5C_ProgettoReteClientServer

PROGETTAZIONE E REALIZZAZIONE DI
UNA RETE CLIENT/SERVER
La società che prenderemo come esempio si chiamerà “Azienda S.p.A” e quindi il nome di dominio che utilizzeremo
in questa guida, sia per Active Directory sia per Internet sarà “azienda.it”.
Prerequisiti
Prima di iniziare dovete assicurarvi di aver acquistato:
a) un contratto aziendale per connessione Internet in HDSL a 4Mbit e possibilmente con Router a
noleggio;
b) almeno 8 indirizzi IP pubblici statici dal proprio Provider Internet;
c) aver registrato il dominio Internet presso il NIC che nel nostro esempio sarà “azienda.it“;
d) aver cablato e certificato l’edificio ed aver predisposto le relative prese a muro RJ45 per le
postazioni.
Traguardi da raggiungere
1)
Si vuole creare una rete LAN composta da computer fissi e da dispositivi senza filo (Wireless);
2)
Si vuole pubblicare in maniera sicura il proprio server Web su Internet e renderlo visibile a tutti;
3)
I server più a rischio attacchi (web e posta) devono risiedere in una rete DMZ;
4)
La posta elettronica ed il sito web devono essere visti sia su Internet che nella rete LAN;
5)
Si vuole proteggere la rete LAN da attacchi esterni (Firewall);
6)
Si vuole proteggere la posta da attacchi verso il mail server e si vuole evitare quanto più possibile
il problema dello Spam (posta indesiderata);
7)
I computer ed i server della rete LAN devono navigare su Internet con un solo indirizzo IP pubblico ed
in maniera protetta;
8)
Si vuole configurare un dominio Active Directory del tipo “azienda.it”;
La DMZ: cos’è e perché si usa
Dividere la rete in zone è una tecnica che aumenta notevolmente la sicurezza. Cerchiamo di capire
cos’è e come funziona la DMZ, una zona delicata ed importante per i processi di sicurezza;
l’acronimo significa “zona demilitarizzata”.
La sicurezza perimetrale si occupa di proteggere una rete nei punti in cui essa è a contatto con il
mondo esterno.
Una DMZ (demilitarized zone) è un segmento isolato di LAN (una “sottorete”) raggiungibile sia da reti
interne che esterne che permette, però, connessioni esclusivamente verso l’esterno: gli host attestati
sulla DMZ non possono connettersi alla rete aziendale interna.
La seguente immagine mostra la struttura logica di una tipica Rete di Computer di una
generica azienda che andremo ad analizzare approfonditamente in ogni sua parte:
Fig. A
Materiale hardware necessario
1 Armadio Rack
Server in formato Rack
2 Switch da 48 porte
100 cavi RJ45 categoria 5 “dritti”
meglio ancora se categoria 5e
5 cavi RJ45 “incrociati”
(possono sempre servire)
1 Access Point Wireless
Realizzazione del Cablaggio
Come cablaggio è consigliabile far realizzare il cosiddetto “cablaggio strutturato” che permette di utilizzare i cavi ethernet sia
per il trasporto dati (rete LAN) che per la fonìa (telefoni).In questo modo, alla presa al muro RJ45 potrete attaccare sia un
computer sia il telefono.
A seconda della struttura fisica della società si devono impostare i collegamenti delle postazioni e degli switch in maniera
diversa:
1) Rete estesa su un piano solo
Se la società si estende su di un unico piano, tutte le estremità dei singoli cavi che partono dalle prese a muro convoglieranno in
una posizione centralizzata che sarà poi il “Centro Stella” della rete come mostra la Figura C.
Ricordiamoci però che ogni cavo ha dei limiti di lunghezza (ad esempio il cat.5 di buona qualità arriva sino a 100 metri) quindi se
superiamo tale limite e non siamo ancora arrivati al centro stella dovremmo aggiungere dei ripetitori di segnale che oggi è una
funzione che viene svolta dagli switch.
