Författare:
Victor H
EDLUNDFörfattare:
Tobias A
NDERSSONHandledare:
Jonas L
UNDBERGExaminator:
Jacob L
INDEHOFFTermin:
VT2015
Examensarbete
Kommunikationslösningar i molnet
Sammanfattning
Att koppla samman nätverk över geografiskt olika platser har blivit allt vanligare i dagens sammhälle. Denna trend har därmed medfört att tillgängligheten ökat mellan nätverk och också kraven på att kopplingarna mellan nätverk ska vara tillförlitliga. I detta arbete har vi belyst vilka olika tekniker och funktioner som kan användas för att göra detta möjligt. Vi har framförallt inriktat oss på hastighet och tillgänglighet, men även hur säkra lösningarna är. Tester har även utförts för att praktiskt tillämpa teorin och för att få ett mer korrekt resultat.
Nyckelord: WAN, MAN, Remote-Network, HOIC, DDos, Site-to-Site, LAN, VPN, Lager2-länk, MPLS, Nätverk, Nedladdningshastighet, Uppladdningshastighet.
Abstract
To connect networks across geographically diverse sites has become increasingly common in todays society. This trend has consequently led to increased availability of networks and the demands on the connections between network must be reliable. In this work we have highlighted the various techniques and features that can be used to make this possible. We especially focused on speed and availability, but also how secure solutions are. Tests have also been carried out to practically apply the theory and to obtain more accurate results.
Keywords: WAN, MAN, Remote-network, HOIC, DDos, Site-to-Site, LAN, VPN, Layer2-link, MPLS, Network, Throughput
Förord
Detta ämne är något vi tycker är intressant och mycket relevant för framtiden. Det är där-för vi valt att jämdär-föra olika kopplingar som man kan ha mellan olika där-företag, verksamheter eller byggnader för att binda ihop LAN till WAN.
I detta examensarbete har det för oss varit svårt att få tag i information angående priser och installation för de olika molntjänsterna, vilket medfört en vagare jämförelse.
Vi vill tacka Borås Stad för all hjälp och den information de givit oss angånde priser och tekniska funktioner. Vi vill även tacka NetatOnce för att de tog sig tid för ett kortare telefonmöte angående molntjänsterna de har att erbjuda.
Innehåll
1 Introduktion 1
1.1 Tidigare forskning . . . 1
1.2 Problemformulering . . . 2
1.3 Syfte och frågeställning . . . 2
1.4 Målgrupp . . . 2
1.5 Avgränsning . . . 2
2 Teori 3 2.1 WAN med hyrd länk . . . 3
2.2 WAN via molntjänst . . . 4
2.2.1 Exempel på olika molntjänster . . . 5
2.2.2 Varför välja molnbaserat nätverk? . . . 5
2.2.3 Riskjämförelse mellan molnlösning och traditionell WAN . . . . 5
2.3 Migreringsplan från Traditionell WAN till molnbaserad . . . 6
2.3.1 Behov . . . 6 2.3.2 Säkerhet . . . 6 2.3.3 Kostnad . . . 6 2.3.4 Möjlighet . . . 6 2.4 MPLS . . . 7 2.5 Lager2 länk . . . 7 2.6 VPN . . . 7 3 Metod 9 3.1 Datainsamling . . . 9 3.1.1 Avgränsning . . . 9 3.1.2 Genomförande . . . 9 3.2 Analys . . . 11 4 Resultat 12 4.1 Laboration . . . 12 4.2 Teoretiskt resultat . . . 14
4.2.1 Hastighet och tillgänglighet . . . 14
4.2.2 Säkerhet . . . 14 4.2.3 Kostnad . . . 14 5 Analys 15 5.1 Laborationsanalys . . . 15 5.2 Rekommendation . . . 15 6 Diskussion 16 6.1 Problemlösning/resultat . . . 16 6.2 Metodreflektion . . . 16 7 Avslutning 17 7.1 Slutsats . . . 17
7.2 Förslag till fortsatt forskning . . . 17
1
Introduktion
Det har blivit allt vanligare att man vill koppla samman sina nätverk över WAN-anslutningen[1]. Detta för att få tillgång till alla sina resurser och få en bättre åtkomst till filer eller serve-rapplikationer.
Har företag eller privatpersoner åtkomst till sitt företagsnätverk hemifrån eller mellan fas-tigheter effektiviseras arbetet och detta gynnar då företaget. Nedan i figur1 exemplifieras ovanstående text med en bild.
Figur 1: Anslutning med WAN-anslutning
Hemklienten, som kan vara en företagsanställd, ska kunna ansluta till sitt företagsnätverk igenom en vanlig internetuppkoppling. För att lösa detta måste man först veta vad som ska användas. Detta kan göras med hjälp av olika sorters lösningar beroende på vad för hårdvara och mjukvara som används i de olika nätens routrar.
Våran exjobbspartner Borås Stad [2] använder inga tunnlar för att koppla samman sina fastigheter. De använder sig av egen hyrda fiberpar [3] för att kunna kommunicera mellan de olika fastigheterna. Mer om detta under rubriken “WAN med hyrd länk”.
