SzIE G¨od¨oll˝o, IH
Helyi h´al´ozatok tervez´ese
Helyi h´al´ozatok tervez´ese Lajber Zolt´an
[email protected] Szent Istv´an Egyetem, G¨od¨oll˝o Informatikai Hivatal
Bevezet´es Tervez´esi szempontok: teljes´ıtm´eny, karbantarthat´os´ag, biztons´ag. – Teljes´ıtm´eny: h´al´ozati technol´ogi´ak, kiszolg´al´o g´epek – Biztons´ag: biztons´agpolitika, t˝uzfal elrendez´esek – p´elda h´al´ozatok
1
SzIE G¨od¨oll˝o, IH
Helyi h´al´ozatok tervez´ese
Tervez´es teljes´ıtm´enyre V´arhat´o forgalom becsl´ese A munka´allom´asonk´enti s´avsz´eless´eg-ig´eny er˝osen f¨ugg a felhaszn´al´as jelleg´et˝ol: Felhaszn´al´o
I/O / mp
s´avsz´eless´eg-ig´eny kB/sec
Mb/sec
´ Atlagos irodai
1.2
10
0.08
Er˝os irodai
2.5
20
0.16
4 - 100
50-4000
0.4 - 30
Fejleszt˝o
2
SzIE G¨od¨oll˝o, IH
Helyi h´al´ozatok tervez´ese
˝ keresztmetszetek meghat´aroz´asa - h´al´ozat A szuk Az el´erhet˝o s´avsz´eless´eg k¨ul¨onb¨oz˝o h´al´ozatokn´al: Megnevez´es
max. s´avsz´eless´eg MB/sec
Mb/sec
0.3 - 0.6
2.4 - 4.8
1.1
8.8
100M fastethernet
6 - 11
48 - 88
1G gigabit ethernet
35 - 75
280 - 600
10M ethernet, HUB vagy coax 10M ethernet, switchelt
3
SzIE G¨od¨oll˝o, IH
Helyi h´al´ozatok tervez´ese
˝ keresztmetszet switchekn´el A szuk backplane
a´ r
fajlagos a´ r
Gbps
USD
USD/Gbps
USD/port
0.1
47
470
5
olcs´o 24 port 19” rack
1
450
450
18
k¨ozepes 24 port 19” rack
8
1500
187
62
64
43000
671
179
720
70000
97
427
kateg´oria
SOHO, 8 port
cisco 4500 240 port cisco 6500 576 10/100/1000
4
SzIE G¨od¨oll˝o, IH
Helyi h´al´ozatok tervez´ese
˝ keresztmetszet szerverekn´el Szuk Megnevez´es
V´arhat´o max. s´avsz´eless´eg MB/sec
Mbps
5
40
P3 Coppermine
1100
8800
P4 Xeon 3GHz
3276
26208
PCI 33MHz/32bit
132
1056
PCI 66MHz/64bit
528
4224
PCI 133MHz/64bit
1064
8512
HDD low-end IDE
8
64
60
480
245
1960
Intel Pentium 133
HDD 10k rpm U320 SCSI 8 disk raid
5
SzIE G¨od¨oll˝o, IH
Helyi h´al´ozatok tervez´ese
Eszk¨oz¨ok kiv´alaszt´asa Egy 20 g´epes h´al´ozathoz Elem
´ Atlagos irodai
Er˝os irodai
Fejleszt˝o
Forgalom
0.2 Mbyte/sec
0.4 kbyte/sec
80 Mbyte/sec
H´al´ozat
ethernet/SOHO
switchelt 10
switchelt 100
Szerver
P133/PCI33
P133/PCI33
P3/PCI33
Diszkek
IDE 5400 rpm
IDE 5400 rpm
10k rpm
6
SzIE G¨od¨oll˝o, IH
Helyi h´al´ozatok tervez´ese
Egy 200 g´epes h´al´ozathoz Elem
´ Atlagos irodai
Er˝os irodai
Fejleszt˝o
Forgalom
2 Mbyte/sec
4 Mbyte/sec
800 Mbyte/sec
H´al´ozat
switchelt 10
switchelt 10/100
gigabit
Szerver
P133/PCI33
P3/PCI33
P3/PCI-X
Diszkek
IDE 5400 rpm
IDE 5400 rpm
SCSI u320 RAID
Korszer˝u szerverek teljes´ıtm´enye a diszkek e´ s a h´al´ozat a´ ltal korl´atozott. A nagy forgalom miatt a szerveren sz¨uks´eges a gigabites interface haszn´alata, vagy k´et szerver, k´et-k´et fastethernet interface-el. A t¨obbsz¨or¨os kapcsolatok kialak´ıt´asn´al u¨ gyelni kell a terhel´esmegoszt´as algoritmus´ara.
