Проектування комп’ютерної мережі для факультету вищого навчального закладу

Размещено на http://www.allbest.ru

Размещено на http://www.allbest.ru

Вступ

Сучасні умови розвитку інформаційних технологій диктують необхідність їх прискореного застосування, як найбільш оперативного засобу контролю, управління та обміну даними, як всередині окремого підрозділу, так і в масштабах великого підприємства.

Завдяки виникненню та розвитку мереж передачі даних з'явився новий, високоефективний спосіб взаємодії між людьми. Спочатку мережі використовувались для наукових дослідів, але згодом вони почали проникати у всі області людської діяльності.

Основним призначенням комп'ютерних мереж є спільне використання ресурсів і встановлення зв'язку як всередині одного підрозділу чи організації, так і за її межами. Під ресурсами слід розуміти програми, дані, додатки, периферійні пристрої.

Мережі дають можливість великій кількості користувачів одночасно «володіти» програмами, базами даних, пристроями тощо.

Нині більшість організацій зберігає та спільно користується великими обсягами вкрай важливих даних, спеціальними програмами, створеними для спільного використання в умовах локальних мереж, наприклад, низкою банківських програм, програм для ведення бухгалтерського обліку тощо.

Основною метою даної курсової роботи являється проектування комп'ютерної мережі для факультету вищого навчального закладу.

Дана мережа повинна забезпечувати безперебійний зв'язок між робочими станціями в мережі. Підвищувати продуктивність праці внаслідок спрощення обміну даними між працівниками різних відділів установи.

Також мережа, що розробляється, повинна забезпечувати високу надійність роботи та захищеність інформації.

1. Аналіз завдання на проектування

1.1 Характеристика організації

Факультет ВНЗ, для якого розробляється комп'ютерна мережа складається з 5 корпусів. Кожен з корпусів містить навчальні аудиторії, класи та лабораторії, а також інші додаткові службові, чи адміністративного плану приміщення.

Корпус 1 містить приміщення 101-103, а також додаткові. Корпус 2 містить приміщення 201-208. Корпус 3 містить приміщення 301-311 і додаткові. Корпус 4 містить приміщення 401-415 і додаткові.

Факультет містить 3 кафедри:

- Кафедра А (корпус 1,2,4).

- Кафедра Б (корпус 2,3). Кожна з кафедр складається з:

- навчальних класів;

- лабораторій;

- викладацьких приміщень;

- кабінет зав. кафедри;

- приміщення кафедри.

Також на території факультету є комплекс електронно-навчальних ресурсів, що розміщується в корпусі 2. Він включає в себе:

- Бібліотека.

- Читальний зал.

Wi-Fi зона.

- Адміністрація факультету розміщується у корпусі 5:

- Декан.

- Деканат.

- Канцелярія.

- Технічний відділ.

Загальна площа приміщень:

- Корпус 1 - 274,3 м2.

- Корпус 2 - 677,6 м2.

- Корпус 3 - 576,6 м2.

- Корпус 4 - 720,7 м2.

1.2 Аналіз вимог до комп'ютерної мережі

Відповідно до ДСТУ та технічного завдання, поставленого у курсовому проекті комп'ютерна мережа для факультету повинна задовольняти наступні вимоги:

- Забезпечити для факультету вихід в Інтернет через 2 провайдерів телекомунікаційних послуг, здійснивши балансування мережевого трафіку на цих 2 каналах.

- Забезпечити в навчальних класах, лабораторіях та службових приміщеннях підключення стаціонарних ПК до локальної комп'ютерної мережі факультету. Організувати в приміщеннях розетки для включень в мережу. Для одного робочого місця площа - 6 м2 згідно ДСТУ.

- Забезпечити комунікацію вузлів в межах мережі. Організувати комутацію та маршрутизацію на активних пристроях обчислювальної мережі.

- Організувати безпровідну зону для підключення в межах комплексу навчально-електронних ресурсів. Забезпечити захист з'єднання, шифрування каналу WPA2 PSK.

- Використати комутатори 3 рівня моделі OSI, як активні мережеві пристрої для взаємодії між корпусами та організації маршрутизації.

- Використати апаратний брандмауер для підключення до провайдерів телекомунікаційних послуг.

- Організувати списки доступу для різних функціональних підрозділів факультету на брандмауері та інших пристроях, при необхідності.

- Організувати централізовану серверну зону 2 типів: обмеженого доступу та загального доступу. Дозволити до серверів обмеженого доступу доступ лише для локальної мережі факультету. Для серверів загального доступу організувати статичну трансляцію мережевих адрес, що забезпечить доступ до них з Інтернет.

- Забезпечити фільтрацію трафіку з Інтернет.

- Серверами публічного (загального доступу) є: DNS, SMTP, IMAP.

- Серверами обмеженого доступу є: FTP, HTTS, 1C: Бухгалтерія.

- Вибрати адресу мережі для проектування 10.107.0.0/16, та розробляти ІР адресну схему відповідно до неї.

- Використати технології передавання даних 802.3u (FastEthernet), 802.3ab (GigabitEthernet).

- Здійснити резервування каналів на магістральних каналах в локальній мережі.

- Пропускна здатність для робочих станців приміщень - 100 Мбіт/с.

1.3 Опис інформаційних ресурсів і служб

Служби загального доступу.

DNS (Domain Name System) - доменна система імен, розподілена система перетворення імені хоста (комп'ютера або іншого мережевого пристрою) в IP-адресу. Використовує порт 53.

Кожен комп'ютер в Інтернеті має свою власну унікальну адресу -- число, яке складається з чотирьох байтів. Оскільки запам'ятовування десятків чи навіть сотень -- не досить приємна процедура, то всі (чи майже всі) машини мають імена, запам'ятати які (особливо якщо знати правила утворення імен) значно легше.

Уся система імен в Інтернеті -- ієрархічна. Це зроблено для того, щоб не підтримувати одне централізоване джерело, а роздати владу на місця.

