Проектирование корпоративной сети

Размещено на http://www.allbest.ru/

Введение

В курсовой работе необходимо произвести расчет корпоративной сети. Проектируемая сеть основывается на иерархической модели, где на уровне ядра располагаются центральные офисы организации, составляющие соответственно ядро глобальной сети с выходом в Интернет. К каждому центральному офису организации с помощью поставщика телекоммуникационных услуг (провайдера) подключаются региональные подразделения (уровень доступа). В соответствии с разработанной архитектурой корпоративной сети необходимо разработать схему IP-адресации.

Также необходимо выбрать технологии уровня ядра, уровня доступа, технологию, связывающую эти уровни и технологию, реализующую выход в Интернет.

В соответствии с архитектурой сети, функциональным назначением узлов сети и технологией передачи данных необходимо выбрать активное оборудование и произвести его настройку.

Также в курсовой работе необходимо выбрать серверы и произвести расчет общей стоимости сети.

1. Общие принципы проектирования компьютерных сетей

Проектирование компьютерных сетей является сложной задачей. Для облегчения решения эту задачу принято разбивать на части. В соответствии с предложенным фирмой Cisco Systems подходом, компьютерные сети удобно представлять в виде трехуровневой иерархической модели.

Эта модель включает в себя следующие три уровня иерархии:

- уровень ядра;

- уровень распределения;

- уровень доступа.

Уровень ядра отвечает за высокоскоростную передачу сетевого трафика и скоростную коммутацию пакетов. В соответствии с указанными принципами на устройствах уровня ядра запрещается вводить различные технологии, понижающие скорость коммутации пакетов, например, списки доступа или маршрутизация по правилам.

На уровне распределения происходит суммирование маршрутов и агрегация трафика. Под суммированием маршрутов понимается представление нескольких сетей в виде большой одной сети с короткой маской. Такое суммирование позволяет уменьшить таблицу маршрутизации в устройствах уровня ядра, а также изолировать изменения, которые происходят внутри большой сети.

Уровень доступа предназначен для формирования сетевого трафика и контроля за доступом к сети. Маршрутизаторы уровня доступа служат для подключения отдельных пользователей (серверы доступа) или отдельных локальных сетей к глобальной вычислительной сети.

При проектировании компьютерной сети необходимо выполнить два противоречивых требования:

- структурированность;

- избыточность.

Первое требование подразумевает, что сеть должна иметь определенную иерархическую структуру. Прежде всего, это относится к схеме адресации, которая должна быть разработана таким образом, чтобы можно было проводить суммирование подсетей. Это позволит уменьшить таблицу маршрутизации и скрыть от маршрутизаторов более высоких уровней изменения в топологии.

Под избыточностью понимается создание резервных маршрутов. Избыточность повышает надежность сети. В то же время, она создает сложность для адресации и увеличивает трудоемкость администрирования сети. В курсовой работе избыточность сети была на уровне доступа обеспечена добавлением резервных связей между коммутаторами зданий. Избыточность на уровне ядра обеспечивается провайдером.

2. Обоснование выбора топологии сети и технологий

Выбрана смешанная топология, в которую входят следующие топологии:

- «иерархическая звезда»;

- кольцо;

- «каждый с каждым».

Схема сети приведена в приложении на листе 1. Подробная схема уровня ядра и уровня доступа первого региона приведены в приложении на листах 2 и 3.

Корпоративная сеть основывается на двухуровневой иерархической модели (верхний уровень - ядро (core), нижний - уровень доступа (access)).

Для нашей сети мы арендуем VPN сеть на базе Frame Relay у провайдера ЗАО "Транстелеком". Маршрутизаторы ядра присоединяются к провайдеру по Gigabit Ethernet через выделенную оптическую линию. Маршрутизаторы кампусов соединяются с провайдером по технологии VDSL.

На уровне ядра располагаются три центральных офиса организации, расположенные в разных городах. Они составляют три узла ядра глобальной сети. Центральные маршрутизаторы узлов A, B, C соединены между собой (каждый - с каждым) по технологии MPLS VPN на канальном уровне и Ethernet на физическом, образуя кольцевое ядро сети. К узловым маршрутизаторам через коммутаторы демилитаризованной зоны подключены маршрутизаторы Х с использованием технологии Gigabit Ethernet. Коммутаторы внешних серверов (FTP, mail и web) образует демилитаризованную зону, через которую осуществляется выход в Интернет. К узловому маршрутизатору С через коммутатор подключены корпоративные серверы с использованием технологии Gigabit Ethernet.

К каждому узловому маршрутизатору подключаются региональные подразделения. Кампусные сети подразделений (кампусы) составляют уровень доступа. Маршрутизаторы кампусов подключаются к маршрутизаторам регионов по технологии VDSL на физическом уровне и Frame Relay на канальном. Каждый кампус состоит из трех зданий.

В каждом подразделении устанавливается маршрутизатор уровня доступа, который подключается к локальной сети через коммутатор кампуса. К этому коммутатору подключаются также серверы кампуса и коммутатор здания. Коммутаторы зданий соединены между собой в кольцо по оптоволоконным линиям связи. К ним подключаются коммутаторы для рабочих групп.

На уровне ядра была выбрана технология Ethernet. Выбранная технология способна обеспечить наибольшую скорость, надежность и качество передачи данных по сравнению с технологиями АТМ и Frame Relay.

Технология Gigabit Ethernet на уровне ядра способна обеспечивать работу сети на канальном уровне.

На канальном уровне для города VPN обеспечивается технологией VDSL (асимметричная цифровая абонентская линия) - модемная технология, превращающая стандартные абонентские телефонные аналоговые линии в линии высокоскоростного доступа. Для приёма и передачи данных используются разные каналы: приёмный обладает существенно большей пропускной способностью. Технология VDSL обеспечивает высокоскоростной (можно даже сказать мегабитный) доступ к интерактивным видеослужбам и не менее быструю передачу данных (доступ в Интернет, удаленный доступ к ЛВС и другим сетям).

3. Разработка схемы адресации

Адресная схема должна быть разработана в соответствии с иерархическим принципом проектирования компьютерных сетей.

Схема адресации должна позволять агрегирование адресов. Это означает, что адреса сетей более низких уровней (например, сеть кампуса по сравнению с сетью региона) должны входить в диапазон сети более высокого уровня с большей маской. Кроме того, необходимо предусмотреть возможность расширения адресного пространства на каждом уровне иерархии.

