УДК 004.71

Пояснительная записка содержит 37 страницы, 16 рисунков, 7 таблиц, 3 источника, 10 приложение.

Корпоративная сеть, уровень ядра, уровень доступа, маршрутизатор, коммутатор, IP-адрес, маска подсети, схема адресации, интерфейс, протокол, список доступа, VLAN, ATM, Cisco, уровень STM-1, ADSL over POTS.

Объектом исследования является корпоративная сеть.

Цель работы - спроектировать корпоративную сеть по предложенному заданию, разработать схему адресации, выбрать активное оборудование для проектируемой сети и произвести его настройку, также необходимо выбрать серверы.

При разработке структурной схемы корпоративной сети был использован программный пакет Microsoft Visio 2007.

Содержание

Особенности HWIC-1ADSL:

- поддержка ADSL по обычной телефонной линии с Annex A ITU G. 992.1 (ADSL), G.992.3 (ADSL2), и G.992.5 (ADSL2+);

- поддержка стандарта ADSL2 (G.992.3) Annex L;

- совместимость со стандартом ANSI T1.413 issue 2;

- поддержка сервисов ATM Adaptation Layer 5 (AAL5);

- поддержка особенностей ATM CoS - constant bit rate (CBR), non-real-time variable bit rate (VBR-nrt), real-time variable bit rate (VBR-rt), and unspecified bit rate (UBR);

- поддержка до 23 виртуальных каналов;

- поддержка качества обслуживания IP (QoS);

- поддержка функции Dying Gasp;

- совместимоcть с DSLAM сторонних производителей.

Рисунок 16 - Модуль HWIC-1ADSL

Всего необходимо приобрести 40 модулей HWIC-1ADSL.

3.3 Маршрутизатор уровня доступа для подключения корпоративной сети к Интернету

X-маршрутизатор организует корпоративный доступ к Интернету. Чтобы обеспечить потребности всей сети, маршрутизатор должен обладать высокой производительностью. Обычно X-маршрутизатор обрабатывает меньше пакетов, чем маршрутизатор ядра, и примерно столько же, сколько маршрутизатор кампуса, поэтому на роль X-маршрутизатора подходит Cisco 3825.

Помимо маршрутизации пакетов, маршрутизатор доступа к Интернету должен обязательно выполнять фильтрацию пакетов и трансляцию адресов, а также поддерживать безопасность на периметре сети, выполняя функции основного шлюза. Для этого он оснащается встроенным межсетевым экраном (Firewall) и модулем обнаружения атак на сеть (IDS), а также специализированной операционной системой Cisco IOS Advanced Security.

Через один из портов Gigabit Ethernet маршрутизатор связывается с узловым маршрутизатором через коммутатор.

Для соединения этого маршрутизатора и сети Интернет с использованием технологии ADSL применяется модуль HWIC-1ADSL, содержащий 1-порт ADSLoPOTS.

Подключение к Интернету осуществляется в каждом регионе, поэтому необходимо 4 маршрутизатора Cisco 3825 и 4 модуля HWIC-1ADSL.

4. Обоснование выбора программного обеспечения для маршрутизаторов

Все маршрутизаторы (и управляемые коммутаторы) Cisco работают под управлением операционной системы Cisco IOS.

Одной из важнейших концепций данного ПО является Cisco Self-Defending Network - концепция устройства сетевой инфраструктуры с возможностями самозащиты. Этот подход реализован на базе усовершенствованных функций безопасности, таких как аппаратная поддержка шифрования, возможность реализации IPSec VPN, контроль доступа к сети (NAC), система предотвращения вторжений (IPS), ну и конечно межсетевой экран.

