PRENOVA KOMUNIKACIJSKEGA OMREŽJA

Transcription

1 Gregor Kavšček PRENOVA KOMUNIKACIJSKEGA OMREŽJA Diplomsko delo Maribor, avgust 2009

2

3 I Diplomsko delo univerzitetnega študijskega programa PRENOVA KOMUNIKACIJSKEGA OMREŽJA Študent: Študijski program: Mentor: Somentor: Gregor Kavšček UN Telekomunikacije Doc. dr. Janez Strgar Drago Šebez, uni. dipl. inž. Maribor, avgust 2009

4 II ZAHVALA Zahvaljujem se mentorju doc. dr. Janezu Strgarju za pomoč in vodenje pri opravljanju diplomskega dela. Prav tako se zahvaljujem komentorju Dragu Šebezu in podjetju Kopa d.d., za pomoč in izkazano zaupanje. Hvala tudi vsem, ki so me vzpodbujali. Posebna zahvala velja staršema, ki sta mi omogočila študij.

5 III

6 IV PRENOVA KOMUNIKACIJSKEGA OMREŽJA Ključne besede: računalniško omrežje, naprave za omreženje, navidezno zasebno omrežje, konfiguriranje omrežnih naprav, varnost UDK: (043.2) Povzetek Za zdravstveno ustanovo smo pripravili predlog prenove komunikacijskega omrežja, jim ga predstavili in realizirali. V diplomski nalogi so na kratko opisane osnove komunikacijskih omrežij, stanje njihovega komunikacijskega omrežja pred prenovo ter realizacija izbranega predloga. Komunikacijsko omrežje smo realizirali z mrežno opremo proizvajalca Cisco. V prenovi smo na glavni lokaciji uporabili robni usmerjevalnik, ki hkrati služi tudi kot požarna pregrada, centralno stikalo in dostopovna stikla. Oddaljene lokacije smo z glavno lokacijo povezali preko Telekomovega MPLS VPN omrežja. Na vsaki oddaljeni lokaciji smo uporabili usmerjevalnik in stikalo. Rezultat prenove je zanesljivo, varno in obvladljivo komunikacijsko omrežje, ki zagotavlja nemoteno delo in potek vseh medicinskih procesov.

7 V MODERNIZING COMMUNICATION NETWORK Key words: computer networks, internetworking devices, virtual private network, konfiguration of network devices, security UDK: (043.2) Abstract We prepared, presented and carried out a proposal for renovation of communication network for a health institution. In my undergraduate thesis the basis of communication networks, the condition of the communication network before the renovation and the carrying out of the chosen proposal are described. We carried out the project with Cisco network equipment. On the central location of the institution, we used edge router that simultaneously serves as a firewall, network switch and access switch. We connected remote locations with the central one by using the Telekom MPLS VPN network. In this way we applied a router and a switch to every remote location. The result of the renovation is a reliable, safe and controllable communication network that is necessary for the assurance of all medical processes.

8 VI VSEBINA 1 UVOD RAČUNALNIŠKA OMREŽJA OSNOVNI GRADNIKI RAČUNALNIŠKIH OMREŽIJ PRENOSNI MEDIJI Parica Sukana parica Koaksialni kabel Optično vlakno DELITEV RAČUNALNIŠKIH OMREŽIJ Delitev glede na velikost Krajevno omrežje Prostrano omrežje Topologija omrežij ISO/OSI REFERENČNI MODEL Fizični sloj Sloj podatkovne povezave Omrežni sloj Transportni sloj Sejni sloj Predstavitveni sloj Aplikacijski sloj TCP/IP REFERENČNI MODEL Vmesniški sloj Medmrežni sloj Transportni sloj Aplikacijski sloj POVZETEK STANJA KOMUNIKACIJSKEGA OMREŽJA PRED PRENOVO PRIPRAVA REŠITVE NADGRADNJE RAČUNALNIŠKEGA OMREŽJA V ZDRAVSTVENI USTANOVI... 16

9 VII 4.1 PRVI PREDLOG PRENOVE RAČUNALNIŠKEGA OMREŽJA V ZDRAVSTVENI USTANOVI DRUGI PREDLOG NADGRADNJE RAČUNALNIŠKEGA OMREŽJA V ZDRAVSTVENI USTANOVI PREDSTAVITEV REŠITEV NADGRADNJE RAČUNALNIŠKEGA OMREŽJA ZDRAVSTVENI USTANOVI REALIZACIJA REŠITVE PRENOVE RAČUNALNIŠKEGA OMREŽJA V ZDRAVSTVENI USTANOVI REALIZACIJA REŠITVE NA GLAVNI LOKACIJI Konfiguracija jedrnega stikala Osnovna konfiguracija jedrnega stikala Konfiguriranje protokola vpetega drevesa Kvaliteta storitev (ang. Quality of Services QoS) Konfiguracija dostopovnega stikala Konfiguracija usmerjevalnika Osnovna konfiguracija usmerjevalnika Konfiguracija dostopa do interneta, MPLS VPN in lokalnega omrežja Konfiguracija VPN povezave dostop do omrežja s programom Cisco VPN Clientom Konfiguracija prevajanja naslovov (NAT PAT) Konfiguracija požarnega zidu Namestitev in delo s Cisco VPN Clientom REALIZACIJA PRENOVE RAČUNALNIŠKEGA OMREŽJA NA ODDALJENIH LOKACIJAH ZDRAVSTVENEGA DOMA Konfiguracije usmerjevalnika na oddaljenih lokacijah Konfiguracija stikala na oddaljenih lokacijah ZAKLJUČEK LITERATURA PRILOGE SEZNAM SLIK... 53

10 8.2 KRATEK ŽIVLJENJEPIS VIII

11 IX UPORABLJENE KRATICE ADSL - Asymmetric Digital Subscriber Line (asimetrični digitalni naročniški vod) AES Advanced Encryption Standard (napredni standard za šifriranje) ARP Address Resolution Protocol (protokol za razreševanje naslovov) BPDU Guard Bridge Protocol Data Unit Guard (stražar podatkovnih enot mostovnega protokola) BRI Basic Rate Interface (osnovni vmesnik) Cat5e kategorija 5e CLI - Command Line Interface (vmesnik z ukazno vrstico) CUCM Cisco Unified Call Manager (enoten skrbnik klicev Cisco) DHCP Dynamic Host Configuration Protocol (protokol za dinamično konfiguriranje računalnikov) DMZ Demilitarized Zone (demilitarizirano področje) DNS Domain Name System (sistem domenskih imen) FTP - File transfer protocol (protokol za prenos datotek) Gb/s Gigabits per second (milijarda bitov na sekundo) HTTP Hyper Text Transfer Protocol (protokol za prenos hiperteksta) ICMP Internet Control Message Protocol (protokol medmrežnega krmilnega sporočila) IEEE - Institute of Electrical and Electronics Engineers ( IGMP - Internet group management protocol (internetni protokol za upravljanje skupin)

12 X IOS Internetworking Operating System (operacijski sistem za medmrežje) IP Internet Protocol (medmrežni protokol) ISDN Integrated Services Digital Network (digitalno omrežje z integriranimi storitvami) ISL Inter-Switch Link Protocol (medstikalni povezovalni protokol) ISP Internet Service Provider (ponudnik internetnih storitev) JPEG - Joint Photographic Expert Group (rasterski slikovni format) LAN Local Area Network (lokalno omrežje) MAC Medium Access Control (nadzor dostopa do prenosnega sredstva) Mb/s Megabits per second (milijon bitov na sekundo) MPLS - multiprotocol label switching (večprotokolna komutacija z zamenjavo label) NAT Network Address Translation (prevajanje omrežnih naslovov) NFS - Network File System (omrežni datotečni sistem) NTP - Network Time Protocol (protokol omrežnega časa) OSI Open System Interconnection (medsebojno povezovanje odprtih sistemov) PAT Port Address Translation (prevajanje naslovov vrat) PoE - Power Over Ethernet (napajanje preko kabla) QoS Quality of Service (kvaliteta storitev) PVST Per VLAN Spanning Tree (protokol vpetega drevesa posameznega navideznega lokalnega omrežja)

13 XI RARP - reverse address resolution protocol (protokol povratne pretvorbe naslova) RIP - routing information protocol (protokol usmerjevalne informacije) STP Spanning Tree Protocol (protokol vpetega drevesa) SQL - Structure Query Language (strukturirani jezik za poizvedovanje) TCP - Transmission Control Protocol (Protokol za nadzor prenosa) UDP - user datagram protocol (uporabniški datagramski protokol) UTP - Unshielded Twisted Pair (neoklopljen prepleteni par) VLAN Virtual Local Area Network (navidezno lokalno omrežje) VPN Virtual Private Network (Navidezno zasebno omrežje) VTP VLAN Trunking Protocol (protokol snopljenja pri VLAN-ih) WAN Wide Area Network (prostrano omrežje)

14 XII

15 Prenova komunikacijskega omrežja Stran 1 1 UVOD Stabilna, zanesljiva in odzivna IT infrastruktura je danes tudi v medicini ključnega pomena za zagotovitev nemotenega poslovanja in zagotovitev vseh medicinskih procesov. Uvedba preverjanja zdravstvenega zavarovanja na oddaljenem strežniku od zdravstvenih ustanov zahteva 100% delovanje celotnega računalniškega sistema. Popolno delovanje sistema je nemogoče doseči, z zanesljivo, stabilno in odzivno IT infrastrukturo pa se tem procentom lahko približamo. Komunikacijsko omrežje predstavlja enega od temeljev v celotni IT infrastrukturi, saj je delovanje IT infrastrukture kot celote v veliki meri odvisno od delovanja komunikacijskega omrežja. Omrežje v zdravstveni ustanovi, katerega posodobitev je predstavljena v tej nalogi, je postalo za nov način dela nezanesljivo in ne dovolj odzivno, zaradi česar je bil delovni proces moten ali celo v celoti prekinjen. Prenova omrežja je bila za ustanovo nujna. Skupaj z IT oddelkom zdravstvene ustanove smo naredili analizo računalniških priključkov, storitev, ki jih potrebujejo, in trend rasti uporabe osebnih računalnikov v zdravstveni ustanovi. Na podlagi te analize smo pripravili rešitev posodobitve, ki je primerna za njih.

