Cisco Presentation Guide - vsb.czwiki.cs.vsb.cz/images/4/4d/UIT-site-0708Z.pdf · © 2005 Petr...

transcript

Úvod do informačních technologií

Počítačové sítě

Petr Grygárek

katedra informatiky FEIRegional Cisco Networking Academy

Přenos dat mezi počítači

/home/gry72/soubor.txt0110101100001111001111...

Jak přenést?

Propojení počítačů(přenosové médium)

/home/gry72/soubor.txt0110101100001111001111...

metalické vedení

optické vedení

rádiový přenos

Zvolíme vhodnou fyzikální veličinu a měníme ji v čase podle přenášených dat– (mluvíme pak o signálu)

• Napětí

• Intenzita světelného toku

• Frekvence rádiové vlny

• …

Jak na médiu vyjádřit jedničky a nuly ?

Poruší médium přenášenou informaci ? ANO !

• Médium není ideální

• Zvnějšku na něj působí okolí (šum)

Médium

Zabezpečení dat proti chybám• Skupiny přenášených bitů shlukneme do rámců

a na konec každého z nich připojíme „kontrolní součet“ vypočtený z přenášených dat (checksum) a pořadové číslo

• Na přijímači stejným způsobem vypočteme kontrolní součet a porovnáme s přeneseným

• V případě neshody kontrolního součtu nebo přeskočení pořadového čísla musíme chybu opravit

DATA Checksum DATA Checksum

Checksum = ?

Oprava chyb

• Zpětná vazba z přijímače na vysílač(potvrzování)

• Vysílač opakuje rámce, které se cestou k přijímači ztratily nebo došly s chybou

Rámec 1

Rámec 2

Potvrzení 1

timeout

Propojení více počítačů: Počítačová síť (zatím lokální)

Problém: Kdo smí kdy na sdílené médium vysílat, aby vysílání nezkolidovala ?

Existují k tomu různé algoritmy – přístupové metody

Pevná lokální síť Propojení přepínačem (Ethernet)

Rádiová lokální síť (WiFi)Propojení přístupovým bodem

Komunikace mezi více počítačiv LAN

Musí se dohodnout

• Metoda sdílení přístupu na společné médium

• Formát vyměňovaných zpráv (rámců)• Adresace stanic

– adresa příjemce i odesílatele připojena k rámci(hlavička)

DATA ChecksumHlavička

Adresa

odesílatele

Adresa

příjemce

A co když to někdo v jiné LAN vymyslí jinak a my se s ním chceme propojit ?

Co všechno může být jiné ?• Médium, konektory• Kódování jedniček a nul signálem• Algoritmus sdílení média• Formát rámce a adres stanic• Mechanismus opravy chyb• …

Musíme vše vyhodit ?NE ! Logicky sjednotit a vzájemně propojit vhodným zařízením – směrovačem (router)

Logické sjednocení= komunikační protokol

• Dohoda globálně jednoznačné adresace stanic– a určení konkrétních aplikací (procesů, služeb) na stanicích

• Dohoda formátu předávaných zpráv – paketů– šíří se skok po skoku v (různých) rámcích jednotivých LAN

• Dohoda algoritmů opravy chyb• …

Musí být implementováno• v operačním systému všech stanic, které chtějí

vzájemně komunikovat• v aktivních prvcích síťové infrastruktury (směrovačích)

– alespoň musí rozumět adresám a znát cesty k cílům

„Co je vlastně ten Internet ?“

• Propojení počítačů nejrůznějších architektur a použitých operačních systémů pomocí rozličných vzájemně propojených síťových technologií – heterogenní prostředí

• Lokální sítě (LAN) propojené pomocí směrovačů (router) vytvářejí rozlehlou síť (WAN)

• Největší rozlehlá síť na světě je Internet

Protokoly Internetu – TCP/IP

• Internet Protocol (IP)– nespolehlivé předávání paketů mezi stanicemi

• User Datagram Protocol (UDP)– předávání paketů mezi aplikacemi na stanicích

• umožňuje i vysílání pro skupinu stanic v Internetu a všechny stanice na LAN

• Transmission Control Protocol (TCP)– Spolehlivý přenos obousměrného proudu dat mezi

aplikacemi na stanicích

Dnes všeobecně používány i v intranetech

Topologie Internetu(obecné propojení LAN)

LAN 4LAN 5

Směrovač- specializovaný počítač předposílající pakety mezi propojenými sítěmi

Internet = síť s přepínáním paketů

Výchozí brána(default gateway)

112.1.10.200 DATA

158.196.135.16

112.1.10.200

Činnost směrovačů (1)

158.196.135.16

112.1.10.200

158.196.135.16

112.1.10.200

158.196.135.16

Hledání nejkratší cesty k cíli

• Statická konfigurace• Distribuované algoritmy pro automatické

vyhledávání

158.196.135.16

112.1.10.200

112.1.10.x

11.100.100.20

158.196.x.x

11.x.x.x

112.1.10.x

Směrovacítabulka

Potřebujeme v síti něco dalšího, než směrovače ?

