Network
Dokumemtace a pravidla k organizaci sítě na FJFI. Jakékoliv změny v tomto dokumentu musí být oznámeny v mailing listu správců IT na FJFI (comp@lists.fjfi.cvut.cz), aby bylo možné sladit konfigurace lokálních systémů (např. firewallu) v závislosti na úpravách konfigurace sítě.
VLAN
ČVUT VIC prostupně přechází na globalní očíslování VLAN takovým způsobem, aby v se různých částech sítě nepoužívala stejná čísla VLAN (některým management nástrojům se takové konfigurace nezamlouvají). Z toho důvodu byl pro vnitřní potřeby FJFI přidělen rozsah VLAN 2400-2499. Některá starší (pochybnější) zařízení mohou mít problém s využítím takto vysokých čísel, v takovém případě bude nejlepší na nich žádné VLANy nekonfigurovat a budou se používat pouze pro netagovaný provoz.
V následujících tabulkách je plán resp. dokumentace k využítí přidělených VLAN. První polovina přiděleného rozsahu je využita pro "standardní" VLANy (jejich jméno musí začínat prefixem fjfi-), které je vhodné mít vytvořené v každé budově FJFI a zbytek lze využít pro libovolné individuální VLANy (každé nově využité číslo VLAN z uvedeného rozsahu je zde nutné zdokumentovat). Pro Tróju a Děčín je nutné tento plán brát dost s rezervou, protože tyto lokality nejsou spravovány z ČVUT (ale CUNI resp. CESNETu) a lokální VLANy se nakonec mohou lišit.
Standardní VLANy
Rozdělení FJFI VLAN (2400-2439) (standardní VLANy, vyhrazeny pro správu sítě) | ||||||
---|---|---|---|---|---|---|
VLAN Name* | Břehová | Trojanova | Trója | Děčín | Status | Comment |
fjfi-*-srv | 2400 | 2410 | 2420 | 2430 | active | Subnet pro servery |
fjfi-*-def | 2401 | 2411 | 2421 | 2431 | active | Veřejná síť ("default VLAN" pro běžné počítače) |
fjfi-*-mgmt-srv | 2402 | 2412 | 2422 | 2432 | planed | Subnet pro management serverů (např. IPMI) |
fjfi-*-mgmt-net | 2403 | 2413 | 2423 | 2433 | planed | Management rozhraní síťových prvků (switch, router, ap, ...) |
fjfi-*-native | 2404 | 2414 | 2424 | 2434 | planed | Default untagged VLAN |
fjfi-*-dead | 2405 | 2415 | 2425 | 2435 | planed | VLAN pro zahazování veškerého provozu |
fjfi-*-eduroam | 2406 | 2416 | 2426 | 2436 | active | Wireless síť Eduroam |
fjfi-*-wififjfi | 2407 | 2417 | 2427 | 2437 | active | Wireless síť s captive portálem |
fjfi-*-voip | 2408 | 2418 | 2428 | 2438 | planed | Segment pro VoIP telefony |
fjfi-*-fragile | 2409 | 2419 | 2429 | 2439 | planed | Segment pro "nepočítačová" síťová zařízení (nepravidelné/neexistující updaty) |
U jmen VLAN je potřeba nahradit znak "*" zkratkou příslušné lokality (br/tr/vh/dp) |
Standardní VLANy (detaily)
Detaily k rozdělení FJFI VLAN (2400-2439) | ||||||
---|---|---|---|---|---|---|
VLAN Name | VLAN ID | Status | Location (br/tr/vh/dp) |
Created owner |
Admin | Comment |
fjfi-tr-eduroam | 2416 | active | br+tr | 16.6.2014 FJFI | vokacpet | Jeden subnet s veřejnými adresami 147.32.11.0/24 pro Eduroam síť v Břehovce a Trojance s gateway na routeru v Trojance |
fjfi-tr-wififjfi | 2417 | active | br+tr | 16.6.2014 FJFI | vokacpet | Jeden subnet s privátními adresami pro WiFiFJFI síť v Břehovce a Trojance s gateway a NATem na nms-tr |
Speciální VLANy (detaily)
Rozdělení FJFI VLAN (2440-2449) (speciální VLANy, vyhrazeny pro správu sítě) | ||||||
---|---|---|---|---|---|---|
VLAN Name | VLAN ID | Status | Location (br/tr/vh/dp) |
Created owner |
Admin | Comment |
fjfi-brtr-srv-clu | 2448 | active | br+tr | 12.1.2015 FJFI | vokacpet | Public segment pro clusterování strojů mezi Trojankou a Břehovkou s dvěmi HSRP active/standby gateway |
fjfi-brtr-srv-priv | 2449 | active | br+tr | 16.6.2014 FJFI | vokacpet | Privátní segment mezi Trojankou a Břehovkou využívaní pro komunikaci mezi servery v clusteru (DFS replikace) |
Individuální VLANy (detaily)
Rozdělení FJFI VLAN (2450-2499) (individuální VLANy, pro uživatelské potřeby) | ||||||
---|---|---|---|---|---|---|
VLAN Name | VLAN ID | Status | Location (br/tr/vh/dp) |
Created (owner) |
Admin | Comment |
test_max_20_znaku | 2450 | test | -- | 2.6.2014 (KM) | vokacpet | Testovací záznam - tato VLAN není reálně nikde zkonfigurována, jméno VLAN musí být do 20 znaků! |
K promyšlení
- VLANy pro subnety kateder (pokud budeme nuceni je z technických důvodů oddělit), nyní bych použil rozdělení +/- dle čísel kateder a začal bych s VLAN ID 2450
- VLAN pro přístupové systémy pro karty (je možné provozovat na privátní síťi?)
