Концепция ЛВС филиала банка

РЕФЕРАТ

Дипломный проект 91 с., 12  рис., 54 ист., 2 приложения.

Локальная вычислительная сеть филиала банка, построенная на основе сетевого оборудования фирмы Ciscо. 

Объектом проектирования является схема локально – вычислительной сети предприятия. 

Предмет проектирования – модернизация ЛВС схемы сети предприятия (кредитной организации) с использованием активного оборудования Cisco.

Цель проектирования состоит в   модернизации ЛВС сети филиала банка, с   применением активного оборудования компании Cisco, что позволило уменьшить затраты на производственные расходы, автоматизировать труд сотрудников, расширить сеть корреспондентских отношений, повысить эффективность работы вычислительной системы в целом.

В ходе проектирования получены следующие результаты:

На основе предъявленных требований к ЛВС, произведен выбор сетевого оборудования.

Выбрана схема размещения и подключения оборудования, организации доступа к внутренним ресурсам и интернету.

Рассмотрены проблемы безопасности текущей схемы подключения и способы их решения с применением оборудования Cisco.

Спроектирована схема подключения сети с использованием выбранного оборудования.

Проведен анализ возможных путей получения несанкционированного доступа к внутренним ресурсам как внешним, так и внутренним нарушителем.

Выбраны методы защиты от несанкционированного доступа средствами активного оборудования Cisco.
                                                 СОДЕРЖАНИЕ

РЕФЕРАТ	1

НОРМАТИВНЫЕ ССЫЛКИ	6

ОПРЕДЕЛЕНИЯ, ОБОЗНАЧЕНИЯ И СОКРАЩЕНИЯ	7

ТЕХНИЧЕСКОЕ ЗАДАНИЕ НА ПРОЕКТИРОВАНИЕ	9

ПЕРЕЧЕНЬ ГРАФИЧЕСКИХ ДОКУМЕНТОВ	10

ВВЕДЕНИЕ	11

1.1 Анализ объекта модернизации	14

1.2 Концепция ЛВС филиала банка	18

	1.3 Цель работы и перечень решаемых задач	22

2.РАЗРАБОТКА ЛВС ФИЛИАЛА БАНКА	23

2.1 Обоснование выбора оборудования для модернизации сети	23

	2.2 Разбиение сети на сегменты	24

2.3 Логическая организация сети, адресация	25

3. Экспериментальное моделирование объекта проектирования	34

3.1 Анализ сетевого оборудования компании Cisco, представленного в программе CiscoPacketTracer	34

	3.3 Настройка доступа к сетевому оборудованию. Решение проблемы защиты оборудования	36

	3.4 Настройка VLAN. Организация защиты от несанкционированных подключений и внутреннего нарушителя	36

ЗАКЛЮЧЕНИЕ	44

ПРИЛОЖЕНИЕ 1	55

 ПРИЛОЖЕНИЕ 2……………………………………………………………......72


НОРМАТИВНЫЕ ССЫЛКИ

IEEE 802.1B. Стандарт управления локальными/региональными сетями

IEEE 802.1E. Стандарт на протоколы системной нагрузки для локальных и региональных сетей.

ГОСТ 29099-91  Сети вычислительные локальные. Термины и определения

 ГОСТ 15971-90, Системы обработки информации. Термины и определения

ГОСТ19781.Обеспечение систем обработки информации программное. Термины и определения

ГОСТ 34.936-91 Информационная технология. Локальные вычислительные сети. Определение услуг уровня управления доступом к среде




ОПРЕДЕЛЕНИЯ, ОБОЗНАЧЕНИЯ И СОКРАЩЕНИЯ



Сетевая модель OSI (англ. Open systems interconnection basic reference model) – базовая эталонная модель взаимодействия открытых сетей. 

Serial - кабельные соединения типа (point-to-point)

Wi-Fi  (Wireless Fidelity) —  стандарт на оборудование для широкополосной радиосвязи,  предназначенной для организации локальных беспроводных сетей Wireless LAN

 HTTP – англ. Hyper Text Transfer Protocol — «протокол передачи гипертекста» — протокол прикладного уровня передачи данных (изначально — в виде гипертекстовых документов в формате HTML, в настоящий момент используется для передачи произвольных данных)

FTP – англ. File Transfer Protocol — протокол передачи файлов — стандартный протокол, предназначенный для передачи файлов по TCP-сетям (например, Интернет).

RDP – Reliable Data Protocol, известный также как Reliable User Datagram Protocol — протокол транспортного уровня.

