MITTUNIVERSITETETAvdelningen for informations- och kommunikationssystemExaminator: Lennart Franked, lennart.franked@miun.seHandledare: Magnus Eriksson, magnus.eriksson@miun.seForfattare: Erik Persson, erpe1402@student.miun.seUtbildningsprogram: Natverksdrift, 120 hpKursnamn: DT140G, Datateknik B-niva, Sjalvstandigt arbete 15 hpHuvudomrade: NatverksteknikTermin, ar: VT, 2017

2

Sammanfattning

Svenska Kyrkan i Norrkoping upplever idag att de har ett virtuelltintranat som skulle kunna fungera battre. Problematiken tycker de lig-ger i underliga trafikfloden, utarmning av IP-adresser och hog komplex-itet. Dartill undrar de om det inte ar hog tid att hoja bandbreddenut fran flera av byggnaderna. Min malsattning med arbetet ar att uti-fran de storsta forsamlingarna samt Kyrkans Hus - dar organisationensIT-kontor och serverfarm ar belagna - kunna ge rekommendationer paatgarder och forandringar som ska kunna avhjalpa denna problematikoch forhoppningsvis framtidssakra nagra av dessa aspekter.

Under mitt arbete har jag tagit ut rudimentara baselinematningar,IP-adresseringstabeller och sammanstallningar av trafikfloden i syfte attskapa en nulagesanalys. Jag har ocksa amnat illustrera den problematiksom lag till grund for arbetets utformning. I min rapport har jag ocksa be-handlat moderna IT-trender sasom tunna klienter, virtualiseringsmiljoeroch BYOD, Bring Your Own Device.

Detta arbete har resulterat i ett generellt designforslag med redun-danslankar, gastnatverk och stod for IPv6 med olika alternativ inom samt-liga aspekter, vilka kan anvandas for att skraddarsy implementeringen avde olika teknologierna. For en mer allomfattande, grundlig och slutgil-tig design av intranatet som helhet skulle en mer omfattande dokumen-tation behovas, tillsammans med uppskattning av natverksanvandning,IP-adressering samt budgetering.

Abstract

The Church of Sweden in Norrkoping are currently faced with a virtualintranet that they feel could be improved. Some of the problems theyhave identified are unusual traffic forwarding patterns, exhaustion of theIP address pool and a high level of complexity. In addition, they feel thatit might be time to increase the bandwidth that some of the buildingshave access to. My goal with this paper - based on the largest parishesand Kyrkans Hus, where the organization’s IT office and server farm lies- is to give recommendations in terms of actions and changes that couldmitigate these issues and hopefully provide a more future proof solution.

During my work I have taken some rudimentary baseline readings, IPaddressing tables and compilations of network flows, in order to create acurrent situation analysis, which I have used to draw some of my conclu-sions. I have also aimed to illustrate the problems that have formed thefoundation for this work. In my report I have also discussed some modernIT trends, such as thin clients, virtual environments and BYOD, or BringYour Own Device.

This assignment has resulted in a general design proposal with redun-dant links, guest networks and IPv6 support, with different alternativeswithin each aspect, which can be used to further tailor the implementa-tions of the different technologies. For a more all encompassing, thoroughdesign of the intranet as a whole we’d need a more complete documen-tation, together with approximations and evaulations regarding networkusage, IP addressing and budget.

3

Innehall

1 Terminologi 6

2 Introduktion 82.1 Bakgrund . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82.2 Syfte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92.3 Avgransningar . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92.4 Oversikt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

3 Teori 113.1 Kort om OSI-modellen . . . . . . . . . . . . . . . . . . . . . . . . 113.2 Portar och natverksadresser . . . . . . . . . . . . . . . . . . . . . 11

3.2.1 MAC-adresser . . . . . . . . . . . . . . . . . . . . . . . . . 123.2.2 IP-adresser . . . . . . . . . . . . . . . . . . . . . . . . . . 123.2.3 IPv6-adresser . . . . . . . . . . . . . . . . . . . . . . . . . 133.2.4 Portar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

3.3 Insamling av data . . . . . . . . . . . . . . . . . . . . . . . . . . 143.3.1 SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143.3.2 TCPDump . . . . . . . . . . . . . . . . . . . . . . . . . . 143.3.3 Nmap . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143.3.4 Traceroute . . . . . . . . . . . . . . . . . . . . . . . . . . 15

3.4 Citrix . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153.5 VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153.6 Redundans . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163.7 Python . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163.8 Program . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

3.8.1 Dia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173.8.2 Packet Tracer . . . . . . . . . . . . . . . . . . . . . . . . . 17

4 Metodik 184.1 Matenheter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184.2 Scripts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

4.2.1 Overforingshastigheter . . . . . . . . . . . . . . . . . . . . 194.2.2 Trafikfloden . . . . . . . . . . . . . . . . . . . . . . . . . . 214.2.3 VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224.2.4 NMap . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

4.3 Laboration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 244.3.1 Genomforande . . . . . . . . . . . . . . . . . . . . . . . . 24

5 Resultat 265.1 Nulagesanalys . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26

5.1.1 IP-adressering . . . . . . . . . . . . . . . . . . . . . . . . 265.1.2 Trafikfloden . . . . . . . . . . . . . . . . . . . . . . . . . . 265.1.3 Bandbredd . . . . . . . . . . . . . . . . . . . . . . . . . . 27

4

5.1.4 Topologi . . . . . . . . . . . . . . . . . . . . . . . . . . . . 285.1.5 Laboration . . . . . . . . . . . . . . . . . . . . . . . . . . 30

5.2 Designforslag . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 305.2.1 Topologi . . . . . . . . . . . . . . . . . . . . . . . . . . . . 305.2.2 Bandbredd . . . . . . . . . . . . . . . . . . . . . . . . . . 305.2.3 IP-adressering . . . . . . . . . . . . . . . . . . . . . . . . 315.2.4 Teoretisk prisbild . . . . . . . . . . . . . . . . . . . . . . . 335.2.5 Atgarder och vidare rekommendationer . . . . . . . . . . 35

6 Diskussion och slutsats 366.1 Packet Tracer: Utmaningar och hinder . . . . . . . . . . . . . . . 366.2 Etik och samhalleliga aspekter . . . . . . . . . . . . . . . . . . . 37

7 Referenser 38

8 Bilagor 408.1 Matdata Natverksanvandning . . . . . . . . . . . . . . . . . . . . 408.2 Konfigurationsfiler Packet Tracer . . . . . . . . . . . . . . . . . . 44

5

1 Terminologi

I min rapport anvander jag en rad termer som for lasarens skull borde redas ut.

• Adressrymd - Ett antal sammanhangande adresser som tilldelas natverks-enheter och noder i natverket.

• Subnatverk - En avgransning eller indelning av organisationens totalaadressrymd. Subnatets storlek avgors av dess natverksmask.

• Natverksmask - Avgor hur manga bitar av ip-adresserna som ar lasta.Genom att forandra langden pa var natverksmask kan vi skapa olikasubnatverk som inte inkraktar pa varandras respektive adressrymder.

• VLAN - Virtual Local Area Network. Enkelt uttryckt ett virtuellt natverk.Ett VLAN later oss dela in anvandarna i olika grupper som framst kankommunicera med varandra och olika tjanster eller enheter i var gemen-samma infrastruktur.

• Intranat - En organistations infrastruktur. Ett intranat sammankopplarolika byggnader och bildar ett gemensamt privat natverk.

• VPN - Virtual Private Network. I kort amnar en VPN-tjanst att forlangadet privata natverket over delad infrastrutkur, vilet i vart fall ar Internet.

• VPNC - Virtual Private Network Client. Ett program som anvands foratt skapa en VPN-anslutning direkt mot en Ciscoenhet kallad Cisco 3000VPN Concentrator. Skapar en IPsec-lik anslutning och levererar en sakeranslutning over delad infrastruktur.

• Script - Ett enklare program som exekveras antingen av en anvandare ellerautomatiskt av ett system.

• Redundans - Mekanism dar likadana eller snarlika enheter eller lankaraterfinns for att sakra driftsakerhet i ett system. Skulle en lank sluta fun-gera har man i forvag satt upp en reservlank som trafiken kan fardasgenom.

• ISP - Internet Service Provider, eller Internettjansteleverantor. Exempelpa dessa, Bredbandsbolaget, Telia.

• SSH - Secure Shell. Ett kryptografiskt natverksprotokoll som upprattarsakra anslutningar mellan enheter over oppna natverk.

• SCP - Secure Copy. Ett program som utnyttjar SSH for att uppratta sakraanslutningar som sedan anvands for overforing av filer.

• DHCP - Dynamic Host Configuration Protocol. Ett protokoll som kanforse klienter och slutenheter med ett flertal uppgifter som behovs viddet aktuella natverket, sasom IP-adressering, gateway och liknande. En

6

DHCP-server har en sa kallad pool av adresser, vilken innehaller ledigaadresser som nya klienter kan tilldelas for anslutning mot natverket.

7

2 Introduktion

Idag finns det flera moderna IT-trender som staller sarskilda krav pa infrastruk-turen. Sedan det forra decenniet har Bring Your Own Device, eller BYOD, full-komligt exploderat till foljd av de smarta telefonernas och lasplattornas intag.Detta leder till att organisationer har storre behov av stora adresseringspoo-ler for att ackommodera sina anvandare och anstallda. En annan trend ar denmed tunna klienter, dar personliga datorer fullutrustade med hardvara och lag-ringsutrymme ger plats at mindre och svagare arbetsstationer, vilka laddar sinaskrivbord och arbetsmiljoer fran en central server. Detta staller i sin tur hogrekrav pa infrastrukturen da det genererar mer natverkstrafik. Manga arbetarocksa hemifran eller fran mindre kontor och ansluter sig da till organisationensnatverk med hjalp av virtuella privata anslutningar, vilka krypterar trafiken ochskyddar den fran avlyssning eller forandring mellan slutpunkter. Sammantagetkontrasterar dessa trender som vardesatter integritet och flexibilitet kraftigt mot90talets dedikerade arbetsstationer och ganska rigida natverkslandskap. Mangaorganisationer tvingas darfor implementera flera moderna tekniker sasom IPv6,molnlagring, Security as a Service och VPN for att komma till ratta med dessanya utmaningar.

2.1 Bakgrund

Kyrknatet omfattar ett av Sveriges storsta pastorat, och sammankopplar ettstort antal byggnader, kontor, kyrkor och forsamlingar. Verksamhetersomradenaar manga, och innefattar utover de man vanligtvis forknippar med kyrkan - be-gravningar, brollop, dop, m.m. - ocksa vuxen- och ungdomsaktiviteter, musik-utovning och radgivning.

Sedan Kyrknatet forst upprattades har flera byggnader tillkommit och nat-verket har utvecklats gradvis. Detta har lett till att delar av dokumentatio-nen idag saknas eller blivit inaktuell. Behoven har vidare forandrats under2000-talet, sarskilt i fraga om IP-adressering. Tidigare var det vanligt att var-je anvandare hade en arbetsstation, vilken anvande sig av en enda IP-adress.Langre in pa 2000-talet vaxte BYOD-trenden, vilket innebar att en enda anvan-dare kan konsumera fler IP-adresser an tidigare till foljd av mobiltelefoner, lap-tops och lasplattor. Anvandare som ar hemmahorande i de byggnader som harmanga besokare kan da sla pa sina enheter bara for att upptacka att de inte harnagon natverksanslutning, da DHCP-servern inte langre har nagra adresser attdela ut, vilket forsvarar dagligverksamheten for de anstallda.

