterých služeb. • Antivirová ochrana – ochrana sítě před nakažením počítacovými viry. • Optimalizace připojení – efektivnejší využití přípojky dané sítě k vnějším sítím, použitím tzv. cache serveru, který v sobě uchovává nekteré objekty často požadované uživateli. Cache server je stahuje jen při prvním požadavku na ně, zatímco při dalších požadavcích na stejný objekt poskytne jeho kopii, kterou si uchoval. • Řešení problému s IP adresami – při použití tzv. překladu adres (Network Address Translation, NAT) mohou být za firewallem použity neunikátní IP adresy. Tento preklad adres funguje většinou pouze jedním směrem, to znamená, že vnitřní hostitelé mohou volat ven, ale nemohou příjímat síťová spojení od vzdálených hostitelů.

3.4

Přenosové technologie LAN

Technologie Ethernet byla vyvinuta už začátkem 70-tých let ve vývojových laboratořích firmy Xerox. První verze Ethernetu, tak jak ji koncipoval pan Metcalfe se ukázala být velmi životaschopnou a atraktivní. Ethernet je přenosovou technologií, která vznikla s vizí, že jednotlivé uzly sítě jsou navzájem propojeny za použití koaxiálního kabelu, na jedno společné sdílené medium, které funguje jako jeden společný přenosový kanál. Na sdíleném médiu může ovšem nastat situace, kdy dva uzly začnou vysílat souběžně. Ethernet se těmto kolizím nesnaží zabraňovat, ale řeší je 17

3.4

Přenosové technologie LAN

až nastanou prvním standardem Ethernetu vypracovaný organizací IEEE, který byl publikován pod označením IEEE 802. 3 – CSMA/CD (Carrier Sense Multiple Access with Collision Detection). Metoda CSMA/CD je používána nezávisle na tom, zda jde o klasický 10 Mb/s Ethernet, který se už se nyní tolik nevyužívá a bývá nahrazován jeho rychlejší verzí Fast a Gigabit Ethernet, jen základní omezení přichází s návrhem 10 Gigabit Ethernet. Ethernet s přenosovou rychlostí 100 Mbps 1. 100Base – FX • jako přenosové médium používá multimodový optický kabel, ale existuje i modifikace používající singlemodový optický kabel s větším dosahem, • délka kabelu mezi uzly může být v plně duplexním provozu max. 2 km. 2. 100Base – TX • přenosovým médiem je zde stíněný či nestíněný (s využitím dvou párů) kroucený dvoupár s impedancí 100 ohm (min. Cat 5), • délka mezi uzly je maximálně 100 metrů, • nosná frekvence je 125 MHz. 3. 100Base – T4 • opět přenosovým médiem kroucený dvoupár (stíněný nebo nestíněný) s impedancí 100 ohm, • délka segmentu mezi uzly může být max. 100 metrů, • využívá všechny 4 páry kabelu, signál se přenáší třemi páry s nosnou frekvencí 25 MHz a čtvrtý je pro detekci kolizí. Ethernet s přenosovou rychlostí 1000 Mbps 1. 1000Base – X • je založen na fyzické vrstvě specifikace Fibre Channel, která má pětivrstvou architekturu, • jsou zde specifikována tři přenosová média: – 1000Base – SX – 850 nm laser pro mnohavidová vlákna, – 1000Base – LX – 1300 nm laser pro jednobodová a mnohavidová vlákna, – 1000Base – CX pro stíněné kabely „twinaxÿ, 2. 1000Base – T • přenos na metalickém vedení typu UTP (100 ohm). 3.4.1

Infrastruktura LAN

Dříve se v lokálních sítích používaly pro rozvody především koaxiální kabely, které ovšem přestaly dostačovat. Daly se na nich sice vytvářet odbočky, ale sdílený charakter vícebodových spojů na koaxiálních kabelech se ukázal dosti problematický. Malá spolehlivost a následné velice zdlouhavé hledání závad mělo za následek, že se dnes už uplatňuje hlavně kroucená dvoulinka a optická vlákna. Tato přenosová média

18

3.4

Přenosové technologie LAN

jsou sice použitelná jen ve dvoubodových spojích a k jejich rozbočení se musí použít vhodné rozbočovače. Vznikla tedy jasná představa jak budovat rozvody, podle zásad tzv. strukturované kabeláže. Jejími vlastnostmi jsou delší životnost kabelů, minimalizace nebezpečí závad a poruch, univerzálnost (budování telefonních rozvodů společně s rozvody pro počítačové sítě a zabezpečovací zařízení). Topologie strukturované kabeláže je v zásadě stromovitá a její podstata vychází z ryze pasivních obvodů. Mezi pasivní prvky sítě patří: • Fyzické propojení počítačů – kabely s kroucenými páry tvoří dva vzájemně zkroucené izolované vodiče, kdy jeden symetrický kabel obsahuje několik těchto párů vodičů. V praxi se lze setkat s kabely stíněnými označovanými jako STP (Shielded Twisted Pair) či nestíněné UTP (Unshielded Twisted pair), které ovšem mají sníženou odolnost proti rušení a dalším vlivům. U sítí typu Fast Ethernet se nejčastěji vyskytují obyčejné nestíněné kabely s osmi kroucenými páry. • Počítačové zásuvky – kabel, kterým je realizován vlastní rozvod, se zásadně nesmí připojovat přímo do počítače. Hlavním důvodem je nejenom skutečnost, že přílišné mechanické namáhaní a ohýbaní tuhého datového kabelu neprospívá a může vést k jeho poškození či vytržení z konektoru, ale také fakt, že k montáži konektorů typu RJ 45 je třeba speciálních nástrojů. Proto se používají datové zásuvky, které bývají umístěny v tzv. pracovní oblasti (working area). Každé pracoviště by mělo mít minimálně dvě připojovací místa. Jedno pro data a druhé pro telefon. Zásuvky jsou v provedení stíněném a nestíněném. • Propojovací panely (patch panely) – propojovací pole s centrálním ukončením horizontálních rozvodů. Mají příslušné množství portů. • Racky – rozvodné skříně, ve kterých jsou umístněny patch panely a některé aktivní prvky sítě. • Propojovací kabely (patch cabel) – také metalické či optické, avšak jsou pružnější a ohebnější. Propojují počítače s datovými zásuvkami, či patch panely s aktivními prvky. • Repeater (opakovač) – pracuje v první fyzické vrstvě a zajišťuje spojení dvou a více segmentů sítě a rozšiřuje kolizní i broadcastovou doménu. • HUB (rozbočovač) – multiportový opakovač vybavený UTP porty typu RJ45, rozšiřuje kolizní i broadcastovou doménu. HUB se rozlišují podle počtu portů a podle přenosové rychlosti, také patří do fyzické vrstvy. Hlavní výhodou takového řešení je možnost jednoduché a pružné tvorby struktury sítě a jejich případných změn. 3.4.2

Aktivní prvky sítě

Představují inteligentní síťové prvky, které jsou nutné k vytvoření sítě typu Ethernet s připojením do Internetu.

19

3.4

Přenosové technologie LAN

• Switch (přepínač) – slouží k rovnoměrnému rozložení toku v jednotlivých částech sítě, předevšm k poskytnutí co možná největší kapacity uzlům. Pracuje ve 2. vrstvě OSI modelu. Může být zapojen v jakékoliv síti, která je zapojena do hvězdy a pracuje na packetovém principu. Switch provádí směrování na základě hardwarových (MAC) adres. Dnešní moderní switche mají implementovány i další služby, které prakticky ruší rozdíl mezi switchy a routery. • Router (směrovač) – víceportové zařízení pracující ve 3. vrstvě modelu OSI, které ovšem pracuje s logickými IP adresami a je tedy protokolově závislý a relativně nezávislý na použité síťové technologii. Odděluje kolizní i broadcastovou doménu. Směrovací tabulka je založena na logickém uspořádaní sítě a obsahuje záznamy jen o dostupných sítích. Směrovače s dynamickým směrováním dovedou stanovit pro nižší vrstvy protokolu nejlepší cestu paketů s ohledem na využití a obsazenost cest. 3.4.3

