Проектирование корпоративных сетей

Реферат

Курсовой проект содержит _____ страниц, 10 таблиц, 1 рисунок, 12 приложений, 6 библиографических источников.

Корпоративная сеть, адресация, уровень ядра, уровень распределения, уровень доступа Cisco, Catalyst, Router, MPLS, EIGRP, Frame Relay, Ethernet, VLAN, STP.

Цель курсовой работы — ознакомиться с методами и технологиями проектирования корпоративных сетей.

В результате выполнения курсовой работы была спроектирована корпоративная сеть предприятия, учитывающая основные нужды предприятия в области информационных технологий.

Курсовая работа выполнена в текстовом редакторе Microsoft Word 2007, приложение выполнено в графическом редакторе Microsoft Visio 2007.

Задание

В курсовом проекте требуется разработать корпоративную сеть. Должны быть рассмотрены следующие вопросы:

выбор схемы адресации сети;

выбор активного оборудования;

настройка активного оборудования;

выбор количества и функционального назначения серверов.

Таблица 1 — Исходные данные к курсовому проекту

В пояснительной записке рассмотрены следующие вопросы:

обоснование выбора топологии сети;

схема адресации;

обоснование выбранной схемы адресации;

выбранное активное оборудование (рекомендуемая форма представления — в виде таблиц);

обоснование выбора оборудования;

шаблоны для настройки оборудования с подробными комментариями;

определение необходимых серверных функций, расположения и количества серверов;

расчет общей стоимости активного оборудования корпоративной сети без учета мелких расходов (рекомендуется выполнить в виде таблиц).

В приложениях представлена схема сети и спецификация активного оборудования.

• Реферат
• Задание
• Введение
• 1. Разработка физической схемы сети
• 1.1 Выбор топологии сети
• 1.2 Разработка физической схемы глобальной сети
• 1.3 Разработка физической схемы локальной сети
• 2. Разработка логической схемы сети
• 2.1 Разработка схемы адресации
• 2.2 Разработка логической схемы глобальной сети
• 2.3 Разработка логической схемы локальной сети
• 3. Выбор активного сетевого оборудования
• 3.1 Выбор маршрутизатора ядра
• 3.2 Выбор маршрутизатора кампуса
• 3.3 Выбор маршрутизатора уровня доступа для подключения корпоративной сети к Интернету
• 3.4 Выбор коммутаторов рабочих групп
• 3.5 Выбор коммутаторов зданий и кампуса
• 3.6 Расчет стоимости выбранного активного оборудования
• 4. Настройка активного оборудования
• 4.1 Общие настройки для всех устройств
• 4.2 Настройка маршрутизаторов
• 4.2.1 Настройка маршрутизаторов ядра
• 4.2.1.1 Настройка интерфейсов для подключения коммутаторов
• 4.2.2 Настройка маршрутизатора кампуса
• 4.2.3 Настройка маршрутизатора доступа в Интернет
• 4.3 Настройка коммутаторов
• 4.3.1 Настройка коммутаторов подразделений и зданий
• 4.3.2 Настройка виртуальных локальных сетей
• 4.3.3 Настройка протокола покрывающего дерева
• 4.3.4 Настройка коммутаторов кампуса
• Заключение
• Библиографический список

В данном курсовом проекте необходимо разработать корпоративную сеть предприятия, исходные параметры которой находятся в задании к работе.

Корпоративная сеть - это сеть, главным назначением которой является поддержание работы конкретного предприятия, владеющего данной сетью. Пользователями корпоративной сети являются только сотрудники данного предприятия. Сети масштаба предприятия объединяют большое количество компьютеров на всех территориях отдельного предприятия.

Корпоративная сеть — коммуникационная система, принадлежащая и/или управляемая единой организацией в соответствии с правилами этой организации. Корпоративная сеть отличается от сети, например, интернет-провайдера тем, что правила распределения IP адресов, работы с интернет ресурсами и т. д. едины для всей корпоративной сети, в то время как провайдер контролирует только магистральный сегмент сети, позволяя своим клиентам самостоятельно управлять их сегментами сети, которые могут являться как частью адресного пространства провайдера, так и быть скрыты механизмом сетевой трансляции адресов за одним или несколькими адресами провайдера.

Корпоративная сеть включает в себя отделения в различных городах (странах), являясь составной сетью, включающей как локальные, так и глобальные сети.

В наши дни создание надёжной и полнофункциональной корпоративной сети очень важно. Создание защищенного канала передачи информации необходимо в первую очередь, потому что информация сегодня стоит дорого, а крупной корпорации нужна тонкая настройка такой сети и обеспечение максимальной защищенности.

Проектируемая сеть основывается на иерархической модели, где на уровне ядра располагаются центральные маршрутизаторы организации, составляющие соответственно ядро глобальной сети с выходом в Интернет. К каждому центральному маршрутизатору организации с помощью поставщика телекоммуникационных услуг (провайдера) подключаются региональные подразделения (уровень доступа). Активное оборудование выбирается из модельного ряда фирмы Cisco.

1. Разработка физической схемы сети

1.1 Выбор топологии сети

При проектировании корпоративной сети весь процесс разработки разбивают на три части в соответствии с предложенным фирмой Cisco Systems подходом. Компьютерные сети удобно представлять в виде трехуровневой иерархической модели, которая содержит следующие уровни:

уровень ядра;

уровень распределения;

уровень доступа.

Уровень ядра предназначен для высокоскоростной передачи сетевого трафика и скоростной коммутации пакетов. Поэтому на сетевых устройствах этого уровня не вводятся дополнительные технологии, отвечающие за фильтрацию или маршрутизацию пакетов, такие как списки доступа или маршрутизация по правилам. В данном курсовом проекте уровень ядра представлен маршрутизаторами уровня ядра (рисунок 1.1), которые располагаются в центральных офисах организации. Офисы разделены между и находятся в разных городах, поэтому маршрутизаторы ядра объединены между собой с помощью технологии глобальных сетей MPLS. К узловым маршрутизаторам регионов через коммутаторы подключены маршрутизаторы доступа в интернет, образуя демилитаризованную зону, через которую осуществляется выход в Интернет.

