Если у вас возникли сложности с курсовой, контрольной, дипломной, рефератом, отчетом по практике, научно-исследовательской и любой другой работой - мы готовы помочь.
Предоплата всего
Подписываем
Федеральное агентство железнодорожного транспорта
Омский государственный университет путей сообщения
Кафедра «Автоматика и системы управления»
ПРОЕКТИРОВАНИЕ КОРПОРАТИВНОЙ СЕТИ
Пояснительная записка к курсовой работе
по дисциплине «Технические средства автоматизации и управления»
ИНМВ.4010000.000 ПЗ
|
Студентка гр. 20 И ____________В.С. Акохова «__»________2014 г. Руководитель – доцент кафедры АиСУ ____________А.C. Окишев «__»________2014 г. |
Омск 2014
Задание
Вариант 1
1. Локальная сеть
|
1. |
Число регионов |
4 |
|
2. |
Максимальное количество кампусов в регионе |
10 |
|
3. |
Максимальное количество подразделений в кампусе |
200 |
|
4. |
Максимальное количество компьютеров в подразделении |
40 |
|
5. |
Число зданий в кампусе |
3 |
|
6. |
Количество компьютеров в здании 1 |
100 |
|
7. |
Количество компьютеров в здании 2 |
50 |
|
8. |
Количество компьютеров в здании 3 |
50 |
Замечание: п. 2-4 используются при разработке схемы IP-адресации, п.5 используется при расчете количества коммутаторов зданий, п.6-8 используются при расчете количества портов коммутаторов доступа.
2. Сеть региона
Соединяет маршрутизаторы кампусов с маршрутизаторами региона
Технология:ADSLoverPOTS – асимметричная цифровая абонентская линия поверх аналоговой телефонной линии
Стандарт: ITU G.992.5ADSL2/ADSL2+ Annex A
Максимальная скорость линии связи: 24 Мбит/с
Тип линии связи: двухжильный телефонный провод от провайдера до маршрутизатора
Интерфейс маршрутизатора:ADSL (RJ-11) – модем встроен в маршрутизатор.
3. Сеть уровня ядра
Соединяет маршрутизаторы ядра между собой
Технология:ATM (асинхронная передача)
Максимальная скорость линии связи:OC3/STM-1 155 Мбит/с
Тип линии связи: одномодовое оптическое волокно
Интерфейс маршрутизатора: сетевой модуль ATM с оптическим SFP-трансивером
4. Выход в Интернет
Любая современная технология глобальных сетей по вашему выбору
Реферат
УДК 004.71
Пояснительная записка содержит 37 страницы, 16 рисунков, 7 таблиц, 3 источника, 10 приложение.
Корпоративная сеть, уровень ядра, уровень доступа, маршрутизатор, коммутатор, IP-адрес, маска подсети, схема адресации, интерфейс, протокол, список доступа, VLAN, ATM, Cisco, уровень STM-1, ADSL over POTS.
Объектом исследования является корпоративная сеть.
Цель работы – спроектировать корпоративную сеть по предложенному заданию, разработать схему адресации, выбрать активное оборудование для проектируемой сети и произвести его настройку, также необходимо выбрать серверы.
При разработке структурной схемы корпоративной сети был использован программный пакет Microsoft Visio 2007.
|
[0.1] Содержание [0.2] Введение [0.3] 1 Разработка схемы IP-адресации [0.4] 2 Построение схем локальной и глобальной сети [0.5] 3 Выбор коммутаторов [0.6] 3.1 Выбор коммутаторов [0.7] 3.1.1 Выбор коммутаторов для рабочих групп [0.8] 3.1.2 Выбор коммутаторов зданий [0.9] 3.1.3 Выбор коммутаторов кампусов [0.10] 4 Выбор маршрутизаторов [0.11] 4.1 Магистральные маршрутизаторы для ядра сети [0.12] 4.2 Маршрутизатор кампуса [0.13] 4.3 Маршрутизатор уровня доступа для подключения корпоративной сети к Интернету
[0.14] [0.15] 5.1 Cisco IOS [0.16] 6 Расчет количества и стоимости активного оборудования [0.17] 7 Настройка активного оборудования [0.18] 7.1 Настройки, общие для всех устройств [0.19] 7.2 Разработка схемы символических имен устройств (СИУ) [0.20] 7.3 Разработка системы паролей [0.21] 8 Настройка маршрутизаторов [0.22] 8.1 Настройка маршрутизаторов ядра [0.23] 8.2 Настройка маршрутизаторов кампуса (уровня доступа) [0.24] 8.2.1 Настройка списков доступа на маршрутизаторах уровня доступа [0.25] 8.3 Настройка маршрутизатора доступа в Интернет [0.26] 8.3.1 Настройка списков доступа на маршрутизаторе доступа в Интернет [0.27] 8.3.2 Настройка трансляции адресов на маршрутизаторе доступа в Интернет [0.28] 8.3.3 Настройка ADSL по протоколу PPPoE на маршрутизаторе доступа в Интер-нет [0.29] 9 Настройка коммутаторов [0.30] 9.1 Настройка коммутаторов рабочих групп и коммутаторов зданий [0.31] 9.1.1 Настройка виртуальных сетей на коммутаторах [0.32] 9.1.2 Настройка протокола покрывающего дерева на коммутаторах [0.33] 9.2 Настройка коммутаторов кампуса [0.34] 10 Выбор серверов [0.35] Приложение |
В данном курсовой работе необходимо разработать корпоративную сеть. Проектируемая сеть основывается на иерархической модели, где на уровне ядра располагаются центральные офисы организации, составляющие соответственно ядро глобальной сети с выходом в Интернет. К каждому центральному офису организации с помощью поставщика телекоммуникационных услуг (провайдера) подключаются региональные подразделения (уровень доступа). В соответствии с разработанной архитектурой корпоративной сети необходимо разработать схему IP-адресации.
Также необходимо выбрать технологии уровня ядра, уровня доступа, технологию, связывающую эти уровни и технологию, реализующую выход в Интернет.
В соответствии с архитектурой сети, функциональным назначением узлов сети и технологией передачи данных необходимо выбрать активное оборудование и произвести его настройку.
Также в курсовой работе необходимо произвести расчет общей стоимости сети.
Адресная схема должна быть разработана в соответствии с иерархическим принципом проектирования компьютерных сетей. Схема адресации должна позволять агрегирование адресов. Это означает, что адреса сетей более низких уровней (например, сеть кампуса по сравнению с сетью региона) должны входить в диапазон сети более высокого уровня с большей маской. Кроме того, необходимо предусмотреть возможность расширения адресного пространства на каждом уровне иерархии.
Рассматриваемая сеть имеет четыре уровня иерархии. Вся сеть разбивается на четыре региона. В каждом регионе содержится 10 кампусов, в которых 200 подразделений, на каждое из которых выделяется подсеть. На нижнем уровне иерархии располагаются адреса хостов. В каждом подразделении – не менее 40 хостов.
Для раздачи адресов внутри корпоративной сети будем использовать один из частных диапазонов – 10.0.0.0/8, обладающий наибольшей емкостью адресного пространства – 24 бита.
В соответствии с заданием доступные биты адресов необходимо разделить между 4 уровнями иерархии. На каждый уровень иерархии необходимо выделить такое количество бит, которое достаточно для адресации содержащихся на данном уровне элементов. Биты, принадлежащие одному уровню иерархии, должны идти подряд, более высокие уровни должны располагаться левее более низких. Биты, оставшиеся после выделения каждому уровню минимального числа бит, равномерно распределяются между всеми уровнями для обеспечения возможного дальнейшего роста сети.
Для реализации распределения адресного пространства между различными уровнями используем бесклассовую модель назначения адресов, применяя маски для различных структурных единиц нашей сети.
Исходя из задания рассчитано минимально необходимое число бит, которое требуется отвести под адресацию регионов, кампусов и хостов, а также реально используемое число бит адреса. Итоговое распределение бит между уровнями и максимально возможное количество единиц каждого уровня приведено в таблице 1.1.
Распределение бит в IP-адресе проектируемой корпоративной сети показано на рисунке 1.1.IP-адрес состоит из 4 байт. В нашем случае 1-й байт, равный 10, отведен под номер сети, следующие 3 бита – под регион, 4 бита – под кампус, 8 бит – под подразделение, последние 9 бит – под номер хоста.
Рисунок 1 – Распределение битов адресного пространства
Таблица 1 – Распределение бит для адресации подсетей
|
Уровень |
Реальное количество единиц уровня |
Минимально необходимое число бит |
Выделенное число бит |
Максимальное число бит с учётом возможного дальнейшего роста сети |
|
Регионы |
4 |
3 |
3 |
4 |
|
Кампусы |
10 |
4 |
4 |
5 |
|
Подразделения |
200 |
8 |
8 |
9 |
|
Хосты |
20 |
5 |
9 |
6 |
В таблице 2 указаны номера регионов, соответствующие им двоичные биты в IP-адресе, маски и диапазоны адресов.
