Проектирование локальной вычислительной сети

Размещено на http://www.allbest.ru/

Курсовая работа

Тема: Проектирование локальной вычислительной сети



Введение

Развитие компьютерных сетей сопряжено с развитием вычислительной техники и телекоммуникаций. При организации сети необходимо учитывать основные методы организации и тенденции развития современных вычислительных сетей, а также то, что трафик проходит через сеть со скоростью, не превышающей пропускную способность самого медленного участка сети, находящегося на его пути. Особенно это важно при построении больших сетей.

Как правило, в крупных и малых организациях решается ряд типовых задач по созданию вычислительных и телефонных сетей [2, 8]:

- Создание локальной сети в рамках офиса или здания;

- Объединение в единую сеть группу разрозненных филиалов предприятия;

- Создание единого центра коммутации вычислительных и телефонных сетей;

- Повышение безопасности и контроля существующей сети;

- Интеграция различных каналов передачи данных в единую сеть.

При построении локальных сетей используют соответствующее задаче сетевое оборудование. На современном рынке компьютерной техники и технологии сетевое оборудование ЛВС, включая персональные компьютеры, представлено великим множеством различных видов, модификаций, разработками конкурирующих фирм - изготовителей. Такого класса оборудование обновляется непрерывно, в среднем устаревает за 5-7 лет, что создает объективную необходимость для специалистов компьютерных технологий и специалистов, связанных с вычислительной техникой, постоянно следить за колебаниями рынка и проводить на любой необходимый текущий момент анализ состава и характеристик сетевого оборудования ЛВС.

На сегодня проблема выбора сетевого оборудования приобретает все большую актуальность при построении надежной и легко масштабируемой сетевой инфраструктуры организаций.

Целью курсовой работы является проектирование локальной вычислительной сети, использующей стек протоколов TCP/IP.

В соответствии с целью работы поставлены следующие задачи:

- Рассмотреть теоретические вопросы проектирования сетей Интернет;

- Выполнить обоснованный выбор оборудования для проектируемой сети;

- Выполнить проектирование схемы ЛВС;

- Разработать адресацию в сети;

- Разработать систему защиты информации в сети.

Техническое задание на проектирование локальной вычислительной сети Интернет

В процессе выполнения курсовой работы необходимо создать проект локальной вычислительной сети, использующей стек протоколов TCP/IP.

Проектируемая Интернет-сеть располагается в двух зданиях (рис.1).



Рисунок 1 - Расположение отделов

Техническое задание на проектирование сети Интернет по варианту 15, которое включает в себя:

размеры помещений и количество персональных компьютеров в отделах (табл.1);

IP - адрес сети (табл.2);

список используемого оборудования с указанием условной стоимости (табл. З);

таблицу прав компьютеров отдела маркетинга (табл.4).

Конкретные значения размеров помещений и количество установленных в них компьютеров по выданному варианту приведены в табл.1.

коммутатор маршрутизатор адресация сетевой



Таблица 1. Размеры помещений и количество персональных компьютеров в отделах

Размеры помещений и длина трубопровода, м	Количество компьютеров, шт.	Номер варианта
1.1	L2	L3	L4	L5	L6	L7	Отдел маркетинга	Отдел АСУ	Произвол отдел	Проектный отдел
15	20	20	20	20	20	800	5	5	6	7	15	16

Для организации системы внутренней IP-адресации с последующим разделением сети на подсети по CIDR, в табл.2 приводится исходный IP- адрес сети по выданному варианту технического задания.

Таблица 2. IP -- адрес сети

№ варианта	1Р - адрес сети
15	192.168.14.0

Разрешается использовать только оборудование, приведенное в табл.3.

В табл.3 приведены также условные цены на используемое оборудование, которые потребуются при расчете общих затрат на оборудование локальной вычислительной сети.

Таблица 3. Перечень оборудования

Наименование	Условная стоимость (у.е.)
Неэкранированная витая пара (за один метр)	1
Двужильный оптоволоконный кабель (за один метр)	2
Сетевой адаптер с разъемом RJ-45	70
Коммутатор на 6 оптических портов	200
Двухпортовый мост с любой комбинацией портов для коаксиальных кабелей, неэкранированных витых пар и оптоволоконных кабелей	220
Коммутатор на 6 оптических портов и 24 порта с разъемом RJ-45	600
Коммутатор на 8 портов с разъемом RJ-45	150
Коммутатор на 36 портов с разъемом RJ-45	400
Маршрутизатор Wi-Fi на 8 LAN-портов	200
Источник бесперебойного питания на 800 ВА	200
Файловый сервер на основе процессора Pentium с предустановленной операционной системой (максимум на 30 пользователей)	900

Для отдела маркетинга в курсовой работе необходимо создать систему защиты от атак со стороны Интернета на базе фильтрующего маршрутизатора.

Права доступа компьютеров отдела маркетинга, необходимые для создания таблицы фильтрации, приведены в табл.4.

Таблица 4. Разрешения па доступ компьютеров отдела маркетинга к ресурсам сети Интернет, Вариант 3

№ ПК	Разрешения
1	HTTP (83.36.33.02, 113.53.44.28.03, 129.69.23.77), FTP (111 .149.77.134), NTP
2	SMTP. NNTP, TELNET (68.77.23.96), NTP
3	HTTP (130.21.21.70), FTP, TELNET, NTP
4	NNTP (129.06.48.250, 129.06.23.01, 129.73.80.69), NTP
5	HTTP (207.41.35.18, 44.79.21.29), NTP
6	SMTP. HTTP (10.54.122.88), FTP (66.78.11.95), NNTP, NTP
7	SMTP, FTP, HTTP, NTP
8	FITTP (181.06.74.02.02, 113.53.44.28.03, 159.64.23.77), TELNET, NTP

ТРЕБОВАНИЯ К ПРОЕКТУ ЛОКАЛЬНОЙ ВЫЧИСЛИТЕЛЬНОЙ СЕТИ.