ПО Cisco IOS было выбрано по ряду причин. Во-первых, достоинством этой ПО является оптимизация пропускной способности. Сюда входят такие свойства, как маршрутизация по требованию, когда маршрутизатор автоматически устанавливает и завершает соединение при использовании сетей коммутации каналов; выделение по требованию полосы пропускания; маршрутизация с освобождением канала, когда применяется механизм распространения информации протоколов маршрутизации, позволяющий использовать динамические протоколы маршрутизации на коммутируемых линиях, уменьшая за счет этого время и сложность настройки маршрутизаторов. Во-вторых, существует защита от несанкционированного доступа. Для защиты от несанкционированного доступа в решениях Cisco используются:

- технология трансляции сетевых адресов и портов (NAT и РАТ) - скрывает топологию и адресную схему частной сети от внешней сети;

- шифрование на сетевом уровне с использованием стандартной технологии IPSec;

- списки доступа (Access Lists) - стандартные списки доступа контролируют адрес отправителя, а расширенные списки доступа контролируют как адреса отправителя и получателя, так и многие другие параметры. Именно такие списки доступа будут введены при настройки маршрутизаторов кампуса;

- Cisco IOS Firewall - дополнительный пакет программного обеспечения для поддержки функциональности межсетевого экрана.

Для маршрутизаторов кампуса и региона были выбраны системы, приведенные в таблице 6.

Таблица 6 - Используемые образы Cisco IOS

5. Расчет количества и стоимости активного оборудования

Перечень необходимого оборудования, его количество и стоимость для корпоративной сети представлен в таблице 7.

Таблица 7 - Сетевое оборудование и его стоимость

Таким образом, общая стоимость активного оборудования составляет 100 780 300 руб.

6. Настройка активного оборудования

Установленное активное оборудование по умолчанию сконфигурировано так, чтобы без дополнительной настройки можно было использовать его при формировании сети. Стандартная настройка оборудования позволяет использовать только основные его возможности, поэтому для поддержки сложной топологии сети и различных протоколов необходимо определить различные параметры работы устройств.

Конфигурации для оборудования одного функционального типа одинаковы и отличаются только названиями устройств, адресами и паролями, поэтому для описания настроек всего оборудования достаточно указать шаблоны для каждого типа. Далее необходимо рассмотреть общие настройки сначала для всех типов оборудования, затем - для каждого типа отдельно.

6.1 Настройки, общие для всех устройств

Для всех устройств необходимо настроить следующие служебные параметры:

- имя устройства;

- пароль на вход с консоли;

- пароль на вход по сети;

- пароль на вход в привилегированный режим.

Настройка сетевых интерфейсов зависит не от типа и функций сетевого устройства, а от технологий физического и канального уровня интерфейса. В простейшем случае (при использовании технологии Ethernet) интерфейс будет работать с установками по умолчанию. В более сложных случаях (характерных для технологий глобальных вычислительных сетей) требуется настройка.

Простейшим способом управления сетевым устройством фирмы Cisco является подключение к этому устройству с помощью терминала. В качестве терминала может выступать персональный компьютер с программой эмуляции терминала (HyperTerminal) и COM-портом для физического подключения. Возможно также подключение по сети с помощью виртуального терминала, работающего по протоколу telnet.

При терминальном подключении к сетевому устройству им можно управлять с помощью интерфейса командной строки. С точки зрения сетевого устройства каждое такое подключение имеет свою линию. Все настройки подключения сетевого устройства (необходимость аутентификации, пароль и др.) выполняются отдельно для каждой линии (или для группы линий).

После физического подключения через консольный порт устройства к компьютеру для настройки запускается программа эмуляции терминала (Hyper Terminal) и настраиваются параметры соединения. Затем включается само устройство. Начинает выполняться загрузочное программное обеспечение, которое находит загрузочное устройство (обычно это флэш-память), в котором содержится образ ОС Cisco IOS. После этого ОС запускает программу пошаговой настройки устройства: System Configuration Dialog. Программа пошаговой настройки предлагает варианты ответов по умолчанию в квадратных скобках.

