Slaska Akademicka Siec Komputerowa
Transkrypt
Slaska Akademicka Siec Komputerowa
POLITECHNIKA ŚLĄSKA Wydział Automatyki, Elektroniki i Informatyki Kierunek: Informatyka Routing i polityka bezpieczeństwa w Śląskiej Akademickiej Sieci Komputerowej Promotor: dr inż. Adam Domański Wykonał: Bartłomiej Królicki Gliwice 2006 Agenda Wstęp Cel pracy Stan sieci ŚASK przed zmianami Plan modernizacji sieci ŚASK Monitorowanie stanu sieci Wnioski Dalszy rozwój sieci ŚASK Wstęp Śląska Akademicka Sieć Komputerowa Sieć regionalna łącząca wyższe uczelnie, szkoły, jednostki administracji samorządowej i instytuty naukowo- badawcze Obejmuje teren województwa śląskiego (8 miast) Jednostką wiodącą jest Politechnika Śląska Budową i funkcjonowaniem kieruje Centrum Komputerowe Agenda Wstęp Cel pracy Stan sieci ŚASK przed zmianami Plan modernizacji sieci ŚASK Monitorowanie stanu sieci Wnioski Dalszy rozwój sieci ŚASK Cel pracy Przeprojektowanie sieci ŚASK Zapewnienie skalowalności Rozwój przy możliwie małym nakładzie kosztów Zaprojektowanie polityki routingu Przydział klas adresowych Zapewnienie mechanizmów bezpieczeństwa Monitorowanie sieci Agenda Wstęp Cel pracy Stan sieci ŚASK przed zmianami Plan modernizacji sieci ŚASK Monitorowanie stanu sieci Wnioski Dalszy rozwój sieci ŚASK Stan sieci ŚASK przed zmianami Wcześniejsza struktura sieci Szkielet sieci oparty na routerach 3Com NB II Połączenia międzymiastowe w technologii ATM 155 Mb/s W obrębie miast łącza FDDI 100 Mb/s Koncentratory 100 Mb/s, sporadycznie przełączniki, jako miejsce podpięcia klientów końcowych Członkowstwo w konsorcjum Pol34/155 Agenda Wstęp Cel pracy Stan sieci ŚASK przed zmianami Plan modernizacji sieci ŚASK Monitorowanie stanu sieci Wnioski Dalszy rozwój sieci ŚASK Plan modernizacji sieci ŚASK Członkostwo w konsorcjum PIONIER Zmiana struktury sieci Przydział adresów IP Proponowane nazwy urządzeń Klasyfikacja routerów w ŚASK Polityka routingu i implementacja Projekt bezpieczeństwa sieci Członkostwo w konsorcjum PIONIER PIONIER – Polski Internet Optyczny Polska sieć naukowa 10 GE Technologia DWDM z światłowodami G.652 i G.655 Przełączniki Black Diamond firmy Extreme Networks Połączenia zagraniczne GEANT2: 10 GE i 10Gb/s POS INTERNET: 2,5 Gb/s POS do operatora TeliaSonera (kraje bałtyckie i nordyckie) Własne łącza do sieci w Niemczech i Czechach Nadzór pełni PIONIER NOC Plan modernizacji sieci ŚASK Członkostwo w konsorcjum PIONIER Zmiana struktury sieci Przydział adresów IP Proponowane nazwy urządzeń Klasyfikacja routerów w ŚASK Polityka routingu i implementacja Projekt bezpieczeństwa sieci Zmiana struktury sieci Szkielet sieci ŚASK Technologia 1GE Przełączniki firmy Cisco, Alcatel, 3Com Głównie przełączniki L2, w niektórych miejscach L3 4 główne routery firmy Cisco Systems i Ericsson (Juniper M5) 3 punkty styku z konsorcjum PIONIER Połączenia zagraniczne za pośrednictwem PIONIERa Plan modernizacji sieci ŚASK Członkostwo w konsorcjum PIONIER Zmiana struktury sieci Przydział adresów IP Proponowane nazwy urządzeń Klasyfikacja routerów w ŚASK Polityka routingu i implementacja Projekt bezpieczeństwa sieci Przydział adresów IP Podział hierarchiczny pod sumaryzację 157.158.0.0/16 83.230.0.0 /17 157.158.0.0/16 192.82.160.0/19 212.106.128.0/18 213.227.64.0/18 157.158.160.0/ 23 157.158.162.0/ 23 Karlik Karolinka 157.158.164.0/ 23 157.158.166.0/ 23 157.158.168.0/ 23 157.158.172.0/ 22 157.158.176.0/ 23 Elektron Strzecha Ondraszek Barbara Rzepicha 157.158.178.0/ 23 157.158.180.0/ 23 157.158.182.0/ 23 157.158.184.0/ 22 Piast Ziemowit Asystent Solaris 157.158.188.0/ 22 Wolne 0 – 127: Gliwice 128 – 143: Katowice 144 – 159: Zabrze 160 – 191: Domy studenckie 192 – 207: Rybnik 208 – 247: Wolne 248 – 255: Administracyjne Sumaryzacja akademików: 157.158.160.0/21 Plan modernizacji sieci ŚASK Członkostwo w konsorcjum PIONIER Zmiana struktury sieci Przydział adresów IP Proponowane nazwy urządzeń Klasyfikacja routerów w ŚASK Polityka routingu i implementacja Projekt bezpieczeństwa sieci Proponowane nazwy urządzeń G–CK –r6 Miasto – lokalizacja – typ urządzenia – kolejny numer 0 ... 