16 Prenova komunikacijskega omrežja Stran 2 2 RAČUNALNIŠKA OMREŽJA Računalniško omrežje je skupina med seboj povezanih računalnikov z namenom, da si delijo informacije in opremo. Ti računalniki so lahko v isti sobi, isti stavbi, na različnih koncih mesta ali sveta. Računalnike povezujemo v omrežja z namenom deljenja skupnih virov (podatkovnih, procesorskih), poenotenje dela, zmanjšanja cene vzdrževanja in popravil, centralnega nadzora in administracije poslovnih aktivnosti ter poglobljenega sodelovanja med ponudniki in kupci. Gre za povezavo računalniške tehnologije (strojna oprema, operacijski sistemi, programi) in komunikacijske tehnologije (prenos - transport podatkov). 2.1 Osnovni gradniki računalniških omrežij Osnovni gradniki omrežja so: vozlišče, ponavljalnik, most, usmerjevalnik, stikalo, privzeti prehod, zvezdišče in prenosni kanal. Vozlišče je lahko končno ali vmesno. Končno vozlišče nam običajno predstavlja kar računalnik, s katerim se povezujemo v omrežje. Ta računalnik je lahko izvor ali ponor prometa. Vmesno vozlišče je stičišče dveh ali več povezav in praviloma nima priključenih računalnikov. Opravlja različne naloge, kot je usmerjanje paketov ali povezovanje različnih omrežij. Obnavljalnik, ponavljalnik, regenerator (ang. repeater) uvrščamo v OSI fizično plast. Njegova naloga je ojačevanje/ obnavljanje bitnih signalov, ki slabijo vzdolž poti. Most (ang. bridge) je naprava, ki povezuje dva ali več LAN-ov. Deluje na povezavni plasti, zato se ne ozira, kateremu omrežnemu protokolu (npr. IP ali IPX ali ) pripadajo paketi. Most poskrbi, da se okvir iz enega krajevnega omrežja prenese na drugega. Usmerjevalnik (ang. router) ima nalogo usmerjati pakete v izhodne povezave proti cilju. Uvrščamo ga v OSI omrežno plast. Usmerjevalnik pregleda paket, po naslovu ugotovi, kam je namenjen, in ga usmeri na ustrezni vmesnik (pošlje v ustrezno smer). Usmerjanje je lahko statično, kjer poti v usmerjevalno tabelo zapiše administrator omrežja, ali dinamično, kadar se poti spreminjajo dinamično z usmerjevalnimi protokoli (poti se prilagajajo

17 Prenova komunikacijskega omrežja Stran 3 trenutnemu stanju v omrežju). Obstajajo različni usmerjevalni algoritmi. Najpogostejša med njimi sta Bellman-Ford in Dykstra. Stikalo, preklopnik (ang. switch) izvaja komutacijo paketov v OSI plasti 2, v novejših različicah pa tudi v OSI plasti 3. Komutacija se izvaja z veliko hitrostjo. Privzeti prehod (ang. gateway), je naprava, ki povezuje med seboj različna omrežja. V praksi je to usmerjevalnik. Pakete, katerih cilj je izven izvornega omrežja, privzeti prehod usmeri v drugo omrežje. Po potrebi zagotovi ustrezno prevajanje iz enega protokola v drugega ter s tem omogoča razumevanje med nekompatibilnimi omrežji. Tako nastanejo medomrežja. Zvezdišče (angl. hub) je najpreprostejša večvhodna omrežna naprava, ki je pravzaprav večvhodni ponavljalnik (ang. multiport repeater). Običajno je ta naprava najbliže končnim odjemalcem (PC, IP telefoni, ). Prenosni kanal predstavlja fizično ali logično povezavo med dvema vozliščema. Fizično je to lahko bakrena parica, optični kabel, zrak, logično pa npr. eden multipleksiranih kanalov na eni fizični povezavi. Glavne lastnosti, po katerih ločimo prenosne kanale, so: Način komunikacije: popolno dvosmeren (ang. full duplex), polovično dvosmeren (ang. half duplex), enosmeren (ang. simplex). Način prenosa: zaporedni (serijski) kanal, po katerem pošiljamo bit za bitom, in vzporedni (paralelni) kanal, ki omogoča prenos več bitov hkrati (8, 16, 32 ). Način sinhronizacije: asinhroni ali sinhroni kanal. Tehnologija prenosa: dvotočkovni, skupinski kanal. 2.2 Prenosni mediji Parica Parica ali žični par ima dve ali več vzporednih izoliranih bakrenih žic. Je najpreprostejši medij za prenos informacij. Parica je primerna za prenosne hitrosti do 19,2kbit/s na razdalji 20m. Primer parice prikazuje Slika 2-1.

18 Prenova komunikacijskega omrežja Stran 4 Slika 2-1: Parica Sukana parica Sukana parica (ang. twisted pair) je sestavljena iz dveh ali več prepletenih bakrenih žic, ki so izolirane in medsebojno prepletene. Poznamo več različic sukanih paric, najpogostejše med njimi so: neoklopljena parica (ang. unshielded twisted pair UTP), s folijo oviti prepleteni kabli (ang. foiled twisted pair FTP) in oklopljena parica (ang. shielded twisted pair STP). Več prepletenih parnih žic je pogosto medsebojno prepletenih v kabel. Število paric v kablu je različno. V računalniških omrežjih se večinoma uporabljajo kabli s štirimi paricami. Hitrost prenosa po sukani parici je odvisna od razdalje, po njih pa se lahko prenašajo tako digitalni kot tudi analogni signali. Zaradi nizke cene so zelo priljubljen medij, še zlasti v lokalnih omrežjih. Sukano parico prikazuje Slika 2-2. Slika 2-2: Sukana parica Koaksialni kabel Koaksialni kabel tvori vodnik v sredini, obdan z izolatorjem ali dielektrikom, ovit z bakrenim trakom ali oklopom in končno z zunanjo gumijasto ali plastično zaščitno prevleko. Tračni oklep je dobra zaščita pred zunanjimi motilnimi izvori, hkrati pa omeji elektromagnetno polje koncentričnega vodnika na prostor med notranjim in zunanjim oklopom. Koaksialni kabel ima veliko pasovno širino (1 GHz), zato lahko prenašamo signale večjih frekvenc kot po prepletenem paru žic. Je pa dražji in zahtevnejši za inštalacijo. Zgradbo koaksialnega kabla prikazuje Slika 2-3.

19 Prenova komunikacijskega omrežja Stran 5 Slika 2-3: Zgradba koaksialnega kabla Optično vlakno Optična vlakna so dielektrične strukture, ki omogočajo vodenje svetlobe na velike razdalje z majhnimi izgubami. Vlakna se med seboj razlikujejo po premeru jedra in seveda njihovi sestavi. Tista z manjšim premerom imenujemo enorodovna vlakna, večji premer jedra pa imajo mnogorodovna vlakna. V enorodovnem vlaknu se širi svetloba le na en način, v obliki enega snopa, t.i. rodu, medtem ko se pri mnogorodovnem vlaknu širi na več neodvisnih načinov v več rodovih, kar pa lahko povzroči problem medrodovne disperzije. Disperzija se pojavlja tudi v enorodovnem vlaknu, a v drugačni obliki. Optično vlakno deluje na principu popolnega odboja svetlobnih žarkov. Da bi dobili optični kabel, uporabimo isto vrsto stekla po vsej dolžini kabla za jedro, okoli stekla pa je odbojna prevleka, ki pogojuje lom svetlobe. Podatki po optičnem vlaknu potujejo s približno hitrostjo svetlobe v vakuumu ( km/s). Slika 2-4 prikazuje primer optičnega vlakna. Slika 2-4: Zgradba optičnega vlakna

20 Prenova komunikacijskega omrežja Stran Delitev računalniških omrežij Omrežja lahko delimo po več kriterijih. Za ločevanje je pomembna tehnologija prenosa, velikost omrežja in topologija. V splošnem jih razčlenimo v krajevna (LAN) in prostrana (WAN) omrežja Delitev glede na velikost Omrežje delimo glede na velikost v grobem na tri dele, kot prikazuje Slika 2-5. Slika 2-5: Delitev omrežja glede na njegovo velikost Krajevno omrežje Je manjše omrežje, ki se nahaja v sobi, stavbi, okolišu do nekaj kilometrov, kar omogoča majhne zakasnitve. Hitrosti dosegajo 10 do 1000 Mbps. Značilna tehnologija sloni na skupnem prenosnem kanalu v obliki vodila z decentralizirano kontrolo dostopa do kanala. To tehnologijo je v prakso prenesel Ethernet, ki ga je danes že v veliki večini zamenjal desetkrat hitrejši FastEthernet. Pri IBM-ovi različici krajevnega omrežja Token Ring, ki sloni na standardu IEEE 802.5, pa je uporabljena topologija obroča in hitrosti 4 ali 16 Mbps. Oba primera prikazuje spodnja skica.

21 Prenova komunikacijskega omrežja Stran 7 Slika 2-6: Topologiji krajevnega omrežja Prostrano omrežje Geografsko obsega veliko območje, na primer državo ali kontinent. Sestavljeno je iz več krajevnih omrežij ali posameznih računalnikov, imenovanih gostitelji (ang. hosts), ki so namenjeni izvajanju aplikacij. Značilna lastnost širokih omrežij je komunikacijsko povezovalno omrežje, ki predstavlja hrbtenico (ang. backbone) in povezuje krajevna omrežja in gostitelje med seboj. Podomrežje obsega le linije in preklopne elemente, ki so specializirani računalniki za usmerjanje paketov od izvora do ponora. Značilno podobo širokega omrežja prikazuje Slika 2-7. Slika 2-7: Prostrano omrežje (WAN) Topologija omrežij Po definiciji je topologija omrežja struktura povezav vseh parov vozlišč, med katerimi obstaja neposredna fizična povezava. Topologija nam govori o razmestitvi vozlišč in povezav med njimi. Povezave med glavnimi vozlišči omrežja imenujemo tudi hrbtenica omrežja. Med vozlišča običajno ne štejemo končnih računalnikov (čeprav ga lahko tretiramo kot končno vozlišče), ki jih ločimo od vozlišč predvsem po tem, da vozlišča ne generirajo uporabniškega prometa, ampak ga samo posredujejo. Različne topologije omrežij prikazuje Slika 2-8, opisi nekaterih topologij in njihove značilnosti pa so podane spodaj:

22 Prenova komunikacijskega omrežja Stran 8 Zvezda Topologija ima le eno vozlišče, na katero so priključeni vsi računalniki. Je zelo enostavna, zato pa zelo ranljiva. Število priključkov na vozlišče je omejeno s številom priključnih mest na aktivni opremi. Obroč Vozlišča so razporejena po obroču. Je manj ranljiva kot zvezdna topologija, saj obstajajata dve možni poti med vozlišči. Drevo Zagotavlja povezovanje večjega števila vozlišč na različnih nivojih, še vedno pa ohranja enostavno usmerjanje. Primer take topologije predstavlja telefonsko omrežje. Zankasta topologija (ang. mesh) V tej topologiji je vsako vozlišče direktno povezano z vsakim drugim vozliščem. Je zelo zanesljivo. Število povezav narašča s kvadratom števila vozlišč, zato je topologija kompleksna in draga. Slika 2-8: Primeri topologij omrežja 2.4 ISO/OSI referenčni model ISO/OSI referenčni model (ang. International Standards Organization Open System Interconnection Reference Model) je referenčni model, ki je bil razvit leta 1981 in je namenjen združevanju sistemov oz. komunikaciji med sistemi, ki so odprti in tako medsebojno združljivi. Izdelan je bil z namenom medsebojne povezave med sistemi, ki imajo različno opremo, pod enotnimi standardi. OSI referenčni model sestavlja sedem slojev. Delovanje vsake plasti določa natančno definiran protokol, to je množica pravil. Ta skrbi za izmenjavo sporočil z uporabnikovimi podatki in dodanimi krmilnimi informacijami s korespondenco, to je enakoležno plastjo v drugem (oddaljenem) sistemu.

23 Prenova komunikacijskega omrežja Stran 9 Spodnji štirje sloji zagotavljajo prenos podatkov. Zgornji štirje sloji pa zagotavljajo podporo uporabniškim aplikacijam in so običajno izvedeni s programsko opremo. Sloje OSI modela nam prikazuje spodnja Slika 2-9. Slika 2-9: ISO/OSI referenčni model Fizični sloj Fizični sloj je najnižji sloj v referenčnem modelu. Višjim slojem nudi fizične povezave preko prenosnega medija. Podatki v fizični obliki se lahko prenašajo na več različnih načinov (preko radijskih valov, električnih signalov, optičnih signalov). Sloj zajema tudi različne tipe vmesnikov/ konektorjev in povezovalnih kablov, zato moramo pri načrtovanju omrežja upoštevati mehanske, električne ter ostale lastnosti prenosnega medija Sloj podatkovne povezave Ta sloj zagotavlja varno in transparentno izmenjavo podatkov med partnerjema, ki komunicirata preko iste fizične plasti. Ta sloj skrbi za odkrivanje in popravljanje napak, kontrolo pretoka podatkov ter razvrščanje okvirjev v pravilna zaporedja. Tipični protokoli, uporabljeni v tem sloju, so: Serial Line Internet Protocol (SLIP) Protokol se uporablja za serijsko povezavo dveh točk.

