Síť
(→Veřejné adresy: - zmena odkazu na IPv6) |
(→IPv6: zmena odkazu na IPv6) |
||
Řádka 92: | Řádka 92: | ||
====IPv6==== | ====IPv6==== | ||
− | Bloková cisca se chovají jako IPv6 routery. Rozsahy viz [http:// | + | Bloková cisca se chovají jako IPv6 routery. Rozsahy viz [http://shell.sh.cvut.cz/~metaliza/ipv6/ Původní Bobkův web o IPv6] |
==NAT== | ==NAT== |
Verze z 24. 8. 2008, 02:36
Obsah |
Info
IP rozsahy
Veřejné adresy
IPv4
Klub Silicon Hill má od ČVUT poskytnutý rozsah 147.32.112.0/20. Tento rozsah je rozdělen dle http://faq.sh.cvut.cz/#IP . Každý blok má cca 1 a 1/2 C rozsahu = 254+126 adres.
IPv6
Neveřejné adresy
Z důvodů nedostatku veřejných adres jsou přiřazovány taktéž neveřejné adresy z domény sh.nat. Tyto adresy jsou v síti klubu směrovány bez omezení a směrem ven ze sítě jsou překládány (NAT) na centrálním prvku (Cisco Catalyst 6509).
Nové řešení
Neveřejné adresy jsou na blocích rozvrženy následovně. Každý blok má k dispozici 2*254 adres (2xC):
- 172.16.<číslo_bloku>9.0/24
- 172.16.<číslo_bloku>8.0/24
Staré řešení (zanikne v dubnu 06)
Jedna vlana přes celou síť. Bloky sdílejí rozsah
- 172.16.0.0/23
Obecně
Brány (Gateway)
Rozsahy pro uživatele končí na blokovém ciscu, které se chová jako L3 switch a routuje tyto rozsahy pomocí páteřní vlany (5) do centrální serverovny, kde se zpracovávají v ciscu 6509. Pro brány každého z těchto rozsahů bylo vyčleněno první IP - např. rozsah 147.32.119.0/24 používá bránu 147.32.119.1 a rozsah 147.32.125.128/25 používá 147.32.125.129.
Jediná výjímka je brána Strahova, která má IP 147.32.127.254, tedy poslední možné IP adresního rozsahu Strahovské sítě.
Jak funguje síť
Pro laiky
Z každého pokoje vedou dvě přípojky počítačové sítě do patrového rozvaděče umístěného nejčastěji v místnosti se vzduchotechnikou. V ní jsou na každém patře tři switche Cisco. Tyto switche jsou připojeny gigabitový spojem do blokové serverovny (nejčastěji třetí patro), kde je výkonější směrovač Cisco. Ten kromě rozvodů z pater připojuje též blokový server. Blokové switche jsou připojeny optikou vybudovanou v roce 2001 do centrální serverovny na bloku 8. Centrum sítě tvoří velký switch Cisco zakoupený v roce 2004 a jsou do něj kromě bloků zapojeny všechny servery v centrální serverovně. Odtud vede gigabitový spoj přes Strahovský tunel, Anděl, Karlovo náměstí do Dejvic do výpočetního centra ČVUT.
Pro odborníky
Topologie
Základní schéma topologie Strahovské sítě je stromové. Kořen je páteřní prvek Cisco Catalyst 6509, jednotlivé paprsky pak vedou k blokovým L3 switchům (routerům) Cisco 3750. Ty zase tvoří kořen pro (obbvykle) 18 patrových switchů Cisco 2950. Do nich jsou připojeny jednotlivé stanice uživatelů.
Aktuální stav topologie a vytížení síťe: http://nms.siliconhill.cz/
Druhy připojení
Páteř je tvořena optickými singlemode vlákny s rychlostí 1 Gbps. Vertikální síť na blocích (propojení pater a blokových serveroven) je tvořena metalickými UTP Cat6 spoji s rychlostí 1 Gbps. Uživatelé jsou připojeni metalickými spoji UTP Cat5e rychlosti 10 nebo 100 Mbps. Všechny spoje jsou ethernetové.
Připojení do internetu
FIXME (sem autor zamýšlel napsat co??)
DUSPS a konfigurace
Veškerá konfigurace uživatelů a služeb probíhá v DUSPSu. Přibližně každou hodinu probíhají exporty na stroji dusps.sh, které konfigurují blokové L3 switche (Cisco 3750) (ACL, seznam filtrovaných uživatelů) a patrové L2 switche (Cisco 2950) (mac adresy pro port security a čísla VLAN, do kterých uživatelé patří).
Vlany
Strahovská sít používá směrovací protokol OSPF. Každý blok má obvykle dvě VLANy s veřejným rozsahem. V tomto rozsahu jsou přidelovány adresy uživatelům a blokovému serveru, pokud existuje. Vlany jsou zpravidla označeny <číslo_bloku>1 a <číslo_bloku>2, přičemž první vlana obsahuje rozsah 147.32.(110+<číslo_bloku>).0/24 a druhá vlana zbytek viz: http://faq.sh.cvut.cz/#IP.
Pro privátní rozsah byly vyhrazeny dvě vlany <číslo_bloku>9 a <číslo_bloku>8, každá s kapacitou /24 a mají v budoucnosti sloužit jako rozsahy pro uživatele v OZU level 0 pro blok. Do té doby se budou používat pro uživatele bez omezení, když nebudou k dispozici volná IP z veřejného rozsahu.
<číslo_bloku> je v tomto případě číslo 2-11 a označuje blok, kterého se to týká. Blok 12 a 11 vystupuje v síti dohromady jako blok 11.
Vlan | Rozsah | Význam |
<číslo_bloku>1 | 147.32.číslo_bloku.0/24 | veřejný rozsah |
<číslo_bloku>2 | 147.32.číslo_viz_faq.viz_faq/25 | veřejný rozsah |
<číslo_bloku>8 | 172.16.číslo_bloku8.0/24 | privátní rozsah |
<číslo_bloku>9 | 172.16.číslo_bloku9.0/24 | privátní rozsah |
Bezpečnost
Patrové switche používají port security, přičemž akceptují pouze MAC adresy, které jsou na daný port zaregistrované v DUSPSu. Pokud port v DUSPSu není zaregistrován u patřičného switche, zůstavá v základním stavu a není updatován. Porty, na které v DUSPSu není přiřazen počítač, jsou vyplé (shutdown). Základní nastavení u portů je vypnutí na 30 sekund, pokud se na portu objeví MAC adresa, která tam nemá co dělat.
Blokové cisco používá vlan filter a pustí do routovacího procesu jen ty IP adresy, které jsou v DUSPSu povolené. Veškerý provoz dál routuje přes Cisco 6509 v centrální serverovně na bloku 8.
Připojení serverů na blocích
Bloky jsou obvykle připojené páteřní vlanou (číslo 5), přičemž některé bloky hostují část serverů, které se nevejdou do centrální serverovny (CS) nebo serveroven na jiných blocích (Blok 4 např.). V tom případě blok akceptuje též vlanu 6 (servery). Používá se dot1q trunking.
IPv6
Bloková cisca se chovají jako IPv6 routery. Rozsahy viz Původní Bobkův web o IPv6
NAT
FIXME
Wifi
V klubu SH je možné se připojit k síti pomocí Wifi. Funguje na privátních adresách, přičemž je nutné mít zaregistrován počítač v DUSPSu do oblasti Wifi. Toto zařídí admin bloku.
- Veškeré informace najdete na stánkách projektu Wifi, kde je také možné sdílet zkušenosti s fungováním tohoto připojení.