cs.gif  česky
en.gif  english
19. 10. 2017 » 0 °C
       
Blogy | Galerie | Teploměr | Studentská unie | Webmail | ČVUT | Partneři | Hledání | MyInfo

Síť

Síť klubu Masařka je postavena na strukturované kabeláži schopné poskytovat uživatelům připojení o rychlosti až 1Gbit/s. Aktuálně však poskytujeme většině uživatelům připojení s rychlostí 100Mbit/s, pokoje v jižní části koleje mají k dispozici 1Gbit/s. Pro páteřní propojení mezi směrovačem a novými síťovými přepínači je použito 10Gbit/s linky postavené na optických kabelech. Starší síťové prvky jsou k centrálnimu switchi připojené 1Gbit/s optickými kabely a přepojení staršího centrálniho switchu na směrovač je zabezpečeno 4x1Gbit/s. Celková kapacita sítě je přibližně 720 počítačů po celé budově. Síť je připojena do sítě ČVUT (resp. CESNET) desetigigabitovou linkou, která bývá ve špičkách vytížená na cca. 5%, více viz topologie, nebo graf aktuálního zatížení.

Fotografie


... více fotek najdete v galerii klubu Masařka


Vytížení sítě

Aktuální traffic na našem hlavním routeru za posledních 24 hodin.

traffic na eth1


Informace o síti

Souhrné informace

Duležité IP adresy:

JménoIPv4IPv6Funkce
Perseus 147.32.96.1 2001:718:2:900::1 router, primární DNS
Zeus 147.32.96.2 2001:718:2:900::2 backup, streamovaná televize a DVBgrab
Hades 147.32.96.3 2001:718:2:900::3 databáze, maily, news, weby, sekundární DNS
Chaos 147.32.96.5 2001:718:2:900::5 jabber, uživatelská konta

Rozsahy IP adres:

KolejDoménaIPv4 rozsahIPv6 rozsahWebové stránky
Masarykova mk.cvut.cz 147.32.96.0/23 2001:718:2:0900::/57 www.mk.cvut.cz
Podolí pod.cvut.cz 147.32.88.0/21 2001:718:2:0800::/57 www.pod.cvut.cz
Orlík ok.cvut.cz 147.32.108.0/24 2001:718:2:0a00::/57 www.ok.cvut.cz
Bubeneč buk.cvut.cz 147.32.104.0/23 2001:718:2:0980::/57 www.buk.cvut.cz
Sinkule sin.cvut.cz 147.32.110.0/23 2001:718:2:0880::/57 www.sin.cvut.cz
Strahov sh.cvut.cz 147.32.112.0/20 2001:718:2::/56 www.sh.cvut.cz


Schéma fyzické zapojení najdete v sekci topologie.

Virtuální sítě (VLAN)

Logických virtuálních sítí máme 5.

  • 1 - členské počítače zapojené ve správném soketu
  • 2 - členské počítače zapojené ve špatném soketu
  • 3 - neregistrované počítače s neznámou MAC adresou
  • 5 - privatní sít po které interně komunikují servery Masařky
  • 8 - wifi - oddělený traffic pro wifi připojení

Pro všechny tyto virtualni sítě (VLAN) je jediným spojujícím bodem kerberos.

Výběr VLAN1-3 se provádí automaticky na základě odpovědi freeradius serveru.

Funguje to zhruba takto:

  • Switch zjistí aktivitu na zatím nepovoleném portu.
  • Zjistí MAC adresu sítové karty, která je na daném portu aktivní.
  • Odešle tuto MAC adresu ještě s doménou "@mk.cvut.cz" jako username, MAC adresu ještě jednou jako heslo, informaci o portu, o switchi a další na definovaný radius server (na kerberovi).
  • Radius server dekoduje požadavek od switche a v naší postgresql databázi zkontroluje, zda je MAC adresa registrována, pokud ne pošle switchi odpověd, která nakonfiguruje daný port do VLAN 3. Pokud je v databázi MAC adresa nalezena, ale na jiném portu, než ze kterého požadavek přisel, nastaví se VLAN 2. Pokud je nalezena MAC na správném portu nastaví se VLAN 1.
  • Switch příjme odpověd od radius serveru a nakonfiguruje daný port a povolí procházející data.
  • Kerberos řídí pravidla pro propouštění dat, podle toho z jake VLANy přicházejí a kam míří.

 

VLAN 1

Pevné IP adresy členům se pomocí DHCP přidělují pouze v této VLAN 1 (jak veřejné 147.32.96-97.* tak adresy za NATemu 192.168.10-11.*).

Zde jsou povoleny téměř všechny služby s těmito vyjímkami (obvykle z bezpečnostních důvodů):

  • SMTP (tcp 25) povoleno jen ze stroje hades (mail.mk.cvut.cz) v opačném směru zase jen na stroj hades, pokud potřebujete mit vlastní mail server tak stroj hades musí být jako relay host.
  • netbios (tcp a udp 137 a 139), 137 povolena jen do CVUT
  • Naked CIFS (tcp 445)
  • tcp 593

VLAN 2

Z VLAN 2 lze komunikovat pouze omezeně a s neveřejnou adresou (překládají se i pakety do VLAN 1) povoleny služby:

  • ftp-data (tcp 20)
  • ftp (tcp 21)
  • ssh (tcp 22)
  • http (tcp 80)
  • https (tcp 443)
  • pop3 (tcp 110)
  • pop3s (tcp 995)
  • imap (tcp 143)
  • imaps (tcp 993)
  • domain (tcp i udp 53)
  • ntp (udp 123)
  • MSN-messenger (tcp 1863)
  • Yahoo-IM (tcp 5050)
  • AOL-IM (tcp i udp 5190)
  • News (tcp i udp 119)
  • Jabber (tcp 5222)
  • Jabber-SSL (tcp 5223)

VLAN 3

Přes prázdniny je využita pro omezenou komunikaci neregistrovaných počítačů hostelových hostů. Seznam povolených služeb je stejný jako u VLAN 2.

Po prázdninách se tato VLAN používá pro podporu registrace nových členů. Veškerý sítový provoz je přesměrován na registrační formulář, kde potřeba nejdříve vyplnit svoje iniciály a po zpracování některým z administrátorů, bude nyní již registrovaný počítač přepnut do neomezené VLAN 1.

VLAN 5

Privátní VLAN, zde je přistupný management všech switchu. Jsou zde zaregistrovány všechny servery Masařky a například také menzacam.

VLAN 8

WiFi vlan. Povolené služby:

  • ssh (tcp 22)
  • http (tcp 80)
  • https (tcp 443)
  • pop3 (tcp 110)
  • pop3s (tcp 995)
  • imap (tcp 143)
  • imaps (tcp 993)
  • domain (tcp i udp 53)
  • ntp (udp 123)

TeamViewer