24 Prenova komunikacijskega omrežja Stran 10 Point-to-Point Protocol (PPP) Protokol se razlikuje od SLIP-a v tem, da podpira več protokolov Omrežni sloj Skrbi za usmerjanje in prenos paketov skozi omrežje. Izvajanje usmerjevalnih algoritmov v vozliščih poteka na podlagi usmerjevalnih tabel. Poskrbeti mora za preprečevanje in odpravljanje zasičenja omrežja (ang. congestion control). Sloj se ukvarja tudi z naslavljanjem računalnikov. Tipični protokoli, ki se uporabljajo v tem sloju, so: Internetni Protokol (IP) Določa storitev v smislu dobrega namena za povezane računalnike, ki tvorijo omrežje. Računalnik v omrežju ima unikaten IP naslov. Poleg podatkov vsebuje paket še izvorni in ponorni IP naslov. Usmerjanje poteka na podlagi IP naslovov. Internet Control Message Protocol (ICMP) - se uporablja, kot že ime pove, za pošiljanje nadzornih sporočil in sporočil o stanju omrežja. Pakete ICMP razlikujemo po tipu sporočila, ki ga nosijo: zahteva, odgovor na zahtevo, statusna informacija in vrsta napake. Routing Information Protocol (RIP) Je usmerjevalni protokol na osnovi vektorja razdalje (ang. Distance vector). Protokol pošilja posodobitve v določenih časovnih obdobjih ter ob zaznavi spremembe mrežnega statusa. RIP izbere pot, ki ima najmanj skokov med izvornim in ponornim naslovom. Address Resolution Protocol (ARP) Protokol, ki logične (IP) naslove preslika v fizične (MAC- Media Access Control) naslove. Reverse Address Resolution Protocol (RARP) Protokol, ki poskrbi, da računalnik v lokalnem omrežju pridobi želen IP naslov na osnovi MAC adrese Transportni sloj Transportni sloj omogoča vzpostavitev logične povezave dveh komunikacijskih partnerjev, ki obsega izgradnjo, nadzor in porušitev njihove povezave. Tu se izvaja tudi krmiljenje pretoka (ang. Flow control). Tipična protokola, uporabljena v tem sloju, sta:

25 Prenova komunikacijskega omrežja Stran 11 Transmission Control Protocol (TCP) Je povezovalno orientiran protokol, ki ga uporabljajo aplikacije v paketnih računalniških omrežjih, ki potrebujejo zanesljiv prenos in pravilen vrstni red dostave. User Datagram Protocol (UDP) Nezanesljiv protokol, ki temelji na dostavi z najboljšim namenom. Ne omogoča popravljanja napak. Uporabljajo ga aplikacije, ki so časovno zahtevne, kot so audio in video aplikacije Sejni sloj Sejni sloj določa način, organizacijo in sinhronizacijo povezave med dvema računalnikoma. Komunikacija je lahko popolno dvosmerna, polovično dvosmerna ali enosmerna (ang. full-duplex, half-duplex, simplex). Tipični protokoli, uporabljeni v tem sloju so: Structured Query Language (SQL) - To je strukturirani povpraševalni jezik za delo s podatkovnimi bazami. Zone Information Protocol (ZIP) To je AppleTalk protokol, ki skrbi za razmerja med omrežnimi številkami in številkami con. Network File System (NFS) Omogoča dostop do podatkov preko omrežja Predstavitveni sloj Ta sloj se ukvarja predvsem s sintakso in semantiko informacij, ki jih prenašamo. Skrbi za združljivost podatkov, ki se prenašajo med različnimi računalniškimi okolji, ki si znake predstavljajo na različne načine (npr. kodiranje podatkov na podlagi ASCII ali Unicode ali IA5). Pomembna naloga je zaščita podatkov. Tipični protokoli oz. predstavitveni formati so: Joint Photographic Expert Group (JPEG) - Je rastrski slikovni format. Definiran je v YCbCr barvnem prostoru. V nasprotju z GIF-formatom, ki uporablja brezizgubno kompresijo, JPEG (lahko) uporablja izgubno kompresijo, kar pomeni, da s kompresijo določene informacije v sliki izgubimo. Če s stopnjo kompresije ne pretiravamo, razlika med originalno in kompresirano sliko ni opazna. JPEG-format bitno sliko najprej pretvori v frekvenčni prostor s pomočjo kosinusove transformacije (DCT II). Sama kompresija slike je lahko narejena na več načinov:

26 Prenova komunikacijskega omrežja Stran 12 rezanje višje-frekvenčnih komponent, zmanjševanje barvnih komponent (downsampling), kodiranje po metodi ponavljajočih vrednosti (Run Length Encoding), kodiranje po Huffmanu. [6]. Hypertext Transfer Protocol (HTTP) Je glavni protokol prenosa informacij na spletu. Protokol je v osnovi namenjen objavljanju in prejemanju HTML strani. Motion Picture Expert Group (MPEG) Standardni format za zgoščevanje gibajočega videa Aplikacijski sloj Aplikacijski sloj je vmesnik med uporabnikom in komunikacijskim omrežjem. Določa protokole, ki omočajo elektronsko pošto, izdelavo predstavitvenih strani, prenašanje datotek in podobno. Skladno z razvojem OSI modela so se razvijale tudi aplikacije OSI. Tipični protokoli, uporabljeni v tem sloju, so: File Transfer Protocol (FTP) - FTP je 8-bitni protokol vrste strežnik-odjemnik in lahko prenaša datoteke brez dodatne obdelave. Zahtevan je tudi prijavni postopek. Trivial File Transfer Protocol (TFTP) Je okrnjena verzija FTP-ja. Ne podpira avtentifikacije ter dostopa do map. Simple Mail Transfer Protocol (SMTP) - Preprost protokol za prenos pošte omogoča prenos sporočil med različnimi sistemi za elektronsko pošiljanje. Simple Network Management Protocol (SNMP) Protokol za detekcijo in upravljanje napak v omrežju. Domain Name Service (DNS) Sistem domenskih imen, kateri pretvarja gostiteljska imena v IP naslove. 2.5 TCP/IP referenčni model Model je dobil ime po dveh poglavitnih protokolih, ki jih uporablja. Model je tipa 'de facto', kar pomeni, da se je najprej uveljavil v praksi, šele potem so bili sprejeti standardi. Model ima le štiri sloje, ki jih prikazuje Slika 2-10.

27 Prenova komunikacijskega omrežja Stran 13 Slika 2-10: TCP/IP referenčni model Opazimo lahko, da nekatera imena slojev sovpadajo z imeni OSI referenčnega modela, vendar se njihove funkcije razlikujejo Vmesniški sloj Ta sloj je precej ohlapen glede priporočil, saj ne zahteva ničesar drugega kot to, da je računalnike nekako potrebno priključiti na omrežje, tako da bodo lahko prejemali in pošiljali IP pakete Medmrežni sloj Je najpomembnejša plast celotne TCP/IP arhitekture. Računalnikom je potrebno omogočiti, da pošiljajo pakete na katerokoli destinacijo v omrežju. Paketi potujejo neodvisno eden od drugega, lahko po različnih poteh, kar lahko povroči zamešani vrstni red paketov, kar urejajo višje plasti. Sloj določa format paketov in protokol IP (Internet protokol). Glavna naloga plasti je torej usmerjanje paketov proti cilju in preprečevanje zasičenja omrežja. Po funkcionalnosti je plast podobna OSI omrežnemu sloju Transportni sloj Plast omogoča podobno kot OSI transportna plast komunikacijo med procesoma na obeh končnih računalnikih, izvornem in ponornem. Za to se uporabljata dva protokola: TCP in UDP Aplikacijski sloj TCP/IP model nima sejne in predstavitvene plasti, ker sta se izkazali za nepotrebni. Aplikacijska plast tako leži nad transportno in vsebuje vse visokonivojske protokole. Nekateri od najpomembnejših protokolov na tej plasti so: TELNET, FTP, SMTP, DNS, NNTP, HTTP, SNMP in drugi.

28 Prenova komunikacijskega omrežja Stran 14 3 POVZETEK STANJA KOMUNIKACIJSKEGA OMREŽJA PRED PRENOVO Prenovo računalniškega omrežja je naročil zdravstveni zavod, ki ga iz varnostnih razlogov in zaščite podatkov ne bomo imenovali. Zavod je organiziran tako, da ima eno glavno lokacijo in osem oddaljenih lokacij: zdravstvene domove, zobne ambulante in zavod za oskrbo ljudi s posebnimi potrebami. Na glavni lokaciji zdravstveni zavod zaposluje 70 ljudi, od tega 20 zdravnikov, 40 medicinskih delavcev in 10 administrativnih delavcev. Na oddaljenih lokacijah pa je zaposleno različno število delavcev, ki je odvisno od velikosti lokacije in znaša med dva in 30 zaposlenih. Lokalno omrežje na glavni lokaciji zavoda ima položene kable kategorije 5e (cat. 5e). Glavno lokacijo sestavljata dve zgradbi, ki sta med seboj povezani z optičnim vodom s hitrostjo 10 Mb/s. Računalnike na glavni lokaciji povezuje pet enostavnejših štiriindvajset vratnih 100-Mb/s stikal v zgradbi, kjer se nahaja sistemski prostor, in tri štiriindvajset vratna stikala v drugi zgradbi. Aktivno optično povezavo med zgradbama zagotavljata 10/10-Mb/s optična pretvornika. Dostop do interneta je zagotovljen z usmerjevalnikom preko ponudnika internetnih storitev (ang. Internet Service Provider - ISP) s hitrostjo osnovnega priključka ADSL (ang. Asymetric Digital Subscriber Line). Lokalno omrežje na oddaljenih lokacijah je izvedeno s kabliranjem cat5e. V zobnih ambulantah in zavodu za oskrbo ljudi s posebnimi potrebami povezuje računalnike v računalniško omrežje osem vratno stikalo, v zdravstvenih domovih pa 24 vratna enostavna stikala hitrosti 100 Mb/s. Dostop do interneta na teh lokacijah je izveden z usmerjevalnikom preko ponudnika internetnih storitev (ang. Internet Service Provider, ISP) s hitrostjo osnovnega priključka ADSL (ang. Asymmetric Digital Subscriber Line) ali v primeru zobnih ambulant z modemsko povezavo preko digitalnega omrežja z integriranimi storitvami (ang. Integrated Services Digital Network, ISDN). Shema uporabno delujočega računalniškega omrežja Zdravstvene ustanove je prikazana na slikah Slika 3-1 in Slika 3-2.