Man har ocksa borjat ga over mot en virtuell miljo dar anvandarna an-sluter sig via tunna klienter mot en server som tillhandahaller deras operativ-system och lagringsutrymme. Detta staller hogre krav pa infrastrukturen danatverksanvand-ningen okar. Denna miljo staller ocksa storre krav pa redun-danslankar som kan hjalpa till att forsakra att anvandarna har fortsatt anslut-ning mot virtualiseringsservern om en lank skulle ga ned.

8

2.2 Syfte

Syftet med uppdraget ar att dokumentera och mata olika faktorer och variablersom anknyter till de problem som man upplever finns i natverket. Dessa faktoreroch variabler kan vara overforingshastighet, IP-adressering eller trafikfloden.Med hjalp av denna information kan man utforma en nulagesanalys, vilkenska ligga till grund for ett designforslag. Designforslaget bor da pavisa hur enorganisation kan forandra sin infrastruktur for att pa ett battre satt mota de IT-trender som idag vaxer i popularitet, bade i fraga om virtualisering och BYOD.

• Bring Your Own Device utarmar DHCP-pooler och kan i varsta fall omojlig-gora arbete over natverket for de anstallda.

• Virtualiseringstrenden bidrar till hogre natverksanvandning da arbets-miljoer och filsystem levereras over natverket till de olika anvandarna.Fordelarna ar manga, sasom en hogre niva av flexibilitet och en un-derlattad administrativ borda, men dessa teknologier kan medfora attnatverkslankar blir mattade med natverkstrafik, vilket paverkar prestan-dan och arbetet i negativ mening.

• Bristen pa redundans gor att natverket ar mycket kansligt for driftstorningar.En enda lank levererar anslutning till potentiellt hundratals anvandare.Skulle denna lank ga ned avbryts all kommunikation for de som omfat-tas av anslutningen, vilket omojliggor kommunikation med de servrar somlevererar arbetsmiljoer, filsystem och viktiga kommunikationspartners.

2.3 Avgransningar

Min huvudsakliga avgransning stod i forhallande till det antal byggnader ellerforsamlingar jag skulle undersoka, dokumentera och analysera i avseendena tra-fikfloden, bandbredd och IP-adressering. Avgransningen avser alltsa pastoratetsfyra storsta forsamlingar samt Kyrkans Hus, dar IT-avdelningen och serverfar-men ligger. Andra byggnader och forsamlingar har inte haft samma utrymmei mitt arbete, men kommer anda tas i med i berakningarna for resultatdelenutifran den information som eventuellt finns att tillga.

2.4 Oversikt

I borjan av min rapport har jag sammanfattat mitt arbete och mina resultatoch slutsatser. I de efterfoljande avsnitten har jag delgett en introduktion [2],bakgrund [2.1], syfte [2.2] samt avgransningar [2.3]. I de kommande delarnaav min rapport kommer jag presentera teorin [3] bakom de protokoll, programoch metoder jag anvant mig av i mitt losningsforslag. Jag kommer ocksa delgeen beskrivning av hur jag gick till vaga i mitt metodikavsnitt[4]. Dar kommerjag ocksa motivera mina val av program och utformningen av mina script. Jagkommer ocksa motivera varfor jag valt att ga tillvaga pa ett visst satt och forsokabelysa for- och nackdelar mellan olika tillvagagangssatt. I resultatdelen kommer

9

jag presentera mina fynd och mitt designforslag [5]. Darefter kommer jag i mittdiskussionsavsnitt [6] skriva om de saker som gick mer eller mindre bra, hur jagkanner jag uppfyllt syftet med arbetet, samt en kort text om etiska aspekter.Slutligen finns ett avsnitt med bilagor i slutet av rapporten [8].

10

3 Teori

3.1 Kort om OSI-modellen

OSI-modellen ar en konceptuell modell som amnar dela in de olika nivaerna avIT-kommunikation i olika lager.

Tabell 1: OSI-ModellenLager Namn Syfte7 Applikationslagret Leverar natverksprocesser till applikationer.

6 PresentationslagretHanterar kryptering och oversattning av datamellan natverkstjanster och applikationer.

5 SessionslagretHanterar kommunikationssessioner, vilketmojliggor att en anslutning kan upprattas forflera overforingar.

4 TransportlagretHanterar segmentering och ankomstkontroll.Anvander protokoll som UDP och TCP.

3 NatverkslagretHanterar forsandelser av sa kallade packetsmellan IP-adresserade enheter. Anvander sigav logisk adressering, IP.

2 DatalankslagretHanterar forsandelser av sa kallade framesover ett det fysiska lagret. Anvander sig avfysisk adressering, MAC.

1 Fysiska lagretSkickar och tar emotbitstrommar over ett fysiskt medium.

Med hjalp av OSI-modellen kan vi pa ett kategoriskt satt indela protokolleller natverkstjanster i olika grupper, baserat pa vilka funktioner de nyttjar ide olika lagren, vilka ocksa kallas for skickt. Ett exempel pa detta ar UDP ochTCP, vilka bada anvander sig av transportlagret for att fora over storre mangderdata, sasom vid laddning av webbsidor, filoverforing eller stromning av musikeller videor.

De lager jag framst kommer att behandla ar i forsta hand natverkslagretoch datalankslagret, vilka bada levererar adressering av natverksenheter. An-ledningen till detta ar att den infrastruktur vi bygger vart natverk pa i forstahand arbetar vid dessa lager, aven om de levererar stod for tjanster och appli-kationer som arbetar vid lager som hor hemma hogre upp i OSI-modellen.[16]

3.2 Portar och natverksadresser

Det finns en rad olika variabler som identifierar applikationer och enheter i IT-kommunikation.

11

3.2.1 MAC-adresser

En MAC-adress ar en mer basal adresstyp an IP-adresserna och befinner sigvid lager 2 i OSI-modellen, aven kallat datalankslagret. MAC star for MediaAccess Control, och ar en fysisk adress som ar tilldelad din enhets natverkskortvid tillverkningen. En MAC-adress anvands vid kommunikation med lokalanatverksenheter, sasom switchar och WiFi-accesspunkter[17]. MAC-adresser ochIP-adresser paras ihop for att lata olika enheter hitta ratt enhet att levereratrafik till, oavsett vilket lager de sjalva arbetar vid. En switch formedlar tra-fik baserat pa lager 2-information, medans en router formedlar trafik baseratpa lager 3-information. Parkopplingen innebar att bade MAC- och IP-adressaterfinns i varje IP-paket som formedlas, och enheterna kan da leta i paketetefter den information de sjalva anvander for trafikformedling[13].

3.2.2 IP-adresser

IP-adresser ar den typ av adress du ar mest trolig att ha kommit i kontaktmed som vanlig datoranvandare. IP ar en forkortning av Internet Protocol, vil-ket ar ett protokoll som befinner sig vid lager 3 av OSI-modellen, aven kalladnatverkslagret. En IP-adress ar en logisk identitetsuppgift som sarskiljer dinenhet fran alla andra natverksenheter. Den ar uppbyggd av fyra sa kallade ok-tetter, vilket ger oss atta ganger fyra bitar av information vi kan bygga enIP-adress av. En bit ar binar, vilket innebar att den kan ha tva olika varden -noll eller ett. Ettor och nollor i varje oktett kan kombineras for att skapa 256olika varden. Sammanlagt ger detta oss en forhallandevis stor uppsattning avmojliga kombinationer och unika adresser - strax over fyra miljarder[6]!

Stora delar av denna adressrymd anvands i syfte av publik adressering.Exempelvis har google.com IP-adress 216.58.209.142, vilket ar en del av den-na publika adressrymd. Alla webbsidor och internettjanster du ansluter tillanvander sig av en publik IP-adress. Andra delar av den totala adressrymdenanvands i privata natverk. Ett exempel pa en sadan adressrymd ar 172.16.0.0till 172.31.255.255. Denna adressrymd innehaller lite drygt en miljon unika IP-adresser. Privata adresser anvands som namnet antyder i privat infrastruktur,vilka omfattas av hemnatverk, kontorsmiljoer eller organisationers intranat. Ettintranat ar en rad sammankopplade byggnader eller kontor, som alla ar en delav ett privat eller internt natverk. En anledning till att man sarat pa den pub-lika och privata adressrymden ar den att det helt enkelt inte finns nog medIP-adresser for att alla IP-enheter ska kunna ha en publik IP-adress. De priva-ta adresserna kan da ateranvandas vid varje internt natverk[19]. En enhet kantilldelas en IP-adress bade manuellt och automatiskt. Vid automatisk tilldel-ning anvands en DHCP-server, vilken kommunicerar med natverksenheter narde forst ansluter sig till natverket. Om natverksenheten och DHCP-servern arkorrekt konfigurerade ska klienten kunna tilldelas en IP-adress, vilken tas franen pool av tillgangliga adresser. Vid kommunikation over Internet anvanderdessa interna enheter nagot som kallas for Network Address Translation, el-ler NAT[7][14], vilket later flera IP-enheter dela pa samma publika IP-adress

12

genom att man vidare identifierar de enskilda enheterna med port-nummer.Denna teknologi hjalper ur ett sakerhetsperspektiv till att dolja den internaIP-adresseringen, vilket gor att det blir svarare for utomstaende att oppna an-slutningar mot enskilda enheter.

3.2.3 IPv6-adresser

IPv6 ar som namnet antyder en teknologi som ar tankt att ersatta de klassis-ka IP-adresserna, vilka formellt kallas for IPv4. Eftersom IPv4 har en adress-rymd som redan ar utarmad och antalet IP-enheter hela tiden okar har manbehovt vidta sarskilda atgarder for att protokollet fortfarande ska fungera.En sadan atgard ar Network Address Translation, vilket later flera IP-enheterdela IP-adress[7][14]. Detta leder dock till okad komplexitet och ar inte enlangsiktig losning. IPv6 anvander sig av 128 bitar for att skapa en adress-rymd som motsvarar 340,282,366,920,938,463,463,374,607,431,768,211,456 unikaadresser. Jamforelsevis anvander IPv4 32 bitar for hela sin adressrymd, vilketmotsvarar 4,294,967,296 unika adresser[23, 691].

Eftersom IPv6 har en sa mycket storre adressrymd an IPv4 ar iden att al-la IPv6-enheter ska vara unikt adresserbara, vilket skulle gora teknologier somNetwork Address Translation overflodiga. Trots denna malsattning har IPv6 pre-cis som IPv4 en privat adressrymd, vilket tillsammans med Network AddressTranslation for med sig samma sakerhetsfordelar som foregangarens motsvarig-het.