Таблица 2 – Диапазоны адресов регионов
|
Номер региона |
Код региона |
Адрес подсети |
Диапазон IP-адресов подсети региона |
Маска региона |
|
1 |
001 |
10.32.0.0 |
10.32.0.1-10.63.255.254 |
255.224.0.0/11 |
|
2 |
010 |
10.64.0.0 |
10.64.0.1-10.95.255.254 |
|
|
3 |
011 |
10.96.0.0 |
10.96.0.1-10.127.255.254 |
|
|
4 |
100 |
10.128.0.0 |
10.128.0.1-10.159.255.254 |
Очевидно, что адреса для каждого кампуса выделяются из диапазона адресов того региона, к которому относится данный кампус. В таблице 3 приведено распределение адресов для кампусов первого региона. В остальных регионах распределение адресов между кампусами производится аналогично.
Таблица 3 – Адреса кампусов первого региона
|
Номер кампуса |
Код кампуса |
Адрес подсети |
Диапазон IP-адресов подсети кампуса |
Маска кампуса |
|
1 |
0001 |
10.34.0.0 |
10.34.0.1-10.35.255.254 |
255.254.0.0/15 |
|
2 |
0010 |
10.36.0.0 |
10.36.0.1-10.37.255.254 |
|
|
3 |
0011 |
10.38.0.0 |
10.38.0.1-10.39.255.254 |
|
|
4 |
0100 |
10.40.0.0 |
10.40.0.1-10.41.255.254 |
|
|
5 |
0101 |
10.42.0.0 |
10.42.0.1-10.43.255.254 |
|
|
6 |
0110 |
10.44.0.0 |
10.44.0.1-10.45.255.254 |
|
|
7 |
0111 |
10.46.0.0 |
10.46.0.1-10.47.255.254 |
|
|
8 |
1000 |
10.48.0.0 |
10.48.0.1-10.49.255.254 |
|
|
9 |
1001 |
10.50.0.0 |
10.50.0.1-10.51.255.254 |
|
|
10 |
1010 |
10.52.0.0 |
10.52.0.1-10.53.255.254 |
Адреса для каждого подразделения выделяются из диапазона адресов того кампуса, к которому оно относится. В таблице 4 приведено распределение адресов для подразделений первого кампуса первого региона. В остальных регионах и кампусах распределение адресов между подразделениями производится аналогично.
Таблица 4 – Диапазоны адресов подразделений первого кампуса первого региона
|
Номер подразд. |
Код подразд. |
Адрес подсети |
Диапазон IP-адресов хостов подразделения |
Маска подразделения |
|
1 |
00000001 |
10.34.2.0 |
10.34.2.1-10.34.3.254 |
255.255.254.0/23 |
|
2 |
00000010 |
10.34.4.0 |
10.34.4.1-10.34.5.254 |
|
|
3 |
00000011 |
10.34.6.0 |
10.34.6.1-10.34.7.254 |
|
|
4 |
00000100 |
10.34.8.0 |
10.34.8.1-10.34.9.254 |
|
|
5 |
00000101 |
10.34.10.0 |
10.34.10.1-10.34.143.254 |
|
|
200 |
10010000 |
10.35.144.0 |
10.35.144.1-10.35.255.254 |
Данная адресная схема разработана в соответствии с иерархическим принципом проектирования компьютерных сетей.
Физические схемы локальной и глобальной сетей приведены в приложении на листах 2 и 4. Логическая схема локальной и глобальной сетей приведены в приложении на листах 3 и 6.
Устройство должно подходить прежде всего по количеству и типу интерфейсов, по поддерживаемым протоколам и пропускной способности.
Коммутаторы для локальных сетей можно условно разбить на две группы – уровня предприятия и для рабочих групп.
Коммутаторы рабочих групп служат для непосредственного подключения компьютеров к сети. От коммутаторов этой группы не требуется высокой скорости коммутации, поддержки маршрутизации или других сложных дополнительных функций.
Коммутаторы уровня предприятия служат для объединения в одну сеть коммутаторов для рабочих групп. Поскольку через эти коммутаторы проходит трафик от многих пользователей, то они должны иметь высокую скорость коммутации. Кроме того, такие коммутаторы часто выполняют функции маршрутизации трафика между виртуальными подсетями.
В качестве коммутатора рабочей группы будем использовать серию Cisco Catalyst 2950. Коммутаторы Cisco Catalyst серии 2950 (Cisco Catalyst 2950 Series Switch) – это стекируемые автономные коммутаторы с фиксированной конфигурацией, которые предназначены для инфраструктуры сетей Fast Ethernet и Gigabit Ethernet и обеспечивают производительность на скорости среды передачи. Коммутаторы поставляются с двумя типами программного обеспечения и в самых различных конфигурациях, благодаря чему можно подобрать подходящий вариант для любого предприятия малого и среднего бизнеса, а также удаленных филиалов и производственных сред. Для интеллектуальных сетей, которым требуются дополнительные функции безопасности, расширенные возможности управления качеством обслуживания и высокий уровень доступности на границе сети, предназначено программное обеспечение Enhanced Image (EI), включающее поддержку таких функций, как ограничение скорости и фильтрация трафика.
Новые модели коммутаторов Cisco Catalyst серии 2950 предоставляют наряду с традиционной LAN-коммутацией такие интеллектуальные услуги как улучшенное качество обслуживания (QoS), управление полосой пропускания, фильтры защиты и multicast управление. Коммутаторы Cisco 2950 предлагают сверхвысокую производительность, простоту эксплуатации и гибкость в использовании.
В качестве коммутатора рабочей группы выберем Cisco WS-C2950C-24. Cisco WS-C2950C-24 является интеллектуальным коммутатором с фиксированной конфигурацией портов. Существует возможность объединения коммутаторов в стек со скоростями FastEthernet/GigabitEthernet.
Рисунок 2 – Коммутатор Cisco - WS-C2950C-24
Основные особенности:
– высокая безопасность: поддерживаются функциональность Port Security, Private VLAN Edge, протокол 802. 1x, аутентификация пользователей на серверах TACACS+ или RADIUS. Серия Catalyst 2950 с ПО Enhanced Image (EI) такжеподдерживает фильтрацию трафика с помощью аппаратной реализации параметров управления доступом (ACP) на 2, 3 и 4 уровнях, списки доступа, основанные на времени или на значении DSCP;
– развитые средства качества обслуживания (QoS): серия Catalyst 2950 EI поддерживает классификацию трафика по полям DSCP или 802.1p (CoS), а также по исходным и конечным MAC, IP адресам или портам TCP/UDP, полисинг и маркирование входящих пакетов, приоритетную очередность и очередность WRR для исходящих пакетов, функциональность AutoQoS;
– высокая доступность: поддержка резервной системы питания Cisco Redundant Power System 300 (RPS 300) или 675(RPS 675), функциональность IGMP snooping, Per-VLAN Spanning Tree Plus, Multicast VLAN Registration (MVR), дополнительная функциональность Spanning-Tree: PortFast, UplinkFast, BackboneFast;
– отличная управляемость: внедренное в коммутатор ПО Cisco CMS позволяет управлять до 16 коммутаторами с помощью стандартного web-браузера вне зависимости от их физического расположения, функциональность Cisco Express Setup, поддержка управления с помощью SNMP-платформ, такихкак CiscoWorks for Switched Internetworks, поддержка SNMP и Telnet, RMON, SPAN, NTP, TFTP.
Основные функции:
– программное обеспечение Cisco Cluster Management (CCM), поставляемое бесплатно с коммутатором, обеспечивает широкие возможности для управления и легкость внедрения и конфигурации сети;
– коммутаторы являются неблокируемыми, т.е. обеспечивают одновременную работу всех портов на скорости канала;
– идеальное решение для небольших и средних сетей;
– управление многоадресным (multicast) трафиком с помощью протокола IGMP Snooping;
– функциональность для обеспечения масштабируемости и высокой доступности;
– поддержка резервного источника питания Cisco Redundant Power System 300 (RPS 300);
– поддержка дополнительных функций по фильтрации трафика на уровнях L3 и L4 с помощью стандартных и расширенных листов доступа, а также ряд дополнительных функций по обеспечению QoS в программном обеспечении Enhanced Image (EI).
Таблица 5 – Основные характеристики коммутатора CiscoCatalyst WS-C2950C-24
|
Основные характеристики |
WS-C2950С-24 |
|
Количество портов Fast Ethernet 10/100TX |
24 |
|
Количество портов 100 BASE-FX |
2 |
|
Количество портов Gigabit Ethernet |
0 |
|
Количество портов Gigabit Ethernet GBIC |
0 |
|
Пропускная способность, Гбит/с |
5,2 |
|
Максимальная скорость передачи данных, Мбит/с |
100 |
|
Объем flash-памяти, Мб |
8 |
|
Объем ОЗУ, Мб |
16 |
|
Размеры (В х Ш х Г), дюймов |
1,72 x 17,5 x 9,52 |
|
Вес, кг |
3 |
Дополнительные характеристики:
– интерфейс Ethernet 100Base-FX - 2 x MT-RJ;
– интерфейсконсоли - RJ-45;
– стандарты - IEEE 802. 3, IEEE 802. 1D, IEEE 802. 1Q, IEEE 802. 1p, IEEE 802. 1x, IEEE 802.3U,IEEE 802.3x;
– индикаторы – Power, Link OK, Port status, Link activity, Collision status, Port duplex mode, Bandwidth utilization %, Port transmission speed;
– управляемый – да;
– режим передачи - полнодуплексный, полудуплексный;
– блок питания - внутренний блок питания, 120/240 В.
