© 2005 Petr Grygárek, UIT 1
Úvod do informačních technologií
Počítačové sítě
Petr Grygárek
katedra informatiky FEIRegional Cisco Networking Academy
© 2005 Petr Grygárek, UIT 2
Přenos dat mezi počítači
;
/home/gry72/soubor.txt0110101100001111001111...
Jak přenést?
© 2005 Petr Grygárek, UIT 3
Propojení počítačů(přenosové médium)
;
/home/gry72/soubor.txt0110101100001111001111...
metalické vedení
optické vedení
rádiový přenos
© 2005 Petr Grygárek, UIT 4
Zvolíme vhodnou fyzikální veličinu a měníme ji v čase podle přenášených dat– (mluvíme pak o signálu)
• Napětí
• Intenzita světelného toku
• Frekvence rádiové vlny
• …
Jak na médiu vyjádřit jedničky a nuly ?
U
t
© 2005 Petr Grygárek, UIT 5
Poruší médium přenášenou informaci ? ANO !
• Médium není ideální
• Zvnějšku na něj působí okolí (šum)
Médium
šum
© 2005 Petr Grygárek, UIT 6
Zabezpečení dat proti chybám• Skupiny přenášených bitů shlukneme do rámců
a na konec každého z nich připojíme „kontrolní součet“ vypočtený z přenášených dat (checksum) a pořadové číslo
• Na přijímači stejným způsobem vypočteme kontrolní součet a porovnáme s přeneseným
• V případě neshody kontrolního součtu nebo přeskočení pořadového čísla musíme chybu opravit
DATA Checksum DATA Checksum
Checksum = ?
© 2005 Petr Grygárek, UIT 7
Oprava chyb
• Zpětná vazba z přijímače na vysílač(potvrzování)
• Vysílač opakuje rámce, které se cestou k přijímači ztratily nebo došly s chybou
;
Rámec 1
Rámec 2
Rámec 2
Potvrzení 1
timeout
© 2005 Petr Grygárek, UIT 8
Propojení více počítačů: Počítačová síť (zatím lokální)
Problém: Kdo smí kdy na sdílené médium vysílat, aby vysílání nezkolidovala ?
Existují k tomu různé algoritmy – přístupové metody
;
© 2005 Petr Grygárek, UIT 9
Pevná lokální síť Propojení přepínačem (Ethernet)
;
© 2005 Petr Grygárek, UIT 10
Rádiová lokální síť (WiFi)Propojení přístupovým bodem
;
© 2005 Petr Grygárek, UIT 11
Komunikace mezi více počítačiv LAN
Musí se dohodnout
• Metoda sdílení přístupu na společné médium
• Formát vyměňovaných zpráv (rámců)• Adresace stanic
– adresa příjemce i odesílatele připojena k rámci(hlavička)
DATA ChecksumHlavička
Adresa
odesílatele
Adresa
příjemce
© 2005 Petr Grygárek, UIT 12
A co když to někdo v jiné LAN vymyslí jinak a my se s ním chceme propojit ?
