Úvod do informačních technologií. Počítačové sítě. Petr Grygárek. katedra informatiky FEI Regional Cisco Networking Academy Petr Grygárek, UIT 1

Úvod do informačních technologií

Počítačové sítě Petr Grygárek katedra informatiky FEI Regional Cisco Networking Academy

© 2005 Petr Grygárek, UIT

1

Přenos dat mezi počítači

Jak přenést ?

/home/gry72/soubor.txt 0110101100001111001111... ;

© 2005 Petr Grygárek, UIT

2

Propojení počítačů (přenosové médium) metalické vedení optické vedení

/home/gry72/soubor.txt 0110101100001111001111...

rádiový přenos

;

© 2005 Petr Grygárek, UIT

3

Jak na médiu vyjádřit jedničky a nuly ? Zvolíme vhodnou fyzikální veličinu a měníme ji v čase podle přenášených dat – (mluvíme pak o signálu)

• • • •

Napětí Intenzita světelného toku Frekvence rádiové vlny … © 2005 Petr Grygárek, UIT

U t

4

Poruší médium přenášenou informaci ? ANO ! Médium

šum

• Médium není ideální • Zvnějšku na něj působí okolí (šum) © 2005 Petr Grygárek, UIT

5

Zabezpečení dat proti chybám • Skupiny přenášených bitů shlukneme do rámců a na konec každého z nich připojíme „kontrolní součet“ vypočtený z přenášených dat (checksum) a pořadové číslo • Na přijímači stejným způsobem vypočteme kontrolní součet a porovnáme s přeneseným • V případě neshody kontrolního součtu nebo přeskočení pořadového čísla musíme chybu opravit DATA

DATA

Checksum

Checksum © 2005 Petr Grygárek, UIT

Checksum

=? 6

Oprava chyb • Zpětná vazba z přijímače na vysílač (potvrzování)

Rámec 1 Potvrzení 1

Rámec 2

• Vysílač opakuje rámce, které se cestou k přijímači ztratily nebo došly s chybou

timeout ;

© 2005 Petr Grygárek, UIT

Rámec 2

7

Propojení více počítačů: Počítačová síť (zatím lokální)

; Problém: Kdo smí kdy na sdílené médium vysílat, aby vysílání nezkolidovala ? Existují k tomu různé algoritmy – přístupové metody

© 2005 Petr Grygárek, UIT

8

Pevná lokální síť Propojení přepínačem (Ethernet)

;

© 2005 Petr Grygárek, UIT

9

Rádiová lokální síť (WiFi) Propojení přístupovým bodem

;

© 2005 Petr Grygárek, UIT

10

Komunikace mezi více počítači v LAN Musí se dohodnout • Metoda sdílení přístupu na společné médium • Formát vyměňovaných zpráv (rámců) • Adresace stanic – adresa příjemce i odesílatele připojena k rámci (hlavička) Hlavička Adresa

Adresa

příjemce

odesílatel e

DATA

© 2005 Petr Grygárek, UIT

Checksum

11

A co když to někdo v jiné LAN vymyslí jinak a my se s ním chceme propojit ? Co všechno může být jiné ? • Médium, konektory • Kódování jedniček a nul signálem • Algoritmus sdílení média • Formát rámce a adres stanic • Mechanismus opravy chyb • … Musíme vše vyhodit ? NE ! Logicky sjednotit a vzájemně propojit vhodným zařízením – směrovačem (router) © 2005 Petr Grygárek, UIT

12

Logické sjednocení = komunikační protokol • Dohoda globálně jednoznačné adresace stanic – a určení konkrétních aplikací (procesů, služeb) na stanicích

• Dohoda formátu předávaných zpráv – paketů – šíří se skok po skoku v (různých) rámcích jednotivých LAN

• Dohoda algoritmů opravy chyb • … Musí být implementováno • v operačním systému všech stanic, které chtějí vzájemně komunikovat • v aktivních prvcích síťové infrastruktury (směrovačích) – alespoň musí rozumět adresám a znát cesty k cílům © 2005 Petr Grygárek, UIT

