Muokataan sivua Verkkoliitynnät monipuolisemmin
Siirry navigaatioon
Siirry hakuun
Kumoaminen voidaan suorittaa. Varmista alla olevasta vertailusta, että haluat saada aikaan tämän lopputuloksen, ja sen jälkeen julkaise alla näkyvät muutokset.
| Nykyinen versio | Oma tekstisi | ||
| Rivi 7: | Rivi 7: | ||
===Yhteysnopeuden kasvattaminen ryhmittämällä=== | ===Yhteysnopeuden kasvattaminen ryhmittämällä=== | ||
[[Kernel| | [[Kernel|Kernelissä]] on tarjolla [[wikipedia:en:Link aggregation|bonding]]-tuki. Bonding-ajurilla voidaan määrätä verkkokortteja "orjiksi" bond-laitteelle. Yksinkertaisimmin, yritys voi ottaa samalta operaattorilta neljä 1Mbit/1Mbit ADSL liittymää ja kytkeä niiden päätelaitteet siltaaviksi. Reititinkoneena toimivaan Linux-koneeseen laitetaan 5 verkkokorttia, joista 4 kytketään päätelaitteisiin, ja yksi sisäverkkoon päin. | ||
Oletetaan että eth0->eth3 on kytketty ADSL-päätelaitteisiin. | Oletetaan että eth0->eth3 on kytketty ADSL-päätelaitteisiin. | ||
Otetaan bonding käyttöön (linkin toiminnan tarkastus 50ms välein): | Otetaan bonding käyttöön (linkin toiminnan tarkastus 50ms välein): | ||
modprobe bonding miimon=50 | |||
Mikäli bonding-moduulia ei löydy, [[Kernelin kääntäminen|valitse se mukaan configista]] ja käännä moduulit uudelleen (<tt>make modules modules_install</tt>). | Mikäli bonding-moduulia ei löydy, [[Kernelin kääntäminen|valitse se mukaan configista]] ja käännä moduulit uudelleen (<tt>make modules modules_install</tt>). | ||
Alustetaan bond0 liittymä: | Alustetaan bond0 liittymä: | ||
ip link set dev bond0 up | |||
Verkkokortit määritetään bond0-laitteelle orjiksi: | Verkkokortit määritetään bond0-laitteelle orjiksi: | ||
ifenslave bond0 eth0 eth1 eth2 eth3 | |||
Nyt bond0-laitteelle voidaan hakea ip operaattorilta: | Nyt bond0-laitteelle voidaan hakea ip operaattorilta: | ||
dhcpcd bond0 | |||
Nyt käytössä on periaatteessa 4Mbit | Nyt käytössä on periaatteessa 4Mbit uplink ja 4Mbit downlink. | ||
Samaa tekniikkaa voidaan käyttää kimputtamaan normaaleja verkkokortteja lähiverkkoyhteyksille, | Samaa tekniikkaa voidaan käyttää kimputtamaan normaaleja verkkokortteja lähiverkkoyhteyksille, | ||
| Rivi 50: | Rivi 50: | ||
Varayhteyden toteuttaminen bondingilla on huomattavasti yksinkertaisempaa. | Varayhteyden toteuttaminen bondingilla on huomattavasti yksinkertaisempaa. | ||
Jotta | Jotta kerneli tunnistaisi rikkoutuneen linkin tulee käyttöön ladata myös moduulit miimon tai arp_interval ja arp_ip_target. | ||
Bonding-ajuri ladataan kerneliin, mutta toimintatila vaihdetaan kuormantasauksesta varalinkkiin: | Bonding-ajuri ladataan kerneliin, mutta toimintatila vaihdetaan kuormantasauksesta varalinkkiin: | ||
| Rivi 67: | Rivi 67: | ||
===QoS-ratkaisut=== | ===QoS-ratkaisut=== | ||
QoS-ratkaisuilla pyritään takaamaan käyttäjien käyttöön aina määrätyn verran kaistaa | QoS-ratkaisuilla pyritään takaamaan käyttäjien käyttöön aina määrätyn verran kaistaa. | ||
====Wondershaper==== | ====Wondershaper==== | ||
[http://lartc.org/wondershaper/ Wondershaper] on yksi parhaista QoS-ohjelmistoista Linuxille. Sen tavoitteena on saada asymmetriset linkit, kuten kaapelimodeemit ja ADSL, toimimaan pienellä latenssilla käytettäessä | [http://lartc.org/wondershaper/ Wondershaper] on yksi parhaista QoS-ohjelmistoista Linuxille. Sen tavoitteena on saada asymmetriset linkit, kuten kaapelimodeemit ja ADSL, toimimaan pienellä latenssilla käytettäessä SSH-, WWW-, tai telnet-protokollia, vaikka yhteydessä olisikin muuta kaistaa aktiivisesti varaavaa liikennettä. | ||
==== | ====Iproute2==== | ||
[http://lartc.org/howto/index.html Iproute2-ohje] | [http://lartc.org/howto/index.html Iproute2-ohje] | ||
| Rivi 79: | Rivi 79: | ||
==VPN-yhteydet== | ==VPN-yhteydet== | ||
VPN-yhteyttä käytetään normaalisti kun yrityksellä on kaksi erillistä toimipistettä, ja niiden välillä ei ole kiinteää datayhteyttä. On kuitenkin tarve vaihtaa asiakirjoja ja muuta tietoa toimipisteiden välillä, joten olemassaolevien internet yhteyksien läpi voidaan rakentaa VPN-tunneli jolla eri toimistojen lähiverkot voidaan yhdistää samaksi verkoksi salatun tunnelin suojaamana. | |||
