zastosowanie zdalnego dostępu do sprzętu cisco w zajęciach ... · openbsd jako bramka do...
TRANSCRIPT
Zastosowanie zdalnego dostępudo sprzętu Cisco
w zajęciach dydaktycznych prowadzonych
na Politechnice Warszawskiej
Krzysztof CabajMichał Jarociński
Paweł RadziszewskiKrzysztof Szczypiorski
Michał „rysiek” Woźniak
Politechnika WarszawskaWydział Elektroniki i Technik Informacyjnych
Akademia Regionalna na WEiTI PW
Istnieje od 2002 r.
Szkolenia: CCNA, NS, FWL, VoIP, CCNP(w sumie ok. 1500 osób).
Konieczność rozbudowy bazy laboratoryjnej
Instytut Telekomunikacji PW
Długoletnia współpraca z Instytutem Elektroniki i Technik Informacyjnych Uniwersytetu w Lund.
Wymiana pracowników i doktorantów, wspólne projekty badawcze.
Od 2005, po uruchomieniu wykładu "Sieci IP", zdalny dostęp do Laboratorium Routingu LTH dla studentów Instytutu Telekomunikacji.
Wspólnie opracowane ćwiczenia (m. in. RIP, OSPF, MPLS).
Motywacja – ze strony dydaktyki PW
Większość studentów woli wykonywać ćwiczenia w późnych godzinach popołudniowych i w nocy.
Duża liczba studentówvs.
mała liczba wykładowców.
Motywacja – ze strony Akademii Cisco
Uczestnicy wolą zajęcia zdalne na „żywym” sprzęcie niż na symulatorach.
Różne preferowane godziny dostępu do laboratorium.
Likwidacja dni otwartych w laboratorium (małe zainteresowanie).
Dostęp dla kursantów CCNP i ostatnich semestrów CCNA.
NetDevGroup NetLab+
Academy Edition:
6795 $ + 2395 $ / rok
Professional Edition:
19995 $ + 24952995 $ / rok
Decyzja: rozwiązanie własne.
Geneza laboratorium
W 2007 porozumienie IT z Akademią Cisco w sprawie wspólnej organizacji laboratorium.
Od LTH źródła aplikacji zarządzającejzdalnym dostępemi zgoda na jej przystosowanie.
Pierwotne założenia
Zdalny dostęp w zakresie podstawowym.
Możliwie niewielki koszt.
Start laboratorium: semestr zimowy 2007/8.
Topologia do ćwiczeń IT i LTH
5 routerów.
Pierścień - interfejsy szeregowe.
Gwiazda - interfejsy Ethernet.
Topologie w szkoleniu CCNP
4 routery + 4 przełączniki (2 x L2 + 2 x L3)
(dodatkowo: PIX, 3 routery).
Ok. 105 ćwiczeń.
Kilka topologii podstawowych (trójkąt, linia,
gwiazda, siatka przełączników).
Ok. 30 istotnie różnych ich wariantów.
Elementy składowe rozwiązania
Router dostępowy (2611XM) - NAT, DHCP, TFTP, moduł interfejsów szeregowych NM-16A/S.
Przełącznik dostępowy - sieci VLAN.
System rezerwacji sesji (OpenBSD).
System zarządzania zasilaniem (listwa RPB+).
Przełącznik rekonfiguracyjny (3560).
Ewolucja
Jednorodne środowisko do pracy zdalnej i w laboratorium.
Możliwość wykonania wszystkich ćwiczeń CCNP.
Rekonfiguracja za pomocą sieci VLAN.
Różne obrazy IOS (VoIP, generator ruchu).
Zdalny dostęp stacji klienckich przez VPN.
Zdalne zarządzanie zasilaniem (ok. 2 kW mocy).
Translacje adresów
Realizowane na routerze dostępowym.
Dostęp do systemu rezerwacyjnego.
Dostęp konsolowy do urządzeń.
Dostęp do interfejsu WWW wybranego urządzenia.