13

„Co je vlastně ten Internet ?“ • Propojení počítačů nejrůznějších architektur a použitých operačních systémů pomocí rozličných vzájemně propojených síťových technologií – heterogenní prostředí

• Lokální sítě (LAN) propojené pomocí směrovačů (router) vytvářejí rozlehlou síť (WAN) • Největší rozlehlá síť na světě je Internet © 2005 Petr Grygárek, UIT

14

Protokoly Internetu – TCP/IP • Internet Protocol (IP) – nespolehlivé předávání paketů mezi stanicemi

• User Datagram Protocol (UDP) – předávání paketů mezi aplikacemi na stanicích • umožňuje i vysílání pro skupinu stanic v Internetu a všechny stanice na LAN

• Transmission Control Protocol (TCP) – Spolehlivý přenos obousměrného proudu dat mezi aplikacemi na stanicích

Dnes všeobecně používány i v intranetech © 2005 Petr Grygárek, UIT

15

Topologie Internetu (obecné propojení LAN) LAN 5

LAN 4

LAN 1 LAN 3

LAN 2

Směrovač- specializovaný počítač předposílající pakety mezi propojenými sítěmi © 2005 Petr Grygárek, UIT

16

Internet = síť s přepínáním paketů

Výchozí brána (default gateway)

112.1.10.200

158.196.135.16 112.1.10.200

DATA

© 2005 Petr Grygárek, UIT

17

Činnost směrovačů (1) 112.1.10.200

158.196.135.16

© 2005 Petr Grygárek, UIT

18

Činnost směrovačů (2) ` 112.1.10.200

158.196.135.16

© 2005 Petr Grygárek, UIT

19

Činnost směrovačů (3)

112.1.10.200

158.196.135.16

© 2005 Petr Grygárek, UIT

20

Hledání nejkratší cesty k cíli Směrovací tabulka

112.1.10.200 112.1.10.x

158.196.x.x 112.1.10.x

158.196.135.16

11.x.x.x

11.x.x.x

11.100.100.20

• Statická konfigurace • Distribuované algoritmy pro automatické vyhledávání © 2005 Petr Grygárek, UIT

21

Potřebujeme v síti něco dalšího, než směrovače ? • Čistě technicky – ne • Pro pohodlí uživatelů a správců sítě – ano – také pro ochranu před záškodníky

Systémové síťové služby provozované na serverech (obvykle s OS Unix) v jednotlivých lokálních sítích © 2005 Petr Grygárek, UIT

22

Systémové síťové služby • Domain Name System (DNS servery) – Mapují doménová jména počítačů na jejich IP adresy

• Dynamic Host Configuration Protocol (DHCP servery) – dynamické přidělování parametrů síťového připojení klientům • (IP adresa, maska podsítě, výchozí brána)

• Lightweight Directory Access Protocol (LDAP servery) – Udržují databázi uživatelů oprávněných k přístupu do sítě • Hesla, povolené služby, …

• Remote Access Dial-in User Server (RADIUS servery) – Zprostředkovávají autentizaci uživatelů připojených přes WiFi (HotSpot) a na veřejné porty přepínačů (HotPlug) • Ověřují certifikáty u certifikační autority nebo hesla u LDAP

© 2005 Petr Grygárek, UIT

23

Servery síťových služeb DNS Jakou adresu má www.seznam.cz ?

www.seznam.cz

INTERNET RADIUS Přepínač

Přiděl mi adresu

Počítač P Uživatel U

Vpustit počítač P ? DHCP

LDAP Jaké heslo má uživatel U ?

INTRANET (TUONET) © 2005 Petr Grygárek, UIT

24

Bezpečnost sítí • Provozuschopnost sítě je dnes nutnou podmínkou základního chodu řady organizací • Strategický materiál organizací má elektronickou podobu, dostupný na intranetu organizace – která je připojena k Internetu

© 2005 Petr Grygárek, UIT

25

Autentizace a utajení dat • Autentizace = ověření, zda zdroj dat je opravdu tím, za koho se vydává – a že data cestou nikdo nepozměnil (integrita dat)

• Utajení = šifrování dat, aby jejich obsah nemohl přečíst nikdo jiný, než oprávněná osoba/stroj Kde se realizuje ? • Při přenosu zpráv mezi uživateli • Při přístupu do sítě © 2005 Petr Grygárek, UIT

