POLITECHNIKA ŚLĄSKA Wydział Automatyki, Elektroniki i Informatyki Kierunek: Informatyka Routing i polityka bezpieczeństwa w Śląskiej Akademickiej Sieci Komputerowej Promotor: dr inż. Adam Domański Wykonał: Bartłomiej Królicki Gliwice 2006
Agenda Wstęp Cel pracy Stan sieci ŚASK przed zmianami Plan modernizacji sieci ŚASK Monitorowanie stanu sieci Wnioski Dalszy rozwój sieci ŚASK
Wstęp Śląska Akademicka Sieć Komputerowa Sieć regionalna łącząca wyższe uczelnie, szkoły, jednostki administracji samorządowej i instytuty naukowo- badawcze Obejmuje teren województwa śląskiego (8 miast) Jednostką wiodącą jest Politechnika Śląska Budową i funkcjonowaniem kieruje Centrum Komputerowe
Agenda Wstęp Cel pracy Stan sieci ŚASK przed zmianami Plan modernizacji sieci ŚASK Monitorowanie stanu sieci Wnioski Dalszy rozwój sieci ŚASK
Cel pracy Przeprojektowanie sieci ŚASK Zapewnienie skalowalności Rozwój przy możliwie małym nakładzie kosztów Zaprojektowanie polityki routingu Przydział klas adresowych Zapewnienie mechanizmów bezpieczeństwa Monitorowanie sieci
Agenda Wstęp Cel pracy Stan sieci ŚASK przed zmianami Plan modernizacji sieci ŚASK Monitorowanie stanu sieci Wnioski Dalszy rozwój sieci ŚASK
Stan sieci ŚASK przed zmianami Wcześniejsza struktura sieci Szkielet sieci oparty na routerach 3Com NB II Połączenia międzymiastowe w technologii ATM 155 Mb/s W obrębie miast łącza FDDI 100 Mb/s Koncentratory 100 Mb/s, sporadycznie przełączniki, jako miejsce podpięcia klientów końcowych Członkowstwo w konsorcjum Pol34/155
Agenda Wstęp Cel pracy Stan sieci ŚASK przed zmianami Plan modernizacji sieci ŚASK Monitorowanie stanu sieci Wnioski Dalszy rozwój sieci ŚASK
Plan modernizacji sieci ŚASK Członkostwo w konsorcjum PIONIER Zmiana struktury sieci Przydział adresów IP Proponowane nazwy urządzeń Klasyfikacja routerów w ŚASK Polityka routingu i implementacja Projekt bezpieczeństwa sieci
Członkostwo w konsorcjum PIONIER PIONIER Polski Internet Optyczny Polska sieć naukowa 10 GE Technologia DWDM z światłowodami G.652 i G.655 Przełączniki Black Diamond firmy Extreme Networks Połączenia zagraniczne GEANT2: 10 GE i 10Gb/s POS INTERNET: 2,5 Gb/s POS do operatora TeliaSonera (kraje bałtyckie i nordyckie) Własne łącza do sieci w Niemczech i Czechach Nadzór pełni PIONIER NOC
Plan modernizacji sieci ŚASK Członkostwo w konsorcjum PIONIER Zmiana struktury sieci Przydział adresów IP Proponowane nazwy urządzeń Klasyfikacja routerów w ŚASK Polityka routingu i implementacja Projekt bezpieczeństwa sieci
Zmiana struktury sieci Szkielet sieci ŚASK Technologia 1GE Przełączniki firmy Cisco, Alcatel, 3Com Głównie przełączniki L2, w niektórych miejscach L3 4 główne routery firmy Cisco Systems i Ericsson (Juniper M5) 3 punkty styku z konsorcjum PIONIER Połączenia zagraniczne za pośrednictwem PIONIERa
Plan modernizacji sieci ŚASK Członkostwo w konsorcjum PIONIER Zmiana struktury sieci Przydział adresów IP Proponowane nazwy urządzeń Klasyfikacja routerów w ŚASK Polityka routingu i implementacja Projekt bezpieczeństwa sieci
Przydział adresów IP Podział hierarchiczny pod sumaryzację 83.230.0.0 /17 157.158.0.0/16 192.82.160.0/19 212.106.128.0/18 213.227.64.0/18 157.158.160.0/ 23 Karlik 157.158.162.0/ 23 Karolinka 157.158.164.0/ 23 Elektron 157.158.166.0/ 23 Strzecha 157.158.168.0/ 23 Ondraszek 157.158.172.0/ 22 Barbara 157.158.176.0/ 23 Rzepicha 157.158.178.0/ 23 Piast 157.158.180.0/ 23 Ziemowit 157.158.182.0/ 23 Asystent 157.158.184.0/ 22 Solaris 157.158.0.0/16 0 127: Gliwice 128 143: Katowice 144 159: Zabrze 160 191: Domy studenckie 192 207: Rybnik 208 247: Wolne 248 255: Administracyjne 157.158.188.0/ 22 Wolne Sumaryzacja akademików: 157.158.160.0/21
Plan modernizacji sieci ŚASK Członkostwo w konsorcjum PIONIER Zmiana struktury sieci Przydział adresów IP Proponowane nazwy urządzeń Klasyfikacja routerów w ŚASK Polityka routingu i implementacja Projekt bezpieczeństwa sieci
Proponowane nazwy urządzeń G CK r6 Miasto lokalizacja typ urządzenia kolejny numer 0... 9 BB: Bielsko- Biała B: Bytom C: Cieszyn G: Gliwice K: Katowice R: Rybnik S: Sosnowiec Z: Zabrze AEiI:Wydział Automatyki, Elektroniki i Informatyki CK: Centrum Komputerowe TP: Telekomunikacja Polska r: router s: przełącznik (ang. switch) itd.
