Mendelova univerzita v Brně Provozně ekonomická fakulta
Renovace sítě a počítačových učeben na SOŠ Podyjí Bakalářská práce
Vedoucí práce: Ing. Jiří Balej
Martin Šupola
Brno 2014
Poděkování Rád bych poděkoval svému vedoucímu práce, panu Ing. Jiřímu Balejovi, za oborné vedení a konzultace. Děkuji panu Mgr. Pavlu Šarešovi za poskytnutí podrobných informací o stávajícím stavu a podporu při řešení renovace. Dále bych chtěl poděkovat svému kamarádovi Janu Bětíkovi za cenné rady, paní PaedDr. Evě Kantorové za jazykovou korekturu a v neposlední řadě patří veliké díky mým rodičům a bratrovi za trpělivost a shovívavost, kterou ke mně při zpracovávání této práce měli.
Čestné prohlášení Prohlašuji, že jsem tuto práci: Renovace sítě a počítačových učeben na SOŠ Podyjí vypracoval samostatně a veškeré použité prameny a informace jsou uvedeny v seznamu použité literatury. Souhlasím, aby moje práce byla zveřejněna v souladu s § 47b zákona č. 111/1998 Sb., o vysokých školách ve znění pozdějších předpisů, a v souladu s platnou Směrnicí o zveřejňování vysokoškolských závěrečných prací. Jsem si vědom/a, že se na moji práci vztahuje zákon č. 121/2000 Sb., autorský zákon, a že Mendelova univerzita v Brně má právo na uzavření licenční smlouvy a užití této práce jako školního díla podle § 60 odst. 1 Autorského zákona. Dále se zavazuji, že před sepsáním licenční smlouvy o využití díla jinou osobou (subjektem) si vyžádám písemné stanovisko univerzity o tom, že předmětná licenční smlouva není v rozporu s oprávněnými zájmy univerzity, a zavazuji se uhradit případný příspěvek na úhradu nákladů spojených se vznikem díla, a to až do jejich skutečné výše. V Brně dne 21. května 2014
_______________________________
Abstract Šupola, M. Renovation of a network and computer classrooms at secondary school Podyji. Bachelor thesis. Brno: Mendel University, 2014. The subject of this Bachelors thesis is a renovation of a computer network and computer labs on the secondary technical school Podyjí. It analyzes the current state of the hardware, software and overall structure of the network. The renovation and further improvements are based on the analysis too. This thesis ends with the economical evaluation of the entire project and with benefits for the school. Keywords computer network, renovation, school, classroom, security, VLAN, server, backup
Abstrakt Šupola, M. Renovace sítě a počítačových učeben na SOŠ Podyjí. Bakalářská práce. Brno: Mendelova univerzita v Brně, 2014. V této bakalářské práci je řešena renovace školní počítačové sítě a počítačových učeben na SOŠ Podyjí. Je provedena analýza stávajícího stavu z hlediska hardwaru, softwaru i struktury celé počítačové sítě. Na základě této analýzy je řešena samotná renovace a případný další návrh na vylepšení. Práce je zakončena ekonomickým zhodnocením celého projektu a přínosy pro samotný subjekt. Klíčová slova počítačová síť, renovace, škola, učebna, zabezpečení, VLAN, server, zálohování
Obsah
6
Obsah 1
2
3
Úvod a cíl práce
13
1.1
Úvod....................................................................................................................................... 13
1.2
Cíl práce................................................................................................................................ 13
1.3
Metodika řešení ................................................................................................................ 14
Přehled literatury
15
2.1
Literatura v oblasti hardwaru ..................................................................................... 15
2.2
Literatura v oblasti programového vybavení ........................................................ 15
2.3
Literatura v oblasti počítačových sítí a zabezpečení .......................................... 16
2.4
Stránky výrobce ................................................................................................................ 16
2.5
Již vzniklé bakalářské a diplomové práce ............................................................... 17
Zásady při vytváření sítí – teorie 3.1
18
Kabeláž a bezdrátové spoje .......................................................................................... 18
3.1.1
Metalické kabely ..................................................................................................... 18
3.1.2
Optické kabely ......................................................................................................... 21
3.1.3
Bezdrátové spoje .................................................................................................... 22
3.2
Strukturovaná kabeláž ................................................................................................... 22
3.3
Síťová propojovací zařízení.......................................................................................... 23
3.3.1
Repeater..................................................................................................................... 23
3.3.2
Hub............................................................................................................................... 23
3.3.3
Bridge .......................................................................................................................... 24
3.3.4
Switch ......................................................................................................................... 24
3.3.5
Router ......................................................................................................................... 24
3.3.6
Gateway...................................................................................................................... 24
3.4
Referenční ISO/OSI Model ............................................................................................ 24
3.4.1
Fyzická vrstva .......................................................................................................... 25
3.4.2
Linková vrstva ......................................................................................................... 25
3.4.3
Síťová vrstva ............................................................................................................ 25
3.4.4
Transportní vrstva ................................................................................................. 25
Obsah
3.4.5
Relační vrstva .......................................................................................................... 26
3.4.6
Prezentační vrstva ................................................................................................. 26
3.4.7
Aplikační vrstva ...................................................................................................... 26
3.5
Architektura TCP/IP a adresace ................................................................................. 26
3.5.1
Standard Ethernet .................................................................................................. 27
3.5.2
Adresace IPv4 .......................................................................................................... 27
3.5.3
Adresace IPv6 .......................................................................................................... 28
3.5.4
Překlad adres (NAT) ............................................................................................. 29
3.6
VLAN...................................................................................................................................... 29
3.6.1
Nastavení portů VLAN .......................................................................................... 30
3.6.2
DHCP Relay ............................................................................................................... 30
3.7
Požadavky na server ....................................................................................................... 30
3.7.1
Požadavky z hlediska spolehlivosti ................................................................ 31
3.7.2
Požadavky z hlediska výkonnosti .................................................................... 31
3.8
Zabezpečení serveru ....................................................................................................... 31
3.8.1
Redundance .............................................................................................................. 31
3.8.2
RAIDové pole ........................................................................................................... 32
3.8.3
Softwarové zabezpečení ...................................................................................... 32
3.8.4
Zálohování serveru ................................................................................................ 33
3.9
4
7
Služby běžící na serveru ................................................................................................ 33
3.9.1
DNS .............................................................................................................................. 33
3.9.2
DHCP ........................................................................................................................... 34
3.9.3
AD ................................................................................................................................. 34
3.9.4
Print server ............................................................................................................... 34
3.9.5
Souborový server ................................................................................................... 34
Původní stav sítě a počítačových učeben
35
4.1
Konektivita k síti internet ............................................................................................. 35
4.2
Struktura sítě ..................................................................................................................... 35
4.3
Stávající zabezpečení sítě .............................................................................................. 36
4.4
Stávající servery ................................................................................................................ 37
4.5
Počítačové učebny............................................................................................................ 38
Obsah
5
4.5.1
Učebna 208 ............................................................................................................... 38
4.5.1
Učebna 306 ............................................................................................................... 39
4.5.1
Učebna 307 ............................................................................................................... 39
4.5.2
Výpočetní technika ve sborovně a ředitelně ............................................... 40
Návrh renovace sítě a učeben
41
5.1
Konektivita k síti internet ............................................................................................. 41
5.2
Struktura sítě ..................................................................................................................... 41
5.2.1
Nastavení switche .................................................................................................. 43
5.2.2
Nastavení routeru .................................................................................................. 44
5.2.3
Nastavení klientů.................................................................................................... 46
5.3
Servery ................................................................................................................................. 47
5.3.1
Nastavení hlavního serveru ............................................................................... 47
5.3.2
Mail a web server ................................................................................................... 50
5.3.3
Diskové pole NAS ................................................................................................... 50
5.4
Zabezpečení sítě................................................................................................................ 50
5.4.1
HW zabezpečení sítě ............................................................................................. 50
5.4.2
SW zabezpečení sítě .............................................................................................. 51
5.4.3
Zásady hesel ............................................................................................................. 51
5.4.4
Správa sítě a jejich prvků .................................................................................... 51
5.5
Počítačové učebny............................................................................................................ 52
5.5.1
Učebna 208 ............................................................................................................... 52
5.5.2
Učebna 306 ............................................................................................................... 53
5.5.3
Učebna 307 ............................................................................................................... 53
5.5.4
Další výpočetní technika ..................................................................................... 56
5.5.5
Obecné zabezpečení učeben .............................................................................. 56
5.6 6
8
Cyklus obnovy počítačových učeben ........................................................................ 57
Zhodnocení a stav projektu
58
6.1
Hardware ............................................................................................................................. 58
6.2
Software ............................................................................................................................... 58
6.3
Souhrnné zhodnocení a další náklady ...................................................................... 58
6.4
Aktuální stav renovace ................................................................................................... 59
Obsah
7
9
Závěr 7.1
61
Vize do budoucna ............................................................................................................. 61
8
Literatura
62
A
Vybrané fotografie
64
B
CD/DVD
65
Seznam obrázků
10
Seznam obrázků Obr. 1
Zapojení konektoru RJ45 dle EIA/TIA 568A
20
Obr. 2
Ukázka rackové skříně
23
Obr. 3
Sedmivrstvý model ISO/OSI
25
Obr. 4
Ethernetový rámec
27
Obr. 5
Příklad IP adresy verze IPv6
29
Obr. 6
Příklad sítě VLAN
30
Obr. 7
Původní infrastruktura školní sítě.
36
Obr. 8
Schéma ideální sítě s redundancí
41
Obr. 9
Konečný návrh sítě
42
Obr. 10
Switch TP-Link TL-SG2424
43
Obr. 11
Ukázka webového rozhraní switche TL-SG2424
44
Obr. 12
Ukázka nastavení sítí VLAN na routeru mOnOwall
45
Obr. 13
Ukázka virtuální portů na routeru
45
Obr. 14 Firewallové pravidlo pro zákaz komunikace z učebny 208 do ostatních učeben.
46
Obr. 15 Nastavení názvu PC a nastavení získání DHCP adresy ze serveru
47
Obr. 16
Možná struktura rozdělení uživatelů
49
Obr. 17
Nesprávné umístění switche – není chráněn
64
Obr. 18
Staré servery umístěny v neklimatizované místnosti
64
Seznam tabulek
11
Seznam tabulek Tab. 1
Zapojení konektoru RJ45
20
Tab. 2
Kategorie kroucené dvojlinky
21
Tab. 3
Přehled nejpoužívanějších standardů WIFI
22
Tab. 4
Přehled tříd IP adres
28
Tab. 5
Rezervované IP adresy
28
Tab. 6
Výchozí síťové masky pro jednotlivé třídy
28
Tab. 7
Původní aktivní síťové prvky
36
Tab. 8
Srovnání parametrů serverů
38
Tab. 9
Současná konfigurace učebny 208
38
Tab. 10
Současná konfigurace učebny 206
39
Tab. 11
Současná konfigurace učebny 307
40
Tab. 12
Příklad nastavení oborů IP adres pro sítě VLAN
48
Tab. 13
Minimální systémové požadavky aplikace ArchiCAD 17
54
Tab. 14
Porovnání původních konfigurací jednotlivých učeben
55
Tab. 15
Porovnání nových konfigurací jednotlivých učeben
56
Tab. 16
Souhrn výdajů za nákup potřebného vybavení
59
Úvod a cíl práce
13
1 Úvod a cíl práce 1.1
Úvod
S výpočetní technikou se v dnešní době setkáváme na každém kroku. Vzhledem k jejímu širokému využití se s ní můžeme setkat v obchodech při platbě kartou, v bankomatech, u chytrých telefonů, televizí a další elektroniky. Neexistuje žádný obor, který by se obešel bez použití výpočetní techniky. Již několik let se s ní setkáváme i ve školství, kde pomáhá zkvalitňovat výuku. Již v první třídě základní školy se žáci učí s počítačem správně zacházet a efektivně jej využívat k práci. Díky využití těchto technologií může být studium významně zjednodušeno a výuka může být pojata různými způsoby. Jedním z typických příkladů jsou různé interaktivní aktivity, díky kterým je pro studenty dané učivo pochopitelnější. Například v zeměpise žáci doplňují interaktivní slepé mapy. Dalším typickým příkladem jsou různé výukové aktivity na procvičování jazyků, nebo různé hry rozvíjející paměť a vědomosti. Těchto technologií využívají i starší studenti pro vyhledávání různých informací na internetu, zpracovávání dalších (a nejen školních) úkolů, či další zábavu. Současně s přibýváním výpočetní techniky se začala rozrůstat i celosvětová počítačová síť Internet, bez které by nebyla výměna informací tak snadná. Konektivitu k internetu si zřizovalo stále více subjektů a počítačové sítě ve školství vznikaly postupně na základě potřeb. Vzhledem k tomu, že v mnoha školách není k dispozici mnoho finančních prostředků, jsou tyto sítě již mnohdy zastaralé a nevyhovující. Tato bakalářská práce se zaobírá renovací počítačové sítě a nákupem nových počítačů pro Střední odbornou školu Podyjí s.r.o. Je to soukromá střední škola menšího rozsahu, na které studuje ročně kolem 250 studentů ve dvou oborech. Vzhledem k tomu, že se jedná o soukromou školu menšího rozsahu, je výše finančních prostředků značně omezena. Proto je při realizaci projektů rozhodující především výše nákladů, které je pro jejich realizaci nutné vynaložit, což se hlavně projevuje v méně častém cyklu obnovy technického vybavení, které škole slouží i několik let po jeho morálním i technickém zastarání.
1.2
Cíl práce
Cílem této bakalářské práce je modernizace již nevyhovujících počítačových učeben a restrukturalizace zastaralé počítačové sítě tak, aby splňovala současné požadavky, neboť kvalitní technické zázemí zvyšuje efektivitu práce. Hlavním cílem je nákup nové počítačové učebny, která bude sloužit pro výuku studentů oboru Pozemní stavitelství, kteří pracují v grafickém programu ArchiCAD. Dále pak tato učebna bude sloužit i k virtualizovanému řešení pracovních stanic pomocí aplikace Oracle VirtualBox. V budoucnu po dokoupení dalších síťových prvků i jako síťová laboratoř, což využijí především studenti oboru Informačních technologií, zejména
Úvod a cíl práce
14
v předmětu Počítačové sítě a systémy, kteří neměli doposud žádnou možnost si své nabyté vědomosti vyzkoušet v praxi. Dalším krokem je upgrade zbylých počítačových učeben, důkladná údržba jednotlivých počítačů, případné rozšíření operační paměti a přechod na novější verzi operačního systému z důvodu končící podpory systému Windows XP. Nezbytnou součástí modernizace je nákup nového síťového serveru, protože ten původní je v havarijním stavu. Současně je řešen i přechod na novější operační systém Windows Server 2008 R2. Dále pak jeho zálohování, spolehlivost, zabezpečení a zřízení diskového pole pro zálohy. Je provedena výměna jednotlivých propojovacích zařízení, popřípadě výměna nebo doplnění kabeláže a celkové zabezpečení sítě. V samotném závěru práce je ekonomické zhodnocení celého projektu a diskuze, co nového tato práce přinesla. Nakonec je naznačena vize do budoucna, jakým směrem by se měl další upgrade ubírat.
1.3
Metodika řešení
Prvním krokem k vypracování této práce je nastudování odborné literatury, publikací a závěrečných prací na toto téma, které již vznikly. Také je vhodné se inspirovat jinými řešeními, která jsou aplikovaná například v různých školách. Po prostudování odborné literatury, a tím i seznámení se s problematikou v oblasti návrhu, výstavby a zabezpečení počítačových sítí, se provede analýza stávajícího stavu sítě, jednotlivých síťových prvků, dále pak bude řešen stav serverů a konektivita k síti internet. Bude zanalyzován stav jednotlivých počítačových učeben vzhledem k jejich určení a stav dalších počítačů na škole. Po provedení analýzy je vypracován návrh nové infrastruktury celé sítě jak z hlediska struktury, tak i jejího zabezpečení. Je navržena modernizace serverů a jeho služeb. Dále se provede návrh vylepšení jednotlivých počítačových učeben a všech počítačů na škole. Konečný návrh je pak realizován s ohledem na nízký finanční obnos, který si škola může dovolit vynaložit. Posledním úkolem je ekonomické zhodnocení projektu a naznačení vize do budoucna.