Dostęp z PC (np. klient VPN, softphone).
Pełna translacja na adresie „secondary” -
pełny dostęp do wybranego urządzenia.
System rezerwacji sesji
Kwant 1 h.
Max 6 zarezerwowanych sesji.
1 konto na ok. 3 osoby.
OpenBSD jako bramka do Laboratorium Routerów
interfejs wwwzabookowanie sesji w RTRB
start sesjiw zabookowanym oknie czasowym,
możliwość logowania ssh na bramkę
telnetz bramki na routery,
praca na urządzeniach
wylogowaniekoniec pracy na urządzeniach,
wylogowanie z bramki
koniec sesjiautomagiczne wylogowanie użytkownika po zakończonej sesji,
wyłączenie możliwości logowania ssh,przywrócenie domyślnych konfiguracji routerów
chroot
OpenBSD jako bramka do Laboratorium Routerów
MySQLdane konfiguracyjne RTRBdane zabookowanych sesji
Apache+PHPinterfejs bookowania
sesji
Cronzadania odpalane
co minutę
kopia/etc/shadowtylko grupa rtrb
/etc/shadow/etc/group
RTRB backend
OpenBSD jako bramka do Laboratorium Routerów
/etc/shadow/etc/group MySQL
kopia/etc/shadowtylko grupa rtrb
konta użytkowników sshhasła użytkowników sshgrupy użytkownikówwłączona/wyłączona powłoka
dane konfiguracyjne RTRBzabookowane sesjelista adminów
konta użytkowników wwwhasła użytkowników www
Dokumentacja
Numeracja portów konsolowych.
Zarządzanie zasilaniem.
Rozbieżności w numeracji interfejsów
w stosunku do instrukcji laboratoryjnych.
Konfiguracja sieci VLAN.
Problemy wykonawcze
Głównie z rzeczami banalnymi:
- listwa zasilająca,
- kable (NIE 5-metrowe V.35 - SmartSerial!),
- debugging aplikacji rezerwacyjnej.
Problemy eksploatacyjne
Elastyczność i wszechstronność
okupiona pewną komplikacją konfiguracji.
„Chcemy uczyć ręcznego przełączania kabli,
czy też zarządzania sieciami VLAN???”
Dwa schematy nazewnictwa.
Statystyki z 18 miesięcy
Ok. 200 studentów IT oraz LTH:
- „Sieci IP”,
- „Usługi Multimedialne w Sieciach IP”,
- „Ochrona Informacji w Sieciach”,
- dyplomanci.
Ok. 40 kursantów CCNP.
Ok. 15 kursantów CCNA.
Ok. 2300 h zarezerwowanych sesji zdalnych.
Ankieta
Anonimowa.
Wśród kursantów CCNP, którzy kończą szkolenie
zrealizowane w pełni z dostępem zdalnym.
Ankieta - wnioski
Oceny zdecydowanie pozytywne.
Skomplikowanie konfiguracji nie przeraża.
Podkreślane mocne strony (czasem zaskakujące):
- dostęp do przełączników L3,
- dostęp po zakończeniu szkolenia (przygotowanie do egzaminów certyfikacyjnych),
- cisza.
Okiem instruktora
Bardzo przydatne narzędzie dydaktyczne:
„Jednak wolimy uczyć zarządzania sieciami VLAN niż ręcznego przełączania kabli”.
„Nie zawsze router stoi tuż obok administratora”.
„>>Bufor bezpieczeństwa<<
na szczególnie dociekliwych ;-> kursantów”.
„Po(d)ręczny poligon doświadczalny”.
Dalszy rozwój
Zestaw konfiguracji wstępnych
(w pamięci flash lub ładowanych z TFTP).
Sklonowanie rozwiązania.
Rozdzielenie szkoleń CCNP od ćwiczeń IT/LTH.
Odizolowanie „podów”.
Zwiększenie wykorzystania sprzętu
(użytkownicy z innych stref czasowych).
Pytania?
Uwagi?
Komentarze?
Dziękuję za uwagę