Plan modernizacji sieci ŚASK Członkostwo w konsorcjum PIONIER Zmiana struktury sieci Przydział adresów IP Proponowane nazwy urządzeń Klasyfikacja routerów ŚASK Polityka routingu i implementacja Projekt bezpieczeństwa sieci
Klasyfikacja routerów ŚASK Dwa rodzaje ruchu Cisco Catalyst 6506: G-CK-r6 i K-PSE-r1 Juniper M5: G-CK-r2 i K-PSE-r2 Ruch komercyjny: G-CK-r6 i K-PSE-r1 Ruch edukacyjny: G-CK-r2 i K-PSE-r2 Dwa łącza 1 GE Gliwice- Katowice, przełączanie ruchu poprzez RSTP: <1s Wyjście do PIONIERa przez K-PSE-r1
Plan modernizacji sieci ŚASK Członkostwo w konsorcjum PIONIER Zmiana struktury sieci Przydział adresów IP Proponowane nazwy urządzeń Klasyfikacja routerów w ŚASK Polityka routingu i implementacja Projekt bezpieczeństwa sieci
Polityka routingu i implementacja Wybrane protokoły IGP i EGP OSPF Implementacja na routerach różnych dostawców AD: 110 CIDR + VLSM Metryka w postaci kosztu Aktualizacje o zmianach w momencie ich wystąpienia Pełne aktualizacje co 30 minut BGPv4 Powszechnie używany w sieciach komputerowych Konwergencja: 5-10 sekund
Polityka routingu i implementacja G-CK-r6 z działającym OSPF G-CK-r6(config)# interface vlan 205 G-CK-r6(config-if)# description #### Router CORE #### G-CK-r6(config-if)# ip address 157.158.254.164 255.255.255.248 G-CK-r6(config-if)# ip ospf network broadcast G-CK-r6(config-if)# ip ospf cost 10 Vlan 205 - interfejs odpowiedzialny za łączność z innymi routerami. Typ sieci OSPF jako broadcast. Określenie kosztu łącza. G-CK-r6(config)# interface Loopback0 G-CK-r6(config-if)# ip address 157.158.254.253 255.255.255.255 G-CK-r6(config)# router ospf 1 G-CK-r6(config-router)# network 0.0.0.0 255.255.255.255 area 0.0.0.0 G-CK-r6(config-router)# passive-interface default G-CK-r6(config-router)# no passive-interface Vlan205 G-CK-r6(config-router)# redistribute connected G-CK-r6(config-router)# redistribute static subnets G-CK-r6(config-router)# log-adjacency-changes G-CK-r6(config-router)# ignore lsa mospf Interfejs loopback jako numer RID. Uruchomienie procesu OSPF. Wysyłanie informacji o wszystkich skonfigurowanych interfejsach. Jednoznaczne określenie interfejsu Vlan 205 do rozsyłania aktualizacji. Dołączenie sieci typu stub do rozgłaszania, bez uruchamiania na nich procesu. Dołączenie wpisów statycznych w tablicy routingu do przesyłania w aktualizacjach. Wysyłanie wiadomości systemowych. Zakazanie wysyłania tych wiadomości, jeżeli router odbiera LSA typu 6 (Multicast OSPF):
Polityka routingu i implementacja G-CK-r6 z działającym BGP 2 DO 2 DO
Plan modernizacji sieci ŚASK Członkostwo w konsorcjum PIONIER Zmiana struktury sieci Przydział adresów IP Proponowane nazwy urządzęń Klasyfikacja routerów w ŚASK Polityka routingu i implementacja Projekt bezpieczeństwa sieci
Plan bezpieczeństwa sieci Rozwiązania sprzętowe i programowe Mechanizm iptables vs Linux: automatyczna blokada ruchu p2p, wirusów, trojanów, robaków Zdalny dostęp do urządzeń sieciowych za pomocą TELNET z wydzielonej w tym celu sieci lub SSH Listy kontroli dostępu (ACL)
Agenda Wstęp Cel pracy Stan sieci ŚASK przed zmianami Plan modernizacji sieci ŚASK Monitorowanie stanu sieci Wnioski Dalszy rozwój sieci ŚASK
Monitorowanie stanu sieci Darmowe rozwiązania
Agenda Wstęp Cel pracy Stan sieci ŚASK przed zmianami Plan modernizacji sieci ŚASK Monitorowanie stanu sieci Wnioski Dalszy rozwój sieci ŚASK
Wnioski Założenia pracy zostały spełnione Zaproponowane rozwiązania mają zastosowanie od dłuższego czasu w sieci produkcyjnej ŚASK
Agenda Wstęp Cel pracy Stan sieci ŚASK przed zmianami Plan modernizacji sieci ŚASK Monitorowanie stanu sieci Wnioski Dalszy rozwój sieci ŚASK
Dalszy rozwój sieci ŚASK Zamiana routerów G-CK-r6 i K-PSE-r1 na urządzenia Juniper M7i. Uruchomienie na wszystkich routerach Juniper wirtualnych routerów
Dziękuje za uwagę.