Přehled literatury
15
2 Přehled literatury Ohledně této problematiky bylo napsáno již mnoho odborné literatury, článků a jiných prací, ve kterých jsou obdobná řešení. Tato odborná literatura se většinou dělí do jednotlivých okruhů, jako je například literatura, zabývající se základy počítačových sítí, jejich zabezpečením. Seznámil jsem se s některými bakalářskými a diplomovými oracemi, které byly již v minulosti vypracovány. Obecně však lze říci, že vývoj informačních technologií jde velikým krokem kupředu a většina trendů se mění. Stoupají požadavky na zabezpečení, bezporuchový a hlavně spolehlivý provoz. Při návrhu sítě je vhodné se držet obecného řešení, které je v literatuře k dispozici, ale pro daný subjekt je nutná úprava přímo na míru. Univerzální řešení, které by bylo plně funkční a aplikovatelné ve všech subjektech neexistuje. Proto je odborná literatura či hotové práce dobrým vodítkem, ale nikoliv hotovým řešením.
2.1
Literatura v oblasti hardwaru
Hardware se vyvíjí velmi rychlým krokem a je třeba jeho trendy sledovat. Týká se to hlavně hardwaru počítačového, ze kterého se skládá samotný počítač. Elektronika velmi rychle zastarává jak po morální stránce, tak i po stránce výkonu. Vyvíjí se stále lepší komponenty. Dobrým vodítkem je kniha Stavíme si počítač (Broža, 2001), která je sice starší, ale čitatele podrobně seznamuje s jednotlivými komponenty a radí, jaké parametry, u kterých komponent sledovat. Je velmi vhodné zajímat se hlavně o internetové portály a odborné časopisy, zabývající se hardwarem, kde bývají aktuální informace. Jedná se například o webové portály extrahardware (http://extrahardware.cnews.cz/), pctuning (http://pctuning.tyden.cz/hardware) nebo zive (http://www.zive.cz/), kde jsou k dispozici i různé srovnávací testy, které docela významně pomohou při výběru správných počítačových komponent.
2.2
Literatura v oblasti programového vybavení
Programové vybavení počítačů je taková oblast, která se vyvíjí podobně rychle jako hardware. Vznikají novější verze programů, a naopak od těch starších se postupně upouští a přestávají být podporovány jejich výrobcem. Tato skutečnost se například projevuje absencí nových ovladačů k hardwaru pro operační systém, na kterém je provozován. Dobrým zdrojem je známý internetový portál extrawindows (http://www.cnews.cz/software), který přináší aktualizované informace z oblasti softwaru jak komerčního, tak i opensource. Existuje i literatura, ve které se pojednává přímo o daném softwaru. Aktuálně například knihy ohledně nejpoužívanějšího operačního systému Microsoft Windows 7 - Microsoft Windows 7, podrobná uživatelská příručka (Bitto, 2009) nebo Mistrovství v Windows 7 (Siechert, Stinson a Bott, 2010). O nejnovějším operačním systému Windows 8 společnosti Microsoft již také vznikla kvalitní literatura, zabývající se jeho instalací a nastavením. Je to například Mistrovství v Windows 8 (Northrup, 2013) nebo Microsoft Windows 8,
Přehled literatury
16
podrobná uživatelská příručka (Bitto, 2012). Obecně se jedná o literaturu, která podrobně řeší instalaci, nastavení a ovládání operačního systému. Kromě operačních systémů Windows společnosti Microsoft existuje i tzv. GNU/Linux. Je to systém, který je poskytován pod různými typy licencí zdarma. I přesto, že bývá poskytován zdarma, může být v případě Enterprise řešení systém zpoplatněn. Výrobce však k němu poté poskytuje uživatelskou podporu. Linux existuje ve stovkách distribucí, jejichž přehled je dostupný na webovém portálu distrowatch (http://distrowatch.com/). Pro každou z nich je k nalezení návod k instalaci, který je většinou umístěn na oficiálních stránkách dané distribuce. Vhodným portálem je linux.cz (http://www.linux.cz/), který docela pomůže s výběrem správné linuxové distribuce. Mezi další vhodné zdroje z oblasti OS Linux patří známý portál ABClinuxu (http://www.abclinuxu.cz/), kde je možné najít různé rady, nebo specifické nástroje. Vzhledem k tomu, že existuje nepřeberné množství linuxových distribucí a jednotlivých portálů či manuálových stránek, které se jim věnují, je zapotřebí hledat.
2.3
Literatura v oblasti počítačových sítí a zabezpečení
Situace je mnohem lepší v oblasti sítí a jejich zabezpečení. Sítě a jejich hardware se sice také vyvíjí velikým krokem, ale existuje zde několik standardů, jako jsou například síťové protokoly, které zůstávají již několik let stále v platnosti (jsou definovány v RFC). Jako vhodnou podpůrnou literaturou se tedy hodí TCP/IP v kostce (Pužmanová, 2009), kde autorka pojednává o TCP/IP, jakožto nejrozšířenější sadě protokolů současné doby. Řeší jejich architekturu, funkčnost a seznamuje nás s jednotlivými funkcemi. Další užitečnou literaturou je Velký průvodce protokoly TCP/IP: Bezpečnost (Dostálek, 2003), kde je pojednáváno o zabezpečení počítačových sítích, na které je v současné době kladen veliký důraz z důvodu nárůstu kybernetických útoků. Autor v knize řeší zabezpečení serverů a dat na něm uložených, což je při návrhu sítě velmi důležité téma. Důležitou částí je také samotná počítačová síť, která by měla splňovat aktuální požadavky a být moderní. V této části nám velmi pomůže literatura Moderní komunikační sítě od A do Z (Pužmanová, 2004), která řeší technickou stránku samotných sítí, neplní však funkci příručky. V neposlední řadě je vhodná kniha Mistrovství v počítačových sítích (Bigelow, 2004), což je kniha o sítích a počítačovém hardwaru, která je specifická v tom, že obsahuje otázky i odpovědi běžné problémy, se kterými se můžeme při návrhu sítě setkat. Aktuální informace z této oblasti lze najít i na stránkách společností a výrobců, zabývajících se touto problematikou.
2.4
Stránky výrobce
Velmi neocenitelnou pomůckou jsou internetové stránky jednotlivých výrobců, kde jsou k nalezení manuály (návody) a další podpůrný software potřebný k provozu jednotlivých komponent. Například společnost Cisco (http://www.cisco.com/), prodávající síťové produkty, má na svých stránkách různé návody. Nabízí na nich
Přehled literatury
17
také různá školení či kurzy. Obdobně jsou na tom i ostatní výrobci, například TPLink (http://cz.tp-link.com/) nebo Intel (http://www.intel.eu/), kteří na svých stránkách taktéž mají umístěny manuály, jak se s daným prvkem pracuje nebo jak jej nastavit, taktéž jsou tam k nalezení firmwary a ovladače pro daný prvek. I softwaroví výrobci na svých stránkách uvádí různé možnosti konfigurace či minimální hardwarové požadavky pro provoz daného softwaru. Existují i různá fóra, kde jednotliví uživatelé přispívají svými zkušenostmi nebo mezi sebou řeší specifická nastavení, která nejsou v žádném z návodů uvedena.
2.5
Již vzniklé bakalářské a diplomové práce
Pro samotnou SOŠ Podyjí, ve které je prováděna renovace počítačové sítě, již byla studentem VUT vytvořena práce Návrh bezdrátové sítě pro SOŠ Podyjí (Truhlář, 2010). Autor zde navrhuje WIFI síť pro objekt školy. Ve své práci však neřešil stav technického vybavení počítačových učeben, serverů ani sítě jako celku. K realizaci tohoto projektu nakonec vůbec nedošlo a stav sítě zůstal zachován. Samozřejmě je k dispozici spousta dalších prací, zabývajících se touto problematikou, jako je například Modernizace počítačové sítě v prostředí střední školy (Jiří Jirmann, 2007). Autor v této práci řeší původní stav sítě z hlediska bezpečnosti výkonu a ochrany dat, na základě toho uvádí komplexní řešení nové infrastruktury. Ve své práci uvádí, jak vybrat dodavatele jednotlivých komponent. Další prací je Rekonstrukce vnitropodnikové počítačové sítě Obecního úřadu Šatov (Talár Roman, 2007), kde se autor také zabývá strukturou sítě a následně navrhuje zlepšení stavu jak technického tak programového. Práce je zakončena ekonomickým zhodnocením a návrhem používat Open Source software. Dobrou inspirací je také práce Návrh inovace podnikové sítě středního rozsahu (Goldammer, 2013), kde se autor zabývá bezpečností celé sítě a analýzou rizik. Řeší zálohování dat a monitoring sítě. V práci Reengineerinng pořítačové sítě Domu kultury Vsetín, spol. s r.o. (Kostelník, 2011) lze opět získat inspiraci pro řešení počítačové sítě a návrh její topologie. Autor zde uvádí služby serveru a možnosti nastavení jednotlivých prvků. Celá práce je zakončena opět ekonomickým hodnocením.
Zásady při vytváření sítí – teorie
18
3 Zásady při vytváření sítí – teorie Počítačová síť je označení pro propojení jednotlivých počítačů a dalších síťových prvků, nacházejících se ve vzájemné interakci. Je vytvářena za účelem sdílení souborů či informací, sdílení hardwaru a konektivity k síti internet podle určitých pravidel. Základním stavebním prvkem pro vytvoření sítě je kabeláž, která plní funkci síťových spojů. Řadí se mezi pasivní síťové prvky. Rozlišujeme několik typů kabeláže, dělící se do několika skupin. Každá ze skupin je určena pro jiný způsob přenosu signálu mezi jednotlivými uzly. Mezi další prvky patří síťová propojovací zařízení, která se řadí mezi prvky aktivní. Rozdíl mezi aktivními a pasivními prvky je, že prvky aktivní modifikují data přenášená v síti (například zesílení signálu), kdežto prvky pasivní původní data nemění, pouze je přenášejí. Součástí sítě jsou nakonec samotná koncová (uživatelská) zařízení, jako jsou servery, počítače, tablety, tiskárny a další mobilní elektronika. Počítačovou síť je potřebné vytvářet s ohledem na její možnou budoucí modernizaci či rozšíření. Lze očekávat nárůst připojovaných mobilních zařízení, která prudce přibývají díky přítomnosti WIFI modulu (bezdrátová síť). Jedním z dalších požadavků je, aby síť splňovala současné nároky na bezpečnost, rychlost a kapacitu. To vše s ohledem na množství připojených uživatelů.
3.1
Kabeláž a bezdrátové spoje
Síťové spoje dělíme podle principu funkčnosti do tří základních skupin. První skupinou jsou metalické kabely, které využívají přenos informací na základě elektromagnetických vln. Druhým typem jsou optické kabely, založené na přenosu informací pomocí světelných paprsků. Třetím typem jsou bezdrátové spoje využívající rádiový, světelný, nebo zvukový přenos. Každý způsob přenosu má svoje výhody a nevýhody, proto záleží na situaci, kdy jakou kabeláž použijeme. 3.1.1
Metalické kabely
Tato kabeláž pracuje na principu elektromagnetického signálu. Data jsou přenášena pomocí elektromagnetických vln, vyznačujících se svou frekvencí, fází a amplitudou. V oblasti metalických kabelů jsou v počítačových sítích používány dva druhy kabelů a to koaxiální kabel a kroucená dvojlinka. 1.
Koaxiální kabel Uváděn také pod zkratkou „Koax“ je asymetrický elektrický kabel skládající se ze čtyř vrstev, z toho jsou dvě vrstvy vodičem. První vrstvou je vnitřní vodič, který bývá většinou vyrobený z měděného drátu. Druhá vrstva odděluje vnitřní vodič od stínění. Třetí vrstvou je stínění, které spolu s vnitřním vodičem plní funkci přenosového média. Poslední vrstvou je PVC obal, neboli plášť, který chrání samotný kabel před poškozením. V současné době se pou-
Zásady při vytváření sítí – teorie
19
žívá jen u starých počítačových sítí. Od těchto kabelů se i přes jejich přijatelné vlastnosti v počítačových sítích upouští. (Pužmanová, 2004) Kabel se dělí na dva druhy a to: 1.1. Silný koaxiální kabel jeho tloušťka je cca 1 cm a maximální délka segmentů 500 m. Používá konektor AUI. Samotný vodič obklopují vrstvy stínění a izolace. Nachází se většinou v páteřním vedení pro Ethernet. (Pužmanová, 2004) 1.2. Tenký koaxiální kabel tloušťka tohoto kabelu je cca 0,5 cm a délka segmentu 200 m. Tyto kabely používají konektory BNC. Používaly se především v sítích založené na topologii BUS (česky sběrnice). (Pužmanová, 2004) 2.
Kroucená dvojlinka Uváděna také pod názvem symetrický kabel a je z uvedené kabeláže nejméně výkonný. V současné době to je nejpoužívanější metalický vodič. Skládá se z několika párů měděných vodičů v PVC obalu, které jsou od sebe barevně rozlišeny a navzájem krouceny. Pro počítačové sítě se používá 4 párový kabel s konektorem RJ45. Umožňuje vytvářet pouze dvoubodové spoje a délka segmentu je maximálně 100 m. Dělí se do tří skupin, které se liší ve stínění. 2.1. Nestíněný symetrický kabel (UTP – Unshielded Twisted Pair) Neobsahuje žádné stínění a je náchylný narušení, které je částečně eliminováno kroucenými vodiči. S tímto kabelem je vzhledem k jeho tloušťce jednoduchá manipulace, není ale vhodný do míst v blízkosti zdrojů elektromagnetického záření. Výhodou je nízká pořizovací cena, díky níž je tento typ kabelu nejpoužívanější. (Pužmanová, 2004) 2.2. Stíněný symetrický kabel (STP – Shielded Twisted Pair) Stíněný kabel, který je složený z kroucených vodičů (stejně jako UTP) a jednoho celkového stínění, většinou hliníková fólie. Tento kabel je vhodný do míst, kde se může vyskytovat elektromagnetické záření. Hůře se s ním manipuluje a může kvůli svému stínění vyžadovat odbornou montáž. Nevýhodou tohoto kabelu jsou značně vyšší pořizovací náklady. Stále používá konektor RJ45. Existuje i kabel FTP, který má oproti STP kabelu stíněný každý pár vodičů a k tomu jedno celkové stínění. Tento kabel je z uvedených tří skupin kabelů nejdražší. Používá se v prostorách, kde je vysoké riziko vzniku rušení, zejména v nemocnicích, kde se pracuje s přístroji. Zapojení RJ45 konektoru je standardizováno (TIA/EIA-568-B; tři telekomunikační standardy). Existují dva mezinárodně uznávané typy zapojení, a to T568a a T568b. Jejich kombinací vzniká křížené a přímé zapojení. Správné zapojení je uvedeno v tabulce č. 1 a na obrázku č. 1.
Zásady při vytváření sítí – teorie Tab. 1
20
Zapojení konektoru RJ45
Pin 1 2 3 4 5 6 7 8
Konektor 1 (T568b) bílo-oranžová oranžová bílo-zelená modrá bílo-modrá zelená bílo-hnědá hnědá
Konektor 2 klasické (T568b) bílo-oranžová oranžová bílo-zelená modrá bílo-modrá zelená bílo-hnědá hnědá
Konektor 2 křížené (T568a) bílo-zelená zelená bílo-oranžová modrá bílo-modrá oranžová bílo-hnědá hnědá
Obr. 1 Zapojení konektoru RJ45 dle EIA/TIA 568A Zdroj http://www.selfcontrol.cz/zapoj_rj45.htm, (cit. 12. 3. 2014)
Kroucená dvojlinka také během své existence prochází vývojem a postupně vznikají nové kategorie, které se mezi sebou liší jak rychlostmi a šířkou pásma, tím i její použitím. Nejnovější kategorie je sice kategorie 7a, avšak nejpoužívanější je v současnosti kategorie 5e. Následující tabulka uvádí rozdíly v jednotlivých kategoriích.
