Úvod do informačních technologií
Počítačové sítě Petr Grygárek katedra informatiky FEI Regional Cisco Networking Academy
© 2005 Petr Grygárek, UIT
1
Přenos dat mezi počítači
Jak přenést ?
/home/gry72/soubor.txt 0110101100001111001111... ;
© 2005 Petr Grygárek, UIT
2
Propojení počítačů (přenosové médium) metalické vedení optické vedení
/home/gry72/soubor.txt 0110101100001111001111...
rádiový přenos
;
© 2005 Petr Grygárek, UIT
3
Jak na médiu vyjádřit jedničky a nuly ? Zvolíme vhodnou fyzikální veličinu a měníme ji v čase podle přenášených dat – (mluvíme pak o signálu)
• • • •
Napětí Intenzita světelného toku Frekvence rádiové vlny … © 2005 Petr Grygárek, UIT
U t
4
Poruší médium přenášenou informaci ? ANO ! Médium
šum
• Médium není ideální • Zvnějšku na něj působí okolí (šum) © 2005 Petr Grygárek, UIT
5
Zabezpečení dat proti chybám • Skupiny přenášených bitů shlukneme do rámců a na konec každého z nich připojíme „kontrolní součet“ vypočtený z přenášených dat (checksum) a pořadové číslo • Na přijímači stejným způsobem vypočteme kontrolní součet a porovnáme s přeneseným • V případě neshody kontrolního součtu nebo přeskočení pořadového čísla musíme chybu opravit DATA
DATA
Checksum
Checksum © 2005 Petr Grygárek, UIT
Checksum
=? 6
Oprava chyb • Zpětná vazba z přijímače na vysílač (potvrzování)
Rámec 1 Potvrzení 1
Rámec 2
• Vysílač opakuje rámce, které se cestou k přijímači ztratily nebo došly s chybou
timeout ;
© 2005 Petr Grygárek, UIT
Rámec 2
7
Propojení více počítačů Počítačová síť (zatím lokální)
; Problém: Kdo smí kdy na sdílené médium vysílat, aby vysílání nezkolidovala ? Existují k tomu různé algoritmy – přístupové metody
© 2005 Petr Grygárek, UIT
8
Pevná lokální síť Propojení přepínačem (Ethernet)
;
© 2005 Petr Grygárek, UIT
9
Rádiová lokální síť (WiFi) Propojení přístupovým bodem
;
© 2005 Petr Grygárek, UIT
10
Komunikace mezi více počítači Musí se dohodnout • Metoda sdílení přístupu na společné médium • Formát rámce • Adresace stanic – adresa příjemce i odesílatele připojena k rámci (hlavička) Hlavička Adresa příjemce
DATA
Checksum
Adresa odesílatele
© 2005 Petr Grygárek, UIT
11
A co když to někdo jiný vymyslí jinak a my se s ním chceme propojit ? Co všechno může být jiné ? • Médium • Kódování jedniček a nul • Algoritmus sdílení média • Formát rámce a adresy stanic • Mechanismus opravy chyb • … Musíme vše vyhodit ? NE ! Logicky sjednotit a vzájemně propojit vhodným zařízením – směrovačem (router) © 2005 Petr Grygárek, UIT
12
Logické sjednocení - komunikační protokol • Dohoda globálně jednoznačné adresace stanic – a konkrétních aplikací (procesů, služeb) na stanicích
• Dohoda formátu předávaných zpráv - paketů • Dohoda algoritmů opravy chyb • … Musí být implementováno • v operačním systému všech stanic, které chtějí vzájemně komunikovat • v aktivních prvcích síťové infrastruktury – směrovače, přepínače – alespoň musí rozumět adresám © 2005 Petr Grygárek, UIT
