Síť

Z wiki.siliconhill.cz
(Rozdíly mezi verzemi)
Přejít na: navigace, hledání
(Veřejné adresy)
(Jak funguje síť: Aktualizace)
 
(Není zobrazeno 37 mezilehlých verzí od 16 uživatelů.)
Řádka 1: Řádka 1:
 
==Info==
 
==Info==
 +
* [[Přihlášení do sítě]]
 
* '''[[FAQ]]'''
 
* '''[[FAQ]]'''
 
* [[Servery]]
 
* [[Servery]]
 +
* [http://traffic.sh.cvut.cz/ traffic.sh.cvut.cz]
 +
* [http://www.civ.cvut.cz/mapa/mapa.php Aktuální stav sítě ČVUT]
  
 
==IP rozsahy==
 
==IP rozsahy==
Řádka 8: Řádka 11:
 
'''IPv4'''
 
'''IPv4'''
  
Klub Silicon Hill má od ČVUT poskytnutý rozsah 147.32.112.0/20. Tento rozsah je rozdělen dle [http://wiki.sh.cvut.cz/FAQ http://faq.sh.cvut.cz/#IP] .
+
Klub Silicon Hill má od ČVUT poskytnuté rozsahy 147.32.112.0/20, 147.32.30.0/24 a 147.32.31.0/24. Tyto rozsahy jsou rozděleny dle [[FAQ/D%C5%AFle%C5%BEit%C3%A9_IP_adresy_a_servery#Lze_podle_IP_adresy_zjistit.2C_na_kter.C3.A9m_bloku_je_dany_po.C4.8D.C3.ADta.C4.8D_um.C3.ADst.C4.9Bn.3F|FAQ/Důležité IP adresy a servery]].
 
Každý blok má cca 1 a 1/2 C rozsahu = 254+126 adres.
 
Každý blok má cca 1 a 1/2 C rozsahu = 254+126 adres.
  
 
'''IPv6'''
 
'''IPv6'''
  
[http://ipv6.sh.cvut.cz http://ipv6.sh.cvut.cz]
+
IPv6 je na Strahově plně funkční, je však nutné mít v ISu přiřazenou adresu. O to musíte požádat svého registrátora.
  
 
===Neveřejné adresy===
 
===Neveřejné adresy===
  
Z důvodů nedostatku veřejných adres jsou přiřazovány taktéž neveřejné adresy z domény ''sh.nat''. Tyto adresy jsou v síti klubu směrovány bez omezení a směrem ven ze sítě jsou překládány (NAT) na stroji jménem scanner. V brzké době tento překlad bude probíhat na centrálním prvku (Cisco Catalyst 6509).
+
Z důvodů nedostatku veřejných adres jsou přiřazovány taktéž neveřejné adresy. Tyto adresy jsou v síti klubu směrovány bez omezení a směrem ven ze sítě jsou překládány (NAT) na centrálním prvku (Cisco Catalyst 6509). Tato adresa vám bude přidělena, například pokud připojíte zařízení přes wifi SH.
  
'''Nové řešení'''
+
'''Kabelová síť'''
  
Neveřejné adresy jsou na blocích rozvrženy následovně. Každý blok má k dispozici 2*254 adres (2xC):
+
Doménové názvy jsou přidělovány z domény ''sh.nat''
 +
Neveřejné adresy jsou na blocích rozvrženy následovně. Každý blok má k dispozici 510 adres (2xC):
  
* 172.16.<číslo_bloku>9.0/24
+
* 172.16.<číslo_bloku>8.0/23
* 172.16.<číslo_bloku>8.0/24
+
  
'''Staré řešení''' (zanikne v dubnu 06)
+
'''WiFi'''
  
Jedna vlana přes celou síť. Bloky sdílejí rozsah
+
Doménové názvy jsou přidělovány z domény ''wifi.nat''
 +
Pro WiFi zařízení jsou použity 2 rozsahy s 4094 adresami (8xC):
  
* 172.16.0.0/23
+
* 172.16.208.0/20
 +
* 172.16.224.0/20
  
 
===Obecně===
 
===Obecně===
 
'''Brány (Gateway)'''
 
'''Brány (Gateway)'''
  