7
SzIE G¨od¨oll˝o, IH
Helyi h´al´ozatok tervez´ese
K´abelez´es kiv´alaszt´asa Megnevez´es
Sebess´eg
Max. t´avols´ag
UTP Cat5
100Mbps
100m
Multim´odus´u FX
100Mbps
412m/2000m
gigabit TX
1000Mbps
100m
gigabit SX/62.5
1000Mbps
220 - 275m
gigabit SX/50
1000Mbps
500 - 550m
gigabit LX/50
1000Mbps
550m
gigabit LX-SM
1000Mbps
10 km
gigabit ZX-SM
1000Mbps
70-100 km
Elt´er˝o logikai e´ s fizikai fel´ep´ıt´es: VLAN 8
SzIE G¨od¨oll˝o, IH
Helyi h´al´ozatok tervez´ese
Tervez´es h´al´ozatbiztons´agra Tervez´esi alapelvek: – lehet˝o legegyszer˝ubb elrendez´es – r´etegezett v´edelem – k¨ul¨onb¨oz˝o biztons´agi ig´eny˝u h´al´ozatok sz´etv´alaszt´asa – megb´ızhatatlan h´al´ozatok lev´alaszt´asa – megval´os´ıt´as e´ s u¨ zemeltet´es k¨olts´egeinek figyelembev´etele
9
SzIE G¨od¨oll˝o, IH
Helyi h´al´ozatok tervez´ese
Biztons´agpolitika Mit ne tartalmazon: – technikai r´eszleteket – mit, mi´ert e´ s nem hogyan – nem sz´am´ıt´og´epes probl´em´akat (porn´o, j´at´ek) ne prob´aljon megoldani Mit tartalmazzon: – fogalom magyar´azat – felhaszn´al´oi, u¨ zemeltet˝oi e´ s vezet˝oi felel˝os´egek – betartat´asi jogok – a´ tvizsg´al´asok, m´odos´ıt´asok, kiv´etelek lehet˝os´ege – r´eszletek: pl. kinek lehet accountja, a´ truh´az´as, megsz¨untet´es 10
SzIE G¨od¨oll˝o, IH
Helyi h´al´ozatok tervez´ese
Alapfogalmak ¨ o szerver: olyan g´ep, amelyik kifel´e szolg´altat´ast ny´ujt (screened host) kuls˝ ¨ o alh´al´ozat: olyan alh´al´ozat, amelyik kifel´e szolg´altat´ast ny´ujt kuls˝ (screened subnet, DMZ) ¨ o router: nagyvil´ag e´ s k¨uls˝o h´al´o k¨oz¨ott kuls˝ bels˝o router: k¨uls˝o e´ s bels˝o h´al´o k¨oz¨ott ˝ o: router, amelyik ip csomagokat sz˝ur a benn¨uk l´ev˝o info csomagszur˝ alapj´an proxy: k´etl´ab´u g´ep, amelyik a kliensek nev´eben ind´ıt u´ j TCP kapcsolatokat. nem biztons´agos protokoll: ahol az azonos´ıt´asi informaci´o nyilt sz¨ovegben tov´abb´ıt´odik. 11
SzIE G¨od¨oll˝o, IH
Helyi h´al´ozatok tervez´ese
˝ Tipikus tuzfal elrendez´esek Egydobozos router
PC
PC
PC
proxy
PC
PC
PC
PC
PC
˝ o: magas host biztons´ag, kev´es protokoll, nagy teljes´ıtm´eny csomagszur˝ proxy: kis forgalom, nem kritikus internet
12
SzIE G¨od¨oll˝o, IH
Helyi h´al´ozatok tervez´ese
¨ o szerveres Kuls˝ router
PC
szerver
PC
PC
router: csomagsz¨ur´es, port forward bels˝o proxyra alkalmas: kev´es bej¨ov˝o kapcsolat (SMTP, de nem HTTP), j´ol karbantartott h´al´ozaton
13
SzIE G¨od¨oll˝o, IH
Helyi h´al´ozatok tervez´ese
¨ o alhal´ozatos Kuls˝ access router
choke router szerver
PC
PC
PC
PC