Připojení do Internetu pro malé sítě

Na výběr je dočasné připojení, které je realizováno pomocí telefonních linek, ať již analogových, digitálních či prostřednictvím mobilní telefonní sítě, ale už není v této době moc používáno a přednost se dává permanentnímu připojení. Pevných připojení existuje velké množství a lze ho vybudovat řadou způsobů. Fyzickou trasou, po které jsou přenášena data, nejčastěji bývá drátové vedení, ale prosazují se stále více i optické kabely a také bezdrátové spoje. Technologie digitálních účastnických linek, kde je přesnost dat prováděna prostřednictvím modemů mezi uživatelem a telefonní ústřednou, odkud jsou data pomocí vlastní digitální sítě přenášena dále. Existuje několik technologií, které se liší zejména šířkou přenosového pásma a symetrií provozu. Písmeno x před DSL označuje o kterou technologii se jedná (VDSL, IDSL, HDSL, SDSL, ADSL). Podrobněji zde popíšu ADSL, kterou využívá i naše společnost. ADSL (Asymmetric Digital Subscriber Line) Technologie, která se stará pouze o spojení mezi uživatelem a telefonní ústřednou, zbytek je věcí datové sítě. Asymetrický charakter jehož charakterem je různá přenosová rychlost směrem k uživateli (downstream) a od něho (upstream). ADSL vznikla pro potřeby internetového připojení a je tady pochopitelné, že upřednostňuje rychlý přenos na downstreamu. Rychlost přenosu je ovlivněna základní vlastností měděného drátu s jehož délkou se přenosové schopnosti zhoršují. Teoretická max. přenosová rychlost je až 8 Mbit/s na downstreamu respektive 800 kbit/s na upstreamu. Koncový uživatel musí mít pro připojení do Internetu telefonní přípojku a ADSL modem, který musí být zakoupen od poskytovatele. Výhody ADSL: – vysoká rychlost připojení, – velký výběr poskytovatelů, – nezávislý provoz telefonních služeb. Nevýhody ADSL: 20

3.4

Přenosové technologie LAN

– paušální poplatek za telefonní služby, – vyšší počáteční náklady, – omezený objem přenesených dat. Největší poskytovatelé v ČŘ: Contactel, Czech On Line, České radiokomunikace, Český telecom, GTS Novera, SkyNet, Tiscali. Kabelové připojení Tento typ připojení je vázán na konkrétním řešení. Přenosová kapacita je sdílena všemi uživateli sítě v dané lokalitě, poněvadž vedení jsou prvotně určena k všesměrovému šíření signálu. Místní rozvody tvořené koaxiálními kabely směřují do rozvodné jednotky, kde jsou umístěny potřebné kabelové modemy, kterém komunikují s obdobnými zařízeními na straně uživatelů a zalištují přenos dat po místním vedení, tedy relativně na malou vzdálenost. Další přenos dat je však již řešen pomocí klasických datových okruhů postavených především na optických a bezdrátových trasách. Přenosové rychlosti 30 Mb/s dosahuje pouze teoreticky, ve skutečnosti dosahuje hodnoty 10 Mb/s. Některé systémy mají rozdílný downlink (přenosové rychlosti směrem k uživateli) a uplink (od uživatele), kdy downlink má často několikanásobnou přenosovou rychlost. Počítače jsou připojeny přes síťovou kartu ke klasickému Ethernetu a kabelový modem tak provádí přenos ethernetového signálu skrze kabelové rozvody a na druhé straně je zpět dekódován. Celý systém se v dané lokalitě pak chová jako velká lokální síť. Největší poskytovatelé v ČR: UPC, Karneval. Bezdrátové připojení Bezdrátové technologie mají na trhu připojení k Internetu už své pevné místo. A lze ho rozdělit na tři základní způsoby: statické, mobilní a satelitní připojení. Kmitočtová pásma lze v zásadě rozdělit na: • Licenční – podléhá registracím a poplatkům, díky přiděleným frekvencím by neměli nastat problémy s rušením. • Bezlicenční – při dodržení určitých zásad je bez poplatků. • Dvoubodová pojítka – spojují dvě místa. Jsou založena na komunikaci dvojice bodů (neboli point-to-point), které si předávají data a neumožňují žádný jiný způsob komunikace. Používají více k budování páteřních sítí a připojování velkých firem. Jsou poskytována v licenčních i bezlicenčních pásmech, rozdíl je u nich ale pouze minimální, poněvadž díky směrovým anténám je spoj problematické rušit. V licenčním pásmu má parametry prakticky shodné s kabelovým vedením. • WLL (Wireless Local Loop) – využívá principu komunikace jednoho centrálního bodu s více klientskými body (point-to-multipoint). Nejčastěji se využívá k připojení jednotlivých zákazníků. Nejčastěji jsou provozovány ve veřejném bezlicenčním pásmu 2, 4 GHz, které však přináší především v lukrativních oblastech, kde služby bezdrátového přístupu nabízí hned několik poskytovatelů Internetu, řadu problémů spojených

21

3.5

Síťový server menší lokální sítě

s rušením signálu jednotlivými společnostmi navzájem. Vzhledem k všesměrovému šíření je to v tomto případě výrazně větší problém než u dvoubodových pojítek. Kromě bezlicenčního pásma jsou však bezdráty provozovány také v licenčních pásmech 3, 5 a 26 či 28 GHz. Zvláště přístup na frekvenci 26 respektive 28 GHz se vyznačuje vysokou kvalitou, která je však vyvážena poněkud vyšší cenou potřebných zařízení. Problémem bezdrátových spojů byla vzájemná nekompatibilita jednotlivých řešení různých firem. Proto organizace WECA dnes WiFi Alliance vytvořila označení WiFi, které signalizuje vzájemnou kompatibilitu jednotlivých zařízení. WiFi je založeno na standardu 802. 11b, který používá DSSS v bezlicenčním pásmu 2, 4 GHz a má vnitřní přenosovou rychlost 11 Mbit/s. Řešení WiFi se stala velmi populárním způsobem připojení k Internetu právě díky zaručené kompatilibilitě jednotlivých řešení. Vznikl také nový standard 802. 11a pracující v pásmu 5 GHz s vnitřní přenosovou rychlostí 54 Mbit/s. Zrychlení je dosaženo díky modulační metodě OFDM (Orthogonal Frequency Division Multiplex). Tento standard, který je také označován jako WiFi, však není kompatibilní s původním řešením. To naopak nabízí standard 802. 11g, který pracuje v pásmu 2, 4 GHz a díky OFDM dosahuje přenosové rychlosti až 54 Mbit/s, respektive kolem 30 Mbit/s skutečné propustnosti. Zároveň jsou zařízení podporující standard 802. 11g schopna současně komunikovat i se zařízením standardu 802. 11b (WiFi), přenosová rychlost je však pochopitelně v tomto případě nižší.(Chci se připojit k Internetu. . . )

3.5

Síťový server menší lokální sítě

Software je nehmotná část prostředků výpočetní techniky, jsou to všechny programy a přidružená dokumentace. Je pevně spojený s hardwarem, na kterém se instrukce vykonávají. Je rozdělen na dvě skupiny: • Systémový software – umožňuje spouštění nebo zpracování aplikačního softwaru. Operační systém je soustava programů, která řídí chod ostatních programů v počítači, spravuje systémové prostředky: vstupy a výstupy, paměť, procesor. Řídící program řídí vstup úloh do počítače a dohlíží nad jejich prováděním. Operační systém je tedy balík programů, které přibližují technické vybavení počítače požadavkům uživatele. • Aplikační software – je programové vybavení nabízející řešení určité problematiky (textové procesory, databázové systémy, ediční systémy, tabulkové procesory, grafické systémy. Jeho využívání je dáno licenčním ujednáním). 3.5.1

Operační systém pro server

Debian GNU/Linux je svobodný operační systém, který vznikl ve sdružení dobrovolníků. Debian nezávisí na konkrétním jádře, ale používá momentálně Linux, který

22

3.5

Síťový server menší lokální sítě

je též svobodným softwarem. Velká část základních nástrojů, které spolu s jádrem vytvářejí použitelný operační systém pochází z projektu GNU. Nejnovější a první stabilní verze Debianu je Debian GNU/Linux 3. 1. Tato verze vyšla v červnu roku 2005 a obsahuje 15 490 balíků a je k dispozici pro všechny podporované architektury. Linuxový server nasazený v lokální sítí dokáže velmi efektivně pracovat jako faxový, tiskový a souborový server. V mnoha případech dokáže nahradit výrazně dražší server založený na platformě MS Windows, podporuje tisk na více sídlených tiskárnách, umožňuje sdílet mechaniky CD-ROM a pevné disky bez ohledu na systém souborů. Server lze doplnit také o www server, který uživatelům umožní využívat nejrůznější interní aplikace, interní informační systém nebo například správu vlastní databáze SQL. (Co je debian?. . . , 2006) 3.5.2