Рассматриваемая сеть имеет четыре уровня иерархии. Вся сеть разбивается на три региона. В каждом регионе содержится определенное количество кампусов, в которых есть несколько подразделений, на каждое из которых выделяется подсеть. На нижнем уровне иерархии располагаются адреса хостов.

Для раздачи адресов внутри корпоративной сети будем использовать один из частных диапазонов - 10.0.0.0/8, обладающий наибольшей емкостью адресного пространства - 24 бита.

В соответствии с заданием доступные биты адресов необходимо разделить между 4 уровнями иерархии. На каждый уровень иерархии необходимо выделить такое количество бит, которое достаточно для адресации содержащихся на данном уровне элементов. Биты, принадлежащие одному уровню иерархии должны идти подряд, более высокие уровни должны располагаться левее более низких. Биты, оставшиеся после выделения каждому уровню минимального числа бит равномерно распределяются между всеми уровнями для обеспечения возможного дальнейшего роста сети.

Исходя из задания рассчитано минимально необходимое число бит, которое требуется отвести под адресацию регионов, кампусов и хостов, а также реально используемое число бит адреса. Итоговое распределение бит между уровнями и максимально возможное количество единиц каждого уровня приведено в таблице 2.

Таблица 2 - Распределение бит для адресации подсетей

IP-адрес состоит из 4 байт. В нашем случае 1-й байт, равный 10, отведен под номер сети, следующие 3 бита - под регион, 5 бит - под кампус, 9 бит - под подразделение, последние 7 бит - под номер хоста (рисунок 1).

Рисунок 1 - Распределение битов адресного пространства

В таблице 3 указаны номера регионов, соответствующие им двоичные биты в IP-адресе, маски и диапазоны адресов.

Таблица 3 - Диапазоны адресов регионов

Очевидно, что адреса для каждого кампуса выделяются из диапазона адресов того региона, к которому относится данный кампус. В таблице 4 приведено распределение адресов для кампусов первого региона. В остальных регионах распределение адресов между кампусами производится аналогично.

Таблица 4 - Диапазоны адресов кампусов третьего региона

Адреса для каждого подразделения выделяются диапазона адресов того кампуса, к которому оно относится. В таблице 5 приведено распределение адресов для подразделений пятого кампуса третьего региона. В остальных регионах и кампусах распределение адресов между подразделениями производится аналогично.

Таблица 5 - Диапазоны адресов подразделений первого кампуса третьего региона

В первом регионе подсеть 10.32.2.0/25 (1-ый кампус 1-ое подразделение первого региона) выделена под сервера демилитаризованной зоны, а сеть 10.96.2.0/25 (1-ой кампус 1-ое подразделение второго региона) во втором регионе используется для корпоративных серверов.

Сеть, соответсвующая следующей записи: № кампуса 0-ое подразделение № региона, выделена для связи маршрутизатора № региона с маршрутизаторами кампуса в этом регионе.

Маршрутизаторы первого и второго регионов связываются между собой подсетью 10.32.0.0/11 (1-ой кампус 1-ое подразделение первого региона).

Маршрутизаторы первого и третьего регионов связываются между собой подсетью 10.160.0.0.0/11 (1-ой кампус 1-ое подразделение третьего региона).

Маршрутизаторы третьего и второго регионов связываются между собой подсетью 10.96.0.0.0/11 (1-ой кампус 1-ое подразделение второго региона).

Данная адресная схема разработана в соответствии с иерархическим принципом проектирования компьютерных сетей.

4. Выбор активного оборудования

Активное оборудование необходимо выбирать в соответствии с требованиями проектируемой сети, учитывая тип оборудования (концентратор, коммутатор или маршрутизатор) и его характеристики. Устройство должно подходить, прежде всего, по количеству и типу интерфейсов, по поддерживаемым протоколам, по пропускной способности.

В курсовой работе требуется выбрать следующие типы оборудования:

- маршрутизаторы ядра сети;

- маршрутизаторы кампусов;

- маршрутизатор доступа в Интернет;

- коммутаторы кампуса;

- коммутаторы зданий;

- коммутаторы рабочих групп (подразделений).

Будем использовать оборудование фирмы Cisco Systems. Выбор этой фирмы обусловлен широким применением ее оборудования в различных сетях, в том числе и в Интернете.

4.1 Программное обеспечение Cisco IOS

Все маршрутизаторы (и управляемые коммутаторы) Cisco работают под управлением операционной системы Cisco IOS. Для каждой модели маршрутизатора предлагаются несколько разновидностей IOS. Образы IOS различаются по версии. Cisco использует достаточно сложную систему идентификации версий.

Кроме версий, образы IOS различаются по заложенной в них функциональности. Функциональные возможности группируются в наборы, называемые Feature Sets. Минимальная функциональность содержится в IP Base Feature Set (или просто «IP»); она включает в себя, в частности, поддержку IP-интерфейсов, статическую и динамическую IP-маршрутизацию, поддержку мониторинга и управления по SNMP. IP Plus Feature Set включает дополнительные возможности (например, поддержку технологии VoIP для передачи голоса). Также имеются Feature Sets с функциями межсетевого экрана (FW, Firewall), системы обнаружения атак (IDS), криптозащиты трафика (IPSEC) и другие (примеры приведены в таблице 6), в том числе имеются и комбинированные образы, например IP Plus FW IPSEC. Бесплатно с маршрутизатором поставляется только IP Base Feature Set, остальные образы необходимо покупать.

Таблица 6 - Сводная таблица Feature Sets для Cisco IOS маршрутизаторов серии 38xx

Как видно из таблицы технология VPN, которая используется при проектировании корпоративной сети, поддерживается только платными версиями Cisco IOS Advanced Security, Advanced IP Services и Advanced Enterprise Services.

4.2 Выбор коммутаторов

Коммутаторы рабочих групп служат для непосредственного подключения компьютеров к сети. От коммутаторов этой группы не требуется высокой скорости коммутации, поддержки маршрутизации или других сложных дополнительных функций.

Коммутаторы уровня предприятия служат для объединения в одну сеть коммутаторов для рабочих групп. Поскольку через эти коммутаторы проходит трафик от многих пользователей, то они должны иметь высокую скорость коммутации. Кроме того, такие коммутаторы часто выполняют функции маршрутизации трафика между виртуальными подсетями.