1.1 Tidigare forskning
Innan arbetet påbörjades gjordes sökningar inom området. Det som hittades var forskning och uppsatser som berör ämnet kommunikation. Alla dessa uppsatser belyser just hur en funktion eller tjänst fungerar och inte någon granskning och jämförelse mellan de olika teknikerna.
Artiklarna och uppsatserna som hittats är ganskning av olika protokoll och vilka tjänster som kan användas för att koppla samman nätverk. Det finns inget som berör en jämförelse mellan hyrd fiber och att köpa en molntjänst för detta.[4][5][6]
1.2 Problemformulering
Många företag och kommuner använder sig idag av WAN-anslutningar för att kopp-la samman sina interna nätverk. För att göra detta krävs en fysisk nätverksanslutning mellan de olika fastigheterna. För att göra detta finns det ett antal olika lösningar som kopplar samman de olika nätverken, exempel på detta är hyrd länk[3], VPN[7] samt en molntjänst[8][9] som kopplar samman nätverken.
Det som främst skiljer hyrd länk med molntjänsten är att hyrd länk innebär att kommu-nen/företaget har en dedikerad fiberlänk mellan sina fastigheter och står själva för un-derhållet av hårdvara och administration mellan noderna. Problemet med detta är att det är dyrt och kräver även att kommunen har den hårdvara som krävs samt att de måste ha personal som underhåller och administrerar hårdvaran.
Som molntjänst har vi bara fokuserat på MPLS[9] och lager2 länkar[8], men vi har även tjänster som VPN[7] inkluderat i detta arbete som kan änvändas av en hemanvända-re.
1.3 Syfte och frågeställning
Vårt mål är att ta fram information om de olika tillvägagångssätten som finns för att koppla samman flera Local Area Networks(LAN)[10] till ett WAN för att företag och kommuner ska få förståelse för vad de olika metoderna innebär och vilken som passar just dem bäst.
Detta är de punkter som ska jämföras och granskas gällande de olika funktionerna/tjänsterna: • Hastighet
• Säkerhet • Kostnad
• Underhåll/Ansvar
1.4 Målgrupp
Målgruppen för denna rapport är kommuner och företag som använder sig av Wide Area Network(WAN) för att koppla samman sina fastigheter och nätverk. Även hur hemanvän-dare kan ansluta sig till företagsnätet med dessa funktioner.
1.5 Avgränsning
Vi har valt att avgränsa oss till de ovan nämnda punkterna hastighet, säkerhet, kost-nad och underhåll/ansvar. Med hastighet menas vilken teoretisk maxhastighet som län-ken/funktionen klarar av. Med säkerhet granskar vi hur data krypteras och skyddas. Vil-ken kostnad dessa funktioner/tjänster har och en jämförelse gentemot hastigheten och säkerheten. Med ansvar menar vi vem eller vilka som tillhandahåller hårdavara och admi-nistration.
2
Teori
Detta teoriavsnitt har till avsikt att ge läsaren en inblick i området och kunskap om de tekniker som tas upp. Teorin behandlar ämnet WAN och de olika möjligheterna för att skapa ett WAN. Här kommer även jämförelsen mellan funktionerna och tjänsterna tas upp och förklaras.
2.1 WAN med hyrd länk
Att hyra en länk mellan fastigheter eller företag är idag ett vanligt fenomen. Några fråge-ställningar som kommer tas upp i detta stycke kommer nedan:
• Varför hyra en länk mellan företag • För och nackdelar med hyrd länk?
• Hur vet man om man behöver en hyrd länk? • Vilken trafik går på den hyrda länken?
Innan frågeställningarna ovan besvaras kommer nedan en bild på hur vår exjobbspartners nätverk ser ut idag. Borås Stad hyr alla sina länkar mellan de olika fastigheter och verk-samheter de äger själva. Bilden är en mycket förenklad topologi över MAN-nätverket som Borås Stad har. Det viktigaste med bilden är att man vet hur datan transporteras mellan olika punkter.
Figur 2: Traditionell WAN/MAN. Hyrd fiber
I bilden ovan är en så kallad traditionell MAN-anslutning[11] där kommunen äger all utrustning och hyr samtliga länkar och de ansvarar för att kommunikation mellan bygg-naderna fungerar som det ska. Denna lösning är vad som vanligtvis används idag i stads-nät/kommunnät för att binda samman olika byggnaders lokala nätverk över MAN-kopplingen.
Huvudsyftet med att hyra en länk mellan nätverk eller som en WAN anslutning är att skapa sig en tillförlitlig anslutning. En anslutning som man alltid vet kan transportera den data som skickas på länken utan att begränsningar som får anslutningen att bli långsammare. Igenom att veta vilken data som skickas på länkarna kan man styra trafiken och även prioritera vilken trafik som är viktigast.
Det finns självklart fördelar och nackdelar med en hyrd länk. Fördelar förutom att få en tillförlitlig anslutning till sina verksamheter eller fastigheter är att hastigheten är oftast lika snabb upp som ner. Ofta är den hyrda länken en fiberanslutning med full duplex som ger en teoretisk maxhastighet på 10 gigabit per sekund. Detta medför att latensen och jitter blir minimal vilket medför hög kvalitet på datatrafiken.