Общее количество компьютеров в первом здании кампуса 100, т.к. используем коммутатор на 24 порта, то получается для здания необходимо 6 коммутаторов. Общее количество компьютеров во втором и третьем зданиях кампуса по 50, т.к. используем коммутатор на 24 порта, то получается для зданий необходимо по 3 коммутатора. Следовательно, для 10 кампусов количество коммутаторов равно 10*12=110 и для 4 регионов 4*120=480.
Коммутаторы для рабочих групп подключаются к коммутаторам зданий, которые соединены между собой оптоволоконными линиями связи. В качестве коммутаторов зданий будем использовать коммутатор Cisco Catalyst WS-C3750G-12S-S. Производительность коммутационной шины до 32 Гбит/с. Коммутатор Cisco Catalyst WS-C3750G-12S-S имеет 12 портов Gigabit SFP для подключения линий связи.
Рисунок 3 – Коммутатор здания Cisco Catalyst WS-C3750G-12S-S
В каждом кампусе необходимо 3 коммутаторов. Таким образом, необходимо 3∙10∙4=120 таких коммутаторов WS-C3750G-12S-S.
Для подключения коммутаторов рабочих групп необходимо установить по 6 модуля Cisco Ethernet RJ-45 C-SFP. Для соединения коммутаторов здания между собой и с коммутатором кампуса необходимо дополнительно приобрести 3 SFP модуля Cisco GLC-LH-SM, которые представлены на рисунках 4 и 5 соответственно.
Рисунок 4 – Модуль Cisco Ethernet RJ-45 C-SFP
Рисунок 5 - SFP модуль Cisco GLC-LH-SM
Всего необходимо приобрести 720 модулей Cisco Ethernet RJ-45 C-SFP и 360 SFP модулей Cisco GLC-LH-SM.
Коммутаторы зданий подключаются к коммутаторам кампуса. Поскольку через эти коммутаторы проходит трафик от многих пользователей, то они должны иметь высокую скорость коммутации. Кроме того, такие коммутаторы часто выполняют функции маршрутизации трафика между виртуальными подсетями. Т.е. коммутатор должен быть маршрутизирующим. Поэтому в качестве коммутаторов кампуса выбираем Cisco Catalyst 4503-Е.
Коммутатор Cisco Catalyst 4503-Е Enhanced Vertical Switch, емкостью 3 слота обеспечивает пропускную способность системы до 24 Гбит/с (80 Гбит/с на слот) и расширенные возможности для управления кабельными сетями.
Рисунок 6 – Коммутатор Cisco Catalyst 4503-Е
Для подключения оптоволоконным кабелем необходимо установить линейную карту, поддерживающую гигабитный интерфейс WS-X4606-X2-E Cisco Catalyst 4500E Series 6-Port 10 Gigabit Ethernet.
Рисунок 7 – Линейная карта WS-X4606-X2-E Cisco Catalyst 4500E Series 6-Port 10 Gigabit Ethernet
Всего необходимо приобрести 40 Cisco Catalyst 4503-Е и 40 линейных карт.
Магистральные маршрутизаторы располагаются в центре сети. Они предназначены для быстрой маршрутизации всех потоков данных, приходящих с нижних уровней иерархии сети. Как правило, это модульные маршрутизаторы с высокоскоростными интерфейсными модулями. Этот класс устройств является наиболее дорогим.
Маршрутизаторы уровня доступа предназначены для подключения небольших локальных сетей к глобальной. Обычно это небольшие модульные маршрутизаторы с интерфейсами для подключения к локальной и глобальной сети. Помимо маршрутизации пакетов такие устройства выполняют дополнительные функции, например, фильтрацию трафика, организацию VPN и т. д.
Все кампусные сети подключаются к узловому маршрутизатору – маршрутизатору ядра. Маршрутизаторы ядра располагаются в центре сети и относятся к самым дорогим и производительным устройствам проектируемой сети. Они предназначены для быстрой маршрутизации всех потоков данных, приходящих с нижних уровней иерархии сети.
Маршрутизаторы Cisco серии 7600 позволяют развертывать высокопроизводительные серии IP/MPLS и масштабируемые персонализированные услуги IP в граничном сегменте сети, повышать эффективность работы и ускорять возврат инвестиций.
Маршрутизаторы Cisco серии 7600 – первые в отрасли маршрутизаторы границы сетей операторского класса, позволяющие создать интегрированную систему коммутации Ethernet с высокой плотностью, систему маршрутизации IP/MPLS операторского класса, а также использовать интерфейсы с пропускной способностью 10 Гбит/с. Это дает ряд преимуществ предприятиям, а также позволяет провайдерам услуг предоставлять услуги как частным, так и корпоративным клиентам по одной конвергентной сети Carrier Ethernet.
Важные особенности:
– различные форм-факторы, рассчитанные на обеспечение высокой доступности;
– архитектура Cisco I-Flex: ассортимент адаптеров портов коллективного использования (SPA) и интерфейсных процессоров SPA (SIP), позволяющих обеспечить оптимальное качество услуг передачи данных, голоса и видео;
– набор масштабируемых и расширяемых возможностей аппаратного и программного обеспечения, позволяющих предоставлять интеллектуальные услуги Carrier Ethernet;
– интегрированная система контроля допуска видеовызовов (Video Call Admission Control), обеспечивающая новый уровень качества как для видеовещания, так и для услуг "видео по требованию" (VoD);
– интеллектуальный сервисный шлюз, учитывающий работу абонентов и приложений, а также оснащенный системой многомерной идентификации и контроля на основе политик;
– интегрированная система контроля границы сессий, обеспечивающая устойчивое качество услуг как для приложений на базе протокола SIP, так и для других приложений.
Области применения:
– операторские сети Ethernet: Агрегация услуг для частных и корпоративных пользователей;
– граница сети Ethernet: Персонализированные IP-услуги;
– полносвязные беспроводные сети и конвергенция мобильных услуг;
– маршрутизация на границе сети IP/MPLS провайдера;
– агрегация корпоративных распределенных сетей;
– маршрутизация опорных сетей в головных офисах.
Выберем маршрутизатор Cisco 7603. Маршрутизатор Cisco 7603 обеспечивает производительность коммутации на уровне 240 Гбит/с. Устройство оснащено 3 слотами с пропускной способностью 40 Гбит/с на слот и выполнено в чрезвычайно компактном форм-факторе (в стойку помещается до 11 устройств).
Рисунок 4 – Маршрутизатор Cisco 7603
Для установки дополнительных модулей необходимо установить процессор управления 7600-SIP-200 – Cisco SPA Interface Processor 200. Cisco SPA Interface Processor 200 обеспечивает высокую производительность, интеллектуальные WAN услуги. Предприятия и поставщики услуг могут в полной мере воспользоваться повышенной масштабируемостью, производительностью и богатым набором функций, предлагаемых Cisco SPA Interface Processor 200, а также многообразием вариантов для WAN агрегации и подключений, предлагаемых в Cisco SPA / SIP портфеле. Cisco SPA Interface Processor 200 обеспечивает функцию паритета с расширенниями FlexWAN, предлагая вдвое большую производительность и повышенную масштабируемость.
Рисунок 10 – Процессор управления 7600-SIP-200
Максимальная скорость линии связи – OC3/STM-1 155 Мбит/с. Тип линии связи– одномодовое оптическое волокно. В качестве сетевого модуля нам потребуется модуль АТМ с оптическим интерфейсом SFP-трансивером. Выбираем сетевой модуль Cisco SPA SPA-1XOC3-ATM-V2 (рисунок 11). В целях резервирования следует установить по две платы в каждый маршрутизатор, поэтому всего необходимо 8 модулей.
Рисунок 11 – Сетевой модуль Cisco SPA-1XOC3-ATM-V2
Для сетевой модуля Cisco SPA-1XOC3-ATM-V2 необходимо приобрести SFP модули для подключения одномодового оптического кабеля. Для этой цели подойдет Cisco SFP-OC3-LR1 (рисунок 12). SFP-OC3-LR1 это современный инструмент для передачи данных за счет преобразования электроимпульсов в оптический сигнал и обратно. Удобны в установке, обеспечивают быстрое и надежное соединение коммутатора (маршрутизатора ) и одномодового оптического волокна с разъемом типа LC. Работает в оборудовании уровня OC-3/STM-1.
Рисунок 12 – Модуль Cisco SFP-OC3-LR1
Всего необходимо приобрести 8 модулей.
