Počítačová síť TUONET a její služby
Petr Grygárek katedra informatiky Fakulta elektrotechniky a informatiky VŠB-TU Ostrava
Osnova ● ● ●
Síťové technologie provozované v TUONETu. Připojení TUONETu do Internetu Možnosti přímého připojování zařízení do TUONETu – –
● ●
Význam a konfigurace parametrů pro připojení Autentizace zařízení
Přístup ke službám Internetu z TUONETu Přístup ke službám TUONETu z Internetu
Síťové technologie v TUONETu ●
Ethernet – – –
●
struktura přepínačů (huby jen výjimečně) klientské porty: 10/100 Mbps, servery 1Gbps páteřní spoje: 100Mbps, 1Gbps
WiFi (IEEE 802.11) – –
–
802.11b: 2.5 GHz, max. 11 Mbps 802.11g: 2.5 GHz, max. 54 Mbps ● zpětně kompatibliní ● většina AP reálné propustnosti max. cca 1/2 teoretických, závisí na vzdálenosti od AP a počtu aktivních klientů
Ethernet (1) Internet Smerovac (router) Prepinace (switch)
Pevne pripojena zarízení
802.1x i M ac
i M ac
iM a c
Zarizeni studentu
Ethernet (2) ●
● ●
Propojení nestíněnou kroucenou dvoulinkou (UTP5e) – přímé propojení (1:1) Konektor RJ-45 (8 pinů) Catalyst 2950 Switch:
WiFi
● ●
Access Point (AP) – vykrývá signálem jednu buňku Pro připojení v klientovi nutno nadefinovat identifikaci sítě (SSID) – –
na VŠB není vysílán tuonet-eap, tuonet-vpn – fyzicky tatáž AP
WiFi-pokrytí ● ● ● ●
počítačové učebny, studovna, veřejné prostory,... označení „WiFi hotspot“ postupné pokrývání dalších prostor aktuální stav viz http://wifi.vsb.cz
Identifikace zařízení v síti ●
MAC adresa – – –
48 bitů, např. 00:c0:ae:1c:20:7e napevno „vypálená“ v síťovém rozhraní zařízení celosvětově jednoznačná (3B kód výrobce, 3B přiděluje výrobce)
●
IP adresa – –
32 bitů, např. 158.196.149.9 zařízení přiřazena administrátorem, konfigurovaná v OS ● ●
nastavená manuálně staticky přidělena na požádání síťovou službou DHCP (Dynamic Host Configuration Protocol) – –
dynamická volba adresy (mobilní zařízení) stále stejná adresa přidělovaná podle MAC adresy (pevně připojená zařízení)
Identifikace procesu v síti - porty Proces = program právě běžící na některé stanici (připojené k síti) ●
● ●
Na stanici s jednou IP adresou současně běží více různých procesů Procesy v rámci stanice rozlišeny číslem portu Čísla portů obecně používaných služeb dohodnuta – – – –
80 – WWW 23 – Telnet 22 – Secure Shell 110 – Post Office Protocol (čtení pošty)
IP adresa ●
●
dělení na dvě části: adresa sítě a adresa uzlu v rámci sítě hranici částí určuje maska podsítě (subnet mask) – – –
●
sekvence 32 bitů počet jedniček zleva určuje počet bitů v adrese sítě zapisuje se jako čtveřice dekadických číslic :-(
Příklad: – – – –
IP adresa: 158.196.157.123 Maska podsítě: 255.255.255.0 (11111111.11111111.11111111.0) adresa sítě je 158.196.157.0 adresa uzlu je .123
IP adresa (příklad) 172.16.1.1 172.16.1.254 172.16.1.X 255.255.255.0 158.196.X.X 255.255.0.0
router
158.196.0.1 158.196.255.254
192.168.1.(1000)xxxx 255.255.255.240 192.168.1.129 192.168.1.142
IP adresy VŠB-TU ● ●
●
prefix 158.196.x.x jednotlivým segmentům sítě přiřazeny delší prefixy lišící se v dalších bitech maska podsítě na různých segmentech na VŠB různá (VLSM) – –
podle počtu stanic na segmentu rozsahy adres různých segmentů se nesmí překrývat
Přidělování starostí správců. Uživatelská zařízení získávají adresu přes DHCP nebo VPN klienta.
