Síť
(→Topologie) |
(→Jak funguje síť) |
||
Řádka 32: | Řádka 32: | ||
==Jak funguje síť== | ==Jak funguje síť== | ||
===Pro laiky=== | ===Pro laiky=== | ||
+ | Z každého pokoje vedou dvě linky do malého racku (skříně) v místnosti se vzduchotechnikou. V ní jsou na každém patře tři switche Cisco, každý uživatel má svůj port. Každý switch je připojen gigabitovou linkou do blokové serverovny, kde je blokový router Cisco. Do něj je připojeny ještě blokový switch a switch nebo switche ze suterénu. Blokové routery jsou připojeny optickými linkami, vybudovanými v roce 2001 do centrální serverovny na bloku 8. Centrum sítě tvoří velký router Cisco zakoupený v roce 2004 a jsou do něj kromě bloků zapojené všechny servery v centrální serverovně. | ||
+ | |||
===Pro odborníky=== | ===Pro odborníky=== | ||
====Topologie==== | ====Topologie==== |
Verze z 6. 4. 2006, 13:37
Obsah |
IP rozsahy
Veřejné adresy
IPv4
Klub Silicon Hill má od ČVUT poskytnutý rozsah 147.32.112.0/20. Tento rozsah je rozdělen dle http://faq.sh.cvut.cz/#IP . Každý blok má cca 1 a 1/2 C rozsahu = 254+126 adres.
IPv6
Neveřejné adresy
Z důvodů nedostatku veřejných adres jsou přiřazovány taktéž neveřejné adresy z domény sh.nat. Tyto adresy jsou v síti klubu směrovány bez omezení a směrem ven ze sítě jsou překládány (NAT) na stroji jménem scanner. V brzské době tento překlad bude probíhat na centrálním prvku (Cisco Catalyst 6509).
Nové řešení
Neveřejné adresy jsou na blocích rozvrženy následovně. Každý blok má k dispozici 2*254 adres (2xC):
- 172.16.<číslo_bloku>9.0/24
- 172.16.<číslo_bloku>8.0/24
Staré řešení (zanikne v dubnu 06)
Jedna vlana přes celou síť. Bloky sdílejí rozsah
- 172.16.0.0/23
Jak funguje síť
Pro laiky
Z každého pokoje vedou dvě linky do malého racku (skříně) v místnosti se vzduchotechnikou. V ní jsou na každém patře tři switche Cisco, každý uživatel má svůj port. Každý switch je připojen gigabitovou linkou do blokové serverovny, kde je blokový router Cisco. Do něj je připojeny ještě blokový switch a switch nebo switche ze suterénu. Blokové routery jsou připojeny optickými linkami, vybudovanými v roce 2001 do centrální serverovny na bloku 8. Centrum sítě tvoří velký router Cisco zakoupený v roce 2004 a jsou do něj kromě bloků zapojené všechny servery v centrální serverovně.
Pro odborníky
Topologie
FIXME Tady to chce dát obrázek topologie strahova, ale nevim, kde je, když je posrané www.sh.
Základní schéma topologie Strahovské sítě je stromové. Kořen je páteřní prvek Cisco Catalyst 6509, jednotlivé paprsky pak vedou k blokvým L3 switchům (routerům) Cisco 3550. Ty zas tvoří kořen pro (obbvykle) 18 patrových switchů Cisco 2950. Do nich jsou připojené jednotlivé stanice uživatelů.
Linky
Páteř je tvořena optickými singlemode vlákny s rychlostí 1 Gbps. Vertikální síť na blocích (propojení patere a blokových serveroven) je tvořena metalickými UTP Cat6 spoji s rychlosti 1 Gbps. Uživatelé jsou připojeni metalickými spoji UTP Cat5e rychlosti 10 nebo 100 Mbps. Všechny linky jsou ethernetové.
Připojení do internetu
FIXME
DUSPS a konfigurace
Veškerá konfigurace uživatelů a služeb probíhá v DUSPSu. Přibližně každou hodinu probíhají exporty na stroji dusps.sh, které konfigurují blokové L3 switche (Cisco 3750) (ACL, seznam filtrovaných uživatelů) a patrové L2 switche (Cisco 2950) (mac adresy pro port security a čísla VLAN, do kterých uživatelé patří).
Vlany
Strahovská sít používá směrovací protokol OSPF. Každý blok má obvykle dvě VLAN s veřejným rozsahem. V tomto rozsahu jsou přidelovány adresy uživatelům a blokovému serveru, pokud existuje. Tyto vlany jsou zpravidla označeny <číslo_bloku>1 a <číslo_bloku>2, přičemž první vlana obsahuje rozsah 147.32.(110+<číslo_bloku>).0/24 a druhá vlana zbytek viz: http://faq.sh.cvut.cz/#IP.
Pro privátní rozsah byly vyhrazeny dvě vlany <číslo_bloku>9 a <číslo_bloku>8, každá s kapacitou /24 a mají v budoucnosti sloužit jako rozsahy pro uživatele v OZU level 0 pro blok. Do té doby se budou používat pro uživatele bez omezení, když nebudou k dispozici volná IP z veřejného rozsahu.
<číslo_bloku> je v tomto případě číslo 2-11 a označuje blok, kterého se to týká. Blok 12 a 11 vystupuje v síti dohromady jako blok 11.
Bezpečnost
Díky port security na patrových přepínačích může kazždý uživatel používat pouze zařízení se zaregistrovanou MAC adresou. Ostatní MAC adresy zakáže a při pokusu o připojení na půl minuty vypne port. Blokový router filtruje, zda všechny stanice používají přidělené IP adresy s registrovanými MAC adresami. Veškerý provoz dál routuje do centrálnií erverovny k centrálnímu prvku Cisco 6507.
Připojení serverů na blocích
Bloky jsou obvykle připojené páteřní vlanou (číslo 5), přičemž některé bloky hostují část serverů, které se nevejdou do centrální serverovny (CS) nebo serveroven na jiných blocích (Blok 4 např.). V tom případě blok akceptuje též vlanu 6 (servery). Používá se dot1q trunking.
IPv6
Bloková cisca se chovají jako IPv6 routery. Rozsahy viz http://ipv6.sh.cvut.cz