Network
Dokumemtace a pravidla k organizaci sítě na FJFI. Významné změny v tomto dokumentu musí být oznámeny v mailing listu správců IT na FJFI (comp@lists.fjfi.cvut.cz), aby bylo možné sladit konfigurace lokálních systémů (např. firewallu) v závislosti na úpravách konfigurace sítě.
Contents
Páteřní rozvody a zapojení
Břehová
Plány rozmístění rozvaděčů a barevně obarvené místnosti podle připojení síťových (ethernetových) zásuvek do rozvaděčů:
- s1.patro (sklep)
- 1/2.patro
- 0.patro (přízemí)
- 1.patro
- 2.patro
- 3.patro
- 4.patro (půdní vestavba)
- Foto rozvaděčů podzim 2018
Ostatní dokumentace
- weathermap (plně funkční po přihlášení k observium)
- telefonní ústředna
Trojanova
Dokumentace z FJFI archivu k překladu optických tras realizovaných v roce 2009 (nascanováno, obrovské ~ 10MB JPG soubory):
- s1.patro (sklep)
- 0.patro
- 1.patro
- 2.patro
- 3.patro
- blokové schema
- přehledové schema
- technická zpráva
- SM optika 302-s126 (2022)
- nákres rozmístění rozvaděčů
- Foto rozvaděčů podzim 2018
Ostatní dokumentace
- weathermap (plně funkční po přihlášení k observium)
- připojení HK
- přívod chráničky do budovy je v místnosti s117 (hlavní uzávěr vody)
- SM kabel - PIRELLI Deskwave 053/2001 LOOSE UNITUBE 12 9/125 T/VM
- MM kabel - 12vl.
- MM kabel je v místnosti s117 naspojkován (dříve vedl do 112 ale nyní přeložen do 302)
- SM kabel nebyl nikdy ze 112 přeložen (po rekonstrukcích 112 v létě 2015 by měl být stažen do s117)
- připojení do ČVUT
- přívod chráničky do budovy je v místnosti s128
- FRNC Belden optical Fibre 2x50/125 + 14x9/125
- tento kabel nevede až na karlák, je naspojkován a dál vedou jen 2vl. SM optiky
- cestou do místnosti 302 je nastaven (+/- někde u výtahu)
- hlavní rozvaděč optiky v 302
- foto optického patch panelu 1, 2, 3
- měřící protokol pro MM spojení 302 se SRV1
- propojeni serveroven ve sklepě
- mezi serverovnami SRV1 <-> SRV2 <-> SRV3+4 natažena i metalika
- aktuálně jde o 2x CAT6 ethernet kabel
- zadavatel měl dost nešťastný nápad rozvést pouze 2 páry optiky
- rozvedeny jsou nakonec 4 páry včetně koncovek (nutné odšroubovat víko)
- v optické vaně jsou nacvaknuty do SC-SC spojky pouze 2 páry
- pravděpodobně nebylo dost místa / pozic pro zapojení dalších konektorů
- navíc byla použita aktuálně asi nehorší dostupná vlákna MM OM1
- SFP-10G-SR (33m) nefungují spolehlivě ani mezi SRV1 <-> SRV2
- pro spojení bude asi nutné pořizovat 2x dražší SFP-10G-LRM (220m)
- při přímém propatchování SRV302 <-> SRV2 nefungovali spolehlivě ani tyto lepší moduly
- spojení serveroven je seriové SRV1 <-> SRV2 <-> SRV3+4
- mezi SRV3 a SRV4 bude ve zdi průchod takže optika z rozvaděče v SRV4 půjde "napatchovat" k zařízením v SRV3
- jedno vlákno (nejvíce vpravo) mezi SRV1 <-> SRV2 je mrtvé
- PLÁN rekonstrukce
- předelat udělat všechno do SM optiky
- rozmyslet se ve které místnosti bude centralní rozvod optiky
- z centrálního rozvodu mít vlakna do všech serveroven
- hodně vláken s minimálně 6ti páry připravenými v patch panelu na každé SRVx
- natáhnout opravdu hodně SM vláken do SRV302(?!)
- v posledních letech jsou stále populárnější v budovách pre-terminated kabely s MTO/MTP (multifiber) koncovkami
- existují MTO/MTP konektory s 2x, 4x, 8x, 12x, 24x až 72x vlákny, ale pro správnou kabeláž je jestě podstatné dostupné kazety
- běžné kazety mají 12 LC konektorů (vejsou se 3 to 1U), dají se sehnat i vysokohustotní kazety s 24 LC konektory
- mezi serverovnami SRV1 <-> SRV2 <-> SRV3+4 natažena i metalika
Trója
Připojení bylo až do 201606 realizováno routováním přes PASNET a připojením do jejich routeru v Tróji. Od 1.7.2016 je Trója připojena lambdou přímo do Dejvic (CWDM 1470nm) a to trasou přes UTIA. Tato trasa končí na serverovně ve FJFI routeru MikroTik CCR1016-12S-1S+ (detaily viz. Zmena pripojeni lokality Troja (IPv6)), aktuálně používáme 1Gb moduly jež ale v dnešní době není problém nahradit 10Gb. Z FJFI routeru je napojen jak rozvaděč těžkých laboratoří v L119 a tak také 6. patro výškové budovy.
Plány rozmístění datových zásuvek (2010)
Ostatní dokumentace
- weathermap (plně funkční po přihlášení k observium)
- plány budovy
Děčín
Tato lokalita není připojená přímo do sítě ČVUT, ale routerem CESNETu.
Ostatní dokumentace
- weathermap (plně funkční po přihlášení k observium)
- plány budovy
- místnosti
Rozvaděče
Umístění a značení rozvaděčů | ||||
---|---|---|---|---|
Lokalita | Nové označení | Staré označení | Místnost | Comment |
Břehová | DRS1 | RS02 | S148 |
Značení kabeláže
VLAN
ČVUT VIC prostupně přechází na globalní očíslování VLAN takovým způsobem, aby v se různých částech sítě nepoužívala stejná čísla VLAN (některým management nástrojům se takové konfigurace nezamlouvají). Z toho důvodu byl pro vnitřní potřeby FJFI přidělen rozsah VLAN 2400-2499. Některá starší (pochybnější) zařízení mohou mít problém s využítím takto vysokých čísel, v takovém případě bude nejlepší na nich žádné VLANy nekonfigurovat a budou se používat pouze pro netagovaný provoz.
V následujících tabulkách je plán resp. dokumentace k využítí přidělených VLAN. První polovina přiděleného rozsahu je využita pro "standardní" VLANy (jejich jméno musí začínat prefixem fjfi-), které je vhodné mít vytvořené v každé budově FJFI a zbytek lze využít pro libovolné individuální VLANy (každé nově využité číslo VLAN z uvedeného rozsahu je zde nutné zdokumentovat). Pro Děčín je nutné tento plán brát dost s rezervou, jelikož tato lokalita není připojena přímo do ČVUT, ale je routována přímo CESNETem a lokální VLANy se nakonec mohou lišit.