Проект локальной вычислительной сети должен удовлетворять следующим требованиям:

• Каждый отдел должен иметь доступ к ресурсам всех остальных отделов.

• Трафик, создаваемый сотрудниками одного отдела, не должен влиять на локальные сети других отделов, кроме случаев обращения к ресурсам локальных сетей других отделов.

• В качестве среды передачи данных могут использоваться витая пара, оптоволокно, радиоканал в соответствии с техническим заданием.

• Один файл-сервер может поддерживать не более 30 пользователей.

• Файловые серверы должны устанавливаться в каждом отделе.

• Расстояние между компьютерами на моноканале должно быть не менее одного метра.

• Коммутационное оборудование и файл-серверы должны иметь защиту от пропадания сетевого напряжения путем использования источников бесперебойного питания (UPS). К UPS подключается все оборудование, размещенное в коммутационном шкафу.

• В коммутационных шкафах размешаются: файл-серверы, коммутационное оборудование (коммутаторы, мосты, маршрутизаторы), источники бесперебойного питания.

• Коммутационные шкафы должны иметь защиту от несанкционированного доступа.

• Проект должен иметь минимальную стоимость.

• Скорость передачи данных в сети - 100 Мбит/с.

• Timиспользуемой сетевой технологии - Fast Ethernet.



1. Теоретические вопросы проектирования сетей Интранет

1.1 Особенности проектирования сетей Интранет на основе коммутаторов и маршрутизаторов

Важным предварительным этапом при проектировании ЛВС является сбор и анализ исходных данных.

На основе анализа собранных данных необходимо упорядочить требования к проектируемой ЛВС и ее составным частям, чтобы в будущем можно было принять взвешенные конкретные решения по планированию ЛВС.

Перед созданием новой сети организации необходимо учесть ряд факторов [2, 6, 7]:

- Требующийся размер сети (в настоящее время, в ближайшем будущем и по перспективному прогнозу).

- Структуру, иерархию и основные части сети (по отделам организации, а также с учетом планов комнат, этажей и зданий организации).

- Граф основных направлений и интенсивности информационных потоков в сети (настоящее - ближайшее будущее - дальняя перспектива). Определение характера пересылаемой по сети информации (данные, аудио, видео), от чего зависит требуемая скорость передачи.

- Технические характеристики сетевого и компьютерного оборудования (компьютер, адаптер, кабель, коммутатор, маршрутизатор) и его стоимости.

- Оценку возможностей проложить кабельную систему в комнатах и между ними, а также мер обеспечения целостности кабеля.

- Требования к обслуживанию сети, обеспечению ее безотказности и безопасности.

- Требования к программному обеспечению с учетом необходимых ресурсов, скорости обмена информацией и разграничения прав доступа

- Учет необходимости подключения к глобальным или к другим ЛВС.

Требуется также проведение полной инвентаризации имеющихся компьютеров, программных средств и периферийных устройств, чтобы исключить дублирование оборудования и программного обеспечения в условиях разделяемых ресурсов, а также определить необходимость модернизации компьютерного оборудования и программных систем.

При создании ЛВС используют активное и пассивное сетевое оборудование. В соответствии с ГОСТ Р 51513-99, активным является оборудование, которое содержит электронные схемы и получает питание от электрической сети или других источников и выполняет функции усиления, преобразования сигналов. Такое оборудование способно обрабатывать сигнал по специальным алгоритмам. Активное сетевое оборудование обеспечивает не только прием и передачу сигнала, но и обработку этой технической информации, распределяя поступающие потоки в соответствии со встроенными в память устройства алгоритмами. Эта «интеллектуальная» особенность, вместе с питанием от сети, является признаком активного оборудования. Так, в состав активного оборудования входят следующие типы устройств [1, 4]:

плата сетевого адаптера, устанавливаемая в компьютер и обеспечивающая его присоединение к ЛВС;

репитер - устройство, как правило, с двумя портами, который предназначен для повторения сигнала с целью увеличения длины сетевого сегмента;

концентратор (активный хаб, многопортовый репитер) является устройством с 4-32 портами, применяется для объединения устройств в сеть;

мост является устройством с 2 портами, обычно используемый для объединения нескольких рабочих групп ЛВС, позволяет выполнять фильтрацию сетевого трафика, разбирая сетевые (MAC) адреса;

коммутатор является устройством с несколькими (4-32) портами, обычно используется для объединения нескольких рабочих групп ЛВС;

маршрутизатор (роутер) используется для объединения нескольких рабочих групп ЛВС, позволяет осуществлять фильтрацию сетевого трафика, разбирая сетевые (IP) адреса;

ретранслятор применяется при создании усовершенствованной беспроводной сети с большей площадью покрытия и представляет собой альтернативу проводной сети. По умолчанию устройство работает в режиме усиления сигнала и выступает в роли ретрансляционной станции, которая улавливает радиосигнал от базового маршрутизатора сети или точки доступа и передает его на ранее недоступные участки.

медиаконвертер является устройством, как правило, с двумя портами, обычно используется для преобразования среды передачи данных (коаксиал-витая пара, витая пара-оптоволокно);

сетевой трансивер является устройством, обычно, с двумя портами, обычно используется для преобразования интерфейса передачи данных (RS232-V35, AUI-UTP).

При построении локальных сетей используют соответствующее задаче сетевое оборудование.

Сетевые коммутаторы 2 уровня применяют для объединения компьютеров в пределах одной сети. Подходят для создания локальной сети в офисе или объединения нескольких офисов в пределах одного здания (рисунок 2).

