vyber softwaru pro sitove prvky

abstrakt.tex

@@ -4,7 +4,7 @@
 
 {\Large\bfseries Abstrakt}
 
-Tato bakalářská práce se zabývá nasazením, správou a monitoringem rozsáhlých Wi-Fi sítí. Popisuje fungovanání sady standardů Wi-Fi, jednotlivé standardy a autorizační metody. Uvádí základní pojmy z~počítačových sítí v~kontextu přístupových Wi-Fi síťí. Mapuje dostupný hardware pro budování Wi-Fi sítí a kompatibilní open-source software. Následně je pomocí vybraného open-source softwaru implementována modelová přístupová Wi-Fi síť na základě deklarovaných požadavků. Tato modelová implementace je v~závěru vyhodnocena a porovnána s~dostupnými proprietárními řešeními pro správu rozsáhlých Wi-Fi sítí.
+Tato bakalářská práce se zabývá automatizovaným nasazením, správou a monitoringem rozsáhlých Wi-Fi sítí. Uvádí základní pojmy z~počítačových sítí v~kontextu autorizacerizace uživatelů a přístupových Wi-Fi síťí. Popisuje sadu standardů Wi-Fi, jednotlivé standardy a autorizační metody.  Následně je pomocí vybraného open-source softwaru implementována modelová přístupová Wi-Fi síť na základě deklarovaných požadavků. Tato modelová implementace je v~závěru vyhodnocena.
 
 \vspace{4mm}
 
@@ -18,7 +18,7 @@ Klíčová, slova, oddělená, čárkou
 
 {\Large\bfseries Abstract}
 
-This bachelor thesis deals with the deployment, management and monitoring of large-scale Wi-Fi networks. It describes the functioning of a set of Wi-Fi standards, individual standards and authorization methods. It lists basic concepts from computer networks in the context of Wi-Fi access networks. It maps the available hardware for building Wi-Fi networks and compatible open-source software. Subsequently, a model Wi-Fi access network is implemented using selected open-source software based on the declared requirements. This model implementation is evaluated at the end and compared with the available proprietary solutions for managing large-scale Wi-Fi networks.
+This bachelor thesis deals with automated deployment, management and monitoring of large-scale Wi-Fi networks. It introduces basic concepts from computer networks in the context of user authorization and Wi-Fi access networks. It describes a set of Wi-Fi standards, individual standards and authorization methods. Subsequently, a model Wi-Fi access network is implemented using selected open-source software based on the declared requirements. This model implementation is evaluated at the end.
 
 \vspace{4mm}
 

bibliografie.bib

@@ -45,14 +45,14 @@
 @online{OpenWrtDocFAQ,
   author = {Project OpenWrt},
   title = {FAQ before installing OpenWrt},
-  year = 2021,
+  year = {2021},
   url = {https://openwrt.org/docs/guide-user/installation/before.installation#what_is_the_difference_between_the_different_image_formats},
   urldate = {2024-07-03}
 }
 @online{OpenWrtDoc8021X,
   author = {Project OpenWrt},
   title = {Introduction to 802.1X},
-  year = 2024,
+  year = {2024},
   url = {https://openwrt.org/docs/guide-user/network/wifi/wireless.security.8021x},
   urldate = {2024-11-10}
 }
@@ -66,13 +66,13 @@
 	author = {Aliaksei Maiseyeu},
 	title = {Dawn of the Infrastructure as Code},
 	url = {https://lean-delivery.com/2019/12/infrastructure_as_code.html},
-	urldate = {2024-10-15}
+	year={2019}
 }
 @online{JetPatch,
 	author = {Ali Raza},
 	title = {Puppet vs Chef vs Ansible vs SaltStack},
 	url = {https://jetpatch.com/blog/agent-management/puppet-vs-chef-vs-ansible-vs-saltstack/},
-	urldate = {2024-10-19}
+	year={2016}
 }
 @book{HeapAnsible,
 	place={Berkley, CA},
@@ -85,13 +85,13 @@
 	author = {Timothy Appnel},
 	title = {The Zen of Ansible},
 	url = {https://www.ansible.com/blog/the-zen-of-ansible/},
-	urldate = {2024-10-01}
+	year = {2023}
 }
 @online{RamsTech,
 	author = {Ram},
 	title = {Monitoring and Visualization Options for OpenWRT},
 	url = {https://nramkumar.org/tech/blog/2024/06/21/monitoring-and-visualization-options-for-openwrt/},
-	urldate = {2024-10-15}
+	year = {2024}
 }
 @report{Hofstede2014,
 	author = {R. Hofstede and P. Čeleda and B. Trammell and I. Drago and R. Sadre and A. Sperotto and A. Pras},
@@ -103,38 +103,39 @@
 @misc{openwrtAPK,
 	title = {Major Change Notice: New Package Manager},
 	date = {2024-11-15},
-	author = {psherman},
+	author = {Sherman},
-	url = {https://forum.openwrt.org/t/major-change-notice-new-package-manager/215682}
+	url = {https://forum.openwrt.org/t/major-change-notice-new-package-manager/215682},
+	year = {2024}
 }
 @online{peterka_tcpip,
 	author = {Jiří Peterka},
 	title = {Síťový model TCP/IP},
 	url = {https://www.earchiv.cz/a92/a231c110.php3},
-	urldate = {2024-9-9}
+	year = {1992}
 }
 @online{wiki_tcpip,
 	author = {Wikipedie},
 	title = {TCP/IP},
 	url = {https://cs.wikipedia.org/wiki/TCP/IP},
-	urldate = {2024-9-13}
+	year = {2008}
 }
 @online{samuraj_csma,
 	author = {Petr Bouška},
 	title = {Ethernet - CSMA/CD, kolizní doména, duplex},
 	url = {https://www.samuraj-cz.com/clanek/ethernet-csma-cd-kolizni-domena-duplex/},
-	urldate = {2024-9-23}
+	year = {2007}
 }
 @online{samuraj_ethernet,
 	author = {Petr Bouška},
 	title = {TCP/IP a ethernet - cesta v síti, aktivní síťové prvky},
 	url = {https://www.samuraj-cz.com/clanek/tcp-ip-a-ethernet-cesta-v-siti-aktivni-sitove-prvky/},
-	urldate = {2024-9-23}
+	year = {2007}
 }
 @online{samuraj_vlan,
 	author = {Petr Bouška},
 	title = {VLAN - Virtual Local Area Network},
 	url = {https://www.samuraj-cz.com/clanek/vlan-virtual-local-area-network/},
-	urldate = {2024-9-24}
+	year = {2007}
 }
 @online{freeccna_vlan,
 	author = {FreeCCNAStudyGuide.com},
@@ -146,7 +147,7 @@
 	author = {IEEE},
 	title = {802.3-2018 - IEEE Standard for Ethernet},
 	url = {https://ieeexplore.ieee.org/document/8457469},
-	urldate = {2024-9-29}
+	year = {2018}
 }
 @online{ijs2_ethernet,
 	title = {Ethernet},
@@ -157,23 +158,54 @@
 	author = {Gorry Fairhurst},
 	title = {Advanced VLANs},
 	url = {https://erg.abdn.ac.uk/users/gorry/course/lan-pages/vlan-advanced.html},
-	urldate = {2024-9-20}
+	year = {2012}
 }
 @online{stankus_8021x,
 	author = {Martin Stankuš},
 	title = {Autentizace, autorizace a accounting v prostředí IEEE 802.1X},
 	url = {http://www.cs.vsb.cz/grygarek/SPS/projekty0607/RADIUS-Stankus.pdf},
-	urldate = {2024-10-11}
+	year = {2007}
 }
 @online{networkencyclopedia_eap,
-	autor = {networkencyclopedia.com},
+	author = {networkencyclopedia.com},
 	title = {Decoding EAP Protocol: A Guide to Extensible Authentication},
 	url = {https://networkencyclopedia.com/decoding-eap-protocol-a-guide-to-extensible-authentication/},
-	urldate = {2024-10-11}
+	year = {2024}
 }
 @online{eduroam_realm,
-	autor = {eduroam.cz},
+	author = {eduroam.cz},
 	title = {Realm},
 	url = {https://www.eduroam.cz/cs/spravce/pripojovani/realm},
-	urldate = {2024-11-8}
+	year = {2019}
+}
+@online{eduroam_certifikaty,
+	author = {eduroam.cz},
+	title = {Certifikaty},
+	url = {https://www.eduroam.cz/cs/spravce/pripojovani/serverove_certifikaty},
+	year = {2024}
+}
+
+@online{cuhel_8021x,
+	author = {Radim Čuhel},
+	title = {Řízení přístupu k lokální síti pomocí protokolu IEEE 802.1x},
+	url = {https://www.vut.cz/www_base/zav_prace_soubor_verejne.php?file_id=210204},
+	year = {2020}
+}
+@online{lesek_8021x,
+	author = {Vladimír Lešek},
+	title = {Autentizace v lokálních sítích pomocí IEEE 802.1x},
+	url = {https://dspace.cvut.cz/bitstream/handle/10467/82727/F3-BP-2019-Lesek-Vladimir-Autentizace%20v%20lokalnich%20sitich%20pomoci%20IEEE%20802.1x.pdf?sequence=-1&isAllowed=y},
+	year = {2019}
+}
+@online{crowder_firmwarecomp,
+	author = {Crystal Crowder},
+	title = {DD-WRT vs. Tomato vs. OpenWRT: Which Router Firmware Is the Best?},
+	url = {https://www.maketecheasier.com/dd-wrt-vs-tomato-vs-openwrt-router-firmware/},
+	year = {2023}
+}
+@online{twain_compare,
+	author = {Kurt Twain},
+	title = {DD-WRT vs OpenWrt: The Better Router Firmware in 2024?},
+	url = {https://www.homeowner.com/connectivity/routers/dd-wrt-vs-openwrt},
+	year = {2024}
 }

chapters/implementace.tex

@@ -2,16 +2,28 @@
 \label{ch:implemetace}
 
 Sekce popisuje konfiguraci síťových zařízení a dalších softwarových komponent nutných pro fungování modelové implementace dle definovaných požadavků.
-Zejména se zaměřuje na konfiguraci přístupových bodů (access pointů) sítě a konfiguraci centrální autentifikace a autorizace s~integrací do sítě eduroam. Popisuje také nastavení routerů, jedná se ale pouze o~základní konfiguraci pro fungování modelové implementace. V~reálné implementaci by konfigurace obsahovala daleko větším množstvím síťových rozhraní a komplexnější nastavení firewallu.
+Zejména se zaměřuje na konfiguraci přístupových bodů (access pointů) sítě a možnosti získání potřebných dat pro monitoring. Dále popisuje konfiguraci centrální autentizace a autorizace s~integrací do sítě eduroam.
 