Systémové síťové služby

Služby, které jsou navázané na existenci sítě. Přidělování IP adres DHCP (Dynamic Host Configuration Protocol) slouží k dynamickému přidělování IP adres klientům z definovaného rozsahu a to zpravidla na určitou dobu pronájmu. Protokol DHCP vyžaduje pro svou činnost, aby na serveru byla nainstalován DHCP server. Na základě dotazu klient přidělí dynamicky IP adresu, masku sítě, brány, jmenné servery atd. Mezi hlavní výhody DHCP serveru patří výrazně nižší nároky na administraci, poněvadž lze vše jednoduše nastavit pouze na serveru. Tím jsou eliminovány mnohé potenciální chyby. Počítač, který přiděluje DHCP musí mít svou IP adresu. Systém doménových jmen DNS (Domain Name Service) systém pracuje na principu klient-server, kde se server stará o udržování databáze jmen a klient odesílá serveru dotaz, který je buď vyřízen přímo serverem, nebo je přeposlán na jiný server, schopný požadavek vyřídit. DNS protokol překládá jmenných názvů doménových jmen na odpovídající IP adresy. Překlad se uskutečňuje pomocí DNS serverů. Každá doména musí být registrována na dvou nezávislých DNS serverech. Typy DNS serverů: • Primární – autoritativní, určuje obsah domén. • Sekundární – je to záložní server k primárnímu, může vyřizovat požadavky jako primární, ale nemůže měnit obsah domén. • Pomocný – uchovává a vyřizuje jen ty informace, které prošly primárním či sekundárním DNS serverem. Mezi nejznámější DNS servery, které jsou dostupné na platformě UNIX je bezesporu BIND (Berkley Internet Name Domain). Je konstruován pro obrovské zatížení, takže je určen především pro velké domény, ale je vhodný i pro menší DNS servery. BIND je monolitický program named. Poslouchá na UDP i TCP portu 53. Používá pro dotazy a odpovědi UDP, jen u vynímečně složité komunikace používá TCP.

23

3.5

Síťový server menší lokální sítě

Sdílení souborového systému Samba je software, který umožňuje linuxovému nebo unixovému systému sdílet v síti soubory a tiskárny s počítači s operačním systémem Windows pomocí protokolu SMB (Server Messaging Block) a CIFS (Common Internet File Systém), který oproti SMB podporuje tzv. Uniové rozšíření (práva, uid, symbolické odkazy, apod). Starší verze neumí pracovat přímo na TCP/IP, ale potřebují ještě mezivrstvu protokol NETBIOS.(Čevela, 2000) Ve windows se tato služba nazývá „Sdílení souboru a tiskárenÿ. Linuxový počítač je z pohledu sítě viděn jako jedna ze stanic s windows. Protokolem pro komunikaci mezi počítači je používán nejčastěji protokol TCP/IP, ale i protokolem IPX/SPX Novelu. Samba je součástí linuxových distribucí RedHat, Debian, Corel linux. Potřebná konfigurace se nastavuje smb. conf umístěný v adresáři /etc. Vzdálený terminál Implementovaný pomocí SSH (Secure Shell) sloužící k připojení na vzdálený počítač unixového typu, který danou službu podporuje. Na druhé straně musí odpovídající démon, který poslouchá na portu 22. Oproti klasickému telnetu zajistí SSH bezpečnou šifrovanou komunikaci. Po spojení obou stran, server vyšle dvojici klíčů: hostitelský klíč, jedinečný pro každý stroj, a veřejný server klíč, který se mění jednou za hodinu. Klient si vybere z nabízených typů šifrovacích algoritmů a vytvoří originální klíč pro spojení. Ten zašifruje na základě obdržených klíčů a pošle jej serveru. Od tohoto momentu již komunikace probíhá kryptovaně. Nyní je teprve poslán login a heslo. Pro větší bezpečnost se na straně klienta ukládají hostitelské klíče již navštívených serverů, aby se někdo nemohl za daný server vydávat. Programy, kterými se dá pracovat s Unixem (Linuxem) přes síť z MS Windows patří například Putty, TeraTerm. Poštovní služby Odchozí pošta, napsaná v poštovním programu (MUA – Mail User Agent), je předána odesílajícímu programu (MSP – Message Submission Program), který se stará o její odeslání. Od odesílatele, který zprávu napíše ve svém poštovním klientovi (Mutt, Pine a grafické programy jako například Microsoft Outlook, Mozilla Thunderbird) také jinak MUA (Mail User Agent) převezme zpávu, přídá k základní hlavičku a celé odevzdá k doručení dalšímu programu, kterým je MTA (Mail Transfer Agent). Existuje jich také celá řada (Sendmail, Smile, Qmail, Postfix). Poté, co MTA přidá do hlavičky zprávy vloží další potřebné údaje je následně poslána z klientského počítače poslána na server providera. Mezi MUA a MTA může být: • navíc speciální odesílací program MSP (Message Submission Program), který se předával poštu dále MTA. V dobách izolovaných sítí přecházela zpráva přes více MTA, ale dnes se omezuje jen na jeden server (tzv. SMTP server), místo kde se pošta ponechává před jejím doručením (Relay). 24

3.5

Síťový server menší lokální sítě

• Navíc MDA (Mail Delivery Agent) – který se stará o třídění pošty a nakládá se zprávou podle uživatelem zadaných pravidel (Procmail, Fetchmail, Maildrop). Tak lze doručovat do různých mailboxů, automatické odpovědi odesílateli, odfiltrování nežádoucích zpráv a další. To vše na serveru bez aktivního zásahu adresáta. Komunikace mezi MUA a MTA směrem od odesílatele probíhá pomocí protokolu SMTP. Ke konečnému doručení z poštovního serveru do počítače konečného adresáta se používají protokoly POP3 nebo IMAP4, který je navíc navržen nejen ke stahování pošty, ale i pro dálkovou práci s ní přímo na serveru. Na straně serveru musí běžet příslušný démon, který s protokoly komunikuje. • Sendmail Velmi často je Linux použit jako poštovní server. Vysoce výkonný a robustní Sendmail s obrovskou možností konfigurace dokáže rychle a spolehlivě obsloužit stovky klientů. Funguje zde podpora přezdívek, různé možnosti směrování, ochrana proti nevyžádané poště – spamu. Sendmail pochopitelně dokáže spravovat poštu pro více domén současně. Společně s programy Fetchmail a Procmail dokáže vybírat poštu v různých intervalech a z doménových košů poskytovatele a doručovat poštu v rámci lokální sítě. Poštovní server automaticky umožňuje výběr pošty protokolem POP3, podporovány jsou také samozřejmě SMTP a IMAP. Ve spoluprací s webovým serverem lze poštu spravovat přes prohlížeč z jakékoliv částí sítě. • Postfix Bezpečnější a výkonnější náhradou Sendmailu je Postfix, jehož největšími přednosti jsou: 1. Kompatibilita – zpětná komunikace se Sendmailem. 2. Bezpečnost a robustnost – při zátěži, kdy systému dochází například disková kapacita či paměť, je navržen tak aby byl neustále pod kontrolou. 3. Flexibilita – je tvořen malými programy, které mají každý za úkol pouze jednu specifickou činnost. Je možné je nahradit či vypnout. 4. Bezpečnost – má několik vrstev bezpečnosti, není zde přímá cesta ze sítě k bezpečnostně citlivým lokálním doručovacím systémům, filtruje informace od odesílatele a nedůvěřuje ani obsahu své fronty. • Fetchmail Je nejrozšířenější aplikací pro stahování pošty. Staženou poštu pak umí předat dalšímu MTA nebo MDA k doručení. Kromě standardního spouštění lze Fetchmail spustit i jako démon a ten se pak po určitém časovém limitu pokouší stáhnout poštu ze serveru. Proxy server Vytíženost linek spojujících lokální síť se sítí Internetu často vede k nutnosti touto konektivitou šetřit, nehledě na časové ztráty. Určitou úsporou je SQUID, který je proxy cache server pro síťové klienty. Proxy server je poměrně bezpečné zařízení, 25

3.5

Síťový server menší lokální sítě

které spojuje dvě sítě (lokální a internet) a stanoví mezi nimi určitou komunikaci. Požadavky od klientů jsou směrovány na proxy-server, který požadovanou informaci získá z originálního zdroje. Je-li server nakonfigurovaný také jako proxy-cache, může znatelně ulehčit provoz na síti, poněvadž si všechny informace, které přes něj prochází uchovává a při opakovaných požadavcích pátrá nejprve ve svém úložišti. Squid má GNU licenci a je součástí mnoha linuxových distribucí. Hlavním konfiguračním souborem je squid. conf, umístněný v adresáři /etc/squid nebo /usr/local/squid/etc. Defaultně je každý řádek pečlivě popsán a nastaven na rozumné hodnoty.

