Network
Dokumemtace a pravidla k organizaci sítě na FJFI. Jakékoliv změny v tomto dokumentu musí být přinejmenším oznámeny v mailing listu správců IT na FJFI (comp@lists.fjfi.cvut.cz), aby bylo možné adaptovat konfigurace lokálních systémů (např. firewallu) v závislosti na úpravách konfigurace sítě.
VLAN
ČVUT VIC prostupně přechází na globalní očíslování VLAN takovým způsobem, aby v se různých částech sítě nepoužívala stejná čísla VLAN (některým management nástrojům se takové konfigurace nezamlouvají). Z toho důvodu byl pro vnitřní potřeby FJFI přidělen rozsah VLAN 2400-2499. Některá starší (pochybnější) zařízení mohou mít problém s využítím takto vysokých čísel, v takovém případě bude nejlepší na nich žádné VLANy nekonfigurovat a pustí se do nich jen potřebná negatovaná VLAN. V následujících tabulkách je plán resp. dokumentace k využítí přidělených VLAN. První polovina přiděleného rozsahu je využita pro "standardní" VLANy, které je vhodné mít vytvořené v každé budově FJFI a zbytek lze využít pro libovolné individuální VLANy (každé nově využité číslo VLAN z uvedeného rozsahu je zde nutné zdokumentovat).
Standardní VLANy
Rozdělení FJFI VLAN (2400-2439) (standardní VLANy, vyhrazeny pro správu sítě) | ||||||
---|---|---|---|---|---|---|
VLAN Name* | Břehová | Trojanova | Trója | Děčín | Status | Comment |
fjfi-*-srv | 2400 | 2410 | 2420 | 2430 | active | Subnet pro servery |
fjfi-*-def | 2401 | 2411 | 2421 | 2431 | active | Veřejná síť ("default VLAN" pro běžné počítače) |
fjfi-*-mgmt-srv | 2402 | 2412 | 2422 | 2432 | planed | Subnet pro management serverů (např. IPMI) |
fjfi-*-mgmt-net | 2403 | 2413 | 2423 | 2433 | planed | Management rozhraní síťových prvků (switch, router, ap, ...) |
fjfi-*-native | 2404 | 2414 | 2424 | 2434 | planed | Default untagged VLAN |
fjfi-*-dead | 2405 | 2415 | 2425 | 2435 | planed | VLAN pro zahazování veškerého provozu |
fjfi-*-eduroam | 2406 | 2416 | 2426 | 2436 | active | Wireless síť Eduroam |
fjfi-*-wififjfi | 2407 | 2417 | 2427 | 2437 | active | Wireless síť s captive portálem |
fjfi-*-voip | 2408 | 2418 | 2428 | 2438 | planed | Segment pro VoIP telefony |
fjfi-*-fragile | 2409 | 2419 | 2429 | 2439 | planed | Segment pro "nepočítačová" síťová zařízení (nepravidelné/neexistující updaty) |
U jmen VLAN je potřeba nahradit znak "*" zkratkou příslušné lokality (br/tr/vh/dp) |
Standardní VLANy (detaily)
Detaily k rozdělení FJFI VLAN (2400-2439) | ||||||
---|---|---|---|---|---|---|
VLAN Name | VLAN ID | Status | Location (br/tr/vh/dp) |
Created owner |
Admin | Comment |
fjfi-tr-eduroam | 2416 (13) | active | br+tr | 16.6.2014 FJFI | vokacpet | Jeden subnet s veřejnými adresami 147.32.11.0/24 pro Eduroam síť v Břehovce a Trojance s gateway na routeru v Trojance |
fjfi-tr-wififjfi | 2417 (15) | active | br+tr | 16.6.2014 FJFI | vokacpet | Jeden subnet s privátními adresami pro WiFiFJFI síť v Břehovce a Trojance s gateway a NATem na nms-tr |
Speciální VLANy (detaily)
Rozdělení FJFI VLAN (2440-2449) (speciální VLANy, vyhrazeny pro správu sítě) | ||||||
---|---|---|---|---|---|---|
VLAN Name | VLAN ID | Status | Location (br/tr/vh/dp) |
Created owner |
Admin | Comment |
fjfi-brtr-srv-priv | 2449 (16) | active | br+tr | 16.6.2014 FJFI | vokacpet | Privátní segment mezi Trojankou a Břehovkou využívaní pro komunikaci mezi servery v clusteru (DFS replikace) |
Individuální VLANy (detaily)
Rozdělení FJFI VLAN (2450-2499) (individuální VLANy, pro uživatelské potřeby) | ||||||
---|---|---|---|---|---|---|
VLAN Name | VLAN ID | Status | Location (br/tr/vh/dp) |
Created (owner) |
Admin | Comment |
test_max_20_znaku | 2450 | test | -- | 2.6.2014 (KM) | vokacpet | Testovací záznam - tato VLAN není reálně nikde zkonfigurována, jméno VLAN musí být do 20 znaků! |
K promyšlení
- VLAN pro přístupové systémy pro karty (je možné provozovat na privátní síťi?)
