MASARYKOVA UNIVERZITA FAKULTA INFORMATIKY
Síť a její služby pro firmu střední velikosti BAKALÁŘSKÁ PRÁCE
Tomáš Dedrle
Brno, 2012
Prohlášení Prohlašuji, že tato bakalářská práce je mým původním autorským dílem, které jsem vypracoval samostatně. Všechny zdroje, prameny a literaturu, které jsem při vypracování používal nebo z nich čerpal, v práci řádně cituji s uvedením úplného odkazu na příslušný zdroj. Brno, 10. května 2012 Tomáš Dedrle
Vedoucí práce: doc. RNDr. Eva Hladká, Ph.D.
ii
Poděkování Tímto bych rád poděkoval vedoucí své práce doc. RNDr. Evě Hladké, Ph.D., za její ochotu, odborné vedení, připomínky a za veškerý čas, který mi věnovala. Chtěl bych také poděkovat zástupcům firmy, kteří mi umožnili nastudovat stav jejich sítě a odpověděli na moje dotazy.
iii
Shrnutí Analyzujte síť konkrétní firmy střední velikosti, najděte její slabá místa a navrhněte zlepšení. Nový návrh nechť obsahuje kompletní strukturu sítě od výběru vhodných komponent, volby technologie až po cenovou kalkulaci. Vyřešte zabezpečení a monitorování sítě. Počítejte i se zavedením IP telefonie. Svoji práci popište formou technické zprávy.
iv
Klíčová slova počítačová síť, analýza, návrh, směrovač, přepínač, konfigurace, VLAN, překlad adres, přístupový seznam, IP telefonie, monitorování sítě
v
Obsah Úvod ........................................................................................................................................... 1 1 Počítačová síť ........................................................................................................................ 2 1.1 ISO/OSI model ............................................................................................................... 2 1.1.1 Aplikační vrstva ...................................................................................................... 3 1.1.2 Prezentační vrstva ................................................................................................... 3 1.1.3 Relační vrstva .......................................................................................................... 3 1.1.4 Transportní vrstva ................................................................................................... 3 1.1.5 Síťová vrstva ........................................................................................................... 4 1.1.6 Linková vrstva......................................................................................................... 4 1.1.7 Fyzická vrstva ......................................................................................................... 4 1.2 Ethernet .......................................................................................................................... 4 1.3 Přístup k médiu............................................................................................................... 5 1.4 Metody komunikace ....................................................................................................... 6 1.4.1 Jednosměrové vysílání (Unicast) ............................................................................ 6 1.4.2 Všesměrová vysílání (Broadcast)............................................................................ 6 1.4.3 Vícesměrová vysílání (Multicast) ........................................................................... 6 1.5 Kolizní doména .............................................................................................................. 6 1.6 Všesměrová doména ...................................................................................................... 6 1.7 Duplex ............................................................................................................................ 7 1.8 Adresování v počítačových sítích................................................................................... 7 1.8.1 Formát IPv4............................................................................................................. 7 1.8.2 Třídy IP adres .......................................................................................................... 8 1.8.3 Veřejné a privátní IP adresy .................................................................................... 8 1.9 Virtuální sítě LAN.......................................................................................................... 8 1.10 Přístupové seznamy.................................................................................................... 10 1.10.1 Standardní ACL................................................................................................... 10 1.10.2 Rozšířené ACL.................................................................................................... 10 1.10.3 Reflexivní ACL ................................................................................................... 10 1.11 Překlady síťových adres ............................................................................................. 10 1.11.1 Statický NAT....................................................................................................... 11 1.11.2 Dynamický NAT ................................................................................................. 11 1.11.3 Přetížení............................................................................................................... 11 1.12 IP telefonie ................................................................................................................. 11 2 Popis stávající sítě ............................................................................................................... 13 3 Návrh na zlepšení sítě ......................................................................................................... 14 3.1 Použití a výběr směrovače............................................................................................ 14 3.2 Výběr přepínače ........................................................................................................... 15 3.3 Výběr přístupového bodu ............................................................................................. 17 3.4 Nastavení síťových prvků ............................................................................................ 18 3.4.1 Konfigurace přepínače .......................................................................................... 18 3.4.2 Konfigurace směrovače......................................................................................... 22 3.5 Monitorování sítě ......................................................................................................... 26 3.6 Uplatnění IP telefonie................................................................................................... 26 4 Finanční analýza.................................................................................................................. 28 Závěr......................................................................................................................................... 29 Literatura .................................................................................................................................. 30 Příloha č. 1: Konfigurace přepínače ......................................................................................... 32 Příloha č. 2: Konfigurace směrovače ....................................................................................... 34 vi
Úvod V dnešním moderním světě si jistě málokdo dokáže představit život bez osobních počítačů. Jejich uplatnění je nejen ve firmách, ale i v domácnostech a ve školách. Staly se nedílnou součástí každodenního života. Co však dělá počítač tak užitečným? Je to především jeho široké uplatnění. Umožňuje více uživatelům zpřístupňovat stejná data, např. databáze, na nichž jsou založeny informační a další systémy. Dále je to sdílení prostředků, které uživatelům poskytují zařízení jako jsou tiskárny, scannery, výkonné procesory a velkokapacitní disky.
K propojení více počítačů, možnosti přístupu k Internetu, k tomu
všemu je nutná počítačová síť. Vzhledem k tomu, že jsem studentem oboru aplikovaná informatika se zájmem o problematiku počítačových sítí, rozhodl jsem se zaměřit téma své bakalářské práce na analýzu a návrh zlepšení počítačové sítě pro konkrétní softwarovou firmu. Práce je pro přehlednost rozdělena do 4 hlavních kapitol. První část se dále dělí na dvanáct podkapitol, které popisují základní teorii počítačových sítí se zaměřením na dále použitou technologii. Obsahuje témata jako ISO/OSI model, Ethernet, popis adresování, technologii VLAN, přístupové seznamy, překlady adres a IP telefonie. Ve druhé kapitole je popsán současný stav počítačové sítě, který je také doplněn její ilustrací. Třetí kapitola konstatuje problémy a nedostatky stávající sítě. Následně jsou vybrána síťová zařízení, která jsou nezbytná k možnosti realizace plánovaných změn. Práce se také věnuje samotné konfiguraci zařízení, v jejímž průběhu je vysvětlováno použité nastavení. Vždy je také důkladně popsáno, z jakého důvodu byla vybrána daná technologie. Poslední část třetí kapitoly se věnuje možnosti realizace stále více se rozšiřující IP telefonie. Čtvrtá kapitola
přehledně
shrnuje
finanční
prostředky plánovaných
změn.
Ukazuje
jak
doporučovanou, tak i levnější variantu zvolených komponent navrhované sítě. V příloze je uvedena konfigurace pro vybraný směrovač a přepínač, která je upravena pro přímé zkopírování do příkazového řádku IOS. Celá práce je zaměřena na praktické využití navržené sítě a je materiálem, ze kterého může čerpat konkrétní firma.
1
1 Počítačová síť Proč je užitečné mít počítačovou síť již bylo naznačeno v úvodu této práce. Její využití je opravdu široké. Za základ lze považovat propojení jednotlivých zařízení a komunikaci mezi nimi. U elektronické pošty je to pak samotná cesta dat v podobě paketů a jejich směrování. Je více kritérií, podle kterých je možné sítě dělit. Podle velikosti a funkce se rozdělují do tří skupin. Sítě LAN (Local Area Network) jsou základní složkou každé počítačové sítě. Jsou omezeny na jednu firmu, místnost, budovu, atd. Sítě WAN (Wide Area Network) jsou rozsáhlé sítě bez geografického omezení. Skládají se z více vzájemně propojených sítí LAN. Příkladem je celosvětová a největší počítačová síť Internet. Sítě MAN (Metropolitan Area Network) jsou rozlohou větší než LAN, ale menší než WAN. Většinou se jedná o sítě ve velkém městě s průměrnou vzdáleností mezi 5-50 km [1].
