SzIE G¨o d¨o ll˝o, IKK
Helyi h´al´ozatok tervez´ese
Helyi h´al´ozatok tervez´ese Lajber Zolt´an
[email protected] Szent Istv´an Egyetem, G¨o d¨o ll˝oi Ter¨u leti Iroda Informatikai e´ s Kommunik´aci´otechnikai K¨o zpont
Bevezet´es Tervez´esi szempontok: teljes´ıtm´eny, karbantarthat´os´ag, biztons´ag. – egy oktat´otermes h´al´ozat: kevesebb, mint 24 v´egpont – t¨o bb oktat´otermes h´al´ozat: 50 - 100 v´egpont – k¨o zepes h´al´ozat gerince: t¨o bb, mint 1000 v´egpont
1
SzIE G¨o d¨o ll˝o, IKK
Helyi h´al´ozatok tervez´ese
Tervez´es teljes´ıtm´enyre V´arhat´o forgalom becsl´ese A munka´allom´asonk´enti s´avsz´eless´eg-ig´eny er˝osen f¨u gg a felhaszn´al´as jelleg´et˝ol: Felhaszn´al´o
I/O / mp
v´arhat´o s´avsz´eless´eg-ig´eny
´ Atlagos irodai
1.2
10 kbyte/sec
Er˝os irodai, terminal szerver
2.5
20 kbyte/sec
4 - 100
50-4000 kbyte/sec
Fejleszt˝o
2
SzIE G¨o d¨o ll˝o, IKK
Helyi h´al´ozatok tervez´ese
˝ keresztmetszetek meghat´aroz´asa - h´al´ozat A szuk Az el´erhet˝o s´avsz´eless´eg k¨u l¨o nb¨o z˝o h´al´ozatokn´al: Megnevez´es
V´arhat´o max. s´avsz´eless´eg
10M ethernet, HUB vagy coax
300-600 kbyte/sec
10M ethernet, switchelt
1100 kbyte/sec
100M fastethernet
6000 - 15000 kbyte/sec
1G gigabit ethernet
0.4 - 0.90000 Gbyte/sec
fastethernet switch backplane
0.2 - 1.2 Gbyte/sec
3
SzIE G¨o d¨o ll˝o, IKK
Helyi h´al´ozatok tervez´ese
˝ keresztmetszetek meghat´aroz´asa - szerverek Szuk Megnevez´es
V´arhat´o max. s´avsz´eless´eg
Intel Pentium 133
5600 kbyte/sec
PPro 200
11000 kbyte/sec
Xeon 800
40000 kbyte/sec
PCI 33MHz/32bit
8056 kbyte/sec
PCI 66MHz/64bit
32226 kbyte/sec
HDD IDE 5400 rpm
8400 kbyte/sec
HDD IDE 7200 rpm
11250 kbyte/sec
HDD SCSI 7200 rpm
13750 kbyte/sec
HDD SCSI U160,10k rpm
25000 kbyte/sec
4
SzIE G¨o d¨o ll˝o, IKK
Helyi h´al´ozatok tervez´ese
Eszk¨oz¨ok kiv´alaszt´asa Egy g´eptermes h´al´ozat A v´egpontok sz´ama 20, ´ıgy: ´ Elem Atlagos irodai
Er˝os irodai
Fejleszt˝o
Forgalom
200 kbyte/sec
400 kbyte/sec
16000 kbyte/sec
H´al´ozat
ethernet
switchelt 10
switchelt 10/100
Szerver
P133/PCI33
P133/PCI33
PPro/PCI33
Diszkek
IDE 5400 rpm
IDE 5400 rpm
SCSI U160 10k rpm
A szervernek esetleg t¨o bb h´al´ozati interface a terhel´es eloszt´ashoz.