Для соединения маршрутизатора ядра с маршрутизаторами кампусов и серверами регионов необходимо установить дополнительно модуль на два оптических и три медных интерфейса. Для этого будет использован сетевой модуль Cisco 5-port Gigabit Ethernet Shared Port Adapters, который оснащен пятью слотами расширения и обеспечивает скорость передачи данных в 10Гбит/с. Всего необходимо приобрести 4 таких модуля.
Рисунок 13 – Сетевой модуль Cisco 5-port Gigabit Ethernet SPA
Для подключения оптики будем использовать SFP модуль Cisco GLC-LH-SM, так как в каждый маршрутизатор требуется установить по два модуля, а всего маршрутизаторов 4, то следует приобрести 8 модулей. Подключение серверов будет производится через модуль Cisco Ethernet RJ-45 C-SFP, всего их потребуется 12.
Маршрутизатор кампуса служит для подключения кампусов к ядру. Для этих целей подходят маршрутизаторы серии Cisco 3825.
Рисунок 14 – Маршрутизатор кампуса Cisco 3825
Рисунок 15 – Маршрутизатор кампуса Cisco 3825
Маршрутизатор имеет SFP порт GE для подключения, 2 порта Gigabit Ethernet (для соединения с коммутатором кампуса). Также имеет консольный порт и порт AUX. Есть возможность для установки сетевых модулей типа NM и NME и 4 слота для установки интерфейсных карт типа WIC,VIC,VWIC,HWIC. В каждом регионе используется по 10 маршрутизаторов кампуса, а для всей сети необходимо 40 маршрутизаторов кампуса.
Для соединения этого маршрутизатора и сети региона с использованием технологии ADSL over POTS применяется модуль HWIC-1ADSL, содержащий 1-порт ADSLoPOTS.
Особенности HWIC-1ADSL:
– поддержка ADSL по обычной телефонной линии с Annex A ITU G. 992.1 (ADSL), G.992.3 (ADSL2), и G.992.5 (ADSL2+);
– поддержка стандарта ADSL2 (G.992.3) Annex L;
– совместимость со стандартом ANSI T1.413 issue 2;
– поддержка сервисов ATM Adaptation Layer 5 (AAL5);
– поддержка особенностей ATM CoS - constant bit rate (CBR), non-real-time variable bit rate (VBR-nrt), real-time variable bit rate (VBR-rt), and unspecified bit rate (UBR);
– поддержка до 23 виртуальных каналов;
– поддержка качества обслуживания IP (QoS);
– поддержка функции Dying Gasp;
– совместимоcть с DSLAM сторонних производителей.
Рисунок 16 – Модуль HWIC-1ADSL
Всего необходимо приобрести 40 модулей HWIC-1ADSL.
X-маршрутизатор организует корпоративный доступ к Интернету. Чтобы обеспечить потребности всей сети, маршрутизатор должен обладать высокой производительностью. Обычно X-маршрутизатор обрабатывает меньше пакетов, чем маршрутизатор ядра, и примерно столько же, сколько маршрутизатор кампуса, поэтому на роль X-маршрутизатора подходит Cisco 3825.
Помимо маршрутизации пакетов, маршрутизатор доступа к Интернету должен обязательно выполнять фильтрацию пакетов и трансляцию адресов, а также поддерживать безопасность на периметре сети, выполняя функции основного шлюза. Для этого он оснащается встроенным межсетевым экраном (Firewall) и модулем обнаружения атак на сеть (IDS), а также специализированной операционной системой Cisco IOS Advanced Security.
Через один из портов Gigabit Ethernet маршрутизатор связывается с узловым маршрутизатором через коммутатор.
Для соединения этого маршрутизатора и сети Интернет с использованием технологии ADSL применяется модуль HWIC-1ADSL, содержащий 1-порт ADSLoPOTS.
Подключение к Интернету осуществляется в каждом регионе, поэтому необходимо 4 маршрутизатора Cisco 3825 и 4 модуля HWIC-1ADSL.
Все маршрутизаторы (и управляемые коммутаторы) Cisco работают под управлением операционной системы Cisco IOS.
Одной из важнейших концепций данного ПО является Cisco Self-Defending Network – концепция устройства сетевой инфраструктуры с возможностями самозащиты. Этот подход реализован на базе усовершенствованных функций безопасности, таких как аппаратная поддержка шифрования, возможность реализации IPSec VPN, контроль доступа к сети (NAC), система предотвращения вторжений (IPS), ну и конечно межсетевой экран.
ПО Cisco IOS было выбрано по ряду причин. Во-первых, достоинством этой ПО является оптимизация пропускной способности. Сюда входят такие свойства, как маршрутизация по требованию, когда маршрутизатор автоматически устанавливает и завершает соединение при использовании сетей коммутации каналов; выделение по требованию полосы пропускания; маршрутизация с освобождением канала, когда применяется механизм распространения информации протоколов маршрутизации, позволяющий использовать динамические протоколы маршрутизации на коммутируемых линиях, уменьшая за счет этого время и сложность настройки маршрутизаторов. Во-вторых, существует защита от несанкционированного доступа. Для защиты от несанкционированного доступа в решениях Cisco используются:
– технология трансляции сетевых адресов и портов (NAT и РАТ) – скрывает топологию и адресную схему частной сети от внешней сети;
– шифрование на сетевом уровне с использованием стандартной технологии IPSec;
– списки доступа (Access Lists) – стандартные списки доступа контролируют адрес отправителя, а расширенные списки доступа контролируют как адреса отправителя и получателя, так и многие другие параметры. Именно такие списки доступа будут введены при настройки маршрутизаторов кампуса;
– Cisco IOS Firewall – дополнительный пакет программного обеспечения для поддержки функциональности межсетевого экрана.
Для маршрутизаторов кампуса и региона были выбраны системы, приведенные в таблице 6.
Таблица 6 – Используемые образы Cisco IOS
|
Image Name |
Feature Set |
|
c7600rsp72043-advipservices-mz.122-33.SRD2.bin |
Advanced ip services |
|
c3825-ipbasek9-mz.151-4.M6.bin |
Ip base |
|
c3825-advsecurityk9-mz.151-4.M.bin |
Advanced security |
Перечень необходимого оборудования, его количество и стоимость для корпоративной сети представлен в таблице 7
Таблица 7 – Сетевое оборудование и его стоимость
|
Наименование |
Цена, руб |
Количество, шт |
Стоимость, руб |
|
Коммутаторы |
|||
|
Cisco - WS-C2950C-24 |
24 820 |
480 |
11 913 600 |
|
Cisco Catalyst WS-C3750G-12S-S |
215 950 |
120 |
25 914 000 |
|
Cisco Catalyst 4503-Е |
374 304 |
40 |
14 972 160 |
|
Маршрутизаторы |
|||
|
Cisco 3825 |
200 935 |
44 |
8 841 140 |
|
Cisco 7603 |
431 000 |
4 |
1 724 000 |
|
Дополнительные модули |
|||
|
Модуль оптический SFP Cisco GLC-LH-SM |
22 162 |
368 |
8 155 616 |
|
Модуль Cisco Ethernet RJ-45 C-SFP |
19 308 |
732 |
14 133 456 |
|
Модуль Cisco WS-X4606-X2-E |
184 974 |
40 |
7 398 960 |
|
Процессор управления 7600-SIP-200 |
279 936 |
4 |
1 119 744 |
|
Сетевой модуль Cisco SPA-1XOC3-ATM-V2 |
499 100 |
8 |
3 992 800 |
|
Модуль Cisco SFP-OC3-LR1 |
15 880 |
8 |
127 040 |
|
Сетевой модуль Cisco 5-port Gigabit Ethernet SPA |
395 206 |
4 |
1 580 824 |
|
Модуль HWIC-1ADSL |
13 340 |
44 |
586 960 |
|
Программное обеспечение |
|||
|
Cisco IOS для 7600 |
32 000 |
4 |
128 000 |
|
Cisco IOS для 3825 |
0 |
40 |
0 |
|
Cisco 3825 advanced security |
48 000 |
4 |
192 000 |
Таким образом, общая стоимость активного оборудования составляет 100 780 300 руб.
Установленное активное оборудование по умолчанию сконфигурировано так, чтобы без дополнительной настройки можно было использовать его при формировании сети. Стандартная настройка оборудования позволяет использовать только основные его возможности, поэтому для поддержки сложной топологии сети и различных протоколов необходимо определить различные параметры работы устройств.
Конфигурации для оборудования одного функционального типа одинаковы и отличаются только названиями устройств, адресами и паролями, поэтому для описания настроек всего оборудования достаточно указать шаблоны для каждого типа. Далее необходимо рассмотреть общие настройки сначала для всех типов оборудования, затем – для каждого типа отдельно.
Одинаковыми настройками для всех устройств являются настройки служебных параметров и сетевых интерфейсов.
Для всех устройств необходимо настроить следующие служебные параметры:
– имя устройства;
– пароль на вход с консоли;
– пароль на вход по сети;
– пароль на вход в привилегированный режим.