• Čistě technicky – ne

• Pro pohodlí uživatelů a správců sítě – ano– také pro ochranu před záškodníky

Systémové síťové služby provozované na serverech (obvykle s OS Unix) v jednotlivých lokálních sítích

Systémové síťové služby

• Domain Name System (DNS servery)– Mapují doménová jména počítačů na jejich IP adresy

• Dynamic Host Configuration Protocol (DHCP servery)– dynamické přidělování parametrů síťového připojení klientům

• (IP adresa, maska podsítě, výchozí brána)

• Lightweight Directory Access Protocol (LDAP servery)– Udržují databázi uživatelů oprávněných k přístupu do sítě

• Hesla, povolené služby, …

• Remote Access Dial-in User Server (RADIUS servery)– Zprostředkovávají autentizaci uživatelů připojených přes WiFi

(HotSpot) a na veřejné porty přepínačů (HotPlug)• Ověřují certifikáty u certifikační autority nebo hesla u LDAP

Servery síťových služeb

RADIUS

Přepínač

INTRANET(TUONET)

INTERNET

Přiděl miadresu

Počítač PUživatel U

Vpustitpočítač P ?

Jaké heslomá uživatel U ?

www.seznam.czJakou adresu máwww.seznam.cz ?

Bezpečnost sítí

• Provozuschopnost sítě je dnes nutnou podmínkou základního chodu řady organizací

• Strategický materiál organizací má elektronickou podobu, dostupný na intranetu organizace– která je připojena k Internetu

Autentizace a utajení dat

• Autentizace = ověření, zda zdroj dat je opravdu tím, za koho se vydává– a že data cestou nikdo nepozměnil (integrita dat)

• Utajení = šifrování dat, aby jejich obsah nemohl přečíst nikdo jiný, než oprávněná osoba/stroj

Kde se realizuje ?• Při přenosu zpráv mezi uživateli

• Při přístupu do sítě

Virtuální privátní síť (VPN)

Počítač sesoftwaremVPN klient

Zabezpečená síť(TUONET)

Potenciálněnebezpečný

veřejný Internet Firewall(filtrace)

VPNkoncentrátor

Telefonní síť

Počítač sesoftwaremVPN klient

Šifrování

Dešifrování

tunely

Firewall

• Chrání vnitřní síť před útoky zvenčí– propouští do vnitřní sítě jen bezpečný provoz

• Zabraňuje uživatelům organizace v nekalých aktivitách na Internetu– propouští do Internetu jen povolený provoz

• Filtruje na základě IP adres a služeb

INTERNET

Firewall

Vnitřní síťorganizace

WWW serveriMacuživatel

hacker

uživatel

hacker

Kde se šifruje a dešifruje ?

• Mezi koncovými uživateli– síť o tom nemusí nic vědět

• Na potenciálně nebezpečném úseku mezi uživatelem a „bezpečnou“ sítí– Rádiový kanál mezi klientem a přístupovým

bodem sítě (WiFi)– Klient připojený někde k Internetu přistupující

do bezpečného intranetu přes Internet • VPN tunel

Je ještě co vymýšlet aneb aktuální problémy počítačových sítí

• Garantovaná kvalita služby ve WAN– přenosová rychlost, zpoždění, rozptyl zpoždění– nutné s ohledem na prorůstání s telekomunikačními sítěmi

(„IP everywhere“ - výhodou škálovatelnost)• Skupinové vysílání (multicasting)

– telekonference, multimédia, …• Mobilita uživatelů vč. serverů, směrování v mobilních

ad-hoc sítích• Širokopásmové přístupové sítě

– jak dostat vysokorychlostní Internet ke koncovým uživatelům s únosnými náklady

• Bezpečnos– Detekce útoků a rychlá reakce na ně, ochrana před útoky– Autentizace a šifrování přenosů mezi koncovými uživateli

A jak je to u nás na VŠB-TU ?

TUONET a připojení do Internetu

INTERNET

CESNET

TUONET

Jak se lze autentizovat ?