• 4.2.1 Выбор коммутаторов для рабочих групп
• Так как от коммутатора рабочей не требуется высокой скорости коммутации, поддержки маршрутизации или других сложных дополнительных функций, поэтому в качестве коммутатора рабочей группы будем использовать Cisco WS-C2960-24TС-L (рисунок 2.1). Этот коммутатор имеет 24 порта (10-100 Мбит/с) для подключения разъемов RJ-45 и 2 порта двойного назначения, функционирующие как для меди, так и оптоволокна.
• Коммутатор рабочей группы подключается по медному кабелю к компьютерам рабочей группы и к коммутатору кампуса.
• Общее количество компьютеров в первом здании кампуса 100, т.к. используем коммутатор на 24 порта, то получается 5 коммутаторов, во втором 50 - 3 шт, в третьем 50 - 3 шт, в четвертом 75 - 4 шт. Всего для кампуса необходимо 15 коммутаторов. Следовательно, для 5 кампусов количество коммутаторов равно 5*15=75 и для 3 регионов 3*75=225.
• Вместе с коммутаторами поставляется стандартная операционная система Cisco IOS.
• Рисунок 2.1 - Внешний вид Cisco C2960-24TС-L
• 4.2.2 Выбор коммутаторов зданий
• Коммутаторы для рабочих групп подключаются к коммутаторам зданий, которые соединены между собой оптоволоконными линиями связи. В качестве коммутаторов зданий будем использовать коммутатор Cisco WS-C2960G-24TC-L (рисунок 2.2). Производительность коммутационной шины до 32 Гбит/с. Коммутатор Cisco Catalyst 2960G-24TC-L имеет 20 портов 10/100/1000 Ethernet и 4 порта для подключения оптоволоконных линий связи, которыми будут соединены здания между собой. Также такие коммутаторы будем использовать для подключения корпоративных серверов и серверов кампуса.
• Рисунок 2.2 - Внешний вид Cisco WS-C2960G-24TC-L и SFP-модуль GLC-SX-MM
• Каждый коммутатор здания соединяется с двумя другими по оптической линии связи. Для такого соединения необходимо использовать SFP-модуль GLC-SX-MM.
• Для соединения коммутатора с коммутаторами рабочих групп и коммутатором демилитаризованной зоны используется медная линия связи.
• В каждом кампусе находится 4 коммутатора зданий и 1 коммутатор серверов кампуса, в одном регионе 25, также необходим один коммутатор демилитаризованной зоны и один для корпоративных серверов. Для всей сети необходимо 77 коммутаторов Cisco Catalyst C2960G-24TC-L.
• Для осуществления связи по оптоволоконной линии для проекта используется некоторое количество SFP-модулей GLC-SX-MM: по 2 модуля на каждый коммутатор здания требуется 4*5*3=60 модулей, по 1 модулю на коммутаторы серверов каждого кампуса, всего 5*3=15, 1 для X-маршрутизатора, 1 для коммутатора серверов ДМЗ. Всего 77 модулей
• Вместе с коммутаторами поставляется стандартная операционная система Cisco IOS.
• 4.2.3 Выбор коммутаторов кампусов
• Коммутаторы зданий подключаются к коммутаторам кампуса. Поскольку через эти коммутаторы проходит трафик от многих пользователей, то они должны иметь высокую скорость коммутации. Кроме того, такие коммутаторы часто выполняют функции маршрутизации трафика между виртуальными подсетями, т.е. коммутатор должен быть маршрутизирующим. Поэтому в качестве коммутаторов кампуса выбираем Catalyst 3750G-24Т-S (рисунок 2.3). Данный коммутатор содержит 24 порта 10/100/1000 Ethernet. К коммутатору кампуса также подключаются серверы кампуса.
• Рисунок 2.3 - Внешний вид Cisco 3750G-24Т-S
• Соединение коммутаторов кампуса с коммутатором здания, серверами кампуса и маршрутизатором кампуса осуществляется по кабелю UTP 4-х парному.
• В каждом регионе находится по 5 коммутаторов кампуса, а во всей сети 15 коммутаторов Catalyst 3750G-24Т-S.
• Вместе с коммутаторами поставляется стандартная операционная система Cisco IOS .
• 4.3 Выбор маршрутизаторов
• Магистральные маршрутизаторы располагаются в центре сети. Они предназначены для быстрой маршрутизации всех потоков данных, приходящих с нижних уровней иерархии сети. Как правило, это модульные маршрутизаторы с высокоскоростными интерфейсными модулями. Этот класс устройств является наиболее дорогим.
• Маршрутизаторы уровня доступа предназначены для подключения небольших локальных сетей к глобальной. Обычно это небольшие модульные маршрутизаторы с интерфейсами для подключения к локальной и глобальной сети. Помимо маршрутизации пакетов, такие устройства выполняют дополнительные функции, например, фильтрацию трафика, организацию VPN и т.д.
• Для проектировании корпоративной сети подходят маршрутизаторы Cisco серии 38ХХ, характеристики которых приведены в сравнительной таблице 7.
• Серия многосервисных маршрутизаторов Cisco 3800 построена на базе мощной серии многофункциональных маршрутизаторов серии Cisco 3700. Достаточное мощное решение на базе Cisco 3800 предназначено для высокоскоростных подключений центральных офисов компаний или крупных региональных офисов и предоставляет безопасную передачу данных, голосовой и видео информации.
• Таблица 7 - Характеристики маршрутизаторов серии 38xx

Характеристика	Cisco 3825	Cisco 3845
Поддерживаемые типы модулей NM	NM, NME, NME-X, NMD, NME-XD, EVM-HD	NM, NME, NME-X, NMD, NME-XD, EVM-HD
Максимальное количество модулей NM, шт.	2	4
Количество слотов для модулей WIC на шасси, шт.	4	4
Количество интегрированных LAN портов (RJ-45 для Ethernet 10/100/1000), шт.	2	2
Количество Small Form-Factor Pluggable (SFP) портов, шт.	1	1
Количество консольных портов (до 115200 бит/с), шт.	1	1
Количество AUX-портов (до 115200 бит/с), шт.	1	1
Flash-память (Compact Flash), Мбайт	64/256	64/256
DDR SDRAM, Мбайт	256/1024	256/1024
Резервирование блока питания	нет	да
Размер, Rack Unit	2	3

