Разработка составной корпоративной сети на базе активного сетевого оборудования
Гибкое управление Использование Web-интерфейса управления коммутатором на основе утилиты SmartConsole так же просто, как и обычный поиск информации в сети Интернет. Утилита поддерживает функции автоматического обнаружения и отображения на экране коммутаторов D-Link серии Web smart, принадлежащих одному и тому же сегменту сети L2. Web-интерфейс обеспечивает доступ к коммутатору из любой точки сети… Читать ещё >
Разработка составной корпоративной сети на базе активного сетевого оборудования (реферат, курсовая, диплом, контрольная)
Современная вычислительная сеть представляет собой совокупность компьютеров, линий связи и сетевого программного обеспечения. Сеть создаётся для решения задач коммуникации, совместной работы с приложениями и корпоративными данными для рационального использования имеющегося оборудования, например принтеров дискового пространства, систем хранения информации. Основные признаки современной сети это высокие скорости передачи информации, как в сегменте локальной сети, так и глобальной сети, возможность гибкого изменения сетевой инфраструктуры ориентированность на использование служб Интернет, направленность на передачу мультимедийного контента.
Ориентированность сети на использование Интернет приложений вызывает необходимость применять более высокие стандарты безопасности не только в сегменте крупных корпоративных сетей, но и в сегменте вычислительных сетей малого и среднего бизнеса. Также достаточно остро стоит вопрос удалённого безопасного взаимодействия между филиалами или подразделениями компании что, актуально даже для небольшой фирмы, офис которой обычно находится в центре города, склад и производство в промышленной зоне города.
Компьютерная сеть — это совокупность ПК и других устройств (концентраторов, принтеров, модемов и т. д.), объединяемых вместе с помощью различных сетевых коммуникационных технологий. Устройства сети могут взаимодействовать друг с другом с целью совместного использования информации и ресурсов.
Локальная вычислительная сеть — это связанные между собой в единую информационную систему персональные компьютеры, принтеры, факсы, серверы и другое телекоммуникационное оборудование. Сеть дает возможность отдельным сотрудникам организации взаимодействовать между собой и обращаться к совместно используемым ресурсам; позволяет им получать доступ к данным, хранящимся на персональных компьютерах как в удаленных офисах, так и соседних ПК. Кроме того, правильная организация ЛВС обеспечивает информационную безопасность (исключает несанкционированный доступ к информационным блокам).
Сетевая технология — согласованный набор программных и аппаратных средств (например, драйверов, сетевых адаптеров, кабелей и разъёмов) и механизмов передачи данных по линиям связи, достаточный для построения вычислительной сети.
Ориентированность сети на использование Интернет приложений вызывает необходимость применять более высокие стандарты безопасности не только в сегменте крупных корпоративных сетей, но и в сегменте вычислительных сетей малого и среднего бизнеса. Также достаточно остро стоит вопрос удалённого безопасного взаимодействия между филиалами или подразделениями компании что, актуально даже для небольшой фирмы, офис которой обычно находится в центре города, склад и производство в промышленной зоне города. Зачастую небольшие предприятия не могут содержать штатного системного администратора использование специализированных серверов на базе операционных систем Windows или Unix для них экономически невыгодно вследствие нерационального использования их вычислительных мощностей. Эти проблемы порождают спрос на недорогие системы, которые позволяли бы решать вопросы создания защищённой высокопроизводительной сетевой инфраструктуры. В качестве таких систем выступает активное сетевое оборудование функционирующие на 1−3-м уровнях модели ISO OSI. В последнее время многие производители представляют на рынок SOHO устройств такие компоненты как управляемые коммутаторы межсетевые экраны, принт-серверы, точки доступа, эффективность этих устройств обусловлена тем, что при небольшой цене они обеспечивают эффективную работу небольших предприятий без необходимости покупки дополнительных компьютеров и привлечения в штат новых сотрудников.
1 Анализ технического задания, выбор типового решения автоматизации
1.1 Анализ технического задания
Исходя из технического задания на проектирование, необходимо разработать следующую вычислительную сеть. Сеть состоит из трёх ЛВС сегментов объединённых магистралями. Назначение сегментов: реализация локальной сети подразделений. Данные по физической инфраструктуре сегментов вводятся в проект, условно исходя из количества рабочих мест и потребностей в реализации сетевых сервисов при определённой скорости передачи данных.
