MIS Petr Vokáč Leden 2007 Motto: Make It Simple http://kmlinux.fjfi.cvut.cz/~vokac/activities/2007/mis/ Motto: Make It Simple
Motivace Zjednodušení, zpřehlednění, zlepšení nedělat stejnou věc na mnoha místech poskytovat základní služby (autentizace, mail, .?.) poskytovat centrálně, jednotně, spolehlivě přesně definovaní dostupní správci, zastupitelnost udržovat aktuální (Mercury měl zmizet před 5ti lety...) odstranit nepotřebné služby (ne)autentizace uživatelů v učebnách? (zen & profily) homeless studenti? (ušetří se na správě, backupech, ...) většina bude (výhledově) používat vlastní notebook využívat služeb poskytovaných VIC, CESNET, ... CA, SIP, Eduroam?, SAN? 9.10.2017 Petr Vokáč
Mail I Autor Mercuryho konečně dostal rozum... ... a ukončil jeho vývoj Novell modul – absolutní tragédie z hlediska podpory „nových standardů“ Windows verze špatná implementace IMAPu neoptimální operace – pomalé, chyby nemožnost slušně přistupovat vzdáleně k mailům problémy s web rozhraním nemožnost přístupu při současně spuštěném pmailu zaměstnanci už dost „otravují“, že se nedostanou k mailům... 9.10.2017 Petr Vokáč
Mail II Příjem x přístup k mailům schránky jen pro zaměstnance a ostatní forward menší nároky na hw a správu (v podstatě připraveno) někdo by mohl mít problém odeslat mail s FJFI adresou schránky pro všechny hw je tu na to pravděpodobně dost (800 mailboxů / server) řada lidí si zřídí jen forward... potřeba zautomatizovat správu vytváření / rušení studentských kont dle Usermapu zaměstnance individuálně příjem – závisí na zvoleném technickém řešení 9.10.2017 Petr Vokáč
Mail III Mailserver – Exchange? (8 x Win, 5 x NW) provozován několik let pro zaměstnance minimální náklady (ČVUT CAL licence – do 2009) podpora standardních protokolů (POP3s, IMAPs) kvalitní www rozhraní (IE, Safari, hůře Firefox) konfigurace účtu přes web nejen mailserver (další fce asi moc nevyužijeme) Navíc... všechny účty na windows kerberos + ldap, správa méně systémů s různými chybami, jeden autentizační zdroj, ... jaké username (Usermap x NDS)? - nekonfliktní => 8 9.10.2017 Petr Vokáč
Mail IV příjem mailů (odmítat neplatné adresy) kam do této koncepce zapadá mailgw? není vůbec potřeba filtrování virů, spamu, ... zpracování (routování) mailů pro @fjfi.cvut.cz výhody x nevýhody jednotlivých řešení? DNS!? nároky na hw s rostoucím počtem mailů během léto 2005 – léto 2006 zdvojnásobení během konec září 2006 – prosinec 2006 další zdvojnásobení => současný hw (při stejné konfiguraci) stačí ještě jeden až dva roky (optimalizace, analýza provozu, ...) - rozdělit mailgw x smtp? mailing listy – kontakty x standardní mailing list 9.10.2017 Petr Vokáč
Mail V 9.10.2017 Petr Vokáč
Mail VI 9.10.2017 Petr Vokáč
Backup slides 9.10.2017 Petr Vokáč
Povinná registrace – DHCP Dohledávání problémových strojů viz. např. info z http://ids.vc.cvut.cz/ Způsoby řešení Eduroam (nutná podpora na swištích a klientech) MAC filter na swištích (nepraktické, nepotřebné) DHCP (povolit jen na určitém portu CISCO) neregistrované zařizení dostane privátní IP (detekce neregistrovaných s platnou IP adresou) web s registrací – CVUT/FJFI jméno a heslo? s Eduroam účtem dojde k automatické registraci Registrované automaticky dostanou IP ze správného resp. veřejného rozsahu 9.10.2017 Petr Vokáč
Monitoring síťových zařízení Využito APR request/response IP (nefunguje pro Ipv6 only sítě) L2 => lze monitorovat pouze lokální sítě pasivní/aktivní monitoring + historie detekce IP konfliktů detekce neregistrovaných zařízení notifikace správci zařízení/segmentu 9.10.2017 Petr Vokáč
Využití IP rozsahů I Břehovka bylo by dobré zvážit oddělení serverů (vlastní routovaný segment – VLAN nebo port na CISCO) Trojanka vše default VLAN mimo 147.32.9.0/26 – server segment (neopustí serverovnu) 147.32.11.0/24 – VLAN pro Eduroam k Access Pointům jedna broadcast zóna, je to rozumné? routované subnety a brány – 147.32.6.1/24, 147.32.7.1/24, 147.32.8.1/24, 147.32.9.1/26, 147.32.9.65/26, 147.32.9.129/25, 147.32.10.1/25, 147.32.10.129/25 9.10.2017 Petr Vokáč
Využití IP rozsahů II Trojanka 147.32.6.0/24 – KFE 147.32.7.0/24 – DHCP 147.32.8.0/24 KM+Tereza+ostatní nezařazené stroje Terezí stroje umísťovat na 147.32.8.226-254 147.32.9.0/26 – Server segment (VLAN 9) 147.32.9.64/26 – volný segment pro VPN? kam s tina tiskárnou? 147.32.9.128/27 – KSE (32 nebo 64 adres?) 147.32.9.160/27 – KJ 147.32.9.192/26 – volné 147.32.10.0/25 – KMAT, 147.32.10.128/25 – KIPL 147.32.11.0/24 – Eduroam – vlastní VLAN 11 9.10.2017 Petr Vokáč
Využití IP rozsahů III Privátní segmenty 172.16.0.0/24 – spojovačka management 172.16.1.0/24 – Trojanka 172.16.2.0/24 – Břehovka 172.16.3.0/24 – Trója Neregistrované 172.16.11.0/24 – Trojanka 172.16.12.0/24 – Břehovka 172.16.13.0/24 – Trója nutné informovat o využívaní privátních adres (pokud nejde o oddělený segment) 9.10.2017 Petr Vokáč
Ostatní Servrovna v Trojance status? existuje projekt? technické podlahy, klimatizace, rozměry (racky) cluster (Beneš) Fileserver (NAS/SAN) Backupování dat (do různých lokalit?) Veřejný shell přístup?! (buon) Spam ve www diskuzích, rozesílání přes www WiFi – AP – proměření (začátek února) wiki pro správce Certifikáty & IE7 9.10.2017 Petr Vokáč