• В маршрутизаторах этой серии доступны слоты NME, для установки сетевых модулей, слоты HWIC для установки интерфейсных модулей, Слоты EVM для поддержки дополнительных голосовых интерфейсов.
• 4.3.1 Выбор маршрутизаторов кампусов
• Каждый коммутатор кампуса подключается к маршрутизатору уровня ядра - маршрутизатору кампуса, который служит для подключения кампусов к ядру. Для этих целей подходит маршрутизатор серии Cisco 3825 (рисунок 2.4). Он отличается от Cisco 3845 меньшим размером, меньшим количеством подключаемых модулей WIC и отсутствием возможности установки резервного блока питания. Функциональные возможности у данных маршрутизаторов совпадают.
• Для соединения маршрутизатора кампуса с коммутатором кампуса используется интегрированный порт Ethernet 10/100/1000.
• Для соединения этого маршрутизатора и маршрутизатора ядра с использованием технологии физического уровня VDSL применяется модуль HWIC-1VDSL, содержащий 1 порт VDSLoPOTS.
• В каждом регионе используется по 5 маршрутизаторов кампуса, а для всей сети необходимо 15 маршрутизаторов кампуса.

• Рисунок 2.4 - Внешний вид Cisco 3825
• 4.3.2 Выбор маршрутизаторов для подключения корпоративной сети к Интернету
• X-маршрутизатор организует корпоративный доступ к Интернету. Чтобы обеспечить потребности всей сети, маршрутизатор должен обладать высокой производительностью. Обычно X-маршрутизатор обрабатывает меньше пакетов, чем маршрутизатор ядра, и примерно столько же, сколько маршрутизатор кампуса, поэтому на роль X-маршрутизатора подходит Cisco 3925.
• Помимо маршрутизации пакетов, маршрутизатор доступа к Интернету должен обязательно выполнять фильтрацию пакетов и трансляцию адресов, а также поддерживать безопасность на периметре сети, выполняя функции основного шлюза. Для этого он оснащается встроенным межсетевым экраном (Firewall) и модулем обнаружения атак на сеть (IDS), а также операционной системой Cisco IOS Software 15.0.1M1 со стандартной прошивкой vdsl2 версии AvC011b. Этим требованиям удовлетворяет маршрутизатор Cisco 3825.
• Через один из портов Gigabit Ethernet маршрутизатор связывается с узловым маршрутизатором через коммутатор.
• Для соединения этого маршрутизатора и сети Интернет с использованием технологии GPON применяется оборудование провайдера.
• Подключение к Интернету осуществляется в 1 регионе, поэтому необходим 1 маршрутизатор Cisco 3925 (рисунок 2.5).

• Рисунок 2.5 - порт HWIC-1VDSL и маршрутизатор Cisco 3925
• 4.3.3 Выбор маршрутизатора ядра
• Все кампусные сети подключаются к узловому маршрутизатору - маршрутизатору ядра. Маршрутизаторы ядра располагаются в центре сети. Они предназначены для быстрой маршрутизации всех потоков данных, приходящих с нижних уровней иерархии сети. Это модульные маршрутизаторы с высокоскоростными интерфейсными модулями.
• Для этих целей подходят маршрутизаторы серии Cisco 3900, а именно Cisco 3945.
• Для соединения маршрутизаторов ядра с коммутатором демилитаризованной зоны и коммутатором корпоративных серверов, а также для соединения маршрутизаторов между собой используются порты Gigabit Ethernet.
• Для соединения маршрутизатора ядра с маршрутизаторами кампусов используем 2 модуля HWIC-1VDSL, содержащих по 1 порту VDSLoPOTS.
• Для этого маршрутизатора используется версия программного обеспечения Cisco IOS Advanced Security.
• Для проектируемой сети необходимо 3 маршрутизатора.
• Рисунок 2.6 - порт HWIC-1VDSL и маршрутизатор Cisco 3945

• Рисунок 2.7 - SPF -модуль 1000BaseZX
• С помощью SPF модулей 1000BaseZX (рисунок 2.7) маршрутизаторы Cisco 3945 соединяются между собой по одномодовому оптоволокну. Для работы этой схемы необходимо 6 таких модулей, по 2 модуля на каждый маршрутизатор.
• 5. Расчет стоимости активного оборудования
• Маршрутизаторы и коммутаторы поставляются с базовым ПО, стоимость которого входит в стоимость шасси. Расчет стоимости активного оборудования для проектирования корпоративной сети приведен в таблице 8. Стоимости активного оборудования рассчитывается с использованием данных компании «netPC minicomputers» (http://www.nettix.ru).
• Таблица 8 - Расчет стоимости активного оборудования

Наименование	Цена, руб.	Количество, шт	Стоимость, руб.
Коммутаторы
Cisco WS-C2960-24TС-L	41 440	225	9 324 000
Cisco WS-C2960G-24TC-L	105 440	77	8 118 880
Cisco WS-C3750G-24Т-S	319 680	15	47 952 00
Модули для коммутаторов
Модуль SFP GLC-SX-MM	16 000	77	1 232 000
Маршрутизаторы
Cisco 3825/K9	324 000	15	4 860 000
Cisco 3945/K9	371 040	1	371 040
Cisco 3925/K9	305 240	5	1 526 200
Модули для маршрутизаторов
Модуль HWIC-1VDSL к Cisco 3825 и Cisco 3845	21 900	18	328 500
Модуль SPF 1000BaseZX к Cisco 3945	128 000	6	4 096 000
Итого:	30251620

• Таким образом, общая стоимость активного оборудования составляет 30 251 620 руб.

6. Настройка активного оборудования

Установленное активное оборудование по умолчанию сконфигурировано так, чтобы без дополнительной настройки можно было использовать его при формировании сети. Стандартная настройка оборудования позволяет использовать только основные его возможности, поэтому для поддержки сложной топологии сети и различных протоколов необходимо определить различные параметры работы устройств.

Конфигурации для оборудования одного функционального типа одинаковы и отличаются только названиями устройств, адресами и паролями, поэтому для описания настроек всего оборудования достаточно указать шаблоны для каждого типа. Далее необходимо рассмотреть общие настройки сначала для всех типов оборудования, затем - для каждого типа отдельно.

6.1 Настройки, общие для всех устройств

Одинаковыми настройками для всех устройств являются настройки служебных параметров и сетевых интерфейсов.

