Treść - Gronowo
Transkrypt
Treść - Gronowo
Moduł 6 Projektowanie adresacji IP Dobór oprogramowania 1. 2. 3. 4. Dobór adresacji IP do projektowanej sieci Zaplanowanie zapasowej adresacji IP Dobór oprogramowania do świadczenia usług w sieci Sporządzenie dokumentacji adresacji IP sieci 1. Dobór adresacji IP do projektowanej sieci Zaplanowanie adresacji IP jest jednym z najważniejszych czynników wpływających na przyszłą eksploatację sieci. Czynność ta wymaga dużego wyczucia i nie pozostawia spektakularnych efektów, dlatego często jest bagatelizowana. W kontekście długofalowej eksploatacji sieci, która będzie poddawana zmianom i reorganizacjom, właściwy plan adresacji oszczędzi wielu godzin pracy. Podejmując to wyzwanie należy przewidzieć możliwe jego skutki, bo problemy błędnych decyzji mogą pojawić się dopiero po pewnym okresie czasu, kiedy w naszej sieci funkcjonować będzie już kilkadziesiąt hostów. Jakakolwiek próba wyłączenia tego „żywego organizmu”, w celu poprawy adresacji, może zakończyć się przykrą rozmową z dyrektorem firmy. Wyobraźmy sobie taką sytuację: jedna z naszych podsieci została przewidziana na potrzeby firmowych serwerów. Adresacja wybrana dla tej podsieci to: 192.168.100.0, z maską: 255.255.255.248, co oznacza, że mamy podsieć ośmio adresową. Pamiętamy, że dwa adresy są przeznaczone na adres sieci i adres rozgłoszeniowy. Pozostaje sześć adresów użytecznych, z których jeden musimy przeznaczyć na adres interfejsu routera łączącego naszą podsieć z innymi sieciami. Pięć adresów przeznaczonych dla serwerów zostało w pełni wykorzystanych, a wzrost obciążenia aplikacji webowych powoduje, że konieczna jest natychmiastowa rozbudowa farmy. Z powodu wdrożenia nowego systemu płacowego w firmie, niezbędne jest uruchomienie kolejnego serwera. Niestety brakuje już adresów w naszej podsieci serwerowej i wymagana będzie zmiana adresacji lub rozszerzenie jej zakresu przez zmianę maski, o ile następne adresy nie wykorzystuje kolejna podsieć. W jednym i drugim przypadku, niezbędne będzie zatrzymanie działających serwerów w celu zmiany adresu lub maski podsieci. Prace takie w dużych firmach wymagają szerokiej zgody użytkowników, którzy pozbawieni będą dostępu do zasobów. Najczęściej tzw. „okienka serwisowe” planowane są w czasie najmniejszego obciążenia aplikacji, kiedy nie pracuje większość użytkowników, czyli w nocy. Czy rozumiesz już teraz, dlaczego ważne było odpowiednie zaplanowanie podsieci? Jeżeli nie, przygotuj się na pracę w nocy z pierwszego na drugi dzień świąt Bożego Narodzenia. Myślę, że ten przykład dosyć dobrze obrazuje, jakie konsekwencje ma często źle zaplanowana adresacja. Brak wyobraźni przy tworzeniu planu adresacji i niedoszacowanie przestrzeni serwerowej może doprowadzić do sporego problemu, szczególnie, kiedy sąsiednie przestrzenie adresowe są już zagospodarowane. Inne problemy, z jakimi możemy się spotkać przy adresowaniu sieci, to niezgodne z przeznaczeniem wykorzystywanie przestrzeni adresowych. Adresując sieci z wykorzystaniem przestrzeni adresów prywatnych często dochodzi do pomyłek przy wykorzystaniu przestrzeni adresowej wydzielonej z klasy B. Przypominam, że adresy przeznaczone dla sieci prywatnych to przedział od 172.16.0.0 do 172.31.255.255. Nietypowa maska dla