Úvod do informačních technologií
Počítačové sítě Petr Grygárek katedra informatiky FEI Regional Cisco Networking Academy
© 2005 Petr Grygárek, UIT
1
Přenos dat mezi počítači
Jak přenést ?
/home/gry72/soubor.txt 0110101100001111001111... ;
© 2005 Petr Grygárek, UIT
2
Propojení počítačů (přenosové médium) metalické vedení optické vedení
/home/gry72/soubor.txt 0110101100001111001111...
rádiový přenos
;
© 2005 Petr Grygárek, UIT
3
Jak na médiu vyjádřit jedničky a nuly ? Zvolíme vhodnou fyzikální veličinu a měníme ji v čase podle přenášených dat – (mluvíme pak o signálu)
• • • •
Napětí Intenzita světelného toku Frekvence rádiové vlny … © 2005 Petr Grygárek, UIT
U t
4
Poruší médium přenášenou informaci ? ANO ! Médium
šum
• Médium není ideální • Zvnějšku na něj působí okolí (šum) © 2005 Petr Grygárek, UIT
5
Zabezpečení dat proti chybám • Skupiny přenášených bitů shlukneme do rámců a na konec každého z nich připojíme „kontrolní součet“ vypočtený z přenášených dat (checksum) a pořadové číslo • Na přijímači stejným způsobem vypočteme kontrolní součet a porovnáme s přeneseným • V případě neshody kontrolního součtu nebo přeskočení pořadového čísla musíme chybu opravit DATA
DATA
Checksum
Checksum © 2005 Petr Grygárek, UIT
Checksum
=? 6
Oprava chyb • Zpětná vazba z přijímače na vysílač (potvrzování)
Rámec 1 Potvrzení 1
Rámec 2
• Vysílač opakuje rámce, které se cestou k přijímači ztratily nebo došly s chybou
timeout ;
© 2005 Petr Grygárek, UIT
Rámec 2
7
Propojení více počítačů: Počítačová síť (zatím lokální)
; Problém: Kdo smí kdy na sdílené médium vysílat, aby vysílání nezkolidovala ? Existují k tomu různé algoritmy – přístupové metody
© 2005 Petr Grygárek, UIT
8
Pevná lokální síť Propojení přepínačem (Ethernet)
;
© 2005 Petr Grygárek, UIT
9
Rádiová lokální síť (WiFi) Propojení přístupovým bodem
;
© 2005 Petr Grygárek, UIT
10
Komunikace mezi více počítači v LAN Musí se dohodnout • Metoda sdílení přístupu na společné médium • Formát vyměňovaných zpráv (rámců) • Adresace stanic – adresa příjemce i odesílatele připojena k rámci (hlavička) Hlavička Adresa
Adresa
příjemce
odesílatel e
DATA
© 2005 Petr Grygárek, UIT
Checksum
11
A co když to někdo v jiné LAN vymyslí jinak a my se s ním chceme propojit ? Co všechno může být jiné ? • Médium, konektory • Kódování jedniček a nul signálem • Algoritmus sdílení média • Formát rámce a adres stanic • Mechanismus opravy chyb • … Musíme vše vyhodit ? NE ! Logicky sjednotit a vzájemně propojit vhodným zařízením – směrovačem (router) © 2005 Petr Grygárek, UIT
12
Logické sjednocení = komunikační protokol • Dohoda globálně jednoznačné adresace stanic – a určení konkrétních aplikací (procesů, služeb) na stanicích
• Dohoda formátu předávaných zpráv – paketů – šíří se skok po skoku v (různých) rámcích jednotivých LAN