DNS володіє наступними характеристиками:

- Розподіленість адміністрування. Відповідальність за різні частини ієрархічної структури несуть різні люди або організації.

- Розподіленість зберігання інформації. Кожен вузол мережі в обов'язковому порядку повинен зберігати тільки ті дані, які входять в його зону відповідальності та (можливо) адреси кореневих DNS-серверів.

- Кешування інформації. Вузол може зберігати деяку кількість даних не зі своєї зони відповідальності для зменшення навантаження на мережу.

- Ієрархічна структура, в якій всі вузли об'єднані в дерево, і кожен вузол може або самостійно визначати роботу нижчестоящих вузлів, або делегувати (передавати) їх іншим вузлам.

- Резервування. За зберігання та обслуговування своїх вузлів (зон) відповідають (зазвичай) кілька серверів, розділені як фізично, так і логічно, що забезпечує збереження даних і продовження роботи навіть у разі збою одного з вузлів.

DNS важлива для роботи Інтернету, так як для з'єднання з вузлом необхідна інформація про його IP-адресу, а для людей простіше запам'ятовувати буквені (зазвичай осмислені) адреси, ніж послідовність цифр IP-адреси. У деяких випадках це дозволяє використовувати віртуальні сервери, наприклад, HTTP-сервери, розрізняючи їх по імені запиту. Спочатку перетворення між доменними та IP-адресами вироблялося з використанням спеціального текстового файлу hosts, який складався централізовано й автоматично розсилався на кожну з машин у своїй локальній мережі. З ростом Мережі виникла необхідність в ефективному, автоматизованому механізмі, яким і стала DNS.

Simple Mail Transfer Protocol (Простий Протокол Пересилання Пошти) -- це протокол, який використовується для пересилання електронної пошти до поштового сервера або з клієнта-комп'ютера, або між поштовими серверами. В IANA для SMTP зареєстрований порт 25. Формально SMTP визначений в RFC 821 (STD 10) та покращений RFC 1123 (STD 3) розділ 5. Протокол, який використовується зараз, також відомий як ESMTP і визначений в RFC 2821.

SMTP -- порівняно простий, текстовий протокол, в якому з'єднання відбувається завжди за ініціативи відправника. SMTP -- синхронний протокол і складається із серії команд, що посилаються клієнтом та відповідей сервера. Відправником зазвичай є поштовий клієнт кінцевого користувача або поштовий сервер. SMTP було розроблено як протокол транспортування і доставки, тому системи, що використовують SMTP, завжди повинні бути у робочому стані. Протокол часто використовується для передачі повідомлень клієнтами електронної пошти, які, проте, не мають можливості діяти як сервер.

IMAP (Internet Message Access Protocol) -- «Протокол доступу до інтернет-повідомлень») -- мережевий протокол прикладного рівня для доступу до електронної пошти.

Аналогічно POP3, служить для роботи з вхідними листами, однак забезпечує додаткові функції, зокрема, можливість пошуку за ключовим словом без збереження пошти в локальній пам'яті.

IMAP надає користувачеві великі можливості для роботи з поштовими скриньками, розташованими на центральному сервері. Поштовий клієнт, що використовує цей протокол, отримує доступ до сховища кореспонденції на сервер так, начебто ця кореспонденція розташована на комп'ютері одержувача. Електронними листами можна маніпулювати з комп'ютера користувача (клієнта) без постійного пересилання з сервера і назад файлів з повним змістом листів. Для відправки листів використовується протокол SMTP. Використовує порт 143.

Переваги в порівнянні з POP3.

IMAP був розроблений для заміни простішого протоколу POP3 і має такі переваги в порівнянні з останнім:

- Листи зберігаються на сервері, а не на машині клієнта. Можливий доступ до одної і тої ж поштової скриньки з різних клієнтів. Підтримується також одночасний доступ декількох клієнтів. У протоколі є механізми, за допомогою яких клієнт може бути проінформований про зміни, зроблені іншими клієнтами.

- Підтримка декількох поштових скриньок (або тек). Клієнт може створювати, вилучати і перейменовувати поштові скриньки на сервері, а також переміщати листи з одної поштової скриньки в інші.

- Можливе створення спільних папок, до яких можуть мати доступ декілька користувачів.

- Інформація про стан листів зберігається на сервері і доступна всім клієнтам. Листи можуть бути позначені як прочитані, важливі тощо

- Підтримка пошуку на сервері. Немає необхідності завантажувати з сервера безліч повідомлень для того, щоб знайти одне потрібне.

Служби обмеженого доступу.

FTP (File Transfer Protocol) - протокол передачі файлів, дає можливість абоненту обмінюватися двійковими і текстовими файлами з будь-яким комп'ютером мережі, що підтримує протокол FTP. Установивши зв'язок з віддаленим комп'ютером, користувач може скопіювати файл з віддаленого комп'ютера на свій, або скопіювати файл з свого комп'ютера на віддалений.

При розгляді FTP як сервісу Інтернет мають на увазі не просто протокол, а саме сервіс -- доступ до файлів, які знаходяться у файлових архівах.

FTP -- стандартна програма, яка працює за протоколом TCP, яка завжди поставляється з операційною системою. Її початкове призначення -- передача файлів між різними комп'ютерами, які працюють у мережах TCP/IP: на одному з комп'ютерів працює програма-сервер, на іншому -- програма-клієнт, запущена користувачем, яка з'єднується з сервером і передає або отримує файли через FTP-сервіс. Все це розглядається з припущенням, що користувач зареєстрований на сервері та використовує логін та пароль на цьому комп'ютері.