проектирование корпоративная сеть сервер Рисунок 1.1 — Схема корпоративной сети Уровень распределения используется для суммирования маршрутов. Суммирование проводится для уменьшения сетевого трафика на верхних уровнях сети и представляет собой объединение нескольких сетей в одну общую, имеющую короткую маску. Маршрутизаторы уровня распределения соединены с маршрутизаторами ядра при помощи технологии Frame Relay.

На уровне доступа формируется сетевой трафик, а также производится контроль доступа к сети. Маршрутизаторы уровня доступа служат для подключения отдельных пользователей (серверы доступа) или отдельных локальных сетей к глобальной вычислительной сети. Самым простым коммутирующим оборудованием уровня доступа являются коммутаторы подразделений, к которым присоединяются автоматизированные рабочие места сотрудников организации (АРМы). Коммутаторы подразделений объединяются в единую сеть с помощью коммутаторов зданий, которые в рамках одного кампуса соединяются в кольцо оптоволоконными линиями связи. В каждом кампусе содержится по три здания, а следовательно и коммутаторов зданий в них тоже будет три. Через коммутатор кампуса сеть соединена с маршрутизатором кампуса. Маршрутизатор кампуса соединяет все подразделение кампуса с центральным офисом.

Проектируемая сеть должна отвечать требованиям структурированности и избыточности. Сеть должна иметь определенную иерархическую структуру, а значит иметь отражающую эту иерархию схему адресации. Такая схема адресации должна позволять проводить суммирование подсетей, что реализуется на уровне распределения. Избыточность делает сеть устойчивой к неполадкам и нарушениям каналов передачи данных, повышает надежность системы, но вместе с тем и увеличивает трудоемкость администрирования сети. Структурированность корпоративной сети в курсовом проекте обеспечивается за счет поддержки уровня иерархий коммутирующих устройств, предложенной компанией Cisco, а избыточность сети получена добавлением резервных связей на уровне доступа между коммутаторами зданий и избыточных связей узловых маршрутизаторов в уровне ядра.

1.2 Разработка физической схемы глобальной сети

Физическая схема глобальной сети отображает механизмы маршрутизации входящих и исходящих потоков информации в сеть. Она должна содержать физические связи между устройствами, технологии глобальных сетей, позволяющие осуществлять соединение и маршрутизацию потоков. Также на физической схеме должны быть указаны конкретные устройства и необходимые к ним модули для поддержки используемых технологий.

В этом курсовом проекте уровень ядра представлен маршрутизаторами уровня ядра, которые располагаются в центральных офисах организации. Офисы разделены между собой и находятся в разных городах, поэтому маршрутизаторы ядра объединены между собой с помощью технологии глобальных сетей Frame Relay. К каждому из маршрутизаторов с помощью протокола Ethernet подключается через коммутатор группа серверов и маршрутизатор Х, которые вместе представляют собой демилитаризованную зону и обеспечивают доступ всей сети в Интернет. Также к каждому узловому маршрутизатору подключается группа корпоративных серверов. Каждый из маршрутизаторов ядра с помощью технологии глобальных сетей Frame Relay соединен виртуальными каналами с маршрутизаторами кампусов, количество которых в каждом из регионов равно 20.

Физическая схема глобальной сети представлена в приложении А.

1.3 Разработка физической схемы локальной сети

Физическая схема локальной сети должна содержать коммутирующее оборудование, физические линии связи между ними, а также компьютеры, как конечные узлы сети.

Самым простым коммутирующим оборудованием уровня доступа являются коммутаторы рабочих групп, к которым присоединяются автоматизированные рабочие места сотрудников организации (АРМы). В нашей сети из-за большого количества АРМов коммутаторы уровня рабочих групп разделены на два уровня. Коммутаторы рабочих групп верхнего (второго) уровня объединяются в единую сеть с помощью коммутаторов зданий, которые в рамках одного кампуса соединяются в кольцо оптоволоконными линиями связи. В каждом кампусе содержится по три здания, а, следовательно, и коммутаторов зданий в них тоже будет три. Через коммутатор кампуса сеть соединена с маршрутизатором кампуса и серверами кампуса.

Физическая схема локальной сети представлена в приложении В.

2. Разработка логической схемы сети

2.1 Разработка схемы адресации

Адресная схема должна быть разработана в соответствии с иерархическим принципом проектирования компьютерных сетей.

Схема адресации должна позволять агрегирование адресов. Это означает, что адреса сетей более низких уровней (например, сеть кампуса по сравнению с сетью региона) должны входить в диапазон сети более высокого уровня с большей маской. Кроме того, необходимо предусмотреть возможность расширения адресного пространства на каждом уровне иерархии.

Таблица 2.1 — Исходные данные

Сеть, рассматриваемая в данном курсовом проекте, имеет четыре уровня иерархии. Вся сеть разбивается на 3 региона. В каждом регионе содержится 50 кампусов. В кампусах есть 10 подразделений, на каждое из которых выделяется подсеть. На нижнем уровне иерархии располагаются адреса хостов. На каждый уровень иерархии выделено количество бит, достаточное для адресации содержащихся на данном уровне элементов и учитывающее возможное расширение сети.

Для раздачи адресов внутри корпоративной сети использован частный диапазон 10.0.0.0/8, обладающий наибольшей емкостью (24 бита адресного пространства).

Таблица 2.2 — Распределение бит для адресации подсетей и соответствующие маски подсетей

Таблица 2.3 — Распределение бит IP-адреса

Таблица 2.4 — Распределение IP-адресов по регионам

Таблица 2.5 — Распределение диапазонов IP-адресов по кампусам для 1-го региона

Для остальных регионов адреса кампусов подсчитываются аналогично.