- VLAN pro přístup k datům zabezpečení (kamery)
- VLAN pro serverovou DMZ
- Prohodit číslování standardních VLAN pro Tróju a Děčín (stejné pořadí jako seřazené IP segmenty?)
IP
Veřejné adresy
Následující tabulka obsahuje souhrné informace o veřejných IP adresách přidělených a využívaných na FJFI.
Rozdělení veřejných IP rozsahů na FJFI | |||||
---|---|---|---|---|---|
IP rozsah | Lokalita | Gateway | VLAN Name | Admin | Comment |
147.32.4.0/24 | Břehová | 147.32.4.1 | fjfi-br-def | schlopet | Veřejné adresy br-1 |
147.32.5.0/24 | Břehová | 147.32.5.1 | fjfi-br-def | schlopet | Veřejné adresy br-2 |
147.32.6.0/23 | Trojanova | 147.32.6.1 | fjfi-tr-def | sinormil | Subnet KFE + dynamicky přidělované veřejné IP |
147.32.8.0/24 | Trojanova | 147.32.8.1 | fjfi-tr-def | keroupav | Subnet KM |
147.32.9.0/26 | Trojanova | 147.32.9.1 | fjfi-tr-srv | vokacpet | Serverový subnet v tr |
147.32.9.64/27 | Břehová | 147.32.9.65 | fjfi-br-srv | vokacpet | Serverový subnet v br |
147.32.9.96/27 | Břehová | 147.32.9.97 | fjfi-brtr-srv-clu | vokacpet | Serverový subnet pro clustery mezi br+tr (duální gateway active/standby přes HSRP) |
147.32.9.128/25 | Trojanova | 147.32.9.129 | fjfi-tr-def | keroupav | Subnet KJ+KSI+speciální zařízení |
147.32.10.0/25 | Trojanova | 147.32.10.1 | fjfi-tr-def | kopripe1 | Subnet KMAT |
147.32.10.128/25 | Trojanova | 147.32.10.129 | fjfi-tr-def | drabmart | Subnet KIPL |
147.32.11.0/24 | Trojanova+Břehová | 147.32.11.1 | fjfi-tr-eduroam | vokacpet | Eduroam |
147.32.22.0/24 | Děčín | 147.32.22.1 | fjfi-dp-def | sumpepre | Veřejné adresy dp |
147.32.25.0/24 | Trója | 147.32.25.1 | fjfi-vh-def | fialaja2 | Veřejné adresy vh |
Veřejné adresy detaily
Většina veřejných adres je rezervována pro konkrétní zařízení. V každé budově FJFI existuje ale i určitý rozsah veřejných adres, které jsou přidělovány registrovaným zařízením bez rezervace konkrétní adresy (zvýrazněno modře v níže uvedené tabulce). V případě aktuálního vyčerpání těchto volně dostupných veřejných adresu budou dalším zařízením přidělovány privátní adresy z privátního rozsahu na téže VLAN fjfi-*-def. V konfiguraci registrace síťového zařízení lze specifikovat, že danému zařízení má být vždy přidělena privátní adresa a to i v případě, že pool veřejných adres ještě nebyl vyčerpán.