Количество рабочих мест в сегментах определено техническим заданием и составляет:
— Офис — 58 рабочее место;
— Основное производство — 14 рабочих мест;
— Офис продаж — 18 рабочих мест;
— Всего в сети 90 рабочих мест;
Скорости взаимодействия, определенные в техническом задании, составляют 2000 кб/с для магистрали «Офис-Офис продаж», 0.1 Гб/с для магистрали «Офис-Основное производство»
Реализация служб сети предполагает наличие следующих серверов в сетевой инфраструктуре:
— Контроллер домена Windows Server 2008, для построения системы авторизации пользователей и управления сервером;
— web-сервер, для размещения корпоративного web-портала;
— почтовый сервер, для реализации системы электронной почты;
— сервера баз данных, для работы с корпоративными базами данных;
Безопасность сети при межсетевом взаимодействии с внешними сетями должна осуществляться при помощи технологии виртуальных частных сетей VPN (Virtual Private Network). Безопасность взаимодействия должна обеспечиваться аппаратными межсетевыми экранами. Для реализации задания предполагается использовать активное сетевое оборудование «D-Link»
Разрабатываемая сеть реализует возможности устройств обеспечивающих сетевое взаимодействие на 1−3 уровнях модели OSI. По размерам и характеру взаимодействия компонентов сеть можно отнести к небольшой корпоративной сети, интегрированной с Интернет. Магистральный канал связи «Офис — Офис продаж» обеспечивается региональным провайдером Интернет. Базовой технологией магистрали является технология ADSL2+.
1.2 Обзор существующих технологий
Для построения локальных сетей в настоящее время применяются технологии Ethernet. Сети Ethernet строятся на основе стандартов физического и канального уровня группы IEEE 802.x. Основные разделы стандарта:
Группа стандартов 802.1 относится к управлению сетевыми устройствами на аппаратном уровне, а также к обеспечению межсетевого взаимодействия (internetworking). Сюда относятся:
802.1d — логика работы моста/коммутатора; алгоритм Spanning Tree (STP), исключающий петли при избыточных связях коммутаторов Ethernet.
802.1h — транслирующий мост (между различными технологиями, например Ethernet — Token Ring).
802.1p — дополнения к логике МАС-мостов локальных сетей и MAN, обеспечивающие приоритезацию трафика и динамическую фильтрацию группового вещания. Опирается на дополнительные поля кадров, введенные в 802.Q.
802.1Q — построение виртуальных локальных сетей (VLAN), с помощью мостов. Здесь определяется расширение формата кадров Ethernet (добавление тегов/меток — tagged frames), используемое для отметки о принадлежности кадра к VLAN и иных целей (приоритезации трафика).
Стандарт 802.2 описывает работу подуровня LLC, под которым объединяются технологии локальных сетей, включая технологию FDDI, стандартизованную ANSI. Подуровень LLC обеспечивает сервис трех типов: LLC1 — без установления соединения и подтверждения; LLC2 — с установлением соединения и подтверждением; LLC3 — без установления соединения, с подтверждением. Конечные системы могут поддерживать несколько типов сервиса. Устройства класса I поддерживают только LLC1, класса II — LLC1 и LLC2, класса III — LLC1 п LLC3, класса IV — все три типа. Кадры подуровня LLC имеют унифицированный формат и содержат следующие поля:
DSAP (Destination Service Access Point — точка доступа сервиса назначения), 1 байт.
SSAP (Source Service Access Point — точка доступа сервиса источника), 1 байт.
Control (управление) задает тип кадра LLC-уровня.
Data (данные) — поле для размещения данных протоколов верхнего уровня (в некоторых кадрах может отсутствовать).
Поля DSAP и SSAP идентифицируют протокол верхнего уровня, использующий сервис LLC, по ним принимающая сторона определяет, куда направить принятый кадр. Вместе с полем Control они образуют заголовок кадра LLC.
Стандарт IEEE 802.3 описывает физический уровень и МАС-подуровень технологии с методом доступа CSMA/CD: Ethernet, Fast Ethernet (802.3u), Gigabit Ethernet (802.3z и 802.3ab), управление потоком для полного дуплекса (802.3х).
Стандарт 802.4 описывает физический уровень и МАС-подуровень технологии с шинной топологией и передачей маркера доступа (token passing). К этому классу относится протокол MAP (Manufacturing Automation Protocol) для связи устройств промышленной автоматики и технология Token Bus. Сети ARCnet, использующие тот же метод доступа, стандарту 802.4 не подчиняются.