Zásady při vytváření sítí – teorie Tab. 2
Kategorie kroucené dvojlinky
Označení Cat 1 Cat 2 Cat 3 Cat 4 Cat 5
Typ
UTP UTP UTP
Šířka pásma 0,4 Mhz 4 Mhz 16 Mhz 20 Mhz 100 Mhz
Cat 5e Cat 6 Cat 6a Cat 7
UTP 100 Mhz UTP 250 Mhz UTP 500 Mhz S/FTP 1200 Mhz
Cat F
S/FTP
Cat Fa
21
600 Mhz 1000 Mhz
Uplatnění Telekomunikace Starší terminály 10Base-T, 100Base-T4, Ethernet 16 Mbit/s, Token Ring 100Base-TX, 1000Base-T, Ethernet 100Base-TX, 1000Base-T, Ethernet nejpoužívanější 10GBase-T, 1000Base-TX, Ethernet 10GBase-T, 1000Base-TX, Ethernet 10GBase-T, Ethernet Telefon. CCTV, 1000Base-TX na stejném kabelu, samostatně 10GBase-T Ethernet Telefon. CCTV, 1000Base-TX na stejném kabelu, samostatně 10GBase-T Ethernet
Zdroj: Pužmanová, 2004; http://en.wikipedia.org/wiki/Twisted_pair (cit. 12. 3. 2014)
3.1.2
Optické kabely
Jsou nejnovějším přenosovým médiem v komunikacích. Tyto typy kabelů využívají světelné paprsky, které se nazývají vidy. Principem funkčnosti je převod elektrického signálu na signál světelný, což zajišťuje světelná LED (Light Emitting Diode) dioda nebo laserová dioda. Rozlišujeme dva typy optických kabelů, jednovidové a mnohovidové. Optický kabel se skládá ze čtyř částí, a to z jádra, primární vrstvy, sekundární vrstvy a PVC obalu. Jádro je hlavní částí celého kabelu, přenáší jednotlivé vidy. Primární vrstva má za úkol zajistit, aby docházelo k odrazu jednotlivých vidů, a ty se neztrácely. Vzhledem k tomu, že je jádro a primární vrstva náchylná na poškození, přichází na řadu konstrukční vrstva, která celý kabel zpevňuje. Na tuto vrstvu se uchycuje konektor. Poslední vrstvou je PVC obal, který chrání celý kabel před poškozením. Optický kabel využívá mnoho typů konektorů, jako jsou například nejznámější ST, SC, FC, nebo MU a MTO/MTP. Protože je optické vlákno hodně malé (v jednotkách μm), je zapotřebí konektory přidělávat pomocí specializovaných přístrojů, které dokáží tak malé vlákno ke konektoru připojit. Signál jednovidových kabelů má konstantní vlnovou délku, díky čemuž je dosaženo lepší kvality přenosu dat. Délka segmentu je v řádech několika kilometrů. Mnohovidové kabely jsou vhodné na krátké vzdálenosti do 600 m a světelné paprsky jsou několika vlnových délek. Co se týče rychlosti přenosu u těchto kabelů, ta se pohybuje již kolem 100 Gbit/s, což jsou oproti metalické kabeláži vynikající rychlosti. (Pužmanová, 2004, Wikipedia) Společnost Intel se chystá v druhé polovině roku 2014 uvést do prodeje MXC optické kabely s rychlostí až 1,6Tb/s.
Zásady při vytváření sítí – teorie
3.1.3
22
Bezdrátové spoje
Může se jednat o optickou (světelnou), radiovou nebo zvukovou (zvukové vlny) komunikaci na dálku, kdy vysílač vysílá signál, který přijímač zachycuje. U optické komunikace se setkáváme buď s laserovým světlem, nebo světlem infračerveným. U rádiové komunikace se využívá rádiových vln, které mají svou specifickou frekvenci a pásmo, ve kterém jsou vysílány. Sonická komunikace funguje na principu zvukových signálů (typicky u ponorek). V oblasti výpočetní techniky se používají především rádiové signály, pro většinu uživatelů známé pod pojmem WIFI (zkratka slova Wireless Fidelity). Je to celkové označení pro standard IEEE802.11. WIFI pracuje v bezlicenčním frekvenčním pásmu. Existuje v několika specifikacích, lišících se navzájem v rychlosti komunikace a pásmu, ve kterém pracuje. V tabulce č. 3 jsou uvedeny nejpoužívanější standardy. Tab. 3
Přehled nejpoužívanějších standardů WIFI
Standard
Pásmo [GHz]
IEEE802.11 IEEE802.11a IEEE802.11b IEEE802.11g
2,4 5 2,4 2,4
Max. Rychlost [Mbit/s] 2 54 11 54
IEEE802.11n
2,4 nebo 5
600
IEEE802.11ac
2,4 nebo 5
1800
Fyzická vrstva DSSS OFDM DSSS OFDM OFDM, MIMO OFDM, MIMO
Existují i další standardy jako je například IEEE802.11d, který upravuje standard IEEE802.11b pro jiné kmitočty. Dalším standardem je IEEE802.11e, který má podporu QoS ve vrstvě MAC. Mezi bezdrátové sítě se řadí i sítě PAN (Personal Area Network), což jsou sítě propojující zařízení ve svém okolí. Zde se využívá technologie Bluetooth, specifikované standardem IEEE802.15.
3.2
Strukturovaná kabeláž
Strukturovaná kabeláž je základním stavebním kamenem celé sítě. Je to jednotný systém, který propojuje celou IT infrastrukturu. V domácích podmínkách není na závadu, pokud je vedena volně. Ve větších firmách či budovách je však již nutné v kabeláži udržovat pořádek, mít ji sjednocenou a vlastnit k ní dokumentaci, kudy je vedena. U strukturované kabeláže se vedení kabelů dělí na horizontální a vertikální. Horizontální, neboli vodorovné vedení, jsou rozvody kabeláže v rámci jedno-
Zásady při vytváření sítí – teorie
23
ho patra. U vertikálního vedení je vedena svisle v rámci více pater. Kabely bývají vedeny buď ve zdi, nebo pomocí plastových „U“ lišt. Často také bývá vedena v šachtách, které jsou pro ně určeny. Jednotlivé síťové prvky jsou umístěny v tzv. racku. Za účelem větší přehlednosti v kabeláži se také téměř vždy setkáváme s propojovacími panely (patch panel) nebo propojovacími kabely (patch kabel). Definuje se zde také tzv. páteřní vedení, což je hlavní vedení kabeláže mezi jednotlivými racky. Strukturovaná kabeláž významným způsobem snižuje náklady na další údržbu sítě prostřednictvím snadnějšího rozšiřování a jednodušší správy. Na obrázku č. 2 je ukázka rackové skříně.
Obr. 2 Ukázka rackové skříně (zdroj: http://www.t-cz.com/19-rack-skrin-6u-450-mmzavesna-_d11656.html)
3.3
Síťová propojovací zařízení
Pro komunikaci jednotlivých počítačů mezi sebou je zapotřebí propojovacích zařízení, která spolu s kabeláží vytváří logické celky, mezi nimiž se data předávají. Síťová propojovací zařízení se řadí mezi aktivní síťové prvky. 3.3.1
Repeater
Neboli opakovač, je zařízení pracující na fyzické vrstvě ISO/OSI modelu (referenční komunikační model). Přijímá slabý nebo nějakým způsobem poškozený signál a opravený jej vysílá dále do sítě. V praxi jej lze použít pro zesílení slabého signálu. Například pro prodloužení délky segmentu. Repeater lze využít jak u metalických kabelů, tak i u bezdrátových spojů. (Jírovský, 2001) 3.3.2
Hub
Známý také jako rozbočovač. Je to zařízení, které opět pracuje na fyzické vrstvě ISO/OSI modelu. Jeho úkolem je přeposílání (rozbočování) dat na další porty kromě toho, odkud data přišla. Tento prvek je základním stavebním prvkem sítě s topologií Star (hvězdicová topologie). (Jírovský, 2001)
Zásady při vytváření sítí – teorie
3.3.3
24
Bridge
Most oproti předchozím zařízením pracuje na linkové vrstvě ISO/OSI modelu. Rozděluje síť do menších segmentů. Princip práce mostu je, že si rozdělí síťová zařízení pomocí MAC adres do dvou segmentů. Pokud se dvě mezi sebou komunikující zařízení nachází v jednom segmentu, most rámce do jiných segmentů neodešle. Netýká se to broadcastových (záplavových) rámců, které jsou vždy zaslány do všech segmentů na všechna zařízení. 3.3.4
Switch
Uváděn pod pojmem přepínač. Je to inteligentní síťové zařízení pracující na linkové vrstvě ISO/OSI modelu. Schopností switche je možnost vytvářet nekolizní síťový provoz mezi jednotlivými segmenty. Je naprosto průhledný pro protokoly vyšších vrstev. (Jírovský, 2001). Switch má ve své paměti, uváděné jako CAM (Content Addressable Memory table, česky tabulka adres), uchovaná čísla portů a k nim přiřazené MAC adresy připojených zařízení. Tuto tabulku si v pravidelných intervalech obnovuje. Základním principem switche je přepínání. Přijme-li nějaký packet (balíček dat), podívá se do jeho záhlaví, pro jakou MAC adresu je určený. Na základě své CAM tabulky poté packet přepošle na příslušný port. Nezná-li adresu, zašle switch packet podobně jako hub na všechny porty. 3.3.5
Router
Směrovač pracuje na L3, tedy třetí vrstvě ISO/OSI modelu, díky čemuž úzce spolupracuje s TCP/IP protokolem. Hlavním úkolem routeru je směrování datagramů v síti k jejich cíli na základě IP adresy, která je uvedená v hlavičce packetu. Pracuje s routovací tabulkou, která obsahuje informace o okolních sítích. Fyzicky tedy propojuje sítě, které jsou mezi sebou logicky odděleny. Směrovače lze vidět v kombinaci i s dalšími prvky, jako například v kombinaci se switchem, nebo s integrovaným firewallem (brána zabezpečení). (Jírovský, 2001) 3.3.6
Gateway
Uváděna také pod názvem brána. Je to zařízení umožňující spojit dvě sítě, které komunikují s odlišnými protokoly. Pracuje na všech vrstvách ISO/OSI modelu, a musí vykonávat i funkci routeru. Brána převezme celou zprávu, provede konverzi na požadovaný formát (změní použitý protokol) a přepošle ji dále. (Dostálek, 2003)
3.4
Referenční ISO/OSI Model
ISO/OSI model je teoretický model vypracovaný organizací ISO, který byl v roce 1984 přijat jako mezinárodní norma ISO 7498. Jedná se o model otevřených systémů, skládající se ze sedmi mezi sebou vzájemně komunikujících vrstev. Jak uvádí pan Jirovský (2001), navrhovaný model není platný jen pro existující systémy, ale
Zásady při vytváření sítí – teorie
25
lze jej použít i pro nové aplikace či služby. Model se dělí na horní a spodní vrstvy, přičemž nejvyšší vrstva je uživateli nejbližší. Skupina horních vrstev se zabývá prvky aplikačními, kdežto spodní vrstvy jsou implementovány jak v softwaru, tak i hardwaru a obstarávají přenos dat. Na obrázku č. 3 je ISO/OSI model znázorněn.
Obr. 3
Sedmivrstvý model ISO/OSI
3.4.1
Fyzická vrstva
Zajišťuje udržování spojení mezi médiem přenášející data a mezi komunikujícím systémem. Pro tuto vrstvu je typický přenos dat po médiu pomocí elektrického, optického či radiového signálu. Definuje úroveň napětí, časování, rychlost přenosu nebo použité konektory kabeláže. (Jírovský, 2001) 3.4.2
Linková vrstva
Je zodpovědná za přenos dat po fyzickém médiu. Existuje v mnoha specifikacích, kdy definuje různé typy topologií, protokoly včetně adresace a způsobu zjišťování chyb. (Jírovský, 2001). 3.4.3
Síťová vrstva
Tato vrstva je na základě logické adresace zodpovědná za komunikaci, směrování a přenos packetů po síti. Poskytuje systémům otevřené spojení, aby mohly spolu komunikovat. 3.4.4
Transportní vrstva
Úkolem je implementace spolehlivého přenosu samotných dat. Řídí přenos dat mezi dvěma zařízeními, koncentraci dat, realizuje virtuální okruhy a v neposlední řadě obsahuje korekci chyb, kdy například žádá nové vyslání špatně přijatých dat. (Jírovský, 2001)
Zásady při vytváření sítí – teorie
3.4.5
26
Relační vrstva
Smyslem této vrstvy je řízení a provoz relací mezi prvky vrstvy nadřízené. „Pojem komunikační relace zahrnuje vyžádání služby – service request a odezvu na požadavek služby – service response“. (Jírovský, 2001) 3.4.6
Prezentační vrstva
Tato vrstva převádí zprávy do vhodného tvaru, který vyžadují jednotlivé aplikace pro svou další komunikaci. Cílem je prezentace dat jednotným způsobem bez ohledu na jejich různorodost. Mezi další funkce patří žádost o vytvoření či ukončení relace, šifrování, dešifrování, komprese a další. (Pužmanová, 2004) 3.4.7
Aplikační vrstva
S touto vrstvou komunikují samotné aplikace. Vrstva poskytuje procesům přístup ke komunikačnímu systému a umožňuje jejich spolupráci. Je nejbližší vrstvou k uživateli. Zajišťuje synchronizaci komunikace či dostupnost potřebných zdrojů. (Pužmanová, 2004), (Jírovský, 2001). Mezi nejznámějšími síťovými protokoly fungujícími na této vrstvě jsou například protokoly HTTP (Hypertext Transfer Protocol), DNS (Domain Name Systém), DHCP (Dynamics Host Configuration Protocol), SSH (Secure shell), FTP (File Transfer Protocol - přenos souborů) nebo SNMP (Simple network management protocol pro management sítí).
3.5
Architektura TCP/IP a adresace
TCP/IP je rodina přenosových protokolů určených pro řízení komunikace v počítačové síti a jedná se o nejdůležitější protokoly sítě Internet. V porovnání s ISO/OSI modelem je komunikace rozdělena do čtyř základních vrstev a to: • Vrstva síťového rozhraní (VSR). • Síťová vrstva (Vrstva internetu). • Transportní vrstva. • Aplikační vrstva. Oproti ISO/OSI modelu je fyzická a linková vrstva sloučena do vrstvy síťového rozhraní. Vrstvy prezentační a relační jsou součástí vrstvy aplikační. Vrstva síťového rozhraní je nejnižší vrstvou architektury TCP/IP a zajišťuje přístup k fyzickému médiu. Cílem je doručit data jiným systémům. Každý síťový standard má vlastní implementaci této vrstvy. Vrstva svým způsobem definuje typ sítě (například Ethernet, Token Ring) a její další vlastnosti. (Pužmanová, 2004) Síťová vrstva zastává logickou adresaci sítě. Cílem je segmentace, předávání datagramů (IP protokol), mapování (protokol ARP) a směrování (např. OSPF). (Pužmanová, 2004) Transportní vrstva je identická s ISO/OSI modelem. Zajišťuje koncový přenos mezi dvěma systémy, nabízí transportní služby, a to spojové (TCP, spolehlivé) a nespojové (UDP, rychlé ale méně spolehlivé). (Pužmanová, 2004)
Zásady při vytváření sítí – teorie
27
Nejvyšší vrstvou je aplikační vrstva, která obsahuje protokoly jednotlivých aplikací. Dle typu aplikace je využito buď TCP nebo UDP protokolů transportní vrstvy. Patří sem například protokoly FTP, DHCP, DNS, HTTP. (Pužmanová, 2004) 3.5.1
Standard Ethernet
V současnosti se jedná o nejpoužívanější standard. Je označován jako norma IEEE802.3 a existuje v mnoha specifikacích (100BASE-TX, 1000BASE-TX atd.). Funguje na principu kolizní metody CSMA/CD, a proto je náchylný na kolize, které počtem připojených stanic ke kolizní doméně stoupají. Data jsou posílána v tzv. ethernetových rámcích, které se skládají z šesti částí (viz obrázek č. 4)
Obr. 4
Ethernetový rámec
Vzhledem k omezení délky rámce dochází k jejich dělení na fragmenty (tzv. fragmentace), které se zapouzdří do rámců MTU (rámec maximální povolené délky jednotky). (Pužmanová, 2004) 3.5.2
Adresace IPv4
Protokol IP provádí vysílání datagramů na základě síťových adres obsažených v záhlaví packetu. Jedná se o nespojovou službu. Každý datagram je samostatnou jednotkou a protokol IP nekontroluje správnost doručení dat. Je tedy nespolehlivý. Adresace sítě probíhá pomocí identifikátorů, což jsou jména, adresy, popřípadě cesty, a je prováděna na třetí vrstvě ISO/OSI modelu (tedy na síťové vrstvě). IP adresa se dělí na dvě části, síťovou část a host část. Síťová část je určena pro směrování v síti a identifikuje síťový segment. Host část udává číslo připojeného rozhraní. Jedná se o 32-bitovou adresu zapisovanou po čtyřech oktetech oddělených tečkou. Existuje několik typů adres a to unicastová (individuální), multicastová (výběrová) a broadcastová (záplavová). U samotných adres rozlišujeme celkem 5 tříd, z toho jsou vymezeny 3 třídy adres pro adresaci, jedna třída je skupinová, třída E je určena pro experimenty. V tabulce číslo 4 jsou uvedeny jednotlivé třídy IP adres a jejich rozsah, dále počet sítí pro každou ze skupin. Ve sloupečku struktura je naznačena síťová část adresy (s) a host část adresy (h). V tabulce číslo 5 jsou uvedeny rozsahy adres určené pro soukromé (neveřejné) sítě.