Trvale připojená zařízení využívají veřejné adresy by měla mít zaregistrovánu rezervovanou adresu z rozsahu, který je přidělen organizační jednotce vlastnící dané zařízení (viz. tabulka). Zařízení tak bude mít garantovánu stalou veřejnou IP adresu a nebude se zbytečně zmenšovat pool s veřejnými adresami pro ostatní zařízeni, která se na FJFI síti vyskytují pouze občas. Pro běžná zařízení (počítače) je preferováno použití veřejných adres, jelikož při jejich použití není fungování síťového zařízení omezeno potencíálními problémy NATu (vyplývající z podstaty NATu, vytížení NATovacího zařízení případně jeho nedostupnosti) a lze jednodušeji řešit případné stížnosti týkající se konkrétní adresy.
Existuje ale i skupina speciálních zařízení (např. tiskárny) u nichž je lepší použít privátní adresy. Provoz některých zařízení na veřených adresách totiž představuje bezpečnostní hrobu vzhledem k neexistujícím automatickým security updatům firmware a omezeným možnostem konfigurace zabezpečení. Takové zařízení by ideálně měla být na samostatné VLAN fjfi-*-fragile, ale vzhledem ke komplikovanému managementu sítě pro ně je zatím vyhrazen rozsah privátních adres z VLAN fjfi-*-def (viz. níže). Adresu z tohoto rozsahu lze jednoduše vybrat v rozhraní pro registrace síťových zařízení.
Rozdělení veřejných IP rozsahů (detaily) | ||
---|---|---|
IP rozsah | adresy | Comment |
147.32.4.0/24 | 147.32.4.0-70 | ?? |
147.32.4.71-189 | "Veřejný segment" s dynamicky přidělovanými adresami pro registrovaná zařízení | |
147.32.4.190-255 | ?? | |
147.32.5.0/24 | 147.32.5.0-49 | ?? |
147.32.5.50-254 | "Veřejný segment" s dynamicky přidělovanými adresami pro registrovaná zařízení | |
147.32.6.0/24 | 147.32.6.2-99 | vyhrazeno unixářům (Richard Liska, Milan Šiňor) |
147.32.6.100-199 | pclab, kanceláře, ... (Antonín Novotný) | |
147.32.6.200-254 | InfoLab, kanceláře (Josef Blažej) | |
147.32.6.255 | rezervováno pro budoucí segment broadcast po rozdělení segmentu na segmenty 147.32.6.0/24 a 147.32.7.0/24 | |
147.32.7.0/24 | 147.32.7.1-31 | tento rozsah zatím využit pro IP adresy AP, které potřebují komunikovat s RADIUS servery a nelze je tak jednoduše umístit na privátní segment. Do budoucna by to chtělo lépe rozmyslet a přesunout je jinam (možná 147.32.11.0/27 nebo přeci jen nějaký privatní privatní segment - rozmyslet pro/proti) |
147.32.7.32-254 | "Veřejný segment" s dynamicky přidělovanými adresami pro registrovaná zařízení | |
147.32.8.0/24 | 147.32.8.2-79 | KM zaměstnanci (desktopy, frekventované notebooky) |
147.32.8.80-96 | studovna 214
| |
147.32.8.97-109 | KM zaměstnanci (desktopy, frekventované notebooky) | |
147.32.8.110-149 | KM učebny
| |
147.32.8.150-223 | KM zaměstnanci (desktopy, frekventované notebooky) | |
147.32.8.224-230 | KJ zaměstnanci (desktopy) | |
147.32.8.224/27 | Tereza
| |
147.32.9.128/25 | 147.32.9.128/27 | KSE (Miroslav Virius ?) |
147.32.9.160-223 | Tiskárny
| |
147.32.9.224/27 | různé (zatím pro "speciální" zařízení jako např. kartové systémy, ...), není zaručeno, že se s timhle segmentem nebude hýbat (prostě jen zatím nemám po ruce rozumnější rozsah a nevím kam některá zařízení naskládat) | |
147.32.10.0/25 | 147.32.10.0/25 | žádné další podrobnosti ke konfiguraci |
147.32.10.128/25 | žádné další podrobnosti ke konfiguraci | |
147.32.11.0/24 | 147.32.11.0/24 | žádné další podrobnosti ke konfiguraci |
147.32.22.0/24 | 147.32.22.101-199 | "Veřejný segment" s dynamicky přidělovanými adresami pro registrovaná zařízení |
147.32.25.0/24 | 147.32.25.102-219 | "Veřejný segment" s dynamicky přidělovanými adresami pro registrovaná zařízení |
Privátní adresy
Vzhledem k nedostatku veřejných IP adres bylo nutné začít využívat i privátní IP adresy. Následuje přehled jejich využití na naší fakultě. Začnou-li se používat (routovat) i privátní rozsahy globálně po ČVUT, potom budou zdejší informace aktuálizovány a pravděpodobně dojde i ke změnám ve využití FJFI privátních adres.