Стандарт 802.5 описывает физический уровень и МАС-подуровень технологии с кольцевой топологией и передачей маркера доступа. Ему соответствует технология Token Ring фирмы IBM.
802.8 относится к оптоволоконной технике, используемой в сетях, определенных 802.3−802.6.
802.10 относится к безопасности (конфиденциальности) сетей: шифрование данных, сетевое управление для архитектур, совместимых с моделью OSI. Иногда идеи этой спецификации используют для построения виртуальных локальных сетей (для передачи информации о принадлежности к конкретной VLAN).
802.11 относится к беспроводным (wireless) технологиям передачи данных.
Технология 100 Mбит/с Fast Ethernet соответствует стандарту IEEE 802.3u. Он представляет собой расширение стандарта 10 Мбит/с Ethernet с возможностью передачи и приема данных на скорости 100 Мбит/с, оставаясь при этом в рамках протокола Ethernet CSMA/CD. Технология Fast Ethernet является эволюционным развитием классической технологии Ethernet. Ее основными достоинствами являются:
— увеличение пропускной способности сегментов сети до 100 Мб/c;
— сохранение метода случайного доступа Ethernet;
— сохранение звездообразной топологии сетей и поддержка традиционных сред передачи данных — витой пары и оптоволоконного кабеля.
Указанные свойства позволяют осуществлять постепенный переход от сетей 10Base-T — наиболее популярного на сегодняшний день варианта Ethernet — к скоростным сетям, сохраняющим значительную преемственность с хорошо знакомой технологией: Fast Ethernet не требует коренного переобучения персонала и замены оборудования во всех узлах сети. Официальный стандарт 100Base-T (802.3u) установил три различных спецификации для физического уровня (в терминах семиуровневой модели OSI) для поддержки следующих типов кабельных систем:
— 100Base-TX для двухпарного кабеля на неэкранированной витой паре UTP Category 5, или экранированной витой паре STP Type 1;
— 100Base-T4 для четырехпарного кабеля на неэкранированной витой паре UTP Category 3, 4 или 5;
— 100Base-FX для многомодового оптоволоконного кабеля.
Как и в стандарте Fast Ethernet, в Gigabit Ethernet не существует универсальной схемы кодирования сигнала, для стандартов 1000Base-LX/SX/CX используется кодирование 8B/10B, для стандарта 1000Base-T используется специальный расширенный линейный код TX/T2. Функцию кодирования выполняет подуровень кодирования PCS, размещенный ниже интерфейса GMII.
GMII интерфейс: средонезависимый интерфейс GMII (gigabit media independent interface) обеспечивает взаимодействие между уровнем MAC и физическим уровнем. GMII интерфейс является расширением интерфейса MII и может поддерживать скорости 10 Мбит/с, 100 Мбит/с и 1000 Мбит/с. Он имеет отдельные восьмибитные приемник и передатчик, и может поддерживать как полудуплексный, так и дуплексный режимы. Кроме этого, GMII интерфейс несет один сигнал, обеспечивающий синхронизацию (clock signal), и два сигнала состояния линии — первый (в состоянии ON) указывает наличие несущей, а второй (в состоянии ON) говорит об отсутствии коллизий — и еще несколько других сигнальных каналов и питание.
Трансиверный модуль, охватывающий физический уровень и обеспечивающий один из физических средазависимых интерфейсов, может подключать например к коммутатору Gigabit Ethernet посредством GMII интерфейса.
Подуровень физического кодирования PCS. При подключении интерфейсов группы 1000Base-X, подуровень PCS использует блочное избыточное кодирование 8B10B, заимствованное из стандарта ANSI X3T11 Fibre Channel. Аналогичен FDDI, но имеет более сложную кодовую таблицу: каждые 8 входных битов, предназначенных для передачи на удаленный узел, преобразовываются в 10 битные символы (code groups). Кроме этого в выходном последовательном потоке присутствуют специальные контрольные 10 битные символы. Примером контрольных символов могут служить символы, используемые для расширения носителя (дополняют кадр Gigabit Ethernet до его минимально размера 512 байт). При подключении интерфейса 1000Base-T, подуровень PCS осуществляет специальное помехоустойчивое кодирование, для обеспечения передачи по витой паре UTP Cat.5 на расстояние до 100 метровлинейный код TX/T2, разработанный компанией Level One Communications.