Zásady při vytváření sítí – teorie Tab. 4
28
Přehled tříd IP adres
třída
struktura
S.H.H.H třída A S.S.H.H třída B S.S.S.H třída C třída D skupinová třída E experimenty
hodnoty prvního oktetu 0 10 110 1110 1111
rozsah IP adres
počet sítí
126 1.0.0.0. - 126.0.0.0 16384 128.1.0.0 - 192.255.0.0 192.0.0.0 - 223.255.255.0 2097152 224.0.0.0 - 239.255.255.255 240.0.0.0 - 255.255.255.255
Zdroj: Pužmanová, 2004 Tab. 5
Rezervované IP adresy
třída A B C
rozsah 10.0.0.0 - 10.255.255.255 172.16.0.0 - 172.31.0.0 192.168.0.0 - 192.168.255.255
Zdroj: Pužmanová, 2004
Protože rozdělení IP adres je neefektivní, používá se také subnetting, známý pod ekvivalentem podsítě. Princip podsítí spočívá v tom, že část určená pro síťové zařízení se rozdělí na adresu podsítě a adresu počítače. Pro rozlišení jednotlivých částí se používá síťová maska, která má stejný formát jako IP adresa, avšak na pozici sítě jsou bity 1 a na pozici adresy počítače jsou bity 0. Maska nám dělí IP adresu na síťovou část a host část. V následující tabulce jsou uvedeny základní masky pro jednotlivé třídy adres. Nejvyšší adresovatelný prefix je 30. Tab. 6
Výchozí síťové masky pro jednotlivé třídy
třída A B C
maska 255.0.0.0 255.255.0.0 255.255.255.0
prefix /8 /16 /24
Zdroj: Pužmanová, 2004
3.5.3
Adresace IPv6
Protože IPv4 protokol má omezený adresní prostor, který přestává dostačovat, byla v roce 1995 vypracována nová verze protokolu IPv6. Ta je specifikována v RFC 1752. IPv6 funguje obdobně jako IPv4, liší se však adresací a formátem datagramu. Výhodou je mnohem širší adresovatelný prostor, jednodušší záhlaví datagramu a také povinná podpora IPSec. Adresovatelný prostor je 128 bitů (2128). IP adresa se zde dělí na dvě části, a to prefix a identifikátor. Jedno rozhraní může mít
Zásady při vytváření sítí – teorie
29
více adres IPv6. IP adresa se zde zapisuje v šestnáctkové soustavě a jednotlivé oktety se oddělují dvojtečkou po čtyřech znacích (viz. obrázek č. 5). Rozlišujeme zde adresu unicastovou, multicastovou a anycastovou. Ve svém smyslu má IPv6 adresa dvě funkce, a to funkci identifikační (identifikace rozhraní) a funkci pozicovou (její umístění). I IPv6 adresy mohou využívat DHCP server, avšak v implementaci DHCPv6. Sítě s rozdílnou adresací IPv4 a IPv6 lze mezi sebou spojovat, avšak za podmínky využití tunelu, koexistence obou protokolů nebo překladem. (Pužmanová, 2004)
Obr. 5
Příklad IP adresy verze IPv6
Stejně jako u IPv4 umožňuje i IPv6 protokol vytváření podsítí a vytvářet sítě VLAN. 3.5.4
Překlad adres (NAT)
Cílem NAT (Network Address Translating), je umožnění adresování sítě pomocí privátní IP adresy. Prakticky tedy NAT převádí privátní IP adresy na adresy veřejné a naopak. Používá se v sítích pro přístup více lokálních PC k venkovní síti. NAT je prováděn většinou na hraničním routeru sítě, směrující packety do sítě providera, tedy z lokální do venkovní sítě.
3.6
VLAN
Sítě VLAN jsou virtuální sítě označované standardem IEEE802.1q. Musí být podporovány switchem a jsou provozovány na síťové vrstvě ISO/OSI modelu. (Bigelow, 2004) Výhodou VLAN je seskupení zařízení v síti a snížení kolizních broadcastových domén. Základním principem je vytvoření virtuálních sítí na síti fyzické, tím i oddělení provozu jednotlivých počítačů. Komunikace mezi sítěmi VLAN je možná díky routeru, který je schopen packety mezi nimi směrovat a odehrává se na základě IP adresace. Rámce pohybující se po síti obsahují informaci, do které sítě náleží. Každý port na switchi je zařazen do určité sítě VLAN. Port, na kterém probíhá komunikace více VLAN, se nazývá TRUNK port. U jednotlivých portů jsou dva typy režimu, mód access a mód trunk. Na obrázku č. 6 je příklad sítě VLAN.
Zásady při vytváření sítí – teorie
Obr. 6
Příklad sítě VLAN
3.6.1
Nastavení portů VLAN
30
Nastavení jednotlivých portů je pro jednotlivé výrobce odlišné. Jednotlivé příkazy lze najít například v manuálových stránkách daného zařízení. Například u switchů společnosti Cisco provedeme přiřazení portu do VLAN pomocí příkazu switchport access vlan 100. Nejprve však je nutné pomocí interface range vybrat určité porty. (cisco) 3.6.2
DHCP Relay
K umožnění komunikace s DHCP serverem ležícím v jiné broadcastové doméně (VLAN) je třeba použít DHCP Relay, který přijímá veškeré všesměrové dotazy z této sítě a přeposílá je na adresu určeného serveru. Této adrese se říká IP helper address. Odpovědi od serveru putují zpět na DHCP Relay, který je dále všesměrově šíří ke klientovi v rámci sítě VLAN.
3.7
Požadavky na server
Server je obecné označení pro počítač, který zajišťuje v síti určité služby, které jednotliví uživatelé či zařízení využívají. Server tedy může plnit několik funkcí, například jako webový, který díky protokolu HTTP umožňuje výměnu hypertextových dokumentů, jako souborový server, který plní funkci síťového úložiště dat nebo server aplikační. Mezi další typy serverů patří například databázové servery, DNS servery nebo tiskové servery. Vzhledem k důležitosti serveru v počítačové síti jsou na ně také kladeny určité požadavky, mezi něž patří vysoká spolehlivost, dostupnost, rozšiřitelnost a schopnost pracovat v clusteru (skupině).
Zásady při vytváření sítí – teorie
3.7.1
31
Požadavky z hlediska spolehlivosti
Vzhledem k tomu, že tyto počítače poskytují důležité služby, které v danou chvíli využívá několik uživatelů, není žádoucí, aby došlo k nějaké poruše či dokonce ke ztrátě mnohdy cenných dat. Je tedy nezbytně nutné zajistit bezporuchovou funkčnost těchto služeb. Mezi nejčastější způsoby, jak předejít havárii, je hardwarová ochrana a softwarová ochrana. V případě hardwarové ochrany se většinou jedná o zdvojení jednotlivého hardwaru či užití diskového pole RAID (Redundant Array of Inexpensive Disks). V případě softwarové ochrany využíváme různé antivirové programy a zabezpečení na úrovni uživatelských oprávnění. Data také pravidelně zálohujeme, čímž můžeme předejít jejich ztrátě. 3.7.2
Požadavky z hlediska výkonnosti
Výkon serveru se určuje podle několika faktorů, mezi něž patří velikost sítě, kterou bude obsluhovat, kolik uživatelů se na něj bude připojovat a v neposlední řadě je brána v úvahu také náročnost jednotlivých aplikací a služeb, které na serveru budou provozovány. Výkon serveru se udává podobně jako u osobního počítače, kdy bereme v úvahu výkon procesoru, u kterého určujeme jeho fyzický počet (dvouprocesorové servery), počet jader a velikost jeho vyrovnávací paměti. Dále určujeme velikost operační paměti, velikost úložného prostoru, počet pevných disků a jejich HW zapojení v poli RAID. Důležitý je počet síťových karet, jejich rychlost a funkce. Naopak nejméně důležitý je výkon grafické karty, kdy nám postačí karta integrovaná. Mezi dalšími funkcemi je možnost měnit komponenty za chodu počítače (HotSwap), či redundance, která spadá pod požadavky spolehlivosti.
3.8 3.8.1
Zabezpečení serveru Redundance
Vzhledem k tomu, že se jedná o elektroniku, která v průběhu jejího užívání a provozu mění své vlastnosti, lze těžko odhadnout, kdy vypoví svoji službu a dojde tak k nějaké havárii. Před touto vlastností se lze chránit zdvojením, neboli redundancí dané komponenty, či celého serveru. Nejčastěji se jedná provozování služeb na více serverech (tzv. primárního, sekundárního atd.), které poskytují identické služby. V případě poruchy jednoho z nich zaskočí službu ten druhý a naopak. Kromě zdvojování celých jednotek se u serverů také užívá zdvojování zdrojů (redundantní zdroj) či pevných disků zapojených do RAIDového pole, kdy při poruše zdroje či disku lze vadný prvek v případě hotswap provedení za chodu vyměnit za nový, aniž bychom ovlivnili funkčnost samotného serveru. Do redundance lze zařadit i redundantní úložiště (druhé diskové pole).
Zásady při vytváření sítí – teorie
3.8.2
32
RAIDové pole
Za diskové pole lze považovat seskupení jednotlivých pevných disků, které se v systému jeví jako jedna jednotka a pole tak nabízí větší rychlost a odolnost proti chybám. Diskové pole používá šest základních režimů, jejichž kombinací vznikají režimy další. Mezi nejpoužívanější režimy patří RAID0, RAID1 a jejich kombinace RAID1+0 (někdy uváděný jako RAID10). RAIDové pole však v žádném případě nelze považovat za zálohu dat. • RAID0 (Stripping) Ze všech režimů nabízí nejlepší výkon, ale neposkytuje žádnou redundanci dat. Ta se zapisují průběžně na všechny jednotky (jejich kapacita se spojí). Při selhání jednoho z disků je pole poškozeno a dojde ke ztrátě dat. (Bigelow, 2004) • RAID1 (Mirroring) Uváděno také jako zrcadlení. Princip funkčnosti spočívá na duplikování jednotek. Na dvou fyzických discích jsou uložena identická data. Tento režim je odolný vůči chybám. (Bigelow, 2004) • RAID10 (Mirroring and stripping) Tento režim je kombinací polí RAID1 a RAID0. Umožňuje zvýšit rychlost práce s daty při zachování jejich ochrany. (Bigelow, 2004) 3.8.3
Softwarové zabezpečení
Kromě hardwarového zabezpečení serveru je třeba dbát i na softwarové zabezpečení, které také do jisté míry pomáhá chránit data, ať už před poškozením, ztrátou nebo zcizením. Mezi nejfrekventovanější ochrany patří antivirová ochrana, firewally, či zabezpečení pomocí přístupových práv. • Antivirový software Je balík jednotlivých modulů umožňující vyhledávat viry, spyware, rootkity, spamové zprávy a další škodlivý software. Většinou běží na pozadí systému a jeho běh monitoruje. • Firewall Brána existuje v mnoha podobách, buď v softwarové podobě, nebo v podobě počítače. Bránou může tedy být počítač, router nebo hostitel. Nachází se mezi důvěryhodnou a nedůvěryhodnou sítí a kontroluje veškerý obsah, který jí prochází. Poskytuje nám ochranu díky filtraci packetů, bráně aplikací, bráně na úrovni obvodů a přístrojům pro kontrolu stavu packetů. Kontrola je prováděna na základě nastavených pravidel, kdy je daná komunikace povolena nebo zakázána. (Bigelow, 2004) • Aktualizace Důležitým prvkem je instalace aktualizací příslušného softwaru, pomocí kterých výrobce aplikace odstraňuje objevené chyby a mezery. Aktualizovaný software je méně náchylný na napadení virem či vůči hackingu.
Zásady při vytváření sítí – teorie
3.8.4
33
Zálohování serveru
Zálohování uživatelský dat je nezbytnou součástí údržby serveru, a tím i celé počítačové sítě. Je to nejlepší možnost jak předejít ztrátě mnohdy cenných dat. Existuje několik typů a způsobů zálohování. Mezi zálohovací zařízení patří právě zmiňované diskové pole (nikoliv samotný RAID). Dále pak pásková zálohovací zařízení a optické nosiče. Podle toho, co a jak často zálohujeme, rozlišujeme samotné typy záloh. • Nestrukturovaná Jedná se o náhodné ukládání potřebných dat na více úložišť (diskety, DVD…). • Úplná záloha Každý celý disk či samotný adresář je kompletně samostatně zálohován bez odhledu na zálohy existující. Poskytuje největší ochranu dat, trvá však nejdéle. (Bigelow, 2004) • Přírůstková záloha V případě tohoto typu zálohování se ukládají jen soubory, které byly od poslední zálohy pozměněny. (Bigelow, 2004) • Rozdílová záloha „Vybrané soubory jsou uloženy pouze v případě, že se od posledního zálohování změnily, aniž by byly označeny jako zálohované“. Rozdílová záloha se postupně zvětšuje. (Bigelow, 2004) K samotnému zálohování je většinou potřeba zálohovací software. Jednou z možností je využití výchozí funkce operačního systému, například funkce „vytvořit bitovou kopii systému“. Lépe je však využít speciální zálohovací software, jako například Acronis True Image pro osobní počítače, Backup & Recovery Server for Windows, nebo freewarový software jako Iperius Backup, který umožňuje samotné zálohování zautomatizovat pomocí předem připravených zálohovacích plánů (například jednou za 24 hodin).
3.9
Služby běžící na serveru
Na serveru, jakožto centrálním počítači, většinou běží několik služeb, které ostatní prvky v síti využívají. Celkově můžeme služby rozdělit na důležité a volitelné. Volitelné služby jsou takové, které nejsou nutné k funkčnosti celé sítě, například File Server. Bez důležitých služeb, jako je například DNS, DHCP či AD (Active Directory) by většina sítí nemohla fungovat. 3.9.1
DNS (Domain Name Systém)
Protože jsou IP adresy pro lidstvo těžko zapamatovatelné, používá se k identifikaci místo samotné IP adresy jmenný název daného síťového rozhraní. Pro každé síťové rozhraní v síti existuje jeho doménové jméno, které lze obecně využívat. K „dorozumění“ počítačů je potřeba služby DNS, která překládá jmenné názvy na IP adresy. Systém DNS disponuje vlastní databází obsahující jednotlivé záznamy (DNS věty) které obsahují jmenný název a k němu přiřazenou IP adresu. Chceme-li navá-
Zásady při vytváření sítí – teorie
34
zat spojení s nějakým serverem, nejprve se zašle požadavek na překlad názvu na IP adresu, po získání IP adresy se spojení teprve naváže. Existuje i tzv. reverzní doména, která naopak překládá IP adresy na jmenné názvy. Pro účely reverzního překladu je definována doména in-addr.arpa. Domény jsou zde tvořeny IP adresami sítí, ale psány pozpátku. (Dostálek, 2003) 3.9.2
DHCP (Dynamic Host Configuration Protocol)
Tento protokol je hojně užíván k dynamickému (automatickému) přidělování IP adres jednotlivým zařízením v síti. Díky automatickému zapůjčení IP adresy dochází k úplné kontrole nad tím, jak jsou IP adresy přiřazovány. DHCP využívá protokol UDP. Existuje několik typů konfigurace, a to dynamická (přiřazení IP adresy pro určitou dobu), ruční (konfigurace IP adresy pro určitý počítač) a automatické (přiřazení trvalé IP adresy k PC po prvním připojení k síti.). Přidělení IP adresy probíhá ve čtyřech krocích: • připojený PC zašle broadcastovou Discover zprávu, pomocí které hledá DHCP Server, • unicastovou Offer zprávou mu nabídne volnou IP adresu, která mu bude přidělena, • klient zprávou Request zažádá o přidělení nabídnuté adresy, • server odesláním zprávy ACK zahájí zápůjčku adresy. (Bigelow, 2004) 3.9.3
AD (Active Directory)
Je to adresářová služba LDAP v prostředí operačních systémů Microsoft Windows. Zdokonaluje správu a zabezpečení celé spravované sítě. Využívá několik řadičů domény místo hierarchické struktury. (Bigelow, 2004) Active Directory umožňuje centrální správu uživatelských účtů a jejich zabezpečení, správu jednotlivých počítačů a jejich třídění do tzv. organizačních jednotek, zvaných kontejnerů. Pro svoji funkčnost vyžaduje službu DNS. 3.9.4
Print server (tiskový server)
Tiskový, neboli Print Server je zařízení, které zjednodušuje v síti provádění tiskových úloh a sdílení samotných tiskáren. Tiskovým serverem může být například počítač v síti, pomocí něhož jsou připojené tiskárny v síti sdíleny. Tiskovým serverem i samotná tiskárna s vlastním síťovým rozhraním. 3.9.5
Souborový server
Souborový server, neboli také File Server, je označení pro počítač, který umožňuje sdílení a centralizovanou správu souborů na něm uložených. Výhodou je snadnější zálohování. Nad soubory lze aplikovat různá oprávnění, která lze pro jednotlivé soubory nastavit. Jednotlivá oprávnění lze aplikovat na jednotlivce i na celou skupinu uživatelů.
