Ostravská univerzita v Ostravě
Posílení infrastruktury páteřní počítačové sítě pro potřeby nově zaváděných služeb na Ostravské univerzitě v Ostravě
Závěrečná zpráva o řešení rozvojového projektu MŠMT č. 615/2006
Řešitel: RNDr. Pavla Lokajová
Ostrava 2006
Závěrečná zpráva rozvojového projektu č. 615 Posílení infrastruktury páteřní počítačové sítě pro potřeby nově zaváděných služeb Program: 4d Řešitel: RNDr. Pavla Lokajová 1. Splnění stanovených cílů Cílem projektu bylo posílení infrastruktury páteřní počítačové sítě vzhledem k požadavkům nově zaváděných informačních systémů a služeb poskytovaných studentům a zaměstnancům Ostravské univerzity. Aby toho mohlo být dosaženo, bylo nutno splnit následující dílčí cíle a současně kontrolovatelné výstupy, jimiž byly : 1. nákup a implementace potřebných technických a programových prostředků 2. zvýšení propustnosti páteřní sítě a tím umožnění zavádění nových služeb do provozu 3. posílení bezpečnosti v počítačové síti, zejména v oblasti správy osobních údajů dle zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů. Všechny výše uvedené cíle byly splněny způsobem, který je podrobněji popsán v následujícím bodu 2. této zprávy.
2. Způsob řešení Nákup a implementace potřebných technických a programových prostředků Pro splnění následujících dvou bodů vzhlem k reálným potřebám provozu a situaci v síti jsme se rozhodli pro nákup technických prostředků, které byly nejvhodnější z hlediska výkonu i ceny pro naše potřeby. Vzhledem k pohybu cen na trhu jsme mohli přidělené prostředky využít racionálněji na zakoupení více kusů switchů. Celkem bylo zakoupeno následující zařízení: Aktivní prvky 3 ks switch Cisco Catalyst 3750G 1 ks switch Cisco Catalyst 2960G + 2ks switch Cisco Catalyst 2960 + příslušenství Server pro certifikační autoritu IBM x346 /Xeon 3.4, 2GB RAM, 4xHDD 73.4 GB Zvýšení propustnosti páteřní sítě a tím umožnění zavádění nových služeb do provozu Zvýšení propustnosti páteřní sítě a tím umožnění zavádění nových služeb do provozu jsme dle projektu měli řešit nákupem a nasazením gigabitových L3 přepínačů na hlavní uzly sítě. Vzhledem k situaci v síti OU a reálným potřebám to bylo provedeno následovně: Cisco Catalyst 2960G a 2960 jsme nasadili v lokalitě Zdravotně-sociální fakulty v Zábřehu. Tato varianta se ukázala jako prospěšnější pro tamnější podsíť než 1 ks 3750 (viz. popis níže). Cisco Catalyst 3750G jsme nasadili na následující lokality: - Pedagogická fakulta (ul. Českobratrská, budova B)
- Přírodovědecká fakulta (ul. 30. dubna, budova C) - Rektorát (ul. Dvořákova) Jsou to lokality s vlastními podsítěmi, které byly dříve směrovány z centra. Nyní už jsou směrovány lokálně novými L3 switchi 3750G, dříve to původní aktivní síťové prvky neumožňovaly. Tímto způsobem se částečně odlehčilo zatížení centrálního routeru na CIT. Nově se mohly nakonfigurovat na místě access-listy, arp inspection atp. Dalším důležitým aspektem nových switchů jsou jejich gigabitové porty pro posílení místní infrastruktury, kdy nyní gigabitovým uplinkem připojujeme většinu stávajících L2 switchů Cisco Catalyst 2950T (cca 40 ks), namísto původních 100Mbit/s. Výrazně se tak zvýšila propustnost počítačové sítě, což byl jeden z hlavních cílů projektu. Pořízené Cisco Catalyst 2960G a 2x 2960 jsme umístili do areálu Zdravotně-sociální fakulty. Areál samotný se skládá z několika samostatných budov (kateder), které jsou spojeny optickou sítí. Hlavním připojovacím bodem areálu je na katedře Fyziologie starší (leč výkonný) swich Catalyst 5509, propojený s centrem gigabitovou rychlostí. Katedra Patologie již byla připojena gigabitovou rychlostí dříve, upgradovat jsme potřebovali připojení zbylých dvou kateder - Hygieny a Ošetřovatelství. Obě jsou připojeny přes serverovnu na „Komíně„ (pozn. důležitý tranzitní bod, přes který jsou připojeny mikrovlnným pojítkem např. Koleje Vítkovice, ul. Moravská). Původně jsme využívali šesti optickometalických převodníků s rychlostí 10 Mbit/s v kombinaci se switchi 2950T. Tyto jsme na „Komíně“ nahradili 2960G se čtyřmi optickými gigabitovými porty a na katedrách doplnili 2960 se dvěma gigabitovými porty. Opto-metalické převodníky jsme zcela vyřadili, lokální páteř počítačové sítě v areálu Zdravotně-sociální fakulty je tak už plně gigabitová.