13
Co je vlastně ten Internet ? • Propojení počítačů nejrůznějších architektur a použitých operačních systémů pomocí rozličných vzájemně propojených síťových technologií – (heterogenní prostředí)
• Lokální sítě (LAN) propojené pomocí směrovačů (router) vytvářejí rozlehlou síť (WAN) • Největší rozlehlá síť na světě je Internet © 2005 Petr Grygárek, UIT
14
Protokoly Internetu – TCP/IP • Internet Protocol (IP) – nespolehlivé předávání paketů mezi stanicemi
• User Datagram Protocol (UDP) – předávání paketů mezi aplikacemi na stanicích • (včetně vysílání pro skupinu stanic a všechny sousední stanice)
• Transmission Control Protocol (TCP) – Spolehlivý přenos obousměrného proudu dat mezi aplikacemi na stanicích
Dnes všeobecně používány i v intranetech © 2005 Petr Grygárek, UIT
15
Topologie Internetu (obecné propojení LAN) LAN 5
LAN 4
LAN 1 LAN 3
LAN 2
Směrovač- specializovaný počítač předposílající pakety mezi propojenými sítěmi © 2005 Petr Grygárek, UIT
16
Internet = síť s přepínáním paketů
Výchozí brána (default gateway)
112.1.10.200
158.196.135.16 112.1.10.200
DATA
© 2005 Petr Grygárek, UIT
17
Činnost směrovačů (1) 112.1.10.200
158.196.135.16
© 2005 Petr Grygárek, UIT
18
Činnost směrovačů (2) ` 112.1.10.200
158.196.135.16
© 2005 Petr Grygárek, UIT
19
Činnost směrovačů (3)
112.1.10.200
158.196.135.16
© 2005 Petr Grygárek, UIT
20
Hledání nejkratší cesty k cíli Směrovací tabulka
112.1.10.200 112.1.10.x
158.196.x.x 112.1.10.x
158.196.135.16
11.x.x.x
11.x.x.x
11.100.100.20
• Statická konfigurace • Distribuované algoritmy pro automatické vyhledávání © 2005 Petr Grygárek, UIT
21
Potřebujeme v síti něco dalšího, než směrovače ? • Čistě technicky – ne • Pro pohodlí uživatelů a správců sítě – ano Systémové síťové služby provozované na serverech (obvykle s OS Unix) v jednotlivých lokálních sítích
© 2005 Petr Grygárek, UIT
22
Systémové síťové služby • Domain Name System (DNS servery) – Mapují doménová jména počítačů na jejich IP adresy
• Dynamic Host Configuration Protocol (DHCP servery) – dynamické přidělování parametrů síťového připojení klientům • (IP adresa, maska podsítě, výchozí brána)
• Lightweight Directory Access Protocol (LDAP servery) – Udržují databázi uživatelů oprávněných k přístupu do sítě • Hesla, povolené služby, …
• Remote Access Dial-in User Server (RADIUS servery) – Zprostředkovávají autentizaci uživatelů připojených přes WiFi (HotSpot) a na veřejné porty přepínačů (HotPlug) • Ověřují certifikáty u certifikační autority nebo hesla u LDAP
© 2005 Petr Grygárek, UIT
23
Servery síťových služeb DNS Jakou adresu má www.seznam.cz ?
www.seznam.cz
INTERNET RADIUS Přepínač
Přiděl mi adresu
Počítač P Uživatel U
Vpustit počítač P ? DHCP
LDAP Jaké heslo má uživatel U ?