Рисунок 2 - Сетевой коммутатор 2 уровня Cisco 2960-48TT



Сетевые коммутаторы 3 уровня можно использовать для объединения нескольких различных сетей, он требует специализированной настройки, но в ряде случаев способен заменить такое устройство как маршрутизатор, более дороге по стоимости и обслуживанию. Подходит для объединения в единую сеть нескольких филиалов имеющих различные подсети в условиях стабильной топологии сети (рисунок 3).

Рисунок 3 - Сетевой коммутатор 3 уровня - HP E2910

В таблице коммутатора, которая называется таблицей MAC-адресов, находится список активных портов и MAC-адресов подключенных к ним узлов. Когда узлы обмениваются сообщениями, коммутатор проверяет, есть ли в таблице MAC-адрес. Если да, коммутатор устанавливает между портом источника и назначения временное соединение, которое называется канал. Этот новый канал представляет собой назначенный канал, по которому два узла обмениваются данными. Другие узлы, подключенные к коммутатору, работают на разных полосах пропускания канала и не принимают сообщения, адресованные не им. Для каждого нового соединения между узлами создается новый канал. Такие отдельные каналы позволяют устанавливать несколько соединений одновременно без возникновения коллизий.

Поскольку коммутация осуществляется на аппаратном уровне, это происходит значительно быстрее, чем аналогичная функция, выполняемая мостом с помощью программного обеспечения.

Каждый порт коммутатора можно рассматривать как отдельный микро-мост. При этом каждый порт коммутатора предоставляет каждой рабочей станции всю полосу пропускания передающей среды. Такой процесс называется микро-сегментацией.

Маршрутизаторы являются устройствами преимущественно корпоративного класса, способные динамически объединять различные сети, фильтровать, транслировать и шифровать данные, передаваемые по сети. Маршрутизаторы являются устройствами самого высокого уровня, которые используются интернет провайдерами, и крупными организациями с целью объединения и контроля над группой сетей. Сегодня лидером на рынке такого рода устройств является компания Cisco. В арсенале компании Cisco имеется довольно широкий целевой диапазон оборудования от офисных решений до обеспечения работы сложных ИТ-систем, требующих непрерывности функционирования, гибкой поддержки подключений к глобальной сети, широких возможностей для совместной работы. На сегодня маршрутизаторы Cisco с интеграцией сервисов второго поколения (ISR G2) создают новое рабочее пространство без границ за счет виртуализации сервисов, функций поддержки видео и превосходных эксплуатационных характеристик (рисунок 4).

Маршрутизаторы способны выбирать наилучший путь в сети для передаваемых данных. Функционируя на третьем уровне, маршрутизатор может принимать решения на основе сетевых адресов вместо использования индивидуальных MAC-адресов второго уровня. Маршрутизаторы также способны соединять между собой сети с различными технологиями второго уровня, такими, как Ethernet, Token Ring и FDDI (распределенный интерфейс передачи данных по волоконно-оптическим каналам). Задачей маршрутизатора является инспектирование входящих пакетов (а именно, данных третьего уровня), выбор для них наилучшего пути по сети и их коммутация на соответствующий выходной порт. В крупных сетях маршрутизаторы являются главными устройствами, регулирующими перемещение по сети потоков данных.



Рисунок 4 - Маршрутизатор Cisco C2811

1.2 Особенности разбиения сетей на подсети

Рассмотрим типовую задачу организации доступа в Интернет сотрудникам большого офиса с изолированным трафиком каждого отдела. Такой офис состоит из нескольких комнат с сотрудниками, представляющих отдельные рабочие группы. При решении задачи стандартным путем на основе физической сегментации трафика каждого отдела, то надо установить в каждую комнату отдельный коммутатор, подключенный отдельным кабелем к маршрутизатору, который предоставляет доступ в Интернет. В маршрутизаторе должно быть столько портов, чтобы обеспечить подключение всех физических сегментов сети. Такие решения плохо масштабируются и явно дорогие, поскольку при добавлении отделов потребуется приобрести соответствующее число коммутаторов, маршрутизатор (если недостаточно портов) и магистральный кабель. На рисунке 5 отображена физическая сегментация сети.



Рисунок 5 - Физическая сегментация сети [6]

Передача данных между узлами разных виртуальных сетей производится только через маршрутизатор.

Если же использовать виртуальную локальную сеть, не нужно подключение пользователей каждого из отделов к отдельным коммутаторам, сокращается число необходимых сетевых устройств и магистрального кабеля. Управляемый коммутатор с поддержкой функции виртуальной локальной сети позволит организовать логическую сегментацию сети с помощью программной настройки.

В этом случае можно будет подключить пользователей из разных логических сегментов к одному коммутатору, а также сократится число необходимых портов маршрутизатора. Рисунок 6 отображает логическую группировку сетевых пользователей в VLAN.



Рисунок 6 - Логическая группировка сетевых пользователей в VLAN

При организации сети VLAN на основе портов каждой определенной VLAN назначен один порт, вне зависимости от того, какая рабочая станция подключена к этому порту. Это означает, что все рабочие станции, которые подключены к этому порту, будут принадлежать одной VLAN. Конфигурация портов является статической и ее можно изменить только вручную. На рисунке 7 отображена сеть VLAN на основе портов: порты 3,6,8 и 9 принадлежат к VLAN1, а порты 1,2,4,5 и 7 принадлежат к VLAN2 [3].

Рисунок 7 - VLAN на основе портов

Рассмотрим основные характеристики VLAN на основе портов.

Для создания виртуальных сетей на основе группирования портов всем портам, помещаемым в одну VLAN надо присвоить одинаковый идентификатор VLAN (VLAN ID). Можно изменять логическую топологии сети, не перемещая рабочие станции физически. Для этого изменяют настройки порта с одной VLAN на другую, и рабочая станция получит возможность совместного использования ресурсов новой другой сети VLAN.