Два сигнала состояния линии — сигнал наличие несущей и сигнал отсутствие коллизий — генерируются этим подуровнем. Подуровни PMA и PMD. Физический уровень Gigabit Ethernet использует несколько интерфейсов, включая традиционную витую пару категории 5, а также многомодовое и одномодовое волокно. Подуровень PMA преобразует параллельный поток символов от PCS в последовательный поток, а также выполняет обратное преобразование (распараллеливание) входящего последовательного потока от PMD. Подуровень PMD определяет оптические/электрические характеристики физических сигналов для разных сред.
В настоящее время наиболее популярны технологии беспроводных локальных сетей. Они позволяют оперативно задействовать множество мобильных устройств, представленных на рынке компьютерной техники в состав локальной сети.
Сейчас на рынке сетевых продуктов представлены четыре стандарта: IEEE 802.11a, IEEE 802.11b и IEEE 802.11g. Стандарт IEEE 802.11b позволяет передавать данные на скорости до 11 Мбит/с. и работает на частоте 2.4 Ггц по протоколу широкополосной передачи данных — DSSS. Стандарт IEEE 802.11b совместим с более ранним стандартом IEEE 802.11, работающим на скорости до 2 Мбит/с., таким образом, достигается взаимодействие между устройствами двух стандартов. Более новый стандарт IEEE 802.11a позволяет передавать данные на скорости до 108 Мбит/с. В нем используется мультиплексирование с ортогональным делением частот — OFDM — для повышения скорости передачи данных. Эти беспроводные сети работают на частоте 5 Ггц и обеспечивают возможность шифрования с использованием WEP. В связи с тем, что рабочий диапазон IEEE 802.11a лежит вблизи 5 ГГц,
IEEE 802.11g, с вдвое меньшими несущими частотами, выигрывает по дальности стабильной связи. Зона покрытия IEEE 802.11g больше, чем у 802.11a, т. е. на равную площадь понадобится устанавливать меньше точек доступа. Стандарт 802.11g подразумевает OFDM-схему модуляции сигнала — ортогональное мультиплексирование частот, то есть метод частотного уплотнения канала. OFDM менее подвержена такому явлению как помехи от работающих рядом каналов (интерференция). Таким образом, стандарт 802.11g может «обслуживать» беспроводных клиентов с меньшими задержками, чем 802.11b.
802.11n — стандарт, принятый в 2009 году. Скорость передачи данных составляет до 600Мбит/с. Имеет обратную совместимость с более старыми стандартами (802.11a/b/g)
802.11n обеспечивает безопасность передаваемых данныхза счет современных методов шифрования. Структурно режимы работы беспроводной сети представлены на рисунке 1.
Рисунок 1 — Структура беспроводной сети Обобщая вышеизложенные сведения о сетевых технологиях Ethernet, следуют выводы:
— наиболее популярна в настоящее время технология Fast Ethernet, она позволяет строить недорогую сетевую инфраструктуру на базе неэкранированной витой пары;
— технология Gigabit Ethernet является логическим развитием технологии Fast Ethernet и позволяет строить высокопроизводительные локальные сети как на базе неэкранированной витой пары так и оптоволоконных каналов;
— технология Wi-Fi или беспроводной Ethernet стремительно развивается, находит широкое применение в сетях с большим количеством мобильных сетевых устройств;
— технологии Ethernet на витой паре обеспечиваю связь в пределах здания или между зданиями на расстоянии не более 100 м;
— технологии беспроводного Ethernet обеспечивают устойчивую связь на расстоянии 30−150 м от компьютера до точки доступа;
— оптоволоконный Ethernet обеспечивает связь на расстоянии до 2 км при использовании одномодового оптоволоконного кабеля;
— как и все иерархические сети Ethernet, c топологией сегментов звезда, чувствителен к выходу из строя коммутационных узлов верхних уровней иерархии;
— сеть Ethernet не защищена от широковещательных рассылок пакетов.
1.3 Организационная и физическая структура предприятия
Предприятие состоит из трёх подразделений, два подразделения — «Офис» и «Основное производство» — находятся на расстоянии 600 метров друг от друга, третье подразделение — «Офис продаж» — находится на расстоянии 50 км от подразделения «Офис». Между основным предприятием и офисом существует стандартная телефонная связь.
Количество рабочих мест: «Офис»: 58 мест, «Основное производство»: 14 мест, «Офис продаж»: 18 мест. Исходя из технического задания, все сегменты сети должны обеспечивать доступ к централизованной базе данных, и работу с корпоративным сайтом подразделения, сервером электронной почты. Инфраструктура сети реализована при помощи сервера Active Directory (Windows Server 2008).
