Построение защищенной корпоративной сети предприятия на основе технологии VPN

Размещено на http://www.allbest.ru/

Федеральное агентство связи

Федеральное государственное бюджетное образовательное учреждение

высшего образования

«Поволжский государственный университет телекоммуникаций и информатики»

Факультет Телекоммуникаций и радиотехники

Направление Информационная безопасность телекоммуникационных систем

Кафедра Мультисервисные сети и информационная безопасность

ВЫПУСКНАЯ КВАЛИФИКАЦИОННАЯ РАБОТА

(ДИПЛОМНАЯ РАБОТА)

Построение защищенной корпоративной сети предприятия на основе технологии VPN

Утверждаю зав.кафедрой д.т.н., профессор В.Г.Карташевский

Руководитель Декан ФЗО к.т.н., доцент В.В. Пугин

Н. контролер доцент к.т.н., Н.М.Бельская

Разработал ИБТС-12 А.С.Артамонова

Самара 2017

Содержание

Задание по подготовке ВКР

Отзыв руководителя

Показатели качества ВКР

Рецензия

Реферат

Введение

1. Основы построения корпоративных сетей

1.1 Понятие корпоративной сети

1.2 Проблемы при создании корпоративной сети

1.3 Технологии построения корпоративных сетей

2. Виртуальная частная сеть VPN

2.1 Основные понятия

2.2 История появления VPN

2.3 Плюсы VPN

2.4 Минусы VPN

3. Архитектура корпоративной сети производственно-коммерческой фирмы «ВолrаЭлектроМаркет»

3.1 Краткие сведения о ПКФ «ВолrаЭлектроМаркет»

3.2 Характеристика существующей сети

3.3 Характеристика внедряемой VPN сети

3.4 Структурная схема проектируемой сети

4. Построение модели надёжности услуги VPN и оценка коэффициента готовности

4.1 Модели надёжности услуги VPN

4.2 Коэффициентом готовности услуги VPN

4.3 Модель надежности и коэффициент готовности сервера доступа

4.4 Модель надежности и коэффициент готовности ПК пользователя

4.5 Модель надежности и коэффициент готовности линии доступа пользователя

4.6 Модель надежности и коэффициент готовности транспортной сети

4.7 Модель надежности и коэффициент готовности пограничного маршрутизатора

4.8 Модель надежности и коэффициент готовности серверов, сертификатов аутентификации и политики

4.9 Модель надежности и коэффициент готовности межсетевого экрана

5. Оценка безопасности услуги VPN

6. Расчет риска услуги VPN

Заключение

Список использованных источников

Приложение А-СЛАЙДЫ ПРЕЗЕНТАЦИИ

Введение

В современном мире любая организация задумывается о безопасности своей информации. Так как каждая из них представляет собой множество взаимодействующих структур (подразделений), обладающими своими особенностями. Эти структуры связаны как функционально, так и информационно , т.е. выполняют часть всех работ в рамках всего процесса, а также обмениваясь различной информацией (письменными и устными распоряжениями, документами, факсами и т.д. ). Так же структуры организации взаимодействуют с внешними системами опять информационно и функционально.

Встает вопрос как создать наиболее эффективную систему управления имеющимися подразделениями? И при этом обеспечить надежную и высококачественную связь между главным офисом и всеми подразделениями, а так же обеспечить конфиденциальную передачу данных. И конечно было приятно при все этом снизить расходы на телекоммуникационное обеспечение, тратить меньше времени на сборы всех отчетов, быстро обрабатывать потоки информации, передающеюся между подразделениями?

Таким решением может является создание единой информационной системы на базе корпоративной сети. Разумеется, что в зависимости от самой деятельности компании требования к таким системам будут различны. Но все таки комплексный подход дает возможность выразить многие единые основы построения корпоративных сетей, на базе которых создаются «стандартные» проекты.

На сегодняшний день большое распространение получила реализация зачищенной корпоративной сети, с помощью одной из самых грамотной и выгодной в экономическом плане технологии, виртуальных частных сетей (VPN).

VPN представляет собой соединение единичных машин либо локальных сетей в виртуальной сети, что гарантирует единство и защищенность передаваемых сведений. Она обладает свойствами выделенной частной сети и дает возможность передавать сведения между пк через промежуточную сеть, к примеру через Internet).

VPN обладает экономическими преимуществами по сравнению с другими методами удаленного доступа:

- пользователи имеют возможность воспользоваться корпоративной сетью без коммутируемого соединения, подобным способом, пропадает необходимость пользоваться модемами.

- есть возможность обойтись без участия выделенных линий. С доступом в Интернет, каждый пользователь сможет подсоединиться к сети своей организации. Хотелось бы отметить, что несмотря на общедоступность информации вовсе не означает ее беззащитность.

Концепция защищенности VPN - это защита, которая оберегает корпоративные данные от несанкционированного доступа. В первую очередь вся информация передается в зашифрованном варианте. Получить доступ к данным сможет лишь личность обладающая ключом к шифру. Доказательство подлинности содержит все себе контроль целостности информации и идентификацию пользователей. Контроль целостности обеспечивает, чтобы все данные пришли до получателя в том же виде, в каком были отправлены. Затем система делает проверку, не были ли внесены изменения в данные в период их перемещения по сетям, случайно или намеренно. В общем говоря, построение VPN подразумевает формирование защищенных туннелей среди локальных сетей либо удаленных пользователей. С целью построения VPN следует обладать программами шифрования исходящего и дешифрования входящего трафиков ,на обоих концах линии связи. Аутентификация, шифрование, а так же управление доступом - основные элементы защищенного соединения.

Все выше сказанное говорит об актуальности данной ВКР на тему построения защищенной корпоративной сети предприятия на основе технологии VPN.

Целью дипломной работы является внедрение технологии виртуальных частных сетей при построении корпоративной сети Компании.

Достижение этой цели предполагает решение следующих задач:

? дать понятие корпоративных сетей;

? изучить методы построения корпоративных сетей;

? выявить основные проблемы безопасности корпоративной сети;

? исследовать методы защиты от атак на корпоративные сети;

? выявить преимущества и недостатки использования технологии виртуальных частных сетей;

? организовать корпоративную сеть по технологии VPN;

? произвести оценку безопасности услуги VPN.