1.1 ISO/OSI model
Obrázek č. 1: Referenční model OSI 1
Při hledání základních informací o počítačové síti, jako je například průběh přenosu dat, je téměř nemožné nenarazit na referenční model ISO/OSI. Tento systém pomáhá rozdělit komunikaci mezi počítači do sedmi vrstev. Jeho využití lze najít například i při popisu
1
Referenční model ISO/OSI [online; cit. 14. 4. 2012] http://pc-site.owebu.cz/Images2/NetWar1.jgp
2
hardwarových prvků jako jsou přepínače a směrovače, kde se využívá znalostí tohoto modelu a uvádí se, na které vrstvě pracují. Jednotlivé vrstvy jsou vypsány od nejnižší po nejvyšší: Fyzická (physical), linková nebo také vrstva datových spojů (data link), síťová (network), transportní (transport), relační (session), prezentační (presentation) a aplikační vrstva (aplication). Dobrou pomůckou pro zapamatování může být anglická fráze „Please Do Not Throw Sausage Pizza Away“, kde počáteční písmena jsou prvními písmeny každé vrstvy v anglickém překladu [8]. 1.1.1 Aplikační vrstva Aplikační vrstva je nejbližší a nejznámější uživateli. Příkladem může být webový prohlížeč, emailový klient nebo také online počítačová hra World of Warcraft. 1.1.2 Prezentační vrstva Jakmile začne aplikace posílat data, zodpovědnost za tuto činnost převezme prezentační vrstva. Ta zajišťuje takový formát dat, který vyhovuje daným standardům a je možno s ním dále pracovat. Úkolem je konverze protokolu, šifrování nebo dešifrování, případná komprimace nebo dekomprimace dat. 1.1.3 Relační vrstva Relační vrstva stanovuje a ukončuje spojení mezi aplikacemi, které využívají počítačovou síť. Udržuje danou relaci po dobu, po kterou je potřebná. Také zajišťuje správní funkce, přihlašování a bezpečnost. 1.1.4 Transportní vrstva Tato vrstva popisuje „jak“ jsou data posílána. Mohou být poslána spolehlivě nebo nespolehlivě. Výběr se odvíjí od použitého protokolu, kterým může být TCP a UDP. TCP (Transmission Control Protocol) zajišťuje spolehlivou komunikaci, které je dosaženo pomocí inicializace spojení tzv. „Three-way handshake“ [18]. Počítač nejdříve odešle synchronizační paket, kterým dává najevo, že chce komunikovat s koncovým zařízením, například serverem. Ten po obdržení paketu zašle potvrzení jeho přijetí. Počítač reaguje i na tento signál potvrzovací zprávou. Anglický název vychází právě podle počtu vyměněných zpráv.
3
TCP protokol je využíván u všech služeb, u kterých nám záleží na tom, aby každý paket dorazil k cílovému bodu. Využívá jej například webový prohlížeč (HTML), emailový klient (SMTP) a mnoho dalších. Druhým zmíněným protokolem je UDP (User Datagram Protocol), který je nespojovaný a nekontroluje, jestli byla data správně doručena. Jeho uplatnění je u aplikací, které pracují s přenosem videa či hlasu, kde je ztráta několika paketů akceptovatelná. Naopak znovuzasílání nedoručených dat by bylo na škodu. Příkladem protokolu, který jej využívá, je například DNS (Domain Name System). 1.1.5 Síťová vrstva Tato vrstva zajišťuje logické adresování. Má za úkol najít „nejlepší“ cestu paketů k jejich cíli. Odpovědným za tuto činnost je protokol IP, který zajišťuje směrování (routing). Zařízením, které pracuje na této vrstvě je směrovač (router). Díky jeho fuknci je možná komunikace dvou zařízení i v případě, že nepatří do stejné sítě. 1.1.6 Linková vrstva Tato vrstva se stará o fyzické adresování. Upravuje data, která dostane pro přenos prostřednictvím média. Pracuje s MAC adresami, které jsou využívány k jednoznačné identifikaci síťového zařízení. Také zajišťuje základní kontrolu chyb. Aktivní prvek patřící do této vrstvy je například přepínač (switch) nebo most (bridge). 1.1.7 Fyzická vrstva Fyzická vrstva přeměnuje data na proud elektrických signálů, které označují jedničky nebo nuly. Funkcí této vrstvy je také navázání a ukončení spojení s komunikačním médiem. Příkladem zařízení, které pracuje na této vrstvě je opakovač (repeater), rozbočovač (hub) nebo síťová karta (NIC) [9].
1.2 Ethernet Nejrozšířenějším standardem pro sítě typu LAN se stal Ethernet. Je specifikován normou IEEE 802.3 (Institute of Electrical and Electronics Engineers). Pokud bychom se soustředili na OSI model, spadá do linkové (druhé) a fyzické (první) vrstvy. Určuje způsob přístupové metody, adresovací formát a také popisuje parametry přenosového média. Protože historie Ethernetu sahá až do sedmdesátých let, nutně musel projít vývojem a vzniklo více jeho
4
variant. Značení Ethernetu má svůj pevný řád, podle kterého první číslo vyjadřuje rychlost, slovo „Base“ popisuje, že Ethernet pracuje v základním pásmu a označení za pomlčkou definuje použité přenosové médium. Původní varianta používala přenosovou rychlost 10 Mb/s. Novější verzí s rychlostí 100 Mb/s se stal Fast Ethernet (802.3u), který je momentálně nejrozšířenější normou [2]. Rozdílem je také nemožnost použití koaxiálního kabelu. Používanými médii se staly kroucené dvojlinky a optická vlákna. Sdružení IEEE později přidalo další dvě varianty, kterými jsou Gigabitový Etherenet (802.3ab) a 10 GB Ethernet (802.3ae).
1.3 Přístup k médiu Přístupovou metodou, kterou využívá standard Ethernet je CSMA/CD (Carrier-sense Multiple Access with Collision Detection). Jak je již z anglického názvu patrné, tato metoda pracuje na základě detekce kolize. Pokud chce počítač poslat data, musí nejdříve zjistit, jestli je volné přenosové médium a nevyužívá-li jej někdo jiný. V případě že nikoliv, začne stanice vysílat. Přesto může nastat situace, kdy ve stejnou chvíli začnou přenášet data dva počítače. V tomto případě se vysílací stanice odmlčí po náhodně stanovenou dobu a celý proces začne od začátku. Proto je nutná kontrola i po odeslání, zda-li signály byly neporušeně doručeny. Pro snazší představu je proces schématicky znázorněn na obrázku č. 2.
Obrázek č. 2: Algoritmus CSMA/CD 2 2
PV169 – Základy přenosu dat. Řízení přístupu k přenosovému médiu (podzim 2010) Jan Staudek
5
1.4 Metody komunikace 1.4.1 Jednosměrové vysílání (Unicast) Jedná se o typ komunikace, ve které jsou rámce posílány od jednoho hostitele a jsou adresovány jediné cílové stanici. Obr. 3.1 1.4.2 Všesměrová vysílání (Broadcast) Je typem komunikace, ve které jsou rámce posílány od jednoho hostitele a zařízení je rozešle všem ostatním (výjimku tvoří sítě VLAN, kde ne všechna zařízení nutně patří do stejné kolizní domény). Příkladem protokolu, který využívá všesměrového vysílání, je ARP (Address Resolution Protocol). Obr. 3.2 1.4.3 Vícesměrová vysílání (Multicast) U této komunikace jsou informace posílány určené skupině zařízení. Na rozdíl od všesměrového vysílání, ve vícesměrovém musí být počítač členem dané skupiny, aby obdržel zprávu [3]. Obr. 3.3
Obrázek č. 3.1: Unicast
Obrázek č. 3.2: Broadcast
Obrázek č. 3.3: Multicast
1.5 Kolizní doména Kolizní doména (Collision domain) určuje, kolik zařízení může vysílat nebo příjímat data ve stejném čase. Například rozbočovač má pouze jednu kolizní doménu, protože se chová jako víceportový opakovač. Přepínač již umožňuje využívat jednosměrné vysílání, a proto se každý port stává jednou kolizní doménou.
6
1.6 Všesměrová doména Všesměrová doména (Broadcast domain) definuje, kam jsou poslány všesměrové zprávy. Proto je nutné ve větších sítích rozdělení na několik menších, aby se zabránilo zahlcení sítě. Příkladem zařízení, které zastavuje zprávy tohoto typu a dál je nerozesílá, je směrovač.
1.7 Duplex Poloviční duplex znamená, že komunikace může probíhat pouze v jednom směru. Opakem je plný duplex, který efektivně využívá šířku pásma tím, že umožňuje současně vysílat i přijímat data.
