Network

From NMS
Jump to: navigation, search

Dokumemtace a pravidla k organizaci sítě na FJFI. Jakékoliv změny v tomto dokumentu musí být oznámeny v mailing listu správců IT na FJFI (comp@lists.fjfi.cvut.cz), aby bylo možné sladit konfigurace lokálních systémů (např. firewallu) v závislosti na úpravách konfigurace sítě.

Páteřní rozvody a zapojení

Břehová

Plány rozmístění rozvaděčů a barevně obarvené místnosti podle připojení síťových (ethernetových) zásuvek do rozvaděčů:

Ostatní dokumentace

Trojanova

Dokumentace z FJFI archivu k překladu optických tras realizovaných v roce 2009 (nascanováno, obrovské ~ 10MB JPG soubory):

Ostatní dokumentace

  • weathermap (plně funkční po přihlášení k observium)
  • připojení HK
    • přívod chráničky do budovy je v místnosti s117 (hlavní uzávěr vody)
    • SM kabel - PIRELLI Deskwave 053/2001 LOOSE UNITUBE 12 9/125 T/VM
    • MM kabel - 12vl.
    • MM kabel je v místnosti s117 naspojkován (dříve vedl do 112 ale nyní přeložen do 302)
    • SM kabel nebyl nikdy ze 112 přeložen (po rekonstrukcích 112 v létě 2015 by měl být stažen do s117)
  • připojení do ČVUT
    • přívod chráničky do budovy je v místnosti s128
    • FRNC Belden optical Fibre 2x50/125 + 14x9/125
    • tento kabel nevede až na karlák, je naspojkován a dál vedou jen 2vl. SM optiky
    • cestou do místnosti 302 je nastaven (+/- někde u výtahu)
  • hlavní rozvaděč optiky v 302
  • propojeni serveroven ve sklepě
    • mezi serverovnami SRV1 <-> SRV2 <-> SRV3+4 natažena i metalika
      • aktuálně jde o 2x CAT6 ethernet kabel
    • zadavatel měl dost nešťastný nápad rozvést pouze 2 páry optiky
      • rozvedeny jsou nakonec 4 páry včetně koncovek (nutné odšroubovat víko)
      • v optické vaně jsou nacvaknuty do SC-SC spojky pouze 2 páry
      • pravděpodobně nebylo dost místa / pozic pro zapojení dalších konektorů
    • navíc byla použita aktuálně asi nehorší dostupná vlákna MM OM1
      • SFP-10G-SR (33m) nefungují spolehlivě ani mezi SRV1 <-> SRV2
      • pro spojení bude asi nutné pořizovat 2x dražší SFP-10G-LRM (220m)
      • při přímém propatchování SRV302 <-> SRV2 nefungovali spolehlivě ani tyto lepší moduly
    • spojení serveroven je seriové SRV1 <-> SRV2 <-> SRV3+4
      • mezi SRV3 a SRV4 bude ve zdi průchod takže optika z rozvaděče v SRV4 půjde "napatchovat" k zařízením v SRV3
      • jedno vlákno (nejvíce vpravo) mezi SRV1 <-> SRV2 je mrtvé
    • PLÁN rekonstrukce
      • předelat udělat všechno do SM optiky
      • rozmyslet se ve které místnosti bude centralní rozvod optiky
      • z centrálního rozvodu mít vlakna do všech serveroven
      • hodně vláken s minimálně 6ti páry připravenými v patch panelu na každé SRVx
      • natáhnout opravdu hodně SM vláken do SRV302(?!)
      • v posledních letech jsou stále populárnější v budovách pre-terminated kabely s MTO/MTP (multifiber) koncovkami
      • existují MTO/MTP konektory s 2x, 4x, 8x, 12x, 24x až 72x vlákny, ale pro správnou kabeláž je jestě podstatné dostupné kazety
      • běžné kazety mají 12 LC konektorů (vejsou se 3 to 1U), dají se sehnat i vysokohustotní kazety s 24 LC konektory

Trója

Připojení bylo až do 201606 realizováno routováním přes PASNET a připojením do jejich routeru v Tróji. Od 1.7.2016 je Trója připojena lambdou přímo do Dejvic (CWDM 1470nm) a to trasou přes UTIA. V Tróji je na serverovně (PASNETu) optika "z Dejvic" propatchovana do rozvaděče na chodbě L119 (optika je v patch panelu zakončena LC/PC konektory), kde je aktuálně 1Gb zapojena do MikroTik CCR1016-12S-1S+ (detaily viz. Zmena pripojeni lokality Troja (IPv6)).

Ostatní dokumentace

Děčín

Tato lokalita není připojená přímo do sítě ČVUT, ale routerem CESNETu.

Ostatní dokumentace

VLAN

ČVUT VIC prostupně přechází na globalní očíslování VLAN takovým způsobem, aby v se různých částech sítě nepoužívala stejná čísla VLAN (některým management nástrojům se takové konfigurace nezamlouvají). Z toho důvodu byl pro vnitřní potřeby FJFI přidělen rozsah VLAN 2400-2499. Některá starší (pochybnější) zařízení mohou mít problém s využítím takto vysokých čísel, v takovém případě bude nejlepší na nich žádné VLANy nekonfigurovat a budou se používat pouze pro netagovaný provoz.

V následujících tabulkách je plán resp. dokumentace k využítí přidělených VLAN. První polovina přiděleného rozsahu je využita pro "standardní" VLANy (jejich jméno musí začínat prefixem fjfi-), které je vhodné mít vytvořené v každé budově FJFI a zbytek lze využít pro libovolné individuální VLANy (každé nově využité číslo VLAN z uvedeného rozsahu je zde nutné zdokumentovat). Pro Děčín je nutné tento plán brát dost s rezervou, jelikož tato lokalita není připojena přímo do ČVUT, ale je routována přímo CESNETem a lokální VLANy se nakonec mohou lišit.

