Na návštěvě v NTK: místní WiFi rozbíjí Macocha

Jsou to teprve tři roky od chvíle, kdy byla pro veřejnost otevřená nová budova Národní technické knihovny v Dejvicích. Budova nabízí nejen ohromné prostory pro uskladnění téměř dvou milionů svazků, ale také 1300 studijních míst a nejmodernější techniku. Ta umožňuje samoobslužné vypůjčování i vracení knih, připojení uživatelů k síti či využití počítačové učebny pro veřejnost.

Jelikož se knihovna chlubí řadou technologicky unikátních řešení, rozhodli jsme se ji navštívit s fotoaparátem a diktafonem v ruce. Průvodcem nám byl ing. Václav Jansa, vedoucí oddělení provozu ICT.

Bez serverovny by to nešlo

Sestupujeme do podzemí a procházíme rozsáhlým labyrintem chodeb. Během cesty se ptáme, kolik lidí se v takové budově vlastně musí starat o ICT. Já mám pod sebou asi deset lidí, z nichž polovina řeší help desk. Jsou to většinou studenti, kteří doplňují papír a radí zákazníkům jak se připojit k WiFi, vysvětluje Jansa. Ostatní lidé mají různě rozdělené role, někdo se stará o knihovní systém, někdo další o souborové servery. Já jsem tu teď vlastně jediný, kdo je schopný kompletně vypnout a zapnout serverovnu. Do ní právě přicházíme.

Uprostřed serverovny

Důležitou součástí každé serverovny je záloha napájení. Ta nebyla v původním projektu knihovny vyřešena dostatečně. Byla tu jen jedna rotační UPS a jeden diesel. Při plné zátěži se setrvačník vydržel točit jednu minutu a když vám do té doby nenaběhne diesel, co stihnete vypnout? Nic. Proto bylo třeba dodatečně zálohu rozšířit o další řešení. Dokupovala se 100kW UPS, kterou tvoří jeden a půl tuny baterií. Ta vydrží při plném výkonu napájet servery patnáct minut, vysvětluje Jansa.

V současném provozu ale UPS vydrží hodinu a půl, protože původně bylo vše dimenzováno na podstatně větší příkon. Serverovna je projektována na 200 kVA, osazená UPS a chlazení počítají se 100 kVA, přitom nám dnes stačí přibližně 15 kVA. Přešli jsme na Blade servery a na plnou virtualizaci, čímž nám proti předpokladům z dob Intel P4 výrazně klesla spotřeba, říká nám místní správce a ukazuje nám racky se servery.

Síť postavená na dvou páteřních přepínačích řady 7500 od HP, mezi sebou jsou propojené a chovají se jako jeden. To šasi je velmi flexibilní a máme v něm i firewallové karty, říká náš průvodce a ukazuje nám bezdrátové controllery. To jsou ty světle šedé krabice značky 3Com, pro změnu s vnitřnostmi Trapeeze. Oba mají dva gigabitové porty, kterými jsou propojené do páteřních přepínačů. Zbytek sítě je pak tvořen dalšími stohy přepínačů s gigabitovými porty, které jsou rozmístěny v místních rozvodnách po budově. Dá se časem uvažovat i o tom, že přejdeme na desetigigabit, veškerá stíněná strukturovaná kabeláž je na něj připravená.

Další část vybavení tvoří bezpečnostní systém HP Tipping Point. Je to velmi robustní zařízení, které používá třeba americká NSA. Výhodou je, že zpoždění IPS je naprosto minimální, protože funguje na principu hradlového pole. Navíc je na cestě nedetekovatelný, protože nemá vlastní IP adresu, vysvětluje Jansa.

Náš průvodce Václav Jansa (vlevo)

Zajímá nás, jak je knihovna připojena do internetu. Máme tu dva nezávislé gigabitové porty, které jsou oba připojené do sítě CESNET. Vše prochází firewallem, bezpečnostní kontrolou a pak přes páteřní přepínače rovnou k uživatelům. Moderní trendy se projevují i tady, takže většina uživatelů se k internetu připojuje bezdrátově. Co se týče vytížení sítě, je dnes WiFi síť hlavním kanálem pro veřejnost. Interní systémy jsou připojeny do jiných VLAN se samostatným zabezpečením. Všechny porty jsou kvůli bezpečnosti ověřovány Radius serverem.