 % ==================================================================================================================
 \section{Síťové prostředí}
 \label{sec:sitoveProstredi}
 
 % ==================================================================================================================
-\section{Výběr softwaru pro síťové prvky a mangement síťových prvků}
+\section{Výběr softwaru pro síťové prvky}
 
-...
+Na trhu je omezené množství přístupových bodů, které používají open-source systémy. Přesto je většina přístupových bodů různých výrobců postavena na standardním hardwaru, pro který jde zkompilovat operační systém Linux. Tento fakt umožňuje využití existujících open-source projektů, které nabízejí operační systémy fungující na těchto typech zařízení.
+
+Pro zajištění co největší kompatibility s~přístupovými body různých výrobců je v~modelové implementaci nezbytné nahradit jejich proprietární systém open-source alternativou. Tento přístup rovněž odpovídá cílům práce, která si klade za úkol implementovat přístupovou Wi-Fi síť výhradně s~využitím open-source technologií.
+Open-source systém má i své výhody. Open-source systém je zejména podporován komunitou i po ukončení oficiální podpory výrobce zařízení, což zvyšuje bezpečnost a odolnost vůči novým zranitelnostm. Také mnohdy rozšiřuje funkce zařízení nad rámec toho, co je běžně poskytováno výrobcem. \citep{crowder_firmwarecomp}
+
+Nejznámnější projekty:
+\begin{itemize}
+  \item \textbf{DD-WRT}: Nabízí kompatibilitu s~mnoha zařízeními - obsahuje velké množství ovladačů. Je dobře optimalizovaný a poskytuje mnoho pokročilých funkcí. Aktualizace nevycházejí tak často.
+  \item \textbf{OpenWrt}: Nabízí velké množství rozšíření v~podobě balíčků. Podporuje velké množství zařízení. Má velkou komunitu vývojářu - pravidelně vycházejí aktualizace. Kromě webového rozhraní nabízí i příkazový systém \verb|uci| pro síťovou konfiguraci pomocí příkazové řádky. Nabízí pouze free a open-source síťové ovladače a má složitější webové rozhraní. \citep{twain_compare}
+  \item \textbf{Tomato}: - Jednoduchý stabilní systém pro zařízení s~wifi chipy od firmy Broadcom - podporuje méně modelů. Má velmi přehledné webové rozhraní. Nenabízí velké možnosti přizpůsobení. Má menší komunitu vývojářů - aktualizace nevycházejí příliš často.
+\end{itemize}
+
+Z~vybraných systémů jsem zvolil systém \textbf{OpenWrt} pro jeho širokou komunitu vývojářů, obsáhlé repozitáře doplňkového softwaru, flexibilitě konfigurace a možnosti konfigurace pomocí nástroj \verb|uci|.
 
 % ==================================================================================================================
 \section{Příprava zařízení}
@@ -34,7 +46,7 @@ Zkompilovat a sestavit vlastní obraz systému openwrt je možné na lokálním
 Webová aplikace \url{https://firmware-selector.openwrt.org/} umožnuje získat již předkompilované obrazy systému OpenWrt i možnost vytvořit si obraz vlastní.
 Obrazy systému OpenWrt jsou pro různé zařízení unikátní, protože různé zařízení využívají různé procesorové architektury, mají různé rozložení paměti a obsahují různé periferie pro které je nutné mít adekvátní ovladače. V~první části je nutné vybrat model zařízení pro který chceme získat obraz systému OpenWrt. Následně vybereme verzi systému OpenWrt, kterou chceme získat.
 
-Aplikace standartně ve spodní části stránky nabízí ke stažení tři druhy předkompilovaných obrazů. První je samotné jádro operačního systému - kernel. Další možnosti jsou factory obraz a sysupgrade obraz. Oba obrazy obsahují stejný systém s~tím rozdílem, že factory obraz je doplněný o~hlavičky a scripty pro interakci s~továrním softwarem zařízení, tak aby tento obraz akceptovaly proprietární nástroje výrobce zařízení pro upgrade firmwaru (zapsání obrazu do paměti zařízení). Factory obraze je tedy úrčený pro prvnotní insalaci OpenWrt, sysupgrade obraz slouží k~aktualizaci systému z~již funkčního systému OpenWrt.\citep{OpenWrtDocFAQ}
+Aplikace standardně ve spodní části stránky nabízí ke stažení tři druhy předkompilovaných obrazů. První je samotné jádro operačního systému - kernel. Další možnosti jsou factory obraz a sysupgrade obraz. Oba obrazy obsahují stejný systém s~tím rozdílem, že factory obraz je doplněný o~hlavičky a scripty pro interakci s~továrním softwarem zařízení, tak aby tento obraz akceptovaly proprietární nástroje výrobce zařízení pro upgrade firmwaru (zapsání obrazu do paměti zařízení). Factory obraze je tedy úrčený pro prvnotní insalaci OpenWrt, sysupgrade obraz slouží k~aktualizaci systému z~již funkčního systému OpenWrt.\citep{OpenWrtDocFAQ}
 
 Po rozkliknutí sekce \verb|Customize installed packages and/or first boot script| můžeme definovat jaké balíčky budou zakomponovány do vytvořeného obrazu systému a jaká se provede inicializační konfigurace. Tlačítkem \verb|Request build| zahájíme sestavení vlastního obrazu OpenWrt, který si následně stáhneme.
 
@@ -58,9 +70,9 @@ Balíky lze odebrat připsáním názvů balíků s~prefixem \verb|-|. Tedy: \te
 
 Do vstupu \verb|Script to run on first boot (uci-defaults)| zadáme ash unix shell script, který provede konfiguraci systému při prvním spuštění.
 
-% \lstinputlisting[caption={Script spouštěný při prvním bootu (uci-defaults.sh)}, language=bash,]{ucidefaults.sh}
+\lstinputlisting[caption={Script spouštěný při prvním bootu (uci-defaults.sh)}, language=bash,]{ucidefaults.sh}
 
-Tento script odstraní výchozí nastavení systému OpenWrt. Ze souboru \verb|/etc/board.json| (popis výchozí konfigurace pro dané zařízení) zjistí původní WAN port zařízení a nad ním vytvoří nové síťové rozhraní s~vlan tagem \verb|99| pro příchozí i odchozí provoz. DHCP client na tomto novém rozhraní požádá o~přidělení IP adresy. Toto síťové rozhraní bude jediné síťové rozhraní kterému bude přidělena IP adresa. Bude sloužit pro management přístupového bodu.
+Tento script odstraní výchozí síťové nastavení systému OpenWrt. Ze souboru \verb|/etc/board.json| (popis výchozí konfigurace pro dané zařízení) zjistí původní WAN port zařízení a nad ním vytvoří nové síťové rozhraní s~vlan tagem \verb|99| pro příchozí i odchozí provoz. DHCP client na tomto novém rozhraní požádá o~přidělení IP adresy. Toto síťové rozhraní bude jediné síťové rozhraní kterému bude přidělena IP adresa. Bude sloužit pro management přístupového bodu.
 
 Script detekuje, zda dané zařízení obsahuje switch a rozpozná jestli je spravován pomocí DSA nebo nástrojem \verb|swconfig|. DSA nebo-li Distributed Switch Architecture je subsystém Linuxového jádra pro unifikovanou správu specifických embedded switchů. Vytváří virtuální síťová rozhraní pro každý port switche, což umožňuje jejich správu standardními Linuxovými nástroji.\citep{LinuxDSA} U~DSA switche si s~nastavením VLAN tagování provozu poradí OpenWrt při vytváření síťového rozhraní pro management, zatímco switch spravovaný nástrojem \verb|swconfig| je nutné ještě nakonfigurovat tak, aby na původním WAN portu switche přijímal a odesílal rámce s~VLAN tagem 99 a tyto rámce přeposílal z~portu a na port switche připojený na ethernetové rozhraní CPU přístupového bodu také s~VLAN tagem 99.
 