Объектом исследования в данной работе является ПКФ «ВолrаЭлектроМаркет»

Предметом исследования является технология построения защищенной корпоративной сети VPN.

Цель и задачи написания работы определили ее структуру, которая состоит из введения, шести глав, заключения, списка используемых источников и приложений.

Во введении обосновывается актуальность работы, цель, задачи, объект и предмет исследования.

Первая глава раскрывает понятия о построении корпоративной сети .

Во второй главе рассматривается технология виртуальных частных сетей. Основные понятия данной технологии, история появления, а так же ее плюсы и минусы.

Третья глава посвящена архитектуре корпоративной сети производственно коммерческой фирмы «ВолrаЭлектроМаркет».

В четвертой главе производится остроение модели надёжности услуги VPN и оценка коэффициента готовности.

В пятой и шестой главе рассматривается оценка безопасности услуги VPN и расчет риска услуги VPN соответственно.

В заключении сделаны основные выводы и результаты по проделанной работе.

1. Основы построения корпоративных сетей

1.1 Понятие корпоративной сети

Корпоративная сеть - это такая сеть, где основным направлением считается сохранение работы сети фирмы. Пользователями такого рода корпоративной сети чаще всего считаются только лишь работники этой фирмы.

Корпоративная сеть - это коммуникационная система, которая относится и управляется общей системой в согласовании с инструкциями этой фирмы. Каждая корпоративная сеть различается от иной коммуникационной сети, такого рода равно как сети интернет-провайдера правилами распределения адресов IP, а так же работой с интернет ресурсами и данные различия целостны для целой корпоративной сети. В различие от корпоративной сети сеть провайдера регулярно осуществляет контроль только лишь над магистральным сектором сети, этим наиболее разрешая собственным клиентам без помощи других распоряжаться их сегментами сети, которые считаются равно как частью адресного пространства провайдера, таким образом могут быть скрыты одним из элементов общесетевой трансляции адресов за одним либо несколькими адресами провайдера.

Корпоративная сеть способна содержать в себе сети отделений в разных населенных пунктах либо государствах, и в то же время быть многосоставной сетью, что содержит и местные и глобальные сети [1].

На настоящий день формирование надежной, масштабируемой и полнофункционирующей корпоративной сети довольно немаловажно. При формировании такого рода сети никак не маловажно присутствие оберегаемого канала передачи данных, потому как сведения в настоящий день стоит весьма недешево, а каждой большой фирме нужна стремительная настройка сети и предоставление её наибольшей безопасности.

1.2 Проблемы при создании корпоративной сети

В настоящий день имеется ряд трудностей при формировании корпоративных сетей. Основной задачей, которую следует разрешить в ходе формирования корпоративной сети - это возможность организации каналов взаимосвязи. Вследствие того что, к примеру, в границах 1-го города рассчитывается как правило аренда на выделенные линии, как низкоскоростные, таким образом и скоростные, в таком случае при переходе к территориально далёким узлам цена их аренды как правило, стает довольно значительной, а то что касаемо свойства и прочности, в таком случае они оставляют желать наилучшего. Одним из решений этой проблемы служит применение в настоящее время имеющихся глобальных сетей. В этом случае довольно только гарантировать взаимосвязь согласно каналам от офисов вплоть до близкого узла доступа сети. То что касается лично доставки данных меж данными узлами, в таком случае всеобщая сеть это забирает на себя. При формировании сети в границах города так же необходимо принимать во внимание вероятность последующего масштабирования и применения подобных технологий, какие станут совместимы с имеющимися глобальными сетями.

Нередко такого рода сетью считается сеть Internet. В связи с установленных задач сеть Internet рассматривается в различных уровнях. То что касаемо конечного пользователя, в таком случае в главную очередь рассматривается мировая концепция предоставления информативных и почтовых услуг. В комбинации нынешних технологий доступа к информативным ресурсам, какие связаны подобным понятием, равно как World Wide Web, с недорогой и легкодоступной сетью Internet образовало новейшее средство массовой информации, именуемое Net, в таком случае имеется - сеть. Все без исключения, кто подключается к этой системе, принимают её равно как такого рода механизм, какой дает возможность реализовать доступ к конкретным видам услуг. С целью осуществлении этого механизма особых стараний использовать отнюдь не необходимо.

Сеть Internet нередко применяется в качестве основы для корпоративных сетей. И в этом случае она считается сетью между данными сетями. В случае если припомнить теорию построения сети Internet, в таком случае в ней сведения протекает через довольно огромное число независимых и некоммерческих узлов, которые объединены через наиболее различные каналы и сети передачи сведений. Формирование нынешних услуг, которые дает эта сеть Internet, приводит к тому, что участки и каналы взаимосвязи подвергаются перегрузке, то что стремительно сокращает темп и, безусловно надежность передачи любых данных. В данном случае поставщики услуг в сети Internet никак не отдают ответственности за функционал сети в целом, и каналы взаимосвязи обладают неравномерным развитием и формируются как правило там, в каком месте вкладываются ресурсы. В этом случае качество работы сети, а таким образом ведь темп передачи информации обеспечивается. Для подобных вопросов, которые обладают критичными характеристики прочности и обеспечивают период доставки данных, методика Internet считается не наилучшим решением. Ещё по этому, равно как методика Internet целиком привязана к протоколу IP. Это хорошо, в случае если пользователь применяет типичные приложения, которые работают с данным протоколом. В случае если же с сетью Internet взаимодействуют прочие услуги, в таком случае дело становится нелегким и достаточно дорогостоящим. К примеру, в случае если имеется потребность предоставления доступа подвижных пользователей к корпоративной индивидуальной сети, в таком случае сеть Internet лучше не употреблять равно как решение проблемы [2].

На 1-ый взгляд, больших трудностей здесь не должно быть, скажем как в любом сегменте имеются собственные поставщики услуг Интернет. Однако тот же производитель, в 1 городе не несет ответственности в случае если потребитель станет подключен к сети Интернет в ином городе, таким образом как оплату за услуги использования сетью некто не взыскивает и, значит, доступа в сеть не даст .