Co všechno může být jiné ?• Médium, konektory• Kódování jedniček a nul signálem• Algoritmus sdílení média• Formát rámce a adres stanic• Mechanismus opravy chyb• …
Musíme vše vyhodit ?NE ! Logicky sjednotit a vzájemně propojit vhodným zařízením – směrovačem (router)
© 2005 Petr Grygárek, UIT 13
Logické sjednocení= komunikační protokol
• Dohoda globálně jednoznačné adresace stanic– a určení konkrétních aplikací (procesů, služeb) na stanicích
• Dohoda formátu předávaných zpráv – paketů– šíří se skok po skoku v (různých) rámcích jednotivých LAN
• Dohoda algoritmů opravy chyb• …
Musí být implementováno• v operačním systému všech stanic, které chtějí
vzájemně komunikovat• v aktivních prvcích síťové infrastruktury (směrovačích)
– alespoň musí rozumět adresám a znát cesty k cílům
© 2005 Petr Grygárek, UIT 14
„Co je vlastně ten Internet ?“
• Propojení počítačů nejrůznějších architektur a použitých operačních systémů pomocí rozličných vzájemně propojených síťových technologií – heterogenní prostředí
• Lokální sítě (LAN) propojené pomocí směrovačů (router) vytvářejí rozlehlou síť (WAN)
• Největší rozlehlá síť na světě je Internet
© 2005 Petr Grygárek, UIT 15
Protokoly Internetu – TCP/IP
• Internet Protocol (IP)– nespolehlivé předávání paketů mezi stanicemi
• User Datagram Protocol (UDP)– předávání paketů mezi aplikacemi na stanicích
• umožňuje i vysílání pro skupinu stanic v Internetu a všechny stanice na LAN
• Transmission Control Protocol (TCP)– Spolehlivý přenos obousměrného proudu dat mezi
aplikacemi na stanicích
Dnes všeobecně používány i v intranetech
© 2005 Petr Grygárek, UIT 16
Topologie Internetu(obecné propojení LAN)
LAN 1
LAN 2
LAN 3
LAN 4LAN 5
Směrovač- specializovaný počítač předposílající pakety mezi propojenými sítěmi
© 2005 Petr Grygárek, UIT 17
Internet = síť s přepínáním paketů
Výchozí brána(default gateway)
112.1.10.200 DATA
158.196.135.16
112.1.10.200
© 2005 Petr Grygárek, UIT 18
Činnost směrovačů (1)
158.196.135.16
112.1.10.200
© 2005 Petr Grygárek, UIT 19
Činnost směrovačů (2)
`
158.196.135.16
112.1.10.200
© 2005 Petr Grygárek, UIT 20
Činnost směrovačů (3)
112.1.10.200
158.196.135.16
© 2005 Petr Grygárek, UIT 21
Hledání nejkratší cesty k cíli
• Statická konfigurace• Distribuované algoritmy pro automatické
vyhledávání
158.196.135.16
112.1.10.200
112.1.10.x
11.100.100.20
158.196.x.x
11.x.x.x
11.x.x.x
112.1.10.x
Směrovacítabulka
© 2005 Petr Grygárek, UIT 22
Potřebujeme v síti něco dalšího, než směrovače ?
• Čistě technicky – ne
• Pro pohodlí uživatelů a správců sítě – ano– také pro ochranu před záškodníky
Systémové síťové služby provozované na serverech (obvykle s OS Unix) v jednotlivých lokálních sítích
© 2005 Petr Grygárek, UIT 23
Systémové síťové služby
• Domain Name System (DNS servery)– Mapují doménová jména počítačů na jejich IP adresy
• Dynamic Host Configuration Protocol (DHCP servery)– dynamické přidělování parametrů síťového připojení klientům
• (IP adresa, maska podsítě, výchozí brána)
• Lightweight Directory Access Protocol (LDAP servery)– Udržují databázi uživatelů oprávněných k přístupu do sítě
• Hesla, povolené služby, …
• Remote Access Dial-in User Server (RADIUS servery)– Zprostředkovávají autentizaci uživatelů připojených přes WiFi
(HotSpot) a na veřejné porty přepínačů (HotPlug)• Ověřují certifikáty u certifikační autority nebo hesla u LDAP
© 2005 Petr Grygárek, UIT 24
Servery síťových služeb
DNS
RADIUS
DHCP
Přepínač
INTRANET(TUONET)
INTERNET
Přiděl miadresu
Počítač PUživatel U
Vpustitpočítač P ?
LDAP
Jaké heslomá uživatel U ?
www.seznam.czJakou adresu máwww.seznam.cz ?