Det finns egentligen bara en stor nackdel med att hyra en länk och det är kostnaden. Man får därför göra en beräkning om verksamheten verkligen behöver en hyrd länk för att få en kalkyl på flödet av trafik och därav behovet.
Som nämnt ovan behövs det hyrda länkar mellan nätverk där en anslutning måste garan-teras vara uppe eller där mycket data flödar. I bilden ovan kan man se när hyrda länkar används och kopplar samman olika fastigheter till ett stort WAN. Dessa nätverk kan ige-nom att ha hyrda länkar mellan sig skicka obegränsat med datatrafik på dessa linor, sam-tidigt som man vet att det bara är trafik från sina egna verksamheter som går på dessa länkar.
2.2 WAN via molntjänst
En molntjänst i vårt sammanhang är en nätverkskoppling mellan två byggnader där företa-get inte äger kopplingen eller utrustningen mellan byggnader utan de hyr endast tjänsten som kopplar samman byggnaderna och har ingen kontroll på vilken trafik som går på länken utöver den de skickar. Detta medför även att de inte har någon kontroll på vil-ken hårdvara som finns på vägen mellan byggnaderna eller vilka som har åtkomst till den.
Denna bild visar hur tre byggnader är sammankopplade, de vet att de är sammankopplade men de har ingen vetskap om vilka vägar trafiken tar eller vilken hårdvara den passe-rar.
2.2.1 Exempel på olika molntjänster
I dagsläget finns det två molntjänster som kan erbjuda ungefär samma funktioner och uppfylla de krav som en hyrd fiberanslutning och dessa är MPLS eller en lager2 länk mellan fastigheterna. Skillanden är att man inte veta hur vägen mellan sina nätverk ser ut och att det alltid finns en mellanhand som ska hantera trafiken.
De molntjänster som vi kommer att inkludera i denna uppsats är följande: • MPLS-länk
• Lager2-länk • VPN-länk
2.2.2 Varför välja molnbaserat nätverk?
Den främsta anledningen till att använda sig av molnbaserat nätverk är att det är billigare. Dels är kostnaden för länken mellan byggnaderna inte lika hög då de endast hyr en kopp-ling ut i molnet istället för att hyra hela länken mellan byggnaderna En annan anledning är att de inte heller behöver administrera hårdvaran som trafiken färdas genom utan de be-höver endast administrera det som finns inom byggnaderna (LANet) vilket skapar mindre administration och därmed minskar kostnaden. De risker som detta medför är att eftersom företaget inte har någon kontroll över hårdvaran som datan skickas över kan en “man in the middle”[12] attack ske så därför är det extra viktigt att veta vilken data som färdas på dessa länkar och att se till att dessa är skyddade med kryptering och andra metoder som gör det svårt för en attackerare att läsa den data som skickas över länken. En annan sårbarhet inom molnbaserat nätverk är att eftersom flera noder delar på samma länk så kan hastigheten variera. Om samtliga noder maximerar datatrafiken på länken kommer hastigheten påverkas av detta och nätverket kommer uppfattas långsamt. Detta är inte ett problem då kommunen hyr en länk eftersom det då endast är deras trafik som färdas på länken.
2.2.3 Riskjämförelse mellan molnlösning och traditionell WAN
Det framkommer givetvis mer risker och sårbarheter med att använda denna metod då hela sändningsförloppet för datan inte kan kontrolleras, men om datan krypteras korrekt kan detta ändå vara en fördelaktig lösning då företag inte behöver gräva ny fiber mellan sina byggnader och de behöver endast hyra dessa, vilket blir en billigare lösning då de inte behöver köpa vare sig länkarna eller hårdvaran mellan byggnaderna. De behöver heller inte anlita personal som ska underhålla dessa utan det utförs av företaget som länkarna hyrs av.
2.3 Migreringsplan från Traditionell WAN till molnbaserad
För att migrera sitt nätverk från traditionellt MAN till molnbaserat man finns det ett antal saker som behövs ifrågaställas och tänka på. Detta är bland annat följande:
2.3.1 Behov
Känner kommun eller företaget att det finns behov för att utföra migreringen? Eftersom detta är en stor del av nätverket så måste kommunen ta samtliga för- och nackdelar i åtanke då de behöver ta ställning till om detta är en fördelaktig lösning för just dem.
2.3.2 Säkerhet
Är Kommunens data tillräckligt uppsäkrad för att skickas på en “vanlig” länk? Då sä-kerheten är en väldigt viktig aspekt när det gäller datahantering måste kommunen avgöra om deras data är tillräckligt uppsäkrad för att skickas på en vanlig fiberlänk i molnet. Om den inte är det måste detta göras innan migrering då data annars kan hamna i orätta händer.
2.3.3 Kostnad
Hur relevant är kostnaden för kommunen? Detta är en fråga som är väldigt relevant. Då kostnaden är en av de största skillnaderna mellan de olika lösningarna är detta en viktig fråga. Om kostnaden inte är viktig för kommunen kanske de inte behöver migrera till molnlösningen utan kan behålla de hyrda länkarna de har idag.