26

Virtuální privátní síť (VPN) Telefonní síť tunely modem

ISP Šifrování

Potenciálně nebezpečný veřejný Internet

Počítač se softwarem VPN klient

VPN koncentrátor Firewall (filtrace) Dešifrování Zabezpečená síť (TUONET)

Šifrování Počítač se softwarem VPN klient © 2005 Petr Grygárek, UIT

27

Firewall Vnitřní síť organizace

INTERNET Firewall

iMac

uživatel iMac

WWW server

uživatel

iMac

hacker

iMac

hacker

• Chrání vnitřní síť před útoky zvenčí – propouští do vnitřní sítě jen bezpečný provoz

• Zabraňuje uživatelům organizace v nekalých aktivitách na Internetu – propouští do Internetu jen povolený provoz

• Filtruje na základě IP adres a služeb © 2005 Petr Grygárek, UIT

28

Kde se šifruje a dešifruje ? • Mezi koncovými uživateli – síť o tom nemusí nic vědět

• Na potenciálně nebezpečném úseku mezi uživatelem a „bezpečnou“ sítí – Rádiový kanál mezi klientem a přístupovým bodem sítě (WiFi) – Klient připojený někde k Internetu přistupující do bezpečného intranetu přes Internet • VPN tunel © 2005 Petr Grygárek, UIT

29

Je ještě co vymýšlet aneb aktuální problémy počítačových sítí • Garantovaná kvalita služby ve WAN – přenosová rychlost, zpoždění, rozptyl zpoždění – nutné s ohledem na prorůstání s telekomunikačními sítěmi („IP everywhere“ - výhodou škálovatelnost)

• Skupinové vysílání (multicasting) – telekonference, multimédia, …

• Mobilita uživatelů vč. serverů, směrování v mobilních ad-hoc sítích • Širokopásmové přístupové sítě – jak dostat vysokorychlostní Internet ke koncovým uživatelům s únosnými náklady

• Bezpečnos – Detekce útoků a rychlá reakce na ně, ochrana před útoky – Autentizace a šifrování přenosů mezi koncovými uživateli © 2005 Petr Grygárek, UIT

30

A jak je to u nás na VŠB-TU ?

© 2005 Petr Grygárek, UIT

31

TUONET a připojení do Internetu

CESNET

TUONET

INTERNET © 2005 Petr Grygárek, UIT

32

Jak se lze autentizovat ? • Uživatelské jméno a heslo – Uloženy pro všechny uživatele centrálně na LDAP serveru

• Certifikátem – Identifikace uživatele elektronicky podepsaná certifikační autoritou instituce – lze získat po identifikaci jménem a heslem (LDAP) na http://www.vsb.cz/CA • certifikát získaný online je jen pro přístup do sítě • spojový certifikát (platnost 1 rok)

– při odcizení hlásit správci certifikační autority pro doplnění do CRL © 2005 Petr Grygárek, UIT

33

Parametry síťového připojení • IP adresa a maska podsítě (subnet mask) – 158.196.x.x – maska podsítě slouží ke zjištění, zda je cíl na LAN nebo mimo ní

• IP adresa výchozí brány (default gateway) – adresa směrovače, kam posílat pakety pro stanice mimo lokální síť – zpravidla nejnižší adresa na podsíti

• IP adresa serveru DNS – pro mapování doménových jmen na IP adresy – 158.196.149.9 (dns1.vsb.cz), 158.196.162.8 (ekf-ns.vsb.cz)

• Implicitní doména – pro relativní jména DNS (např. www.cs [.vsb.cz]) – VSB.CZ

Oprávněná zařízení vše získají z DHCP Nepřidělujte manuálně – nebude vám fungovat !!! © 2005 Petr Grygárek, UIT

34

Pevná struktura – propojené přepínače Internet

• klientské porty: 10/100 Mbps, • servery 1Gbps • spoje: 100Mbps, 1Gbps

Směrovač (router)