Rozsahy pro uživatele končí na blokovém ciscu, které se chová jako L3 switch a routuje tyto rozsahy pomocí páteřní vlany (5) do centrální serverovny, kde se zpracovávají v ciscu 6509. Pro brány každého z těchto rozsahů bylo vyčleněno první IP - např. rozsah 147.32.119.0/24 používá bránu 147.32.119.1 a rozsah 147.32.125.128/25 používá 147.32.125.129.  
+
Rozsahy pro uživatele končí na centrálním prvku - C6509. Pro brány každého z těchto rozsahů bylo vyčleněno první IP - např. rozsah 147.32.119.0/24 používá bránu 147.32.119.1 a rozsah 147.32.125.128/25 používá 147.32.125.129.  
  
 
Jediná výjímka je brána Strahova, která má IP 147.32.127.254, tedy poslední možné IP adresního rozsahu Strahovské sítě.
 
Jediná výjímka je brána Strahova, která má IP 147.32.127.254, tedy poslední možné IP adresního rozsahu Strahovské sítě.
Řádka 41: Řádka 46:
 
==Jak funguje síť==
 
==Jak funguje síť==
 
===Pro laiky===
 
===Pro laiky===
Z každého pokoje vedou dvě přípojky počítačové sítě do patrového rozvaděče umístěného nejčastěji v místnosti se vzduchotechnikou. V ní jsou na každém patře tři switche Cisco. Tyto switche jsou připojeny gigabitový spojem do blokové serverovny (nejčastěji třetí patro), kde je výkonější směrovač Cisco. Ten kromě rozvodů z pater připojuje též blokový server. Blokové switche jsou připojeny optikou vybudovanou v roce 2001 do centrální serverovny na bloku 8. Centrum sítě tvoří velký switch Cisco zakoupený v roce 2004 a jsou do něj kromě bloků zapojeny všechny servery v centrální serverovně. Odtud vede gigabitový spoj přes Strahovský tunel, Anděl, Karlovo náměstí do Dejvic do výpočetního centra ČVUT.
+
Z každého pokoje vedou dvě přípojky počítačové sítě do patrového rozvaděče umístěného nejčastěji v místnosti se vzduchotechnikou. V ní jsou na každém patře dva switche Cisco. Tyto switche jsou připojeny desetigigabitovým spojem do centrální serverovny do 2 datacentrových switchů Cisco Nexus (každý patrový switch vede do jiného Nexusu). Pro zasjištění redundance jsou navíc patrové switche propojeny mezi sebou záložním gigabitovým metalickým propojem. Centrum sítě tvoří velký switch Cisco zakoupený v roce 2005 a jsou do něj zapojeny oba Cisco Nexusy a také všechny servery v centrální serverovně. Odtud vede desetigigabitový spoj přes Strahovský tunel, Anděl a Karlovo náměstí do Dejvic do výpočetního centra ČVUT a dále přes akademickou síť CESNET2 do veřejného internetu.
  
 
===Pro odborníky===
 
===Pro odborníky===
 
====Topologie====
 
====Topologie====
  
[[Soubor:Topologie.jpg]]
+
[[Soubor:Topologie_2016.png]]
  
Základní schéma topologie Strahovské sítě je stromové. Kořen je páteřní prvek Cisco Catalyst 6509, jednotlivé paprsky pak vedou k blokovým L3 switchům (routerům) Cisco 3750. Ty zase tvoří kořen pro (obbvykle) 18 patrových switchů Cisco 2950. Do nich jsou připojeny jednotlivé stanice uživatelů.
+
Základní schéma topologie Strahovské sítě je stromové. Kořen (core) je páteřní prvek Cisco Catalyst 6509, do něj jsou přes Virtual Port-Channel připojené 2 datacentrové switche Cisco Nexus 5596 které realizují distribuční vrstvu. Z každého Nexusu vede optický propoj na každé patro na každém bloku. Přístupovou vrstvu zajišťují switche Cisco Catalyst 2960S a 2960X
  
<s>Aktuální stav topologie a vytížení síťe: https://nms1.sh.cvut.cz/weather/</s>
+
Aktuální stav vytížení uplinků: http://traffic.siliconhill.cz/
  