Настройка сетевых интерфейсов зависит не от типа и функций сетевого устройства, а от технологий физического и канального уровня интерфейса. В простейшем случае (при использовании технологии Ethernet) интерфейс будет работать с установками по умолчанию. В более сложных случаях (характерных для технологий глобальных вычислительных сетей) требуется настройка.
Простейшим способом управления сетевым устройством фирмы Cisco является подключение к этому устройству с помощью терминала. В качестве терминала может выступать персональный компьютер с программой эмуляции терминала (HyperTerminal) и COM-портом для физического подключения. Возможно также подключение по сети с помощью виртуального терминала, работающего по протоколу telnet.
При терминальном подключении к сетевому устройству им можно управлять с помощью интерфейса командной строки. С точки зрения сетевого устройства каждое такое подключение имеет свою линию. Все настройки подключения сетевого устройства (необходимость аутентификации, пароль и др.) выполняются отдельно для каждой линии (или для группы линий).
После физического подключения через консольный порт устройства к компьютеру для настройки запускается программа эмуляции терминала (Hyper Terminal) и настраиваются параметры соединения. Затем включается само устройство. Начинает выполняться загрузочное программное обеспечение, которое находит загрузочное устройство (обычно это флэш-память), в котором содержится образ ОС Cisco IOS. После этого ОС запускает программу пошаговой настройки устройства: System Configuration Dialog. Программа пошаговой настройки предлагает варианты ответов по умолчанию в квадратных скобках.
Имена устройств будем выбирать согласно следующему принципу: в зависимости от функционального назначения устройств будет наблюдаться различие в их символических именах. Таким образом, в именах устройств будут присутствовать следующие специальные слова:
– маршрутизатор ядра – router-cor (router – маршрутизатор, core – ядро);
– маршрутизатор уровня доступа (для подключения кампусов) – router-acc (router – маршрутизатор, access – доступ);
– маршрутизатор уровня доступа (для подключения к Интернету) – router-int (router – маршрутизатор, internet – интернет);
– коммутатор кампуса – switch-camp (switch – коммутатор, campus – кампус);
– коммутатор здания – switch-build (switch – коммутатор, building – здание);
– коммутатор рабочей группы – switch-wg (switch – коммутатор, workgroup – рабочая группа);
– сервер – srv.
Далее необходимо помимо функционального назначения устройств в их имени также отразить принадлежность к региону и кампусу (для маршрутизаторов), а также к кампусу, зданию и рабочей группе (для коммутаторов). Приведем примеры полных имен для следующих устройств:
– маршрутизатор ядра – router-cor-n;
– маршрутизатор уровня доступа (для подключения кампусов) – router-acc-n-m;
– маршрутизатор уровня доступа (для подключения к Интернету) – router-int-n;
– коммутатор кампуса – switch-camp-n-m;
– коммутатор здания – switch-build-n-m-k;
– коммутатор рабочей группы – switch-wg-n-m-k-p;
– корпоративный сервер – srv-org;
– сервер кампуса – srv-camp;
– сервер демилитаризованной зоны – srv-dmz.
Здесь n – номер региона (1 – 4), m – номер кампуса в регионе (1 – 10),
k – номер здания в кампусе (1 – 3), p – номер коммутатора рабочей группы в здании.
В рамках данной курсовойработы будет использовано активное оборудование только исключительно фирмы CiscoSystems, поэтому принадлежность устройства к фирме-производителю в имени отражаться не будет.
– пароль на вход с консоли: typeХ, где type – тип устройства: для маршрутизаторов – rout, для коммутаторов – switch, Х – кодовые цифры по усмотрению администратора;
– пароль на вход по сети: typeXХX, где, type – тип устройства: для маршрутизаторов – rout, для коммутаторов – switch, XXX – три кодовые цифры по усмотрению администратора.
– пароль на вход в привилегированный режим: для маршрутизаторов – ciscor, для коммутаторов – ciscos, далее п – номер региона, в котором установлено устройство, т – номер кампуса, k – номер здания.
Далее приведены шаблоны для соответствующих настроек (СИУ – символическое имя устройства).
Установка имени устройства производится следующим образом:
СИУ >enable
СИУ #configureterminal
СИУ (config)#hostnameXXXXXX //здесь XXXXXX – соответствующее имя, согласно выбранной схеме.
Установка консольного пароля:
СИУ >enable
СИУ #configureterminal
СИУ (config)#lineconsole 0 – перевод IOS в режим конфигурации консоли;
СИУ (config-line)#login – включение аутентификации при входе;
СИУ (config-line)#passwordXXXХXXX // здесь XXXXXXX – соответствующий пароль, согласно выбранной схеме.
Установка пароля на терминальные порты:
СИУ (config)#linevty 0 – команда «vty» обозначает линию протокола telnet (по умолчанию одновременно могут работать пять пользователей на линиях с 0-й по 4-ю);
СИУ (config-line)#login
СИУ (config-line)#passwordtypeXXXXX
Установка пароля привилегированного режима:
СИУ (config)#enablepassword ХХХХХХХХХХХХ
СИУ (config)#servicepassword-encryption //хранит пароль в зашифрованном виде в конфигурационном файле
В сети присутствуют маршрутизаторы трех типов: маршрутизаторы ядра, маршрутизаторы уровня доступа, маршрутизаторы для выхода в Интернет.
Ядро (core) сети отвечает за высокоскоростную передачу сетевого трафика; первичное предназначение устройства, входящего в ядро сети, заключается в коммутации пакетов. Основное назначение маршрутизаторов ядра – быстрая пересылка пакетов. В ядре не рекомендуется применять списки доступа, политики маршрутизации и другие технологии, уменьшающие скорость обработки пакетов.
На маршрутизаторе ядра нужно указать параметры, общие для всех устройств, настроить сетевые интерфейсы и протокол маршрутизации.
Настройка протокола маршрутизации заключается в следующем:
Уровень доступа (access layer) отвечает за формирование сетевого трафика, выполняет контроль точек входа в сеть и предоставляет другие службы пограничных устройств. Маршрутизаторы уровня доступа (как в кампусах, так и маршрутизатор доступа в Интернет) обрабатывают меньшее количество пакетов.
После настройки параметров, общих для всех устройств, необходимо выполнить настройку сетевых интерфейсов в режиме конфигурации. Рассмотрим настройку маршрутизатора №3. Его символьное имя router-cor-3. Каждый маршрутизатор ядра имеет два ATM интерфейса для подключения к остальным маршрутизаторам. Кроме того, маршрутизаторы имеют интерфейсы GigabitEthernet для подключения корпоративных серверов, демилитаризованной зоны и маршрутизаторов для выхода в Интернет.
Для соединения между собой маршрутизаторов ядра используем технологию ATM.
В качестве протокола внутренней маршрутизации используется протокол RIPv2. Протокол RIPv2 является бесклассовым дистанционно-векторным протоколом маршрутизации. Основными отличиями второй версии от первой являются:
– бесклассовая маршрутизация;
– поддержка технологии VLSM;
– использование групповой рассылки маршрутной информации;
– поддержка аутентификации соседних маршрутизаторов;
– поддержка ручного суммирования маршрутов.
Для настройки протокола RIP на маршрутизаторах Cisco необходимо использовать команду router rip. После запуска на маршрутизаторе процесса маршрутизации RIP необходимо включить в данный процесс маршрутизации сети, о которых будет распространяться маршрутная информация. Для описания сетей, участвующих в процессе маршрутизации, используется команда network network–number. После задания сетей, участвующих в процессе маршрутизации, с интерфейсов маршрутизатора, на которые назначены IP адреса из этих сетей будет, производиться рассылка маршрутной информации. Используем протокол RIP второй версии, т.к. при разработке схемы адресации мы придерживаемся бесклассовой модели. Протокол RIPv2, в отличие от протокола первой версии, передает маску подсети.
Включение протокола RIPv2:
router-cor-3(config) # router RIP – включение протокола RIP ;
router-cor-3(config-router) #version 2.
Необходимо указать сети, в которые и из которых будет рассылаться маршрутная информация:
router-cor-3(config-router) # network 10.0.0.0.
Дополнительные настройки:
router-cor-3(config-router)# timers basic 30 180 180 240.
Для данной команды 30 сек. – промежуток времени, через который осуществляется рассылка обновлений маршрутной информации; 180 сек. – время, после которого маршрут помечается как недоступный; 180 сек. – время, в течение которого маршрут помечается как «возможно не доступный»; 240 сек. – время, в течении которого маршрут не удаляется из таблицы маршрутизации.
router-cor-3(config-if)# ip split-horizon – включает технологию «расщепление горизонта»;
router-cor-3(config-if)# auto-summary – включает автоматическое суммирование адресов;
router-cor-3(config)# ip route 0.0.0.0 0.0.0.0 адрес – устанавливает маршрут по умолчанию;
router-cor-3(config-router)# default-information originate – включает режим рассылки в сообщениях протокола RIP информации о маршруте по умолчанию.