26

4

4 4.1

VLASTNÍ PRÁCE

Vlastní práce Představení společnosti

Inovace lokální sítě se týká podniku, který je největším českým výrobcem parafínových svíček a na českém trhu má rozhodující podíl. Společnost zaměstnává něco kolem 140 zaměstnanců. Skoro 90 % z nich však pracuje ve výrobě a zbytek se stará o chod firmy.

4.2

Popis stávajícího stavu sítě

Firma sídlí ve velké budově, která je propojena s výrobnami svíček a sklady. Počítačová síť pokrývá přední části budovy, které jsou určeny k administrativním účelům. Celkem 15 kanceláří je rozděleno do dvou částí, protože je mezi částmi umístěn vchod do budovy, kterým prochází všichni příchozí. Dál už je budova opatřena bezpečnostním čtecím zařízením, které vpustí jen oprávněné osoby. Všichni zaměstnanci mají přiděleny magnetické karty a podle oprávnění mají přístup do určitých částí budovy. Zaměstnanci pracující ve výrobě nemají právo se dostat do kanceláří. Dál se budeme zabývat pouze kancelářemi, ve kterých jsou místěny počítače tvořící lokální počítačovou síť. Stávající stav lokální počítačové sítě je znázorněn v příloze A. Kancelář č. 15 v plánku znázorněna není, poněvadž je to samostatná místnost umístěna na druhém konci haly v jiném podschodí, ale v řešení s ní samozřejmě počítá. 4.2.1

Infrastruktura

Stávající kabeláž firemní počítačové sítě je vedena následujícím způsobem: všechny nestíněné UPT CAT 5E kabely, kromě dvou jsou vedeny z centrálního 16 portového switche značky OvisLink FSH16T, který je umístěn v kanceláři č. 13 (viz. příloha A) jsou vedeny do zdi, kde vyusťují husími krky nad podhledem, a zde jsou umístěny do drátěných lišt a následně přivedeny k vnitřní části venkovní zdi. Podél této zdi jsou kabely postupně přiváděny do levé a pravé části administrativní budovy. V každé kanceláři se nachází jedna síťová zásuvka se dvěma vývody, do kterých vede telefonní a datový rozvod. V nedávné době bylo potřeba připojit ještě dva počítače do sítě, ale protože již nebyl volný ani jeden port na centrálním rozvaděči, firma se rozhodla, že pořídí další přepínač a připojí tím tak počítače navíc. Pořídil se tedy 16 portový Longshine LCS SWITCH 883R-SW16M. Do něho je připojen centrální switch a další UPT CAT 5E vede do kanceláře č. 13, kde je vyústěn datovou zásuvkou. Po čase ovšem nastal další problém, kdy měl být přidán další osobní počítač pro administrátora do kanceláře č. 10. Problém byl ovšem vyřešen dost nouzovým způsobem, kdy byl do této zásuvky připojen další 8 portový switch TP-Link TL-SF-1008D a do něho jsou připojeny oba počítače v kanceláři. Tím je ovšem také degradováno připojení k počítači správce sítě, který by měl být upředňostňován. 27

4.2

Popis stávajícího stavu sítě

Do centrálního switche je připojen i server, jehož konfigurace bude popsána v následující části. 4.2.2

Hardware

Celkem je zde 16 počítačů z nichž jeden z nichž má roli serveru. Konfigurace serveru je následující: Konfigurace serveru OS – Linux Debian Sarge 3. 1 CPU – Celeron 1100 MHz MB – 815EPT Pro FW82815 RAM – 512 MB SDR DIMM HDD – 60 GB Server obsahuje dvě síťová rozhraní a má roli směrovače, jedním rozhraní (eth0) je připojen do vnitřní sítě, přes druhé (eth1) rozhraní je napojen ADSL modem Thomson Speedtouch 500 series, který firmě zprostředkovává připojení do Internetu. K serveru je také zapojen záložní zdroj APC Back-UPC CS, což je spolehlivá jednotka s vysokým výkonem připravená specificky pro podnikové sítě. V případě problémů s napětím přepne jednotka UPS napájení okamžitě na pohotovostní bateriový zdroj, se kterým se dá překlenout krátký výpadek nebo bezpečně vypnout počítač. Každý pracovník má vlastní kancelář s vlastním osobním PC, až na dvě kanceláře (kancelář č. 10 a 14), kde jsou dva pracovníci. Dále společnost vlastní sedm tiskáren, které jsou připojeny k jednotlivým počítačům a jednu síťovou tiskárnu, která je sdílená všemi počítači. Některé počítače jsou zakoupeny v nedávné době, ale většina z nich je do kanceláři převezena ještě z předešlého sídla firmy, takže nejsou nejnovější, ale pro některé zaměstnance jsou dostačující. Na většině počítačů je procesor Celeron 900 MHz. Tiskárny, které firma vlastní jsou různé, od jehličkových tiskáren, které jsou celkem 4, sloužící pro tisk mzdových lístků. Dále 2 inkoustové a jednu laserovou. Síťová tiskárna je značky Canon IR 1600, která podporuje TCP/IP a připojit do sítě lze přes tiskový server a rozhraní 10/100 MB BASE TX Ethernet. Multifunkční zařízení představuje prostorově úsporné řešení tisku, skenování, kopírování a odesílání faxů v jednom zařízení. 4.2.3

Software

Server Na serveru, který plní funkci směrovače je nainstalován bezplatný operační systém Linux Debian Sarge 3. 1, který je určen právě pro servery. Server také plní v síti funkci paketového filtru – firewallu, který odstiňuje připojení vnitřní sítě do Internetu, což zabraňuje průniku nežádoucích návštěvníků do vnitřní sítě a následné ztrátě nebo poškození dat. 28

4.2

Popis stávajícího stavu sítě

• Firewall Počítačový systém, který odděluje a chrání lokální síť před sítí Internetu. Už podle názvu je to ohnivá zeď, která prověřuje každý paket, který k ní dorazí, ať už z jedné či druhé strany – příchozí packety z vnější sítě Internetu a odchozí packety z vnitřní sítě. Firewall je především soubor opatření, která umožňují např.: – řízení přístupu uživatele z vnější i vnitřní sítě, – nastavení přístupových práv, – odfiltrování nebezpečných služeb, – soustředění bezpečnosti o jednoho komunikačního uzlu, – zablokování nepřátelského mapování vnitřní sítě, – audit legálních a nelegálních operací, – a další. Vše se nastavuje v Iptables, kde je nastaven input, output a forward. I pro tuto síť má správce v Iptables nastaveny pravidla (chainy) pro komunikaci. Vzdáleně se přes SSH může přihlásit na server jen správce sítě. • Samba Na serveru je zprovozněna Samba, která se stará o sdílení souborů a tiskáren v sítí. • FTP server Jako FTP server je zde použit ProFTPD, který je jedním z nejrozšířenějších FTP serverů pro UNIX. Byl vyvíjen jako patch pro WU-FTP, ze kterého se nakonec stal samostatný produkt. Oproti WU-FTPD je bezpečnější a snadná konfigurace. Svou konfiguraci čte ze souboru /etc/proftpd. conf. Jsou zde uložena všechna data, které potřebují uživatelé sdílet, mezi sebou. Každý pracovník má zde založen adresář /home do kterého má přístup pouze on a dále je oprávněn nahlížet do firemních dokumentů. • Poštovní subsystém Poštovní server pro odesílání pošty firma používá vlastní SMTP server, který poštu přebírá od SMTP serveru jejich poskytovatele připojení. Správce zvolil Postfix, což je výkonnější a bezpečnější náhrada Sendmailu. Jeho hlavní přesností je rychlost, kompatibilita, bezpečnost, robustnost a flexibilita. Přístupovým programem, který se stará o spojení poštovního klienta s místem, kde jsou zprávy uchovaný, je zvolen Fetchmail, což je program, který pravidelně stahuje z POP3 serverů v internetu poštu a ukládá jí do lokálních schránek. Je nastaven pro každého uživatele zvlášť. • Proxy server - SQUID Uživatelé mají všichni přístup na Internet, ale jsou omezení jen na wellknow portu 80, na kterém běží služba WWW, další porty jako 25 (SMTP) a 110 (POP3) jsou pro zaměstnance zakázány, aby nemohli manipulovat s osobní poštou na pracovišti. Také je zde definováno zákaz vstupu pro uživatele na ty stránky, které obsahují nevhodná slovní spojení.