SMTP – англ. Simple Mail Transfer Protocol — простой протокол передачи почты — это широко используемый сетевой протокол, предназначенный для передачи электронной почты в сетях TCP/IP.

TELNET – англ.  TErminaL NETwork — сетевой протокол для реализации текстового интерфейса по сети (в современной форме — при помощи транспорта TCP).

ЛВС – локально – вычислительная сеть.

Quality of Service (QoS) — технология предоставления различным классам трафика различных приоритетов в обслуживании. 

NAT (Network Address Translation)  — преобразование сетевых адресов 

Telnet (Teletype Network) — сетевой протокол для удалённого доступа к компьютеру с помощью командного интерпретатора. 

 Cisco – сетевое оборудование с интеграцией сервисов второго поколения (ISR G2) обеспечивают превосходную адаптивность и интеграцию сервисов. 


ТЕХНИЧЕСКОЕ ЗАДАНИЕ НА ПРОЕКТИРОВАНИЕ



Провести анализ проблем существующей инфраструктуры сети.

Провести анализ безопасности существующей схемы сети.

Разработать концепцию построения модернизированной сети (разбить на сегменты, определить оптимальные настройки безопасности).

Спроектировать логическую организацию сети (разбить на подсети).

Выбрать сетевое оборудование, необходимое для организации сети.

Смоделировать схему сети в программе Cisco Packet Tracer.








ПЕРЕЧЕНЬ ГРАФИЧЕСКИХ ДОКУМЕНТОВ



Схема ЛВС  сети учебного центра

План помещения учебного центра

Схема подключения коммутаторов в проектируемой сети

Схема сети филиала банка

Схема модернизированной сети учебного центра










ВВЕДЕНИЕ

Актуальность данной темы обусловлена тем, что сегодня, практически ни одно предприятие не может обойтись без информационных технологий. Современное состояние телекоммуникационных сетей можно определить термином «движение к совершенству». Вряд ли можно предугадать, как они будут выглядеть в будущем, сколько поколений сетей и технологий предстоит еще пройти. Однако уже сегодня видны первые наработки: мощные сети передач и коммутации пакетов, высокоскоростные линии доступа, оптические телекоммуникационные технологии и т. д., которые и определяют следующие поколения телекоммуникационных сетей [1].

В начале 60-х годов появились первые прообразы компьютерных сетей, служившие для организации распределенных вычислительных процессов. Это были интерактивные многотерминальные системы распределения времени. У каждого пользователя был свой терминал, с помощью которого осуществлялась работа на общем компьютере. Мощность таких вычислений определялась характеристиками компьютера. Терминалы распределялись по всему предприятию, а их вычислительная мощность была централизованной. Подобные системы были первыми прообразами современных компьютерных сетей. Пользователь имел доступ к общим файлам, устройствам и у него было ощущение единоличного владения компьютером. Недостатком таких систем была их высокая стоимость, немногие предприятия могли их себе позволить[6] .

В это время появилась необходимость соединения компьютеров, находящихся на больших расстояниях друг от друга. Для доступа терминалов к компьютерам использовались телефонные сети. Соединения происходили при помощи модемов. Позже наряду с соединениями терминал-компьютер стали появляться соединения компьютер-компьютер. Компьютеры получили возможность обмениваться данными, использовать общие ресурсы, службы баз данных, электронной почты и другие традиционные службы.

Цель -  состоит в   модернизации   ЛВС сети филиала банка, серверной, с применением активного оборудования компании Cisco, что позволило уменьшить затраты на производственные расходы, автоматизировать труд сотрудников, расширить сеть корреспондентских отношений, повысить эффективность работы вычислительной системы в целом

Задачи:

На основе предъявленных требований к ЛВС, произвести выбор сетевого оборудования.

Выбрать схему размещения и подключения оборудования, организации доступа к внутренним ресурсам и интернету.

Рассмотреть проблемы безопасности текущей схемы подключения и способы их решения с применением оборудования Cisco.

Спроектировать схему подключения сети с использованием выбранного оборудования.

Провести анализ возможных путей получения несанкционированного доступа к внутренним ресурсам как внешним, так и внутренним нарушителем.

Выбрать методы защиты от несанкционированного доступа средствами активного оборудования Cisco.

Объект – схема локальной вычислительной сети предприятия (кредитной организации)

Предмет -  модернизация ЛВС схемы сети предприятия (учебного центра) с использованием активного оборудования Cisco.