===Free S/WAN=== | ===Free S/WAN=== | ||
| Rivi 85: | Rivi 85: | ||
[http://www.freeswan.org/ Free S/WAN] on tällä hetkellä yleisimmin käytetty vpn-ratkaisu Linux-ympäristöissä. | [http://www.freeswan.org/ Free S/WAN] on tällä hetkellä yleisimmin käytetty vpn-ratkaisu Linux-ympäristöissä. | ||
FreeS/WANin käyttöönotto vaatii kernelin uudelleenkääntämisen. Se voidaan kääntää joko staattisesti | FreeS/WANin käyttöönotto vaatii kernelin uudelleenkääntämisen. Se voidaan kääntää joko staattisesti kerneliin tai kääntää moduliksi jolloin se voidaan ladata käyttöön tarvittaessa. Pluto on sovellus, jolla hoidetaan IKE neuvoittelu koneiden välillä. | ||
FreeS/WANin konfigurointi tapahtuu kahden tiedoston avulla | FreeS/WANin konfigurointi tapahtuu kahden tiedoston avulla. | ||
/etc/ | /etc/ipsec.conf | ||
/etc/ | /etc/ipsec.secrets | ||
Ipsec.conf jakautuu kahteen eri osaan, config ja conn. | Ipsec.conf jakautuu kahteen eri osaan, config ja conn. | ||
Config-osassa asetetaan IPSEC | Config-osassa asetetaan IPSEC perusasetuksia, käytössä oleva verkkosovitin ja plutolle määriteltäviä asetuksia. | ||
Conn %default -osassa määritellään kaikille yhteyksille käytettäviä asetuksia kuten käytössä olevan avaimen elinikä ja uuden avaimen vaihtotapa. | Conn %default -osassa määritellään kaikille yhteyksille käytettäviä asetuksia kuten käytössä olevan avaimen elinikä ja uuden avaimen vaihtotapa. | ||
Conn-osiossa VPN-yhteys jaetaan left- ja right-puoliin, joilla määritellään valintoja niin vastaanottavalle kuin lähettävällekin puolelle tunnelia. | Conn-osiossa VPN-yhteys jaetaan left- ja right-puoliin, joilla määritellään valintoja niin vastaanottavalle kuin lähettävällekin puolelle tunnelia. | ||
VPN-yhteydellä voi salata | VPN-yhteydellä voi salata esim [[WLAN]] liikenteen. Tiedostot ovat lähes samanlaisia, niin tukiasemalla kuin kannettavallakin. Tukiasemalla pitää vain määrittää käytettävä interface. | ||
Esimerkki ipsec.conf: | Esimerkki ipsec.conf: | ||
| Rivi 144: | Rivi 144: | ||
'''Huom!''' FreeS/WAN:n kehitystyö on loppunut vuonna 2004. FreeS/WAN:n työn jatkajana pidetään | '''Huom!''' FreeS/WAN:n kehitystyö on loppunut vuonna 2004. FreeS/WAN:n työn jatkajana pidetään | ||
[http://www.openswan.org/ Openswan] | [http://www.openswan.org/ Openswan] projektia. | ||
===ISAKMP=== | ===ISAKMP=== | ||
| Rivi 150: | Rivi 150: | ||
[http://web.mit.edu/network/isakmp/ DOD ISAKMP] toimi Ciscon ja MIT:n projektina jota rahoitettiin USA:n puolustusministeriön toimesta. Projektissa toteutettiin ISAKMP-referenssimallia noudattava ohjelmistototeutus. | [http://web.mit.edu/network/isakmp/ DOD ISAKMP] toimi Ciscon ja MIT:n projektina jota rahoitettiin USA:n puolustusministeriön toimesta. Projektissa toteutettiin ISAKMP-referenssimallia noudattava ohjelmistototeutus. | ||
=== | ===OpenVPN=== | ||
[http://openvpn.net/ OpenVPN] ei perustu IPSEC-protokollaan kuten perinteiset VPN:t | [http://openvpn.net/ OpenVPN] ei perustu IPSEC-protokollaan kuten perinteiset VPN:t vaan se käyttää web-selaimista tuttua SSL salausta. Ohjelmasta löytyy sekä mm. Windows- ja Linux-versiot, jotka toimivat yhteen mainiosti. OpenVPN on ehkä helpompi konfiguroida kuin perinteiset IPSEC-perustaiset VPN:t. Myös vpn-serverin konfigurointi (palvelee montaa vpn-asiakasta) on mahdollista. OpenVPN on kätevä mm. lisäsuojana turvattoman wlan:n kanssa. | ||
Tietoturvaguru Peter Gutmann on analysoinut [http://www.cs.auckland.ac.nz/~pgut001/pubs/linux_vpn.txt Linuxin VPN-toteutuksia], eikä hänellä ollut OpenVPN:stä pahaa sanottavaa. Tälläkin perusteella voinemme pitää sitä erittäin turvallisena. | Tietoturvaguru Peter Gutmann on analysoinut [http://www.cs.auckland.ac.nz/~pgut001/pubs/linux_vpn.txt Linuxin VPN-toteutuksia], eikä hänellä ollut OpenVPN:stä pahaa sanottavaa. Tälläkin perusteella voinemme pitää sitä erittäin turvallisena. | ||
==Aiheesta muualla== | ==Aiheesta muualla== | ||
*[http://www.ssi.bg/~ja/ Julian Anastasovin paikkauksia iprouteen] | *[http://www.ssi.bg/~ja/ Julian Anastasovin paikkauksia iprouteen] | ||
[[Luokka:Verkko]] | [[Luokka:Verkko]] | ||