• Uživatelské jméno a heslo– Uloženy pro všechny uživatele centrálně na LDAP

serveru• Certifikátem

– Identifikace uživatele elektronicky podepsaná certifikační autoritou instituce

– lze získat po identifikaci jménem a heslem (LDAP) na http://www.vsb.cz/CA

• certifikát získaný online je jen pro přístup do sítě• spojový certifikát (platnost 1 rok)

– při odcizení hlásit správci certifikační autority pro doplnění do CRL

Parametry síťového připojení• IP adresa a maska podsítě (subnet mask)

– 158.196.x.x– maska podsítě slouží ke zjištění, zda je cíl na LAN nebo mimo ní

• IP adresa výchozí brány (default gateway)– adresa směrovače, kam posílat pakety pro stanice mimo lokální

síť– zpravidla nejnižší adresa na podsíti

• IP adresa serveru DNS– pro mapování doménových jmen na IP adresy– 158.196.149.9 (dns1.vsb.cz), 158.196.162.8 (ekf-ns.vsb.cz)

• Implicitní doména– pro relativní jména DNS (např. www.cs [.vsb.cz])– VSB.CZ

Oprávněná zařízení vše získají z DHCPNepřidělujte manuálně – nebude vám fungovat !!!

Pevná struktura – propojené přepínače

Internet

Směrovač(router)

Přepínače

Pevně připojenépočítače

Zařízení studentůs certifikáty

• klientské porty: 10/100 Mbps,• servery 1Gbps• spoje: 100Mbps, 1Gbps

Připojení zařízení studentů do pevné struktury

• Vhodné pro přenos větších objemů dat• Připojení jen do HotPlug portu přepínače

(10/100Mbps)• Před vpuštěním do sítě bude požadována

autentizace certifikátem– Je třeba mít instalován certifikát– Operační systém musí podporovat standard 802.1x

Bezdrátová struktura- napojení na pevný distribuční

systém

– IEEE 802.11b: 2.5 GHz, max. 11 Mbps

– IEEE 802.11g: 2.5 GHz, max. 54 Mbps

– IEEE 802.11h: 5 GHz, max. 54 Mbps

Reálně cca 1/2 teoretické přenosové rychlosti (!)

Pokrytí areálu bezdrátovou sítí

• počítačové učebny, studovna, veřejné prostory,...

• označení „WiFi hotspot“• postupné pokrývání dalších prostor

• aktuální stav viz http://wifi.vsb.cz

Model pokrytí areálu VŠB-TU (jaro 2005)

Identifikátor rádiové sítě (SSID)

tuonet-eap

WiFi šifrováno(dynamický WEP)

autentizace certifikátem(EAP TLS)

tuonet-vpn

WiFinešifrováno,VPN klient

Připojení zařízení studentů do bezdrátové struktury TUONETu

• SSID=“TUONET-EAP” (preferováno)– Autentizace certifikátem (předaným přes EAP)– Pokud ovladač WiFi klienta podporuje EAP-TLS– Použit WEP s dynamickou výměnou klíčů

(128-bitových)

• SSID=“TUONET-VPN”– Nemá-li operační systém podporu EAP-TLS– Je třeba mít instalován VPN klient

• lze stáhnout z http://www.vsb.cz/vpn• žádná registrace není potřebná• autentizace na VPN koncentrátoru uživatelským jménem a

heslem (LDAP)

EduROAM

• Podpora hostujících uživatelů ze spřátelených institucí

• Uživatel není přímo součástí TUONETu– vhodné pro přístup na Internet

• SSID=„eduroam“

• Uživatelské jméno z LDAP

• Zvláštní uživatelské heslo– nastavitelné přes http://uzivatel.vsb.cz

Přístup z volného Internetu

• Použití VPN– nutno mít instalován VPN klient

• Informace a download klienta na http://www.vsb.cz/vpn

– Dostanete automaticky přidělenu IP adresu z rozsahu VŠB (158.196.x.x)

– Stejná práva (i omezení) jako uživatelé připojení do TUONETu přímo

Modemová připojení

• Dnes spíše okrajová záležitost– terminálový server disponuje cca 14 modemy

• Používají se zvlášť generovaná hesla– mimo LDAP

• Přiděluje Ing. Ivan Doležal (NA 311)

• Viz http://www.vsb.cz/cvt/modemy

Připojení do TUONETu – shrnutí

pevná strukturaTUONET

802.1x

Internet

VPNkoncentrátor

Telefonní sít

Firewall(filtrace)