@@ -76,7 +88,7 @@ Tímto jsme získali přístupový bod s~opensource systémem OpenWrt se síťov
 % ==================================================================================================================
 \section{Konfigurace a správa přístupových bodů}
 
-Tabulka \ref{tab:DevOpsTools} poskytuje přehled vybraných nástrojů pro správu konfigurace a jejich vlastností.
+Tabulka \ref{tab:DevOpsTools} poskytuje přehled a porovnává vybrané nástroje pro správu konfigurace.
 Výběr nástroje pro správu konfigurace přístupových bodů sekce se musí řídit jejich možnostmi.
 Přístupové body jsou limitovýny svými hardwarovými prostředky, proto je vhodné preferovat nástroje, které nevyžadují instalaci agenta, aby nedocházelo k~využívání omezeného interního uložiště a operační paměti.
 Dalším zohledněným kritériem pro výběr nástroje je jazyk zápisu konfigurace. Zde preferuji zápis konfigurace v~jazyce YAML pro jeho jednoduchost oproti specifické syntaxi nástroje Puppet. Jazykem YAMl se zapisují strukturované data podobně jako v~JSONu. Jazyk YAML je obecně známý pro svou dobrou čitelnot a intuitivní zápis, což zjednodušuje čtení i úpravy konfigurací.
@@ -98,7 +110,7 @@ Zbylé nástroje Ansible a SaltStack využívají pro zápis konfigurace jazyk Y
 \end{itemize}
 
 Ke správě konfigurace přístupových bodů jsem vytvořil adresář, který dodržuje standartní adresářovou strukturu Ansible.
-% \lstinputlisting[caption={Adresářová struktura Ansible}, language=bash,]{ansibleTree.txt}
+\lstinputlisting[caption={Adresářová struktura Ansible}, language=bash,]{ansibleTree.txt}
 
 V~adresáři \verb|roles/gekmihesg.openwrt| je naklonován repozitář \verb|ansible-openwrt|\footnote{\url{https://github.com/gekmihesg/ansible-openwrt}}, který přidává roli pro konfiguraci zářízení OpenWrt. Pro použití modulů této role je potřeba umístit spravovaná zařízení do skupiny \verb|openwrt| v~inventory Ansiblu a použít roli \verb|gekmihesg.openwrt| v~direktivě \verb|roles:| v~playbooku.
 
@@ -109,7 +121,7 @@ V~adresáři \verb|roles/gekmihesg.openwrt| je naklonován repozitář \verb|ans
 
 Pro nasazení nových přístupových bodů slouží playbook \verb|addNewAPs.yml|.
 
-% \lstinputlisting[caption={Obsah playbooku addNewAPs.yml},]{../apLukov/addNewAPs.yml}
+\lstinputlisting[caption={Obsah playbooku addNewAPs.yml},]{../apLukov/addNewAPs.yml}
 
 V~úvodu prvního úkolu playbooku jsou v~proměnné \verb|subnets| definovávy podsítě, které budou proskanovány programem \verb|ping|. Proskenován je adresní rozsah DHCP serveru, kde jsou hledány dynamicky přidělené nové IP adresy nově připojených přístupových bodů a taky adresní rozsah mimo DHCP server, aby byly zjištěny volné IP adresy, ze kterých bude novým přístupovým bodům přidělena statická IP adresa. Nalezená nová zařízení jsou přidána do dynamického inventáře se kterým se pracuje v~dalším úkolu. Volné IP adresy jsou uloženy do proměnné.
 
@@ -126,7 +138,7 @@ Playbook se spouští příkazem \verb|$ansible-playbook addNewAPs.yml|
 
 Výchozí situace před finálním nakonfigurováním je taková, že všechny přístupové body jsou přidány do souboru \verb|inventory.yml| a mají nastavenou statickou IP adresu. Zařízení jsou v~\verb|inventory.yml| rozdělena do skupin podle toho zda používají DSA\footnote{Distributed switch Architecture} nebo nástroj \verb|swconfig| pro konfiguraci switche, protože switch je nutno pro oba případy konfigurovat odlišně. Princip DSA je popsán v~závěru sekce \ref{subsec:kompilace}. Skupiny \verb|dsa| a \verb|swcofig| jsou v~metaskupině \verb|accessPoints|, která je v~další metaskupine \verb|openwrt| pro správnou funkci role \verb|gekmihesg.openwrt|.
 
-% \lstinputlisting[caption={Příklad inventory.yml},]{../apLukov/inventory.yml}
+\lstinputlisting[caption={Příklad inventory.yml},]{../apLukov/inventory.yml}
 
 \pagebreak
 
@@ -135,21 +147,21 @@ Výchozí situace před finálním nakonfigurováním je taková, že všechny p
 
 Konfigurace je zapsána především deklarativním způsobem v~souborech\\\verb|group_vars/openwrt.yml| a \verb|group_vars/accessPoints.yml|. Tato konfigurace se aplikuje na všechny přístupové body, je zde tedy zapsána konfigurace, která bude na všech přístupových bodech stejná. Jedná se o~nastavení systému, softwarových bridgů, síťových rozhraní a Wi-Fi rozhraní.
 
-% \lstinputlisting[caption={Ukázka group\_vars/openwrt.yml},]{../apLukov/group_vars/openwrt.yml}
+\lstinputlisting[caption={Ukázka group\_vars/openwrt.yml},]{../apLukov/group_vars/openwrt.yml}
 
 Sekce \verb|System| YAML souboru slouží pro konfiguraci systému openwrt (především časového pásma) a systémových nástrojů (nastavení logování). Sekce ovlivňuje konfiguraci v~\verb|/etc/config/system|\footnote{\url{https://openwrt.org/docs/guide-user/base-system/system_configuration}} na systému OpenWrt. Konfigurace systému je provedena Ansible rolí \verb|system|.
 
 % '  '  '  '  '  '  '  '  '  '  '  '  '  '  '  '  '  '  '  '  '  '  '  '  '   '  '  '  '  '  '  '  '  '  '  '  '  '
 \subsubsection{Role k~provedení sytémové konfigurace}
 
-% \lstinputlisting[caption={Ukázka roles/system/tasks/main.yml},]{../apLukov/roles/system/tasks/main.yml}
+\lstinputlisting[caption={Ukázka roles/system/tasks/main.yml},]{../apLukov/roles/system/tasks/main.yml}
 
 Role \verb|system| pomocí modulu \verb|uci| nastaví sekci system systému OpenWrt udělá commit\footnote{uložení změn} a pokud proběhnou změny restartuje modulem \verb|ansible.builtin.service| systémovou službu pomocí handeru v~\verb|roles/system/handlers/main.yml|.
 
 % '  '  '  '  '  '  '  '  '  '  '  '  '  '  '  '  '  '  '  '  '  '  '  '  '   '  '  '  '  '  '  '  '  '  '  '  '  '
 \subsubsection{Zápis globální síťové konfigurace}
 
-% \lstinputlisting[caption={Ukázka group\_vars/accessPoints.yml},]{../apLukov/group_vars/accessPoints.yml}
+\lstinputlisting[caption={Ukázka group\_vars/accessPoints.yml},]{../apLukov/group_vars/accessPoints.yml}
 
 Konfigurací v~\verb|group_vars/accessPoints.yml| jsou ovlivněny konfigurační soubory \verb|/etc/config/network|\footnote{\url{https://openwrt.org/docs/guide-user/network/network_configuration}} a \verb|/etc/config/wireless|\footnote{\url{https://openwrt.org/docs/guide-user/network/wifi/basic}} systému OpenWrt.
 
@@ -176,7 +188,7 @@ Obě dvě Wi-Fi sítě jsou ve výchozím nastavení spuštěny na všech Wi-Fi
 
 Specifická konfigurace zařízení je zapsána v~\verb|host_vars/ap_<mac_adresa>.yml|. Tato konfigurace slouží k~nastavování IP adresy zařízení, hostname zařízení a nastavení switche. Zde je nutné nastavit jednotlivé VLANy a jejich porty. Na jednotlivých přístupových bodech je pomocí této konfigurace také možné nastavovat kanál Wi-Fi rádií, vysílací výkon nebo které Wi-Fi sítě se mají vysílat na kterých rádiích.
 
-% \lstinputlisting[caption={Ukázka specifické konfigurace přístupového bodu s~DSA switchem},]{../apLukov/host_vars/ap_107c61992bd8.yml}
+\lstinputlisting[caption={Ukázka specifické konfigurace přístupového bodu s~DSA switchem},]{../apLukov/host_vars/ap_107c61992bd8.yml}
 
 U~přístupových bodů implementující DSA se nejdíve definuje v~sekci \verb|network_devices_append| nový bridge k~vytvoření, který obsahuje fyzické ethernetové porty zařízení. V~sekci \verb|network_bridge_vlan_filtering| se definují čísla VLAN a ethernetové porty, na kterých budou tyto VLAN aktivní. Dále se určí, které porty budou označeny tagem a které nikoli.
 
@@ -184,21 +196,21 @@ Sekce \verb|wireless_devices| slouží k~nastavení kanálů a vysílacích výk
 
 Sekcí \verb|wireless_interfaces_override| lze omezit danou Wi-Fi síť pouze na určité rádio.
 
-% \lstinputlisting[caption={Ukázka specifické konfigurace přístupového bodu s~swconfig switchem},]{../apLukov/host_vars/ap_b04e26bbc7e3.yml}
+\lstinputlisting[caption={Ukázka specifické konfigurace přístupového bodu s~swconfig switchem},]{../apLukov/host_vars/ap_b04e26bbc7e3.yml}
 
 U~zařízení, kde se switch spravuje nástrojem \verb|swconfig| se tato konfigurace provádí sekcí \verb|network_swconfig|. Je zde opět uvedeno číslo VLAN a ethernetový port. V~případě \verb|swconfig| switche je potřeba nahlédnou do dokumentace k~zařízení, protože jednotlivé porty jsou na každém zařízení číslovány jinak.
 