29 Prenova komunikacijskega omrežja Stran 15 Slika 3-1: Shema računalniškega omrežja na centralni lokaciji Slika 3-2: Shema računalniškega omrežja na oddaljenih lokacijah

30 Prenova komunikacijskega omrežja Stran 16 4 PRIPRAVA REŠITVE NADGRADNJE RAČUNALNIŠKEGA OMREŽJA V ZDRAVSTVENI USTANOVI Nadgradnja računalniškega omrežja v Zdravstveni ustanovi mora ustrezati vsem ciljem organizacije, tako organizacijskim kot tehničnim, in pri tem upoštevati dane omejitve in načrtovan razvoj podjetja v prihodnje. Na področju tehničnih ciljev si ustanova želi imeti čimbolj prilagodljivo in varno omrežje, kar je odvisno od razpoložljive opreme in zmožnosti za nadgradnjo. Na centralni lokaciji se v sklopu nadgradnje računalniškega omrežja predvideva kompletna zamenjava aktivne omrežne opreme. V novem računalniškem omrežju se predvideva uporaba tehnologije navideznih lokalnih omrežij (ang. Virtual Local Area Network, VLAN), tako da se lahko omeji dostopnost posameznih računalnikov in računalniških skupin do posameznih virov in podatkov v omrežju. V ta namen se načrtuje zamenjava obstoječih enostavnih štiriindvajset vratnih stikal z novimi, ki podpirajo tehnologijo navideznih lokalnih omrežij. Tehnologija navideznih lokalnih omrežij zahteva tudi napravo s funkcijo usmerjanja, da lahko računalniki iz različnih navideznih lokalnih omrežij komunicirajo med sabo. Da lahko zagotovimo slednje, se predvideva dodatno stikalo, ki podpira tehnologijo navideznih lokalnih omrežij in usmerjanja ter zmožnost hitrejšega preklapljanja, in sicer do 1 Gb/s. Predvidena je tudi uporaba demilitarizirane cone (ang. demilitarized zone - DMZ), ki je ločena od lokalnega omrežja in v kateri se bosta nahajala poštni in internetni strežnik. Za dostop do interneta je predvidena optična povezava do ponudnika internetnih storitev. Oddaljenim lokacijam se zagotovi varna povezava do centralne lokacije preko Telekomovega MPLS VPN omrežja (ang. Multi-protocol Label Switching), ki skrbi za prenos paketov med lokacijami. Prav tako se oddaljenim lokacijam zagotovi dostop do interneta preko glavne lokacije. Predvideli smo zamenjavo obstoječe aktivne omrežne opreme. Dostop do interneta je izveden z uporabo tehnologije prevajanja omrežnih naslovov: več v več (ang. NAT Network Address Translation many to many) oziroma prevajanje naslovov vrat: več v ena (ang. PAT Port Address Translation - many to one). Shemo nadgradnje lokalnega omrežja prikazuje Slika 4-1.

31 Prenova komunikacijskega omrežja Stran 17 Slika 4-1: Shema prenove LAN 4.1 Prvi predlog prenove računalniškega omrežja v zdravstveni ustanovi V prvem predlogu nadgradnje računalniškega omrežja v zdravstveni ustanovi smo predvideli popolno nadgradnjo oziroma zamenjavo obstoječe omrežne opreme, tako na strani centralne lokacije kot na strani oddaljenih lokacij. Na centralni lokaciji smo predvideli nadgradnjo lokalnega računalniškega omrežja z zamenjavo obstoječih stikal ter nadgradnjo dostopa do interneta z dogradnjo usmerjevalnika, ki služi tudi kot požarna pregrada. Predvideli smo zamenjavo tehnologije dostopa do interneta z ADSL na optični vod z direktnim ethernet dostopom. Pet obstoječih enostavnih štiriindvajset vratnih stikal bomo zamenjali s štirimi stikali Cisco Catalyst WS-C PC-L. Dodatno se predvidi stikalo Cisco Catalyst 3560G-24TS, ki ponuja štiriindvajset gigabitnih povezav in možnost usmerjanja prometa v lokalnem računalniškem omrežju. Potreba po funkciji usmerjanja se pojavi zaradi uvedbe navideznih lokalnih omrežij, ki ponujajo možnost ločitve posameznih oddelkov v smislu dostopov do različnih virov podatkov računalniškega omrežja zdravstvene ustanove na centralni lokaciji. Prav tako na centralni lokaciji predvidevamo nadgradnjo povezave do druge zgradbe s trenutne deset megabitne na sto megabitno povezavo, kar pomeni zamenjavo trenutnih optičnih prilagodilnikov in stikal na strani obeh zgradb. Optični pretvorniki se

32 Prenova komunikacijskega omrežja Stran 18 zamenjajo s SFP moduli (ang. SFP Small Form-Factor Pluggable ), katere se vtakne direktno v stikalo. Tri enostavna stikala pa se nadomestijo s tremi Cisco Catalyst WS- C PC stikali. Vsa dostopovna stikala so tipa PoE (ang. PoE Power over Ethernet), saj zdravstvena ustanova v kratkem predvideva prehod na IP telefonijo. Za dostop do interneta smo predvideli Cisco usmerjevalnik 2821, ki poleg funkcionalnosti usmerjanja ponuja tudi možnost požarne pregrade. Robni usmerjevalnik je povezan s ponudnikom internetnih storitev, ki ima različen javni naslovni prostor. Slika 4-2 prikazuje povezavo usmerjevalnika z omrežjem. Slika 4-2: Shema LAN na centralni lokaciji Oddaljene lokacije se bodo z glavno povezale preko Telekomovega omrežja MPLS VPN. Oddaljene lokacije bodo dostopale do interneta preko glavne lokacije. Obstoječa enostavna stikala se bodo zamenjala s štiriindvajset vratnimi Cisco Catalyst WS-C PC-L v centrali in oddaljenih zdravstvenih domovih in z osem vratnimi Cisco Catalyst WS-C2960-8PC-L v oddaljenih zobnih ambulantah. Stikala na vseh oddaljenih lokacijah so PoE, saj se tudi tukaj predvideva uvedba IP telefonije. V nadgradnjo omrežja smo zajeli tudi usmerjevalnike na oddaljenih lokacijah. Za oddaljene lokacije smo predvideli usmerjevalnik Cisco 871, kateri ponuja možnost vzpostavitve desetih navideznih zasebnih omrežji oziroma povezav in dvajset uporabnikov internetnih storitev. Poleg tega ponuja

33 Prenova komunikacijskega omrežja Stran 19 Cisco 871 še veliko dodatnih funkcionalnosti [11]. Shemo prostranega omrežja (ang. Wide Area Network, WAN) prikazuje Slika 4-3. Slika 4-3: Shema WAN omrežja Omrežje je zasnovano, tako da omogoča uvedbo IP telefonije, ki ponuja predvsem zniževanje klicnih stroškov v tujino in internih klicev med oddaljenimi lokacijami. IP telefonijo namerava izvesti Telekom, tako da dodaten govorni prehod (ang. Voice gateway) ni potreben. Ker zdravstvena ustanova uporablja storitev branja podatkov zdravstvenih kartic na oddaljenem strežniku, je tu zanesljivost delovanja ključnega pomena. V ta namen se predvideva sklenitev dodatne Cisco garancije Smartnet, katera skrbi za zamenjavo okvarjene opreme v roku štirih ur po prijavi napake. Možne so različne vrste Smartnet garancij [12]. 4.2 Drugi predlog nadgradnje računalniškega omrežja v zdravstveni ustanovi V drugem predlogu nadgradnje računalniškega omrežja zdravstvene ustanove smo predvideli zamenjavo obstoječe opreme s cenejšimi in manj zmogljivimi omrežnimi komponentami proizvajalca Cisco. Za cenejše in manj zmogljive omrežne komponente

34 Prenova komunikacijskega omrežja Stran 20 smo se odločili tako na glavni lokaciji kot tudi na oddaljenih lokacijah. Kot v prvem predlogu smo tudi tukaj na centralni lokaciji predvideli zamenjavo obstoječih enostavnih stikal, predvideli smo 100 Mb/s optično povezavo do lokacije 2 ter prehod z ADSL-ja na optični vod z Ethernetom za dostop do interneta. Na glavni lokaciji smo predlagali stikala Cisco CE500-24PC in stikalo 2960G-24TC-L kot centralno. To stikalo ne omogoča usmerjanje prometa v lokalnem omrežju (izgubili smo funkcionalnost usmerjanja med VLAN-i na stikalu). Tudi v tem predlogu smo predvideli nadgradnja optične povezave do stavbe 2. Predvidena hitrost povezave med lokacijama je 100 Mb/s. Tudi v tem predlogu se optični prilagodilniki zamenjajo s SFP (ang. Small Form-Factor Pluggable). Za dostop do interneta smo predlagali isto rešitev kot v prvem prelogu. Shemo LAN omrežja na centralni lokaciji prikazuje Slika 4-4. Slika 4-4: Shema LAN na centralni lokaciji Povezave oddaljenih lokacij z glavno lokacijo tudi v tem primeru ostajajo nespremenjene in se bodo izvedle preko Telekomovega omrežja MPLS VPN. Oddaljene lokacije bodo dostopale do interneta preko glavne lokacije. Obstoječa enostavna stikala se bodo zamenjala s štiriindvajset vratnimi stikali Cisco WS-CE500-24PC v dislociranih

35 Prenova komunikacijskega omrežja Stran 21 zdravstvenih domovih in z osem vratnimi stikali Cisco Catalyst Express 520-8PC na manjših oddaljenih lokacijah. Na vseh oddaljenih lokacijah so stikala PoE, saj se tudi tukaj predvideva uvedba IP telefonije. V nadgradnjo omrežja smo zajeli tudi usmerjevalnike za oddaljene lokacije, ki ostajajo isti kot v prvem predlogu. Shemo prostranega omrežja WAN (ang. Wide Area Network) prikazuje Slika 4-5. Slika 4-5: WAN shema omrežja Tudi v tem predlogu se predvideva sklenitev dodatne Cisco garancije Smartnet. 4.3 Predstavitev rešitev nadgradnje računalniškega omrežja zdravstveni ustanovi Zdravstveni ustanovi smo predstavili oba predloga prenove omrežja. Po tehnični plati je prvi predlog boljši, saj omogoča enostavno delitev omrežja na VLAN-e in usmerjanje med njimi. Uvedba VLAN-ov razdeli omrežje na več logičnih omrežij, mi pa lahko glede na naše potrebe določimo, kateri VLAN-i bodo lahko komunicirali med sabo. Poleg tega stikala, ki so uporabljena v prvem predlogu, omogočajo več funkcij. Na njih lahko nastavimo funkcijo CiscoCall Home, tako nam stikalo v primeru napake ali opozorila le to posreduje na elektronsko pošto. Nastavimo lahko tudi protokol snopljenja pri VLAN-ih (ang. VLAN Trunking Protocol, VTP), s pomočjo katerega lahko upravljamo VLAN-e centralno s stikala, ki je nastavljeno kot VTP strežnik. Omrežje je s temi funkcionalnostmi

36 Prenova komunikacijskega omrežja Stran 22 lažje obvladljivo. Zdravstveni ustanovi smo sugerirali, da je ta rešitev zanje najprimernejša, saj omogoča enostavno širjenje omrežja, administratorju pa olajša delo pri upravljanju omrežja. Poleg tega poveča storilnost zaposlenih z večjo dosegljivostjo časovno občutljivih podatkov. Glede na to, da je omrežje zdravstvene ustanove relativno majhno in da je drugi predlog z investicijskega vidika za ustanovo ugodnejši, se je zdravstvena ustanova zanj tudi odločila.. V nadaljevanju je podan natančen opis izvedbe predloga v praksi.