Eftersom vi annu befinner oss i en overgangsperiod mellan IPv4 och IPv6tvingas man ofta vid implementeringen av IPv6 anvanda sig av overgangsteknologier,som amnar leverera stod at de olika protokollen baserat pa vilken typ av natverkman befinner sig vid. Ett sadant exempel ar 6to4, dar IPv6-natverk samman-kopplas via IPv4-natverk. IPv6-kommunikationen skickas da i sa kallade tunnlarover de natverkssegment som anvander sig av IPv4[2]. Dessa ar dock inte alltidstabila och introducerar en hogre konfigurationskomplexitet jamfort med atttill fullo implementera IPv6 tillsammans med IPv4, da dessa teknologier inte arexklusiva gentemot varandra. Alltsa kan bada samexistera pa samma natverkutan nagra stora problem.

Vill man att IPv6-enheter ska kunna kommunicera med IPv4-enheter och -servrar direkt behover man satta upp nagot som kallas for NAT64, eller NetworkAddress Translation 64. Denna teknologi ar definierad i RFC-standarden 6146[15].Denna teknologi oversatter IPv6-adresser till IPv4-adresser och implementerasvid de routrar som formedlar trafiken ut ur natverket.

3.2.4 Portar

Natverksapplikationer anvander sig av sa kallade portar, vilka ar virtuella grans-snitt mot vilka en session kan upprattas med hjalp av TCP, SCTP eller UDP.Detta mojliggor att HTTP, DNS, SSH eller ett annat protokoll kan uppratta enkommunikationskanal med specifika regler och parametrar, vilka de kan anvandavid aterkommande kommunikationer. Portnummer 0 till 1023 ar sa kallade well-

13

known ports, vilket innebar att tilldelningen i stort ar officiell och kopplad till enviss typ av applikation. Ett par vanliga exempel ar port 22 som anvands av SSHoch port 80 som anvands av HTTP. Man kan ocksa uppratta dessa applikationerpa andra portar med hjalp av sarskild konfiguration[1].

3.3 Insamling av data

Det finns en uppsjo av olika satt att samla in data i syfte att diagnostisera ochfelsoka ett natverk.

3.3.1 SNMP

Ett av de basta satten att samla in data och information som beror natverks-anvandning ar genom ett protokoll som heter SNMP, vilket star for SimpleNetwork Monitoring Protocol. Med SNMP kan man satta upp agenter och sakallade ”managers”, dar agenterna ar natverksenheter av olika slag. Dessa rap-porterar sin resursanvandning och skickar denna information till en managerpa natverket. Genom detta system kan en systemadministrator enkelt bevakaen rad olika typer av enheter och resurser pa natverket. Exempelvis kan mananvanda protokollet for att ta matdata direkt fran de natverksenheter som ar-betar med att formedla trafiken och man kan da enkelt se hur natverket anvandsoch satta upp baselines och liknande. Detta hjalper oss identifiera problem ochoverbelastning.

Det finns ocksa en rad olika program och tjanster som anvander sig av SNMPsom protokoll for insamling och presentation av data. Tva sadana program arLibreNMS och OpenNMS. Deras syften ar snarlika - de amnar att samla inSNMP-information for att automatiskt generera en aktuell och riktig topologi.Utover detta har de ocksa funktioner som later oss mata och overvaka en radolika variabler hos enheterna i natverket, sasom temperatur, natverksbelastning,minnes- och processoranvandning samt harddiskutrymme[24].

3.3.2 TCPDump

TCPDump ar ett program som kopierar samtliga paket som ror sig over ettnatverksgranssnitt och sparar dessa i en sa kallad pcap-fil[22]. Dessa filer kani efterhand filtreras eller itereras over av olika program eller script och analy-seras. Ett program som ar populart vid behandling av pcap-filer ar Wireshark.Nar man gar genom pcap-filer kan man filtrera pa en rad olika variabler ochutlasa en stor mangd av olika data. Exempelvis kan vi se var genomsnittligaoverforingshastighet for den givna fangstsessionen[26].

3.3.3 Nmap

Nmap ar ett program som anvander sig av sa kallade pings for att identifie-ra uppkopplade natverksenheter. Programmet anvander sig av IP-paket for attutrona vilken typ av enhet som patraffats, tillsammans med dess operativsy-stem och vilka portar som ar oppna. Baserat pa port-informationen kan man

14

gissa sig till vilka tjanster som ar aktiverade pa enheten. Nar man anvanderprogrammet kan man valja att skicka ett IP-paket till enskilda natverksadressereller specificera hela block av IP-adresser. Specificerar man fler an en IP-adressskickar programmet IP-paket i turordning till var IP-adress. Pa sa satt kan manundersoka hur manga IP-enheter som ar narvarande eller se vilka tjanster somar narvarande pa natverket[18].

3.3.4 Traceroute

Traceroute ar ett diagnosticeringsverktyg som informerar anvandaren om vilkanatverksenheter trafiken fardas via mot sin slutdestination. Detta verktyg ar avstort varde vid felsokning av natverk. Varje enhet som trafiken passerar kallas forett ”hop”. Traceroute har en stor fordel jamfort med ping. Ping synliggor barahuruvida vi far svar fran var tilltankta destination - traceroute pavisar ocksahur langt vi ror oss over infrastrukturen pa vag dit. Aven om vi inte kommerhela vagen fram kan vi fa tillgang till information som kan vara ovarderlig vidfelsokning eller analys[12].

3.4 Citrix

Inom pastoratet anvander de sig av Citrix, en foretagslosning som levereraren rad olika funktioner och tjanster. Exempel pa dessa tjanster ar virtuellaskrivbordsmiljoer, fildelning och access samt en rad molntjanster[10].

Virtuella skrivbordsmiljoer later en organisation skapa ett skraddarsytt ope-rativsystem som ar latt att fa ut till anvandarna. Detta kan underlatta admi-nistrationsbordan nar det kommer till uppdateringar och andra sysslor som lattkan bli tidskravande. Virtualiseringstekniken later anvandarna koppla upp sigvia sa kallade tunna klienter mot en server dar skrivbordsmiljon kors[9]. En tunnklient ar i regel billigare an en fullstor arbetsdator da de bara behover ha mini-mal hardvara och inte kraver lagringsutrymme eller hog prestanda. Detta laterocksa anvandaren att logga in vid vilken tunn klient som helst och fa tillgangtill sin egen arbetsmiljo. Den storsta nackdelen med denna typ av teknik ar attdet staller stora krav pa infrastruktur och serverhardvara, da belastningen padessa tva natverksaspekter okar markant jamfort med konventionella datorerdar operativsystemet kors direkt fran en intern harddisk.

3.5 VPN

VPN star for Virtual Private Network. Denna typ av teknologi anvands foratt skapa en saker anslutning over en delad och osaker infrastruktur. Den datasom skickas over var VPN-tunnel krypteras vid avsandaren och avkrypteras hosmottagaren. Skulle nagon avlyssna kommunikationen ar det alltsa inte mojligtatt tyda de meddelanden som skickas mellan de tva parterna[5].

VPN anvands inte bara for kommunikation mellan tva noder, utan kan somnamnet antyder anvandas for att skapa ett virtuellt natverk. Detta natverk ser

15

for anvandarna och enheterna ut att vara lokalt och infrastrukturen som forenarde platser som ar delar av natverket osynliggors.

3.6 Redundans

Redundans inom natverksteknik syftar pa anvandningen av mer eller mind-re identiska enheter eller grassnitt som utfor samma arbete, antingen samti-digt eller med en enhet i reserv tills den andra slutar fungerar som den ska.Detta avhjalper risken att kommunikationen avbryts vid sarskilda driftfel ellerstorningar[20]. Redundans kan antingen vara symmetrisk eller asymmetrisk.

Ett exempel pa symmetrisk redundans ar exempelvis lastbalansering, darflera granssnitt upprattar en enhetlig anslutning mot en annan natverksenhet.Denna logiska anslutning kan da pa olika satt fordela trafiken over de fysiskaanslutningarna[8], och kan automatiskt reagera och fortsatta fungera aven omen av de fysiska anslutningarna av nagon anledning skulle sluta fungera.

Asymmetrisk redundans kan upprattas med tva olika natverksenheter ellergranssnitt. Den ena enheten - oftast den snabbaste eller basta av dem - forsattsi ett aktivt lage och den andra enheten star i reserv och invantar eventuelladriftstorningar som far huvudenheten att sluta fungera pa ett onskvart satt.Da kan forhoppningsvis reservenheten ta over stafettpinnen och ta vid dar denandra enheten slutade. I basta fall sker detta pa ett satt som ar omarkbartfor anvandare och ovriga enheter pa natverket. Fordelen med denna typ avredundans ar ocksa att eftersom granssnitten ar oberoende av varandra, sa kanvi nyttja tva olika internetjansteleverantorer for de olika upplankarna. Dettakallas for multihoming[25]. Denna losning for med sig en fordel i det att olikaproblem som kan paverka en internettjansteleverantor kanske inte paverkar enannan, vilket forser oss inte med enbart fysisk redundans vid datalankslagret,utan hjalper oss att forsakra oss om att kommunikationen ska kunna fortga avenvid andra problem.

3.7 Python

Python ar ett programmeringssprak som ar valdigt manniskolasligt. Detta in-nebar att det ar enkelt att lara sig och enkelt att utlasa vad programkodengor, aven for en utomstaende. Programmeringsspraket ar open source och kankoras pa de flesta stora operativsystem, sasom Windows, Linux, MAC OSX ochHP-UX. Python har ocksa tillgang till tusentals paket och moduler som kanimporteras eller installeras for att utoka dess potential och anvandarvanlighet.Detta gor Python till ett programsprak som kan anvandas i en hel uppsjo avolika syften och aterfinns i en mangd olika verksamhetsomraden[21]. Pythonpro-gram kan ocksa enkelt schemalaggas att koras genom vad som callas for cron,vilket ar ett automatiseringsschema pa Linux.

16

3.8 Program

3.8.1 Dia

Dia ar ett program som anvands for att rita upp figurer, diagram och topologier.Det finns att installeras pa ett antal olika operativsystem och levereras medsymboler som motsvarar de som anvands av Cisco i deras kurslitteratur ochdokumentation[11].

3.8.2 Packet Tracer

Packet Tracer ar en virtuell laborationsmiljo som i forsta hand ar tankt atthjalpa till vid utlarandet av Ciscos kursmaterial CCNA, eller Cisco Certifi-ed Network Associate, vilket ar en sorts grundutbildning for natverkstekniker.Programmet forser anvandaren med en logisk topologi, vilken kan fyllas mednatverksenheter, slutstationer och sa vidare. Eftersom programmet ar tankt attframst anvandas vid CCNA-niva saknas mer komplexa funktioner och komman-don, vilka istallet omfattas av materialet kopplat till CCNP, eller Cisco CertifiedNetwork Proffessional, vilket ar den efterfoljande certifieringsniva Cisco erbju-der. Detta program kan med reservation for avsaknaden av nyckelfunktionerbetraktas som ett alternativ till en fysisk labbmiljo med akta hardvara[4].