От подсетей кампусов перейдем на более низкий уровень, то есть к подсетям подразделений, в качестве примера рассмотрим подсети подразделений первого кампуса первого региона.

Таблица 2.6 — Распределение диапазонов IP-адресов по подразделениям для 1-го кампуса 1-го региона

Сети, не вписывающиеся в иерархическую схему адресации, называют «служебными». К ним в данной курсовой работе относятся сети между маршрутизаторами ядра, сети между маршрутизаторами ядра и кампуса, сеть демилитаризованной зоны, сеть корпоративных серверов.

Для нумерации демилитаризированной зоны выделен диапазон адресов 10.32.3.0/24 до 10.32.6.0/24, для служебных серверов выделен диапазон 10.32.1.0/24. Сети между маршрутизаторами ядра 10.32.71.0/24 — 10.32.75.0/24. Сети между маршрутизаторами ядра и кампусами 10.32.7.0/24 — 10.32.70.0/24.

2.2 Разработка логической схемы глобальной сети

Логическая схема должна отражать логику взаимодействия глобальной сети, распределение адресов между портами, все ip-сети данной сети с указанием масок.

В разрабатываемой глобальной сети маршрутизаторы ядра связаны полносвязно «каждый с каждым» и образуют логическое кольцо. Маршрутизаторы кампуса связаны с маршрутизаторами ядра отдельными линиями связи.

Логическая схема глобальной сети представлена в приложении Б.

2.3 Разработка логической схемы локальной сети

Логическая схема локальной сети отражает логические связи между элементами сети, а также логические объединения компьютеров одного подразделения в виртуальные сети — VLAN, позволяющие разделять компьютеры по подразделениям независимо от физического подключения.

Логическая схема локальной сети представлена в приложении Г.

3. Выбор активного сетевого оборудования

Активное сетевое оборудование необходимо выбирать в соответствии с требованиями проектируемой сети, учитывая такие параметры, как величина передаваемого трафика, возможность наращивания сети, совместимость оборудования, а так же целый ряд других параметров. Так же необходимо учитывать тип оборудования, в нашем случае маршрутизатор или коммутатор, и его характеристики. Устройство должно отвечать требованиям по количеству интерфейсов и их типу, по пропускной способности, по поддерживаемым протоколам.

В курсовом проекте необходимо выбрать следующее оборудование:

магистральные маршрутизаторы для ядра сети;

маршрутизаторы уровня доступа для подключения кампусов к ядру;

маршрутизатор уровня доступа для подключения корпоративной сети к Интернету;

магистральные коммутаторы в качестве коммутатора кампуса;

коммутаторы зданий;

коммутаторы рабочих групп.

Тип устройства выбираем исходя из его положения в сети, с необходимыми нам характеристиками, принимая во внимание рекомендации производителя.

3.1 Выбор маршрутизатора ядра

Маршрутизаторы ядра относятся к самым дорогим и производительным устройствам проектируемой сети. Уровень ядра (core) отвечает за высокоскоростную передачу сетевого трафика. Первичное предназначение устройств уровня ядра — коммутация пакетов. В виду этого на устройствах уровня ядра запрещается вводить такие технологии, как, например, списки доступа или маршрутизация по правилам, замедляющие работу устройства. Маршрутизаторы ядра необходимы для быстрого перераспределения трафика между регионами.

Маршрутизаторы серии Cisco 7600 реализуют надежные и высокопроизводительные функции и предназначены для использования в качестве граничного маршрутизатора в сетях провайдеров услуг. Поддерживая различные интерфейсы и технологию адаптивной обработки сетевого трафика, маршрутизаторы серии Cisco 7600 предлагают интегрированные услуги Ethernet, частных линий и агрегации абонентских подключений. Маршрутизаторы серии Cisco 7600 обеспечивают производительность на уровне нескольких Гбит/с в расчете на слот, выпускаются в различных форм-факторах и поддерживают улучшенные модули оптических интерфейсов для предоставления высокопроизводительных услуг.

Из серии 7600 была выбрана модель Cisco 7606, которая имеет размер 7 юнитов и 6 слотов для подключения, а так же поддерживает технологию IP / MPLS.

В дополнение следующие модули:

HWIC-1GE-SFP для подключения к маршрутизаторам кампусов, эти гигабитные интерфейсные карты предоставляют возможность использования высокоскоростных и эффективных гигабитных портов на маршрутизаторах для удаленных офисов и филиалов больших компаний. Понадобится по два таких модуля на каждый маршрутизатор ядра;

SPA-2X1GE для подключения маршрутизаторов ядра к коммутаторам демилитаризованной зоны. Обладает высокой надежностью интернет подключения. Понадобится три таких модуля для маршрутизаторов ядра.

3.2 Выбор маршрутизатора кампуса

При выборе маршрутизатора кампуса следует учесть, что он служит для связи маршрутизатора ядра и коммутатора кампуса, поэтому он должен иметь высокую пропускную способность. Для этой цели можно рассмотреть семейство маршрутизаторов Cisco 3900, которые предлагают встроенные функции безопасности, требуемую нам производительность и расширенный объем памяти, а также интерфейсы высокой плотности.

На роль маршрутизатора кампуса была выбрана модель 3945 основные характеристики, которого представлены ниже:

— одновременная работа различных сервисов (например, обеспечения безопасности и голосовой связи) со скоростью физической линии, а также расширенных сервисов на высоких скоростях;

— повышенная производительность и модульность;

— поддержка более 90 существующих и новых модулей;

— поддержка большинства существующих модулей AIM, NM, WIC, VWIC и VIC;

— встроенные порты GE с поддержкой оптических сетей и сетей на основе витой пары;

— безопасность;

— встроенная система шифрования;

— поддержка виртуальных частных сетей (VPN);

— система защиты от вирусов с использованием технологии контроля доступа в сеть (NAC);

— система предотвращения вторжений, поддержка межсетевого экрана с полным контролем состояния соединений Cisco IOS, а также другие важнейшие функции системы безопасности;

— передача голоса;

— поддержка аналоговых и цифровых голосовых вызовов;

— возможность поддержки функций голосовой почты.