INTRANET (TUONET) © 2005 Petr Grygárek, UIT
24
Bezpečnost sítí • Provozuschopnost sítě je dnes nutnou podmínkou základního chodu řady organizací • Strategický materiál organizací má elektronickou podobu, dostupný na intranetu organizace – která je připojena k Internetu
© 2005 Petr Grygárek, UIT
25
Autentizace a utajení dat • Autentizace = ověření, zda zdroj dat je opravdu tím, za koho se vydává – a že data cestou nikdo nepozměnil (integrita dat)
• Utajení = šifrování dat, aby jejich obsah nemohl přečíst nikdo jiný, než oprávněná osoba/stroj Kde se realizuje ? • Při přenosu zpráv mezi uživateli • Při přístupu do sítě © 2005 Petr Grygárek, UIT
26
Virtuální privátní síť (VPN) Telefonní síť tunely modem
ISP Šifrování
Potenciálně nebezpečný veřejný Internet
Počítač se softwarem VPN klient
VPN koncentrátor Firewall (filtrace) Dešifrování Zabezpečená síť (TUONET)
Šifrování Počítač se softwarem VPN klient © 2005 Petr Grygárek, UIT
27
Firewall Vnitřní síť organizace
INTERNET Firewall
iMac
uživatel iMac
WWW server
uživatel
iMac
hacker
iMac
hacker
• Chrání vnitřní síť před útoky zvenčí – propouští do vnitřní sítě jen bezpečný provoz
• Zabraňuje uživatelům organizace v nekalých aktivitách na Internetu – propouští do Internetu jen povolený provoz
• Filtruje na základě IP adres a služeb © 2005 Petr Grygárek, UIT
28
Kde se šifruje a dešifruje ? • Mezi koncovými uživateli – síť o tom nemusí nic vědět
• Na potenciálně nebezpečném úseku mezi uživatelem a „bezpečnou“ sítí – Rádiový kanál mezi klientem a přístupovým bodem sítě (WiFi) – Klient připojený někde k Internetu přistupující do bezpečné sítě přes Internet • VPN tunel © 2005 Petr Grygárek, UIT
29
Je ještě co vymýšlet aneb aktuální problémy počítačových sítí • Garantovaná kvalita služby ve WAN – přenosová rychlost, zpoždění, rozptyl zpoždění – nutné s ohledem na prorůstání s telekomunikačními sítěmi („IP everywhere“ - výhodou škálovatelnost)
• Skupinové vysílání (multicasting) – telekonference, multimédia, …
• Mobilita uživatelů, směrování v mobilních ad-hoc sítích • Širokopásmové přístupové sítě – jak dostat vysokorychlostní Internet ke koncovým uživatelům s únosnými náklady
• Bezpečnost – Detekce útoků, ochrana před útoky – Autentizace a šifrování přenosů mezi koncovými uživateli © 2005 Petr Grygárek, UIT
30
A jak je to u nás na VŠB-TU ?
© 2005 Petr Grygárek, UIT
31
TUONET a připojení do Internetu
CESNET
TUONET
INTERNET © 2005 Petr Grygárek, UIT
32
Jak se lze autentizovat ? • Uživatelské jméno a heslo – Uloženy pro všechny uživatele centrálně na LDAP serveru
• Certifikátem – Identifikace uživatele elektronicky podepsaná certifikační autoritou instituce – lze získat po identifikaci jménem a heslem (LDAP) na http://www.vsb.cz/CA • certifikát získaný online je jen pro přístup do sítě © 2005 Petr Grygárek, UIT
33
Parametry síťového připojení • IP adresa a maska podsítě (subnet mask) – 158.196.x.x – maska podsítě slouží ke zjištění, zda je cíl na LAN nebo mimo ní
• IP adresa výchozí brány (default gateway) – adresa směrovače, kam posílat pakety pro stanice mimo lokální síť – zpravidla nejnižší adresa na podsíti
• IP adresa serveru DNS – pro mapování doménových jmen na IP adresy – 158.196.149.9 (dns1.vsb.cz), 158.196.147.15 (dns2.vsb.cz)