Интерфейсы Gigabit Ethernet используются для подключения корпоративных серверов и серверов ДМЗ, а также для подключения маршрутизатора для выхода в интернет. Настройка этих интерфейсов ограничивается назначением адресов сетевого уровня.
Настройка интерфейса GE 2/2/2 для подключения х-маршрутизатора для маршрутизатора №3:
router-cor-3(config)#interface gigabitethernet 2/2/2;
router-cor-3(config-if)#ip address 10.20.0.2 255.255.0.0;
router-cor-3(config-if)#no shutdown.
Аналогично настраиваются остальные порты.
Настройки интерфейсов АТМ с динамическим отображением ip-адресов:
router-cor-3(config)#interface atm2/1/0;
router-cor-3(config-if)#no shutdown;
router-cor-3(config-if)#ip address 10.15.0.1 255.255.0.0 inarp 5;
router-cor-3(config-if)#atm pvc 20 0 60 aal5snap – создание канала PVC номер 20 с VPI – значением, равным 0, и VCI – значением, равным 60.
Шаблон настройки маршрутизатора ядра приведен в приложении Е.
В качестве протокола маршрутизации используется протокол маршрутизации RIPv2, его настройка аналогична настройке этого протокола для маршрутизаторов ядра. Для уменьшения нагрузки на маршрутизатор по обработке обновлений маршрутной ин-формации с интерфейсов, включенных в процесс маршрутизации применяется команда passive-interface в низлежащие сети через интерфейс Gigabit Ethernet 0/1:
router-acc-n-m (config)#router rip;
router-acc-n-m (config-router) #version 2;
router-acc-n-m (config-router) # timers basic 30 180 180 240 ;
router-acc-n-m (config-router)#passive-interface gigabitethernet0/1.
Список доступа – это набор правил, по которым маршрутизатор выбирает или со-поставляет маршрут или пакет. В IOS списки доступа используются как основной меха-низм управления разнообразными режимами работы маршрутизатора.
Каждое правило в стандартном списке доступа содержит три важных элемента:
– число, идентифицирующее список при обращении к нему в других частях кон-фигурации маршрутизатора;
– инструкцию deny(запретить) или permit(разрешить);
– идентификатор пакета (номер, адрес).
Для IP-трафика существует два базовых типа списков: стандартный и расширен-ный. Стандартные списки доступа выполняют фильрацию на базе исходных IP-адресов.
Маршрутизаторы кампуса должны выполнять функции фильтрации. Фильтрация пакетов может осуществляться на основании служебных полей протоколов сетевого и транспортного уровня, таких как: адреса приемника и источника, порт приемника и ис-точника, протокол верхнего уровня и других.
Анализируется информация:
– адреса приемника и источника;
– порт приложения;
– протокол транспортного уровня;
– состояние соединения (установлено или нет).
Список доступа позволяет управлять:
– доступом к маршрутизатору ;
– трафиком, проходящим через маршрутизатор во внешнюю сеть и обратно;
– маршрутами, принимаемыми маршрутизатором (в конфигурации соответст-вующих протоколов маршрутизации).
Основное назначение списков доступа для исходящего трафика – уменьшить объ-ем трафика по магистрали, основное назначение списков доступа для входящего трафика – запретить доступ к частным ресурсам.
При поступлении пакета они проверяются в порядке записи. Если ни одно из ус-ловий не подошло, то пакет отбрасывается.
Расширенные списки доступа позволяют создавать более гибкие условия. Номера расширенных листов начинаются с 100.
Создаем расширенный список доступа 101, разрешающий прохождение пакетов с адресами источника, принадлежащими корпоративной сети, и адресами приемника, при-надлежащими сети кампуса:
router-acc-n-m (config)#access-list 101 permit ip 10.0.0.0 0.255.255.255 10.n.0.0 0.1.255.255 //где 10.n.m.0 – номер сети кампуса, n – часть адреса, ответственная за номер сетирегиона и кампуса.
Создаем расширенный список доступа 102, разрешающий прохождение пакетов с адресами источника, принадлежащими сети кампуса, и адресами приемника, принадле-жащими корпоративной сети:
router-acc- n-m (config)#access-list 102 permit ip 10.n.0.0 0.1.255.255 10.0.0.0 0.255.255.255 //где 10.n.m.0 – номер сети кампуса, n – часть адреса, ответственная за номер сетирегиона и кампуса.
Применяем списки доступа к соответствующим интерфейсам:
router-acc- n-m (config)#interface adsl 0/1;
router-acc- n-m (config-if) # ip access – group 101 in – применение списка к входя-щим пакетам ;
router-acc- n-m (config)# interface adsl 0/1;
router-acc- n-m (config-if) # ip access – group 102 out.
Интерфейсы ADSL на маршрутизаторах кампуса используются для подключения к маршрутизатору ядра через сеть провайдера. Их настройка аналогична настройке для остальных маршрутизаторов и ограничивается назначением адресов сетевого уровня.
rout- acc- 1-1(config)#interface adsl 0/1.
rout- acc- 1-1(config-if)#ip address 10.32.0.2 255.255.0.0.
rout- acc- 1-1(config-if)#no shutdown.
Интерфейсы Gigabit Ethernet на маршрутизаторах кампуса используются для под-ключения коммутатора кампуса. Их настройка аналогична настройке для остальных мар-шрутизаторов и ограничивается назначением адресов сетевого уровня.
rout- acc- 1-1(config)#interface gigabitethernet0/1.
rout- acc- 1-1(config-if)#ip address 10.34.2.8 255.255.254.0.
rout- acc- 1-1(config-if)#no shutdown.
Шаблон настройки маршрутизатора кампуса приведен в приложении Ж.
Для этого маршрутизатора необходимо настроить интерфейсы и протокол мар-шрутизации. В качестве протокола маршрутизации используется RIPv2.
Настройка протокола RIP:
router-int-3(config)#router rip;
router-int-3(config-router) #version 2;
router-int-3(config-router)#network 10.0.0.0.
Расширенные списки доступа представляют собой довольно простую вариацию стандартных списков доступа. Стандартные списки ограничены фильтрацией на основе адресов источников и получателя IP-пакетов. Расширенные списки добавляют возмож-ность фильтрации на основе протокола и порта, указанного в пакете. Синтаксис расши-ренного списка доступа:
access-list номер действие протокол источник исх_порт приемник цел_порт
Расшифровка полей:
Номер – идентификационный номер списка. Для расширенных списков доступа диапазон от 100 до 199. Мы взяли 102;
Протокол – указание на протокол, к которому применяется правило. Допустимые значения: ip, tcp, udp, icmp. В нашем будет tcp;
Приемник – целевой адрес пакета: указывается также, как и адрес источника. За-дается IP-адрес с шаблонной маской, пишется ключевое слово host и IP-адрес ключевого узла либо пишется слово any.
Настраиваем фильтрацию для маршрутизаторов доступа в Интернет. Исключим для внутренних хостов возможность использовать протоколы, отличные от FTP (порты 20-21), HTTP (порт 80), HTTPS (порт 443), POP3 (порт 110), SMTP (порт 25). Доступ для этого трафика разрешен только сетям соответствующего региона.
router-int-3(config)# access-list 102 permit tcp 10.n.0.0 0.31.255.255 any range 20 21,
router-int-3(config)# access-list 102 permit tcp 10.n.0.0 0.31.255.255 any eq 80,
rouert-int-3(config)# access-list 102 permit tcp 10.n.0.0 0.31.255.255 any eq 433,
router-int-3(config)# access-list 102 permit tcp 10.n.0.0 0.31.255.255 any eq pop3,
router-int-3(config)# access-list 102 permit tcp 10.n.0.0 0.31.255.255 any eq smtp,
где 10.n.0.0 – номер сети региона. Запись eq n означает номер порта или название прото-кола.
Выполняем установку соединений. Устанавливать соединение разрешается толь-ко пользователям внутри нашей сети. Для этого в настройку добавляем ключевое слово established, которое включает механизм отбора пакетов:
router-int-3(config)# access-list 103 permit tcp any any established.
Применяем списки доступа к соответствующим интерфейсам:
router-int-3(config) #interface gigabitethernet0/0;
router-int-3(config-if)#access-group 102 in;
router-int-3(config) #interface adsl0/0;
rouert-int-3(config-if)#access-group 103 in.
Маршрутизатор доступа в Интернет должен выполнять трансляцию адресов, что-бы отображать внутренние адреса корпоративной сети на внешние адреса Интернет. Трансляция осуществляется следующим образом: для каждого пакета, направляемого во внешнюю сеть, внутренний адрес заменяется внешним, из доступного пула адресов. При этом адрес резервируется. Все ответы, пришедшие на зарезервированный адрес, трансли-руются обратно.
Для того, чтобы настроить трансляцию адресов, необходимо указать пул, из кото-рого берутся внешние адреса:
router-int-3(config) # ip nat pool pool1 217.174.23.51 217.174.23.59.
В этой команде указывается имя пула (pool1) и адреса.