tej przestrzeni adresowej – 255.240.0.0 – sprawia, że zakres sieci jest często omyłkowo wydłużany przez stosowanie maski 8 bitowej, czyli: 255.0.0.0. Tak zaadresowane sieci wykraczają daleko poza zakres adresów prywatnych i sprawiają, że dla użytkowników takiej sieci nie są osiągalne adresy internetowe z przedziałów: 172.0.0.0 do 172.15.255.255 oraz 172.32.0.0 do 172.255.255.255. Jeżeli chcieliby skorzystać z zasobów, które znajdują się w Internecie pod tymi adresami, błędnie ustawiona przestrzeń adresowa skutecznie im to uniemożliwi. Kolejnym, często spotykanym problemem jest nieuprawnione posługiwanie się innymi przestrzeniami adresowymi, zarezerwowanymi do celów specjalnych. 2 Przyjrzyj się następującym przykładom: 169.254.0.0/16 – blok adresów lokalnych zarezerwowanych do komunikacji między hostami na pojedynczym fizycznym łączu. Hosty otrzymują automatycznie adres z tej przestrzeni, kiedy nieosiągalny jest serwer DHCP. 127.0.0.0/8 – blok adresów, tzw. Internet hosts loopback address. Datagram wysłany na dowolny adres z tej przestrzeni przez dowolny host powinien zwrotnie trafić do niego samego. Żadne adresy z tej przestrzeni nie powinny nigdzie występować w sieci. 128.0.0.0/8 – najniższy blok adresów w klasie B. Zarezerwowany jest dla organizacji IANA. Kiedy zrezygnowano z adresacji klasowej, podjęte zostały rozmowy na temat uwolnienia tej przestrzeni i przekazania dla RIR (Regional Internet Registry). W kolejnym kroku miałaby ona zostać podzielona i przekazana użytkownikom w normalnym trybie. Wiele firm korzysta bezprawnie z tej adresacji argumentując to prostym zapisem w systemie binarnym. Mając na uwadze te i inne przypadki łamania ogólnie obowiązujących reguł, adresowanie sieci nie zawsze jest prostą czynnością. Dla uświadomienia złożoności problemu przywołajmy jeszcze jeden przykład. Rysunek 6.1 Nieprawidłowo zaadresowana sieć publiczna w firmie A Źródło: materiały własne Dwie, niezależnie funkcjonujące na rynku firmy zostały połączone. W celu optymalizacji kosztów korzystają z jednego łącza do Internetu. Administrator w sieci firmy A błędnie zaadresował swoją przestrzeń posługując się zbyt szeroką maską. Efektem takiego błędu będzie kierowanie całego ruchu dla adresów rozpoczynających się od 172.x.x.x do sieci A. Użytkownicy sieci w firmie B korzystają z serwisu internetowego na 3 hoście 172.12.0.250, który po połączeniu sieci przestał być dla nich osiągalny. Nieprawidłowości w sieci firmy A przeniosły się na sieć firmy B. Czy jest w takim razie metoda podziału przestrzeni adresowej, która gwarantuje sukces? Nie ma jednej słusznej recepty, ale stosowanie się do kilku prostych zaleceń może w znacznym stopniu ułatwić adresację i ominąć wiele problemów. Zasada numer jeden: przydzielając pulę adresów IP staraj się, żeby była to przestrzeń, do której można się odnieść jednym wpisem w firewallu. Nie tylko na etapie wdrożenia, ale również w późniejszej eksploatacji, ułatwi Ci to w znacznym stopniu kreowanie polityki ruchowej. Zasada druga: jeżeli to możliwe, przyznawaj przestrzenie większe niż wymaga tego aktualna potrzeba. Kiedy szef poprosi Cię o stworzenie sieci dla 29 komputerów, staraj się przyznać im najmniejszą możliwą przestrzeń, jaką będzie sieć 32 adresowa. Sięgnięcie po