 % '  '  '  '  '  '  '  '  '  '  '  '  '  '  '  '  '  '  '  '  '  '  '  '  '   '  '  '  '  '  '  '  '  '  '  '  '  '
 \subsubsection{Role k~provedení síťové konfigurace}
 
-% \lstinputlisting[caption={Role network},]{../apLukov/roles/network/tasks/main.yml}
+\lstinputlisting[caption={Role network},]{../apLukov/roles/network/tasks/main.yml}
 
 Role \verb|network| nejdříve iteruje sekcí \verb|network_swconfig| a konfiguruje prostřednictvím playbooku \verb|swconfig.yml| switch u~zařízení kde je tato sekce definována. Dále jsou playbookem \verb|device.yml| nastaveny síťové bridge opět iterací přes sekci \verb|network_devices| doplněnou o~VLAN filtrující bridge z~proměnné \verb|network_devices_append| u~zařízení implemntujících DSA. Ve třetím kroku jsou nakonfigurovány VLANy v~případě DSA zařízení pomocí playbooku \verb|vlan_filtering.vlan|. V~posledním kroku jsou vytvořeny síťové rozhraní playbookem \verb|interface.yml|, provedené změny jsou aplikovány a je restarováno síťování na přístupovém bodu. Pro případ změny IP adresy zařízení jsou na konci úkoly měnící IP zařízení v~inventory běžícího playbooku.
 
-% \lstinputlisting[caption={Ukázka swconfig.yml},label={lst:swconfig.yml}]{../apLukov/roles/network/tasks/swconfig.yml}
+\lstinputlisting[caption={Ukázka swconfig.yml},label={lst:swconfig.yml}]{../apLukov/roles/network/tasks/swconfig.yml}
-% \lstinputlisting[caption={Ukázka device.yml},label={lst:device.yml}]{../apLukov/roles/network/tasks/device.yml}
+\lstinputlisting[caption={Ukázka device.yml},label={lst:device.yml}]{../apLukov/roles/network/tasks/device.yml}
-% \lstinputlisting[caption={Ukázka vlan\_filtering.yml},label={lst:vlan_filtering.yml}]{../apLukov/roles/network/tasks/vlan_filtering.yml}
+\lstinputlisting[caption={Ukázka vlan\_filtering.yml},label={lst:vlan_filtering.yml}]{../apLukov/roles/network/tasks/vlan_filtering.yml}
-% \lstinputlisting[caption={Ukázka interface.yml},label={lst:interface.yml}]{../apLukov/roles/network/tasks/interface.yml}
+\lstinputlisting[caption={Ukázka interface.yml},label={lst:interface.yml}]{../apLukov/roles/network/tasks/interface.yml}
 
 Ukázky \ref{lst:device.yml}, \ref{lst:vlan_filtering.yml} a \ref{lst:interface.yml} jsou zkráceny o~začátek souboru, který je téměř totožný se začátkem v~\ref{lst:swconfig.yml}. Ve všech případek je použit pro konfigurace přístupových bodů modul \verb|uci| z~role \verb|gekmihesg.openwrt|.
 
@@ -206,17 +218,17 @@ Role \verb|wireless| provádí konfigurací Wi-Fi rádií a jejich síťí. Role
 
 Následně vytváří wifi sítě tak jak jsou definovány v~\verb|group_vars/accessPoints.yml| pomocí playbooku role \verb|interface.yml|. Při vytváření se zohleďnují individuální nastavení pro jednotlivé přístupové body v~sekci YAML konfigurace \verb|wireless_interfaces_override|.
 
-% \lstinputlisting[caption={Role wireless},]{../apLukov/roles/wireless/tasks/main.yml}
+\lstinputlisting[caption={Role wireless},]{../apLukov/roles/wireless/tasks/main.yml}
 
-% \lstinputlisting[caption={Ukázka devices.yml},]{../apLukov/roles/wireless/tasks/device.yml}
+\lstinputlisting[caption={Ukázka devices.yml},]{../apLukov/roles/wireless/tasks/device.yml}
-% \lstinputlisting[caption={Ukázka interface.yml},]{../apLukov/roles/wireless/tasks/interface.yml}
+\lstinputlisting[caption={Ukázka interface.yml},]{../apLukov/roles/wireless/tasks/interface.yml}
 
 Samotná konfigurace opět probíhá module \verb|uci|.
 
 % '  '  '  '  '  '  '  '  '  '  '  '  '  '  '  '  '  '  '  '  '  '  '  '  '   '  '  '  '  '  '  '  '  '  '  '  '  '
 \subsubsection{Playbook k~provedení finální konfigurace}
 
-% \lstinputlisting[caption={Ukázka setupAPs.yml},]{../apLukov/setupAPs.yml}
+\lstinputlisting[caption={Ukázka setupAPs.yml},]{../apLukov/setupAPs.yml}
 
 Playbook využívá role \verb|system|, \verb|network| a \verb|wireless|, které provedou konfiguraci podle nastavení v~proměnných v~adresářích \verb|group_vars| a \verb|host_vars|. Po nastavení zařízení jsou spuštěny další úkoly v~sekci \verb|post_tasts|. Pomocí modulu \verb|opkg| jsou na všechny přístupové body nainstalován balíčky \verb|prometheus-node-exporter-lua| a \verb|prometheus-node-exporter-lua-hostapd_station|. Tyto balíčky jsou modulem \verb|uci| nakonfigurovány a všechna zařízení jsou restartována.
 
@@ -225,8 +237,44 @@ Playbook se spouští příkazem \verb|$ ansible-playbook -i inventory.yml setup
 % ==================================================================================================================
 \section{Nastavení antentizačního serveru}
 
+Národní operátor sítě eduroam v~české republice CESNET z. s. p. o. nabízí Ansible role pro konfiguraci autentizačního serveru freeRADIUS.
+Tyto role jsou dostupné v~repozitáři \url{https://github.com/CESNET/ansible-freeradius}. Naklonováním repozitáře přidám role do adresáře \verb|roles/| adresářové struktury Ansible. Budou využity při konfiguraci freeRADIUS serveru v~této modelové implementaci.
+
+Role provádějí kompletní instalaci a konfiguraci freeRADIUS serveru. Předpokládají požití jednoho z~linuxových systémů založených na distribuci Debian (s~balíčkovacím systémem \verb|apt|) nebo CentOS/RHEL (s~balíčkovacím systémem \verb|dnf|) Na autentizačním serveru se musí nakonfigurovat SSH server a přidat autentizační klíče pro přístup Ansible.
+
+Po naklonování role repozitáře je nutné definovat konfiguraci v~adresářích \verb|group_vars|, \verb|host_vars| a přidat certifikáty.
+
+Role je distribuována s~příklady konfigurace. Modelová implementace předpokládá použití lokálních identit uživatelů. Tomu odpovídá příklad konfigurace \verb|semik-dev.cesnet.cz-IdPSP.yml| z~adresáře role \verb|examles/|. Tento příklad nakopirujeme do \verb|host_vars/<realm>.yml|. 
+V~sekce \verb|ldap| této konfigurace se definuje LDAP server kde budou uloženy identity lokálních uživatelů. V~sekci eduroam se konfigurují parametry pro integraci freeRADUS serveru do federace eduroam a paramety pro fungování ověřování identit uživatelů.
+
+\subsection{LDAP}
+
 ...
 
+\subsection{Certifikáty}
+
+freeRADIUS pro zajištění různých typů komunikace potřebu certifikáty. Ty vytváření bezpečnou komunikaci při komunikaci se suplikanty, jinými RADIUS servery nebo LDAP serverem.
+
+\begin{figure}
+    \centering
+    \includegraphics[width=1\textwidth]{images/radius_certifikaty.png}
+    \caption{Porovnání modelu ISO OSI a TCP/IP.\citep{eduroam_certifikaty}}
+    \label{fig:radius_certifikaty}
+\end{figure}
+
+\subsection{Přístupové body}
+Přístup přístupových bodů (autentifikátorů) k~freeRADIUS serveru se spravuje v~sekci \verb|radius.NAS|. Zde je definováno heslo použité v~proměnné \verb|auth_secret| v~konfiguraci přístupových bodů. V~modelové implementaci jsou přístupové body na dvou lokacích, přístupové body jsou v~každé lokaci jiné síti, proto jsou zde uvedeny záznamy pro dvě sítě.
+\begin{lstlisting}[numbers=none]
+  radius:
+    NAS:
+    - ipaddr: 10.11.99.1/24
+      secret: Jednokolka123
+      shortname: SiteA
+    - ipaddr: 10.22.99.1/24
+      secret: Jednokolka123
+      shortname: SiteB
+\end{lstlisting}
+
 % ==================================================================================================================
 \section{Monitoring a logování}
 

chapters/pozadavky.tex

@@ -1,19 +1,13 @@
 \chapter{Deklarace požadavků na modelovou Wi-Fi síť}
 \label{ch:pozadavky}
 
-Implementace rozsáhlé Wi-Fi síťě bude vycházet z~potřeb modelového školského zařízení. Školská zařízení jsou většinou rozsáhlejší objekty. Modelová implementace bude tedy obsahovat množství přístupových bodů Wi-Fi včetně přístupových bodů na dvou detašovaných pracovištích.
+Implementace rozsáhlé Wi-Fi síťě bude vycházet z~potřeb modelového školského zařízení. Školská zařízení jsou většinou rozsáhlejší objekty. Modelová implementace bude tedy obsahovat množství přístupových bodů Wi-Fi včetně přístupových bodů na jednom detašovaných pracovištích.
 
 Přístupové body budou nabízet připojení v~pásmu 5 GHz a 2,4 GHz pro kompatibilitu se staršími clientskými zařízeními. V~každém pásmu budou k~dispozici dvě Wi-Fi sítě.
 