Теоретическая значимость исследования состоит в том, что рекомендации по модернизации локальной вычислительной сети могут быть использованы при организации ЛВС любого предприятия. 

Практическая значимость состоит в реализации на практике мер по проектированию, монтажу и настройке доступа к общим ресурсам локальной сети, таким как совместное использование Интернета, обновление программного обеспечения для удобства пользования и защиты локальной сети.


АНАЛИЗ ТЕХНИЧЕСКОГО ЗАДАНИЯ

1.1 Анализ объекта модернизации

В данном проекте проводится модернизация сети филиала банка «АГРОПРОМКРЕДИТ». 

На настоящий момент имеется локальная сеть, с общими ресурсами и местом администратора, всего пятнадцать компьютеров, имеющих выход в сеть.  К оборудованию провайдера подключается посредством витой пары. Имеются несколько серверов, доступный всем внутри сети. Так же имеется два коммутатора, по одному в каждой аудитории, соединяющие рабочие места преподавателей, учеников, а также общие принтеры. Администратор сети имеет отдельное рабочее место.

Также филиал связан с головнымофисом и подчиненными филиалами



Рисунок 1.1 – Структура каналов связи



Преимущества существующей схемы:

Дешевизна. Для ее организации подходит оборудование для домашнего пользования. Используются простые восьми портовые коммутаторы, соединенные с рабочими станциями посредством витой пары. Выход в интернет организован через роутер для малых сетей. Файловый сервер и место администратора подключаются непосредственно к роутеру.

Простота настройки. Большая часть оборудования не требует от администратора специфических знаний и навыков.

Отсутствие требований к помещению для установки оборудования. Домашние роутеры и свитчи не требуют установки в серверную стойку и дополнительного охлаждения, подключения источников бесперебойного питания. Оборудование не требует расчета нагрузки на электрическую сеть и проведения отдельной линии для его питания. Отсутствуют требования к инженерным коммуникациям здания, наличию всесезонных кондиционеров, прокладке большого количества кабелей и отдельной конфигурации помещения для установки оборудования (Рисунок 1.1).







Рисунок 1.2 – Существующая схема сети



Недостатки существующей схемы сети:

Низкая пропускная способность оборудования. Пропускная способность интернет канала через Ethernet-интерфейс в рассматриваемой схеме не более 10 Мбит/с, что при количестве подключенных машин крайне мало и не может обеспечить бесперебойную работу интернета при совместном использовании. 

Отсутствие межсетевого экрана ставит под угрозу безопасность данной сети. Полный доступ к серверу можно получить с любого компьютера, зная логин/пароль, в то время порты, предназначенные для управления конфигурацией сервера, такие как SSH, RDP, Telnet должны быть, открыты только администратору. То же касается портов для настройки роутеров и свитчей. Пользователи никак не ограничены в доступе к ресурсам, так же никак не ограничен доступ в интернет. Отсутствует проверка подключаемых клиентов, в связи с чем в сеть беспрепятственно может подключиться, кто угодно и сможет выдавать себя за других пользователей или устройства, и проводить атаки типа «человек посередине» (Man in the middle (MITM)).

Невозможность расширения сети и подключения дополнительных ресурсов, и абонентских устройств в больших количествах, оборудование не будет выдерживать нагрузку.

Текущая адресация предполагает 4 подсети:

192.168.1.0/24 – первая аудитория;

192.168.2.0/24 – вторая аудитория;

192.168.255.0/24 – подсеть для администратора;

192.168.254.0/24 – подсеть для сетевых служб.

Шлюз выхода в интернет скрывает сеть за NAT, т.е. из внешней сети виден только внешний интерфейс шлюза.

План помещения учебного центра рис. 1.2





Рабочее место администратора

Серверная



РС - РТ



Сервер



шлюз







Аудитория №1



Аудитория №2



Компьютер  препод.



Коммутатор2

Принтер 2

Компьютер препод.

Коммутатор 1

Принтер 1



Рс 4

РС 1

РС 4

РС 3

РС 2

РС 1



Рс 3

РС 2





Рисунок 1.2 – План помещения учебного центра


В связи с внедрением новых учебных продуктов, увеличением количества учеников и административных отделов учебного центра необходимо пересмотреть существующую организацию локальной сети. 

1.2 Концепция ЛВС филиала кредитной организации



ЛВС является ключевым элементом инфраструктуры предприятия и от того насколько предсказуемо работает ЛВС во многом зависит стабильность работы информационных систем.  