Parametry síťového připojení ● ● ●
IP adresa Maska podsítě (subnet mask) Výchozí brána (default gateway) – –
●
●
adresa směrovače, kam posílat pakety pro stanice mimo lokální síť zpravidla nejnižší adresa na podsíti
IP adresa serveru DNS –
pro mapování doménových jmen na IP adresy
–
158.196.149.9 (dns1.vsb.cz), 158.196.147.15 (dns2.vsb.cz)
Implicitní doména: – –
pro relativní jména DNS VSB.CZ
Parametry síťového připojení (příklad) Internet DNS Server
DHCP Server
158.196.135.1
TUONET
=
158.196.157.1
158.196.135.0 255.255.255.0
158.196.146.1
158.196.146.0 255.255.255.0
158.196.157.0 255.255.255.0
iM a c
158.196.146.2158.196.146.254 subnet mask 255.255.255.0 158.196.157.2default gw 158.196.157.1 158.196.157.254 subnet mask 255.255.255.0 default gw 158.196.157.1 iM a c
i M ac
i M ac
i M ac
iM a c
iM a c
158.196.135.2158.196.135.254 subnet mask 255.255.255.0 default gw 158.196.135.1
iM a c
i M ac
Parametry síťového připojení (konfigurace) ● ●
Autorizovaná zařízení mohou vše získat z DHCP Nenastavujte nepřidělené adresy manuálně ! – přestane fungovat legálnímu vlastníkovi – nebude delší dobu fungovat ani vám – i v případě nekoliznosti mnohé servery (služby) legálnost adres testují
Způsoby přístupu do TUONETu Pripojeni pres VPN iM a c
Pevne pripojení k prepinaci
(nutna registrace) VPN klient
Internet
i M ac
802.1x
VPN koncentrator
Firewall (filtrace)
pevná struktura TUONET Modemova pripojeni i M ac
modem
Terminal Server
tuonet-eap tuonet-vpn
Telefonní sít
WiFi dynamicky WEP EAP TLS
WiFi nesifrovano VPN (IPSec)
CZFree
Pripojeni pres VPN
Přístup přes Ethernet ● ●
●
●
Vhodný pro přenos větších objemů dat Připojení do veřejného portu přepínače (10/100Mbps) Před vpuštěním do sítě bude požadována autentizace certifikátem Operační systém musí podporovat 802.1x
Přístup přes WiFi s EAP-TLS ● ● ●
Pokud ovladač WiFi klienta podporuje EAP-TLS Autentizace certifikátem (předaným přes EAP) Použit WEP s dynamickou výměnou klíčů (128-bitových)
Přístup přes VPN (princip) ●
Šifrovaný tunel přes veřejný Internet (nebo WiFi infrastrukturu tuonet-vpn) –
●
●
●
(šifrovaný tunel IPSec, prvotní symetrická hesla předsdílená, dále dynamická dohoda)
Tunel ukončen na hraničním bodu TUONETu – VPN koncentrátoru VPN koncentrátor vpustí uživatele až po autentizaci uživatelským jménem a heslem (LDAP) Je potřebný speciální software-VPN klient – –
Po přihlášení platným jménem a heslem uživatele z LDAP lze získat z WWW stránek VŠB-TU Pro Win/Linux zdarma, pro WinCE/Palm komerční
Přístup přes VPN (vlastnosti) ●
Po autentizaci přidělení IP adresy z rozsahu VŠB-TU –
●
●
●
●
stanice se logicky („virtuálně“) stává součástí TUONETu
Přístupová práva a omezení jako pro stanice pevně připojené k TUONETu Vhodné i pro WiFi klienty nepodporující EAP-TLS a WEP s dynamickou výměnou klíčů Pokud ISP nepropouští IPSec, možno jej tunelovat v UDP (port 4500) nebo TCP (port 10000) Tunelování řeší i problém NAT
Přístup přes VPN (konfigurace) ●
●
Přístup z WiFi VŠB-TU nebo z CZFree funguje automaticky (po nastavení VPN klienta) Přístup přes VPN z Internetu musí zvlášť povolit administrátor –
●
●
●
Ing. Jiří Grygárek (CVT)
Pro přístup z WiFi VŠB-TU použijte SSID „tuonet-vpn“ bez WEP (zabezpečení řeší vyšší vrstva-IPSec) POZOR: adresa VPN koncentrátoru jiná pro přístup z Internetu, WiFi VŠB-TU a CZFree Informace viz http://homel.vsb.cz/vpn
Modemová připojení ● ● ● ● ●
Omezený počet kont (100) Terminálový server disponuje 14 modemy Autentizace TACACS (generována zvláštní hesla) Denní a měsíční časová kvóta Přidělování vždy na začátku semestru –
●
Ing. Ivan Doležal (CVT)
Viz http://www.vsb.cz/cvt/modemy
Další možnosti připojení do TUONETu ● ●
Internetové kiosky Koleje-internetová patra – –
Budova B: 2.,3.,4. patro; budova C: 2.,3.,4. patro Žádosti o připojení: Ing. Jiří Grygárek (CVT)
Autentizace uživatelů a zařízení při přístupu do TUONETu Ověření identity uživatele před vstupem do sítě Vstup dovolen jen pro autentizovaná zařízení ●