• Dohoda algoritmů opravy chyb • … Musí být implementováno • v operačním systému všech stanic, které chtějí vzájemně komunikovat • v aktivních prvcích síťové infrastruktury (směrovačích) – alespoň musí rozumět adresám a znát cesty k cílům © 2005 Petr Grygárek, UIT
13
„Co je vlastně ten Internet ?“ • Propojení počítačů nejrůznějších architektur a použitých operačních systémů pomocí rozličných vzájemně propojených síťových technologií – heterogenní prostředí
• Lokální sítě (LAN) propojené pomocí směrovačů (router) vytvářejí rozlehlou síť (WAN) • Největší rozlehlá síť na světě je Internet © 2005 Petr Grygárek, UIT
14
Protokoly Internetu – TCP/IP • Internet Protocol (IP) – nespolehlivé předávání paketů mezi stanicemi
• User Datagram Protocol (UDP) – předávání paketů mezi aplikacemi na stanicích • umožňuje i vysílání pro skupinu stanic v Internetu a všechny stanice na LAN
• Transmission Control Protocol (TCP) – Spolehlivý přenos obousměrného proudu dat mezi aplikacemi na stanicích
Dnes všeobecně používány i v intranetech © 2005 Petr Grygárek, UIT
15
Topologie Internetu (obecné propojení LAN) LAN 5
LAN 4
LAN 1 LAN 3
LAN 2
Směrovač- specializovaný počítač předposílající pakety mezi propojenými sítěmi © 2005 Petr Grygárek, UIT
16
Internet = síť s přepínáním paketů
Výchozí brána (default gateway)
112.1.10.200
158.196.135.16 112.1.10.200
DATA
© 2005 Petr Grygárek, UIT
17
Činnost směrovačů (1) 112.1.10.200
158.196.135.16
© 2005 Petr Grygárek, UIT
18
Činnost směrovačů (2) ` 112.1.10.200
158.196.135.16
© 2005 Petr Grygárek, UIT
19
Činnost směrovačů (3)
112.1.10.200
158.196.135.16
© 2005 Petr Grygárek, UIT
20
Hledání nejkratší cesty k cíli Směrovací tabulka
112.1.10.200 112.1.10.x
158.196.x.x 112.1.10.x
158.196.135.16
11.x.x.x
11.x.x.x
11.100.100.20
• Statická konfigurace • Distribuované algoritmy pro automatické vyhledávání © 2005 Petr Grygárek, UIT
21
Potřebujeme v síti něco dalšího, než směrovače ? • Čistě technicky – ne • Pro pohodlí uživatelů a správců sítě – ano – také pro ochranu před záškodníky
Systémové síťové služby provozované na serverech (obvykle s OS Unix) v jednotlivých lokálních sítích © 2005 Petr Grygárek, UIT
22
Systémové síťové služby • Domain Name System (DNS servery) – Mapují doménová jména počítačů na jejich IP adresy
• Dynamic Host Configuration Protocol (DHCP servery) – dynamické přidělování parametrů síťového připojení klientům • (IP adresa, maska podsítě, výchozí brána)
• Lightweight Directory Access Protocol (LDAP servery) – Udržují databázi uživatelů oprávněných k přístupu do sítě • Hesla, povolené služby, …
• Remote Access Dial-in User Server (RADIUS servery) – Zprostředkovávají autentizaci uživatelů připojených přes WiFi (HotSpot) a na veřejné porty přepínačů (HotPlug) • Ověřují certifikáty u certifikační autority nebo hesla u LDAP
© 2005 Petr Grygárek, UIT
23
Servery síťových služeb DNS Jakou adresu má www.seznam.cz ?
www.seznam.cz
INTERNET RADIUS Přepínač
Přiděl mi adresu
Počítač P Uživatel U
Vpustit počítač P ? DHCP
LDAP Jaké heslo má uživatel U ?