Каждый порт может входить только в одну VLAN. Чтобы объединить виртуальные подсети как в одном коммутаторе, так и между двумя коммутаторами, надо применить сетевой уровень OSI-модели. Один из портов каждой VLAN подключают к интерфейсу маршрутизатора, в котором создается таблица маршрутизации для пересылки кадров из одной подсети (VLAN) в другую (IP-адреса подсетей должны различаться) (Рисунок 8).

Рисунок 8 - Объединение VLAN с помощью маршрутизирующего устройства

1.3 Особенности IP-адресации сетей и маршрутизации

IP-адрес используется, чтобы однозначно определить устройств в IP - сети. Адрес состоит из 32 двоичных разрядов и с помощью маски подсети разделяется на часть сети и часть главного узла.32 двоичных разряда разделены на четыре октета (1 октет = 8 битов). Каждый октет преобразуется в десятичное представление и отделяется от других октетов точкой. Поэтому принято говорить, что IP-адрес представлен в десятичном виде с точкой (например, 172.16.81.100)

В адресе класса А первый октет является частью сети, таким образом, Класс A имеет основной сетевой адрес 1.0.0.0 - 127.255.255.255. Октеты 2,3 и 4 (следующие 24 бита) предоставлены сетевому администратору, который может разделить их на подсети и узлы. Адреса класса A используются в сетях с количеством узлов, превышающим 65 536 (фактически до 16777214 узлов).

В адресе Класса B первые два октета являются частью сети, таким образом, Класс B имеет основной сетевой адрес 128.0.0.0 - 191.255.255.255. Октеты 3 и 4 (16 битов) предназначены для локальных подсетей и узлов. Адреса класса B используются в сетях с количеством узлов от 256 до 65534.

В адресе Класса C первые три октета являются частью сети. Класс C имеет основной сетевой адрес 192.0.0.0 - 223.255.255.255. Октет 4 (8 битов) предназначен для локальных подсетей и узлов. Этот класс идеально подходит для сетей, в которых количество узлов не превышает 254.

Маска сети позволяет определить, какая часть адреса является сетью, а какая часть адреса указывает на узел. Сети класса A, B и C имеют маски по умолчанию, также известные как естественные маски:

Class A: 255.0.0.0

Class B: 255.255.0.0

Class C: 255.255.255.0

Как можно разделить на подсети сеть класса B. Если используется сеть 172.16.0.0, то естественная маска равна 255.255.0.0 или 172.16.0.0/16. Расширение маски до значения выше 255.255.0.0 означает разделение на подсети.

Маска подсети является необходимым дополнением к IP адресу. Если бит в IP адресе соответствует единичному биту в маске, то этот бит в IP адресе представляет номер сети, а если бит в IP адресе соответствует нулевому биту в маске, то этот бит в IP адресе представляет номер хоста. Так для маски 255.255.0.0 и адреса 172.24.100.45 номер сети будет 172.24.0.0, а для маски 255.255.255.0 номер сети будет 172.24.100.0.

Другая форма записи маски - /N, где N - число единиц в маске. Эта форма используется только в сочетании с IP адресом. Например, для маски 255.255.0.0 и адреса 172.24.100.45 пишут172.24.100.45/16.

Термин класс редко больше используется в отрасли из-за введения методологии CIDR.

Уже в начале 90-х годов почти все сети класса В были распределены. Добавление в Интернет новых сетей класса С приводило к значительному росту таблиц маршрутов и перегрузке маршрутизаторов. Использование бесклассовой адресации позволило в значительной мере решить возникшие проблемы.

CIDR - Бесклассовая междоменная адресация(ClasslessInter-Domain Routing). CIDR позволяет агрегировать (суммировать) маршрутные записи. Другими словами, уменьшать количество записей хранящихся в таблице маршрутизатора и передаваемых другому маршрутизатору.

Методология CIDR была представлена для улучшения и масштабируемости использования и маршрутизации адресного пространства в Интернете. Необходимость в ней появилась вследствие быстрого роста Интернета и увеличения размера таблиц маршрутизации в маршрутизаторах сети Интернет.

В маршрутизации CIDR не используются традиционные IP-классы (класс A, класс B, класс C и т. д.). IP-сеть представлена префиксом, который является IP-адресом, и каким-либо обозначением длины маски. Длиной называется количество расположенных слева битов маски, которые представлены идущими подряд единицами. Так сеть 172.16.0.0 255.255.0.0 может быть представлена как 172.16.0.0/16. Кроме того, CIDR служит для описания иерархической структуры сети Интернет, где каждый домен получает свои IP-адреса от более верхнего уровня. Это позволяет выполнять сведение доменов на верхних уровнях. Если, к примеру, поставщик услуг Интернета владеет сетью 172.16.0.0/16, то он может предлагать своим клиентам сети 172.16.1.0/24, 172.16.2.0/24 и т. д. Однако при объявлении своего диапазона другим провайдерам ему достаточно будет объявить сеть 172.16.0.0/16.

Создание доменных имен

127.0.0.1 localhost

192.168.1.2 myserver.ru

Таблицы фильтрации маршрутизатора

Под фильтрацией понимается нестандартная обработка IP-пакетов маршрутизаторами, приводящая к отбрасыванию некоторых пакетов или изменению их маршрута.

Условия фильтрации маршрутизаторов обычно существенно сложнее и в них учитывается гораздо больше признаков, чем у коммутаторов локальных сетей. Например, это могут быть:

- IP-адреса источника и приемника;

- МАС-адреса источника и приемника;

- идентификатор интерфейса, с которого поступил пакет;

- тип протокола, сообщение которого несет IP-пакет (то есть TCP, UDP, ICMP или OSPF);

- номер порта TCP/UDP (то есть тип протокола прикладного уровня).

При наличии фильтра маршрутизатор сначала проверяет совпадение условия, описанного этими фильтром, с признаками пакета, и при положительной проверке выполняет над пакетом ряд нестандартных действий. Например, пакет может быть отброшен (drop); направлен к следующему маршрутизатору, отличающемуся от того, который указан в таблице маршрутизации; помечен, как вероятный кандидат на отбрасывание при возникновении перегрузки. Одним из таких действий может быть и обычная передача пакета в соответствии с записями таблицы маршрутизации.