Standardní VLANy

Rozdělení FJFI VLAN (2400-2439)
(standardní VLANy, vyhrazeny pro správu sítě)
VLAN Name* Břehová Trojanova Trója Děčín Status Comment
fjfi-*-srv 2400 2410 2420 2430 active Subnet pro servery
fjfi-*-def 2401 2411 2421 2431 active Veřejná síť ("default VLAN" pro běžné počítače)
fjfi-*-mgmt-net 2402 2412 2422 2432 active Management rozhraní síťových prvků (switch, router, ap, ...)
fjfi-*-mgmt-srv 2403 2413 2423 2433 active Subnet pro management serverů (např. IPMI)
fjfi-*-sec 2404 2414 2424 2434 planed Subnet pro zabezpečovací zařízeni (např. kamery, K4, ...)
fjfi-*-wifi 2405 2415 2425 2435 active Wireless síť pro speciální příležitosti (např. samostatná konfigurace pro konference)
fjfi-*-eduroam 2406 2416 2426 2436 active Wireless síť Eduroam
fjfi-*-wififjfi 2407 2417 2427 2437 active Wireless síť s captive portálem
fjfi-*-voip 2408 2418 2428 2438 planed Segment pro VoIP telefony
fjfi-*-fragile 2409 2419 2429 2439 active Segment pro "nepočítačová" síťová zařízení (nepravidelné/neexistující updaty)
U jmen VLAN je potřeba nahradit znak "*" zkratkou příslušné lokality (br/tr/vh/dp)

Standardní VLANy (detaily)

Detaily k rozdělení FJFI VLAN (2400-2439)
VLAN Name VLAN ID Status Location
(br/tr/vh/dp)
Created
owner
Admin Comment
fjfi-tr-eduroam 2416 active tr 16.6.2014 FJFI vokacpet Jeden subnet s veřejnými adresami 147.32.11.0/24 pro Eduroam síť v Trojance

Speciální VLANy (detaily)

Rozdělení FJFI VLAN (2440-2449)
(speciální VLANy, vyhrazeny pro správu sítě)
VLAN Name VLAN ID Status Location
(br/tr/vh/dp)
Created
owner
Admin Comment
fjfi-brtr-srv-clu 2448 active br+tr 12.1.2015 FJFI vokacpet Public segment pro clusterování strojů mezi Trojankou a Břehovkou s dvěmi HSRP active/standby gateway
fjfi-brtr-srv-priv 2449 active br+tr 16.6.2014 FJFI vokacpet Privátní segment mezi Trojankou a Břehovkou využívaní pro komunikaci mezi servery v clusteru (DFS replikace)

Individuální VLANy (detaily)

Rozdělení FJFI VLAN (2450-2499)
(individuální VLANy, pro uživatelské potřeby)
VLAN Name VLAN ID Status Location
(br/tr/vh/dp)
Created
(owner)
Admin Comment
test_max_20_znaku 2450 test -- 2.6.2014 (KM) vokacpet Testovací záznam - tato VLAN není reálně nikde zkonfigurována, jméno VLAN musí být do 20 znaků (CISCO limit, stará SMC podporují max 12 znaků)!
fjfi-tr-km 2451 test tr 1.4.2016 vokacpet alokace VLAN pro katedry (pro případ L2 rozdělení sítě dle OU)
fjfi-br-kf 2452 test br 1.4.2016 vokacpet alokace VLAN pro katedry (pro případ L2 rozdělení sítě dle OU)
fjfi-tr-kj 2453 test tr 1.4.2016 vokacpet alokace VLAN pro katedry (pro případ L2 rozdělení sítě dle OU)
fjfi-tr-kipl 2454 test tr 1.4.2016 vokacpet alokace VLAN pro katedry (pro případ L2 rozdělení sítě dle OU)
fjfi-tr-kfe 2455 test tr 1.4.2016 vokacpet alokace VLAN pro katedry (pro případ L2 rozdělení sítě dle OU)
fjfi-tr-kmat 2456 test tr 1.4.2016 vokacpet alokace VLAN pro katedry (pro případ L2 rozdělení sítě dle OU)
fjfi-br-kjch 2457 test br 1.4.2016 vokacpet alokace VLAN pro katedry (pro případ L2 rozdělení sítě dle OU)
fjfi-br-kdaiz 2458 test br 1.4.2016 vokacpet alokace VLAN pro katedry (pro případ L2 rozdělení sítě dle OU)
fjfi-vh-kjr 2459 test vh 1.4.2016 vokacpet alokace VLAN pro katedry (pro případ L2 rozdělení sítě dle OU)
fjfi-tr-ksi 2460 test tr 1.4.2016 vokacpet alokace VLAN pro katedry (pro případ L2 rozdělení sítě dle OU)
fjfi-br-dekanat 2461 test br 1.4.2016 vokacpet alokace VLAN pro katedry (pro případ L2 rozdělení sítě dle OU)
fjfi-??-?? 2462
-
2469
rezervace -- 1.4.2016 vokacpet alokace VLAN pro katedry (pro případ L2 rozdělení sítě dle OU)

K promyšlení

  • VLANy pro subnety kateder, rozdělení +/- dle čísel kateder
  • VLANy pro privátní subnety kateder (nebo mít jen jeden "veřejný" privátní subnet?)
  • VLAN pro přístupové systémy pro karty (je možné provozovat na privátní síťi?)
  • VLAN pro přístup k datům zabezpečení (kamery)
  • VLAN pro serverovou DMZ
  • Prohodit číslování standardních VLAN pro Tróju a Děčín (stejné pořadí jako seřazené IP segmenty?)
    • jedinný Děčín je "externí" lokalita routovaná přímo CESNETem (nemáme plnou kontrolu nad lokálními čísly VLAN a IPv6 čísly subnetů)
    • pořadí lokalit tedy bude br/tr/vh/dp

IP

Veřejné adresy

Následující tabulka obsahuje souhrné informace o veřejných IP adresách přidělených a využívaných na FJFI.