-\iffalse
+První Wi-Fi síť bude určena pro studenty a pracovníky školy. Tato síť bude součástí projektu eduroam, bude tedy vyžadovat autentizaci a autorizaci uživatelů vůči autorizačnímu serveru. Síť bude zprostředkovávat přístup do veřejné sítě Internet a podle role uživatele bude uživatel přiřazen do určité VLAN s~danými oprávněními k~lokálním službám.
-Hint: více specifikovat použitou specifikaci wifi
-\fi
 
-První Wi-Fi síť bude určena pro studenty a pracovníky školy. Tato síť bude součástí projektu eduroam, bude tedy vyžadovat autentifikaci a autorizaci uživatelů vůči autorizačnímu serveru. Síť bude zprostředkovávat přístup do veřejné sítě Internet a podle role uživatele bude uživatel přiřazen do určité vlan s~danými oprávněními k~lokálním službám.
+Další Wi-Fi síť bude veřejná síť bez jakékoli autorizace přístupu na úrovni Wi-Fi.
-
-Další Wi-Fi síť bude veřejná síť. Při připojení k~této veřejné síťi bude potřeba seznámit uživatele s~podmínkami použití sítě a získat souhlas s~podmínkami pomocí captive portalu. Zařízení připojené k~této síťi budou mít přístup pouze k~veřejné síti Internet s~limitovanou přenosovou rychlostí.
-
-V~přístupových síťích budou zajištěny základní síťové služby. DHCP server pro přidělování IPv4 adres zařízením připojených do sítě a rekurzivní DNS cachující server pro rychlý překlad doménových jmen na IP adresu s~možností zavádění vlastních doménových jmen pro zařízení v~lokální síťi.
 
 Klíčovým požadavkem je spravovat přístupové body Wi-Fi centrálně.
 

chapters/site.tex

@@ -4,13 +4,13 @@ V~širším pojetí jsou počítačové sítě multidisciplinárním oborem zam
 V~užším pojetí je počítačová síť tvořena vzájemně propojenými počítači za účelem sdílení dat a zdrojů.
 
 \textit{Nejdůležitější vlastností počítačových sítí je jejích obecné použití. Počítačové sítě jsou primárně budovány z~univerzálního programovatelného hardwaru a nejsou optimalizovány pro konkrétní aplikaci, jako je telefonování nebo přenos televizního signálu} \citep{Peterson_Davie_2022}
-na rozdíl od telekomunikačních sítí (pevná telefonní síť nebo telegrafní síť), které jsou pevně spjaty se službou kterou poskytují.
+na rozdíl od telekomunikačních sítí (pevná telefonní síť nebo telegrafní síť), které jsou pevně spjaty se službou, kterou poskytují.
-Počítačové sítě dokáží přenášet širokou škálu dat včetně textu, obrazu, hlasu, videa různých souborů a dalších dat. Toto umožuje počítačových síťím podporovat mnoho aplikací a služeb.
+Počítačové sítě dokáží přenášet širokou škálu dat včetně textu, obrazu, hlasu, videa, různých souborů a dalších dat. Toto umožuje počítačových síťím podporovat mnoho aplikací a služeb.
 
-Jedním z~požadavků na počítačové sítě je možnost dynamického navázání spojení a předávání dat s~jinými zařízeními k~tomu se uplatňuje princip přepínané sítě. Existují dva základní principy přepínané sítě. Přepínané sítě založeny na principu \textbf{přepojování okruhů} a sítě založeny na principu \textbf{přepojování paketů}. První z~jmenovaných principů je starší a běžný pro tradiční telefonní síť, kdy je na začátku spojení vytvořen přenosový okruh mezi zdrojovým a cílovým uzlem. Tento okruh má garantované přenosové pásmo a je rozpojen na konci spojení.
+Jedním z~požadavků na počítačové sítě je možnost dynamického navázání spojení a předávání dat s~jinými zařízeními. K~tomu se uplatňuje princip přepínané sítě. Existují dva základní principy přepínané sítě. Přepínané sítě založeny na principu \textbf{přepojování okruhů} a sítě založeny na principu \textbf{přepojování paketů}. První z~jmenovaných principů je starší a běžný pro tradiční telefonní síť, kdy je na začátku spojení vytvořen přenosový okruh mezi zdrojovým a cílovým uzlem. Tento okruh má garantované přenosové pásmo a je rozpojen na konci spojení.
 Princip \textbf{přepojování paketů} vymysleli nezávisle na sobě vědci Paul Baran a Donald Davies. Přenášená data se rozdělí na bloky o~určité délce. Každý blok se doplní o~informace o~zdroji, cíli, případně o~další informace potřebné pro přenos. Takový blok se nazývá paket a je odesílán po síti. Síťové prvky každý jeden paket na základě cílové adresy směrují k~dalšímu síťovému prvku nebo koncovému zařízení. Takto může každý každý paket cestovat po síti jinou cestou k~cíli v~závislosti na aktuálním stavu sítě. Na cílovém zařízení dojde k~příjmu a seřazení paketů do původního pořadí, následně jsou z~jednotlivých paketů sestavena původní data.
 
-Koncové zařízení je zařízení vybavené komunikačním rozhraním (síťovým adaptérem), které využívá síťové služby a obvykle neposkytuje síťové služby jiným zařízením. Mezi typické koncové zařízaní patří počítač, síťové tiskárny, mobilní zařízení, herní konzole, IoT zařízení.
+Koncové zařízení je zařízení vybavené komunikačním rozhraním (síťovým adaptérem), které využívá síťové služby a může poskytovat síťové služby jiným zařízením. Mezi typické koncové zařízaní patří počítač, síťové tiskárny, mobilní zařízení, herní konzole, IoT zařízení.
 
 % ==================================================================================================================
 \section{Síťová architektura}
@@ -24,9 +24,9 @@ V~době vývoje počítačových sítí (v~70. letech 20. století) byly vyvinut
     \label{fig:rozdilmodelu}
 \end{figure}
 
-V~reakci na tuto situaci organizace ISO\footnote{International Organization for Standardization - Mezinárodní organizace pro normalizaci} vyvinula teoretický model koncepce počítačových síťí, známý jako model OSI (Open System Interconnection). Tento obecný model fungování počítačových sítí rozděluje jednotlivé funkce sítě do sedmi vrstev. Každá vrstva má svůj specifický úkol. Existence modelu usnadnila vývoj síťových prvků a zvýšila interoperabilitu mezi různými technologiemi a výrobci.
+V~reakci na tuto situaci organizace ISO\footnote{International Organization for Standardization - Mezinárodní organizace pro normalizaci} vyvinula teoretický model koncepce počítačových síťí, známý jako model OSI (Open System Interconnection). Tento obecný model fungování počítačových sítí rozděluje jednotlivé funkce sítě do sedmi vrstev (pravá část obrázku \ref{fig:rozdilmodelu}). Každá vrstva má svůj specifický úkol. Existence modelu usnadnila vývoj síťových prvků a zvýšila interoperabilitu mezi různými technologiemi a výrobci.
 
-V~praxi se pro komunikaci počítačů ujala sada protokolů TCP/IP, která vznikla v~70. letech 20. století pro projekt ARPANET, který byl předchůdcem dnešního internetu a definovala jak mezi sebou mají komunikovat jednotlivé zařízení. Jedná se tedy o~praktickou implementaci síťové komunikace, zatímco OSI zůstává referenčním modelem. V~souvislosti s~modelováním síťové komunikace se lze setkat s~modelem TCP/IP, který fungování těchto protokolů organizuje do vrstev. Oproti ISO OSI modelu má model TCP/IP vrstevy pouze čtyři, protože jsou některé vrstvy zkombinovány. Porovnání obou modelů je znázorněno na obrázku \ref{fig:rozdilmodelu}.
+V~praxi se pro komunikaci počítačů ujala sada protokolů TCP/IP, která vznikla v~70. letech 20. století pro projekt ARPANET, který byl předchůdcem dnešního internetu a definovala jak mezi sebou mají komunikovat jednotlivé zařízení. Jedná se tedy o~praktickou implementaci síťové komunikace, zatímco OSI zůstává referenčním modelem. V~souvislosti s~modelováním síťové komunikace se lze setkat s~modelem TCP/IP, který fungování těchto protokolů organizuje do vrstev podle modelu ISO/OSI. Oproti modelu ISO/OSI má model TCP/IP vrstevy pouze čtyři, protože jsou některé vrstvy zkombinovány. Porovnání obou modelů je znázorněno na obrázku \ref{fig:rozdilmodelu}.
 
 Vrstvy modelu TCP/IP:
 \begin{itemize}
@@ -64,7 +64,7 @@ Obrázek \ref{fig:prenos} znázorňuje, jak probíhá přenos dat prostřednictv
 Ethernet je řada drátových síťových technologií, která je standardizována v~IEEE\footnote{Institute of Electrical and Electronics Engineers}~802.3. Ethernet umožňuje komunikaci zařízení v~lokální síťi pomocí MAC adres. Díky své jednoduchosti a nízké ceně se jedná o~nejrozšířenější technologii používanou v~lokálních síťích (LAN). \citep{ijs2_ethernet} 
 V~kontextu síťového modelu ISO/OSI pracuje na linkové vrstvě a fyzické vrstvě.
 
-Na linkové vrstvě specifikuje formát rámců, detekci chyb a způsob adresování. Dříve ethernet využíval sdílené přenosové média, ke kterým linková vrstva řídila přístup (předcházela a detekovala kolize). Dnešní ethernet je přepínaný (používají se přepínače) a  v~přístupových síťích se používá topologie sítě strom. \citep{samuraj_ethernet} Vymizelo sdílení přenosového média, to má za výhodu odstranění kolizí a zvýšení rychlosti.\citep{samuraj_csma}
+Na linkové vrstvě specifikuje formát rámců, detekci chyb a způsob adresování. Dříve ethernet využíval sdílené přenosové média, ke kterým linková vrstva řídila přístup (předcházela koliz9m a detekovala je). Dnešní ethernet je přepínaný (používají se přepínače) a  v~přístupových síťích se používá topologie sítě strom. \citep{samuraj_ethernet} Vymizelo sdílení přenosového média, to má za výhodu odstranění kolizí a zvýšení rychlosti. \citep{samuraj_csma}
 
 Na fyzické vrstvě IEEE 802.3 specifikuje typy přenosových médií (koaxiální kabel, kroudená dvojlinka, optické vlákno), použité konektory, přenosové rychlosti a signálové kódování.
 