Рассмотрим примеры фильтров, написанных на командном языке маршрутизаторов Cisco. Эти фильтры, называемые списками доступа, сегодня в IP-маршрутизаторах являются очень распространенным средством ограничения пользовательского трафика.

Наиболее простым является стандартный список доступа; в нем в качестве условия фильтрации учитывается только IP-адрес источника.

Общая форма такого условия выглядит следующим образом:

access-listномер_списка_доступа{ deny | permit } { адрес_источника [ метасимволы_источника ] | any }

Стандартный список доступа определяет два действия с пакетом, который удовлетворяет описанному в фильтре условию: отбросить (deny) или передать для стандартной обработки в соответствии с таблицей маршрутизации (permit). Условием выбора того или иного действия в стандартном списке доступа является совпадение IP-адреса источника пакета с адресом источника, заданным в списке. Совпадение проверяется в том же стиле, что и при проверке таблицы маршрутизации, при этом метасимволы являются аналогом маски, но в несколько модифицированном виде. Двоичный нуль в поле метасимволов источника означает, что требуется совпадение значения этого разряда в адресе пришедшего пакета и в адресе, заданном в списке доступа. Двоичная единица означает, что совпадения в этом разряде не требуется. Практически, если вы хотите задать условие для всех адресов некоторой подсети, то должны использовать инвертированное значение маски этой подсети. Параметр any означает любое значение адреса -- это просто более понятная и краткая форма записи значения 255.255.255.255 в поле метасимволов источника. Пример стандартного списка доступа:access-list 1 deny 192.78.46.0 0.0.0.255

Здесь:1 -- номер списка доступа;

deny -- действие с пакетом, который удовлетворяет условию данного списка доступа;

192.78.46.0 -- адрес источника;

0.0.0.255 -- метасимволы источника.

Этот фильтр запрещает передачу пакетов, у которых в старших трех байтах адреса источника имеется значение 192.78.46.0.

Список доступа может включать более одного условия. В этом случае он состоит из нескольких строк с ключевым словом access-list и одним и тем же номером списка доступа. Так, если мы хотим разрешить прохождение через маршрутизатор пакетов хоста 192.78.46.12, запрещая передачу пакетов одному из хостов сети 192.78.46.0/24, то список доступа будет выглядеть следующим образом:

access-list 1 permit 192.78.46.12 0.0.0.0

access-list 1 deny 192.78.46.0 0.0.0.255

access-list 1 permitany

Условия списка доступа проверяются по очереди, если какое-либо из них дает совпадение, то выполняется действие permit или deny, определенное в этом условии. После этого остальные условия списка уже не проверяются. Считается по умолчанию, что в конце каждого списка имеется неявное условие вида:

[access-list 1 denyany]

Однако, если вам все же требуется пропускать все пакеты, не определенные явно в условиях, необходимо добавить в последней строке условие:

access-list 1 permitany

Таблицы трансляции сетевых адресов

NAT(NetworkAddressTranslation - «преобразование сетевых адресов») - это механизм всетяхTCP/IP, позволяющий преобразовывать IP-адресатранзитных пакетов.

Преобразование адреса методом NAT может производиться почти любым маршрутизирующим устройством - маршрутизатором, сервером доступа, межсетевым экраном.

Наиболее популярным является SNAT, суть механизма которого состоит в замене адреса источника при прохождении пакета в одну сторону и обратной замене адреса назначения в ответном пакете. Наряду с адресами источник/назначение могут также заменяться номера портов источника и назначения. Принимая пакет от локального компьютера, роутер смотрит на IP-адрес назначения. Если это локальный адрес, то пакет пересылается другому локальному компьютеру. Если нет, то пакет надо переслать наружу в интернет. Но ведь обратным адресом в пакете указан локальный адрес компьютера, который из интернета будет недоступен. Поэтому роутер «на лету» транслирует (подменяет) обратный IP-адрес пакета на свой внешний (видимый из интернета) IP-адрес и меняет номер порта (чтобы различать ответные пакеты, адресованные разным локальным компьютерам). Комбинацию, нужную для обратной подстановки, роутер сохраняет у себя во временной таблице. Через некоторое время после того, как клиент и сервер закончат обмениваться пакетами, роутер сотрет у себя в таблице запись о n-ом порте за сроком давности.

Статический NAT-- Отображение незарегистрированного IP-адреса на зарегистрированный IP-адрес на основании один к одному. Особенно полезно, когда устройство должно быть доступным снаружи сети.

Динамический NAT-- Отображает незарегистрированный IP-адрес на зарегистрированный адрес из группы зарегистрированных IP-адресов. Динамический NAT также устанавливает непосредственное отображение между незарегистрированным и зарегистрированным адресом, но отображение может меняться в зависимости от зарегистрированного адреса, доступного в пуле адресов, во время коммуникации.

Перегруженный NAT(NAPT, NAT Overload, PAT, маскарадинг)-- форма динамического NAT, который отображает несколько незарегистрированных адресов в единственный зарегистрированный IP-адрес, используя различные порты.

Известен также как PAT(Port Address Translation). При перегрузке каждый компьютер в частной сети транслируется в тот же самый адрес, но с различным номером порта.

На рисунке9 приведен пример действия механизма NAT. Устройство NAT получает пакет и делает запись в таблице отслеживания соединений, которая управляет преобразованием адресов.

Рисунок 9 - Действия механизма NAT

NAT выполняет три важных функции.

1. Позволяет сэкономить IP-адреса, транслируя несколько внутренних IP-адресов в один внешний публичный IP-адрес (или в несколько, но меньшим количеством, чем внутренних). По такому принципу построено большинство сетей в мире: на небольшой район домашней сети местного провайдера или на офис выделяется 1 публичный (внешний) IP-адрес, за которым работают и получают доступ интерфейсы с частными (внутренними) IP-адресами.