INTRANET (TUONET) © 2005 Petr Grygárek, UIT
24
Bezpečnost sítí • Provozuschopnost sítě je dnes nutnou podmínkou základního chodu řady organizací • Strategický materiál organizací má elektronickou podobu, dostupný na intranetu organizace – která je připojena k Internetu
© 2005 Petr Grygárek, UIT
25
Autentizace a utajení dat • Autentizace = ověření, zda zdroj dat je opravdu tím, za koho se vydává – a že data cestou nikdo nepozměnil (integrita dat)
• Utajení = šifrování dat, aby jejich obsah nemohl přečíst nikdo jiný, než oprávněná osoba/stroj Kde se realizuje ? • Při přenosu zpráv mezi uživateli • Při přístupu do sítě © 2005 Petr Grygárek, UIT
26
Virtuální privátní síť (VPN) Telefonní síť tunely modem
ISP Šifrování
Potenciálně nebezpečný veřejný Internet
Počítač se softwarem VPN klient
VPN koncentrátor Firewall (filtrace) Dešifrování Zabezpečená síť (TUONET)
Šifrování Počítač se softwarem VPN klient © 2005 Petr Grygárek, UIT
27
Firewall Vnitřní síť organizace
INTERNET Firewall
iMac
uživatel iMac
WWW server
uživatel
iMac
hacker
iMac
hacker
• Chrání vnitřní síť před útoky zvenčí – propouští do vnitřní sítě jen bezpečný provoz
• Zabraňuje uživatelům organizace v nekalých aktivitách na Internetu – propouští do Internetu jen povolený provoz
• Filtruje na základě IP adres a služeb © 2005 Petr Grygárek, UIT
28
Kde se šifruje a dešifruje ? • Mezi koncovými uživateli – síť o tom nemusí nic vědět
• Na potenciálně nebezpečném úseku mezi uživatelem a „bezpečnou“ sítí – Rádiový kanál mezi klientem a přístupovým bodem sítě (WiFi) – Klient připojený někde k Internetu přistupující do bezpečného intranetu přes Internet • VPN tunel © 2005 Petr Grygárek, UIT
29
Je ještě co vymýšlet aneb aktuální problémy počítačových sítí • Garantovaná kvalita služby ve WAN – přenosová rychlost, zpoždění, rozptyl zpoždění – nutné s ohledem na prorůstání s telekomunikačními sítěmi („IP everywhere“ - výhodou škálovatelnost)
• Skupinové vysílání (multicasting) – telekonference, multimédia, …
• Mobilita uživatelů vč. serverů, směrování v mobilních ad-hoc sítích • Širokopásmové přístupové sítě – jak dostat vysokorychlostní Internet ke koncovým uživatelům s únosnými náklady
• Bezpečnos – Detekce útoků a rychlá reakce na ně, ochrana před útoky – Autentizace a šifrování přenosů mezi koncovými uživateli © 2005 Petr Grygárek, UIT
30
A jak je to u nás na VŠB-TU ?
© 2005 Petr Grygárek, UIT
31
TUONET a připojení do Internetu
CESNET
TUONET
INTERNET © 2005 Petr Grygárek, UIT
32
Jak se lze autentizovat ? • Uživatelské jméno a heslo – Uloženy pro všechny uživatele centrálně na LDAP serveru
• Certifikátem – Identifikace uživatele elektronicky podepsaná certifikační autoritou instituce – lze získat po identifikaci jménem a heslem (LDAP) na http://www.vsb.cz/CA • certifikát získaný online je jen pro přístup do sítě • spojový certifikát (platnost 1 rok)
– při odcizení hlásit správci certifikační autority pro doplnění do CRL © 2005 Petr Grygárek, UIT
33
Parametry síťového připojení • IP adresa a maska podsítě (subnet mask) – 158.196.x.x – maska podsítě slouží ke zjištění, zda je cíl na LAN nebo mimo ní
• IP adresa výchozí brány (default gateway) – adresa směrovače, kam posílat pakety pro stanice mimo lokální síť – zpravidla nejnižší adresa na podsíti
• IP adresa serveru DNS – pro mapování doménových jmen na IP adresy – 158.196.149.9 (dns1.vsb.cz), 158.196.162.8 (ekf-ns.vsb.cz)