Создание ЛВС обеспечивает 

Возможность совместного использования ресурсов в сети (файлов, принтеров, модемов)

Оперативный доступ к любой информации в сети

Надежные средства резервирования и хранения информации

Защиту информации от несанкционированного доступа

Возможность использования современных информационных технологий. 

ЛВС должна обеспечить:

 доступ пользователей к базе данных, базе внутренних руководящих документов (приказы, инструкции), 

работу с пакетами коммуникационных программ (для выхода в сеть Internet, работы с электронной почтой),

 повышение оперативности оформления документации по учебной деятельности организации и увеличения производительности труда персонала,  за счет более эффективного и экономичного использования ресурсов компьютеров и информационного обеспечения [17].

При существующей организации сети до модернизации, обеспечивалась загрузка сервера на 40%.  Организация динамично развивается и существует уже 5 лет. На текущий момент недостаточно  10 - Мб сети.

Требования к ЛВС:

Функциональные требования к разрабатываемой сети

ЛВС должна объединять в своем составе рабочие места сотрудников, серверы и коммуникационное оборудование;

· Сервера должны иметь максимальную загрузку не более 65 - 75%.

· Активное оборудование сети должно иметь максимальную загрузку до 65% .

· Скорость передачи основных каналов связи не хуже 100 Мбит\с.

ЛВС должна обеспечивать подключение пользователей сети при помощи беспроводной связи (wi-fi).

Wi-Fi-технология позволяет строить беспроводные самоорганизующиеся сети инфраструктурного типа, т.е. создавать многоточечную топологию с беспроводной точкой доступа для подключения мобильных абонентов. 

Wi-Fi-технология  хорошо себя зарекомендовала в качестве транспортной среды не только для передачи данных, но и голосовых сообщений. Разработка утвержденного в 2007 г. стандарта IEEE802.11е в виде дополнения к IEEE802.11х, где были учтены все меры по обеспечению качества услуг QoS с расстановкой приоритетов по типу передаваемой информации. Применение технологии Wi-Fi в качестве транспортной среды для передачи любой информации, представленной высокоскоростными стандартами (802.11b,g), с каждым днем становится все более привычным делом в местах массового пользования, в т.ч. в зданиях административно-офисного типа [46].

Технические требования к разрабатываемой сети

ЛВС должна обеспечивать доступ к сетевым ресурсам с задержкой менее 2 секунд.

Пропускная способность сети должна быть высокой и иметь запас, чтобы не перегрузить каналы связи. Ориентировочная максимальная пропускная способность должна быть 100мБит/сек. Сетевая технология – Fast Ethernet. 

Активное сетевое оборудование должно:

 иметь максимальную загрузку до 60%.

 иметь скорость передачи основных каналов связи не менее 10 Мбит/с;

Соответствовать условиям эксплуатации:

 окружающая температура - +5 С +50 С;

 влажность - 20% 90%;

 электропитание – 220 В 10 В, 50 Гц от сети переменного тока. Требования к системе резервного копирования

Система резервного копирования должна удовлетворять следующим требованиям:

· проведение резервного архивирования данных с серверов и станций;

Пользовательские требования к разрабатываемой сети

Должен быть обеспечен доступ к БД, Интернету, электронной почте и файловому серверу, а так же должна быть обеспечена информационная безопасность и производительность. Рабочие станции оснащены операционной системой Windows XP.

Информационные требования к разрабатываемой сети

Информация внутри ЛВС должна быть безопасной, доставляться абоненту без потери количества и качества.

Требования по безопасности к разрабатываемой сети

Должна осуществляться проверка антивирусными программами электронной почты и Интернет взаимодействия, контроль доступа к ЛВС извне.

Необходимость модернизации заключается в том, что существующая ЛВС учебного центра  уже не справляется с потоком задач, возложенных на неё. Из-за высокой загрузки сетевого оборудования (загрузка коммутатора 86%) всё чаще происходит потеря части передаваемой информации, из-за низкой скорости пропускного канала (ниже 10Мбит/сек) замедляется взаимодействие с серверами БД и файловыми серверами. 

Анализ предпроектной ситуации показывает, что сеть уже не справляется с объёмом задач, возложенных на неё. Что является основополагающим фактором для модернизации существующей сети и разработки новой. Сложившаяся ситуация подталкивает нас к созданию вычислительной сети, которая была бы лишена перечисленных недостатков с учётом возможности её дальнейшего расширения.

