240px-Diamond warning sign (Vienna Convention style).svg.png Content of this wiki is DEPRECATED 240px-Diamond warning sign (Vienna Convention style).svg.png

Síť

Z old-wiki.siliconhill.cz
(Rozdíly mezi verzemi)
Přejít na: navigace, hledání
(Jak funguje síť)
Řádka 39: Řádka 39:
 
'''DUSPS a konfigurace'''
 
'''DUSPS a konfigurace'''
  
Veškerá konfigurace uživatelů a služeb probíhá v [[DUSPS| DUSPSu]]. Přibližně každou hodinu probíhají exporty na stroji dusps.sh, které konfigurují bloková ciska (aclka, seznam, filtrovaných uživatelů) a patrová ciska (mac adresy pro port security a vlany, do kterých uživatelé patří).
+
Veškerá konfigurace uživatelů a služeb probíhá v [[DUSPS| DUSPSu]]. Přibližně každou hodinu probíhají exporty na stroji dusps.sh, které konfigurují blokové L3 switche (Cisco 3750) (ACL, seznam filtrovaných uživatelů) a patrové L2 switche (Cisco 2950) (mac adresy pro port security a čísla VLAN, do kterých uživatelé patří).
  
 
'''Vlany'''
 
'''Vlany'''
  
Strahovská sít používá směrovací protokol OSPF. Každý blok má minimálně dvě vlany s veřejným rozsahem a na tomto rozsahu má uživatele a též blokové servery. Tyto vlany jsou běžně označeny BLOK1 a BLOK2, přičemž první vlana obsahuje rozsah 147.32.1(BLOK+10).0/24 a druhá vlana zbytek viz:http://faq.sh.cvut.cz/#IP http://faq.sh.cvut.cz/#IP]. BLOK je v tomto případě číslo 2-11 a označuje blok, kterého se to týká. Blok 12 a 11 vystupuje v síti dohromady jako blok 11.Pro privátní rozsah byly vyhrazeny 2 vlany BLOK9 a BLOK8, každá s kapacitou /24 a mají v budoucnosti sloužit jako OZU level 0 pro blok. Do té doby se budou používat pro uživatele bez omezení, když nebudou k dispozici volná IP z veřejného rozsahu.
+
Strahovská sít používá směrovací protokol OSPF. Každý blok má obvykle dvě VLAN s veřejným rozsahem. V tomto rozsahu jsou přidelovány adresy uživatelům a blokovému serveru, pokud existuje. Tyto vlany jsou zpravidla označeny <číslo_bloku>1 a <číslo_bloku>2, přičemž první vlana obsahuje rozsah 147.32.(110+<číslo_bloku>).0/24 a druhá vlana zbytek viz: http://faq.sh.cvut.cz/#IP.  
  
'''Bezpečnost'''
+
Pro privátní rozsah byly vyhrazeny dvě vlany <číslo_bloku>9 a <číslo_bloku>8, každá s kapacitou /24 a mají v budoucnosti sloužit jako rozsahy pro uživatele v OZU level 0 pro blok. Do té doby se budou používat pro uživatele bez omezení, když nebudou k dispozici volná IP z veřejného rozsahu.
  
Každý blok tyto rozsahy routuje do centrálního prvku, přičemž na blocích vlan filtery zajišťují, aby se zakázal provoz z IP, která jsou v DUSPSu zakázaná. Zabezpečení na druhé vrstvě zajišťuje port security na patrových switchích. Z duspsu se tam lejou mac adresy, které to povolí. Zbytek to zakáže a na půl minuty to vypne port.
+
<číslo_bloku> je v tomto případě číslo 2-11 a označuje blok, kterého se to týká. Blok 12 a 11 vystupuje v síti dohromady jako blok 11.
 +
 
 +
 
 +
'''Bezpečnost'''
 +
Díky port security na patrových přepínačích může kazždý uživatel používat pouze zařízení se zaregistrovanou MAC adresou. Ostatní MAC adresy zakáže a při pokusu o připojení na půl minuty vypne port.
 +
Blokový router filtruje, zda všechny stanice používají přidělené IP adresy s registrovanými MAC adresami. Veškerý provoz dál routuje do centrálnií erverovny k centrálnímu prvku Cisco 6507.
  
 
'''Připojení serverů na blocích'''
 
'''Připojení serverů na blocích'''
  
Bloky jsou běžně připojené páteřní vlanou (5), přičemž některé hostují část serverů, které se nevejdou do centrální serverovny (CS) nebo serveroven na jiných blocích (Blok 4 např.). V tom případě blok akceptuje též vlanu 6 (servery). Používá se dot1q trunking.
+
Bloky jsou obvykle připojené páteřní vlanou (číslo 5), přičemž některé bloky hostují část serverů, které se nevejdou do centrální serverovny (CS) nebo serveroven na jiných blocích (Blok 4 např.). V tom případě blok akceptuje též vlanu 6 (servery). Používá se dot1q trunking.
  
