IP címkiosztási stratégia egy iskolában
2003/11/24 22:41
2275 megtekintés
A cikk már legalább egy éve nem frissült, az akkor még aktuális információk lehet, hogy mára elavultak.
Ahhoz, hogy a számítógépeink és hálózati eszközeink kommunikálni tudjanak egymással a helyi hálózaton és az Interneten, IP címeket kell adnunk nekik. A Sulinet minden intézmény számára biztosít egy 16 címből álló tartományt, ebből azonban 3 db felhasználása eleve kötött, a maradék 13 db első látásra lehet, hogy kevésnek tűnik. Mi mást mondunk: Lehet, hogy több is, mint elég !

Címfordítás

A megoldás lényege, hogy csak azoknak az eszközeinknek adunk nyilvános IP címet, amelyeket láttatni szeretnénk az Internet felől is, és valami oknál fogva nem kívánunk címfordítást (NAT, Network Address Translating) használni. NAT kiszolgálót vagy szoftveresen, hálózati operációs rendszerünk segítségével készíthetünk, vagy veszünk egy célhardvert, ún. broadband routert. Ezek a már 15-25 ezer forintért kapható kis céleszközök rendszerint maximum 254 számítógép vagy hálózati eszköz számára biztosítják a címfordítást.

A címfordítás lényege az, hogy a NAT kiszolgáló a megkapja a belső, internet számára nem látható és továbbíható IP címeket tartalmazó eszközöktől az Internet felé küldött csomagokat, és azt a saját nevében, immár érvényes IP címmel továbbítja az Internet felé. A válaszul érkezett csomagokat pedig továbbküldi a feladónak. Ilyen egyszerű az egész! Ez egyúttal egyfajta védelmet is ad a helyi hálózat gépei számára, mivel ezek a gépek az internetről nem 'szólíthatók' meg.

Nyilvános és nem nyilvános IP címek

Helyi hálózatunkon mindenképpen használjunk belső, ún. "internetre nem routolható" címtartományt. Ilyenek pl. a 10.x.y.z, és a 192.168.x.y tartományok. Ezzel mindenképpen biztosítjuk a belső hálózatunk alapvető védelmét a legtöbb kívülről kezdeményezett internetes támadással szemben, és a sulinet irodától kaptt 16 IP címet tartalmazó címtartomány 13 felhasználható címe is elegendő lesz. Egy jól konfigurált NAT / tűzfal megoldással elérhetjük, hogy elegendő csupán a tűzfalnak külső címet adni, minden más maradhat a belső hálózaton.

A legtöbb esetben azonban általában csak egy szerverrel rendelkezik az iskola az indulás pillanatában, így a rendszergazda kénytelen a kiszolgálójának publikus és belső címet egyaránt adni. Ha csak lehet, üzemeltessünk több kiszolgálót, és a DNS/web/levelezől szerver kivételével minden másnak, pl. a fájlszervereknek és nyomtatóknak, egyéb hálózati eszközöknek (pl. menedzselhető switch) csak belső címet adjunk. Ebben az esetben a csak belső címmel rendelkező eszközök (számítógép, nyomtató, stb) csak a címfordítás szolgáltatás segítségével érhetik el az internetet.

A példában használjuk a következő címzési rendszert

10.1.Y.Z /255.255.0.0 Láthatjuk, hogy az egyes eszközöket két byte-on tudjuk azonosítani. Legyen az "Y" byte az alhálózat azonosító, azaz a helyiség, vagy szegmens, ahol az eszköz található. Legyen "Z" byte az eszköz sorszáma, az alhálózaton belül. Ez a rendszer akár több ezer végpontos hálózatok címzésének kialakítására is megfelelő, szükség esetén az "X" byte-ot is bevonva az azonosításba. A fentiek alapján legelőször az látszik, hogy alhálózatonként 28-2 (hálózat és broadcast cím!) = 254 db cím kiosztására van lehetőségünk, mivel ennyit biztosít a "Z" byte. A legtöbb tanteremben 10-35 számítógép van, és nehéz elképzelni az épületen belül olyan helyet, ahol 254 vagy több IP címet igénylő eszközt elhelyezhetnénk. A lényeg azonban az "Y" byte-ban van elrejtve.