MAC adresou – –
●
Certifikátem uživatele – –
●
na konkrétním portu konkrétního přepínače Ethernetu jen pevně připojená zařízení patřící VŠB-TU na Ethernet přepínačích s veřejnými porty (802.1x) na WiFi AP s podporou 802.1x (SSID tuonet-eap)
Uživatelským jménem a heslem (LDAP,TACACS) – –
Přístup přes VPN koncentrátor Modemové připojení
Autentizace certifikátem ●
vydává certifikační autorita VŠB-TU nebo FEI – –
● ●
● ●
Ing. Ivan Doležal, CVT Pavel Stoklasa, děkanát FEI
informace viz http://www.vsb.cz/CA nutno fyzicky kontaktovat správce certifikační autority s občanským průkazem a průkazem studenta vydávané certifikáty platné do r. 2006 možnost odvolání zneužitého certifikátu –
CRL-Certificate Revocation List
Použití pro WiFi VŠB-TU (tuonet-eap) a porty Ethernet s 802.1x
Autentizace jménem a heslem ●
Jménem a heslem LDAP – – – –
V databázi všichni studenti, hesla jako v Novellu Pro VPN přes WiFi VŠB-TU (tuonet-vpn) Pro VPN z CZFree Pro VPN z Internetu (po registraci) ●
●
Ing. Jiří Grygárek (CVT)
Jménem a heslem TACACS –
Pro modemová připojení ● ●
jen registrovaní uživatelé Ing. Ivan Doležal (CVT)
Nastavení a ověření hesla ● ●
http: // uzivatel.vsb.cz Obsahuje i kontakty na příslušné fakultní správce
Připojení TUONETu do Internetu (CESNET)
CZFree ● ● ●
Síť WiFi s volným připojováním uživatelů Podmínky definuje správce konkrétního AP Možnost přístupu do Internetu placená podle lokálních podmínek –
●
VŠB-TU je uzlem CZFree –
●
●
Ostrava: http://wi.fi.cz http://www.vsb.cz/cvt/czfree
Vstup do sítě školy (a dále do Internetu) možný pro oprávněné uživatele pomocí VPN VŠB-TU není zodpovědná za provoz CZFree
Přístup ke službám Internetu z TUONETu Bezpečnostní omezení – – ●
povolen jen vybraný provoz dočasné (ephemeral) porty nepropouštěny
http://www.vsb.cz/cvt/TUONET/i_podm.htm – – – – – –
WWW, POP, IMAP klienti odkudkoli SSH (+scp) odkudkoli Telnet a pasivní FTP jen z homel.vsb.cz FTP z WWW prohlížeče přes cache.vsb.cz:3128 Možnost přeposílání dalšího provozu po dohodě přes Socks5 server Ping mezi TUONETem a Internetem jen z homel.vsb.cz (a služebních sítí)
Přístup ke službám Internetu přes server Socks 1.Nejprve autentizace uživatele u Socks serveru • •
Konkrétní uživatel musí být k použití autorizován Správcem Ing. Ivan Doležal (CVT)
2.Aplikace naváže spojení se Socks serverem a požádá jej o zřízení spojení se serverem služby •
Socks server je oprávněn zřizovat spojení přes firewall
3.Socks server dále pouze přemosťuje obě spojení •
pro server služby je Socks transparentní
- Mnohé aplikace mají podporu Socks vestavěnu - Knihovna SocksCap pro aplikace bez podpory Socks (náhrada knihoven pro komunikaci v síti)
Přístup ke službám TUONETu z Internetu ●
Z veřejného Internetu (bez použití VPN) přístup do TUONET velmi omezený – – –
WWW na vybrané servery Doručení pošty na vybrané servery SSH na homel.vsb.cz ● ●
– ●
Po dohodě se správcem z dohodnuté adresy Ing. Martin Pustka (CVT)
Čtení pošty (POP3S, IMAPS) na homel.vsb.cz
Přístup k Novell Serverům – –
přes VPN IP Client od Novellu, ne vestavěný od Microsoftu
Elektronická pošta ●
Antivirový filtr –
●
Antispamový filtr –
●
označování při filtraci a možnost třídění e-mailovým klientem
Odesílání pošty – –
●
Dočasná archivace zavirovaných zpráv
jen smtp.vsb.cz (jen z TUONETu), prochází antivirem max 20 MB zpráva (ale ostatní často méně)
Čtení pošty – – –
WWW rozhraní: posta.vsb.cz (HTTPS) – i posílání POP3S, IMAPS z homel.vsb.cz POP3 a IMAP na servery vně TUONETu povolen odevšad
El. pošta není šifrovaná ani autentizovaná služba !
Studium počítačových sítí na FEI ●
Bc: –
●
Specializace (Ing.): – –
●
Počítačové sítě (3.ročník ZS) Přepínané a směrované sítě (4.ročník LS) Technologie počítačových sítí (5.ročník ZS)
Cisco Networking Academy Program – –
CCNA (semestry 1-4) CCNP (semestry 5-8) – jen VŠB-TU a ČVUT
Proč studovat počítačové sítě ?
Postavte si vlastní TUONET ;-) !