Ещё одной задачей Интернет, которая массово дискуссируется в настоящий день - это защищенность. В случае если заявлять о индивидуальных сетях, в таком случае мнения. Непредвиденность путей передачи данных среди огромным числом подчиненных узлов сети Интернет повышает опасность хищения оператором данных, и в этом случае нереально установить место утечки передаваемых данных. Эту задачу отчасти могут разрешить средства кодирования, таким образом как они используются в ключевом к электронной почте, а так же передаче файлов и т.д. Те же постановления, которые дают возможность с значительной быстротой зашифровывать передаваемую информацию в настоящем времени считаются, в собственную очередь, малодоступным и дорогостоящими. Иная область проблемы защищенности связана с децентрализованностью сети Интернет. Данное означает, то что не имеется ни одной души, кто б имел возможность уменьшить доступ к ресурсам корпоративной индивидуальной сети. Так как эта сеть считается открытой системой, в каковой все без исключения узлы видят друг друга, в таком случае каждой жаждущий способен попытаться попасть в офисную сеть Фирмы и приобрести доступ к тайным сведениям либо программам. Имеется способ охраны от подобных воздействий под наименованием Firewall либо по-немецки "брандмауэр", в таком случае имеется противопожарная стена. Однако рассматривать данное средство панацеей никак не нужно, так как оно может являться подвержено вирусному инфицированию. Различную охрану возможно взломать, в случае если она оправдывает затраты на нее. Безусловно и вывести из строя систему, которая подключена к Интернет, никак не так трудно и с целью этого не имеется потребности являться подключенным к данной сети. В настоящий день знакомы случаи несанкционированного доступа к управлению узлами такого рода сети, и применение особенности архитектуры Интернет с целью нарушения доступа к этому либо другому серверу. По этой причине, предлагать технологию Internet равно как главную для возведения подобных систем, которые требуют прочности и закрытости никак не нужно. Присоединение к сети Internet в рамках корпоративной сети обладает смысл, в случае если нужен доступ к мировому информативному пространству, именуемое Сетью.

1.3 Технологии построения корпоративных сетей

корпоративный сеть экран виртуальный

Создание корпоративных сетей делят как правило на 2 задачи: 1-ая - создание местной сети Фирмы и 2-ая - соединение её в общую компьютерную сеть. Нередко создание корпоративной сети базируется непосредственно на первой проблеме. Найди наиболее часто применяемые механизмы возведения корпоративных сетей. 1-ый механизм - это сеть на базе назначенных каналов взаимосвязи, которые арендованы у провайдеров. 2-ой - это сеть взаимосвязи на базе технологии виртуальных частных сетей VPN (Virtual Private Network). 3-ий - присутствие своих сетей взаимосвязи, именуемых технологическими либо выделенными, которые находятся в зависимости от того, обладают ли они взаимосвязью с сетями единого использования. Все без исключения эти механизмы могут являться скомбинированы между собою.

Когда инженер берет на себя решение о применении тот или иной- технологии воздвижения корпоративной сети, ему требуется решать многомерную проблему и отвечать на огромное число вопросов.

Сделаем исследование определенных наиболее известных способов организации корпоративных сетей.

Первый вариант, если фирма организует свои направления взаимосвязи между собственными отделами. Если кабинеты и отделения фирмы находятся по всей стране либо городу, в таком случае следует регулировать проблемы прокладки кабеля либо постройки сети РРЛ. В первом случае появятся трудности с землеотводом, а так же арендой проводной канализации, геодезических исследований магистрали, рытье траншей либо закладки кабеля в имеющуюся канализацию. И данное все помимо цены самого кабеля и оснащения для поддержки сети.

В 2-ой случае это наличие проблемы постройки башен РРЛ, аренды мест на кровлях высоких строений, выбора и согласовывания частот и ежегодная плата за применение частотного ресурса. Этот способ возведения сети дает возможность добиваться наиболее значительной скорости передачи сведений согласно сети из наиболее общедоступных.

Во 2-ом варианте, если фирма способна себе предоставить возможность приобрести выделенную линию взаимосвязи у провайдера, является возможность компании удаленного доступа к базам данных, возведения корпоративной почтовой системы и корпоративной телефонной сети. С целью такого рода сети характерны высочайшее качество предоставляемых услуг, хотя и их организация достаточна дорога за счет значительной цены выделенных линий взаимосвязи. Однако этот вариант во немало раз менее затрачен, нежели вариант с прокладкой кабеля собственными силами.

Третий вариант, если Фирма забирает в аренду выделенный канал взаимосвязи у провайдера, этим самым, приобретает в собственное распоряжение источник сети с гарантированной пропускной возможностью.

При аренде канал взаимосвязи у провайдера существенно экономятся валютные ресурсы Фирмы, таким образом как цена подобных ресурсов существенно ниже цены для выделенных линий взаимосвязи. Таким образом же появляется вероятность формирования сети с интеграцией в ее услуг согласно передачи сведений. Однако в случае если оператор взаимосвязи не соблюдает при данном подобные условия, как качество обслуживания, то могут появиться трудности, которые связаны с поиском и ликвидацией поломок.

Четвертый вариант решения проблемы - это виртуальное объединение. Для технологии виртуальных сетей учитывается создание корпоративной сети взаимосвязи поверх уже имеющейся сети Интернет, а так же каждой другой сети единого использования. Для охраны от несанкционированного доступа передаваемых по такого рода сети информации больше всего используется кодирование по специальным протоколам [3].

На настоящий день довольно стремительно увеличивается известность подобного типа сетей. Это связано с тем, то что подобную сеть возможно осуществить в самые короткие сроки. То что затрагивает цены подобного решения, то для компании последующего обслуживания такого рода сети относительно не расходное и сеть сформированная сеть может регулировать огромное множество нынешних задач пользователя.