Rozdělení veřejných IP rozsahů na FJFI
IP rozsah Lokalita Gateway VLAN Name Admin Comment
147.32.4.0/24 Břehová 147.32.4.1 fjfi-br-def schlopet Veřejné adresy br-1
147.32.5.0/24 Břehová 147.32.5.1 fjfi-br-def schlopet Veřejné adresy br-2
147.32.6.0/23 Trojanova 147.32.6.1 fjfi-tr-def sinormil Subnet KFE + dynamicky přidělované veřejné IP
147.32.8.0/24 Trojanova 147.32.8.1 fjfi-tr-def keroupav Subnet KM+KJ+KSI+Elsa
147.32.9.0/26 Trojanova 147.32.9.1 fjfi-tr-srv vokacpet Serverový subnet v tr
147.32.9.64/26 Břehová+Trojanova 147.32.9.65 fjfi-brtr-srv-clu vokacpet Serverový subnet pro clustery mezi br+tr (duální gateway active/standby přes HSRP)
147.32.9.128/26 Břehová 147.32.9.129 fjfi-br-srv vokacpet Serverový subnet v br
147.32.9.192/26 Trojanova 147.32.9.193 fjfi-tr-def keroupav Subnet speciální zařízení
147.32.10.0/25 Trojanova 147.32.10.1 fjfi-tr-def kopripe1 Subnet KMAT
147.32.10.128/25 Trojanova 147.32.10.129 fjfi-tr-def drabmart Subnet KIPL
147.32.11.0/24 Trojanova 147.32.11.1 fjfi-tr-eduroam vokacpet Eduroam
147.32.22.0/24 Děčín 147.32.22.1 fjfi-dp-def sumpepre Veřejné adresy dp
147.32.25.0/24 Trója 147.32.25.1 fjfi-vh-def fialaja2 Veřejné adresy vh

Veřejné adresy detaily

Většina veřejných adres je rezervována pro konkrétní zařízení. V každé budově FJFI existuje ale i určitý rozsah veřejných adres, které jsou přidělovány registrovaným zařízením bez rezervace konkrétní adresy (zvýrazněno modře v níže uvedené tabulce). V případě aktuálního vyčerpání těchto volně dostupných veřejných adresu budou dalším zařízením přidělovány privátní adresy z privátního rozsahu na téže VLAN fjfi-*-def. V konfiguraci registrace síťového zařízení lze specifikovat, že danému zařízení má být vždy přidělena privátní adresa a to i v případě, že pool veřejných adres ještě nebyl vyčerpán.

Trvale připojená zařízení využívají veřejné adresy by měla mít zaregistrovánu rezervovanou adresu z rozsahu, který je přidělen organizační jednotce vlastnící dané zařízení (viz. tabulka). Zařízení tak bude mít garantovánu stalou veřejnou IP adresu a nebude se zbytečně zmenšovat pool s veřejnými adresami pro ostatní zařízeni, která se na FJFI síti vyskytují pouze občas. Pro běžná zařízení (počítače) je preferováno použití veřejných adres, jelikož při jejich použití není fungování síťového zařízení omezeno potencíálními problémy NATu (vyplývající z podstaty NATu, vytížení NATovacího zařízení případně jeho nedostupnosti) a lze jednodušeji řešit případné stížnosti týkající se konkrétní adresy.

Existuje ale i skupina speciálních zařízení (např. tiskárny) u nichž je lepší použít privátní adresy. Provoz některých zařízení na veřených adresách totiž představuje bezpečnostní hrobu vzhledem k neexistujícím automatickým security updatům firmware a omezeným možnostem konfigurace zabezpečení. Takové zařízení by ideálně měla být na samostatné VLAN fjfi-*-fragile, ale vzhledem ke komplikovanému managementu sítě pro ně je zatím vyhrazen rozsah privátních adres z VLAN fjfi-*-def (viz. níže). Adresu z tohoto rozsahu lze jednoduše vybrat v rozhraní pro registrace síťových zařízení.

Rozdělení veřejných IP rozsahů (detaily)
IP rozsah adresy Comment
147.32.4.0/24 147.32.4.0-70 ??
147.32.4.71-189 "Veřejný segment" s dynamicky přidělovanými adresami pro registrovaná zařízení
147.32.4.190-255 ??
147.32.5.0/24 147.32.5.0-49 ??
147.32.5.50-254 "Veřejný segment" s dynamicky přidělovanými adresami pro registrovaná zařízení
147.32.6.0/24 147.32.6.2-99 vyhrazeno unixářům (Richard Liska, Milan Šiňor)
147.32.6.100-199 pclab, kanceláře, ... (Antonín Novotný)
147.32.6.200-254 InfoLab, kanceláře (Josef Blažej)
147.32.6.255 rezervováno pro budoucí segment broadcast po rozdělení segmentu na segmenty 147.32.6.0/24 a 147.32.7.0/24
147.32.7.0/24 147.32.7.1-31 tento rozsah zatím využit pro IP adresy AP, které potřebují komunikovat s RADIUS servery a nelze je tak jednoduše umístit na privátní segment. Do budoucna by to chtělo lépe rozmyslet a přesunout je jinam (možná 147.32.11.0/27 nebo přeci jen nějaký privatní privatní segment - rozmyslet pro/proti)
147.32.7.32-254 "Veřejný segment" s dynamicky přidělovanými adresami pro registrovaná zařízení
147.32.8.0/24 147.32.8.2-79 KM zaměstnanci (desktopy, frekventované notebooky)
147.32.8.80-96 studovna 214
  • desktopy, frekventované notebooky
  • 80 je počítač u tabule
  • 81 - 96 jsou počítače od tabule ke vchodu vždy vlevo (liché) - vpravo (sudé)
147.32.8.97-109 KM zaměstnanci (desktopy, frekventované notebooky)
147.32.8.110-149 KM učebny
  • 1xy - umístění počítačů dle poslení trojice čísel v IP adrese
    • x je číslo řady
    • y je číslo počítače od okna (pro učebnu 115 je to y+5)
  • 110 - počítač vepředu v učebně 105
  • 115 - počítač vepředu v učebně 115
  • 135 - printserver v učebně 105
  • 140 - printserver v učebně 115
  • 120 - běžící image linuxového klieta v učebně
  • 125 - běžící image windows klieta v učebně
147.32.8.150-207 KM zaměstnanci (desktopy, frekventované notebooky)
  • 147.32.8.160/28 vyhrazeno pro KM cluster + VMware (stracpav)
147.32.8.208/28 KSI zaměstnanci (desktopy)
147.32.8.224/28 KJ zaměstnanci (desktopy)
147.32.8.240/28 Elsa
147.32.9.0/24 147.32.9.0/26 Server Trojanova
147.32.9.64/26 Server Břehová+Trojanova
147.32.9.128/26 Server Břehová
147.32.9.192/26 Různé
  • Virtuální desktopy
  • speciální zařízení (např. kartové systemy - K4 master + netmoduly)
  • není zaručeno, že se s timhle segmentem nebude hýbat (prostě jen zatím nemám po ruce rozumnější rozsah a nevím kam některá zařízení naskládat)
147.32.10.0/25 147.32.10.0/25 žádné další podrobnosti ke konfiguraci
147.32.10.128/25 žádné další podrobnosti ke konfiguraci
147.32.11.0/24 147.32.11.0/24 žádné další podrobnosti ke konfiguraci
147.32.22.0/24 147.32.22.101-199 "Veřejný segment" s dynamicky přidělovanými adresami pro registrovaná zařízení
147.32.25.0/24 147.32.25.102-219 "Veřejný segment" s dynamicky přidělovanými adresami pro registrovaná zařízení

