Frank's - ETSV Scintilla - Universiteit Twente

More documents

Recommendations

Info

$LaTeX -- Cursus voor beginners - Een introductie in ... - ETSV Scintilla$

commissieVoorbeeld van een VLAN-configuratie onder Windows (Winscin). Je kunt als beheerdernieuwe VLAN’s toevoegen door het gewenste VID in te vullen. In deze afbeelding kan ‘UntaggedVLAN’ niet (meer) worden toegevoegd, omdat er al een untagged interface (VID 0,Scintilla) aanwezig is.met VID 14 meekrijgt. Dit gebeurt voordatde daadwerkelijke switch het verkeer naarde juiste poort stuurt. De ‘kern’ van de managedswitch zal dus pakketjes met VID 14van poort 6 krijgen en pakketjes met VID15 van poort 5. Deze zitten niet (meer) inhetzelfde netwerk, waardoor de computersniet (op ethernetniveau) met elkaar kunnenpraten. Andersom zal de configuratieer ook voor zorgen dat verkeer met VID15 weer zonder tag op het fysieke poortje 5van de switch uitkomt, zodat de computerdie daarop is aangesloten het pakketje noggewoon begrijpt. Dit wordt “untagged”genoemd: de ethernet-pakketten komenzonder VLAN-tag uit het fysieke poortjeop de switch.Een andere manier is om de tag op hetethernet-pakketje te laten staan (“tagged”).Dit vereist wel dat de computer die op datpoortje is aangesloten, is ingesteld om pakketjesmet dat specifieke VID te ontvangenen te versturen. Het VLAN-tag dat aanhet ethernetpakketje is toegevoegd wordtnamelijk in de header meegegeven en alseen computer dit niet begrijpt, zal het pakketjeniet verwerkt kunnen worden. In vrijwelalle gevallen kun je het besturingssysteemvertellen dat een bepaald VLAN-taggebruikt moet worden op de netwerkinterface.Het gebruik van een tagged VLANneemt nog een voordeel met zich mee: jekunt namelijk pakketjes met verschillendeVID’s een poortje uit laten komen. Als jevervolgens de computer die is aangeslotenop het poortje kunt vertellen dat elk vandeze pakketjes moet worden ontvangen,dan kun je dus deelnemen aan meerdere(V)LAN’s. De mogelijkheid van het instellenvan meerdere VID’s is, als je Windowsgebruikt, afhankelijk van je netwerkdrivers,maar in Linux kan dit met de juistekernelmodules altijd ingesteld worden. Ditresulteert ook echt in meerdere virtuelenetwerkkaarten en daarmee virtuele LAN’s.De gebruiker moet immers niet zelf hoevennadenken over welk VID bij welk LANhoort.De meeste managed switches hebben een‘uplink’-poort ingesteld die pakketjes vanvrijwel alle VID’s doorstuurt en ontvangt.Zo kunnen VLAN’s ook over switches heenblijven bestaan: als een pakketje met VID 5een switch verlaat en binnen komt op eenandere switch, dan behoudt deze zijn tagen kan hij alsnog worden afgeleverd op eenpoortje met een apparaat dat VID 5 accepteert,of via een poortje dat de tag met VID5 verwijdert en het pakketje untagged ophet fysieke poortje doorlaat.Managed switches kunnen (en moeten)ook worden geconfigureerd om bepaaldeVLAN’s niet te accepteren. Hiermeevoorkom je dat je zelf een computer kuntaansluiten op bijvoorbeeld het fysiekepoortje 8 van de switch en de computer vervolgensinstelt om bijvoorbeeld pakketjesmet VID 5 te verzenden en te ontvangen,terwijl je helemaal geen toegang zou mogenhebben tot dit VLAN. Een switch kan zoingesteld worden dat pakketten met VID 5niet worden geaccepteerd. Deze zullen dan30jaargang 30editie 1
commissieroot@patricia:~# ifconfigeth0 Link encap:Ethernet HWaddr 00:40:63:f4:ae:c5inet addr:10.0.3.55 Bcast:10.0.3.255 Mask:255.255.252.0inet6 addr: fe80::240:63ff:fef4:aec5/64 Scope:LinkUP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1RX packets:4505540 errors:0 dropped:0 overruns:0 frame:0TX packets:1929565 errors:0 dropped:0 overruns:0 carrier:0collisions:0 txqueuelen:1000RX bytes:406956444 (388.1 MiB) TX bytes:172837196 (164.8 MiB)Interrupt:18 Base address:0xf800eth0.1803 Link encap:Ethernet HWaddr 00:40:63:f4:ae:c5inet addr:130.89.190.87 Bcast:130.89.190.255 Mask:255.255.255.0inet6 addr: fe80::240:63ff:fef4:aec5/64 Scope:LinkUP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1RX packets:4462619 errors:0 dropped:0 overruns:0 frame:0TX packets:1929534 errors:0 dropped:0 overruns:0 carrier:0collisions:0 txqueuelen:0RX bytes:322676074 (307.7 MiB) TX bytes:172830998 (164.8 MiB)De netwerkconfiguratie van een thinclient in de SK. In de groene cirkels staat de naam van de netwerkinterface, in de gele cirkels het IP-adresen in de rode cirkels het MAC-adres. Hier kun je zien dat het om dezelfde fysieke netwerkkaart gaat (het MAC-adres is gelijk), maar dat ervirtuele netwerkkaarten in Linux zijn aangemaakt. eth0 is de untagged VLAN-interface en eth0.1803 de tagged 1803 VLAN-interface.zowel aan de inkomende als uitgaande