29

4.2

Popis stávajícího stavu sítě

• Zálohovací server Server funguje také jako zálohovací server a použity jsou tzv. inkrementální zálohy, které vyžadují software k zálohování. Firma používá fdiff-backup, který je napsaný v jazyce Python a licencovaný pod GNU/GPL. Nabízí funkci zrcadlení souborů a složek, ukládá inkrementální zálohy, informace o čase souboru, práva a vlastníka, funguje po sítí a je jednoduchý. Charakteristika inkrementálního zálohování: – – – –

Obsahy souborů se musí porovnávat s předchozí zálohou. Nezabírá příliš prostoru na médiu, poněvadž další zálohy jsou menší. Obnova souboru je složitější, protože se musí sestavovat z kousíčků. Jednoduchá manipulace s zálohovaným souborem, zálohovací program sestaví verzi souboru k libovolnému datu v historii. – Záloha na sítí je nenáročná, přenáší se menší objemy dat. – Relativně citlivé na chyby v přírůstku, které může způsobit narušení historie verzí souboru. Data ve formátech .doc, .xls, .sxc, .odt, .xml, .mdb, .odb, .pdf, .ots, .xlt, .txt jsou zálohována každý den v 15. 30 na server. Tím je zaručeno, že se kdykoli dostaneme k souborům, kdyby vznikly problémy. Osobní počítače Na osobních počítačích jsou nainstalovány od MS Windows 98, přes Win 2000 až po Win XP. Správce sítě však upřednostňuje MS Windows 2000, s nímž jsou spokojeni i uživatele. Poněvadž podnik nemá licence na Microsoft Office jsou na všech počítačích nainstalovány volně dostupné Open Office. org 1. 1, které mimo jiné umožňují export dokumentů do formátu .pdf a také Adobe Leader, pro prohlížení těchto dokumentů. Většina uživatelů používá rychlého, spolehlivého a bezpečného poštovního klienta Mozilla Thunderbird, který má mnoho předností v podobě ovládání v češtině, podpory více účtů a identit, možnost zabezpečené komunikace, detekce SPAMů, pokročilé filtry a adresář. Hlavní předností je jeho volná dostupnost. Funguje jak pod Linuxem, tak i pod MS Windows. Na jednom osobním počítači, který je z řady uživatelských PC nejvýkonnější je nainstalován program Simple a Double, který slouží pro vedení kompletní ekonomické agendy firmy, pro daňovou evidenci a podvojné účetnictví. Odtud je sdílen ostatním uživatelům. Tento program nemůže být umístěn na serveru jako ostatní služby, protože je určen pouze pro DOS či Windows. Stejně tak je zde umístěn software Gemini, který umožňuje firmě přímé bankovnictví se svou bankou. 4.2.4

Připojení do Internetu

Za poskytovatele si firma vybrala Český Telecom, Internet Express a jeho službu Internet Broadband 2048/256 kb/s, která poskytuje nepřetržitý vysokorychlostní připojení k internetu s možností omezeného objemu přenášených dat 10 GB s měsíčním

30

4.3

Hodnocení účelnosti

paušálem 1 335,- s DPH. Firma má také v pronájmu jednu pevnou IP adresu, za kterou také platí měsíční poplatek 99,-.

4.3

Hodnocení účelnosti

Současný stav není nijak špatný či kritický, ale firma s ním stejně spokojena není. Počítačová síť byla stavěna svépomocí a také pro to je stav takový. V síti není nainstalován žádný antivirový systém, který by chránil cenná firemní data a doručenou poštu před útoky virů a poněvadž by antivirová ochrana počítačů i celých sítí měla být naprostou samozřejmostí, pokusím se jí zajistit výběrem vhodných prostředků. Protože je firemní server nakonfigurován jako open-relay, což znamená, že SMTP server převezme od klienta mail adresovaný jinému SMTP serveru a provede doručení za něj. Tím se ovšem firma vystavila riziku, že neautorizovaný spamer mohl zneužít jejich server k rozesílání nevyžádané pošty a také se tak bohužel stalo. Nyní se jejich IP adresa nachází na černé listině (blacklist) spammerských serveru, od kterých některé servery nepřijímají vůbec žádnou poštu. V součastné době s firmou nechtějí komunikovat některé servery v Německu, se kterými ovšem byla donedávna v kontaktu. Společnost tím přichází o komunikaci s možnými zákazníky, a tím i o zisky. Síťová tiskárna přináší zefektivnění práce a ušetření na tisku. Je sice přístupná pro všechny zaměstnance, nachází se totiž v samostatné stále otevřené kanceláři, ovšem v pravé části administrativní části. Tím pádem zaměstnanci, pracující v levé časti musí pro dokumenty do druhé části. Po cestě se musí stále identifikovat magnetickou kartou. Zaměstnanci by uvítali jednu síťovou tiskárnu i v levé části. Správce má ještě požadavek nového výkonějšího serveru, který by nahradil stávající server. Protože ve všech kancelářích kromě jedné je jen jeden síťových adaptér nastaly problémy s přidáním dalších pracovních stanic. V jedné kanceláři je tento problém dvou počítačů v jedné místnosti vyřešen switchem TP-link. A v další kanceláři, kde je potřeba dvou stanic v síti, je počítač zatím nezapojen do sítě. Také chybí jedna zásuvka v levé části administrativní budovy pro zapojení další síťové tiskárny, kterou by ráda firma zakoupila. Pří náběru nových pracovních sil, se v síti naráží na nulové rezervy sítových adaptérů. Některé kanceláře jsou dostatečně prostorné, aby zde mohli mít zázemí dva zaměstnanci. Kancelář č. 9, která je zatím využita jako sklad tiskovin je bez síťové zásuvky. S náborem nových pracovníků, by ovšem bylo potřeba tuto místnost využít jako další pracovní místo. Proto by chtělo i tuto kancelář zahrnout do nového síťového řešení. Na osobních počítačích jsou tři různé operační systémy od firmy Microsoft, tahle vzájemná nekompatibilita přináši mnohé problémy při sdílení souborů a tiskáren. Shrnutí výše popsaných nedostatků: • nulová antivirová ochrana poštovního a souborového serveru, • zastaralé hardwarové vybavení serveru, • zvýšit o jednu počet síťových tiskárnen, • nedostatečný počet síťových zásuvek, 31

4.4

Návrh změn

• nekompatibilita operačních systémů na pracovních stanicích.