blok 64 adresowy sprawi, że rozbudowa sieci w tym dziale i dołożenie kilku kolejnych komputerów nie zburzy twojej polityki adresowej. Dobrą praktyką jest zakładanie pewnych trendów wzrostowych, dla których zazwyczaj bezpiecznym marginesem jest ok. 30%. Nie jest to oczywiście sztywna reguła. Wiedząc, że powstający nowy dział wsparcia, który właśnie zatrudnił 20 osób ma obsługiwać wszystkie oddziały firmy na całym świecie, przyrost może okazać się np. 300%. Kolejną dobrą praktyką jest pilnowanie w czasie alokacji adresów w już istniejącej sieci reguły nr 1. Zakładamy hipotetyczną sytuację: w sieci pracuje zespół dysków sieciowych, którym przydzielono adresy: 192.168.200.2 do 192.168.200.11, przy masce: 255.255.255.0. Po pewnym czasie powstał nowy projekt wdrażany w firmie, który wymagał instalacji kolejnych 10 dysków sieciowych. Wielu administratorów skorzystałoby z kolejnych wolnych adresów i nadało odpowiednio numery: 192.168.200.12 do 192.168.200.21. My jednak przypominamy regułę pierwszą – przydzielaj bloki adresów tak, abyś mógł się do nich odwołać jednym wpisem w firewallu. Biorąc pod uwagę, że dysponujemy całą klasą C, a pierwszy projekt spożytkował tylko 10 adresów + adres routera, możemy nowy projekt przesunąć nieco wyżej. Pozostawmy margines adresów dla pierwszego przedsięwzięcia i rozpocznijmy nowy blok np. od adresu 192.168.200.17. W ten sposób, jeżeli w przyszłości zechcemy podzielić naszą pulę na mniejsze podsieci, pierwsza część będzie miała adres: 192.168.200.0, maskę: 255.255.255.240, a druga adres: 192.168.200.16 również z maską /28. Jak w takim razie dzielić większe sieci na podsieci? Zadbaj, aby przydzielanie adresów IP było logiczne. Priorytetem powinno być: możliwość stworzenia jak największej podsieci w przestrzeni jeszcze nie zagospodarowanej, stworzenie możliwości rozszerzania podsieci o adresy przyległe. Stosowanie się do powyższych zaleceń często będzie próbą pogodzenia dwóch sprzeczności. Przydzielając adresy, można posłużyć się jedną z trzech metod: Metoda sekwencyjna polega na podziale sieci na podsieci zgodnie z założoną sekwencją, np. sieć o adresie: 192.168.80.0/24 dzielimy na podsieci ośmio adresowe: 192.168.80.0/29, 192.168.80.8/29, 192.168.80.16/29 itd. Dosyć często stosowana przez administratorów, jest rozwiązaniem mało elastycznym. W przypadku konieczności rozbudowy podsieci o kolejne adresy, nie pozostawia wolnych przestrzeni. Wydzielenie dużej przestrzeni adresowej w tak podzielonej strukturze też może być problematyczne. 4 Druga metoda to dzielenie na pół. W celu przydzielenia przestrzeni adresowej, należy wykorzystać połowę z najmniejszej, dostępnej przestrzeni adresowej. Pomysł ten polega na utrzymywaniu jak największych możliwych bloków przestrzeni adresowej. Spójrzmy na przykład, jak podzielono sieć na podsieci na rysunku 6.2. Zadaniem administratora było wydzielenie 4 podsieci 16 adresowych. W pierwszym kroku całą przestrzeń klasy C podzielił na pół. Wykorzystując drugą połowę adresów, dokonał kolejnego podziału na pół i tym razem wybrał pierwszą ćwiartkę. W następnych dwóch krokach, dzieląc na pół, wybierał również pierwsze fragmenty podzielonej sieci i tak uzyskał przestrzeń o adresie: 192.168.80.128/28. Kolejną podsieć zaadresował dzieląc czwartą