2.3.4 Möjlighet
Har kommunen möjlighet att migrera? För att kunna migrera måste det finnas ett företag på orten som erbjuder denna tjänst och kan stå för byggnation av fiber till byggnaderna etc. De flesta orter idag har tillgång till minst en leverantör som erbjuder denna tjänst men detta måste kontrolleras och även begära en offert från detta företag för att se att kostnaden faktiskt blir lägre än att använda sig av hyrd fiber.
2.4 MPLS
Multiprotocol Label Switching(MPLS) är en teknik som används för att skicka IP paket till rätt mottagare med hjälp av paketets destinationsfält. MPLS ligger mellan lager 2 och 3 i OSI-modellen och kallas därför för ett lager 2.5 protokoll. MPLS gör att beslut tas snabbare i routrar än om traditionell lager3 router används. I MPLS används label switching istället för routing. När ett paket når första routern görs normalt en sökning efter next hop. MPLS letar istället upp den sista routern innan destinationen. Därefter väljer den en väg som paketet ska ta över nätverket. En label läggs på paketet med denna information så att resterande routrar vet vilken väg som ska användas och att det är MPLS som används. Detta gör att när en router tar emot detta paket behöver den inte göra någon IP lookup då den vet vart den ska skicka paketet. När paketet senare når sista routern innan destinationen så tas labeln bort från paketet och det levereras till mottagaren med hjälp av vanlig IP routing. Denna teknik går oftast öven en vanlig länk på nätverket. Den skickas med all vanlig trafik som går över t.ex internet så den skickas inte på dedikerad lina till mottagaren.
Generalized Multiprotocol Label Switching(GMPLS) är en förbättrad version av MPLS. Denna bygger på samma teknik som MPLS men är främst avsedd för optisk datakom-munikation (ASTN). I GMPLS utökas label-konceptet genom att även kunna identifiera tidsluckor, våglängder och optiska fibrer.[13]
2.5 Lager2 länk
Förbindelser med lager2 bygger på protokollet L2TPv3 som står för Layer Two Tunneling Protocol. För att detta ska kunna fungera mellan byggnader och nätverk måste tjänstele-verantören tilllämpa detta på WAN-kopplingen.
L2TPv3 är en vidare utveckling av L2TP som är en uppgradering av PPTP, Point to Point Tunneling[14]. En lager2 länk skapar ett VPN, virtual private network, över WAN-kopplingen som kan binda samman nätverk utan att behöva routa trafiken med IP-adress. Detta ses som en av de effektivaste sätten att binda samman nätverk över internet men kräver att man har rätt utrusning som kan tillhanda hålla funktionerna. Beroende på tjäns-televrantör kan detta tillhandahållas av dem som ansvarar för tunneln.
En lager2 länk går oftast över en delad länk[15] om man inte äger kopplingarna mellan nätverken. Med detta menas att länken mellan nätverken inte är dedikerad för bara en aktör, utan kan delas med flera beroende på nätverkets struktur.
En mycket förenklad förklaring för hur denna länk fungerar är att levrantören har en nod som har kopplingar till två olika nätverk/fastigheter. Från denna nod går sedan en länk till varje fastighet med samma unika VLAN id(Virtual Local Area Network). VLAN ID’t skapar själva tunnlen mellan nätverken och som avskiljer från andras nätverk. [16]
2.6 VPN
Virtual Private Network(VPN) är ett sätt att skapa en säker tunnel mellan två noder i ett nätverk. Detta används ofta när data ska skickas mellan två punkter över ett osäkert nätverk. Med hjälp av VPN blir datan inkapslad, man får autentisering och som nämt ovan
blir datan krypterad. VPN kan också användas för att dölja sin riktiga IP för att få mer anonymitet på internet.
Det finns två VPN anslutnings metoder, Point to Point och Remote Access.
Point to point används för att koppla ihop två skilda LAN över WAN-anslutningen(internet). Denna VPN är alltid aktiv och ska vara förkonfigurerad i den egna utrusningen.[17]
Remote Access är en lösning för att klienter utifrån ska få åtkomst till ett LAN genom att initiera en VPN tunnel och därmed utge sig för att ingå i LANet. Denna tunnel är sessionsbaserad vilket innebär att de endast är aktiv när klienten skickar en förfrågan om att upprätta tunneln. [18]
3
Metod
I detta avsnitt kommer det tillvägagånssätt och den undersökningsmetod vi använt oss av att presenteras. Våra teorier och observationer används som grund för studien.
Vi utförde även en enklare laboration för att testa hastigheterna mellan VPN och Lager2 länkar. Detta utfördes i våran laborationssal här på Linneuniversitetet i Kalmar, och tester-na ska visa hur tillgängligheten kan variera när det uppkommer belastning av det delade nätverket.
3.1 Datainsamling
Vi har använt oss av följande tekniker för att utföra våran datainsamling: • Laborationer
• Intervjuer
• Dokumentstudier • Observationer
Majoriteten av datainsamlingen har skett gemon att utföra intervjuer med vår partner Borås Stad samt genom att granska olika artiklar och andra dokument som berör äm-net. Vi har även gjort efterforkningar genom att utföra dokumentstudier och därmed få större kunskap inom ämnet.