• Implicitní doména – pro relativní jména DNS (např. www.cs [.vsb.cz]) – VSB.CZ
Oprávněná zařízení vše získají z DHCP Nepřidělujte manuálně – nebude vám fungovat !!! © 2005 Petr Grygárek, UIT
34
Pevná struktura – propojené přepínače Internet
• klientské porty: 10/100 Mbps, • servery 1Gbps • spoje: 100Mbps, 1Gbps
Směrovač (router)
Přepínače
Pevně připojené počítače
iMac
iMac
iMac
Zařízení studentů s certifikáty © 2005 Petr Grygárek, UIT
35
Připojení zařízení studentů do pevné struktury • Vhodné pro přenos větších objemů dat • Připojení jen do HotPlug portu přepínače (10/100Mbps) • Před vpuštěním do sítě bude požadována autentizace certifikátem – Je třeba mít instalován certifikát – Operační systém musí podporovat standard 802.1x
© 2005 Petr Grygárek, UIT
36
Bezdrátová struktura - napojení na pevný distribuční systém
– IEEE 802.11b: 2.5 GHz, max. 11 Mbps – IEEE 802.11g: 2.5 GHz, max. 54 Mbps – IEEE 802.11h: 5 GHz, max. 54 Mbps Reálně cca 1/2 teoretické přenosové rychlosti (!) © 2005 Petr Grygárek, UIT
37
Pokrytí areálu bezdrátovou sítí • počítačové učebny, studovna, veřejné prostory,... • označení „WiFi hotspot“ • postupné pokrývání dalších prostor • aktuální stav viz http://wifi.vsb.cz
© 2005 Petr Grygárek, UIT
38
Model pokrytí areálu VŠB-TU (jaro 2005)
© 2005 Petr Grygárek, UIT
39
Identifikátor rádiové sítě (SSID)
tuonet-eap
tuonet-vpn
iMac iMac
WiFi šifrováno (dynamický WEP) autentizace certifikátem (EAP TLS)
WiFi nešifrováno, VPN klient
© 2005 Petr Grygárek, UIT
40
Připojení zařízení studentů do bezdrátové struktury TUONETu • SSID=“TUONET-EAP” (preferováno) – Autentizace certifikátem (předaným přes EAP) – Pokud ovladač WiFi klienta podporuje EAP-TLS – Použit WEP s dynamickou výměnou klíčů (128-bitových)
• SSID=“TUONET-VPN” – Nemá-li operační systém podporu EAP-TLS – Je třeba mít instalován VPN klient • lze stáhnout z http://www.vsb.cz/vpn • žádná registrace není potřebná • autentizace na VPN koncentrátoru uživatelským jménem a heslem (LDAP) © 2005 Petr Grygárek, UIT
41
EduROAM • Podpora hostujících uživatelů ze spřátelených institucí • Uživatel není přímo součástí TUONETu – vhodné pro přístup na Internet
• SSID=„eduroam“ • Uživatelské jméno z LDAP • Zvláštní uživatelské heslo – nastavitelné přes http://uzivatel.vsb.cz © 2005 Petr Grygárek, UIT
42
Přístup z volného Internetu • Použití VPN – nutno mít instalován VPN klient • Informace a download klienta na http://www.vsb.cz/vpn
– Dostanete automaticky přidělenu IP adresu z rozsahu VŠB (158.196.x.x) – Stejná práva (i omezení) jako uživatelé připojení do TUONETu přímo
© 2005 Petr Grygárek, UIT
43
Modemová připojení • Dnes spíše okrajová záležitost – terminálový server disponuje cca 14 modemy
• Používají se zvlášť generovaná hesla – mimo LDAP
• Přiděluje Ing. Ivan Doležal (NA 311) • Viz http://www.vsb.cz/cvt/modemy
© 2005 Petr Grygárek, UIT
44
Připojení do TUONETu – shrnutí Připojení s VPN klientem z Internetu
Pevné připojení k přepínači (HotPlug port)
iMac
Internet
iMac
VPN koncentrátor 802.1x
Firewall (filtrace)
pevná struktura TUONET
Ba y Networks
WPA2/ TKIP
Terminal server
iM ac
tuonet-eap
tuonet-vpn
iM ac
iMac
Areál VŠB-TU Modemová připojení
iM ac
Telefonní sít
EduRoam WiFi šifrováno (dynamický WEP) autentizace certifikátem (EAP TLS)
WiFi nešifrováno, VPN klient
© 2005 Petr Grygárek, UIT
Připojení pomocí LDAP jména a EduRoam hesla