Приведенные выше характеристики позволяют такой же маршрутизатор Cisco 3945 взять и для подключения корпоративной сети к Интернету, поэтому общее количество для всей сети таких маршрутизаторов — 63.

Для соединения с коммутатором кампуса воспользуемся встроенными портами LAN

3.3 Выбор маршрутизатора уровня доступа для подключения корпоративной сети к Интернету

Данный маршрутизатор обрабатывает меньшее количество пакетов. Вместо этого его часто используют для предоставления других функции.

Архитектура маршрутизаторов с интегрированными услугами семейства Cisco 2900 базируется на архитектуре мощных мультисервисных маршрутизаторов доступа серии Cisco 2600, предлагая дополнительно встроенные функции безопасности, существенно улучшенную производительность и расширенный объем памяти, а также новые интерфейсы высокой плотности.

Работая под управлением программного обеспечения Cisco IOS, маршрутизаторы серии Cisco 2900 поддерживают концепцию сети с возможностями самозащиты Cisco Self-Defending Network — благодаря улучшенным функциям безопасности и возможностям управления, таким как аппаратная акселерация шифрования, поддержка IPSecVPN. Предустановленная на всех маршрутизаторах серии Cisco 2900, интуитивно-понятная система управления с Web-интерфейсом Cisco Router and Security Device Manager (SDM) существенно упрощает управление и конфигурирование маршрутизатора.

Из данной серии была выбрана модель Сisco 2921, которая обладает необходимыми характеристиками. Для подключения к сети Интернет был выбран модуль HWIC-1ADSL. Для подключения к демилитаризованной зоне будет использоваться модуль HWIC-1GE-SFP. Всего понадобится 3 таких маршрутизатора и по 3 таких модуля.

3.4 Выбор коммутаторов рабочих групп

Коммутаторы рабочих групп служат для непосредственного подключения компьютеров к сети. От коммутаторов этой группы не требуется высокой скорости коммутации, поддержки маршрутизации или других сложных дополнительных функций. Клиентская аппаратура подключится к этому оборудованию через порты Fast Ethernet, следовательно, в качестве технологии передачи данных будет выбран Ethernet. В качестве коммутатора рабочей группы будем использовать Cisco WS-C3560G-48TS-S. Данный коммутатор поддерживает стандарт 10/100/1000 и содержит 48 портов, а также 4 порта SFP. Тогда для первого здания кампуса, в котором 100 компьютеров, необходимо 3 таких коммутаторов, для второго здания кампуса, в котором 100 компьютеров, — 3 коммутатора, для третьего здания кампуса, в котором 100 компьютеров, — 3 коммутатора. Следовательно, на один кампус необходимо 9 коммутаторов рабочих групп, на один регион, в котором находится до 50 кампусов, — до 450, а для трех регионов — до 1350 коммутаторов рабочих групп.

Коммутаторы серии 3560 предназначены для применения на уровне доступа. Основные особенности:

— высокоскоростная маршрутизация трафика: благодаря технологии Cisco Express Forwarding (CEF) серия Catalyst 3560 обеспечивает высокопроизводительную маршрутизацию трафика IP; программное обеспечение поддерживает статическую, RIPv1 и RIPv2 маршрутизацию, OSPF, IGRP, EIGRP, а также маршрутизацию multicast-трафика;

— высокая безопасность: поддержка протокола 802.1x, функциональность Identity-Based Networking Services (IBNS), списки доступа для трафика, для обеспечения безопасности при администрировании поддерживаются протоколы SSH и SNMPv3;

— высокая доступность: для защиты от сбоев внутренних блоков питания коммутаторы Catalyst 3560 поддерживают резервную систему питания Cisco Redundant Power System 675 (RPS 675);

— поддержка качества обслуживания (QoS): классификация трафика по полям DSCP или 802.1p (CoS), стандартные и расширенные списки доступа для выделения заданного типа трафика, WRED, очередность Strict Priority, Shaped Round Robin; существует возможность определения максимальной полосы для определенного вида трафика;

— отличная управляемость: внедренное в коммутатор ПО Cisco CMS, поддержка управления с помощью SNMP-платформ, таких как CiscoWorks, поддержка SNMP версий 1, 2, 3, Telnet, RMON, SPAN, RSPAN, NTP, TFTP.

Коммутаторы Cisco WS-C3560G-48TS-S имеют следующие технические характеристики:

— количество портов Fast Ethernet 10/100/1000 TX — 48;

— пропускная способность — 32 Гбит/с;

— максимальная производительность — 38,7 млн. пакетов/с;

— тип транков VLAN — ISL, 802.1q;

— размеры (ВxШхГ), см — 4,4×44,5×40,9;

— вес — 7 кг;

— время наработки на отказ — 173 400 час;

— уровень шума — 48 дБ;

— рабочая температура — от 0⁰ до 45⁰С.

Для каждого здания кампуса в котором 100 компьютеров нам понадобиться 3 таких коммутаторов. Итого 1350 таких коммутаторов.

3.5 Выбор коммутаторов зданий и кампуса

Коммутаторы зданий предприятия служат для объедения в одну сеть коммутаторов для рабочих групп. Поскольку через эти коммутаторы проходит трафик от многих пользователей, то они должны иметь высокую скорость коммутации. Так же они являются коммутаторами здания и следовательно к нему будут подключаться другие аналогичные устройства расположенные в соседних здания кампуса по оптическому кабелю.