9 BB: Bielsko- Biała B: Bytom C: Cieszyn G: Gliwice K: Katowice R: Rybnik S: Sosnowiec Z: Zabrze r: router s: przełącznik (ang. switch) AEiI:Wydział Automatyki, Elektroniki i Informatyki CK: Centrum Komputerowe TP: Telekomunikacja Polska itd…. Plan modernizacji sieci ŚASK Członkostwo w konsorcjum PIONIER Zmiana struktury sieci Przydział adresów IP Proponowane nazwy urządzeń Klasyfikacja routerów ŚASK Polityka routingu i implementacja Projekt bezpieczeństwa sieci Klasyfikacja routerów ŚASK Dwa rodzaje ruchu Cisco Catalyst 6506: G-CK-r6 i K-PSE-r1 Juniper M5: G-CK-r2 i K-PSE-r2 Ruch komercyjny: G-CK-r6 i K-PSE-r1 Ruch edukacyjny: G-CK-r2 i K-PSE-r2 Dwa łącza 1 GE GliwiceKatowice, przełączanie ruchu poprzez RSTP: <1s Wyjście do PIONIERa przez K-PSE-r1 Plan modernizacji sieci ŚASK Członkostwo w konsorcjum PIONIER Zmiana struktury sieci Przydział adresów IP Proponowane nazwy urządzeń Klasyfikacja routerów w ŚASK Polityka routingu i implementacja Projekt bezpieczeństwa sieci Polityka routingu i implementacja Wybrane protokoły IGP i EGP OSPF Implementacja na routerach różnych dostawców AD: 110 CIDR + VLSM Metryka w postaci kosztu Aktualizacje o zmianach w momencie ich wystąpienia Pełne aktualizacje co 30 minut Konwergencja: 5-10 sekund BGPv4 Powszechnie używany w sieciach komputerowych Polityka routingu i implementacja G-CK-r6 z działającym OSPF G-CK-r6(config)# interface vlan 205 G-CK-r6(config-if)# description #### Router CORE #### G-CK-r6(config-if)# ip address 157.158.254.164 255.255.255.248 G-CK-r6(config-if)# ip ospf network broadcast G-CK-r6(config-if)# ip ospf cost 10 G-CK-r6(config)# interface Loopback0 G-CK-r6(config-if)# ip address 157.158.254.253 255.255.255.255 G-CK-r6(config)# router ospf 1 G-CK-r6(config-router)# network 0.0.0.0 255.255.255.255 area 0.0.0.0 G-CK-r6(config-router)# passive-interface default G-CK-r6(config-router)# no passive-interface Vlan205 G-CK-r6(config-router)# redistribute connected G-CK-r6(config-router)# redistribute static subnets G-CK-r6(config-router)# log-adjacency-changes G-CK-r6(config-router)# ignore lsa mospf Vlan 205 - interfejs odpowiedzialny za łączność z innymi routerami. Typ sieci OSPF jako broadcast. Określenie kosztu łącza. Interfejs loopback jako numer RID. Uruchomienie procesu OSPF. Wysyłanie informacji o wszystkich skonfigurowanych interfejsach. Jednoznaczne określenie interfejsu Vlan 205 do rozsyłania aktualizacji. Dołączenie sieci typu stub do rozgłaszania, bez uruchamiania na nich procesu. Dołączenie wpisów statycznych w tablicy routingu do przesyłania w aktualizacjach. Wysyłanie wiadomości systemowych. Zakazanie wysyłania tych wiadomości, jeżeli router odbiera LSA typu 6 (Multicast OSPF): Polityka routingu i implementacja G-CK-r6 z działającym BGP 2 DO 2 DO Plan modernizacji sieci ŚASK Członkostwo w konsorcjum PIONIER Zmiana struktury sieci Przydział adresów IP Proponowane nazwy urządzęń Klasyfikacja routerów w ŚASK Polityka routingu i implementacja Projekt bezpieczeństwa sieci Plan bezpieczeństwa sieci Rozwiązania sprzętowe i programowe Mechanizm iptables vs Linux: automatyczna blokada ruchu p2p, wirusów, trojanów, robaków Zdalny dostęp do urządzeń sieciowych za pomocą TELNET z wydzielonej w tym celu sieci lub SSH Listy kontroli dostępu (ACL) Agenda Wstęp Cel pracy Stan sieci ŚASK przed zmianami Plan modernizacji sieci ŚASK Monitorowanie stanu sieci Wnioski Dalszy rozwój sieci ŚASK Monitorowanie stanu sieci Darmowe rozwiązania Agenda Wstęp Cel pracy Stan sieci ŚASK przed zmianami Plan modernizacji sieci ŚASK Monitorowanie stanu sieci Wnioski Dalszy rozwój sieci ŚASK Wnioski Założenia pracy zostały spełnione Zaproponowane rozwiązania mają zastosowanie od dłuższego czasu w sieci produkcyjnej ŚASK Agenda Wstęp Cel pracy Stan sieci ŚASK przed zmianami Plan modernizacji sieci ŚASK Monitorowanie stanu sieci Wnioski Dalszy rozwój sieci ŚASK Dalszy rozwój sieci ŚASK Zamiana routerów G-CK-r6 i K-PSE-r1 na urządzenia Juniper M7i. Uruchomienie na wszystkich routerach Juniper wirtualnych routerów Dziękuje za uwagę.