Использование сетевого оборудования Cisco позволит подключить гораздо больше абонентских устройств, чем при текущей схеме. Многопортовые коммутаторы позволят избавиться от установки малых коммутаторов и хабов в рабочих помещениях, однако накладывают определенные требования на коммуникации здания. Потребуется установка Ethernet розеток для подключения устройств, а на обратной стороне – патч-панелей. Это избавит от лишних проводов в кабинетах, т.к. розетки можно устанавливать непосредственно возле рабочих мест [50].

1.3	Цель работы и перечень решаемых задач



Цель работы  -    состоит в   проектировании  ЛВС сети для учебного центра  с интернет – кафе и  серверной, с   применением активного оборудования компании Cisco, что позволило уменьшить  затраты  на производственные расходы,  автоматизировать  труд  сотрудников,    расширить сеть  корреспондентских отношений, повысить  эффективность работы вычислительной системы в целом.

Задачи:

На основе предъявленных требований к ЛВС, произвести  выбор сетевого оборудования.

Выбрать  схему размещения и подключения оборудования, организации доступа к внутренним ресурсам и интернету.

Рассмотреть  проблемы безопасности текущей схемы подключения и способы их решения с применением оборудования Cisco.

Спроектировать схему подключения сети с использованием выбранного оборудования.

Провести  анализ возможных путей получения несанкционированного доступа к внутренним ресурсам как внешним, так и внутренним нарушителем.

Выбрать  методы защиты от несанкционированного доступа средствами активного оборудования Cisco.






2.РАЗРАБОТКА ЛВС УЧЕНОГО ЦЕНТРА

2.1 Обоснование выбора оборудования для модернизации сети



При проектировании ЛВС  в первую очередь для нее определяются конкретные цели функционирования и назначение в общей структуре управления предприятием. 

Для создания ЛВС  в учебном центре, потребуется  сетевое оборудование, вычислительные и телекоммуникационные средства. Маршрутизатор – это устройство сетевого уровня эталонной модели OSI, использующее одну или более метрик для определения оптимального пути передачи сетевого трафика на основании информации сетевого уровня. Из этого определения вытекает, что маршрутизатор, прежде всего, нужен для определения дальнейшего пути данных, посланных в большую и сложную сеть. Пользователь такой сети отправляет свои данные в сеть и указывает адрес своего абонента. Данные проходят по сети и в точках с разветвлением маршрутов поступают на маршрутизаторы, которые как раз и устанавливаются в таких точках [33]. Будут использованы маршрутизаторы Cisco. Маршрутизаторы Cisco позволяют развертывать высокопроизводительные серии IP/MPLS и масштабируемые персонализированные услуги IP в граничном сегменте сети, повышать эффективность работы и ускорять возврат инвестиций. Коммутатор — устройство, предназначенное для соединения нескольких узлов компьютерной сети в пределах одного или нескольких сегментов сети. Коммутатор работает на канальном (втором) уровне модели OSI. Коммутаторы были разработаны с использованием мостовых технологий и часто рассматриваются как многопортовые мосты. Для соединения нескольких сетей на основе сетевого уровня служат маршрутизаторы. Будут использоваться 24-х портовые коммутаторы Cisco Catalyst 296048. Коммутаторы Cisco понимают 3-ий уровень модели OSI, что позволяет с их помощью создавать VLAN, который соединяет рабочие станции, подсоединённые к одному маршрутизатору в несколько виртуальных локальных сетей. Витая пара — вид кабеля связи, представляет собой одну или несколько пар изолированных проводников, скрученных между собой (с небольшим числом витков на единицу длины), покрытых пластиковой оболочкой. Свивание проводников производится с целью повышения степени связи между собой проводников одной пары и последующего уменьшения электромагнитных помех от внешних источников. Будет использоваться витая пара CAT5 (полоса частот 100 МГц) — 4-парный кабель, использовался при построении локальных сетей 100BASE-TX и для прокладки телефонных линий, поддерживает скорость передачи данных до 100 Мбит/с при использовании 2 пар [3].



2.2	Разбиение сети на сегменты



Текущая схема сети состояла из 4-х условных сегментов, разделяемых логически, доступных друг для друга через роутер. Имеется две сети учебных классов, серверная  и место администратора. С точки зрения безопасности недопустимо в учебном центре давать машинам учеников доступ к внутренним ресурсам всей сети. Необходимо разграничение доступа. Также необходимо ограничение доступа в интернет для обеспечения внутренней безопасности. При текущей схеме ничто не мешает учащемуся настроить на компьютере VPN соединение и обеспечить доступ к внутренним ресурсам извне [7]. Помимо этого, сегментация значительно облегчит администрирование, в каждом сегменте можно организовать свою подсеть или посети, при необходимости. Доступ к настройкам устройств будет ограничен сегментом для администраторов, то же самое с удаленным управлением серверами. Сегментация позволит проще ограничивать доступ к отдельным интернет ресурсам, социальным сетям, уменьшить вероятность распространения вирусов по локальной сети.