Standardní VLANy
Rozdělení FJFI VLAN (2400-2439) (standardní VLANy, vyhrazeny pro správu sítě) | ||||||
---|---|---|---|---|---|---|
VLAN Name* | Břehová | Trojanova | Trója | Děčín | Status | Comment |
fjfi-*-srv | 2400 | 2410 | 2420 | 2430 | active | Subnet pro servery |
fjfi-*-def | 2401 | 2411 | 2421 | 2431 | active | Veřejná síť ("default VLAN" pro běžné počítače) |
fjfi-*-mgmt-net | 2402 | 2412 | 2422 | 2432 | active | Management rozhraní síťových prvků (switch, router, ap, ...) |
fjfi-*-mgmt-srv | 2403 | 2413 | 2423 | 2433 | active | Subnet pro management serverů (např. IPMI) |
fjfi-*-sec | 2404 | 2414 | 2424 | 2434 | planed | Subnet pro zabezpečovací zařízeni (např. kamery, K4, ...) |
fjfi-*-wifi | 2405 | 2415 | 2425 | 2435 | active | Wireless síť pro fakultní WiFi (FJFJNet) |
fjfi-*-eduroam | 2406 | 2416 | 2426 | 2436 | active | Wireless síť Eduroam |
fjfi-*-wififjfi | 2407 | 2417 | 2427 | 2437 | active | Wireless síť s captive portálem |
fjfi-*-voip | 2408 | 2418 | 2428 | 2438 | planed | Segment pro VoIP telefony |
fjfi-*-fragile | 2409 | 2419 | 2429 | 2439 | active | Segment pro "nepočítačová" síťová zařízení (nepravidelné/neexistující updaty) |
U jmen VLAN je potřeba nahradit znak "*" zkratkou příslušné lokality (br/tr/vh/dp) |
Standardní VLANy (detaily)
Detaily k rozdělení FJFI VLAN (2400-2439) | ||||||
---|---|---|---|---|---|---|
VLAN Name | VLAN ID | Status | Location (br/tr/vh/dp) |
Created owner |
Admin | Comment |
Speciální VLANy (detaily)
Rozdělení FJFI VLAN (2440-2449) (speciální VLANy, vyhrazeny pro správu sítě) | ||||||
---|---|---|---|---|---|---|
VLAN Name | VLAN ID | Status | Location (br/tr/vh/dp) |
Created owner |
Admin | Comment |
fjfi-tr-kipl-nat | 2444 | active | tr | 19.6.2019 FJFI | vokacpet drabmart |
KIPL PC lab a další KIPL stroje v NATované VLAN (tohle sem nepatří a příležitostně bude přečíslováno na 248x) |
fjfi-tr-hyperion-mgmt-iso | 2445 | active | tr | 5.5.2019 FJFI | vokacpet drabmart |
Hyperion cluster management isolated sub-VLAN for private isolation (tohle sem nepatří a příležitostně bude přečíslováno na 248x) |
fjfi-tr-hyperion | 2446 | active | tr | 5.5.2019 FJFI | vokacpet drabmart |
Hyperion cluster data ethernet VLAN (tohle sem nepatří a příležitostně bude přečíslováno na 248x) |
fjfi-tr-hyperion-mgmt | 2447 | active | tr | 5.5.2019 FJFI | vokacpet drabmart |
Hyperion cluster management VLAN (tohle sem nepatří a příležitostně bude přečíslováno na 248x) |
fjfi-brtr-srv-clu | 2448 | active | br+tr | 12.1.2015 FJFI | vokacpet | Public segment pro clusterování strojů mezi Trojankou a Břehovkou s dvěmi HSRP active/standby gateway |
fjfi-brtr-srv-priv | 2449 | active | br+tr | 16.6.2014 FJFI | vokacpet | Privátní segment mezi Trojankou a Břehovkou využívaní pro komunikaci mezi servery v clusteru (DFS replikace) |
Individuální VLANy (detaily)
Rozdělení FJFI VLAN (2450-2499) (individuální VLANy, pro uživatelské potřeby) | ||||||
---|---|---|---|---|---|---|
VLAN Name | VLAN ID | Status | Location (br/tr/vh/dp) |
Created (owner) |
Admin | Comment |
test_max_20_znaku | 2450 | test | -- | 2.6.2014 (KM) | vokacpet | Testovací záznam - tato VLAN není reálně nikde zkonfigurována, jméno VLAN musí být do 20 znaků (CISCO limit, stará SMC podporují max 12 znaků)! |
fjfi-tr-km | 2451 | test | tr | 1.4.2016 | vokacpet | alokace VLAN pro katedry (pro případ L2 rozdělení sítě dle OU) |
fjfi-br-kf | 2452 | test | br | 1.4.2016 | vokacpet | alokace VLAN pro katedry (pro případ L2 rozdělení sítě dle OU) |
fjfi-tr-kj | 2453 | test | tr | 1.4.2016 | vokacpet | alokace VLAN pro katedry (pro případ L2 rozdělení sítě dle OU) |
fjfi-tr-kipl | 2454 | test | tr | 1.4.2016 | vokacpet | alokace VLAN pro katedry (pro případ L2 rozdělení sítě dle OU) |
fjfi-tr-kfe | 2455 | test | tr | 1.4.2016 | vokacpet | alokace VLAN pro katedry (pro případ L2 rozdělení sítě dle OU) |
fjfi-tr-kmat | 2456 | test | tr | 1.4.2016 | vokacpet | alokace VLAN pro katedry (pro případ L2 rozdělení sítě dle OU) |
fjfi-br-kjch | 2457 | test | br | 1.4.2016 | vokacpet | alokace VLAN pro katedry (pro případ L2 rozdělení sítě dle OU) |
fjfi-br-kdaiz | 2458 | test | br | 1.4.2016 | vokacpet | alokace VLAN pro katedry (pro případ L2 rozdělení sítě dle OU) |
fjfi-vh-kjr | 2459 | test | vh | 1.4.2016 | vokacpet | alokace VLAN pro katedry (pro případ L2 rozdělení sítě dle OU) |
fjfi-tr-ksi | 2460 | test | tr | 1.4.2016 | vokacpet | alokace VLAN pro katedry (pro případ L2 rozdělení sítě dle OU) |
fjfi-br-dekanat | 2461 | test | br | 1.4.2016 | vokacpet | alokace VLAN pro katedry (pro případ L2 rozdělení sítě dle OU) |
fjfi-??-?? | 2462 - 2469 |
rezervace | -- | 1.4.2016 | vokacpet | alokace VLAN pro katedry (pro případ L2 rozdělení sítě dle OU) |
fjfi-br-aruba | 2471 | active | br | 23.3.2022 | keroupav | Aruba, management AP |
fjfi-tr-aruba | 2472 | active | tr | 15.6.2020 | keroupav | Aruba, management AP |
fjfi-vh-mgmt-wifi | 2473 | active | vh | 5.5.2022 | vokacpet | Management AP k CUNI wireless controlleru CISCO AIR-CT3504-K9 |
fjfi-dp-mgmt-wifi | 2474 | active | dp | ? | vokacpet | Management AP (zatím jen rezervace) |
fjfi-tr-fjfinet | 2475 | test | tr | 15.6.2020 | keroupav | Aruba, WiFi fjfinet |
fjfi-br-physics | 2476 | test | tr | 23.4.2024 | vokacpet | Dočásná náhrada pro síť Physics pro NAT na monitorovaném NMS |
K promyšlení
- VLANy pro subnety kateder, rozdělení +/- dle čísel kateder
- VLANy pro privátní subnety kateder (nebo mít jen jeden "veřejný" privátní subnet?)
- VLAN pro přístupové systémy pro karty (je možné provozovat na privátní síťi?)
- VLAN pro přístup k datům zabezpečení (kamery)
- VLAN pro serverovou DMZ
- Prohodit číslování standardních VLAN pro Tróju a Děčín (stejné pořadí jako seřazené IP segmenty?)
- jedinný Děčín je "externí" lokalita routovaná přímo CESNETem (nemáme plnou kontrolu nad lokálními čísly VLAN a IPv6 čísly subnetů)
- pořadí lokalit tedy bude br/tr/vh/dp
IP
Veřejné adresy
Následující tabulka obsahuje souhrné informace o veřejných IP adresách přidělených a využívaných na FJFI.
Rozdělení veřejných IP rozsahů na FJFI | |||||
---|---|---|---|---|---|
IP rozsah | Lokalita | Gateway | VLAN Name | Admin | Comment |
147.32.4.0/24 | Břehová | 147.32.4.1 | fjfi-br-def | schlopet | Veřejné adresy br-1 |
147.32.5.0/24 | Břehová | 147.32.5.1 | fjfi-br-def | schlopet | Veřejné adresy br-2 |
147.32.6.0/23 | Trojanova | 147.32.6.1 | fjfi-tr-def | sinormil | Subnet KFE + dynamicky přidělované veřejné IP |
147.32.8.0/24 | Trojanova | 147.32.8.1 | fjfi-tr-def | keroupav | Subnet KM+KJ+KSI+Elsa |
147.32.9.0/26 | Trojanova | 147.32.9.1 | fjfi-tr-srv | vokacpet | Serverový subnet v tr |
147.32.9.64/26 | Břehová+Trojanova | 147.32.9.65 | fjfi-brtr-srv-clu | vokacpet | Serverový subnet pro clustery mezi br+tr (duální gateway active/standby přes HSRP) |
147.32.9.128/26 | Břehová | 147.32.9.129 | fjfi-br-srv | vokacpet | Serverový subnet v br |
147.32.9.192/26 | Trojanova | 147.32.9.193 | fjfi-tr-def | keroupav | Subnet speciální zařízení |
147.32.10.0/25 | Trojanova | 147.32.10.1 | fjfi-tr-def | kopripe1 | Subnet KMAT |
147.32.10.128/25 | Trojanova | 147.32.10.129 | fjfi-tr-def | drabmart | Subnet KIPL |
147.32.11.0/24 | Betlem | 147.32.11.1 | fjfi-bp-def | vokacpet | Veřejný subnet pro celou lokalitu, abychom nemuseli provozovat vlastní infrastrukturu (routery, tiskové servery, ...) |
147.32.22.0/24 | Děčín | 147.32.22.1 | fjfi-dp-def | sumpepre | Veřejné adresy dp |
147.32.25.0/24 | Trója | 147.32.25.1 | fjfi-vh-def | fialaja2 | Veřejné adresy vh |
Veřejné adresy detaily
Většina veřejných adres je rezervována pro konkrétní zařízení. V každé budově FJFI existuje ale i určitý rozsah veřejných adres, které jsou přidělovány registrovaným zařízením bez rezervace konkrétní adresy (zvýrazněno modře v níže uvedené tabulce). V případě aktuálního vyčerpání těchto volně dostupných veřejných adresu budou dalším zařízením přidělovány privátní adresy z privátního rozsahu na téže VLAN fjfi-*-def. V konfiguraci registrace síťového zařízení lze specifikovat, že danému zařízení má být vždy přidělena privátní adresa a to i v případě, že pool veřejných adres ještě nebyl vyčerpán.
