sieť na fakulte informatiky - fi.muni.cz
TRANSCRIPT
Sieť na Fakulte informatikyPV005 Služby počítačových sítí
Roman Lacko13. 1. 2021
Fakulta informatikyMasarykova [email protected]
1
Cieľ prednášky
opakovanie základných sieťových konceptov a protokolovich aplikácia na Fakulte informatiky MUprehľad súvisiacich služieb
2
Obsah
Úvod
Sieťová infraštruktúra FI
Služby
Bezdrôtová sieť
3
Úvod
Prehľad siete MU
Masarykova univerzita
adresný rozsah IPv4: 147.251.0.0/16' 232−16 = 65.536 adries
adresný rozsah IPv6: 2001:718:801::/48' 2128−48 = 1.208.925.819.614.629.174.706.176 adries
menšie rozsahy pre niektoré centrá (napr. CERIT Science Park)
spravuje ÚVT
4
Podsiete, VLAN
Podsiete
rozdelenie rozsahu adries na menšie častiL3 OSI
Príklad: rozdelenie rozsahu na 4 podsiete
147.251.0.0/16
(1) 147.251.0.0/18 (147.251.0.0 - 147.251.63.255)(byte C: 00000000 - 00111111)
(2) 147.251.64.0/18 (147.251.64.0 - 147.251.127.255)(byte C: 01000000 - 01111111)
...
5
Podsiete, VLAN
Virtual LAN (802.1q)
logické rozdelenie sietejedna fyzická LAN môže obsahovať viac VLANmodifikácia rámcov na vrstve L2 OSItagged a untagged port
robustnejší návrh sietevyššia bezpečnosťpotrebný router na komunikáciu medzi VLAN
6
Podsiete, VLAN
7
Podsiete, VLAN
Fakulta informatiky
172.20.0.0/16 (vlan 2) správa AP, switchov, kamery, ...172.26.0.0/16 (vlan 503) virtuálne stroje147.251.43.0/24 Fakultná bezdrôtová sieť (wlan_fi)147.251.44.0/22 Eduroam147.251.48.0/24 servery, zamestnanecké počítače147.251.49.0/24 Informačný systém MU147.251.52.0/24 zamestnanecké počítače147.251.53.0/24 študentské počítače (nymfe, titan, ...)147.251.58.0/24 verejné virtuálne stroje v Stratus.FI
ďalšie rozsahy (cloud, prepoje, firmy, ...)≈ 50 VLAN
IPv6 konvencia147.251.N.0/24 (alebo VLAN N) → 2001:718:02NN::/64
8
Sieťová infraštruktúra FI
Router
ares.fi.muni.cz
16 CPU, 128 GB RAMDebian10 GbE a 1 GbE pripojenie (uplink)
Linux ako router?
root@ares:~# ip route showdefault via 147.251.240.1 dev uplink...147.251.48.0/24 dev vlan48 proto kernel scope link src 147.251.48.254...
root@ares:~# ip route add 147.251.42.0/24 via 147.251.42.1 dev eth0
9
Router
ares.fi.muni.cz
firewall postavený nad iptablespravidlá pre prístup do podsietípredikáty nad paketmi
Aj toto zvládne váš Linux
root@ares:~# iptables -A INPUT -d 172.16.14.11 -p tcp --dport http -j ACCEPTroot@ares:~# iptables -A INPUT -p tcp -j REJECT
Alternatívne nástroje: firewalld, ufw, ...
10
Router
Redundancia
ares.fi.muni.cz je v skutočnosti jedno zares1.fi.muni.czares2.fi.muni.cz
Active-Passive High Availabilityjeden stroj pracuje, druhý čakáinformácie o stave cez heartbeat
Výpadok
pasívny stroj nedostáva pulz z aktívnehospustí sa takeover (v literatúre aj failover)pasívny stroj prevezme prostriedky a činnost neaktívneho stroja
11
Router
Prenos prostriedkov a dát
niektoré služby sa synchronizujú samostatnenapr. conntrackd
Distributed Replicated Block Device (DRBD)
replikácia disku medzi dvoma strojmizmeny primárneho disku sa propagujú medzi ostatné kópiepri výpadku sa vyberie iný primárny diskobsahuje napr. stav dhcpd
12
Switche
Switche
6 hlavnýchoptické spojenia až 40 GbEtyp konektora LC, Multi-Mode (MM), šírka pásma OM4250x 10 GbE, 10x 40 GbE porty
87 distribučných a koncovýchCategory 6A káble10 GbE zásuvky v serverovniach1 GbE zásuvky v učebniach a kanceláriách
Značky
HP ComwareHP ProCurveJuniper JunOS
13
Switche
Správa a nastavenie
iniciálna manuálna konfiguráciaSimple Network Management Protocol (SNMP)monitoring a zmeny
Ďalšie technológie
Power over Ethernet (PoE)napájanie menších zariadení (AP, RPi, kamery)DHCP Snoopingochrana siete pred niektorými druhmi DHCP útokovRouter Advertisement Guardekvivalent DHCP Snooping pre IPv6
14
Switche
Autentizácia
Port-Based Network Access Control (PNAC, 802.1X)autentizácia počítačovobmedzuje prístup neznámym počítačom do podsietevyužíva sa hlavne v počítačových učebniachna pozadí používa RADIUS server
Remote Authentication Dial-In User Service (RADIUS)protokol na autentizáciu, autorizáciu a prístupk sieťovým službámEduroam
15
Switche
Redundancia?