Следующим шагом указывается список адресов, для которых разрешено трансли-рование:
router-int-3(config) # access-list 1 permit 10.32.0.0 0.31.255.255,
где 10.32.0.0 – сеть первого региона;
router-int-3(config) # access-list 1 permit 10.64.0.0 0.31.255.255,
где 10.64.0.0 – сеть второго региона;
router-int-3(config) # access-list 1 permit 10.96.0.0 0.31.255.255,
где 10.96.0.0 – сеть третьего региона.
router-int-3(config) # access-list 1 permit 10.128.0.0 0.31.255.255,
где 10.128.0.0 – сеть четвертого региона.
Далее указывается, что адреса, определяемые с помощью первого списка доступа, будут транслироваться с помощью заданного пула:
router-int-3(config) # ip nat inside source 1 pool pool1 overload.
Слово «overload» указывает, что один внешний адрес можно использовать для не-скольких внутренних. Последним шагом нужно указать входной и выходной интерфейсы. Следующие команды выполняются в режиме конфигурации соответствующих интерфейсов:
rout-int-3(config) #interface gigabitethernet0/0;
rout-int-3(config – if) # ip nat inside;
rout-int-3(config) #interface Adsl0/0;
rout-int-3(config – if) # ip nat outside.
На маршрутизаторе необходимо создать логический интерфейс командой interface dialer 1. Чтобы автоматичеки получить IP адрес и DNS сервер от оператора связи, на интерфейсе нужно прописать команды ip address negotiated и ppp ipcp dns request. Командой encapsulation ppp определяем тип инкапсуляции.
Инкапсуляция происходит за счет добавления нового заголовка PPP размером 8 байт к Ethernet фрейму, величина которого по умолчанию равна 1500 байт. Поэтому чтобы избежать фрагментации, необходимо указать значение 1492 командой ip mtu 1492.
Обычно, сессия аутентификации протекает в двухстороннем порядке. Но в случае подключения к оператору связи по PPPoE требуется только отправить ему имя пользователя и пароль. Для этого воспользуемся командой ppp authentication chap callin. Ее использование позволит маршрутизатору аутентифицировать удаленное устройство только в том случае, если удаленное устройство инициирует это подключение.
Укажем имя пользователя и пароль, предоставленные оператором связи, коман-дой ppp chap sent-username YOURUSERNAME password YOURPASS и поставим метку на данном интерфейсе dialer pool 1.
Далее необходимо зайти в режим конфигурации WAN интерфейса на маршрути-заторе, командой interface Adsl0/0. Включим PPPoE - pppoe enable и укажем метку интер-фейса Dialer 1 - pppoe-client dial-pool-number 1.
Чтобы завершить подключение по протоколу PPPoE, на внутреннем и внешнем интерфейсе (в нашем случае Dialer 1) необходимо настроить NAT и указать маршрут по умолчанию ip route 0.0.0.0 0.0.0.0 interface dialer 1.
Применение на маршрутизаторе:
router-int-3(config)#interface dialer 1;
router-int-3(config-if)#ip address negotiated;
router-int-3(config-if)#encapsulation ppp;
router-int-3(config-if)#dialer pool 1;
router-int-3(config-if)#ip mtu 1492;
router-int-3(config-if)#ip nat outside;
router-int-3(config-if)#ppp authentication chap callin;
router-int-3(config-if)#ppp chap sent-username YOURUSERNAME password YOUR-PASS;
router-int-3(config-if)#ppp ipcp dns request;
router-int-3(config)#interface Adsl0/0;
router-int-3(config-if)#pppoe enable;
router-int-3(config-if)#pppoe-client dial-pool-number 1;
router-int-3(config)#interface gigabitethernet0/0;
router-int-3(config-if)#ip address 10.20.0.3 255.255.0.0;
router-int-3(config-if)#ip nat inside;
router-int-3(config-if)#no shutdown.
Шаблон настройки маршрутизатора для выхода в Интернет приведен в приложе-нии З.
Для всех коммутаторов корпоративной сети в общем случае необходимо выполнить следующие настройки:
– настройка общих параметров и сетевых интерфейсов;
– виртуальных локальных сетей;
– протокола покрывающего дерева.
Шаблон настройки коммутатор рабочих групп и коммутаторов зданий приведен в приложении К.
Выполним настройку общих параметров и сетевых интерфейсов. Интерфейс мо-жет работать в трёх режимах. По умолчанию на коммутаторах Cisco устанавливается ре-жим автоматического выбора, для нашей сети полного дуплекса.
Учитывая, что к коммутаторам рабочих групп подключено большое количество компьютеров, принадлежащих работникам разных подразделений, которые могут иметь разные права доступа к ресурсам, нам необходимо организовать виртуальные локальные сети (VLAN).
Настройка виртуальных сетей производится следующим образом:
switch-wg-n(config) # interface fastethernetX/Y;
switch-wg-n(config-if)#switchport access VLAN k.
Здесь вместо X и Y указываются номера интерфейсов коммутатора, а вместо k – соответствующий номер виртуальной сети.
В нашей сети каждому подразделению будет соответствовать отдельная вирту-альная сеть.
Для поддержки единых виртуальных сетей различными коммутаторами, их тре-буется соединять через транковые интерфейсы. Для нормального функционирования коммутаторов уровня доступа необходимо перевести в транковый режим не только соот-ветствующие интерфейсы коммутаторов рабочих групп, но и интерфейсы коммутаторов зданий.
Интерфейс GigabitEthernet0 сделаем транковым:
sw-build-n(config)#interface gigabitethernet 0;
sw-build-n (config- if)#switchport mode trunk;
sw-build-n (config- if)#switchport trunk encapsulation dot1q.
При создании запасных линий связи в топологии сети обязательно появляются петли. В то же время коммутируемые сети не будут функционировать, если в их топологии присутствует петля.
Для решения этой проблемы используется протокол покрывающего дерева (spanning tree protocol). Коммутаторы, работающие по этому протоколу, отключают запасные пути. В случае если одна из линий связи перестанет работать, коммутаторы перестраивают топологию сети таким образом, чтобы она имела вид покрывающего дерева – охватывала бы все узлы, но при этом не имела петель. Покрывающее дерево строится отдельно для каждой виртуальной локальной сети.
Работа протокола покрывающего дерева происходит в два этапа. Сначала, исходя из установленных приоритетов, выбирается корневой коммутатор. Далее, исходя из приоритетов линий связи, от корневого коммутатора строится покрывающее дерево.
Настройка протокола состоит из трех этапов:
– включение протокола покрывающего дерева для нужных виртуальных сетей;
– настройка приоритетов коммутаторов;
– настройка приоритетов линий связи.
Так как настройки необходимо произвести на всех коммутаторах виртуальных се-тей, и эти коммутаторы находятся на разных уровнях иерархии, обозначим имя устройст-ва, как СИУ (символьное имя устройства).
Настройка коммутаторов здания сводится к установке транкового режима работы для всех его интерфейсов. Также нужно установить инкапсуляцию:
СИУ(config) # interface gigabitethernet0;
СИУ(config-if) # switchport mode trunk;
СИУ(config-if) # switchport trunk encapsulation dot1q.
Включение протокола для конкретной виртуальной сети производится следующей командой:
СИУ(config-if) # spanning-tree VLAN k.
Приоритет коммутатора устанавливается таким образом:
СИУ(config) # spanning-tree VLAN Х priority Р.
Необходимо на коммутаторах здания и на маршрутизирующих коммутаторах кампуса для каждой виртуальной сети, прежде всего, включить протокол Spanning Tree и затем задать приоритеты.
Маршрутизирующему коммутатору кампуса задаём самый высокий приоритет. Коммутатору здания, соединенному с коммутатором кампуса, задаем приоритет ниже, двум другим коммутаторам здания одинаковые приоритеты, но ниже, чем у предыдущего.
Стоимость линий связи 1 Гбит/с равна 4, стоимость линии связи 100 Мбит/с – 19.
Число P, определяющее приоритет коммутаторов, может принимать следующие значения:
P=1 – для коммутатора кампуса (наивысший приоритет);
P=16 – для одного из коммутаторов зданий;
P=75 – для двух других коммутаторов зданий;
P=367– для коммутаторов рабочих групп.
Чтобы равномерно распределить нагрузку по линиям, соединяющим здания, ком-мутататорам зданий назначаем различный приоритет для разных виланов. Например, для первого вилана определяем, что корневым коммутатором будет коммутатор первого зда-ния (назначаем ему приоритет P=10). Для второго вилана этому же коммутатору назнача-ем меньший приоритет (P=15), а корневым делаем коммутатор второго здания и т.д.
Обмен между виртуальными сетями осуществляется на сетевом уровне. Для этого нужно настроить маршрутизацию. Чтобы настроить маршрутизацию к одному из транко-вых интерфейсов, нужно подключить маршрутизатор или маршрутизирующий коммута-тор, как и сделано в нашей сети.