Trvale připojená zařízení využívají veřejné adresy by měla mít zaregistrovánu rezervovanou adresu z rozsahu, který je přidělen organizační jednotce vlastnící dané zařízení (viz. tabulka). Zařízení tak bude mít garantovánu stalou veřejnou IP adresu a nebude se zbytečně zmenšovat pool s veřejnými adresami pro ostatní zařízeni, která se na FJFI síti vyskytují pouze občas. Pro běžná zařízení (počítače) je preferováno použití veřejných adres, jelikož při jejich použití není fungování síťového zařízení omezeno potencíálními problémy NATu (vyplývající z podstaty NATu, vytížení NATovacího zařízení případně jeho nedostupnosti) a lze jednodušeji řešit případné stížnosti týkající se konkrétní adresy.
Existuje ale i skupina speciálních zařízení (např. tiskárny) u nichž je lepší použít privátní adresy. Provoz některých zařízení na veřených adresách totiž představuje bezpečnostní hrobu vzhledem k neexistujícím automatickým security updatům firmware a omezeným možnostem konfigurace zabezpečení. Takové zařízení by ideálně měla být na samostatné VLAN fjfi-*-fragile, ale vzhledem ke komplikovanému managementu sítě pro ně je zatím vyhrazen rozsah privátních adres z VLAN fjfi-*-def (viz. níže). Adresu z tohoto rozsahu lze jednoduše vybrat v rozhraní pro registrace síťových zařízení.
Rozdělení veřejných IP rozsahů (detaily) | ||
---|---|---|
IP rozsah | adresy | Comment |
147.32.4.0/24 | 147.32.4.0-70 | ??
|
147.32.4.71-189 | "Veřejný segment" s dynamicky přidělovanými adresami pro registrovaná zařízení | |
147.32.4.190-255 | ?? | |
147.32.5.0/24 | 147.32.5.0-31 | Volné pro statické rezervace
|
147.32.5.50-254 | "Veřejný segment" s dynamicky přidělovanými adresami pro registrovaná zařízení | |
147.32.6.0/24 | 147.32.6.2-99 | vyhrazeno unixářům (Richard Liska, Milan Šiňor) |
147.32.6.100-116 | pclab T124 (Kerouš) | |
147.32.6.117-199 | kanceláře, ... (Antonín Novotný) | |
147.32.6.200-254 | InfoLab, kanceláře (Josef Blažej) | |
147.32.6.255 | rezervováno pro budoucí segment broadcast po rozdělení segmentu na segmenty 147.32.6.0/24 a 147.32.7.0/24 | |
147.32.7.0/24 | 147.32.7.1-31 | tento rozsah byl využíván pro IP adresy AP, nyní volný. |
147.32.7.32-254 | "Veřejný segment" s dynamicky přidělovanými adresami pro registrovaná zařízení | |
147.32.8.0/24 | 147.32.8.2-79 | KM zaměstnanci (desktopy, frekventované notebooky) |
147.32.8.80-96 | studovna 214
| |
147.32.8.97-109 | KM zaměstnanci (desktopy, frekventované notebooky) | |
147.32.8.110-149 | KM učebny
| |
147.32.8.150-207 | KM zaměstnanci (desktopy, frekventované notebooky)
| |
147.32.8.208/28 | KSI zaměstnanci (desktopy) | |
147.32.8.224/28 | KJ zaměstnanci (desktopy) | |
147.32.8.240/28 | Elsa | |
147.32.9.0/24 | 147.32.9.0/26 | Server Trojanova |
147.32.9.64/26 | Server Břehová+Trojanova | |
147.32.9.128/26 | Server Břehová | |
147.32.9.192/26 | Různé
| |
147.32.10.0/25 | 147.32.10.0/25 | žádné další podrobnosti ke konfiguraci |
147.32.10.128/25 | žádné další podrobnosti ke konfiguraci | |
147.32.11.0/24 | 147.32.11.0/24 | žádné další podrobnosti ke konfiguraci |
147.32.22.0/24 | 147.32.22.101-199 | "Veřejný segment" s dynamicky přidělovanými adresami pro registrovaná zařízení |
147.32.25.0/24 | 147.32.25.102-219 | "Veřejný segment" s dynamicky přidělovanými adresami pro registrovaná zařízení |
Privátní adresy
Vzhledem k nedostatku veřejných IP adres bylo nutné začít využívat i privátní IP adresy. Ty jsou používany jak čistě interně (např. management), tak i pro běžný provoz s NATem aktuálně hlavně na WiFi sítích, kde si vzhledem k enormnímu nárůstu počtu zařízení není možné vystačit s dostupnými veřejnými adresami. Privátní IPv4 adresy jsou také používány pro neregistrovaná zařízení a automatický přístup k captive portálu na stránku s registrací.
Bohužel se na "Jednání IT techniků ČVUT - 11.6.2015" dohodlo, že se privátní adresy nebudou routovat po ČVUT (resp. nedošlo ani k základní shodě na tom, jaké rozsahy by bylo možné použít s tím, že ostatní fakulty už využívají všechny dostupné privátní subnety). Tohle je podmínka (téměř - viz. RFC6598) nutná pro možnost zřízení globálního NATu, takže ani v budoucnu nelze očekávat poskytnutí této služby v rámci celého ČVUT. Další komplikací je využití privátních adres mezi různými lokalitami FJFI, kde je potřeba využít policy based routing a privátní adresy do druhé lokality dostat přes tunel resp. dedikovanou VLAN. Centrální L3 switche použité v FJFI lokalitách také mají relativně omezené možnosti konfigurace (nepodporují NAT, netflow, GRE tunely, malá TCAM pro PBR, ...).
Počet adres v podsítích dané velikosti | |||||
---|---|---|---|---|---|
IP rozsah | počet | IP rozsah | počet | IP rozsah | počet |
/24 | 256 | /21 | 2048 | /18 | 16384 |
/23 | 512 | /20 | 4096 | /17 | 32768 |
/22 | 1024 | /19 | 8192 | /16 | 65536 |
Privátní adresy dle lokality
Pro centrálně spravované privátní adresy na FJFI je využíván rozsah 172.16.0.0/12 z nějž má každá lokalita přidělen jeden segment /16 (~ 65k adres) a poslední subnet 172.31.0.0/16 se využívá ke speciálním účelům (např. spojovačky). Přidělený segment je dále dělen na subnety jejichž základní číslování je shodné v každé lokalitě (např. dle VLAN, využití, ...).