Не зважаючи на розповсюдженість, у FTP є багато недоліків. Програми-клієнти FTP не завжди зручні і прості у користуванні. Користувач не завжди може зрозуміти який файл перед ним, чи той що необхідно, чи ні. Окрім того, не існує простого і універсального засобу для пошуку на серверах anonymous FTP, -- хоча для цього і існує спеціальний сервіс archie, але це незалежна програма, вона не універсальна і не завжди її можна ефективно застосовувати. Програми FTP доволі старі і деякі їхні особливості, які були потрібні в часи їхнього створення, не зовсім зрозумілі і потрібні зараз. Наприклад, для передачі файлів існує два режими -- двійковий та текстовий, і, якщо користувач неправильно обрав режим передачі, то файл, який необхідно передати, може бути пошкодженим. Опис файлів на сервері видається у форматі операційної системи серверу, а список файлів операційної системи UNIX не завжди з розумінням сприймається користувачами DOS. Сервери FTP нецентралізовані, -- звідси випливають ще деякі проблеми.

HTTPS -- схема URI, що синтаксично ідентична http: схемі яка звичайно використовується для доступу до ресурсів Інтернет. Використання https:URL указує, що протокол HTTP має використовуватися, але з різним типовим портом (443) і додатковим шаром шифрування/автентифікації між HTTP і TCP. Ця схема була винайдена у компанії Netscape Communications Corporation для забезпечення автентифікації і шифрування комунікацій і широко використовується на Інтернет для чутливих для безпеки комунікацій як наприклад платіжні операції і корпоративні логіни.

Власне кажучи, HTTPS не окремий протокол, а комбінація нормальної взаємодії HTTP через SSL або TLS. Це гарантує помірний захист від підслуховування і від нападу «людина-посередині» (man-in-the-middle) (якщо це здійснюється належним чином і уповноважені на видачу сертифікатів верхнього рівня роблять свою роботу належним чином).

Типовим TCP портом HTTPS є 443 (для HTTP типове значення -- 80). Щоб підготовити веб-сервер для прийняття https транзакцій адміністратор повинен створити сертифікат з відкритим ключем для веб-сервера. Ці сертифікати можуть бути створені на UNIX сервері такими програмами, як наприклад OpenSSL ssl-ca. Цей сертифікат повинен бути підписаним уповноваженим на видачу сертифікатів (certificate authority) який засвідчує, що утримувач сертифікату -- той самій, що стверджується у сертифікаті. Браузери розповсюджуються з сертифікатами уповноважених на видачу сертифікатів верхнього рівня, таким чином браузери можуть перевірити сертифікати підписані ними.

Організації можуть також мати їх власні уповноважені на видачу сертифікатів, особливо якщо вони відповідальні за конфігурацію браузерів, що мають доступ до їх власних сайтів (наприклад, сайти на внутрішній мережі компанії), оскільки вони можуть тривіально додати свого власного сертифіката до браузера.

Деякі сайти використовують самостійно підписані сертифікати. Їх використання забезпечує захист проти підслуховування але є ризик нападу «людина-посередині». Для запобігання нападу необхідна перевірка сертифікату деяким іншим методом (наприклад подзвонити власнику сертифіката задля перевірки контрольної суми сертифіката).

1.4 Адміністрування комп'ютерної мережі

Для ефективного управління обчислювальної мережі необхідно, щоб адміністратор міг мобільно, швидко, віддалено мати доступ до активних мережевих пристроїв. Щоб у разі поломки чи відмові у роботі відновити її належне функціонування. Віддалений доступ до обчислювальних ресурсів забезпечують такі протоколи як Telnet та SSH. Здійснювати керування мережею дозволяє також протокол SNMP.

Telnet (англ. TErminaL NETwork)-- мережевий протокол для реалізації текстового інтерфейсу по мережі (у сучасній формі -- за допомогою транспорту TCP). Назву «telnet» мають також деякі утиліти, що реалізують клієнтську частину протоколу.

Secure Shell, SSH -- мережевий протокол, що дозволяє проводити віддалене управління комп'ютером і передачу файлів. Схожий за функціональністю з протоколом Telnet і rlogin, проте використовує алгоритми шифрування інформації, що передається.

Криптографічний захист протоколу SSH не фіксований, можливий вибір різних алгоритмів шифрування. Клієнти і сервери, що підтримують цей протокол, доступні для різних платформ. Крім того, протокол дозволяє не тільки використовувати безпечний віддалений shell на машині, але і туннелювати графічний інтерфейс -- X Tunnelling ( тільки для Unix-подібних ОС або застосунків, що використовують графічний інтерфейс X Window System). Так само ssh здатний передавати через безпечний канал (Port Forwarding) будь-який інший мережевий протокол, забезпечуючи (при належній конфігурації) можливість безпечної пересилки не тільки X-інтерфейсу, але і, наприклад, звуку.

Підтримка SSH реалізована у всіх UNIX системах, і на більшості з них в числі стандартних утиліт присутні клієнт і сервер ssh. Існує безліч реалізацій SSH-клієнтів і для не-UNIX ОС. Велику популярність протокол отримав після широкого розвитку сніферів, як альтернативне небезпечному телнету рішення для управління важливими вузлами.

SNMP (англ. Simple Network Management Protocol -- простий протокол керування мережею) -- це протокол керування мережами зв'язку на основі архітектури TCP/IP.

На основі концепції TMN в 1980--1990 р. різними органами стандартизації був вироблений ряд протоколів керування мережами передачі даних з різним спектром реалізації функцій TMN. До одного з типів таких протоколів керування відноситься Simple Network Management Protocol

(SNMP).

SNMP -- це технологія, покликана забезпечити керування й контроль за пристроями й застосунками в мережі зв'язку шляхом обміну керуючою інформацією між агентами, що розташовуються на мережних пристроях, і менеджерами, розташованими на станціях керування. SNMP визначає мережу як сукупність мережних керуючих станцій й елементів мережі (головні машини, шлюзи й маршрутизатори, термінальні сервери), які спільно забезпечують адміністративні зв'язки між мережними керуючими станціями й мережними агентами. SNMP різних версій присвячений цілий ряд рекомендацій проблемної групи проектування Internet (RFC).

