Články

Co traffic.sh měří?

| 4. Duben 2013 | Síť - Buď první, kdo vloží komentář

Traffic.sh je webová aplikace, která vyčítá z centrálního prvku počet přijatých a odeslaných oktetů na hlavním uplinkovém síťovém interface (pomocí SNMP), přes který je Strahovská síť připojena do světa. Tento interface má kapacitu 10 Gbps, viz schéma sítě na obrázku níže. Měření tedy nezapočítává vnitřní provoz v rámci SH sítě a vzhledem ke krátkému časovému intervalu a povaze čítačů se nemusí výsledek přesně shodovat s tím co vidí uživatel.

Poté co serverová část aplikace spočítá aktuální výsledky (derivace stavu čítačů + kompenzace), zašle jej mezi klienty pomocí real-time systému FAYE. Aktuální síťový provoz může tedy pozorovat spoustu klientů v takřka reálném čase. O zobrazení se stará knihovna Flot.

Schéma

NATdet aneb jak chodí trpaslíci do světa

Pavla Slezáková | 11. Duben 2010 | Síť - 8 komentářů

(NAT = Network Address Translation)

Dalo by se říci, že skupinka adminů nikdy nespí. Poslední dobou bylo zaznamenáno několik případů NATování. Před několika lety bylo pro NATování potřeba speciálních programů, dnes se dá nasdílet připojení přímo ve Windows ostatním přes wifi i pevné připojení.

V pravidlech používání strahovské sítě (jedná se o pravidla sítě klubu Silicon Hill, ČVUT i Cesnet) je však takový způsob sdílení výslovně zakázán. Aby nedocházelo k soustavnému porušování pravidel vznikla služba NATdet, která NATování odhalí. Registrátoři a admini každého bloku mají již k dispozici seznam „hříšníků“ v přehledné tabulce, kde je hlavním kritériem pravděpodobnost NATování. Empiricky bylo ověřeno, že v úvahu se bere detekce pouze s 99% pravděpodobností. Pokud tedy máte nasdíleno, můžete být odpojeni, případné porušení řeší striktně sazebník trestů. Je jen na Vás, budete-li schopni detekci vysvětlit či nikoli.

Vysvětlení NATu a služby NATdec pro laiky

Pro lepší pochopení následujících vět doporučujeme shlédnout video, kde je nadneseně nastíněno fungování strahovské sítě.

V každém počítači (domečku) bydlí trpaslíčci. Tito mrňouskové nosí v batůžcích balíčky s informacemi(vulgárně pakety) označenými číslem domečku. Umějí se pohybovat po cestičkách z kabelů ukrutnou rychlostí.

Pokud trpaslíček vyrazí z domečku s veřejně známou adresou(řekněme domeček A), je za vodou a trefí zpátky domů. Problém nastane, pokud za náš domeček připojíme další (označme ho B). Ten pak již nemá veřejně známou adresu a trpaslíček by zpátky domů(do B) mimo jiné netrefil. Proto, když tento trpaslíček z B prochází domečkem A, řekneme mu, aby si pamatoval jako svůj domov domeček A. Nyní trpaslíček může do světa. Až se vrátí do domečku A, bude mu řečeno, že musí ještě kousek do domečku B.

Jak jsme si říkali toto je zakázáno. Trpaslíček si tedy pamatuje domeček A a může po světě vandrovat kde chce, ale může narazit na kontroly strážníků z organizace NATdet, kteří na první pohled poznají, že trpaslíček má mizernou paměť a že není z domečku A, jak tvrdí, nýbrž z nějakého jiného domečku. Strážníci toto nenechají jen tak a podají hlášení, že domeček A porušuje předpisy.

napsali Radim Roška a Pavla Slezáková


DNSSEC na SH

Pavla Slezáková | 8. Duben 2010 | Síť - 2 komentáře

Pokud jste byli na letošním InstallFestu, možná jste zahlédli i přenášku Tomáše Hály z firmy Active 24 o tom, co může provider udělat pro větší bezpečnost na Internetu. Přednáška to byla tak zajímavá, že spustila zájem o DNSSEC mezi strahovskými adminy. Netrvalo dlouho a celá síť SH byla ochráněna systémem DNSSEC.

Co to znamená?

Systém DNSSEC je rozšířením standardního systému DNS, který se v Internetu stará o překlad doménových jmen na IP adresy (a naopak). Toto rozšíření má za cíl zajistit autenticitu informací, tedy to, že daná IP adresa skutečně patří doménovému jménu, které jsme zadali do prohlížeče. Představuje tedy přídavný stupeň bezpečnosti proti nejrůznějším útokům, jako je Phishing, Man in the middle a podobně.

Jak DNSSEC funguje?