Privátní adresy dle lokality
Pro centrálně spravované privátní adresy na FJFI je využíván rozsah 172.16.0.0/12 z nějž má každá lokalita přidělen jeden segment /16 (~ 65k adres). Přidělený segment je dále dělen na subnety jejichž číslování je shodné v každé lokalitě (např. dle VLAN, využití, ...).
Rozdělení privátních IP rozsahů na FJFI po lokalitách | ||
---|---|---|
IP rozsah | Lokalita | Comment |
10.0.0.0/8 | -- | Vyhrazeno pro potřeby ČVUT (zaregistrovány pokusy o využití těchto adres pro routované privátní sítě uvnitř ČVUT) |
172.16.0.0/16 | Břehová | |
172.17.0.0/16 | Trojanova | |
172.18.0.0/16 | Děčín | |
172.19.0.0/16 | Trója | |
192.168.0.0/16 | -- | Adresy z tohoto rozsahu nebudou správci na FJFI používány, jsou preferované pro uživatelské privátní sítě |
Privátní rozsahy značené 172.1x.aaa.bbb budou dále znamenat adresy v libovolné lokalitě (br=16/tr=17/dp=18/vh=19) |
Privátní adresy rozdělení standardních rozsahů
Každá ze standardních VLAN má přidělen privátní subnet o rozsahu /20 (~ 4k adres), adresy v každé takové podsíti se mohou navíc řídit specifickými pravidly pro konkrétní rozsah adres (např. pravidla na firewallu, NAT, routování, ...).
Rozdělení privátních IP rozsahů na FJFI | |||||
---|---|---|---|---|---|
IP rozsah | Gateway | VLAN Name | Admin | Comment | |
172.1x.0.0/20 | 172.1x.0.1 | fjfi-*-srv | vokacpet | Privátní adresování serverů | |
172.1x.16.0/20 | 172.1x.16.1 | fjfi-*-def | vokacpet | Privátní adresování běžných počítačů s přístupem do světa přes NAT | |
172.1x.32.0/20 | 172.1x.32.1 | fjfi-*-mgmt-srv | vokacpet | ||
172.1x.48.0/20 | 172.1x.48.1 | fjfi-*-mgmt-net | vokacpet | ||
172.1x.64.0/20 | 172.1x.64.1 | fjfi-*-native | vokacpet | ||
172.1x.80.0/20 | 172.1x.80.1 | fjfi-*-dead | vokacpet | ||
172.1x.96.0/20 | 172.1x.96.1 | fjfi-*-eduroam | vokacpet | ||
172.1x.112.0/20 | 172.1x.112.1 | fjfi-*-wififjfi | vokacpet | ||
172.1x.128.0/20 | 172.1x.128.1 | fjfi-*-voip | vokacpet | ||
172.1x.144.0/20 | 172.1x.144.1 | fjfi-*-fragile | vokacpet | ||
172.1x.???.0/20 | 172.1x.???.1 | none | vokacpet | VPN Server Subnet: OpenVPN (TCP/UDP, user/admin), L2TP, PPTP jednoduché přečíslování (pouze dynamičtí klienti) |
Privátní adresy na default VLAN fjfi-*-def
Využití privátních IP adres na default VLAN | |||||
---|---|---|---|---|---|
IP rozsah | DHCP | NAT | Admin | Comment | |
172.1x.16.0/21 | dynamic+reserved | yes | vokacpet | Adresy pro běžná registrovaná zařízeni s přístupem do světa přes NAT | |
172.1x.24.0/22 | -- | -- | vokacpet | unused | |
172.1x.28.0/23 | reserved | yes | vokacpet | Adresy rezervované pro "nesíťová" zařízení (např. tiskárny) | |
172.1x.30.0/24 | reserved | yes | vokacpet | Adresy rezervované pro servery (např. printserver pro komunikaci na tomto subnetu) | |
172.1x.31.0/24 | dynamic | limited | vokacpet | Adresy přidělované blokovaným, smazaným a neregistrovaným zařízením |
Privátní adresy na eduroam VLAN fjfi-*-eduroam
Využití privátních IP adres na eduroam VLAN | |||||
---|---|---|---|---|---|
IP rozsah | DHCP | NAT | Admin | Comment | |