1.5 Вимоги безпеки

Безпека даних - це захист ресурсів мережі від руйнування та захист даних від випадкового чи навмисного розголошення, а також від не правочинних змін.

У сучасних системах захист даних реалізується на багатьох рівнях:

- вбудовані ЗЗ - програмно-системні (паролі, права доступу та ін.);

- фізичні засоби захисту - охорона, сигналізація тощо;

- адміністративний контроль - організаційні заходи, накази адміністрації;

- законодавство та соціальне оточення - соціальний клімат колективу, нетерпимість до несанкціонованого використання чужої інформації.

Безпека даних забезпечується за допомогою таких дій:

- профілактика; мінімізація ймовірності настання небажаних подій; унеможливлення несанкціонованого доступу; профілактика апаратури;

- якщо небажана подія сталася, система повинна бути побудована так, щоб мінімізувати шкоду, якої ця подія може завдати;

- створення процедур архівації та поновлення інформації у випадку її втрати.

Списки доступу.

Access Control List або ACL - список контролю доступу, який визначає, хто або що може отримувати доступ до конкретного об'єкта, і які саме операції дозволено або заборонено цьому суб'єкту проводити над об'єктом. Списки контролю доступу є основою систем з виборчим управлінням доступом.

У мережах ACL представляють список правил, що визначають порти служб або імена доменів, доступних на вузлі або іншому пристрої третього рівня OSI, кожен зі списком вузлів і / або мереж, яким дозволений доступ до сервісу. Мережеві ACL можуть бути налаштовані як на звичайному сервері, так і на маршрутизаторі і можуть керувати як входять, так і вихідний трафік, в якості міжмережевого екрану.

2. Техніко-економічне обґрунтування

2.1 Обґрунтування фізичної топології комп'ютерної мережі

Спосіб об'єднання комп'ютерів між собою в мережі називають топологією.

Топологія - це фізичне розташування комп'ютерів, кабелів та інших мережевих компонентів. Розрізняють три найбільш розповсюджені мережні топології, що використовуються і для однорангових мереж, і для мереж з виділеним файл-сервером. Це так звані шинна, кільцева і зіркоподібна структури.

Топологія визначає ряд вимог:

- використання конкретного типу кабеля;

- спосіб прокладання кабелю;

- способи та методи взаємодії комп'ютерів.

Базові топології - це три топології, що мають суттєві відмінності між собою (кільце, загальна шина, зірка).

Топологія шина Основними перевагами такої схеми є дешевизна й простота розводки кабелю приміщеннями, можливість майже миттєвого широкомовного звертання до всіх станцій мережі. Головний недолік спільної шини полягає в її низькій надійності: будь-який дефект кабелю чи якого-небудь із численних роз'ємів повністю паралізує всю мережу. Іншим недоліком спільної шини є її невисока продуктивність, так як при такому способі з'єднання в кожний момент часу тільки один комп'ютер може передавати дані в мережу. Тому пропускна здатність каналу зв'язку завжди поділяється тут між усіма станціями мережі.

Утворюється при об'єднанні декількох сегментів мережі, кожен з яких організовано за топологією «Зірка». Міжсегментний зв'язок здійснюється з використанням концентраторів, мостів та комутаторів. Один з пристроїв є центральним.

Для побудови нашої мережі було обрано топологію розширена зірка, в якій кожен вузол, що виходить з центрального є центром іншої зірки. Вибрана топологія є найбільш оптимальною та поширеною для побудови великих комп'ютерних мереж.

2.2 Укрупнений розрахунок варіантів технічних засобів телекомунікацій

Згідно вимог до обчислювальної мережі потрібно вибрати обладнання типів:

- Комутатор 3 рівня моделі OSI, 24 х 100 Мбіт/с, 2 x 1000 Мбіт/с.

- Комутатор 2 рівня моделі OSI, 24 х 100 Мбіт/с.

- Firewall,4 порти.

- Безпровідна точка доступу.

Dlink та Cisco - два найвідоміші у світі виробники мережевого обладнання. Обидві компанії пропонують ряд обладнання, яке можна вибрати, виходячи з вимог поставлених для даної комп'ютерної мережі. Нижче представлено порівняльні характеристики мережевий пристроїв.

Для проектування комп'ютерної мережі вибрано комутатор 3 рівня Cisco Catalyst 3560-24TS.

Для проектування комп'ютерної мережі вибрано комутатор 2 рівня Cisco Catalyst 2960-24TC-L.

Для проектування комп'ютерної мережі вибрано апаратний брандмауер Cisco ASA 5510.

Для проектування комп'ютерної мережі вибрано безпровідну точку доступу Cisco Linksys WAP54G.

2.3 Структура комп'ютерної мережі

Основними логічними частинами нашої мережі є:

- мережа для комп'ютерів, які знаходяться в 4 корпусі (кафедра А);

- мережа для комп'ютерів, які знаходяться в 2 корпусі (кафедра Б);

- мережа для комп'ютерів, які знаходяться в 3 корпусі (електронно-навчальні ресурси);

- мережа для комп'ютерів, які знаходяться в 1 корпусі (адміністративний підрозділ);

- мережа для серверів публічного доступу;

- мережа для серверів загально доступу.

Також всі ці 6 основних компонентів локальної мережі повинні мати доступ до мережі інтернет, який буде захищений між мережевим екраном для захисту від атак ззовні мережі.

3. Технічний проект

3.1 Вибір активного мережевого обладнання

Згідно вимог до мережі, ДСТУ та плану приміщення (і розміщеної на ньому фізичної топології) для функціонування обчислювальної мережі, що проектується потрібно забезпечити таке мережеве обладнання для корпусів

Корпус перший:

- 1 комутатор 3 рівня, 24 порта Х 100 Мбіт/c, 2 порта х 1000 Мбіт/c.