© 2005 Petr Grygárek, UIT 25
Bezpečnost sítí
• Provozuschopnost sítě je dnes nutnou podmínkou základního chodu řady organizací
• Strategický materiál organizací má elektronickou podobu, dostupný na intranetu organizace– která je připojena k Internetu
© 2005 Petr Grygárek, UIT 26
Autentizace a utajení dat
• Autentizace = ověření, zda zdroj dat je opravdu tím, za koho se vydává– a že data cestou nikdo nepozměnil (integrita dat)
• Utajení = šifrování dat, aby jejich obsah nemohl přečíst nikdo jiný, než oprávněná osoba/stroj
Kde se realizuje ?• Při přenosu zpráv mezi uživateli
• Při přístupu do sítě
© 2005 Petr Grygárek, UIT 27
Virtuální privátní síť (VPN)
Počítač sesoftwaremVPN klient
Zabezpečená síť(TUONET)
Potenciálněnebezpečný
veřejný Internet Firewall(filtrace)
VPNkoncentrátor
Telefonní síť
modem
Počítač sesoftwaremVPN klient
ISP
Šifrování
Šifrování
Dešifrování
tunely
© 2005 Petr Grygárek, UIT 28
Firewall
• Chrání vnitřní síť před útoky zvenčí– propouští do vnitřní sítě jen bezpečný provoz
• Zabraňuje uživatelům organizace v nekalých aktivitách na Internetu– propouští do Internetu jen povolený provoz
• Filtruje na základě IP adres a služeb
INTERNET
Firewall
Vnitřní síťorganizace
iMac
iMac
WWW serveriMacuživatel
hacker
uživatel
iMac
hacker
© 2005 Petr Grygárek, UIT 29
Kde se šifruje a dešifruje ?
• Mezi koncovými uživateli– síť o tom nemusí nic vědět
• Na potenciálně nebezpečném úseku mezi uživatelem a „bezpečnou“ sítí– Rádiový kanál mezi klientem a přístupovým
bodem sítě (WiFi)– Klient připojený někde k Internetu přistupující
do bezpečného intranetu přes Internet • VPN tunel
© 2005 Petr Grygárek, UIT 30
Je ještě co vymýšlet aneb aktuální problémy počítačových sítí
• Garantovaná kvalita služby ve WAN– přenosová rychlost, zpoždění, rozptyl zpoždění– nutné s ohledem na prorůstání s telekomunikačními sítěmi
(„IP everywhere“ - výhodou škálovatelnost)• Skupinové vysílání (multicasting)
– telekonference, multimédia, …• Mobilita uživatelů vč. serverů, směrování v mobilních
ad-hoc sítích• Širokopásmové přístupové sítě
– jak dostat vysokorychlostní Internet ke koncovým uživatelům s únosnými náklady
• Bezpečnos– Detekce útoků a rychlá reakce na ně, ochrana před útoky– Autentizace a šifrování přenosů mezi koncovými uživateli
© 2005 Petr Grygárek, UIT 31
A jak je to u nás na VŠB-TU ?
© 2005 Petr Grygárek, UIT 32
TUONET a připojení do Internetu
INTERNET
CESNET
TUONET
© 2005 Petr Grygárek, UIT 33
Jak se lze autentizovat ?
• Uživatelské jméno a heslo– Uloženy pro všechny uživatele centrálně na LDAP
serveru• Certifikátem
– Identifikace uživatele elektronicky podepsaná certifikační autoritou instituce
– lze získat po identifikaci jménem a heslem (LDAP) na http://www.vsb.cz/CA
• certifikát získaný online je jen pro přístup do sítě• spojový certifikát (platnost 1 rok)
– při odcizení hlásit správci certifikační autority pro doplnění do CRL
© 2005 Petr Grygárek, UIT 34
Parametry síťového připojení• IP adresa a maska podsítě (subnet mask)
– 158.196.x.x– maska podsítě slouží ke zjištění, zda je cíl na LAN nebo mimo ní
• IP adresa výchozí brány (default gateway)– adresa směrovače, kam posílat pakety pro stanice mimo lokální
síť– zpravidla nejnižší adresa na podsíti
• IP adresa serveru DNS– pro mapování doménových jmen na IP adresy– 158.196.149.9 (dns1.vsb.cz), 158.196.162.8 (ekf-ns.vsb.cz)
• Implicitní doména– pro relativní jména DNS (např. www.cs [.vsb.cz])– VSB.CZ
Oprávněná zařízení vše získají z DHCPNepřidělujte manuálně – nebude vám fungovat !!!