¨ o szerver: bej¨ov˝o kapcsolatok fogad´asa, kimen˝o forgalom proxy kuls˝ bels˝o router: bels˝o h´al´o v´edelme kintr˝ol e´ s DMZ-b˝ol, csomagsz˝ur´es, DMZ/bels˝o k¨oz¨ott forgalom minimaliz´al´as: DNS, SMTP ¨ o router: hasonl´o csomagsz˝ur´es, mint a bels˝o routeren kuls˝ alkalmas: szinte mindenhov´a, t¨obb k¨uls˝o szerverrel j´ol sk´al´azhat´o 14
SzIE G¨od¨oll˝o, IH
Helyi h´al´ozatok tervez´ese
˝ ıt´esi lehet˝os´egek Egyszerus´ t¨obb k¨uls˝oszerver
OK
k¨uls˝o e´ s bels˝o router o¨ sszevon´asa: ha a router tud in e´ s out filtert
OK
k¨uls˝o router e´ s k¨uls˝o szerver o¨ sszevon´asa
OK
bels˝o router e´ s k¨uls˝o szerver o¨ sszevonasa
vesz´elyes
t¨obb bels˝o router
vesz´elyes
t¨obb bels˝o h´al´o, de 1 router
OK
t¨obb bels˝o h´al´o 1 + t¨obb router (gerinch´al´o)
OK
t¨obb k¨uls˝o router
OK
k¨uls˝o alh´al´o e´ s k¨uls˝o szerver a bels˝o h´al´oban
vesz´elyes
15
SzIE G¨od¨oll˝o, IH
Helyi h´al´ozatok tervez´ese
P´eld´ak Kis h´al´ozat router kulso szerver
lanswitch
switch
switch
16
belso szerver
switch
SzIE G¨od¨oll˝o, IH
Helyi h´al´ozatok tervez´ese
K¨ozepes h´al´ozat gerince - 1 Mag
Elosztó
Határ
HBONE reg. kp.
2926GS 24 TX, 2 SX
2948GL3 48 TX, 2 SX
7206 GAU
7206 HBONE
2 TX, 1 SX, 4 Ser
2 TX, 1 SX, 2 Ser, 1 POS
2924XL 24 TX, 2 FX, 1 SX
TX/FX konverter
2924XL 24 TX, 1 SX
GTI Múzeum
MTK MTK KTI MSzI Vadbiológia Kollégium GTI Könyvtár
Központi szerverek
DMZ 2924XL 24 TX
MBK HBONE backup
Management
PIX 525
PC router
2 TX
4 TX
PhD épület E épület
Hozzáférés Fast Ethernet
Pénzügy multimódusú optika
Kollégium monomódusú optika Gigabit Ethernet
17
SzIE G¨od¨oll˝o, IH
Helyi h´al´ozatok tervez´ese
K¨ozepes h´al´ozat gerince - 2 Hallgatók
Mag
Határ
HBONE reg.kp.
gw-lab
c65core
c65edge
c35.godollo
x330
c6509
c6506
c3550-12G
Központ
Hozzáférés
ghfw-a
asw-apa1
PIX 525
c3550-48
ghfw-b
asw-apb1
PIX 525
c3550-48
18
SzIE G¨od¨oll˝o, IH
Helyi h´al´ozatok tervez´ese
¨ Osszefoglal´ as – h´al´ozat teljes´ıtm´enye nehezen j´osolhat´o meg – sz˝uk keresztmetszetek keres´ese, b˝ov´ıt´ese – val´osz´ın˝u sz˝uk keresztmetszetek: coax k´abel, HUB, PC-s szerver busz e´ s disk teljes´ıtm´enye. – biztons´agi alapelvek kiv´etel n´elk¨uli betart´asa – 802.1Q VLAN a bels˝o terhel´es eloszt´ashoz
19
SzIE G¨od¨oll˝o, IH
Helyi h´al´ozatok tervez´ese
Hivatkoz´asok http://www.intel.com/products/server/processors/server/xeon/ http://www.borg.umn.edu/fc/papers/ http://www.anandtech.com/showdoc.html?i=1237 http://www.explosivelabs.com/articles/sata/pg2.shtml http://www.xbitlabs.com/articles/storage/display/ide-scsi.html http://www.xbitlabs.com/articles/storage/display/10000-scsi.html http://www.experts-exchange.com/Storage/Q_20783767.html http://www.xbitlabs.com/articles/storage/display/u320scsi-2.html http://zeus.gau.hu/˜lajbi/eloadasok.html
20