• Implicitní doména – pro relativní jména DNS (např. www.cs[.vsb.cz]) – VSB.CZ
Oprávněná zařízení vše získají z DHCP Nepřidělujte manuálně – nebude vám fungovat !!! © 2005 Petr Grygárek, UIT
34
Pevná struktura – propojené přepínače Internet
• klientské porty: 10/100 Mbps, • servery 1Gbps • spoje: 100Mbps, 1Gbps
Směrovač (router)
Přepínače
Pevně připojené počítače
iMac
iMac
iMac
Zařízení studentů s certifikáty © 2005 Petr Grygárek, UIT
35
Připojení zařízení studentů do pevné struktury • Vhodné pro přenos větších objemů dat • Připojení jen do HotPlug portu přepínače (10/100Mbps) • Před vpuštěním do sítě bude požadována autentizace certifikátem – Je třeba mít instalován certifikát – Operační systém musí podporovat standard 802.1x
© 2005 Petr Grygárek, UIT
36
Bezdrátová struktura - napojení na pevný distribuční systém
– IEEE 802.11b: 2.5 GHz, max. 11 Mbps – IEEE 802.11g: 2.5 GHz, max. 54 Mbps Reálně cca 1/2 teoretické přenosové rychlosti (!) © 2005 Petr Grygárek, UIT
37
Pokrytí areálu bezdrátovou sítí • počítačové učebny, studovna, veřejné prostory,... • označení „WiFi hotspot“ • postupné pokrývání dalších prostor • aktuální stav viz http://wifi.vsb.cz
© 2005 Petr Grygárek, UIT
38
Model pokrytí areálu VŠB-TU (jaro 2005)
© 2005 Petr Grygárek, UIT
39
Identifikátor rádiové sítě (SSID)
tuonet-eap
tuonet-vpn
iMac iMac
WiFi šifrováno (dynamický WEP) autentizace certifikátem (EAP TLS)
WiFi nešifrováno, VPN klient
© 2005 Petr Grygárek, UIT
40
Připojení zařízení studentů do bezdrátové struktury TUONETu • SSID=“TUONET-EAP” (preferováno) – Autentizace certifikátem (předaným přes EAP) – Pokud ovladač WiFi klienta podporuje EAP-TLS – Použit WEP s dynamickou výměnou klíčů (128-bitových)
• SSID=“TUONET-VPN” – Nemá-li operační systém podporu EAP-TLS – Je třeba mít instalován VPN klient • lze stáhnout z http://homel.vsb.cz/vpn • žádná registrace není potřebná • autentizace na VPN koncentrátoru uživatelským jménem a heslem (LDAP) © 2005 Petr Grygárek, UIT
41
Přístup z volného Internetu • Použití VPN – nutno mít instalován VPN klient – Nutná registrace na CVT • Ing. Jiří Grygárek, A1017 • Ze sítě CZFree lze přistupovat bez registrace
– Dostanete automaticky přidělenu IP adresu z rozsahu VŠB (158.196.x.x) – Stejná práva a omezení jako uživatelé připojení do TUONETu přímo
© 2005 Petr Grygárek, UIT
42
Modemová připojení • Dnes spíše okrajová záležitost – terminálový server disponuje cca 14 modemy
• Používají se zvlášť generovaná hesla – mimo LDAP
• Denní a měsíční časová kvóta • Přiděluje Ing. Ivan Doležal (A 1039 ) • Viz http://www.vsb.cz/cvt/modemy © 2005 Petr Grygárek, UIT
43
Připojení do TUONETu – shrnutí Připojení s VPN klientem z Internetu (nutná registrace)
Pevné připojení k přepínači (HotPlug port)
iMac
Internet
i Mac
VPN koncentrátor 802.1x
Firewall (filtrace)
pevná struktura TUONET
Bay Networks
Terminal server
iMac
tuonet-eap
tuonet-vpn
iMac
iMac
Areál VŠB-TU Modemová připojení
iMac
Telefonní sít
WiFi šifrováno (dynamický WEP) autentizace certifikátem (EAP TLS)
WiFi nešifrováno, VPN klient
© 2005 Petr Grygárek, UIT
CZFree
Připojení s VPN klientem z CZFree (registrace není třeba)