© 2005 Petr Grygárek, UIT 35
Pevná struktura – propojené přepínače
iMac
iMac
iMac
Internet
Směrovač(router)
Přepínače
Pevně připojenépočítače
Zařízení studentůs certifikáty
• klientské porty: 10/100 Mbps,• servery 1Gbps• spoje: 100Mbps, 1Gbps
© 2005 Petr Grygárek, UIT 36
Připojení zařízení studentů do pevné struktury
• Vhodné pro přenos větších objemů dat• Připojení jen do HotPlug portu přepínače
(10/100Mbps)• Před vpuštěním do sítě bude požadována
autentizace certifikátem– Je třeba mít instalován certifikát– Operační systém musí podporovat standard 802.1x
© 2005 Petr Grygárek, UIT 37
Bezdrátová struktura- napojení na pevný distribuční
systém
– IEEE 802.11b: 2.5 GHz, max. 11 Mbps
– IEEE 802.11g: 2.5 GHz, max. 54 Mbps
– IEEE 802.11h: 5 GHz, max. 54 Mbps
Reálně cca 1/2 teoretické přenosové rychlosti (!)
© 2005 Petr Grygárek, UIT 38
Pokrytí areálu bezdrátovou sítí
• počítačové učebny, studovna, veřejné prostory,...
• označení „WiFi hotspot“• postupné pokrývání dalších prostor
• aktuální stav viz http://wifi.vsb.cz
© 2005 Petr Grygárek, UIT 39
Model pokrytí areálu VŠB-TU (jaro 2005)
© 2005 Petr Grygárek, UIT 40
Identifikátor rádiové sítě (SSID)
tuonet-eap
WiFi šifrováno(dynamický WEP)
autentizace certifikátem(EAP TLS)
tuonet-vpn
WiFinešifrováno,VPN klient
iMac
iMac
© 2005 Petr Grygárek, UIT 41
Připojení zařízení studentů do bezdrátové struktury TUONETu
• SSID=“TUONET-EAP” (preferováno)– Autentizace certifikátem (předaným přes EAP)– Pokud ovladač WiFi klienta podporuje EAP-TLS– Použit WEP s dynamickou výměnou klíčů
(128-bitových)
• SSID=“TUONET-VPN”– Nemá-li operační systém podporu EAP-TLS– Je třeba mít instalován VPN klient
• lze stáhnout z http://www.vsb.cz/vpn• žádná registrace není potřebná• autentizace na VPN koncentrátoru uživatelským jménem a
heslem (LDAP)
© 2005 Petr Grygárek, UIT 42
EduROAM
• Podpora hostujících uživatelů ze spřátelených institucí
• Uživatel není přímo součástí TUONETu– vhodné pro přístup na Internet
• SSID=„eduroam“
• Uživatelské jméno z LDAP
• Zvláštní uživatelské heslo– nastavitelné přes http://uzivatel.vsb.cz
© 2005 Petr Grygárek, UIT 43
Přístup z volného Internetu
• Použití VPN– nutno mít instalován VPN klient
• Informace a download klienta na http://www.vsb.cz/vpn
– Dostanete automaticky přidělenu IP adresu z rozsahu VŠB (158.196.x.x)
– Stejná práva (i omezení) jako uživatelé připojení do TUONETu přímo
© 2005 Petr Grygárek, UIT 44
Modemová připojení
• Dnes spíše okrajová záležitost– terminálový server disponuje cca 14 modemy
• Používají se zvlášť generovaná hesla– mimo LDAP
• Přiděluje Ing. Ivan Doležal (NA 311)
• Viz http://www.vsb.cz/cvt/modemy
© 2005 Petr Grygárek, UIT 45
Připojení do TUONETu – shrnutí
pevná strukturaTUONET
802.1x
Internet
VPNkoncentrátor
Telefonní sít
Firewall(filtrace)
iMac
iMac
Modemovápřipojení
Připojení s VPN klientem z Internetu
EduRoam
Připojení pomocí LDAP jména a EduRoam hesla
tuonet-eap
WiFi šifrováno (dynamický WEP)
autentizace certifikátem(EAP TLS)
tuonet-vpn
iMac
WiFi nešifrováno,VPN klient
Pevné připojeník přepínači
(HotPlug port)
iMac
iMac
Bay Networks
Areál VŠB-TU
Terminalserver
iMac
WPA2/TKIP
© 2005 Petr Grygárek, UIT 46
Přístup ke službám Internetu z TUONETu