45
Přístup ke službám Internetu z TUONETu • Povolen jen vybraný provoz – – – – – –
WWW klienti odkudkoli SSH (+scp) odkudkoli Telnet a pasivní FTP jen z homel.vsb.cz FTP z WWW prohlížeče přes cache.vsb.cz:3128 Odchozí poštovní brána smtp.vsb.cz Možnost přeposílání dalšího provozu přes Socks5 server – Ping mezi TUONETem a Internetem jen ze služebních sítí
• Detaily viz http://www.vsb.cz/cvt/TUONET/i_podm.htm © 2005 Petr Grygárek, UIT
46
Přístup ke službám TUONETu z Internetu • Z veřejného Internetu přístup do TUONET velmi omezený – WWW na vybrané servery – Doručení pošty na vybrané servery – Čtení pošty (POP3S, IMAPS) na pop3.vsb.cz, resp. imap.vsb.cz – Pro ostatní použijte VPN klienta
• Přístup k Novell Serverům – přes VPN – IP Client od Novellu, ne vestavěný od Microsoftu © 2005 Petr Grygárek, UIT
47
Elektronická pošta
• Antivirový filtr
– dočasná archivace zavirovaných zpráv
• Antispamový filtr – Označování nebo odstraňování – Dočasně ukládány na serveru CVT
• Odesílání pošty – jen přes smtp.vsb.cz (jen z TUONETu), prochází antivirem – max 20 MB zpráva (ale ostatní často méně)
• Čtení pošty – WWW rozhraní (Horde): posta.vsb.cz (HTTPS) • i odesílání
– POP3S: pop3.vsb.cz – IMAPS: imap.vsb.cz El. pošta není šifrovaná ani autentizovaná služba ! © 2005 Petr Grygárek, UIT
48
Studium počítačových sítí na FEI
© 2005 Petr Grygárek, UIT
49
Proč studovat počítačové sítě ?
Postavte si vlastní TUONET ;-) ! (nebo alespoň síť doma, ve firmě, v domě nebo na vesnici, …)
© 2005 Petr Grygárek, UIT
50
Bakalářské studium: Počítačové sítě (3.ročník ZS) Co se naučíte ? • Orientovat se v technologiích pro LAN – Ethernet, WiFi • Orientovat se v protokolech TCP/IP – Sledovat provoz v počítačové síti síťovým analyzátorem a rozumět mu • Navrhovat a prakticky zkonstruovat vlastní síť s IP protokolem – Adresování (včetně překladu adres NAT), směrování • Prakticky pracovat se síťovými prvky (přepínače, směrovače) – Cisco, Linux • Spravovat některé síťové služby – DNS a DHCP servery • Rozumět protokolům základních síťových aplikací – WWW, elektronická pošta, ... – Užitečné pro ladění internetových aplikací • Navrhnout a konfigurovat základní bezpečnostní mechanismy – Filtrace paketů (ACL) • Programovat síťové aplikace (C,Java) • … a spoustu dalších věcí © 2005 Petr Grygárek, UIT
51
Magisterské studium - specializace • Přepínané a směrované sítě (LS) – – – – –
IP verze 4 detailně,IP verze 6 Směrovací protokoly - intranety i Internet, optimalizace směrování Kvalita služby v IP sítích Multicasting (skupinové vysílání) Přepínané sítě – pokročilé možnosti
• Technologie počítačových sítí (ZS) – – – – – – –
Ethernet detailně ISDN, Frame-Relay, ATM Vzdálená správa sítí Kombinace přepínání a směrování (MPLS) Virtuální privátní sítě Přístupové linky xDSL WiFi © 2005 Petr Grygárek, UIT
52
Cisco Networking Academy Program • Při FEI VŠB-TU Ostrava funguje Regionální akademie CNAP • http://rcna.vsb.cz
• Praktické kurzy počítačových sítí – v současné době mimo kreditní systém (za poplatek) – příprava k certifikátům Cisco Certified Network Associate a Cisco Certified Network Professional
• • • • •
CCNA (semestry 1-4) CCNP (semestry 5-8) Network Security 1 a 2 Fundamentals of Wireless Networks Virtuální laboratoř počítačových sítí – vzdálený přístup pro vlastní experimenty – http://www.cs.vsb.cz/vl-wiki © 2005 Petr Grygárek, UIT
53