5
SzIE G¨o d¨o ll˝o, IKK
Helyi h´al´ozatok tervez´ese
T¨o bb g´eptermes h´al´ozat A v´egpontok sz´ama 60, ´ıgy: Elem
´ Atlagos irodai
Er˝os irodai
Fejleszt˝o
Forgalom
600 kbyte/sec
1200 kbyte/sec
48000 kbyte/sec
H´al´ozat
switchelt 10
switchelt 100
switchelt 100 + gigabit
Szerver
P133/PCI33
P133/PCI33
dual Xeon800/PCI66
Diszkek
IDE 5400 rpm
IDE 5400 rpm
SCSI U160 RAID
Korszer˝u szerverek teljes´ıtm´enye a diszkek e´ s a h´al´ozat a´ ltal korl´atozott. A nagy forgalom miatt a szerveren sz¨u ks´eges a gigabites interface haszn´alata, vagy k´et szerver, k´et-k´et fastethernet interface-el.
6
SzIE G¨o d¨o ll˝o, IKK
Helyi h´al´ozatok tervez´ese
K´abelez´es kiv´alaszt´asa Megnevez´es
Sebess´eg
Max. t´avols´ag
koaxi´alis k´abel
10Mbps
188m
UTP Cat5
100Mbps
100m
Multim´odus´u FX
100Mbps
412m/2000m
Multim´odus´u GX
1000Mbps
550m
7
SzIE G¨o d¨o ll˝o, IKK
Helyi h´al´ozatok tervez´ese
Tervez´es h´al´ozatbiztons´agra Tervez´esi alapelvek: – lehet˝o legegyszer˝ubb elrendez´es – r´etegezett v´edelem – k¨u l¨o nb¨o z˝o biztons´agi ig´eny˝u h´al´ozatok sz´etv´alaszt´asa – megbizhatatlan h´al´ozatok lev´alaszt´asa – megval´os´ıt´as e´ s u¨ zemeltet´es k¨o lts´egeinek figyelembev´etele
8
SzIE G¨o d¨o ll˝o, IKK
Helyi h´al´ozatok tervez´ese
Biztons´agpolitika Mit ne tartalmazon: – technikai r´eszleteket – mit, mi´ert e´ s nem hogyan – nem sz´am´ıt´og´epes probl´em´akat (porn´o, j´at´ek) ne prob´aljon megoldani Mit tartalmazzon: – fogalom magyar´azat – felhaszn´al´oi, u¨ zemeltet˝oi e´ s vezet˝oi felel˝os´egek – betartat´asi jogok – a´ tvizsg´al´asok, m´odos´ıt´asok, kiv´etelek lehet˝os´ege – r´eszletek: pl. kinek lehet accountja, a´ truh´az´as, megsz¨u ntet´es 9
SzIE G¨o d¨o ll˝o, IKK
Helyi h´al´ozatok tervez´ese
Alapfogalmak ¨ o szerver: olyan g´ep, amelyik kifel´e szolg´altat´ast ny´ujt (screened host) kuls˝ ¨ o alh´al´ozat: olyan alh´al´ozat, amelyik kifel´e szolg´altat´ast ny´ujt kuls˝ (screened subnet, DMZ) ¨ o router: nagyvil´ag e´ s k¨u ls˝o h´al´o k¨o z¨o tt kuls˝ bels˝o router: k¨u ls˝o e´ s bels˝o h´al´o k¨o z¨o tt ˝ o: router, amelyik ip csomagokat sz˝ur a benn¨u k l´ev˝o info csomagszur˝ alapj´an proxy: k´etl´ab´u g´ep, amelyik a kliensek nev´eben ind´ıt u´ j TCP kapcsolatokat. nem biztons´agos protokoll: ahol az azonos´ıt´asi informaci´o nyilt sz¨o vegben tov´abb´ıt´odik. 10
SzIE G¨o d¨o ll˝o, IKK
Helyi h´al´ozatok tervez´ese
˝ Tipikus tuzfal elrendez´esek Egydobozos router
PC
PC
PC
proxy
PC
PC
PC
PC
PC