Přepínače

Pevně připojené počítače

iMac

iMac

iMac

Zařízení studentů s certifikáty © 2005 Petr Grygárek, UIT

35

Připojení zařízení studentů do pevné struktury • Vhodné pro přenos větších objemů dat • Připojení jen do HotPlug portu přepínače (10/100Mbps) • Před vpuštěním do sítě bude požadována autentizace certifikátem – Je třeba mít instalován certifikát – Operační systém musí podporovat standard 802.1x

© 2005 Petr Grygárek, UIT

36

Bezdrátová struktura - napojení na pevný distribuční systém

– IEEE 802.11b: 2.5 GHz, max. 11 Mbps – IEEE 802.11g: 2.5 GHz, max. 54 Mbps – IEEE 802.11h: 5 GHz, max. 54 Mbps Reálně cca 1/2 teoretické přenosové rychlosti (!) © 2005 Petr Grygárek, UIT

37

Pokrytí areálu bezdrátovou sítí • počítačové učebny, studovna, veřejné prostory,... • označení „WiFi hotspot“ • postupné pokrývání dalších prostor • aktuální stav viz http://wifi.vsb.cz

© 2005 Petr Grygárek, UIT

38

Model pokrytí areálu VŠB-TU (jaro 2005)

© 2005 Petr Grygárek, UIT

39

Identifikátor rádiové sítě (SSID)

tuonet-eap

tuonet-vpn

iMac iMac

WiFi šifrováno (dynamický WEP) autentizace certifikátem (EAP TLS)

WiFi nešifrováno, VPN klient

© 2005 Petr Grygárek, UIT

40

Připojení zařízení studentů do bezdrátové struktury TUONETu • SSID=“TUONET-EAP” (preferováno) – Autentizace certifikátem (předaným přes EAP) – Pokud ovladač WiFi klienta podporuje EAP-TLS – Použit WEP s dynamickou výměnou klíčů (128-bitových)

• SSID=“TUONET-VPN” – Nemá-li operační systém podporu EAP-TLS – Je třeba mít instalován VPN klient • lze stáhnout z http://www.vsb.cz/vpn • žádná registrace není potřebná • autentizace na VPN koncentrátoru uživatelským jménem a heslem (LDAP) © 2005 Petr Grygárek, UIT

41

EduROAM • Podpora hostujících uživatelů ze spřátelených institucí • Uživatel není přímo součástí TUONETu – vhodné pro přístup na Internet

• SSID=„eduroam“ • Uživatelské jméno z LDAP • Zvláštní uživatelské heslo – nastavitelné přes http://uzivatel.vsb.cz © 2005 Petr Grygárek, UIT

42

Přístup z volného Internetu • Použití VPN – nutno mít instalován VPN klient • Informace a download klienta na http://www.vsb.cz/vpn

– Dostanete automaticky přidělenu IP adresu z rozsahu VŠB (158.196.x.x) – Stejná práva (i omezení) jako uživatelé připojení do TUONETu přímo

© 2005 Petr Grygárek, UIT

43

Modemová připojení • Dnes spíše okrajová záležitost – terminálový server disponuje cca 14 modemy

• Používají se zvlášť generovaná hesla – mimo LDAP

• Přiděluje Ing. Ivan Doležal (NA 311) • Viz http://www.vsb.cz/cvt/modemy

© 2005 Petr Grygárek, UIT

44

Připojení do TUONETu – shrnutí Připojení s VPN klientem z Internetu

Pevné připojení k přepínači (HotPlug port)

iMac

Internet

iMac

VPN koncentrátor 802.1x

Firewall (filtrace)

pevná struktura TUONET

Ba y Networks

WPA2/ TKIP

Terminal server

iM ac

tuonet-eap

tuonet-vpn

iM ac

iMac

Areál VŠB-TU Modemová připojení

iM ac

Telefonní sít

EduRoam WiFi šifrováno (dynamický WEP) autentizace certifikátem (EAP TLS)

WiFi nešifrováno, VPN klient

© 2005 Petr Grygárek, UIT

Připojení pomocí LDAP jména a EduRoam hesla

45

Přístup ke službám Internetu z TUONETu • Povolen jen vybraný provoz – – – – – –

WWW klienti odkudkoli SSH (+scp) odkudkoli Telnet a pasivní FTP jen z homel.vsb.cz FTP z WWW prohlížeče přes cache.vsb.cz:3128 Odchozí poštovní brána smtp.vsb.cz Možnost přeposílání dalšího provozu přes Socks5 server – Ping mezi TUONETem a Internetem jen ze služebních sítí

