АННОТАЦИЯ
Дипломный проект на тему: «Организация территориально распределённой корпоративной сети передачи данных». Пояснительная записка содержит
тридцать девять страниц текста, один рисунок, две таблицы, семь формул, двадцать пять использованных источников.
Включает в себя следующие разделы: введение, анализ существующих
технологий и протоколов, применяемых при построении КСПД, анализ производителей сетевого оборудования, проектирование территориально распределенной КСПД, настройка территориально-распределённой КСПД, заключение.
Объект исследования – деятельность в сфере системного интегрирования.
Целью данной работы является исследование современного способа организации территориально-распределенной КСПД.
Практическую ценность выпускной квалификационной работы заключается в том, что была предложена наиболее оптимальная методика построения
территориально-распределенных корпоративных сетей передачи данных.
ОБОЗНАЧЕНИЯ И СОКРАЩЕНИЯ
В настоящей письменной работе приведены следующие термины с соответствующими определениями:
Узел – это любое оконечное устройство, такое как компьютер, мобильное
устройство, принтер, IP телефон и тому подобное, имеющее выход в сеть.
Сетевой протокол – это набор правил и действий, позволяющих осуществлять соединение и обмен между узлами в сети [16].
Сеть – это объединение нескольких узлов [1].
Локальная сеть (LAN) – это сеть представляющая доступ к другим узлам в
этой же сети [20].
Глобальная сеть (WAN) – это сеть представляющая доступ к узлам в других сетях. То есть это объединение нескольких локальных сетей.
Интернет – это объединение огромного множества глобальных сетей.
Канал связи – это «путь», по которому передается сигнал от узла источника
к узлу назначения. Он представляет собой медные, оптоволоконные провода,
либо свободное пространство [10].
MAC адрес – это уникальный в глобальном масштабе номер сетевой интерфейсной платы, который состоит из уникального идентификатора организации (OUI), выдаваемый Институтом Инженеров по Электротехнике и Электронике (IEEE), и неповторяющегося номера, назначающегося организацией выпускающей плату, всего двенадцать шестнадцатеричных чисел.
Сетевая интерфейсная плата – устройство обеспечивающее физическое
подключение узла к сети.
Коммутация – это передача кадров от узла источника к узлу назначения на
основе адресов второго уровня, MAC адресов [18].
Коммутатор – устройство обеспечивающее коммутация между узлами сети
[12].
2
Маршрутизация — это процесс определения наилучшего пути от узла источника к узлу назначения, на основе адресов третьего уровня, IP адресов [19].
IP адрес – это уникальный номер, состоящий из сетевой части, которая
определяет к какой сети относится узел и узловой части, которая определяет сам
узел в этой сети [4].
Маршрутизатор - устройство обеспечивающее маршрутизацию между узлами сети [22].
Шлюз по умолчанию — это сетевое устройство, которое направляет трафик в другие сети. Это маршрутизатор, который может направлять трафик за
пределы локальной сети.
Инкапсуляция - процесс размещения одного формата сообщения внутри
другого.
Деинкапсуляция - процесс извлечения одного формата сообщения из другого.
Автономная система – это система IP-сетей и маршрутизаторов, управляемых одним или несколькими операторами связи, имеющими единую, четко определенную политику маршрутизации с глобальной сетью Интернет [3].
3
ВВЕДЕНИЕ
Сегодня большинство компаний на определенном этапе развития сопровождающимся появлением большого количества предприятий зачастую расположенных в разных городах, а в некоторых случаях и странах, сталкиваются с
задачами создания максимально гибкой и эффективной системы управления филиалами, создания единой системы документооборота и оперативного сбора информации, создания централизованного управления информационно-финансовыми потоками и т.д. Обеспечить все выше перечисленные потребности, а также
многие другие, стало возможно с появлением компьютерных сетей, то есть узлов, а именно электронно-вычислительных машин или по-другому компьютеров
объединённых посредством какой-либо среды передачи данных. В качестве последней могут выступать как проводные средства подключения, например, симметричные и оптоволоконные провода или беспроводные, такие как электромагнитные волны.
Подобные компьютерные сети объединяющие узлы одной компании называются корпоративными сетями передачи данных (КСПД). Как упоминалось
раннее для их построения нужны только среда передачи данных, однако данное
утверждение является верным только для очень небольших сетей, насчитывающих порядка дюжины узлов, при этом расположенных на малом удалении друг
от друга. Для построения КСПД с большим количеством компьютеров используются промежуточные устройства, основными представителями которых являются коммутаторы и маршрутизаторы. Первые обеспечивают связь между узлами сети на основании номеров их сетевых интерфейсных плат, MAC-адресов,
а вторые определяют наилучший путь от узла источника к узлу назначения используя их адреса третьего уровня модели OSI, IP-адреса.
4
Вышеупомянутых устройств достаточно чтобы построить большую корпоративную сеть передачи данных в пределах одного или нескольких зданий, находящихся недалеко друг от друга. Для построения территориально-распределенной КСПД, то есть состоящей из узлов, расположенных на удаленном расстоянии друг от друга, вплоть до разных городов и стран, прибегают к услугам других компаний, которые обладают собственной системой IP-сетей и маршрутизаторов, то есть автономной системой и при этом осуществляют взаимодействие с
другими подобными системами, такие организации называются операторами
связи.
Операторы связи, в свою очередь, для построения территориально-распределенной КСПД долгое время предлагали использовать выделенные линии
связи, арендная плата за использование которых составляет значительную часть
в себестоимости всей сети и возрастает с увеличением качества и скорости передачи данных. Если в пределах одного города, это приемлемо, то при переходе к
географически удаленным узлам стоимость аренды каналов связи становится
значительной, а их качество и надежность при этом зачастую являются невысокими.
Однако, с развитием промежуточных устройств и появлением специалистов способных осуществлять их «глубокую» настройку, а главным образом, с
развитием глобальной сети Интернет, обнаружилась возможность использовать
именно последнею для построения подобных сетей. В этом случае, необходимо
только обеспечить канал до сети оператора, а не брать в аренду целую линию
связи.
Целью данной работы является исследование современного способа организации территориально-распределенной КСПД, для этого в первую очередь будут проанализированы существующие технологии, протоколы, и оборудование
применяемые при ее построении. После чего полученные знания будут применены для проектирования и последующей настройки корпоративной сети, состоящей из главного офиса и филиала находящихся на большом удалении друг от
друга.
5
1 АНАЛИЗ СУЩЕСТВУЮЩИХ ТЕХНОЛОГИЙ И
ПРОТОКОЛОВ ПРИМЕНЯЕМЫХ ПРИ ПОСТРОЕНИИ КСПД
1.1 VPN – Виртуальная частная сеть
VPN — это технология, позволяющая обеспечить логическое соединение,
в сетевой терминологии «туннель» поверх другой сети [7]. Зачастую сетью поверх которой строится туннель является глобальная сеть Интернет.
Строится VPN в большинстве случаев на основе следующих протоколов
GRE, IP Security, IP Security VTI, DMVPN.
GRE (Generic Routing Encapsulation – общая инкапсуляция маршрутов) это протокол «туннелирования» сетевых пакетов, разработанный компанией
Cisco Systems. Его суть заключается в инкапсуляции пакетов сетевого уровня в
другие IP пакеты. На внешнем маршрутизаторе сети назначения дополнительные
IP пакеты снимаются и изначальные пакеты сетевого уровня направляются к
узлу назначения.
VPN GRE – яркий пример «туннелирования», который очень просто
настраивается, но имеет проблему с безопасностью, так как данные, передаются
в открытом виде, никакого шифрования нет.
IP Security (Internet Security Protocol – защищённый сетевой протокол) набор протоколов для обеспечения защиты данных, передаваемых по сетевому
протоколу IP. Позволяет осуществлять подтверждение подлинности (аутентификацию), проверку целостности и шифрование IP-пакетов.
Включены в данный набор следующие протоколы:
ESP (Encapsulating Security Payload) – безопасная инкапсуляция полезной
нагрузки, занимается непосредственно шифрованием данных.
AH (Authentication Header) – заголовок аутентификации, отвечает за аутентификацию источника и проверку целостности данных
6
IKE (Internet Key Exchange protocol) – обеспечивает согласование работы
участников защищенного соединения. Используя этот протокол, участники договариваются, какой алгоритм шифрования будет использоваться, по какому алгоритму будет производиться проверка целостности, если одной фразой, как
аутентифицировать друг друга.
Процесс создания IPSec «туннеля» состоит из двух фаз, а по сути из двух
туннелей. На первой фазе участники аутентифицируют друг друга и договариваются о параметрах установки специального соединения, предназначенного
только для обмена информацией о желаемых или поддерживаемых алгоритмах
шифрования и прочих деталях будущего IPSec-туннеля. Параметры этого «минитуннеля» определяются политикой другого протокола ISAKMP (Internet Security
Association and Key Management Protocol). Если стороны пришли к соглашению,
устанавливается ISAKMP туннель, по которому уже проходит вторая фаза. Во
время нее уже доверяющие друг другу участники договариваются о параметрах
основного туннеля, которые указываются в специальной команде, и, если приходят к согласию, поднимают основной туннель.
Проблема в таком VPN одна трафик отправляется в туннель на основе листа доступа и карты шифрования, а не таблицы маршрутизации, а соответственно
не о какой динамической маршрутизации [5] речи идти не может.