 
====Druhy připojení====
 
====Druhy připojení====
Páteř je tvořena optickými singlemode vlákny s rychlostí 1 Gbps. Vertikální síť na blocích (propojení pater a blokových serveroven) je tvořena metalickými UTP Cat6 spoji s rychlostí 1 Gbps. Uživatelé jsou připojeni metalickými spoji UTP Cat5e rychlosti 10 nebo 100 Mbps. Všechny spoje jsou ethernetové.
+
Propojení na bloky je zajištěno optickými singlemode vlákny s rychlostí 10 Gbps. Uživatelé jsou připojeni metalickými spoji UTP Cat5e do portů 10/100/1000 Mbps. Všechny spoje jsou ethernetové.
  
====Připojení do internetu====
+
====IS a konfigurace====
FIXME (sem autor zamýšlel napsat co??)
+
  
====DUSPS a konfigurace====
+
Veškerá konfigurace uživatelů a služeb probíhá v [[IS| ISu]]. Po každé změně, která vyžaduje úpravu nastavení switchportu, je v systému vytvořen task, který danou změnu na patrových L2 switchích (Cisco 2960S/X) ihned provede (mac adresy pro port security, IPv4 a IPv6 ALC a čísla VLAN, do kterých uživatelé patří).
Veškerá konfigurace uživatelů a služeb probíhá v [[DUSPS| DUSPSu]]. Přibližně každou hodinu probíhají exporty na stroji dusps.sh, které konfigurují blokové L3 switche (Cisco 3750) (ACL, seznam filtrovaných uživatelů) a patrové L2 switche (Cisco 2950) (mac adresy pro port security a čísla VLAN, do kterých uživatelé patří).
+
  
 
====Vlany====
 
====Vlany====
Strahovská sít používá směrovací protokol OSPF. Každý blok má obvykle dvě VLANy s veřejným rozsahem. V tomto rozsahu jsou přidelovány adresy uživatelům a blokovému serveru, pokud existuje. Vlany jsou zpravidla označeny <číslo_bloku>1 a <číslo_bloku>2, přičemž první vlana obsahuje rozsah 147.32.(110+<číslo_bloku>).0/24 a druhá vlana zbytek viz: http://faq.sh.cvut.cz/#IP.  
+
Každý blok má obvykle dvě VLANy s veřejným rozsahem. V tomto rozsahu jsou přidelovány adresy uživatelům. Vlany jsou zpravidla označeny <číslo_bloku>1 a <číslo_bloku>2, přičemž první vlana obsahuje rozsah 147.32.(110+<číslo_bloku>).0/24 a druhá vlana zbytek viz: http://faq.sh.cvut.cz/#IP.  
  
Pro privátní rozsah byly vyhrazeny dvě vlany <číslo_bloku>9 a <číslo_bloku>8, každá s kapacitou /24 a mají v budoucnosti sloužit jako rozsahy pro uživatele v OZU level 0 pro blok. Do té doby se budou používat pro uživatele bez omezení, když nebudou k dispozici volná IP z veřejného rozsahu.
+
Pro privátní rozsah je vyhrazena vlana <číslo_bloku>8 s kapacitou /23.
  
 
<číslo_bloku> je v tomto případě číslo 2-11 a označuje blok, kterého se to týká. Blok 12 a 11 vystupuje v síti dohromady jako blok 11.
 
<číslo_bloku> je v tomto případě číslo 2-11 a označuje blok, kterého se to týká. Blok 12 a 11 vystupuje v síti dohromady jako blok 11.
Řádka 75: Řádka 78:
 
|style="background:#FFD"|<číslo_bloku>2||147.32.číslo_viz_faq.viz_faq/25||veřejný rozsah
 
|style="background:#FFD"|<číslo_bloku>2||147.32.číslo_viz_faq.viz_faq/25||veřejný rozsah
 
|-
 
|-
|style="background:#FFD"|<číslo_bloku>8||172.16.číslo_bloku8.0/24||privátní rozsah
+
|style="background:#FFD"|<číslo_bloku>8||172.16.číslo_bloku8.0/23||privátní rozsah
|-
+
|style="background:#FFD"|<číslo_bloku>9||172.16.číslo_bloku9.0/24||privátní rozsah
+
 