• Detaily viz http://www.vsb.cz/cvt/TUONET/i_podm.htm © 2005 Petr Grygárek, UIT

46

Přístup ke službám TUONETu z Internetu • Z veřejného Internetu přístup do TUONET velmi omezený – WWW na vybrané servery – Doručení pošty na vybrané servery – Čtení pošty (POP3S, IMAPS) na pop3.vsb.cz, resp. imap.vsb.cz – Pro ostatní použijte VPN klienta

• Přístup k Novell Serverům – přes VPN – IP Client od Novellu, ne vestavěný od Microsoftu © 2005 Petr Grygárek, UIT

47

Elektronická pošta

• Antivirový filtr

– dočasná archivace zavirovaných zpráv

• Antispamový filtr – Označování nebo odstraňování – Dočasně ukládány na serveru CVT

• Odesílání pošty – jen přes smtp.vsb.cz (jen z TUONETu), prochází antivirem – max 20 MB zpráva (ale ostatní často méně)

• Čtení pošty – WWW rozhraní (Horde): posta.vsb.cz (HTTPS) • i odesílání

– POP3S: pop3.vsb.cz – IMAPS: imap.vsb.cz El. pošta není šifrovaná ani autentizovaná služba ! © 2005 Petr Grygárek, UIT

48

Studium počítačových sítí na FEI

© 2005 Petr Grygárek, UIT

49

Proč studovat počítačové sítě ?

Postavte si vlastní TUONET ;-) ! (nebo alespoň síť doma, ve firmě, v domě nebo na vesnici, …)

© 2005 Petr Grygárek, UIT

50

Bakalářské studium: Počítačové sítě (3.ročník ZS) Co se naučíte ? • Orientovat se v technologiích pro LAN – Ethernet, WiFi • Orientovat se v protokolech TCP/IP – Sledovat provoz v počítačové síti síťovým analyzátorem a rozumět mu • Navrhovat a prakticky zkonstruovat vlastní síť s IP protokolem – Adresování (včetně překladu adres NAT), směrování • Prakticky pracovat se síťovými prvky (přepínače, směrovače) – Cisco, Linux • Spravovat některé síťové služby – DNS a DHCP servery • Rozumět protokolům základních síťových aplikací – WWW, elektronická pošta, ... – Užitečné pro ladění internetových aplikací • Navrhnout a konfigurovat základní bezpečnostní mechanismy – Filtrace paketů (ACL) • Programovat síťové aplikace (C,Java) • … a spoustu dalších věcí © 2005 Petr Grygárek, UIT

51

Magisterské studium - specializace • Přepínané a směrované sítě (LS) – – – – –

IP verze 4 detailně,IP verze 6 Směrovací protokoly - intranety i Internet, optimalizace směrování Kvalita služby v IP sítích Multicasting (skupinové vysílání) Přepínané sítě – pokročilé možnosti

• Technologie počítačových sítí (ZS) – – – – – – –

Ethernet detailně ISDN, Frame-Relay, ATM Vzdálená správa sítí Kombinace přepínání a směrování (MPLS) Virtuální privátní sítě Přístupové linky xDSL WiFi © 2005 Petr Grygárek, UIT

52

Cisco Networking Academy Program • Při FEI VŠB-TU Ostrava funguje Regionální akademie CNAP • http://rcna.vsb.cz

• Praktické kurzy počítačových sítí – v současné době mimo kreditní systém (za poplatek) – příprava k certifikátům Cisco Certified Network Associate a Cisco Certified Network Professional

• • • • •

CCNA (semestry 1-4) CCNP (semestry 5-8) Network Security 1 a 2 Fundamentals of Wireless Networks Virtuální laboratoř počítačových sítí – vzdálený přístup pro vlastní experimenty – http://www.cs.vsb.cz/vl-wiki © 2005 Petr Grygárek, UIT

53