1.8 Adresování v počítačových sítích IP adresa je identifikátor, který určuje každý počítač v síti. Tato adresa je softwarová a není pevně určena. V dnešní době máme dvě verze IP protokolu – protokol verze 4 (IPv4) a verze 6 (IPv6). Přestože je již adresní prostor staršího protokolu téměř vyčerpán a je postupně nasazována novější verze 6, následné principy adresování jsou popsány na stále používané IPv4. 1.8.1 Formát IPv4 IPv4 je 32 bitová adresa, která je tvořena ze čtyř oktetů. Každý z nich může nabývat hodnot 0 – 255. Adresa je vždy spojena s maskou podsítě, která určuje rozsah sítě. Pro zjištění IP adresy počítače můžeme využít příkaz „ipconfig“ v příkazovém řádku, který vypíše IP adresu, masku podsítě a také výchozí bránu [10].
Adresa IPv4 . . . . . . . . . . . : 192.168.1.218 Maska podsítě . . . . . . . . . . : 255.255.255.0 Výchozí brána . . . . . . . . . . : 192.168.1.1
Maska podsítě hraje významou roli. Na uvedeném příkladě definují síťovou adresu první tři oktety. Důvodem je číslo 255, které je v binární soustavě tvořeno osmi jedničkami. Adresní prostor uvedené sítě tedy definuje 256 možných adres v rozmezí 192.168.1.0 – 192.168.1.255, přičemž využitelných je o dvě méně, jelikož první adresa značí samotnou síť a poslední je rezervována pro všesměrové vysílání.
7
1.8.2 Třídy IP adres Existuje několik tříd sítí, které se liší svou velikostí. Třída A má masku podsítě 255.0.0.0. Ta umožňuje mít v jedné síti až 16 777 214 uživatelů [4]. Takové množství je ovšem v praxi na škodu, protože tak velký počet všesměrového vysílání by síť zahltil. K využití adres nejen třídy A, proto využíváme podsítě s proměnnou délkou (VLSM), pomocí které je dělíme na menší části. První bit prvního bajtu musí být roven 0, a tak adresa musí začínat hodnotou 0 – 127. Výjimku zde tvoří první a poslední hodnoty, kde síťová adresa tvořená výhradně bity 0 je interpretována jako „tato síť nebo segment“ a síť 127.0.0.1 je vyhrazena pro testování zpětné smyčky. Třída B má masku podsítě 255.255.0.0. Definice určuje, že první oktet musí nabývat hodnoty 128 – 191. Maska podsítě třídy C je 255.255.255.0 a IP adresa začíná trojčíslím v rozmezí od 192 do 223. Pro rozsah síťových adres tříd D a E jsou vyhrazeny hodnoty 224 až 225 a slouží pro vícesměrové vysílání a výzkumné účely [5]. 1.8.3 Veřejné a privátní IP adresy Veřejné IP adresy jsou použitelné pro směrování v interní síti i na Internetu. Tato adresa je unikátní. Privátní IP adresy toto umožňují pouze v privátní síti. Z jakého důvodu tedy existují? Toto schéma šetří adresní prostor IP adres, který je dnes již téměř vyčerpán. Navíc také zajišťuje vyšší bezpečnost, protože privátní adresy jsou před uživateli Internetu skryty. Aby mohly počítače s privátními adresami používat internetové připojení, je nutný překlad adres pomocí metody NAT (Network Address Translation), která umožňuje přeložit mnoho privátních adres na menší počet veřejných IP adres. Pro každou třídu existuje jeden rozsah privátních adres. Zde jsou uvedeny v tabulce.
Třída adres
Vyhrazený adresní prostor
A
10.0.0.0 – 10.255.255.255
B
172.16.0.0 – 172.31.255.255
C
192.168.0.0 – 192.168.255.255
8
1.9 Virtuální sítě LAN Virtuální LAN (VLAN) slouží k logickému rozdělení uživatelů. Typickým příkladem využití VLAN je oddělení jednotlivých pracovních skupin ve firmě, například ekonomického úseku, technické podpory a vedení společnosti, kde každá z jmenovaných skupin patří do různé všesměrové domény. Pro docílení stejného rozdělení bez využití VLAN by bylo zapotřebí použít dva samostatné přepínače. Port, který je zařazen do více VLAN, se označuje jako „trunk“. Komunikace mezi uživateli patřícími do různých VLAN je samozřejmě možná, je však potřebné zařízení pracující na třetí vrstvě OSI modelu. Tím může být směrovač nebo L3 přepínač, který umožňuje směrování mezi různými sítěmi. Používáním této technologie je také zvýšena úroveň bezpečnosti. Přiřazením portu do vytvořené VLAN je definováno, k jakým zařízením nebo prostředkům má daný port přístup. Při komunikaci mezi sítěmi VLAN je také možné využít výhod bezpečnostních prvků, které směrovače nabízejí. Uplatnění lze najít i při implementaci IP telefonie, kde jsou VoIP (Voice over IP) data oddělena od ostatních. Následující obrázek ilustruje fungování VLAN v síti se dvěma přepínači. Bílé porty značí „trunk“, který přeposílá zprávy patřící do obou VLAN. Pokud počítač s označením „x“ pošle všesměrovou zprávu, obdrží ji pouze počítač „z“. Toto schéma neumožňuje komunikaci počítače „x“ a „y“ bez přítomnosti dalšího zařízení jako je přepínač.
Obrázek č. 4: Ukázka VLAN
9
1.10 Přístupové seznamy Seznamy pro řízení přístupu (access control list/ACL) v oblasti počítačových sítí slouží k určení oprávnění přístupu. Používají se zejména k zajištění bezpečnosti, překladu adres a QoS (Quality of Services). Tyto seznamy jsou čteny vždy shora dolů a vyhledávání končí s první nalezenou shodou. Na konci celého seznamu je vždy implicitní zákaz (deny all). Aplikuje se na rozhraní buď jako příchozí nebo odchozí. Existuje několik typů přístupových seznamů, z nichž nejdůležitější jsou standardní, rozšířené a reflexivní. 1.10.1 Standardní ACL Standardní (Standard) přístupové seznamy umožňují filtraci paketů založenou pouze na zdrojové IP adrese. Jejich použití tedy povoluje nebo zakazuje celé sady protokolů. Nerozlišují, zda-li je daný protokol například TCP, UDP nebo ICMP. Jejich výhodou je nižší zátěž na procesor a jednoduchost. 1.10.2 Rozšířené ACL Rozšířené (Extended) přístupové seznamy mají více možností. Umožňují zadat nejen zdrojovou IP adresu, ale také cílovou, použitý protokol nebo číslo portu. Proto je vhodná aplikace přístupového seznamu co nejblíže ke zdrojové adrese. Toto je výhodné z důvodu nižšího zatížení síťového provozu. Nevýhodou je naopak vyšší utilizace. 1.10.3 Reflexivní ACL Reflexivní (Reflexive) přístupové seznamy povolují přenos odchozího provozu. Pokud je spojení inicializováno z vnější sítě, je zakázáno. V opačném případě je povoleno. Lze je nadefinovat pouze pomocí pojmenovaných rozšířených přístupových seznamů. Jsou často využívány pro zabezpečení internetového připojení.
1.11 Překlady síťových adres Překlad síťových adres (Network Address Translation) slouží k převodu privátních IP adres na veřejné. Vznikl z důvodu, aby pomohl zpomalení vyčerpávání adresního prostoru IPv4. Existuje několik typů překladu adres NAT. Mezi nejznámější patří statický (static) NAT, dynamický (dynamic) NAT a přetížení (overload).
10
1.11.1 Statický NAT Statický překlad mapuje adresy v poměru 1:1. Umožňuje zpřístupnění zařízení ve vnitřní síti ze sítě vnější. Tohoto se využívá zejména u serverů. Tento typ překladu může být kombinován s typem přetížení. 1.11.2 Dynamický NAT Dynamický NAT umožňuje překlad jedné adresy na druhou z příslušného rozsahu těchto adres. Využití tohoto typu lze pozorovat například v situacích, ve kterých se dvě společnosti sloučí do jedné a jejich adresní prostor se překrývá. 1.11.3 Přetížení Tento typ překladu adres se rovněž označuje jako PAT. Je to nejpoužívanější typ konfigurace, jelikož umožňuje pod jednou adresou skrýt mnoho dalších. Následné rozlišení adres je zpracováváno na úrovni čísel portů. Typickým příkladem může být domácnost, ve které všechny počítače při využívání sítě Internet vystupují pod stejnou IP adresou [6].