Для всех устройств необходимо настроить следующие служебные параметры:

- имя устройства;

- пароль на вход с консоли;

- пароль на вход по сети;

- пароль на вход в привилегированный режим.

Настройка сетевых интерфейсов зависит не от типа и функций сетевого устройства, а от технологий физического и канального уровня интерфейса. В простейшем случае (при использовании технологии Ethernet) интерфейс будет работать с установками по умолчанию. В более сложных случаях (характерных для технологий глобальных вычислительных сетей) требуется настройка.

Оборудование фирмы Cisco конфигурируется с помощью терминальной программы через последовательный порт компьютера, связанный с консольным портом устройства. Этот способ предпочтительнее, потому что процесс конфигурирования устройства может изменять параметры IP-интерфейсов, что приведет к потере соединения, установленного другими способами (telnet, Web-интерфейс).

После физического подключения через консольный порт устройства к компьютеру для настройки запускается программа эмуляции терминала (Hyper Terminal) и настраиваются параметры соединения. Затем включается само устройство. Начинает выполняться загрузочное программное обеспечение, которое находит загрузочное устройство (обычно это флэш-память), в котором содержится образ ОС Cisco IOS. После этого ОС запускает программу пошаговой настройки устройства: System Configuration Dialog. Программа пошаговой настройки предлагает варианты ответов по умолчанию в квадратных скобках.

6.2 Разработка схемы символических имен устройств (СИУ)

Имена устройств будем выбирать согласно следующему принципу: в зависимости от функционального назначения устройств будет наблюдаться различие в их символических именах. Таким образом, в именах устройств будут присутствовать следующие специальные слова:

- маршрутизатор ядра - rout-cor (router - маршрутизатор, core - ядро);

- маршрутизатор уровня доступа (для подключения кампусов) - rout-acc (router - маршрутизатор, access - доступ);

- маршрутизатор уровня доступа (для подключения к Интернету) - rout-int (router - маршрутизатор, internet - интернет);

- коммутатор кампуса - sw-camp (switch - коммутатор, campus - кампус);

- коммутатор здания - sw-build (switch - коммутатор, building - здание);

- коммутатор рабочей группы - sw-wg (switch - коммутатор, work group - рабочая группа);

- сервер - srv.

В рамках данной курсовой работы будет использовано активное оборудование только исключительно фирмы Cisco Systems, поэтому принадлежность устройства к фирме-производителю в имени отражаться не будет. компьютерный сеть маршрутизатор интернет

Далее необходимо помимо функционального назначения устройств в их имени также отразить принадлежность к региону и кампусу (для маршрутизаторов), а также к кампусу, зданию и рабочей группе (для коммутаторов). Приведем примеры полных имен для следующих устройств:

- маршрутизатор ядра - rout-cor-n;

- маршрутизатор уровня доступа (для подключения кампусов) - rout-acc-n-m;

- маршрутизатор уровня доступа (для подключения к Интернету) - rout-int-n;

- коммутатор кампуса - sw-camp-n-m;

- коммутатор здания - sw-build-n-m-k;

- коммутатор рабочей группы - sw-wg-n-m-k-p;

- коммутатор демилитаризованной зоны - sw-int-n;

- коммутатор корпоративных серверов - sw-serv;

- коммутатор серверов кампуса - sw-serv-n-m;

- корпоративный сервер - srv-org;

- сервер кампуса - srv-camp;

- сервер демилитаризованной зоны - srv-dmz.

Здесь n - номер региона (1 - 3), m - номер кампуса в регионе (1 - 5), k - номер здания в кампусе (1 - 4), p - номер коммутатора рабочей группы в здании.

6.3 Разработка системы паролей

Необходимо разработать следующие пароли:

пароль на вход с консоли: typeXXX - type - тип устройства: для маршрутизаторов - rout, для коммутаторов - swit, ХХХ - кодовое слово по усмотрению администратора;

пароль на вход по сети: ciscoXXXXX - XXXXX - первые пять букв названия предприятия.

пароль на вход в привилегированный режим: для маршрутизаторов - ciscorou, для коммутаторов - ciscosw, далее п - номер региона, в котором установлено устройство, т - номер кампуса, k - номер здания.

Далее приведены шаблоны для соответствующих настроек (СИУ - символическое имя устройства).

Установка имени устройства производится следующим образом:

СИУ > enable

СИУ #configure terminal

СИУ (config)#hostname XXXXXX //здесь XXXXXX - соответствующее имя, согласно выбранной схеме.

Установка консольного пароля:

СИУ > enable

СИУ #configure terminal

СИУ (config)#line console 0- перевод IOS в режим конфигурации консоли;

СИУ (config-line)#login - включение аутентификации при входе;

СИУ (config-line)#password XXXХXXX // здесь XXXXXXX - соответствующий пароль, согласно выбранной схеме.

Установка пароля на терминальные порты (повторяется для портов 0-4)

СИУ (config)#line vty 0 - команда «vty» обозначает линию протокола telnet (по умолчанию одновременно могут работать пять пользователей на линиях с 0-й по 4-ю);

СИУ (config-line)#login

СИУ (config-line)#password ciscoXXXXX

Установка пароля привилегированного режима:

СИУ (config)#enable password ХХХХХХХХХХХХ

СИУ (config)#service password-encryption //хранит пароль в зашифрованном виде в конфигурационном файле

6.4 Настройка маршрутизаторов

В сети присутствуют маршрутизаторы трех типов: маршрутизаторы ядра, маршрутизаторы уровня доступа и маршрутизаторы доступа к Интернету.

Основное назначение маршрутизаторов ядра - быстрая пересылка пакетов. В ядре не рекомендуется применять списки доступа, политики маршрутизации и другие технологии, уменьшающие скорость обработки пакетов.

На маршрутизаторе ядра нужно указать параметры, общие для всех устройств, настроить сетевые интерфейсы и протокол маршрутизации.

Настройка протокола маршрутизации заключается в следующем:

- устанавливается протокол маршрутизации;

- указываются обслуживаемые сети;

- настраиваются дополнительные параметры (для устранения зацикливания, временные, управления обновлениями).

Маршрутизаторы уровня доступа (как в кампусах, так и маршрутизатор доступа в Интернет) обрабатывают меньшее количество пакетов. Вместе с тем, их часто используют для выполнения дополнительных функций. В курсовой работе маршрутизаторы, как минимум, должны выполнять функции фильтрации.