172.1x.96.0/21 | dynamic+reserved | yes | vokacpet | Adresy pro běžná registrovaná zařízeni s přístupem do světa přes NAT | |
172.1x.110.0/24 | reserved | yes | vokacpet | Adresy pro AP na interfacu pro příslušnout VLAN (není povinné, ale vhodné pro monitoring) | |
172.1x.111.0/24 | dynamic | limited | vokacpet | Adresy přidělované blokovaným (smazaným) zařízením |
Privátní adresy na wififjfi VLAN fjfi-*-wififjfi
Využití privátních IP adres na wififjfi VLAN | |||||
---|---|---|---|---|---|
IP rozsah | DHCP | NAT | Admin | Comment | |
172.1x.112.0/21 | dynamic+reserved | auth | vokacpet | Adresy pro běžná registrovaná zařízeni s přístupem do světa přes NAT | |
172.1x.126.0/24 | reserved | yes | vokacpet | Adresy pro AP na interfacu pro příslušnout VLAN (není povinné, ale vhodné pro monitoring) | |
172.1x.127.0/24 | dynamic | limited | vokacpet | Adresy přidělované blokovaným zařízením |
Individuální rozsahy privátních adres
Je nutné, aby Kdokoliv využívající privátní adresy na fyzické síti FJFI tuto skutečnost oznámil a zdokumentovat na těchto stránkách, aby nedocházelo ke konfliktům ve využívání privátních IP rozsahů.
Rozdělení individuálních privátních IP rozsahů na FJFI | ||||||
---|---|---|---|---|---|---|
IP rozsah | Gateway | Public | VLAN Name | OU | Admin | Comment |
192.168.x.0/24 | 192.168.x.1 | 147.32.x.y | None | KIPL | drabmart | Privátní adresy pro KM+KIPL cluster |
192.168.3.0/24 | 192.168.3.1 | 147.32.4.13 | None | KF | cepiljan | Privátní adresy na KF - kanceláře |
192.168.11.0/24 | 192.168.11.1 | 147.32.x.y | None | KF | cepiljan | Privátní adresy na KF (?) |
192.168.20.0/24 | 192.168.20.1 | 147.32.x.y | None | KF | cepiljan | Privátní adresy na KF (?) |
IPv6
ČVUT přiděluje standardně /56 rozsahy (lze použít pro vytvoření 256 podsítí) pro lokality připojené přes Dejvice ze přiděleného IPv6 rozsahu 2001:718:2::/48. Bohužel vzhledem ke způsobu routování IPv6 není možné používat adresy z "dejvického" rozsahu v ostatních lokalitách (tj. např. v Tóji a Děčíně), tam bude využit jiný rozsah přidělený ČVUT a routovaný Pasnetem resp. CESNETem.
IPv6 adresy dle lokality
Rozdělení IPv6 rozsahů na FJFI po lokalitách | |||
---|---|---|---|
IP rozsah | Lokalita | Admin | Comment |
2001:718:2:1700::/56 | -- | vokacpet | Nevyužitý rozsah aktuálně přidělený na FJFI (včetně DNS reverzů) |
2001:718:2:1800::/56 | Břehová | schlopet | Veřejné adresy |
2001:718:2:1900::/56 | Trojanova | vokacpet | Veřejné adresy |
2001:718:2:1a00::/56 | -- | vokacpet | Nevyužitý rozsah aktuálně přidělený na FJFI (nazvaný FJFI test) |
?? | Děčín | vokacpet | Veřejné adresy (další ČVUT přidělené z routovatelného rozsahu CESNET) |
?? | Trója | vokacpet | Veřejné adresy (další ČVUT přidělené z routovatelného rozsahu Pasnet) |
IPv6 adresy dle VLAN
Každá VLAN přidělená FJFI má standardně přiřazen jeden IPv6 subnet /64 z přiděleného rozsahu /56 (256 možných /64 subnetů). Příslušné číslo FJFI VLAN-2400 (tj. hodnoty v intervalu 0-99) budou přímo součástí IPv6 adresy na pozici 56-63. Vyjímkou je prvních 40 rezervovaných VLAN u nichž se používá pouze poslední číslice.