Původní stav sítě a počítačových učeben
35
4 Původní stav sítě a počítačových učeben Střední odborná škola Podyjí se nachází ve Znojmě na ulici Jarošova 14. Budova pochází z šedesátých let a během své existence prošla několika stavebními úpravami. Jedná se o zděný objekt o třech podlažích s podsklepením. V celém objektu byla absence počítačové sítě. Jednotlivé učebny výpočetní techniky vznikaly v průběhu několika let dle potřeby na základě požadavků výuky. V roce 1996/97 byla na škole zřízena první počítačová učebna, která obsahovala 12 počítačů s operačním systémem Windows 95. Síť byla založena na tenkém koaxiálním kabelu, topologie sítě byla sběrnice (BUS) a připojení k internetu vytáčené. Postupem času se zřizovaly další počítačové učebny, které průběžně procházely modernizací. Poslední velká modernizace byla uskutečněna v roce 2007 nákupem síťového serveru a nových počítačů do jedné z učeben. Modernizace byla hrazena plně ze školního rozpočtu. Vzhledem k opotřebení a morálnímu zastarání sítě i jednotlivých zařízení je další modernizace po více než 7 letém provozu nutností.
4.1
Konektivita k síti internet
V současné době je celá stávající síť založena na standardu Fast Ethernet. Připojení k síti internet je řešeno bezdrátovým připojením k poskytovateli ve sjednaném pásmu 10 GHz o rychlosti 8 Mb/s. Obytné budovy v okolí školy jsou připojeny ve standartním v pásmu 2,4 GHz, respektive 5 GHz. Jedná se o připojení, které by nemělo být rušeno jinými okolními signály. Konektivitu k ISP zajišťuje bezdrátový spoj Orcave 2013.
4.2
Struktura sítě
Celá školní síť je rozložena do dvou pater a není dělena na podsítě. Všechny počítače jsou zapojeny do domény Podyjí a přidělování IP adres zajišťuje DHCP server. Jako aktivní síťové prvky jsou použity čtyři 24 portové switche značek Netgear, SMC a Zyxel s maximální rychlostí 100 Mb/s a absencí 1 Gb/s portu. Tyto switche navíc nejsou manageovatelné. V síti se dále nachází školní router v podobě běžného počítače založeného na x86 architektuře. Je na něm nainstalován operační systém Linux, aktuálně Fedora 15 ve 32 bitové verzi. Tento router slouží ke směrování packetů ze školní sítě do sítě poskytovatele. V síti se nachází dva servery, z nichž je v provozu jen jeden. Běží na něm služby AD, DHCP a DNS. Na serveru mají také jednotliví uživatelé své domovské adresáře. Druhý server slouží pro ukládání méně potřebných dat a nyní se zapíná jen v případě potřeby. Jako kabeláž jsou použity obyčejné UTP kabely kategorie 5e, které jsou nestíněné. Kabeláž je tažena po chodbách v plastových „U“ lištách a do každé učebny je přivedena přípojka s jednou RJ45 zásuvkou, umístěnou v montážní krabici. Každá ze zásuvek obsahuje pouze jednu RJ45 zdířku. V případě potřeby připojit více zaří-
Původní stav sítě a počítačových učeben
36
zení je nutno konektivitu řešit pomocí malého čtyř portového switche. Na obrázku č. 7 je uvedena současná infrastruktura sítě a v tabulce č. 7 použité switche.
Obr. 7
Původní infrastruktura školní sítě.
Tab. 7
Původní aktivní síťové prvky
Učebna Model 208 Netgear ProSafe 24 Port 10/100 Switch 306 Netgear ProSafe 24 Port 10/100 Switch SMC EZ Switch 1024DT 309 Zyxel ES1100-24e Servery 4 portový switch, značka neznáma
4.3
Management NE NE NE NE NE
Stávající zabezpečení sítě
Síť postrádá jakékoliv zabezpečení. Síťové prvky jsou v učebnách studentům volně dostupné, proto mohou díky absenci hardwarových ochran do sítě připojit vlastní zařízení a být v síti přihlášeni pod právy administrátora. Síťový provoz taktéž není žádným způsobem řízen. U jednotlivých stanic díky nechráněnému přístupu do BIOSu (který není zaheslován) může útočník změnit pořadí bootování a na PC spustit tzv. Live operační systém, který mu umožňuje plný přístup k nastavení samotného počítače. Na některých je navíc k dispozici nezabezpečený lokální účet s administrátorským oprávněním, který se může stát terčem útoku. Všechny zásady a přístupová práva jsou v této chvíli řízeny pomocí AD běžící na serveru. Jednotlivé počítače postrádají jakoukoliv antivirovou ochranu. Taktéž je v celém objektu
Původní stav sítě a počítačových učeben
37
absence šifrování kritických dat a jejich záloha není žádným způsobem řešena. Fyzický přístup k serverům má správce sítě, školník a vedení školy, kteří mají od místnosti, kde servery běží, klíče.
4.4
Stávající servery
Škola disponuje celkem dvěma servery (třetí je v majetku společnosti Logica, jedná se o administrativní server státních maturit), které jsou jádrem celé školní sítě. První server pochází z roku 2004. Je to obyčejná počítačová sestava se třemi 120GB pevnými disky zapojenými do IDE řadiče na základní desce, který neumí RAIDové pole. Dříve, než se koupil server novější a přešlo se na serverovou platformu Windows 2003 Server, server sloužil v síti pouze jako sdílené úložiště dat všech uživatelů. Jedná se o obyčejný PC se sdílenými pevnými disky. Od roku 2007 už slouží jen jako úložiště archivních dat a instalačních souborů. U tohoto serveru není žádným způsobem řešena záloha dat a při havárii některého z pevných disků dojde k jejich ztrátě. Z toho důvodu je tento server pro data velmi nevhodné nadále používat. Kvůli potížím s napájecím zdrojem a občasné nestabilitě byl tento server odstaven z nonstop provozu. Zapíná se jen tehdy, je-li potřeba pracovat s daty, která jsou na něm uložena. Druhý server byl pořízen v roce 2007. Společně s ním se koupila licence pro operační systém Windows Server 2003 a jednotlivé PC se zapojily do domény. Zprovoznila se služba Active Directory (AD) a vytvořily se uživatelské účty, na něž se aplikovala uživatelská práva (group policy). Každý uživatel, který má oprávnění používat školní síť, má na tomto serveru vytvořen účet a domovský adresář pro ukládání svých dat. Velikost diskového prostoru pro vlastní data mají všichni studenti omezenou na 250 MB a vyučující na 1 GB. Kromě služby Active directory na tomto serveru běží služby DNS a DHCP. V serveru byly původně dva 250 GB pevné disky zapojené jako hotswap v RAIDovém poli v režimu mirroring (značeno jako 1). V březnu roku 2013 v serveru shořel RAIDový SAS řadič. Z důvodu možného poškození disků a vzhledem k důležitosti dat na nich uložených, byl do serveru preventivně namontován jeden nový 500GB pevný disk. Původní disky byly ze serveru vyřazeny a data, která byla na nich uložena, byla překopírována na disk nový. RAIDové pole nebylo obnoveno a v současné době není zálohování zmiňovaného serveru žádným způsobem řešeno. V současné době hrozí vysoké riziko ztráty uložených dat. V tabulce č. 8 je uvedena konfigurace původních serverů.
Původní stav sítě a počítačových učeben Tab. 8
Srovnání parametrů serverů
Server 1 Intel Xeon 3040, 1.86 GHz 1 GB DDR2 ECC Původně 2x 250 GB, nyní 1x 500 GB 1x 400 W ATX RAID 1 (nyní bez RAIDu) Windows Server 2003 Standard.
Procesor Operační paměť Pevné disky Počet zdrojů RAID Operační systém
4.5 4.5.1
38
Server 2 Intel Pentium 4, 1.8 GHz 512 MB DDR1 nonEEC 3x 120 GB 1x 350 W ATX Windows XP Professional
Počítačové učebny Učebna 208
Učebna slouží k výuce výpočetní techniky a internetových prezentací. Je vybavena 17 počítači z roku 2005. Ty obsahují jednojádrový procesor Intel Celeron D běžící na frekvenci 2,4 GHz, což je v dnešní době spolu s 512 MB RAM a integrovanou grafickou kartou na pokraji použitelnosti. Pevný disk s kapacitou 40 GB, zapojený do starého IDE řadiče je nedostačující. 17 palcové CRT monitory jsou také zcela nevyhovující z důvodu ergonomie a stáří. Na počítačích je nainstalován operační systém Windows XP Professional a jsou připojené do školní domény. Kromě operačního systému jsou na nich nainstalovány základní aplikace potřebné pro výuku vyučovaných předmětů. Jedná se zejména o freewarový kancelářský balík Open Office, PSPad a kancelářský balík Microsoft Office 2000. Na PC chybí antivirová ochrana a BIOS není zaheslován. Síťová kabeláž učebny i elektroinstalace je vedena v montážních „U“ lištách na zdi kolem pracovních stolů, které jsou rozmístěny podél učebny. Na zdi je pověšený 24 portový switch, do kterého je síťová kabeláž zapojena. Tento není nijak chráněn proti neoprávněnému přístupu a je volně dostupný. V tabulce č. 9 je uvedena konfigurace učebny. Tab. 9
Současná konfigurace učebny 208
Procesor Operační paměť Pevný disk Grafická karta Monitor Operační systém Zapojení do domény
Intel Celeron D 2.4 GHz 512 MB 40 GB Integrovaná 17" CRT Windows XP ANO
Původní stav sítě a počítačových učeben
4.5.1
39
Učebna 306
Tato učebna je nejnovější počítačovou učebnou na škole. Slouží k výuce programování, internetových prezentací a počítačových sítí. Počítače byly nakoupeny v roce 2007. Jejich výkon díky dvoujádrovému procesoru Intel Core 2 Duo o frekvenci 2,33 GHz a 2 GB RAM na programování stále dostačuje. Kapacita pevného disku, který je zapojený v řadiči SATA, je 80 GB. Vzhledem k tomu, že mají uživatelé své pracovní adresáře na serveru, není kapacitu disku třeba řešit. Dedikovaná grafická karta nVidia GeForce 7300GS svou funkci plní také dobře. Jako zobrazovací jednotky jsou v této učebně 17“ LCD monitory, které jsou pro výuku programování a práci s grafikou malé. Jako operační systém je zde nainstalován Windows XP Professional. Jednotlivé počítače jsou zapojeny do domény. Mezi nainstalovanými aplikacemi jsou kancelářské balíky OpenOffice a Microsoft Office 2000, dále pak TurboDelphi pro výuku programování, PSPad, TopStyle a nějaké systémové nástroje. Jako antivirový program je zde použit MS Security Essentials. Přístup do BIOSu je zde chráněn heslem. V učebně se nachází racková skříň, ve které jsou dva switche a jeden patch panel. Jeden switch je značky Netgear (model ProSafe 24 Port 10/100 Switch) a druhý je značky SMC (EZ Switch 1024DT). Oba switche nejsou manageovatelné. Na rackové skříni je umístěn také školní PC router. Kabeláž je v této učebně vedena na zemi u zdi v rozvodných lištách. Celkově je učebna v zachovalém stavu a její souhrnná konfigurace je uvedena v tabulce č. 10 Tab. 10
Současná konfigurace učebny 206
Procesor Operační paměť Pevný disk Grafická karta Monitor Operační systém Zapojení do domény 4.5.1
Intel Core 2 Duo 2.3 GHz 2 GB 80 GB nVidia 7600GT 256 MB 17" LCD Windows XP ANO
Učebna 307
Tato učebna slouží studentům oboru Pozemní stavitelství pro výuku předmětů v aplikaci ArchiCAD. Vzhledem k výkonu jednotlivých počítačů a náročnosti samotné aplikace, zde už není výuka vhodná. Největší brzdou je jednojádrový procesor Intel Celeron D a 512 MB operační paměti. Kapacita pevného disku je 40GB, což je pro účely instalací dostačující, ale jeho rychlost je díky pomalému řadiči IDE na hranici použitelnosti. Absence výkonnější grafické karty, kterou aplikace typu CAD vyžadují, k rychlosti také nepřispěje. Cca 3 roky zpátky (2010) se do této učebny kupovaly 22“ LCD monitory, které jsou stále v dobrém stavu. Díky integrované gra-
Původní stav sítě a počítačových učeben
40
fické kartě a vysokému rozlišení monitoru je práce s aplikací ArchiCAD velmi pomalá. Jako operační systém je zde použit již nepodporovaný Windows XP Professional. BIOS není chráněn heslem a chybí zde antivirový program. Kromě zmíněné aplikace ArchiCAD, je v učebně nainstalován grafický balík Corel Graphics Suite, kancelářský balík MS Office 2000, popřípadě další podpůrný software. Co se týče celkového stavu učebny, tak je docela zachovalá. Disponuje vlastními jističi a proudovým chráničem. Kabeláž je vedena v rozvodných lištách a na každém pracovním stole je zespodu namontovaná dvojzásuvka, do které se zapojuje monitor a počítač. Na zdi je volně přišroubován 24 portový switch Zyxel ES1100-24e, který zvládá rychlost pouze 100 Mbit/s. Není manageovatelný a přístup k němu není žádným způsobem chráněn. Následující tabulka obsahuje konfiguraci učebny č. 307. Tab. 11
Současná konfigurace učebny 307
Procesor Operační paměť Pevný disk Grafická karta Monitor Operační systém Zapojení do domény
4.5.2
Intel Celeron D 2,4 GHz 512 MB 40 GB Integrovaná 22" LCD Windows XP ANO
Výpočetní technika ve sborovně a ředitelně
Krom počítačových učeben je na škole k dispozici další výpočetní technika. Ve školní knihovně se nachází čtyři učitelské počítače, jejichž konfigurace je velmi různorodá. V zásadě se jedná o směs počítačů o různé konfiguraci obdobné učebnám 208 a 307, které se postupně dle potřeby doplňovaly. V ředitelně se nachází jeden počítač identický těm v učebně 208. Slouží pouze k vedení účetnictví a k běžné kancelářské práci. Vzhledem ke stavu a jejich výkonu je obměna také nutná. Na těchto PC běží operační systém Windows XP Professional a jako antivirový software jsou zde antiviry různých výrobců, jako Avast, MS Essentials, nebo AVG. Mezi softwarem jsou jen základní kancelářské aplikace, které vyučující potřebují k práci, tedy MS Office 2000, nějaký internetový prohlížeč, popřípadě emailový klient. Kabeláž ve sborovně, ředitelně a knihovně je vedena v elektroinstalačních lištách. V jednotlivých místnostech zásuvka s jednou RJ45 zdířkou. Počítače jsou k síti připojeny za pomocí malého switche.
Návrh renovace sítě a učeben
41
5 Návrh renovace sítě a učeben Na tuto renovaci byla získána dotace z evropské unie s podmínkou spoluúčasti školy. Vzhledem k tomu, že dotace nebyla vyplacená celá, je renovace sítě prováděna průběžně v několika etapách.