2. Виртуальная частная сеть VPN

2.1 Основные понятия

VPN (Virtual Private Network - виртуальная частная сеть) - в настоящее время одна из наиболее стремительно развивающихся и актуальных концепций построения корпоративных сетей. Внутри каждой общественной сети возможно создать защищенную виртуальную частную сеть, если защищенную информацию с помощью технологии VPN, передавать по незащищенным каналам связи. Передаваемая информация по VPN-каналам станет никак не доступна иным пользователям общественной сети. При помощи данной технологии сведения остаются секретными, как-будто они не выходят за границы своей вычислительной сети [4].

Технология VPN обязана гарантировать:

- защиту информации, передаваемой по сетям т.е. целостность, конфиденциальность и подлинность;

- контроль над доступом ко всем ресурсам данной корпоративной сети;

- безопасный доступ работников организации к сетям общего пользования;

- централизованное управление политикой безопасности корпоративной сети.

Корпоративные сети на основе технологии виртуальных частных сетей (VPN) подразделяются (рис. 2.1):

По способу реализации:

- В виде особого программно-аппаратного обеспечения.

Реализация сети с технологией VPN осуществляется с помощью специального программно-аппаратного комплекса средств. Подобная реализация гарантирует значительную эффективность и, как правило, значительный уровень защищённости.

- В виде программного решения.

Применяются индивидуальный пк с особым программным обеспечением, гарантирующие функциональность VPN.

- Интегральное решение.

Функциональность технологии VPN гарантирует комплекс, решающий также проблемы фильтрации сетевого трафика, организации сетевого экрана и обеспечения качества обслуживания.

Рис 2.1 - Классификация VPN

По назначению:

- Интранет VPN.

Используются с целью организации в общую защищённую сеть нескольких распределённых филиалов одной компании, передающие сведения по открытым каналам связи.

- Remote Access VPN:

Применяют с целью формирования защищённого канала среди сегментом корпоративной сети т.е. между филиалами и центральным офисом организации, и единичным пользователем, который подключается к ресурсам организации с домашнего персонального компьютера, ноутбука, телефона и т.п.

- Extranet VPN.

Необходим для подключения внешних пользователей, степень доверия к которым меньше, чем у работников данной организации. В связи с этим необходимо соблюдение требуемых правил, и создание рубежей защиты.

- Internet VPN.

Применяется для предоставления доступа к сети интернет провайдерами, как правило в случаи если по 1-му физическому каналу подсоединяется ряд пользователей. В ADSL- подключениях стал стандартом протокол PPPoE. Протокол L2TP обширно распространялся в домовых сетях в 2000-х годах: в этот период локальный трафик никак не оплачивался, а внешний обходился недешево. Это предоставляло возможность осуществлять контроль расходов: если VPN-соединение отключено, пользователь ничего никак не выплачивал.

- Client/Server VPN.

Он гарантирует защиту передаваемых сведений между двумя точками корпоративной сети. Отличительная черта этого вида в том, что виртуальные частные сети строятся между узлами, находящимися в одном секторе сети, к примеру, меж сервером и рабочей станцией. Подобная потребность весьма зачастую появляется в тех случаях, если в физической сети нужно сформировать ряд логических сетей. К примеру, если необходимо поделить трафик между экономическим департаментом и кадровым отделом, обращающихся к серверам, расположенным в одном физическом секторе. Этот вариант очень схож с технологией VLAN, однако взамен разделения трафика, применяется его кодирование.

По типу протокола:

Существуют реализации VPN под TCP/IP, IPX и AppleTalk. Однако в настоящее время прослеживается направленность к общему переходу на протокол TCP/IP, и безусловно большинство VPN решений поддерживает непосредственно его. В данном протоколе адресация зачастую избирается в соответствии со стандартом RFC5735.

По уровню сетевого протокола:

По уровню сетевого протокола на основе сопоставления с уровнями эталонной сетевой модели ISO/OSI.

2.2 История появления VPN

Хроника появления технологии виртуальных частных сетей VPN связана с возникновением услуги CENTREX с целью телефонных сетей. Centrex - это единое наименование метода, который дает услугу деловой взаимосвязи подобным абонентам, которые относятся нескольким фирмам и вместе применяют спецоборудование одной учрежденческой станции PBX (Private Branch Exchange). К главному преимуществу услуги Centrex относится в таком случае, то, что компания и фирма при формировании выделенной корпоративной сети бережет существенные ресурсы, которые нужны на приобретение, установку и использование своей станции. Не взирая на применение с целью взаимосвязи абонентов между собою сервис Centrex применяют ресурсы и спецоборудование сети единого использования, сами абоненты некоторые закрытые категории пользователей CUG (Closed Users Group), которые урезаны доступом извне, и с целью которых в станции сети реализуются виртуальные PBX..

Для уменьшения подобных ограничений в услуге Centrex была сформирована теория виртуальной частной сети VPN, которая группировала CUG, которые собирали 1 корпоративную сеть и были удаленно друг от друга. Средства сети VPN распределяются по нескольким станциям местной сети, которые оснащенны функциями услуги Centrex и обладающие в области собственного обслуживания 1 либо ряд CUG. При этом в станцию вводятся как PBX, которые напрямую относятся собственнику сети VPN, так и линии обыкновенных личных абонентов.

2.3 Плюсы VPN

Преимущества технологии виртуальных сетей VPN достаточно широки и многие Компании начинают строить свою стратегию построения корпоративных сетей с учетом использования технологии Интернет в качестве главного средства для передачи информации, даже такой, которая будет являться очень уязвимой.

При правильном выборе технологии VPN:

? имеем защищенные каналы связи по цене сравнимой с ценой доступа в сеть Интернет, что является на порядок дешевле выделенных линий связи;

? установка сети VPN не требует изменения топологии существующих сетей, а так же переписывания приложений, обучения пользователей - все это обеспечит значительную экономию;

? обеспечивается масштабирование за счет сохранения ранее вложенных инвестиций;

? независимость от криптографии и использование модулей криптографии любых производителей в соответствии с национальными стандартами той или иной страны;

? открытые интерфейсы позволят интегрировать созданную сеть с другими программными продуктами и бизнес-приложениями.