Zdejší servery obsluhují jak samotnou knihovnu, tak i požadavky uživatelů. Knihovní systém je tu samozřejmě tou nejdůležitější aplikací, ale zhruba 80 % provozu tvoří návštěvníci. Ti mohou samozřejmě do internetu, ale mají možnost využívat i interní služby jako databázi knihovny, elektronické repozitáře různých periodik a podobně, říká Jansa.

V současné době je největší brzdou IT stárnoucí diskové pole. Trochu jsme přerostli jeho možnosti a hlavně se při jeho koupi šetřilo. Je v něm málo rychlých disků a hodně pomalých, říká Jansa a dodává, že pole obsluhuje 140 serverů (včetně virtuálních), zálohování a další služby. Při plánovaném nákupu nového pole se už určitě budeme držet doporučení výrobce a nakoupíme rychlé disky. Určitě nechceme SSD, protože jejich podpora ještě není dostatečná a bez TRIM se dostanete na třetinu výkonu. Navíc prý je problémem i vysoká cena produkčních serverových SSD. Za ty peníze raději přidám padesát 15K disků a získám ohromnou kapacitu i výkon, říká Jansa.

Poslední věcí, které si při odchodu ze serverovny všímáme, je zvlášť postavený rack, ve kterém jsou vidět přijímače DVB. Po celé budově je natažená IPTV, máme tu dva DVB-T a tři DVB-S přijímače, každý umí vyrobit osm IPTV streamů, které se pak vysílají multicastem, vysvětluje Jansa.

Digitální televize

Po celé knihovně je pak asi třicet televizí, které je možné tímto signálem napájet. U každé je malý set-top-box a všechny jsou centrálně řízené. Takže je možné do libovolné televize pouštět libovolný obsah. Máme tu i vlastní enkodéry, takže dokážeme připravovat vlastní obsah třeba z některé z učeben či sálu. Máme tu i kompletní režii, kde můžeme míchat. Jsou to velké možnosti, které se zatím poměrně málo využívají, místo plánovaného tříčlenného týmu je tu jen jeden člověk na technickou obsluhu i programovou náplň.

Vyrážíme ze serverovny pryč a dostáváme se do jedné z rozvoden. V celé budově je osmnáct rozvoden, přes které jde IT kabeláž i elektřina. Jsou různě velké, tahle je zrovna poměrně malá. Ty největší mají osazených několik stovek portů pro učebny, říká Jansa a dodává, že všechny zaměstnanecké počítače jsou centrálně zálohovány 250kVA rotační UPS podloženou 550kVA diesel agregátem a k výpadkům v praxi opravdu nedochází.

Při naší procházce se dozvídáme veselé historky z této krásné nové budovy. Máme tu třeba elektro dílnu, která je hned vedle naší serverovny. Vedou tam dva desetigigabitové kabely, ale ani jeden napájecí, směje se Jansa. Při projekci se prostě zapomnělo na elektřinu pro dílnu elektro. Není tam jediná zásuvka, natož třífázová. Dnes je tam sklad spotřebního materiálu, takže to nikoho nepálí.

Knihovna jako jedna velká BTS

Budova je vlastně jedna velká BTS, takže mobilní signál v ní by měl být perfektní. Původně to tu nechal nainstalovat Vodafone, pak to nechal změřit T-Mobile a celé se to muselo dle měření znovu seřídit, protože to nebylo dobře vyvážené. Jsou tu čtyři samostatné větve, mezi kterými signál kolísal o 15 dB, což je na technologii GSM/UMTS příliš a telefony často skákaly mezi vnitřní BTS a jejími venkovními sousedy. V budově jsou tedy zatím jen dva čeští mobilní operátoři ze tří. O2 se s ostatními nedohodlo, takže jsme dva roky bez jejich signálu. ‚Ideální‘ je to ve chvíli, kdy zavřete do serverovny techniky HP, kteří používají právě O2, dodává ironicky Jansa. Museli jsme jim tam dát stolní telefon, aby se vůbec dovolali ven. Dveřmi by bez karty neprošli.

