Olav.Kvittem@uninett.no
UNINETT er det norske landsdekkende datanettet for forskning og utdanning. UNINETT prosjektet ble satt i gang i mai 1987. Fra 1993 er organisasjonen UNINETT et aksjeselskap med Kirke-, Utdannings- og Forskningsdepartementet (KUF) som eier. Driftsomkostningene dekkes av KUF.
å påskynde bruk av åpne internasjonale standarder innen datakommunikasjon
å sørge for samtrafikk med aktuelle nasjonale og internasjonale nettoperatører
å stimulere til nødvendig forsknings og utviklingsaktivitet innen UNINETTs virksomhetsområde
Emulerer async modem mot PC f.eks.
er dyre (5-8Kkr per stk)
enkle, men 2 ekstra enheter å drive - per kunde ...
umulig å fjerndrive
Kan fjerndrives - oppgraderes
billigere hvis du ikke har ruter fra før
bedre kapasitet - 2* 64Kbps
programvarestyrt - lett å opgradere (lokalt)
rutere og PC'er kan dele samme inngang
Kan være ruter (KA9Q, PCroute, PC/TCP ..)
HDLC/LAPB ikke standard - forbindelseorientert og statisk
PPP standard, dynamisk oppsett, utvidbar, lett, multiprotokoll
PPP forhandler under oppsett om f.eks. IP-adresse, komprimering, autentisering og nettprotokoller
A method for encapsulating multi-protocol datagrams.
A Link Control Protocol (LCP) for establishing, configuring, and testing the data-link connection.
A family of Network Control Protocols (NCPs) for establishing and configuring different network-layer protocols.
CHAP : delt hemmelighet med kryptering - sikker så lenge hemmeligheten er hemmelig
Tilbakeringing med avslag (PC-kort ISPA)
Tilbakeringing etter oppkopling på PPP
Krymper TCP/IP-pakkehodet fra 40 til 5 byte over en linje for hver TCP-sesjon
Virker ikke for UDP-trafikk (DNS, NFS )
Algoritmer forhandlbart (Predictor)
Gevinst 2x for postscript
Multilink PPP - ( RFC1717 - anbefalt RFC1618)
Parallelle kanaler bestilles for samme trase og forsinkelse :
Oppsett for test - 2 Unix-maskiner på LAN mot 2 Cisco-rutere med ISDN som står mot hverandre
Basert på til-adresse
Protokoll sprer nåbarhet til nettnummerprefikser
flere min for å velge ny rute ved brudd
velger rute etter antall hopp
kringkaster alle rutene jevnlig (30 sek)
Velger nye ruter raskt ved brudd (få sekunder)
Velger rute etter kost-parameter
Kringkaster bare forandringer
definere ruting politikk
håndterer blokker av nett-numre for å spare plass i rutere
Dynamisk ruting tar tid for å spre kunnskapen om at et nettnummer er tilgjengelig
Dynamisk ruting gir feksibilitet og mulighet for oppkopling mot flere aksesspunkter
Kort oppkoplingstid fordi ruteren er i tabellene allrede
Binder aksesspunkt til en bestemt ruter
De fleste oppe i februar 1994
med HAV vgs, Bergen kommune, Uninett,
Klasseromsundervisning med Internett som verktøy
Mer enn 10 000 elever og 100 lærere
Cisco rutere mot lokalnettet
Tjenermaskin for post og WWW hos universitetet
Vanlig Internett-programvare på PC'ene
ISDN-løsning også mot kommunen -andre adresser
Store telefonregninger for uproduktiv oppsett av samtaler
Kompetanse på lokalnett og TCP/IP kreves i tillegg til ISDN-forbindelsen
Oppkoplingsstrategi vanskelig - spesielt enveis-oppkoplinger
Mange nedkoplinger fra UNINETT rutere selv om trafikk går - design-problem for Cisco-programvare ?
En del strev med programvareoppgradering på UNINETT-siden.
Noen kunder har hatt problemer med å komme igjennom
Uferdig programvare i ruter for statisikkinsamling (ISDN MIB) - dvs kan ikke gi kunder tilbakemelding om regninger.
Savnet mulighet for tilbakeringing og trigging av ekstra forbindelse på høy last inn - dvs mottaker styrt.
Statistikk ISDN-innganger i Bergen
gjennomsnittvarighet på 3 min skyldes muliggens feil nedkoplingsstrategi
38 bruker på 8 BRI viser ledig kapasitet i snitt
mangeler travel time statistikk
Startet offisielt 28/9
Kundeutstyr kan være ruter eller enkelt-PC med ISDN-kort mot 1 ISDN grunntilknytning
E-post med personelig kontoer på sentral maskin eller best :
Sentral WWW og ftp-tjener hos UNINETT
NetNews fra regionale tjenere
Full registrering i DNS
Brukerhåndbøker
betaler egen ISDN-regning
håndtering av sikkerhetsproblemer (CERT)
avlytting av ekstern trafikk
forfalskede meldinger m.m
stjele informasjon (spionasje, sladder)
forandre informasjon (konto, vitnemål og rulleblad)
stoppe tilgang til tjenester - postbombing
leke !-)
innlogging med passord på avveie/dårlig passord
utnyttelse av sikkerhetshull i tjenester/programmer
overtak av TCP-sesjon - forutsetter at man er på et lokalnett hvor trafikk passerer
stenge tjenester - beskytte maskiner
beskytte ruter mot aksess over nettet og fysisk
Lokalnettprotokoll bare intern => kan ikke nås utenfra
Tjenere med IP uten følsomme data - post og WWW-maskin
Ikke la passord gå over eksterne nett - engangspassord
Skille ut interne grupper med ruter på lokalnettet
sikrere! tjenesteformidler på bastion
Tillatte tjenester kan være DNS, post(SMTP), WWW.
Stoppe egne adresser utenfra for å hindre adresseforfalsking og kaste pakker med styring av ruting(source routing).
Tjenester på høye portnummer kan være et problem