Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

VPN a QoS Informační technologie - praxe SPŠE V úžlabině Jan Klepal, Mgr. Radka Müllerová Verze 1.

Podobné prezentace


Prezentace na téma: "VPN a QoS Informační technologie - praxe SPŠE V úžlabině Jan Klepal, Mgr. Radka Müllerová Verze 1."— Transkript prezentace:

1 VPN a QoS Informační technologie - praxe SPŠE V úžlabině Jan Klepal, Mgr. Radka Müllerová Verze 1

2 Obsah VPN (Virtual Private Network) Používané VPN GRE GRE PPTP PPTP OpenVPN OpenVPN QoS (Quality of Service) Typy front pro QoS Konfigurace HTB

3 VPN (Virtual Private Network) Využívá se k propojení dvou sítí, které není možné propojit routováním propojení dvou sítí, které není možné propojit routováním propojení dvou sítí, kde je vyžadováno šifrování po veřejné části síte propojení dvou sítí, kde je vyžadováno šifrování po veřejné části síte připojení uživatelů k firemní síti pomocí internetu připojení uživatelů k firemní síti pomocí internetu Používané označení VPN – nejčastější název, připojení k firemní síti VPN – nejčastější název, připojení k firemní síti Tunel – především při propojení více sítí Tunel – především při propojení více sítí IPsec – Cisco označení, šifrované spojení IPsec – Cisco označení, šifrované spojeníSoftware Nešifrované VPN součást kernelu (IP-IP, GRE) Nešifrované VPN součást kernelu (IP-IP, GRE) Šifrované VPN zajišťují aplikace (využívají virtuální rozhraní) Šifrované VPN zajišťují aplikace (využívají virtuální rozhraní)

4 VPN (Virtual Private Network) /24 eth1 internet eth /24 eth0 gre default gw default gw tunnel name: gre0 tunnel IP: tunnel dst: tunnel name: gre0 tunnel IP: tunnel dst: networkmaskgatewaydevice eth eth gre eth1 networkmaskgatewaydevice eth eth gre eth1

5 VPN (Virtual Private Network) /24 eth1 internet eth /24 eth0 gre remote desktop management remote desktop management remote desktop management

6 Používané VPN GRE (Generic Routing Encapsulation) Využívá IP protokolu id 47 (IP-IP tunneling) Využívá IP protokolu id 47 (IP-IP tunneling) Součást Linuxového kernelu Součást Linuxového kernelu Nešifruje přenášená data Nešifruje přenášená data Problémy s NAT Problémy s NAT PPTP (Point to Point Tunneling Protocol) Standardní součást Windows Standardní součást Windows Pro komunikaci využívá GRE Pro komunikaci využívá GRE Umožňuje kompresi a šifrování dat Umožňuje kompresi a šifrování dat IPsec (IP security) Jedná se o rozšíření protokolu IP Jedná se o rozšíření protokolu IP Samotné šifrování je většinou zajišťováno kernelem, ale správa certifikátů a sestavování spojení user-space aplikací Samotné šifrování je většinou zajišťováno kernelem, ale správa certifikátů a sestavování spojení user-space aplikací Problémy s implementací na různých platformách (Cisco, Linux, BSD) Problémy s implementací na různých platformách (Cisco, Linux, BSD)OpenVPN User-space aplikace využívající TUN/TAP virtuálních adaptérů User-space aplikace využívající TUN/TAP virtuálních adaptérů Umožňuje tunelovat pomocí UDP i TCP Umožňuje tunelovat pomocí UDP i TCP Řeší obvyklé problémy VPN (MTU, NAT, redundanci a load balancing) Řeší obvyklé problémy VPN (MTU, NAT, redundanci a load balancing)

7 Nasazení GRE

8 Konfigurace GRE Konfigurace kernelu: Device Drivers ---> Networking support ---> [Y] Networking support [Y] Networking options ---> [Y] TCP/IP networking [Y] IP: GRE tunnels over IP Konfigurace pomocí iproute2: ip tunnel add gre0 mode gre remote local ip link set gre0 up ip addr add dev gre0 ip route add /24 dev gre0 interface Tunnel0 ip address tunnel source tunnel destination Linux: Cisco:

