Implementace konektivity

Stránka slouží rovněž jako manuál pro hodiny informatiky ve škole. Zdaleka není kompletní. Postupně bude doplňována.

Základní přehled infrastruktury IT na škole.

Schématický náčrt sítě a IT infrastruktury

Před samotnou instalací je nutné udělat návrh sítě, definice VLAN, promyslet umístění počítačů a dalších zařízení v síti. Návrh a úprava sítě musí mít na zřeteli stávající provoz sítě, tak aby činnost uživatelů byla narušena co nejméně. Jen pro zajímavost škola má:

600 aktivních uživatelů.

Implementaci realizovala společnost:

DLNK s.r.o.

Popis jednotlivých kroků implementace síťové infrastruktury a fyzických serverů.

Snažil jsme se být názorný, proto odkazuji na mnoho obrázků a stránek, apod.

Instalace:

1. Fyzická instalace HW, tzn. směrovače, přepínače, přístupové body, servery, záložní zdroje, úprava kabeláže.

CML

Mozek celé IT infrastruktury. Zde jsou instalovány servery, NAS, páteřní přepínače, směrovače. Shora, postupně: Fortigate, HP 2930, NAS, HP DL 380 gen 10, UPS APC.

Pohled z druhé strany

Ve spodní části lze vidět oba servery HP DL 380. Pod nimi jsou instalovány dva APC záložní zdroje (UPS).

Virtuální prostředí VMware: vSphere a vCenter Server.

Zprovoznění virtualizované platformy znamená instalaci vSphere na oba servery HP DL 380 gen 10 a následnou instalaci vituální apliance vCenter Server. Tato platforma slouží jako backend celé serverové infrastruktury jež je v tomto prostředí nainstalována a provozována. Umožňuje např. tvorbů snapshotů (kompletní kopie celého systému) jednotlivých serverů, jejich migraci mezi fyzickými stroji, apod. VMware lze přirovnat například k aplikaci Virtual Box. Ve virtuální prostředí lze definovat fyzické zdroje přidělené virtuálmímu počítači nebo serveru.

vCenter

Pro správu virtuálních serverů byl nasazen vCenter Server

MS Win SRV 2016

Zdroje přidělené virtualní stanici

Management pro HP DL 380

ILO - administrace fyzického serveru

Síťové prvky:

Router - Fortigate FG 100D/100E

Nastavení VLAN, routování, pravidla FW, filtrování webového obsahu

Router/firewall je základním prvkem ochrany vnitřní sítě. Reguluje průchod dat z vnější do vnitřní sítě a naopak na základě definovaných pravidel. Určuje taktéž pravidla provozu ve vnitřní síti. Dále vyhodnocuje potenciální škodlivost webového obsahu, atd.

Filtr webového obsahu

Služba společnosti Fortinet, která vede rozsáhle kategorie a seznamy škodlivého nebo nevhodného obsahu.

Statistický filtr

Blokace pomocí statického URL filtru.

Možnost jmenovitě povolit nebo zakázat určité vebové stránky. Vhodné maximálně jako doplněk k webovému filtru.

VPN přístup

Konfigurace vzdáleného přístupu do vniřní sítě, např. z důvodu správy sítě a počítačů. Přistupující externí počítač se chová jako by se nacházel v prostorách školy.

Switch- HP Aruba 2930/2530

Celkem 19 přepínačů.

Konfigurace obnáší nastavení:

statických IP adres
VLAN porty podle připojených zařízení

Přepínače (switch) spojují fyzické segmenty sítě. Počítače jsou k přepínači připojeny UTP kabeláži s koncovkou RJ45. Hlavní přepínače jsou propojeny optickou kabeláži, koncové stanice metalickou kabeláži. Použitá technologie: Ethernet. (Více o tématu na stránkách Samuraje.)

Všem přepínačům je nutné nastavit IP adresy, nakonfigurovat VLAN, přidělit jednotlivé porty do logických segmentů sítě, tzn. VLAN.

Nastavení IP adres

Přepínač z důvodu správy sítě pořebuje minimálně jednu statickou IP sdresu. Statická adresa = zpravidla ručně nastavená. Lze provést pomocí příkazového řádku (CLI), v němž lze zadat patřičné příkazy. K CLI lze přistoupit prostřednictvím SSH klienta (např. PUTTY).