2. Позволяет предотвратить или ограничить обращение снаружи к внутренним хостам, оставляя возможность обращения из внутренней сети во внешнюю. При инициации соединения изнутри сети создаётся трансляция. Ответные пакеты, поступающие снаружи, соответствуют созданной трансляции и поэтому пропускаются. Если для пакетов, поступающих из внешней сети, соответствующей трансляции не существует (а она может быть созданной при инициации соединения или статической), они не пропускаются.

3. Позволяет скрыть определённые внутренние сервисы внутренних хостов/серверов. По сути, выполняется та же указанная выше трансляция на определённый порт, но возможно подменить внутренний порт официально зарегистрированной службы (например, 80-й порт TCP (HTTP-сервер) на внешний 54055-й). Тем самым, снаружи, на внешнем IP-адресе после трансляции адресов на сайт для осведомлённых посетителей можно будет попасть по адресуhttp://dlink.ru:54055, но на внутреннем сервере, находящимся за NAT, он будет работать на обычном 80-м порту.

Статическая трансляция адресов

Внутренний интерфейс:

dyn3(config)# int fa0/0

dyn3(config-if)# ipnat inside

Внешнийинтерфейс:

dyn3(config)# int fa1/0

dyn3(config-if)# ipnat outside

Трансляцияадресавадрес:

dyn3(config)# ipnat inside source static 3.3.3.3 192.168.1.10

Трансляция адреса в адрес интерфейса:

dyn3(config)# ipnat inside source static 3.3.3.3 int fa0/0

Трансляция одной сети в другую (транслируется часть сети, а часть хоста сохраняется)

dyn3(config)# ipnat inside source static network 3.3.3.0 200.3.3.0 /24

1.4 Выбор оборудования для проектируемой сети с его обоснованием из перечня оборудования

В соответствии с требованием к минимизации затрат на создание сети выбрано оборудование, отображенное в таблице 5.Для прокладки кабельной системы внутри помещений выбран кабель неэкранированная витая пара, который соединит рабочие станции с коммутаторами(разъем RJ-45), маршрутизатором Wi-Fi(8 LAN-портов), а также сетевое оборудование между собой. Расстояние между сетевыми устройствами для витой пары ограничено 100 метрами. Поэтому для прокладки кабельной системы в трубопроводе (800 метров) выбран двужильный оптоволоконный кабель, который позволяет организовать прямое соединение между двумя двухпортовыми мостами без промежуточного оборудования. Во все компьютеры необходимо установить сетевой адаптер с разъемом RJ-45. Двухпортовые мосты (порт для неэкранированных витых пар и порт для оптоволоконных кабелей) соединят сегменты сети на неэкранированной витой паре между собой по оптоволоконному кабелю. Коммутаторы на 8 портов с разъемом RJ-45 и маршрутизатор Wi-Fi на 8 LAN-портов используются объединения всех сетевых устройств в единую локальную сеть. Этот же маршрутизатор Wi-Fi на 8 LAN-портов в отделе маркетинга необходим для организации фильтрации сетевого трафика. Для обеспечения бесперебойного режима работы сетевого оборудования в каждый коммуникационный шкаф устанавливается Источник бесперебойного питания на 800 ВА. Для обеспечения доступа к общим сетевым ресурсам выбран файловый сервер на основе процессора Pentium с предустановленной операционной системой (максимум на 30 пользователей).

Таблица 5. Перечень оборудования

Наименование	Условная стоимость (у.е.)
Неэкранированная витая пара (за один метр)	1
Двужильный оптоволоконный кабель (за один метр)	2
Сетевой адаптер с разъемом RJ-45	70
Двухпортовый мост с любой комбинацией портов для коаксиальных кабелей, неэкранированных витых пар и оптоволоконных кабелей	220
Коммутатор на 8 портов с разъемом RJ-45	150
Маршрутизатор Wi-Fiна 8 LAN-портов	200
Источник бесперебойного питания на 800 ВА	200
Файловый сервер на основе процессора Pentiumс предустановленной операционной системой (максимум на 30 пользователей)	900

1.5 Расчет суммарной стоимости оборудования сети с обоснованием выбранного варианта

Для организации канала связи по трубопроводу необходимо 806 метров двужильного оптоволоконного кабеля (800 метров трубопровод и по 3 метра с каждой стороны для заведения кабеля в коммуникационный шкаф к мосту.

Выполняем расчет длины кабеля для неэкранированной витой пары, расход кабеля определяется расстоянием от коммуникационного шкафа до рабочей точки плюс три метра на ввод кабеля в коммуникационного шкаф к оборудованию, таблицы 6-9.

Таблица 6 - Расход кабеля на СКС отдела маркетинга

Рабочее место	Расстояние от коммуникационного шкафа до рабочей точки	Расход кабеля, в метрах
Точка 1	3	6
Точка 2	5	8
Точка 3	7	10
Точка 4	3	6
Точка 5	5	8
Итого	38

Таблица 7 - Расход кабеля на СКС отдела АСУ

Рабочее место	Расстояние от коммуникационного шкафа до рабочей точки	Расход кабеля, в метрах
Точка 1	3	6
Точка 2	5	8
Точка 3	7	10
Точка 4	3	6
Точка 5	5	8
Итого	38



Таблица 8 - Расход кабеля на СКС производственного отдела

Рабочее место	Расстояние от коммуникационного шкафа до рабочей точки	Расход кабеля, в метрах
Точка 1	3	6
Точка 2	5	8
Точка 3	7	10
Точка 4	3	6
Точка 5	5	8
Точка 6	7	10
Итого	48

Таблица 9 - Расход кабеля на СКС проектного отдела

Рабочее место	Расстояние от коммуникационного шкафа до рабочей точки	Расход кабеля, в метрах
Точка 1	3	6
Точка 2	5	8
Точка 3	7	10
Точка 4	3	6
Точка 5	5	8
Точка 6	7	10
Точка 6	9	12
Итого	60

Рассчитываем длину кабеля для соединения оборудования коммуникационных шкафов: 20 + 6 + 20 +6 =52 метра

Выполняем расчет всей длины неэкранированной витой пары

38+38+48+60+52= 236 метров

В таблице 10 содержатся результаты расчета суммарной стоимости оборудования.