Rozdělení privátních IP rozsahů na FJFI po lokalitách | ||
---|---|---|
IP rozsah | Lokalita | Comment |
10.0.0.0/8 | -- | Vyhrazeno pro potřeby ČVUT (sice to nebylo nikde oficiálně řečeno, ale je to jedinný privátní rozsah u nejž vzhledem k velikosti má smysl uvažovat o využití v rámci celého ČVUT) |
172.16.0.0/16 | Břehová | |
172.17.0.0/16 | Trojanova | |
172.18.0.0/16 | Trója | |
172.19.0.0/16 | Děčín | |
172.31.0.0/16 | -- | Vyhrazeno pro speciální využití (např. spojovačky na privátní síti) |
192.168.0.0/16 | -- | Adresy z tohoto rozsahu nebudou na FJFI nijak regulovány a jsou preferované pro uživatelské testovací resp. dočásné privátní sítě. Je na jejich správci, aby si vybral nepoužívaný rozsah v dané síti resp. VLAN, ale není zde zaručeno resp. monitorováno jestli jestli stejné adresy začne používat někdo další. Pro potřeby trvalého privátního adresované na FJFI síti je doporučeno dohodnout alokaci podsítě z odpovídajících 172.1x.0.0/16 rozsahů. Nědky může být vhodné použít adresování 172.1x.0.0/16 i např. pro clustery resp. sítě kompletně oddělené od zbytku infrastruktury (např. je lze pak zpřístupnit přes centrální VPN). |
Privátní rozsahy značené 172.1x.aaa.bbb budou dále znamenat adresy v libovolné lokalitě (br=16/tr=17/vh=18/dp=19) |
Privátní adresy dle VLAN
Všechny standardní využívané VLAN budou mít přidělen určitý rozsah privátních adres. V závislosti na využití bude přizpůsobena konfigurace "Private routing" týkající se routování mezi lokalitami FJFI (žádné routování, routování přes tunel/VLAN nebo IPSec zabezpečené spojení), routování do světa skrz NAT a různé filtrování paketů "Private ACL" mezi privátními subnety. Jednotlivé subnety je dobré alokovat také s ohledem na to, jak komplikované bude případné přečíslování zařízení na daném subnetu.
Rozdělení privátních IP rozsahů na FJFI | |||||||
---|---|---|---|---|---|---|---|
IP rozsah | Gateway | VLAN Name | NAT | Private routing |
Private ACL |
Komplikace přeadresování |
Comment |
172.1x.0.0/17 - adresy pro globální využití ve všech lokalitách | |||||||
172.1x.0.0/22 | 172.1x.0.1 | fjfi-*-srv | yes | default | permit | velké | Privátní adresování serverů dostupných přímo ze všech lokálních sítí, komunikace z privátní adresy do internetu je NATována |
172.1x.4.0/22 | 172.1x.4.1 | fjfi-*-srv | yes | default | deny | velké | Privátní adresování serverů dostupné pouze ze serverových VLAN, komunikace z privátní adresy do internetu je NATována |
172.1x.8.0/22 | 172.1x.8.1 | fjfi-*-srv | yes | IPSec | deny | velké | Privátní adresování serverů dostupné pouze ze serverových VLAN s IPSec zabezpečenou komunikací mezi FJFI lokalitami, komunikace z privátní adresy do internetu je NATována |
172.1x.12.0/22 | -- | fjfi-*-srv | no | no | deny | velké | Privátní adresování serverů dostupné pouze z lokální VLAN (žádné routování či NAT) |
172.1x.16.0/23 | 172.1x.16.1 | fjfi-*-mgmt-net | yes/no | IPSec | deny | velké | Privátní adresování managementu síťových prvků (switche) dostupné pouze z mgmt-net VLAN s IPSec zabezpečenou komunikací mezi lokalitami, komunikace z privátní adresy do internetu je NATována pro první polovinu adres 172.1x.16.0/24 |
172.1x.18.0/24 | 172.1x.18.1 | fjfi-*-room | no | default | deny | velké | Privátní adresování managementu vybavení místností (např. audio & video propojení zařízení, ovládání zatemnění, ...) |
172.1x.19.0/24 | 172.1x.19.1 | fjfi-*-aruba | yes | default | deny | malé | Privátní adresování managementu Aruba zařízení |
172.1x.20.0/22 | 172.1x.20.1 | fjfi-*-mgmt-srv | yes/no | IPSec | deny | velké | Privátní adresování managementu serverů (IPMI, RAID controller, UPS, ...) dostupné pouze z mgmt-srv VLAN s IPSec zabezpečenou komunikací mezi lokalitami, komunikace z privátní adresy do internetu je NATována pro první polovinu adres 172.1x.20.0/23 |
172.1x.24.0/22 | 172.1x.24.1 | fjfi-*-fragile | yes/no | default | deny | velké | Privátní adresování pro samostatný subnet "nedůvěryhodných" zařízení (např. tiskárny, specializovaná zařízení bez pravidelných security update, ...), komunikace z privátní adresy do internetu je NATována pro první polovinu adres 172.1x.24.0/23 |
172.1x.28.0/24 | 172.1x.28.1 | fjfi-brtr-srv-clu | yes | default | deny | velké | Privátní adresování dostupné pouze z fjfi-brtr-srv-clu VLAN, komunikace z privátní adresy do internetu je NATována (pro VLANy natažené do více lokalit se použijí adresy podle prvního názvu lokality ze jména VLAN, tj. 172.16.28.0/24) |
172.1x.29.0/24 | -- | fjfi-brtr-srv-clu | no | no | deny | velké | Privátní adresování dostupné pouze z fjfi-brtr-srv-clu VLAN (pro VLANy natažené do více lokalit se použijí adresy podle prvního názvu lokality ze jména VLAN, tj. 172.16.29.0/24) |
172.1x.30.0/24 | 172.1x.30.1 | fjfi-brtr-srv-priv | yes | default | deny | velké | Privátní adresování dostupné pouze z fjfi-brtr-srv-priv VLAN, komunikace z privátní adresy do internetu je NATována (pro VLANy natažené do více lokalit se použijí adresy podle prvního názvu lokality ze jména VLAN, tj. 172.16.30.0/24) |
172.1x.31.0/24 | -- | fjfi-brtr-srv-priv | no | no | deny | velké | Privátní adresování dostupné pouze z fjfi-brtr-srv-priv VLAN (pro VLANy natažené do více lokalit se použijí adresy podle prvního názvu lokality ze jména VLAN, tj. 172.16.31.0/24) |
172.1x.32.0 - 172.1x.51.255 |
-- | -- | -- | -- | -- | -- | Rezervováno pro budoucí "globální využití" |
172.1x.52.0/24 172.1x.53.0/24 |
172.1x.52.1(*) 172.1x.53.1(*) |
VPN test |
yes | default | -- | nulové | Privátní adresování pro L2TP, PPTP, komunikace z privátní adresy do internetu je NATována
Tato síť používá vlastní gateway a zařízení na ní nejsou z vnějšku dostupná |
172.1x.54.0/24 172.1x.55.0/24 |
172.1x.54.1(*) 172.1x.55.1(*) |
OpenVPN admin |
yes | default | -- | malé | Privátní adresování pro admin OpenVPN klienty s přímým přístupem do sítě včetně privátních, komunikace z privátní adresy do internetu je NATována
Tato síť používá vlastní gateway a zařízení na ní nejsou z vnějšku dostupná |
172.1x.56.0/22 172.1x.60.0/22 |
172.1x.56.1(*) 172.1x.60.1(*) |
OpenVPN user |
yes | default | -- | nulové | Privátní adresování pro OpenVPN klienty, komunikace z privátní adresy do internetu je NATována
Tato síť používá vlastní gateway a zařízení na ní nejsou z vnějšku dostupná |
172.1x.64.0/20 | 172.1x.64.1 | fjfi-*-def | yes(*) | default | permit(*) | velké(*) | Privátní adresy na default VLAN (lokální síť v budově), detaily viz. Network#Privátní adresy na default VLAN fjfi-*-def |
172.1x.80.0/20 | 172.1x.80.1 | fjfi-*-wifi | yes | default | permit | malé | Privátní rozsah pro speciální WiFi sítě, které mohou mít speciální konfiguraci např. pro konference, ... |
172.1x.96.0/20 | 172.1x.96.1 | fjfi-*-eduroam | yes | default | permit | malé | Privátní adresy pro wireless síť Eduroam, detaily viz. Network#Privátní adresy na default VLAN fjfi-*-eduroam |