Nastavení VLAN

CLI: show vlans

Pokrytí školy signálem WiFi zajišťuje 32 přístupových bodů (AP) HP Aruba.

Switch- HP HP Aruba IAP-315 a 310

Celkem nakonfigurováno 32 ks zařízení. Tzn. nastavení:

statické IP adresy,
zařazení do VLAN,
definice SSID sítí,
napojení na RADIUS server,
instalace a konfigurace AirWave.

Zařízení zvládají automatické rozložení zátěže klientů mezi jedntlivé AP. Operují v pásmu 2,4GHz a 5GHz. Podporují mechanismus izolace klientů, díky tomu se jednotlivá zařízení v síti navzájem nevidí. Nemohou tak například mezi sebou šířit malware.

AirWave Controller

Monitoring přístupových bodů. AirWave poskytuje rychlý přehled o stavu AP, základní statistiky o vytížení a vužití sítě.

Aruba Virtual Controller

Zajistí centralizovanou správu všech AP.

Disková uložiště

Diskové uložiště - Synology Diskstation DS918+

Diskové uložiště, prostor kam jsou ukládány zálohy virtuálních stanic.

NAS je osazena 14TB diskové paměti v RAID 1.

Na následujícím obrázku je vidět přehled záloh realizovaných programem Veeam.

QNAP - další diskové uložiště slouží pro sdílené disky uživatelů, domovské adesáře, apod. (mimo projekt konektivita)

Současná disková uložiště jsou již relativně výkonné počítače, na kterých lze rovněž provozovat virtuální stanice.

Virtuální instalace OS v prostředí VMware.

Pro zajíštění správy uživatelů a dalších podpůrných rolí bylo v prostředí VMware instalováno 5 instancí Microsoft Windows server:

Doménový řadič č. 1 pro doménu zszatopkovych.cz.
Doménový řadič č. 2 pro doménu zszatopkovych.cz.
Management server (správa stanic, účetní software. atd.),
Souborový server antvir, monitoring a správá počítů, Windows Update.
Server pro řízení záloh (Veeam Backup - Enterprise Edition )

Na VMware bylo nutno pro splnění požadavků v projektu konektivita nainstalovat další virtuální stanice. Např.:

AirWave (monitoring AP)
Eset (centrální správa antiviru)
Radius (ověřování přístupu k WiFi)
OpenNMS (monitoring síťových prvků)
Syslog (zpracování a ukládání logovacích informací)
vCenter Apliance (správa obou virtualizovaných serverů)

Zatížení virtuálního serveru

Vytížení serveru za poslední hodinu jak ukazje VMware.

Občas se to může hodit.

Připrava na Eduroam

Aby se škola mohla začlenit do sítě eduroam a umožnit žákům a učitelům připojit se do libovolné WiFi sítě jež je její součásti, musí mít k dispozici nástroje pro identifikaci uživatelů připojených v síti. K tomuto účelu slouží FreeRadius instalovaný na linux distribuci CentOS a připojený k národnímu radiusu.

Což znamená splnit formálně-administrativní a technické paramtry (stav připojování můžete vidět na stránkách: https://pripojovani.eduroam.cz/zszatopkovych.cz).

Kroky realizace připojení:

instalce akonfigurace linuxové distribuce CentoOS
instalace a konfigurace opensource aplikace FreeRadius
nastavení ověření přes Windows AD
žádost o začlenění do sítě Eduroam
vytvoření testovaícho uživatele
vytvoření lokální mapy pokrytí
a mnoho dalších úkonů

Instalace linuxové distribuce.

CentOS

Ověření identity uživatele.

Popis konfigurace na stránkách Eduroam.cz

Mapa pokrytí

Celý postup připojení na stránkách Eduroam.cz

Monitoring a logování

Znamená mít přehled o aktivitách v sítí. Kdo a kdy se přihlásil. Co na síti dělal. Mít přehled, zda jsou aktivní prvky sítě v pořádku. Tyto informace se shromažďují na servrech.

Syslog - Cent OS 7

SyslogNG + Elastic + Kibana

SyslogNG

Všechny logy na hromádce.

Elastic

Fulltext

Kibana

Grafické zobrazení logů.

Radius log

AP - Virtual controller

Monitoring sítě - OpenNMS

Pro pohodlné sledování síťových prvků byl instalován opensource monirorovací systém na linuxové distribuci Ubuntu Server 18.04 - Bionic.

MIMO PROJEKT ???