Je-li nějaká doména chráněna systémem DNSSEC, znamená to, že odpovědi DNS serverů této domény jsou opatřeny elektronickým podpisem. Klient pak může (ale nemusí) platnost podpisu ověřit, čímž zjistí, že jsou data v DNS odpovědi důvěryhodná. Podrobný výklad funkce DNSSEC najdete na http://www.dnssec.cz.

Všechny Strahovské domény byly takto podepsány. Zároveň Strahovské DNS servery provádějí ověření (validaci) podpisů v české národní doméně.

Jak poznám, které domény jsou systémem DNSSEC zabezpečeny?

Nejjednodušší způsob, je instalace Validátoru DNSSEC jako rozšíření pro Firefox. Toto rozšíření zobrazí u každé podepsané domény barevnou ikonu klíčku v adresním řádku, jehož barva informuje o stavu podpisu – zelená znamená, že podpis se podařilo ověřit, červená znamená, že podpis je neplatný (např. http://www.rhybar.cz − v takovém případě se stránka nezobrazí) a nakonec žlutá značí, že podpis sice je validní, ale nepodařilo se jeho pravost zkontrolovat v nadřazené doméně.

Napsal Ondřej Caletka, alias Oskar


Pár slov o CS a housingu

Pavla Slezáková | 9. Březen 2010 | Síť - 6 komentářů

Od čtenářů se množily žádosti, abychom na náš web umísťovali více článků zaměřených na používanou techniku, mimo jiné i proto, aby věděli, na co konkrétně jsou jejich členské příspěvky použity. Požádali jsme Lukáše Kužela, aby nás obeznámil s tím, co se podařilo realizovat na našem milém kopečku.

Mnozí ví, že za celým tím síťovým a serverovým provozem stojí úsilí mnoha lidí, které bývá koncentrováno jen do pár, a pro mnoho členů klubu, neviditelných“ místností. Ano, řeč bude o Centrální serverovně, (dále jen CS) a housingové centru. Princip těchto názvů bych uvedl jen velmi zkráceně a to tak, že CS slouží jako síťové a serverové srdce Strahova a housingové centrum pak jako příležitost, kde si mohou aktivní členové umístit svůj PC/server a mít tak nepřetržitou konektivitu se světem.

CS, foto: Petr Přikryl (Mafo)

CS, foto: Petr Přikryl (Mafo)

CS, neboli Centrální serverovna

Achillovou patou bylo zálohování celého provozu proti neočekávaným výpadkům pomocí UPS (Uninterruptible Power Supply). Ta jednak nedostačovala za současného stavu pokrýt nároky, které na ni byly kladeny, ale problémy hlásily i součásti, které vyhodnocují její chod (přesněji inteligence moduly a to rovnou dva, protože máme rádi redundanci J). Dovybavení bylo záležitostí pouze nákupu a správného umístění do prázdných míst v UPS, jednalo se konkrétně o pořízení power modulů a baterií. Problém tedy zůstal u jednoho z inteligence modulů, který odmítal poslušnost. Po dlouhém úsilí ze všech možných stran se věc ke konci minulého měsíce podařilo konečně dořešit a zálohování našeho srdce Strahova“ je opět v plné síle.

Velkým pomocníkem bylo pořízení tzv. dálkového ovládání všech serverů, které v CS jsou a to pomocí systému IP-KVM (Keyboard, Video, Mouse over Internet Protocol) a PDU (Power Distribution Unit) napájecích lišt. Jednoduše řečeno mohou správci na dálku obsluhovat provoz serverů (něco jako vzdálená plocha či konzolový přístup) a dokonce i odstavit stroj od napájení a opětovně šťávupřivést, což se mnohdy velmi hodí. Tato opatření ušetří mnoho času všem, kteří tak byli často nuceni být fyzicky v CS přítomni a řešit vyvstalé situace. Pokud tedy nenastane nějaký zásadní hardwarový problém, není třeba ztrácet čas a vše jde řešit pěkně na dálku.

Co se týče dalších úprav, tak oblíbené nahrávání televize obsluhuje nová flotila serverů a při výuce v Školicím centru je využíván řídící server, který je součástí CS. Dále byla značně rozšířena služba FTP o nový stroj a v neposlední řadě také o centrální server pro provoz kamerového systému.

Do budoucna je toho v plánu více, ale ve zkratce se bude jednat o zmodernizování monitoringu serverovny a to především co se týče environmentálních příčin. Dále ještě bezpečnější provoz z hlediska napájení strojů (napojení dalších PDU lišt na odlišné okruhy, než ty, které jsou zálohovány pomocí UPS) a další drobnější zásahy, které si vyžádá běh času.

Server housing neboli odměna pro aktivní členy klubu

Spousta lidí jistě jednou toužila mít svůj oblíbený PC/server neustále připojený k síti a kutat si na něm své oblíbené aktivity jako vlastní experimentální www projekt, nechat stroj počítat složitější výpočty do školy atp. Pokud po něčem takovém stále toužíte a rádi byste měli třeba i 1 Gbit spojení se světem, tak není nic jednoduššího, než se stát aktivním členem klubu a za odměnu si nechat na kopečku stroj hostovat! A jaká by byla ještě další motivace?