Маршрутизатор доступа к Интернету, помимо фильтрации пакетов, должен выполнять трансляцию внутренних и внешних адресов.

6.4.1 Настройка маршрутизаторов ядра

После настройки параметров, общих для всех устройств, необходимо выполнить настройку сетевых интерфейсов в режиме конфигурации. Рассмотрим настройку маршрутизатора А. Его символьное имя rout-cor-1. Каждый маршрутизатор ядра имеет один глобальный интерфейс для подключения к двум другим. Кроме того, маршрутизаторы имеют интерфейсы GigabitEthernet для подключения коммутаторов корпоративных серверов, демилитаризованной зоны и коммутаторов для выхода в Интернет. Также маршрутизаторы ядра имеют интерфейс VDSL для соединения с маршрутизаторами кампуса.

Для соединения между собой маршрутизаторов ядра используем технологию Ethernet. Провайдером выберем ЗАО «ТрансТелеКом».

Передача данных будет осуществляться по протоколу TCP-IP, отвечающему за коммутацию IP-пакетов на магистральной сети «ТрансТелеКом». Эффективная передача данных в сети осуществляется за счет коммутации IP-пакетов, содержащих байты данных c информацией о маршруте их следования. Благодаря такой технологии резко увеличивает скорость их передачи.

По сравнению с другими технологиями, на базе которых также строятся VPN (например, Frame Relay, выделенные подключения, шифрование трафика в Интернет), Ethernet является самой надежной и простой технологией для передачи IP-трафика и, соответственно, оптимальна для работы в сети IP-ориентированных приложений.

В качестве протокола внутренней маршрутизации используется протокол RIPv2.

6.4.2 Настройка протокола маршрутизации на маршрутизаторах ядра

В качестве протокола маршрутизации используется протокол RIP. Этот протокол настраивается на всех маршрутизаторах ядра. Первым этапом настройки протокола маршрутизации является его включение:

rout-cor-1 (config) # router RIP - включение протокола RIP

Используем протокол RIP второй версии, т.к. при разработке схемы адресации мы придерживаемся бесклассовой модели. Протокол RIPv2, в отличие от протокола первой версии, передает маску подсети. Включение протокола RIPv2:

rout-cor-1 (config-router) #version 2.

Необходимо указать сети, в которые и из которых будет рассылаться маршрутная информация:

rout-cor-1 (config-router) # network 10.0.0.0.

После ввода этих команд протокол уже будет работать. В некоторых случаях требуется выполнить дополнительные настройки, например, задать время сохранения старого маршрута:

rout-cor-1 (config-router)#timer basic 30 180 180 240.

Назначение полей в команде timer basic: время посылки keep-alive (30), время, после которого маршрут считается недействительным (180), время хранения маршрута (180), время, после которого маршрут удаляется из таблицы маршрутизации (240). Все временные параметры указываются в секундах.

6.4.3 Настройка интерфейсов Gigabit Ethernet на маршрутизаторах ядра

Интерфейсы Gigabit Ethernet используются для подключения коммутатора корпоративных серверов (во 2 регионе) и коммутатора ДМЗ (в 1 регионе). Настройка этих интерфейсов ограничивается назначением адресов сетевого уровня.

Настройка интерфейса GE 1 для подключения к коммутатору для маршрутизатора А:

rout-cor-1(config)#interface gigabitethernet 1

rout-cor-1 (config-if)#ip address 10.32.2.1 255.255.255.0

rout-cor-1 (config-if)#no shutdown

Для соединения маршрутизаторов ядра между собой тоже применяются интерфейсы Gigabit Ethernet. Настройка интерфейса GE 0.1 для маршрутизатора 1 ядра:

rout-cor-1(config)#interface gigabitethernet 0.1

rout-cor-1 (config-if)#ip address 10.32.0.1 255.224.0.0

rout-cor-1 (config-if)#no shutdown

Настройка остальных интерфейсов маршрутизаторов для соединения узлов ядра осуществляется аналогичным образом.

Настройка интерфейса GE 1 для подключения к коммутаторам для маршрутизатора В:

rout-cor-2 (config)#interface gigabitethernet 1

rout-cor-2 (config-if)#ip address 10.96.2.1 255.255.255.0

rout-cor-2 (config-if)#no shutdown.

6.4.4 Настройка технологии VDSL на маршрутизаторах ядра

Запуск технологии VDSL осуществляется путем установкой соответствующих модулей и их настройка на маршрутизаторах.

Следует помнить, что настройки необходимо проводить и на маршрутизаторах кампусов. Предварительно необходимо согласовать настройки с провайдером.

Настройка технологии VDSL для маршрутизатора третьего региона:

rout-cor-3> enable //вход в привилегированный режим

rout-cor-3> configure terminal //вход в глобальный режим

rout-cor-3 (config)# interface ATM0 //вход в режим настройки интерфейса DSL

rout-cor-3 (config-if)# encapsulation frame-relay // настройка Frame Relay на интерфейсе

rout-cor-3 (config-if)# frame-relay lmi-type q933i // протокол сигнализации

rout-cor-3 (config-if)# frame-relay map ip IP-Адрес// IP-Адрес - адрес удаленного маршр-ра

rout-cor-3 (config-if)# no shutdown // включение интерфейса

rout-cor-3# configure terminal

rout-cor-3(config)# map-class frame-relay slow-class // создание карты с параметрами обслуживания

rout-cor-3(config-map-class)#frame-relay mincir 8 000 000 // скорость, гарантированная провайдером

rout-cor-3(config-map-class)#frame-relay adaptive-shaping becn // Включение адактивного управления формой трафика

rout-cor-3 (config)# interface ATM0

rout-cor-3(config-if)#frame-relay traffic-shaping //включение управления трафиком

rout-cor-3(config-if)#frame-relay class slow-class // применение правил карты на устройстве

Для маршрутизаторов остальных регионов настройка будет аналогична.

6.5 Настройка маршрутизаторов уровня доступа

Маршрутизаторы имеют интерфейс GigabitEthernet для подключения коммутатора кампуса, а также модули VDSL для подключения маршрутизатора ядра. Интерфейсу задается ip-адрес согласно выбранной схеме.