5.1
Konektivita k síti internet
Stávající konektivita k ISP je zajišťována bezdrátovým spojem o rychlosti 8 Mb/s, což je rychlost vzhledem k počtu zařízení využívající tuto konektivitu na hranici použitelnosti. V současné době je v plánu do nového školního roku 2014/2015 změnit poskytovatele internetu nebo alespoň navýšit rychlost připojení. Na ulici Jarošova, kde škola sídlí, byla v roce 2012 pokládána optická kabeláž. Stálo by za zvážení využít připojení pomocí optického kabelu namísto bezdrátového spoje. Například znojemská společnost iWebs (www.iwebs.cz) nabízí optický internet o rychlosti 100 Mb/s bez rozlišení směru. Tato rychlost by byla pro školu naprosto dostačující.
5.2
Struktura sítě
Vzhledem k nevyhovujícímu stavu a morálnímu zastarání původní sítě je její infrastruktura částečně předělána. Ideálním návrhem sítě by bylo zavedení redundance kritických prvků, tím by se v případě selhání některého z nich předešlo pádu celé sítě a porouchaný prvek by tak zaskočil prvek záložní. Schéma ideální sítě je na obrázku č. 8.
Obr. 8
Schéma ideální sítě s redundancí
Pro školu však redundance není nezbytná. Celou síť by to zbytečně prodražilo a byla by náročná na správu. Z toho důvodu byla zvolena jednodušší implementace
Návrh renovace sítě a učeben
42
bez redundance, kde se díky její absenci předejde množným vznikajícím smyčkám, které by bylo nutné ošetřit (pomocí Spanning Tree Protocolu). Správa sítě je tak jednodušší. Pro případ havárie je ve skladu umístěn náhradní switch, kterým je možné téměř ihned porouchaný nahradit. Na obrázku č. 9 je konečný návrh sítě.
Obr. 9
Konečný návrh sítě
Zásadní změnou je zapojení všech jednotlivých částí sítě do centrálního switche, zejména segmentu, ve kterém jsou umístěny servery, protože od něj lze očekávat, že bude během provozu vytěžován nejvíce. Síť bude také dělena na sítě VLAN: • tři sítě VLAN pro počítačové učebny, • jedna síť pro ostatní počítače, • jedna síť pro učitelské PC, • jedna síť pro servery, • a poslední bude sloužit pro management síťových prvků (z hlediska bezpečnosti jsou ve vlastní VLAN). Přístupové zásady budou řešeny pomocí firewallu na routeru. Výhodou využití VLAN je rozdělení sítě na menší spravované segmenty, kdy například při zavirování jednoho počítače nedojde k infikaci celé sítě. V první řadě se daly do pořádku počítačové učebny (viz dále kapitola 5.5). Všechna kabeláž byla umístěna do plastových rozvodových lišt a konektory RJ45, u kterých byly ulámány zámečky, byly vyměněny. Původní switche v síti byly nahrazeny novými. Při jejich výběru se jako nejlepší ukázaly TP-Link TL-SG2424 s podporou managementu, které hlavně umí moderní funkce jako například sítě VLAN, nebo zabezpečení pomocí Port Security. Díky možnosti webového managementu tak switche nabízí i lepší správu sítě. Navíc májí 4 SFP sloty pro optický modul, v budoucnu by mohlo být páteřní vedení řešeno optickým kabelem nabízejícím mnohem vyšší rychlosti než kroucená dvojlinka. Switche byly umístěny
Návrh renovace sítě a učeben
43
do racku a je na nich zapnuta ochrana Port Security. Na obrázku č. 10 je zmiňovaný switch.
Obr. 10 Switch TP-Link TL-SG2424 (http://cz.tp-link.com/products/details/?model=TLSG2424)
Další fáze renovace sítě je závislá na dotaci druhé části peněz, po jejichž získání bude renovace pokračovat. Bude nahrazen původní router za novější. Vzhledem k financím jsou dvě možnosti: • pořízení routeru od Mikrotiku, • PC router (s mnohem vyšším výkonem) s upravenou linuxovou distribucí (mOnOwall, pfSense či ClearOS), do kterého by škola nemusela vkládat žádné finance. Z důvodu ušetření se zvolí PC Router. Bude využit starý server se dvěma síťovými kartami, na který bude nainstalován systém mOnOwall. Je to unixový systém postavený na FreeBSD s cílem vytvořit kompletní firewall, jako nabízí konkurence, avšak zdarma. Tento router bude směrovat packety mezi VLANami a do venkovní sítě Internet. Bude také na něm Firewall pro řízení provozu sítě a prováděn překlad adres NAT. Koupí se nový síťový server, na kterém poběží služby AD, DHCP a DNS, popřípadě budou služby v budoucnu dle potřeby přibývat. Dále bude pořízeno diskové pole NAS pro zálohy serveru. Celá síť bude adresována následujícím způsobem: • síťové prvky budou mít statickou IP adresu třídy A, • servery, tiskárny a disková pole budou mít statickou IP adresu třídy B, • ostatní zařízení sítě budou mít adresu třídy C a bude obhospodařovat nový DHCP server. Nová síť se bude skládat z šesti kusů manageovatelných switchů, jednoho centrálního PC routeru, serveru obhospodařujícího celou síť, NAS diskového pole pro zálohování a tiskárny s vlastním síťovým rozhraním. 5.2.1
Nastavení switche
Jako přepínače jsou použity 24 portové switche značky TP-Link, model TL-SG2424 s podporou managementu včetně webové správy (viz obrázek č. 11). Mezi důležité patří nastavení statické IP adresy pro management switche, změna výchozího uživatelského jména a hesla pro přístup, překontrolování správného času a nastavení hostname zařízení (ID switche). U jednotlivých portů je povolen Port Security, čímž je částečně ztíženo připojení nepovoleného zařízení. Port security je nastaven pou-
Návrh renovace sítě a učeben
44
ze na jednu MAC adresu a v případě připojení cizího neznámého zařízení bude komunikace zahazována (režim protect). Studenti si tedy nemohou připojit svá zařízení. Jakmile bude v provozu nový router, server a budou zprovozněny sítě VLAN, jednotlivé porty se zařadí do příslušné VLANy. Také bude nastaven TRUNK port. Zároveň i samotný switch se zařadí do VLANy managementu. Nastavení u všech switchů je obdobné. Podrobné nastavení je uvedeno v manuálu switche.
Obr. 11
Ukázka webového rozhraní switche TL-SG2424
5.2.2
Nastavení routeru
Jako router bude použit starý školní server, na který se nainstaluje distribuce mOnOwall, která je poskytována zdarma. Mezi její možnosti patří webový management a distribuce tak splňuje další potřebné požadavky. Tento router zároveň bude sloužit i jako firewall sítě a bude na něm prováděn NAT. Jako jedna z prvních nastavení je hostname routeru, pod kterým bude v síti identifikovaný. Je vhodné použít jednoznačný název, například „core“. Potom se nastaví doména, ve které pracuje, a změní se přihlašovací údaje pro jeho management. Kromě změny přihlašovacích údajů router nabízí možnost přihlášení přes šifrovaný protokol HTTPS a nastavení portu pro přístup, jehož je z hlediska bezpečnosti také vhodné použít. Je také potřeba nastavit správný čas a časovou zónu. Dále je nutné nastavit jednotlivé porty, jejich IP adresy, maska, nakonec jednotlivé VLANy. Kromě informací o sítích VLAN je také důležité nastavit virtuální rozhraní na portu pro jednotlivé sítě VLAN. Router nám neplní funkci DHCP serveru, který máme vlastní. Proto je důležité nastavit DHCP Relay agenta, který přeposílá broadcastové žádosti o IP adresu našemu DHCP serveru. V případě WAN portu provedeme nastavení, které nám sdělí ISP. Na obrázku č. 11 je znázorněno nastavení VLAN a na obrázku č. 12 jednotlivá rozhraní.
Návrh renovace sítě a učeben
Obr. 12
Ukázka nastavení sítí VLAN na routeru mOnOwall
Obr. 13
Ukázka virtuální portů na routeru
45
Vzhledem k tomu, že škola má jen jednu veřejnou IP adresu, je potřeba použít NAT (maškarádu). Servery v síti nebudou zvenčí dostupné, bude nastaven jen Outbound NAT, který se postará o překlad privátních adres použitých ve školní síti na veřejnou IP adresu. Outbound NAT pravidlo by mělo být nastaveno automaticky. Po konfiguraci síťových rozhraní je třeba nastavit firewallová pravidla, která nám budou řídit provoz sítě. Pomocí firewallu jsou řešeny zásady přístupu mezi
Návrh renovace sítě a učeben
46
jednotlivými sítěmi VLAN a k serverům, je zakázána nežádoucí komunikace dle rozhodnutí správce sítě. Filtrované packety na základě jednotlivých pravidel, budou buď propuštěny, nebo zahozeny. Mezi možnostmi nastavení firewallu jsou: • akce s packetem (deny, allow, drop/zakázat, povolit, zahodit), • interface – rozhraní, na které packet přijde, • používaný protokol (např. TCP, UDP…), • zdrojová IP adresa a port, • cílová IP adresa a port. Firewallová pravidla budou nastavována dle potřeby během provozu sítě, například zákaz komunikace mezi jednotlivými učebnami. U systému mOnOwall je ve výchozím nastavení veškerá komunikace zakázána. Budou tedy povoleny jen potřebné porty pro komunikaci se serverem V následujícím příkladu je ukázané pravidlo pro zákaz veškeré komunikace z učebny 208 do ostatních učeben. (Na obrázku č. 14 jsou ukázky pravidel)
Obr. 14
Firewallové pravidlo pro zákaz komunikace z učebny 208 do ostatních učeben.
Jak je vidět na části výpisu ipfstat, veškerá komunikace z VLAN10 bude do ostatních VLAN (20-50) skutečně zahazována: # Group 300 @1 block in quick from 192.168.10.0/24 to 192.168.20.0/24 group 300 @2 block in quick from 192.168.10.0/24 to 192.168.30.0/24 group 300 @3 block in quick from 192.168.10.0/24 to 192.168.40.0/24 group 300 @4 block in quick from 192.168.10.0/24 to 192.168.50.0/24 group 300
5.2.3
Nastavení klientů
Nejprve musíme počítače identifikovat v síti: • zvolit jeho jméno, • nastavit dynamické přidělení IP adresy,
Návrh renovace sítě a učeben
47
• zapojit jej do domény, • vytvořit správcovský účet, • nainstalovat potřebný software, Jméno počítače je voleno podle umístění, například PC v učebně 307 má název UC307-PC01. Přístup k administrátorskému účtu má pouze správce sítě.
Obr. 15
5.3
Nastavení názvu PC a nastavení získání DHCP adresy ze serveru
Servery
Původní server bude nahrazen novým serverem. Jako vhodnou volbou jeví server HP, model Proliant ML310eG8v2, který nabízí pro naše potřeby dostatečný výkon. Je postaven na čtyřjádrovém procesoru Intel Xeon na frekvenci 3,0 GHz, 4 GB RAM a dvouportovou gigabitovou síťovou kartu. Jako diskový prostor má 2x 1 TB HDD zapojený v poli RAID1. Záruka je 3 roky s opravou do druhého dne, tudíž absence hotplug redundantních zdrojů nevadí. Starý server by bylo nevýhodné opravovat, protože samotný řadič není nejlevnější a navíc výkon serveru není na dnešní poměry největší. Původní server se však nevyhodí a bude použit jako router. 5.3.1
Nastavení hlavního serveru
Nejdůležitější částí je konfigurace serveru. Škola vlastní zakoupenou licenci na Windows Server 2008 R2, proto bude zakoupen bez operačního systému, který na něj bude dodatečně nainstalován. Instalace OS V BIOSu je třeba nastavit správný systémový čas a nakonfigurovat RAIDové pole. Disky budou zapojeny v režimu RAID1 a budou zrcadleny. Předejde se tak
Návrh renovace sítě a učeben
48
v případě selhání jednoho z nich ztrátě dat. Nastaví se pořadí bootování pro zavedení systému a vše se uloží. Nainstaluje se operační systém. Po nainstalování systému je nastavení správného časového pásma, nakonfigurování správné statické IP adresy a názvu serveru pro identifikaci v síti. Jako název je dobré zvolit nějaký krátký identifikátor (například „Cerberus“), původní název vygenerovaný při instalaci je nepřehledný. Instalace DHCP Serveru V dalším kroku bude nainstalován DHCP server a nastaví se pro každou síť VLAN obor přidělovaných IP adres. Pro VLAN100 a VLAN200 obory nastaveny nebudou, protože prvky v těchto sítích mají IP adresy statické. Výchozí bránou bude rozhraní na našem routeru. V následující tabulce jsou uvedeny příklady oborů adres. Tab. 12
Příklad nastavení oborů IP adres pro sítě VLAN
Síť VLAN10 VLAN20 VLAN30 VLAN40 VLAN50
Rozsah IP 192.168.10.10 - 192.168.10.50 192.168.20.10 - 192.168.20.50 192.168.30.10 - 192.168.30.50 192.168.40.10 - 192.168.40.50 192.168.50.10 - 192.168.50.50
Prefix Výchozí brána 24 192.168.10.1 24 192.168.20.1 24 192.168.30.1 24 192.168.40.1 24 192.168.50.1
DNS 172.16.0.1 172.16.0.1 172.16.0.1 172.16.0.1 172.16.0.1
Instalace Active Directory Následně bude nainstalována služba Active Directory spolu s DNS. Vytvoří se nová doména v nové doménové struktuře a při této instalaci se zvolí se název domény a název NetBIOS. DNS server se nakonfiguruje automaticky pomocí průvodce. Po nainstalování bude úplný název serveru delta.podyji.cz. Po nainstalování služby AD se vytvoří účty uživatelů, následně se jim nastaví práva. Také se pro jednotlivé uživatele definuje jejich pracovní adresář, který bude na místním serveru. Jednotliví uživatelé budou rozdělení v organizačních jednotkách podle ročníku a funkce. Na obrázku č. 15 je ukázka rozdělení uživatelů.
Návrh renovace sítě a učeben
Obr. 16
49
Možná struktura rozdělení uživatelů
Instalace dalších funkcí a služeb Další rolí, kterou server bude plnit je souborový server. Ten bude využit pro různé pracovní účely, kam třeba budou uživatelé učitelům odevzdávat písemné práce. Jednotliví uživatelé sítě budou mít své domovské adresáře na serveru, kam budou mít přesměrovanou i složku s dokumenty. Z hlediska bezpečnosti je efektivní uchovávat data na centralizovaném místě, které je zálohované, než na jednotlivých počítačích. Správce tak při kolapsu systému nemusí řešit zálohy. Jednotlivé PC tedy plní funkci pomyslného klienta. Mezi dalšími možnými službami běžícími na serveru je role tiskového serveru, který by zjednodušoval tiskové úlohy v síti. Vzhledem k tomu, že škola jednu tiskárnu s vlastním síťovým rozhraním, není za potřebí mít tiskový server vzhledem k počtu studentů v provozu. Zprovoznění serveru spočívá v nainstalování služby tiskového server, jednotlivých ovladačů tiskáren, které se následně v síti sdílí. Kromě zmíněných rolí bude na serveru nainstalován antivirový systém, který bude provádět pravidelné analýzy souborů. Pro jednotlivé pevné disky se také nastaví jejich šifrování. Zálohování serveru Zálohování serveru bude probíhat jednou denně na NAS server pomocí zálohovací utility, který je součástí operačního systému. Pro využití této utility je zapotřebí nainstalovat funkci Zálohování serveru. Mezi zálohami budou domovské adresáře uživatelů, popřípadě instalační a další soubory správce. Jednou týdně také proběh-
Návrh renovace sítě a učeben
50
ne záloha operačního systému serveru. V zálohovací utilitě se nastaví plán, podle kterého se zálohování bude řídit. 5.3.2
Mail a web server
Služby WWW serveru a mail serveru běží na serverech providera, kdy má škola k dispozici 500 MB prostoru pro webovou prezentaci školy který je v ceně konektivity k síti internet. Není tedy důvod zřizovat vlastní WWW a mail server. Zbytečně by to zatěžovalo školní rozpočet (náklady na správu tohoto serveru). V případě, kdyby se škola rozhodla v budoucnu provozovat vlastní servery, bylo by vhodné je provozovat na OS Linux, který je zdarma, a škola by nemusela investovat tisíce do licence pro OS Windows Server 200x. Jako hardware by mohla využít třeba starý server. 5.3.3
Diskové pole NAS
Oproti předchozímu stavu bude síť doplněna o NAS diskové pole, které bude sloužit hlavně pro zálohu hlavního serveru a domovských adresářů jednotlivých uživatelů. Dobrou volbou se jeví například QNAP TS-469 Pro, které je z firemní edice a má potřebný výkon a funkce. Navíc jednotlivé hotswap disky jsou uzamykatelné a zabezpečené vůči odcizení. V diskovém poli budou dva 2TB disky značky Western Digital série RED určeny právě pro NAS úložiště. Tyto disky garantují 24/7 hodinový provoz a chlubí se nízkou poruchovostí. Při nákupu disků budou zakoupen stejný model, ale jiná série (jedna série může být poruchová). Disky budou zapojeny v poli RAID1. Díky čemuž při selhání disku zůstanou data na disku druhém. Celkem 2 TB datového prostoru jsou pro školu prozatím dostatečným prostorem. Vzhledem k tomu, že vybraný NAS server je určen pro čtyři disky, je možné v případě potřeby další dva disky dokoupit. V případě že by byly disky čtyři, byly by zapojeny v poli RAID10. Zálohy uživatelských dat se na tento server budou provádět jednou denně po výuce (typicky kolem 18 hodiny). Před každou zálohou však bude provedena antivirová kontrola, z důvodu prevence, aby se nezálohovaly i viry.