37 Prenova komunikacijskega omrežja Stran 23 5 REALIZACIJA REŠITVE PRENOVE RAČUNALNIŠKEGA OMREŽJA V ZDRAVSTVENI USTANOVI Naročnik, zdravstvena ustanova, se je odločila za drugi predlog prenove omrežja, v katerem smo predvideli uporabo cenejše omrežne opreme. Obstoječe usmerjevalnike na oddaljenih lokacijah smo zamenjali z novimi, bolj zmogljivimi, in jih ustrezno konfigurirali: dostop do MPLS VPN omrežja, storitev za dinamično konfiguriranje računalnikov (ang. Dynamic Host Configuration Protocol, DHCP) ter omejitev dostopa do usmerjevalnika. Na usmerjevalnikih ni potrebno konfigurirati navideznega zasebnega omrežja, saj je za varen prenos in pretok informacij med glavno in oddaljenimi lokacijami poskrbljeno na nivoju MPLS VPN omrežja. Na stikalih je bilo potrebno konfigurirati IP naslov, ime stikala, protokol vpetega drevesa (angl. Spanning tree protocol) in pravila logičnih vrat (ang. Smart Port rule). Na centralni lokaciji se je prav tako zamenjala celotna omrežna oprema, tako smo zamenjali robni usmerjevalnik, ki hkrati služi tudi kot požarna pregrada, v obeh stavbah smo zamenjali tudi vsa stikala. Na usmerjevalniku je potrebno konfigurirati dostop do interneta preko optičnega voda z ethernetom, dostop do MPLS VPN omrežja, požarno pregrado, VPN povezavo v omrežje s pomočjo programa Cisco VPN Client, prevajanje omrežnih naslovov oziroma vrat in statične poti do oddaljenih lokacij. Stara enostavna stikala smo zamenjali z novimi, ki ponujajo dodatne funkcionalnosti. Dodali smo jedrno stikalo, na katerem smo nastavili omejitev dostopa do stikala, vrata, ki so v načinu snopljenja, protokol vpetega drevesa, kakovost storitev in obveščanje o napakah. Naslove lokalnih omrežij smo razdelili, tako da je vsaka lokacija (tudi glavna) dobila naslov v bloku /16. Ta blok omrežnih naslovov smo dalje delili po poslovalnicah na način, da je vsaka poslovalnica dobila naslov lokalnega omrežja s 24- bitno masko ( ), in sicer tako da se je za vsako poslovalnico spremenil naslov lokalnega omrežja v tretjem oktetu naslova omrežja, z začetno adreso 32. Omrežja si sledijo po naslednjem zaporedju: /24, /24, /24, /24, /24, /24, /24, /24, /24, kar je razvidno tudi iz Slika 5-1, kjer je kot primer navedena naslovna shema IP za glavno ter dve oddaljeni lokaciji. Naslovna shema IP preostalih oddaljenih

38 Prenova komunikacijskega omrežja Stran 24 poslovalnic je bila narejena po enakem postopku. S tako zasnovo dodeljevanja omrežnih naslovov imamo na razpolago 255 omrežij in za vsako od teh omrežij celotno paleto klase C IP naslovov. Slika 5-1: Shema naslovnih prostorov lokalnih omrežij na centralni in oddaljenih lokacijah 5.1 Realizacija rešitve na glavni lokaciji Pri nadgradnji računalniškega omrežja na centralni lokaciji smo uporabili sedem stikal Cisco serije Catalyst Express 500 (CE500-24PC) ter jedrno stikalo Cisco serije 2960,

39 Prenova komunikacijskega omrežja Stran 25 Catalyst 2960G-24TC-L. Stikala smo zamenjali zaradi naprednih funkcionalnosti, zanesljivosti in načrtovanega prehoda na IP telefonijo, kjer se zahteva delitev omrežja na različne VLAN-e. Prav tako omogočajo vsa dostopovna stikala napajanje preko kabla (ang. Power over Ethernet), kar zelo olajša prehod na IP telefonijo, saj telefon ne potrebuje dodatnega napajanja. Ob dogovoru z naročnikom smo omrežje razdelili le na dva navidezna lokalna omrežja. Tako smo računalnike, strežnike in omrežno opremo priključili na t.i. native VLAN (vlan 1), za IP telefonijo pa smo pripravili VLAN cisco-voice (vlan 100). VLAN-a sta med sabo popolnoma ločena in nimata medsebojnega dostopa. Navidezno lokalno omrežje Native je izvirno, prvotno lokalno omrežje, ki je nujno potrebno za delovanje navideznih lokalnih omrežij. Za pravilno delovanje navideznih lokalnih omrežij morajo imeti vse naprave enako nastavljeno navidezno lokalno omrežje Native, ki skrbi za upravljanje in preverjanje prisotnosti odjemalcev. Stikala na centralni lokaciji so med seboj povezana s snopljenjem (ang. Trunk). Snopljenje je vrsta logične povezave med stikali, ki ponuja sočasen pretok več navideznih lokalnih omrežij po eni fizični povezavi Konfiguracija jedrnega stikala Osnovna konfiguracija jedrnega stikala Stikalo Cisco serije 2960 in usmerjevalnik Cisco 2821 ter Cisco 871 ponujajo več različnih načinov za dostop do lastnega operacijskega sistema IOS (ang. Internetworking Operating System). Eden od načinov je konzolni dostop, za katerega potrebujemo zrcalni kabel (angl. Rollover cable), priložen pri vsaki napravi, programsko opremo ter fizični dostop do stikala. Vezava zrcalnega kabla je prikazana na Slika 5-2.

40 Prenova komunikacijskega omrežja Stran 26 Slika 5-2: Zrcalni kabel V tem primeru sta stikalo Cisco in računalnik povezana serijsko, konzolna vrata na stikalu Cisco so povezana s serijskimi (COM) vrati na računalniku. Za konfiguriranje naprave smo uporabili program HyperTerminal Version 5.1, ki je že nameščen v operacijskem sistemu Windows XP. Na Slika 5-3 je prikazano osnovno okno programa. Slika 5-3: Osnovno okno programa Hyper Terminal Za vzpostavitev povezave med napravo Cisco in računalnikom smo v programu HyperTerminal izbrali nastavitev name: Cisco, connect using: COM1. Nastavitve vrat prikazuje Slika 5-4. Za pravilno komunikacijo med Cisco napravo in računalnikom smo

41 Prenova komunikacijskega omrežja Stran 27 nastavili naslednje vrednosti: Bitov/s: 9600, Podatkovni biti: 8, Parnost: Brez, Zaključni biti: 1, Nadzor pretoka: Brez. Slika 5-4: Nastavitve vrat Za prvi dostop do stikala smo uporabili privzeto uporabniško ime in geslo in sicer, Username:cisco in Password:cisco. Uporabniški način stikala (ang. User mode) ne omogoča ogled in spreminjanja trenutne konfiguracije, zato z ukazom enable vstopimo v priviligiran način (ang. Priviledge mode). Vsako stikalo vsebuje privzeto konfiguracijo, ki jo z ukazom write erase izbrišemo in nato izvedemo ponovni zagon stikala z ukazom reload, kot prikazuje Slika 5-5. Slika 5-5: Brisanje privzete konfiguracije V konfiguracijskem načinu (ang.configuration mode) nastavimo osnovne parametre stikala: hostname Core-stikalo1 ime stikala,

42 Prenova komunikacijskega omrežja Stran 28 username kopa password xxxxx uporabnik in njegovo geslo, enable secret xxxxx dostop do priviligiranega načina. Nastavili smo tudi geslo za dostop do stikala preko protokola telnet in IP naslov za upravljanje stikala. Geslo za dostop do stikala preko protokola telnet smo nastavili na liniji navideznega vmesnika (line vty 0 4) z naslednjima ukazoma password xxxx in login. IP naslov za upravljanje stikala pa smo nastavili na navideznem vmesniku VLAN 1 (interface vlan1) z ukazom ip address Vrata, kamor so priključena dostopovna stikala, smo nastavili v način snopljenja (ang. Trunk mode). To smo storili tako, da smo v vmesniškem načinu (ang. Interface mode) uporabili ukaze switchport trunk encapsulation dot1q, switchport mode trunk in description Povezavava do dostopovnih stikal. Z ukazom»switchport trunk encapsulation dot1q«smo nastavili uokvirjanje po standardu IEEE 802.1q (x). Nekatera stikala proizvajalca Cisco omogočajo tudi uokvirjanje tipa ISL (ang. Inter-Switch Link), ki ga je razvil Cisco. V glavnem so to stikala višjih serij. Z ukazom»switchport mode trunk«nastavimo vrata v način snoplenja (ang. Trunk mode). Z ukazom»description«pa smo dodali vratom opis in s tem naredili konfiguracijo bolj pregledno in omrežje bolj upravljivo. Za povezavo do dostopovnih stikal smo uporabili prvih deset vrat stikala Konfiguriranje protokola vpetega drevesa Protokol vpetega drevesa (ang. Spanning Tree Protocol, STP) smo izvedli na centralnem stikalu in na dostopovnih stikalih. Konfiguracija protokola vpetega drevesa na dostopovnih stikalih Catalyst Express PC je opisana v poglavju V konfiguracijskem načinu centralnega stikala smo uporabili naslednje ukaze:»spanning-tree mode pvst«,»spanning-tree loopguard default«,»spanning-tree portfast bpufilter«. Ukaz»spanning-tree mode pvst«nam je določil, da uporabljamo protokol vpetega drevesa posameznega navideznega lokalnega omrežja (ang. Per VLAN Spanning Tree, PVST). Za vsako navidezno omrežje smo zagotovili svoj protokol vpetega drevesa. V našem primeru sta to VLAN 1 in VLAN 100, ki je namenjen IP telefoniji [4].

43 Prenova komunikacijskega omrežja Stran 29 Ukaz»spanning-tree loopguard default«poskrbi, da alternativna (ang. Alternative) ali korenska (ang. Root) vrata ne postanejo namenska (ang. Designated) v primeru napake enosmerne povezave (ang. Undirectional link) [4]. Ukaz»spanning-tree portfast bpdufilter default«, skupaj z ukazom»spanning-tree portfast«, vnesenem v vmesniškem načinu, zagotovi funkcionalnost hitrih vrat (ang. Portfast). Ta funkcionalnost se uporablja, kadar so na vrata priklopljeni strežniki ali delovne postaje, saj v tem primeru protokol vpetega drevesa preskoči faze blokiranja (ang. Blocking state), poslušanja (ang. Listening state) in učenja (ang. learning state) [4]. Vnos ukazov za konfiguracijo protokola vpetega drevesa prikazuje Slika 5-6. Slika 5-6: Konfiguracija protokola vpetega drevesa Vpisali smo tudi ukaz»errdisable recovery cause«, ki skrbi za obnovo stanja vrat stikala, in ukaz»errdisable recovery interval 90«, ki navaja časovni interval obnove vrat stikala Kvaliteta storitev (ang. Quality of Services QoS) Na stikalih smo nastavili kvaliteto storitev (ang. Quality of Services) tako, da ima promet IP telefonov prednost pred ostalim prometom. Na dostopovnih stikalih smo to naredili s pomočjo prednastavljenega pravila, ki smo ga dodelili vratom, kot je opisano kasneje. Na centralnem stikalu pa smo to naredili z ukazom»auto qos voip trust«, katerega smo vpisali v vmesniškem načinu (ang. Interface mode). To smo storili na vseh vratih, na katerih so priklopljena dostopovna stikala. Zaradi boljše odzivnosti omrežja smo na vratih, kamor so priklopljeni strežniki, vklopili funkcionalnost hitrih vrat (ang. Portfast). To storimo z ukazoma»spanning-tree portfast«in»spanning-tree bpduguard enable«, ki ju vpišemo v vmesniškem načinu. Z ukazom»spanning-tree bpduguard enable«smo vklopili stražarja podatkovnih enot mostovnega protokola (ang. Bridge Protocol Data Unit BPDU Guard). BPDU Guard skrbi, da nemudoma postavi vrata v stanje napake oz. stanje onemogočeno (ang. Error disable) [4], če na tako konfigurirana vrata priključimo npr. kakšno stikalo ali dostopovno točko.