Privátní adresy

Vzhledem k nedostatku veřejných IP adres bylo nutné začít využívat i privátní IP adresy. Ty jsou používany jak čistě interně (např. management), tak i pro běžný provoz s NATem aktuálně hlavně na WiFi sítích, kde si vzhledem k enormnímu nárůstu počtu zařízení není možné vystačit s dostupnými veřejnými adresami. Privátní IPv4 adresy jsou také používány pro neregistrovaná zařízení a automatický přístup k captive portálu na stránku s registrací.

Bohužel se na "Jednání IT techniků ČVUT - 11.6.2015" dohodlo, že se privátní adresy nebudou routovat po ČVUT (resp. nedošlo ani k základní shodě na tom, jaké rozsahy by bylo možné použít s tím, že ostatní fakulty už využívají všechny dostupné privátní subnety). Tohle je podmínka (téměř - viz. RFC6598) nutná pro možnost zřízení globálního NATu, takže ani v budoucnu nelze očekávat poskytnutí této služby v rámci celého ČVUT. Další komplikací je využití privátních adres mezi různými lokalitami FJFI, kde je potřeba využít policy based routing a privátní adresy do druhé lokality dostat přes tunel resp. dedikovanou VLAN. Centrální L3 switche použité v FJFI lokalitách také mají relativně omezené možnosti konfigurace (nepodporují NAT, netflow, GRE tunely, malá TCAM pro PBR, ...).

Počet adres v podsítích dané velikosti
IP rozsah počet IP rozsah počet IP rozsah počet
/24 256 /21 2048 /18 16384
/23 512 /20 4096 /17 32768
/22 1024 /19 8192 /16 65536


Privátní adresy dle lokality

Pro centrálně spravované privátní adresy na FJFI je využíván rozsah 172.16.0.0/12 z nějž má každá lokalita přidělen jeden segment /16 (~ 65k adres) a poslední subnet 172.31.0.0/16 se využívá ke speciálním účelům (např. spojovačky). Přidělený segment je dále dělen na subnety jejichž základní číslování je shodné v každé lokalitě (např. dle VLAN, využití, ...).

Rozdělení privátních IP rozsahů na FJFI po lokalitách
IP rozsah Lokalita Comment
10.0.0.0/8 -- Vyhrazeno pro potřeby ČVUT (sice to nebylo nikde oficiálně řečeno, ale je to jedinný privátní rozsah u nejž vzhledem k velikosti má smysl uvažovat o využití v rámci celého ČVUT)
172.16.0.0/16 Břehová
172.17.0.0/16 Trojanova
172.18.0.0/16 Trója
172.19.0.0/16 Děčín
172.31.0.0/16 -- Vyhrazeno pro speciální využití (např. spojovačky na privátní síti)
192.168.0.0/16 -- Adresy z tohoto rozsahu nebudou na FJFI nijak regulovány a jsou preferované pro uživatelské testovací resp. dočásné privátní sítě. Je na jejich správci, aby si vybral nepoužívaný rozsah v dané síti resp. VLAN, ale není zde zaručeno resp. monitorováno jestli jestli stejné adresy začne používat někdo další. Pro potřeby trvalého privátního adresované na FJFI síti je doporučeno dohodnout alokaci podsítě z odpovídajících 172.1x.0.0/16 rozsahů. Nědky může být vhodné použít adresování 172.1x.0.0/16 i např. pro clustery resp. sítě kompletně oddělené od zbytku infrastruktury (např. je lze pak zpřístupnit přes centrální VPN).
Privátní rozsahy značené 172.1x.aaa.bbb budou dále znamenat adresy v libovolné lokalitě (br=16/tr=17/vh=18/dp=19)

Privátní adresy dle VLAN

Všechny standardní využívané VLAN budou mít přidělen určitý rozsah privátních adres. V závislosti na využití bude přizpůsobena konfigurace "Private routing" týkající se routování mezi lokalitami FJFI (žádné routování, routování přes tunel/VLAN nebo IPSec zabezpečené spojení), routování do světa skrz NAT a různé filtrování paketů "Private ACL" mezi privátními subnety. Jednotlivé subnety je dobré alokovat také s ohledem na to, jak komplikované bude případné přečíslování zařízení na daném subnetu.