17

4 Metodik

4.1 Matenheter

Pa plats i Kyrkans Hus inleddes arbetet med att satta ihop fem datorer, vil-ka skulle komma att anvandas for att ta matdata och fjarrstyras via SSH.For att kunna garantera att datorernas matresultat var jamforbara valdes femoverblivna datorer som hade moderna i5-processorer ut och deras RAM-minnenutokades fran 4GB till 8GB. Varje dator utrustades ocksa med en 60GB storSSD. Varje harddisk formaterades och ett operativsystem i form av UbuntuServer 16.04 utan grafiskt granssnitt installerades pa varje enhet. Da de i forstahand skulle fjarrstyras via terminal vore det sloseri av prestanda att ha enfonsterhanterare koras i bakgrunden. Pa varje dator installerades en SSH-server,Python, Traceroute och Nmap.

Natverkskortens MAC-adresser hittades via ifconfig, och dessa nedtecknadesoch parades ihop med datorernas respektive serienummer. Efter att ha testkortSSH-anslutningarna mot varje serverenhet placerades dessa ut vid forsamlingarna.

En av datorerna valdes ut som skulle placeras direkt vid IT-avdelningenvid Kyrkans Hus. Denna designerades som en form av uppsamlingsserver formatdata och annan information som skulle komma att genereras vid de andraenheterna.

Vid varje forsamling anslots en av de andra enheterna direkt in i byggnadensaccess-switch. En laptop anvandes for att hitta varje serverenhet vid det nyanatverket. Programmet fping anvandes for att fyllas laptopens ARP-tabell, vil-ken sedan filtrerades pa den aktuella serverenhetens MAC-adress for att pavisavilken IP-adress denna blivit tilldelad av den lokala DHCP-servern. Efter att hahittat IP-adressen var det enkelt att logga in pa datorn med hjalp av SSH. IP-adressen lades sedan till som en statisk konfiguration for att samma lease skullefornyas vid DHCP-servern. Vid en fullt dynamisk konfiguration skulle datornsIP-adress kunna andras, vilket skulle omojliggora fjarranslutning till enheten.Eftersom den statiska konfigurationen helt avaktiverar DHCP-funktionalitetenmaste man manuellt mata in all information som DNS, gateway-adress ochsubnatverksmask.

Vid en forsamling fungerade inte fping av nagon anledning. Da anvandesistallet en funktion i Nmap som later programmet gissa sig till vilket opera-tivsystem som kors pa varje IP-enhet. Eftersom forsamlingarna i forsta handanvander sig av Windowsmaskiner var det enkelt att filtrera ut Ubuntu-enheterna.Baserat pa vilka generiska portar som var oppnade pa varje enhet var det enkeltatt se vilken Ubuntu-enhet som var den utplacerade datorn eftersom bara port22 var oppen, vilken anvands av SSH.

Efter att ha satt upp alla enheter var det enkelt att placera ut de scriptssom skulle exekveras pa maskinerna genom SCP. Darefter anpassades scrip-ten utifran vilken forsamling de skulle koras i. Efter det redigerades enheter-nas crontabs och de olika programmen schemalades. Eftersom vissa av Python-script behovde root-rattigheter for att exekveras maste man redigera enheter-nas crontab med sudo-rattigheter. Overforingsscriptet places pa insamlingsser-

18

vern i Kyrkans Hus och Nmap och Traceroutescripten placerades vid samtligaforsamlingar. Aven ett motsvarande overforingsscript skrevs for min egen arbets-dator, vilket skulle anvandas for att mata overforingshastigheter over Internet.Aven ett Python-script skrev i syfte for att snabbt kunna ansluta min arbets-dator till organisationens VPN. Detta script schemalades ocksa att koras varjegang datorn startades.

4.2 Scripts

4.2.1 Overforingshastigheter

I dagslaget aterfinns inte SNMP pa de natverksenheter som anvands i intranatet- eller snarare, om det finns har Telia tillgang till protokollet. Saledes kravsen annan losning for att uppskatta natverksanvandningen. En rad matningarutfordes med hjalp av automatiserade Python-script. Dessa har korts via crontabpa de klienter som placerats ut i de olika byggnaderna. Ett sadant Python-program ar ett nedladdningsscript som anvander sig av SCP for att fora overen fil pa 500MB fran klienten vid IT-avdelningen. Innan nedladdningsscriptetstartar oppnas en fangstsession genom TCPDump, vilken avslutas nar filen aroverford. Scriptet har korts vid olika tider pa dygnet for att ge en hum om hurnedladdningshastigheten paverkas av de som arbetar vid forsamlingarna underdagtid. I basta fall kan detta ge en hum om hur pass stor belastning som lankenmot intranatet och internet utsatts for, och pa sa satt kan man se om det finnsett behov av att skala upp bandbredden pa lankarna.

Aven nedladdningshastigheterna over internet har matts. Detta gjordes paett snarlikt satt genom att ansluta min egen dator till deras virtuella natverkover VPN, och genom denna virtuella tunnel uppratta en SCP-session dar en500MB stor fil overforts till de olika matenheterna som placerats ut. Aven harhar TCPDump anvants for att fanga natverkstrafiken.

#!/usr/bin/env python

import subprocess, credentials, pexpect

from time import strftime

from pexpect import *

#En raknare som sparar vilken byggnad vi ansluter mot

count = 0

#En while-loop som haller programmet igang tills vi gatt

# genom alla byggnader

while count <= 4:

#Om raknaren ar 0 borjar vi med Kyrkans Hus

if count == 0:

source = "KyrkansHus"

#Genererar ett filnamn

19

filename = "/home/erik/Pcap/" + source + "_" +

strftime("%m%d_%H%M") + ".pcap"

#Oppnar en underprocess som kor tcpdump

tcpd = subprocess.Popen([’tcpdump’, ’-w’, filename]

stdout=subprocess.PIPE)

#Anvander pexpect for att skapa en underprocess som paborjar

# filoverforingen

scpc = pexpect.spawn (’scp /home/erik/Junkers/junk500.file

erik@’ + credentials.ip0 + ’:Junkers/’, timeout=600)

#Pexpect arbetar sig genom terminal-promptar

scpc.expect (’password: ’)

scpc.sendline (credentials.password0)

#Pexpect vantar tills filen ar overford...

scpc.expect(pexpect.EOF)

#Och avslutar sedan TCPDUMP

tcpd.terminate()

#Lagger till en pa raknaren for att visa att vi ar

# klara med byggnaden

count += 1

#Printar ett meddelande om att vi ar klara med byggnad 1

print "0 = Kyrkans Hus klar!"

if count == 1:

source = "Johannes"

filename = "/home/erik/Pcap/" + source + "_" +

strftime("%m%d_%H%M") + ".pcap"

tcpd = subprocess.Popen([’tcpdump’, ’-w’, filename],

stdout=subprocess.PIPE)

scpc = pexpect.spawn (’scp /home/erik/Junkers/junk500.file

erik@’ + credentials.ip1 + ’:Junkers/’, timeout=600)

scpc.expect (’password: ’)

scpc.sendline (credentials.password1)

scpc.expect(pexpect.EOF)

tcpd.terminate()

count += 1

print "1 = Johannes klar!"

if count == 2:

source = "Kolmarden"

filename = "/home/erik/Pcap/" + source + "_" +

strftime("%m%d_%H%M") + ".pcap"

tcpd = subprocess.Popen([’tcpdump’, ’-w’, filename],

stdout=subprocess.PIPE)

scpc = pexpect.spawn (’scp /home/erik/Junkers/junk500.file

erik@’ + credentials.ip2 + ’:Junkers/’, timeout=600)

scpc.expect (’password: ’)

scpc.sendline (credentials.password2)

scpc.expect(pexpect.EOF)

20

tcpd.terminate()

count += 1

print "2 = Kolmarden klar!"

if count == 3:

source = "StOlofs"

filename = "/home/erik/Pcap/" + source + "_" +

strftime("%m%d_%H%M") + ".pcap"

tcpd = subprocess.Popen([’tcpdump’, ’-w’, filename],

stdout=subprocess.PIPE)

scpc = pexpect.spawn (’scp /home/erik/Junkers/junk500.file

erik@’ + credentials.ip3 + ’:Junkers/’, timeout=600)

scpc.expect (’password: ’)

scpc.sendline (credentials.password3)

scpc.expect(pexpect.EOF)

tcpd.terminate()

count += 1

print "3 = StOlofs klar!"

if count == 4:

source = "Borg"

filename = "/home/erik/Pcap/" + source + "_" +

strftime("%m%d_%H%M") + ".pcap"

tcpd = subprocess.Popen([’tcpdump’, ’-w’, filename],

stdout=subprocess.PIPE)

scpc = pexpect.spawn (’scp /home/erik/Junkers/junk500.file

erik@’ + credentials.ip4 + ’:Junkers/’, timeout=600)

scpc.expect (’password: ’)

scpc.sendline (credentials.password4)

scpc.expect(pexpect.EOF)

tcpd.terminate()

count += 1

print "4 = Borg klar!"

4.2.2 Trafikfloden

Traceroute valdes som program for att se hur trafiken ror sig genom intranatet,vidare mot Uppsala, ut genom internet och slutligen till sin destination. EttPython-script har skrivits som later anvandaren att gora ett traceroute-uppslagmot Googles DNS-server, vilken har IP-adress 8.8.8.8. Scriptet sparar resultateti en textfil, vilken dops utifran tva variabler; fran vilken byggnad scriptet samtmanad, dag och klockslag da programmet kors.

#!/usr/bin/env python

import subprocess

from time import strftime

21

#Promptar anvandaren att svara pa var vi ar

source = raw_input(’Trace from: ’)

#Promptar anvandaren att mata in en adress att spara trafiken till

ip = raw_input(’IP to trace route to: ’)

#Skapar ett filnamn

filename = source + "_" + strftime("%m%d_%H%M") + "_trace.txt"

#Startar en underprocess, vilken kor traceroute och placerar output

# i en fil.

subprocess.call(["cd && " "cd Traces && " + "traceroute " + ip

+ "> " + filename], shell =True)

print "Job’s done!"

Textfilerna som utmatningen sparas i kan sedan jamforas med varandra, ochde olika IP-adresserna kan kartlaggas. Hittar man spar av samma IP-adresser iolika byggnaders traceroute-utmatningar finns det risk for att trafiken inte tarden kortaste vagen mot sin destination.

4.2.3 VPN

Ett Python-script som automatiserade VPN-anslutningen skrevs. Detta pro-gram schemalades sedan i cron att koras varje gang datorn startades upp.

#!/usr/bin/env python

#Informationen hamtas fran credentialsvpnc, vilket

# ar en egenskriven modul som innehaller

# inloggningsuppgifterna

import subprocess, credentialsvpnc, pexpect

from pexpect import *

#Pexpect arbetar sig genom de olika prompterna

# for att logga in oss i VPN-tjansten.

vpncChild = pexpect.spawn (’sudo vpnc’)

vpncChild.logfile = open("pexdebug.txt", "w")

vpncChild.expect (’gateway address: ’)

vpncChild.sendline (credentialsvpnc.ipSecGatewayAddress)

vpncChild.expect (’IPSec ID for .*: ’)

vpncChild.sendline (credentialsvpnc.ipSecID)

vpncChild.expect (’IPSec secret for .*: ’)

vpncChild.sendline (credentialsvpnc.ipSecSecret)

vpncChild.expect (’username for .*: ’)

vpncChild.sendline (credentialsvpnc.userName)

vpncChild.expect (’password for .*: ’)

22

vpncChild.sendline (credentialsvpnc.password)

print vpncChild.read()

Scriptet anvander en egenskriven modul, credentialsvpnc, som innehaller deolika inloggningsuppgifterna;

passwordForErik = "xxxxxxxxx"

ipSecGatewayAddress = "xxxxxxxxxxx"

ipSecID = "xxxxxxxx"

ipSecSecret = "xxxxxxxxxx"

userName = "xxxxxxxxxx"

password = "xxxxxxxxxxx"

Detta later oss ateranvanda programkoden vid anslutning mot andra VPN-servrar. Det ar sa enkelt som att gora en ny modul med de aktuella inloggnings-uppgifterna. I den ovanstaende programkoden har jag de egentliga inloggnings-uppgifterna tagits bort.