Организационная структура подразделений компании рассматривается условно, исходя и количества рабочих мест. Физическая структура предприятия представлена на рисунке 2.
Рисунок 2 — Физическая структура предприятия
Распределение автоматизированных рабочих мест и серверов представлено на рисунке 3.
Рисунок 3 — Распределение автоматизированных рабочих мест и серверов Все сетевые сервисы реализованы на выделенных серверах расположенных в центральном офисе. Сервера реализуются на четырёх физических компьютерах. Рабочие места оснащены типовыми рабочими станциями общего назначения чего достаточно для работы с основными финансовыми и офисными приложениями.
1.4 Обоснование выбора типового сетевого решения для предприятия
Для предприятия, структура которого представлена в предыдущем разделе, возможны следующие варианты построения сетевой инфраструктуры:
Cеть строится без использования активного сетевого оборудования, базовые сервисы реализуются при помощи программных серверов, часть сервисов реализует провайдер;
Cеть строится с использование только активного сетевого оборудования, базовые сетевые сервисы реализует провайдер;
Cеть строится с использованием активного сетевого оборудования, базовые сервисы реализуются при помощи внутренних серверах, провайдер предоставляет услуги связи;
Рассмотрим подробней предложенные варианты. Первый из предложенных вариантов является достаточно распространённым в условиях «островковой» автоматизации. В этом случае, в связи с расширяющимися потребностями бизнеса, сеть наращивают как бы последовательно, начиная от небольшой одноранговой сети, кончая сетью, включающей десятки и сотни компьютеров. Неупорядоченное развитие кабельного хозяйства и коммутационных устройств, реализация большинства служб на внутренних серверах приводит к тому, что сеть перегружена серверами и требует для обслуживания привлечения дополнительных специалистов.
Третий вариант является как бы промежуточным между первым и вторым в нём по возможности базовые функции решаются при помощи аппаратных решений, основные сетевые сервисы строятся при помощи сетевых серверов.
В разрабатываемой сетевой инфраструктуре в удалённых подразделениях для построения сетевой инфраструктуры используется активное сетевое оборудование. В центральном офисе активное сетевое оборудование решает коммуникативные функции и функции управления существующей сетевой инфраструктурой. Серверы реализуют основные сетевые серверы и расположены в головном.
Предложенная схема реализации сети соответствуют современным требованиям управляемости и масштабируемости корпоративной сети.
2. Построение сегментов локальной вычислительной сети
2.1 Разработка структуры сегментов сетей подразделений
Структура предприятия определяет три основных сегмента сети предприятия. Наиболее развит сегмент центрального офиса так как он содержит наибольшее количество рабочих станций и ферму серверов предприятия. Соответственно оборудование центрального офиса должно отвечать следующим требованиям;
— высокая производительность;
— управляемость;
— надёжность;
— высокая масштабируемость;
Все магистрали предприятия объединяются в центральном коммутаторе сети, к этому же коммутатору подключается ферма серверов. Каналы, обеспечивающие связь сегментов должны быть наиболее производительными и надёжными. Соответственно структура центрального сегмента представлена на рисунке 4.
Рисунок 4 — Структура сегмента сети центрального офиса
Центральный коммутатор — объединяет все компоненты сети в одно целое, выполняет функции управления сетевой инфраструктурой на канальном уровне.
Коммутатор серверной группы — объединяет все серверы предприятия.
Коммутатор офисной сети — объединяет линии сетей отделов центрального офиса формирует магистральные линии между отделами в центральном офисе.
Магистральные линии — связывают коммутаторы подразделений и серверную группу между собой.
Сегменты сетей подразделений реализуются при помощи центрального коммутатора и дополнительных коммутаторов, которые применяются в связи с необходимостью масштабирования сети. Структура сетей подразделений представлена на рисунке 5.
Рисунок 5 — Структура сети подразделений Центральный коммутатор подразделения объединяет все компьютеры сети подразделения в локальную сеть и соединяет локальную сеть подразделения с головным офисом, вспомогательные коммутаторы подразделения реализуют сетевую инфраструктуру локальной сети подразделения в том случае, если рабочие места удалены друг от друга на расстояние, превышающее 100 метров.