@@ -90,21 +90,21 @@ V~horní části na obrázku \ref{fig:ethernetframe} je zobrazen znázorněn sta
 
 \subsection{IEEE 802.1Q VLAN}
 
-VLAN, neboli Virtual LAN slouží k~logickému rozdělení fyzické sítě. To je u~Ethernetu umožněno prostřednictvím standardu IEEE 802.1Q, který rozšiřuje standardní Ethernetový rámec o~další hodnoty. V~dolní části obrázku \ref{fig:ethernetframe} je znázorněn ethernetový rámec dle IEEE 802.1Q rozšířený v~hlavičce o~32 bitů. Za zdrojovou adresu jsou vloženy následující hodnoty:
+VLAN, neboli Virtual LAN slouží k~logickému rozdělení fyzické sítě. To zjednodušuje správu sítě. Díky možnosti vytvářet směrovací politiky pro různé skupiny zařízení a možnosti oddělení speciálního provozu (management sítě) se zvyšuje bezpečnost sítě. \citep{samuraj_vlan} VLAN je u~Ethernetu umožněno prostřednictvím standardu IEEE 802.1Q, který rozšiřuje standardní Ethernetový rámec o~další hodnoty.
+
+V~dolní části obrázku \ref{fig:ethernetframe} je znázorněn ethernetový rámec dle IEEE 802.1Q rozšířený v~hlavičce o~32 bitů. Za zdrojovou adresu jsou vloženy následující hodnoty:
 \begin{itemize}
   \item \textbf{TPID}: Identifikátor použítého VLAN protokolu - v~případě IEEE~802.1Q obsahuje \verb|0x8100|. Je na stejné pozici jako Délka/Typ u~standartního rámce.
   \item \textbf{PCP}: Označuje prioritu rámce podle IEEE 802.1P.
-  \item \textbf{CFI}: Říká jakým způsobem je přenášen rámec. Bud od bitu s~nejnižší hodnotou k~bitu s~nejvyšší nebo naopak. Pro ethernet \verb|0|.
+  \item \textbf{CFI}: Říká jakým způsobem je přenášen rámec. Bud od bitu s~nejnižší hodnotou k~bitu s~nejvyšší nebo naopak. Pro ethernet \verb|0|. \citep{fair_vlan}
-  \item \textbf{VID}: Identifikátor (tag) konkrétní VLAN.\citep{fair_vlan}
+  \item \textbf{VID}: Identifikátor (tag) konkrétní VLAN.
 \end{itemize}
 
-VLAN zjednodušuje správu sítě. Díky možnosti vytvářet směrovací politiky pro různé skupiny zařízení a možnosti oddělení speciálního provozu (management sítě) zvyšuje bezpečnost sítě.\citep{samuraj_vlan}
+Aby bylo možné jednotlivé zařízení přiřazovat do různých logických sítí je nutné, aby IEEE~802.1Q podporovala zařízení ke terým jsou připojeny. Na zařízeních s~podporou IEEE~802.1Q lze nakonfigurovat do které logické sítě konkrétní port spadá a zda na daném portu má být použít tag či nikoli. Přepínače bez podbory IEEE~802.1Q přistupují k~tagovanému provozu stejně jako k~běžným rámcům. V~tomto kontextu může port zahňovat fyzický port i logické rozhraní, například síť Wi-Fi nebo konkrétní Wi-Fi klienty.
 
-Aby bylo možné jednotlivé zařízení přiřazovat do různých logických sítí je nutné, aby IEEE~802.1Q podporoval přepínač, do kterého jsou zařízení připojeny. Na přepínačích s~podporou IEEE~802.1Q lze nakonfigurovat do které logické sítě konkrétní port spadá a zda na daném portu má být použít tag či nikoli. Přepínače bez podbory IEEE~802.1Q přistupují k~tagovanému provozu stejně jako k~běžným rámcům.
+\textbf{Trunk port} je port, prostřednictvím kterého je přenášeno více logických síťí. Takto bývají propojeny směrovače s~přepínači, přepínače mezi sebou nebo přístupové body nabízejí-li více Wi-Fi síťí.
 
-\textbf{Trunk port} je port, prostřednictvím kterého je přenášeno více logických síťí. Takto bývají propojeny směrovače s~přepínačema, přepínače mezi sebou nebo přístupové body nabízejí-li více Wi-Fi síťí.
+\textbf{Access port}\footnote{přístupová port} je port sloužící k~připojení jednotlivých zařízení. Provoz je bez IEEE~802.1Q tagu, tag bývá odchozímu provozu přiřazen na přepínači.
-
-\textbf{Access port}\footnote{přístupová port} je port sloužící k~připojení jednotlivých zařízení. Provoz je bez IEEE~802.1Q tagu, tag bývá přiřazen na přepínači.
 
 Vlán portu muže být přidělena staticky, podle MAC adresy zařízení, podle IP adresy zařízení nebo z~autorizačního serveru.\citep{samuraj_vlan}
 
@@ -175,16 +175,15 @@ Mezi dnes již málo používané aktivní síťové prvky lze zařadit:
 
 V~architektůře autentizace pomocí IEEE 802.1X jsou tři hlavní prvky. Prvním je samotný klient (tzv. suplikant), druhý je switch/přístupový bod (autentifikátor) a třetím je autentizační server.
 
-Suplikant komunikuje s~autentifikátorem pomocí EAP (Extensible Authentication Protocol) zpráv, které jsou specifikovány RFC 2284. Pro přenos EAP v~prostředí Ethernetu slouží EAPoE (EAP over Ethernet), kde EAP rámce používají EtherType \verb|0x888E|.
+Suplikant komunikuje s~autentizačním serverem pomocí EAP (Extensible Authentication Protocol) zpráv, které jsou specifikovány RFC 2284. Pro přenos EAP v~prostředí Ethernetu slouží EAPoE (EAP over Ethernet), kde EAP rámce používají EtherType \verb|0x888E|. Komunikace mezi Suplikantem a autentifikátorem komunikace probíhá pouze na L2 vrstvě ISO/OSI modelu. Autentifikátor EAP zprávy od klienta (suplikanta) neinterpretuje, zabalí je do dalšího protokolu a přepošle je autentizačnímu serveru přes IP síť.
 
-Autentifikátor komunikuje s~autentizačním serverem pomocí jednoho z~AAA protokolů (Authentication, Authorization, Accounting - autentizace, autorizace, účtování), které se \textit{používájí se pro zajištění zabezpečení síťové infrastruktury}. Mezi nejvíce používané patří RADIUS, TACACS, TACACS+,
+Autentifikátor komunikuje s~autentizačním serverem pomocí jednoho z~AAA protokolů. Authentication, Authorization, Accounting\footnote{autentizace, autorizace, účtování} protokoly se \textit{používájí pro zajištění zabezpečení síťové infrastruktury}. Mezi nejvíce používané patří RADIUS, TACACS, TACACS+, KERBEROS a DIAMETER.\citep{stankus_8021x}. Autentizační server ověřuje EAP zprávy a odpovídá autentifikátoru, který na základě těchto odpovědí upravuje přístupk suplikanta k~síti a přeposílá příslušné EAP odpovědi suplikantovi. Komunikace mezi Autentifikátorem a autentizačním serverem probíhá na úrovní aplikační vrstvy.
-KERBEROS a DIAMETER.\citep{stankus_8021x}
 
-Po připojení klienta (suplikanta) do sítě je veškerý síťový provoz na portu blokován, dokud není dokončena autentizace Autentifikátor akceptuje pouze EAPoL zprávy. Klient (suplikant) zahájí komunikaci s~autentifikátorem \textbf{EAPoL-Start}, kterou zahájí autentizační proces. Autentifikátor vyzve klienta (suplikant) zprávou \textbf{EAP-Request/Identity} ke sdělení identity. Klient odpoví zprávou \textbf{EAP-Response/Identity}, která obsahuje jeho identifikaci (například uživatelské jméno). Tuto zprávu autentifikátor předá autentizačnímu serveru jako \textbf{RADIUS Access-Request}.
+Proces autorizace klienta pomocí RADIUS serveru je znázorněn na obrázku \ref{fig:radius}.Po připojení klienta (suplikanta) do sítě je veškerý síťový provoz na portu blokován, dokud není dokončena autentizace Autentifikátor akceptuje pouze EAPoL zprávy. Klient (suplikant) zahájí komunikaci s~autentifikátorem \textbf{EAPoL-Start}, kterou zahájí autentizační proces. Autentifikátor vyzve klienta (suplikant) zprávou \textbf{EAP-Request/Identity} ke sdělení identity. Klient odpoví zprávou \textbf{EAP-Response/Identity}, která obsahuje jeho identifikaci (například uživatelské jméno). Tuto zprávu autentifikátor předá autentizačnímu serveru jako \textbf{RADIUS Access-Request}. V~tomto protokolu je zapouzdřena EAP zpráva.\citep{cuhel_8021x}
 
-Autentizační server může odpovědět výzvou k~zadání dalšího ověření (hesla) pomocí \textbf{RADIUS Access-Challenge}, tento proces pokračuje dokud server neověří klientovu identitu. Po úspěšném ověření identity server odpoví zprávou \textbf{RADIUS Access-Challenge}, kterou autentifikátor předá jako \textbf{EAP-Success} a povolí klientovi přístup k~síti. Tento proces je znázorněn na obrázku \ref{fig:radius}.
+Autentizační server může odpovědět výzvou k~zadání dalšího ověření (hesla) pomocí \textbf{RADIUS Access-Challenge}, tento proces pokračuje dokud server neověří klientovu identitu. Po úspěšném ověření identity server odpoví zprávou \textbf{RADIUS Access-Challenge}, kterou autentifikátor předá jako \textbf{EAP-Success} a povolí klientovi přístup k~síti.\citep{lesek_8021x}
 
-Identita uživatele může být uložena v~databázi autorizačního serveru, v~externí databázi, v~systému pro správu identit, nebo na jiném autorizačním serveru.
+Identita uživatele je uložena v~databázi autorizačního serveru, v~externí databázi, v~systému pro správu identit, nebo na jiném autorizačním serveru.
 