Сеть предлагается разбить на следующие сегменты:

Учебный сегмент – компьютеры учебных классов, преподавателей, устройства в учебных аудиториях;

Сегмент интернет-кафе – позволит воспользоваться интернетом с мобильных телефонов, ноутбуков, планшетов и прочих беспроводных устройств;

Серверная – место размещения общих ресурсов, а также серверов для внутреннего пользования;

Сегмент администраторов сети – компьютеры системных администраторов, а также возможность удаленного решения проблем через VPN;

Преподавательский сегмент – компьютеры преподавателей;

Руководство учебного центра – личные и рабочие компьютеры руководства.

В свою очередь учебный сегмент разбит на подсегменты. Cогласно учебным классам, серверная состоит 2-х сегментов – общих ресурсов и служебных серверов [12].

Это обеспечит возможность контроля за действиями каждого пользователя, ведь физически каждый компьютер будет подключен к своему порту в коммутаторе. Мы получим возможность, например, отключить абонента в случае подозрительных действий с его стороны, при этом это не скажется на работе других пользователей. 



2.3 Логическая организация сети, адресация



Определившись с сегментацией, необходимо продумать сетевую адресацию. Мы можем выбирать из диапазона частных ip-адресов в зависимости от количества машин в сети и предпочтений администратора. Количество узлов в каждом сегменте можно регулировать маской подсети. Часть адресов будет выдана динамически (интернет-кафе), часть статически - (серверная) [19].

Так как в один коммутатор могут подключаться компьютеры из разных помещений, необходимо разделить порты VLAN-ами, во избежание прямого доступа к другим подсетям. Это позволит контролировать трафик между подсетями с помощью маршрутизатора, а так же избавит от необходимости серьезных перенастроек при расширении сети. 

В предлагаемой схеме будем использовать 24-х портовые коммутаторы Cisco Catalyst 2960. Такие коммутаторы имеют 24 FastEthernet-порта и 2 GigabitEthernet-порта. Fast Ethernet будем применять для подключения конечных узлов, Gigabit Ethernet для соединения с маршрутизаторами.

Создадим следующие VLAN-ы:

Vlan 11 – руководство центра;

Vlan 12 – преподавательский состав;

Vlan 13 – интернет-кафе;

Vlan 14 – сегмент для сетевых администраторов;

Vlan 10 – серверная;

Vlan 21 — первая аудитория;

Vlan 22 — вторая аудитория (в дальнейшем при появлении новых компьютерных классов VLAN-ам будем присваивать номера 1x соответственно).

Организация коммутации

Подключение абонентов будем производить посредством коммутаторов уровня доступа Cisco 2960-24TT. Данные коммутаторы мы подключим к устройству уровня распределения Cisco 3560-24PS, на котором настроим наши VLAN-ы и будем раздавать их между устройствами посредством протокола VTP. Для идентификации используется vtp-домен, в нашем случае «vtp-core». Для защиты используется пароль. В нашем примере мы используем простой пароль 1qaz@WSX, но при настройке реального оборудования необходимо использовать более сложный пароль и хранить его в секрете (рис.2.1).



Рисунок  2.1 –  Схема подключения коммутаторов в проектируемой сети.



Помимо серверного и клиентского режимов работы протокол VTP версии 2 может работать в прозрачном режиме (Transparent). Ввиду малого размера сети, данный режим не требуется.

Для отображения VLAN-ов в коммутаторах Cisco используется команда «show vlan brief».

Помимо этого, на корневом коммутаторе мы настроим DHCP-сервер, для автоматического конфигурирования подключаемых устройств (рисунок 2.2).



Рис 2.2. Конфигурация интерфейсов на корневом коммутаторе.

Распределение адресов

Далее продумаем адресацию в сегментах. Для локальной сети нам разрешено использовать адреса из следующих диапазонов:

10.0.0.0 — 10.255.255.255 (маска подсети для бесклассовой (CIDR) адресации: 255.0.0.0 или /8);

172.16.0.0 — 172.31.255.255 (маска подсети для бесклассовой (CIDR) адресации: 255.240.0.0 или /12);

192.168.0.0 — 192.168.255.255 (маска подсети для бесклассовой (CIDR) адресации: 255.255.0.0 или /16).