Vegyük számba a biteket, ebből van 8 db, ami 1-1 helyiérték. Tegyük fel, hogy jó lenne, ha már az IP cím alapján is láthatnánk, hogy egy eszköz hol foglal helyet a hierarchiában, így minél magasabb helyiértéket használunk a szegmens / helyiség azonosítására, annál fontosabb az eszköz. Ennek az elvnek jó hasznát vesszük majd a tűzfalunk, vagy VLAN-jaink kialakítása során, mivel biztosíthatjuk a szegmensek / alhálózatok önálló védelmét, akár egymással szemben is.

A példa iskolában van 6 számítástechnika terem, termenként 18 géppel. Van 12 olyan tanterem, ahol van 1-2 számítógép, és diákok is hozzáférhetnek. Van 3 tanári szoba, szobánként 2-3 számítógéppel. Van külön szoba a számítástechnika tanároknak, és természetesen az egyik emeleten találhatóak a gazdasági, igazgatói helyiségek. Külön irodája van a rendszergazdának, és van egy szerverszoba.

Ekkor a következő kiosztást használjuk az alhálózat azonosítására:

  • 1-4. bit: tantermi alhálózatok (24=16 alhálózat kialakítását teszi lehetővé)
  • 5. bit: tanári alhálózat (16 alhálózat kialakítását teszi lehetővé)
  • 6. bit: adminisztratív alhálózat (32 alhálózat kialakítását teszi lehetővé)
  • 7. bit: IT üzemeltetői alhálózat (64 alhálózat kialakítását teszi lehetővé)
  • 8. bit: szerver szegmens (128 alhálózat kialakítását teszi lehetővé)

így a tűzfalunkban akár IP hálózat szerint is szabályozhatunk. Példa: ha tanítási időben le akarjuk tiltani a diákság által használt gépek internet elérését, akkor a következő hálózatcím/maszk párt használva egyszerűen definiálhatjuk a kizárandó gépeket:

  • 10.1.0.0/255.255.240.0

Az ajánlott címkiosztás ebben az esetben:

  • 10.1.1.z: Az SZT1 számítástechnika tanterem számítógépei
  • 10.1.2.z: Az SZT2 számítástechnika tanterem számítógépei
  • 10.1.6.z: Az SZT6 számítástechnika tanterem számítógépei
  • 10.1.10.z: A nem számítástechnika tanteremben levő számítógépek
  • 10.1.16.z: A tanári szoba számítógépei
  • 10.1.17.z: A D1 tanári dolgozó számítógépei
  • 10.1.18.z: A D2 tanári dolgozó számítógépei
  • 10.1.19.z: Tanári notebookok
  • 10.1.32.z: Igazgatósági szegmens
  • 10.1.33.z: Gazdasági szegmens
  • 10.1.64.z: Rendszergazdai szoba gépei, rendszergazda notebookja
  • 10.1.128.z: szerverek, nyomtatók, menedzselhető switchek
  • 10.1.129.z: vezeték nélküli, 802.11b eszközök

Végezetül egy jó tanács

Ha számítógépeinkre felragasztjuk az IP cím második felének y.z tagjait, egyértelműen tudja bárki azonosítani az adott eszközt. Ennek nagy jelentősége lesz később, a hálózatunk működtetése során. Az így azonosított, és elhelyezett eszközökről rajzoljunk egy stilizált térképet, így hibajelzés, vagy hibabejelentés esetén könnyen megtaláljuk az adott eszközt.

Felhasználóink hálásak lesznek, ha mi már a hibák megjelenése előtt tudunk intézkedni, nem zavarva őket napi munkájukban. Pl. egy hálózati víruspajzs jelez, hogy adott IP címről vírusos fájlt próbáltak írni a szerverre... És hogy hogyan osszuk ki az IP címeket ? Hát DHCP szerverrel! Az operációs rendszerekkel foglalkozó szekciókban már van a konkrét hogyannal foglalkozó leírás is!

Csatlakozz hozzánk!

Ajánljuk

European Schoolnet Academy Ingyenes online tanfolyamok tanároknak
School Education Gateway Ingyenes tanfolyamok és sok más tanárok számára
ENABLE pilot Program iskoláknak a bullying ellen
eBiztonság Minősítés Minősítési rendszer oktatási intézményeknek