172.1x.112.0/20 | 172.1x.112.1(*) | fjfi-*-wififjfi | yes(*) | default | permit | malé | Privátní adresy pro wireless síť WiFiFJFI, detaily viz. Network#Privátní adresy na default VLAN fjfi-*-wififjfi, tato síť používá vlastní gateway pro řízení přístupu pomocí captive portálu a zařízení na ní nejsou z vnějšku dostupná. |
172.1x.128.0/18 - adresy pro lokální využití v konkrétní lokalitě lokalitě | |||||||
172.16.128.0/18 - Břehová | |||||||
?rezervace? 172.16.128.0/22 |
172.16.128.1(*) | fjfi-br-kf-private | yes(*) | default | permit | -- | Rezervace privátních adres pro síť KF s NAT a gateway zajištěnou vlastním zařízením |
172.17.128.0/18 - Trojanova | |||||||
?rezervace? 172.17.128.0/22 |
172.17.128.1(*) | fjfi-tr-hyperion | yes(*) | default | permit | -- | Rezervace privátních adres pro KM+KIPL hyperion cluster s vlastní NAT a gateway (v tuto chvíli nevyužito) |
?rezervace? 172.17.132.0/22 |
172.17.132.1 | "xen-vdi" | yes | default | permit | velké | Privátní adresování pro Xen virtualizované desktopy, komunikace z privátní adresy do internetu je NATována |
172.18.128.0/18 - Trója | |||||||
172.19.128.0/18 - Děčín | |||||||
172.1x.192.0/18 - rezervováno | |||||||
172.20.0.0/16 - .hyperion.fjfi.local - Privátní adresy pro Hyperion Cluster Ethernet datová VLAN (2446) | |||||||
172.20.0.0/16 | 172.20.255.253 (10Gb) 172.20.255.254 (1Gb) |
fjfi-tr-hyperion (2446) | yes | velké | Hlavní datová ethernet VLAN Hyperion clusteru s vlastní 10Gb NAT a gateway a starší 1Gb NAT a gateway (v tuto chvíli použit pouze pro routování na MMG Storage) | ||
172.20.0.0/25 | velké | Hlavní datová ethernet subnet výpočetních nodů starého Hyperion clusteru (CentOS 6) | |||||
172.20.3.0/25 | velké | Hlavní datová ethernet subnet výpočetních nodů Quantum Hyperion sub-clusteru | |||||
172.20.4.0/25 | velké | Hlavní datová ethernet subnet výpočetních nodů Hyperion sub-clusteru | |||||
172.20.10.0/25 | velké | Hlavní datová ethernet subnet servisních nodů Hyperion clusteru | |||||
172.20.255.0/25 | velké | Hlavní datová ethernet subnet routovacích nodů Hyperion clusteru | |||||
172.21.0.0/16 - .hyperion-mgmt.fjfi.local - Privátní adresy pro Hyperion Cluster Ethernet management VLAN (2447 + sub-VLAN 2445) | |||||||
172.21.0.0/16 | 172.21.255.253 | fjfi-tr-hyperion-mgmt (2447) | yes | velké | Management ethernet VLAN Hyperion clusteru s vlastní 1Gb NAT a gateway | ||
172.21.0.0/25 | velké | Management ethernet subnet výpočetních nodů Hyperion sub-clusteru | |||||
172.21.3.0/25 | velké | Management ethernet subnet výpočetních nodů Quantum Hyperion sub-clusteru | |||||
172.21.10.0/25 | velké | Management ethernet subnet servisních nodů Hyperion clusteru | |||||
172.21.255.0/25 | velké | Management ethernet subnet routovacích nodů Hyperion clusteru | |||||
172.22.0.0/16 - .hyperion-ib.fjfi.local - Privátní adresy pro starý Hyperion Cluster IP over InfiniBand | |||||||
172.23.0.0/16 - Privátní adresy pro Hyperion Cluster IP over InfiniBand/Fabric | |||||||
172.23.0.0/18 | -- | -- | -- | velké | IP over InfiniBand subnet Hyperion clusteru, prozatím neroutované | ||
172.23.64.0/18 | -- | -- | -- | velké | IP over Fabric (OPA) subnet Hyperion clusteru, prozatím neroutované | ||
172.24.0.0/16 - .kipl.fjfi.local - Privátní adresy pro KIPL PC učebnu a další přidružené stroje KIPL, VLAN (2444) | |||||||
172.24.0.0/26 | 172.24.0.126 | fjfi-tr-kipl-nat (2444) | yes | malé | Privátní adresy pro KIPL PC učebnu a další přidružené stroje KIPL s vlastní NAT a gateway | ||
Adresy pro lokální využití v konkrétní lokalitě rezervované pro případ, že dojde k L2 segmentaci sítě podle příslušnosti k různým součástem FJFI |
Privátní adresy na default VLAN fjfi-*-def
Využití privátních IP adres 172.1x.64.0/20 na default VLAN | |||||
---|---|---|---|---|---|
IP rozsah | DHCP | NAT | Admin | Comment | |
172.1x.64.0/21 | dynamic+reserved | yes | vokacpet | Adresy pro běžná registrovaná zařízeni s přístupem do světa přes NAT
| |
172.1x.72.0/22 | -- | -- | vokacpet | unused | |
172.1x.75.0/24 | -- | yes | vokacpet
keroupav |
Adresy vyhrazené pro VPN klienty (vpn.fjfi.cvut.cz) | |
172.1x.76.0/23 | reserved | yes | vokacpet | Adresy rezervované pro "nepočítačová" zařízení (např. tiskárny) | |
172.1x.78.0/24 | reserved | yes | vokacpet | Adresy rezervované pro servery (např. printserver pro komunikaci na tomto subnetu) | |
172.1x.79.0/24 | dynamic | limited | vokacpet | Adresy přidělované blokovaným, smazaným a neregistrovaným zařízením |
Privátní adresy na eduroam VLAN fjfi-*-eduroam
Využití privátních IP adres 172.1x.96.0/20 na eduroam VLAN | |||||
---|---|---|---|---|---|
IP rozsah | DHCP | NAT | Admin | Comment | |
172.1x.96.0/21 | dynamic+reserved | yes | vokacpet | Adresy pro běžná registrovaná zařízeni s přístupem do světa přes NAT | |
172.1x.110.0/24 | reserved | yes | vokacpet | Adresy pro AP na interfacu pro příslušnout VLAN (není povinné, ale vhodné pro monitoring) | |
172.1x.111.0/24 | dynamic | limited | vokacpet | Adresy přidělované blokovaným (smazaným) zařízením |
Privátní adresy na wififjfi VLAN fjfi-*-wififjfi
Využití privátních IP adres 172.1x.112.0/20 na wififjfi VLAN | |||||
---|---|---|---|---|---|
IP rozsah | DHCP | NAT | Admin | Comment | |
172.1x.112.0/21 | dynamic+reserved | auth | vokacpet | Adresy pro běžná registrovaná zařízeni s přístupem do světa přes NAT | |
172.1x.126.0/24 | reserved | yes | vokacpet | Adresy pro AP na interfacu pro příslušnout VLAN (není povinné, ale vhodné pro monitoring) | |
172.1x.127.0/24 | dynamic | limited | vokacpet | Adresy přidělované blokovaným zařízením |
Individuální rozsahy privátních adres
Využití těchto adres není nijak regulováno, takže zde neexistují žádné překážky k jejich použití ale na druhou stranu se také nelze spolehnout na to, že stejné adresy nezačne používat někdo další. V níže uvedené tabulce je (nekompletní) seznam aktuálně používaných adres z 192.168.0.0/16 rozsahu. Bylo by vhodné zvážit jestli do budoucna nezačít využívat rezervované subnety z 172.1x.0.0/16 rozsahů.
Rozdělení individuálních privátních IP rozsahů na FJFI | ||||||
---|---|---|---|---|---|---|
IP rozsah | Gateway | Public | VLAN Name | OU | Admin | Comment |
192.168.x.0/24 | 192.168.x.1 | 147.32.x.y | None | KIPL | drabmart | Privátní adresy pro KM+KIPL cluster |
192.168.3.0/24 | 192.168.3.1 | 147.32.4.13 | None | KF | cepiljan | Privátní adresy na KF - kanceláře |
192.168.11.0/24 | 192.168.11.1 | 147.32.x.y | None | KF | cepiljan | Privátní adresy na KF (?) |
192.168.20.0/24 | 192.168.20.1 | 147.32.x.y | None | KF | cepiljan | Privátní adresy na KF (?) |
IPv6
ČVUT přiděluje standardně /56 rozsahy (lze použít pro vytvoření 256 podsítí) pro lokality připojené přes Dejvice ze přiděleného IPv6 rozsahu 2001:718:2::/48. Bohužel vzhledem ke způsobu routování IPv6 není možné používat adresy z "dejvického" rozsahu v ostatních lokalitách (CESNET to ve své síti nepodporuje, tj. např. v Tóji a Děčíně), tam bude využit jiný rozsah přidělený ČVUT a routovaný Pasnetem resp. CESNETem.