- VLAN pro přístup k datům zabezpečení (kamery)
- VLAN pro serverovou DMZ
- Prohodit číslování standardních VLAN pro Tróju a Děčín (stejné pořadí jako seřazené IP segmenty?)
IP
Veřejné adresy
Rozdělení veřejných IP rozsahů na FJFI | |||||
---|---|---|---|---|---|
IP rozsah | Lokalita | Gateway | VLAN Name | Admin | Comment |
147.32.4.0/24 | Břehová | 147.32.4.1 | fjfi-br-def | schlopet | Veřejné adresy br-1 |
147.32.5.0/24 | Břehová | 147.32.5.1 | fjfi-br-def | schlopet | Veřejné adresy br-2 |
147.32.6.0/23 | Trojanova | 147.32.6.1 | fjfi-tr-def | sinormil | Subnet KFE + dynamicky přidělované veřejné IP |
147.32.8.0/24 | Trojanova | 147.32.8.1 | fjfi-tr-def | keroupav | Subnet KM |
147.32.9.0/26 | Trojanova | 147.32.9.1 | fjfi-tr-srv | vokacpet | Serverový subnet v tr |
147.32.9.64/26 | Břehová | 147.32.9.65 | fjfi-br-srv | vokacpet | Serverový subnet v br |
147.32.9.128/25 | Trojanova | 147.32.9.129 | fjfi-tr-def | keroupav | Subnet KJ+KSI+speciální zařízení |
147.32.10.0/25 | Trojanova | 147.32.10.1 | fjfi-tr-def | kopripe1 | Subnet KMAT |
147.32.10.128/25 | Trojanova | 147.32.10.129 | fjfi-tr-def | drabmart | Subnet KIPL |
147.32.11.0/24 | Trojanova+Břehová | 147.32.11.1 | fjfi-tr-eduroam | vokacpet | Eduroam |
147.32.22.0/24 | Děčín | 147.32.22.1 | fjfi-dp-def | sumpepre | Veřejné adresy dp |
147.32.25.0/24 | Trója | 147.32.25.1 | fjfi-vh-def | fialaja2 | Veřejné adresy vh |
Veřejné adresy detaily
Rozdělení veřejných IP rozsahů (detaily) | ||
---|---|---|
IP rozsah | adresy | Comment |
147.32.6.0/24 | 147.32.6.2-99 | vyhrazeno unixářům (Richard Liska, Milan Šiňor) |
147.32.6.100-199 | pclab, kanceláře, ... (Antonín Novotný) | |
147.32.6.200-254 | InfoLab, kanceláře (Josef Blažej) | |
147.32.6.255 | rezervováno pro budoucí segment broadcast po rozdělení segmentu na segmenty 147.32.6.0/24 a 147.32.7.0/24 | |
147.32.7.0/24 | 147.32.7.1-31 | tento rozsah zatím využit pro IP adresy AP, které potřebují komunikovat s RADIUS servery a nelze je tak jednoduše umístit na privátní segment. Do budoucna by to chtělo lépe rozmyslet a přesunout je jinam (možná 147.32.11.0/27 nebo přeci jen nějaký privatní privatní segment - rozmyslet pro/proti) |
147.32.7.32-254 | "Veřejný segment" s dynamicky přidělovanými adresami pro registrovaná zařízení | |
147.32.8.0/24 | 147.32.8.2-79 | KM zaměstnanci (desktopy, frekventované notebooky) |
147.32.8.80-96 | studovna 214
| |
147.32.8.97-109 | KM zaměstnanci (desktopy, frekventované notebooky) | |
147.32.8.110-149 | KM učebny
| |
147.32.8.150-223 | KM zaměstnanci (desktopy, frekventované notebooky) | |
147.32.8.224-230 | KJ zaměstnanci (desktopy) | |
147.32.8.224/27 | Tereza
| |
147.32.9.128/25 | 147.32.9.128/27 | KSE (Miroslav Virius ?) |
147.32.9.160-223 | Tiskárny
| |
147.32.9.224/27 | různé (zatím pro "speciální" zařízení jako např. kartové systémy, ...), není zaručeno, že se s timhle segmentem nebude hýbat (prostě jen zatím nemám po ruce rozumnější rozsah a nevím kam některá zařízení naskládat) |
Privátní adresy
Vzhledem k nedostatku veřejných IP adres bylo nutné začít využívat i privátní IP adresy. Následuje přehled jejich využití na naší fakultě. Začnou-li se používat (routovat) i privátní rozsahy globálně po ČVUT, potom budou zdejší informace aktuálizovány a pravděpodobně dojde i ke změnám ve využití FJFI privátních adres.