9 Nasazení PPTP

10 Konfigurace PPTP Konfigurace kernelu: Device Drivers ---> Networking support ---> [Y] Networking support [Y] PPP (point-to-point protocol) support [Y] PPP support for async serial ports [Y] PPP Deflate compression [Y] Microsoft PPP compression/encryption (MPPC/MPPE) /etc/pptpd.conf: option /etc/ppp/options.pptpd localip remoteip /etc/ppp/options.pptpd lock auth require-mschap-v2 mppe required,stateless deflate 0 /etc/ppp/chap-secrets uzlabina*heslo* Linux:

11 Konfigurace PPTP Windows:

12 Nasazení OpenVPN

13 Konfigurace OpenVPN Konfigurace kernelu: Device Drivers ---> Networking support ---> [Y] Networking support [Y] Network device support [Y] Universal TUN/TAP device driver support /etc/openvpn/local.conf: local proto udp port 5000 dev tun ifconfig secret uzlabina.key comp-lzo float daemon Vytvoření klíče: openvpn --genkey --secret uzlabina.key Linux:

14 Konfigurace OpenVPN C:\Program Files\OpenVPN\config\Uzlabina.ovpn: remote proto udp port 5000 dev tun ifconfig secret uzlabina.key comp-lzo Float route OpenVPN GUI: Start > Programy > OpenVPN > OpenVPN configuration file directory

15 QoS (Quality of Service) QoS zajišťuje kvalitu služby (garantovaný datový tok a zpoždění) Přenosový kanál (síť) je nekvalitní především díky bottle-neckům (místům kde se zmenšuje šířka přenosového pásma) Tím vznikají následující problémy: packet-loss – ztrátovost přenášených dat packet-loss – ztrátovost přenášených dat delay – konstantní zpoždění delay – konstantní zpoždění jitter – proměnné zpoždění jitter – proměnné zpoždění out-of-order delivery – data jsou přijata v jiném pořadí než byla odeslána out-of-order delivery – data jsou přijata v jiném pořadí než byla odeslána

16 QoS (Quality of Service) 100Mbit 10Mbit

17 QoS (Quality of Service) Při návrhu QoS jsou důležité dva parametry: Šířka přenosového kanálu Šířka přenosového kanálu Maximální zpoždění Maximální zpoždění Techniky omezování šířky přenosového kanálu: Shaping – data překračující nastavenou šířku kanálu jsou uložena do bufferu a odeslána později Shaping – data překračující nastavenou šířku kanálu jsou uložena do bufferu a odeslána později Policing – data překračující nastavenou šířku kanálu jsou zahozena Policing – data překračující nastavenou šířku kanálu jsou zahozena Zpoždění generované QoS je možné ovlivnit Velikostí bufferu – zpoždění je omezeno na přesně definovanou velikost Velikostí bufferu – zpoždění je omezeno na přesně definovanou velikost Použitím policingu – QoS nevkládá žádné zpoždění Použitím policingu – QoS nevkládá žádné zpoždění

18 Policing vs. Shaping čas rychlost čas rychlost čas rychlost čas rychlost policing shaping

19 QoS (Quality of Service) Pro definici šířky pásma se používá: CIR (Committed Information Rate) – minimální garantovaná šířka přenosového pásma CIR (Committed Information Rate) – minimální garantovaná šířka přenosového pásma MIR (Maximum Information Rate) – maximální šířka přenosového pásma MIR (Maximum Information Rate) – maximální šířka přenosového pásma Burst – množství dat které je možné jednorázově odeslat bez Burst – množství dat které je možné jednorázově odeslat bez V případě konfigurace QoS internetového připojení na routeru zákazníka je potřeba počítat s nižší propustností, aby na straně providera nepřetékala fronta v jeho QoS Shaping je možné provádět pouze na výstupním rozhraní zařízení (na vstupu je možné pakety pouze zahazovat. Pro shaping příchozího provozu je v Linuxu IMQ (Intermediate Queueing Device).