Коммутатор кампуса является сложным устройством через которое проходит трафик от многих пользователей, а следовательно должен обладать высокой скоростью коммутации пакет. К основным обязанностям данного коммутатора можно отнести и маршрутизацию трафика, а также предоставление доступа к серверам кампуса.

Всем этим требованиям отвечает коммутатор Cisco Catalyst 3750E-24TD, который так же поддерживает технологию стекирования коммутаторов, позволяя использовать стек, как один коммутатор с общим пространством МАС-адресов и одним IP-адресом управления. Основные технические особенности Cisco Catalyst 3750E-24TD:

24 порта Ethernet 10/100/1000;

10 Гбит/с Ethernet X2 для подключения стандартных SFP-модулей;

производительность до 64 Гбит/с;

поддерживает IP маршрутизацию.

В кампусе находятся 3 коммутатора зданий, которые соединены друг с другом при помощи оптических линий связи для чего нам понадобиться по два трансивера GLC-SX-MM=GE SFP, LC connector SX transceiver, для каждого коммутатора здания.

Для каждого кампуса нам понадобиться по одному коммутатору Cisco Catalyst 3750E-24TD (на всю сеть 50 штук) и по три коммутатора Cisco Catalyst 3750E-24TD (на всю сеть 150 штук) для коммутаторов зданий, итого 200 таких коммутаторов. А также 6 трансиверов GLC-SX-MM=GE SFP, LC connector SX transceiver (на всю сеть 300).

3.6 Расчет стоимости выбранного активного оборудования

В таблице 3.1 приведет полный перечень и стоимость необходимого активного оборудования при проектировании корпоративной сети.

Таблица 3.1 — Перечень и стоимость выбранного активного оборудования

Таким образом, на все необходимое активное оборудование необходимо потратить 287 067 213.4 рублей.

4. Настройка активного оборудования

Конфигурации для оборудования одного функционального типа одинаковы и отличаются только названиями устройств, адресами и паролями, поэтому для описания настроек всего оборудования достаточно указать шаблоны для каждого типа. Далее необходимо рассмотреть общие настройки сначала для всех типов оборудования, затем — для каждого типа отдельно.

4.1 Общие настройки для всех устройств

Установленное активное оборудование по умолчанию сконфигурировано так, чтобы без дополнительной настройки можно было использовать его при формировании сети. Стандартная настройка оборудования позволяет использовать только основные его возможности, поэтому для поддержки сложной топологии сети и различных протоколов необходимо определить различные параметры работы устройств. Следует отметить, что настройка оборудования одного функционального типа одинаковы и отличаются только названиями устройств, адресами и паролями.

Для всех устройств необходимо настроить следующие служебные параметры:

1) имя устройства;

2) пароль на вход с консоли;

3) пароль на вход по сети;

4) пароль на вход в привилегированный режим.

Первым этапом настройки всех сетевых устройств является выбор имени. Имя устройства должно быть таким, чтобы администратор мог по нему быстро определить: с каким устройством он работает, где оно находится и модель данного устройства. Удовлетворяя этим требованиям, определяем имена устройств (таблица 4.1). Оставшиеся устройства, именуются аналогичным образом.

Таблица 4.1 — Имена сетевых устройств

Таблица 4.1 — Продолжение

Таблица 4.2 — Система паролей

Настройки производятся следующим образом (СИУ — символьное имя устройства):

1) имени устройства:

СИУ>enable

СИУ#configure terminal

СИУ (config) #hostname ИМЯ

2) для входа с консольного порта:

СИУ (config) #line console

СИУ (config-line) #login

СИУ (config-line) #password ПАРОЛЬ

3) для входа по сети:

СИУ (config) # line vty 0 4

СИУ (config-line) # login

СИУ (config-line) # password ПАРОЛЬ

4) для перехода в привилегированный режим:

СИУ (config) # enable password ПАРОЛЬ Настройка сетевых интерфейсов зависит не от типа и функций сетевого устройства, а от технологий физического и канального уровня интерфейса. В простейшем случае (например, при использовании технологии Ethernet) интерфейс будет работать с установками по умолчанию. В более сложных случаях (характерных для технологий глобальных вычислительных сетей) требуется настройка.

4.2 Настройка маршрутизаторов

В сети присутствуют маршрутизаторы двух типов: маршрутизаторы ядра и маршрутизаторы уровня доступа.

Основное назначение маршрутизаторов ядра — быстрая пересылка пакетов. В ядре не рекомендуется применять списков доступа, политики маршуртизации и другие технологии, уменьшающие скорость обработки пакетов.

На маршрутизаторе ядра нужно указать параметры, общие для всех устройств, настроить сетевые интерфейсы и протокол маршрутизации.

Настройка протокола маршрутизации заключается в следующем:

устанавливается протокол маршрутизации;

указываются обслуживаемые сети;

настройка дополнительных параметров (для устранения зацикливания, временные, управления обновлениями).

Маршрутизаторы уровня доступа (как в кампусах, так и маршрутизатор для доступа в интернет) обрабатывают меньшее количество пакетов. Вместе с тем, их часто используют для выполнения дополнительных функции. В курсовом проекте маршрутизаторы, как минимум, должны выполнять функции фильтрации.

Маршрутизаторы кампуса минимально должны фильтровать следующие пакеты:

выходящие пакеты, с адресами источника, не принадлежащими сети кампуса;

выходящие пакеты, с адресами приемника не принадлежащими корпоративной сети;

входящие пакеты с адресами приемника не принадлежащими сети кампуса.

Маршрутизатор доступа к Интернет помимо аналогичной фильтрации пакетов должен выполнять трансляцию внутренних и внешних адресов.

4.2.1 Настройка маршрутизаторов ядра

После настройки параметров, общих для всех устройств, необходимо выполнить настройку сетевых интерфейсов в режиме конфигурации. Рассмотрим настройку маршрутизатора ядра региона А. Его символьное имя R7606-A. С помощью модуля HWIC-1GE-SFP будет осуществлено подключение к маршрутизаторам кампусов через сеть MPLS.