hviezdicové zapojenie je citlivé na výpadokcyklus v sieti na L2 OSI má fatálne následkybroadcast storms
Spanning Tree Protocol (STP)
nadbytočné spoje cyklu prepne do pohotovostného režimupri výpadku aktívneho spoja sa pasívny spoj preberiena FI v štádiu zavádzania
Shortest Path Bridging (SPB)
novšia alternatíva
16
Bezdrôtové zariadenia
Access Points
celkom 165 kusov802.11g, n, ac2.4 GHz a 5 GHz pásma
Značky
RouterBOARDUniFi
17
Služby
Web
Hypertext Transfer Protocol (HTTP)
prenos dokumentovrozšírenia (MIME, RPC)model klient-servertextový (do v1.1)binárny (od v2)postavený nad TCP (UDP od v3)HTTP Secure (HTTPS): TLS alebo SSL
Apache Server
jedna z implementácií HTTP serverakomplexné nastavenia, virtuálne servery, suexec, ...www.fi.muni.cz (aisa.fi.muni.cz)webhost.fi.muni.cz (aisa.fi.muni.cz, iná IP adresa)is.muni.cz
alternatívy Nginx, lighttpd18
Prenos súborov
File Transfer Protocol (FTP)
prenos súborov medzi počítačmisám je málo zabezpečenýčasto v kombinácii s ďalšími protokolmi (napr. SSH)verejne dostupné repozitáre
Zrkadlo distribúcií na FI
ftp.fi.muni.cz (odysseus.fi.muni.cz)ftp.linux.cz (odysseus.linux.cz)Ubuntu, Debian, Fedora, CentOS, ArchLinux, Gentoo, ...
19
Adresár údajov
Lightweight Directory Access Protocol (LDAP)
adresárový serverzáznamy uložené v hierarchiiinformácie o používateľoch, skupinách, službách, ...
ldap.fi.muni.cz (thetis.fi.muni.cz)ldap1.fi.muni.cz (pyrrha.fi.muni.cz)
20
Adresár údajov
Príklad LDAP: Informácie o používateľovi
login@aisa:~$ ldapsearch -h ldap.fi.muni.cz -x -b \ou=People,dc=fi,dc=muni,dc=cz uid=xlacko1
dn: uid=xlacko1,ou=People,dc=fi,dc=muni,dc=czuid: xlacko1cn: xlacko1uidNumber: 15291gidNumber: 10100homeDirectory: /home/xlacko1gecos: Roman Lacko...
21
Autentizácia
Kerberos
vzájomná autentizáciapoužívateľ overí identitu službyslužba overí identitu používateľatickets
náchylný na rozdiely v čase (→ NTP)
Heimdal
implementácia protokolukrb.fi.muni.cz (thetis.fi.muni.cz)krb1.fi.muni.cz (pyrrha.fi.muni.cz)
22
Pošta
Simple Mail Transfer Protocol (SMTP)
textový protokol na výmenu elektronických správ (e-mail)doručovanie podľa domény ([email protected])MUA → MSA → MTA → MDA → MRA/MUA
Post Office Protocol 3 (POP3)Internet Message Access Protocol (IMAP)
prístup k elektronickej pošte
Poštový server mail.fi.muni.cz
aisa.fi.muni.cz (študentský)anxur.fi.muni.cz (zamestnanecký)arethusa.fi.muni.cz (IS)postfix (SMTP), dovecot (POP3, IMAP)
23
Presný čas
Network Time Protocol (NTP)
synchronizácia hodín počítačov v sietipresnosť na ms až μshierarchický systém zdrojov presného času (stratum 0, 1, ...)berie do úvahy latenciu paketovnáhrada za starší Time Protocol
Čas v sieti FI
time.fi.muni.cz (pyrrha.fi.muni.cz)používa aj IS MU
24
Doménový systém
Domain Name System (DNS)
zabezpečuje preklad mien strojov na ich IP adresyhierarchickýdecentralizovaný
ns.fi.muni.cz (anxur.fi.muni.cz, autoritatívny)ďalšie servery (aisa.fi.muni.cz, thetis.fi.muni.cz, ...)