Таблица 10. Расчет суммарной стоимости оборудования

Наименование	Условная стоимость (у.е.)	Кол-во	Сумма
Неэкранированная витая пара (за один метр)	1	236	236
Двужильный оптоволоконный кабель (за один метр)	2	806	1612
Сетевой адаптер с разъемом RJ-45	70	24	1680
Двухпортовый мост с любой комбинацией портов для коаксиальных кабелей, неэкранированных витых пар и оптоволоконных кабелей	220	2	440
Коммутатор на 8 портов с разъемом RJ-45	150	3	450
Маршрутизатор Wi-Fiна 8 LAN-портов	200	1	200
Источник бесперебойного питания на 800 ВА	200	4	800
Файловый сервер на основе процессора Pentiumс предустановленной операционной системой (максимум на 30 пользователей)	900	1	900
Итого			6318

Для подключения к сети рабочих станций сотрудников и сервера необходимо 24 сетевых адаптера с разъемом RJ-45.

Для соединения сегмента сети производственного отдела с сегментом сети проектного отдела требуются два двухпортовых моста (порт для неэкранированных витых пар и порт для оптоволоконных кабелей).

Для объединения всех сетевых устройств в единую локальную сеть требуется 3 коммутатора на 8 портов с разъемом RJ-45 и один маршрутизатор Wi-Fi на 8 LAN-портов.

Для обеспечения бесперебойного режима работы сетевого оборудования в каждый коммуникационный шкаф устанавливается Источник бесперебойного питания на 800 ВА, всего 4 штуки. Для обеспечения доступа к общим сетевым ресурсам выбран файловый сервер на основе процессора Pentium с предустановленной операционной системой (максимум на 30 пользователей), одна штука, поскольку в сети 23 рабочие станции.

Но в такой комплектации будут заняты все порты коммутаторов и для расширения сети необходимо будет добавить дополнительное оборудование.

В соответствии с выбранным оборудованием была разработана принципиальная схема сети, работоспособная и удовлетворяющая требованиям, предъявляемым к проекту локальной вычислительной сети.



2. Размещение оборудования в отделах организации

В соответствии с Санитарно-эпидемиологические правила и нормативы СанПиН 2.2.2/2.4.1340-03"Гигиенические требования к персональным электронно-вычислительным машинам и организации работы":

«При размещении рабочих мест с ПЭВМ расстояние между рабочими столами с видеомониторами (в направлении тыла поверхности одного видеомонитора и экрана другого видеомонитора), должно быть не менее 2,0 м, а расстояние между боковыми поверхностями видеомониторов - не менее 1,2 м».

Исходя из этого, а также из производственной необходимости и минимизации затрат размещаем компьютеры сотрудников на расстоянии 2 метра друг от друга, 1 метр от стены и 3 метра от коммуникационного шкафа.

Разработана схема размещения компьютеров и коммуникационных шкафов с сетевым оборудованием (Приложение А. Рисунок А.2)



3. Разработка адресации в сети

Начальное условие - сеть класса С, то есть

192.168.14.0/24

255.255.255.0

Данная маска показывает, что в распоряжении находятся 256 адресов.

Максимальное количество компьютеров находится в проектном отделе и равно 7.То есть для подсети достаточно 8 адресов.

256/8= 32, то есть можно выделить 32 подсети.

Вычитаем из максимального числа адресов количество адресов подсети

256-8=248

То есть получаем маску 255.255.255.248 или 192.168.14.0/29

Но при таком делении можно использовать только 6 адресов, проектном отделе требуется 7. Поэтому необходимо увеличить размер подсети. Выполняем пересчет.

256/16=16, то есть выделяется 16 подсетей.

Вычитаем из максимального числа адресов количество адресов подсети

256-16=240

То есть получаем маску 255.255.255.240 или 192.168.14.0/28

На основе этого формируем Разделения сети на подсети по CIDR в таблице 11 и систему адресации в сети в таблице 12.

Таблица 11. Разделения сети на подсети по CIDR

Наименование подсети	Пул адресов	Адрес подсети
Подсеть 1 (отдел маркетинга)	192.168.14.1-192.168.14.14	192.168.14.0
Подсеть 2 (отдел АСУ)	192.168.14.17-192.168.14.31	192.168.14.16
Подсеть 3 (производственный отдел)	192.168.14.33-192.168.14.47	192.168.14.32
Подсеть 4 (проектный отдел)	192.168.14.49-192.168.14.62	192.168.14.48