- 5 комутаторів 2 рівня для 101-108 приміщень відповідно; 8 портів х 100 Мбіт/c та 2 комутатори 12 портів х 100 Мбіт/c.

Корпус другий:

- 1 комутатор 3 рівня, 24 порта х 100 Мбіт/c, 2 порта х 1000 Мбіт/c.

- 5 комутаторів 2 рівня для приміщень 20; 8 портів Х 100 Мбіт/c.

- Безпровідна точка доступу для читального залу.

- 2 комутатори 2 рівня для приміщень 20 Корпус третій:

- 1 комутатор 3 рівня, 24 порта х 100 Мбіт/c, 2 порта х 1000 Мбіт/c.

- 1 комутатор 2 рівня для приміщення 301; 24 порта х 100 Мбіт/c.

Корпус четвертий:

- 1 комутатор 3 рівня, 24 порта х 100 Мбіт/c, 2 порта х 1000 Мбіт/c.

- 1 комутатор 2 рівня для приміщень кафедри А; 8 портів х 100 Мбіт/c.

- 1 міжмережевий екран на 4 порти.

- 1 комутатор для серверів загального доступу; 8 портів х 100 Мбіт/c.

В таблиці 3.1 представлено список активного мережевого обладнання, його опис та характеристики.

Таблиця 3.1 - Активне мережеве обладнання комп'ютерної мережі

Назва пристрою	Опис	Модель	Кількість портів	Порти
IDF1	L3 комутатор 1	Cisco Catalyst	24 х 100 Мбіт/c	Fa 0/ 1 - 24
	корпусу	3560-24TS	2 х 1 Гбіт/c	Gi 1/ 1	- 2
SW_101	Комутатор	Cisco Catalyst	8 х 100 Мбіт/c	Fa 0/ 1	- 8
	аудиторія 101	2960-8TC-L	1 х 1 Гбіт/c	Gi 1/	1
SW_102	Комутатор	Cisco Catalyst	8 х 100 Мбіт/c	Fa 0/ 1	- 8
	аудиторія 102	2960-8TC-L	1 х 1 Гбіт/c	Gi 1/	1
SW_103	Комутатор	Cisco Catalyst	8 х 100 Мбіт/c	Fa 0/ 1	- 8
	аудиторія 103	2960-8TC-L	1 х 1 Гбіт/c	Gi 1/	1
SW_104	Комутатор	Cisco Catalyst	8 х 100 Мбіт/c	Fa 0/ 1	- 8
	кафедра В104	2960-8TC-L	1 х 1 Гбіт/c	Gi 1/	1
SW_105	Комутатор	Cisco Catalyst	8 х 100 Мбіт/c	Fa 0/ 1	- 8
	кафедра С 105	2960-8TC-L	1 х 1 Гбіт/c	Gi 1/	1
IDF2	L3 комутатор 2	Cisco Catalyst	24 х 100 Мбіт/c	Fa 0/ 1 - 24
	корпусу	3560-24TS	2 х 1 Гбіт/c	Gi 1/ 1	- 2
SW_201	Комутатор	Cisco Catalyst	12 х 100 Мбіт/c	Fa 0/ 1	- 12
	лабораторія 201	2950-12
SW_202	Комутатор	Cisco Catalyst	8 х 100 Мбіт/c	Fa 0/ 1	- 8
	бібліотека 202	2960-8TC-L	1 х 1 Гбіт/c	Gi 1/	1
SW_203	Комутатор	Cisco Catalyst	8 х 100 Мбіт/c	Fa 0/ 1	- 8
	читальний зал 203	2960-8TC-L	1 х 1 Гбіт/c	Gi 1/	1

3.2 Розрахунок логічної адресації

Відповідно до функціональності підрозділів факультету, розподілу на кафедри, наявності в кафедрах ієрархічної організації персоналу, а також з цілями безпеки, логічну мережу 10.107.0.0/16 сегментовано на функціональні блоки під мереж мережу 10.107.1.0/18, 10.107.2.0/18, 10.107.3.0/18, 10.107.1.0/18 відповідно до корпусів факультету. Ці блоки включать в себе ряд під мереж. Також сегментовано і додаткові та службові підмережі.

3.3 Комутація

Налаштування комутаторів.

Базове налаштування комутатора повинне включати:

- задання ім'я пристрою;

- налаштування годинника;

- включення логів;

- налаштування бази даних користувачів комутатора з відповідними правами та паролями;

- налаштування паролю на конфігураційний режим;

- налаштування доступу по віртуальних лініях зв'язку;

- налаштування доступу по фізичних (консольна) лініях зв'язку;

- вимикання служби пошуку слів як доменного імені (опційно);

- налаштування баннерів: баннера дня, та гостьового баннера;

- включення криптування паролів в конфігураційному файлі на флеші;

- початкове закриття всіх комунікаційних інтерфейсів;

- налаштування безпеки:

а) налаштування безпеки портів, б) налаштування безпеки паролів, сесій, в) відключення служби Telnet та включення SSH;

На прикладі комутатора MDF показано, як здійснюється базове налаштування комутатора. Аналогічно можна здійснити таке ж налаштування і на всіх інших комутаторах мережі, змінюючи лише параметри команд (імена, паролі і т.д.). Нижче представлено набір команд (поч. режим: #).

Базові налаштування комутатора:

enable

!

terminal history terminal history size 10

!

clock set 01:59:00 18 December 2012

!

conf ter

!

hostname MDF

!

logging on

logging buffered 32000

service timestamps log datetime msec

!

username Igor_Admin password pass

!

enable secret pass

!

line console 0 password pass login

logg syn exit

!

line vty 0 15 login local logg syn

transport input ssh exec-timeout 3

exit

!

no ip domain-lookup

!

banner motd #MOTD BANNER#

!

banner login #Warning! Authorized persons only#

service password-encryption

!

int range fa 0/1 - 24 shutdown

exit !Налаштування SSH

!!!!!!!!!!!!!!!!!

ip domain-name facultet-X.net

!

ip ssh version 2

!

crypto key generate rsa

!

ip ssh time-out 15

!

ip ssh authentcation-retries 2

!

exit

!

copy run start

Налаштування VLAN

Оскільки в якості магістральних активних мережевих пристроїв 3 рівня використовуються Layer 3 комутатори, то доцільно організувати свою мережу не на маршрутизації реальних під мереж, а на комутації третього рівня віртуальних локальних під мереж (VLAN). В додатку А представлено список усіх VLAN та їх імен відповідно до розробленої ІР-адресної схеми.