GRE over IPSec – это применение протокола GRE внутри протокола IPSec,
который при этом находится в транспортном режиме. В таком случае существует
только его первая фаза, то есть тунеля IPSec не создается, а в роли основного
туннеля выступает GRE, но при этом трафик шифруется благодаря ISAKMP туннелю. Для этого листы доступа настраиваются таким образом, что, если на порт
пришёл трафик с заголовком GRE и соответствующими адресами, то все что
находится внутри внешнего IP заголовка будет зашифровано.
Такой VPN позволяет нормально внедрять протоколы динамической
маршрутизации, оставляя возможность шифрования. Недостатком является максимальный размер блока данных, который может быть слишком велик, из-за чего
такие пакеты будут просто отбрасываться.
7
IP Security VTI (Internet Security Protocol with Virtual Tunnel Interface – защищённый сетевой протокол c туннельным интерфейсом) – это тот же IPSec, но
с одним отличием нам уже не нужно создавать вручную листы доступа и крипто
карты, вместо этого создается IP Sec-профиль, который привязывается к
«тунельному» интерфейсу. То есть мы по сути создаем GRE over IPSec, но экономим 4 байта путём исключения GRE-заголовка, однако также можем использовать протоколы динамической маршрутизации.
DMVPN (Dynamic Multipoint VPN – динамическая многоточечная виртуальная частная сеть) - это сочетание NHRP (Next Hop Resolution Protocol – протокол разрешения следующего перехода), протокола динамической маршрутизации и многоточечного GRE туннеля. Идея заключается в создании центрального
динамического «туннеля», настройка которого осуществляется только единожды, а при появлении новых логических связей не нужно добавлять «туннельные» интерфейсы, ни перенастраивать уже существующий, что значительно облегчает работу с сетью [9].
Во всем этом в первую очередь помогает протокол NHRP, который определяет внешний адрес маршрутизатора, которому предназначается пакет. Разрешение осуществляет «hub», сервер, которому сообщают свои адреса и запрашивают информацию о других «spokes», клиенты.
Для обеспечения безопасности к «тунельным» интерфейсам также применяется шифрование с помощью IPSec в транспортном режиме.
Единственным, но серьезным недостатком данного VPN является проприетарность, использовать подобную настройку можно только на оборудовании
Cisco Systems.
1.2 ACL – Листы доступа
Листы доступа — это набор текстовых выражений, которые разрешают доступ, либо запрещают его [6].
8
ACL в основном делятся на стандартные и расширенные. Согласно первым
проверяется только сеть к которой принадлежит пакет, а во втором случае может
контролироваться также протокол и даже номер запрашиваемого порта. В случае
если пакет не попадает не под одно из правил листа доступа, то он автоматически
отбрасывается [11].
Также существуют динамические листы доступа, это расширенный ACL
разрешающий подключение по протоколу удаленного доступа, и если подключение, а по сути аутентификация, успешно, то активируется заранее настроенная
динамическая часть листа, которая разрешает доступ по настроенному протоколу. По сути, таким образом, организуется подключение по логину и паролю.
Помимо этого, используются рефлексивные листы доступа, это минимум
три ACL, два из которых являются расширенными, а один рефлексивным. Последний будет заполняться при выполнении условий первого расширенного листа, а второй при этом будет подчиняться условиям, приходящим из рефлексивного листа. Условия стираются из рефлексивного листа сразу после окончания
сессии.
Ограниченные по времени листы доступа – это расширенные или стандартные ACL к которым присоединяются с помощью специальной команды временные рамки действия.
Привязываются листы доступа к конкретному физическому или логическому интерфейсу оборудования, и начинают свое действие либо, когда трафик
исходит из него, такую настройку называют out либо, когда трафик входит в него
такую настройку, называют in.
1.3 NAT – Преобразование сетевых адресов
Все сетевые адреса делятся на внешние и внутренние, при этом имея на
устройстве внутренний адрес нельзя получить доступ в сеть с внешним адресом.
В глобальной сети Интернет могут взаимодействовать только внешние адреса,
9
то есть в свою очередь внутренние выход в Интернет не имеют и могут повторятся за пределами одной сети, то есть не являются уникальными.
«Преобразование» внутренних IP адресов во внешние обеспечивает технология NAT, суть механизма которой состоит в замене адреса узла источника при
прохождении пакета в одну сторону и обратной замене адреса назначения в ответном пакете от узла назначения. Наряду с адресами источник или назначение
могут также заменяться номера соответствующих портов.
NAT бывает трех типов: статический, динамический и маскарадный, также
называемый перегруженным [13].
В случае статического NAT один внутренний адрес преобразуется в один
внешний. И при этом все запросы, приходящие на внешний адрес, будут транслироваться на соответствующей внутренний. Словно бы этот узел и является обладателем данного внешнего IP-адреса.
В динамическом NAT ситуация похожа на статический, то есть один приватный адрес заменяется на один внешний, но теперь внешний не чётко зафиксирован, а будет выбираться динамически из заданного диапазона. При этом если
адреса из данного диапазона закончатся, то и преобразовываться последующие
внутренние адреса больше не будут, до тех пор, пока не освободятся внешние IP
адреса из выделенного диапазона.
Перегруженный NAT позволяет преобразовывать множество внутренних
IP адресов в один внешний, но при этом для каждого пакета назначается отдельный порт, что и позволяет обеспечить в глобальном масштабе уникальность сетевого адреса.
1.4 DHCP – Протокол динамической конфигурации узла
Данный протокол позволяет узлам сети автоматически получать различные параметры, называемые опциями. К ним относятся IP адрес, IP адрес шлюза
по умолчанию, IP адрес DNS сервера [8].
10
Протокол DHCP предоставляет три способа распределения IP-адресов:
Ручное распределение - при этом способе сетевой инженер сопоставляет
MAC-адресу каждого клиентского компьютера определенные опции. Фактически, данный способ распределения адресов отличается от ручной настройки каждого узла лишь тем, что сведения об адресах хранятся централизованно, и потому
их проще изменять при необходимости.
Автоматическое распределение - при данном способе каждому компьютеру на постоянное использование выделяются опции из определённого диапазона.
Динамическое распределение - этот способ аналогичен автоматическому
распределению, за исключением того, что опции выдаются узлу на определённый срок, он называется сроком аренды. По его истечении опции вновь считаются свободным, и клиент обязан запросить новые.
DHCP протокол работает по модели «клиент-сервер». Такое взаимодействие делится на четыре этапа, при этом передача данных производится при помощи протокола UDP, по умолчанию запросы от клиента к серверу делаются на
шестьдесят седьмой порт, а сервер отвечает клиенту на порт шестьдесят восемь.
Первый этап называется, обнаружение DHCP, во время него клиент выполняет широковещательный запрос с целью обнаружить доступные DHCP-серверы. В случае, если клиент ранее уже получал IP адрес и срок его аренды ещё
не прошёл, то он может пропустить эту стадию, начав с запроса отправляемого с
идентификатором сервера, который выдал адрес в прошлый раз. В случае же отсутствия ответа от DHCP сервера, выдавшего настройки в прошлый раз, клиент
начинает обнаружение сервера.
На втором этапе, предложение DHCP, сервер определяет требуемую конфигурацию клиента и отправляет ему ответ с соответствующими настройками.
Во время третьего этапа, запрос DHCP, клиент отправляет серверу запрос
на предложенные настройки.
11
И на последнем этапе, подтверждение DHCP, сервер подтверждает запрос
и направляет это подтверждение клиенту. После клиент должен настроить свой
сетевой интерфейс, используя предоставленные опции.
Главное преимущества DHCP в том, что он позволяет избежать одновременного использования несколькими узлами одного сетевого адреса, а также
благодаря ему настройка узлов сети значительно упрощается.
1.5 VLAN – Виртуальная локальная сеть
Это технология, благодаря которой группа узлов сети может входить в
один широковещательный домен, даже будучи подключёнными к разным промежуточным устройствам второго уровня модели OSI. При этом устройства,
находящиеся в разных виртуальных локальных сетях, не могут взаимодействовать друг с другом на канальном уровне [14].
За счет такого разделения узлов сети на группы значительно уменьшается
количество широковещательного трафика, а также увеличивается безопасность
и управляемость сети, так как политики, например, листы доступа можно применять к целой группе устройств единовременно.
1.6 Агрегирование каналов
Это технология, которая позволяет объединить несколько физических каналов в один логический. Такое объединение позволяет увеличивать пропускную способность и надежность канала. Агрегирование каналов может быть
настроено между двумя коммутаторами, коммутатором и маршрутизатором,
либо между коммутатором и хостом [17].
Технологии по агрегированию каналов позволяют использовать все интерфейсы одновременно. При этом устройства контролируют распространение широковещательных фреймов, а также multicast и unknown unicast, чтобы они не
12
зацикливались. Для этого устройство, при получении широковещательного
фрейма через обычный интерфейс, отправляет его в агрегированный канал
только через один интерфейс. А при получении широковещательного фрейма из
агрегированного канала, не отправляет его назад.
Хотя агрегирование каналов позволяет увеличить пропускную способность, оно далеко не идеально балансирует нагрузку между интерфейсами в нем.
То есть, реальная загруженность конкретного интерфейса никак не учитывается,
поэтому один интерфейс может быть загружен больше, чем другие. Более того
может сложиться ситуация, когда все данные будут передаваться через один интерфейс. Для решения этой проблемы существуют методы балансировки по
MAC-адресу, IP адресу или номеру порта.