Modemovápřipojení

Připojení s VPN klientem z Internetu

EduRoam

Připojení pomocí LDAP jména a EduRoam hesla

tuonet-eap

WiFi šifrováno (dynamický WEP)

autentizace certifikátem(EAP TLS)

tuonet-vpn

WiFi nešifrováno,VPN klient

Pevné připojeník přepínači

(HotPlug port)

Bay Networks

Areál VŠB-TU

Terminalserver

WPA2/TKIP

Přístup ke službám Internetu z TUONETu

• Povolen jen vybraný provoz– WWW klienti odkudkoli– SSH (+scp) odkudkoli – Telnet a pasivní FTP jen z homel.vsb.cz– FTP z WWW prohlížeče přes cache.vsb.cz:3128– Odchozí poštovní brána smtp.vsb.cz– Možnost přeposílání dalšího provozu přes Socks5

server – Ping mezi TUONETem a Internetem jen

ze služebních sítí• Detaily viz

http://www.vsb.cz/cvt/TUONET/i_podm.htm

Přístup ke službám TUONETu z Internetu

• Z veřejného Internetu přístup do TUONET velmi omezený– WWW na vybrané servery– Doručení pošty na vybrané servery– Čtení pošty (POP3S, IMAPS) na pop3.vsb.cz,

resp. imap.vsb.cz– Pro ostatní použijte VPN klienta

• Přístup k Novell Serverům– přes VPN – IP Client od Novellu, ne vestavěný od Microsoftu

Elektronická pošta• Antivirový filtr

– dočasná archivace zavirovaných zpráv• Antispamový filtr

– Označování nebo odstraňování– Dočasně ukládány na serveru CVT

• Odesílání pošty – jen přes smtp.vsb.cz (jen z TUONETu), prochází antivirem– max 20 MB zpráva (ale ostatní často méně)

• Čtení pošty– WWW rozhraní (Horde): posta.vsb.cz (HTTPS)

• i odesílání– POP3S: pop3.vsb.cz– IMAPS: imap.vsb.cz

El. pošta není šifrovaná ani autentizovaná služba !

Studium počítačových sítí na FEI

Proč studovat počítačové sítě ?

Postavte si vlastní TUONET ;-) !

(nebo alespoň síť doma, ve firmě, v domě nebo na vesnici, …)

Bakalářské studium:Počítačové sítě (3.ročník ZS)

Co se naučíte ?• Orientovat se v technologiích pro LAN

– Ethernet, WiFi• Orientovat se v protokolech TCP/IP

– Sledovat provoz v počítačové síti síťovým analyzátorem a rozumět mu• Navrhovat a prakticky zkonstruovat vlastní síť s IP protokolem

– Adresování (včetně překladu adres NAT), směrování• Prakticky pracovat se síťovými prvky (přepínače, směrovače)

– Cisco, Linux• Spravovat některé síťové služby

– DNS a DHCP servery• Rozumět protokolům základních síťových aplikací

– WWW, elektronická pošta, ...– Užitečné pro ladění internetových aplikací

• Navrhnout a konfigurovat základní bezpečnostní mechanismy– Filtrace paketů (ACL)

• Programovat síťové aplikace (C,Java)• … a spoustu dalších věcí

Magisterské studium - specializace• Přepínané a směrované sítě (LS)

– IP verze 4 detailně,IP verze 6– Směrovací protokoly - intranety i Internet, optimalizace směrování– Kvalita služby v IP sítích– Multicasting (skupinové vysílání)– Přepínané sítě – pokročilé možnosti

• Technologie počítačových sítí (ZS)– Ethernet detailně– ISDN, Frame-Relay, ATM– Vzdálená správa sítí– Kombinace přepínání a směrování (MPLS)– Virtuální privátní sítě– Přístupové linky xDSL– WiFi

Cisco Networking Academy Program• Při FEI VŠB-TU Ostrava funguje Regionální akademie

CNAP • http://rcna.vsb.cz

• Praktické kurzy počítačových sítí– v současné době mimo kreditní systém (za poplatek)– příprava k certifikátům Cisco Certified Network Associate a Cisco

Certified Network Professional• CCNA (semestry 1-4)• CCNP (semestry 5-8)• Network Security 1 a 2• Fundamentals of Wireless Networks• Virtuální laboratoř počítačových sítí

– vzdálený přístup pro vlastní experimenty– http://www.cs.vsb.cz/vl-wiki

Cisco Presentation Guide - vsb.czwiki.cs.vsb.cz/images/4/4d/UIT-site-0708Z.pdf · © 2005 Petr...

Documents