На IDF1 (та усіх комутаторах 2 рівня, що підключені до нього) повинні бути створені такі VLAN:

201-207, 500, 599.

IDF2:

301-311, 500, 599.

IDF3:

401-415, 500, 599.

MDF:101-105, 500, 599.

Для того, аби на кожного комутаторі не налаштовувати окремо цілий список VLAN (створюючи їх, на називаючи), можна використати протокол VLAN Trunking Protocol (VTP). Потрібно створити для кожного комутатора 3 рівня окремий VTP домен, призначити кожен комутатор 3 рівня VTP сервером, а всі інші комутатори (2 рівня) - VTP клієнтами. Тоді комутатори 2 рівня отримають інформацію про VLAN'и від своїх відповідних комутаторів 3 рівня. Нижче представлено список команд організації VTP на прикладі комутатора 3 рівня IDF1 та підключеного до нього комутатора SW_101.

На IDF1.

Базові налаштування VTP:

enable

!

conf ter

!

vtp prunning vtp mode server vtp domain IDF1 vtp version 2

!vtp password vtp_password

!

На коммутаторах 2 рівня 1 корпусу (відносяться до IDF1)/

Налаштування VTP в режимі кліент:

enable

!

conf ter

!

vtp prunning vtp mode client vtp domain IDF1 vtp version 2

!

vtp password vtp_password

!

Тепер слід на комутаторах 3 рівня налаштувати відповідні їм VLAN.

Налаштування VLAN на IDF1:

vlan 101

name Class101 exit

!

vlan 102

name Class102 exit

!

vlan 103

name Lab103 exit

!

vlan 104

name DepartA104

exit

!

vlan 105

name TeachersB

exit

!

vlan 106

name HeadC

exit

!

vlan 107

name HeadB

exit

!

vlan 108

name TeachersB

exit

!

vlan 109

name EngineerA exit

!

vlan 111

name TeachersA-1 exit

!

vlan 500

name InterL3Switch exit

!

vlan 599

name NativeVlan exit

!

Налаштування VLAN на IDF2:

vlan 201

name Class201 exit

!

vlan 202

name Class202 exit

!

vlan 203

name Class203 exit

!

vlan 204

name Lab204 exit

!

vlan 205

name Class205 exit

!

vlan 206

name Class206 exit

!

vlan 207

name EngineerB exit

!

vlan 222

name TeachersB exit

!

vlan 500

name InterL3Switch exit

!

vlan 599

name NativeVlan exit

!

Налаштування VLAN на IDF3:

vlan 310

name WiFi exit

!

vlan 301

name Class301 exit

!

vlan 302

name Lab302 exit

!

vlan 113

name TeachersA-3 exit

!

vlan 304

name Library exit

!

vlan 306

name ReadHole exit

!

vlan 500

name InterL3Switch exit

!

vlan 599

name NativeVlan exit

!

Налаштування VLAN на MDF:

vlan 401

name Medical exit

!

vlan 402

name Decanat exit

!

vlan 403

name Decane exit

!

vlan 404

name Account exit

!

vlan 405

name ZamDecane exit

!

vlan 406

name Office

exit

!

vlan 407

name Education exit

!

vlan 408

name DepartB exit

!

vlan 409

name HeadB exit

!

vlan 410

name DepartA exit

!

vlan 411

name HeadA exit

!

vlan 412

name Administrative exit

!

vlan 413

name Technical exit

!

vlan 114

name TeachersA-4 exit

!

vlan 550

name PrivServ exit

!

vlan 500

name InterL3Switch exit

!

vlan 599

name NativeVlan exit

!

Тепер потрібно налаштувати IP адреси на SVI тих VLAN, які є на комутаторах 3 рівня для того, щоб кінцеві вузли змогли коректно комунікуватись з ними, як з шлюзами за замовчуванням.

Налаштуванням ІР адресів інтерфейсів VLAN на MDF:

int vlan 114

ip ad 10.3.1.82

255.255.255.248 exit

!

int vlan 401

ip ad 10.3.4.46

255.255.255.252 exit

!

int vlan 402

ip ad 10.3.4.14

255.255.255.248 exit

!

int vlan 403

ip ad 10.3.4.2

255.255.255.252 exit

!

int vlan 404

ip ad 10.3.4.18

255.255.255.252 exit

!

int vlan 405

ip ad 10.3.4.6

255.255.255.252 exit

!

int vlan 406

ip ad 10.3.4.22

255.255.255.252 exit

!

int vlan 407

ip ad 10.3.4.42

255.255.255.252 exit

!

int vlan 408

ip ad 10.3.4.142

255.255.255.248 exit

!

int vlan 409

ip ad 10.3.4.146

255.255.255.252 exit

!

int vlan 410

ip ad 10.3.4.198

255.255.255.252 exit

!

int vlan 411

ip ad 10.3.4.202

255.255.255.252 exit

!

int vlan 412

ip ad 10.3.4.38

255.255.255.248 exit

!

int vlan 413

ip ad 10.3.4.30

255.255.255.248 exit

!

int vlan 550

ip ad 10.3.254.6

255.255.255.248 exit

!

int vlan 500

ip ad 10.3.10.131

255.255.255.128 exit

Тепер слід налаштувати інтерфейси комутаторів 3 рівня для того, щоб нормально функціонували VLAN'и.