Агрегировать можно только порты обладающие: одинаковой скоростью,
режимом дуплекса и диапазоном разрешенных VLAN, а также одним типом интерфейса.
Агрегирование каналов может быть динамическим, его осуществляют с
помощью таких протоколов как LACP (link aggregation control protocol – протокол контролируемой агрегации линков) и PAgP (port aggregation protocol – протокол агрегации портов).
Также есть статическое агрегирование, оно осуществляется без специальных протоколов. При объединении каналов между маршрутизаторами и другими
устройствами возможно использование только статической агрегации.
Преимущество динамического агрегирования в том, что оно позволяет за
счет служебных сообщений обнаруживать поврежденные каналы. Также подобный тип агрегирования поддерживает standby-интерфейсы, то есть те, которые
будут включены автоматически при отключении одного из активных интерфейсов. Главный недостаток в том, что динамическое агрегирование по сравнению
со статическим вносит дополнительную задержку при поднятии агрегированного канала или изменении его настроек.
13
В свою очередь LACP и PAgP обладают аналогичными характеристиками,
их главное отличие заключается в возможности использования. PAgP это проприетарный протокол, соответственно может быть использован только на оборудовании Cisco Systems, также он не поддерживает агрегацию кроссовых линков.
1.7 IEEE 802.11 – WiFi
Стандарт, определяющий правила передачи данных в беспроводной локальной сети, имеет в своем составе множество спецификаций, среди которых
выделяются IEEE 802.11a, IEEE 802.11b, IEEE 802.11g, IEEE 802.11n и IEEE
802.11ac [2].
Спецификации отличаются друг от друга используемой частотой, видом
модуляции и используемыми технологиями, из перечисленного следует их главная отличительная черта скорость передачи данных.
В базовом стандарте IEEE 802.11 регламентируется работа оборудования
на частоте 2,4 ГГц с максимальной скоростью до 2 Мбит/с. В данном стандарте
используется метод псевдослучайного изменения рабочей частоты (FHSS Frequency Hopping Spread Spectrum), согласно ему, полоса частот от 2,402 до
2,480 ГГц делится на 79 каналов, ширина каждого канала составляет 1 МГц, сменятся частота при этом должна не менее двух с половиной раз в секунду между
шестью каналами.
В спецификации IEEE 802.11b используется расширение спектра методом
прямой последовательности (DSSS - Direct Sequence Spread Spectrum), согласно
ему, диапазон частот от 2,402 до 2,480 ГГц, разбивается на 11 каналов шириной
22 МГц. Далее с помощью последовательностей Баркера каждый бит данных
превращается в 11 бит, в результате чего получается 11-кратная избыточность.
После чего сигнал кодируется посредством дифференциальной двух или четырехпозиционной фазовой модуляции, в результате скорость передачи данных до-
14
стигает 1-2 Мбит/с. Однако стандарт IEEE 802.11b предусматривает скорости передачи данных 11 и 5,5 Мбит/с, для этого используется кодирование комплементарным кодом, которое позволяет кодировать 8 бит на один символ, что соответствует 11 Мбит/с. Для получения скорости передачи данных 5,5 Мбит/с в одном
символе кодируется 4 бита.
В спецификации IEEE 802.11a используется метод мультиплексирования
с ортогональным частотным разделением сигналов (OFDM - Orthogonal
Frequency Division Multiplexing). В России для данной спецификации выделены
две частотные полосы 5,150-5,350 и 5,650-6,425 ГГц, также каждый диапазон разбивается на пять рабочих поддиапазонов в зависимости от накладываемого ограничения на мощность передатчика.
Рабочий поддиапазон в свою очередь разбивается на каналы с частотным
разносом 20 МГц, при этом в каждом канале имеется 52 поднесущие частоты,
которые ортогональны друг к другу. Из них 48 используются для передачи данных, а остальные для кодов коррекции ошибок. Разнос поднесущих частот составляет 312,5 кГц, а ширина сигнальной полосы 16,66 МГц. При использовании
различных скоростей кодирования и видов модуляции вплоть до шестидесяти
четырех уровневой квадратурной амплитудной модуляции (QAM-64) обеспечивается максимальная скорость 54 Мбит/с.
Главным недостатком IEEE 802.11a является высокая потребляемая мощность передатчика для частот 5 ГГц, а также меньший радиус действия по сравнению с частотой 2,4 ГГц.
В спецификации IEEE 802.11g рабочей частотой является 2,4 ГГц, в России
выделена полоса частот 2400-2483,5 ГГц. Основным преимуществом является
возможность использования как расширения спектра методом прямой последовательности (DSSS) со скоростью передачи данных до 11 Мбит/с, так и мультиплексирования с ортогональным частотным разделением сигналов (OFDM) со
скоростью передачи данных до 54 Мбит/с.
Благодаря IEEE 802.11g было получены преимущество спецификации
IEEE 802.11a по скорости передачи данных и убраны ее же главные недостатки
15
высокая потребляемая мощность передатчика и сравнительно малый радиус действия.
Спецификация IEEE 802.11n основывается на использовании двух рабочих
частот 2,4 и 5 ГГц, а также мультиплексирования с ортогональным частотным
разделением сигналов (OFDM). В России были выделены следующие полосы частот: 2400-2483,5, 5150-5350 и 5650-6425 ГГц. Максимальная скорость передачи
данных может достигать 600 Мбит/с.
Увеличение скорости в данной спецификации достигается в первую очередь за счет увеличенной полосы разноса каналов с 20 до 40 МГц в следствие
этого количество поднесущих вырастает в два раза и скорость увеличивается.
Также возможно использование старой полосы разноса каналов 20 МГц, однако
тогда увеличения скорости не будет.
Во-вторых, скорость передачи данных увеличивается благодаря использованию технологии множественных входов и множественные выходов (MIMO Multiple Input, Multiple Output). Передаваемый поток данных разбивается на независимые последовательности битов, которые пересылаются одновременно с
использованием разных антенн, что и обеспечивает повышение скорости.
В спецификации IEEE 802.11ac рабочей частотой является 5 ГГц. Основным преимуществом является очень высокая скорость передачи данных вплоть
до 6,93 Гбит/с и значительная экономия заряда батареи подключенных устройств
благодаря усовершенствованным механизмам контроля их активного и пассивного состояния.
Высокая скорость передачи данных достигается за счет вновь увеличенной
полосы разноса каналов вплоть до 160 МГц, возможности использования двухсот пятидесяти шести уровневой квадратурной амплитудной модуляции (QAM256) и увеличению количества одновременно передаваемых потоков данных в
технологии MIMO, вплоть до восьми.
Основным недостатком IEEE 802.11ac является высокие требованию к оборудованию, как к точкам доступа, так и к сетевым картам клиентов.
16
2 АНАЛИЗ ПРОИЗВОДИТЕЛЕЙ СЕТЕВОГО
ОБОРУДОВАНИЯ
Под сетевым оборудованием понимаются промежуточные устройства, которые соединяют оконечные устройства с сетью и отдельно взятые локальные
сети друг с другом для создания глобальной сети. К ним относятся маршрутизатор, беспроводной маршрутизатор, коммутатор, многоуровневый коммутатор,
точка доступа [10].
На нынешнем рынке существует большое количество производителей промежуточных устройств, самыми выделяющимися среди них согласно мнению
многих печатных изданий, в частности «ИТ-бизнес» на две тысячи шестнадцатый год являются следующая пятерка: Cisco Systems, Hewlett Packard Enterprise,
Huawei, TP-Link и D-Link. Компании были оценены по восьми признакам исходя
из которых была выведена суммарная оценка и составлен рейтинг (см. приложение А) [25].
Красным цветом в рейтинге отмечены балы с учетом коэффициента полученного из результатов опросов, проведенных изданием «ИТ-бизнес» среди основных закупщиков сетевого оборудования. Данные коэффициенты показывают
заинтересованность респондентов в том или ином критерии оценки, что позволяет компаниям выбрать направление для развития с учетом мнения их покупателей.
Из рейтинга видно, что однозначным победителем по качеству продукции
является Cisco Systems опережающая своих конкурентов на 0,8 балла, а самой
худшей компанией по данному признаку является D-Link, однако обе ухудшили
свой результат по сравнению с две тысячи четырнадцатым годом.
17
По соотношению цена и качество выделяется компания Huawei, благодаря
низким ценам на свою продукцию, в то время как Cisco Systems имеет наименьший балл, согласно предыдущему рейтингу компания также занимала последнее
место по данному признаку, однако имела более высокий результат.
Самой лучшей в продвижение продукции стала компания Cisco Systems,
но по количеству баллов результат ухудшился, что значительно уменьшило, отрыв от конкурентов по сравнению с две тысячи четырнадцатым годом. Последней по данному критерию стала компания D-Link.
По прибыльности продукции на первое место вышла Hewlett Packard Enterprise, таким образом сохранив свое первенство, в то время как D-Link сумела
ухудшить свое положение и заняла последнее место в списке.
Наибольшее внимание маркетинговой поддержке партнеров оказала Cisco
Systems, а ее ближайший конкурент на момент две тысячи четырнадцатого года
D-Link значительно ухудшил свои результаты и попал на последнее место.