44
Přístup ke službám Internetu z TUONETu • Povolen jen vybraný provoz – – – – – –
WWW klienti odkudkoli SSH (+scp) odkudkoli Telnet a pasivní FTP jen z homel.vsb.cz FTP z WWW prohlížeče přes cache.vsb.cz:3128 Odchozí poštovní brána smtp.vsb.cz Možnost přeposílání dalšího provozu přes Socks5 server – Ping mezi TUONETem a Internetem jen ze služebních sítí
• Detaily viz http://www.vsb.cz/cvt/TUONET/i_podm.htm © 2005 Petr Grygárek, UIT
45
Přístup ke službám TUONETu z Internetu • Z veřejného Internetu přístup do TUONET velmi omezený – – – –
WWW na vybrané servery Doručení pošty na vybrané servery Čtení pošty (POP3S, IMAPS) na homel.vsb.cz Pro ostatní použijte VPN klienta
• Přístup k Novell Serverům – přes VPN – IP Client od Novellu, ne vestavěný od Microsoftu © 2005 Petr Grygárek, UIT
46
Elektronická pošta • Antivirový filtr – dočasná archivace zavirovaných zpráv
• Antispamový filtr – Daily digest – dočasně ukládány na serveru CVT, možnost si vyžádat
• Odesílání pošty – jen přes smtp.vsb.cz (jen z TUONETu), prochází antivirem – max 20 MB zpráva (ale ostatní často méně)
• Čtení pošty – WWW rozhraní: posta.vsb.cz (HTTPS) – i posílání – POP3S, IMAPS z homel.vsb.cz El. pošta není šifrovaná ani autentizovaná služba ! © 2005 Petr Grygárek, UIT
47
Studium počítačových sítí na FEI
© 2005 Petr Grygárek, UIT
48
Proč studovat počítačové sítě ?
Postavte si vlastní TUONET ;-) ! (nebo alespoň síť doma, ve firmě, v domě nebo na vesnici, …)
© 2005 Petr Grygárek, UIT
49
Bakalářské studium: Počítačové sítě (3.ročník ZS) Co se naučíte ? • Orientovat se v technologiích pro LAN – Ethernet, WiFi • Orientovat se v protokolech TCP/IP – Sledovat provoz v počítačové síti síťovým analyzátorem a rozumět mu • Navrhovat a prakticky zkonstruovat vlastní síť s IP protokolem – Adresování (včetně překladu adres NAT), směrování • Prakticky pracovat se síťovými prvky (přepínače, směrovače) – Cisco, Linux • Spravovat některé síťové služby – DNS a DHCP servery • Rozumět protokolům základních síťových aplikací – WWW, elektronická pošta, ... – Užitečné pro ladění internetových aplikací • Navrhnout a konfigurovat základní bezpečnostní mechanismy – Filtrace paketů (ACL) • Programovat síťové aplikace (C,Java) • … a spoustu dalších věcí © 2005 Petr Grygárek, UIT
50
Magisterské studium - specializace • Přepínané a směrované sítě (LS) – – – – –
IP verze 4 detailně,IP verze 6 Směrovací protokoly - intranety i Internet, optimalizace směrování Kvalita služby v IP sítích Multicasting (skupinové vysílání) Přepínané sítě – pokročilé možnosti
• Technologie počítačových sítí (ZS) – – – – – – –
Ethernet detailně ISDN, Frame-Relay, ATM Vzdálená správa sítí Kombinace přepínání a směrování (MPLS) Virtuální privátní sítě Přístupové linky xDSL WiFi © 2005 Petr Grygárek, UIT
51
Cisco Networking Academy Program • Při FEI VŠB-TU Ostrava funguje Regionální akademie CNAP • http://rcna.vsb.cz
• Praktické kurzy počítačových sítí – v současné době mimo kreditní systém (za poplatek) – příprava k certifikátům Cisco Certified Network Associate a Cisco Certified Network Professional
• CCNA (semestry 1-4) • CCNP (semestry 5-8) – jen VŠB-TU a ČVUT © 2005 Petr Grygárek, UIT
52