Rozdělení IPv6 rozsahů na FJFI podle VLAN | |||
---|---|---|---|
IP rozsah | VLAN ID | VLAN Name | Comment |
2001:718:2:xx00::/64 | 24?0 | fjfi-*-srv | Subnet pro servery |
2001:718:2:xx01::/64 | 24?1 | fjfi-*-def | Veřejná síť ("default VLAN" pro běžné počítače) |
... | |||
2001:718:2:xx09::/64 | 24?9 | fjfi-*-fragile | Segment pro "nepočítačová" síťová zařízení |
... | |||
2001:718:2:xx49::/64 | 2449 | fjfi-brtr-srv | Privátní segment mezi Trojankou a Břehovkou využívaní pro komunikaci mezi servery |
... | |||
2001:718:2:xxa0::/64 -- 2001:718:2:xxff::/64 |
-- | -- | Rezervováno pro budoucí/speciální využití |
Využití IPv6 adres v rámci /64 subnetů
Každý subnet na IPv6 má prakticky vzato "neomezené" množství IPv6 adres. Lze tedy zavést další jemnější dělení těchto subnetů, aby bylo možné pro určité skupiny počítačů specifikovat například různá firewall pravidla (např. omezení přístupu na tiskárny pouze z IPv6 adres ČVUT). Nevyužité (zde nedefinované) části /64 subnetů budou mít standardně zakázanou jakoukoliv komunikaci přímo na fakultním routeru.
Navíc pro IPv6 nebudou v principu existovat dynamicky přidělované adresy jako je tomu na IPv4, kde je nutné recyklovat omezený adresní prostor. Všechna registrovaná zařízení (síťová rozhraní) budou mít statickou rezervaci konkrétní IPv6 adresy resp. jeji /64 suffix, který tak bude stejný při připojení zařízení ve všech lokalitách (pro běžné uživatelské subnety jako např. def, eduroam a wififjfi VLAN). Takto přidělená adresa navíc nebude v budoucnu recyklována pro jiné uživatelské zařízení (existují vyjímky, jako např. servery u nichž je změna adresy občas nežádoucí). V případě potřeby je možné u existujícího zařízení smazat aktuální IPv6 adresu a nechat vygenerovat novou.
Pravidla IPv6 pro server VLAN fjfi-*-srv
- změny ve využití adres jsou u serverů velice komplikované
- konfigurace sítě je na serverech statická (nepoužívají DHCP)
- pro použité adresy může mít řada zařízení (nejen na tomto segmentu) zkonfigurována různá pravidla (např. firewall)
- pokud se neobjeví závažné nedostatky aktuálního plánu (např. nové standardy) tak jsou adresy přiděleny navždy
- aktuálně budou využívány pouze adresy z rozsahu 2001:718:2:1x00::/96
- doporučený formát IPv6 addres
- IPv6 prefix + stávající IPv4 adresa serveru (např. 2001:718:2:1x00::147.32.9.17) nebo pouze poslední číslice z IPv4 adresy (např. 2001:718:2:1x00::17)
- adresy z rosahu 2001:718:2:1x00::0001:0000-2001:718:2:1x00::00ff:ffff (~ 2^24 adres)
- registrační GUI bude automaticky generovat neobsazené IPv6 adresy ze správných rozsahů
- libovolné jiné z /96 které se nekryjí s IPv4 formáty 147.32.0.0/16 (::9320:0000-ffff), 10.0.0.0/8 (::0a00:0000-0aff:ffff), 172.16.0.0/12 (::ac10:0000-::ac1f:0000), 192.168.0.0/16 (::c0a8:0000-ffff)
- jeden server může mít zároveň přiděleno více aktivních IPv6 adres
- je možné alokovat samostatný rozsah IPv6 adres pro skupinu počítačů
- pro jednodušší psaní pravidel s IPv6 rozsahy
- každá skupina bude mít rozsah /96
- skupina může mít např. vlastní ACL přímo na routeru
- aktuálně neexistují žádné předdefinované skupiny
- lze si představit např. skupiny dle OS (pro jednodušší psaní filtrů na aktuálně zneužívané chyby)
- také skupiny dle orgaizačních jednotek pro omezení komunikace na vlastní servery