ćwiartkę wszystkich adresów dwa razy na pół. W przypadku trzeciej podsieci sięgnął po przestrzeń: 192.168.80.160/27 i podzielił ją na pół. Przyglądając się kolejnym podziałom zauważymy, że pierwsza połowa adresów stanowi cały czas spójną dużą pulę adresową, a dokonane podziały umożliwiają rozszerzenie naszych 16 adresowych sieci o kolejny przylegający blok. Jak widać, metoda ta spełnia założone wcześniej kryteria priorytetowe, dlatego jest chętnie wykorzystywana przy podziale adresów. Układ wykorzystanych przestrzeni pozostawia nam dużą elastyczność w przypadku rozbudowy istniejących lub tworzeniu nowych podsieci. Trzecim sposobem rekomendowanym przez firmę Cisco jest metoda odwrotna binarna. Tworząc kolejne podsieci korzystamy z adresu początku sieci, który jest lustrzanym odbiciem numeru tej podsieci, zapisanego binarnie. Najlepiej spróbujmy na przykładzie. Przydzielmy pierwsze 4 podsieci 16 adresowe w znanej nam przestrzeni: 192.168.80.0/24. Wiedząc, że będziemy wydzielali 4 podsieci, zapiszmy ich numery (od 1 do 4) binarnie. numer podsieci binarnie 00000001 00000010 00000011 00000100 numer podsieci 1 2 3 4 lustrzane odbicie numeru binarnego 10000000 01000000 11000000 00100000 wartość dziesiętna lustrzanego odbicia 128 64 192 32 5 Rysunek 6.2 Podział sieci na podsieci metodą dzielenia na pół Źródło: materiały własne Zapis lustrzany numeru podsieci daje nam adres tej podsieci. Nowe, przydzielone przestrzenie adresowe będą rozpoczynały się adresami: podsieć nr 1 2 3 4 adres podsieci 192.168.80.128 192.168.80.64 192.168.80.192 192.168.80.32 Maska 255.255.255.240 255.255.255.240 255.255.255.240 255.255.255.240 wolna przestrzeń za 48 adresów 48 adresów 48 adresów 16 adresów Jak widać, tak zaplanowane podsieci, w stosunku do metody dzielenia na pół, pozostawiają większe przestrzenie między sieciami, co pozwala na większą swobodę przy rozbudowie. Różnice te zacierają się w momencie przydzielenia ośmiu podsieci. 6 Każda z proponowanych metod ma swoich zwolenników. Najważniejsze, aby przy dokonywaniu podziału nie zamknąć sobie możliwości rozbudowy naszych podsieci o kolejne hosty. Im struktura będzie podatniejsza na zmiany, tym dłużej będziemy mogli dokonywać w niej modyfikacje, bez konieczności wywoływania rewolucyjnych zmian w adresach. 2. Zaplanowanie zapasowej adresacji IP Problematyka zapasowej adresacji, wynikającej z możliwości rozbudowy sieci, w większości została opisana w rozdziale powyżej. Mając na uwadze przyszłą ekspansję sieci, nie należy zamykać się w wąskich przestrzeniach adresowych. Błędem wielu administratorów jest używanie standardowych przestrzeni adresowych narzuconych przez producentów różnego sprzętu sieciowego. Spójrzmy na sprzęt klasy SOHO (Small Office/Home Office). Większość producentów ustawia fabrycznie w routerach sieć LAN o adresie: 192.168.0.0/24 lub 192.168.1.0/24. Bazując na tych ustawieniach pracuje 95% sieci, a przecież przestrzeń adresów prywatnych w klasie C rozciąga się od adresu: 192.168.0.0 do 192.168.255.255. Zmiana ustawień fabrycznych na „swoje” pozwala na swobodniejszy podział sieci oraz zwiększa ich bezpieczeństwo. Pozbywając się ustawień standardowych sygnalizujemy, że należymy do grupy świadomych administratorów, którzy aktywnie kreują politykę adresową swojej sieci. Pamiętajmy również o pozostałych przestrzeniach wydzielonych na potrzeby sieci prywatnych. Jeżeli z jakiegoś powodu posługiwanie się adresami z pierwotnej klasy C nas ogranicza, zawsze można sięgnąć po przestrzenie prywatnych adresów z grupy: 10.0.0.0/8 lub 172.16.0.0/12. Dużo szerszy ich zakres pozwoli jeszcze swobodniej aranżować politykę adresową wewnątrz naszej sieci. 