Privátní adresy dle lokality
Pro centrálně spravované privátní adresy na FJFI je využíván rozsah 172.16.0.0/12 z nějž má každá lokalita přidělen jeden segment /16 (~ 65k adres). Přidělený segment je dále dělen na subnety jejichž číslování je shodné v každé lokalitě (např. dle VLAN, využití, ...).
Rozdělení privátních IP rozsahů na FJFI po lokalitách | ||
---|---|---|
IP rozsah | Lokalita | Comment |
10.0.0.0/8 | -- | Vyhrazeno pro potřeby ČVUT (zaregistrovány pokusy o využití těchto adres pro routované privání sítě uvnitř ČVUT) |
172.16.0.0/16 | Břehová | |
172.17.0.0/16 | Trojanova | |
172.18.0.0/16 | Děčín | |
172.19.0.0/16 | Trója | |
192.168.0.0/16 | -- | Adresy z tohoto rozsahu nebudou správci na FJFI používány, jsou preferované pro uživatelské privátní sítě |
Privátní rozsahy značené 172.1x.aaa.bbb budou dále znamenat adresy v libovolné lokalitě (br=16/tr=17/dp=18/vh=19) |
Privání adresy rozdělení standardních rozsahů
Každá ze standardních VLAN má přidělen privátní subnet o rozsahu /20 (~ 4k adres), adresy v každé takové podsíti se mohou navíc řídit specifickými pravidly pro konkrétní rozsah adres (např. pravidla na firewallu, NAT, routování, ...).
Rozdělení privátních IP rozsahů na FJFI | |||||
---|---|---|---|---|---|
IP rozsah | Gateway | VLAN Name | Admin | Comment | |
172.1x.0.0/20 | 172.1x.0.1 | fjfi-*-srv | vokacpet | Privátní adresování serverů | |
172.1x.16.0/20 | 172.1x.16.1 | fjfi-*-def | vokacpet | Privátní adresování běžných počítačů s přístupem do světa přes NAT | |
172.1x.32.0/20 | 172.1x.32.1 | fjfi-*-mgmt-srv | vokacpet | ||
172.1x.48.0/20 | 172.1x.48.1 | fjfi-*-mgmt-net | vokacpet | ||
172.1x.64.0/20 | 172.1x.64.1 | fjfi-*-native | vokacpet | ||
172.1x.80.0/20 | 172.1x.80.1 | fjfi-*-dead | vokacpet | ||
172.1x.96.0/20 | 172.1x.96.1 | fjfi-*-eduroam | vokacpet | ||
172.1x.112.0/20 | 172.1x.112.1 | fjfi-*-wififjfi | vokacpet | ||
172.1x.128.0/20 | 172.1x.128.1 | fjfi-*-voip | vokacpet | ||
172.1x.144.0/20 | 172.1x.144.1 | fjfi-*-fragile | vokacpet | ||
172.1x.???.0/20 | 172.1x.???.1 | none | vokacpet | VPN Server Subnet: OpenVPN (TCP/UDP, user/admin), L2TP, PPTP jednoduché přečíslování (pouze dynamičtí klienti) |
Privání adresy na default VLAN fjfi-*-def
Využití privátních IP adres na default VLAN | |||||
---|---|---|---|---|---|
IP rozsah | DHCP | NAT | Admin | Comment | |
172.1x.16.0/21 | dynamic+reserved | yes | vokacpet | Adresy pro běžná registrovaná zařízeni s přístupem do světa přes NAT | |
172.1x.24.0/22 | -- | -- | vokacpet | unused | |
172.1x.28.0/23 | reserved | yes | vokacpet | Adresy rezervované pro "nesíťová" zařízení (např. tiskárny) | |
172.1x.30.0/24 | reserved | yes | vokacpet | Adresy rezervované pro servery (např. printserver pro komunikaci na tomto subnetu) | |
172.1x.31.0/26 | dynamic | limited | vokacpet | Adresy přidělované blokovaným zařízením | |
172.1x.31.64/26 | dynamic | limited | vokacpet | Adresy přidělované smazaným zařízením | |
172.1x.31.128/26 | dynamic | limited | vokacpet | Adresy přidělované neregistrovaným zařízením | |
172.1x.31.192/26 | -- | -- | vokacpet | unused |
Privání adresy na eduroam VLAN fjfi-*-eduroam
Využití privátních IP adres na eduroam VLAN | |||||
---|---|---|---|---|---|
IP rozsah | DHCP | NAT | Admin | Comment | |