Лучшая техническая поддержка партнеров также была оказана компанией
Cisco Systems, а наиболее плохо с этим, как и согласно предыдущему рейтингу,
справилась компания D-Link.
Наилучшее сервисное обслуживание заказчиком было оказано компанией
Cisco Systems, а худшее компанией Huawei, последняя продемонстрировала такой же результат в две тысячи четырнадцатом году.
В плане обучения и сертификации партнеров все компании по сравнению
с предыдущим рейтингом улучшили свои результаты, однако Cisco Systems сохранила первенство, а TP-Link заняла последнее.
По итогу рейтинга лучшим производителем сетевого оборудования является компания Cisco Systems, а ее прямым конкурентом стала Hewlett Packard
Enterprise, однако последняя сосредоточена на производстве центров обработки
данных (ЦОД) и серверного оборудования. В то время как Cisco Systems
наибольшее внимание уделяет производству коммутаторов и маршрутизаторов,
являющиеся основой построения любой сети передачи данных, и которые будут
выбраны и использованы в рамках данной работы.
18
3 ПРОЕКТИРОВАНИЕ ТЕРРИТОРИАЛЬНО-РАСПРЕДЕЛЕННОЙ
КСПД
3.1 Составление структурной схемы КСПД
Связь между главным офисом и филиалом будет осуществляться через глобальную сеть Интернет, выход в которую обеспечит оператор связи.
Для непосредственного осуществления выхода в глобальную сеть Интернет и взаимодействия между различными сетями внутри КСПД необходима
маршрутизация трафика как в главном офисе, так и в филиале компании.
Для осуществления связи между отдельными узлами одной сети внутри
главного офиса и филиала, необходима коммутация трафика.
Для осуществления беспроводной связи между отдельными узлами сети
внутри главного офиса и филиала, необходима ретрансляция трафика посредством беспроводной точки доступа.
Исходя из условий выше структурная схема КСПД будет выглядеть следующим образом (рисунок 1).
Рисунок 1 – Структурная схема КСПД
19
3.2 Расчет объема трафика КСПД
Расчет объема трафика необходим для выбора оптимального тарифного
плана у оператора связи [23]. Данный расчет производится при условии максимальной нагрузки на КСПД, а также с учетом типа трафика, имеющегося в сети,
который индивидуален для каждой конкретной организации [24, 15]. В качестве
различных типов трафика были выбраны серфинг в глобальной сети Интернет,
учитывающий картинки средних размеров и сервисы электронной почты, сервис
веб-конференций реализуемый посредством программного обеспечения «Skype
для бизнеса» [21], сервис удаленного рабочего стола программного обеспечения
1C. Для каждого из раннее перечисленного типа трафика существует оптимальная скорость, приведенная в таблице 3.1.
Таблица 3.1 – Оптимальные скорости для различных типов трафика
Тип трафика
Оптимальная скорость
Серфинг в глобальной сети Интернет с учетом картинок
0,5 Мбит/с
средних размеров и сервисов электронной почты
Сервис веб-конференций реализуемый посредством про-
8 Мбит/с
граммного обеспечения «Skype для бизнеса»
Сервис удаленного рабочего стола программного обеспе-
6 Мбит/с
чения 1C
В главном офисе компании работает пятьдесят сотрудников Nгл , так как
расчет необходимо производить при условии максимальной нагрузки на КСПД,
то предполагается что серфинг в глобальной сети Интернет с учетом картинок
средних размеров и сервисов электронной почты одновременно осуществляют
все сотрудники компании, тогда объем трафика необходимый для данного типа
трафика Vгл.серф. будет вычисляться по формуле (1).
Vгл.серф. = Nгл ∙ Uгл.серф. = 50 ∙ 0,5 = 25
20
Мбит
с
,
(1)
где Uгл.серф. – скорость необходимая в главном офисе компании для серфинга в
глобальной сети Интернет с учетом картинок средних размеров и сервисов электронной почты в Мбит/с; Nгл – количество сотрудников в главном офисе компании в разах; Vгл.серф. – объем трафика в главном офисе компании необходимый
для серфинга в глобальной сети Интернет с учетом картинок средних размеров
и сервисов электронной почты в Мбит/с.
Предположим, что согласно внутренней политике компании осуществлять
конференц-связь может только администрация численностью восемнадцать человек в главном офисе, так как минимальное количество людей необходимое для
веб-конференции равно трем, то максимальное количество одновременно осуществляемых веб-конференций Nгл.конф. в главном офисе организации будет
равно шести, тогда объем трафика необходимый для сервиса веб-конференций
реализуемый посредством программного обеспечения «Skype для бизнеса»
Vгл.конф. будет вычисляться по формуле (2).
Vгл.конф. = Nгл.конф. ∙ Uгл.конф. = 6 ∙ 8 = 48
Мбит
с
,
(2)
где Uгл.конф. – скорость необходимая в главном офисе компании для сервиса вебконференций реализуемого посредством программного обеспечения «Skype для
бизнеса» в Мбит/с; Nгл.конф – максимально возможное количество конференций
в главном офисе компании в разах; Vгл.конф. – объем трафика в главном офисе
компании необходимый для сервиса веб-конференций реализуемого посредством программного обеспечения «Skype для бизнеса» в Мбит/с.
Суммарный объем трафика необходимый для главного офиса Vгл будет вычисляться по формуле (3).
Vгл = Vгл.серф. + Vгл.конф. = 25 + 48 = 73
21
Мбит
с
,
(3)
где Vгл – суммарный объем трафика необходимый для главного офиса компании
в Мбит/с.
Так как сервер 1C находится в главном офисе, то трафик сервиса удаленного рабочего стола не выходит за пределы локальной сети, а значит в его учете
нет необходимости.
В филиале компании работает тридцать три сотрудника Nф , так как расчет
необходимо производить при условии максимальной нагрузки на КСПД, то
предполагается что серфинг в глобальной сети Интернет с учетом картинок средних размеров и сервисов электронной почты одновременно осуществляют все
сотрудники компании, тогда объем трафика необходимый для данного типа трафика Vф.серф. будет вычисляться по формуле (4).
Vф.серф. = Nф ∙ Uф.серф. = 33 ∙ 0,5 = 16,5
Мбит
с
,
(4)
где Uф.серф. – скорость необходимая в филиале компании для серфинга в глобальной сети Интернет с учетом картинок средних размеров и сервисов электронной
почты в Мбит/с; Nф – количество сотрудников в филиале компании в разах;
Vф.серф. – объем трафика в филиале компании необходимый для серфинга в глобальной сети Интернет с учетом картинок средних размеров и сервисов электронной почты в Мбит/с.
Согласно внутренней политике компании осуществлять конференц-связь
может только администрация численностью двенадцать человек в филиале, так
как минимальное количество людей необходимое для веб-конференции равно
трем, то максимальное количество одновременно осуществляемых веб-конференций Nф.конф. в филиале организации будет равно четырем, тогда объем трафика необходимый для сервиса веб-конференций реализуемый посредством программного обеспечения «Skype для бизнеса» Vф.конф. будет вычисляться по формуле (5).
22
Vф.конф. = Nф.конф. ∙ Uф.конф. = 4 ∙ 8 = 32
Мбит
с
,
(5)
где Uф.конф. – скорость необходимая в филиале компании для сервиса веб-конференций реализуемого посредством программного обеспечения «Skype для бизнеса» в Мбит/с; Nф.конф. – максимально возможное количество конференций в
филиале компании в разах; Vф.конф. – объем трафика в филиале компании необходимый для сервиса веб-конференций реализуемого посредством программного обеспечения «Skype для бизнеса» в Мбит/с.
Так как сотрудники филиала подключаются к серверу 1C, находящегося в
главном офисе, через глобальную сеть Интернет, то данный тип трафик должен
быть учтен. Доступ к программному обеспечению 1C в филиале имеют девять
человек Nф.1C , тогда объем трафика необходимый для сервиса удаленного рабочего стола программного обеспечения 1C в филиале Vф.1C будет вычисляться по
формуле (6).
Vф.1C = Nф.1C ∙ Uф.1C = 9 ∙ 6 = 48
Мбит
с
,
(6)
где Uф.1C – скорость необходимая для сервиса удаленного рабочего стола программного обеспечения 1C в Мбит/с; Nф.1C – количество сотрудников в филиале
компании имеющее доступ к программному обеспечению 1С; Vф.1C – объем трафика в филиале компании необходимый для сервиса удаленного рабочего стола
программного обеспечения 1C.
Суммарный объем трафика необходимый для филиала Vф будет вычисляться по формуле (7).
Vф = Vф.серф. + Vф.конф. + Vф.1C = 16,5 + 32 + 48 = 96,5
Мбит
с
,
(7)
где Vф – суммарный объем трафика необходимый для филиала компании в
Мбит/с.
23
3.3 Выбор технологий, протоколов и сетевого оборудования
На основании анализа технологий, протоколов и производителей сетевого
оборудования сделанных раннее принимаются следующие решения.
В качестве канала связи между главным офисом и филиалом будет использоваться VPN туннель на основе протокола IP Security VTI, который обеспечит
шифрование трафика и при этом будет работать с динамической маршрутизацией.
Для преобразования внутренних сетевых адресов во внешние будет использоваться перегруженный NAT, который для своей реализации потребует
взять в аренду только один «белый» ip-адрес.