4.2.4 NMap

Ett Python-program skrevs i syfte att kora Nmap med ett antal relevanta flaggorpa ett enkelt och anvandarvanligt satt. Detta script automatiserades inte, utankordes med jamna mellanrum. Pa sa satt later programmet oss att sammanstallaen genomsnittlig IP-adresskonsumtion i den aktuella adressrymden.

#!/usr/bin/env python

import subprocess

from time import strftime

#Liknande fragor som i Traceroute-scriptet...

source = raw_input(’Where are we now? ’)

subnet = raw_input(’Subnet to map: ’)

#Skapar filnamnet

filename = source + "_" + strftime("%m%d_%H%M") + "_nmap.txt"

#Oppnar Nmap som en underprocess och sparar resultatet i en fil

subprocess.call(["cd && " "cd Nmap && " + "nmap -O -F -Pn " +

subnet + "> " + filename], shell =True)

print "Job’s done!"

23

4.3 Laboration

4.3.1 Genomforande

Packet Tracer anvandes for att satta upp en virtuell testmiljo. I sa stor ustrackningsom programmet tillat illustrerades de teknologier och tjanster som ligger tillgrund for det aktuella designforslaget. Fyra enskilda byggnader samt upplankenmot Uppsala representeras i topologin. Dessa knots sedan ihop med hjalp av enmultilagerswitch, vilken illustrerar den backbone som i den verkligen varldenutgors av ett storre antal natverksenheter. Dessa ar specialiserade pa att formedlainternet-trafik mellan olika andpunkter. Eftersom Telia leverar en VPN-losning iform av DataNet ar denna konfiguration osynlig for de lokala natverksenheterna.

Varje byggnad ar forsedd med varsin router. Fysisk redundans har intro-ducerats i datalanklagret genom att ansluta tva uppkopplingar mot backbone-enheten fran varje router. Dessa resulterande tradpar arbetar sedan som enenda logisk anslutning genom vad som kallas for EtherChannel, vilket mojliggorlastbalansering mellan de tva lankarna. Routerns tredje port ansluter mot enaccess-switch, vilken anvands for att leverera uppkoppling till de lokala enhe-terna i den aktuella byggnaden.

Varje byggnad har ocksa tillgang till en egen DHCP-server som ar konfigu-rerad lokalt pa routern. De har varsin pool som omfattar over 230 adresser. Deforsta 15 adresserna har exkluderats fran DHCP-poolerna for att anvandas aveventuella natverksenheter eller for statiska tilldelningar vid behov.

En lokal DHCP-pool for IPv6 upprattades. Denna skulle anvandas for atttilldela adresser till besokande genom de tradlosa accesspunkterna. Tva acces-spunkter sattes upp, en for enheter som ar hemmahorande i byggnaden, ochen for besokande. Dessa sarskildes med hjalp av olika SSIDs och AES-nycklar.Darefter isolerades accesspunkten for besokare i ett sarskilt VLAN med endastIPv6-stod. Detta tillater en administrator att valja vilka lankar, tjanster och en-heter som besokande kan kommunicera med. Det forhindrar ocksa besokandesenheter att erhalla en IPv4-adress.

I testmiljon anvandes OSPF som routing-protokoll. Genom att konfigureraOSPF att inkludera de olika subnatverk routrarna ar anslutna till skapas enhelhetsbild som delas av samtliga routerenheter. Statiska vagar ut mot internetupprattades fran varje byggnad. Internet representerades i testmiljon av IP-adressen 8.8.8.8, vilket i verkligheten skulle leda trafik till Googles DNS.

24

Figur 1: Topologi i Packet Tracer

Laborationens resultat presenteras i avsnittet 5.1.5 och diskuteras i avsnitt6.1.

25

5 Resultat

5.1 Nulagesanalys

De matningar och undersokningar av natverket jag genomfort har hjalpt migskapa en mer komplett bild av det nuvarande intranatet och de behov och be-gransningar som finns.

5.1.1 IP-adressering

Genom att anvanda mig av Nmap har jag kunnat fa ut en komplett samman-stallning av natverkets IP-adressering.

Tabell 2: IP-tabellSubnet Hosts172.xxxx.xxxx.xxxx/24 98172.xxxx.xxxx.xxxx/24 36172.xxxx.xxxx.xxxx/24 27172.xxxx.xxxx.xxxx/24 43172.xxxx.xxxx.xxxx/24 2172.xxxx.xxxx.xxxx/24 0172.xxxx.xxxx.xxxx/24 57172.xxxx.xxxx.xxxx/24 0172.xxxx.xxxx.xxxx/24 0172.xxxx.xxxx.xxxx/24 9172.xxxx.xxxx.xxxx/24 0172.xxxx.xxxx.xxxx/24 0172.xxxx.xxxx.xxxx/24 0172.xxxx.xxxx.xxxx/24 0172.xxxx.xxxx.xxxx/24 0172.xxxx.xxxx.xxxx/24 0Total: 272

Varje subnatverk i tabellen innehaller over 250 IP-adresser som kan anvandasav natverks- och slutenheter. 10 sadana IP-adressblock ar i dagslaget helt tomma- fler an de som faktiskt anvands - vilket innebar att vi kan utnyttja over 2500IP-adresser som idag ar helt oanvanda.

Notera att IP-adresserna har dolts av sakerhetsskal.

5.1.2 Trafikfloden

Ett annat problem som omnamnts av IT-avdelningen ar att de misstankt attInternet-trafik fran de olika forsamlingarna gatt genom det virtuella natverket,in till IT-avdelningen, dar trafiken sedan formedlats vidare mot Uppsalas Internet-lank. Jag har anvant mig av traceroute for att spara trafikens vag ut pa Internet.

26

Ett traceroutescript lades pa varje klient ute vid forsamlingarna samt hos IT-avdelningen och automatiserades for att kartlagga trafiken vid olika tider padygnet. Efter att ha jamfort de dussintals av filer som genererats hos varje kli-ent vid en forsamling har jag inte patraffat IT-avdelningens routerenheter, ochalla IP-enheter som patraffas pa vagen mot Internet ar helt unika, bortsett frande sista hoppen, vilka jag antar tillhor Uppsala sasom routrar och brandvaggar.Detta far mig att tro att trafikfloden som gatt via IT-avdelningens routerenheterantingen har varit engangsforeteelser eller problem som Telia atgardat.

5.1.3 Bandbredd

Idag har de storsta forsamlingarna en bandbredd motsvarande 20Mb/s varde-ra. Matresultaten har i regel visat pa val jamforbara nedladdningshastighetervid varje forsamling, oavsett tid pa dygnet, och den genomsnittliga nedladd-ningshastigheten ligger nara den maximala kapaciteten. Detta tyder pa att hognatverksanvandning ar begransad till vissa tider pa dygnet eller ovanlig. En ty-pisk sammanstallning av matdata hos en av forsamlingarna syns i figur 2. Detsom talar for att man ska skala upp bandbredden pa anslutningarna ar for attkunna minimera overforings- och vantetider for anvandarna och forsakra sig omatt deras Citrix-miljo kommer fungera bra aven fortsattningsvis.

Figur 2: Overforingshastighet mellan S:t Johannes Forsamling till Kyrkans Hus

Gallande matning av Internet-trafik har dessa matdata har varit lite merspridda, men det ar svart att tillskriva dessa resultat specifika anledningar, dadet finns sa manga fler variabler nar det kommer till Internettrafik snarare anden interna trafik jag matt tidigare. En ganska representativ sammanstallningfor denna matdata kan utlasas ur figur 3. En komplett samling av alla grafersom beror bandbredden aterfinns i kapitel 8.1. Det finns heller inga specifika

27

trender som ar latta att teoretisera kring - vid udda tider pa dygnet ar nedladd-ningshastigheten ibland valdigt mycket lagre an vid dagtid.

Figur 3: Overforingshastighet mot S:t Johannes Forsamling over internet

5.1.4 Topologi

Den nuvarande topologin ar forhallandevis komplex. De flesta byggnader ochforsamlingar i Norrkopings pastorat med omnejd ansluter direkt till DataNet viaolika typer av anslutningar. Andra byggnader ar anslutna via leasade fastforbindelsermot Kyrkans Hus och vidare ut i DataNet genom deras natverk. Narmare 80byggnader, kyrkor och kontor ar anslutna till Kyrknatet via VPN over Inter-net, in genom Uppsala och till slut in till DataNet i Norrkoping. I Kyrkans Husaterfinns i dagslaget IT-kontoret och serverfarmen. All trafik trafik till och franInternet maste som bekant ga genom Uppsalas infrastruktur, dar brandvaggarskoter filtreringen av trafiken. Detta ar en del av Svenska Kyrkans policy. An-slutningshastigheterna varierar i lika hog utstrackning som anslutningstyperna.De fyra storsta forsamlingarna har fiberanslutningar vars bandbredd motsvarar20Mb/s vardera. Kyrkans Hus har en snabbare lank mot DataNet - 100Mb/s.Vissa forsamlingar har mycket lagre bandbredd. Exempel pa dessa ar de som ardirektanslutna till DataNet via en asymmetrisk anslutning motsvarande 4Mb/si nedladdningshastighet och 1.5Mb/s i uppladdningshastighet. Uppkopplingenmot Uppsala har en bandbredd pa 100Mb/s.

Det finns heller ingen redundans i fraga om anslutningar mot DataNet. Skul-le en anslutning mot DataNet ga ned i en av forsamlingarna skulle de som be-finner sig i byggnaden mista Internetanslutning och tillgang till serverfarmeni Kyrkans Hus. Skulle anslutningen fran Kyrkans Hus ut i DataNet av nagonanledning sluta fungera skulle nastan samtliga forsamlingar mista kontakt medserverfarmen.

28

Figur 4: Nuvarande topologi

29

5.1.5 Laboration

Packet Tracer ar som sagt begransat i sin omfattning och komplexitet, vilketforsvarade implementeringen av vissa nyckelteknologier, men den overgripandetopologin, DHCP for IPv6, basal VLAN-konfiguration, lastbalansering och rou-terprotokoll implementerades i stort. Konfigurationsfilerna aterfinns i kapitel8.2, och en narmare diskussion kring de hinder och svarigheter jag stotte pa kanlasas i kapitel 6.1.