IPv6 adresy dle lokality
Rozdělení IPv6 rozsahů na FJFI po lokalitách (FJFI IPv6 rozsahy 2001:718:2:1800::/54) | |||
---|---|---|---|
IP rozsah | Lokalita | Admin | Comment |
2001:718:2:1700::/56 | -- | vokacpet | Nevyužitý rozsah aktuálně přidělený na FJFI (včetně DNS reverzů, bude vrácen VICu po alokaci "1b") |
2001:718:2:1800::/56 | Břehová | vokacpet | Veřejné adresy |
2001:718:2:1900::/56 | Trojanova | vokacpet | Veřejné adresy |
2001:718:2:1a00::/56 | Trója | vokacpet | Veřejné adresy (aktuálně nevyužitý rozsah nazvaný FJFI test, čeká na novou serverovnu PASNETu v Tróji) |
2001:718:2:1b00::/56 | -- | vokacpet | Nevyužitý rozsah aktuálně přidělený FJFI ČVUT (pro "hezčí" FJFI IPv6 netmask) |
?? | Děčín | vokacpet | Veřejné adresy (další ČVUT adresy přidělené z routovatelného rozsahu CESNET) |
IPv6 adresy dle VLAN
Každá VLAN přidělená FJFI má standardně přiřazen jeden IPv6 subnet /64 z přiděleného rozsahu /56 (256 možných /64 subnetů). Příslušné číslo FJFI VLAN-2400 (tj. hodnoty v intervalu 0-99) budou přímo součástí IPv6 adresy na pozici 56-63. Vyjímkou je prvních 40 rezervovaných VLAN u nichž se používá pouze poslední číslice.
Rozdělení IPv6 rozsahů na FJFI podle VLAN | |||
---|---|---|---|
IP rozsah | VLAN ID | VLAN Name | Comment |
2001:718:2:xx00::/64 | 24?0 | fjfi-*-srv | Subnet pro servery |
2001:718:2:xx01::/64 | 24?1 | fjfi-*-def | Veřejná síť ("default VLAN" pro běžné počítače) |
... | |||
2001:718:2:xx09::/64 | 24?9 | fjfi-*-fragile | Segment pro "nepočítačová" síťová zařízení |
... | |||
2001:718:2:xx48::/64 | 2448 | fjfi-brtr-srv-clu | Public segment mezi Trojankou a Břehovkou s duální gateway přes HSRP |
2001:718:2:xx49::/64 | 2449 | fjfi-brtr-srv-priv | Privátní segment mezi Trojankou a Břehovkou využívaní pro komunikaci mezi servery |
... | |||
2001:718:2:xxa0::/64 -- 2001:718:2:xxff::/64 |
-- | -- | Rezervováno pro budoucí/speciální využití |
2001:718:2:xxa?::/60 | Static route to OpenVPN server | OpenVPN IPv6 network
|
Využití IPv6 adres v rámci /64 subnetů
Každý subnet na IPv6 má prakticky vzato "neomezené" množství IPv6 adres. Lze tedy zavést další jemnější dělení těchto subnetů, aby bylo možné pro určité skupiny počítačů specifikovat například různá firewall pravidla (např. omezení přístupu na tiskárny pouze z IPv6 adres ČVUT). Nevyužité (zde nedefinované) části /64 subnetů budou mít standardně zakázanou jakoukoliv komunikaci přímo na fakultním routeru.
Navíc pro IPv6 nebudou v principu existovat dynamicky přidělované adresy jako je tomu na IPv4, kde je nutné recyklovat omezený adresní prostor. Všechna registrovaná zařízení (síťová rozhraní) budou mít statickou rezervaci konkrétní IPv6 adresy resp. jeji /64 suffix, který tak bude stejný při připojení zařízení ve všech lokalitách (pro běžné uživatelské subnety jako např. def, eduroam a wififjfi VLAN). Takto přidělená adresa navíc nebude v budoucnu recyklována pro jiné uživatelské zařízení (existují vyjímky, jako např. servery u nichž je změna adresy občas nežádoucí). V případě potřeby je možné u existujícího zařízení smazat aktuální IPv6 adresu a nechat vygenerovat novou.
Pravidla IPv6 pro server VLAN fjfi-*-srv
- změny ve využití adres jsou u serverů velice komplikované
- konfigurace sítě je na serverech statická (nepoužívají DHCP)
- pro použité adresy může mít řada zařízení (nejen na tomto segmentu) zkonfigurována různá pravidla (např. firewall)
- pokud se neobjeví závažné nedostatky aktuálního plánu (např. nové standardy) tak jsou adresy přiděleny navždy
- aktuálně budou využívány pouze adresy z rozsahu 2001:718:2:1x00::/96
- doporučený formát IPv6 addres
- IPv6 prefix + stávající IPv4 adresa serveru (např. 2001:718:2:1x00::147.32.9.17) nebo pouze poslední číslice z IPv4 adresy (např. 2001:718:2:1x00::17)
- adresy z rosahu 2001:718:2:1x00::0001:0000-2001:718:2:1x00::00ff:ffff (~ 2^24 adres)
- registrační GUI bude automaticky generovat neobsazené IPv6 adresy ze správných rozsahů
- libovolné jiné z /96 které se nekryjí s IPv4 formáty 147.32.0.0/16 (::9320:0000-ffff), 10.0.0.0/8 (::0a00:0000-0aff:ffff), 172.16.0.0/12 (::ac10:0000-::ac1f:0000), 192.168.0.0/16 (::c0a8:0000-ffff)
- jeden server může mít zároveň přiděleno více aktivních IPv6 adres
- je možné alokovat samostatný rozsah IPv6 adres pro skupinu počítačů
- pro jednodušší psaní pravidel s IPv6 rozsahy
- každá skupina bude mít rozsah /96
- skupina může mít např. vlastní ACL přímo na routeru
- aktuálně neexistují žádné předdefinované skupiny
- lze si představit např. skupiny dle OS (pro jednodušší psaní filtrů na aktuálně zneužívané chyby)
- také skupiny dle orgaizačních jednotek pro omezení komunikace na vlastní servery
- teprve praktické používání IPv6 ukáže reálné potřeby
- využití skupin zde musí být zdokumentováno
Skupiny adres na server VLAN fjfi-*-srv (2001:718:2:xx00::/64) | |||
---|---|---|---|
Název | IPv6 rozsah | Owner | Comment |
default | 2001:718:2:xx00:0:0::/96 | vokacpet | Standardní IPv6 rozsah serverů |
Pravidla IPv6 pro server VLAN fjfi-*-def
- změny ve využití adres mohou být relativně jednoduché při dodržování následujících zásad
- zařízení budou pro IPv6 konfigurace využívat výhradně router advertisementy + stavové DHCPv6
- vzhledem k nerecyklování IPv6 adres je možné nastavit velice dlouhý lease time
- nelze použít "nekonečno" jinak bychom přidělenou adresou v budoucnu nebyly schopni změnit
- maximální lease time tedy bude jeden měsíc
- manuální konfigurace je silně nedoporučena
- pokud se rozhodneme změnit IPv6 adresování tak může dojít k problémům
- z hlediska správce IPv6 rozsahu je to problém čistě uživatele, který nedbal doporučení a nebude na něj brán ohled
- zařízení budou pro IPv6 konfigurace využívat výhradně router advertisementy + stavové DHCPv6
- podobně jako u serverové VLAN fjfi-*-srv bude možné zařízení zařazovat do skupin
- pro jednodušší psaní pravidel s IPv6 rozsahy
- každá skupina bude mít rozsah /96
- skupina může mít např. vlastní ACL přímo na routeru (např. omezení komunikace po ČVUT pro tiskárny)
- využití skupin zde musí být zdokumentováno
- jedno zařízení může mít zároveň přiděleno více aktivních IPv6 adres
- doporučený formát IPv6 addres (pouze správce sítě může s rozumným důvodem využít jinou než první možnost)
- registrační GUI bude automaticky generovat neobsazené IPv6 adresy ze správných rozsahů
-
IPv6 prefix + stávající IPv4 adresa serveru (např. 2001:718:2:1x01::147.32.8.52) nebo pouze poslední číslice z IPv4 adresy (např. 2001:718:2:1x01::852) -
adresy z rosahu 2001:718:2:1x01::0001:0000-2001:718:2:1x01::00ff:ffff (~ 2^24 adres) -