1.12 IP telefonie Cílem posledních let je vše sjednocovat. Příkladem nejsou jen mobilní telefony, které zastávají více funkcí než pouze volání, ale také počítačová síť. Šířka pásma (bandwidth) během posledních let neustále narůstá a připojení k síti Internet je rychlejší a levnější. Pro velkou organizaci znamená VoIP (Voice over IP) úsporu nákladů a široké možnosti. Avšak také u středně velkých, hlavně nových firem, je volba tohoto typu telefonní komunikace správnou cestou. Výhod je celá řada. Patří mezi ně například redukce kabeláže, úspora nákladů za přidání nebo změny v PBX systému. Existuje i možnost používat IP telefon v domácnosti, kde může fungovat stejně jako by byl fyzicky umístěn v kanceláři. Díky VoIP může být zajištěno přeposílání hlasové schránky na elektronickou poštu nebo mohou být uskutečňovány konferenční hovory. V případě, že se více zaměstnanců střídá u jednoho stolu, je dostačující jeden IP telefon s využitím přihlašování stejně jako u roamingových profilů na počítači. Protokolů, které zastřešují multimediální přenosy v IP sítích je několik. Příkladem může být protokol H.323, který byl vypracován organizací ITU-T. Novějším a do budoucna pravděpodobně nejpoužívanějším signalizačním protokolem je SIP od společnosti IETF [20]. Pro činnost VoIP je nutné softwarové vybavení. Možným řešením je signalizační server 11
zvaný Call Manager fungující jako správce telefonního provozu. Je pobočkovou ústřednou IP telefonie. Samostatný IP telefon je totiž jednoduché zařízení získávající všechny parametry od Call Manageru. Tato implementace je vhodná především pro velké firmy s mnoha pobočkami z důvodu finanční nákladnosti. Další variantou pro realizaci VoIP je CME (Call Manager Express). Jedná se o spojovací aplikaci, která je přímo zahrnuta v operačním systému společnosti Cisco. Umožňuje využívat směrovače jako hlavní ústřednu telefonní komunikace, přičemž povoluje až 450 IP telefonů, což je pro většinu firem dostačující počet. Z podporovaných Cisco směrovačů jsou to například řady 2800, 2900 a 3800. Uživatelsky přívětivá je možnost konfigurace pomocí webového rozhraní CCP (Cisco Configuration Professional). Příklad zapojení tzv. hybridního modelu s využitím CME je ilustrován na obrázku číslo 5. Toto nastavení umožňuje vytvářet volající skupiny, ve kterých se následně definují klapky. Ty poté reagují na příchozí hovor, pro který jsou ve skupině definovány [7].
Obrázek č. 5: Hybridní model s využitím CME
12
2 Popis stávající sítě Jedním z hlavních cílů této práce je popsat stávající počítačovou síť konkrétní firmy. Ta se skládá celkem z 27 zaměstnanců, přičemž každý z nich využívá pro svou práci stolní nebo přenosný počítač se síťovým připojením prostřednictvím 100Mb kabelu. Každý ze zaměstnanců má také k dispozici na svém stole digitální telefon. Počítačovou síť tvoří linuxový server se dvěma síťovými kartami, který slouží jako výchozí brána. Jedna karta slouží pro připojení k síti Internet od poskytovatele společnosti AVONET spol. s. r. o., druhá pak k propojení s 24 portovým přepínačem Allied Telesis ATGS950. Na toto zařízení jsou připojeny další dva servery, z nichž jeden je využíván pro služby DHCP a DNS, druhý plní funkci file serveru a e-mailového serveru. Je zde také zapojen multifunkční přístupový bod ASUS WL-500g Deluxe a dvě laserové tiskárny. Z důvodu postupného nárůstu počtu zaměstnanců a nedostatku volných portů přibyl další 24 portový přepínač Micronet SP659B. Firma také disponuje kvalitním záložním zdrojem EATON UPS 5PX 2200i RT2U, který slouží k zajištění serverů. Protože je vizuální znázornění nejpraktičtější a u počítačových sítí to platí dvojnásobně, je schéma zapojení zobrazeno na následujícím obrázku.
Obrázek č. 6: Ilustrace současné počítačové sítě
13
3 Návrh na zlepšení sítě Stávající počítačová síť je samozřejmě zcela funkční. V provozu je již 15 let a v průběhu času prošla pouze malými změnami. Častým problémem u takto postupně se rozrůstajících firem bývá nedokonalá infrastruktura sítě. Nově vzniklé požadavky jsou realizovány nákupem nového zařízení a co nejrychlejším zajištěním funkčnosti. Tento způsob řešení s sebou přináší sníženou míru bezpečnosti. Její zajištění by mělo být jednou z hlavních priorit každé organizace. Eliminovat zranitelnost systému proti napadení a následně vzniklým škodám je velmi důležité. V novém návrhu bylo tudíž hlavním úkolem zvýšení bezpečnosti sítě. Stávající síť také postrádá jakýkoliv monitorovací systém pro kontrolu provozu a síťových prvků. Protože chod počítačové sítě není prioritní, stav bez redundance je přijatelným rizikem. V případě výpadku nově navrženého síťového zařízení je možné dočasně zajistit činnost sítě stávajícím zapojením. Přestože zástupci firmy IP telefonii nepožadovali, z důvodu velkého rozšíření této technologie je danému tématu věnována kapitola 3.6.
3.1 Použití a výběr směrovače V rámci návrhu na zlepšení stávající sítě je pravděpodobně nejvýraznější změnou použití směrovače (router). Toto zařízení bývá také označováno jako brána (gateway), protože často slouží k propojení sítě LAN s Internetem (WAN). Tento aktivní prvek má zabudovanou filtraci paketů doplněnou o inteligentní směrování. Cesta paketů je pak vybrána na základě informací ve směrovací tabulce. Jak již bylo v této práci uvedeno, pracuje na 3. vrstvě OSI modelu a umožňuje komunikaci mezi více různými sítěmi. Pro potřeby této sítě je tato vlastnost nezbytná k použití technologie VLAN. Pro zajištění vyšší bezpečnosti bylo využito přístupových seznamů. Návrh také počítá se zálohou zařízení na záložní zdroj místo odstaveného serveru. V rámci této práce byl vybrán směrovač Cisco 1921. Tento model od společnosti Cisco nabízí výkonné zařízení s podporou protokolů IPv4 i IPv6. Dále podporuje VPN, QoS či bezpečnostní funkce. Série 1900 umožňuje využívat SNMP, syslog a další monitorovací funkce [11].
Cisco router 1921 ADSL2+ Bundle HWIC-1 • 2x RJ-45 onboard LAN/WAN 10/100/1000 ports • 1x DEHWIC • 2x EHWIC 14
• 1x USB 2.0 port • Podpora bezpečnostních algoritmů: WPA-AES, DES, 3DES • Podpora QoS • 512 MB DDR2 DRAM, 256 MB flash • Spotřeba elektrické energie 25 W
Obrázek č.7: Cisco 1921 směrovač 3
Levnější alternativou pro použitý směrovač mohou být například HP MSR20-20 Router nebo Allied Telesis AT-AR415S. Pro potřeby dané firmy splňují požadavky všechna uvedená zařízení. V rámci bakalářské práce byl vybrán směrovač Cisco 1921. Hlavním důvodem této volby je důvěra v kvalitní výrobky společnosti Cisco, která je celosvětovým lídrem v oblasti síťových služeb.