5.2 Designforslag

Mitt designforslag kommer utgoras av en generell topologi och en rad tekno-logier som jag rekommenderar baserat pa den information och data jag fattfram genom min metodik. Darefter kommer jag ge en atgardslista pa saker sommaste tas med i planeringen eller maste atgardas innan man gar vidare meddesignarbetet.

5.2.1 Topologi

Topolgin kommer inte skilja sig at markant fran den nuvarande. Eftersom verk-samheten ar avhangigt Citrix-miljon foreslar jag att man implementerar re-dundanslankar hos de fyra storsta forsamlingarna samt Kyrkans Hus. Dettakommer minska risken for allvarliga driftstorningar om en av lankarna skulle ganed. Det nuvarande redundansforslaget ar fortfarande beroende av Telia sominternettjansteleverantor da det inte finns nagon likvardig konkurrent i nulagetsom kan erbjuda fiberanslutningar till samtliga lokaliteter. Detta innebar attom Telia skulle ha problem med sin infrastruktur kommer redundanslankarnainte nodvandigtivs vara till stor nytta, men dessa lankar kan med fordel forenasi ett logiskt granssnitt, sasom EtherChannel. Detta mojliggor lastbalansering.

Ett alternativ ar att se sig om efter en annan internettjansteleverantor, varsinternetuppkoppling kan ga via VPN in till Kyrknatet. Detta for med sig fordelenatt man inte enbart ar beroende av Telia som internettjansteleverantor. Enmojlgihet ar att man anvander ett helt annat medium som redundanslank. Det-ta kan vara vad som helst fran ADSL till mobilt bredband. Detta kommer dockreflekteras i tillganglig bandbredd och andra faktorer som kan paverka prestan-dan negativt de ganger man nyttjar reservlanken, men skulle i slutandan kunnareflekteras i lagre drift- och installationskostnader. Skulle man bestamma sigfor en asymmetrisk form av redundans kan man med fordel se sig om efter enCisco-brandvagg - forslagsvis en Cisco ASA5505 eller motsvarande modell, medvilken man kan uppratta Site-to-Site VPN och enkelt ansluta sig till Kyrknatetdirekt. Dessa kostar inte mer an 3000-4000kr[3].

5.2.2 Bandbredd

Utover redundanslankarna har jag beslutat att skala upp bandbredden hos defyra storsta forsamlingarna. Detta for att minimera vantetider och vara sakerpa att anvandarna aven fortsatt kommer kunna nyttja Citrix-tjansterna och de

30

virtuella skrivbordsmiljoerna utan fordrojningar eller andra prestandaproblem.I nulaget har jag inte valt att skala upp bandbredden vid Kyrkans Hus. Det arannu oklart hur den hogre bandbredden kan komma att paverka lanken mot ser-verfarmen, men risken finns att det kan komma behovas hogre bandbredd avenhar om den storre delen av anvandarna kan nyttja lanken med hogre effektivitet.

Lanken mot Uppsala ar ocksa orord. Om man valjer att placera serverfarmenoch Citrix-servern i Uppsala kan det behovas hogre bandbredd, da inte barautatgaende trafik och VPN-trafik korsar lanken. En stor del av bandbreddenskulle anvandas till att forse anvandarna med deras virtuella miljoer och derasfilaccess. Kyrkans Hus skulle da inte vara i lika stort behov av hogre bandbredd,da en stor del av bandbreddsanvandningen flyttats till den utgaende lanken.

5.2.3 IP-adressering

Ett annat forslag jag har ar i relation till IP-adresseringen. Jag foreslar attman i nagon del av natverket upprattar en DHCP-server for IPv6, vilken kom-mer anvandas for gastnatverket. Detta fordrar att man upprattar IPv6-tunnlaroch i framtiden overgar till antingen en kombinerad miljo med bade IPv4 ellerIPv6 eller en miljo med IPv6 som enda natverksprotokoll. Upprattandet av ettgastnatverk tillsammans med en omadressering av natverket skulle med storstasakerhet eliminera de problem som idag finns med utarmade adresspooler.

DHCP-poolen for gastnatverket kan som en kostnadsforebyggande atgardupprattas direkt pa en av routrarna, forslagsvis i Kyrkans Hus, eller pa endedikerad server i anslutning till den lokala serverfarmen. For att gastanvandareska kunna erhalla en adress fran denna behover man uppratta sa kallade DHCPRelays i de andra natverken, vilka formedlar DHCP-kommunikationen till rattserver. Jag foreslar att man anvander en IPv6-pool som ar en del av den internaadressrymden och sedan upprattar NAT for IPv6 vid natverkets mynning motinternet. Detta bidrar potentiellt till ett sakrare gastnatverk.

Man kan overvaga att implementera gastnatverket med IPv6 vid enbart destorre anlaggningarna i natverket, da det potentiellt ar en implementations-intensiv losning pa ett problem som framst drabbar byggnader med mangaanvandare samt manga samtida besokare, och IPv6 kan ofta vara ganska kom-plext att implementera. Darfor blir min rekommendation att man upprattardetta gastnatverk vid de fyra forsamlingarna, samt Kyrkans Hus. Utover des-sa kan man satta upp en IPv4-pool som gastnatverk i ovriga byggnader kanlana adresser av, utan att man behover implementera IPv6-tunnlar eller rullaut kompletta IPv6-konfigurationer vid samtliga lokaliteter i intranatet. Oav-sett kommer man behova forsakra sig om att NAT64 anvands vid natverketsytterkant sa att IPv6-enheter fortfarande kan kommunicera med servrar ellerenheter som i dagslaget bara har stod for IPv4-kommunikation. Pa sa satt kanman oversatta adresseringen i paketen, mellan IPv4 respektive IPv6, sa att defortfarande hamnar vid ratt slutenhet.

Utover detta rekommenderar jag starkt att man gor en grundlig omadresse-ring av IPv4-adresserna i natverket.

31

Figur 5: Topologi enligt designforslag med redundans.

32

5.2.4 Teoretisk prisbild

Jag blev ombedd att ta med ett teoretiskt perspektiv i fraga om gravkostnaderfor fiberanslutningar. I dagslaget ar fiber draget till samtliga av de byggnaderavgransningen anser, och forhoppningsvis har man vid denna installation haftnog med framforsikt att mojliggora framtida dragningar av fiberoptisk kabelutan att behova grava. Gravkostnaderna i ovrigt varierar kraftigt - man kanhamna varsomhelst mellan 20,000 och 100,000kr, beroende pa den distans grav-ningen omfattar. Detta gor sammantaget att det ar svart for mig att ge enmer exakt bild av vad redundanta fiberanslutningar kan komma att kosta, utandetta kommer behova bedomas fran fall till fall per byggnad dar gravning kanvara aktuellt.

Tabell 3: Nuvarande prisbild

Produkt eller tjanst Pris Antal Avser

Internetanslutning 20Mb/soch anslutning mot DataNet

11500kr/kvartal 4WAN-anslutningarnahos de fyra forsam-lingarna

Internetanslutning 100Mb/soch anslutning mot DataNet

15000kr/kvartal 1WAN-anslutningenhos Kyrkans Hus

Totalpris 61000kr/kvartal

Samtliga priser ar exklusive moms

I tabell 3 ser vi att den nuvarande prissattningen inte skiljer sa stort mellande olika bandbreddsalternativen. Det ar dock vart att notera att priserna ocksaomfattar den hardvara som Telia anvander vid varje byggnad, vilket motsvararen Cisco router, en Cisco VPN-enhet samt tva Cisco access-switchar. Dennahardvara utgor nog en stor del av det forhallandevis hoga grundpriset. Laggsedan till att support och liknande tjanster ingar i paketet.

33

Tabell 4: Det potentiellt dyraste paketet

Produkt eller tjanst Grundpris Antal Avser

Internetanslutning 100Mb/soch anslutning mot DataNet

15000kr/kvartal 5WAN-anslutningarnahos de fem byggna-derna

Redundanta anslutningar100Mb/s och anslutning motDataNet

4500kr/kvartal samt,Installationskostnader,

Eventuella gravkostnader5

De redundanta anslut-ningarna hos de fembyggnaderna

Totalpris97500kr/kvartal,

Installation, eventuella gravningar

Samtliga priser ar exklusive moms

I tabell 4 ser vi den mest rattframa losningen. Jag har skalat upp band-bredden vid de fyra forsamlingarna till 100Mb/s, vilket ar fem ganger sa hogbandbredd som de har idag. Da borde de ha samma fastpris som Kyrkans Hussom har samma bandbredd och ett till synes liknande tjanstepaket. Dartill harjag introducerat redundanta lankar i form av samma fiberoptiska medium somidag aterfinns som WAN-anslutningar. Installationskostnader och gravkostnaderar bada engangsutgifter, och jag forvantar mig inte att dessa ska behova blisarskilt hoga. Bara genom att skala upp bandbredden har vi okat fastprisetmed 14000kr/kvartal plus moms, vilket ar en markant okning. Lagg sedan tillett fastpris for redundanslankarna och jag ar radd for att vi har en ganska dyrlosning. Vi kan utrona ett ungefarligt fastpris pa vad redundanslankarna bordekosta utan tjanstepaketet fran Telia genom att jamfora prisskillnaderna baseratpa en fiberanslutning om 20Mb/s respektive en fiberanslutning om 100Mb/s.Mellanskillnaden - 15000kr - 11500kr - blir da 3500kr. Vi kan da med en vissaterhallsamhet anta att en redundant fiberanslutning kan komma att kosta un-gefar 4000-5000kr per kvartal exklusive moms.

34

Tabell 5: Blandade medium

Produkt eller tjanst Grundpris Antal Avser

Internetanslutning 100Mb/soch anslutning mot DataNet

15000kr/kvartal 5WAN-anslutningarnahos de fem byggna-derna

Redundanta anslutningarvia ADSL

Fran 1200kr/kvartal 5De redundanta anslut-ningarna hos de fembyggnaderna

VPN-enhetEx. Cisco ASA5505

3000-4000kr/styck 5VPN-enheter som kanansluta ADSL-anslut-ningar till Kyrknatet

Totalpris81000kr/kvartal for samtliga anslutningar,

engangsutgift i inkop av VPN-enheter

Samtliga priser ar exklusive moms

Paketet i tabell 5 tycker jag ser sarskilt intressant ut. Kyrknatet har haftganska hog driftsakerhet sedan tidigare och det kan potentiellt bli dyrt att betalafor redundanslankar ”i onodan”. Paketet star och faller pa hur prisbilden forADSL-anslutningarna utvecklar sig baserat pa bandbredd, men det ar uppgifterjag inte har i dagslaget. Inkopspriserna for VPN-enheterna ser for mig ut attvara ytterst overkomliga.

Vill man vidare halla nere fastpriset kan man uppskatta priset om band-bredden istallet laggs pa 60Mb/s eller annan niva som befinner sig mellan 20och 100Mb/s.

5.2.5 Atgarder och vidare rekommendationer

• Gora en komplett sammanstallning av IP-adresseringen och utifran dennainformation adressera om natverket.

• Analysera det langtgaende behovet av IPv6 i organisationen for att se hurman ska ga till vaga for att implementera IPv6 pa ett bra satt i natverket.