Для обеспечения безопасности и правил внутренней политики компании
будут использоваться расширенные списки доступа, так как они имеют наибольшее количество параметров, подвергаемых проверке.
Для обеспечения узлов КСПД сетевыми параметрами будет использоваться протокол динамического DHCP с четвертой версией IP протокола.
Для уменьшения количества широковещательного трафика в сети и логического разделения узлов КСПД будут использоваться протокол VLAN.
В целях увеличения пропускной способности между маршрутизатором
главного офиса и коммутатором, объединяющим сервера будет использоваться
статическая агрегация, так как роутеры не поддерживают другой вид объединения каналов.
Для обеспечения коммутации трафика в главном офисе будут использоваться два коммутатора WS-C2960X-48TT-L и один WS-C2960X-8TT-L, которые
обладают необходимым количеством портов и программным обеспечением, позволяющим применить раннее упомянутые протоколы.
24
Для обеспечения коммутации трафика в филиале будет использоваться
коммутатор WS-C2960X-48TS-LL, который также обладают необходимым количеством портов и программным обеспечением, позволяющим применить раннее
упомянутые протоколы.
В обоих случаях количество портов, имеющееся в оборудовании, превышает необходимое, это сделано чтобы обеспечить масштабируемость КСПД.
Для ретрансляции трафика в главном офисе и филиале будет использоваться точка доступа WAP125, которая обладает поддержкой протоколов IEEE
802.11a/b/g/n/ac, а также способна работать на двух частотах 2,4 и 5 ГГц. В обоих
случаях будет использоваться протокол IEEE 802.11n на частоте 5 ГГц, так как
большинство клиентских устройств не способно работать с более новой спецификацией данного стандарта. Частота 5 ГГц была выбрана с целью повышения
помехоустойчивости беспроводной связи, так как большая часть техники работает «вблизи» частоты 2,4 ГГц.
Для маршрутизации трафика в главном офисе будет использоваться маршрутизатор C2901-WAASX-SEC/K9 с тремя модулями HWIC-1GE-SFP и GLCLH-SMD, обладающий поддержкой всех необходимых протоколов и оптимальным количеством разъемов.
Для маршрутизации трафика в филиале будет использоваться маршрутизатор C2901-WAASX-SEC/K9 с одним модулем HWIC-1GE-SFP и GLC-LHSMD, обладающий поддержкой всех необходимых протоколов и оптимальным
количеством разъемов.
Спецификация оборудования, которое будет использовано при построении
КСПД приведена в таблице 3.2.
Таблица 3.2 – Спецификация оборудования
Название продукта
WS-C2960X-48TT-L
WS-C2960X-8TT-L
Описание
Цена в ката-
Итоговая
логе, рубль
цена, рубль
3
69836,4
209509,2
1
30195,05
30195,05
Количество
Коммутатор 48 портов 100 Мбит/с
и 2 порта 1 Гбит/с
Коммутатор 8 портов 100 Мбит/с
25
Продолжение таблицы 3.2
Название продукта
Описание
Цена в ката-
Итоговая
логе, рубль
цена, рубль
2
7474
14948
1
217617,04
217617,04
1
163567,68
163567,68
Количество
Точка доступа 1 порт 100 Мбит/с с подWAP125
держкой протоколов IEEE
802.11a/b/g/n/ac
C2901-WAASX-
Маршрутизатор 2 портов 1Гбит/с, три мо-
SEC/K9
дуля HWIC-1GE-SFP и GLC-LH-SMD
C2901-WAASX-
Маршрутизатор 2 портов 1Гбит/с, один
SEC/K9
модуль HWIC-1GE-SFP и GLC-LH-SMD
Итоговая стоимость сетевого оборудования составляет 635836,97 рублей.
Общая схема территориально-распределенной КСПД представлена в приложении к пояснительной записке (см. приложение Б).
3.4 Составление таблиц адресации сети
Таблица адресации показывает все сетевые и оконечные устройства сети,
их интерфейсы с соответствующими подключенными в них устройствами, а
также соответствующий этим интерфейсам IP адрес, маску подсети и шлюз по
умолчанию. Но так как оконечные устройства в данной сети будут получать IP
адрес, маску подсети и шлюз по умолчанию с помощью протокола динамической
настройки узла, то записываться их параметры в таблицу адресации будут в виде
диапазона. Однако параметры оконечных устройств, имеющих статичные сетевые настройки, например, серверов, будут отображены в таблице стандартным
способом.
Таблица адресации будет разбита на две части. В первой будет отображена
адресация сети главного офиса (см. приложение В), а во второй адресация сети
филиала (см. приложение Г).
26
4 НАСТРОЙКА ТЕРРИТОРИАЛЬНО-РАСПРЕДЕЛЁННОЙ
КСПД
Далее будут последовательно приведены команды для настройки раннее
выбранных технологий и протоколов. Среди них присутствуют VPN, ACL, NAT,
DHCP, VLAN и агрегация каналов. Используемые команды будут объяснены посредством комментариев, которые будут отделены от основного текста двумя косыми чертами. Слова и цифры, которые не являются непосредственно частью
команды, а выбираются самим пользователем будут выделены кавычками. Если
написанная команда сдвинута вправо относительно команды выше, то это значит, что первая вводится в подрежиме последней.
4.1 Настройка перегруженного NAT – Преобразования адресов
Настройку перегруженного NAT можно разделить на три фазы. Во время
первой необходимо выбрать какой интерфейс маршрутизатора будут являться
внешними, а какой внутренним. Первый служит для отправки трафика, именно
его IP-адрес будет подставляться в качестве источника, а второй является посредником между узлами с «серыми» IP-адресами и внешним интерфейсом. То
есть все что необходимо отправить в глобальную сеть Интернет должно быть
отправлено через внутренний интерфейс маршрутизатора.
Нижеследующие команды прописываются в режиме глобальной конфигурации на маршрутизаторе организации, как в главном офисе, так и филиале.
interface «gigabitEthernet 0/3/0»// Режим настройки соответствующего интерфейса
ip nat outside// Назначает данный интерфейс внешним
interface «gigabitEthernet 0/0»// Режим настройки соответствующего интерфейса
27
ip nat inside// Назначает данный интерфейс внутренним
interface «gigabitEthernet 0/1»// Данная команда вводится на маршрутизаторе главного офиса. Режим настройки соответствующего интерфейса
ip nat inside// Назначает данный интерфейс внутренним
Во время второй фазы необходимо создать лист доступа, который будет
указывать на те сети, IP-адреса которых необходимо преобразовывать.
ip access-list extended «NAT»// Создание и вход в режим настройки листа
доступа, который отвечает за преобразование адресов
permit ip «192.168.2.0» «0.0.0.255» «0.0.0.0» «0.0.0.0»// Данная команда
вводится на маршрутизаторе главного офиса и разрешает проход указанной сети
к любой другой.
permit ip «192.168.3.0» «0.0.0.255» «0.0.0.0» «0.0.0.0»// Данная команда
вводится на маршрутизаторе главного офиса и разрешает проход указанной сети
к любой другой.
permit ip «192.168.22.0» «0.0.0.255» «0.0.0.0» «0.0.0.0»// Данная команда
вводится на маршрутизаторе филиала и разрешает проход указанной сети к любой другой.
Во время третьей фазы необходимо включить режим перегруженного
NAT.
ip nat inside source list «NAT» interface «gigabitEthernet 0/3/0» overload//
Указывает что адреса сетей, трафик которых приходит с внутренних интерфейсов маршрутизатора и разрешенные соответствующим листом доступа необходимо преобразовать в режиме перегруженного NAT.
4.2 Настройка IP Security VTI VPN – Виртуальной частной сети
Настройку IP Security VTI VPN можно разделить на четыре фазы. Во время
первой необходимо настроить параметры ISAKAMP туннеля.
28
Нижеследующие команды прописываются в режиме глобальной конфигурации на маршрутизаторе организации, как в главном офисе, так и филиале.
crypto isakmp policy 1//Создание политики ISAKAMP туннеля
authentication pre-share// Выбор типа аутентификации
crypto isakmp key «password» address «220.220.220.2»// Данная команда
вводится на маршрутизаторе главного офиса. Выбор ключа, который будет использоваться для аутентификации и IP-адреса, с которым будет строится туннель, в данном случае это адрес внешнего интерфейса маршрутизатора филиала.
crypto isakmp key password address «220.220.221.2»// Данная команда вводится на маршрутизаторе филиала. Выбор ключа, который будет использоваться
для аутентификации и IP-адреса, с которым будет строится туннель, в данном
случае это адрес внешнего интерфейса маршрутизатора главного офиса.
Во время второй фаза необходимо настроить параметры IPSec туннеля и
включить на нем транспортный режим.
crypto ipsec transform-set «VPN» esp-3des esp-md5-hmac// Выбор названия
создаваемого туннеля, а также алгоритма шифрования и хеширования для него.
mode transport// Включение транспортного режима
Во время третьей фазы необходимо настроить IP Security профиль и привязать его к тунельному интерфейсу, а также настроить последний.
crypto ipsec profile «VPNprofile»// Создание IP Security профиля
set transform-set «VPN»// Привязка «туннеля» IP Security к профилю
interface Tunnel0»// Создание «туннельного» интерфейса
ip address «192.168.4.1» «255.255.255.0»// Данная команда вводится на
маршрутизаторе главного офиса и задает IP-адрес интерфейсу.
ip address «192.168.4.2» «255.255.255.0»// Данная команда вводится на
маршрутизаторе филиала и задает IP-адрес интерфейсу.
tunnel source «220.220.221.2» // Данная команда вводится на маршрутизаторе главного офиса и задает IP-адрес интерфейсу.
tunnel source «220.220.220.2»// Данная команда вводится на маршрутизаторе филиала и задает IP-адрес интерфейсу.