3.2 Výběr přepínače Druhou změnou v počítačové síti je výměna stávajících přepínačů. Přestože jsou stále plně funkční, z důvodu jejich dlouhodobého používání je navrženo pořízení nových. Firma do budoucna počítá s maximálním přírůstkem dvou zaměstnanců a proto je 48 portů dostačujících. Při volbě mezi dvěma 24 portovými nebo jedním 48 portovým přepínačem bylo přihlédnuto k více aspektům. Mezi výhody druhé možnosti patří ušetření dvou volných portů potřebných k vzájemnému propojení a jednodušší konfigurace. Při volbě dvou přepínačů je důležité zajistit bezproblémovou kompatibilitu mezi zařízeními. Nejlepší možností by bylo zvolení stejného výrobce či totožných modelů obou zařízení. Výhoda nastává v případě poruchy, jelikož je alespoň částečný provoz zajištěn druhým zařízením. V takovém případě je však možné dočasně využít starší přepínače ze stávající sítě. Rozdíl v pořizovací ceně není příliš velký, přesto je ve většině případů výhodnější 48 portová varianta. Důkazem může být 3
Router-Switch. World´s Leading Cisco Supplier [online; cit. 8. 5. 2012] http://www.router-switch.com/cisco1921-sec-k9-p-1911.html
15
přepínač typu Allied Telesis 24xGB + 2SFP Smart switch za cenu 10 658 Kč a Allied Telesis 48xGB + 4SFP Smart switch za 18 925 Kč [12] nebo modely Cisco ESW-520-24-K9 za 10 499 Kč a ESW-520-48-K9 za 19 999 Kč [13]. Na základě zmíněných faktů byl upřednostněn jeden přepínač.
Pro tuto práci bylo navrženo zařízení Cisco SF300-48P, které splňuje nároky na všechny potřebné funkce. Tento model podporuje IPv6 a je proto možné nasazení daného internetového protokolu. Podpora QoS a PoE (Power over Ethernet) s celkovým součtem 375W je další vlastností, která je potřebná pro případné zapojení IP telefonů, a která tomuto přepínači nechybí. Pro vzdálenou správu a monitorování je použit protokol SNMP (Simple Network Management Protocol). Bližší parametry jsou následující [14].
Cisco SF300-48P 48-Port 10/100 PoE Managed Switch with Gigabit Uplinks • 48x RJ-45 (10/100 Mb/s); • 2x RJ-45 (10/100/1000 Mb/s) • 2x Gigabit Ethernet kombo mini-GBIC • Ethernet 10BASE-T/ 100BASE-TX/ 1000BASE-T • 128 MB RAM, 16 MB Flash, 8 MB vyrovnávací paměti • Počet VLAN: 256 (IEEE 802.1Q/p) • SNMP 1/2c/3 • Spotřeba: 29,2 W
Obrázek č.8: Cisco SF300-48P přepínač 4
4
LinuxBox [online; cit. 4. 5. 2012] http://linuxbox.cz/poe
16
Alternativami mohou být přepínače Allied Telesis AT-8000S/48 PoE-50, D-Link DGS-310048P nebo HP E2610-48-P. Důvodem výběru přepínače Cisco SF300-48P je jeho nižší cena a již zmíněná důvěra k výrobkům Cisco.
3.3 Výběr přístupového bodu Navrženým zařízením pro správu bezdrátové sítě je Cisco WAP4410N. Tento přístupový bod (Access Point) je vybaven trojicí antén. K jeho schopnostem, které jsou důležité pro tuto práci, patří podpora až 4 SSID. Přiřazením VLAN jednotlivým SSID je umožněno rozdělení bezdrátové sítě na veřejnou a interní. Bližší specifikace je uvedena níže [15].
Cisco WAP4410N Wireless-N Access Point: PoE/Advanced Security • Kompatibilní se síťovými standardy IEEE 802.11b/g/n • Pracuje v pásmu 2,4 GHz • Gigabit LAN s podporou PoE • Maximální rychlost datového přenosu: 300Mb/s • Správa protokolů SNMP1, SNMP2c, HTTP, HTTPS • Bezpečnostní algoritmy: 64/128bitové WEP, WPA, WPA2 • Podpora Quality of Service (QoS) a 802.q (až 4 různé VLAN) • Podpora pro správu pomocí IPv6
Obrázek č. 9: Cisco WAP4410N 5 5
Heureka [online; cit. 5. 5. 2012] http://access-pointy.heureka.cz/cisco-wap4410n/galerie/
17
I zde se nabízí více variant. Levnějším zařízením může být například přístupový bod TPLINK TL-WA901ND nebo Zyxel WAP-3205. Při výběru přístupového bodu je opět upřednostněn Cisco výrobek. Pokud by však firma chtěla co nejvíce ušetřit, byl by nejpřijatelnějším ústupkem právě bezdrátový bod.
3.4 Nastavení síťových prvků Stejně jako pro činnost počítače, tak i pro práci přepínače a směrovače, je nutný operační systém. Následující konfigurační příkazy byly provedeny na nástroji Cisco Packet Tracer verze 5.3.2.0027, který simuluje základní prostředí operačního systému od společnosti Cisco. Pro potřeby znázornění nastavení je plně dostačující a proto byl také použit. 3.4.1 Konfigurace přepínače Pro potřeby přepínače je nutné nastavení následujících funkcí: • Název přepínače (hostname) • Hesla pro připojení přes konzoli nebo Telnet/SSH a pro přístup do privilegovaného režimu (EXEC mode) • Povolení telnet/shh • Vstupní zpráva (banner) • Zákaz HTTP • Nastavení hodin • Nastavení VLAN Přepínač Cisco provede po prvním zapnutí POST (power-on self-test). Pokud skončí test pozitivně, je načten operační systém Cisco IOS z paměti flash. Následně je vyhledána platná konfigurace (startup-config), jež je uložena v trvalé paměti NVRAM. Po připojení přes konzolový kabel se je možno vstoupit do instalačního režimu. Ten nabízí spuštění inicializačního konfiguračního dialogu, který není využíván a odmítá se. Základní uživatelský režim slouží hlavně pro zobrazení statistik. Pro potřeby konfigurace je nutné přihlášení do privilegovaného režimu a z něj následně do režimu globální konfigurace.
Switch>enable
18
Switch#configure terminal
Následně je nastaven název přepínače na „Main_Switch“, heslo v šifrované podobě pro přístup do privilegovaného režimu, portu konzoly a ke vzdálenému připojení Telnet. Dále je zobrazeno nastavení SSH (Secure Shell), který je bezpečnějším protokolem než Telnet, jelikož odesílá data chráněná šifrovacími klíči.
Switch(config)#hostname Main_Switch Main_Switch(config)#enable secret ****
//na místo hvězdiček patří tajné heslo
Main_Switch(config)#line console 0 Main_Switch(config-line)#password **** Main_Switch(config-line)#login Main_Switch(config-line)#logging synchronous Main_Switch(config-line)#line vty 0 4 Main_Switch(config-line)#password **** Main_Switch(config-line)#login Main_Switch(config-line)#logging synchronous Main_Switch(config-line)#exit Main_Switch(config)#username admin secret **** Main_Switch(config)#ip domain-name jmeno_spolecnosti.cz Main_Switch(config)#crypto key generate rsa 1024 Main_Switch(config)#ip ssh version 2 Main_Switch(config)#line vty 0 4 Main_Switch(config-line)#transport input ssh telnet Main_Switch(config-line)#exit
Vstupní zpráva slouží jako bezpečnostní výstraha pro každého, kdo se snaží připojit k zařízení. Protokol HTTP byl zakázán pro zabránění přihlášení pomocí webového prostředí. Dále je uvedeno nastavení času.
Main_Switch(config)# banner motd $ ### Neautorizovanym osobam vstup zakazan ###$ Main_Switch(config)#no ip http server Main_Switch(config)#end 19
Main_Switch#clock set ****
//na místo hvězdiček patří aktuální čas a datum
Pro logické rozdělení počítačové sítě byla využita technologie VLAN. Pro činnost IP telefonie bylo nutné oddělit VoIP od ostatních dat. Požadavkem byla samostatná WiFi pouze s přístupem k Internetu a druhá pak i k vnitřní síti. Dalším úkolem bylo oddělení počítačů ve školící místnosti. Síť proto byla rozdělena do 6 skupin: Data_Users (VLAN 33), Data_VOIP (VLAN 32), Servers (VLAN 34), Public_WIFI (VLAN 35), Education_PC (VLAN 36) a Management (VLAN 37). Rozsah IP adres a maska podsítě pro jednotlivé sítě je znázorněna v tabulce.