• Bevaka bandbreddsanvandningen pa lanken mot Uppsala. Lagger man ser-verfarmen dar ar Citrixmiljon avhangig denna lank. Finns det mojlighetoch behov att uppratta en redundanslank fran DataNet mot Uppsala foratt garantera fortsatt hog driftsakerhet?

• Undersoka vilka typer av redundanslankar som finns att tillga och hurdessa kan komma att paverka prisbilden i forhallande till driftsakerheten.Hur mycket ar man villig att betala for redudanslankarna i relation tillhur mycket de anvands?

35

6 Diskussion och slutsats

Overlag kanner jag att jag uppfyllt kraven som stallts pa mitt uppdrag, menjag onskar att det fanns mer konkreta uppgifter att tillga och en mer utforligdokumentation sedan tidigare. Sammantaget resulterar avsaknaden av dessafaktorer att jag inte riktigt kanner att jag kan ta stallning infor ett alternativeller ett annat full ut.

Dartill ar jag missnojd med kvaliten pa min laboration, da den tyvarr blevavhangig Packet Tracer, snarare an en fullt utrustad fysisk laborationsmiljo,vilket hade varit att onska, men jag anser att jag overlag pavisade de teknologieroch losningar man kan anvanda sig av. Delar av konfigurationen uteblev till foljdav saknad funktionalitet och det var svart att slutfora aven de delar dar stodetaterfanns i programvaran eftersom man inte kan testkora designen langre aninom det lokala natverket.

Det hade ocksa varit intressant att se hur mitt arbetsflode och min meto-dik hade paverkats om SNMP hade varit fullt implementerat och anvandbartvid dokumentationsfasen av arbetet. Jag forutspar att jag skulle ha fatt en merdetaljrik nulagesanalys med en sakrare och mer teoretiskt sund metodik i an-knytning till mina prestandaundersokningar, sasom bandbreddsmatningarna jaggjorde via TCPDump.

Slutligen hade det varit intressant att pa ett battre satt kunna se over deolika anslutningar som upprattats mot andra byggnader och kontor i intranatetstopologi.

6.1 Packet Tracer: Utmaningar och hinder

Jag stotte snart pa ett par problem med att anvanda Packet Tracer som mintestmiljo. Som tidigare namnt saknar programmet vissa nyckelfunktioner somnormalt skulle ha anvants vid liknande sammanhang.

Ett sadant exempel ar avsaknaden av logiska undergranssnitt hos Ether-Channel. Dessa behovs for att kunna oronmarka och formedla VLAN-trafikmellan en router och en annan natverksenhet. Detta ledde till att jag inte kundefa VLAN-trafik att lamna det lokala natverket och fardas over min core-switch.Ett annat alternativ hade varit att strunta i EtherChannel och istallet introdu-cera lastbalansering genom hardvarusortering baserat pa datapaket istallet forslutdestination. Detta har Packet Tracer heller inte stod for.

Jag lyckades inte satta upp mer an ett virtuellt granssnitt pa varje access-punkt i den virtuella laborationsmijon. Jag tvingades istallet att satta upp tvaaccesspunkter. Den accesspunkt som anvands till gastnatverket placerades da iett sarskilt VLAN, vilket lat mig isolera denna fran IPv4-trafiken som normaltfardas i natverket. Anslutande enheter kan da bara erbjudas en adress fran IPv6-poolen. Detta VLAN ska sedan konfigureras pa samtliga natverksenheter, vilketvia en funktion som kallas for DHCP Relay later enheter i andra byggnaderefterfraga adresser fran den dedikerade IPv6-poolen.

Jag hade ocksa problem med att satta upp Site-to-Site VPN med IPSec.

36

Eftersom IPSec fungerar daligt over multicast- och broadcast-natverk ville jaganvanda GRE-tunnlar for att brygga routerenheterna. Pa sa satt hade jag kun-nat bibehalla stod for bade OSPF och IPSec VPN samtidigt. GRE-tunnlarnakan dock inte upprattas over logiska granssnitt. Ett alternativ som lamnatGRE overflodigt vore att istallet anvanda VTI, eller Virtual Tunnel Interfa-ces. Dessa hade avhjalpt avsaknaden av fungerande GRE-tunnlar i topologinoch mojliggjort IPSec VPN over multicast-natverk. Sammantaget tycks det migomojligt i dagslaget att satta upp bade lastbalansering och IPSec VPN samtidigti Packet Tracer.

Aven om jag fatt bade VPN och VLAN att fungera felfritt i testmiljon saknarprogrammet ocksa stod for vad som kallas for DHCP Relay. Denna teknologilater routerenheter formedla IP-adresser fran en DHCP-pool som ar konfigu-rerad pa en annan router eller server. Ett alternativ vore att satta upp olikaIPv6-pooler vid varje byggnad, men trafiken hade anda inte kunnat fardas ut-anfor det lokala natverket pa grund av avsaknaden av fungerande VLAN overEtherChannel.

6.2 Etik och samhalleliga aspekter

Alla mojliga typer av organisationer har idag behov av att pa ett sakert sattkunna arbeta pa distans och kommunicera over delad infrastruktur. For attskydda denna typ av kommunikation och kunna mojliggora detta arbetssattanvander man sig av VPN-anslutningar, vilka krypterar och avkrypterar tra-fiken vid de respektive slutpunkterna. Detta ar inte bara en integritetsfraga irelation till den person som faktiskt arbetar over en sadan VPN-anslutning, utanblir ocksa en aktuell teknologi om man amnar skydda exempelvis personupp-gifter, banktransaktioner, inloggningsuppgifter och liknande. Utan krypteradkommunikation skulle det ocksa vara avsevart mycket svarare for foretag atthalla sig konkurrenskraftiga - utan VPN skulle man enkelt kunna avlyssna tra-fiken mellan sandare och mottagare, vilket skulle kunna fa katastrofala foljderberoende pa vad kommunikationen beror. Pa ett liknande satt ar det ocksa ensakerhetsfraga i allmanhet - politiker, poliser och andra som ar anlitade av sta-ten for att uppratta och uppratthalla lagar och regler kan ocksa dra nytta avdessa anslutningstyper for att halla information konfidentiell. VPN har pa sasatt visat sig vara en nyckelteknologi i vart samhalle i fraga om tillganglighet,sakerhet, konfidentialitet och integritet.

37

7 Referenser

Referenser

[1] Lawrence Abrams. Tcp and udp ports explained. https://www.

bleepingcomputer.com/tutorials/tcp-and-udp-ports-explained/,Publicerad 24/3-04, Hamtad 4/6-17.

[2] K. Moore B. Carpenter. Rfc 3056 - connection of ipv6 domains viaipv4 clouds. https://tools.ietf.org/html/rfc3056, Publicerad 1/2-01,Hamtad 12/6-17.

[3] Cisco. Cisco asa 5505 adaptive security applian-ce. http://www.cisco.com/c/en/us/support/security/

asa-5505-adaptive-security-appliance/model.html, Hamtad 4/6-17.

[4] Cisco. Packet tracer. http://www.cisco.com/web/learning/netacad/

course_catalog/PacketTracer.html, Hamtad 4/6-17.

[5] Cisco. Virtual private network (vpn) - cisco. http://www.cisco.com/c/

m/en_in/solutions/en/vpn.html, Hamtad 4/6-17.

[6] Cisco. Ip addressing and subnetting for new users - understandip addresses. http://www.cisco.com/c/en/us/support/docs/ip/

routing-information-protocol-rip/13788-3.html#anc5, Publicerad10/8-16, Hamtad 4/6-17.

[7] Cisco. Nat: Local and global definitions. http://www.cisco.com/c/

en/us/support/docs/ip/network-address-translation-nat/4606-8.

html, Publicerad 24/8-06, Hamtad 4/6-17.

[8] Cisco. Understanding etherchannel load balancing and redundan-cy. http://www.cisco.com/c/en/us/support/docs/lan-switching/

etherchannel/12023-4.html, Publicerad 9/7-07, Hamtad 12/6-17.

[9] Citrix. Xenapp and xendesktop. https://www.citrix.com/products/

xenapp-xendesktop/, Hamtad 12/6-17.

[10] Citrix. Mobilize your business with secure app and data delivery - citrix.https://www.citrix.com/, Hamtad 4/6-17.

[11] Dia. Dia draws your structured diagrams. http://dia-installer.de/,Hamtad 4/6-17.

[12] die.net. traceroute(8) - linux man page. https://linux.die.net/man/8/traceroute, Hamtad 4/6-17.

[13] Gorry Fairhurst. Address resolution protocol (arp). http://www.

erg.abdn.ac.uk/users/gorry/course/inet-pages/arp.html, Publice-rad 1/1-05, Hamtad 12/6-17.

38

[14] P. Francis K. Egevang. Rfc 1631 - the ip network address transla-tor (nat). https://tools.ietf.org/html/rfc1631, Publicerad 1/5-94,Hamtad 12/6-17.

[15] P. Matthews M. Bagnulo. Rfc 6146 - stateful nat64: Network address andprotocol translation from ipv6 clients to ipv4 servers. , Publicerad 1/4-11,Hamtad 12/6-17.

[16] Microsoft. The osi model’s seven layers defined and functions ex-plained. https://support.microsoft.com/en-us/help/103884/

the-osi-model-s-seven-layers-defined-and-functions-explained,Publicerad 19/4-17, Hamtad 4/6-17.

[17] Bradley Mitchell. Introduction to mac addresses. https://

www.lifewire.com/introduction-to-mac-addresses-817937, Publice-rad 24/2-17, Hamtad 4/6-17.

[18] NMap. Nmap: The network mapper. https://nmap.org/, Hamtad 4/6-17.

[19] Margaret Rouse. What is private ip address? http://whatis.

techtarget.com/definition/private-IP-address, Publicerad 1/11-13,Hamtad 12/6-17.

[20] Robert J. Schimonski. The importance of network redundancy. http:

//techgenix.com/importance-network-redundancy/, Publicerad 15/6-10, Hamtad 4/6-17.

[21] Armin C. Stross-Radschinski. Psf python brochure vol.1. http://brochure.getpython.info/media/releases/

psf-python-brochure-vol.-i-final-download.pdf/at_download/

file, Publicerad 31/3-15, Hamtad 4/6-17.

[22] TCPDUMP. Manpage of tcpdump. http://www.tcpdump.org/tcpdump_

man.html, Publicerad 2/2-17, Hamtad 4/6-17.

[23] Diane Teare. Implementing Cisco IP Routing (ROUTE). 2010.

[24] Microsoft TechNet. How snmp works. https://technet.microsoft.com/en-us/library/cc783142(v=ws.10).aspx, Publicerad 28/3-03, Hamtad4/6-17.

[25] Iljitsch van Beinjum. A look at multhoming and bgp. http://archive.

oreilly.com/pub/a/network/2002/08/12/multihoming.html, Publice-rad 12/8-02, Arkiverad, Hamtad 12/6-17.

[26] Wireshark. Wireshark - go deep. https://www.wireshark.org/, Hamtad4/6-17.