Для соединения между собой маршрутизаторов ядра используем технологию MPLS. Провайдером выберем ОАО «Ростелеком» .

Передача данных в виртуальных частных сетях (VPN) будет осуществляться по протоколу MPLS (MultiProtocol Label Switching), отвечающему за коммутацию IP-пакетов на магистральной сети «Ростелеком». Безопасная и эффективная передача данных в сети осуществляется за счет коммутации IP-пакетов, содержащих дополнительные байты данных (Labels) c информацией о маршруте их следования. Благодаря такой технологии IP-пакеты коммутируются, а не маршрутизируются, что резко увеличивает скорость их передачи.

По сравнению с другими технологиями, на базе которых также строятся VPN, MPLS является самой эффективной для передачи IP-трафика и, соответственно, оптимальна для работы в сети IP-ориентированных приложений.

В качестве протокола внутренней маршрутизации выберем фирменный протокол фирмы Cisco EIGRP. Данный протокол маршрутизации является гибридным протоколом маршрутизации. Создание EIGRP есть попытка соединить в одном протоколе достоинства «дистанционно-векторных» (distance-vector) протоколов маршрутизации и протоколов «состояния канала» (link-state) без недостатков присущих этим протоколам. EIGRP комбинирует простоту и надежность «дистанционно-векторных» протоколов, а также быструю сходимость протоколов «состояния канала». EIGRP поддерживает маршрутизацию протоколов IP, IPX, Aplletalk. С версии Cisco IOS 12.3 поддерживает VPN/MPLS с использованием EIGRP. В качестве протокола распространения меток был выбран протокол TDP. Для настройки необходимо выполнить следующие этапы.

4.2.1.1 Настройка интерфейсов для подключения коммутаторов

Через интерфейс модуля SPA-2X1GE на маршрутизаторах A, B, C будет осуществлено подключению к коммутатору, через который будет осуществлено подключение к интернету. Соединение осуществляется напрямую, достаточно присвоить интерфейсу модуля необходимый IP-адрес:

R7606-A (config) # interface Gigabit Ethernet1/1

R7606-A (config-if) #ip address 10.32.3.1 255.255.255.0

…

4.2.2 Настройка маршрутизатора кампуса

На маршрутизаторе кампуса необходимо настроить технологию MPLS, протокол EIGRP, назначить IP-адреса интерфейсам. Настройки будут представлены на примере маршрутизатора первого кампуса региона А.

Данный маршрутизатор находится на границе между ядром и кампусом и одной из выполняемых им функций должна быть фильтрация трафика, которая будет выполнятся при помощи списков доступа.

Маршрутизаторы кампуса минимально должны отбрасывать (не пропускать) следующие пакеты:

выходящие пакеты, с адресами источника, не принадлежащими сети кампуса;

выходящие пакеты, с адресами приемника не принадлежащими корпоративной сети;

входящие пакеты с адресами приемника не принадлежащими сети кампуса.

Настройка маршрутизатора кампуса будет рассмотрена в первом кампусе первого региона:

Для начала будет создан список доступа который будет фильтровать пакеты не принадлежащие корпоративной сети:

Будет создан расширенный список доступа который не будет пропускать пакеты из корпоративной сети не принадлежащие первому кампусу региона А. Необходимо указать протокол для которого выполняется данное условие.

…

R3945-AК1 (config) # access-list 100 permit IP 10.0.0.0 0.255.255.255 10.32.7.0 0.255.255.255

…

Число «100» представляет собой номер расширенного списка доступа и может находится в диапазоне от 100 до 199. Для стандартных списков доступа используется диапазон от 1до 99

Также следует создать список доступа который не выпускает в сеть пакеты не принадлежащие сети кампусу:

…

R3945-AК1 (config) #access-list 101 permit IP 10.32.7.0 0.255.255.255 10.0.0.0 0.255.255.255

…

Следующим шагом является применение списков доступа на соответствующих интерфейсах:

…

R3945-AК1 (config) # interface Gigabit Ethernet0/0

R3945-AК1 (config-if) # ip access — group 101 in

…

Произведём настройку протокола EIGRP.

R3945-AК1#router eigrp 1 // запущен процесс маршрутизации EIGRP 1

R3945-AК1 # network 10.0.0.0 // Маршрутизировать все сети, подключенные к этому маршрутизаторы с адресами, попадающими в диапазон 10.0.0.0.

R3945-AК1 #no auto-summary // отключить автоматическое суммирование.

R3945-AК1 #ip cef // включена коммутация Cisco Express Forwarding

4.2.3 Настройка маршрутизатора доступа в Интернет

К основным задачам данного маршрутизатора относятся фильтрация входящего и исходящего трафика, а также трансляция внешних и внутренних адресов.

Трансляция адресов будет применяться для того, чтобы отображать внутренние адреса корпоративной сети на внешние адреса общественной. Трансляция осуществляется следующим образом: для каждого пакета, направляемого во внешнюю сеть, внутренний адрес заменяется внешним из доступного пула адресов. При этом этот адрес резервируется (точнее говоря, адрес вместе с номером порта). Все ответы, пришедшие на зарезервированный адрес, транслируются обратно.

Для того чтобы настроить трансляцию адресов, необходимо указать пул, из которого берутся внешние адреса:

R2921-IntА (config) # ip nat pool corp 192.168.0.1 192.168.0.1.

В этой команде указывается имя пула (corp), начальный (первые цифры 192.168.0.1) и конечный (вторые цифры 192.168.0.1) адреса. В данном случае пул состоит из одного адреса. Запросы от различных узлов корпоративной сети будут транслироваться с использованием различных портов.

Следующим шагом указывается список адресов, для которых разрешено транслирование:

R2921-IntА (config) # access-list 1 permit 10.0.0.0 0.255.255.255.