login@aisa:~$ host www.fi.muni.czwww.fi.muni.cz is an alias for aisa.fi.muni.czaisa.fi.muni.cz address 147.251.48.1aisa.fi.muni.cz IPv6 address 2001:718:801:230::1aisa.fi.muni.cz mail is handled by 50 relay.muni.cz
25
Dynamické prideľovanie IP adries
Dynamic Host Configuration Protocol (DHCP)
automatické sieťové nastavenia klientovobvykle IP adresy a brána
dynamická alokácia (DHCP pool)výber IP adresy z definovanej množinyEduroam, wlan_fi
statická alokáciarezervácia konkrétnej adresy pre klientaobvykle podľa MAC adresyzamestnanecké pracovné stanice
ares.fi.muni.cz
26
Vzdialená správa zariadení
Simple Network Management Protocol (SNMP)
získavanie a nastavovanie parametrov sieťových zariadeníhierarchická organizácia premenných v stromepremenné môžu mať nastavené typy a obmedzenia
monitoringservery a počítače (využitie zdrojov)switche (stav portov)kamery, rozvrhové panely, ...
reguláciasystém chladenia datacentier
27
Vzdialená správa zariadení
Príklad SNMP: Prietok vody chladiacou jednotkou
login@thetis:~$ snmpget -v2c lcp-2-1.m2.fi.muni.cz 'cmcIIIVarName.2.75'RITTAL-CMC-III-MIB::cmcIIIVarName.2.75 = STRING: "Water.Flowrate.Value"
login@thetis:~$ snmpget -v2c lcp-2-1.m2.fi.muni.cz 'cmcIIIVarValueInt.2.75'RITTAL-CMC-III-MIB::cmcIIIVarValueInt.2.75 = INTEGER: 118
login@thetis:~$ snmpget -v2c lcp-2-1.m2.fi.muni.cz 'cmcIIIVarValueStr.2.75'RITTAL-CMC-III-MIB::cmcIIIVarValueStr.2.75 = STRING: "11.8 l/min"
28
Sieťové súborové systémy
Network File System (NFS)
sprístupnenie disku alebo adresára po sieti inému strojutransparentný prístup k súborompodpora väčšiny UNIXových súborových operácií
právarozšírené atribútyzámkynotifikácie o zmenách (inotify)
Domovské adresáre
home.fi.muni.cz (anxur.fi.muni.cz)SSD pole s kapacitou 12 TBprístupné z aisa.fi.muni.czLinuxové stanice v učebniach (nymfe)prístup v sieti MU pre vlastné stroje 29
Sieťové súborové systémy
Server Message Block (SMB)
historický názov Common Internet File System (CIFS)
pôvod zo sveta Microsoft Windowszdieľanie súborovprístup k sieťovým tlačiarňam (alternatíva CUPS)
Samba
voľná implementácia protokolupodpora pre niektoré UNIX atribúty súborovprístupné ako J: v učebniach s MS Windows (titan, ...)
30
Sieťové súborové systémy
Ceph
distribuované úložisko dátdekompozícia na viacero samostatných démonovefektívna replikáciavysoká škálovateľnosť
Stratus.FI
virtualizačný systém OpenNebulaobrazy uložené v Cephkapacita ≈ 500 TB
31
Privátne adresy
Network Address Translation (NAT)
mapovanie adresného priestoru na iný(historicky) uľahčenie zmeny adresácie(dnes) spomalenie vyčerpávania IPv4
IP masquerading
skrývanie privátnych rozsahov za verejnú IP adresutypicky na úrovni routera10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16
(privátne) virtuálne strojelaboratórne sieteCERIT Science Park
32
Privátne adresy
Virtual Private Network (VPN)
tunel do inej, obvykle nedostupnej sietevirtuálne sieťové rozhranienastavenie ciest (ip route)často nutná autentizácia a šifrovanie
OpenVPN
privátne siete v CERIT Science ParkMU (ÚVT)FI (CVT)
33
Bezpečný shell
Secure Shell (SSH)
príkazový riadok na vzdialenom počítači
vytváranie tunelovgrafické aplikácie (X11)prenos súborov (SFTP, SCP)súborový systém (SSHFS)
Dostupnosť zo sveta
aisa.fi.muni.czanxur.fi.muni.cz
34
Bezpečný shell
Príklad SSH: Vytvorenie tunelu
david@hal9000:~$ ssh -fN -L 2022:nymfe42:22 [email protected]@hal9000:~$ ssh -p 2022 login@localhost # connecting to nymfe42david@hal9000:~$
Príklad SSH: Súborový systém