6.5.1 Настройка протокола маршрутизации на маршрутизаторах уровня доступа

В качестве протокола маршрутизации используется протокол маршрутизации RIPv2, его настройка аналогична настройке этого протокола для маршрутизаторов ядра. Единственное отличие состоит в том, что для уменьшения паразитного трафика необходимо отключить рассылку маршрутов в низлежащие сети через интерфейс Gigabit Ethernet 0:

rout-acc-n-m (config)#router rip;

rout-acc-n-m (config-router) #version 2

rout-acc-n-m (config-router)#passive-interface gigabitethernet 0.

6.5.2 Настройка списков доступа на маршрутизаторах уровня доступа

Маршрутизаторы кампуса должны выполнять функции фильтрации. Фильтрация пакетов может осуществляться на основании служебных полей протоколов сетевого и транспортного уровня, таких как: адреса приемника и источника, порт приемника и источника, протокол верхнего уровня и других.

Фильтрация осуществляется с помощью списков доступа - набора условий, в которых определяется, какой пакет может быть пропущен, а какой удален. Списки доступа могут быть стандартными и расширенными. Стандартный список доступа позволяет фильтровать трафик только по адресу источника.

Основное назначение списков доступа для исходящего трафика - уменьшить объем трафика по магистрали, основное назначение списков доступа для входящего трафика - запретить доступ к частным ресурсам.

При поступлении пакета они проверяются в порядке записи. Если ни одно из условий не подошло, то пакет отбрасывается.

Расширенные списки доступа позволяют создавать более гибкие условия. Номера расширенных листов начинаются с 100.

Создаем расширенный список доступа 100, разрешающий прохождение пакетов с адресами источника, принадлежащими корпоративной сети, и адресами приемника, принадлежащими сети кампуса:

rout-acc-n-m (config)#access-list 100 permit ip 10.0.0.0 0.255.255.255 10.X.0.0 0.0.255.255 //где 10.X.0.0 - номер сети кампуса, n - номер региона, m - номер кампуса.

Создаем расширенный список доступа 101, разрешающий прохождение пакетов с адресами источника, принадлежащими сети кампуса, и адресами приемника, принадлежащими корпоративной сети:

rout-acc- n-m (config)#access-list 101 permit ip 10.X.0.0 0.0.255.255 10.0.0.0 0.255.255.255 //где 10.Х.0.0 - номер сети кампуса.

Применяем списки доступа к соответствующим интерфейсам:

rout-acc- n-m (config)#interface Atm0/0

rout-acc- n-m (config - if) # ip access - group 100 in

rout-acc- n-m (config)# interface gigabitethernet 0

rout-acc- n-m (config - if) # ip access - group 101 in

6.5.3 Настройка интерфейса Gigabit Ethernet на маршрутизаторах уровня доступа

Интерфейсы Gigabit Ethernet на маршрутизаторах кампуса используются для подключения коммутатора кампуса. Их настройка аналогична настройке для маршрутизаторов ядра и ограничивается назначением адресов сетевого уровня.

rout- acc- 3-1 (config)#interface gigabitethernet 0

rout- acc- 3-1 (config-if)#ip address 10.161.1.3 255.255.255.0;

rout- acc- 3-1 (config-if)#no shutdown;

6.6 Настройка маршрутизатора доступа в Интернет

Для этого маршрутизатора необходимо настроить интерфейсы и протокол маршрутизации. В качестве протокола маршрутизации используется RIPv2.

6.6.1 Настройка протокола на маршрутизаторе доступа в Интернет

Настройка протокола RIP выполняется с учетом того, что необходимо ограничить рассылку таблиц маршрутизации через интерфейсы внутренней и внешней сети:

rout-int-1 (config)#router rip;

rout-int-1 (config-router) #version 2

rout-int-1 (config-router)#network 10.0.0.0;

rout-int-1 (config-router)#timer basic 30 180 180 240;

rout-int-1 (config-router)#passive-interface gigabitethernet 0 - отключение рассылки таблиц маршрутизации в корпоративную сеть;

rout-int-1 (config-router)#passive-interface Atm0/0 - запрет отправления пакетов с таблицами маршрутизации из корпоративной сети во внешнюю сеть.

Интерфейс Gigabit Ethernet 0 настраивается аналогично настройке интерфейса Gigabit Ethernet 0/0 для маршрутизатора ядра.

6.6.2 Настройка списков доступа на маршрутизаторе доступа в Интернет

Настраиваем фильтрацию для маршрутизаторов доступа в Интернет. Исключим для внутренних хостов возможность использовать протоколы, отличные от FTP (порты 20-21), HTTP (порт 80), HTTPS (порт 443), POP3 (порт 110), SMTP (порт 25). Доступ для этого трафика разрешен только сетям соответствующего региона.

rout-int-1 (config)# access-list 101 permit tcp 10.X.0.0 0.0.255.255 any eq 20

rout-int-1 (config)# access-list 101 permit tcp 10.X.0.0 0.0.255.255 any eq ftp

rout-int-1 (config)# access-list 101 permit tcp 10.X.0.0 0.0.255.255 any eq www

rout-int-1 (config)# access-list 101 permit tcp 10.X.0.0 0.0. 255.255 any eq 433

rout-int-1 (config)# access-list 101 permit tcp 10.X.0.0 0.0. 255.255 any eq pop3

rout-int-1 (config)# access-list 101 permit tcp 10.X.0.0 0.0. 255.255 any eq smtp

Где 10.Х.0.0 - номер сети кампуса.

Создаем рефлексивный фильтр, позволяющий принимать ответные пакеты в соединениях, первоначально установленных внутренними хостами.

rout-int-1 (config)# access-list 102 permit tcp any any established

Применяем списки доступа к соответствующим интерфейсам.

rout-int-1 (config) #interface gigabitethernet0

rout-int-1 (config-if)#access-group 101 in

rout-int-1 (config) #interface Atm0/0

rout-int-1 (config-if)#access-group 102 in

6.6.3 Настройка трансляции адресов на маршрутизаторе доступа в Интернет

Маршрутизатор доступа в Интернет должен выполнять трансляцию адресов, чтобы отображать внутренние адреса корпоративной сети на внешние адреса Интернет. Трансляция осуществляется следующим образом: для каждого пакета, направляемого во внешнюю сеть, внутренний адрес заменяется внешним, из доступного пула адресов. При этом адрес резервируется. Все ответы, пришедшие на зарезервированный адрес, транслируются обратно.