Rozdělení privátních IP rozsahů na FJFI
IP rozsah Gateway VLAN Name NAT Private
routing
Private
ACL
Komplikace
přeadresování
Comment
172.1x.0.0/17 - adresy pro globální využití ve všech lokalitách
172.1x.0.0/22 172.1x.0.1 fjfi-*-srv yes default permit velké Privátní adresování serverů dostupných přímo ze všech lokálních sítí, komunikace z privátní adresy do internetu je NATována
172.1x.4.0/22 172.1x.4.1 fjfi-*-srv yes default deny velké Privátní adresování serverů dostupné pouze ze serverových VLAN, komunikace z privátní adresy do internetu je NATována
172.1x.8.0/22 172.1x.8.1 fjfi-*-srv yes IPSec deny velké Privátní adresování serverů dostupné pouze ze serverových VLAN s IPSec zabezpečenou komunikací mezi FJFI lokalitami, komunikace z privátní adresy do internetu je NATována
172.1x.12.0/22 -- fjfi-*-srv no no deny velké Privátní adresování serverů dostupné pouze z lokální VLAN (žádné routování či NAT)
172.1x.16.0/22 172.1x.16.1 fjfi-*-mgmt-net yes/no IPSec deny velké Privátní adresování managementu síťových prvků (switche) dostupné pouze z mgmt-net VLAN s IPSec zabezpečenou komunikací mezi lokalitami, komunikace z privátní adresy do internetu je NATována pro první polovinu adres 172.1x.16.0/23
172.1x.20.0/22 172.1x.20.1 fjfi-*-mgmt-srv yes/no IPSec deny velké Privátní adresování managementu serverů (IPMI, RAID controller, UPS, ...) dostupné pouze z mgmt-srv VLAN s IPSec zabezpečenou komunikací mezi lokalitami, komunikace z privátní adresy do internetu je NATována pro první polovinu adres 172.1x.20.0/23
172.1x.24.0/22 172.1x.24.1 fjfi-*-fragile yes/no default deny velké Privátní adresování pro samostatný subnet "nedůvěryhodných" zařízení (např. tiskárny, specializovaná zařízení bez pravidelných security update, ...), komunikace z privátní adresy do internetu je NATována pro první polovinu adres 172.1x.24.0/23
172.1x.28.0/24 172.1x.28.1 fjfi-brtr-srv-clu yes default deny velké Privátní adresování dostupné pouze z fjfi-brtr-srv-clu VLAN, komunikace z privátní adresy do internetu je NATována (pro VLANy natažené do více lokalit se použijí adresy podle prvního názvu lokality ze jména VLAN, tj. 172.16.28.0/24)
172.1x.29.0/24 -- fjfi-brtr-srv-clu no no deny velké Privátní adresování dostupné pouze z fjfi-brtr-srv-clu VLAN (pro VLANy natažené do více lokalit se použijí adresy podle prvního názvu lokality ze jména VLAN, tj. 172.16.29.0/24)
172.1x.30.0/24 172.1x.30.1 fjfi-brtr-srv-priv yes default deny velké Privátní adresování dostupné pouze z fjfi-brtr-srv-priv VLAN, komunikace z privátní adresy do internetu je NATována (pro VLANy natažené do více lokalit se použijí adresy podle prvního názvu lokality ze jména VLAN, tj. 172.16.30.0/24)
172.1x.31.0/24 -- fjfi-brtr-srv-priv no no deny velké Privátní adresování dostupné pouze z fjfi-brtr-srv-priv VLAN (pro VLANy natažené do více lokalit se použijí adresy podle prvního názvu lokality ze jména VLAN, tj. 172.16.31.0/24)
172.1x.32.0
-
172.1x.51.255
-- -- -- -- -- -- Rezervováno pro budoucí "globální využití"
172.1x.52.0/24
172.1x.53.0/24
172.1x.52.1(*)
172.1x.53.1(*)
VPN
test
yes default -- nulové Privátní adresování pro L2TP, PPTP, komunikace z privátní adresy do internetu je NATována
  • 172.1x.52.0/24 - PPTP server na nms-xx.fjfi.cvut.cz
  • 172.1x.53.0/24 - L2TP server na nms-xx.fjfi.cvut.cz

Tato síť používá vlastní gateway a zařízení na ní nejsou z vnějšku dostupná

172.1x.54.0/24
172.1x.55.0/24
172.1x.54.1(*)
172.1x.55.1(*)
OpenVPN
admin
yes default -- malé Privátní adresování pro admin OpenVPN klienty s přímým přístupem do sítě včetně privátních, komunikace z privátní adresy do internetu je NATována
  • 172.1x.54.0/24 - UDP OpenVPN server na nms-xx.fjfi.cvut.cz port 1194
  • 172.1x.55.0/24 - TCP OpenVPN server na nms-xx.fjfi.cvut.cz port 1194

Tato síť používá vlastní gateway a zařízení na ní nejsou z vnějšku dostupná

172.1x.56.0/22
172.1x.60.0/22
172.1x.56.1(*)
172.1x.60.1(*)
OpenVPN
user
yes default -- nulové Privátní adresování pro OpenVPN klienty, komunikace z privátní adresy do internetu je NATována
  • 172.1x.56.0/22 - UDP OpenVPN server na nms-xx.fjfi.cvut.cz port 1194
  • 172.1x.60.0/22 - TCP OpenVPN server na nms-xx.fjfi.cvut.cz port 1194

Tato síť používá vlastní gateway a zařízení na ní nejsou z vnějšku dostupná

172.1x.64.0/20 172.1x.64.1 fjfi-*-def yes(*) default permit(*) velké(*) Privátní adresy na default VLAN (lokální síť v budově), detaily viz. Network#Privátní adresy na default VLAN fjfi-*-def
172.1x.80.0/20 172.1x.80.1 fjfi-*-wifi yes default permit malé Privátní rozsah pro speciální WiFi sítě, které mohou mít speciální konfiguraci např. pro konference, ...Rezervováno pro případné budoucí speciální požadavky na fjfi-*-def VLAN nebo rozšíření adresního prostoru na této VLAN
172.1x.96.0/20 172.1x.96.1 fjfi-*-eduroam yes default permit malé Privátní adresy pro wireless síť Eduroam, detaily viz. Network#Privátní adresy na default VLAN fjfi-*-eduroam
172.1x.112.0/20 172.1x.112.1(*) fjfi-*-wififjfi yes(*) default permit malé Privátní adresy pro wireless síť WiFiFJFI, detaily viz. Network#Privátní adresy na default VLAN fjfi-*-wififjfi, tato síť používá vlastní gateway pro řízení přístupu pomocí captive portálu a zařízení na ní nejsou z vnějšku dostupná.
172.1x.128.0/18 - adresy pro lokální využití v konkrétní lokalitě lokalitě
172.16.128.0/18 - Břehová
?rezervace?
172.16.128.0/22
172.16.128.1(*) fjfi-br-kf-private yes(*) default permit -- Rezervace privátních adres pro síť KF s NAT a gateway zajištěnou vlastním zařízením
172.17.128.0/18 - Trojanova
?rezervace?
172.17.128.0/22
172.17.128.1(*) fjfi-tr-hyperion yes(*) default permit -- Rezervace privátních adres pro KM+KIPL hyperion cluster s vlastní NAT a gateway
?rezervace?
172.17.132.0/22
172.17.132.1 "xen-vdi" yes default permit velké Privátní adresování pro Xen virtualizované desktopy, komunikace z privátní adresy do internetu je NATována
172.18.128.0/18 - Trója
172.19.128.0/18 - Děčín
172.1x.192.0/18 - rezervováno
Adresy pro lokální využití v konkrétní lokalitě rezervované pro případ, že dojde k L2 segmentaci sítě podle příslušnosti k různým součástem FJFI


