VPN a QoS Informační technologie - praxe SPŠE V úžlabině

Slides:



Advertisements
Podobné prezentace
SÍŤOVÉ PROTOKOLY.
Advertisements

D03 - ORiNOCO RG-based Wireless LANs - Technology
SÍŤOVÉ SLUŽBY DNS SYSTÉM
14SIAP – SÍTĚ A PROTOKOLY Hodina 5..
TELEKOMUNIKACE 8. cvičení VPN, DNS, QoS
Tento výukový materiál vznikl v rámci Operačního programu Vzdělávání pro konkurenceschopnost Číslo projektu: CZ.1.07/1.5.00/ Číslo materiálu: VY_32_INOVACE_PSK-3-20.
VPN sítě Autor: Tomáš PARÍŠEK.
Komunikační systém lokalit HN v ploše Ing. Stanislav Borecký 30. října 2006.
Základy informatiky Internet Ing. Roman Danel, Ph.D. Institut ekonomiky a systémů řízení Hornicko – geologická fakulta.
Analýza síťového provozu
ENUM v produktech innovaphone
METROPOLITNÍ PŘENOSOVÝ SYSTÉM
Firewally a NAT Informační technologie - praxe SPŠE V úžlabině
ARP protokol Informační technologie - praxe SPŠE V úžlabině
Dynamický routing Informační technologie - praxe SPŠE V úžlabině
Seminář 8 VLAN routing Srovnání směrování tradičního a VLAN routingu
Protokol TCP/IP a OSI model
Cisco IOS Informační technologie - praxe SPŠE V úžlabině
Aplikace VT v hospodářské praxi internetové technologie Ing. Roman Danel, Ph.D. VŠB – TU Ostrava.
CCNA 2 3. Network Upgrade. CCNA2: 3. Network upgrade 1. krok: Analýza současného stavu  počet uživatelů  vybavení  předpokládaný růst sítě  internetové.
Číslo projektuCZ.1.07/1.5.00/ Číslo materiáluVY_32_INOVACE_051 Název školyGymnázium, Tachov, Pionýrská 1370 Autor Ing. Roman Bartoš Předmět Informatika.
© 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE I Chapter 6 1 Inter-VLAN Routing LAN Switching and Wireless – Chapter 6.
Co je VPN? Virtuální privátní síť
Internet.
Datové vs Hlasové přenosy Datové –přepojování paketů (packet switching) Hlasové –přepojování okruhů (Circuit Switching)
Výměna dat s klasifikovanými systémy Bezpečnostní oddělovací blok Libor Kratochvíl ICZ a.s
Protokoly a adresy na internetu
Advanced Technologies 05 Jak zabezpečit váš Web Server Martin Pavlis (MCSE, MCT) Konzultant.
BIS Firewall Roman Danel VŠB – TU Ostrava.
QoS Josef Horálek,. Definice kvalitativních hledisek  Spolehlivost služby (service availability)  zpoždění (delay/latency)  rozptyl zpoždění (delay.
Software Quality of Services Solutions Dissertation. Ing. Marek Huczala, Telecommunication Department, Brno University of Technology. April 2006.
CZ.1.07/1.4.00/ VY_32_INOVACE_168_IT 9 Výukový materiál zpracovaný v rámci projektu Vzdělávací oblast: Informační a komunikační technologie Předmět:Informatika.
© 2007 Cisco Systems, Inc. All rights reserved.Cisco Public 1 Application Layer Functionality and Protocols Network Fundamentals – Chapter 3.
Remote control and administration. Podle technického řešení Harware Software klient/server.
1 I NTERNETOVÁ INFRASTRUKTURA. H ISTORIE SÍTĚ I NTERNET RAND Corporation – rok 1964 Síť nebude mít žádnou centrální složku Síť bude od začátku navrhována.
SAMBA umožňuje linuxovému systému sdílení prostředků a služeb prostřednictvím sítě používá SMB (server message block) protocol - identický protokolu.
EGovernment Struktura služeb a řešení. Obsah 1.Požadavky KIVS a řešené problémy 2.Vývoj koncepcí 3.Stávající KIVS a její rozvoj v souladu s koncepcemi.
1 Seminář 9 MAC adresa – fyzická adresa interface (rozhraní) Je zapsána v síťové kartě. Je identifikátor uzlu na spoji. MAC adresu v paketu čte switch.
Seminář
Seminář 12 Obsah cvičení Transportní služby Utilita nestat
Statický vs. dynamický routing
VPN - Virtual private networks Přednášky z Projektování distribuovaných systémů Ing. Jiří Ledvina, CSc.
Seminář - routing Směrování Pojmy IP adresa
Metro Ethernet Services Projektování distribuovaných systémů Ing. Jiří ledvina, CSc.
Firewall na Linuxu Vypracoval: Petr Toman. Druhy firewallů Aplikační proxy servery – pracuje na aplikační vrstvě pro konkrétní aplikační protokol. Firewally.
PB169 – Operační systémy a sítě Protokoly aplikační vrstvy Marek Kumpošt, Zdeněk Říha.
Internet protocol Počítačové sítě Ing. Jiří Ledvina, CSc.
Multimediální přenosy v IP sítích Libor Suchý Prezentace diplomové práce.
1 Seminář 6 Routing – směrování –Směrování přímé – v rámci jedné IP sítě/subsítě (dále je „sítě“) – na známou MAC adresu. –Směrování nepřímé – mezi sítěmi.
ATM QoS – Pojmy PCR – Peak Cell Rate SCR – Sustainable Cell Rate –Obé definováno jako počet buněk za sekundu (cells per second) CLP – Cell Loss Priority.
Aktivní prvky ochrany sítí ● Filtrace, proxy, firewall ● Filtrace přenosu, zakázané adresy, aplikační protokoly ● Proxy, socks, winsocks ● Překlad adres.
Virtualizace ● IP forwarding ● IP tunneling ● Virtuální síť.
Bezpečnostní technologie I IPSec Josef Kaderka Operační program Vzdělávání pro konkurenceschopnost Projekt: Vzdělávání pro bezpečnostní systém státu (reg.
NÁZEV ŠKOLY: S0Š Net Office, spol. s r.o, Orlová Lutyně AUTOR: Bc. Petr Poledník NÁZEV: Podpora výuky v technických oborech TEMA: Počítačové systémy ČÍSLO.
FTP-SSL FTP-SSL Martin Dušek Martin Fúsek Josef Vlček.
Přednášky o výpočetní technice Internet. přednášky o výpočetní technice Informační hyperdálnice ● Jedna mohutná počítačová síť ● Neplést Internet a Worldwide.
Transportní vrstva v TCP/IP Dvořáčková, Kudelásková, Kozlová.
IP PROTokOL Zachytávání a analýza
NÁZEV ŠKOLY: S0Š Net Office, spol. s r.o, Orlová Lutyně
Seminář 11 DHCP + HTTP + IPTABLES
Virtuální privátní sítě
Seminář - routing Směrování Pojmy IP adresa
Seminář 8 VLAN routing Srovnání směrování tradičního a VLAN routingu
LAN Switching and Wireless – Chapter 6
Monitoring sítě.
Počítačové sítě IP vrstva
Příklad topologie sítě Adresace v internetu MAC adresa – fyzická adresa interface (rozhraní) Je zapsána v síťové kartě. Je identifikátor uzlu.
Počítačové sítě IP vrstva
Application Layer Functionality and Protocols
Transkript prezentace:

VPN a QoS Informační technologie - praxe SPŠE V úžlabině Jan Klepal, Mgr. Radka Müllerová Verze 1

Obsah VPN (Virtual Private Network) Používané VPN GRE PPTP OpenVPN QoS (Quality of Service) Typy front pro QoS Konfigurace HTB

VPN (Virtual Private Network) Využívá se k propojení dvou sítí, které není možné propojit routováním propojení dvou sítí, kde je vyžadováno šifrování po veřejné části síte připojení uživatelů k firemní síti pomocí internetu Používané označení VPN – nejčastější název, připojení k firemní síti Tunel – především při propojení více sítí IPsec – Cisco označení, šifrované spojení Software Nešifrované VPN součást kernelu (IP-IP, GRE) Šifrované VPN zajišťují aplikace (využívají virtuální rozhraní)

VPN (Virtual Private Network) 10.10.1.0/24 10.10.2.0/24 internet 80.250.1.1 80.250.2.2 10.10.1.254 10.10.2.254 eth1 eth1 eth0 eth0 gre0 gre0 10.0.0.1 10.0.0.2 network mask gateway device 80.250.1.0 255.255.255.224 eth1 10.10.1.0 255.255.255.0 eth0 10.10.2.0 255.255.255.0 gre0 0.0.0.0 0.0.0.0 80.250.1.14 eth1 tunnel name: gre0 tunnel IP: 10.0.0.1 tunnel dst: 80.250.2.2 network mask gateway device 80.250.1.0 255.255.255.224 eth1 10.10.2.0 255.255.255.0 eth0 10.10.1.0 255.255.255.0 gre0 0.0.0.0 0.0.0.0 80.250.1.14 eth1 tunnel name: gre0 tunnel IP: 10.0.0.2 tunnel dst: 80.250.1.1 default gw 10.10.1.254 default gw 10.10.2.254