3. Dobór oprogramowania do świadczenia usług w sieci Jednym z ważniejszych problemów podczas projektowania sieci jest wybór oprogramowania do świadczenia określonych usług. Jeżeli celem budowy sieci będzie informatyzacja działu księgowości firmy, a główny księgowy i jego współpracownicy już zdecydowali się na konkretne oprogramowanie, jesteś wielkim szczęśliwcem. Inaczej sprawa wygląda, gdy to Ty masz zadecydować, jaki serwer FTP będzie w firmie wykorzystywany do wymiany plików. Można skorzystać z komercyjnych rozwiązań, które posiadają gwarancję, profesjonalną linię wsparcia, zapewnione upgrade, ale będziesz musiał przekonać inwestora, że to rozwiązanie warte jest pieniędzy, jakie za nie żądają. Inny kierunek to rozwiązanie Open Source. Niezbyt mile widziane w niektórych korporacjach, gdyż nie posiadają tak dużego wsparcia, a i reklamacja darmowego produktu mija się z zasadami logiki. Bardziej zaawansowani administratorzy potrafią przekazać swój punkt widzenia i zasugerować konkretne rozwiązania projektantowi. Dodatkowo są w stanie przekonać do swoich potrzeb tak, aby projektant był w stanie obronić wybrany pomysł przed inwestorem. Pytanie, czy płacić za oprogramowanie, czy korzystać z darmowego, nie pozostawia prostej odpowiedzi. Jeżeli w korporacji liczącej 2000 pracowników używa się z powodzeniem Microsoft Office 2010, nakłanianie do instalacji OpenOffice na nowo powstałych stanowiskach wydaje się walką z wiatrakami. Natomiast wdrażając nową usługę, np. elektronicznego obiegu dokumentów, może warto sięgnąć po darmowe rozwiązanie, którego skalowalność sprawi, że zestroimy ten system typowo pod potrzeby naszej firmy. Tego typu wdrożenia wymagają większej wiedzy i doświadczenia od administratora, jednak znacznie ograniczają koszty inwestycyjne. Podsumowując, dobór oprogramowania zawsze 7 stanowił duży problem dla projektujących sieci. Indywidualne upodobania i nawyki przyszłych użytkowników są czynnikiem rzadko badanym podczas przystępowania do projektu. To jednak ich wiedza i umiejętności determinują pojęcie sukcesu przy wdrożeniu. Jeżeli trafimy we właściwe oprogramowanie w danej branży, użytkownicy będą chwalić kierownikowi nowe rozwiązanie. W przypadku błędnej decyzji, dowiemy się o tym od inwestora bardzo szybko. Coś, co z pozoru nie jest bezpośrednio związane z budowaną przez wykonawcę siecią, może przesądzić o sukcesie lub porażce tej inwestycji. Użytkownicy nie są świadomi wysublimowanych rozwiązań sieciowych. Protekcja i zaawansowany routing nic dla nich nie znaczą. Stopień ich zadowolenia zależy tylko od dwóch czynników: prawidłowo dobranej aplikacji końcowej oraz szybkości jej działania. Można pomyśleć, że szybkość to sieć i chociaż na część mamy wpływ. Prawdą jest jednak, że szybkość to w głównej mierze odpowiednio skonfigurowane serwery przetwarzające dane użytkowników. 