david@hal9000:~$ sshfs [email protected]:public_html/ /mnt/wwwdavid@hal9000:~$ vim /mnt/www/index.html
35
Monitoring
Nagios
kontrola dostupnosti služiebnotifikácie (e-mail, SMS, ...)SNMP, SSHtextová konfiguráciarozšíriteľný pomocou modulov
modernejšia alternatíva Icinga
36
Monitoring
Multi-Router Traffic Grapher (MRTG)
vykresľovanie grafovsledovanie meraných veličín
37
Monitoring
MRTG – Vyťaženie Aisy
MRTG – Vyťaženie GitLabu
38
Bezdrôtová sieť
Výhody a nevýhody bezdrôtových sietí
Výhody
pohodlnejšie než káblové pripojenieprístup pre viac ľudímobilita
Nevýhody
horšia kvalita v porovnaní s káblomnižšia tolerancia šumu
39
Princíp
Káblové pripojenie
analógové signálydigitálne signály
Bezdrôtové pripojenie
analógové signálydigitálne signály
vzduch za normálnych okolností nie je vodivýnosná frekvenciarôzne možnosti kódovania dát
amplitúdová moduláciafrekvenčná moduláciafázový posun (Phase-Shift Keying, PSK)
40
Pásma pre nosné frekvencie
Pásma
intervaly rezervovaných frekvenciípoužitie môže vyžadovať licenciu (licenčné pásma)rozdelené na kanály
WiFi
bezlicenčné2,4 GHz (802.11b,g,n,ax)14 kanálov 5 MHz od seba
kanál 1: 2.412 MHz (2.401 MHz - 2.423 MHz)kanál 2: 2.417 MHz (2.406 MHz - 2.428 MHz)...
5 GHz (802.11a,h,j,n,ac,ax)rozsahy 5.030 MHz - 5.875 MHz10, 20, 40, 80 a 160 MHz široké kanály 41
Pásma pre nosné frekvencie
Spread Spectrum
prenos viacerých signálov narazobmedzenie rušenia
Frequency-Hopping Spread Spectrum (FHSS)Direct-Sequence Spread Spectrum (DSSS)Orthogonal Frequency-Division Multiplex (OFDM)
42
Riadenie prístupu
Carrier Sense, Multiple Access with Collision Avoidance(CSMA/CA)
detekcia kolízií (CSMA/CD) je veľmi nepraktická
stroj čaká na moment, kedy je médium dostatočne dlho voľnévyšle žiadosť o povolenie vysielaniaak dostane odpoveď, môže vysielaťak odpoveď nepríde, pravdepodobne došlo ku kolízii
43
Základné typy bezdrôtových sietí
Ad-Hoc
bez centrálneho prístupného bodustroje komunikujú priamo medzi sebou
Sieť s prístupovým bodom
prístupový bod ((Wireless) Access Point, (W)AP)komunikácia výhradne cez APbrána do iných sietíService Set ID (SSID)
44
Bezpečnosť
Odpočúvanie paketov
na kábli prakticky len koncové zariadeniavo vzduchu paket dostane každý stroj v dosahu
Zabezpečenie bezdrôtovej siete
filter adriesOpen WiFi (bez zabezpečenia)Wired Equivalent Privacy (WEP)WiFi Protected Access (WPA, WPA2, WPA3)(WPA3: Opportunistic Wireless Encryption (OWE))
45
Hardware
Access Point (AP)
výkon ovplyvňuje, koľko používateľov dokáže obslúžiťpočet anténnapájaniezabezpečenie
Antény
zabudované alebo vymeniteľné
všesmerové, viacsmerové, sektorové, (jedno)smerové
46
Hardware
MikroTik RouterBOARD
externá anténa802.11g,n2,4 a 5 GHznapájanie PoEoperačný systém OpenWRT (UNIX-like)
47
Hardware
MikroTik RouterBOARD
48
Hardware
UniFi
802.11g,n,ac2,4 a 5 GHznapájanie PoE+operačný systém OpenWRT (UNIX-like)
vlastný kontrolér v Javecentrálna správa AP
49
Hardware
UniFi
50
Dostupné siete
Education Roaming (Eduroam)
univerzitná bezdrôtová sieťSSID obvykle eduroamWPA/WPA2, RADIUS147.251.44.0/222001:718:801:22c::/64
51
Dostupné siete
Fakultná bezdrôtová sieť
SSID wlan_fipo pripojení prístup len na wifi.fi.muni.cz(fadmin.fi.muni.cz, thetis.fi.muni.cz)autentizácia fakultným loginom a heslomprístup povolený na firewalle pre MAC
52
Dostupné siete
Captive portal
presmerovanie na autentizačnú stránkuklient po pripojení do siete skúsi stiahnuť známu stránkubrána spojenie presmeruje na autentizáciunefunguje s HTTPS
53
53