Privátní adresy na default VLAN fjfi-*-def

Využití privátních IP adres 172.1x.64.0/20 na default VLAN
IP rozsah DHCP NAT Admin Comment
172.1x.64.0/21 dynamic+reserved yes vokacpet Adresy pro běžná registrovaná zařízeni s přístupem do světa přes NAT
  • 172.18.71.0/24 je v Tróji využíváno pro privátní adresování (měřících) zařízení KJR (humlond)
172.1x.72.0/22 -- -- vokacpet unused
172.1x.76.0/23 reserved yes vokacpet Adresy rezervované pro "nepočítačová" zařízení (např. tiskárny)
172.1x.78.0/24 reserved yes vokacpet Adresy rezervované pro servery (např. printserver pro komunikaci na tomto subnetu)
172.1x.79.0/24 dynamic limited vokacpet Adresy přidělované blokovaným, smazaným a neregistrovaným zařízením

Privátní adresy na eduroam VLAN fjfi-*-eduroam

Využití privátních IP adres 172.1x.96.0/20 na eduroam VLAN
IP rozsah DHCP NAT Admin Comment
172.1x.96.0/21 dynamic+reserved yes vokacpet Adresy pro běžná registrovaná zařízeni s přístupem do světa přes NAT
172.1x.110.0/24 reserved yes vokacpet Adresy pro AP na interfacu pro příslušnout VLAN (není povinné, ale vhodné pro monitoring)
172.1x.111.0/24 dynamic limited vokacpet Adresy přidělované blokovaným (smazaným) zařízením

Privátní adresy na wififjfi VLAN fjfi-*-wififjfi

Využití privátních IP adres 172.1x.112.0/20 na wififjfi VLAN
IP rozsah DHCP NAT Admin Comment
172.1x.112.0/21 dynamic+reserved auth vokacpet Adresy pro běžná registrovaná zařízeni s přístupem do světa přes NAT
172.1x.126.0/24 reserved yes vokacpet Adresy pro AP na interfacu pro příslušnout VLAN (není povinné, ale vhodné pro monitoring)
172.1x.127.0/24 dynamic limited vokacpet Adresy přidělované blokovaným zařízením

Individuální rozsahy privátních adres

Využití těchto adres není nijak regulováno, takže zde neexistují žádné překážky k jejich použití ale na druhou stranu se také nelze spolehnout na to, že stejné adresy nezačne používat někdo další. V níže uvedené tabulce je (nekompletní) seznam aktuálně používaných adres z 192.168.0.0/16 rozsahu. Bylo by vhodné zvážit jestli do budoucna nezačít využívat rezervované subnety z 172.1x.0.0/16 rozsahů.

Rozdělení individuálních privátních IP rozsahů na FJFI
IP rozsah Gateway Public VLAN Name OU Admin Comment
192.168.x.0/24 192.168.x.1 147.32.x.y None KIPL drabmart Privátní adresy pro KM+KIPL cluster
192.168.3.0/24 192.168.3.1 147.32.4.13 None KF cepiljan Privátní adresy na KF - kanceláře
192.168.11.0/24 192.168.11.1 147.32.x.y None KF cepiljan Privátní adresy na KF (?)
192.168.20.0/24 192.168.20.1 147.32.x.y None KF cepiljan Privátní adresy na KF (?)

IPv6

ČVUT přiděluje standardně /56 rozsahy (lze použít pro vytvoření 256 podsítí) pro lokality připojené přes Dejvice ze přiděleného IPv6 rozsahu 2001:718:2::/48. Bohužel vzhledem ke způsobu routování IPv6 není možné používat adresy z "dejvického" rozsahu v ostatních lokalitách (CESNET to ve své síti nepodporuje, tj. např. v Tóji a Děčíně), tam bude využit jiný rozsah přidělený ČVUT a routovaný Pasnetem resp. CESNETem.

IPv6 adresy dle lokality

Rozdělení IPv6 rozsahů na FJFI po lokalitách
(FJFI IPv6 rozsahy 2001:718:2:1800::/54)
IP rozsah Lokalita Admin Comment
2001:718:2:1700::/56 -- vokacpet Nevyužitý rozsah aktuálně přidělený na FJFI (včetně DNS reverzů, bude vrácen VICu po alokaci "1b")
2001:718:2:1800::/56 Břehová vokacpet Veřejné adresy
2001:718:2:1900::/56 Trojanova vokacpet Veřejné adresy
2001:718:2:1a00::/56 Trója vokacpet Veřejné adresy (aktuálně nevyužitý rozsah nazvaný FJFI test, čeká na novou serverovnu PASNETu v Tróji)
2001:718:2:1b00::/56 -- vokacpet Nevyužitý rozsah aktuálně přidělený FJFI ČVUT (pro "hezčí" FJFI IPv6 netmask)
?? Děčín vokacpet Veřejné adresy (další ČVUT adresy přidělené z routovatelného rozsahu CESNET)

IPv6 adresy dle VLAN

Každá VLAN přidělená FJFI má standardně přiřazen jeden IPv6 subnet /64 z přiděleného rozsahu /56 (256 možných /64 subnetů). Příslušné číslo FJFI VLAN-2400 (tj. hodnoty v intervalu 0-99) budou přímo součástí IPv6 adresy na pozici 56-63. Vyjímkou je prvních 40 rezervovaných VLAN u nichž se používá pouze poslední číslice.

Rozdělení IPv6 rozsahů na FJFI podle VLAN
IP rozsah VLAN ID VLAN Name Comment
2001:718:2:xx00::/64 24?0 fjfi-*-srv Subnet pro servery
2001:718:2:xx01::/64 24?1 fjfi-*-def Veřejná síť ("default VLAN" pro běžné počítače)
...
2001:718:2:xx09::/64 24?9 fjfi-*-fragile Segment pro "nepočítačová" síťová zařízení
...
2001:718:2:xx48::/64 2448 fjfi-brtr-srv-clu Public segment mezi Trojankou a Břehovkou s duální gateway přes HSRP
2001:718:2:xx49::/64 2449 fjfi-brtr-srv-priv Privátní segment mezi Trojankou a Břehovkou využívaní pro komunikaci mezi servery
...
2001:718:2:xxa0::/64
--
2001:718:2:xxff::/64
-- -- Rezervováno pro budoucí/speciální využití
2001:718:2:xxa?::/60 Static route to OpenVPN server OpenVPN IPv6 network
  • ...a0::/64 - openvpn.fjfi.cvut.cz:1194/udp
  • ...a1::/64 - openvpn.fjfi.cvut.cz:1194/tcp
  • ...a2::/64 - openvpn.fjfi.cvut.cz:443/udp
  • ...a3::/64 - openvpn.fjfi.cvut.cz:443/tcp
  • ...a4::/64 - openvpn.fjfi.cvut.cz:53/udp
  • ...a5::/64 - openvpn.fjfi.cvut.cz:53/tcp
  • ...a6-af::/64 - reserved