2.4 Минусы VPN

К минусу технологии относится сравнительно низкая надежность сети. Если сравнивать с выделенными линиями и сетями на основе технолгии Frame Relay, то виртуальные частные сети менее надежны, но в 5-10, а иногда и в 20 раз дешевле.

Услуга виртуальных каналов сети VPN предоставляется и поддерживается обычно внешними операторами, что создает проблему со скоростью внесения изменений в базы доступа, а так же в настройки межсетевых экранов, а также с восстановлением вышедшего из строя оборудования. На сегодняшний день данная проблема решена путем указания в договорах максимального времени на устранение неполадок и внесения изменений. Обычно такое время составляет порядка нескольких часов, но иногда встречаются провайдеры, которые гарантируют устранение неполадок в течение одних суток.

Еще один существенный недостаток - это отсутствие у потребителей удобных средств управления сетью VPN. В последнее время уже разрабатываются новые типы оборудования, которое позволит автоматизировать управление сети VPN. Среди таких лидеров данного процесса лидирует Компания Indus River Networks Inc., дочерняя компания MCI WorldCom и Novell. По словам аналитиков Forester Research, сети VPN должны контролироваться самими пользователями, а управляться компаниями-операторами, ну а задачей разработчиков программного обеспечения стоит решить данную проблему.

3. Архитектура корпоративной сети производственно коммерческой фирмы «ВолrаЭлектроМаркет»

3.1 Краткие сведения о ПКФ «ВолrаЭлектроМаркет»

В данной классификационной работе произведем модернизацию корпоративной сети ПКФ« ВолrаЭлектроМаркет» .

ПКФ «ВолrаЭлектроМаркет» была основана в 2003 году, главным типом работы фирмы считаются оптовые поставки электромонтажной, электротехнической и кабельно-проводниковой продукта.

Производственно-коммерческая фирма «ВолrаЭлектроМаркет» - официально представляет Старооскольский завод ЭМИ по релизации продукции завода на территории РФ и государств ближнего зарубежья.

«ВолгаЭлектроМаркет» непосредственно взаимодействует с такими организациями как Курганский завод ЭМИ, Красноярский завод ЭМИ, Орский 3авод ЭМИ, Самарский завод ЭМИ, Ростовский завод ПЭМИ, являющиеся в составе Ассоциации Росэлектромонтаж. В этой фирмы сформировались партнерские отношения с заводами: Камакабель, Иркдсккабель, Саранский кабельный завод, Кирскабель.

Организация "ВолrаЭлектроМаркет» предлагает :

- оптовые поставки трансформаторных подстанций и трансформаторов:

- оптовые поставки изделий для прокладки кабеля, В том числе кабельные сборные конструкции, лотки металлические, профили и полосы монтажные;

-оптовые поставки низковольтных комплектных устройств, в том числе вводно-распределительные устройства (вру), пункты распределительные (пр),

-ящики управления, щитки учетно-распределительные и осветительные;

-оптовые поставки трансформаторных подстанций и трансформаторов:

-оптовые поставки ячеек КСО и другого щитового оборудования по опросным листам,

Большой высокопрофессиональный уровень работников и долголетний навык в данной деятельности дают возможность оказывать обслуживание по подбору оборудования и комплектации объектов.

Клиенты компании «ВолrаЭлектроМаркет» наблюдают высокопрофессиональное отношение, в соответствии с задачами поставок электромонтажной и электротехнической продукции, конкретно нормализованную обрабатывание заказов, уместное регулирование условных и экономических бумаг.

В активе данной организации многочисленные победы в тендерах на поставку электромонтажного оборудования для электроэнергетики, нефтегазового, гидротехнического комплекса и других отраслей промышленности, «ВолrаЭлектроМаркет», реализовывает всевозможные типы электромонтажных работ. На основе компании в 2005 г. сформирована собственная монтажная предприятие.

Стремительная и высококачественная поставка багажа в каждый район Российской федерации обеспечивается равно как собственным автомобильным транспортом, так и некоторыми транспортными предприятиями.

Производственно-коммерческая фирма «ВолrаЭлектроМаркет» приняла содействие в комплектации AвтoBAЗa (направление в области изготовления машин Калина), Волжской гидроэлектростанции им. В.И. Ленина, Красноярской РНУ НПС Вознесенка, Гидротехнического сооружения Ульяновская запруда, объектов самаранефтегаз, автоцентров FОRD и ТОYOТА [5].

На рис. 3.1 представлена существующая корпоративная сеть ПКФ «ВолrаЭлектроМаркет»



Рис. 3.1 -Существующая корпоративная сеть ПКФ «ВолrаЭлектроМаркет»

3.2 Характеристика существующей сети

Корпоративная сеть компании обеспечивает предоставление услуг по передаче трафика данных между центральным офисом, и филиалами на базе сервисов протоколов IP. Объединение различных подсетей корпоративных клиентов происходит посредством передачи IP-пакетов через сеть оператора.

Услуги корпоративной IP-сети предоставляют следующие возможности:

? передачи трафика между одиночными абонентами, а также между территориально-распределенными элементами сетей корпоративных клиентов на третьем уровне модели OSI, на уровне IP-пакетов;

? возможности управления качеством обслуживания (QoS) на уровне IP-пакетов и предоставление разных уровней сервиса в зависимости от потребностей клиента;

? маршрутизации трафика клиентов средствами сети оператора;

? предоставления клиентам согласованного пространства IP-адресов.

В структуре городской распределенной сети при создании корпоративной сети учтены все три уровня: уровень доступа, уровень концентрации и уровень сервисов.

Уровень доступа основывается на использовании коммутатора доступа (КД), который является узлом доступа городской операторской сети. КД может располагаться как в жилых домах, так и в зданиях бизнес центров, офисах корпоративных клиентов и обеспечивает доступ клиентов к тем услугам, которые предоставляет городская сеть оператора.

Уровень концентрации содержит узловые коммутаторы (УК), являющиеся концентрирующими узлами городской операторской сети. УК обеспечивают функции агрегирование трафика коммутатора доступа и передачу агрегированных потоков до других узловых коммутаторов сети оператора.