Ті інтерфейси, вузли до яких будуть підключатись напряму, слід занести в режим access, а ті інтерфейси, які використовуються як підключення до інших комутаторів (2 рівня), слід позначити як trunk. Також на access портах слід налаштувати безпеку портів, щоб лише 1 пристрій міг підключатися на порт.

Налаштування інтерфейсів комутаторів на MDF:

int range fa 0/2-11, fa0/13-17, fa0/22-24 no shutdown

switchport mode access switchport port-security

switchport port-security maximum 10 switchport port-security mac-address sticky switchport port-security violation shutdown exit

!

int fa 0/2

description Office406_1 switchport access vlan 406 exit

!

int fa 0/3

description Account404_1 switchport access vlan 404 exit

!

int fa 0/4

description Medical401_1 switchport access vlan 401 exit

!

int fa 0/5

description Decanat402_1 switchport access vlan 402 exit

!

int fa 0/6

description Decanat402_2 switchport access vlan 402 exit

!

int fa 0/7

description Decanat403_1 switchport access vlan 403 exit

!

int fa 0/8

description ZamDecane408_1 switchport access vlan 408 exit

!

int fa 0/9

description Education407_1 switchport access vlan 407 exit

!

int fa 0/10

description DepartB408_1 switchport access vlan 408 exit

!

int fa 0/11

description DepartB408_2 switchport access vlan 408 exit

!

int fa 0/13

description Technical413_1 switchport access vlan 413 exit

!

int fa 0/14

description Technical413_2 switchport access vlan 413 exit

!

int fa 0/15

description HeadB409_1 switchport access vlan 409 exit

!

int fa 0/16

description Administrative412_1 switchport access vlan 412

exit

!

int fa 0/17

description Administrative412_2 switchport access vlan 412

exit

!

int fa 0/22

description PrivServ_1C switchport access vlan 550 exit

!

int fa 0/23

description PrivServ_HTTPS switchport access vlan 550 exit

!

int fa 0/24

description PrivServ_FTP switchport access vlan 550 exit

!

int range gi 0/1 -2 description Layer 3 links switchport mode access switchport access vlan 500 no sh

exit

!

int fa 0/12

switchport mode trunk

switchport trunk native vlan 599 no sh

exit

!

Відповідно, також потрібно аналогічним чином налаштувати комутатори 2 рівня на призначення VLAN для їх інтерфейсів. В додатку Б представлені конфігурації комутаторів.

Організація протоколу резервування з'єднань.

Spanning Tree Protocol - протокол для уникнення петель, що працює на 2 рівні моделі OSI. В Топологіях типу зірка та розширена зірка, де дістатись до третього комутатора заданий може не одним, а двома або й більше шляхами, такий протокол є дуже ефективний, так як налаштовує канали таким чином, що лише один з них буде служити як дієвий на шляху до певного комутатора, а інші (альтернативні), будуть залишатись в стані блокованості доти, поки основний не впаде, тобто будуть резервними.

Отже, STP - це протокол резервування.

Необхідно на комутаторах 3 рівня задати такі параметри для STP, щоб отримати топологію резервування.

Налаштування STP на MDF:

spanning-tree mode rapid-pvst spanning-tree vlan 500 priority 8192

Налаштування STP на IDF1:

spanning-tree mode rapid-pvst spanning-tree vlan 500 priority 12288

Налаштування STP на IDF2:

spanning-tree mode rapid-pvst spanning-tree vlan 500 priority 12288

Налаштування STP на IDF3:

spanning-tree mode rapid-pvst spanning-tree vlan 500 priority 24576

int gi 0/1

spanning-tree vlan 500 port-priority 160 exit

!

int gi 0/2

spanning-tree vlan 500 port-priority 32 exit

!

3.4 Організація безпровідного доступу

Для організації безпровідного доступу в корпусі 3, для електронно навчальних ресурсів необхідно:

- Налаштувати DHCP Server на IDF3 в діапазоні 10.107.3.0 /26.

ip dhcp excluded-address 10.107.3.61 10.107.3.62

!

ip dhcp pool ReadHoleAP

network 10.107.3.0 255.255.255.192 default-router 10.107.3.62

!

- Налаштувати точку доступу:

а) вказати SSID “ReadHoleAP”;

б) вибрати тип шифрування WPA2 PSK, встановити ключ.; в) виключити трансляцію SSID в середовище;

г) встановити канал передачі: 6;

д) налаштувати MAC-фільтрацію (опційно);

е) налаштувати IP управління точкою доступу в 10.1.3.61.

3.5 Маршрутизація

Міжмережева взаємодія.

В якості протоколу маршрутизації для VLAN'ів використаємо протокол-власність Cisco - EIGRP.

Налаштування EIGRP на комутаторі MDF:

router eigrp 10

network 10.3.4.0 0.0.0.255 network 10.3.1.200 0.0.0.3 network 10.3.1.192 0.0.0.7

network 10.3.1.176 0.0.0.7 network 10.3.254.0 0.0.0.7 network 10.3.2.128 0.0.0.7 network 10.3.2.144 0.0.0.3 network 10.3.10.0 0.0.0.3 network 10.3.10.128

0.0.0.127 no auto-summary

exit

Налаштування EIGRP на комутаторі IDF1:

router eigrp 10

network 10.3.1.0 0.0.0.31 network 10.3.1.64 0.0.0.63 network 10.3.1.128 0.0.0.31 network 10.3.2.160 0.0.0.7 network 10.3.1.184 0.0.0.7 network 10.3.10.128

0.0.0.127 no auto-summary

exit

!

Налаштування EIGRP на комутаторі IDF2:

router eigrp 10

network 10.3.2.0 0.0.0.63 network 10.3.2.64 0.0.0.31 network 10.3.2.112 0.0.0.15 network 10.3.2.148 0.0.0.3 network 10.3.10.128

0.0.0.127 no auto-summary

exit

!