Adresa sítě
Maska podsítě
VLAN
Popisek
192.168.32.0
255.255.255.0
32
Data_VOIP
192.168.33.0
255.255.255.0
33
Data_Users
192.168.34.0
255.255.255.0
34
Servers
192.168.35.0
255.255.255.0
35
Public_WIFI
192.168.36.0
255.255.255.0
36
Education_PC
192.168.37.0
255.255.255.0
37
Management
Main_Switch#configure terminal Main_Switch(config)#vlan 32 Main_Switch(config-vlan)#name Data_VOIP Main_Switch(config-vlan)#vlan 33 Main_Switch(config-vlan)#name Data_Users Main_Switch(config-vlan)#vlan 34 Main_Switch(config-vlan)#name Servers Main_Switch(config-vlan)#vlan 35 Main_Switch(config-vlan)#name Public_WIFI Main_Switch(config-vlan)#vlan 36 Main_Switch(config-vlan)#name Education_PC Main_Switch(config-vlan)#vlan 37 Main_Switch(config-vlan)#name Management Main_Switch(config-vlan)#exit
20
Porty, které kabel spojuje se směrovačem a přístupovým bodem, byly nastaveny jako trunk, všechny ostatní porty z důvodu zvýšení zabezpečení jako přístupové. Směrovači byla přidělena IP adresa 192.168.37.10. Důvodem je možnost vzdálené správy tohoto zařízení, například pomocí SSH. Standardním nastavením je použití VLAN 1, avšak pro zajištění vyšší bezpečnosti byla použita VLAN 37, která náleží skupině Management. Trunk mezi přepínačem a směrovačem neblokuje žádnou VLAN, avšak u přístupového bodu byly povoleny pouze skupiny Data_Users, Public WIFI a Management (1, 1002 – 1005 jsou speciální VLAN, které není možné smazat). Ostatní porty byly nastaveny podle uvedené tabulky. Nakonec byla nakonfigurována výchozí brána přepínače.
Port
VLAN/ Trunk
Popisek
G1/1
TRUNK
Směrovač
F0/1
TRUNK (33,35,37)
WAP
F0/2
VLAN 34
Server 1
F0/3
VLAN 34
Server 2
F0/4
VLAN 33
Tiskárna 1
F0/5
VLAN 33
Tiskárna 2
F0/8 - 35
VLAN 32,33
Uživatelé
F0/42 – 48
VLAN 36
Školící místnost
Main_Switch(config)#ip default-gateway 192.168.37.1 Main_Switch(config)#interface vlan 1 Main_Switch(config-if)#shutdown Main_Switch(config-if)#interface vlan 37 Main_Switch(config-if)#ip address 192.168.37.10 255.255.255.0 Main_Switch(config-if)#no shutdown Main_Switch(config-if)#interface gigabitEthernet 1/1 Main_Switch(config-if)#switchport mode trunk Main_Switch(config-if)#description LINK TO MAIN_ROUTER Main_Switch(config-if)#interface fastEthernet 0/1 Main_Switch(config-if)#switchport mode trunk Main_Switch(config-if)#switchport trunk allowed vlan 1,33,35,37,1002-1005
21
Main_Switch(config-if)#interface range fastEthernet 0/2 – 48 Main_Switch(config-if-range)#switchport mode access Main_Switch(config-if range)#interface range fastEthernet 0/2 - 3 Main_Switch(config-if-range)#switchport access vlan 34 Main_Switch(config-if-range)#interface range fastEthernet 0/4 – 5 Main_Switch(config-if-range)#switchport access vlan 33 Main_Switch(config-if-range)#interface range fastEthernet 0/8 – 35 Main_Switch(config-if-range)#switchport access vlan 33 Main_Switch(config-if-range)#switchport voice vlan 32 Main_Switch(config-if-range)#interface range fastEthernet 0/42 – 48 Main_Switch(config-if-range)#switchport accees vlan 36 3.4.2 Konfigurace směrovače Stejně jako u přepínače je nutné základní nastavení. • Název směrovače (hostname) • Hesla pro připojení přes konzoli nebo Telnet/SSH a pro přístup do privilegovaného režimu (EXEC mode) • Povolení telnet/shh • Vstupní zpráva (banner) • Zákaz HTTP • Nastavení hodin Příkazy prvních šesti bodů jsou totožné jak již byly uvedeny u konfigurace přepínače (kapitola 3.4.1). Byl změněn pouze název na „Main_Router“.
Pro umožnění komunikace mezi sítěmi VLAN bylo nutné nastavení vnitřního směrování. V rámci této práce bylo využito dílčích rozhraní (subinterface), kterým byly přiřazeny první možné IP adresy z daného rozsahu. Výjimku zde tvoří pouze VLAN Management, jež je dosažitelná pouze z konfiguračního a monitorovacího počítače připojeného k přepínači. Tímto byla zvýšena úroveň bezpečnosti.
Main_Router(config)#interface fastEthernet0/0 Main_Router(config-if)#no shutdown
22
Main_Router(config-if)#interface fastEthernet 0/0.32 Main_Router(config-subif)#encapsulation dot1Q 32 Main_Router(config-subif)#ip address 192.168.32.1 255.255.255.0 Main_Router(config-subif)#interface fastEthernet 0/0.33 Main_Router(config-subif)#encapsulation dot1Q 33 Main_Router(config-subif)#ip address 192.168.33.1 255.255.255.0 Main_Router(config-subif)#interface fastEthernet 0/0.34 Main_Router(config-subif)#encapsulation dot1Q 34 Main_Router(config-subif)#ip address 192.168.34.1 255.255.255.0 Main_Router(config-subif)#interface fastEthernet 0/0.35 Main_Router(config-subif)#encapsulation dot1Q 35 Main_Router(config-subif)#ip address 192.168.35.1 255.255.255.0 Main_Router(config-subif)#interface fastEthernet 0/0.36 Main_Router(config-subif)#encapsulation dot1Q 36 Main_Router(config-subif)#ip address 192.168.36.1 255.255.255.0 Main_Router(config-subif)#interface fastEthernet 0/0.37 Main_Router(config-subif)#encapsulation dot1Q 37 Main_Router(config-subif)#ip address 192.168.37.1 255.255.255.0
Jedním z hlavních úkolů směrovače je propojení vnitřní sítě LAN s Internetem. Pro umožnění této činnosti je nutné nastavení výchozího směrování. To zajišťuje odeslání paketů do vzdálené sítě, která však není uvedena ve směrovací tabulce. Časté použití lze najít v koncových sítích, jejichž výstupní cesta je pouze jedna [3]. Pro připojení k síti Internet je nutné od poskytovatele těchto služeb získat veřejnou IP adresu. Daná firma má přiděleny dvě veřejné adresy, které z bezpečnostních důvodů nejsou uvedeny. Pro tuto práci byly náhodně vybrány IP adresy 217.218.232.98/27 a 217.218.232.99/27.
Main_Router(config-subif)#interface fastEthernet 0/1 Main_Router(config-if)#ip address 217.218.232.98 255.255.255.224 Main_Router(config-if)#no shutdown Main_Router(config-if)#exit Main_Router(config)#ip route 0.0.0.0 0.0.0.0 217.218.232.97 Main_Router(config-if)#exit
23
Přestože směrování bylo nastaveno, uživatelé stále nemají přístup k síti Internet. Důvodem jsou privátní IP adresy, které jsou blokovány. Řešením je překlad adres s využitím přetížení. Nejdříve byl vytvořen standardní přístupový seznam pro označení adres určených k překladu, následně byla označena vnitřní (inside) a vnější (outside) rozhraní a nakonec bylo přistoupeno k samotnému použití NAT. Pro zpřístupnění serveru i z vnější sítě bylo nutné nastavit statický překlad s využitím druhé veřejné IP adresy.
Main_Router(config)#ip access-list standard NAT_ADDRESSES Main_Router(config-std-nacl)#permit 192.168.32.0 0.0.7.255 Main_Router(config-std-nacl)#exit Main_Router(config)#interface fastEthernet 0/0 Main_Router(config-if)#ip nat inside Main_Router(config-if)#interface fastEthernet 0/1 Main_Router(config-if)#ip nat outside Main_Router(config-if)#exit Main_Router(config)#ip nat inside source list NAT_ADDRESSES interface fastEthernet 0/1 overload Main_Router(config)#ip nat inside source static 192.168.34.10 217.218.232.99
Rozdělení do více sítí pomocí VLAN umožňuje využití přístupových seznamů. Všem zařízením byl povolen přístup k DHCP službám (192.168.34.20) a Internetu. VLAN 33 byla povolena skupina Servers. Přístupový seznam byl také použit pro terminálové připojení, které umožňuje pouze dvěma vybraným počítačům se statickou IP adresou (192.168.33.3 a 192.168.33.4) vzdálené připojení pro účel konfigurace zařízení. Tyto dva počítače také mají povolen přístup do VLAN 37. Dále byl na směrovači nastaven IP Helper pro správné směrování požadavku o přidělení IP adresy.