При необходимости функциональности этих коммутаторов уровней их реализация осуществляется в одном устройстве. УК так же располагается на территории офиса клиента, на узле связи оператора или в жилом доме.

Функциональность операторской сети в части организации предоставления услуг, а так же управления услугами, и управления стыками с внешними сетями и информационными системами выполняется за счет функциональности оборудования КД, УК и рабочих станций системы управления сети оператора.

Управление активным сетевым оборудованием и сервисами производится средствами специализированного программного обеспечения, которое установлено на рабочих станциях системы управления сети оператора.

Существующая сеть Компании не обеспечивает должным образом информационную безопасность при обмене между главным офисом и филиалами компании. Для решения данной проблемы обеспечим внедрение технологии виртуальных частных сетей.

Технология VPN позволяет с помощью разделяемой несколькими предприятиями сетевой инфраструктуры реализовать сервисы, приближающиеся к сервисам частной сети по качеству (безопасность, доступность, предсказуемая пропускная способность, независимость в выборе адресов) рисунок 3.2.

Рис. 3.2 - Организационная структура VPN

VPN в качестве линий связи используют уже существующие коммуникационные сети операторов, в том числе и глобальную сеть Интернет.

По сравнению различными другими технологиями VPN позволяет клиенту получить значительную экономию при сохранении и даже улучшении качества и количества предоставляемых услуг.

3.3 Характеристика внедряемой VPN сети

Виртуальные частные сети обладают несколькими характеристиками:

? трафик шифруется, обеспечивая тем самым, защиту от несанкционированного доступа;

? имеется аутентификация удаленного клиента;

? обеспечивается поддержка большого количества протоколов;

? соединение обеспечивается на основе связи только с двумя конкретными абонентами.

Реализация VPN осуществляется двумя типовыми способами:

- Remote VPN. VPN в режиме удаленного доступа. Данная типовая схема подключения представлена на рис.3.3. Режим подключения ориентируется на удаленную работу одиночного пользователя с локальной сетью Компании.

Пользователь, подключается к сети Internet доступными ему способами, использует специализированное клиентское программное обеспечение, осуществляется связь с удаленным VPN сервером. VPN сервер шифрует передаваемый трафик и предоставляет пользователю возможность работать в данной сети.

При организации корпоративной сети данным способом необходимо с каждого узла осуществлять выделенное VPN соединение. Для обеспечения требований по защите информации, каждый узел оснащается сертифицированным средством защиты, что существенно увеличит стоимость реализации проекта в целом.



Рис. 3.3 - VPN в режиме удаленного доступа

- Site-to-Site VPN. VPN в данном режиме осуществляет объединение сетей. Типовая схема представлена на рис. 3.4. Использование VPN данным способом предполагает установку VPN-маршрутизаторов на границе объединения нескольких сетей. При этом работа пользователей осуществляется штатным образом, все задачи по объединению сетей, организации VPN туннелей и маршрутизации выполняется пограничным маршрутизатором.

Для реализации данного режима необходимо обеспечить уникальность сетевых адресов каждого компьютера в пределах корпоративных сетей.

Исходя из выше сказанного, в качестве способа организации VPN корпоративной сети Компании выбирается режим Site-to-Site как наиболее удобный с точки зрения работы пользователей.

Для этого необходимо произвести замену существующего оборудования на оборудование с поддержкой VPN.

Из представленных на рынке РК марок оборудования, а так же с учетом фирмы производителя существующего оборудования на сети, было выбрано оборудование компании Cisco.

Рис. 3.4 - VPN в режиме объединения сетей

3.4 Структурная схема проектируемой сети

С учетом выбранной топологии построения сети и оборудования схема проектируемой сети представлена на рис. 3.5 модель корпоративной виртуальной частной сети VPN ПКФ «ВолrаЭлектроМаркет» на базе решений всемирного фаворита в сфере телекоммуникаций Cisco Systems.

Эта корпоративная сеть способна давать для работников компании все без исключения типы телекоммуникационных услуг и её возможно рассматривать мультисервисной, так как и трафик сведений и голосовой трафик переходят по кодированному каналу VPN. Корпоративная сеть «ВолrаЭлектроМаркет» считается излишней и резервируется 2-мя интернет провайдерами, то что допустимо вследствие интегрированной в Cisco IOS функции Cisco IP SLA.

В локальной сети главного офиса «ВолrаЭлектроМаркет» нужно 2 коммутатора доступа, для того чтобы делить поток на 2канала, нацеленных на главный и запасной маршрутизаторы, чем гарантируется сто процентное резервирование.

Рис. 3.5 -Смоделированная корпоративная сеть на базе технологии VPN для ПКФ «ВолrаЭлектроМаркет»

В случае если на 1-ом из маршрутизаторов исчезнет поток от провайдера, в таком случае роутер благодаря функции Cisco IP SLA переключится на 2-ой запасной.

В роли -мини-АТС применяется IP-PBX Cisco CallManager Express, встроенный в маршрутизатор Cisco 3845, к который подсоединяются все без исключения IP-телефонные аппараты компании Cisco Systems.

В данной моделируемой сети используется продукция компании Cisco Systems. Cisco один из всемирных фаворитов в сфере поставок продуктов, в том числе ПО, а кроме того услуг в области создания и предоставления работы компьютерных сетей.

Производственная линия фирмы содержит коммутаторы, маршрутизаторы, приборы удаленного доступа, устройства интернет-сервисов, преобразователи протоколов, ПО управления сетью, которые связываю географически распределенные локальные сети, глобальные сети и непосредственно сеть интернет [7].

Компания Cisco обслуживает три основных сектора рынка:

крупные компании, государственные компании, учебные заведения и инженерные сети имеющие необходимость в непростых сетевых решениях.

поставщиков услуг в, в том числе сеть интернет-провайдеров, проводные и телефонные фирмы, и провайдеров беспроводной взаимосвязи.

мелкие и обычные компании, потребность которых содержат операционные сети, присоединенные к сети интернет и/или требующие взаимосвязь с партнерами организации.