5.4
Zabezpečení sítě
Důležitou součástí kvalitní síťové infrastruktury je její zabezpečení. Musíme se bránit dvěma typům útoku: • z venkovní sítě Internet, • z vnitřní sítě. 5.4.1
HW zabezpečení sítě
Z hlediska hardwarového zabezpečení sítě je využito všech možných prostředků, jak síť zabezpečit na maximum. Mezi hlavní aplikované zabezpečení patří: • umístění serverů ve zvláštní místnosti, • instalace manageovatelných sítových prvků,
Návrh renovace sítě a učeben
51
• • • • •
uzamčení síťových prvků v racku, rozdělení sítě na segmenty (VLAN), na switchích aplikována Port Security, nastavena priorita bootování z HDD na prvním místě, nastavení hesla BIOSu (bráno z hlediska přístupu k hardwaru, částečně SW zabezpečení), • využití UPS zdrojů pro případ vyhození jističů (za účelem odstavení). 5.4.2
SW zabezpečení sítě
Z hlediska SW zabezpečení sítě jsou nastavena práva, a nainstalován bezpečnostní software. Jde zejména o: • nainstalování aktualizací operačních systémů, • nainstalování antivirového softwaru, • zamezení měnit systémová nastavení, • řízení provozu bránou firewall, • konfigurace uživatelských práv na nejnutnější úroveň potřebnou k práci, • složitější hesla, • šifrování disků s kritickými daty (server, PC ředitele). 5.4.3
Zásady hesel
Přístupové heslo k serveru zná pouze správce sítě, pro případ nutnosti je také uloženo v trezoru ředitele školy. V zásadách nastavení jsou požadována složitější hesla, která se musí skládat z malých/velkých písmen a číslic popřípadě znaků. Předejde se tomu, že si jednotliví uživatelé budou nastavovat triviální hesla typu 123456. Nevýhodou je, že někteří mohou mít problémy se zapamatováním. 5.4.4
Správa sítě a jejich prvků
Průběžná správa sítě zajišťuje její funkčnost. Po zprovoznění nového serveru, routeru a VLAN bude mít k managementu jednotlivých zařízení přístup pouze správce sítě, a to pouze z předem sjednaných míst. Správa bude možná přímo ze serveru, ze správcovského počítače umístěného u správce v kanceláři nebo například pouze ze sborovny. Naopak není žádoucí, aby bylo možné se k managementu dostat ze studentské části sítě, proto bude správa ze studentských PC zamezena. Tato komunikace bude řešena pomocí firewallu na routeru. Další ochranou bude jiná třída IP adresy, kdy pro adresaci síťových prvků budou použity IP adresy třídy A. Servery budou mít IP adresy třídy B a zbytek sítě C.
Návrh renovace sítě a učeben
5.5 5.5.1
52
Počítačové učebny Učebna 208
Původní počítače byly z běžného používání vyřazeny. Jejich poruchovost v poslední době vzrůstala. Na jejich stavu se podepsali i samotní studenti, protože se k nim nechovali tak, jak by měli. V učebně byla na zeď namontována malá racková skříň o čtyřech volných „U“ pozicích, do které se umístil patch panel a nový 24 portový manageovatelný switch, který umožňuje vyšší rychlosti než ten původní. Zásluhou patch panelu byl zároveň udělán pořádek v kabeláži. Zatím je na switchi nastavena jen ochrana Port Security a po zprovoznění nového serveru bude tato učebna v síti VLAN10. Na místo původních počítačů byly do této učebny nastěhovány počítače z učebny 306. Počítače jsou vcelku zachovalé, jejich výkon je pro výukové účely plně dostačující. Využilo se situace, že učebna byla prázdná, proto všechny PC byly rozmontovány a zbaveny nashromážděného prachu, který je pro elektroniku škůdcem. Jednak brání samotnému chlazení a navíc mohou vznikat špatné kontakty mezi jednotlivými komponentami, což je příčinou případné nestability PC. Tímto problémem trpí zejména paměťové moduly (RAM), protože se na nich usazuje prach z procesorového chladiče. Po kompletním vyčistění byly počítače rozmístěny po pracovních stolech a připojeny k síti. Vzhledem k tomu, že mají dedikovanou grafickou kartu, se k nim daly 22“ LCD monitory z učebny 307. Na počítačích byla provedena čistá instalace operačního systému Windows 7 Professional ve 32 bitové edici a nainstalovány příslušné ovladače. Během instalace operačního systému byl zvolen název počítače, který je ve tvaru ČísloUčebny-ČísloStroje (například 208-PC05), což vede k jednoznačné identifikaci v síti. Přidělování IP adres je pomocí DHCP serveru a tyto PC jsou zapojeny do domény. Tato učebna nově slouží pro výuku programování a v případě potřeby pro výuku výpočetní techniky a internetových prezentací. Na PC jsou nainstalovány vývojářské aplikace NetBeans a Lazarus, pro výuku výpočetní techniky je zde freewarový kancelářský balík Open Office. Pro výuku internetových prezentací si učebna vystačí s textovým editorem PSPad, doplněným o TOPStyle Lite pro editaci kaskádových stylů CSS. Je zde také nainstalován grafický balík Corel Graphics Suite 12, protože při tvorbě webu je potřeba pracovat i s grafikou. Dále je zde k dispozici prohlížeč Internet Explorer, Mozilla Firefox a Google Chrome v nejnovější dostupné verzi s nainstalovaným pluginem Adobe Flash Player. Nad rámec softwaru pro výuku předmětů se zde nachází Adobe Reader pro čtení PDF souborů, archivační nástroj 7-Zip a nakonec kodeky potřebné pro přehrání multimediálního obsahu. Všechny aplikace, kromě operačního systému a grafického balíku Corel jsou poskytovány jako freeware, tudíž není třeba velikých finančních investic. V následujícím školním roce je chystáno navýšení operační paměti na 4 GB.
Návrh renovace sítě a učeben
5.5.2
53
Učebna 306
Po dokončení nutných oprav byly zpátky nastěhovány počítačové stolky a byla provedena revize elektroinstalace. Učebna má vlastní proudový chránič a jističe, což je vyhovující. Kabeláž v rackové skříni byla uspořádána a oba původní switche vyměněny za nové s podporou managementu, byl na nich aktivován Port Security. Zároveň se do racku umístil druhý Patch panel a třetí switch, do kterého se zapojily PC z učebny 307. Původní počítače byly přestěhovány do učebny 208 a namísto nich zde byly nainstalovány stroje z učebny 307. Vzhledem k jejich výkonu tato učebna slouží pouze k výuce výpočetní techniky a písemné a elektronické komunikace. Jednojádrový procesor Celeron D s frekvencí 2,4 GHz je sice již pomalý, ale na kancelářskou práci a výuku psaní zatím musí stačit. Operační paměť byla navýšena z původních 512 MB na 1,5 GB, čímž je zrychlena celková odezva systému. Pevné disky o kapacitě 40 GB jsou bez vadných sektorů, takže zatím jako systémové disky také vystačí. Protože tyto počítače mají integrovanou grafickou kartu, zůstaly v této učebně zachovány původní 17“ LCD monitory, které na práci v balíku Open Office stačí. Vzhledem k tomu, že operační systém Windows XP již není podporovaný, a vzhledem ke stáří počítačů (tím i absence ovladačů pro nový OS), nebylo možné na tyto PC novější operační systém Windows nainstalovat. Byla zkoušena instalace Windows 7, práce na PC však nebyla možná. Z toho důvodu byla na PC nainstalována linuxová distribuce Xubuntu, která je docela uživatelsky přívětivá. Tato distribuce je díky grafickému rozhraní LXDE méně náročná a v rámci možností provozovatelná. Již v instalaci OS byl zahrnut základní software, jako jsou internetové prohlížeče, prohlížeč PDF souborů nebo freewarový grafický editor GIMP. Pomocí softwarového centra se jen doinstalovala aplikace Libre Office (podobná jako Open Office). Jedná se však pouze o provizorní řešení, než se do této učebny nakoupí nové PC, proto nebyly tyto počítače zapojeny do domény. Jsou na nich vytvořeny pouze dva uživatelské účty. Jeden účet je s právy administrátora, druhý účet je s omezeným oprávněním, ke kterému se přihlašují studenti. Nákup nových PC je naplánován do nového školního roku 2014/2015 a počítače by měly být financovány z dalšího projektu, který škola v současnosti připravuje. Na nových PC by měl být opět nainstalován operační systém Windows 7 Professional. Po zprovoznění nových PC a nového serveru bude učebna zapojena zpět do domény a bude v síti VLAN20. 5.5.3
Učebna 307
Kvůli nedostatečnému výkonu pro práci v aplikaci ArchiCAD byly původní PC přesunuty do učebny 306. Do této učebny se koupily počítače nové. Provedla se kompletní revize elektrické sítě, a natáhla se nová kabeláž, která je vedena v elektroinstalačních lištách. Vzhledem k tomu, že jsou učebny 306 a 307 vedle sebe, byla veškerá kabeláž protažena do racku v učebně 306, kam se přidal patchpanel a manageovatelný switch. Na switchi byl zapnut Port Security a po zprovoznění nového serveru bude učebna zařazena do VLAN30.
Návrh renovace sítě a učeben
54
Původně bylo v učebně 16 počítačů. Nově se zde nainstalovalo 18 počítačů plus jeden učitelský. Výběr počítačů, které se do učebny pořídily, se odvíjel od minimálních doporučených systémových požadavků aplikací ArchiCAD a VirtualBox, které zde jsou nainstalovány. Systémové požadavky jsou uvedeny v tabulce č. 13. Tab. 13
Minimální systémové požadavky aplikace ArchiCAD 17
OS Procesor Operační paměť Pevný disk Displej Grafická karta
Windows 7 64-bit a novější 64-bit 4 jádrový procesor 4 GB RAM 10 GB 1280x1024 rozlišení OpenGL 2.0 a 512 MB RAM
Zdroj: webové stránky výrobce aplikace (https://graphisoft.com support/system_requirements)
Při výběru počítačové sestavy se zvažoval výběr značkových sestav HP nebo DELL. Od toho se nakonec upustilo, protože tyto sestavy jsou značně dražší. Počítače těchto výrobců bývají spolehlivější, ale to se promítne hlavně na koncové ceně, která byla při větší objednávce skutečně vyšší. Po domluvě s prodejcem výpočetní techniky, který škole dodává výpočetní techniku již od samého vzniku školy, se nakoupily počítačové sestavy Triline, na které byla poskytnuta tříletá záruka s výměnou vadné komponenty do druhého dne (prodáváno pod názvem OnSITE). Protože je ArchiCAD docela náročná aplikace na procesorový výkon a grafickou kartu (viz tabulka č. 9). Byly vybrány s ohledem na rozšíření a výkon do budoucna sestavy v provedení minitower s procesorem Intel Core i7-3770. Jedná se o fyzicky čtyřjádrový procesor s funkci HT (Hyper Threading), díky níž dokáže další čtyři jádra virtualizovat (je to tedy virtuální osmijádrový procesor). Jeho vysoká taktovací frekvence 3,4 GHz (a 3,9 GHz v Turbo režimu) poskytne spolu s VT-x instrukcí dostačující výkon i pro případnou virtualizaci. Jeho výpočetní výkon doplňují 4 GB operační paměti RAM ve verzi DDR3 o rychlosti sběrnice 1600 MHz. Operační paměť jde v budoucnu rozšířit o další modul. Dále pak je v PC rychlý 500 GB pevný disk s 7200 otáčkami a rozhraním SATA3, zvládající datový přenos až 600 Gb/s. Sestava s SSD diskem byla mnohem dražší. O vykreslování a zobrazování se stará profesionální grafická karta od společnosti ATI, řada FirePro V3900, která je osazena 1 GB paměti DDR5 a je určena pro střihové a CADové aplikace. Uživatelský komfort doplňuje veliký 24 palcový LCD monitor IIYama s LED podsvícením, velikými pozorovacími úhly a nízkou odezvou. Vzhledem k tomu, že škola není zapojená do žádného MSDN AA programu a protože ArchiCAD je určen pro platformu Windows, byly spolu s počítači zakoupeny licence na operační systém Windows 8 Pro, který umožnuje zapojení do domény. Tento systém však nabízí možnost downgradu na Windows 7 Professional, kterého se využilo. Protože tato učebna nyní slouží i pro výuku počítačových sítí a systémů, přidala se do volné PCI pozice druhá síťová karta. Počítače jsou tak připraveny pro zřízení síťové laboratoře. Po nainstalování operačního systému, jeho
Návrh renovace sítě a učeben
55
potřebných ovladačích a nastavení byly nainstalovány základní aplikace jako antivirový program, Adobe Reader, 7-Zip, Open Office a prohlížeče Internet Explorer, Mozilla Firefox a Google Chrome. Vzhledem k výuce v ArchiCADu zde byla také nainstalovaná jeho poslední verze. Spolu s ArchiCADem zde bylo zapotřebí nainstalovat přehrávač QuickTime společnosti Apple, a některé knihovny DirectX, které si instalace sama vybrala. Pro výuku počítačových sítí byla nainstalována aplikace Wireshark, Putty, WinSCP a nějaké základní nástroje, jako je příkazový řádek, či systémová nastavení systém měl k dispozici už v čisté instalaci. Aby však studenti měli možnost si vyzkoušet nastavení i v reálném případě, byla zvolena virtualizace operačních systémů pomocí aplikace VirtualBox společnosti Oracle, která umožňuje běh několika virtuálních systémů najednou. Jako virtuální operační systémy zde byly nainstalovány dvě linuxové distribuce, a to CentOS a Fedora, dále pak Windows 7 Professional, na který škola má již z dřívějška zakoupenu licenci. Studenti mají ve virtuálních PC administrátorská práva, počítače však nejsou prozatím žádným způsobem připojeny ke školní síti. V tabulkách č. 14 a 15 je uvedeno srovnání původních a nových konfigurací jednotlivých učeben. Tab. 14
Porovnání původních konfigurací jednotlivých učeben
Procesor Operační paměť Pevný disk Grafická karta Operační systém Monitor
Učebna 208 Intel Celeron 2,4 GHz 512 MB DDR1
Učebna 306 Intel Core 2 Duo 2,33 GHz 2 GB DDR2
Učebna 307 Intel Celeron 2,4 GHz 512 MB DDR1
40 GB IDE Integrovaná
80 GB SATA nVidia 7300GT
40 GB IDE Integrovaná
Windows XP Prof.
Windows XP Prof.
Windows XP Prof.