VPN (Virtual Private Network) 10.10.1.0/24 10.10.2.0/24 internet 80.250.1.1 80.250.2.2 10.10.1.254 10.10.2.254 eth1 eth1 eth0 eth0 gre0 gre0 10.0.0.1 10.0.0.2 10.10.1.100 10.10.2.100 1024 3389 remote desktop management 80.250.1.1 80.250.2.2 10.10.1.100 10.10.2.100 1024 3389 remote desktop management 10.10.1.100 10.10.2.100 1024 3389 remote desktop management

Používané VPN GRE (Generic Routing Encapsulation) Využívá IP protokolu id 47 (IP-IP tunneling) Součást Linuxového kernelu Nešifruje přenášená data Problémy s NAT PPTP (Point to Point Tunneling Protocol) Standardní součást Windows Pro komunikaci využívá GRE Umožňuje kompresi a šifrování dat IPsec (IP security) Jedná se o rozšíření protokolu IP Samotné šifrování je většinou zajišťováno kernelem, ale správa certifikátů a sestavování spojení user-space aplikací Problémy s implementací na různých platformách (Cisco, Linux, BSD) OpenVPN User-space aplikace využívající TUN/TAP virtuálních adaptérů Umožňuje tunelovat pomocí UDP i TCP Řeší obvyklé problémy VPN (MTU, NAT, redundanci a load balancing)

Nasazení GRE

Konfigurace GRE Linux: Konfigurace pomocí iproute2: Cisco: Konfigurace kernelu: Device Drivers ---> Networking support ---> [Y] Networking support [Y] Networking options ---> [Y] TCP/IP networking [Y] IP: GRE tunnels over IP Konfigurace pomocí iproute2: ip tunnel add gre0 mode gre remote 80.250.2.2 local 80.250.1.1 ip link set gre0 up ip addr add 10.0.0.1 dev gre0 ip route add 10.10.2.0/24 dev gre0 Cisco: interface Tunnel0 ip address 10.0.0.2 255.255.255.252 tunnel source 80.250.2.2 tunnel destination 80.250.1.1

Nasazení PPTP

Konfigurace PPTP Linux: /etc/pptpd.conf: /etc/ppp/options.pptpd Konfigurace kernelu: Device Drivers ---> Networking support ---> [Y] Networking support [Y] PPP (point-to-point protocol) support [Y] PPP support for async serial ports [Y] PPP Deflate compression [Y] Microsoft PPP compression/encryption (MPPC/MPPE) /etc/pptpd.conf: option /etc/ppp/options.pptpd localip 192.168.254.1 remoteip 192.168.254.2-254 /etc/ppp/options.pptpd lock auth require-mschap-v2 mppe required,stateless deflate 0 /etc/ppp/chap-secrets uzlabina * heslo *

Konfigurace PPTP Windows:

Nasazení OpenVPN

Konfigurace OpenVPN Linux: /etc/openvpn/local.conf: Vytvoření klíče: Konfigurace kernelu: Device Drivers ---> Networking support ---> [Y] Networking support [Y] Network device support [Y] Universal TUN/TAP device driver support /etc/openvpn/local.conf: local 84.42.148.36 proto udp port 5000 dev tun ifconfig 10.0.0.1 10.0.0.2 secret uzlabina.key comp-lzo float daemon Vytvoření klíče: openvpn --genkey --secret uzlabina.key

Konfigurace OpenVPN OpenVPN GUI: http://www.openvpn.se Start > Programy > OpenVPN > OpenVPN configuration file directory C:\Program Files\OpenVPN\config\Uzlabina.ovpn: remote 84.42.148.36 proto udp port 5000 dev tun ifconfig 10.0.0.2 10.0.0.1 secret uzlabina.key comp-lzo Float route 10.10.0.0 255.255.0.0 10.0.0.1

QoS (Quality of Service) QoS zajišťuje kvalitu služby (garantovaný datový tok a zpoždění) Přenosový kanál (síť) je nekvalitní především díky bottle-neckům (místům kde se zmenšuje šířka přenosového pásma) Tím vznikají následující problémy: packet-loss – ztrátovost přenášených dat delay – konstantní zpoždění jitter – proměnné zpoždění out-of-order delivery – data jsou přijata v jiném pořadí než byla odeslána

QoS (Quality of Service) 100Mbit 10Mbit

QoS (Quality of Service) Při návrhu QoS jsou důležité dva parametry: Šířka přenosového kanálu Maximální zpoždění Techniky omezování šířky přenosového kanálu: Shaping – data překračující nastavenou šířku kanálu jsou uložena do bufferu a odeslána později Policing – data překračující nastavenou šířku kanálu jsou zahozena Zpoždění generované QoS je možné ovlivnit Velikostí bufferu – zpoždění je omezeno na přesně definovanou velikost Použitím policingu – QoS nevkládá žádné zpoždění