4.4

Návrh změn

Na základě zjistěných nedostatků, která jsou shrnuta výše, jsou navrženy následující změny. 4.4.1

Infrastruktura

Protože kabeláž, která je vedena v prostorných drátěných lištách a husí krky jsou také dostatečně široké, aby zde mohlo být vedeno pár dalších kabelů, není problém s vyřešením nedostatečného počtu datových zásuvek. Zásuvky budou přidány do čtyř kanceláří, do každé povedou dva kabely. Jeden pro datový a druhý pro analogový přenos, aby každý zaměstnanec měl k dispozici vlastní telefonní přípojku. Vybrané kanceláře v pravé části jsou č. 4, 9 a 10, z nichž do kanceláře č. 4 budou přivedeny čtyři kabely, protože je dostatečně prostorná, aby zde mohli být umístěny v případě potřeby 3 pracovní stanice. V pravé části se bude nacházet nová siťová tiskárna, která bude umístěna do kanceláře č. 13, která je středem této administrativní části. Celkem tedy bude potřeba deset kabelů různé délky. Podle stavebních plánů bude potřeba nakoupit 400 m nestíněného UTP CAT 5E kabelu. Navrhuji nakoupit dva balíky kabelu UTP drát CAT 5E dlouhý 305 m značky netX. Zůstane tak ještě 200 m do rezervy, kdyby se některý kabel zničil či jinak mechanicky porušil. V nutném případě by se také mohl z něho vyrobit patch kabel pro připojení pracovní stanice k datové zásuvce. Jeden balík je za cenu 1 259 Kč bez DPH. Také je třeba zakoupit pět elektroinstalačních lišt, ve kterých bude veden kabel z podhledu do datové zásuvky. Stačí nám jen úzká lišta 18/18 mm, dlouhá 2 m. Nakoupíme sedm lišt značky Malpro, dvě předpokladáme ještě do rezervy. Cena jedné je 18 Kč Kč bez DPH. Aby se nemuseli zdi složitě sekat, nakoupí se zásuvky na omítku od stejného výrobce, do kterých je veden lištou umístěnou na zdi kabel až do této zásuvky. Je potřeba nakoupit pět síťových TP zásuvek na omítku, jejichž specifikace je 2 × RJ-45 UTP CAT 5E, úhel 45◦ . Cena jedné je 101 Kč bez DPH. K propojení pracovních stanic se síťovou zásuvkou je potřeba nakoupit 5 × patch kabel, který je odolnější než klasický kabel, použivaný při horizontálních rozvodech. Navrhuji koupit stíněnou variantu, tzv. FTP, z důvodů tažení těchto kabelů souběžně s jinými zdroji elektromagnetického vlnění, kde hrozí zhoršení přenosových kvalit na datovém vodiči. Cena jednoho patch kabelu FTP CAT 5E délky 2 m od značky Equip, který je pro naše účely dostačující je 35 Kč bez DPH. Potřebných pět konektorů RJ-45, které je potřeba nakrimpovat na drát, má správce v zásobě. Nově přivedené kabely budou zapojeny do druhého Longshine LCS switche, který je připojen k cenrálnímu switchy. Tímto novým řešením už nebude potřeba třetího switche, který byl umístněn v kanceláři č. 10.

32

4.4

4.4.2

Návrh změn

Hardware

Server Na požádaní správce sítě na pořízení nového výkonnějšího serveru, byl vybrán kompaktní barebone server platformy Intel v ultralehkém provedení 1U pro umístění do racku. Ostatní komponenty jako procesor, paměť, disk a další je nutné dokoupit zvlášť.

Obrázek 7: Nový firemní server

Parametry a specifikace: • Procesor – Intel Pentium 4 a Celeron D, socket LGA775, podpora HyperThreading technologie, podpora technologie Intel Extended Memory System 64 (EM64T), FSB 800 MHz. • Čipset – Intel E7221. • Paměť – dvoukanálová paměť s kapacitou až 4 GB ECC DDR2 400/533 SDRAM ve čtyřech DIMM slotech. Velmi spolehlivý a výkonný subsystém paměti s automatickou opravou jednobitových chyb může prodloužit dobu bezporuchového provozu. • Grafická karta – Integrovaná v čipsetu Intel GMA 900. • Disky a řadiče – 1 × Ultra ATA 100 (max. 2 zařízení), 4 × Serial ATA 150 (max. 4 zařízení). • Síťová karta – 2 × Intel 10/100/1000 82541PI Gigabit Ethernet Controller. • Rozšiřující sloty – 1 × PCI 32-bit/ 33 MHz, 1 × PCI-X. 64-bit/66-MHz, 1 × PCI Express ×8 , 1 × Adaptivní slots (PCI Express x8, PCI, PCI-X s riser kartou). • Rozšiřující pozice – 3 × 3,5” externí pro disky, 1 × 5,25” pro slim mechaniky. • Porty – 2 × USB 2. 0, 2 × Sériový port, 2 × PS/2, 2 × RJ-45, 1 × VGA. • Rozšiřující konektory – 2 × USB 2. 0. • Napájení – 1 × 24 pinů ATX 2. 0, 1 × 4 piny ATX 12 V • Napájecí zdroj – 1 × 300 W. • Skříň – Formát: 1U, Rozměry: 430 × 672 × 43, 25 mm, Hmotnost: přibližně 14,1 kg. Tržní cena tohoto serveru je přibližně 13 250 Kč bez DPH(Internetový obchod . . . , 2006). Ostatní komponenty, které je potřeba dokoupit jsou přímo doporučené k vybranému barebone serveru: 33

4.4

Návrh změn

• Procesor – PENTIUM 4 3. 0 GHz Prescott LGA775/800 MHz 2 MB (630) za cenu 4 388 Kč bez DPH. • Pevný disk – WD CAVIAR XL WD2500BB 250 GB UATA/100 7200 RPM za cenu 11 262 Kč/ks bez DPH. Nový server podporuje zrcadlení disků na hardwarové úrovni, tzv. RAID 1, proto bude zakoupen dvakrát. • Paměti – KINGSTON DDR2 2 GB 533 MHz ECC CL4 (Kit of 2 × 1 024), které budou koupeny dvakrát za cenu 2 223 Kč/ks bez DPH. Protože skríň, do které byl zabudován starý server je ještě dostačující, bude nový server umístěn sem. Starý server bude použit jako náhrada zastaralého počítače z kanceláře č. 15. Síťová tiskárna Protože je administrativní část rozdělena na dvě od sebe oddělené části a síťová tiskárna se nachází jen v jedné části, firma má požadavek, aby se síťová tiskárna nacházela i v druhé části. Popis stávající síťové tiskárny – značka Canon IR 1600, která podporuje TCP/IP a připojit do sítě lze přes tiskový server a rozhraní 10/100 MB BASE TX Ethernet. Multifunkční zařízení představuje prostorově úsporné řešení tisku, skenování, kopírování a odesílání faxů v jednom zařízení.

Obrázek 8: Nová síťová tiskárna – Samsung CLP-510N

Protože náklady na modernizaci sítě jsou již dosti vysoké, vedení firmy již nepožaduje další multifunkční zařízení jako u minulého nákupu síťové tiskárny. Pro jejich účely je dostačující jen jednoduchá barevná laserová tiskárna. Těmto požadavkům vyhovuje následující zařízení: Barevná laserová tiskárna Samsung CLP-510N – Rychlost tisku (A4): až 25 stran za minutu čb/6 str. za min. v barvě. – Rozlišení: 1 200 dpi, hlučnost (dB):49 (tisk). – Paměť 64 MB (1 rozš. slot až na 192 MB). – Tiskový jazyk: SPL-C (Samsung Printer Language Color). – Rozhraní: USB 2. 0, 10/100 Base TX. – Měsíční zatížení: 35 000 stran. 34

4.4

Návrh změn

– Softwarová podpora: Win 98/2000/Me/XP, Various Linux OS incl. Red Hat, Caldera, Debian, Mandrake, Slackware, SuSE, and TurboLinux, Mac OS 10. 3. – Kapacita vstupního zásobníku 250+100. Kapacita výstupních zásobníků 250 listů horní výstup. OBOUSTRANNY tisk. – Velikosti papíru: A4, multiúčelový podavač : pohlednice (105 × 148 mm), legal. – Speciální média: běžný papír, obálky, štítky, průhledné fólie, karty. – Velikost (Š × H × V) 483 × 467 × 360 mm. – Záruka: 24 měsíců. Na trhu se tato tiskárna pohybuje za výhodnou částku 8 739 Kč bez DPH. (Alave . . . , 2006) Osobní počítače Výměna pracovních stanic za výkonnější stroje v nejbližší době není naplánována, z důvodu vyřešení nejprve primárních problémů jako například zabezpečení sítě, nákup nového výkonného serveru a připojení dalších datových zásuvek. Nákup nových pracovních stanic bude proto realizován, až firma nahromadí další volné peněžní prostředky, které by mohla použít na inovaci hardwarového vybavení. 4.4.3