Posílení bezpečnosti v počítačové síti, zejména v oblasti správy osobních údajů dle zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů. Řada služeb poskytovaných uživatelům vyžaduje v určitých fázích přenos důvěrných dat, jako jsou uživatelská jména a hesla. Aby se zabránilo jejich odposlechu, bývá taková komunikace šifrována. Vlastní šifrování však zajišťuje jen utajení přenášených dat. Zůstává jiné nebezpečí: falešný server nebo uživatel. Pokud by se někomu podařilo vydávat se např. za univerzitní webmail, mohl by získat přihlašovací údaje mnoha uživatelů. K odstranění problémů s nedostatečnou identitou v rámci elektronické komunikace se server nebo uživatel prokazuje certifikátem (= elektronickým podpisem). Certifikát je digitální verze osvědčení o pravosti, kterým jistá instituce potvrzuje, že certifikát skutečně náleží serveru nebo uživateli uvedeného jména a že tento server nebo uživatel používá pro kryptografické účely veřejné klíče obsažené v certifikátu. Tyto údaje jsou potvrzeny digitálním podpisem dotyčné instituce, kterou je tak zvaná certifikační autorita (CA). Jestliže klient důvěřuje dotyčné certifikační autoritě (zná ji a má k dispozici její veřejné klíče), bude věřit jí vydaným certifikátům a bude proto považovat údaje o serveru nebo osobě za ověřené. Jestliže klient tuto certifikační autoritu nezná, může požádat o její certifikát, jímž autentičnost certifikační autority ověřuje jiná, nadřazená certifikační autorita. Tímto způsobem lze budovat tak zvaný řetězec důvěry – sekvenci certifikátů vedoucí od některé z klientovi známých autorit až po cílový server, v níž jednotlivé certifikáty postupně stvrzují platnost údajů o dalším členovi řetězce. Každý klient bývá od výrobce vybaven údaji o některých zavedených certifikačních autoritách. OSU CA Ostravská univerzita provozuje certifikační autoritu „OSU CA“, jež poskytuje služby zaměstnancům a studentům Ostravské univerzity, popř. dalších akademických institucí. Těmi nejběžnějšími službami je vydávání certifikátů, a to jak serverových, tak osobních. OSU CA však sama není certifikována žádnou z globálních autorit, známých klientům ve výchozí konfiguraci. Důvodem jsou především finanční nároky takové certifikace, které by znamenaly, že certifikáty vydávané OSU CA by musely být zpoplatněny.
Mají-li klientské programy pro WWW, elektronickou poštu a další služby akceptovat certifikáty OSU CA, je třeba do nich instalovat její kořenový certifikát. Lze jej získat na adrese: http://ca2.osu.cz/index.php?stage=dl_root Certifikáty SureServer EDU Certifikáty SureServerEDU vydává bezplatně pro Ostravskou univerzitu, resp. pro CESNET, z. s. p. o. společnost GlobalSign. Kořenovým certifikátům společnosti GlobalSign implicitně důvěřují běžné webové prohlížeče (a jiné programy šifrující komunikaci pomocí certifikátů) v základní instalaci, takže se hodí pro webové (a jiné) servery, ke kterým přistupují běžní uživatelé internetu. Tito uživatelé, resp. jejich programy nevyžadují instalaci jakýchkoliv dalších certifikátů. Postup vytvoření žádosti o certifikát SureServer EDU je popsán na webové stránce: http://ca2.osu.cz/sureserver.php
3. Výstupy projektu -
Výrazně se zvýšila propustnost počítačové sítě v lokalitách, kde byly instalovány nové gigabitové přepínače. Díky novým funkcím, které tyto přepínače umožňují v oblasti zabezpečení, byla v těchto lokatách také posílena bezpečnost v síti. Na vyhrazeném a zabezpečeném serveru je provozována služba Certifikační autorita OU, která umožňuje vydávání osobních i serverových certifikátů. Implementace systému certifikace umožňuje realizovat nepopíratelnost zodpovědnosti v interní univerzitní komunikaci. Dále umožňuje poskytnutí informace podle zákona č. 106/1999 Sb., o svobodném přístupu k informacím, tj. písemná žádost o informaci podle tohoto zákona, může být v rámci univerzity podepsána zaručeným elektronickým podpisem. Informace o službě Certifikační autorita OU jsou přístupné na webových stránkách: http://ca2.osu.cz.
4. Přehled o čerpání dotace Koupeno
Switche Cisco Catalyst 3750G Switche Cisco Catalyst 2960 s příslušenstvím Server IBM x346 pro certifikační autoritu celkem
Ks z prostředků dotace (v tis. Kč) 3 3 1
489 192 119 800
č. 8 Formulář pro závěrečné zprávy - specifikace čerpání finanční dotace na řešení jednotlivých projektů (vyplnit za celý projekt) Číslo a název projektu
615 - Posílení infrastruktury páteřní počítačové sítě pro potřeby nově zaváděných služeb
Program
4d
Řešitel (jméno a příjmení, titul, pracoviště)
RNDr. Pavla Lokajová, CIT, Ostravská univerzita v Ostravě
Přidělená dotace na řešení projektu (ukazatel I)
Kapitálové finanční prostředky
Z toho
Dlouhodobý nehmotný majetek (SW, licence) Samostatné věci movité (stroje, zařízení)
Celkem kapitálové finanční prostředky
Mzdy Pohyblivé složky mzdy Odměny dle dohod o pracích konaných mimo prac. poměr Odvody na sociální a zdravotní pojištění Drobný majetek Materiální náklady Služby a náklady nevýrobní povahy Cestovní náhrady Stipendia Celkem běžné finanční prostředky
800 000
800 000 Kč 800 000 Přidělená dotace na řešení projektu (ukazatel I)
Běžné finanční prostředky
Z toho
800 000
Čerpání dotace
Čerpání dotace