Policing vs. Shaping policing shaping rychlost rychlost čas čas

QoS (Quality of Service) Pro definici šířky pásma se používá: CIR (Committed Information Rate) – minimální garantovaná šířka přenosového pásma MIR (Maximum Information Rate) – maximální šířka přenosového pásma Burst – množství dat které je možné jednorázově odeslat bez V případě konfigurace QoS internetového připojení na routeru zákazníka je potřeba počítat s nižší propustností, aby na straně providera nepřetékala fronta v jeho QoS Shaping je možné provádět pouze na výstupním rozhraní zařízení (na vstupu je možné pakety pouze zahazovat. Pro shaping příchozího provozu je v Linuxu IMQ (Intermediate Queueing Device).

Typy front pro QoS Typy frontování používané pro QoS: FIFO (First In First Out) – nejjednodušší typ fronty, pakety jsou odesílány ve stejném pořadí jako byly přijaty PQ (Priority Queueing) – prioritizuje důležitý provoz (např. web před ftp) může se ovšem stát, že nedůležitý provoz nebude vůbec obsloužen CQ (Custom Queueing) – každému typu provozu je garantována určitá propustnost WFQ (Weighted Fair Queueing) – mezi jednotlivé toky (rozpoznáno na základě IP a portu) je spravedlivě rozdělena celková přenosová kapacita

Požadavky služeb na QoS WEB, FTP, MAIL, streaming atp. Velmi malá ztrátovost Vyšší zpoždění není podstatné Shaping s velkým bufferem SSH, DNS, interaktivní provoz Malá ztrátovost Malé zpoždění Shaping s malým bufferem VoIP, hry atp. Minimální a konstantní zpoždění Malá ztrátovost není podstatná Policing

Linux QoS QoS je standardní součást kernelu Konfigurace pomocí iproute2 (příkaz tc) Označování provozu pomocí QoS filtrů nebo iptables Konfigurace kernelu: Device Drivers ---> Networking support ---> [Y] Networking support Networking options ---> QoS and/or fair queueing ---> [Y] QoS and/or fair queueing [Y] HTB packet scheduler [Y] The simplest PRIO pseudoscheduler [Y] RED queue [Y] SFQ queue [Y] QoS support [Y] Packet classifier API [Y] Firewall based classifier [Y] Traffic policing

Příklad konfigurace HTB 1:1 POZOR! Toto není poměr dělení přenosového pásma, ale ID třídy! připojení k internetu 10Mbit 1:2 1:3 5Mbit LAB UCITELE 5Mbit 1:20 1:21 3Mbit WEB FTP 2Mbit tc qdisc add dev eth0 root handle 1: htb default 3 tc class add dev eth0 parent 1: classid 1:1 htb rate 10Mbit ceil 10Mbit tc class add dev eth0 parent 1:1 classid 1:2 htb rate 5Mbit ceil 10Mbit tc class add dev eth0 parent 1:1 classid 1:3 htb rate 5Mbit ceil 10Mbit tc class add dev eth0 parent 1:2 classid 1:20 htb rate 3Mbit ceil 5Mbit tc class add dev eth0 parent 1:2 classid 1:21 htb rate 2Mbit ceil 5Mbit

Příklad konfigurace HTB 1:1 POZOR! Toto není poměr dělení přenosového pásma, ale ID třídy! připojení k internetu 10Mbit 1:2 1:3 5Mbit LAB UCITELE 5Mbit 1:20 1:21 3Mbit WEB FTP 2Mbit iptables -t mangle -A POSTROUTING -d 10.10.2.0/24 -j MARK --set-mark 3 iptables -t mangle -A POSTROUTING -d 10.10.1.0/24 -p tcp --sport 21 -j MARK --set-mark 20 iptables -t mangle -A POSTROUTING -d 10.10.1.0/24 -p tcp --dport 80 -j MARK --set-mark 21 tc filter add dev eth0 parent 1: protocol ip prio 1 handle 3 fw flowid 1:3 tc filter add dev eth0 parent 1: protocol ip prio 1 handle 20 fw flowid 1:20 tc filter add dev eth0 parent 1: protocol ip prio 1 handle 21 fw flowid 1:21

Příklad konfigurace HTB 1:1 POZOR! Toto není poměr dělení přenosového pásma, ale ID třídy! připojení k internetu 10Mbit 1:2 1:3 5Mbit LAB UCITELE 5Mbit 1:20 1:21 3Mbit WEB FTP 2Mbit tc qdisc add dev eth0 parent 1:3 handle 30: pfifo limit 5 tc qdisc add dev eth0 parent 1:20 handle 20: sfq tc qdisc add dev eth0 parent 1:21 handle 21: sfq