Далее указывается, что адреса, определяемые с помощью первого списка доступа, будут транслироваться с помощью определенного пула:

R2921-IntА (config) # ip nat inside source 1 pool corp overload.

Ключевое слово «overload» указывает на то, что один внешний адрес можно использовать для нескольких внутренних. Последним шагом необходимо указать входной и выходной интерфейсы. Следующие команды даются в режиме конфигурации соответствующих интерфейсов:

R2921-IntА (config) #interface Gigabit Ethernet1/0

R2921-IntА (config — if) # ip nat inside

R2921-IntА (config) #interface Serial1.0

R2921-InА (config — if) # ip nat outside;

Помимо трансляции адресов, как уже было сказано выше, необходимо сделать фильтрацию трафика, что будет сделано при помощи списков доступа.

Список доступа это набор условий, в которых определяется, какой пакет может быть пропущен, а какой нет.

Задача фильтрации пакетов (трафика) разбивается на два разных этапа. На первом с помощью команд access-list и ip access-list задаются критерии фильтрации. На втором этапе эти критерии фильтрации накладываются на желаемые интерфейсы.

Списки доступа могут быть стандартными и расширенными. Стандартный список доступа позволяет фильтровать трафик только по адресу источника. Создается он следующим образом:

(config) # access-list 1 deny 10.0.0.1 0.0.0.255.

Здесь первая цифра означает номер списка доступа, служебное слово «deny» запрещает прохождение пакетов из сети (служебное слово «permit» — разрешает прохождение пакетов) с адресом, указанным далее. Последняя группа цифр (0.0.0.255) — так называемая карта (wildcard). Сравнение адресов анализируемого пакета и указанного в условии ведется только для тех бит, которые в этой карте установлены в ноль.

Карту можно заменять служебным словом host, что соответствует нулевой карте (т.е. проверяются все биты адреса). Пару чисел из адреса и карты можно заменять служебным словом any, что означает адрес любого пакета.

Набор подобных условий составляет список доступа. При поступлении пакета они проверяются в порядке записи. Если ни одно из условий не подошло, то пакет отбрасывается.

Расширенные списки доступа позволяют задавать более гибкие условия.

Номера расширенных листов начинаются с 101-го. На третьей позиции записывается протокол, для которого выполняется это условие. Далее идут две пары чисел, состоящие из адреса и карты, определяющие источник и приемник пакета. На последней позиции может указываться номер порта. После создания списков доступа они могут быть приложены к любому интерфейсу.

Указываем какие виды трафика необходимо пропускать:

R2921-IntА (config) # access-list 101 permit tcp any host 10.32.3.3 eq www

R2921-IntА (config) # access-list 101 permit tcp any host 10.32.3.3 eq pop3

R2921-IntА (config) # access-list 101 permit tcp any host 10.32.3.3 eq smtp

Для FTP-сервера разрешается любой трафик:

R2921-IntА (config) # access-list 101 permit tcp any host 10.32.3.3

Применяем список:

R2921-IntА (config) #interface serial0/1

R2921-IntА (config-if) # ip access-group 101 in

4.3 Настройка коммутаторов

Список основных настроек, которые необходимо выполнить на коммутаторах в рамках данного курсового проекта:

настройка общих параметров и сетевых интерфейсов;

виртуальных локальных сетей (VLAN);

протокола покрывающего дерева (STP).

4.3.1 Настройка коммутаторов подразделений и зданий

Для всех коммутаторов корпоративной сети в общем случае необходимо выполнить следующие настройки:

— общих параметров;

— виртуальных локальных сетей;

— протокола покрывающего дерева.

Для коммутаторов корпоративных серверов и серверов демилитаризованной зоны требуется настроить только общие параметры и назначит этим коммутаторам IP-адреса следующей командой (соответствующие IP-адреса и маска описаны в таблицах раздела 2 данной пояснительной записки):

СИУ (config) # ip address ip-address netmask

Аналогичной командой присваиваем соответствующие IP-адреса всем коммутаторам сети.

4.3.2 Настройка виртуальных локальных сетей

К коммутаторам рабочих групп подключается большое количество компьютеров, принадлежащих работникам разных подразделений, которые могут иметь разные права доступа к ресурсам. В такой ситуации целесообразно организовать виртуальные локальные сети (VLAN). При этом необходимо портам FastEthernet присвоить номера VLAN’ов исходя из того, к какому подразделению будет отнесён хост, подключенный к конкретному интерфейсу коммутатора (всего 100 подразделений на кампус). Порты FastEthernet0/0 подключаем к коммутатору здания/маршрутизирующему коммутатору кампуса и переводим их в транковый режим, указываем тип инкапсуляции 802.1q, который использует внутренний механизм тэгирования, который добавляет к оригинальному фрейму 4 байта, вставляя тэг между MAC-адресом источником и полем Type/Length фрэйма Ethernet (СИУ — символьное имя устройства — коммутатора рабочей группы, X — номер интерфейса коммутатора, Z — номер подразделения, к которому относится хост, подключенный к указанному интерфейсу):

СИУ (config) # interface FE0/X

СИУ (config-if) # switchport access vlan Z

Настройка транкового порта:

СИУ (config) # interface FastEthernet0/0

СИУ (config-if) # switchport mode trunk

СИУ (config-if) # encapsulation dot1q Z

Настройка коммутаторов здания сводится к установке транкового режима работы для всех его интерфейсов и инкапсуляции типа 802.1q (СИУ — символьное имя устройства — коммутатора здания):

СИУ (config) # interface FastEthernet0/0

СИУ (config-if) # switchport mode trunk

СИУ (config-if) # encapsulation dot1q Z

С точки зрения маршрутизатора (маршрутизирующего коммутатора), каждая виртуальная локальная сеть является отдельной IP-подсетью. Физический интерфейс маршрутизатора (маршрутизирующего коммутатора), с которым соединен установленный в транковый режим интерфейс коммутатора, разбивается на несколько логических подынтерфейсов (по числу виртуальных локальных сетей). Каждому подынтерфейсу соответствует своя IP-подсеть и своя виртуальная локальная сеть. Для указания IP-подсети подынтерфейсу присваивается адрес маршрутизатора (маршрутизирующего коммутатора) в этой подсети. Для указания номера виртуальной локальной сети необходимо указать тип инкапсуляции этой сети. В случае если в сети имеется только один маршрутизатор (маршрутизирующий коммутатор) достаточно указать IP-адреса интерфейсов (подынтерфейсов) и маршрутизатор (маршрутизирующий коммутатор) автоматически начнет маршрутизировать трафик между соответствующими адресами подынтерфейсов IP_подсетей.