libovolné jiné z /96 které se nekryjí s IPv4 formáty 147.32.0.0/16 (::9320:0000-ffff), 10.0.0.0/8 (::0a00:0000-0aff:ffff), 172.16.0.0/12 (::ac10:0000-::ac1f:0000), 192.168.0.0/16 (::c0a8:0000-ffff)
Skupiny adres na server VLAN fjfi-*-def (2001:718:2:xx01::/64) | |||
---|---|---|---|
Název | IPv6 rozsah | Owner | Comment |
Adresy pro standardní a speciální rozsahy 2001:718:2:xx01:0:0::/88 | |||
default | 2001:718:2:xx01:0:0::/96 | vokacpet | Speciální IPv6 rozsah pro běžná zařízení (ručně přidělované adresy, např. 2001:718:2:1901::852), preferované jsou ale níže uvedené rozsahy s konkrétním účelem (dle typu zařízení, organizační jednotky, ...) |
dynamic | 2001:718:2:xx01:0:1::/96 | vokacpet | Rozsah vyhrazený pro dynamicky přidělované adresy (nutné pro zařízení, které byli primárně registovany pro jinou lokaci) |
-- | 2001:718:2:xx01:0:2::/96 - 2001:718:2:xx01:0:f::/96 |
vokacpet | Rezervovaný rozsah pro budoucí využití |
fragile printer |
2001:718:2:xx01:0:10::/96 | vokacpet | Rozsah vyhrazený pro tiskárny s omezením komunikace po ČVUT |
restricted | 2001:718:2:xx01:0:1?::/96 | vokacpet | Rozsah s povolenou komunikací pouze přes http/https (+ lokální DNS) |
restricted2 | 2001:718:2:xx01:0:1?::/96 | vokacpet | Rozsah s povolenou komunikací jen na vyhrazené lokální servery (adresy pro blokované, neregistrované, zlobivé, ... zařízení). Zatím by taková zařízení nemusela dostávat žádnou IPv6 adresu a do příslušná omezení a informační stranky by se zobrazili na základě přidělené IPv4 adresy. |
-- | 2001:718:2:xx01:0:??::/96 | -- | Skupina zařízení s omezeními dle uživatelských požadavků - návrhy? |
Adresy vyhrazené pro zařízení kateder 2001:718:2:xx01:0:100::/88 | |||
ČVUT FJFI Other |
2001:718:2:xx01:0:100::/96 | vokacpet | IP rozsah vyhrazený pro zařízení ČVUT, FJFI a Ostatní |
KM | 2001:718:2:xx01:0:101::/96 | vokacpet | IP rozsah vyhrazený pro zařízení KM |
KF | 2001:718:2:xx01:0:102::/96 | vokacpet | IP rozsah vyhrazený pro zařízení KF |
KJ | 2001:718:2:xx01:0:103::/96 | vokacpet | IP rozsah vyhrazený pro zařízení KJ |
KIPL | 2001:718:2:xx01:0:104::/96 | vokacpet | IP rozsah vyhrazený pro zařízení KIPL |
KFE | 2001:718:2:xx01:0:105::/96 | vokacpet | IP rozsah vyhrazený pro zařízení KFE |
KMAT | 2001:718:2:xx01:0:106::/96 | vokacpet | IP rozsah vyhrazený pro zařízení KMAT |
KJCH | 2001:718:2:xx01:0:107::/96 | vokacpet | IP rozsah vyhrazený pro zařízení KJCH |
KDAIZ | 2001:718:2:xx01:0:108::/96 | vokacpet | IP rozsah vyhrazený pro zařízení KDAIZ |
KJR | 2001:718:2:xx01:0:109::/96 | vokacpet | IP rozsah vyhrazený pro zařízení KJR |
KSI | 2001:718:2:xx01:0:10a::/96 | vokacpet | IP rozsah vyhrazený pro zařízení KSI |
CRRC | 2001:718:2:xx01:0:10b::/96 | vokacpet | IP rozsah vyhrazený pro zařízení CRRC |
Elsa | 2001:718:2:xx01:0:10c::/96 | vokacpet | IP rozsah vyhrazený pro zařízení Elsa |
Děkanát | 2001:718:2:xx01:0:10d::/96 | vokacpet | IP rozsah vyhrazený pro zařízení Děkanátu |
Pravidla IPv6 pro wireless VLAN fjfi-*-eduroam
- změny ve využití adres triviální (žádné statické konfigurace krom management serveru)
- blokovaná zařízení nedostanou od DHCPv6 přidělenou IPv6 adresu
- převedeno na problém samotného IPv4 a blokovaných zařízení, který je již vyřešen
- aktuálně tedy nemáme plnou podporu IPv6 only zařízení, ale jen v případě ojedinělých případů blokace
Skupiny adres na server VLAN fjfi-*-eduroam (2001:718:2:xx06::/64) | |||
---|---|---|---|
Název | IPv6 rozsah | Owner | Comment |
default | 2001:718:2:xx06:0:0::/96 | vokacpet | Speciální rozsah (ručně přidělované/rezervované adresy), žádné restrikce |
dynamic | 2001:718:2:xx06:0:1::/96 | vokacpet | Rozsah vyhrazený pro dynamicky přidělované adresy, minimální restrikce |
Pravidla IPv6 pro wireless VLAN fjfi-*-wififjfi
- změny ve využití adres triviální (žádné statické konfigurace krom management serveru)
- konfigurace by měla fungovat tak, aby klient mohl nakonec využívat nativní IPv6 konektivitu bez dalšího (linuxového) routeru (NAT) na cestě
- zbývá dořešit technické detaily autentizace na captive portálu a také blokovaná (neregistrovaná a smazaná) zařízení
- neautentizovaná zařízení dostanou pouze IPv4 adresu a budou tak mít přístup ke captive portálu
- DHCPv6 bude defaultně zkonfigurováno, aby zařízením neposkytlo IPv6 adresu do té doby než je uživatel uspěšně ověřen
- po autentizaci přes captive portál na IPv4 modifikovat dynamicky konfiguraci DHCPv6 a povolit přidělení adresy s lease time ~ 1hodina
- asi to je možné řešit přes DHCPv6 classes, ale ty nejsou podporovány v ISC DHCP 4.2.5, který je součástí CentOS7
- nebude fungovat pro IPv6 only zařízení (to tu aktuálně vůbec neřešíme a v budoucnu se uvidí co bude možné např. s 6to4 překlady adres)
Firewall
Provozní poznámky
- SMC8626
- nejnovější firmware v1.4.0.8 je nestabilní (pro multicast a mam pocit že docházelo i k odpadnutí managementu)
- aktualni firmware v1.1.0.2 nelze managovat přes VLANu (jinou než 1), kdy je na daném portu zároveň zapnutý spanning-tree edge-port, jelikož po restartu se nelze k managementu připojit dokud se nevytáhne a vrátí zpět ethernetový kabel => uplink nesmí mít tuhle volbu zapnutou
Upgrade 2020
Konfigurace sítě a routování na FJFI neodpovídá doporučením a není možné případné problémy řešit s podporou. Aktuálně máme velice jednoduchou, ale nestandardní konfiguraci s jednou VLAN do níž se routuje více subnetů pro všechna uživatelská zařízení připojená v dané lokalitě / budově. Je potřeba toto nepodporované řešení opustit, ale to nezbytně povede k nutnosti provozu více VLAN a s tím souvisejícími požadavky na konfiguraci access switchů při zachování flexibility v zapojování uživatelských zařízení. Při designu nové topologie je potřeba zohlednit i bezpečnostní hledisko a možnosti obrany lokální sítě proti neregistrovaným i registovaným zařízení. Lokální řešení pro registraci MAC ale i monitoring by měli být nahrazeny lepšími prostředk
Testování 10Gb na MM OM1 optice v lokalitě Trojanova
Původní optické trasy byly až do roku 2006 ukončeny v místnosti 112 a byly postaveny na MM optice (bez označení, ale pravděpodobně OM1 jelikož se jedná o 62.5um) a používali ST konektory. Při přeložení optiky do serverovny 302 byly některé trasy zachovány / přeloženy tak aby se využili stávající ukončení v něterých rozvaděčích. Optika z 2006 je postavena na OM1 s SC konektory a detaily tohoto projektu jsou uvedeny v příslušné technické zprávě. Některá označení na patch panelech pro staré trasy (např. v rozvaděči DR5.1) mohou být zavádějící jelikož vlákna stažená ze 112 byla využita pro vytvoření nových tras.