3.1.1 Avgränsning
Vi har valt att begränsa oss till de tekniker som listas ovan då det var dessa vi ansåg vara relevanta för studien. Under laborationerna valde vi att endast jämföra lager2 och VPN då det var dessa vi hade möjlighet att testa utifrån den utrustning som fanns till förfogande. Vi har inte använt oss av någon form av enkät då detta ansågs göra arbetet för stort. Denna metod kan dock tänkas användas vid eventuell fortsatt forskning.
3.1.2 Genomförande
Under arbetets gång har ett antal intervjuer genomförts tillsammans med Borås Stad. Det som frågats under intervjun har främst varit frågor kring hur deras miljö ser ut idag samt få svar på frågor kring ämnet. För relevanta uppgifter från ett möte med Borås Stad, se Bilaga A.
Beskrivning av testmiljön
Vi utförde en laboration för att testa hur teknikerna fungerade och hur tillgängligheten var under olika omständigheter. Vi har använt oss av två olika topologier. Figur4 visar hur laborationsmiljön var när vi utförde tester på lager2 länkar och i figur5 utfördes tester med VPN konfiguration.
Figur 4: Topologi för Lager2 länk
Figur 5: Topologi för VPN
Switcharna som använts är av märket Cisco och har modellnummer 3560. Routrarna som använts är också från Cisco med modellnummer 2811. Datorerna som symboliserar före-tagen och även datorn som agerar som ’man-in-the-middle’ har operativsystemet Mirco-soft Windows 7[19].
Datorerna är virtuellt skapade med hjälp av programvaran VMware Workstation.[20] Fö-retagsklienterna till vänster och höger är på varsin fysisk dator och kan endast nå varandra över nätverket. Klienten som vi kallar ’man-in-the-middle’ finns på en egen fysik da-tor.
Den mjukvara som användes för att testa hastigheten mellan företagsklienterna heter iperf[21] och installerades på alla företagsklienter. För att testa tillgängligheten användes programmet High Orbit Ion Cannon(HOIC)[22]. Programmet WireShark[23] användes för att kontrollera säkerheten igenom att försöka sniffa trafiken.
Beskrivning av testutförande
Innan testerna utfördes för lager2 topologin kontrollerades det att företagsdatorerna kunde kommunicera med varandra över nätverket. Vi såg även till att de inte kunde komma åt varandra igenom att isolera klienterna i olika VLAN. Att dela in klienterna i olika
VLAN är vad denna funktion grundas på. Länkarna som är röda i topologin är trunkade länkar vilket innebär att både VLAN ’Blå’ och ’Grön’ kan transporteras mellan dessa noder.
Innan testerna utfördes för topologin VPN kontrollerades det att konfigurationen var kor-rekt och att de blåa och gröna klienterna kunde nå varandra över nätverket men att de inte inte kunde komma åt någon klient utanför sitt företag.
Testerna med iperf och HOIC utfördes under olika senarion. Först testades hastigheten när bara de blåa företagsklienterna använde nätverket, sedan likadant för de gröna. Efter dessa tester körde blå och grön sina tester samtidigt för att få en större belastning på nätverket. Till sist utfördes en DDoS-attack från ’man-in-the-middle’ klienten till en av företagsklienterna. Detta gjordes för att se om tillgängligheten blev försämrad.
Under hela laborationen försökte Wireshark sniffa trafiken mellan dessa klienter. Tillförlitlighet
Den hårdvara som använts under testerna är inte nödvändigtvis samma som används av företagen och kommunerna men denna användes för att kunna testa de olika scenarion som vi valt att arbeta med. För att få full tillförlitlighet på resultaten på testerna skulle vi behövt utrustning med stöd för högre hastigheter, detta hade vi dock inte möjlighet att få tillgång till så testerna är inte helt tillförlitliga men ger en inblick i skillnaderna mellan teknikerna.
Källkritik
När litteratur och vetenskapliga artiklar skulle eftersökas så var källkritik väldigt relevant då vi ville få korrekt information och få tillförlitlighet i arbetet. Vi har varit noga med att kontrollera vem som utfärdat artiklarna för att försäkras om att få korrekt informa-tion.
3.2 Analys
Analysen av testresultaten sammanställdes utifrån de reslutat laborationen levererade. Detta kommer presenteras under rubriken Resultat nedan i form av diagram. Analysen innefattar följande punkter:
• Hastighet mellan företagsklienter både enskilt och simultant. • Hastighet mellan företagsklienter under en DDoS attack.
4
Resultat
Under denna sektion kommer samtliga resultat presenteras. Testerna kommer presente-ras med hjälp av grafer och förklarande text medan övriga resultat kring arbetet endast kommer att presenteras med hjälp av text och bilagor.
4.1 Laboration
Nedan i figurerna 6-10 presenteras reslutat för de mätningar som utfördes under laboratio-nen. Graferna visar vilken hastighet som länkarna kunde kommunicera med och även hur tillgängligheten under simultana mätningar/belastningar kan påverka hastigheten. Vardera figur har en förklarande text för att veta vilken mätning som utförts.