Таблица 12. Система адресации в сети

	IP-адрес	Доменное имя	Адрес электронной почты компьютеров (E-mail)
Маршрутизатор	192.168.14.1	market.local
ПК1	192.168.14.2	Mark1.market.local	Mark1@ market.local
ПК2	192.168.14.3	Mark2.market.local	Mark2@ market.local
ПК3	192.168.14.4	Mark3.market.local	Mark3@ market.local
ПК4	192.168.14.5	Mark4.market.local	Mark4@ market.local
ПК5	192.168.14.6	Mark5.market.local	Mark5@ market.local
ПК6	192.168.14.9	A6.asu.local	A6@ asu.local
ПК7	192.168.14.10	A7.asu.local	A7@ asu.local
ПК8	192.168.14.11	A8.asu.local	A8@ asu.local
ПК9	192.168.14.12	A9.asu.local	A9@ asu.local
ПК10	192.168.14.13	A10.asu.local	A10@ asu.local
Сервер	192.168.14.14	local
ПК11	192.168.14.17	Prod11.production.local	Prod11@ production.local
ПК12	192.168.14.18	Prod12.production.local	Prod12@ production.local
ПК13	192.168.14.19	Prod13.production.local	Prod13@ production.local
ПК14	192.168.14.20	Prod14.production.local	Prod14@ production.local
ПК15	192.168.14.21	Prod15.production.local	Prod15@ production.local
ПК16	192.168.14.22	Prod16.production.local	Prod16@ production.local
ПК17	192.168.14.25	Prj17.project.local	Prj17@ project.local
ПК18	192.168.14.26	Prj18.project.local	Prj18@ project.local
ПК19	192.168.14.27	Prj19.project.local	Prj19@ project.local
ПК20	192.168.14.28	Prj20.project.local	Prj20@ project.local
ПК21	192.168.14.29	Prj21.project.local	Prj21@ project.local
ПК22	192.168.14.30	Prj22.project.local	Prj22@ project.local
ПК23	192.168.14.31	Prj23.project.local	Prj23@ project.local



4. Разработка системы защиты информации в сети

Права доступа компьютеров отдела маркетинга, необходимые для создания таблицы фильтрации, приведены в табл.13. Формируем таблицы 14 и 15 для описания NATи фильтрации для компьютеров отдела маркетинга.

Таблица 13. Разрешения на доступ компьютеров отдела маркетинга к ресурсам сети Интернет, Вариант 3

№ ПК	Разрешения
1	HTTP (83.36.33.02, 113.53.44.28.03, 129.69.23.77), FTP (111 .149.77.134), NTP
2	SMTP. NNTP, TELNET (68.77.23.96), NTP
3	HTTP (130.21.21.70), FTP, TELNET, NTP
4	NNTP (129.06.48.250, 129.06.23.01, 129.73.80.69), NTP
5	HTTP (207.41.35.18, 44.79.21.29), NTP

Таблица 14. NATдля компьютеров отдела маркетинга

№ ПК	Внутренний адрес	Шлюз	Внешний адрес
ПК1	192.168.14.2	192.168.14.1	83.36.33.02 113.53.44.28.03 129.69.23.77 111 .149.77.134
ПК2	192.168.14.3	192.168.14.1	68.77.23.96
ПК3	192.168.14.4	192.168.14.1	130.21.21.70
ПК4	192.168.14.5	192.168.14.1	129.06.48.250 129.06.23.01 129.73.80.69
ПК5	192.168.14.6	192.168.14.1	207.41.35.18 44.79.21.29

Таблица15.Фильтрация маршрутизатора отдела маркетинга

№ ПК	Внутренний адрес	Разрешенный протокол	Разрешение доступа
ПК1	192.168.14.2	HTTP	83.36.33.02 113.53.44.28.03 129.69.23.77
		FTP	111 .149.77.134
		NTP	Без ограничений
ПК2	192.168.14.3	TELNET	68.77.23.96
		SMTP	Без ограничений
		NNTP	Без ограничений
		NTP	Без ограничений
ПК3	192.168.14.4	HTTP	130.21.21.70
		FTP
		TELNET	Без ограничений
		NTP	Без ограничений
ПК4	192.168.14.5	NNTP	129.06.48.250 129.06.23.01 129.73.80.69
		NTP	Без ограничений
ПК5	192.168.14.6	HTTP	207.41.35.18 44.79.21.29
		NTP	Без ограничений



Заключение

В результате была достигнута цель курсового проекта - создан проект локальной вычислительной сети Интернет.

Решены все поставленные задачи:

- Рассмотрены теоретические вопросы проектирования сетей Интернет;

- Выполнен обоснованный выбор оборудования для проектируемой сети;

- Выполнено проектирование схемы ЛВС;

- Разработана адресацию в сети;

- Разработана систему защиты информации в сети.

Созданная общая ЛВС, охватывающая все четыре отдела и обеспечит эффективную работу сотрудников.

На основе плана здания осуществили выбор структуры сети: в общей локальной сети было выделено 4 сегмента - по одному на отдел, а для их объединения использовалась топология «звезда» и технология Fast Ethernet.

А также был осуществлен выбор оборудования, поддерживающего технологию Fast Ethernet, сервера для управления ЛВС.

Был произведен расчет затрат на создание локальной вычислительной сети, которые составили 6318у.е.

Важно учесть, что конечный эффект от применения ЛВС связан не только с возмещением затрат на покупку, монтаж и эксплуатацию оборудования, а, в первую очередь, с дополнительным улучшением качества оказываемых услуг и принимаемых решений.



Список литературы

1. Васин Н.Н Построение сетей на базе коммутаторов и маршрутизаторов (2-е изд.) / М.: НОУ "Интуит" 2016. - 330 с.

2. Гук М. Аппаратные средства локальных сетей /М. Гук - СПб.: Питер, 2012. - 230 с.

3. Зимин, В.В. Промышленные сети: учебное пособие для вузов / НГТУ им. Р.Е. Алексеева; В.В. Зимин. - Н. Новгород, 2.008. - 252 с.

4. Коломоец, Г.П. Организация компьютерных сетей. Учебное пособие: / Запорожье: КПУ, 2012. - 158 с.

5. Олифер, В.Г. Компьютерные сети. Принципы, технологии, протоколы / В.Г. Олифер, Н.А. Олифер. - СПб.: Питер, 2016. - 992 с.

6. УэнделлОдом. Программа сетевой академии Cisco CCNA 3 и 4. Вспомогательное руководство / М.: Вильямс, 2007. - 944 с.



Приложение А

Схемы ЛВС

Рисунок А.1 - Принципиальная (логическая) схема сети



Размещено на Allbest.ur

...