Celá BTS se skládá ve dvou částí. Technika je umístěna vedle serverovny, kde jsme už byli a po budově je pod stropy řada zářičů. V současné době je tu asi 300 zářičů, které jsou napájené vlnovody s patřičným počtem odboček, vysvětluje pokrytí Jansa. Výsledkem by mělo být bezproblémové pokrytí pro uživatele zmíněných dvou operátorů. Vodafone tu má i 3G, T-Mobile ale zatím jenom GSM, říká náš průvodce. Zásadní je, že si v této železobetonové stavbě, která je vůči bezdrátovým technologiím dosti nepřátelská, normálně zatelefonujete.

Trable s příliš dobrou WiFi

Dalším zajímavým bezdrátovým prvkem jsou zdejší WiFi sítě. Ty jsou k vidění také pod stropy, vedle zářičů pro mobilní telefony. Je tu sto čtyřicet WiFi AP a výsledkem je, že wifina je tu ‚pekelná‘, kroutí hlavou Václav Jansa. Všechny součásti bezdrátové sítě, včetně řídících systémů a jednotlivých přípojných bodů totiž počítají s tím, že máte klasický patrový dům. My tu ale máme velké atrium, které tvoří třetinu každého patra. Říkáme mu ‚Macocha‘, vysvětluje a skoro vážně dodává, že zatím do Macochy ještě nikdo neskočil.

Macocha s terminály

Takto nestandardně otevřená stavba způsobuje ohromný překryv sítí, ze kterého nemají radost zejména levnější zařízení. Pak si sem někdo sedne s netbookem, splaší se mu ovladač síťovky a začne putovat po třiceti nebo čtyřiceti AP a je schopen nám tavit Radius, DHCP a snižuje výkon WiFi pro ostatní. Nemluvě o tom, že si pak ještě přijde stěžovat, že mu to nefunguje, popisuje Jansa starosti všedního dne.

Problém se týká zejména počítačů z nejlevnější cenové kategorie. Ze zkušenosti víme, že počítače s cenou nad 15 000 Kč s tím problémy většinou nemají. Cokoliv výrazně levnějšího pak už zlobí. Další věc je, že většina lidí má zapnutý úsporný režim, takže se WiFi každou chvíli odpojí od sítě. V první řadě je tedy podle Jansy potřeba tento režim vypnout a pokud to nepomůže, musí se takový uživatel paradoxně přesunout do míst s co možná nejhorším pokrytím. Posadíme ho někam do rohu s tím, že tam vidí nejméně AP a bude mu to možná fungovat.

Problém místních AP je také v tom, že mají příliš kvalitní antény s vysokým ziskem 14 dB, které právě můžou za příliš dobré pokrytí. Máme výkon snížený na minimum a víc s tím neuděláme. Jedině bychom mohli vypnout interní antény a nakoupit na eBay ty nejhorší za dva dolary, vtipkuje Jansa. Podle jeho slov ale vlastně nejde o vtip, protože to skutečně bylo zvažováno jako jedno z nouzových řešení.

Dodává ještě jednu vtipnou historku. Když jsme tu řešili WiFi telefony, dostal se nám do rukou výrobek jednoho čínského výrobce. Vypadal poměrně dobře a na první pokus fungoval bez problémů. Pak jsme ho ale odnesli do atria, kde se pokusil načíst všechna SSID, která viděl. Bylo toho na něj tolik, že se mu zaplnila paměť a on umřel. Definitivně. Nebyli jsme schopni ho už vůbec nastartovat, uzavírá Václav Jansa povídání o bezdrátových sítích. Někdy i příliš dobré pokrytí způsobí nečekané problémy.

Bezpečnostní problémy na síti

V NTK je možné se připojit k internetu pomocí uživatelského účtu dvojího typu. Buďto musíte být studentem s účtem k síti Eduroam nebo musíte být zákazníkem knihovny s platnou průkazkou. Dvě třetiny provozu tu tvoří studenti, kteří nemají v knihovně aktuální konto a využívají prostory a WiFi, říká Jansa. Na takto rozsáhlé a navíc do jisté míry veřejné síti je třeba řešit i případné bezpečnostní problémy.