6.2 Разработка схемы символических имен устройств (СИУ)

Имена устройств будем выбирать согласно следующему принципу: в зависимости от функционального назначения устройств будет наблюдаться различие в их символических именах. Таким образом, в именах устройств будут присутствовать следующие специальные слова:

- маршрутизатор ядра - router-cor (router - маршрутизатор, core - ядро);

- маршрутизатор уровня доступа (для подключения кампусов) - router-acc (router - маршрутизатор, access - доступ);

- маршрутизатор уровня доступа (для подключения к Интернету) - router-int (router - маршрутизатор, internet - интернет);

- коммутатор кампуса - switch-camp (switch - коммутатор, campus - кампус);

- коммутатор здания - switch-build (switch - коммутатор, building - здание);

- коммутатор рабочей группы - switch-wg (switch - коммутатор, workgroup - рабочая группа);

- сервер - srv.

Далее необходимо помимо функционального назначения устройств в их имени также отразить принадлежность к региону и кампусу (для маршрутизаторов), а также к кампусу, зданию и рабочей группе (для коммутаторов). Приведем примеры полных имен для следующих устройств:

- маршрутизатор ядра - router-cor-n;

- маршрутизатор уровня доступа (для подключения кампусов) - router-acc-n-m;

- маршрутизатор уровня доступа (для подключения к Интернету) - router-int-n;

- коммутатор кампуса - switch-camp-n-m;

- коммутатор здания - switch-build-n-m-k;

- коммутатор рабочей группы - switch-wg-n-m-k-p;

- корпоративный сервер - srv-org;

- сервер кампуса - srv-camp;

- сервер демилитаризованной зоны - srv-dmz.

Здесь n - номер региона (1 - 4), m - номер кампуса в регионе (1 - 10),

k - номер здания в кампусе (1 - 3), p - номер коммутатора рабочей группы в здании.

В рамках данной курсовойработы будет использовано активное оборудование только исключительно фирмы CiscoSystems, поэтому принадлежность устройства к фирме-производителю в имени отражаться не будет.

6.3 Разработка системы паролей

- пароль на вход с консоли: typeХ, где type - тип устройства: для маршрутизаторов - rout, для коммутаторов - switch, Х - кодовые цифры по усмотрению администратора;

- пароль на вход по сети: typeXХX, где, type - тип устройства: для маршрутизаторов - rout, для коммутаторов - switch, XXX - три кодовые цифры по усмотрению администратора.

- пароль на вход в привилегированный режим: для маршрутизаторов - ciscor, для коммутаторов - ciscos, далее п - номер региона, в котором установлено устройство, т - номер кампуса, k - номер здания.

Далее приведены шаблоны для соответствующих настроек (СИУ - символическое имя устройства).

Установка имени устройства производится следующим образом:

СИУ >enable

СИУ #configureterminal

СИУ (config)#hostnameXXXXXX //

здесь XXXXXX - соответствующее имя, согласно выбранной схеме.

Установка консольного пароля:

СИУ >enable

СИУ #configureterminal

СИУ (config)#lineconsole 0 - перевод IOS в режим конфигурации консоли;

СИУ (config-line)#login - включение аутентификации при входе;

СИУ (config-line)#passwordXXXХXXX //

здесь XXXXXXX - соответствующий пароль, согласно выбранной схеме.

Установка пароля на терминальные порты:

СИУ (config)#linevty 0 - команда «vty» обозначает линию протокола telnet (по умолчанию одновременно могут работать пять пользователей на линиях с 0-й по 4-ю);

СИУ (config-line)#login

СИУ (config-line)#passwordtypeXXXXX

Установка пароля привилегированного режима:

СИУ (config)#enablepassword ХХХХХХХХХХХХ

СИУ (config)#servicepassword-encryption //

хранит пароль в зашифрованном виде в конфигурационном файле.

7. Настройка маршрутизаторов

В сети присутствуют маршрутизаторы трех типов: маршрутизаторы ядра, маршрутизаторы уровня доступа, маршрутизаторы для выхода в Интернет.

Ядро (core) сети отвечает за высокоскоростную передачу сетевого трафика; первичное предназначение устройства, входящего в ядро сети, заключается в коммутации пакетов. Основное назначение маршрутизаторов ядра - быстрая пересылка пакетов. В ядре не рекомендуется применять списки доступа, политики маршрутизации и другие технологии, уменьшающие скорость обработки пакетов.