Podobně jako v CS, tak i zde jsme nainstalovali a s úspěchem provozujeme kombo IP-KVM+PDU a tak si můžete svůj stroj i vy na dálku spravovat, podobně jako naši nejpovolanější správci serverů CS. Zájemcům o televizní vysílání mohu prozradit, že onen kvalitní signál, který přijímají ve svých pokojích, teče právě ze server-housingu. Pozemní a satelitní vysílání obsluhují k tomuto účelu nově postavené dva servery.

Stejně jako v CS se výhledově plánuje sofistikovanější monitoring celého běhu této místnosti a někdy snad i posílení klimatizačních jednotek tak, aby bylo umožněno hostovat větší počet vámi umístěných strojů.

Někdy, když vás zasáhne výpadek některých IT služeb na Strahově, tak si říkáte, co se zase sa… děje?! Mějte prosím trpělivost, protože nic se neděje jen tak a mnohdy právě v tuto dobu provádíme některé zásahy, které vám omezí vaše možnosti práce s PC. Ovšem na naši částečnou obranu musíme poznamenat, že na 99.99% jsou tyto zásahy předem ohlášeny a to nejčastěji prostřednictvím newsů. Kdo je čte, na správném místě, ví více o tom co se děje J

Pokud někoho zaujaly možnosti, které tyto místnosti skýtají, tak ať se nebojí a obrátí se na správce tohoto provozu, nebo na technického manažera.

Za sekci servery Lukáš “Firestone” Kužel


Bez drátů

Pavla Slezáková | 5. Květen 2009 | Síť - 3 komentáře

cisco-apHistorie počítačové sítě na Strahově sahá až do roku 1993, od této doby došlo k velkému rozvoji a s tím spojené obrovské investice do rozsáhlé infrastruktury. V současnosti se můžeme „chlubit“ moderní sítí, která je po technické stránce konkurence schopná s velkými komerčními instalacemi. Díky tomu můžeme poskytovat uživatelům (studentům ČVUT) špičkové podmínky pro jejich studium a intelektuální rozvoj. Síť klubu Silicon Hill propojuje všechny bloky strahovských kolejí, tedy při propojení deseti bloků se jedná přibližně o 4000 uživatelů, kterým je poskytována konektivita k internetu. Díky spolupráci se sdružením CESNET a VIC (Výpočetní a informační centrum ČVUT) je strahovská síť připojena do CESNETu 10Gbps spojem. Páteřní síť na Strahově je zajištěna 1Gbps spoji ke každému bloku. V současnosti jsou téměř všechny aktivní síťové prvky od společnosti Cisco Systems, která je absolutní leader na trhu.

Cílem kolejního klubu Silicon Hill je udržet na Strahově krok s nejmodernějšími technologiemi. Ne, že by klasickým „drátům“ již úplně odzvonilo, ale notebook je pro spoustu obyvatel Strahova již běžným standardem a bezdrátový přístup k síti se zkrátka k pohodlnému studiu hodí.

Myšlenka zřízení Wi-Fi se začala realizovat jako projekt již na počátku roku 2006. Během půl roku se na strahovských blocích objevily antény a bezdrátová síť fungovala na 802.11 standardech. Bohužel původní iniciátoři již strahovské koleje opustili a projekt začal chátrat.

Poměrně nedávno se mezi členy klubu Silicon Hill dala dohromady tzv. síťová skupinka, která si předsevzala, že krom pečování o stávající síť provede jakousi renesanci skomírajícího projektu Wi-Fi.

Z rozpočtu klubu bylo zakoupeno 25 kusů Access pointů. Studenti je ve svém volném čase namontovali do pečlivě vybraných míst. Jedná se o klubovnu v suterénu bloku 7, dále studovny i rýsovny na všech blocích, včetně některých zájmových místností. V současné chvíli již chybí pouze studovna na bloku 3. Ve zkušebním provozu ukázala „APéčka“, že lepší fungování budou vykazovat s tzv. kontrolerem – tento přístroj byl tedy zapůjčen a umožňuje síťové skupince pohodlonou správu bezdrátové sítě. Bezdrátové připojení k síti je opět funkční a to natolik, že přes Wi-Fi lze sledovat i digitální televizi ve strahovských hospůdkách.

Wi-fi je dostupná pro všechny členy klubu, stačí pouze zajít za svým blokovým registrátorem. Pak už uživatel může chytat bronz a být stále online, aniž by musel mezi bloky tahat síťový kabel.

Jiří Chaloupka, vedení sítě na Strahově
Pavla Slezáková, PR Silicon Hill


PARTNEŘI