Figur 6: Lager2 resultat med enskild mätning för både blå och grön.
Figur 8: VPN resultat med enskild mätning för både blå och grön.
Figur 9: VPN resultat med simultan mätning för både blå och grön.
Figur 10: DDos utförd av ’man in the middle’ klienten och under attacken utfördes mät-ning mellan de blåa klienterna.
4.2 Teoretiskt resultat
Nedan kommer vi presentera det teoretiska resultatet av vårat arbete. Innehållet under denna sektion kommer vara rent teoretiskt och grundas på intervjuer med NetatOnce[24] och Borås Stad. Fakta kommer även från vetenskapliga artiklar.
4.2.1 Hastighet och tillgänglighet
Tillgänglighet och hastighet går hand i hand. Blir en länk överbelastad förlorar man till-gängligheten och nätverket slutar att fungera. Det är därför viktigt att man har en länk mellan sina nätverk som kan hantera de volymer av data som krävs. Nedan kommer det presenteras vilken teoretisk maxhastighet som vardera tjänst/funktion kan tillhandahålla. Dessa hastigheter är beronde på att man har korrekt utrustning och att man har en fiber anslutning till sin fastighet eller verksamhet.
• Hyrd fiberlänk mellan nätverk: 10Gbit/s [25] • MPLS igenom molnet: 1Gbit/s [26]
• VPN igenom molnet: 100Mbit/s [27] • Lager2-länk igenom molnet: 1Gbit/s [28]
Molnet i ovanstående punktlista kan vara sin internetuppkoppling eller att man köper tjänsten från sin internetleverantör.
4.2.2 Säkerhet
Efter samtal med NetatOnce och Borås Stad visar det sig att säkerheten för hyrd fiber, MPLS och lager2-länk ska vara lika säkert när det gäller åtkomst av data. NetatOnce garanterade att endast det företag eller verksamhet som köpte tjänsten MPLS eller lager2-länk var isolerad från annan trafik på nätverket i molnet.
Det största säkerhetshotet för MPLS och lager2-länk är att länken är delad med andra fö-retag och kan därför tappa prestanda vid hög belastning. Det kan också ske att NetatOn-ce’s noder går ner och detta skapar då fördröjningar och kan till och med orska avbrott i länken.
4.2.3 Kostnad
Efter en jämförelse mellan traditionell WAN och molnbaserad framkom det att den störs-ta skillnaden mellan dessa är kostnaden. Efter ett samstörs-tal med Nestörs-tatOnce framkom det att molntjänstens kostnad för både MPLS och Lager2-länk är ungefär 4000 per månad med förutsättningarna att man har både hårdvara och fiber till fastigheten eller verksam-heten.
Vid intervjun med Borås Stad framkom det att kostnaden de betalar för länkarna finns under bilaga B. Där framkommer det att kostnaden varierar väldigt mycket beroende på
hur lång avtalstiden är. Vid jämförelse mellan de olika teknologierna så är medelkostna-den ganska lika, dock så måste det tas i åtanke att vid traditionell WAN ingår priser för installation av fiber och utrustning.
5
Analys
Analysen innefattar de slutsatser som går att dra utifrån de resultat som tester och andra resultat författarna beskrivit.
5.1 Laborationsanalys
Vid en titt på graferna ovan under reslutat syns det tydligt att det finns sårbarheter med båda systemen. Dessa resultat hade i teorin varit oberörda om vi hade gjort tester på hyrd länk. Använder klienterna nätverket en åt gången är det inga problem med hastigheten eller tillgängligheten. Detta förändras snabbt när man utför belastningar med data från båda företagsklienterna över nätverket.
Tar vi en närmare titt på figur6 och figur8 är jämförelsen minimal när man först utför överförning från blå till blå och grön till grön. När man sedan i figur7 och figur9 utför detta simultant får företagen helt enkelt en halverad hastighet eftersom de delar samma länk.
Under dessa överförningar och mätningar utfördes också sniffning av trafiken för att kun-na komma åt filer eller data som skickades över länkarkun-na, detta gav inget resultat. Klien-ten som utförde detta är helt isolerad från företagen. Det som var möjligt var att utföra en DDos attack mot ena företagsnätverket igenom att använda HOIC som var kopplad till en företagsklients IP, detta försämrade tillgängligheten mer än förväntat, resultatet syns i figur10.
5.2 Rekommendation
Vi rekomenderar kommuner och företag att använda sig av Traditionell WAN om det finns möjlighet för detta ur administrativ och ekonomiskt synpunkt. Detta då det är det säkraste och snabbaste alternativet. Om kommunen/företaget inte har den ekonomiska hållbarheten för att använda traditionell WAN rekomenderar vi dem att använda sig av molnlösningen, dock med tilläggstjänsten VPN eller en lager2 tunnel för att få säkerhet på länken. Om säkerhet och hastighet inte är relevant för kommunen/företaget rekomenderas även denna lösning till dessa. Det finns även tjänster som garanterar hastighet över VPN, dock är denna tjänst dyrare än vanlig VPN och denna har fortfarande inte samma säkerhet som traditionell WAN.