|-
 
|-
 
|}
 
|}
  
 
====Bezpečnost====
 
====Bezpečnost====
Patrové switche používají port security, přičemž akceptují pouze MAC adresy, které jsou na daný port zaregistrované v [[DUSPS|DUSPSu]]. Pokud port v DUSPSu není zaregistrován u patřičného switche, zůstavá v základním stavu a není updatován. Porty, na které v DUSPSu není přiřazen počítač, jsou vyplé (shutdown).
+
Patrové switche používají port security, přičemž akceptují pouze MAC adresy, které jsou na daný port zaregistrované v [[IS|ISu]]. Porty, na které v ISu není přiřazen počítač, jsou nastaveny pro přístup do veřejné VLANy, která má přístup pouze do ISu pro potřeby předregistrace.
 
Základní nastavení u portů je vypnutí na 30 sekund, pokud se na portu objeví MAC adresa, která tam nemá co dělat.
 
Základní nastavení u portů je vypnutí na 30 sekund, pokud se na portu objeví MAC adresa, která tam nemá co dělat.
  
Blokové cisco používá vlan filter a pustí do routovacího procesu jen ty IP adresy, které jsou v DUSPSu povolené.
 
 
Veškerý provoz dál routuje přes Cisco 6509 v centrální serverovně na bloku 8.
 
Veškerý provoz dál routuje přes Cisco 6509 v centrální serverovně na bloku 8.
 
====Připojení serverů na blocích====
 
Bloky jsou obvykle připojené páteřní vlanou (číslo 5), přičemž některé bloky hostují část serverů, které se nevejdou do centrální serverovny (CS) nebo serveroven na jiných blocích (Blok 4 např.). V tom případě blok akceptuje též vlanu 6 (servery). Používá se dot1q trunking.
 
  
 
====IPv6====
 
====IPv6====
Bloková cisca se chovají jako IPv6 routery. Rozsahy viz [http://ipv6.sh.cvut.cz http://ipv6.sh.cvut.cz]
+
{{neaktualni}}
 +
 
 +
==[[Wifi | Wifi]]==
 +
 
 +
V klubu SH je možné se připojit k síti pomocí [[Wifi | Wifi]]. Funguje na privátních adresách, přičemž je nutné mít zaregistrován počítač v DUSPSu do oblasti Wifi. Toto zařídí admin bloku. Wifi funguje na standardech 802.11b/g, k připojení je třeba zadat uživatelské jméno a heslo do DUSPSu.
 +
Wi-fi neslouží k travelém připojení k Internetu na blocích. Kromě malé přenosové kapacity je problémem také zejména ve vyšších patrech slabý nebo žádný signál.
 +
 
  
==NAT==
+
* Veškeré informace najdete na stánkách projektu [[Wifi | Wifi]], kde je také možné sdílet zkušenosti s fungováním tohoto připojení.
  
FIXME
+
== Vikendovka ==
  
==Wifi==
+
'''Sobota 13.12.2008'''
 +
* novy tacacs a tftp server
 +
* opraveny chyby v pristupovych pravech k sitovym prvkum
 +
* nastaven dhcp snooping na vsech prvcich
 +
* skript pro hromadne upravy zmeny/testovani konfiguraci na prvcich
  
V klubu SH je možné se připojit k síti pomocí [[Wifi | Wifi]]. Funguje na privátních adresách, přičemž je nutné mít zaregistrován počítač v DUSPSu do oblasti Wifi. Toto zařídí patřičný správce (fixme - kdo přesně?).
+
'''Nedele 14.12.2008'''
 +
* nastaveni firewallu na radius.sh.cvut.cz - oprava der
 +
* skolici centrum, konfigurace prvku
 +
* diskuse PBR
 +
* IP rozsahy
  
* Veškeré informace najdete na stánkách projektu: http://wifi.sh.cvut.cz.
+
== Fotogalerie ==
  