На маршрутизирующем коммутаторе транковый интерфейс настраивается от-дельно для каждой виртуальной сети. Делается это с помощью подынтерфейсов. Для каж-дого подинтерфейса указывается сетевой адрес и номер виртуальной сети:
switch-camp-n-m(config)# spanning-tree VLAN Х priority приоритет //X – номер VLAN, приоритет – номер приоритета коммутатора в X VLANе;
switch-camp-n-m(config)# interface GigabitEthernet0/2;
switch-camp-n-m(config -if)# spanning-tree VLAN X //X – номер VLAN;
switch-camp-n-m(config -if)#spanning-tree VLAN X port-priority приоритет //X – номер VLAN, приоритет – приоритет линии связи для X VLAN;
switch-camp-n-m(config) # interface GigabitEthernet0/2.1;
switch-camp-n-m(config-sub if) # encapsulation dot1q 1;
switch-camp-n-m(config-sub if) # bridge-group 1;
……….
switch-camp-n-m(config) # interface GigaEthernet0/2.200;
switch-camp-n-m(config-sub if) # encapsulation dot1q 200;
switch-camp-n-m(config-sub if) # bridge-group 200;
……….
switch-camp-n-m(config) # interface bvi1;
switch-camp-n-m(config-if) # ip address IP-адрес 255.255.254.0;
……….
switch-camp-n-m(config) # interface bvi200;
switch-camp-n-m(config-if) # ip address IP-адрес 255.255.254.0.
После приведенной настройки пакеты могут пересылаться между всеми виртуальными сетями.
Шаблон настройки коммутатора кампуса приведен в приложении И.
В курсовом проекте предусмотрены три функциональных группы серверов:
Корпоративный сервер предприятия разрабатывался прежде всего для малых и средних предприятий. Он задумывался как единое решение, способное взять на себя все серверные задачи – регулировать доступ в Интернет, резервировать и хранить информацию, обеспечивать ее безопасность и т.д. Реализован корпоративный сервер на бесплатной платформе Linux, что обеспечивает его высокую надежность и не требует покупки серверного программного обеспечения. У корпоративного сервера очень скромные требования к аппаратной платформе – его можно настроить на обычном компьютере офисного класса.
Корпоративный сервер выполняет следующие функции:
1) резервное копирование:
– возможность восстанавливать данные в любой момент;
– создание архива документов за выбранный период времени;
– возможность автоматического резервирования по расписанию.
2) файловый сервер:
– возможность совместной работы с файлами нескольким пользователям;
– разграничение прав доступа к файлам и каталогам;
– централизованное хранение файлов на сервере.
3) управление доступом в интернет:
– блокирование нежелательных сайтов – постоянно или с доступом к ним в нерабочее время и во время перерыва;
– произвольное распределение Интернет-канала между пользователями, отделами и подразделениями предприятия;
– контроль за тем, какие сайты посещает каждый пользователь;
– возможность установить лимит трафика персонально для каждого пользователя;
– хранение статистики посещения сайтов за любой промежуток времени.
4) электронный сейф:
– лучший способ хранения важных электронных документов;
– профессиональная система кодирования данных;
– максимальная защита конфиденциальной информации.
5) защита от Интернет-вторжений (Fire-Wall):
– защита данных от несанкционированного доступа из сети Интернет и локальной сети;
– гибкая настройка необходимого уровня безопасности.
6) распределенный офис:
– объединение филиалов, создание единой информационной среды для всех подразделений предприятия;
– мобильные сотрудники компании, например откомандированные в другой город с ноутбуком, могут подключаться к информационной системе предприятия и работать так, как будто они не покидали офис;
– связь осуществляется по защищенному каналу и только с компьютера, на котором внесены соответствующие настройки, что обеспечивает безопасность информации и локальной сети предприятия.
7) система групповой работы:
– групповой и персональный календарь и органайзер;
– назначение и делегирование рабочих заданий;
– менеджер управления проектами;
– удобный обмен документами;
– просмотр статистики по выполнению заданий за выбранный период.
8) база знаний предприятия
– хранение любых данных;
– защита базы знаний посредством паролей;
– легкость сбора информации, вовлечение всего коллектива в совместную работу;
– доступ к базе знаний только из пределов предприятия или из любой точки мира, где есть Интернет, — в зависимости от требований Заказчика.
9) корпоративный месенджер:
– полнофункциональный мессенджер установленный и настроенный на корпоративном сервере;
– полная конфиденциальность переписки, все передаваемые текстовые, голосовые, видео-сообщения и файлы остаются в пределах предприятия.
К серверам корпорации относятся:
– srv-org-1 – сервер службы DNS;
– srv-org-2 – корневой контроллер домена;
– srv-org-3 – сервер внутренней почты;
– srv-org-4 – файл-сервер.
DNS (Domain Name System) – это распределенная база данных, поддерживающая иерархическую систему имен для идентификации узлов в сети Internet. Служба DNS предназначена для автоматического поиска IP-адреса по известному символьному имени узла.
Контроллер домена – сервер для аутентификации и авторизации пользователей и компьютеров, объединенных в одну логическую группу.
Почтовый сервер предназначен для получения и хранения почты пользователей. Файл-сервер обеспечивает доступ к информационным ресурсам сети. Прикладная программа пользователя направляет запрос на файловый сервер. В ответ на запрос файловый сервер направляет по сети требуемый блок данных.
Основное назначение серверов кампуса – снятие нагрузки с корпоративных серверов. Они должны выполнять аналогичные функции для пользователей кампуса. К серверам кампуса относятся:
– srv-camp-1 – DHCP-сервер, кэширующий DNS-сервер, контроллер домена;
– srv-camp-2 – север приложений и файл-сервер уровня кампуса.
Сервер DHCP (Dynamic Host Configuration Protocol) предназначен для автоматической настройки параметров стека TCP/IP рабочей станции в момент ее загрузки. Эти данные передаются рабочей станции сервером DHCP после того, как станция во время своей загрузки выдаст широковещательный запрос параметров своей конфигурации, на который и откликается сервер. Данные конфигурации включают в себя IP-адрес рабочей станции, а также (опционально) адреса маршрутизатора по умолчанию и сервера DNS, имя домена и т.п.
Сервер приложений служит для установки совместно используемых приложений.
Серверы ДМЗ должны обеспечить обмен информацией между корпоративной и внешней сетью. Демилитаризованная зона позволяет полноценно функционировать сетевым службам и интернет-приложениям. Внутренняя локальная сеть отделена от DMZ и защищена сетевым экраном. Web и FTP сервера (или любой другой сервер, ресурсы которого должны использовать пользователи через Интернет) находятся в демилитаризованной зоне, безопасность которой обеспечивается брандмауэром и даже в случае взлома злоумышленниками этих серверов ваши внутренние сервера и сети не пострадают. К серверам ДМЗ относятся:
– srv-dmz-1 – прокси-сервер;
– srv-dmz-2 – почтовый сервер;
– srv-dmz-3 – Web, FTP-серверы.
Прокси-сервер является посредником между внутренней и внешней сетью. Информация, приходящая из глобальной сети, отправляется на IP-адрес прокси-сервера, который перераспределяет ее во внутренней сети.
Web-сервер предназначен для размещения сайтов с гипертекстовой информацией; FTP-сервер – для размещения файлов, доступных по протоколу FTP.
Заключение
В данном курсовом проекте была разработана корпоративная сеть, которая имеет смешанную топологию. В процессе проектирования были рассчитаны IP-адреса в соответствии с заданным числом объектов в задании. В соответствии с этим были спроектированы логическое и физическое соединение маршрутизаторов и коммутаторов различных уровней.
Для проектирования сети мы выбрали технологии ADSLoverPOTS для сети уровня ядра и технологию ATM для сети региона. Для коммутаторов рабочих групп – технология Fast Ethernet, для коммутаторов зданий и кампуса – Gigabit Ethernet.
В соответствии с архитектурой сети, функциональным назначением узлов сети и технологией передачи данных было выбрано активное оборудование фирмы Cisco и произведена его настройка и расчет стоимости. Так в качестве маршрутизатора ядра был выбран маршрутизатор Cisco и модуль к нему, в качестве маршрутизатора кампуса – маршрутизатор Cisco с соответствующим модулем и в качестве маршрутизатора для связи корпоративной сети и сети Интернет – Cisco. Произведен расчет общей стоимости проекта корпоративной сети, в который вошла стоимость активного оборудования. Таким образом, стоимость проекта 100 780 300 руб.
Библиографический список
1 Альтман Е.А. Проектирование корпоративной сети:Методические указания для курсового проектирования по дисциплине «Проектирование компьютерных сетей»/ Е.А.Альтман, А.Г.Малютин. Омск: Омский государственный университет путей сообщения, 2004.
2 Олифер В.Г. Компьютерные сети. Принципы, технологии, протоколы/ В.Г. Олифер, Н.А. Олифер. СПб: ЗАО «Издательство «Питер», 2003.
3 Cisco IOS [Электронный ресурс]. – Режим доступа: /http://wikipedia.ru/ Cisco IOS, свободный (дата обращения 12.12.2014)