Tutti i cavi che provengono dalle prese a muro verranno cablate dagli elettricisti sul retro di una base chiamata “Patch Panel”,
(mostrato in figura) e che di solito è fisicamente installata in un armadio rack:
Patch Panel
Riepilogando quindi l'elettricista ci ha passato un cavo ethernet dalla presa RJ45 posizionata a muro (o a torretta sul pavimento)
fino al retro del Patch Panel, questo è stato fatto per ogni punto rete da installare e ci ha messo un etichetta identificativa con
un numero sia sulla presa a muro che al corrispondente attacco rj45 sul patch panel in maniera da individuare il tratto di cavo.
Una volta stesi tutti i cavi dalle stanze al patch panel, il lavoro dell'elettricista è terminato e tocca a noi completare l'opera.
Predisponiamo il collegamento dei client verso uno (o più di uno) switch centrale collegando la scheda di rete di un PC alla presa
al muro utilizzando un cavo cat.5 e segniamoci il numero identificativo della presa. Spostiamoci davanti al patch panel e alla
presa con il numero corrispondente metteremo un altro cavo che collegherà quella porta del patch panel allo switch più vicino
(di solito presente sullo stesso rack).
Questo tipo di cablaggio abbiamo detto che è "strutturato" ossia possiamo dinamicamente utilizzare la tratta di ogni cavo per
far trasportare dati o fonia.Se al posto di un PC infatti volessimo collegare un telefono, utilizzeremo dal muro al telefono un cavo
telefonico a 4 fili (RJ11) e dalla relativa porta del patch panel un altro cavo che finirà nel centralino telefonico invece che allo
switch di rete.Di solito si utilizzano cavi patch di colori diversi a seconda se il tratto è telefonico o di rete.
2) Rete estesa su più piani
Se invece l’edificio si estende su più piani(Fig.B), i cavi delle prese nelle stanze arriveranno al "path panel di piano" dove, nello
stesso rack ci sarà anche uno "switch di piano".
Ogni "switch di piano" avrà poi una connessione con uno switch centrale (il centro stella) posizionato in una posizione strategica
(solitamente nella sala Server) attraverso collegamenti in fibra ottica o se la distanza e il budget non lo permettesse, con cavi
cat. 5, magari accoppiati per formare una backbone a 200, 300, 400... Mbit (tecnica Cisco FastEtherChannel).
Fig.B
Preparazione sala server
Iniziamo scegliendo il Rack più adatto alle nostre esigenze in termini di spazio, compatibilità dei server ed espansibilità futura.
Gli armadi Rack non sono tutti uguali: esistono modelli di misure standard o modelli per marche specifiche, ad esempio Rack
IBM, Rack HP ecc..
Ogni Sala Server dovrebbe avere un sistema di raffreddamento adeguato che deve garantire una temperatura costante.
Rivolgersi ad un installatore specializzato che vi chiederà sicuramente il totale dei KiloWatt o dei BTU che vengono "sprigionati"
dai server. 00Dovreste sommare quindi tutti i consumi in Watt degli apparati presenti in sala server (monitor, server, unità
esterne, ecc..) e calcolarvi quanti BTU sono necessari (considerate che 1 Kw-ora equivale a 3412 BTU) ma di solito il calcolo
viene effettuato da loro dopo avergli fornito il consumo in watt.
Configurazione "software" della rete
Piano di indirizzamento IP
Facendo sempre riferimento allo schema iniziale (Fig. A), prima di proseguire con la configurazione di rete, scegliamo quali indirizzi IP
andranno utilizzati. Il seguente é un piano di indirizzamento IP composto da 4 sottoreti, utilizzabili realmente:
Server: 192.168.0.0/24 (host da 192.168.0.2 a 192.168.0.254)
Piano 1: 192.168.1.0/24 (host da 192.168.1.2 a 192.168.1.254)
Piano 2: 192.168.2.0/24 (host da 192.168.2.2 a 192.168.2.254)
Piano 3: 192.168.3.0/24 (host da 192.168.3.2 a 192.168.3.254)
Gli indirizzi che terminano con .1 (es. 192.168.1.1) li utilizzeremo per le sottointerfacce del router mentre i .255 sono gli indirizzi di
broadcast di ciascuna sottorete, non utilizzabili per essere assegnati agli host. Queste 4 sottoreti non comunicano tra loro, servirà poi
un router per metterle in comunicazione. Le separiamo per piano con degli switch di piano(vedi fig.B, per fare in modo che il traffico di
broadcast di una sottorete non si diffonda anche alla altre (in questo metodo avremo maggiori performance).