39

8 Bilagor

8.1 Matdata Natverksanvandning

Figur 6: Matning mot Borgs Forsamling over internet

Figur 7: Matning mot S:t Johannes Forsamling over internet

40

Figur 8: Matning mot Kolmardens Forsamling over internet

Figur 9: Matning mot Kyrkans Hus over internet

41

Figur 10: Matning mot S:t Olofs Forsamling over internet

Figur 11: Matning mellan Borgs Forsamling och Kyrkans Hus

42

Figur 12: Matning mellan S:t Johannes Forsamling och Kyrkans Hus

Figur 13: Matning mellan Kolmardens Forsamling och Kyrkans Hus

43

Figur 14: Matning mellan S:t Olofs Forsamling och Kyrkans Hus

8.2 Konfigurationsfiler Packet Tracer

Konfigurationsfil for S1;

S1#sh run

Building configuration...

Current configuration : 1261 bytes

!

version 12.2

no service timestamps log datetime msec

no service timestamps debug datetime msec

no service password-encryption

!

hostname S1

!

!

!

!

!

spanning-tree mode pvst

!

interface FastEthernet0/1

!

interface FastEthernet0/2

!

interface FastEthernet0/3

!

44

interface FastEthernet0/4

!

interface FastEthernet0/5

!

interface FastEthernet0/6

!

interface FastEthernet0/7

!

interface FastEthernet0/8

!

interface FastEthernet0/9

!

interface FastEthernet0/10

!

interface FastEthernet0/11

!

interface FastEthernet0/12

!

interface FastEthernet0/13

!

interface FastEthernet0/14

!

interface FastEthernet0/15

!

interface FastEthernet0/16

!

interface FastEthernet0/17

!

interface FastEthernet0/18

!

interface FastEthernet0/19

!

interface FastEthernet0/20

!

interface FastEthernet0/21

!

interface FastEthernet0/22

switchport access vlan 99

!

interface FastEthernet0/23

!

interface FastEthernet0/24

switchport access vlan 99

switchport mode access

!

interface GigabitEthernet0/1

45

!

interface GigabitEthernet0/2

switchport trunk allowed vlan 1,99

switchport mode trunk

!

interface Vlan1

no ip address

shutdown

!

interface Vlan99

mac-address 0006.2a9b.1301

no ip address

!

!

!

!

line con 0

logging synchronous

!

line vty 0 4

login

line vty 5 15

login

!

!

!

end

Konfigurationsfil for R1;

R1#sh ru

Building configuration...

Current configuration : 1855 bytes

!

version 15.1

no service timestamps log datetime msec

no service timestamps debug datetime msec

no service password-encryption

!

hostname R1

!

!

!

46

!

ip dhcp excluded-address 172.16.1.1 172.16.1.15

!

ip dhcp pool Pool1

network 172.16.1.0 255.255.255.0

default-router 172.16.1.1

!

!

!

ip cef

ipv6 unicast-routing

!

no ipv6 cef

!

ipv6 dhcp pool PoolV6

prefix-delegation pool PoolV6 lifetime 1800 60

domain-name SKNKP

!

ipv6 local pool PoolV6 FD90:9114:CA7E:4AE3:99::/64 48

!

!

license udi pid CISCO2911/K9 sn FTX15241G39

license boot module c2900 technology-package securityk9

!

!

!

crypto isakmp policy 1

encr 3des

authentication pre-share

group 2

!

crypto isakmp key VPNKEY address 172.16.5.2

!

!

!

crypto ipsec transform-set TSET esp-3des esp-sha-hmac

!

!

!

!

!

port-channel load-balance src-dst-ip

spanning-tree mode pvst

!

!

!

47

!

!

!

interface Port-channel 1

ip address 172.16.5.1 255.255.255.0

!

interface GigabitEthernet0/0

channel-group 1

no ip address

duplex auto

speed auto

!

interface GigabitEthernet0/1

channel-group 1

no ip address

duplex auto

speed auto

!

interface GigabitEthernet0/2

ip address 172.16.1.1 255.255.255.0

duplex auto

speed auto

!

interface GigabitEthernet0/2.99

encapsulation dot1Q 99

no ip address

ipv6 address FD90:9114:CA7E:4AE3:99::1/64

ipv6 enable

ipv6 dhcp client pd PoolV6

ipv6 dhcp server PoolV6

!

interface Vlan1

no ip address

shutdown

!

interface Vlan99

mac-address 00e0.b06a.5a01

no ip address

ipv6 dhcp client pd PoolV6

!

router ospf 1

router-id 1.1.1.1

log-adjacency-changes

network 172.16.1.0 0.0.0.255 area 1

network 172.16.5.0 0.0.0.255 area 0

!

48

ipv6 router ospf 1

router-id 1.1.1.1

log-adjacency-changes

!

ip classless

ip route 0.0.0.0 0.0.0.0 172.16.5.5

!

ip flow-export version 9

!

!

!

!

!

!

!

line con 0

logging synchronous

!

line aux 0

!

line vty 0 4

login

!

!

!

end

Konfigurationsfil for S5;

S5#sh ru

Building configuration...

Current configuration : 3004 bytes

!

version 12.2

no service timestamps log datetime msec

no service timestamps debug datetime msec

no service password-encryption

!

hostname S5

!

!

!

49

!

!

!

!

ip routing

!

!

!

!

!

!

!

!

!

!

!

!

!

!

spanning-tree mode pvst

!

!

!

!

!

!

interface Port-channel 1

switchport trunk allowed vlan 1-4,99

switchport trunk encapsulation dot1q

switchport mode trunk

!

interface Port-channel 2

switchport trunk allowed vlan 1-4,99

switchport trunk encapsulation dot1q

switchport mode trunk

!

interface Port-channel 3

switchport trunk allowed vlan 1-4,99

switchport trunk encapsulation dot1q

switchport mode trunk

!

interface Port-channel 4

switchport trunk allowed vlan 1-4,99

switchport trunk encapsulation dot1q

switchport mode trunk

!

50

interface FastEthernet0/1

switchport trunk allowed vlan 1-4,99

switchport trunk encapsulation dot1q

switchport mode trunk

channel-group 1 mode on

!

interface FastEthernet0/2

switchport trunk allowed vlan 1-4,99

switchport trunk encapsulation dot1q

switchport mode trunk

channel-group 1 mode on

!

interface FastEthernet0/3

switchport trunk allowed vlan 1-4,99

switchport trunk encapsulation dot1q

switchport mode trunk

channel-group 2 mode on

!

interface FastEthernet0/4

switchport trunk allowed vlan 1-4,99

switchport trunk encapsulation dot1q

switchport mode trunk

channel-group 2 mode on

!

interface FastEthernet0/5

switchport trunk allowed vlan 1-4,99

switchport trunk encapsulation dot1q

switchport mode trunk

channel-group 3 mode on

!

interface FastEthernet0/6

switchport trunk allowed vlan 1-4,99

switchport trunk encapsulation dot1q

switchport mode trunk

channel-group 3 mode on

!

interface FastEthernet0/7

switchport trunk allowed vlan 1-4,99

switchport trunk encapsulation dot1q

switchport mode trunk

channel-group 4 mode on

!

interface FastEthernet0/8

switchport trunk allowed vlan 1-4,99

switchport trunk encapsulation dot1q

switchport mode trunk

51

channel-group 4 mode on

!

interface FastEthernet0/9

!

interface FastEthernet0/10

!

interface FastEthernet0/11

!

interface FastEthernet0/12

!

interface FastEthernet0/13

!

interface FastEthernet0/14

!

interface FastEthernet0/15

!

interface FastEthernet0/16

!

interface FastEthernet0/17

!

interface FastEthernet0/18

!

interface FastEthernet0/19

!

interface FastEthernet0/20

!

interface FastEthernet0/21

!

interface FastEthernet0/22

!

interface FastEthernet0/23

!

interface FastEthernet0/24

!

interface GigabitEthernet0/1

!

interface GigabitEthernet0/2

!

interface Vlan1

ip address 172.16.1.3 255.255.255.0

!

interface Vlan2

mac-address 0060.2f36.a801

ip address 172.16.2.3 255.255.255.0

!

interface Vlan3

52

mac-address 0060.2f36.a802

ip address 172.16.3.3 255.255.255.0

!

interface Vlan4

mac-address 0060.2f36.a803

ip address 172.16.4.3 255.255.255.0

!

interface Vlan99

mac-address 0060.2f36.a804

no ip address

!

ip default-gateway 172.16.5.5

ip classless

!

ip flow-export version 9

!

!

!

!

!

!

!

line con 0

logging synchronous

!

line aux 0

!

line vty 0 4

login

!

!

!

end

Konfigurationsfil for R5;

R5(config-if)#do sh r

Building configuration...

Current configuration : 1065 bytes

!

version 15.1

no service timestamps log datetime msec

no service timestamps debug datetime msec

53

no service password-encryption

!

hostname R5

!

!

!

!

!

!

!

!

ip cef

no ipv6 cef

!

!

!

!

license udi pid CISCO2911/K9 sn FTX15240421

!

!

!

!

!

!

!

!

!

!

!

spanning-tree mode pvst

!

!

!

!

!

!

interface GigabitEthernet0/0

no ip address

duplex auto

speed auto

shutdown

!

interface GigabitEthernet0/1

ip address 172.16.5.5 255.255.255.0

duplex auto

speed auto

54

ipv6 address autoconfig

!

interface GigabitEthernet0/2

ip address 8.8.8.12 255.255.255.128

duplex auto

speed auto

ipv6 address 1720:80D0:AE47::88:812/64

!

interface Vlan1

no ip address

shutdown

!

interface Vlan99

mac-address 000a.4129.8301

no ip address

ipv6 address FD90:9114:CA7E:4AE3:99::12/64

!

router ospf 1

router-id 5.5.5.5

log-adjacency-changes

network 172.16.5.0 0.0.0.255 area 0

network 8.8.8.0 0.0.0.127 area 100

!

ip classless

ip route 0.0.0.0 0.0.0.0 8.8.8.8

!

ip flow-export version 9

!

!

!

!

!

!

!

line con 0

logging synchronous

!

line aux 0

!

line vty 0 4

login

!

!

!

end

55

Konfigurationsfil for ”Internet”;

INTERNET(config-if)#do sh ru

Building configuration...

Current configuration : 847 bytes

!

version 15.1

no service timestamps log datetime msec

no service timestamps debug datetime msec

no service password-encryption

!

hostname INTERNET

!

!

!

!

!

!

!

!

ip cef

no ipv6 cef

!

!

!

!

license udi pid CISCO2911/K9 sn FTX15248U11

!

!

!

!

!

!

!

!

!

!

!

spanning-tree mode pvst

!

!

!

!

56

!

!

interface GigabitEthernet0/0

no ip address

duplex auto

speed auto

shutdown

!

interface GigabitEthernet0/1

no ip address

duplex auto

speed auto

shutdown

!

interface GigabitEthernet0/2

ip address 8.8.8.8 255.255.255.128

duplex auto

speed auto

ipv6 address 2098::8:8:8:8/64

!

interface Vlan1

no ip address

shutdown

!

router ospf 1

router-id 0.0.0.1

log-adjacency-changes

network 8.8.8.0 0.0.0.127 area 100

!

ip classless

!

ip flow-export version 9

!

!

!

!

!

!

!

line con 0

logging synchronous

!

line aux 0

!

line vty 0 4

login

57

!

!

!

end

58