Наиболее легко запоминаются рядовому пользователю адреса из диапазона 10.0.0.0/8, соответственно будем применять именно их. В предлагаемой схеме логика адресации будет следующей:

Для руководства центра 10.1.1.0/24;

Для учебного сегмента 10.2.x.0/24 — где x – номер учебной аудитории;

Для служебных серверов 10.1.0.0/24;

Преподавательский сегмент — 10.1.2.0/24;

Сегмент интернет-кафе – 10.1.3.0/24;

Администраторский сегмент — 10.1.4.0/24.

Маску подсети устанавливаем 255.255.255.0 во всех сегментах, во избежание обмена данными между подсетями в обход корневого коммутатора. Всем устройствам адреса назначаются с помощью протокола DHCP, за исключением устройств, которым нужен статический адрес, например принтеры при включении/выключении могут поменять адрес и стать недоступны. Будем назначать их адреса 10.x.x.100, для удобства поиска при установке в систему.













Рассмотрим настройку ip-адресов для VLAN-интерфейсов. Вывод списка интерфейсов на коммутаторе 3-го уровня осуществляется командой «show ip interface brief».

На каждом из интерфейсов настроен DHCP-pool для соответствующей подсети, в качестве шлюза указан адрес VLAN-интерфейса, помимо этого настроен адрес DNS-сервера. Необходимо  указывать коммутатору адреса, которые не следует выдавать автоматически, во избежание конфликтов внутри сети. Это адреса принтеров, маршрутизаторов, и других устройств, которым адрес присваивается вручную. Ниже представлен участок конфигурации корневого коммутатора, отвечающий за работу DHCP:

ipdhcp excluded-address 10.2.1.1

ipdhcp excluded-address 10.2.1.254

ipdhcp excluded-address 10.2.2.1

ipdhcp excluded-address 10.2.2.254

ipdhcp excluded-address 10.2.2.100

ipdhcp excluded-address 10.2.1.100

ipdhcp excluded-address 10.1.1.1

ipdhcp excluded-address 10.1.1.100

ipdhcp excluded-address 10.1.2.100

ipdhcp excluded-address 10.1.2.1

ipdhcp excluded-address 10.1.1.101

ipdhcp excluded-address 10.1.4.1

ipdhcp excluded-address 10.1.4.100

ipdhcp excluded-address 10.1.0.1

ipdhcp excluded-address 10.1.3.1

!

ipdhcp pool vlan21

network 10.2.1.0 255.255.255.0

default-router 10.2.1.1

dns-server 8.8.8.8

ipdhcp pool vlan22

network 10.2.2.0 255.255.255.0

default-router 10.2.2.1

dns-server 8.8.8.8

ipdhcp pool vlan11

network 10.1.1.0 255.255.255.0

default-router 10.1.1.1

dns-server 8.8.8.8

ipdhcp pool vlan12

network 10.1.2.0 255.255.255.0

default-router 10.1.2.1

dns-server 8.8.8.8

ipdhcp pool vlan14

network 10.1.4.0 255.255.255.0

default-router 10.1.4.1

dns-server 8.8.8.8

ipdhcp pool vlan13

network 10.1.3.0 255.255.255.0

default-router 10.1.3.1

dns-server 8.8.8.8

!

!

iprouting

Параметр «iprouting» указан для осуществления маршрутизации между VLAN-ами, т.е. мы так же используем коммутатор для внутренней маршрутизации. «Заворачивать» трафик во внешнюю сеть будет уже маршрутизатор.

Подключая новое устройство в сеть -  мы вносим соответствующий порт на коммутаторе в определенный VLAN, иначе доступа к сети у него не будет. Для этого порт переводится в режим «access» и ему назначается соответствующий VLAN. На рисунке 2.3 наглядно показана эта процедура на примере подключения FTP-сервера.



                              Рис 2.3. Назначение VLAN-а интерфейсу

 Сначала при включении кабеля в терминале всплывает сообщение о смене статуса порта. Узнав какой это порт - мы переходим в режим его настройки и указываем VLAN.

В серверном сегменте разместим файловый FTP сервер для общего пользования, сервер HTTP и TFTP сервер для хранения настроек оборудования.