• Povolen jen vybraný provoz– WWW klienti odkudkoli– SSH (+scp) odkudkoli – Telnet a pasivní FTP jen z homel.vsb.cz– FTP z WWW prohlížeče přes cache.vsb.cz:3128– Odchozí poštovní brána smtp.vsb.cz– Možnost přeposílání dalšího provozu přes Socks5
server – Ping mezi TUONETem a Internetem jen
ze služebních sítí• Detaily viz
http://www.vsb.cz/cvt/TUONET/i_podm.htm
© 2005 Petr Grygárek, UIT 47
Přístup ke službám TUONETu z Internetu
• Z veřejného Internetu přístup do TUONET velmi omezený– WWW na vybrané servery– Doručení pošty na vybrané servery– Čtení pošty (POP3S, IMAPS) na pop3.vsb.cz,
resp. imap.vsb.cz– Pro ostatní použijte VPN klienta
• Přístup k Novell Serverům– přes VPN – IP Client od Novellu, ne vestavěný od Microsoftu
© 2005 Petr Grygárek, UIT 48
Elektronická pošta• Antivirový filtr
– dočasná archivace zavirovaných zpráv• Antispamový filtr
– Označování nebo odstraňování– Dočasně ukládány na serveru CVT
• Odesílání pošty – jen přes smtp.vsb.cz (jen z TUONETu), prochází antivirem– max 20 MB zpráva (ale ostatní často méně)
• Čtení pošty– WWW rozhraní (Horde): posta.vsb.cz (HTTPS)
• i odesílání– POP3S: pop3.vsb.cz– IMAPS: imap.vsb.cz
El. pošta není šifrovaná ani autentizovaná služba !
© 2005 Petr Grygárek, UIT 49
Studium počítačových sítí na FEI
© 2005 Petr Grygárek, UIT 50
Proč studovat počítačové sítě ?
Postavte si vlastní TUONET ;-) !
(nebo alespoň síť doma, ve firmě, v domě nebo na vesnici, …)
© 2005 Petr Grygárek, UIT 51
Bakalářské studium:Počítačové sítě (3.ročník ZS)
Co se naučíte ?• Orientovat se v technologiích pro LAN
– Ethernet, WiFi• Orientovat se v protokolech TCP/IP
– Sledovat provoz v počítačové síti síťovým analyzátorem a rozumět mu• Navrhovat a prakticky zkonstruovat vlastní síť s IP protokolem
– Adresování (včetně překladu adres NAT), směrování• Prakticky pracovat se síťovými prvky (přepínače, směrovače)
– Cisco, Linux• Spravovat některé síťové služby
– DNS a DHCP servery• Rozumět protokolům základních síťových aplikací
– WWW, elektronická pošta, ...– Užitečné pro ladění internetových aplikací
• Navrhnout a konfigurovat základní bezpečnostní mechanismy– Filtrace paketů (ACL)
• Programovat síťové aplikace (C,Java)• … a spoustu dalších věcí
© 2005 Petr Grygárek, UIT 52
Magisterské studium - specializace• Přepínané a směrované sítě (LS)
– IP verze 4 detailně,IP verze 6– Směrovací protokoly - intranety i Internet, optimalizace směrování– Kvalita služby v IP sítích– Multicasting (skupinové vysílání)– Přepínané sítě – pokročilé možnosti
• Technologie počítačových sítí (ZS)– Ethernet detailně– ISDN, Frame-Relay, ATM– Vzdálená správa sítí– Kombinace přepínání a směrování (MPLS)– Virtuální privátní sítě– Přístupové linky xDSL– WiFi
© 2005 Petr Grygárek, UIT 53
Cisco Networking Academy Program• Při FEI VŠB-TU Ostrava funguje Regionální akademie
CNAP • http://rcna.vsb.cz
• Praktické kurzy počítačových sítí– v současné době mimo kreditní systém (za poplatek)– příprava k certifikátům Cisco Certified Network Associate a Cisco
Certified Network Professional• CCNA (semestry 1-4)• CCNP (semestry 5-8)• Network Security 1 a 2• Fundamentals of Wireless Networks• Virtuální laboratoř počítačových sítí
– vzdálený přístup pro vlastní experimenty– http://www.cs.vsb.cz/vl-wiki