На маршрутизаторе ядра нужно указать параметры, общие для всех устройств, настроить сетевые интерфейсы и протокол маршрутизации.

Настройка протокола маршрутизации заключается в следующем:

- устанавливается протокол маршрутизации;

- указываются обслуживаемые сети;

- настраиваются дополнительные параметры (для устранения зацикливания, временные, управления обновлениями).

Уровень доступа (access layer) отвечает за формирование сетевого трафика, выполняет контроль точек входа в сеть и предоставляет другие службы пограничных устройств. Маршрутизаторы уровня доступа (как в кампусах, так и маршрутизатор доступа в Интернет) обрабатывают меньшее количество пакетов.

7.1 Настройка маршрутизаторов ядра

После настройки параметров, общих для всех устройств, необходимо выполнить настройку сетевых интерфейсов в режиме конфигурации. Рассмотрим настройку маршрутизатора №3. Его символьное имя router-cor-3. Каждый маршрутизатор ядра имеет два ATM интерфейса для подключения к остальным маршрутизаторам. Кроме того, маршрутизаторы имеют интерфейсы GigabitEthernet для подключения корпоративных серверов, демилитаризованной зоны и маршрутизаторов для выхода в Интернет.

Для соединения между собой маршрутизаторов ядра используем технологию ATM.

В качестве протокола внутренней маршрутизации используется протокол RIPv2. Протокол RIPv2 является бесклассовым дистанционно-векторным протоколом маршрутизации. Основными отличиями второй версии от первой являются:

- бесклассовая маршрутизация;

- поддержка технологии VLSM;

- использование групповой рассылки маршрутной информации;

- поддержка аутентификации соседних маршрутизаторов;

- поддержка ручного суммирования маршрутов.

Для настройки протокола RIP на маршрутизаторах Cisco необходимо использовать команду router rip. После запуска на маршрутизаторе процесса маршрутизации RIP необходимо включить в данный процесс маршрутизации сети, о которых будет распространяться маршрутная информация. Для описания сетей, участвующих в процессе маршрутизации, используется команда network network-number. После задания сетей, участвующих в процессе маршрутизации, с интерфейсов маршрутизатора, на которые назначены IP адреса из этих сетей будет, производиться рассылка маршрутной информации. Используем протокол RIP второй версии, т.к. при разработке схемы адресации мы придерживаемся бесклассовой модели. Протокол RIPv2, в отличие от протокола первой версии, передает маску подсети.

Включение протокола RIPv2:

router-cor-3(config) # router RIP - включение протокола RIP ;

router-cor-3(config-router) #version 2.

Необходимо указать сети, в которые и из которых будет рассылаться маршрутная информация:

router-cor-3(config-router) # network 10.0.0.0.

Дополнительные настройки:

router-cor-3(config-router)# timers basic 30 180 180 240.

Для данной команды 30 сек. - промежуток времени, через который осуществляется рассылка обновлений маршрутной информации; 180 сек. - время, после которого маршрут помечается как недоступный; 180 сек. - время, в течение которого маршрут помечается как «возможно не доступный»; 240 сек. - время, в течении которого маршрут не удаляется из таблицы маршрутизации.

router-cor-3(config-if)# ip split-horizon - включает технологию «расщепление горизонта»;

router-cor-3(config-if)# auto-summary - включает автоматическое суммирование адресов;

router-cor-3(config)# ip route 0.0.0.0 0.0.0.0 адрес - устанавливает маршрут по умолчанию;

router-cor-3(config-router)# default-information originate - включает режим рассылки в сообщениях протокола RIP информации о маршруте по умолчанию.

Интерфейсы Gigabit Ethernet используются для подключения корпоративных серверов и серверов ДМЗ, а также для подключения маршрутизатора для выхода в интернет. Настройка этих интерфейсов ограничивается назначением адресов сетевого уровня.