29
tunnel destination «220.220.220.2»// Данная команда вводится на маршрутизаторе главного офиса и задает IP-адрес интерфейсу.
tunnel destination «220.220.221.2»// Данная команда вводится на маршрутизаторе филиала и задает IP-адрес интерфейсу.
tunnel protection ipsec profile «VPNprofile»// Привязка IP Security профиля к «туннельному» интерфейсу.
Во время четвертой фазы необходимо настроить лист доступа, отвечающий за преобразование адресов, таким образом, чтобы он не преобразовал адреса
сотрудников главного офиса при обращении к сотрудникам филиала. Также
необходимо прописать статический маршрут, который будет перенаправлять
данные предназначенные для внутренней сети с другой стороны на соответствующий адрес туннеля.
ip access-list extended «NAT»// Вход в режим настройки листа доступа, который отвечает за преобразование адресов
deny ip «192.168.2.0» «0.0.0.255» «192.168.22.0» «0.0.0.255»// Данная команда вводится на маршрутизаторе главного офиса и запрещает проход одной
сети к другой
deny ip «192.168.3.0» «0.0.0.255» «192.168.22.0» «0.0.0.255»// Данная команда вводится на маршрутизаторе главного офиса и запрещает проход одной
сети к другой
deny ip «192.168.22.0» «0.0.0.255» «192.168.2.0» «0.0.0.255»// Данная команда вводится на маршрутизаторе филиала и запрещает проход одной сети к
другой
deny ip «192.168.22.0» «0.0.0.255» «220.220.222.2» «0.0.0.255»// Данная
команда вводится на маршрутизаторе филиала и запрещает проход одной сети к
другой
deny ip «192.168.22.0» «0.0.0.255» «220.220.222.3» «0.0.0.255»// Данная
команда вводится на маршрутизаторе филиала и запрещает проход одной сети к
другой
30
ip route 192.168.22.0 255.255.255.0 192.168.4.2// Данная команда вводится
на маршрутизаторе главного офиса и указывает, что данные предназначенные
для сотрудников филиала необходимо перенаправлять на адрес его «туннельного» интерфейса.
ip route 192.168.2.0 255.255.255.0 192.168.4.1// Данная команда вводится на
маршрутизаторе филиала и указывает, что данные предназначенные для сотрудников главного офиса необходимо перенаправлять на адрес его «туннельного»
интерфейса.
ip route 192.168.3.0 255.255.255.0 192.168.4.1// Данная команда вводится на
маршрутизаторе филиала и указывает, что данные предназначенные для сотрудников главного офиса необходимо перенаправлять на адрес его «туннельного»
интерфейса.
4.3 Настройка VLAN – Виртуальной локальной сети
Настройка можно разделить на три фазы. Первая состоит в создание,
VLAN-а и в переключение портов коммутатора в режим доступа, который необходим для их последующего отнесения в определённые виртуальные локальные
сети.
Нижеследующие команды прописываются в режиме глобальной конфигурации на коммутаторах организации, как в главном офисе, так и филиале.
vlan «2»// Создает виртуальную локальную сеть с соответствующим номером.
name «Users»// Задает данное имя соответствующей виртуальной локальной сети
interface range «fastEthernet 0/1-10»// Данная команда вводиться на первом
коммутаторе главного офиса. Режим настройки соответствующих интерфейсов.
switchport mode access// Переключение соответствующих портов в режим доступа.
31
switchport access vlan «2»// Отнесение соответствующих портов в данную виртуальную сеть.
interface range «fastEthernet 0/11-23»// Данная команда вводиться на первом
коммутаторе главного офиса. Режим настройки соответствующих интерфейсов.
switchport access vlan «3»// Данная команда вводиться на первом коммутаторе главного офиса. Отнесение соответствующих портов в данную виртуальную сеть.
interface range «fastEthernet 0/1-24»// Данная команда вводиться на втором
коммутаторе главного офиса и в филиале. Режим настройки соответствующих
интерфейсов
switchport mode access// Данная команда вводиться на втором коммутаторе главного офиса и в филиале. Переключение соответствующих портов в режим доступа.
switchport access vlan «2»// Данная команда вводиться на втором коммутаторе главного офиса и в филиале. Отнесение соответствующих портов в данную виртуальную сеть.
Во время второй фазы необходимо переключить три интерфейса коммутатора в режим перенаправления, для отправки трафика виртуальной локальной
сети на другие сетевые устройства. Один из них будет соединен с маршрутизатором, а два оставшихся с другим коммутатором.
interface range «gigabitEthernet 0/1-2»// Данная команда вводиться на коммутаторах главного офиса. Режим настройки соответствующих интерфейсов.
switchport mode trunk// Переключение соответствующих портов в режим
перенаправления.
interface «gigabitEthernet 0/1»// Данная команда вводиться на коммутаторе
филиала. Режим настройки соответствующего интерфейса.
switchport mode trunk// Данная команда вводиться на коммутаторе филиала. Переключение соответствующих портов в режим перенаправления.
32
Во время третьей фазы необходимо создать и настроить на маршрутизаторе сабинтерфейсы, которые будут служить шлюзом по умолчанию для виртуальной локальной сети.
Нижеследующие команды прописываются в режиме глобальной конфигурации на маршрутизаторе организации, как в главном офисе, так и филиале.
interface «gigabitEthernet 0/1.2»// Создает сабинтерфейс
encapsulation dot1Q «2»// Задает соответствующую инкапсуляцию на сабинтерфейсе и относит его к виртуальной локальной сети
ip address «192.168.2.1» «255.255.255.0»// Данная команда вводится на
маршрутизаторе главного офиса и задает соответствующий IP-адрес сабинтерфейсу
ip address «192.168.22.1» «255.255.255.0»// Данная команда вводится на
маршрутизаторе филиала и задает соответствующий IP-адрес сабинтерфейсу.
encapsulation dot1Q «2»// Задает соответствующую инкапсуляцию на сабинтерфейсе и относит его к виртуальной локальной сети
interface «gigabitEthernet 0/0.3»// Создает сабинтерфейс
encapsulation dot1Q «3»// Задает соответствующую инкапсуляцию на сабинтерфейсе и относит его к виртуальной локальной сети
ip address «192.168.3.1» «255.255.255.0»// Данная команда вводится на
маршрутизаторе главного офиса и задает соответствующий IP-адрес сабинтерфейсу
4.4 Настройка DHCP – Протокола динамической настройки узла
Настройка DHCP состоит из одной фазы, во время которой необходимо создать пул динамической настройки и задать его параметры. А также исключить
некоторые IP-адреса из диапазона адресов предназначенных для выдачи.
Нижеследующие команды прописываются в режиме глобальной конфигурации на маршрутизаторе организации, как в главном офисе, так и филиале.
33
ip dhcp pool «Users»// Создает пул динамической настройки.
network «192.168.2.0» «255.255.255.0»// Данная команда вводится на
маршрутизаторе главного офиса и задает диапазон IP-адресов, которые будут
выдаться данным пулом динамической настройки.
network «192.168.22.0» «255.255.255.0»// Данная команда вводится на
маршрутизаторе филиала и задает диапазон IP-адресов, которые будут выдаться
данным пулом динамической настройки.
default-router «192.168.2.1»// Данная команда вводится на маршрутизаторе главного офиса и задает адрес шлюза по умолчанию, который будет выдаться данным пулом динамической настройки.
default-router «192.168.22.1»// Данная команда вводится на маршрутизаторе филиала и задает адрес шлюза по умолчанию, который будет выдаться данным пулом динамической настройки.
dns-server «8.8.8.8»// Задает адрес ДНС сервера, который будет выдаться
данным пулом динамической настройки.
ip dhcp pool «Administrations»// Создает пул динамической настройки.
network «192.168.3.0» «255.255.255.0»// Данная команда вводится на
маршрутизаторе главного офиса и задает диапазон IP-адресов, которые будут
выдаться данным пулом динамической настройки.
default-router «192.168.3.1»// Данная команда вводится на маршрутизаторе главного офиса и задает адрес шлюза по умолчанию, который будет выдаться данным пулом динамической настройки.
dns-server «8.8.8.8»// Задает адрес ДНС сервера, который будет выдаться
данным пулом динамической настройки.
ip dhcp excluded-address «192.168.2.1»// Данная команда вводится на маршрутизаторе главного офиса и исключает адрес из диапазона адресов предназначенных для выдачи.
ip dhcp excluded-address «192.168.3.1// Данная команда вводится на маршрутизаторе главного офиса и исключает адрес из диапазона адресов предназначенных для выдачи.
34
ip dhcp excluded-address «192.168.22.1»// Данная команда вводится на
маршрутизаторе филиала и исключает адрес из диапазона адресов предназначенных для выдачи.
ip dhcp excluded-address «192.168.2.255»// Данная команда вводится на
маршрутизаторе главного офиса и исключает адрес из диапазона адресов предназначенных для выдачи.
ip dhcp excluded-address «192.168.3.255»// Данная команда вводится на
маршрутизаторе главного офиса и исключает адрес из диапазона адресов предназначенных для выдачи.
ip dhcp excluded-address «192.168.22.255»// Данная команда вводится на
маршрутизаторе филиала и исключает адрес из диапазона адресов предназначенных для выдачи.