 
'''IPv6'''
 
'''IPv6'''
  
 
Bloková cisca se chovají jako IPv6 routery. Rozsahy viz [http://ipv6.sh.cvut.cz http://ipv6.sh.cvut.cz]
 
Bloková cisca se chovají jako IPv6 routery. Rozsahy viz [http://ipv6.sh.cvut.cz http://ipv6.sh.cvut.cz]

Verze z 5. 4. 2006, 16:50

http://faq.sh.cvut.cz/

Obsah

IP rozsahy

Veřejné adresy

IPv4

Klub Silicon Hill má od ČVUT poskytnutý rozsah 147.32.112.0/20. Tento rozsah je rozdělen dle http://faq.sh.cvut.cz/#IP . Každý blok má cca 1 a 1/2 C rozsahu = 254+126 adres.

IPv6

http://ipv6.sh.cvut.cz

Neveřejné adresy

Z důvodů nedostatku veřejných adres jsou přiřazovány taktéž neveřejné adresy z domény sh.nat. Tyto adresy jsou v síti klubu směrovány bez omezení a směrem ven ze sítě jsou překládány (NAT) na stroji jménem scanner. V brzské době tento překlad bude probíhat na centrálním prvku (Cisco Catalyst 6509).

Nové řešení

Neveřejné adresy jsou na blocích rozvrženy následovně. Každý blok má k dispozici 2*254 adres (2xC):

  • 172.16.BLOK9.0/24
  • 172.16.BLOK8.0/24

Staré řešení (zanikne v dubnu 06)

Jedna vlana přes celou síť. Bloky sdílejí rozsah

  • 172.16.0.0/23

Jak funguje síť

Pro laiky

Pro odborníky

Topologie

FIXME Tady to chce dát topologii strahova, ale nevim, kde je, když je posrané www.sh.

DUSPS a konfigurace

Veškerá konfigurace uživatelů a služeb probíhá v DUSPSu. Přibližně každou hodinu probíhají exporty na stroji dusps.sh, které konfigurují blokové L3 switche (Cisco 3750) (ACL, seznam filtrovaných uživatelů) a patrové L2 switche (Cisco 2950) (mac adresy pro port security a čísla VLAN, do kterých uživatelé patří).

Vlany

Strahovská sít používá směrovací protokol OSPF. Každý blok má obvykle dvě VLAN s veřejným rozsahem. V tomto rozsahu jsou přidelovány adresy uživatelům a blokovému serveru, pokud existuje. Tyto vlany jsou zpravidla označeny <číslo_bloku>1 a <číslo_bloku>2, přičemž první vlana obsahuje rozsah 147.32.(110+<číslo_bloku>).0/24 a druhá vlana zbytek viz: http://faq.sh.cvut.cz/#IP.

Pro privátní rozsah byly vyhrazeny dvě vlany <číslo_bloku>9 a <číslo_bloku>8, každá s kapacitou /24 a mají v budoucnosti sloužit jako rozsahy pro uživatele v OZU level 0 pro blok. Do té doby se budou používat pro uživatele bez omezení, když nebudou k dispozici volná IP z veřejného rozsahu.

<číslo_bloku> je v tomto případě číslo 2-11 a označuje blok, kterého se to týká. Blok 12 a 11 vystupuje v síti dohromady jako blok 11.


Bezpečnost Díky port security na patrových přepínačích může kazždý uživatel používat pouze zařízení se zaregistrovanou MAC adresou. Ostatní MAC adresy zakáže a při pokusu o připojení na půl minuty vypne port. Blokový router filtruje, zda všechny stanice používají přidělené IP adresy s registrovanými MAC adresami. Veškerý provoz dál routuje do centrálnií erverovny k centrálnímu prvku Cisco 6507.

Připojení serverů na blocích

Bloky jsou obvykle připojené páteřní vlanou (číslo 5), přičemž některé bloky hostují část serverů, které se nevejdou do centrální serverovny (CS) nebo serveroven na jiných blocích (Blok 4 např.). V tom případě blok akceptuje též vlanu 6 (servery). Používá se dot1q trunking.

IPv6

Bloková cisca se chovají jako IPv6 routery. Rozsahy viz http://ipv6.sh.cvut.cz

Jmenné prostory

Varianty
Akce