Настройка интерфейса GE 2/2/2 для подключения х-маршрутизатора для маршрутизатора №3:

router-cor-3(config)#interface gigabitethernet 2/2/2;

router-cor-3(config-if)#ip address 10.20.0.2 255.255.0.0;

router-cor-3(config-if)#no shutdown.

Аналогично настраиваются остальные порты.

Настройки интерфейсов АТМ с динамическим отображением ip-адресов:

router-cor-3(config)#interface atm2/1/0;

router-cor-3(config-if)#no shutdown;

router-cor-3(config-if)#ip address 10.15.0.1 255.255.0.0 inarp 5;

router-cor-3(config-if)#atm pvc 20 0 60 aal5snap

- создание канала PVC номер 20 с VPI - значением, равным 0, и VCI - значением, равным 60.

Шаблон настройки маршрутизатора ядра приведен в приложении Е.

7.2 Настройка маршрутизаторов кампуса (уровня доступа)

В качестве протокола маршрутизации используется протокол маршрутизации RIPv2, его настройка аналогична настройке этого протокола для маршрутизаторов ядра. Для уменьшения нагрузки на маршрутизатор по обработке обновлений маршрутной ин-формации с интерфейсов, включенных в процесс маршрутизации применяется команда passive-interface в низлежащие сети через интерфейс Gigabit Ethernet 0/1:

router-acc-n-m (config)#router rip;

router-acc-n-m (config-router) #version 2;

router-acc-n-m (config-router) # timers basic 30 180 180 240 ;

router-acc-n-m (config-router)#passive-interface gigabitethernet0/1.

7.2.1 Настройка списков доступа на маршрутизаторах уровня доступа

Список доступа - это набор правил, по которым маршрутизатор выбирает или со-поставляет маршрут или пакет. В IOS списки доступа используются как основной механизм управления разнообразными режимами работы маршрутизатора.

Каждое правило в стандартном списке доступа содержит три важных элемента:

- число, идентифицирующее список при обращении к нему в других частях конфигурации маршрутизатора;

- инструкцию deny(запретить) или permit(разрешить);

- идентификатор пакета (номер, адрес).

Для IP-трафика существует два базовых типа списков: стандартный и расширенный. Стандартные списки доступа выполняют фильрацию на базе исходных IP-адресов.

Маршрутизаторы кампуса должны выполнять функции фильтрации. Фильтрация пакетов может осуществляться на основании служебных полей протоколов сетевого и транспортного уровня, таких как: адреса приемника и источника, порт приемника и источника, протокол верхнего уровня и других.

Анализируется информация:

- адреса приемника и источника;

- порт приложения;

- протокол транспортного уровня;

- состояние соединения (установлено или нет).

Список доступа позволяет управлять:

- доступом к маршрутизатору;

- трафиком, проходящим через маршрутизатор во внешнюю сеть и обратно;

- маршрутами, принимаемыми маршрутизатором (в конфигурации соответствующих протоколов маршрутизации).

Основное назначение списков доступа для исходящего трафика - уменьшить объем трафика по магистрали, основное назначение списков доступа для входящего трафика - запретить доступ к частным ресурсам.

При поступлении пакета они проверяются в порядке записи. Если ни одно из условий не подошло, то пакет отбрасывается.

Расширенные списки доступа позволяют создавать более гибкие условия. Номера расширенных листов начинаются с 100.

Создаем расширенный список доступа 101, разрешающий прохождение пакетов с адресами источника, принадлежащими корпоративной сети, и адресами приемника, принадлежащими сети кампуса:

router-acc-n-m (config)#access-list 101 permit ip 10.0.0.0 0.255.255.255 10.n.0.0 0.1.255.255 //

где 10.n.m.0 - номер сети кампуса, n - часть адреса, ответственная за номер сетирегиона и кампуса.