2.2 Выбор базовых технологий для сетей подразделений
Существует следующие варианты технологий локальных сетей для построения сетевых сегментов предприятия:
1) Сеть с использованием технологии Fast Ethernet стандартов 100 Base TX FX;
2) Сеть с использование технологии Gigabit Ethernet стандартов 1000 Base — T 1000 Base + SX 1000 Base — LX;
3) Сеть с использованием технологий IEEE 802.11b, 802.11g, 802.11n, т. е. беспроводные сети;
4) Комбинированные сети — сети использующие несколько базовых технологий.
Рассмотрим достоинства представленных сетевых технологий.
Первый из вариантов представляет наиболее приемлемое решение в плане себестоимости всей сетевой инфраструктуры. Но, к сожалению, скорость передачи информации в 100 Мб/с уже не удовлетворяет полностью потребностям современных сетевых приложений особенно на магистралях соединяющих сеть и сервер.
Второй из предложенных вариантов полностью удовлетворяет потребностям современных сетевых приложений, но является достаточно дорогим решениям при условии, что большинству рабочих станций вполне достаточно скорости передачи информации в 100 Мб/с, а для реализации всей сетевой инфраструктуры по гигабитной технологии стоимость оборудования возрастает практически в 2 раза.
Комбинированное решение призвано объединить все достоинства технологий и устранить их недостатки. Для построения сети предприятия в работе используются комбинированные технологии. Так для построения сегментов подразделений планируется использовать технологию 100 Base — TX, для построения магистралей между коммутаторами внутри подразделений используется технология 1000 Base — T. Для связи между серверами и остальной сетью используется технология 1000 Base — T. Для связи между сегментами центрального офиса и производства используется магистраль 100 Base — FX. Данные к применяемым технологиям приведены в таблице 1.
Таблица 1 — Применение технологии Ethernet в сети предприятия
Подразделение | Базовые технологии Ethernet на участке сети | Дополнительные технологии | |||
Рабочая станция-коммутатор | Коммутатор-коммутатор | Коммутатор-сервер | |||
Центральный офис | 10/100/1000BASE-T | 10/100/1000BASE-T | 10/100/1000BASE-T | 802.11n | |
Производство | 10/100/1000BASE-T | ; | 10/100/1000BASE-T | ||
Удалённый офис продаж | 10/100/1000BASE-T | 10/100/1000BASE-T | Используется WAN технология | 802.11n | |
2.3 Выбор сетевого оборудования для сетей подразделений
В качестве центрально коммутатора сети используется коммутатор DGS-1210−24 (рисунок 6). Характеристики коммутатора приведены ниже. Данный коммутатор применяется также в качестве центрального коммутатора производства.
Рисунок 6 — Центральный коммутатор сети DGS-1210−24
WebSmart коммутатор с 20 портами 10/100/1000Base-T + 4 комбо-портами 1000Base-T/SFP и функцией энергосбережения.
Серия коммутаторов D-Link DGS-1210 включает в себя коммутаторы Web Smart следующего поколения с поддержкой технолгии D-Link Green. Коммутаторы данной серии объединяют в себе функции расширенного управления и безопасности, обеспечивающих лучшую производительность и масштабируемость. Расширенный функционал включает комбо-порты Gigabit, поддержку Power over Ethernet1, QoS, а также функции гибкого многофункционального управления. Поддержка Power over Ethernet позволяет упростить установку беспроводных точек доступа, сетевых камер, телефонов VoIP и другого сетевого оборудования. Благодаря совместимости со стандартами 802.3af и 802.3at, этот коммутатор способен обеспечить питание устройств до 30 Вт. Функции управления включают SNMP, управление на основе Web-интерфейса, утилиту SmartConsole и Compact Command Lines. Коммутаторы данной серии также поддерживают такие функции, как фильтрация ACL и D-Link Safeguard Engine.
Коммутаторы серии DGS-1100 поддерживают технологию D-Link Green, обеспечивающую автоматическое сокращение энергопотребления. Если автоматически определяемая длина подключенного кабеля меньше 20 метров, коммутатор уменьшает потребление электроэнергии. Помимо этого, коммутатор определяет статус соединения на каждом порту и обеспечивает автоматическое отключение питания неактивных портов.
Коммутаторы серии DGS-1210 поддерживают технологию D-Link Green, обеспечивающую автоматическое сокращение энергопотребления. Если автоматически определяемая длина подключенного кабеля меньше 20 метров, коммутатор уменьшает потребление электроэнергии. Помимо этого, коммутатор определяет статус соединения на каждом порту и обеспечивает автоматическое отключение питания неактивных портов.