Preparazione del Dominio Active Directory e DNS
Il primo passo da compiere sarà la preparazione del Controller Primario di Dominio (in passato chiamato PDC) e quindi di Active
Directory. Il nome del server, per questo esempio sarà DC1.
Una volta installato Windows 2010 Server, eseguiamo il comando DCPROMO da Start/Esegui per far partire la procedura guidata che
permetterà al server di diventare un controller di dominio. I parametri essenziali che dobbiamo configurare in questo passaggio sono:
il nome del dominio (ad esempio aziendaspa.it) e il nome netbios (ad esempio AZIENDASPA). Il secondo serve ad autenticare i vecchi
client Vista, XP, Windows 2000.
A questo punto dobbiamo configurare il servizio DNS Server sullo stesso server, creeremo quindi una nuova zona primaria (diretta)
integrata in AD con nome aziendaspa.it e successivamente una zona di ricerca inversa con gli IP della nostra Rete. La zona diretta
permette ai client di risolvere i nomi degli host in indirizzo ip corrispondente, mentre la zona inversa, dato un IP restituisce il nome
host. Nel nostro caso dobbiamo creare una zona per ogni sottorete, ad esempio la zona 192.168.0, la 192.168.1 e così via.
Creazione degli utenti
A questo punto dobbiamo decidere uno standard per la creazione delle login ed una politica delle password rigida.
Le login (o UserName) le creeremo con l’iniziale del nome ed il cognome per esteso, ad esempio la login di Mario Rossi sarà mrossi e la
password sarà formata da almeno 8 caratteri e composta da numeri e lettere.
Per creare gli utenti apriamo “Utenti e Computer di Active Directory” nel menù “Strumenti di Amministrazione” sul server Domain Controller
(DC1).
A questo punto inseriamo una password provvisoria (ad esempio mariorossi12345) e clicchiamo su “L’utente deve cambiare password al
prossimo logon” in modo tale che istruiremo il signor Mario Rossi ad entrare nel suo PC come mrossi con password mariorossi12345 ma la prima
volta gli viene chiesto di modificare la password a suo piacimento.
Collegamento dei Client
A questo punto iniziamo a connettere i client in rete. Dopo averli posizionati nelle stanze, attacchiamo un cavo “dritto” dalla scheda di rete del
singolo PC al punto rete sul muro, poi andiamo sul rack dove si trova lo switch ed attacchiamo un altro cavo dalla porta del patch panel (che
corrisponde alla presa a muro di quella stanza) ad una porta libera dello switch.
Aggiunta (Join) dei client al dominio
Un dominio Windows è un “contesto di sicurezza” dove girano i client (e i server).
Tutti gli host che appartengono ad un dominio possono essere controllati centralmente attraverso le impostazioni gestite sul domain controller
attraverso le Group Policy, gruppi di utenti, permessi NTFS ecc..
Dal domain controller possiamo impostare qualsiasi limite o configurazione sui client che ne fanno parte (e che hanno fatto quindi ‘Joint al
Dominio’).
Per Join al dominio si intende quando inseriamo un client a far parte al dominio (nel nostro caso aziendaspa.it)
Per fare in modo che un client si aggiunga nel dominio dobbiamo entrare come “Administrator Locale” della macchina e cliccare con il tastro
destro su Risorse del Computer >> Nome Computer >> Cambia e cambiare la configurazione da “Gruppo di lavoro” a “Dominio” e specificare il
nome (ad esempio aziendaspa.it)…
..a questo punto bisogna inserire una login e password dell’amministratore del dominio (che è l’utente Administrator creato sul server Domain
Controller) che ha il permesso di “Aggiungere client nel dominio”.
Riavviare il Client ed entrare in rete con il nome dell’utente (ad esempio mrossi), la sua password e selezionare dalla lista il dominio prescelto
(aziendaspa).Seguire questa procedura per inserire tutti i client nel dominio.
Al termine sarà possibile configurare sul server tutte le impostazioni di restrizione e configurazioni che vorrete ed applicarle a tutti i computer
che fanno parte di quel dominio senza agire sul singolo client.