 EAP nezajišťuje šifrování ani ochranu přenášených dat. Toto mají na starosti konkrétní autentizační metody. Mezi nejrozšířenější metody patří:
 \begin{itemize}
@@ -205,6 +204,6 @@ eduroam je mezinárodní projekt s~cílem umožnit studentům a pracovníkům vz
     \label{fig:eduroam}
 \end{figure}
 
-K~tomu využívá hierachické uspořádání auntetizačních serverů RADIUS (obrázek \ref{fig:eduroam}), kde každá spravující své identity provozuje svůj autentizační server.
+K~tomu využívá hierachické uspořádání auntetizačních serverů RADIUS (obrázek \ref{fig:eduroam}), kde každá instituce spravující své identity provozuje svůj autentizační server.
 
 Tímto se snaží napodobit roaming (přepnutí ze síťě jednoho operátora do sítě jiného operátora) v~celulárních síťích.

chapters/zhodnoceni.tex

@@ -5,7 +5,7 @@ Správa infrastruktury přístupových bodů pomocí nástroje Asible se při mo
 
 Logování nevyužívá žádné pokročilé analytické nástroje, ale všechny podstatné inforamce o~infrastruktuře jsou uloženy a jsou dohledatelné.
 
-Učitou výhodou může být i to, že obě klíčové komponenty eduroam sítě (přístupové body a RADIUS server) je možné konfigurovat pomocí Ansible.
+Učitou výhodou může být i to, že obě klíčové komponenty eduroam sítě (přístupové body a RADIUS server) je možné konfigurovat deklarativním způsobem pomocí Ansible.
 
 % \section{Komparace s~dostupnými proprietárními řešeními}
 

pdfa.xmpi

@@ -73,15 +73,15 @@
   </rdf:Description> 
   <rdf:Description rdf:about="" xmlns:xmp="http://ns.adobe.com/xap/1.0/"> 
    <xmp:CreatorTool>LaTeX with hyperref</xmp:CreatorTool> 
-   <xmp:ModifyDate>2024-11-26T13:22:02+01:00</xmp:ModifyDate> 
+   <xmp:ModifyDate>2024-11-27T09:41:22+01:00</xmp:ModifyDate> 
-   <xmp:CreateDate>2024-11-26T13:22:02+01:00</xmp:CreateDate> 
+   <xmp:CreateDate>2024-11-27T09:41:22+01:00</xmp:CreateDate> 
-   <xmp:MetadataDate>2024-11-26T13:22:02+01:00</xmp:MetadataDate> 
+   <xmp:MetadataDate>2024-11-27T09:41:22+01:00</xmp:MetadataDate> 
   </rdf:Description> 
   <rdf:Description rdf:about="" xmlns:xmpRights = "http://ns.adobe.com/xap/1.0/rights/"> 
   </rdf:Description> 
   <rdf:Description rdf:about="" xmlns:xmpMM="http://ns.adobe.com/xap/1.0/mm/"> 
    <xmpMM:DocumentID>uuid:E471EDA9-0143-B4EC-2929-27CBFE26697B</xmpMM:DocumentID> 
-   <xmpMM:InstanceID>uuid:C2CA260C-3F5A-FA78-EB59-6D5940A1A772</xmpMM:InstanceID> 
+   <xmpMM:InstanceID>uuid:2330FEF4-F07E-36E8-1BFE-0446EDFA97BE</xmpMM:InstanceID> 
   </rdf:Description> 
  </rdf:RDF> 
 </x:xmpmeta> 

podekovani.tex

@@ -1,6 +1,8 @@
 \vglue 0pt plus 1fill
 
-Poděkování
+Děkuji především svému vedoucímu PhDr. Martinu Stejskalovi za vstřícnost a trpělivost během zpracování této práce.
+
+Zároveň děkuji bc. Emilovi Milerovi za náměty, vylepšení, korekturu a také svému otci za nekonečnou podporu během psaní této práce.
 
 \vspace{20mm}
 \newpage

prace.bbl

@@ -1,53 +1,64 @@
-\begin{thebibliography}{25}
+\begin{thebibliography}{30}
 \providecommand{\natexlab}[1]{#1}
 \providecommand{\url}[1]{\texttt{#1}}
 \expandafter\ifx\csname urlstyle\endcsname\relax
   \providecommand{\doi}[1]{doi: #1}\else
   \providecommand{\doi}{doi: \begingroup \urlstyle{rm}\Url}\fi
 
-\bibitem[edu()]{eduroam_realm}
-\emph{Realm} [online].
-\newblock Dostupn{\'{e}}~z:
-  \url{{https://www.eduroam.cz/cs/spravce/pripojovani/realm}}.
-
 \bibitem[ijs()]{ijs2_ethernet}
 \emph{Ethernet} [online].
 \newblock Dostupn{\'{e}}~z:
   \url{{http://ijs2.8u.cz/index.php?option=com_content&view=article&id=20&Itemid=125}}.
 
-\bibitem[net()]{networkencyclopedia_eap}
+\bibitem[Appnel(2023)]{ZenofAnsible}
-\emph{Decoding EAP Protocol: A Guide to Extensible Authentication} [online].
-\newblock Dostupn{\'{e}}~z:
-  \url{{https://networkencyclopedia.com/decoding-eap-protocol-a-guide-to-extensible-authentication/}}.
-
-\bibitem[Appnel()]{ZenofAnsible}
 {\sc Appnel}, T.
-\newblock \emph{The Zen of Ansible} [online].
+\newblock \emph{The Zen of Ansible} [online]. 2023.
 \newblock Dostupn{\'{e}}~z:
   \url{{https://www.ansible.com/blog/the-zen-of-ansible/}}.
 
-\bibitem[Bouška({\natexlab{a}})]{samuraj_csma}
+\bibitem[Bouška(2007{\natexlab{a}})]{samuraj_csma}
 {\sc Bouška}, P.
 \newblock \emph{Ethernet - CSMA/CD, kolizní doména, duplex} [online].
+  2007{\natexlab{a}}.
 \newblock Dostupn{\'{e}}~z:
   \url{{https://www.samuraj-cz.com/clanek/ethernet-csma-cd-kolizni-domena-duplex/}}.
 
-\bibitem[Bouška({\natexlab{b}})]{samuraj_ethernet}
+\bibitem[Bouška(2007{\natexlab{b}})]{samuraj_ethernet}
 {\sc Bouška}, P.
 \newblock \emph{TCP/IP a ethernet - cesta v síti, aktivní síťové prvky}
-  [online].
+  [online]. 2007{\natexlab{b}}.
 \newblock Dostupn{\'{e}}~z:
   \url{{https://www.samuraj-cz.com/clanek/tcp-ip-a-ethernet-cesta-v-siti-aktivni-sitove-prvky/}}.
 
-\bibitem[Bouška({\natexlab{c}})]{samuraj_vlan}
+\bibitem[Bouška(2007{\natexlab{c}})]{samuraj_vlan}
 {\sc Bouška}, P.
 \newblock \emph{VLAN - Virtual Local Area Network} [online].
+  2007{\natexlab{c}}.
 \newblock Dostupn{\'{e}}~z:
   \url{{https://www.samuraj-cz.com/clanek/vlan-virtual-local-area-network/}}.
 
-\bibitem[Fairhurst()]{fair_vlan}
+\bibitem[Crowder(2023)]{crowder_firmwarecomp}
+{\sc Crowder}, C.
+\newblock \emph{DD-WRT vs. Tomato vs. OpenWRT: Which Router Firmware Is the
+  Best?} [online]. 2023.
+\newblock Dostupn{\'{e}}~z:
+  \url{{https://www.maketecheasier.com/dd-wrt-vs-tomato-vs-openwrt-router-firmware/}}.
+
+\bibitem[eduroam.cz(2024)]{eduroam_certifikaty}
+{\sc eduroam.cz}.
+\newblock \emph{Certifikaty} [online]. 2024.
+\newblock Dostupn{\'{e}}~z:
+  \url{{https://www.eduroam.cz/cs/spravce/pripojovani/serverove_certifikaty}}.
+
+\bibitem[eduroam.cz(2019)]{eduroam_realm}
+{\sc eduroam.cz}.
+\newblock \emph{Realm} [online]. 2019.
+\newblock Dostupn{\'{e}}~z:
+  \url{{https://www.eduroam.cz/cs/spravce/pripojovani/realm}}.
+
+\bibitem[Fairhurst(2012)]{fair_vlan}
 {\sc Fairhurst}, G.
-\newblock \emph{Advanced VLANs} [online].
+\newblock \emph{Advanced VLANs} [online]. 2012.
 \newblock Dostupn{\'{e}}~z:
   \url{{https://erg.abdn.ac.uk/users/gorry/course/lan-pages/vlan-advanced.html}}.
 
@@ -68,9 +79,9 @@
 \newblock Flow monitoring explained: from packet capture to data analysis with
   NetFlow and IPFIX, doi: 10.1109/COMST.2014.2321898, 2014.
 
-\bibitem[IEEE()]{ieee_8023}
+\bibitem[IEEE(2018)]{ieee_8023}
 {\sc IEEE}.
-\newblock \emph{802.3-2018 - IEEE Standard for Ethernet} [online].
+\newblock \emph{802.3-2018 - IEEE Standard for Ethernet} [online]. 2018.
 \newblock Dostupn{\'{e}}~z:
   \url{{https://ieeexplore.ieee.org/document/8457469}}.
 