Běžné 10GBASE-SR/SW moduly pro MM optiku pracující s vlnovou délkou 850nm nemají dostatečný dosah po OM1 optice (~ 33m), ale existují i speciální 10GBASE-LRM na 1310nm s nimiž lze dle specifikace na OM1 optice dosáhnout až do vzdálenosti 220m při využití mode condition patch kabelů. V lokalitě Trojanova jsou sice všechny trasy do ~ 150m, ale některé mají na cestě až dva rozvaděče v nichž je patch kabel propojující příslušné trasy.
Výsledky měření (dle datasheetu mají LRM moduly citlivost mezi -6.0dBm až -12.5dBm v závislosti na výrobci, naše nové moduly maji -12.5dBm):
Výsledky měření 10Gb na MM OM1 s 10GBASE-LRM | ||||
---|---|---|---|---|
Rozvaděč (místnost) |
testovaný pár | signál 302 [dBm] |
signál DRx [dBm] |
poznámka |
DRS (s102) | 2 | -5.1 | -6.6 | |
DR10 (010, KM) | 2 | -5.0 | -6.9 | |
DR13 (048, KJ) | 2 | -4.9 | -6.1 | nepoužívaná stará ST optika |
DR4 (105, KM+ELSA) | 2 | -5.0 | -6.6 | |
DR8 (112, KM) | 2 | ? | -6.0 | signál na straně 302 nebyl měřen |
DR3 (115, KM) | 2 | -5.3 | -6.6 | |
DR11 (122, KFE) | 2 | -5.1 | -6.5 | stará ST optika |
DR12 (132, KFE) | 2 | -6.3 | -5.1 | nepoužívaná stará ST optika |
DR5.1 (213a) | 2 | ? | ? | neměřen, stará ST optika s SC-ST patch v DR5.1 |
DR14 (224, KIPL) | 2 | -5.2 | -6.5 | nepoužívaná stará ST optika |
DR16 (238, KFE) | 3 | -5.2 | -6.4 | žádný signál pro druhý pár vláken, stará ST optika |
DR15 (321, KIPL+KFE+KMAT) | 3 | -5.0 | -6.5 | druhý pár vláken 3DR1 a 4DR1 nefunguje (útlum dobrý, ale žádný link), stará ST optika |
DR6.3 (360, KMAT) | 2 | NA | NA | zrušen/nepoužíván |
DR6.2 (384, KIPL) | 1 | ? | -8.7 | testována stávajicí trasa (SC-ST patche v DR5.1, ST-ST v DR6.1) |
DR41 (409, půda) | 2 | ? | -5.5 | signál na straně 302 nebyl měřen |
DR42 (446, půda) | 2 | ? | ? | neměřen |
Dále byla měřena trasa mezi DR15 a serverovnou S1, do níž vybraná trasa fungovala. Když jsme navíc přidali ještě trasu do S3, tak jsme s použitými SFP+ moduly již nedostali link. Po vyzkoušení trasy 302 - S1 - S3 se switche opět spojili, takže se zdá že delší trasy s více spoji není možné vytvořit.
Závěr z tohoto měření je tedy takový, že na stávající MM OM1 optice v Trojance je možné provozovat 10Gb trasy, ale to je také limit současné infrastruktury. Bylo by vhodné připravit projekt výměny této staré optiky za SM, aby bylo možné v budoucnu provozovat i vyšší rychlosti v okamžiku, kdy vznikne potřeba 10Gb přístupových prvků u nichž je uplink se stejnou rychlostí nedostatečně dimenzovaný (např. 10Gb v počítačové učebně by mohl zpřístupnit nové způsoby využití). Připravený projekt by pak bylo možné ihned realizovat až nastane vhodná situace.
Topologie
Firewall (HW)
Core switch/L3 router
Access switch
Současný stav
Aktuálně provozovaná přístupová síť (ethernetové zasuvky v kancelářích, ale i veřejně přístupných prostorách) je svým designem a bohužel často i použitými aktivními prvky na úrovni roku 2000. V posledních dvaceti letech došlo k vývoji a to nejen v propustnosti, ale hlavně v možnostech jak zajistit spolehlivější a bezpečnejší přístupovou síť pro zařízení používající jak IPv4 tak i IPv6 adresy. Na stávající síti je velice jednoduché způsobit výpadek a to jak záměrně tak i omylem s omezenými možnostmi takové problémy monitorovat a bez účinných nástrojů jim bránit. Lokální síť je navíc prakticky téměř jeden velký L2 subnet, což není vhodná konfigurace z mnoha důvodů včetně nepodporované konfigurace routování.
Současná heterogenní infrastruktura neposkytuje jednotné funkce pro řízení přístupu do sítě, které je tak postaveno na ne příliš sofistikovaném lokálním řešení. To se skládá z komponenty pro registraci síťové adresy využívající konfiguraci DHCP serveru a jednoduchého monitoringu zařízení komunikujících na lokální síti. Obslužný software byl před více než deseti lety vytvořen na míru infrastruktuře s nulovými požadavky na funkce aktivních prvků a není vhodný pro síť postavenou na nových aktivních prvcích poskytujících zabudované funkce pro konfiguraci, zabezpečení, správu a monitoring.
Cílový stav
Přístupová síť splňující široké spektrum současných, ale pokud možno i budoucích požadavků (připravujeme řešení vhodné pro další dekádů) vyplývajících z charakteru různorodých způsobů využití moderní síťové infrastruktury navíc v podmínkách akademické instituce. Je nutné zaměřit se více na bezpečnost (spolehlivost), ale při zachování jednoduchého dostatečně flexibilního připojení pro běžné uživatele a bez neúměrného nárůstu nároků na konfiguraci a správu. Vybudovaná síť musí poskytovat i vhodné nástroje pro monitoring, detekci a řešení problémů.
Způsoby využití přístupové sítě
Další zatím nezařazené/nezpracované poznámky
- dalsi poznamky
- stávající stav: Arpmon, Registrace_MAC
- 802.11x pro "MAC based VLAN"
* automatické zařazení zařízení do VLAN k niž je registrované * není nutná žádná speciální konfigurace jednotlivých portů správcem, když si uživatel v kanclu přehodi tiskárnu mezi zásuvkami - vše je okamžitě funkční * konfigurace je uložena na Radius serveru * nutné zajistit vysokou spolehlivost této služby (zařízení podporují konfiguraci více Radius serveru) * více kritické než nefunkční DHCP, protože oprava je výhradně v rukou správce Radius serveru případně síťových prvků * nelze jako u DHCP spustit "alternativní" Radius server nebo provést nějakou statickou lokální konfiguraci * běžně existuje několik variant jak se takto označený port chová * možné připojit pouze jedno konkretní zařízeni - v našich podmínkách nepoužitelné např. s ohledem na kancelářský stolní switch resp. použití virtualních mašin s bridgovanou sítí * libovolné jedno schválene zařizení nastaví port pro všechno do jedné VLAN - uplně nepoužitelné vzhledem k "nepředvidatelnému chování" v případě více zařízení registrovaných do různých VLAN * každé zařízení bude individuálně přířazeno do jemu odpovídající VLAN na základě MAC adresy * není podporováno zdaleka všemi aktivními prvky (staré CISCO 2950 mám pocit neumělo) * limity na počet takto připojených zařízení (staré Junipery takhle umožňovali připojit jen jednotky zařízení na port) * (volitelně) možnost nasadit 802.11x včetně autentizace - možnost VLAN/subnetu kam se opravdu nikdo s cizím zařízením nedostane (např. personalní/finanční/...) * Guest VLAN pro neregistrovaná zařízení * možnost integrace s captive portálem umožňujícím lokálním/ČVUT uživatelům (SSO Shibboleth nebo OAuth) registraci bez nutnosti kontatování správce * možnost delegovat registraci na zaměstnance (přijede host a odešle v captive portálu mail/SMS(?) lokálnímu zaměstnanci, který jeho zařízení schválí) * ? možnost privátních VLAN (zařízení ve stejném subnetu nemohou komunikovat mezi sebou navzájem)
- IPv4
* DHCP Snooping * dynamic ARP inspection (?) * obrana proti ARP flodingu (stadardy?)
- IPv6
* RA Guard * ??? DHCPv6 ??? * obrana proti flodingu (standardy?)
- Monitoring
* nemám zcela jasno co vše je dobré monitorovat * určitě pro troubleshooting bude nutné mít relevantní údaje o chování 802.11x * minimálně by se hodily SNMP trap pro všechny MAC asociované s portem (kdy se objevila a kdy zmizela)