- teprve praktické používání IPv6 ukáže reálné potřeby
- využití skupin zde musí být zdokumentováno
Skupiny adres na server VLAN fjfi-*-srv (2001:718:2:xx00::/64) | |||
---|---|---|---|
Název | IPv6 rozsah | Owner | Comment |
default | 2001:718:2:xx00:0:0::/96 | vokacpet | Standardní IPv6 rozsah serverů |
Pravidla IPv6 pro server VLAN fjfi-*-def
- změny ve využití adres mohou být relativně jednoduché při dodržování následujících zásad
- zařízení budou pro IPv6 konfigurace využívat výhradně router advertisementy + stavové DHCPv6
- vzhledem k nerecyklování IPv6 adres je možné nastavit velice dlouhý lease time
- nelze použít "nekonečno" jinak bychom přidělenou adresou v budoucnu nebyly schopni změnit
- maximální lease time tedy bude jeden měsíc
- manuální konfigurace je silně nedoporučena
- pokud se rozhodneme změnit IPv6 adresování tak může dojít k problémům
- z hlediska správce IPv6 rozsahu je to problém čistě uživatele, který nedbal doporučení a nebude na něj brán ohled
- zařízení budou pro IPv6 konfigurace využívat výhradně router advertisementy + stavové DHCPv6
- podobně jako u serverové VLAN fjfi-*-srv bude možné zařízení zařazovat do skupin
- pro jednodušší psaní pravidel s IPv6 rozsahy
- každá skupina bude mít rozsah /96
- skupina může mít např. vlastní ACL přímo na routeru (např. omezení komunikace po ČVUT pro tiskárny)
- využití skupin zde musí být zdokumentováno
- jedno zařízení může mít zároveň přiděleno více aktivních IPv6 adres
- doporučený formát IPv6 addres (pouze správce sítě může s rozumným důvodem využít jinou než první možnost)
- registrační GUI bude automaticky generovat neobsazené IPv6 adresy ze správných rozsahů
-
IPv6 prefix + stávající IPv4 adresa serveru (např. 2001:718:2:1x01::147.32.8.52) nebo pouze poslední číslice z IPv4 adresy (např. 2001:718:2:1x01::852) -
adresy z rosahu 2001:718:2:1x01::0001:0000-2001:718:2:1x01::00ff:ffff (~ 2^24 adres) -
libovolné jiné z /96 které se nekryjí s IPv4 formáty 147.32.0.0/16 (::9320:0000-ffff), 10.0.0.0/8 (::0a00:0000-0aff:ffff), 172.16.0.0/12 (::ac10:0000-::ac1f:0000), 192.168.0.0/16 (::c0a8:0000-ffff)
Skupiny adres na server VLAN fjfi-*-def (2001:718:2:xx01::/64) | |||
---|---|---|---|
Název | IPv6 rozsah | Owner | Comment |
Adresy pro standardní a speciální rozsahy 2001:718:2:xx01:0:0::/88 | |||
default | 2001:718:2:xx01:0:0::/96 | vokacpet | Speciální IPv6 rozsah pro běžná zařízení (ručně přidělované adresy, např. 2001:718:2:1901::852), preferované jsou ale níže uvedené rozsahy s konkrétním účelem (dle typu zařízení, organizační jednotky, ...) |
dynamic | 2001:718:2:xx01:0:1::/96 | vokacpet | Rozsah vyhrazený pro dynamicky přidělované adresy (nutné pro zařízení, které byli primárně registovany pro jinou lokaci) |
-- | 2001:718:2:xx01:0:2::/96 - 2001:718:2:xx01:0:f::/96 |
vokacpet | Rezervovaný rozsah pro budoucí využití |
fragile printer |
2001:718:2:xx01:0:10::/96 | vokacpet | Rozsah vyhrazený pro tiskárny s omezením komunikace po ČVUT |
restricted | 2001:718:2:xx01:0:1?::/96 | vokacpet | Rozsah s povolenou komunikací pouze přes http/https (+ lokální DNS) |
restricted2 | 2001:718:2:xx01:0:1?::/96 | vokacpet | Rozsah s povolenou komunikací jen na vyhrazené lokální servery (adresy pro blokované, neregistrované, zlobivé, ... zařízení). Zatím by taková zařízení nemusela dostávat žádnou IPv6 adresu a do příslušná omezení a informační stranky by se zobrazili na základě přidělené IPv4 adresy. |