20 Typy front pro QoS Typy frontování používané pro QoS: FIFO (First In First Out) – nejjednodušší typ fronty, pakety jsou odesílány ve stejném pořadí jako byly přijaty FIFO (First In First Out) – nejjednodušší typ fronty, pakety jsou odesílány ve stejném pořadí jako byly přijaty PQ (Priority Queueing) – prioritizuje důležitý provoz (např. web před ftp) může se ovšem stát, že nedůležitý provoz nebude vůbec obsloužen PQ (Priority Queueing) – prioritizuje důležitý provoz (např. web před ftp) může se ovšem stát, že nedůležitý provoz nebude vůbec obsloužen CQ (Custom Queueing) – každému typu provozu je garantována určitá propustnost CQ (Custom Queueing) – každému typu provozu je garantována určitá propustnost WFQ (Weighted Fair Queueing) – mezi jednotlivé toky (rozpoznáno na základě IP a portu) je spravedlivě rozdělena celková přenosová kapacita WFQ (Weighted Fair Queueing) – mezi jednotlivé toky (rozpoznáno na základě IP a portu) je spravedlivě rozdělena celková přenosová kapacita

21 Požadavky služeb na QoS WEB, FTP, MAIL, streaming atp. Velmi malá ztrátovost Velmi malá ztrátovost Vyšší zpoždění není podstatné Vyšší zpoždění není podstatné Shaping s velkým bufferem Shaping s velkým bufferem SSH, DNS, interaktivní provoz Malá ztrátovost Malá ztrátovost Malé zpoždění Malé zpoždění Shaping s malým bufferem Shaping s malým bufferem VoIP, hry atp. Minimální a konstantní zpoždění Minimální a konstantní zpoždění Malá ztrátovost není podstatná Malá ztrátovost není podstatná Policing Policing

22 Linux QoS QoS je standardní součást kernelu Konfigurace pomocí iproute2 (příkaz tc) Označování provozu pomocí QoS filtrů nebo iptables Konfigurace kernelu: Device Drivers ---> Networking support ---> [Y] Networking support Networking options ---> QoS and/or fair queueing ---> [Y] QoS and/or fair queueing [Y] HTB packet scheduler [Y] The simplest PRIO pseudoscheduler [Y] RED queue [Y] SFQ queue [Y] QoS support [Y] Packet classifier API [Y] Firewall based classifier [Y] Traffic policing

23 Příklad konfigurace HTB připojení k internetu LABUCITELE 10Mbit 5Mbit WEBFTP 3Mbit2Mbit tc qdisc add dev eth0 root handle 1: htb default 3 tc class add dev eth0 parent 1: classid 1:1 htb rate 10Mbit ceil 10Mbit tc class add dev eth0 parent 1:1 classid 1:2 htb rate 5Mbit ceil 10Mbit tc class add dev eth0 parent 1:1 classid 1:3 htb rate 5Mbit ceil 10Mbit tc class add dev eth0 parent 1:2 classid 1:20 htb rate 3Mbit ceil 5Mbit tc class add dev eth0 parent 1:2 classid 1:21 htb rate 2Mbit ceil 5Mbit 1:1 1:21:3 1:201:21 POZOR! Toto není poměr dělení přenosového pásma, ale ID třídy!

24 Příklad konfigurace HTB připojení k internetu LABUCITELE 10Mbit 5Mbit WEBFTP 3Mbit2Mbit 1:1 1:21:3 1:201:21 iptables -t mangle -A POSTROUTING -d /24 -j MARK --set-mark 3 iptables -t mangle -A POSTROUTING -d /24 -p tcp --sport 21 -j MARK --set-mark 20 iptables -t mangle -A POSTROUTING -d /24 -p tcp --dport 80 -j MARK --set-mark 21 tc filter add dev eth0 parent 1: protocol ip prio 1 handle 3 fw flowid 1:3 tc filter add dev eth0 parent 1: protocol ip prio 1 handle 20 fw flowid 1:20 tc filter add dev eth0 parent 1: protocol ip prio 1 handle 21 fw flowid 1:21 POZOR! Toto není poměr dělení přenosového pásma, ale ID třídy!

25 Příklad konfigurace HTB připojení k internetu LABUCITELE 10Mbit 5Mbit WEBFTP 3Mbit2Mbit 1:1 1:21:3 1:201:21 tc qdisc add dev eth0 parent 1:3 handle 30: pfifo limit 5 tc qdisc add dev eth0 parent 1:20 handle 20: sfq tc qdisc add dev eth0 parent 1:21 handle 21: sfq POZOR! Toto není poměr dělení přenosového pásma, ale ID třídy!


Stáhnout ppt "VPN a QoS Informační technologie - praxe SPŠE V úžlabině Jan Klepal, Mgr. Radka Müllerová Verze 1."

Podobné prezentace


Reklamy Google