Využití IPv6 adres v rámci /64 subnetů

Každý subnet na IPv6 má prakticky vzato "neomezené" množství IPv6 adres. Lze tedy zavést další jemnější dělení těchto subnetů, aby bylo možné pro určité skupiny počítačů specifikovat například různá firewall pravidla (např. omezení přístupu na tiskárny pouze z IPv6 adres ČVUT). Nevyužité (zde nedefinované) části /64 subnetů budou mít standardně zakázanou jakoukoliv komunikaci přímo na fakultním routeru.

Navíc pro IPv6 nebudou v principu existovat dynamicky přidělované adresy jako je tomu na IPv4, kde je nutné recyklovat omezený adresní prostor. Všechna registrovaná zařízení (síťová rozhraní) budou mít statickou rezervaci konkrétní IPv6 adresy resp. jeji /64 suffix, který tak bude stejný při připojení zařízení ve všech lokalitách (pro běžné uživatelské subnety jako např. def, eduroam a wififjfi VLAN). Takto přidělená adresa navíc nebude v budoucnu recyklována pro jiné uživatelské zařízení (existují vyjímky, jako např. servery u nichž je změna adresy občas nežádoucí). V případě potřeby je možné u existujícího zařízení smazat aktuální IPv6 adresu a nechat vygenerovat novou.

Pravidla IPv6 pro server VLAN fjfi-*-srv

  • změny ve využití adres jsou u serverů velice komplikované
    • konfigurace sítě je na serverech statická (nepoužívají DHCP)
    • pro použité adresy může mít řada zařízení (nejen na tomto segmentu) zkonfigurována různá pravidla (např. firewall)
    • pokud se neobjeví závažné nedostatky aktuálního plánu (např. nové standardy) tak jsou adresy přiděleny navždy
  • aktuálně budou využívány pouze adresy z rozsahu 2001:718:2:1x00::/96
  • doporučený formát IPv6 addres
    1. IPv6 prefix + stávající IPv4 adresa serveru (např. 2001:718:2:1x00::147.32.9.17) nebo pouze poslední číslice z IPv4 adresy (např. 2001:718:2:1x00::17)
    2. adresy z rosahu 2001:718:2:1x00::0001:0000-2001:718:2:1x00::00ff:ffff (~ 2^24 adres)
    3. registrační GUI bude automaticky generovat neobsazené IPv6 adresy ze správných rozsahů
    4. libovolné jiné z /96 které se nekryjí s IPv4 formáty 147.32.0.0/16 (::9320:0000-ffff), 10.0.0.0/8 (::0a00:0000-0aff:ffff), 172.16.0.0/12 (::ac10:0000-::ac1f:0000), 192.168.0.0/16 (::c0a8:0000-ffff)
  • jeden server může mít zároveň přiděleno více aktivních IPv6 adres
  • je možné alokovat samostatný rozsah IPv6 adres pro skupinu počítačů
    • pro jednodušší psaní pravidel s IPv6 rozsahy
    • každá skupina bude mít rozsah /96
    • skupina může mít např. vlastní ACL přímo na routeru
    • aktuálně neexistují žádné předdefinované skupiny
      • lze si představit např. skupiny dle OS (pro jednodušší psaní filtrů na aktuálně zneužívané chyby)
      • také skupiny dle orgaizačních jednotek pro omezení komunikace na vlastní servery
      • teprve praktické používání IPv6 ukáže reálné potřeby
    • využití skupin zde musí být zdokumentováno
Skupiny adres na server VLAN fjfi-*-srv (2001:718:2:xx00::/64)
Název IPv6 rozsah Owner Comment
default 2001:718:2:xx00:0:0::/96 vokacpet Standardní IPv6 rozsah serverů