Гибкое управление Использование Web-интерфейса управления коммутатором на основе утилиты SmartConsole так же просто, как и обычный поиск информации в сети Интернет. Утилита поддерживает функции автоматического обнаружения и отображения на экране коммутаторов D-Link серии Web smart, принадлежащих одному и тому же сегменту сети L2. Web-интерфейс обеспечивает доступ к коммутатору из любой точки сети без необходимости ввода IP-адреса или маски подсети, что позволяет выполнить настройку и базовую установку найденных устройств, включая изменение пароля и обновление программного обеспечения. Коммутаторы серии DGS-1210 также поддерживают программу D-View 6.0 и интерфейс командной строки (CLI) через Telnet. D-View 6.0 является системой сетевого управления, которая позволяет управлять наиболее важными параметрами, таких как работоспособность, надежность, гибкость и безопасность. Управлять интерфейсом командной строки (CLI) возможно через Telnet. Это позволяет легко настраивать базовые параметры, пароли, конфигурационные файлы и программное обеспечение.
Кроме того, коммутаторы серии DGS-1210 оснащены медными портами Gigabit Ethernet, обеспечивающим подключение по существующему кабелю категории 5 на основе витой пары. Каждый коммутатор оснащен двумя или четырьмя комбо-портами SFP для гибкого подключения по оптике к магистралям и серверам. С помощью мастера предварительных настроек, администратор может быстро сделать преднастройки на коммутаторе.
В качестве коммутатора офисной сети используется коммутатор D-Link DGS-1224TP/GE (Рисунок 7)
Рисунок 7 — Коммутатор офисной сети D-Link DGS-1224TP/GE
WebSmart коммутатор с 20 портами 10/100/1000Base-T PoE + 4 комбо-портами 10/100/1000BASE-T PoE/SFP и функцией энергосбережения.
Являясь устройствами 2 уровня, эти коммутаторы включают в себя такие функции, как поддержка Jumbo-фреймов, IGMP Snooping, зеркалирование портов, Spanning Tree и агрегирование портов. Управление потоком IEEE 802.3x позволяет напрямую подключить серверы к коммутатору для быстрой и надежной передачи данных. Поддерживая скорость 2000Мбит/с в режиме полного дуплекса, коммутатор обеспечивает высокую скорость передачи данных для подключения рабочих мест с минимальными потерями данных.
Коммутаторы поддерживают тегирование 802.1Q VLAN, осуществляя приоритезацию трафика для улучшения сетевой безопасности и производительности. Также осуществляется поддержка очередей приоритетов 802.1p, позволяющая пользователям работать с чувствительными к задержкам приложениям, включая потоковое мультимедиа и VoIP. Эти функции позволяют обеспечить высокое качество передачи данных в сети.
В сетях Gigabit Ethernet используется 8-проводной кабель кат.5 с разъемом RJ-45. Однако в некоторых старых сетях используются 4-проводные кабели кат.3/5 с разъемом RJ-45. Функция диагностики кабеля помогает определить тип кабеля при переходе от существующих сетей к Gigabit Ethernet, а также уменьшить число обращений в сервисную службу. Другими неисправностями кабеля, которые могут быть диагностированы, являются обрыв цепи (отсутствие связи между контактами на концах Ethernet-кабеля или отключенный кабель) или короткое замыкание.
Коммутаторы поддерживают фильтрацию МАС-адресов для ограничения доступа к сети и аутентификацию 802.1x на основе портов с возможностью использования внешнего RADIUS-сервера для авторизации пользователей. Для увеличения безопасности сети поддерживаются также асимметричные VLAN. Благодаря этой функции можно добавить порты в различные виртуальные сети LAN для обеспечения безопасности и предотвращения утечки данных. Использование асимметричных сетей VLAN обеспечивает также более эффективное совместное использование ресурсов, включая серверы и шлюзы.
Функция D-Link Safeguard Engine обеспечивает идентификацию и приоритезацию пакетов, предназначенных для обработки CPU, чтобы избежать возможности отказов в работе устройства из-за вредоносного трафика.
В качестве дополнительного сетевого оборудования в сети центрального офиса применяется VPN маршрутизатор со встроенным 4-х портовым коммутатором и беспроводной точкой доступа 802.11n Trendnet TEW-659BRV (Рисунок 8)
Рисунок 8 — VPN маршрутизатор со встроенным 4-х портовым коммутатором и беспроводной точкой доступа Trendnet TEW-659BRV
VPN Wi-Fi роутер стандарта 802.11n 300 Мбит/с TEW-659BRV позволяет организовать до 80 VPN-туннелей и создать высокопроизводительную Wi-Fi сеть. Поддерживаются соединения по протоколам IPSec, L2TP, PPTP через VPN. Межсетевой экран с возможностью тонкой настройки прав доступа обеспечивает максимально надежную защиту сети.