Для того, чтобы настроить трансляцию адресов, необходимо указать пул, из которого берутся внешние адреса:

rout-int-1 (config) # ip nat pool pool1 217.151.32.61 217.151.32.69

В этой команде указывается имя пула (pool1) и адреса.

Следующим шагом указывается список адресов, для которых разрешено транслирование:

rout-int-1 (config) # access-list 1 permit 10.32.0.0 0.31.255.255,

где 10.32.0.0 - сеть первого региона.

Далее указывается, что адреса, определяемые с помощью первого списка доступа будут транслироваться с помощью заданного пула:

rout-int-1 (config) # ip nat inside source 1 pool pool1 overload

Слово «overload» указывает, что один внешний адрес можно использовать для нескольких внутренних. Последним шагом нужно указать входной и выходной интерфейсы. Следующие команды выполняются в режиме конфигурации соответствующих интерфейсов:

rout-int-1 (config) #interface gigabitethernet0

rout-int-1 (config - if) # ip nat outside

rout-int-1 (config) #interface Atm0/0

rout-int-1 (config - if) # ip nat inside

6.6.4 Настройка ADSL по протоколу PPPoE на маршрутизаторе доступа в Интернет

На маршрутизаторе необходимо создать логический интерфейс командой interface dialer 1. Чтобы автоматичеки получить IP адрес и DNS сервер от оператора связи, на интерфейсе нужно прописать команды ip address negotiated и ppp ipcp dns request. Командой encapsulation ppp определяем тип инкапсуляции.

Инкапсуляция происходит за счет добавления нового заголовка PPP размером 8 байт к Ethernet фрейму, величина которого по умолчанию равна 1500 байт. Поэтому чтобы избежать фрагментации, необходимо указать значение 1492 командой ip mtu 1492.

Обычно, сессия аутентификации протекает в двухстороннем порядке. Но в случае подключения к оператору связи по PPPoE от нас требуется только отправить ему имя пользователя и пароль. Для этого воспользуемся командой ppp authentication chap callin. Ее использование позволит маршрутизатору аутентифицировать удаленное устройство только в том случае, если удаленное устройство инициирует это подключение. Ни один нормальный провайдер, как правило, не станет открывать сессию аутентификации первым.

Укажем имя пользователя и пароль, любезно предоставленные оператором связи, командой ppp chap sent-username USER password PASS и поставим метку на данном интерфейсе dialer pool 1.

Далее необходимо зайти в режим конфигурации WAN интерфейса на маршрутизаторе atm0/0, командой interface Atm0/0. Включим PPPoE - pppoe enable и укажем метку интерфейса Dialer 1 - pppoe-client dial-pool-number 1.

Чтобы завершить подключение по протоколу PPPoE, на внутреннем и внешнем интерфейсе (в нашем случае Dialer 1) необходимо настроить NAT и указать маршрут по умолчанию ip route 0.0.0.0 0.0.0.0 interface dialer 1.

rout-int-1 (config)#interface dialer 1

rout-int-1 (config-if)#ip address negotiated

rout-int-1 (config-if)#encapsulation ppp

rout-int-1 (config-if)#dialer pool 1

rout-int-1 (config-if)#ip mtu 1492

rout-int-1 (config-if)#ip nat outside

rout-int-1 (config-if)#ppp authentication chap callin

rout-int-1 (config-if)#ppp chap sent-username USER password PASS

rout-int-1 (config-if)#ppp ipcp dns request

rout-int-1 (config)#interface Atm0/0

rout-int-1 (config-if)#pppoe enable

rout-int-1 (config-if)#pppoe-client dial-pool-number 1

rout-int-1 (config)#interface gigabitethernet0

rout-int-1 (config-if)#ip address 10.32.2.3 255.255.255.0

rout-int-1 (config-if)#ip nat inside

rout-int-1 (config-if)#no shutdown

6.7 Настройка коммутаторов

Для всех коммутаторов корпоративной сети в общем случае необходимо выполнить следующие настройки:

- настройка общих параметров и сетевых интерфейсов;

- виртуальных локальных сетей;

- протокола покрывающего дерева.

6.7.1 Настройка коммутаторов рабочих групп и коммутаторов зданий

Выполним настройку общих параметров и сетевых интерфейсов. Интерфейс может работать в трёх режимах. По умолчанию на коммутаторах Cisco устанавливается режим автоматического выбора, для нашей сети полного дуплекса.

Скорость на интерфейсах FastEthernet может устанавливаться в три режима: 10 Mbps, 100 Mbps и auto. При режиме auto скорость выбирается устройством.

Учитывая, что к коммутаторам рабочих групп подключено большое количество компьютеров, принадлежащих работникам разных подразделений, которые могут иметь разные права доступа к ресурсам, нам необходимо организовать виртуальные локальные сети (VLAN).

6.7.2 Настройка виртуальных сетей на коммутаторах

Настройка виртуальных сетей производится следующим образом:

sw-wg-n(config) # interface fastethernetX/Y

sw-wg-n(config - if)#switchport access VLAN k

Здесь вместо X и Y указываются номера интерфейсов коммутатора, а вместо k - соответствующий номер виртуальной сети.

В нашей сети каждому подразделению будет соответствовать отдельная виртуальная сеть.

Для поддержки единых виртуальных сетей различными коммутаторами, их требуется соединять через транковые интерфейсы. Перевод интерфейса в транковый режим просходит с помощью протокола IEEE 802.1q (dot1q), который позволяет маркировать пакеты различных виртуальных сетей различных коммутаторов. Для нормального функционирования коммутаторов уровня доступа необходимо перевести в транковый режим не только соответствующие интерфейсы коммутаторов рабочих групп, но и интерфейсы коммутаторов зданий.

Интерфейс GigabitEthernet0 сделаем транковым.

sw-wg-n(config)#interface gigabitethernet 0

sw-wg-n(config - if)#switchport mode trunk

sw-wg-n(config - if)#switchport trunk encapsulation dot1q

6.7.3 Настройка протокола покрывающего дерева на коммутаторах

При создании запасных линий связи в топологии сети обязательно появляются петли. В то же время коммутируемые сети не будут функционировать, если в их топологии присутствует петля.

Для решения этой проблемы используется протокол покрывающего дерева (spanning tree protocol). Коммутаторы, работающие по этому протоколу, отключают запасные пути. В случае если одна из линий связи перестанет работать, коммутаторы перестраив...