Nedotýkejte se drátů, ani z racku spadlých. Pokud ovšem nejste místní guru.

Zajímáme se tedy o to, jak je to s možností dohledání uživatele, kdyby nastal bezpečnostní incident vycházející ze sítě NTK. Můžeme dohledat všechno, pokud je to potřeba. Problém je ale zatím v tom, že je to pomalé, protože je to ve čtyřech různých databázích. V DHCP, Radiusu, accountingu a firewall lozích je třeba vyhledat data a spojit je dohromady, vysvětluje Jansa s tím, že věc komplikuje především NAT. Máme tu jeden a půl céčka pro provoz knihovny a 32 veřejných adres pro Eduroam (celkem 414 adres – pozn. redakce) a víc než 2500 zařízení, takže se natuje a natuje.

V současné době jsou navíc informace z firewallu uloženy v syslogu bez rozumného formátování, takže je třeba je hledat fulltextově. Ruční práce proto vyžaduje čas. Jeden student nám tu ale dělá na bakalářské práci, v rámci které vytvoří jednu databázi, nad kterou budeme moci velmi rychle dohledat vše potřebné, vysvětluje Jansa a dodává, že i když si uživatel zvolí náhodnou IP adresu, stejně je možné jej přes MAC adresu dohledat v Radius serveru, kde má reálný účet.

Servery, routery, switche a další technika

Možnost dohledat uživatele je skutečně v praxi potřeba, zejména kvůli části velmi neukázněných uživatelů. Třeba přes léto byli studenti pryč a scházeli se nám tu různí úchylové. Je to veřejný prostor, takže pravidelně vyhazujeme lidi, kteří sem přijdou stahovat porno a podobně. Zdaleka to nejsou všichni uživatelé knihovny, ale i těch pár stačí. Je to asi tak, že dvě procenta uživatelů knihovny vytváří devadesát osm procent starostí pro zaměstnance. Máme tu třeba uživatele, který si všechno šifruje, posílá si hesla na různé maily, kterých má asi padesát, a neumí zavírat okna prohlížeče. Takže sám pak sežere třeba 5 GB paměti na našem terminálovém řešení, říká Jansa.

Počítače v učebnách nikdo nechce

Během povídání procházíme kolem počítačových učeben, buď bez lidí nebo bez počítačů. Rozvržení prostor se tu plánovalo od roku 2001, nájemci chtějí radši počítačovou učebnu bez počítačů, k volným přednáškám, případně si přinesou, nebo od nás půjčí pár notebooků. Mediatéka s počítači na sledování videa je dnes překonána tablety připojenými k WiFi. Střih videa zvládne většina lepších notebooků, o stolních PC nemluvě. Vývoj IT šel kupředu rychleji než projektování, stavba a zprovoznění knihovny, komentuje využívání prostor a počítačů Jansa.

Do Macochy ještě nikdo neskočil…

Po celé budově jsou k dispozici ještě veřejné terminály, které je možné také využít pro připojení k internetu. Uživatelé se k nim ale nechovají příliš přátelsky. Stává se nám, že přijde někdo s vybitým notebookem a odpojí si terminál, aby měl kam připojit nabíječku. Pak dorazí jeho kamarádi a odpojí si další. Bohužel pak málokdo už vrátí věci do původního stavu. Nedávno začal semestr a první den jsme měli 50 ze 150 terminálů odpojených od elektrické sítě, říká Jansa. Chtěli jsme uživatelům přidat prodlužovačky, ale neprošlo to přes požárníky. Můžeme připojit deset zásuvek na jeden okruh, víc už nám pochopitelně zakáží, vysvětluje nepoužitelnost řešení, které je nabíledni.

Ještě si prohlížíme místní „Macochu“, na jejímž dně pobíhají lidé mezi pancéřovanými informačními kiosky a pomalu opouštíme budovu. Je zajímavé, kolik technologií v sobě ukrývá něco tak obyčejného, jako je knihovna. Zároveň je smutné, že velká část možností zůstává nevyužita. Snad tomu tak nebude navždy.

(Foto: Ondřej Hošt)