Software

Server • Antivirová řešení pro Linux Nod32 je komplexní antivirové řešení pro souborové a poštovní servery na platformě Linux. Ve výsledcích srovnávacích testů antivirových systémů se drží na špičce a získal ocenění „Virus Bulletin 100% Awardÿ za 100 % detekci v reálu se šířících virů. Licence je dodávána elektronicky v rámci pracovní doby a následný update za jeden či dva roky probíhají pomocí uživatelského jména a hesla, jehož platnost je ověřována centrem aktualizačních serverech společnosti Eset software. Navrhuji koupit dvouroční licence, která je cenově výhodnější než jednoroční licence. V ceně licence NOD32 je standardně zahrnuta dvouletá aktualizace. Během této doby může firma stahovat virové i programové aktualizace z Internetu, popřípadě tuto činnost ponechat přímo na modulu NOD32 Control Center, který je součástí NOD32. Po uplynutí tohoto období bude firma na tuto skutečnost upozorněna. Nod32 pro Linux Mail Server Je antivirovým systémem pro e-mailové servery běžící pod operačním systémem Linux a pod všemi jeho rozšířenými distribucemi (RedHat, Mandrake, Suse, Debian, . . . ). Podporuje poštovní servery – Sendmail, Postfix, Qmail, Exim). Rychlost skenovaní a kvalitní detekce, spolu s velmi malým ovlivněním výkonu, 35

4.4

Návrh změn

umožňují nasazení na libovolný mail server od malých kanceláří až po velké ISP servery s tisíci uživateli(NOD32 SE pro Mail . . . , 2005). Základní vlastnosti – Skenovací „motorÿ NOD32 poskytuje skvělé detekční schopnosti, ale i vysokou rychlost skenování. – Obsahuje i rozšířenou heuristickou analýzu pro detekci dosud neznámých Win32 HLL virů, šířících se elektronickou poštou. – MTA-nezávislé řešení. – Několik úrovní protokolování. – Interní unpacker pro celou řadu archivů a „run-timeÿ komprimovaných souborů – bez nutností externích programů. – Notifikace. – Možnost zápisu informace o infiltraci do předmětu, patičky nebo hlavičky e-mailu. – – – –

Systémové požadavky OS Linux (Kernel 2. 2. × nebo 2. 4. × nebo 2. 6. ×, glibc 2. 2. 5 a vyšší). Mail Transport Agent (např. : postfix, sendmail, qmail, exim, atd.). Mail Delivery Agent (např. : maildrop, procmail, deliver, local. mail). 5 MB diskového prostoru a 8 MB RAM.

Musí být zakoupeno 17 mailboxů. Dvouletá licence na 17 mailboxů stojí 8 400 Kč bez DPH. Nod32 pro Linux File Server Antivirový systém NOD32 pro Linux File Server je založen na výkonném skenovacím motoru NOD32. Nejvyšší skenovací rychlost společně s vysokou účinností detekce je umocněna minimálními systémovými nároky. Poslední generace antivirového systému NOD32 obsahuje rozšířenou heuristickou analýzu s její jedinečnou schopností detekce neznámých virů. Podporovány jsou opět všechny hlavní platformy operačního systému(NOD32 SE pro File . . . , 2005). – – – – –

Základní vlastnosti Skenovací motor NOD32 poskytuje jak nejvyšší spolehlivost detekce, tak i nejrychlejší časy skenování. Rozbaluje archivy bez nutnosti externího programu. Šestiúrovňové protokolování. Na ochranu celého souborového systému a běžících procesů používá jak on-demand, tak i on-access skenovací techniku. Zabezpečuje kontrolu přístupu k souborům přes systémy Samba, Nettalk a NFS. Systémová architektura

36

4.4

Návrh změn

NOD32 pro LFS se skládá z on-demand a on-access skeneru. Skener ondemand vykoná skenování vybraného souborového systému na požadavek uživatele prostřednictvím příkazového řádku. Použitím standardních nástrojů OS Linux je možné zabezpečit pravidelné periodické skenování souborů na základě předdefinovaného časového plánu. Skener „on-accessÿ monitoruje celý souborový systém v reálném čase. Skenování je spouštěno na základě systémových událostí jako je např. přístup k souboru. Na základě výsledku skenování se vykoná některá z předdefinovaných akcí – např. napadený soubor může být automaticky smazán nebo přejmenován. Systémové požadavky – OS Linux (Kernel 2. 2. × nebo 2. 4. × nebo 2. 6. glibc 2. 2. × 5 a vyšší). – 5 MB diskového prostoru a 8 MB RAM. Opět bude koupena licence na dva roky, která je cenově výhodnější. Cena jedné licence na server stojí 16 200 Kč bez DPH. • Konfigurace DHCP serveru V naší sítí jsou na všech strojích ručně nastavené IP adresy. Poněvadž je jich 16, což ještě není ani střední síť, ale na dynamicky přidělené IP adresy, rozhraní a další síťová nastavení, již je jich dost. Z hlediska použitelnosti to však již není moc výhodné a pro administrátora je také značné usnadnění práce. Proto zapíšeme IP adresy jen jednou a ostatní údaje potřebné budou uloženy do souboru, o který se pak už nemusíme starat. Jak již bylo řečeno, počítačů není mnoho, proto jsem zvolila statické nastavení IP adres podle ethernetových adres síťových karet (MAC adres), které nám pomohou při jakémkoli problému snadněji identifikovat místo vzniku. MAC adresy z daných strojů získáme v terminálu příkazem ifconfig -a. Protože správce sítě má stávající pevné IP adresy použité v nastavení jiných konfiguračních souborů, ponecháme mu je ve stejném formátu, čímž si ušetří mnoho práce i času. Na všech uživatelských počítačích pak stačí v síťovém nastavení zatrhnout políčko, získat adresu IP ze serveru DHCP automaticky. O vše ostatní se již stará server sám. Osobní počítače Na dvou pracovních stanicích je již zastaralý operační systém MS Windows 98 a proto by tuto nesourodost s ostatními operačními systémy bylo potřeba odstranit. Sice ještě pořád budou v síti dva operační systémy (MS Windows 2000 a XP), ale už nekompatabilita nebude tak velká, jako v případě tří rozdílných operačních systémů. Budou zakoupeny dvě licence na MS Windows 2000 a nainstalovaný na příslušné pracovní stanice, jejichž konfigurace je dostačující aby daný systém mohl být zprovozněn. 4.4.4

Náklady na vybudování lokální sítě

Shrnutí všech peněžních výdajů, které jsou spojeny ze změnami v lokální sítí. Uvedené ceny jsou Kč bez DPH. 37

4.4

1x INTEL SR1425BK1 1U rack platforma 1 × procesor PENTIUM 4 3. 0 GHz 2 × pevný disk WD CAVIAR XL WD2500BB 250 GB 2 × paměti KINGSTON DDR2 2 GB 533 MHz ECC CL4 1 × síťová tiskárna Samsung CLP-510N 17 × NOD32 Server Edition pro Linux Mail Server 1 × NOD32 Server Edition pro Linux File Server 2 × UTP CAT 5E, 305 m 5 × RJ-45 × 2 UTP CAT 5E 5 × FTP CAT 5E, 2 m 7 × Malpro elektroinstalační lišta 18/18 mm, 2 m Celkem

Návrh změn

13 250,4 388,22 520,4 446,8 739,8 400,16 200,2 518,505,175,126,81 267,-

Zjištěné celkové náklady na modernizaci sítě jsou odpovídající k rozsahu navrhovaných změn.

38

5

5 5.1

ZHODNOCENÍ A ZÁVĚR

Zhodnocení a závěr Zhodnocení

Navrhované změny jsou přínosem pro firemní komunikaci, ať již v rámci obchodů, které firma uskutečňuje se svými odběrateli a dodavateli z celé Evropy, ale i komunikaci mezi zaměstanci a vedením. Navrhované antivirové programy přinašejí kvalitní ochranu před nebezpečnými viry a jinému nežádoucímu kódu pro mail a file server. Toto řešení přináší i větší ochranu pro celou vnitřní síť. Také byl rozšířen počet síťových zásuvek, kterých byl již nedostatek. Z počátku budou využity pouze tři z nových zásuvek, kdy do jedné bude připojena nově zakoupená síťová tiskárna, další bude použita pro připojení počítače v kanceláře č. 10, ve které jsou dva zaměstnanci.Poslední z aktuálně potřebných zásuvek je využita k zapojení pracovní stanice, která byla dosud nezapojena do sítě. Tím se v podniku zlepšila infrastruktura sítě. Při rozšiřování počtu zásuvek byl brán zřetel i na případné rozšiřování počtu zaměstnanců a s tím související zvýšení počty pracovních stanic připojených do sítě. Vzhledem k náročnosti běžících aplikací na stávajícím serveru, nám zakoupením nového serveru umožnilo výrazné zlepšení zpracovávání požadavků od klienstkých stanic. Také zvýšení kapacit pevných disků nám přineslo rozšíření na dostatečný prostor pro potřebnou datovou základnu (FTP a zálohovací serverů). Docílili jsme také vyššího zabezpeční dat proti jejich případné ztrátě pomocí dvojice pevných disků, zrcadlených přes RAID. Na serveru byl nainstalován a zkonfigurován DHCP server, tím jsme výrazně snížili náročnost administrace (vše stačí nastavit pouze v konfiguračním souboru dhcpd. conf na serveru, není třeba konfigurovat jednotlivé stanice, tak jak tomu bylo doposud). Tím jsem docílili eliminace mnoha potenciálních chyb.