@@ -80,9 +91,16 @@
 \newblock Dostupn{\'{e}}~z:
   \url{{https://docs.kernel.org/networking/dsa/dsa.html}}.
 
-\bibitem[Maiseyeu()]{leanDeliveryIaC}
+\bibitem[Lešek(2019)]{lesek_8021x}
+{\sc Lešek}, V.
+\newblock \emph{Autentizace v lokálních sítích pomocí IEEE 802.1x}
+  [online]. 2019.
+\newblock Dostupn{\'{e}}~z:
+  \url{{https://dspace.cvut.cz/bitstream/handle/10467/82727/F3-BP-2019-Lesek-Vladimir-Autentizace%20v%20lokalnich%20sitich%20pomoci%20IEEE%20802.1x.pdf?sequence=-1&isAllowed=y}}.
+
+\bibitem[Maiseyeu(2019)]{leanDeliveryIaC}
 {\sc Maiseyeu}, A.
-\newblock \emph{Dawn of the Infrastructure as Code} [online].
+\newblock \emph{Dawn of the Infrastructure as Code} [online]. 2019.
 \newblock Dostupn{\'{e}}~z:
   \url{{https://lean-delivery.com/2019/12/infrastructure_as_code.html}}.
 
@@ -96,6 +114,13 @@
 \newblock \emph{Unix and Linux system administration handbook}.
 \newblock Addison-Wesley, ISBN: 978-01-342-7755-4, 2018.
 
+\bibitem[networkencyclopedia.com(2024)]{networkencyclopedia_eap}
+{\sc networkencyclopedia.com}.
+\newblock \emph{Decoding EAP Protocol: A Guide to Extensible Authentication}
+  [online]. 2024.
+\newblock Dostupn{\'{e}}~z:
+  \url{{https://networkencyclopedia.com/decoding-eap-protocol-a-guide-to-extensible-authentication/}}.
+
 \bibitem[OpenWrt(2024)]{OpenWrtDoc8021X}
 {\sc OpenWrt}, P.
 \newblock \emph{Introduction to 802.1X} [online]. 2024.
@@ -108,9 +133,9 @@
 \newblock Dostupn{\'{e}}~z:
   \url{{https://openwrt.org/docs/guide-user/installation/before.installation#what_is_the_difference_between_the_different_image_formats}}.
 
-\bibitem[Peterka()]{peterka_tcpip}
+\bibitem[Peterka(1992)]{peterka_tcpip}
 {\sc Peterka}, J.
-\newblock \emph{Síťový model TCP/IP} [online].
+\newblock \emph{Síťový model TCP/IP} [online]. 1992.
 \newblock Dostupn{\'{e}}~z: \url{{https://www.earchiv.cz/a92/a231c110.php3}}.
 
 \bibitem[Peterson -- Davie(2022)Peterson, Davie]{Peterson_Davie_2022}
@@ -119,28 +144,36 @@
 \newblock Morgan Kaufmann Publishers, an imprint of Elsevier, ISBN:
   978-0-1238-5059-1, 2022.
 
-\bibitem[psherman()]{openwrtAPK}
+\bibitem[Ram(2024)]{RamsTech}
-{\sc psherman}.
-\newblock Major Change Notice: New Package Manager.
-\newblock Dostupn{\'{e}}~z:
-  \url{{https://forum.openwrt.org/t/major-change-notice-new-package-manager/215682}}.
-
-\bibitem[Ram()]{RamsTech}
 {\sc Ram}.
 \newblock \emph{Monitoring and Visualization Options for OpenWRT} [online].
+  2024.
 \newblock Dostupn{\'{e}}~z:
   \url{{https://nramkumar.org/tech/blog/2024/06/21/monitoring-and-visualization-options-for-openwrt/}}.
 
-\bibitem[Stankuš()]{stankus_8021x}
+\bibitem[Sherman(2024)]{openwrtAPK}
+{\sc Sherman}.
+\newblock Major Change Notice: New Package Manager, 2024.
+\newblock Dostupn{\'{e}}~z:
+  \url{{https://forum.openwrt.org/t/major-change-notice-new-package-manager/215682}}.
+
+\bibitem[Stankuš(2007)]{stankus_8021x}
 {\sc Stankuš}, M.
 \newblock \emph{Autentizace, autorizace a accounting v prostředí IEEE 802.1X}
-  [online].
+  [online]. 2007.
 \newblock Dostupn{\'{e}}~z:
   \url{{http://www.cs.vsb.cz/grygarek/SPS/projekty0607/RADIUS-Stankus.pdf}}.
 
-\bibitem[Wikipedie()]{wiki_tcpip}
+\bibitem[Twain(2024)]{twain_compare}
+{\sc Twain}, K.
+\newblock \emph{DD-WRT vs OpenWrt: The Better Router Firmware in 2024?}
+  [online]. 2024.
+\newblock Dostupn{\'{e}}~z:
+  \url{{https://www.homeowner.com/connectivity/routers/dd-wrt-vs-openwrt}}.
+
+\bibitem[Wikipedie(2008)]{wiki_tcpip}
 {\sc Wikipedie}.
-\newblock \emph{TCP/IP} [online].
+\newblock \emph{TCP/IP} [online]. 2008.
 \newblock Dostupn{\'{e}}~z: \url{{https://cs.wikipedia.org/wiki/TCP/IP}}.
 
 \bibitem[Česko()]{Zak_El_Kom}
@@ -151,4 +184,11 @@
 \newblock Dostupn{\'{e}}~z:
   \url{{https://www.zakonyprolidi.cz/cs/2005-127#p97-3}}.
 
+\bibitem[Čuhel(2020)]{cuhel_8021x}
+{\sc Čuhel}, R.
+\newblock \emph{Řízení přístupu k lokální síti pomocí protokolu IEEE
+  802.1x} [online]. 2020.
+\newblock Dostupn{\'{e}}~z:
+  \url{{https://www.vut.cz/www_base/zav_prace_soubor_verejne.php?file_id=210204}}.
+
 \end{thebibliography}

uvod.tex

@@ -2,11 +2,11 @@
 \addcontentsline{toc}{chapter}{Úvod}
 \pagestyle{plain}
 
-S~přibývajícím počtem mobilních zařízení jsou kladeny stále větší nároky na přístupové wi-fi sítě. Z~uživatelského hlediska se především jedná o~pokrytí sítě.
+S~rosoucím počtem mobilních zařízení a jejich integrací do každodenního života jsou kladeny stále větší nároky na přístupové Wi-Fi sítě. Uživatelé požadují nejen rychlé a stabilní připojení, ale také široké pokrytí a vysokou úroveň zabezpečení.
-Větší pokrytí a vyšší počet zařízení připojených do sítě s~sebou přináší nároky na větší počet přístupových bodů sítě, autentifikaci a autorizaci zařízení. To přináší nové výzvy pro administrátory.
 
+Větší pokrytí vyžaduje větší počet přístupových bodů, což představuje nové výzvy pro správu síťí. Administrátoři musí čelit stále většímu objemu práce při správě těchto zařízení a i přes rosoucí počet připojených zařízení musí garantovat bezpečnost síťě. Správa sítě se tímto stáva stále složitější, roste potřeba automatizace a získání přehledu nad infrastrukturou.
 
-a to přináší nové výzvy pro administrátory 
+Tyto rostoucí požadavky a výzvy kladou důraz na moderní přístupy k~ověřování uživatelů sítě, automatizaci a efektivitě správy síťové infrastruktury.
 
 \subsection*{Cíle práce}
 
@@ -14,10 +14,12 @@ a to přináší nové výzvy pro administrátory
 
 \subsection*{Struktura práce}
 
-Práce je členěna do pěti částí.
+Práce je členěna do šesti částí.
-První část práce se věnuje sadě standardů Wi-Fi, historickému vývoji standardů, principům jejich fungování, autorizačním a autentifikačním metodám používaných ve Wi-Fi sítích. Je zde také seznámení s~počítačovými sítěmi v~kontextu Wi-Fi.
-Druhá část práce mapuje dostupný hardware na trhu, kompatibilní software a možnosti hromadné správy zařízení.
-V~třetí části deklaruji požadavky na modelovou implementaci rozsáhlé Wi-Fi sítě.
 
-V~další části je tato Wi-Fi síť implementována. Tato část obsahuje ukázky konfiguračních souborů a popisuje kroky implementace modelové Wi-Fi sítě.
+První část práce se věnuje počítačovým síťím, základním principům počítačových síťí, popisuje síťovou architekturu a fungování dnešních počítačových sítí. Představuje technologie použité v~modelové implementaci.
-Poslední část se věnuje zhodnocení modelové implementace Wi-Fi sítě a komparaci modelové implementace s~dostupnými proprietárními produkty pro správu většího množství přístupových bodů Wi-Fi.
+Druhá část seznamuje se sadou standardů Wi-Fi, principům jejich fungování a zabezpečením ve Wi-Fi sítích.
+Třetí část je věnována automatizaci konfigurace, historickému kontextu, výhodám a porovnání vybraných open-source nástrojů pro automatizaci.
+Ve čtvrté části jsou deklarovány požadavky na modelovou implemntaci rozsáhlé Wi-Fi sítě projektu eduroam.
+
+V~další části je tato Wi-Fi síť implementována. Tato část obsahuje ukázky konfiguračních souborů, popisuje kroky implementace modelové Wi-Fi sítě a ukazuje přístup k~monitoringu a získání přehledu nad infrastrukturou.
+Poslední část se věnuje zhodnocení modelové implementace Wi-Fi sítě a navrhuje možná vylepšeni.