172.1x.96.0/21 | dynamic+reserved | yes | vokacpet | Adresy pro běžná registrovaná zařízeni s přístupem do světa přes NAT | |
172.1x.111.0/26 | dynamic | limited | vokacpet | Adresy přidělované blokovaným zařízením | |
172.1x.111.64/26 | dynamic | limited | vokacpet | Adresy přidělované smazaným zařízením | |
172.1x.111.128/26 | -- | -- | vokacpet | unused | |
172.1x.111.192/26 | -- | -- | vokacpet | unused |
Privání adresy na wififjfi VLAN fjfi-*-wififjfi
Využití privátních IP adres na wififjfi VLAN | |||||
---|---|---|---|---|---|
IP rozsah | DHCP | NAT | Admin | Comment | |
172.1x.112.0/21 | dynamic+reserved | yes | vokacpet | Adresy pro běžná registrovaná zařízeni s přístupem do světa přes NAT | |
172.1x.127.0/26 | dynamic | limited | vokacpet | Adresy přidělované blokovaným zařízením | |
172.1x.127.64/26 | dynamic | limited | vokacpet | Adresy přidělované smazaným zařízením | |
172.1x.127.128/26 | dynamic | limited | vokacpet | Adresy přidělované neregistrovaným zařízením | |
172.1x.127.192/26 | -- | -- | vokacpet | unused |
Individuální rozsahy privátních adres
Je nutné, aby Kdokoliv využívající privátní adresy na fyzické síti FJFI tuto skutečnost oznámil a zdokumentovat na těchto stránkách, aby nedocházelo ke konfliktům ve využívání privátních IP rozsahů.
Rozdělení individuálních privátních IP rozsahů na FJFI | |||||
---|---|---|---|---|---|
IP rozsah | Gateway | VLAN Name | Admin | Comment | |
192.168.x.0/24 | 192.168.x.1 (147.32.x.y) | None | drabmart | Privátní adresy pro KM+KIPL cluster |
IPv6
ČVUT přiděluje standardně /56 rozsahy (lze použít pro vytvoření 256 podsítí) pro lokality připojené přes Dejvice ze přiděleného IPv6 rozsahu 2001:718:2::/48. Bohužel vzhledem ke způsobu routování IPv6 není možné používat adresy z "dejvického" rozsahu v ostatních lokalitách (tj. např. v Tóji a Děčíně), tam bude využit jiný rozsah přidělený ČVUT a routovaný Pasnetem resp. CESNETem.
IPv6 adresy dle lokality
Rozdělení IPv6 rozsahů na FJFI po lokalitách | |||
---|---|---|---|
IP rozsah | Lokalita | Admin | Comment |
2001:718:2:1700::/56 | -- | vokacpet | Nevyužitý rozsah aktuálně přidělený na FJFI (včetně DNS reverzů) |
2001:718:2:1800::/56 | Břehová | schlopet | Veřejné adresy |
2001:718:2:1900::/56 | Trojanova | vokacpet | Veřejné adresy |
2001:718:2:1a00::/56 | -- | vokacpet | Nevyužitý rozsah aktuálně přidělený na FJFI (nazvaný FJFI test) |
?? | Děčín | vokacpet | Veřejné adresy (další ČVUT přidělené z routovatelného rozsahu CESNET) |
?? | Trója | vokacpet | Veřejné adresy (další ČVUT přidělené z routovatelného rozsahu Pasnet) |
IPv6 adresy dle VLAN
Každá VLAN přidělená FJFI má standardně přiřazen jeden IPv6 subnet /64 z přideleného rozsahu /56 (256 možných /64 subnetů). Příslušné číslo FJFI VLAN-2400 (tj. hodnoty v intervalu 0-99) budou přímo součástí IPv6 adresy na pozici 56-63.
Rozdělení IPv6 rozsahů na FJFI podle VLAN | |||
---|---|---|---|
IP rozsah | VLAN ID | VLAN Name | Comment |
2001:718:xxxx:yy?0::/64 | 24?0 | fjfi-*-srv | Subnet pro servery |
2001:718:xxxx:yy?1::/64 | 24?1 | fjfi-*-def | Veřejná síť ("default VLAN" pro běžné počítače) |
... | |||
2001:718:xxxx:yy49::/64 | 2449 | fjfi-brtr-srv | Privátní segment mezi Trojankou a Břehovkou využívaní pro komunikaci mezi servery |
... |