* V sekci [[Wifi | Wifi]] je možné sdílet zkušenosti s fungováním tohoto připojení.
+
[[Soubor:2950.jpg|thumb|left|Catalyst 2950 (na SH jich je asi 200), sem pripojujeme usery]][[Soubor:Kabely patro.jpg|thumb|left|tak takto to vypada na kazdem patre]][[Soubor:3750.jpg|thumb|left|Catalyst 3750, srdce bloku. Optikou spojen do 6509 - zelený kabel]][[Soubor:Opticky patchpanel.jpg|thumb|left|Optický patchpanel bloku 5]][[Soubor:Centralni_serverovna.jpg|thumb|left|Pohled na Centrální serverovnu - 6509 je úplně vzadu]] [[Soubor:6509.jpg|thumb|left|Centrální prvek 6509 (ta potvora dole), sem jsou připojeny všechny blokové 3750 (zelené kabely)]]

Aktuální verze z 15. 10. 2016, 01:23

Obsah

[editovat] Info

[editovat] IP rozsahy

[editovat] Veřejné adresy

IPv4

Klub Silicon Hill má od ČVUT poskytnuté rozsahy 147.32.112.0/20, 147.32.30.0/24 a 147.32.31.0/24. Tyto rozsahy jsou rozděleny dle FAQ/Důležité IP adresy a servery. Každý blok má cca 1 a 1/2 C rozsahu = 254+126 adres.

IPv6

IPv6 je na Strahově plně funkční, je však nutné mít v ISu přiřazenou adresu. O to musíte požádat svého registrátora.

[editovat] Neveřejné adresy

Z důvodů nedostatku veřejných adres jsou přiřazovány taktéž neveřejné adresy. Tyto adresy jsou v síti klubu směrovány bez omezení a směrem ven ze sítě jsou překládány (NAT) na centrálním prvku (Cisco Catalyst 6509). Tato adresa vám bude přidělena, například pokud připojíte zařízení přes wifi SH.

Kabelová síť

Doménové názvy jsou přidělovány z domény sh.nat Neveřejné adresy jsou na blocích rozvrženy následovně. Každý blok má k dispozici 510 adres (2xC):

  • 172.16.<číslo_bloku>8.0/23

WiFi

Doménové názvy jsou přidělovány z domény wifi.nat Pro WiFi zařízení jsou použity 2 rozsahy s 4094 adresami (8xC):

  • 172.16.208.0/20
  • 172.16.224.0/20

[editovat] Obecně

Brány (Gateway)

Rozsahy pro uživatele končí na centrálním prvku - C6509. Pro brány každého z těchto rozsahů bylo vyčleněno první IP - např. rozsah 147.32.119.0/24 používá bránu 147.32.119.1 a rozsah 147.32.125.128/25 používá 147.32.125.129.

Jediná výjímka je brána Strahova, která má IP 147.32.127.254, tedy poslední možné IP adresního rozsahu Strahovské sítě.

[editovat] Jak funguje síť

[editovat] Pro laiky

Z každého pokoje vedou dvě přípojky počítačové sítě do patrového rozvaděče umístěného nejčastěji v místnosti se vzduchotechnikou. V ní jsou na každém patře dva switche Cisco. Tyto switche jsou připojeny desetigigabitovým spojem do centrální serverovny do 2 datacentrových switchů Cisco Nexus (každý patrový switch vede do jiného Nexusu). Pro zasjištění redundance jsou navíc patrové switche propojeny mezi sebou záložním gigabitovým metalickým propojem. Centrum sítě tvoří velký switch Cisco zakoupený v roce 2005 a jsou do něj zapojeny oba Cisco Nexusy a také všechny servery v centrální serverovně. Odtud vede desetigigabitový spoj přes Strahovský tunel, Anděl a Karlovo náměstí do Dejvic do výpočetního centra ČVUT a dále přes akademickou síť CESNET2 do veřejného internetu.

