Lajber Zoltán lajbi@zeus.gau.hu Szent István Egyetem, Gödöllő Informatikai Hivatal Bevezetés Tervezési szempontok: teljesítmény, karbantarthatóság, biztonság. Teljesítmény: hálózati technológiák, kiszolgáló gépek Biztonság: biztonságpolitika, tűzfal elrendezések példa hálózatok 1
Tervezés teljesítményre Várható forgalom becslése A munkaállomásonkénti sávszélesség-igény erősen függ a felhasználás jellegétől: Felhasználó I/O / mp sávszélesség-igény kb/sec Mb/sec Átlagos irodai 1.2 10 0.08 Erős irodai 2.5 20 0.16 Fejlesztő 4-100 50-4000 0.4-30 2
A szűk keresztmetszetek meghatározása - hálózat Az elérhető sávszélesség különböző hálózatoknál: Megnevezés max. sávszélesség MB/sec Mb/sec 10M ethernet, HUB vagy coax 0.3-0.6 2.4-4.8 10M ethernet, switchelt 1.1 8.8 100M fastethernet 6-11 48-88 1G gigabit ethernet 35-75 280-600 3
A szűk keresztmetszet switcheknél kategória backplane ár fajlagos ár Gbps USD USD/Gbps USD/port SOHO, 8 port 0.1 47 470 5 olcsó 24 port 19 rack 1 450 450 18 közepes 24 port 19 rack 8 1500 187 62 cisco 4500 240 port 64 43000 671 179 cisco 6500 576 10/100/1000 720 70000 97 427 4
Szűk keresztmetszet szervereknél Megnevezés Várható max. sávszélesség MB/sec Mbps Intel Pentium 133 5 40 P3 Coppermine 1100 8800 P4 Xeon 3GHz 3276 26208 I 33MHz/32bit 132 1056 I 66MHz/64bit 528 4224 I 133MHz/64bit 1064 8512 HDD low-end IDE 8 64 HDD 10k rpm 60 480 U320 SCSI 8 disk raid 245 1960 5
Eszközök kiválasztása Egy 20 gépes hálózathoz Elem Átlagos irodai Erős irodai Fejlesztő Forgalom 0.2 Mbyte/sec 0.4 kbyte/sec 80 Mbyte/sec Hálózat ethernet/soho switchelt 10 switchelt 100 Szerver P133/I33 P133/I33 P3/I33 Diszkek IDE 5400 rpm IDE 5400 rpm 10k rpm 6
Egy 200 gépes hálózathoz Elem Átlagos irodai Erős irodai Fejlesztő Forgalom 2 Mbyte/sec 4 Mbyte/sec 800 Mbyte/sec Hálózat switchelt 10 switchelt 10/100 gigabit Szerver P133/I33 P3/I33 P3/I-X Diszkek IDE 5400 rpm IDE 5400 rpm SCSI u320 RAID Korszerű szerverek teljesítménye a diszkek és a hálózat által korlátozott. A nagy forgalom miatt a szerveren szükséges a gigabites interface használata, vagy két szerver, két-két fastethernet interface-el. A többszörös kapcsolatok kialakításnál ügyelni kell a terhelésmegosztás algoritmusára. 7
Kábelezés kiválasztása Megnevezés Sebesség Max. távolság UTP Cat5 100Mbps 100m Multimódusú FX 100Mbps 412m/2000m gigabit TX 1000Mbps 100m gigabit SX/62.5 1000Mbps 220-275m gigabit SX/50 1000Mbps 500-550m gigabit LX/50 1000Mbps 550m gigabit LX-SM 1000Mbps 10 km gigabit ZX-SM 1000Mbps 70-100 km Eltérő logikai és fizikai felépítés: VLAN 8
Tervezés hálózatbiztonságra Tervezési alapelvek: lehető legegyszerűbb elrendezés rétegezett védelem különböző biztonsági igényű hálózatok szétválasztása megbízhatatlan hálózatok leválasztása megvalósítás és üzemeltetés költségeinek figyelembevétele 9
Biztonságpolitika Mit ne tartalmazon: technikai részleteket mit, miért és nem hogyan nem számítógépes problémákat (pornó, játék) ne probáljon megoldani Mit tartalmazzon: fogalom magyarázat felhasználói, üzemeltetői és vezetői felelőségek betartatási jogok átvizsgálások, módosítások, kivételek lehetősége részletek: pl. kinek lehet accountja, átruházás, megszüntetés 10