6
Diskussion
Denna del av rapporten innefattar diskussioner av de resultat som presenteras tidigare. Diskussion kring de olika lösningarna tas också upp.
6.1 Problemlösning/resultat
De tester och undersöknimgar som gjorts visar att en hyrd och dedikerad WAN-koppling är det bästa alternativet på många aspekter.
Att jämföra hyrd länk med VPN är att jämföra en motorväg med ett hänglås. Det är helt olika funktioner eftersom VPN försäkrar säkerhet med hjälp av kryptering medans en hyrd länk inte behöver kryptera sin trafik, eftersom det är endast sin egna trafik på länkarna.
Vid samtal med NetatOnce, nämdes det att man kan få en hastighetsgaranti på sina länkar med lager2-länk eller MPLS, detta är bara en kostnadsfråga. Man får helt enkelt lägga upp en struktur och göra undersökningar hur mycket trafik som sitt företag skickar mellan nätverk för att få en bra överblick på vad som är den bästa kopplingen att använda. Det man dock aldrig kommer undan är att trafiken alltid kommer gå igenom NetatOnce noder för att sedan transporteras vidare, detta kan bli en omväg för datan att transporteras. I Borås hade NetatOnce sin nod väldigt centralt och för Borås Stad hade detta aldrig blivit någon större omväg om datan ska transporteras mellan fastigheter.
Det kan finnas en anledning till varför man oftast använder sig av egenhyrda fiberpar i stadsnät. Detta för att kostnaden är ungefär likvärdig varje månad och man prioriterar tillgängligheten istället för att få en lite billigare koppling mellan sina nätverk som är geografiskt skilda.
Oftast ses nedtid som en stor kostnad för företag och detta vill man undvika igenom att ha en säker koppling för sina klienter.
6.2 Metodreflektion
De metoder som använts under arbetets gång har enligt oss fungerat bra. Nedan följer de reflektioner vi har över valet av metoder. En bred och stabil teoretisk grund har varit den utgångspunkt som använts för att påvisa de lösningar som finns och vad dessa innebär. Grunden i arbetet har handlat om att ta fram de lösningar som finns och därefter analysera och jämföra dessa för att ge ett så bra slutresultat till kommunerna/företagen som möjligt. Det går att diskutera trovärdigheten i resultaten från testerna då vi inte kunnat tillgå den utrustning som varit lämplig för att utföra testerna fullt ut, under lägre hastigheter är testerna dock korrekta och där är trovärdigheten hög då under dessa hastigheter är även utrustningen likvärdig den som används för dessa scenarion.
7
Avslutning
I det avslutande kapitlet tas slutsatser upp som besvarar det syfte som präglat studens gång. Här tas även förslag på framtida forskning upp inom det ämne som avhandlats.
7.1 Slutsats
Detta arbetets syfte var att uppmärksamma företag/kommuner om vilka sätt det finns att koppla samman olika nätverk som är geografiskt skilda. Vi hoppas med detta arbete att dessa parter har fått en klarare syn på hur tekniker fungerar och vilka för och nackdelar varje teknik har. De tester vi har utfört speglar det vi har läst om i teorin. Vi anser att testerna vi utförde har en viss felmarginal men speglar ungefär vad som kan ske i verklig-heten med delade länkar. Den bästa WAN-kopplingen mellan företag/verksamheter man kan ha anser vi att vid möjlighet välja en hyrd länk. Detta är om man har råd med installa-tionskostnaden och kompetens för att administrera hårdvaran som behövs för att få detta system att fungera felfritt.
7.2 Förslag till fortsatt forskning
Då testerna som gjorts inte har kunnat göras i kommunernas miljö är ett förslag till fram-tida forskning att besöka kommuner och företag som besitter utrustning från de olika lösningarna och utföra grundliga tester och därmed få korrekt information om hastighets-skillnader mellan de olika metoderna. En annan intressant punkt hade varit att kontakta samtliga kommuner i Sverige och utföra en undersökning om vilken metod de använder sig av och ifall de känner ett behov av att byta metod och isåfall vad som ligger till grund för eventuellt byte. En undersökning efter vilken säkerhet kommuner har på sin data hade även varit intressant då detta är en viktig punkt, framförallt då molnlösningen används. Därför hade en sådan undersökning varit relevant och därefter ta upp säkerhetslösningar och ge kommunerna kunskap om detta.