4.5 Настройка статической агрегации каналов
Настройка статической агрегации каналов включает в себя одну фазу во
время которой необходимо поместить порты в группу и в случае коммутатора
выбрать для них соответствующий режим. Для маршрутизатора требуется
только произвести объединение портов в группу, режим статической агрегации
будет выбран автоматически.
Нижеследующие команды прописываются в режиме глобальной конфигурации на третьем коммутаторе организации в главном офисе.
interface «gigabitEthernet 9/1»// Режим настройки соответствующего интерфейса
switchport mode trunk// Переключение соответствующего порта в режим
перенаправления.
channel-group 1 mode on// Включает данный интерфейс в группу, а также
активирует на нем режим статической агрегации каналов.
35
interface «gigabitEthernet 8/1»// Режим настройки соответствующего интерфейса
switchport mode trunk// Переключение соответствующего порта в режим
перенаправления.
channel-group 1 mode on// Включает данный интерфейс в группу, а также
активирует на нем режим статической агрегации каналов.
Нижеследующие команды прописываются в режиме глобальной конфигурации на маршрутизаторе организации в главном офисе.
interface «gigabitEthernet 0/1/0»// Режим настройки соответствующего интерфейса.
channel-group 1// Включает данный интерфейс в группу, а также активирует на нем режим статической агрегации каналов.
interface «gigabitEthernet 0/2/0»// Режим настройки соответствующего интерфейса.
channel-group 1// Включает данный интерфейс в группу, а также активирует на нем режим статической агрегации каналов.
interface port-channel «1»// Режим настройки соответствующего интерфейса.
ip address «220.220.222.1» «255.255.255.0»// Данная команда вводится на
маршрутизаторе главного офиса и задает соответствующий IP-адрес интерфейсу.
4.6 Настройка ACL - листов доступа
Настройка делится на две фазы, во время первой необходимо создать лист
доступа и настроить правила для, которые будут контролировать доступ одной
сети к другой на основании сетевого адреса, протокола или порта.
Нижеследующие команды прописываются в режиме глобальной конфигурации на маршрутизаторе организации, как в главном офисе, так и филиале.
36
ip access-list extended «Control»// Создание и вход в режим настройки листа
доступа, который отвечает за доступ к социальной сети «Вконтакте» и «Одноклассники»
deny ip «192.168.2.0» «0.0.0.255» host «87.240.182.224»// Данная команда
вводится на маршрутизаторе главного офиса и запрещает проход указанной сети
к устройству с данным сетевым адресом.
deny ip «192.168.3.0» «0.0.0.255» host «87.240.182.224»// Данная команда
вводится на маршрутизаторе главного офиса и запрещает проход указанной сети
к устройству с данным сетевым адресом.
deny ip «192.168.2.0» «0.0.0.255» host «87.240.129.71»// Данная команда
вводится на маршрутизаторе главного офиса и запрещает проход указанной сети
к устройству с данным сетевым адресом.
deny ip «192.168.3.0» «0.0.0.255» host «87.240.129.71»// Данная команда
вводится на маршрутизаторе главного офиса и запрещает проход указанной сети
к устройству с данным сетевым адресом.
deny ip «192.168.22.0» «0.0.0.255» host «87.240.129.71»// Данная команда
вводится на маршрутизаторе филиала и запрещает проход указанной сети к
устройству с данным сетевым адресом.
deny ip «192.168.22.0» «0.0.0.255» host «5.61.23.11»// Данная команда
вводится на маршрутизаторе филиала и запрещает проход указанной сети к
устройству с данным сетевым адресом.
Во время второй фазы необходимо привязать полученный лист доступа к
интерфейсу при этом указав одно из двух направлений in или out. Первое означает что необходимо контролировать трафик, который приходит по среде передачи на интерфейс роутера, а второе наоборот.
interface «gigabitEthernet 0/3/0»// Режим настройки соответствующего интерфейса.
ip access-group «Control» out// Привязывает лист доступа к данному интерфейсу с указанием на внешнее направление.
37
ЗАКЛЮЧЕНИЕ
Была организована территориально-распределенная корпоративная сеть
передачи данных состоящая из головного офиса и филиала.
Был настроен доступ в глобальную сеть Интернет путем настройки протокола преобразования адресов NAT в перегруженном режиме.
Был настроен зашифрованный канал связи для передачи данных между сотрудниками компании через глобальную сеть Интернет путем настройки технологии VPN на основе протокола IP Security.
Была автоматизировано присваивание узлам территориально-распределенной КСПД большинства сетевых настроек, благодаря применению протокола динамической настройки узла DHCP в динамическом режиме.
Все сотрудники компании получили возможность оперативного обмена
информацией как с друг другом, так и с людьми вне организации, например, клиентами. При этом доступ к территориально-распределенной КСПД можно получить двумя способами, как проводным, так и беспроводными. Для обеспечения
последнего был применен стандарт IEEE 802.11n.
Были реализованы внутренние политики компании, касательно запрета доступа к социальным сетям, данный результат был получен благодаря настройке
расширенных листов доступа ACL.
Был рассчитан объем трафика для главного офиса и филиала компании с
целью дальнейшего подбора тарифного плана у оператора связи наиболее подходящего для организации.
Был проведен анализ производителей сетевого оборудования с целью подбора промежуточных устройств, наиболее подходящих для организации территориально-распределенной КСПД.
Также путем настройки протокола виртуальных локальных сетей VLAN
была получена высокопроизводительная и легко управляемая сеть, первое было
38
обеспечено уменьшением широковещательного трафика в сети, а второе тем что
правила, например, содержащиеся в листах доступа можно применять к определенной группе устройств единовременно.
Была повышена пропускная способность наиболее востребованных каналов связи путем настройки технологии агрегации каналов, также это позволило
увеличить надежность сети, так как данные маршруты были зарезервированы.
Также организованная КСПД имеет хорошую масштабируемость, которую
была достигнута путем выбора оборудования, которое имеет дополнительные
разъемы и высокую модульность, то есть может быть расширено при необходимости.
Полученная КСПД является универсальной, так как в ней не используется
ни одного проприетарного протокола, а все используемое сетевое оборудование
полностью совместимо с устройствами других производителей.
Приведенные в данной работе настройки были проверены в многофункциональной программе моделирования сетей Cisco Packet Tracer от компании Cisco
Systems, а также на настоящем оборудовании. Ошибок выявлено не было.
39
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ
1.
Абилов А.В. Сети связи и системы коммутации. Изд-во Радио и
связь, 2004. 288 с.
2.
Бальфер Р.А. IEEE 802.11 // Архитектура сети стандарта 802.11. 2012.
URL: https://ru.bmstu.wiki/IEEE_802.11
3.
Васин Н.Н. Основы сетевых технологий на базе коммутаторов и
маршрутизаторов. Изд-во Бином, 2011. 272 с.
4.
Гонта А.С. Топология IP-сетей и пропускной способности // Алго-
ритм безопасности. 2014. №1. С. 50-54.
5.
Дюков М. Сети для самых маленьких // Динамическая маршрутиза-
ция. 2012. URL: https://habrahabr.ru/post/156695/
6.
Дюков М. Сети для самых маленьких // ACL и NAT. 2012. URL:
https://habrahabr.ru/post/147996/
7.
Дюков М. Сети для самых маленьких // VPN. 2013. URL: https://ha-
brahabr.ru/post/170895/
8.
Коваленко А.А. Особенности работы и настройки DHCP на маршру-
тизаторах Cisco. 2010. URL: https://habrahabr.ru/post/87920/
9.
Кривушин М.А. VPN, полное покрытие. 2009. URL: https://habra-
habr.ru/post/51365/
10.
Куроуз Д. Ф., Росс К.В. Компьютерные сети. Настольная книга си-
стемного администратора. Изд-во Эксмо, 2016. 912 с.
11.
Милинский Н.В. ACL: списки контроля доступа в Cisco IOS. 2011.
URL: https://habrahabr.ru/post/121806/
12.
Одом Шин, Ноттингем Хенсон. Коммутаторы Cisco. Изд-во КУДИЦ-
ОБРАЗ, 2003. 522 с.
13.
Подкопаев И.Д. Двусторонний NAT(PAT) на Cisco IOS или NAT
NVI. 2010. URL: https://habrahabr.ru/post/84060/
40
14.
Самойленко
Н.И.,
Чубин
И.В.
VLAN.
2011.
URL:
http://xgu.ru/wiki/VLAN
15.
Самохвалов Д. Ю. Расчет пропускной способности локальной сети.
2018. URL: https://rucam-video.ru/baza_znanij/raschet-propusknoj-sposobnosti-lokalnoj-seti.html
16.
Сергеев А.Н. Основы локальных компьютерных сетей. Учебное по-
собие. Изд-во Лань, 2016. 184 с.
17.
Сетевая академия Cisco. URL: https://www.netacad.com/ru/
18.
Современные технологии коммутации // Коммутация третьего
уровня. 2012. URL: http://www.xnets.ru/plugins/content/content.php?content.84.4
19.