[editovat] Pro odborníky

[editovat] Topologie

Topologie 2016.png

Základní schéma topologie Strahovské sítě je stromové. Kořen (core) je páteřní prvek Cisco Catalyst 6509, do něj jsou přes Virtual Port-Channel připojené 2 datacentrové switche Cisco Nexus 5596 které realizují distribuční vrstvu. Z každého Nexusu vede optický propoj na každé patro na každém bloku. Přístupovou vrstvu zajišťují switche Cisco Catalyst 2960S a 2960X

Aktuální stav vytížení uplinků: http://traffic.siliconhill.cz/

[editovat] Druhy připojení

Propojení na bloky je zajištěno optickými singlemode vlákny s rychlostí 10 Gbps. Uživatelé jsou připojeni metalickými spoji UTP Cat5e do portů 10/100/1000 Mbps. Všechny spoje jsou ethernetové.

[editovat] IS a konfigurace

Veškerá konfigurace uživatelů a služeb probíhá v ISu. Po každé změně, která vyžaduje úpravu nastavení switchportu, je v systému vytvořen task, který danou změnu na patrových L2 switchích (Cisco 2960S/X) ihned provede (mac adresy pro port security, IPv4 a IPv6 ALC a čísla VLAN, do kterých uživatelé patří).

[editovat] Vlany

Každý blok má obvykle dvě VLANy s veřejným rozsahem. V tomto rozsahu jsou přidelovány adresy uživatelům. Vlany jsou zpravidla označeny <číslo_bloku>1 a <číslo_bloku>2, přičemž první vlana obsahuje rozsah 147.32.(110+<číslo_bloku>).0/24 a druhá vlana zbytek viz: http://faq.sh.cvut.cz/#IP.

Pro privátní rozsah je vyhrazena vlana <číslo_bloku>8 s kapacitou /23.

<číslo_bloku> je v tomto případě číslo 2-11 a označuje blok, kterého se to týká. Blok 12 a 11 vystupuje v síti dohromady jako blok 11.

Vlan Rozsah Význam
<číslo_bloku>1 147.32.číslo_bloku.0/24 veřejný rozsah
<číslo_bloku>2 147.32.číslo_viz_faq.viz_faq/25 veřejný rozsah
<číslo_bloku>8 172.16.číslo_bloku8.0/23 privátní rozsah

[editovat] Bezpečnost

Patrové switche používají port security, přičemž akceptují pouze MAC adresy, které jsou na daný port zaregistrované v ISu. Porty, na které v ISu není přiřazen počítač, jsou nastaveny pro přístup do veřejné VLANy, která má přístup pouze do ISu pro potřeby předregistrace. Základní nastavení u portů je vypnutí na 30 sekund, pokud se na portu objeví MAC adresa, která tam nemá co dělat.

Veškerý provoz dál routuje přes Cisco 6509 v centrální serverovně na bloku 8.

[editovat] IPv6


[editovat] Wifi

V klubu SH je možné se připojit k síti pomocí Wifi. Funguje na privátních adresách, přičemž je nutné mít zaregistrován počítač v DUSPSu do oblasti Wifi. Toto zařídí admin bloku. Wifi funguje na standardech 802.11b/g, k připojení je třeba zadat uživatelské jméno a heslo do DUSPSu. Wi-fi neslouží k travelém připojení k Internetu na blocích. Kromě malé přenosové kapacity je problémem také zejména ve vyšších patrech slabý nebo žádný signál.


  • Veškeré informace najdete na stánkách projektu Wifi, kde je také možné sdílet zkušenosti s fungováním tohoto připojení.

[editovat] Vikendovka

Sobota 13.12.2008

  • novy tacacs a tftp server
  • opraveny chyby v pristupovych pravech k sitovym prvkum
  • nastaven dhcp snooping na vsech prvcich
  • skript pro hromadne upravy zmeny/testovani konfiguraci na prvcich

Nedele 14.12.2008

  • nastaveni firewallu na radius.sh.cvut.cz - oprava der
  • skolici centrum, konfigurace prvku
  • diskuse PBR
  • IP rozsahy

[editovat] Fotogalerie

Catalyst 2950 (na SH jich je asi 200), sem pripojujeme usery
tak takto to vypada na kazdem patre
Catalyst 3750, srdce bloku. Optikou spojen do 6509 - zelený kabel
Optický patchpanel bloku 5
Pohled na Centrální serverovnu - 6509 je úplně vzadu
Centrální prvek 6509 (ta potvora dole), sem jsou připojeny všechny blokové 3750 (zelené kabely)
Jmenné prostory

Varianty
Akce