4. Sporządzenie dokumentacji adresacji IP sieci Podobnie jak z innymi elementami projektowanej sieci, tak i w przypadku adresacji IP wymagana jest dobrze skonstruowana dokumentacja proponowanej adresacji. Wspomagając się schematem logicznym sieci można zaproponować adresy dla poszczególnych urządzeń oraz interfejsów routerów. Pamiętajmy, aby nie przekazywać takich informacji na schematach wykonawczych sieci. Położenie geograficzne na planie budynku zakończeń sieciowych czy urządzeń dotyczy technologii ich fizycznego łączenia, a nie logicznej adresacji. Rysunek 6.3 pokazuje przykładową sieć, w której projektant zaplanował adresację IP. W przypadku tak prostej sieci można pokusić się o naniesienie wszystkich informacji na jednym rysunku. Przy bardziej skomplikowanych projektach, w znacznej mierze zamazałoby to rysunek i cały schemat przestałby być czytelny. Dobrą praktyką jest wówczas stosowanie odpowiednich warstw oraz zróżnicowanej kolorystyki na projekcie elektronicznym. W przypadku oglądania specyficznych właściwości sieci, np. VLAN-ów, zbędne warstwy można wówczas wyłączyć. Jeżeli chodzi o wydruki, projektanci często nie nanoszą adresów bezpośrednio na schemacie. Odnoszą się do jednoznacznie oznaczonych obiektów, przywołując ich adresy i inne parametry zestawione np. w tabelach. Jak może wyglądać taki schemat, pokazuje rysunek 6.4. Rysunek 6.3 Propozycja adresacji IP na schemacie logicznym sieci Źródło: http://www.e-alarmy.pl/download/inne/adresacja-ip.png 8 Rysunek 6.4 Schemat logiczny sieci z jednoznacznym określeniem nazewnictwa urządzeń Źródło: materiały własne Przywołując nazwy urządzeń zestawiamy ich parametry w tabeli: nazwa Adres IP maska brama interfejs Router 1 154.204.138.130 255.255.255.252 154.204.138.129 A Router 1 192.168.120.1 255.255.255.0 154.204.138.129 B Switch 192.168.120.250 255.255.255.0 192.168.120.1 VLAN1 Serwer 1 192.168.120.128 255.255.255.0 192.168.120.1 Eth1 Stacja Rob. 1 192.168.120.16 255.255.255.0 192.168.120.1 Eth1 Stacja Rob. 2 192.168.120.17 255.255.255.0 192.168.120.1 Eth1 W ten sposób zdefiniowane ustawienia nie zaciemniają schematu logicznego sieci. Przywołane dwie metody nie wyczerpują oczywiście wszystkich możliwości zapisu w projekcie proponowanej adresacji IP. Jeżeli wymogi inwestora lub inne czynniki wymuszą inny zapis tego fragmentu projektu, istnieje oczywiście możliwość jego modyfikacji. Ważne jest, aby zapis jednoznacznie wskazywał na proponowane adresy, nie pozostawiał dowolności w interpretacji. Jednocześnie forma, w jakiej będziemy przekazywać nasze rozwiązania, ma być czytelna, prosta i przejrzysta. 9 Bibliografia: 1. Halska B., Bensel P., Kwalifikacja E.13. Projektowanie lokalnych sieci komputerowych i administrowanie sieciami. Podręcznik do nauki zawodu technik informatyk. Część 2, Gliwice 2013, Helion. 2. Pawlak R., Okablowanie strukturalne sieci – Teoria i praktyka, Gliwice 2011, Helion. Netografia: 1. Adresacja IPv4: http://www.cs.put.poznan.pl/mlibuda/adrIP1.pdf 2. Komputer Świat: http://forum.komputerswiat.pl/topic/47832-adresacja-siecilan/ 3. Lokalna academia CISCO: http://cisco.elektronik.edu.pl/materialy/pdf/adresowanie.pdf 4. Planowanie adresacji IP dla przedsiębiorstwa: http://cisco.wsiz.wroc.pl/docs/Planowanie%20adresacji%20IP.pdf 10