44 Prenova komunikacijskega omrežja Stran Konfiguracija dostopovnega stikala Dostopovna stikala na centralni lokaciji so Cisco Catalyst Express PC. Stikala serije Catalyst Express so stikala novejše izdelave, ki se uporabljajo v manjših do srednje velikih podjetjih, kjer število naprav ne presega 250 [10]. Dostop do stikal te serije je izveden preko vrat 80 (http). Ta stikala tovarniško ne omogočajo ne konzolnega dostopa niti dostopa preko telnet protokola. Na teh stikalih smo nastavili IP naslov stikala, ime stikala, uporabniško ime in geslo za dostop do stikala, VLAN za IP telefonijo, vratom smo nastavili pravila naprednih vrat (ang. Smartport rule), katerih nastavitev je odvisna od priklopljene naprave, ter vratom dodali opis glede na ime naprave, ki je priklopljena nanjo. Preden smo se lotili konfiguracije, smo stikalo pritrdili v 19 palčno komunikacijsko omaro (Slika 5-7). Slika 5-7: Montaža stikala v komunikacijsko omaro Pred prvim dostopom do stikala se prepričamo, da na stikalo ni priklopljena nobena naprava. Stikalo vklopimo v električno omrežje ter počakamo, da led dioda z oznako»system«preneha utripati in zasveti. Pritisnemo na gumb SETUP, ki se nahaja v desnem spodnjem kotu, in vklopimo računalnik v vrata, katerih led indikator je začel utripati. Na zaslonu računalnika se nam prikaže okno, ki od nas zahteva osnovne nastavitve stikala (Slika 5-8).

45 Prenova komunikacijskega omrežja Stran 31 Slika 5-8: Okno ob prvi prijavi na stikalo Na stikalu smo nastavili: VLAN (default - 1), statični IP naslov , omrežno masko in privzeti prehod Nastavili smo tudi opcijske nastavitve, ki niso nujne za delovanje stikala: ime naprave (ang. Host name) ZDR-Sw1-A, sistemski datum (ang. System date), sistemsko uro (ang. System time) in časovni pas (ang. Time zone) ter vklopili varčevanje z energijo (ang. Daylight saving time). Vnose smo potrdili s klikom na potrdi (ang. Submit). Na zaslonu se nam je pokazalo sporočilo, ki nas sprašuje, če želimo nastaviti vratom stikala pravila naprednih vrat po predlogu proizvajalca. Možnost zavrnemo (ang. No thanks) in pravila vratom dodelimo sami. Slika 5-9 prikazuje priporočilo o konfiguraciji pravil naprednih vrat. Slika 5-9: Proizvajalčevo priporočilo dodelitev pravil naprednih vrat Sistem priporoča vnovičen zagon stikala, tako izberemo možnost vnovičnega zagona stikala z nastavitvami, ki smo jih predhodno vnesli. Okno za priporočen vnovičen zagon prikazuje Slika 5-10.

46 Prenova komunikacijskega omrežja Stran 32 Slika 5-10: Okno s priporočilom o vnovičnem zagonu stikala Na stikalo smo se prijavili s pomočjo spletnega brskalnika, kjer vpišemo IP naslov stikala npr. Na zaslonu se pojavi prijavno okno. Prijavimo se kot privzeti uporabnik t.j. Username: cisco Password: cisco. Slika 5-11 prikazuje prijavno okno. Slika 5-11: Prijavno okno Pokaže se nam osnovna stran, na kateri so informacije o stikalu. Osnovna stran je prikazana na Slika 5-12.

47 Prenova komunikacijskega omrežja Stran 33 Slika 5-12: Osnovna stran Dostop do stikala smo omogočili z več uporabniškimi imeni in gesli. Tako ima administrator v zdravstvenem domu svojo uporabniško ime in geslo, podjetje Kopa, d.d., kot implementator omrežja pa svoje. Do okna, kjer nastavimo uporabniška imena in gesla za dostop do stikala, pridemo tako, da izberemo Configure --> Users and Passwords iz menija za upravljanje naprave. Okno za nastavljanje uporabniških imen in gesel prikazuje Slika Slika 5-13: Okno za nastavljanje uporabniških imen in gesel

48 Prenova komunikacijskega omrežja Stran 34 Za ustvarjanje novega uporabniškega imena in gesla kliknemo ustvari (angl. Create) ter vpišemo uporabniško ime in geslo. Označimo še tovarniško nastavljeno uporabniško ime in geslo, ga zbrišemo s klikom na gumb izbriši (angl. Delete). Sedaj se lahko v stikalo prijavimo le z uporabniškimi imeni in gesli, ki smo jih ustvarili predhodno. Konfiguracijo in ustvarjanje VLAN-ov smo izvedli tako, da smo izbrali Configure --> VLANs iz menija za upravljanje naprave. Pokazalo se nam je okno s seznamom VLANov, ki so trenutno konfigurirani na napravi. VLAN smo ustvarili tako, da smo kliknili na gumb ustvari (angl. Create) ter v okno, ki se nam je odprlo, vpisali ime VLAN-a in številko VLAN-a. Sliki Slika 5-14 in Slika 5-15 prikazujeta okno za ustvarjanje VLAN-ov in okno s seznamom VLAN-ov, ki so nastavljeni na napravi. Ustvarili smo VLAN 100 in ga poimenovali Cisco-Voice, VLAN 10 in ga poimenovali SZOZK ter VLAN 101 z imenom Cisco-Guest. VLAN-a10 in 101 trenutno nista dodeljena nobenim vratom. VLAN 10 je pripravljen za medicinske naprave, VLAN 101 pa je pripravljen, če se zdravstvena ustanova odloči, da lahko obiskovalci uporabljajo njihovo omrežje. Slika 5-14: Ustvarjanje VLAN-ov

49 Prenova komunikacijskega omrežja Stran 35 Slika 5-15: Seznam ustvarjenih VLAN-ov Na stikalu smo vklopili protokol vpetega drevesa (ang. Spanning Tree Protocol STP), ki skrbi za preprečevanje zank v omrežju. Vklopili smo tudi nadziranje IGMP IGMP Snooping. IGMP Snoping je funkcija stikala, ki omogoči poslušanje IGMP (ang. Internet Group Management Protocol IGMP ) prometa med napravo in usmerjevalnikom. Ko stikalo zazna IGMP sporočilo skupine za oddajanje več prejemnikom (ang. Multicast group), ki je bilo poslano napravi, doda vrata, na katerih je naprava, v to skupino za oddajanje več prejemnikom (ang. multicast group). Ko stikalo zazna»igmp Leave«sporočilo, vrata, kjer je naprava, odstrani iz skupine za oddajanje več prejemnikom (ang. Multicast group) [9]. Protokol vpetega drevesa in IGMP Snooping smo vklopili, tako da smo obkljukali ti dve možnosti (Slika 5-16). Do okna pridemo po poti Configure --> VLANs iz menija za upravljanje naprave, nato pa kliknemo na gumb napredno (angl. Advanced).

50 Prenova komunikacijskega omrežja Stran 36 Slika 5-16: Okno za vklop STP in IGMP Snooping Ko imamo nastavljene VLAN-e, smo vratom dodelili še pravila naprednih vrat (ang. Smartport rule), kjer se nastavlja kvaliteta storitev (ang. Quality of Service - QoS), snopljenje (angl. Trunk) in druge funkcije. Stikalo ima možnost nastavitve različnih pravil. Posameznim vratom lahko dodelimo prednastavljena pravila: Delovna postaja (ang. Desktop), IP telefon + delovna postaja (ang. IP Phone + Desktop), Stikalo (ang. Switch), Usmerjevalnik (ang. Router), Dostopovna točka (ang. Access Point), Strežnik (ang. Server), Tiskalnik (ang. Printer), Gostje (ang. Guests) in Ostalo (ang. Other). Prednastavljeno pravilo Delovna postaja (ang. Desktop) uporabimo, če na vrata priključimo naprave, kot so: delovna postaja, prenosni računalnik, osebni računalnik. Delovna postaja + IP telefon (ang. Desktop + IP Phone) pravilo uporabimo, ko bomo na vrata priključili IP telefon. Nekateri IP telefoni omogočajo, da delovno postajo priključimo v omrežje preko njih, saj imajo v sebi integrirano majhno stikalo. Zaradi zagotavljanja čim boljše kvalitete zvoka na IP telefonu ima promet v realnem času (v našem primeru prenos govora) prednost pred podatkovnim prometom. Govorni promet se prenaša ločeno od ostalega prometa po VLAN-u z imenom Cisco-Voice. Prednastavljeno pravilo Stikalo (ang. Switch) uporabimo, če na vrata priključimo drugo stikalo. Pravilo omogoča, da so stikala med seboj povezana s snopljenjem (ang. Trunk) z uokvirjanjem po standardu IEEE 802.1Q in/ali Ether Channelom. Ether Channel je povezava več fizičnih vrat, ki se obnašajo kot ena logična vrata. Pravilo Usmerjevalnik (ang. Router) uporabimo, ko na vrata priključimo WAN naprave, ki so povezane z internetom, kot so stikala, ki znajo delovati v omrežnem sloju (ang. layer 3 switch), usmerjevalniki (ang. Router), požarni

51 Prenova komunikacijskega omrežja Stran 37 zidovi (ang. Firewall). To pravilo omogoča medsebojne povezave s snopljenjem (ang. Trunk) in označevanjem (ang. Tagging) po standardu IEEE 802.1Q. Prednastavljeno pravilo dostopovne točke (ang. Access Point) uporabimo, če na vrata priključimo dostopovne točke, ki omogočajo napajanje preko etherneta (ang. Power over Ethernet PoE) in tiste, ki tega ne omogočajo. Dostopovna točka omogoča dostop do 30 mobilnih uporabnikov. Če uporabljamo brezžični most (ang. Wireless bridge), Cisco priporoča, da uporabimo prednastavljeno pravilo stikalo (ang. Switch). Prednastavljeno pravilo strežnik (ang. Server) uporabimo, če imamo na vrata priklopljen strežnik, kot je poštni strežnik, podatkovni strežnik, DHCP strežnik,... Promet, ki gre s strežnika, lahko nastavimo kot: zaupen (ang. Trusted), kritičen (ang. Critical), posloven (ang. Business) ali običajen (ang. Standard). Promet določimo glede na vrsto strežnika. Če je nastavljen kot zaupen (ang. Trusted), ga uporabljamo v primeru, če imamo na vrata priključen npr. enoten skrbnik klicev Cisco (ang. Cisco United Call Manager CUCM). Kvaliteta storitev nastavitev je ista, kot pri prednastavitvi za IP telefon + delovna postaja (glasovni promet ima prioriteto). Če nastavimo promet strežnika kot posloven, pomeni, da je kvaliteta storitev višja kot pri običajnem prometu delovne postaje. Promet strežnika nastavljen kot običajen pa pomeni, da je kvaliteta storitev na istem nivoju kot pri delovnih postajah. Prednastavljeno pravilo tiskalnik uporabimo, če imamo na vrata priključen omrežni tiskalnik. Iz vsega prometa se izluščijo podatki, ki so namenjeni tiskalniku. Kvaliteta storitev je nastavljena na isti nivo kot pri delovnih postajah, dostopovnih točkah in strežnikih z običajnim prometom. Prednastavljeno pravilo gostje uporabimo na vratih, kamor se priklaplajo uporabniki, ki so gosti v našem omrežju. Vrata, ki imajo nastavljeno to pravilo, se nahajajo v posebnem VLAN-u z imenom Cisco-Guest in nimajo dostopa do omrežja, imajo pa dostop do interneta. Pravilo drugo (ang. Other) uporabimo, kadar ne želimo posebnega pravila za vrata. Vsem štiriindvajsetim vratom smo nastavili pravilo IP telefon + delovna postaja, saj bomo na vsa vrata priključili delovno postajo in/ali IP telefon. Tudi če na vrata ne bo priklopljena nobena od naprav, bodo tako nastavljena vrata pripravljena za bodoče funkcije. Vratom hitrosti 1 Gb/s smo nastavili pravilo stikalo, saj je enota s temi vrati priključena na centralno stikalo.