Программа Cisco Packet Tracer умеет имитировать поведение популярных сервисов, таких как HTTP, DNS, DHCP, FTP и т.д. На рабочих станциях есть соответствующие команды для проверки работы.

Бэкап настроек оборудования будет храниться на TFTP. Присвоим данному серверу адрес 10.1.0.254/24. Для резервного копирования настроек в Cisco на TFTP-сервер используется команда «copystartup – configtftp:», система спросит адрес TFTP сервера и имя файла, под которым сохранить настройки. Теперь, в случае сбоя, не придется настраивать инфраструктуру заново, можно просто скопировать настройки с TFTP-сервера и устройство будет работать в прежнем режиме. Помимо этого на данном сервере будем хранить образы ПО для оборудования, при выходе  новых версий Cisco IOS, будем обновлять его.

По адресу 10.1.0.3 разместим внутренний HTTP-сервер. Доступ к нему будет у всех VLAN-ов,  за исключением интернет-кафе.

На коммутаторах и маршрутизаторах настроим удаленный доступ. В Cisco Packet Tracerssh - клиент не работает, поэтому для демонстрации придется использовать telnet. В реальной же сети рекомендуется использовать ssh, так как данные передаваемые по ssh шифруются и защищены от перехвата в отличие от telnet. Присвоим интерфейсам VLAN 14 на коммутаторах SW1 и SW2 ip-адреса 10.1.4.11 и 10.1.4.12 соответственно, на Switch CORE он уже присвоен (10.1.4.1). Switch CORE укажем в качестве шлюза по умолчанию для коммутаторов. Таким образом, все коммутаторы станут доступны в сегменте сетевых администраторов и могут управляться удаленно, а не только через подключение по консольному кабелю.

В сегменте интернет кафе разместим одно единственное устройство – роутер LinksysWRT-300N, подключение гостей будет осуществляться через него (рис 2.4).



                        Рисунок 2.4 - Схема сети интернет-кафе

 На роутере настроим беспроводную сеть SSIDiCAFE. Настройка устройств такого уровня производится через WEB-интерфейс. 

На роутере также имеется DHCP-сервер, раздающий адреса клиентам в диапазоне 192.168.1.0/24. В качестве защиты будем использовать WPA-2 с парольной фразой. В беспроводных сетях не рекомендуется использовать протоколы WEP и WPS, т.к. они являются наиболее уязвимыми. В настоящее время известны способы взлома всех перечисленных протоколов. Обычно во всех случаях злоумышленники используют Brute-Force атаки и перехват трафика. В связи с этим не следует применять их для защиты доступа к важным данным [30].


3. Экспериментальное моделирование объекта проектирования

3.1 Анализ сетевого оборудования компании Cisco, представленного в программе Cisco Packet Tracer

В ходе проекта все схемы будут выполняться в программе Cisco Packet Tracer. Эта программа разработана для обучения системных администраторов и умеет эмулировать популярное оборудование Cisco, а также базовое поведение конечных устройств. Данная программа имеет ограниченный функционал и не может в точности имитировать некоторое оборудование. Например, межсетевой экран имеет ограниченный функционал, также,  нельзя имитировать в полной мере работу сети интернет -  как это сделано в ее аналогах (GNS 3), но для проектирования офисных сетей, для имитации простейшего взаимодействия она вполне подходит. При выполнении работы будет использоваться программа версии 6.2.0 Student.

Рассмотрим модели устройств, представленные в программе Cisco Packet Tracer. Маршрутизаторы: 1841, 2620M, 2620XM, 2621XM, 2811, 2901, 2911, 819 и два Generic роутера, с возможностью установки модулей под различные цели. Коммутаторы: 2950-24, 2950T, 2960, 3560-24PS, два Generic-коммутатора и один Generic-мост. Из пассивных устройств: один концентратор, один повторитель, один коаксиальный сплиттер. Беспроводные устройства: Generic Access Point, точка доступа стандарта A, точка доступа стандарта N, роутер LinksysWRT-300N, сотовая станция, COServer. Различные типы соединительных кабелей, от Serial до оптоволокна. Конечные устройства: настольные ПК, сервера, ноутбуки, принтеры, IP-телефоны, мобильные устройства, снифер и т.д. Эмуляция глобальной сети, кастомные устройства и многопользовательские соединения. Имеется также межсетевой экран Cisco ASA 5505. Некоторые из этих устройств сняты с производства и больше не поддерживаются, но присутствуют из-за своей широкой распространенности и популярности (маршрутизаторы Cisco 1841, 2620). Возможностей устройств.......................