Создаем расширенный список доступа 102, разрешающий прохождение пакетов с адресами источника, принадлежащими сети кампуса, и адресами приемника, принадлежащими корпоративной сети:

router-acc- n-m (config)#access-list 102 permit ip 10.n.0.0 0.1.255.255 10.0.0.0 0.255.255.255 //

где 10.n.m.0 - номер сети кампуса, n - часть адреса, ответственная за номер сетирегиона и кампуса.

Применяем списки доступа к соответствующим интерфейсам:

router-acc- n-m (config)#interface adsl 0/1;

router-acc- n-m (config-if) # ip access - group 101 in - применение списка к входя-щим пакетам ;

router-acc- n-m (config)# interface adsl 0/1;

router-acc- n-m (config-if) # ip access - group 102 out.

Интерфейсы ADSL на маршрутизаторах кампуса используются для подключения к маршрутизатору ядра через сеть провайдера. Их настройка аналогична настройке для остальных маршрутизаторов и ограничивается назначением адресов сетевого уровня.

rout- acc- 1-1(config)#interface adsl 0/1.

rout- acc- 1-1(config-if)#ip address 10.32.0.2 255.255.0.0.

rout- acc- 1-1(config-if)#no shutdown.

Интерфейсы Gigabit Ethernet на маршрутизаторах кампуса используются для подключения коммутатора кампуса. Их настройка аналогична настройке для остальных маршрутизаторов и ограничивается назначением адресов сетевого уровня.

rout- acc- 1-1(config)#interface gigabitethernet0/1.

rout- acc- 1-1(config-if)#ip address 10.34.2.8 255.255.254.0.

rout- acc- 1-1(config-if)#no shutdown.

7.3 Настройка маршрутизатора доступа в Интернет

Для этого маршрутизатора необходимо настроить интерфейсы и протокол маршрутизации. В качестве протокола маршрутизации используется RIPv2.

Настройка протокола RIP:

router-int-3(config)#router rip;

router-int-3(config-router) #version 2;

router-int-3(config-router)#network 10.0.0.0.

7.3.1 Настройка списков доступа на маршрутизаторе доступа в Интернет

Расширенные списки доступа представляют собой довольно простую вариацию стандартных списков доступа. Стандартные списки ограничены фильтрацией на основе адресов источников и получателя IP-пакетов. Расширенные списки добавляют возможность фильтрации на основе протокола и порта, указанного в пакете. Синтаксис расширенного списка доступа:

access-list номер действие протокол источник исх_порт приемник цел_порт

Расшифровка полей:

Номер - идентификационный номер списка. Для расширенных списков доступа диапазон от 100 до 199. Мы взяли 102;

Протокол - указание на протокол, к которому применяется правило. Допустимые значения: ip, tcp, udp, icmp. В нашем будет tcp;

Приемник - целевой адрес пакета: указывается также, как и адрес источника. За-дается IP-адрес с шаблонной маской, пишется ключевое слово host и IP-адрес ключевого узла либо пишется слово any.

Настраиваем фильтрацию для маршрутизаторов доступа в Интернет. Исключим для внутренних хостов возможность использовать протоколы, отличные от FTP (порты 20-21), HTTP (порт 80), HTTPS (порт 443), POP3 (порт 110), SMTP (порт 25). Доступ для этого трафика разрешен только сетям соответствующего региона.

router-int-3(config)# access-list 102 permit tcp 10.n.0.0 0.31.255.255 any range 20 21,

router-int-3(config)# access-list 102 permit tcp 10.n.0.0 0.31.255.255 any eq 80,

rouert-int-3(config)# access-list 102 permit tcp 10.n.0.0 0.31.255.255 any eq 433,

router-int-3(config)# access-list 102 permit tcp 10.n.0.0 0.31.255.255 any eq pop3,

router-int-3(config)# access-list 102 permit tcp 10.n.0.0 0.31.255.255 any eq smtp,

где 10.n.0.0 - номер сети региона. Запись eq n означает номер порта или название прото-кола.

Выполняем установку соединений. Устанавливать соединение разрешается толь-ко пользователям внутри нашей сети. Для этого в настройку добавля...