Компания Cisco все более развивает экспертные познания в сфере организации оптоволоконных сетей, а кроме того сопутствующих экспертных познаний о работе функциональных сетей, которые обеспечивают видео- и аудиовозможности в добавление к классическим информационным возможностям.

Маршрутизатор серии Cisco 3845 имеет подключение к локальной сети такими интерфейсами, как Fast Ethernet, а к телефонной сети общего пользования интерфейсами типа Е1 через цифровую станцию АТС. Связь осуществляется между маршрутизатором серии Cisco 3845 и шлюзом оператора связи.

Маршрутизатор серии Cisco 3845 имеет несколько функций. Первая - это функция в виде шлюза между офисной системой IP-телефонии и телефонной сетью, то есть маршрутизатор сопрягает внутреннюю телефонную систему с городской телефонией. При таком раскладе голосовой трафик, который передается внутри сети в виде IP-пакетов, преобразуется в «голосовой» трафик, традиционный для телефонных сетей общего пользования. Для данного преобразования используются сигнальные процессоры называемые DSP-кодеками. Вторая функция, которая выполняется маршрутизатором - это функция в виде коммуникационного сервера серии Cisco Call Manager Express. Коммуникационный сервер - это такое устройство, управляющее установлением соединений между IP-телефонами внутри одного офиса и с множеством внешних абонентов. Телефонный аппарат после такого включения регистрируется на данном коммуникационном сервере, который получает принадлежащий ему номер и другие индивидуальные настройки. После этого данный телефон осуществляет свой звонок. Установление вызова при таком происходит через данный коммуникационный сервер.

Третья функция, которую выполняет данный маршрутизатор серии Cisco 3845 - это функция в виде сервера голосовой почты. Для этого в шасси маршрутизатора устанавливается модуль голосовой почты типа Cisco Unity Express, который имеет встроенный жесткий диск для хранения приветствий и записи голосовых сообщений. В спецификации данного оборудования предусмотрена лицензия на 100 пользователей голосовой почты. На рабочих местах пользователей устанавливаются IP-телефоны серии Cisco. Телефоны серии Cisco 7960G/7970G имеют достаточно большой по сравнению с остальными моделями дисплей и количество функциональных клавиш. Кроме того, для работы секретарей рекомендуется к телефонам Cisco 7960G подключить блок расширения функциональных клавиш Cisco 7914. Все IP-телефоны подключены к сети интерфейсами типа Fast Ethernet. При использовании данных моделей IP-телефонов пользовательские компьютеры подключаются не к коммутаторам ЛВС напрямую, а к IP-телефонам, которые имеют для данных целей дополнительный порт типа Fast Ethernet.

При данной схеме подключения IP-телефонии осуществляется доступ с любого компьютера или IP-телефона в локальной вычислительной сети, а также с каждого номера ЦАТС для звонков по IP-протоколу в любую страну мира.

В данной схеме используется модулированный маршрутизатор Cisco 2811 с интеграцией сервисов.

Данный маршрутизатор гарантирующий все без исключения необходимости не очень больших офисов и отделений (вплоть до 36 рабочих мест) в нынешних коммуникациях.

Может осуществлять функции:

? маршрутизатора локальной и сети маршрутизатора доступа;

? интегрированного решения с целью предоставления защищенности (в альтернативах Security bundle и Voice Security bundle);

? межсетевой экран;

? центра IP-телефонии и голосовой почты (в альтернативах Voice bundle и Voice Security bundle);

? система избежания проникновения;

? кодирование и формирование VPN-туннелей;

? система Cisco NAC и фильтрование согласно URL;

? центр беспроводного доступа -беспроводное подключение ноутбуков и WLAN-телефонов. (При установке модулей HWIC-AP-G-E, HWIC-AP-AG-E или подключении точек доступа).

Так же в моделируемую схему корпоративной сети вставлен модульный маршрутизатор Cisco 3845 с интеграцией сервисов.

Маршрутизатор серии Cisco 3845 имеет подключение к локальной сети такими интерфейсами, как Fast Ethernet, а к телефонной сети общего пользования интерфейсами типа Е1 через цифровую станцию АТС. Связь осуществляется между маршрутизатором серии Cisco 3845 и шлюзом оператора связи .

Маршрутизатор серии Cisco 3845 имеет несколько функций. Первая - это функция в виде шлюза между офисной системой IP-телефонии и телефонной сетью, то есть маршрутизатор сопрягает внутреннюю телефонную систему с городской телефонией. При таком раскладе голосовой трафик, который передается внутри сети в виде IP-пакетов, преобразуется в «голосовой» трафик, традиционный для телефонных сетей общего пользования. Для данного преобразования используются сигнальные процессоры называемые DSP-кодеками. Вторая функция, которая выполняется маршрутизатором - это функция в виде коммуникационного сервера серии Cisco Call Manager Express. Коммуникационный сервер - это такое устройство, управляющее установлением соединений между IP-телефонами внутри одного офиса и с множеством внешних абонентов. Телефонный аппарат после такого включения регистрируется на данном коммуникационном сервере, который получает принадлежащий ему номер и другие индивидуальные настройки. После этого данный телефон осуществляет свой звонок. Установление вызова при таком происходит через данный коммуникационный сервер.

Третья функция, которую выполняет данный маршрутизатор серии Cisco 3845 - это функция в виде сервера голосовой почты. Для этого в шасси маршрутизатора устанавливается модуль голосовой почты типа Cisco Unity Express, который имеет встроенный жесткий диск для хранения приветствий и записи голосовых сообщений. В спецификации данного оборудования предусмотрена лицензия на 100 пользователей голосовой почты. На рабочих местах пользователей устанавливаются IP-телефоны серии Cisco. Телефоны серии Cisco 7960G/7970G имеют достаточно большой по сравнению с остальными моделями дисплей и количество функциональных клавиш. Кроме того, для работы секретарей рекомендуется к телефонам Cisco 7960G подключить блок расширения функциональных клавиш Cisco 7914. Все IP-телефоны подключены к сети интерфейсами типа Fast Ethernet. При использовании данных моделей IP-телефонов пользовательские компьютеры подключаются не к коммутаторам ЛВС напрямую, а к IP-телефонам, которые имеют для данных целей дополнительный порт типа Fast Ethernet.