CRT 17“
LCD 17“
LCD 22“
Návrh renovace sítě a učeben Tab. 15
Porovnání nových konfigurací jednotlivých učeben
Procesor Operační paměť Pevný disk Grafická karta Operační systém Monitor 5.5.4
56
Učebna 208 Intel Core 2 Duo 2.33 GHz 2 GB DDR2
Učebna 306 Intel Celeron D 2,4 GHz 1,5 GB DDR
Učebna 307 Intel Core i7, 3,4 GHz 4 GB DDR3
80 GB IDE nVidia 7300GT
40 GB SATA Integrovaná
500 GB IDE ATI FirePro V3900
Windows 7 Pro
Xbuntu 13.04
Windows 7 Pro
LCD 22“
LCD 17“
LCD 24“
Další výpočetní technika
Škola získala od jedné firmy sponzorským darem osm kusů starších počítačů s licencí pro Windows 7, jsou postaveny na procesorech Intel Pentium E5400 na taktu 2,6 GHZ, 2 GB operační paměti RAM, 250 GB HDD a 19“ LCD monitory BENQ. Byly vyčištěny od prachu a provedla se čistá instalace operačního systému Windows 7 Professional. Vzhledem k tomu, že se jedná pouze o PC pro učitele, je na nich nainstalován jen prohlížeč, kancelářský balík Open Office, Adobe Reader, popřípadě nějaký přehrávač a antivirový software. Na katedrových počítačích v jednotlivých učebnách je nainstalován pouze antivirový program, Adobe Reader, internetový prohlížeč a Open Office. Počítače ve sborovně a ředitelně budou zařazeny do sítě VLAN50, do učitelské sítě. Ostatní katedrové počítače budou v síti VLAN40 (mimo samotné počítačové učebny). 5.5.5
Obecné zabezpečení učeben
Studenti se podle školního řádu smí po počítačových učebnách pohybovat pouze v době výuky. O přestávkách mají do nich přístup zamezen. Na všech PC je zaheslován přístup do BIOSu, tudíž student má znemožněno měnit nastavení počítače, nebo použít zaváděcí média s Live OS (například linux), dále je na všech PC nainstalován antivirový software MS Security Essentials, poskytovaný k legálnímu OS zdarma. V zásadách zabezpečení jsou řešeny různé zásady, jako zákaz změny systémových nastavení, instalace aplikací, nebo mazání některých složek, ke kterým dotyčný nemá práva. Samozřejmostí je zakázání účtu hosta a zabezpečení účtu správce. Jedním z dalších nastavení je, že po odhlášení uživatele není vidět login naposledy přihlášeného uživatele.
Návrh renovace sítě a učeben
5.6
57
Cyklus obnovy počítačových učeben
Celková životnost učeben se odvíjí dle aktuálních požadavků na hardwarový výkon a dle použitého softwaru. Nemalý podíl také na tom má samotný stav jednotlivých počítačů, tedy jejich životnost, která je do značné míry také ovlivněna tím, jak se k této technice chovají jednotliví studenti. Z hlediska výkonu už nejsou takové nárůsty tak markantní jako v několika předchozích letech. Trendem dnešní doby je: • co největší integrace jednotlivých komponent do jednoho čipu (například paměťový řadič, či integrované grafické jádro se přesunulo již do procesoru), • stále jemnější výrobní proces (v současnosti 22nm), to vše při zachování stejného nebo mírně vyššího výkonu. Za poslední 3 roky (2011 – 2014) procesorový výkon v podobě skoro vůbec nestoupnul, naopak se výrobci snaží navyšovat počet jader. V případě společnosti Intel, jsou procesory architektury Core iX stále aktuální (liší se pouze výrobním procesem a použitým procesorovým jádrem, které je vylepšováno). Kapacita diskového úložiště u výpočetní techniky v poslední době také moc nenarůstá. Je však vhodné zmínit stále dokonalejší technologie jako je například SSD disk, který je mnohonásobně rychlejší, avšak na úkor kapacity disku, neboť ceny SSD jsou mnohonásobně vyšší. Důležitým parametrem je operační paměť, jejíž velikost ovlivňuje celkovou odezvu systému. Životnost samotného hardwaru je dána použitými součástkami, ze kterých je vyroben. Je také ovlivněna tím, jestli má daná komponenta mechanické části (pevné disky, DVD mechaniky, ventilátory…), kvůli kterým je poruchovost vyšší. Dobrým vodítkem jsou ukazatelé MTBF (Mean Time Between Failures) a MTTF (Mean Time To Failure), které udávají střední hodnotu mezi poruchou, kterou deklaruje výrobce komponenty na základě vlastního testování. Obecně by učebna měla vydržet z hlediska hardwaru dva až tři roky, což je výrobcem garantovaná doba jeho funkčnosti a v případě poruchy jeho bezplatné opravy či výměny. V záruční lhůtě by měly být pouze náklady na provoz samotné učebny (elektřina a případné softwarové licence), po této lhůtě k těmto nákladům přibývají finance na případné odstraňování poruch, které začínají vzhledem k morálnímu zastarávání stoupat. V ideálním případě by bylo vhodné učebny obnovovat každé tři roky, po uplynutí záruční lhůty. Některé z větších firem dokonce mívají pravidelný cyklus obnovy definován ve firemní politice. Vzhledem k finančním možnostem drtivé většiny samotných škol je tato pravidelná obměna téměř nemožná.
Zhodnocení a stav projektu
58
6 Zhodnocení a stav projektu Celý tento projekt je realizován s ohledem na co nejnižší cenu při zachování kvality a viditelné modernizace síťové infrastruktury a jejího zabezpečení. Je částečně financován z fondu Evropské unie díky školnímu programu pro zlepšení technického zázemí pro výuku. Pokud by měl být projekt financován pouze ze školního rozpočtu, škola by si jej nemohla dovolit. Je zbytečné, aby škola investovala do zařízení používající se ve velkých firmách, protože při malém zatížení sítě nevyužije plný výkon, a navíc by to celý projekt zbytečně prodražilo. Proto byly voleny komponenty běžných výrobců, které mají obdobné funkce jako konkurence.
6.1
Hardware
Prozatím bylo nakoupeno celkem 7 switchů TP-Link TL-SG2424 za cenu 3 800 Kč (jeden switch je rezervní). Dále 20 počítačů do jedné z učeben, kde jeden počítač stál v průměru 20 000 Kč a monitor 3 500 Kč. Bylo také zakoupeno 18 kusů paměťových modulů RAM o kapacitě 1 GB, kterými se navýšila paměť v učebně 306. Paměti vyšly na 500 Kč za kus. Kromě tohoto hardwaru bylo zapotřebí koupit UTP kabeláž a konektory RJ45, kde celý balík obsahující 300 m vyšel na 1 600 Kč a balení konektoru po 100 kusech na 200 Kč. Rackové skříně měla škola k dispozici ve skladu. Vzhledem k čekání na další část dotace se dále počítá s náklady 20 000 Kč za server, 16 000 Kč za diskové pole NAS a 2x 2 200 Kč za pevné disky do NAS. Také je nutné koupit do serverovny klimatizaci pro zajištění správných provozních podmínek pro servery. Dále pak s náklady na nákup barevné tiskárny, dataprojektorů a k nim i počítačů/notebooků.
6.2
Software
Vzhledem k tomu, že škola měla zakoupeny licence pro OS Windows 7 Pro a Windows Server 2008 R2 již z dřívějška, nebylo nutné tedy licence pro OS kupovat. Licence pro operační systém Windows 8 Pro (downgradovaný na Windows 7) byly v ceně nových PC. Systém mOnOwall, který bude provozován na routeru, je poskytován zdarma. Počítá se však se zakoupením licence pro antivirový systém, který bude nainstalován na serveru. Ostatní používané aplikace jsou buď freeware, nebo na ně škola má zakoupenou licenci z dřívějška.
6.3
Souhrnné zhodnocení a další náklady
V následující tabulce je uvedeny celkové očekávané náklady na realizaci celého projektu, přičemž část peněz (získány zejména pro nákup počítačové učebny) je získána z dotace Evropské unie. V těchto nákladech není započtena práce elektrikářů a další drobné výdaje jako například spotřební materiál.
Zhodnocení a stav projektu Tab. 16
59
Souhrn výdajů za nákup potřebného vybavení
Náklady projektu Položka Cena za kus Počet PC Sestava Trilline (včetně Windows) 20 000 Kč 20 24" LCD Monitor YIAMA 3 500 Kč 20 Operační paměť RAM 1 GB DDR1 500 Kč 18 Switch TP-LINK TL-SG2424 3 800 Kč 7 Konektory RJ45 2 Kč 100 UTP Kabeláž - celý box 1 600 Kč 1 * Server HP Proliant ML310eG8v2 20 000 Kč 1 * QNAP TS-469 Pro 20 000 Kč 1 * HDD do NAS 2TB 2 200 Kč 2 * Laserová multifunkční tiskárna 50 000 Kč 1 * Klimatizace do serverovny 30 000 Kč 1 Očekávaná cena
Celkem 400 000 Kč 70 000 Kč 9 000 Kč 26 600 Kč 200 Kč 1 600 Kč 20 000 Kč 20 000 Kč 4 400 Kč 50 000 Kč 30 000 Kč 631 800 Kč
Škola prozatím do tohoto projektu investovala kolem 507 400 Kč. Celkově očekávané náklady bez další nové učebny jsou odhadovány na 631 800 Kč, přičemž položky v tabulce označené hvězdičkou nebyly dosud pořízeny. K dalším investicím, kromě výše uvedených bude patřit: • koupě serveru, • diskového pole NAS a pevných disků, • multifunkční barevná laserová tiskárna, • koupě klimatizace do serverovny. Škola má dále v plánu počítače v učebně 306 nahradit počítači novými (nynější učebna je jen dočasné řešení a přikoupení několika notebooků a dataprojektorů. Tyto náklady nebyly do zhodnocení započteny, nicméně očekávaná suma je cca 300 000 Kč za učebnu a 60 000 Kč za čtyři notebooky. Mezi dalšími náklady lze po dokončení renovace očekávat náklady na provoz učeben a serverů, popřípadě drobné opravy, například odstranění závad.
6.4
Aktuální stav renovace
Renovace sítě a učeben byla započata díky získání dotace z evropské unie, kterou škola získala primárně na renovaci počítačové učebny. Z toho důvodu se muselo začít její renovací, neboť by škola musela v případě, že by nedodržela účel získaných peněz, získané finanční prostředky vrátit. Byla provedena celková obnova počítačových učeben, do jedné z nich se koupily nové počítače. Provedla se výměna switchů za nové a zavedla se ochrana Port Security. Z důvodu nedostatečných financí nebyla renovace sítě prozatím dokončena. Po získání zmíněných prostředků bude dokoupen nový server, diskové pole NAS, barevná laserová tiskárna a zprovozní se sítě VLAN. Po zprovoznění zmíněných
Zhodnocení a stav projektu
60
prvků tak škola bude mít plně funkční a zabezpečenou síť, která lze v případě potřeby doplnit o další síťová zařízení, či doinstalování potřebných služeb, které mohou časem přibývat. Konfigurace zařízení byla odzkoušena na virtuálních strojích ve Virtualboxu a na fyzickém počítači.
Závěr
61
7 Závěr Tento projekt přinese nejen zlepšení podmínek pro výuku studentů, ale i vyšší zabezpečení sítě. Celá restrukturalizace přinese jednodušší správu celé sítě, přehled o ní. Zároveň bude celá síť zdokumentovaná. V současné době mají studenti a vyučující k dispozici tři plně funkční učebny s aktuálním softwarem. Připojení k síti je chráněno pomocí Port Security. Realizace sítě probíhá průběžně s ohledem na výuku, aby nebyla narušována. Celá renovace bude dokončena po získání všech potřebných financí. Výsledkem bude funkční síť, která by měla na pár let opět vystačit.
7.1
Vize do budoucna
Do nového školního roku je v plánu o prázdninách v případě získání další dotace vybavit učebnu 306 novou výpočetní technikou, neboť provoz této učebny je považován za dočasné řešení, než škola získá zmíněné další finance. Jako další možný upgrade by jistě stálo za zvážení zavedení WIFI sítě do objektu školy, zavedení IEEE802.1x autentizace pomocí certifikátů. Mohlo by se také zřídit diskové pole mimo server, ke kterému by měli studenti pomocí VPN umožněn přístup z domova. Dokoupení potřebného vybavení a plného zprovoznění síťové laboratoře v učebně 307, která je již částečně připravena. Bylo by vhodné také nakoupení notebooků pro jednotlivé vyučující, kteří by notebook používali pro prezentaci učiva v jednotlivých učebnách. Odpadly by náklady na správu starých PC, a učitelé by mohli využít notebooky pro školní práci i z domova. Co se týče tiskových úloh, studenti smí dle školního řádu tisknout pouze za souhlasu vyučujícího. Vše by mohlo být vyřešeno například zavedením systému SafeQ pro kontrolu nad tiskovými úlohami. Taktéž by se mohlo zvážit zakoupení licence pro Microsoft Office 2013 nebo alespoň pro webový Office O365, jsou to nejpoužívanější kancelářské balíčky, i když je pravda, že OpenOffice je může nahradit jako zástupce OpenSource. Nakonec by byl zajímavou věcí monitoring celé počítačové sítě a jejím vytížení. Například pomocí placené aplikace Microsoft System Center nebo Nagios, což je freewarový projekt pro sledování vytíženosti a stavu sítě.
Literatura
62
8 Literatura BIGELOW, STEPHEN J. Mistrovství v počítačových sítích: správa, konfigurace, diagnostika a řešení problémů. Vyd. 1. Překlad Petr Matějů. Brno: Computer Press, 2004, 990 s. ISBN 80-251-0178-9. BITTO, ONDŘEJ. Microsoft Windows 7: podrobná uživatelská příručka. Vyd. 1. Brno: Computer Press, 2009, 340 s. ISBN 978-80-251-2647-9. BROŽA, PETR. Stavíme si počítač. 4. vyd. Brno: Computer Press, 2003. ISBN 80-7226933-X. CISCO: Configuring VLANs. [online]. [cit. 2014-05-04]. Dostupné z: http://www.cisco.com/c/en/us/td/docs/switches/datacenter/nexus5000/s w/configuration/guide/cli/CLIConfigurationGuide/VLANs.html DOSTÁLEK, LIBOR. Velký průvodce protokoly TCP/IP: bezpečnost. 2. aktualiz. vyd. Praha: Computer Press, 2003, xvi, 571 s. ISBN 80-722-6849-X. JÍROVSKÝ, VÁCLAV. Vademecum správce sítě. 1. vyd. Praha: Grada, 2001, 428 s. ISBN 80-716-9745-1. PUŽMANOVÁ, RITA. TCP/IP v kostce. 1. vyd. České Budějovice: Kopp, 2004, 607 s. ISBN 80-723-2236-2. PUŽMANOVÁ, RITA. Moderní komunikační sítě od A do Z. 2. aktualiz. vyd. Brno: Computer Press, 2006, 430 s. ISBN 80-251-1278-0. RACKSPACE: Installing Active Directory on Windows Server 2008 R2 Enterprise 64-bit. [online]. [cit. 2014-05-11]. Dostupné z: http://www.rackspace.com/knowledge_center/article/installing-activedirectory-on-windows-server-2008-r2-enterprise-64-bit SAMURAJ-CZ: VLAN - Virtual lan area network [online]. [cit. 2014-05-03]. Dostupné z: http://www.samuraj-cz.com/clanek/vlan-virtual-local-area-network/ TATÁR, ROMAN. Rekonstrukce vnitropodnikové počítačové sítě Obecního úřadu Šatov. Mendelova univerzita v Brně, 2007, 63 s. Bakalářská práce. TRUHLÁŘ, P. Návrh bezdrátové sítě pro Střední odbornou školu Podyjí. Brno: VUT v Brně, Fakulta podnikatelská, 2010. 52 s. Vedoucí práce: doc. Ing. Miloš Koch, CSc. WIKIPEDIA: Twisted pair. [online]. [cit. 2014-03-02]. Dostupné z: http://en.wikipedia.org/wiki/Twisted_pair WIKIPEDIA: Optické vlákno [online]. [cit. 2014-04-23]. Dostupné z: http://cs.wikipedia.org/wiki/Optick%C3%A9_vl%C3%A1kno
Přílohy
63
Přílohy
Vybrané fotografie
A Vybrané fotografie
Obr. 17
Nesprávné umístění switche – není chráněn
Obr. 18
Staré servery umístěny v neklimatizované místnosti
64
CD/DVD
65
B CD/DVD Na přiloženém CD/DVD jsou přiloženy fotografie jednotlivých počítačových učeben, serverů a dalších prostor školy. Fotofrafie jednotlivých jsou rozděleny v jednotlivých souborech. Dále jsou zde také screeny některých výpisů a nastavení. Struktura DVD je nasledující: • Fotografie: o Učebna 208. o Učebna 306. o Učebna 307. o Ostatní prostory. o Serverovna. • Screeny důležitých nastavení serveru. • Screeny důležitých nastavení routeru.