-- | 2001:718:2:xx01:0:??::/96 | -- | Skupina zařízení s omezeními dle uživatelských požadavků - návrhy? |
Adresy vyhrazené pro zařízení kateder 2001:718:2:xx01:0:100::/88 | |||
ČVUT FJFI Other |
2001:718:2:xx01:0:100::/96 | vokacpet | IP rozsah vyhrazený pro zařízení ČVUT, FJFI a Ostatní |
KM | 2001:718:2:xx01:0:101::/96 | vokacpet | IP rozsah vyhrazený pro zařízení KM |
KF | 2001:718:2:xx01:0:102::/96 | vokacpet | IP rozsah vyhrazený pro zařízení KF |
KJ | 2001:718:2:xx01:0:103::/96 | vokacpet | IP rozsah vyhrazený pro zařízení KJ |
KIPL | 2001:718:2:xx01:0:104::/96 | vokacpet | IP rozsah vyhrazený pro zařízení KIPL |
KFE | 2001:718:2:xx01:0:105::/96 | vokacpet | IP rozsah vyhrazený pro zařízení KFE |
KMAT | 2001:718:2:xx01:0:106::/96 | vokacpet | IP rozsah vyhrazený pro zařízení KMAT |
KJCH | 2001:718:2:xx01:0:107::/96 | vokacpet | IP rozsah vyhrazený pro zařízení KJCH |
KDAIZ | 2001:718:2:xx01:0:108::/96 | vokacpet | IP rozsah vyhrazený pro zařízení KDAIZ |
KJR | 2001:718:2:xx01:0:109::/96 | vokacpet | IP rozsah vyhrazený pro zařízení KJR |
KSI | 2001:718:2:xx01:0:10a::/96 | vokacpet | IP rozsah vyhrazený pro zařízení KSI |
CRRC | 2001:718:2:xx01:0:10b::/96 | vokacpet | IP rozsah vyhrazený pro zařízení CRRC |
Elsa | 2001:718:2:xx01:0:10c::/96 | vokacpet | IP rozsah vyhrazený pro zařízení Elsa |
Děkanát | 2001:718:2:xx01:0:10d::/96 | vokacpet | IP rozsah vyhrazený pro zařízení Děkanátu |
Pravidla IPv6 pro wireless VLAN fjfi-*-eduroam
- změny ve využití adres triviální (žádné statické konfigurace krom management serveru)
- blokovaná zařízení nedostanou od DHCPv6 přidělenou IPv6 adresu
- převedeno na problém samotného IPv4 a blokovaných zařízení, který je již vyřešen
- aktuálně tedy nemáme plnou podporu IPv6 only zařízení, ale jen v případě ojedinělých případů blokace
Skupiny adres na server VLAN fjfi-*-eduroam (2001:718:2:xx06::/64) | |||
---|---|---|---|
Název | IPv6 rozsah | Owner | Comment |
default | 2001:718:2:xx06:0:0::/96 | vokacpet | Speciální rozsah (ručně přidělované/rezervované adresy), žádné restrikce |
dynamic | 2001:718:2:xx06:0:1::/96 | vokacpet | Rozsah vyhrazený pro dynamicky přidělované adresy, minimální restrikce |
Pravidla IPv6 pro wireless VLAN fjfi-*-wififjfi
- změny ve využití adres triviální (žádné statické konfigurace krom management serveru)
- konfigurace by měla fungovat tak, aby klient mohl nakonec využívat nativní IPv6 konektivitu bez dalšího (linuxového) routeru (NAT) na cestě
- zbývá dořešit technické detaily autentizace na captive portálu a také blokovaná (neregistrovaná a smazaná) zařízení
- neautentizovaná zařízení dostanou pouze IPv4 adresu a budou tak mít přístup ke captive portálu
- DHCPv6 bude defaultně zkonfigurováno, aby zařízením neposkytlo IPv6 adresu do té doby než je uživatel uspěšně ověřen
- po autentizaci přes captive portál na IPv4 modifikovat dynamicky konfiguraci DHCPv6 a povolit přidělení adresy s lease time ~ 1hodina
- asi to je možné řešit přes DHCPv6 classes, ale ty nejsou podporovány v ISC DHCP 4.2.5, který je součástí CentOS7
- nebude fungovat pro IPv6 only zařízení (to tu aktuálně vůbec neřešíme a v budoucnu se uvidí co bude možné např. s 6to4 překlady adres)