При данной схеме подключения IP-телефонии осуществляется доступ с любого компьютера или IP-телефона в локальной вычислительной сети, а также с каждого номера ЦАТС для звонков по IP-протоколу в любую страну мира.

Маршрутизатор Cisco 3845 с интеграцией сервисов гарантирующий все без исключения потребности в нынешних коммуникациях для больших офисов и отделений (вплоть до720 рабочих мест при применении IP ATC CallManager Express либо вплоть до 720 рабочих мест при применении IP-PBX Survivable Remote Site Telephony).

Может осуществлять функции:

? - маршрутизатора локальной сети и. маршрутизатора доступа

? центра IP-телефонии и голосовой почты.

? интегрированного решения для обеспечения безопасности, благодаря

? высокопроизводительному межсетевому экрану,

? системе предотвращения вторжений.

? шифрованию и созданию VPN-туннелей.

? системе Cisco NAC и фильтрации по URL.

? центра беспроводного доступа (беспроводное подключение ноутбуков и WLAN-телефонов).

Так же используются такие коммутаторы как Cisco Catalyst 3750 и так же Cisco Catalyst 2960.

Коммутаторы Catalyst 3750 -- это стекируемые коммутаторы предназначенные с целью подсоединения пользователей в организациях среднего объема, а кроме того в отделениях корпораций. Применение коммутаторов рода 3750 упрощает формирование конвергентных приложений, дает возможность приспособиться в условиях меняющегося бизнес общества благодаря огромным возможностям опций, поддержке конвергентных сетевых паттернов и автоматической конфигурации интеллектуальных сетевых сервисов. Коммутаторы Catalyst 3750 изобретены с целью применения в сетях, нуждающихся в значительной плотности портов Gigabit Ethernet. В серию входит обширный диапазон моделей, призванных угодить потребности в доступе, аггрегации либо организации ядра незначительный сети.

Главные функции:

? Работа на уровнях 2/3/4 (Layer 2/3/4)

? Поддержка стекирования коммутаторов согласно технологическим процессам StackWise с единной пропускной способностью шины в 32 Гбит/сек

? Многоадресная маршрутизация, аппаратная поддержка списков доступа и IPv6 маршрутизация.

? Отдельный Ethernet порт для управления коммутатором помимо консольного порта RS-232

? Подключение пользователей на скорости 10/100 Ethernet и 10/100/1000 Ethernet

? Наличие до 48 портов 10/100/1000 плюс 4 фиксированных SFP-based порта.

Коммутаторы Catalyst 2960 -- это нестекируемые коммутаторы зафиксированной конфигурации с интерфейсами Fast Ethernet и Gigabit Ethernet, предоставляющие широкий диапазон LAN сервисов. Приборы предусмотрены с целью подсоединения пользователей в сетях незначительного и среднего объема, а кроме того в удаленных офисах фирм с распределенной инфраструктурой. Коммутаторы серии Catalyst 2960 гарантируют большую степень защищенности, в том числе помощь списков допуска (NAC), усовершенствованные функции предоставления сервисов (QoS), а кроме того готовы гарантировать поддержку интеллектуальных сервисов в границе сети.

Решение Сatalyst 2960 - это семейство коммутаторов, которые имееют фиксированную конфигурацию для рабочих групп с большим разнообразием моделей для организации уровня доступа локальной сети.

Общие характеристики семейства Cisco Catalyst 2960:

? модель на 8, 24 или 48 портов типа 10/100 Ethernet + 2-4 порта типа Gigabit Ethernet;

? порты POE (Power Over Ethernet) для питания IP-телефонов или точек доступа;

? комбинированные гигабитные ап-линки (медный типа 10/100/1000BASE-T Ethernet или SFP-модуль для перехода в другую среду - типа Cisco 1000BASE-SX, 1000BASE-LX, 1000BASE-BX, 1000BASE-ZX, 100BASE-FX, 100BASE-LX, 100BASE-BX, CWDM SFP);

? поддержка избыточного модуля питания серии Cisco Redundant Power System 2300.

Основные возможности таких коммутаторов:

? контроль уровня доступа и безопасность на каждом порту с помощью списков доступа (ACL-Access Control Lists), осуществляемый на базе локальных MAC или сетевых IP адресов, портов типа UDP/ TCP;

? возможность регулирования скорости передачи на каждом порту с шагом порядка 64 кбит;

? поддержка качества обслуживания QoS (Quality of Service), динамическая раздача адресов DHCP;

? поддержка объединения портов типа Link Aggregation для организации более высокоскоростных соединений между коммутаторами и серверами;

? VLAN: возможность организации транкенковых соединений на каждом порту с помощью тэгов 802.1q, до 255 VLAN на коммутатор, до 4000 VLAN ID.

Главные функции:

Обеспечивает работу на уровне 2 (Layer 2) с возможностью предоставления сервисов уровней 2-4 (Layer 2-4) Layer 2 switching with intelligent Layer 2-4 services

Поддержка интеллектуальных функций на границе сети, например, адаптируемые списки контроля доступа (ACL) и расширенный функционал по обеспечению безопасности сети

Гигабитные порты двойного назначения позволяют использовать как медные соединения, так и оптические, используя единый порт. Каждый фисксированный порт двойного назначения позволяет или организовать медное соединение на скорости 10/100/1000 и оптическое через SFP-based гигабитный порт, одновременно активен только 1 порт

Улучшенный набор функций по обеспечению контроля качества сервисов позволяет оптимально управлять сетью и ее пропускной способностью.

Коммутаторы поддерживают функции выборочного ограничения скорости для пользователей, создания списков контроля доступа и группового предоставления сервисов

Высокий уровень безопасности сети обеспечивается поддержкой широкого спектра методов идентификации и авторизации пользователей, технологий шифрования данных и составления списков доступа для пользователей, портов и MAC адресов

Программное обеспечение Cisco Network Assistant позволяет легко настраивать и модернизировать оборудование

Характеристики межсетевого экрана VPN Firewall с поддержкой качества обслуживания:

...