Alapfogalmak külső szerver: olyan gép, amelyik kifelé szolgáltatást nyújt (screened host) külső alhálózat: olyan alhálózat, amelyik kifelé szolgáltatást nyújt (screened subnet, DMZ) külső router: nagyvilág és külső háló között belső router: külső és belső háló között csomagszűrő: router, amelyik ip csomagokat szűr a bennük lévő info alapján proxy: kétlábú gép, amelyik a kliensek nevében indít új TCP kapcsolatokat. nem biztonságos protokoll: ahol az azonosítási informació nyilt szövegben továbbítódik. 11
Tipikus tűzfal elrendezések Egydobozos router proxy csomagszűrő: magas host biztonság, kevés protokoll, nagy teljesítmény proxy: kis forgalom, nem kritikus internet 12
Külső szerveres router szerver router: csomagszürés, port forward belső proxyra alkalmas: kevés bejövő kapcsolat (SMTP, de nem HTTP), jól karbantartott hálózaton 13
Külső alhalózatos access router szerver choke router külső szerver: bejövő kapcsolatok fogadása, kimenő forgalom proxy belső router: belső háló védelme kintről és DMZ-ből, csomagszűrés, DMZ/belső között forgalom minimalizálás: DNS, SMTP külső router: hasonló csomagszűrés, mint a belső routeren alkalmas: szinte mindenhová, több külső szerverrel jól skálázható 14
Egyszerűsítési lehetőségek több külsőszerver külső és belső router összevonása: ha a router tud in és out filtert külső router és külső szerver összevonása belső router és külső szerver összevonasa több belső router több belső háló, de 1 router több belső háló 1 + több router (gerincháló) több külső router külső alháló és külső szerver a belső hálóban OK OK OK veszélyes veszélyes OK OK OK veszélyes 15
Példák Kis hálózat router kulso szerver lanswitch belso szerver switch switch switch 16
Közepes hálózat gerince - 1 Elosztó 2926GS 24 TX, 2 SX Mag 2948GL3 48 TX, 2 SX Határ 7206 GAU 2 TX, 1 SX, 4 Ser HBONE reg. kp. 7206 HBONE 2 TX, 1 SX, 2 Ser, 1 POS 2924XL 24 TX, 2 FX, 1 SX TX/FX konverter 2924XL 24 TX, 1 SX GTI MTK MTK Múzeum KTI MSzI Vadbiológia Kollégium GTI Könyvtár Központi szerverek Management PIX 525 2 TX DMZ 2924XL 24 TX router 4 TX MBK HBONE backup PhD épület E épület Hozzáférés Pénzügy Kollégium Fast Ethernet multimódusú optika monomódusú optika Gigabit Ethernet 17
Közepes hálózat gerince - 2 Hallgatók Mag Határ HBONE reg.kp. gw-lab x330 c65core c6509 c65edge c6506 c35.godollo c3550-12g Központ Hozzáférés ghfw-a PIX 525 asw-apa1 c3550-48 ghfw-b PIX 525 asw-apb1 c3550-48 18
Összefoglalás hálózat teljesítménye nehezen jósolható meg szűk keresztmetszetek keresése, bővítése valószínű szűk keresztmetszetek: coax kábel, HUB, -s szerver busz és disk teljesítménye. biztonsági alapelvek kivétel nélküli betartása 802.1Q VLAN a belső terhelés elosztáshoz 19
Hivatkozások http://www.intel.com/products/server/processors/server/xeon/ http://www.borg.umn.edu/fc/papers/ http://www.anandtech.com/showdoc.html?i=1237 http://www.explosivelabs.com/articles/sata/pg2.shtml http://www.xbitlabs.com/articles/storage/display/ide-scsi.html http://www.xbitlabs.com/articles/storage/display/10000-scsi.html http://www.experts-exchange.com/storage/q_20783767.html http://www.xbitlabs.com/articles/storage/display/u320scsi-2.html http://zeus.gau.hu/ lajbi/eloadasok.html 20