Main_Router(config)#ip access-list extended Data_VOIP_ACL Main_Router(config-ext-nacl)#permit udp any any eq domain Main_Router(config-ext-nacl)#permit udp any eq bootpc any eq bootps Main_Router(config-ext-nacl)#deny ip any 192.168.32.0 0.0.7.255 Main_Router(config-ext-nacl)#permit ip any any Main_Router(config-ext-nacl)#exit Main_Router(config)#interface fastEthernet 0/0.32 24
Main_Router(config-subif)#ip helper-address 192.168.34.20 Main_Router(config-subif)#ip access-group Data_VOIP_ACL in Main_Router(config-subif)#exit
Main_Router(config)#ip access-list extended Data_Users_ACL Main_Router(config-ext-nacl)#permit ip any 192.168.34.0 0.0.0.255 Main_Router(config-ext-nacl)#permit ip host 192.168.33.3 192.168.37.0 0.0.0.255 Main_Router(config-ext-nacl)#permit ip host 192.168.33.4 192.168.37.0 0.0.0.255 Main_Router(config-ext-nacl)#deny ip any 192.168.32.0 0.0.7.255 Main_Router(config-ext-nacl)#permit ip any any Main_Router(config-ext-nacl)#exit Main_Router(config)#interface fastEthernet 0/0.33 Main_Router(config-subif)#ip helper-address 192.168.34.20 Main_Router(config-subif)#ip access-group Data_Users_ACL in Main_Router(config-subif)#exit
Main_Router(config)#ip access-list extended Public_WIFI_ACL Main_Router(config-ext-nacl)#permit udp any any eq domain Main_Router(config-ext-nacl)#permit udp any eq bootpc any eq bootps Main_Router(config-ext-nacl)#deny ip any 192.168.32.0 0.0.7.255 Main_Router(config-ext-nacl)#permit ip any any Main_Router(config-ext-nacl)#exit Main_Router(config)#interface fastEthernet 0/0.35 Main_Router(config-subif)#ip access-group Public_WIFI_ACL in Main_Router(config-subif)#exit
Main_Router(config)#ip access-list extended Education_PC_ACL Main_Router(config-ext-nacl)#permit udp any any eq domain Main_Router(config-ext-nacl)#permit udp any eq bootpc any eq bootps Main_Router(config-ext-nacl)#deny ip any 192.168.32.0 0.0.7.255 Main_Router(config-ext-nacl)#permit ip any any Main_Router(config-ext-nacl)#exit Main_Router(config)#interface fastEthernet 0/0.36 Main_Router(config-subif)#ip helper-address 192.168.34.20 25
Main_Router(config-subif)#ip access-group Education_PC_ACL in Main_Router(config-subif)#exit
Main_Router(config)#ip access-list standard Allow_VTY Main_Router(config-std-nacl)#permit host 192.168.33.3 Main_Router(config-std-nacl)#permit host 192.168.33.4 Main_Router(config-std-nacl)#exit Main_Router(config)#line vty 0 4 Main_Router(config-line)#access-class Allow_VTY in
3.5 Monitorování sítě SNMP (Simple Network Management Protocol) je protokol, který pracuje na aplikační vrstvě OSI modelu. Slouží pro řízení a sledování sítě. Pomocí SNMP je možné zjišťovat informace o funkčnosti a stavu jednotlivých síťových zařízení. Pro činnost je nutný agent, který realizuje komunikaci a stanice pro její vyhodnocování. SNMP protokol existuje ve třech verzích. SNMPv1 a SNMPv2 používají pro autentizaci heslo v nešifrované podobě. Třetí verze již tento nedostatek napravila. Net-snmp je softwarový balík, který obsahuje nástroje pro práci s tímto protokolem. Existuje několik softwarů, které používají SNMP pro správu a monitorování síťových zařízení [16]. Patří mezi ně například Zabbix nebo Open View. Pro tuto práci byl vybrán software Zabbix, který nabízí opensource distribuované řešení pro monitorování. Umožňuje sledování serverů, aktivních síťových prvků, konektivity, stavu periferních zařízení jako jsou například tiskárny a další. Mezi výhody tohoto produktu také patří webová prezentace [17].
3.6 Uplatnění IP telefonie Přestože IP telefonie v požadavcích zástupců firmy nebyla, nový návrh s případnou pozdější implementací této technologie počítá. Doporučovaným řešením pro realizaci VoIP v rámci této bakalářské práce je použití spojovací aplikace Call Manager Express, která je zahrnuta v operačním systému společnosti Cisco. Pro potřeby konfigurace bylo navrženo použití uživatelsky přívětivého webového rozhraní CCP (Cisco Configuration Professional). Pro firmu s 27 zaměstnanci byl doporučen pro cenovou dostupnost směrovač Cisco 2811.
26
Obrázek č. 9: směrovač Cisco 28116
Alternativou může být také zařízení Cisco UC540, které umožňuje počet licencí až pro 32 uživatelů [19]. Nutné je také počítat s investicí do IP telefonů a kabelů pro jejich připojení k počítači.
6
Cisco Networking Academy. DINES, Distributed Network Systems [online; cit. 9. 5. 2012] http://www.dinesgroup.org/cisco_akademie/index.php?option=com_content&task=view&id=58&Itemid=97
27
4 Finanční analýza Tato kapitola je věnována souhrnné kalkulaci. Finanční analýza je rozdělena na dvě části. První z nich nepočítá s využitím IP telefonie, druhá naopak ano. U každé z variant je uvedena doporučovaná nabídka komponent a také její levnější dostupná alternativa. Konkrétní ceny zařízení byly uvedeny na stránkách internetových obchodů včetně DPH a byly aktuální vzhledem ke dni 13. 5. 2012. V práci nebyla započtena cena za poštovné, neboť je ve většině prodejen u těchto položek zdarma. Stejně tak bylo předpokládáno, že na základě této bakalářské práce nebude potřebný síťový specialista pro potřeby konfigurace. U varianty s použitím IP telefonie by se náklady zvýšily o tuto částku. Firma disponuje kabely RJ-45 a proto nejsou dále zmiňovány. Ceny jednotlivých komponent jsou uvedeny v tabulce.
Kalkulace bez použití IP telefonie Název komponentu Levnější varianta
Cena [Kč]
Doporučená varianta
Cena [Kč]
Směrovač
Allied Telesis AR415S
14 620
Cisco 1921 ADSL2+
26 749
Přepínač
Cisco SF300-48P
22 419
Cisco SF300-48P
22 419
Bezdrátový bod
TL-WA901ND
1 163
Cisco WAP4410N
3 528
Celkem
38 202
52 696
Kalkulace s použitím IP telefonie Název komponentu Levnější varianta
Cena [Kč]
Doporučená varianta
Cena [Kč]
Směrovač
UC540W-FXO-K9
45 784
Cisco 2811-CCME/K9
65 471
Přepínač
Cisco SF300-48P
22 419
Cisco SF300-48P
22 419
Bezdrátový bod
TL-WA901ND
1 163
Cisco WAP4410N
3 528
IP telefon
Cisco SPA501G (27x)
2 210 (kus)
Cisco CP-7962 (27x)
3 097 (kus)
Celkem
129 036
175 037
28
Závěr Tato práce se zaměřuje na analýzu sítě konkrétní firmy a vytvoření návrhu na její zlepšení.