52 Prenova komunikacijskega omrežja Stran 38 Do okna, kjer nastavljamo pravila posameznim vratom, smo prišli tako, da smo izbrali Configure -> Smartports iz menija za upravljanje naprave. Okno za dodeljevanje pravil vratom prikazuje Slika Slika 5-17: Okno za nastavljanje pravil vratom Pravilo izberemo s spustnega seznama (angl. Drop down), kliknemo še gumb spremeni (angl. Modify) ter vratom nastavimo kateremu VLAN-u pripada. Slika 5-18: Dodelitev vrat VLAN-om Vsakim vratom smo dodali opis, ki je sestavljen iz imena naprave in tipa telefona, ki bo na delovnem mestu, npr. ime naprave + PT ali ime naprave + ST. Oznaka PT pomeni, da se uporablja prenosni telefon, oznaka ST pa, da je telefon stacionaren. Vsa vrata na stikalu so omogočena (angl. Enable) s hitrostjo Auto. To pomeni, da se hitrost prilagodi glede na napravo, ki je priključena na drugi strani. Ker v omrežju nimamo naprave, ki bi zahtevala specifično hitrost delovanja vrat, smo na ta način nastavili vsa vrata. Tudi Duplex smo nastavili na Auto, kar pomeni, da se stikalo in priključena naprava dogovorita, v kakšnem načinu bosta delovali. Obstajata dva načina delovanja: popolno dvosmeren (ang. full duplex) in polovično dvosmeren (ang. half duplex) način. Pri popolno dvosmernem načinu

53 Prenova komunikacijskega omrežja Stran 39 (ang. full duplex) naprava hkrati sprejema in oddaja podatke, pri polovično dvosmernem načinu (ang. half duplex) pa je naprava sposobna hkrati samo oddajati ali samo sprejemati podatke. Vklopili smo še funkcijo Auto-MDIX, kar pomeni, da se je stikalo sposobno samodejno prilagoditi standardu mrežnega kabla (A in B standard). Na vseh vratih smo pustili vklopljeno napajanje preko etherneta. Slika 5-19: Opisi in nastavitve vrat Konfiguracija usmerjevalnika Kot robni usmerjevalnik smo uporabili usmerjevalnik Cisco Na njem smo poleg osnovne konfiguracije dodali prevajanje naslovov oz. vrat NAT oz. PAT (ang. Network Address Translation oz. Port Address Translation), sezname za kontrolo dostopa (ang. Access lists), statične poti (ang. Static routes), dostop do interneta, dostop do MPLS VPN omrežja, požarno pregrado (ang. Firewall) ter možnost povezave s Cisco VPN klientom v omrežje Osnovna konfiguracija usmerjevalnika Podobno kot stikala Cisco serija 2960 in višje serije se večina Cisco usmerjevalnikov konfigurira v konzolnem načinu z linijskim vnosom komand (ang. Command Line Interface - CLI). Program Hyper Terminal ima identične nastavitve kot pri konfiguraciji stikala Ob prvi prijavi na nov usmerjevalnik Cisco spet uporabimo vstop privzetega uporabnika. Za spreminjanje konfiguracije je potrebno vstopiti v priviligiran način (ang. priviliged mode) s pomočjo ukaza omogoči (ang. Enable). Usmerjevalnik vsebuje privzeto konfiguracijo, ki smo jo zbrisali, da smo lahko usmerjevalnik konfigurirali glede na potrebe naročnika. To smo storili z ukazoma»write erase«in»reload«. Konfiguracijo začnemo z vnosom naslednjih ukazov v konfiguracijskem načinu (ang. Configuration

54 Prenova komunikacijskega omrežja Stran 40 mode):»aaa new-model«,»aaa authentication login userauthen local«,»aaa authorization network Podjetje local«, s katerimi smo določili avtentifikacijo. Z ukazom»enable secret geslo«smo konfigurirali dostopovno geslo priviligiranega načina. Vnesli smo ukaza»security authentication failure rate 3 log«in»security passwords minlenght 6«, s katerima smo definirali, da se po treh nepravilnih vnosih uporabniškega imena in gesla dostop do naprave za nekaj časa onemogoči ter beleženje prijav. S»security passwords min-lenght 6«smo nastavili minimalno dolžino gesla na 6 znakov. Uporabniška imena in gesla smo vnesli z ukazom»username ime_uporabnika privilege 15 secret 0 geslo_uporabnika«. Nastavili smo, da se uporabnik, ki se na usmerjevalnik povezuje preko telnet seje, lahko prijavi z zgoraj konfiguriranimi uporabniškimi imeni in gesli. To smo storili tako, da smo ukaze»authorization network podjetje«,»login authentication userauthen«in»transport input telnet all«vnesli za linije navideznega terminala (line vty 0 4). Usmerjevalniku smo z ukazum»hostname ime_ustanove-gw«spremenili ime. Vnesli smo še IP adrese strežnikov, ki skrbijo za razreševanje imen (ang. DNS server):»ip name-server «. Vnos ukazov prikazuje Slika Slika 5-20: Vnos ukazov pri konfiguraciji usmerjevalnika Konfiguracija dostopa do interneta, MPLS VPN in lokalnega omrežja Usmerjevalnik Cisco 2821 je modularen usmerjevalnik, kar pomeni, da omogoča vgradnjo štirih različnih vmesniških kartic, omrežnih vmesnikov ali pospeševalnih kartic. Mi smo instalirali 4-vratno vmesniško kartico, ki smo jo uporabili zato, da smo nanjo povezali lokalno omrežje. Že vgrajena vmesnika GigabitEthernet 0/0 in GigabitEthernet 0/1 smo uporabili za povezavo do interneta in MPLS VPN omrežja. Vmesnik GigabitEthernet 0/0

55 Prenova komunikacijskega omrežja Stran 41 smo povezali s ponudnikom internetnih storitev in ga bomo uporabljali za dostop do interneta. Za konfiguracijo le tega smo uporabili naslednje ukaze:»description External Interface«,»ip address 193.x.x.x «,»no ip redirects«,»no ip unreachables«,»ip virtual-reassembly«,»ip route-cache flow«,»duplex auto«,»speed auto«. Z ukazom»description External Interface«smo naredili opis vmesnika. Vmesniku smo z ukazom»ip address 193.x.x.x «nastavili IP naslov. Izklopili smo preusmeritev icmp paketov z ukazom»no ip redirects«. Preusmeritev v našem primeru ni potrebna, saj nimamo nastavljen protokol HSRP (ang. Hot Standby Routing Protocol). Z ukazom»ip route-cache flow«smo vklopili NetFlow na celotnem vmesniku. Z»duplex auto«in»speed auto«smo nastavili, da se hitrost delovanja in način delovanja nastavita samodejno glede na priključeno napravo. Ukaz»ip virtual reassembly«pa omogoči uporabo dinamičnih dostopovnih seznamov, ki jih potrebuje požarni zid. Na podoben način smo nastavili GigabitEthernet 0/1, ki smo ga povezali z MPLS VPN omrežjem. Razlika v konfiguracije je le, da smo nastavili drugi IP naslov. Oba IP naslova nam je priskrbel ponudnik storitev. Za dostop do lokalnega omrežja smo konfigurirali logični vmesnik VLAN1, kateremu smo priključili dva porta na kartici, ki smo jo vstavili v usmerjevalnik. Vmesnik Vlan1 smo nastavili z naslednjimi ukazi:»description Internal LAN«,»ip address «,»no ip redirects«,»no ip unreachables«,»ip virtual-reassembly«,»ip route-cache flow«. Vgrajena kartica vsebuje štiri vmesnike, katerih naloga je preklapljati pakete na enak način, kot to naredi stikalo. Fizična vmesnika FastEthernet 0/0/0 in FastEthernet 0/0/1 smo z ukazi»interface range 0/0/0 0/0/1«,»switch mode access«in»switchport access vlan1«dodelili navideznemu lokalnemu omrežju 1, uporabljena pa sta kot dostopovna vmesnika. Teh nastavitev v pregledu konfiguracije ne vidimo, ker veljajo za privzete nastavitve. Da lahko usmerjevalnik začne usmerjati promet med oddaljenimi lokacijami, potrebuje poti, ki smo mu jih vnesli z naslednjimi ukazi:»ip route «,»ip route «,»ip route «,»ip route «,»ip route «,»ip route «,»ip route «,»ip route «. Promet, ki je namenjen oddaljenim lokacijam, je usmerjen na MPLS VPN omrežje. V tem

56 Prenova komunikacijskega omrežja Stran 42 omrežju ga ponudnik usmerja naprej do končnega cilja. Usmerjevalniku smo z ukazoma»ip route X.X.X«nastavili privzeto pot na internet. To pomeni, da bo usmerjevalnik vsak paket, za katerega ne najde poti, poslal v internet. Slika 5-21 prikazuje konfiguracijo statičnih poti. Slika 5-21: Vnos statičnih poti v usmerjevalnik Konfiguracija VPN povezave dostop do omrežja s programom Cisco VPN Clientom Ker nekateri zaposleni dostopajo do notranjega omrežja od doma ali s službene poti, je v ustanovi varna komunikacija preko javnega IP postala nujna. VPN povezava omogoča zaposlenim varen dostop do internih virov ustanove. Navidezno zasebno omrežje se vzpostavi med dvema točkama, ves promet poteka v kriptirani obliki. Povezava se lahko vzpostavi med dvema usmerjevalnikoma ali pa med usmerjevalnikom ter klientom. V našem primeru smo uporabili povezave s klienti. Zaposleni dobijo program Cisco VPN Client, ki si ga namestijo na domači računalnik, mi pa smo jim preko elektronske pošte poslali VPN profile, ki jih uvozijo v program. V profilih so shranjeni ključi ter IP naslov za dostop do usmerjevalnika. Posebej se pošljejo še uporabniška imena ter gesla. Ko se zaposleni povežejo na usmerjevalnik, lahko dostopajo do dokumentov enako, kot da bi sedeli v pisarni. Slika 5-22 prikazuje način povezave uporabnika v omrežje podjetja.

