Implementace konektivity
Stránka slouží rovněž jako manuál pro hodiny informatiky ve škole. Zdaleka není kompletní. Postupně bude doplňována.
Základní přehled infrastruktury IT na škole.
Schématický náčrt sítě a IT infrastruktury
Před samotnou instalací je nutné udělat návrh sítě, definice VLAN, promyslet umístění počítačů a dalších zařízení v síti. Návrh a úprava sítě musí mít na zřeteli stávající provoz sítě, tak aby činnost uživatelů byla narušena co nejméně. Jen pro zajímavost škola má:
Implementaci realizovala společnost:
Popis jednotlivých kroků implementace síťové infrastruktury a fyzických serverů.
Snažil jsme se být názorný, proto odkazuji na mnoho obrázků a stránek, apod.
Instalace:
1. Fyzická instalace HW, tzn. směrovače, přepínače, přístupové body, servery, záložní zdroje, úprava kabeláže.
CML
Mozek celé IT infrastruktury. Zde jsou instalovány servery, NAS, páteřní přepínače, směrovače. Shora, postupně: Fortigate, HP 2930, NAS, HP DL 380 gen 10, UPS APC.
Pohled z druhé strany
Ve spodní části lze vidět oba servery HP DL 380. Pod nimi jsou instalovány dva APC záložní zdroje (UPS).
Zprovoznění virtualizované platformy znamená instalaci vSphere na oba servery HP DL 380 gen 10 a následnou instalaci vituální apliance vCenter Server. Tato platforma slouží jako backend celé serverové infrastruktury jež je v tomto prostředí nainstalována a provozována. Umožňuje např. tvorbů snapshotů (kompletní kopie celého systému) jednotlivých serverů, jejich migraci mezi fyzickými stroji, apod. VMware lze přirovnat například k aplikaci Virtual Box. Ve virtuální prostředí lze definovat fyzické zdroje přidělené virtuálmímu počítači nebo serveru.
Síťové prvky:
Router - Fortigate FG 100D/100E
Nastavení VLAN, routování, pravidla FW, filtrování webového obsahu
Router/firewall je základním prvkem ochrany vnitřní sítě. Reguluje průchod dat z vnější do vnitřní sítě a naopak na základě definovaných pravidel. Určuje taktéž pravidla provozu ve vnitřní síti. Dále vyhodnocuje potenciální škodlivost webového obsahu, atd.
Filtr webového obsahu
Služba společnosti Fortinet, která vede rozsáhle kategorie a seznamy škodlivého nebo nevhodného obsahu.
Statistický filtr
Blokace pomocí statického URL filtru.
Možnost jmenovitě povolit nebo zakázat určité vebové stránky. Vhodné maximálně jako doplněk k webovému filtru.
VPN přístup
Konfigurace vzdáleného přístupu do vniřní sítě, např. z důvodu správy sítě a počítačů. Přistupující externí počítač se chová jako by se nacházel v prostorách školy.
Switch- HP Aruba 2930/2530
Celkem 19 přepínačů.
Konfigurace obnáší nastavení:
statických IP adres
VLAN porty podle připojených zařízení
Přepínače (switch) spojují fyzické segmenty sítě. Počítače jsou k přepínači připojeny UTP kabeláži s koncovkou RJ45. Hlavní přepínače jsou propojeny optickou kabeláži, koncové stanice metalickou kabeláži. Použitá technologie: Ethernet. (Více o tématu na stránkách Samuraje.)
Všem přepínačům je nutné nastavit IP adresy, nakonfigurovat VLAN, přidělit jednotlivé porty do logických segmentů sítě, tzn. VLAN.
Pokrytí školy signálem WiFi zajišťuje 32 přístupových bodů (AP) HP Aruba.
Switch- HP HP Aruba IAP-315 a 310
Celkem nakonfigurováno 32 ks zařízení. Tzn. nastavení:
statické IP adresy,
zařazení do VLAN,
definice SSID sítí,
napojení na RADIUS server,
instalace a konfigurace AirWave.
Zařízení zvládají automatické rozložení zátěže klientů mezi jedntlivé AP. Operují v pásmu 2,4GHz a 5GHz. Podporují mechanismus izolace klientů, díky tomu se jednotlivá zařízení v síti navzájem nevidí. Nemohou tak například mezi sebou šířit malware.
AirWave Controller
Monitoring přístupových bodů. AirWave poskytuje rychlý přehled o stavu AP, základní statistiky o vytížení a vužití sítě.
Aruba Virtual Controller
Zajistí centralizovanou správu všech AP.
Disková uložiště
Diskové uložiště - Synology Diskstation DS918+
Diskové uložiště, prostor kam jsou ukládány zálohy virtuálních stanic.
NAS je osazena 14TB diskové paměti v RAID 1.
Na následujícím obrázku je vidět přehled záloh realizovaných programem Veeam.
QNAP - další diskové uložiště slouží pro sdílené disky uživatelů, domovské adesáře, apod. (mimo projekt konektivita)
Současná disková uložiště jsou již relativně výkonné počítače, na kterých lze rovněž provozovat virtuální stanice.
Virtuální instalace OS v prostředí VMware.
Pro zajíštění správy uživatelů a dalších podpůrných rolí bylo v prostředí VMware instalováno 5 instancí Microsoft Windows server:
Doménový řadič č. 2 pro doménu zszatopkovych.cz.
Management server (správa stanic, účetní software. atd.),
Souborový server antvir, monitoring a správá počítů, Windows Update.
Server pro řízení záloh (Veeam Backup - Enterprise Edition )
Na VMware bylo nutno pro splnění požadavků v projektu konektivita nainstalovat další virtuální stanice. Např.:
AirWave (monitoring AP)
Eset (centrální správa antiviru)
Radius (ověřování přístupu k WiFi)
OpenNMS (monitoring síťových prvků)
vCenter Apliance (správa obou virtualizovaných serverů)
Zatížení virtuálního serveru
Vytížení serveru za poslední hodinu jak ukazje VMware.
Občas se to může hodit.
Připrava na Eduroam
Aby se škola mohla začlenit do sítě eduroam a umožnit žákům a učitelům připojit se do libovolné WiFi sítě jež je její součásti, musí mít k dispozici nástroje pro identifikaci uživatelů připojených v síti. K tomuto účelu slouží FreeRadius instalovaný na linux distribuci CentOS a připojený k národnímu radiusu.
Kroky realizace připojení:
instalce akonfigurace linuxové distribuce CentoOS
instalace a konfigurace opensource aplikace FreeRadius
nastavení ověření přes Windows AD
žádost o začlenění do sítě Eduroam
vytvoření testovaícho uživatele
vytvoření lokální mapy pokrytí
Monitoring a logování
Znamená mít přehled o aktivitách v sítí. Kdo a kdy se přihlásil. Co na síti dělal. Mít přehled, zda jsou aktivní prvky sítě v pořádku. Tyto informace se shromažďují na servrech.
Radius log
AP - Virtual controller
--
Monitoring sítě - OpenNMS
Pro pohodlné sledování síťových prvků byl instalován opensource monirorovací systém na linuxové distribuci Ubuntu Server 18.04 - Bionic.
MIMO PROJEKT ???