Prvním krokem při zpracování této práce bylo oslovení zástupců konkrétní firmy s cílem projednání stavu jejich stávající sítě a požadavků na její vylepšení. Pro svou práci jsem zvolil firmu, která má již mnohaletou tradici a u níž jsem předpokládal zájem o inovaci stávající sítě. Mezi základními požadavky na novou síť bylo zejména zvýšení její bezpečnosti a výměna starých typů jednotlivých zařízení za nové. Po konzultaci se zástupci firmy jsem tedy přistoupil k samotnému návrhu strategie nové sítě. Následně jsem věnoval čas pečlivému výběru vhodných komponent s ohledem jak na kvalitu, tak i na pořizovací cenu. Všechna zařízení splňují současné standardy používané v moderních počítačových sítích. Příkladem může být připravenost sítě na nasazení IP protokolu verze 6 a použití IP telefonie. Dalším požadavkem na navrhovanou síť bylo také nastavení vybraných zařízení. Jednotlivě navržené konfigurace pro směrovače a přepínače byly upraveny pro přímé zkopírování do příkazového řádku IOS a jsou součástí přílohy této bakalářské práce. Konfigurace jednotlivých zařízení prakticky poslouží dané firmě, neboť již nebude potřebovat služby síťového specialisty a ušetří jí takto náklady při pořízení nové sítě. Dříve zmíněný požadavek na zvýšení bezpečnosti sítě byl zajištěn technologiemi typu virtuální sítě LAN nebo použitím přístupových seznamů. Pro účely monitorování sítě byl vybrán software Zabbix, který umožňuje získat aktuální přehled o stavu celé sítě. Kompletní bakalářská práce byla poskytnuta konkrétní firmě a pevně věřím, že bude mnou navržená síť danou firmou prakticky zrealizována.
29
Literatura [1]
Stephen J. Bigelow. Mistrovství v počítačových sítích. Brno: Computer Press, a.s., 2004. ISBN 80-252-0178-9.
[2]
Jaroslav Horák, Milan Keršláger. Počítačové sítě pro začínající správce, 3. aktualizované vydání. Brno: Computer Press, a.s., 2006. ISBN 80-251-0892-9.
[3]
Todd Lammle. CCNA – Výukový průvodce přípravou na zkoušku 640-802. Brno: Computer Press, a.s., 2010. ISBN 978-80-251-2359-1.
[4]
Steve McQuerry. Interconnecting Cisco Network Devices, Part 1 (ICND1), Second Edition. Cisco Press, 2008. ISBN 978-1-58705-462-4.
[5]
Hunt Craig. TCP/IP Network Administration, Third Edition. O’Reilly & Associates, Inc., 2002. ISBN 0-569-00297-1.
[6]
Wendell Odom. CCNA ICND 2 Official Exam Certification Guide, Second Edition. Cisco Press, 2008. ISBN 978-1-58720-181-3.
[7]
Jeremy Cioara, Mike Valentine. CCNA Voice 640-461 Official Cert Guide. Cisco Press, 2012. ISBN 978-1-58720-417-3.
[8]
Learn Networking. Now, the Bad News [online; cit. 6. 4. 2012]
[9]
Wikipedia. Referenční model ISO/OSI [online; cit. 14. 4. 2012]
[10] Microsoft Technet. [online; cit. 18.4. 2012] [11] Cisco – Products & Services [online; cit. 8. 5. 2012] [12] ATC BusinessLink [online; cit. 3.5. 2012] [13] Alza - Obchod s počítači a elektronikou [online; cit. 3.5. 2012]
30
[14] Cisco – Products & Services [online; cit. 4.5. 2012] [15] Cisco – Products & Services [online; cit. 5. 5. 2012] [16] Samuraj – SNMP – Simple Network Management Protocol [online; cit 6. 5. 2012] [17] VOKSYS Network Solutions. Zabbix monitoring [online; cit 6. 5. 2012] [18] InetDaemon. TCP 3-Way Handshake [online; cit. 14. 4. 2012] [19] Cisco – Products & Services [online; cit. 9. 5. 2012] [20] ÚVT MU zpravodaj. IP telefonie v síti CESNET a MU [online; cit. 16. 5. 2012]
31
Příloha č. 1: Konfigurace přepínače enable configure terminal hostname Main_Switch enable secret cisco
//změnit heslo!!
line console 0 password cisco
//změnit heslo!!
login logging synchronous line vty 0 4 password cisco
//změnit heslo!!
login logging synchronous exit username admin secret cisco ip domain-name jmeno_spolecnosti.cz
//změnit název!!
crypto key generate rsa 1024 ip ssh version 2 line vty 0 4 transport input ssh telnet exit banner motd $ ### Neautorizovanym osobam vstup zakazan ###$ no ip http server end clock set 13:13:13 June 4 2012
//změnit čas a datum
configure terminal vlan 32 name Data_VOIP vlan 33 name Data_Users
32
vlan 34 name Servers vlan 35 name Public_WIFI vlan 36 name Education_PC vlan 37 name Management exit ip default-gateway 192.168.37.1 interface vlan 1 shutdown interface vlan 37 ip address 192.168.37.10 255.255.255.0 no shutdown interface gigabitEthernet 1/1 switchport mode trunk description LINK TO MAIN_ROUTER interface fastEthernet 0/1 switchport mode trunk switchport trunk allowed vlan 1,33,35,37,1002-1005 interface range fastEthernet 0/2 – 48 switchport mode access interface range fastEthernet 0/2 - 3 switchport access vlan 34 interface range fastEthernet 0/4 – 5 switchport access vlan 33 interface range fastEthernet 0/8 – 35 switchport access vlan 33 switchport voice vlan 32 interface range fastEthernet 0/42 – 48 switchport accees vlan 36 end copy running-config startup-config 33
Příloha č. 2: Konfigurace směrovače enable configure terminal hostname Main_Router enable secret cisco
//změnit heslo!!
line console 0 password cisco
//změnit heslo!!
login logging synchronous line vty 0 4 password cisco
//změnit heslo!!
login logging synchronous exit banner motd $ ### Neautorizovanym osobam vstup zakazan ###$ no ip http server end clock set 13:13:13 June 4 2012
//změnit datum a čas!!
configure terminal interface fastEthernet0/0 no shutdown interface fastEthernet 0/0.32 encapsulation dot1Q 32 ip address 192.168.32.1 255.255.255.0 interface fastEthernet 0/0.33 encapsulation dot1Q 33 ip address 192.168.33.1 255.255.255.0 interface fastEthernet 0/0.34 encapsulation dot1Q 34 ip address 192.168.34.1 255.255.255.0 interface fastEthernet 0/0.35 encapsulation dot1Q 35 34
ip address 192.168.35.1 255.255.255.0 interface fastEthernet 0/0.36 encapsulation dot1Q 36 ip address 192.168.36.1 255.255.255.0 interface fastEthernet 0/0.37 encapsulation dot1Q 37 ip address 192.168.37.1 255.255.255.0 interface fastEthernet 0/1 ip address 217.218.232.98 255.255.255.224 no shutdown exit ip route 0.0.0.0 0.0.0.0 217.218.232.97 exit ip access-list standard NAT_ADDRESSES permit 192.168.32.0 0.0.7.255 exit interface fastEthernet 0/0 ip nat inside interface fastEthernet 0/1 ip nat outside exit ip nat inside source list NAT_ADDRESSES interface fastEthernet 0/1 overload ip nat inside source static 192.168.34.10 217.218.232.99 ip access-list extended Data_VOIP_ACL permit udp any any eq domain permit udp any eq bootpc any eq bootps deny ip any 192.168.32.0 0.0.7.255 permit ip any any exit interface fastEthernet 0/0.32 ip helper-address 192.168.34.20 ip access-group Data_VOIP_ACL in exit ip access-list extended Data_Users_ACL 35
permit ip any 192.168.34.0 0.0.0.255 permit ip host 192.168.33.3 192.168.37.0 0.0.0.255 permit ip host 192.168.33.4 192.168.37.0 0.0.0.255 deny ip any 192.168.32.0 0.0.7.255 permit ip any any exit interface fastEthernet 0/0.33 ip helper-address 192.168.34.20 ip access-group Data_Users_ACL in exit ip access-list extended Public_WIFI_ACL permit udp any any eq domain permit udp any eq bootpc any eq bootps deny ip any 192.168.32.0 0.0.7.255 permit ip any any exit interface fastEthernet 0/0.35 ip access-group Public_WIFI_ACL in exit ip access-list extended Education_PC_ACL permit udp any any eq domain permit udp any eq bootpc any eq bootps deny ip any 192.168.32.0 0.0.7.255 permit ip any any exit interface fastEthernet 0/0.36 ip helper-address 192.168.34.20 ip access-group Education_PC_ACL in exit ip access-list standard Allow_VTY permit host 192.168.33.3 permit host 192.168.33.4 exit line vty 0 4 36
access-class Allow_VTY in end copy running-config startup-config
37