Referenser
[1] T. Terms. (2015) Wan. Tech Terms. [Online]. Available:
http://techterms.com/definition/wan [Kontrollerad: 2015]
[2] (2015) Borås Stad. [Online]. Available: http://www.boras.se/ [Kontrollerad: 2015] [3] BusniessDictionary. (2015) Leased line. Busniess Dictionary. [Online]. Available:
http://www.businessdictionary.com/definition/leased-line.html [Kontrollerad: 2015] [4] A. B. Khan, Azhar Shabbir. (2011) Mpls vpn. Halmstad University. [Online]. Avai-lable: http://hh.diva-portal.org/smash/record.jsf?pid=diva2%3A400278dswid=-7258 [Kontrollerad: 2015]
[5] N. Ögren. (2002) Selecting/realization of virtual private networks with multiprotocol label switching or virtual local area networks. Micro-electronics and Information Technology, IMIT. [Online]. Available: http://urn.kb.se/resolve?urn=urn:nbn:se:kth:diva-93211 [Kontrollerad: 2015]
[6] A. Wikström. (2014) Virtual private networks: : A feasibi-lity study of secure communications between remote locations. Microelectronics and Information Technology, IMIT. [Online]. Avai-lable: http://hh.diva-portal.org/smash/record.jsf?pid=diva2%3A694849dswid=8120 [Kontrollerad: 2015]
[7] Webopedia. (2015) Virtual private network. Webopedia. [Online]. Available: http://www.webopedia.com/TERM/V/VPN [Kontrollerad: 2015]
[8] Cisco1. (2003) Layer 2 tunnel protocol version 3. Cisco. [Online]. Avai-lable: http://www.cisco.com/c/en/us/td/docs/ios/12_0s/feature/guide/l2tpv30s.html [Kontrollerad: 2015]
[9] Cisco2. (2003) Multiprotocol label switching. Busniess Dictio-nary. [Online]. Available: http://www.cisco.com/c/en/us/products/ios-nx-os-software/multiprotocol-label-switching-mpls/index.html [Kontrollerad: 2015]
[10] C. Janssen. (2015) Lan. Techopedia. [Online]. Available:
http://www.techopedia.com/definition/5526/local-area-network-lan [Kontrollerad: 2015]
[11] Techopedia. (2015) Metropolitan area network. Techopedia. [Online]. Avai-lable: http://www.techopedia.com/definition/8238/metropolitan-area-network-man [Kontrollerad: 2015]
[12] N. DuPaul. (2015) Man in the middle. Veracode. [Online]. Available: http://www.veracode.com/security/man-middle-attack [Kontrollerad: 2015]
[13] M. Rouse. (2015) techtarget. [Online]. Available:
http://searchnetworking.techtarget.com/definition/GMPLS [Kontrollerad: 2015] [14] TechNet. (2015) Point-to-point tunneling protocol. Microsoft. [Online]. Available:
https://technet.microsoft.com/sv-se/library/cc739465%28v=ws.10%29.aspx [Kon-trollerad: 2015]
[15] Cisco3. (2015) Pseudowire. Cisco. [Online]. Availab-le: http://www.cisco.com/c/en/us/td/docs/net_mgmt/active_network_abstraction/3-7-2/reference/guide/ANA372RefGuide/pwe3.html
[16] C. Janssen. (2015) Vlan. techopedia. [Online]. Available:
http://www.techopedia.com/definition/4804/virtual-local-area-network-vlan [Kon-trollerad: 2015]
[17] TechNet. (2015) Point-to-point tunneling protocol. Mircosoft. [Online]. Available: https://technet.microsoft.com/sv-se/library/cc738852%28v=ws.10%29.aspx [Kon-trollerad: 2015]
[18] Technet. (2015) Remoteaccess. Microsoft. [Online]. Available: https://technet.microsoft.com/en-us/library/cc958048.aspx [Kontrollerad: 2015] [19] M. Rouse. (2015) Windows 7. Techtarget. [Online].
Availab-le: http://searchwindowsserver.techtarget.com/definition/Windows-7 [Kontrollerad: 2015]
[20] VMware. (2015) Vmware workstation. VMware. [Online]. Availab-le: http://www.vmware.com/se/products/workstation/features.html [Kontrollerad: 2015]
[21] C. Partsenidis. (2015) iperf. Techtarget. [Online]. Availab-le: http://searchnetworking.techtarget.com/answer/What-is-iPerf-and-how-is-it-used [Kontrollerad: 2015]
[22] radware. (2015) High orbit ion cannon. Radware. [Online]. Availab-le: http://security.radware.com/knowledge-center/DDoSPedia/hoic-high-orbit-ion-cannon/ [Kontrollerad: 2015]
[23] Wireshark. (2015) Wireshark. Wireshark. [Online]. Available: https://www.wireshark.org/about.html [Kontrollerad: 2015]
[24] NetatOnce. (2015) NetatOnce. [Online]. Available: http://www.netatonce.se/ [Kontrollerad: 2015]
[25] enta. (2015) Leased lines. Enta. [Online]. Available:
http://www.enta.net/leasedlines/gclid=CMOik5rAvqQCFV_92AodNjLcOA [Kon-trollerad: 2015]
[26] JuniperNetworks. (2012) How many packets per second per port are needed to achieve wire-speed? Juniper Networks. [Online]. Availab-le: http://kb.juniper.net/InfoCenter/index?page=contentid=KB14737 [Kontrollerad: 2015]
[27] D. Crawford. (2013) 5 fastest vpns. Best VPN. [Online]. Available: https://www.bestvpn.com/blog/7632/5-fastest-vpns/ [Kontrollerad: 2015]
[28] Cisco4. (2015) Layer 2 tunneling protocol version 3 technical overview. Cisco. [On-line]. Available: http://www.cisco.com/en/US/products/ps6587/products_white_ pa-per09186a00800a8444.shtml [Kontrollerad: 2015]