˝ o: magas host biztons´ag, kev´es protokoll, nagy teljes´ıtm´eny csomagszur˝ proxy: kis forgalom, nem kritikus internet
11
SzIE G¨o d¨o ll˝o, IKK
Helyi h´al´ozatok tervez´ese
¨ o szerveres Kuls˝ router
PC
szerver
PC
PC
router: csomagsz¨u r´es, port forward bels˝o proxyra alkalmas: kev´es bej¨o v˝o kapcsolat (SMTP, de nem HTTP), j´ol karbantartott h´al´ozaton
12
SzIE G¨o d¨o ll˝o, IKK
Helyi h´al´ozatok tervez´ese
¨ o alhal´ozatos Kuls˝ access router
choke router szerver
PC
PC
PC
PC
¨ o szerver: bej¨o v˝o kapcsolatok fogad´asa, kimen˝o forgalom proxy kuls˝ bels˝o router: bels˝o h´al´o v´edelme kintr˝ol e´ s DMZ-b˝ol, csomagsz˝ur´es, DMZ/bels˝o k¨o z¨o tt forgalom minimaliz´al´as: DNS, SMTP ¨ o router: hasonl´o csomagsz˝ur´es, mint a bels˝o routeren kuls˝ alkalmas: szinte mindenhov´a, t¨o bb k¨u ls˝o szerverrel j´ol sk´al´azhat´o 13
SzIE G¨o d¨o ll˝o, IKK
Helyi h´al´ozatok tervez´ese
˝ ıt´esi lehet˝os´egek Egyszerus´ t¨o bb k¨u ls˝oszerver
OK
k¨u ls˝o e´ s bels˝o router o¨ sszevon´asa: ha a router tud in e´ s out filtert
OK
k¨u ls˝o router e´ s k¨u ls˝o szerver o¨ sszevon´asa
OK
bels˝o router e´ s k¨u ls˝o szerver o¨ sszevonasa
vesz´elyes
t¨o bb bels˝o router
vesz´elyes
t¨o bb bels˝o h´al´o, de 1 router
OK
t¨o bb bels˝o h´al´o 1 + t¨o bb router (gerinch´al´o)
OK
t¨o bb k¨u ls˝o router
OK
k¨u ls˝o alh´al´o e´ s k¨u ls˝o szerver a bels˝o h´al´oban
vesz´elyes
14
SzIE G¨o d¨o ll˝o, IKK
Helyi h´al´ozatok tervez´ese
Kiv´alasztott h´al´ozat router kulso szerver
lanswitch
switch
switch
15
belso szerver
switch
SzIE G¨o d¨o ll˝o, IKK
Helyi h´al´ozatok tervez´ese
K¨ozepes h´al´ozat gerince Elosztó
Mag
Határ
HBONE reg. kp.
2926GS 24 TX, 2 SX
2948GL3 48 TX, 2 SX
7206 GAU
7206 HBONE
2 TX, 1 SX, 4 Ser
2 TX, 1 SX, 2 Ser, 1 POS
2924XL 24 TX, 2 FX, 1 SX
TX/FX konverter
2924XL 24 TX, 1 SX
GTI Múzeum
MTK MTK KTI MSzI Vadbiológia Kollégium GTI Könyvtár
Központi szerverek
DMZ 2924XL 24 TX
MBK HBONE backup
Management
PIX 525
PC router
2 TX
4 TX
PhD épület E épület
Hozzáférés Fast Ethernet
Pénzügy multimódusú optika
Kollégium monomódusú optika Gigabit Ethernet
16
SzIE G¨o d¨o ll˝o, IKK
Helyi h´al´ozatok tervez´ese
¨ Osszefoglal´ as – h´al´ozat teljes´ıtm´enye nehezen j´osolhat´o meg – sz˝uk keresztmetszetek keres´ese, b˝ov´ıt´ese – val´osz´ın˝u sz˝uk keresztmetszetek: coax k´abel, HUB, PC-s szerver busz e´ s disk teljes´ıtm´enye. – biztons´agi alapelvek kiv´etel n´elk¨u li betart´asa – 802.1Q VLAN a bels˝o terhel´es eloszt´ashoz
17