Pravidla IPv6 pro server VLAN fjfi-*-def

  • změny ve využití adres mohou být relativně jednoduché při dodržování následujících zásad
    • zařízení budou pro IPv6 konfigurace využívat výhradně router advertisementy + stavové DHCPv6
      • vzhledem k nerecyklování IPv6 adres je možné nastavit velice dlouhý lease time
      • nelze použít "nekonečno" jinak bychom přidělenou adresou v budoucnu nebyly schopni změnit
      • maximální lease time tedy bude jeden měsíc
    • manuální konfigurace je silně nedoporučena
      • pokud se rozhodneme změnit IPv6 adresování tak může dojít k problémům
      • z hlediska správce IPv6 rozsahu je to problém čistě uživatele, který nedbal doporučení a nebude na něj brán ohled
  • podobně jako u serverové VLAN fjfi-*-srv bude možné zařízení zařazovat do skupin
    • pro jednodušší psaní pravidel s IPv6 rozsahy
    • každá skupina bude mít rozsah /96
    • skupina může mít např. vlastní ACL přímo na routeru (např. omezení komunikace po ČVUT pro tiskárny)
    • využití skupin zde musí být zdokumentováno
  • jedno zařízení může mít zároveň přiděleno více aktivních IPv6 adres
  • doporučený formát IPv6 addres (pouze správce sítě může s rozumným důvodem využít jinou než první možnost)
    1. registrační GUI bude automaticky generovat neobsazené IPv6 adresy ze správných rozsahů
    2. IPv6 prefix + stávající IPv4 adresa serveru (např. 2001:718:2:1x01::147.32.8.52) nebo pouze poslední číslice z IPv4 adresy (např. 2001:718:2:1x01::852)
    3. adresy z rosahu 2001:718:2:1x01::0001:0000-2001:718:2:1x01::00ff:ffff (~ 2^24 adres)
    4. libovolné jiné z /96 které se nekryjí s IPv4 formáty 147.32.0.0/16 (::9320:0000-ffff), 10.0.0.0/8 (::0a00:0000-0aff:ffff), 172.16.0.0/12 (::ac10:0000-::ac1f:0000), 192.168.0.0/16 (::c0a8:0000-ffff)
Skupiny adres na server VLAN fjfi-*-def (2001:718:2:xx01::/64)
Název IPv6 rozsah Owner Comment
Adresy pro standardní a speciální rozsahy 2001:718:2:xx01:0:0::/88
default 2001:718:2:xx01:0:0::/96 vokacpet Speciální IPv6 rozsah pro běžná zařízení (ručně přidělované adresy, např. 2001:718:2:1901::852), preferované jsou ale níže uvedené rozsahy s konkrétním účelem (dle typu zařízení, organizační jednotky, ...)
dynamic 2001:718:2:xx01:0:1::/96 vokacpet Rozsah vyhrazený pro dynamicky přidělované adresy (nutné pro zařízení, které byli primárně registovany pro jinou lokaci)
-- 2001:718:2:xx01:0:2::/96
-
2001:718:2:xx01:0:f::/96
vokacpet Rezervovaný rozsah pro budoucí využití
fragile
printer
2001:718:2:xx01:0:10::/96 vokacpet Rozsah vyhrazený pro tiskárny s omezením komunikace po ČVUT
restricted 2001:718:2:xx01:0:1?::/96 vokacpet Rozsah s povolenou komunikací pouze přes http/https (+ lokální DNS)
restricted2 2001:718:2:xx01:0:1?::/96 vokacpet Rozsah s povolenou komunikací jen na vyhrazené lokální servery (adresy pro blokované, neregistrované, zlobivé, ... zařízení). Zatím by taková zařízení nemusela dostávat žádnou IPv6 adresu a do příslušná omezení a informační stranky by se zobrazili na základě přidělené IPv4 adresy.
-- 2001:718:2:xx01:0:??::/96 -- Skupina zařízení s omezeními dle uživatelských požadavků - návrhy?
Adresy vyhrazené pro zařízení kateder 2001:718:2:xx01:0:100::/88
ČVUT
FJFI
Other
2001:718:2:xx01:0:100::/96 vokacpet IP rozsah vyhrazený pro zařízení ČVUT, FJFI a Ostatní
KM 2001:718:2:xx01:0:101::/96 vokacpet IP rozsah vyhrazený pro zařízení KM
KF 2001:718:2:xx01:0:102::/96 vokacpet IP rozsah vyhrazený pro zařízení KF
KJ 2001:718:2:xx01:0:103::/96 vokacpet IP rozsah vyhrazený pro zařízení KJ
KIPL 2001:718:2:xx01:0:104::/96 vokacpet IP rozsah vyhrazený pro zařízení KIPL
KFE 2001:718:2:xx01:0:105::/96 vokacpet IP rozsah vyhrazený pro zařízení KFE
KMAT 2001:718:2:xx01:0:106::/96 vokacpet IP rozsah vyhrazený pro zařízení KMAT
KJCH 2001:718:2:xx01:0:107::/96 vokacpet IP rozsah vyhrazený pro zařízení KJCH
KDAIZ 2001:718:2:xx01:0:108::/96 vokacpet IP rozsah vyhrazený pro zařízení KDAIZ
KJR 2001:718:2:xx01:0:109::/96 vokacpet IP rozsah vyhrazený pro zařízení KJR
KSI 2001:718:2:xx01:0:10a::/96 vokacpet IP rozsah vyhrazený pro zařízení KSI
CRRC 2001:718:2:xx01:0:10b::/96 vokacpet IP rozsah vyhrazený pro zařízení CRRC
Elsa 2001:718:2:xx01:0:10c::/96 vokacpet IP rozsah vyhrazený pro zařízení Elsa
Děkanát 2001:718:2:xx01:0:10d::/96 vokacpet IP rozsah vyhrazený pro zařízení Děkanátu

Pravidla IPv6 pro wireless VLAN fjfi-*-eduroam

  • změny ve využití adres triviální (žádné statické konfigurace krom management serveru)
  • blokovaná zařízení nedostanou od DHCPv6 přidělenou IPv6 adresu
    • převedeno na problém samotného IPv4 a blokovaných zařízení, který je již vyřešen
    • aktuálně tedy nemáme plnou podporu IPv6 only zařízení, ale jen v případě ojedinělých případů blokace
Skupiny adres na server VLAN fjfi-*-eduroam (2001:718:2:xx06::/64)
Název IPv6 rozsah Owner Comment
default 2001:718:2:xx06:0:0::/96 vokacpet Speciální rozsah (ručně přidělované/rezervované adresy), žádné restrikce
dynamic 2001:718:2:xx06:0:1::/96 vokacpet Rozsah vyhrazený pro dynamicky přidělované adresy, minimální restrikce

Pravidla IPv6 pro wireless VLAN fjfi-*-wififjfi

  • změny ve využití adres triviální (žádné statické konfigurace krom management serveru)
  • konfigurace by měla fungovat tak, aby klient mohl nakonec využívat nativní IPv6 konektivitu bez dalšího (linuxového) routeru (NAT) na cestě
  • zbývá dořešit technické detaily autentizace na captive portálu a také blokovaná (neregistrovaná a smazaná) zařízení
    • neautentizovaná zařízení dostanou pouze IPv4 adresu a budou tak mít přístup ke captive portálu
    • DHCPv6 bude defaultně zkonfigurováno, aby zařízením neposkytlo IPv6 adresu do té doby než je uživatel uspěšně ověřen
    • po autentizaci přes captive portál na IPv4 modifikovat dynamicky konfiguraci DHCPv6 a povolit přidělení adresy s lease time ~ 1hodina
      • asi to je možné řešit přes DHCPv6 classes, ale ty nejsou podporovány v ISC DHCP 4.2.5, který je součástí CentOS7
      • nebude fungovat pro IPv6 only zařízení (to tu aktuálně vůbec neřešíme a v budoucnu se uvidí co bude možné např. s 6to4 překlady adres)

Firewall

Blokované porty

Provozní poznámky

  • SMC8626
    • nejnovější firmware v1.4.0.8 je nestabilní (pro multicast a mam pocit že docházelo i k odpadnutí managementu)
    • aktualni firmware v1.1.0.2 nelze managovat přes VLANu (jinou než 1), kdy je na daném portu zároveň zapnutý spanning-tree edge-port, jelikož po restartu se nelze k managementu připojit dokud se nevytáhne a vrátí zpět ethernetový kabel => uplink nesmí mít tuhle volbu zapnutou