Лістинг 3.13 - Налаштування EIGRP на комутаторі IDF3

router eigrp 10

network 10.3.3.0 0.0.0.255 network 10.3.1.32 0.0.0.31 network 10.3.2.96 0.0.0.15 network 10.3.1.168 0.0.0.7 network 10.3.10.128

0.0.0.127 no auto-summary

exit

Маршрут за замовчуванням.

На комутаторі MDF налаштовую маршрут за замовчуванням, який буде розсилатись протоколом EIGRP на інші комутатори 3 рівня:

ip route 0.0.0.0 0.0.0.0 fa0/1 10.1.20.2

Також, крім цього, налаштовую порт fa 0/1 комутатора MDF - як порт маршрутизатора, для цього відключаю режим порта комутатора, і встановлюю IP адрес на інтерфейс fa 0/1

int fa 0/1

no switchport

ip address 10.1.10.1 255.255.255.252

description Port_To_Firewall

no shutdown

exit

3.6 Організація доступу до Інтернет

Технологія доступу до Інтернет.

Для безпечної, надійної та ефективної взаємодії локальної обчислювальної мережі та Інтернет, необхідно налаштувати списки доступу.

(Access Control Lists) та трансляцію мережевий адрес (Network Address Translation) на між мережевому екрані “Firewall”.

NAT.

Публічні сервери повинні використовувати статичний NAT, а весь діапазон 10.107.0.0 /16 - NAT Overload через IP 188.120.209.61 інтерфейсу

Ethernet 2 на між мережевому екрані.

ip nat inside source static 10.0.0.2 188.120.209.62 ip nat inside source static 10.0.0.3 188.120.209.63 ip nat inside source static 10.0.0.4 188.120.209.64

!

access-list 1 permit 10.3.0.0 0.0.255.255

ip nat inside source list 1 interface ethernet 2 overload

!

interface ethernet 4 ip nat inside exit

!

interface ethernet 2 ip nat outside exit

!

ACL.

Оскільки публічні сервери доступні з Інтернету, зловмисник може проникнути на них, і звідти вже пробратись в локальну мережу, і NAT уже не стане в пригоді. Також стандартні ACL та розширені ACL на MDF та Firewall не допоможуть, якщо ми схочемо заблокувати доступ до серверів, тому що він буде заблокований в обидві сторони. Тому слід організувати рефлективні ACL для того, аби для будь-якої взаємодії з публічним сервером ініціатором був не сервер. Нижче представлено налаштування Firewall для рефлективних

ACL.

Налаштування правил фільтрації:

ip access-list extended OUTFILTER

permit tcp 10.3.0.0 0.0.255.255 any reflect TCPTRAFFIC permit icmp 10.3.0.0 0.0.255.255 any reflect ICMPTRAFFIC exit

!

ip access-list extended INFILTER evaluate TCPTRAFFIC evaluate ICMPTRAFFIC

exit

!

interface ethernet 3

ip access-group INFILTER in ip access-group OUTFILTER out exit

!

Апаратні засоби доступу до Інтернет.

Для забезпечення доступу до Інтернет, використовуючи 2 інтернет сервіс провайдери, використовувався такий граничний пристрій, як між мережевий екран Cisco ASA 5510.

Cisco ASA (Adaptive Security Appliance) - серія апаратних міжмережевих екранів, розроблених компанією Cisco Systems.

Є спадкоємцем наступних лінійок пристроїв:

- Міжмережевих екранів Cisco PIX.

- Систем виявлення вторгнень Cisco IPS 4200.

- VPN-концентраторів Cisco VPN 3000.

Так само як і PIX, ASA засновані на процесорах x86. Починаючи з версії 7,0 PIX і ASA використовують однакові образи операційної системи (але функціональність залежить від того, на якому пристрої вона запущена).

Функціональність залежить від типу ліцензії, який визначається введеним серійним номером.

Інтерфейс командного рядка нагадує (але не повторює) інтерфейс Cisco IOS. Управляти пристроєм можна через Telnet, SSH, веб-інтерфейс або за допомогою програми Cisco Security Manager.

На між мережевому екрані Firewall налаштовуємо маршрутизацію відповідно до лістингу конфігураційного файла налаштувань.

Налаштування маршрутизації на мережевому екрані:

route ouside 10.3.0.0 255.255.0.0 ethernet 4 10.1.10.1

route outside 0.0.0.0 0.0.0.0 92.63.102.192

route outside 0.0.0.0 0.0.0.0 188.120.209.65

Висновок

доменний мережевий комутатор топологія

Основною метою даної курсової роботи було проектування комп'ютерної мережі для одного з факультетів вищого навчального закладу.

При проектуванні даної мережі були поставлені і успішно вирішені задачі вибору мережної архітектури, конфігурації мережного устаткування, розглянуті питання управління мережними ресурсами і користувачами мережі, питання безпеки мережі, також було проведено укрупнений розрахунок основного обладнання для мережі.

Також було організовано доступ до мережі Internet.

Дана мережа має велике значення для факультету вищого навчального закладу, для якого вона розроблялась. Внаслідок забезпечення безперебійного зв'язку між робочими станціями в мережі вона підвищить продуктивність праці внаслідок спрощення обміну інформацією між працівниками різних відділів, а також між навчальними класами та лабораторіями, викладацькими та інженерними приміщеннями.

Література

1. Планирование и поддержка сетевой инфраструктуры. Учебный курс MSCE / Пер. с англ. М.: Издательско-торговий дом «Русская Редакция», 2005.

2. Методичне забезпечення з предмету «Комп'ютерні мережі».

3. Галушин С.Я. Сети ЭВМ и их защита. - Санкт-Перербург, 2000.

4. Вишневський В.М. Теоретичні основи проектування комп'ютерних мереж. Навчальний посібник. - Техносфера, 2004.

5. Буров Є.М. Комп'ютерні мережі. Вид. Львів: БаК, 2003. - 584с.

Размещено на Allbest.ru

...