57 Prenova komunikacijskega omrežja Stran 43 Slika 5-22: Povezava s Cisco VPN Client programom Šifriranje je v osnovi transformacija ali preobrazba navadnega besedila v obliko, ki je nerazumljiva za neavtoriziranega uporabnika, ki nima ustreznega ključa za dešifriranje. Dešifriranje je inverzen postopek šifriranja, je transformacija šifriranega sporočila v primarno obliko. Šifrirni algoritem je matematična funkcija, uporabljena za šifriranje/ dešifriranje. Šifrirne algoritme delimo v dve skupini: Simetrični šifrirni algoritmi Asimetrični šifrirni algoritmi Izbrali smo simetrični šifrirni algoritem, ki bazira na uporabi enega samega ključa. Pošiljatelj uporabi skrivni ključ (ang. secret key) za šifriranje sporočila, prejemnik pa uporabi enak ključ za dešifriranje prejetega sporočila. Uporabili smo 256 bitni simetrični šifrirni algoritem AES (ang. Advanced Encryption Standard), ki nudi najmočnejšo zaščito. Zgoščevalni algoritem uporablja HMAC-MD5, ki skrbi za neokrnjen prenos podatkov preko javnega omrežja. Zgoščevalni algoritem je ireverzibilna funkcija. Iz vhodnega niza podatkov lahko dobimo zgoščeno sporočilo, medtem ko iz zgoščenega sporočila ne moremo dobiti originalnega sporočila. Za avtentifikacijo pa smo uporabili predodeljeni ključ (ang. pre-share key). Konfiguracija je naslednja: Uvodni niz»crypto isakmp policy 10«,»encr aes 256, hash md5«,»authentication preshare«,»group 2«.

58 Prenova komunikacijskega omrežja Stran 44 Ustvarjanje polja IP naslovov»ip local pool Podjetje-VPN-POOL «. Nabor varnostnih protokolov in algoritmov»crypto ipsec transform-set AES-SET esp-aes 256 esp-md5-hmac«šifrirni načrt»crypto dynamic-map DYNMAP 1«,»set transform-set AES-SET«,»crypto map VPNmap client authentication list userauthen«,»crypto map VPNmap isakmp authorization list PodjetjeVPN«,»crypto map VPNmap client configuration address respond«,»crypto map VPNmap ipsec-isakmp dynamic DYNMAP«. Ta šifrirni načrt vežemo na vmesnik, kamor je priključen internet. V našem primeru je to GigabitEthernet 0/0. To storimo z ukazom»crypto map VPNmap«, ki ga vpišemo v vmesniškem načinu. Za uspešno komunikacijo potrebujemo še VPN uporabniški profil in dostopovni seznam, ki nam dovoljuje promet med notranjim in VPN omrežjem. VPN uporabniški profil vsebuje geslo, IP polje VPN odjemalcev, domeno ter dostopovni seznam za dovoljenje prometa med omrežjem in VPN odjemalci. Dostopovni seznam smo skonfigurirali z ukazi vpisanimi v konfiguracijskem načinu:»accesslist 111 permit ip «,»access-list 111 permit ip «,»access-list 111 permit ip «,»access-list 111 permit ip «,»access-list 111 permit ip «,»access-list 111 permit ip «,»access-list 111 permit ip «,»access-list 111 permit ip «,»access-list 111 permit ip «. Uporabniški VPN profil»crypto isakmp client configuration group PodjetjeVPN«,»key vpngeslo«,»domain podjetje.si«,»pool Podjetje-VPN-POOL«,»acl 111«.

59 Prenova komunikacijskega omrežja Stran 45 Konfiguracija uporabniškega imena in gesla»username uporabnik1 password geslo1«,»username uporabnik2 password geslo2«,»username uporabnik3 password geslo3« Konfiguracija prevajanja naslovov (NAT PAT) NAT (Network Address Translation) je metoda preslikovanja privatnih IP naslovov v zunanji javen IP naslov. Obstaja več načinov delovanja., dva najbolj pogosta načina sta NAT ter PAT (ang. Port Address Translation). Pri prvem se preslikuje ena proti ena, pri drugem pa mnogo proti ena. PAT je običajen način uporabe NAT-a, ker v praksi primanjkuje javnih IP naslovov in ker dobimo od internetnega ponudnika ponavadi samo en javen IP naslov. Pri PAT-u se preslikuje tako, da usmerjevalnik hrani tabelo, v kateri si zapisuje preslikavo za vsak paket, ki je bil poslan v internet; številko vrat in privatni IP naslov. Še preden paket zapusti usmerjevalnik, se privatni IP naslov preslika v zunanji javni IP naslov, prav tako se preslika tudi številka vrat. Številka prvotnih vrat se ponavadi preslika v številko neke vrednosti, večje od Ko usmerjevalnik dobi odgovor na določen paket, pregleda tabelo, katera je preslikana številka vrat in na kateri IP naslov naj pošlje podatke. Slika 5-23: PAT preslikava Pri konfiguraciji preslikav smo določili, kateri vmesnik je zunanji (povezan na internet) in kateri so notranji. V našem primeru je zunanji vmesnik GigabitEthernet0/0. Vmesnika GigabitEthernet0/1 in navidezni vmesnik Vlan1 pa smo označili kot notranja. Zunanji vmesnik smo določili z ukazom»ip nat outside«, ki smo ga uporabili v vmesniškem načinu dela. Z ukazom»ip nat inside«pa smo označili vmesnika GigabitEthernet0/1 in

60 Prenova komunikacijskega omrežja Stran 46 Vlan1 kot notranja. Z ukazom»ip nat inside source route-map nonat interface GigabitEthernet0/0 overload«povemo usmerjevalniku, naj izvaja PAT na zunanjem vmesniku po pravilih, ki so zapisana v route-map nonat seznamu. V route-map nonat je zapisan dostopovni seznam, ki določa, za katere naslove se izvajajo preslikave. Dostopovni seznam, ki določa, katera omrežja se bodo preslikala, smo nastavili z ukazoma»access-list 104 deny ip any «,»access-list 104 permit ip any any«. Kot je razvidno iz ukaznega niza, se PAT izvaja za ves promet razen za VPN. Route-map smo konfigurirali s pomočjo ukazov»route-map nonat permit 10«,»match ip address 104«,»set interface GigabitEthernet0/0« Konfiguracija požarnega zidu Požarni zid (ang. firewall) je najbolj pogosto uporabljen izdelek s področja strojne omrežne varnosti. Požarni zidovi so namenjeni ločevanju dveh segmentov omrežij, pogosto enemu segmentu zaupamo, drugemu pa ne. Bistvo požarnega zidu je v zagotavljanju varnosti med dvema omrežjema. Požarni zid glede na določena pravila dovoli ali zavrne tok podatkov v omrežje. Za vsako ustanovo je zaščita notranjega omrežja, kjer se nahajajo strežniki in delovne postaje zaposlenih, izrednega pomena za nemoten delovni proces. S požarnim zidom preprečujemo morebitne vdore v omrežje. Na usmerjevalnikih proizvajalca Cisco obstaja možnost konfiguracije požarnega zidu. Ta požarni zid je možno konfigurirati kot kombinacijo pravil za pregled paketov (ang. packet inspection and dynamic temporary access lists) oz. CBAC (ang. Content Based Access Control) in filtriranja prometa s pomočjo dostopnih list (ang. network traffic filtering by means of access lists). Konfiguracijo požarnega zidu izvedemo glede na strankine zahteve o dovoljevanju prometa iz/ v njeno privatno omrežje. Najprej smo nastavili pravila za pregled paketov, ki potem po potrebi ustvarijo dinamična dostopna pravila, ki dovoljujejo promet. To storimo tako, da vpišemo naslednje ukaze v konfiguracijskem načinu:»ip inspect name PozarniZid http«,»ip inspect name PozarniZid ftp«,»ip inspect name PozarniZid https«,»ip inspect name PozarniZid icmp«,»ip inspect name PozarniZid smtp«,»ip inspect name PozarniZid realaudio«,»ip inspect name PozarniZid rtsp«,»ip inspect name PozarniZid esmtp«,»ip inspect name PozarniZid sqlnet«,»ip inspect name

61 Prenova komunikacijskega omrežja Stran 47 PozarniZid pop3«,»ip inspect name PozarniZid tftp«,»ip inspect name PozarniZid vdolive«. Ta pravila se uporabljajo kot pravila za kontrolo nad dostopom uporabnikov, ki so za usmerjevalnikom na notranji, varni strani. Pravila delujejo tako, da spremljajo podatkovni promet, ki ga uporabniki vzpostavijo skozi usmerjevalnik, in glede na nastavitev odgovore na poslane podatke ali dovoljujejo ali pa blokirajo (dinamično spreminjajo dostopovne sezname). S pomočjo dostopovnih seznamov smo določili, kateri promet in s katerih naslovov bomo spustili v naše omrežje. Dovolili smo promet tipa ICMP (ang. Internet Control Message Protocol), promet ESP (kriptirani paketi VPN povezave), dovoljeni so tudi udp paketi na vrata isakmp in vrata non500-isakmp, ki so potrebni za vzpostavitev VPN povezave. Dovolili smo še ves tcp promet iz določenega omrežja s celotnim C blokom javnih IP naslovov; se pravi z 24-bitno masko omrežja, na katerikoli IP naslov na vrata 22, kar uporabljamo za SSH oddaljen dostop iz Kopinega omrežja do usmerjevalnika. Dodali smo tudi pravilo, ki dovoljuje udp promet iz IP naslova z vrati 123 na katerikoli IP naslov na vrata 123 (NTP Network Time Protocol). Predzadnji ukaz preprečuje ves tcp promet od koderkoli kamorkoli na vratih 22, besedica log v ukazu pa skrbi, da se vse kršitve tega dostopnega pravila zapisujejo v dnevnik na usmerjevalniku (logirajo). Zadnji ukaz je eksplicitna preprečitev vsega ostalega prometa, ki se ni ujel v zgornja pravila. Kršitve tega pravila se prav tako zapisujejo v dnevnik. Vse ukaze smo vnesli v konfiguracijskem načinu. Ukazi so naslednji:»access-list 101 permit icmp any any«,»access-list 101 permit esp any any«,»access-list 101 permit udp any any eq isakmp«,»access-list 101 permit udp any any eq non500-isakmp«,»access-list 101 permit tcp 193.x.x.x any eq 22«,»access-list 101 permit udp host eq ntp any eq ntp«,»access-list 101 deny tcp any any eq 22 log«. Vsa pravila in filtre za pregled prometa smo vezali na pripadajoč vmesnik, v našem primeru zunanji vmesnik, saj s tem preprečimo nepotrebno obremenjevanje omrežja. Določili smo tudi smer, v katero naj se spremlja podatkovni promet. To storimo tako, da v vmesniškem načinu vpišemo ukaza»ip access group 101 in«ter»ip inspect PozarniZid out« Namestitev in delo s Cisco VPN Clientom Za uspešno in varno povezavo od koderkoli v podjetje potrebujemo Cisco VPN Client, ki ga namestimo na računalnik, s katerim se bomo povezovali v podjetje. Cisco VPN client

62 Prenova komunikacijskega omrežja Stran 48 program obstaja za različne operacijske sisteme. Mi smo s spleta prenesli različico Program smo namestili na računalnik. Slika 5-24 prikazuje okno programa, ko je le ta že nameščen. Slika 5-24: Okno programa Cisco VPN Client Ko smo program namestili, smo vnesli podatke za povezavo do zdravstvene ustanove. S klikom na simbol novo (ang. New) se pokaže okno, kamor smo vpisali zahtevane podatke, kot je ime VPN povezave, IP naslov naprave, kamor se zaključuje VPN, geslo in opis. Slika 5-25 prikazuje naše nastavitve. Slika 5-25: Nastavitev parametrov VPN povezave Konfiguracijsko datoteko, ki smo jo ustvarili, smo nato po elektronski pošti posredovali naročniku, ki je to datoteko uvozil v program Cisco VPN Client.