kantvan het poortje geblokkeerd worden. Jouwcomputer zal daardoor geen verbindingkunnen krijgen met dit netwerk.Het EducaféTerug naar de situatie bij Scintilla, na deverhuizing. Scintilla had zijn eigen LAN(namelijk het netwerk achter Utelscin) enwilde dit graag behouden. Inter-Actief, devereniging die tegelijkertijd verhuisde, hadhetzelfde ‘probleem’: de beheerders vandie vereniging wilden hun eigen netwerk(toevallig met IP-adressen ’10.1.x.y’) ookbehouden en wilden hun router ook in eenserverruimte op de UT ophangen. ICTSheeft toen voor de studieverenigingen vanEWI (Abacus had hier overigens geen lastvan) een VID gereserveerd. Utelscin (enook de server van Inter-Actief ) werdenaangesloten op de switch in de serverruimteen die switch plaatst op elk pakketje datbinnen komt op een van die poortjes eentag met VID 165, het ‘EWI-SV Backend’-VLAN. Met deze tag op zak kunnen deethernet-pakketjes de weg naar het Educafémoeiteloos vinden zonder dat een willekeurigander persoon op UTnet dit verkeerook binnen krijgt: vrijwel alle (uitgaande)poortjes op de switch zijn namelijk ontoegankelijkvoor pakketjes met VID 165,maar de managed switch in het Educaféaccepteert deze pakketjes wel. Vervolgenswordt het tag weer van de pakketjes gehaaldop alle poortjes waar een Scintilla- of Inter-Actief-computer op is aangesloten. DoordatScintilla een andere IP-ruimte gebruiktdan Inter-Actief treden daar geen IP-conflictenop en kunnen beide netwerken naastelkaar op hetzelfde (V)LAN draaien. Voorde volledigheid: de switch in het Educaféhangt in het borrelhok en de poortjes zijnaangesloten op de netwerkaansluitingen inde Scintilla-kamer.Opheffen NATDeze uitleg is echter nog geen directe reactieop de opmerkingen uit de inleiding. Allepoortjes die in de SK uitkomen zijn namelijkin de switch ingesteld om VID 165 teaccepteren en untagged aan te bieden. Eris dus (nog) geen sprake van verkeerdepoortjes.Ruim een jaar geleden heeft ICTS aangegevendat ze VLAN’s die tussen meerderegebouwen liggen willen afschaffen.Aangezien het EWI-studentenVLAN tussende serverruimte en de Zilverling ligt,wil ICTS graag dat dit VLAN wordt afgeschaft.Daar komt bij dat ICTS wil dat ergeen NAT (de situatie waarbij meerderecomputers achter 1 internetaansluitingzitten) gebruikt wordt. Als er namelijkkwaadaardige activiteit op een internetaansluitingwordt waargenomen, hoeftniet het volledige NAT (en dus de volledigeinternetaansluiting van Scintilla) afgeslotente worden, maar kan alleen de kwaadaardigemachine geblokkeerd worden.Het SOT is bereid hier aan mee te werken,maar omdat we te maken hebben met vrijwilligersdie ook nog willen studeren, kandit niet in een keer veranderd worden. Ermoet namelijk goed nagedacht wordenover beveiliging (als de computers niet meerachter de sterke Utelscin zitten, maar rechtstreeksaan het boze internet, dan moetelke machine zelf gefirewalled worden) enook de netwerk-boot (zie Vonk 27-1) diegebruikt wordt, werkt niet meer zo makkelijk.Het SOT voelde daarom veel vooreen overgangssituatie, waarbij de computers(tijdelijk) zowel rechtstreeks op UTnetals op het oude vertrouwde EWI-SV Backend-VLANwaren aangesloten. Normaalgesproken zou dit erg lastig worden, methet beperkte aantal netwerkpoortjes in deSK en het feit dat een thin client maar 1jaargang 30editie 131
Page 2 and 3: “Ik moet over degrenzen van mijne
Page 4 and 5: inhoudVan de PresNieuwsSolar TomHet
Page 6 and 7: nieuwsNieuws uit hetvakgebiedAuteur
Page 8 and 9: solartomSolarTomAuteur: Tom VockeFo
Page 10 and 11: had verwacht dat ik redelijk kapot
Page 12: Het 82e bestuurderE.T.S.V. Scintill
Page 15 and 16: estuurDenick MurrayBoekencommissari
Page 18 and 19: vonklustrumIn den beginne...Dit jaa
Page 20 and 21: commissieStudiereis ChinaNa het uit
Page 22 and 23: stageStage Indonesië:Institut Tekn
Page 24 and 25: stageDe octorotorhet fysieke contac
Page 26 and 27: fotopaginaConstitutieIntroductie24j
Page 28 and 29: de junctieDe JunctieAuteur: Tijmen
Page 30 and 31: commissieVirtuele LAN’s:Hoe IEEE
Page 34 and 35: commissienetwerkpoort heeft, maar V
Page 36 and 37: carrièrePromovendi, watdoen ze nou
Page 38 and 39: stageStage VerenigdeStaten:Wyss Ins
Page 40 and 41: Het ElektronischVervoer CentrumAute
Page 42 and 43: een Qugo stappen: een driewieler be
Page 44 and 45: opdrachtNanotexturedsurfaces for so
Page 46 and 47: opdrachtFiguur 6: AFM van onderetst
Page 48 and 49: hobbyHobby:Het dobbelsteenprojectAu
Page 50 and 51: columnBad AppleAuteur: Marcel Wenti
Page 52: Ontwikkeld in Almelo.Geproduceerd i

Frank's - ETSV Scintilla - Universiteit Twente

Create successful ePaper yourself

Delete template?

Save as template?