5.2

Závěr

Cílem mé bakalářské práce bylo navrhnout změny firemní lokální počítačové sítě, které by přispěli k jejímu lepšímu zabezpečení, modernizaci a částečnému rozšíření a to co s možná nejnižšími náklady. Bylo tedy navrženo takové řešení, které vyhovuje jak požadavkům na rozšíření sítě, zvýšení výkonu serveru, zkvalitnění zabezpečení a ochrany dat zároveň je možné při prošíření uplatnit stávající stav lokální sítě. Navrhované změny je tedy možno zavést bez velkých zásahu do stavající sítě a bez omezení provozu firmy. Při navrhování rozširování sítě byl brán zřetel na co nejnižši cenu. Při tvorbě mé bakalářské práce jsem se dozvěděla mnoho nových poznatků z oboru počítačových sítí a jsem ráda, že jsem si toto téma zvolila. Věřím, že má práce pomůže firmě se rozhodnout v dalším rozvoji stávající lokální sítě. Tato bakalářská práce může být také dále využitelná v podnicích stejného typu, jako podklad pro případnou inovaci lokální počítačové sítě.

39

6

6

LITERATURA

Literatura

Pužmanová, R. Moderní komunikační sítě od A do Z. Computer Press, 1998, 446 s., ISSN 80-7226-098-7. Kostroun, A. Stavíme si malou síť. Computer Press, 2001, 201 s., ISSN 80-7226-510-5. Dostálek,L. Velký průvodce protokoly TCP/IP – bezpečnost. Praha: Compter Press, 2003. 571 s., ISSN 80-7226-849-X. Klaška, L. Z historie Ethernetu [online]. c1999, poslední revize 09. 09. 1999. [cit. 2006-05-02]. Dostupné z http://www.svetsiti.cz/view.asp?rubrika=Tutorialy& temaID=88&clanekID=92. Co je Debian? [online]. c2007, poslední revize 19. 04. 2006. [cit. 2006-05-10]. Dostupné z http://www.us.debian.org/index.cs.html. Zajíc, P. Linux jako zálohovací server [online]. c2003, poslední revize 14. 02. 2005. [cit. 2006-05-10]. Dostupné z http://www.linuxsoft.cz/article.php?id article=697. Zapletal, L. Linux jako DHCP server [online]. c1998, poslední revize 19. 07. 2001. [cit. 2006-05-12]. Dostupné z http://www.root.cz/clanky/linux-jako-dhcp-server/. NOD32 SE pro Mail Server [online]. c2005, poslední revize 2005. [cit. 2006-05-13]. Dostupné z http://www.eset.cz/cz/produkty/vlastnosti/se lms. NOD32 SE pro File Server [online]. c2005, poslední revize 2005. [cit. 2006-05-13]. Dostupné z http://www.eset.cz/cz/produkty/vlastnosti/se lfs. Bednář, V. Bude váš Linux potřebovat antivirus? [online]. c1998, poslední revize 14. 11. 2005. [cit. 2006-05-13]. Dostupné z http://www.root.cz/clanky/bude-vas-linux-potrebovatantivirus/. Čevela, L. Tanec s Okny: Samba je když . . . [online]. c1998, poslední revize 08. 02. 2000. [cit. 2006-05-13]. Dostupné z http://www.root.cz/clanky/samba-je-kdyz/. Cikánek, M. FTP server a rsync [online]. cposlední revize 2004. [cit. 2006-05-14]. Dostupné z http://www.fi.muni.cz/kas/p090/referaty/2004-jaro/ skupina10/xcikanekreferat.html. Alave [online]. webové stránky,. [cit. 2006-05-14]. Dostupné z http://www.alave.cz/tiskarna-samsung-clp-510n-1200dpi25str-cb-6str-color-64mb:p:30532.

40

6

LITERATURA

Peterka, J. Počítačové sítě [online]. poslední revize 2005. [cit. 2006-05-14]. Dostupné z http://www.earchiv.cz/l214/index.php3. Chci se připojit k Internetu [online]. c1997, poslední revize 2005. [cit. 2006-05-16]. Dostupné z http://tutorialy.lupa.cz/internetove-pripojeni/. Boháč, J. SQUID – Kešující proxy server [online]. c1998, poslední revize 01. 10. 2002. [cit. 2006-05-17]. Dostupné z http://www.root.cz/clanky/squid-kesujici-proxy-server/. PKdata, s. r. o. [online]. webové stránky,. [cit. 2006-05-20]. Dostupné z http://megashop.pkdata.cz/?Mode=Sti&StiId=16169. Internetový obchod computer [online]. webové stránky,. [cit. 2006-05-20]. Dostupné z http://www.xcomputer.cz/DetailPage.asp?DPG=53354& CatId=620.

41

Přílohy

A PŮVODNÍ STAV LOKÁLNÍ SÍTĚ

A

Původní stav lokální sítě

Obrázek 9: Původní stav lokální sítě

43

B NOVÉ ŘEŠENÍ LOKÁLNÍ SÍTĚ

B

Nové řešení lokální sítě

Obrázek 10: Nové řešení lokální sítě

44

C

C

KONGIGURAČNÍ SOUBOR DHCP SERVERU

Kongigurační soubor DHCP serveru

# [/etc/dhcpd.conf] ddns-update-style ad-hoc; option domain-name "krab.cz"; option routers 10.0.0.1; option domain-name-servers 169.254.0.1; option subnet-mask 255.255.255.0; option broadcast-address 189.254.0.255;Unknown-00-04-75-b4-e9-27 default-lease-time 3600; max-lease-time 7200; subnet 10.0.1.0 netmask 255.255.255.0 { range 169.254.0.1 169.254.0.200. } group { host rmasarik { hardware ethernet 00-10-d8-5a-08-4e; fixed-address 169.254.0.2; } host vlasakova { hardware ethernet 00-11-d4-5c-2b-0e; fixed-address 169.254.0.3; } host asistent { hardware ethernet 00-13-d4-5d-4b-06; fixed-address 169.254.0.4; } host pzeman { hardware ethernet 00-11-d8-10-4d-4e; fixed-address 169.254.0.5; } host azeman { hardware ethernet 00-4f-62-06-b2-0d; fixed-address 169.254.0.6; } host ksrot { hardware ethernet 00-3c-b3-65-60-52; fixed-address 169.254.0.7; } host neufeld { hardware ethernet 00-60-b3-64-c2-73; fixed-address 169.254.0.8; } 45

C

KONGIGURAČNÍ SOUBOR DHCP SERVERU

host pokladna { hardware ethernet 00-3f-b4-c3-c2-71; fixed-address 169.254.0.9; } host pc2 { hardware ethernet 00-11-10-5d-08-4e; fixed-address 169.254.0.10; } host parkeova { hardware ethernet 00-c2-d6-5b-4b-0e; fixed-address 169.254.0.11; } host wagner { hardware ethernet 00-13-10-2c-3b-12; fixed-address 169.254.0.12; } host administrator { hardware ethernet 00-d3-d4-12-3a-5a; fixed-address 169.254.0.13; } host sklad { hardware ethernet 00-60-12-4c-c2-71; fixed-address 169.254.0.14; } host logistika { hardware ethernet 00-12-b3-64-4b-b4; fixed-address 169.254.0.15; } host beranek { hardware ethernet 00-11-d5-5a-4b-5c; fixed-address 169.254.0.17; } host tiskarna1 { hardware ethernet 00-5a-c4-11-12-5b; fixed-address 169.254.0.98; } host tiskarna2 { hardware ethernet 00-11-10-5c-3b-3a; fixed-address 169.254.0.99; } host dochazka { hardware ethernet 00-11-b3-64-a4-52; fixed-address 169.254.0.140;}} 46