Uživatelské nástroje

Nástroje pro tento web


Postranní lišta

Překlady této stránky:


Rychlé odkazy

Pro aktivní

klub:itsluzby:sit

Síť

Na Strahově jsou všichni studenti připojeni přes síť studentského klubu SiliconHill. K dispozici je jak kabelové připojení (Ethernet) tak bezdrátové (WiFi).

Síť je provozovaná způsobem best-effort: děláme to jak nejlépe umíme

Klubovou infrastrukturu operují a rozvíjí dobrovolníci z řad členů klubu, bez jakéhokoliv nároku na finanční odměnu. Pokud se Vám něco nelíbí, můžete nám s tím pomoct a zlepšit to :)

Jak to funguje

V každém pokoji se nachází zásuvka, která je připojena do switche umístěného v tzv. switchovně (místnost vzduchotechniky u toalet). Patrové switche jsou pak optickým kabelem připojeny do větších switchů na B8 v centrální serverovně a pak do hlavního routeru, přes který jsme připojeni do internetu.

WiFi vysílá více jak 250 access-pointů. Na každém patře jsou 4 rozmístěné po chodbách a v pokojích.

Pro odborníky

Topologie

Access

Na každém pokoji jsou 2 zásuvku GbE. Každá zásuvka je zapojena do jiného switche, které jsou na patře 2 a jsou v hučící místnosti vzduchotechniky u toalet. Na patrech je mix switchů od Cisca:

  • 2960S
  • 2960X
  • 2960X s PoE (napájení WiFi AP)
  • 9200L
  • 2950/2960 (pouze suterény)

Každý z patrových switchů je připojen jedním 10 GbE propojem po single mode optice až do distribučních switchů v centrální serverovně. Pro redundanci je mezi patrovými switchi 1 GbE metalický propoj. Suterénní switche nemají optické šachty, tak jsou připojené pomocí 1 GBase-T z vyšších pater daného bloku.

Distribution

Distribuční vrstvou jsou 2 datacentrové switche Cisco Nexus 5596UP. Vybrány byly především pro poměr počet dostupných SFP+ šachet a ceny, který v době nákupu (2012) byl nepřekonatelný. Distribuční switche jsou pak redundantně připojeny k centrálnímu routeru.

Core

Jádrem sítě je od ledna roku 2020 dvojice L3 switchů Cisco Catalyst 9500 High Performance. Ty jsou sestackovány.

Do jedné C9500 je připojen 10Gbps uplink do sítě ČVUT. Předávací bod (Cisco 3560E) od VIC CVUT se nachází na B1 v serverovně SÚZ. Trasa dále pokračuje pronajatým vláknem pravděpodobně Strahovským tunelem a metrem do budovy FELu na Karlově náměstí (zde se nachází router VICu). Karlovo náměstí je pak připojeno do datového sálu VICu v Dejicích, odkud už je celý ČVUT připojen do sítě CESNET2 a skrz ni pak do Internetu.

WiFi

Řešení máme od 2 vendorů:

  • Aruba
  • Cisco

Jako hlavní řešení se používá Aruba. K dispozici máme 2 kontroléry (7210 Mobility Controller), které jsou v režimu high availability AP tunelů.

Na blocích je rozmístěno přes 250 access-pointů podporujících 802.11ac, řada 3xx také 802.11ac Wave2, jedná se o mix následujících AP:

  • 215
  • 274 (outdoor access-point pro gril centrum)
  • 305
  • 315

Původní Cisco AP jsou využita na B12 a v okrajových případech jako dokrývací.

VLANy

Standardně jsou na bloku k dispozici 2-3 VLANy s veřejnými IP adresami a 1 VLAN s RFC1918 adresami a NAT/PAT překladem.

VLAN IP rozsah
(číslo_bloku)1147.32.110+(číslo_bloku{2..11}).0/24
(číslo_bloku)2147.32.X.X/25
(číslo_bloku)8172.16.(číslo_bloku)8.0/23

IPv6

Na Ethernetu poskytujeme IPv6 na všech přípojkách kromě suterénních pokojů. IPv6 adresy jsou přidělovány podle konfigurace v IS.SH.

Na WiFi je IPv6 také k dispozici, kvůli nejednotnému chování platforem (blame Google: Android a jeho absence DHCPv6 klienta) byla zvolena varianta s autoconfigem. SLAAC adresy jsou párovány k zařízením z WiFi accountingu.

Bezpečnost sítě

Do sítě je možné připojit pouze zařízení, která jsou registrována v IS.SH. U switchů je autorizace zařízení řešena pomocí port-security a IP + IPv6 FHS, volitelně 802.1x. Na WiFi pak ověřování klientského zařízení na Radiusu.

klub/itsluzby/sit.txt · Poslední úprava: 2020/09/11 23:47 autor: tux