Таким образом, обмен между виртуальными сетями осуществляется на сетевом уровне. Для этого нужно настроить маршрутизацию. Чтобы настроить маршрутизацию к одному из транковых интерфейсов нужно подключить маршрутизатор или маршрутизирующий коммутатор, как и сделано в нашей сети.

На маршрутизирующем коммутаторе транковый интерфейс настраивается отдельно для каждой виртуальной сети. Делается это с помощью подынтерфейсов. Для каждого подынтерфейса указывается сетевой адрес и номер виртуальной сети. Приведем пример команд для настройки для первого региона первого кампуса (СИУ — символьное имя устройства — коммутатора кампуса):

СИУ (config) # interface FЕ0/1

СИУ (config-if) # no ip address

Для сети первого подразделения 10.33.1.0:

СИУ (config) # interface FЕ0/1.1

СИУ (config-sub if) # encapsulation dot1q 1

СИУ (config-sub if) # ip address 10.33.1.1 255.255.255.0

Для сети второго подразделения 10.33.2.0:

СИУ (config) # interface FЕ0/1.2

СИУ (config-sub if) # encapsulation dot1q 2

СИУ (config-sub if) # ip address 10.33.2.1 255.255.255.0

Для маршрутизации между остальными виртуальными локальными сетями необходимо провести аналогичные настройки.

После подобной настройки пакеты могут пересылаться между всеми виртуальными сетями, т. е. все подразделения корпоративной сети смогут обмениваться между собой информацией.

4.3.3 Настройка протокола покрывающего дерева

При создании запасных линий связи в топологии сети обязательно появляются петли. В то же время коммутируемые сети не будут функционировать, если в их топологии присутствует петля.

Для решения этой проблемы используется протокол покрывающего дерева (Spanning Tree Protocol). Коммутаторы, работающие по этому протоколу, отключают запасные пути. В случае, если одна из линий связи перестанет работать, коммутаторы перестраивают топологию сети таким образом, чтобы она имела вид покрывающего дерева — охватывала бы все узлы, но при этом не имела петель. Покрывающее дерево строится отдельно для каждой виртуальной локальной сети.

Работа протокола покрывающего дерева происходит в два этапа. Сначала, исходя из установленных приоритетов, выбирается корневой коммутатор. Далее, исходя из приоритетов линий связи, от корневого коммутатора строится покрывающее дерево.

Настройка протокола состоит из трех этапов:

включение протокола покрывающего дерева для выбранных виртуальных локальных сетей;

настройка приоритетов коммутаторов;

настройка приоритетов линий связи.

Т.к. настройки необходимо произвести на всех коммутаторах виртуальных локальных сетей, и эти коммутаторы находятся на разных уровнях иерархии, обозначим имя устройства, как СИУ (символьное имя устройства).

СИУ (config) # interface GigabitEthernet0/0

СИУ (config — if) # switchport mode trunk

СИУ (config — if) # switchport trunk encapsulation dot1q

Как уже говорилось, настройка коммутаторов здания сводится к установке транкового режима работы для всех его интерфейсов и указания метода инкапсуляции в нашем случае — dot1q:

СИУ (config) # interface GigabitEthernet 0/0

СИУ (config — if) # switchport mode trunk

СИУ (config — if) # switchport trunk encapsulation dot1q

Включение протокола для конкретной виртуальной локальной сети производится следующей командой, где X — номер виртуальной сети:

СИУ (config — if) # spanning-tree VLAN X

Приоритет коммутатора устанавливается таким образом:

СИУ (config) # spanning-tree VLAN X priority s,

где s — число определяющее приоритет коммутатора. Значения приоритета

варьируются в диапазоне от 0 (наивысший приоритет) до 65 535 (наименьший приоритет), значение по умолчанию равно 32 768. Установка наивысшего приоритета переводит коммутатор в режим корневого.

Коммутирующему маршрутизатору кампуса задаём самый высокий приоритет 1. Коммутаторам здания задаем одинаковые приоритеты, но ниже, чем у коммутирующего маршрутизатора — 8192. Коммутаторам подразделений, ещё более низкие приоритеты — 16 384. Такие настройки нужно произвести для каждой виртуальной сети.

Приоритет линий связи состоит из двух составляющих: собственно приоритета и стоимости. Задаются они командами:

СИУ (config — if) # spanning-tree VLAN X port-priority а

СИУ (config — if) # spanning-tree VLAN X port-cost b,

где a=4 и b=4 числа, определяющие соответственно приоритет и стоимость линии.

Значение параметра port-priority можно изменять в диапазоне от 0 до 255 с шагом в 4. Чем меньше значение данного параметра, тем выше вероятность того, что порт станет корневым. Корневым портом коммутатора является тот порт, расстояние от которого до корневого коммутатора является минимальным. Сам корневой коммутатор корневых портов не имеет.

Значение параметра port-cost можно изменять в диапазоне от 1 до 65 535. Чем меньше значение данного параметра, тем выше вероятность того, что порт будет выбран для продвижения пакетов. Стоимость линий связи для Gigabit Ethernet и Fast Ethernet равна 4 и 19 соответственно.

4.3.4 Настройка коммутаторов кампуса