Талеев А.А. Коротко и просто о сложном – маршрутизация в <<8 –
800>>. 2016. URL: https://habrahabr.ru/company/megafon/blog/314240/
20.
Таненбаум Э. Компьютерные сети, 4-е изд. СПБ.: Питер, 2010. 992 с.
21.
Техническая поддержка Polycom. Скорость IP-каналов для видеокон-
ференции. 2014. URL: http://www.polycom.su/support/faq/detail.php?ID=952
22.
Журнал
Тизо
Д.
сетевых
Как
обезопасить
решений/LAN.
маршрутизатор
2002.
№9.
Cisco
//
URL:
https://www.osp.ru/lan/2002/09/135242/
23.
Филягин Г.А. Рациональный Интернет в офисе: трафик под контро-
лем. 2007. URL: https://www.ixbt.com/cm/proxy-inspector.shtml
24.
Яковшин К.Н. Пример проектирования и расчета локальной сети с
мультимедийным трафиком // Системы обработки информации. 2012. №4. C. 8592. URL: http://docplayer.ru/27104247-Primer-proektirovaniya-i-rascheta-lokalnoyseti-s-multimediynym-trafikom.html
25.
CRN ИТ-БИЗНЕС. Сетевое оборудование. 2016. №5. URL:
https://www.crn.ru/numbers/spec-numbers/detail.php?ID=115686
41
Приложение А
Таблица А.1 – Рейтинг производителей сетевого оборудования, предоставленный изданием «ИТ-бизнес»
2014 г.
Критерий
Весовой
коэфф.
Качество продукции
0,843
Соотношение цена/качество
0,841
Активность в продвижении
продукции
Прибыльность продукции
Маркетинговая поддержка
партнеров
Техническая поддержка партнеров
Сервисное обслуживание заказчиков
Обучение и сертификация
партнёров
Итоговая оценка
0,553
0,849
0,538
0,686
0,747
0,592
Cisco
Systems
2016 г.
HP
Huawei
D-Link
TP-Link
Весовой
коэфф.
8,953
8,456
7,730
7,695
7,693
7,547
7,128
6,516
6,487
6,485
7,290
7,668
7,426
7,380
7,405
6,131
6,449
6,245
6,207
6,228
7,427
6,996
7,362
5,801
6,356
4,107
3,869
4,071
3,208
3,515
6,452
6,753
7,254
6,444
6,711
5,478
5,773
6,159
5,471
5,698
6,361
6,431
5,099
5,444
6,253
3,422
3,460
2,743
2,929
3,364
7,679
7,367
6,461
6,488
5,774
5,268
5,054
4,432
4,451
3,961
7,859
7,855
5,428
6,574
6,075
5,871
5,868
4,055
4,911
4,538
7,387
6,828
4,985
5,285
5,017
4,373
4,042
2,951
3,129
2,970
42,197
41,603
37,172
36,793
36,759
Черным цветом даны «чистые» оценки, красным – «приведенные».
0,865
0,861
0,589
0,854
0,594
0,708
0,736
0,623
Cisco
Systems
Hewlett
Packard
Huawei
TP-Link
D-Link
Enterprise
8,908
8,190
7,614
7,578
7,555
7,705
7,084
6,586
6,555
6,535
6,940
7,386
7,578
7,502
7,438
5,975
6,359
6,525
6,459
6,404
7,017
6,737
6,796
6,384
5,840
4,133
3,698
4,003
3,760
3,440
6,309
6,744
6,845
6,251
6,158
5,338
5,759
5,846
5,338
5,259
6,318
6,273
5,796
5,707
5,076
3,753
3,726
3,443
3,390
3,015
7,890
7,338
6,227
6,428
6,540
5,586
5,195
4,409
4,551
4,630
7,844
7,701
6,255
6,727
6,685
5,773
5,668
4,604
4,951
4,920
7,453
7,051
6,100
5,295
5,361
4,643
4,393
3,800
3,299
3,340
42,956
42,152
39,216
38,303
37,543
Приложение Б
Рисунок Б.1 – Общая схема территориально-распределенной КСПД
43
Приложение В
Таблица В.1 – Адресация сети главного офиса
Устройство
Роутер главного офиса
Коммутатор главного офиса 1
Коммутатор главного офиса 2
Подключенные устройства
Интерфейс
IP адрес интерфейса
Коммутатор главного офиса 1
Коммутатор главного офиса 2
192.168.3.1
192.168.2.1
220.220.222.1
255.255.255.0
-
Информационная розетка
Роутер главного офиса
Коммутатор главного офиса 2
Компьютеры рабочего персонала
Gig0/0.3
Gig0/1.2
Gig0/1/0
Gig0/2/0
Gig0/3/0
Gig0/1
Gig0/2
Fa0/1-10
Маска подсети интерфейса
255.255.255.0
255.255.255.0
220.220.221.2
192.168.2.0
255.255.255.0
255.255.255.0
220.220.221.1
192.168.2.1
Компьютеры администрации
Роутер главного офиса
Коммутатор главного офиса 1
Компьютеры рабочего персонала
Fa0/11-23
Gig0/1
Gig0/2
Fa0/1-23
192.168.3.0
192.168.2.0
255.255.255.0
255.255.255.0
192.168.3.1
192.168.2.1
Точка доступа главного офиса
Fa0/24
Gig9/1
Gig8/1
Gig6/1
Gig7/1
-
-
-
-
-
-
220.220.222.2
220.220.222.3
255.255.255.0
255.255.255.0
220.220.222.1
220.220.222.1
IEEE 802.11n
192.168.2.0
255.255.255.0
192.168.2.1
Gig0
Gig0
220.220.222.2
220.220.222.3
255.255.255.0
255.255.255.0
220.220.222.1
220.220.222.1
Коммутатор главного офиса 3
Роутер главного офиса
Коммутатор главного офиса 3
Точка доступа главного офиса
Сервер 1
Сервер 2
Сервер 1
Сервер 2
Компьютеры рабочего персонала и администрации
Коммутатор главного офиса 3
Коммутатор главного офиса 3
Шлюз по умолчанию
-
Приложение Г
Таблица Г.1 – Адресация сети филиала
Устройство
Роутер филиала
Коммутатор филиала
Точка доступа филиала
Подключенные устройства
Интерфейс
IP адрес интерфейса
Коммутатор филиала
Информационная розетка
Роутер главного офиса
Компьютеры рабочего персонала
Точка доступа филиала
Компьютеры рабочего персонала и
администрации
Gig0/0.2
Gig0/3/0
Gig0/1
Fa0/1-23
Fa0/24
192.168.22.1
220.220.221.2
192.168.22.0
-
Маска подсети интерфейса
255.255.255.0
255.255.255.0
255.255.255.0
-
IEEE 802.11n
192.168.22.0
255.255.255.0
45
Шлюз по умолчанию
220.220.221.1
192.168.22.1
192.168.22.1
Содержание
АННОТАЦИЯ .................................................................................................................. 1
ОБОЗНАЧЕНИЯ И СОКРАЩЕНИЯ ............................................................................ 2
ВВЕДЕНИЕ ...................................................................................................................... 4
1 АНАЛИЗ СУЩЕСТВУЮЩИХ ТЕХНОЛОГИЙ И .................................................. 6
ПРОТОКОЛОВ ПРИМЕНЯЕМЫХ ПРИ ПОСТРОЕНИИ КСПД ............................. 6
1.1 VPN – Виртуальная частная сеть ......................................................................... 6
1.2 ACL – Листы доступа ........................................................................................... 8
1.3 NAT – Преобразование сетевых адресов ............................................................ 9
1.4 DHCP – Протокол динамической конфигурации узла .................................... 10
1.5 VLAN – Виртуальная локальная сеть ............................................................... 12
1.6 Агрегирование каналов....................................................................................... 12
1.7 IEEE 802.11 – WiFi .............................................................................................. 14
2 АНАЛИЗ ПРОИЗВОДИТЕЛЕЙ СЕТЕВОГО .......................................................... 17
ОБОРУДОВАНИЯ ........................................................................................................ 17
3 ПРОЕКТИРОВАНИЕ ТЕРРИТОРИАЛЬНО-РАСПРЕДЕЛЕННОЙ КСПД .................... 19
3.1 Составление структурной схемы КСПД ........................................................... 19
3.2 Расчет объема трафика КСПД ........................................................................... 20
3.3 Выбор технологий, протоколов и сетевого оборудования ............................. 24
3.4 Составление таблиц адресации сети ................................................................. 26
4 НАСТРОЙКА ТЕРРИТОРИАЛЬНО-РАСПРЕДЕЛЁННОЙ КСПД ..................... 27
4.1 Настройка перегруженного NAT – Преобразования адресов ........................ 27
4.2 Настройка IP Security VTI VPN – Виртуальной частной сети........................ 28
4.3 Настройка VLAN – Виртуальной локальной сети .......................................... 31
4.4 Настройка DHCP – Протокола динамической настройки узла ...................... 33
4.5 Настройка статической агрегации каналов ...................................................... 35
4.6 Настройка ACL - листов доступа ...................................................................... 36
ЗАКЛЮЧЕНИЕ ............................................................................................................. 38
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ .................................................... 40
Приложение А................................................................................................................ 42
Приложение Б ................................................................................................................ 43
Приложение В ................................................................................................................ 44
Приложение Г ................................................................................................................ 45
Отзывы:
Авторизуйтесь, чтобы оставить отзыв