Данный роутер обеспечивает скорость передачи данных по Wi-Fi сети до 300 Мбит/с, а поддержка технологии Wi-Fi Protected Setup исключает необходимость настройки подключения вручную для каждого Wi-Fi клиента — достаточно нажать кнопку WPS, и роутер автоматически определит настройки. Наличие четырех LAN-портов Fast Ethernet позволяет расширить локальную сеть. Функции NAT (Network Address Translation) и SPI (Stateful Packet Inspection) обеспечивают дополнительную защиту сети. Из дополнительных особенностей и функций следует отметить поддержку GRE-туннелей, возможность тонкой настройки QoS, фильтрацию пакетов по MAC и IP-адресам, и блокирование доступа к определенным сайтам по заданным URL или ключевым словам.
Обобщённые характеристики оборудования локальных сетей предприятия представлены в таблице 2.
вычислительный сеть офис производство Таблица 2 — Обобщённые характеристики оборудования Ethernet, применяемого в сети предприятия
Модель | Кол-во в сегменте | Где устанавливается | Управляемый | Количество портов 100 Мб/с | Количество портов 1000 Мб/с | Поддерживаемые технологии | |
D-Link DGS-1210−24 | Центральный офис | Да | VLAN, QoS, PoE | ||||
D-Link DGS-1224TP/GE | Производство | Да | VLAN, QoS, PoE, Spanning Tree | ||||
D-Link DGS-1224TP/GE | Центральный офис | Да | VLAN, QoS, PoE, Spanning Tree | ||||
D-Link DGS-1224TP/GE | Серверная группа | Да | VLAN, QoS, PoE, Spanning Tree | ||||
D-Link DGS-1210−24 | Офис продаж | Да | VLAN, QoS, PoE | ||||
Trendnet TEW-659BRV | Центральный офис, офис продаж | Да | WEP, VPN, NAT, WLAN | ||||
2.4 Планирование кабельной инфраструктуры для сетей подразделений
Структурированные кабельные сети (СКС) являются основой телекоммуникационной системы любого современного предприятия, организации или офиса здания или группы зданий с кабелями, розетками, распределителями этажей, зданий и групп зданий. Задача структурированной кабельной системы — удовлетворение потребностей всех потенциальных пользователей системы на весь срок существования здания без переделки или расширения кабельной сети.
Благодаря такому подходу к инфрастуктуре здания, особенно на стадии проектирования структурированной кабельной сети, возможно создание интегрированной системы, полностью прозрачной для пользователей и не зависящей от используемых приложений. Вопрос об архитектуре сети чрезвычайно важен: коммуникационная система должна поддерживать постоянно растущий поток данных. Именно поэтому будущее в мире кабельных сетей строится на постоянно расширяющемся исполнении.
Благодаря открытой архитектуре и гибкости, СКС легко адаптируются к любым изменениям в конфигурации корпоративной сети. Реорганизация структуры предприятия (расширение или перемещение подразделений или отдельных сотрудников, подключение нового оборудования, внедрение новых стандартов передачи данных) не требует прокладки дополнительной или замены существующей проводки, что сводит к минимуму затраты на реконфигурацию кабельной системы. Пример структурированной кабельной системы представлено на рисунке 9.
Рисунок 9 — Пример структурированной кабельной сети Все виды работ осуществляются высококвалифицированными специалистами, имеющими соответствующие сертификаты.
Логически СКС можно разделить на магистральную кабельную подсистему территории или комплекса зданий, магистральную вертикальную подсистему здания, соединяющую его этажи, и горизонтальную подсистему этажа — от распределительного пункта до коммуникационных розеток на рабочих местах.
В нее входят:
соединительные кабели (витая пара, экранированные или оптические);
коммутационные панели (с врезными контактами или модульными гнездами);
разъемы, розетки, адаптеры;
монтажные шкафы и стойки;
кабельные каналы.
2.5 Планирование сетевых технологий применяемых в сетях подразделений
Выбранные коммутаторы поддерживают следующие технологии: Wi-Fi и PoE. Рассмотрим подробней возможности этих технологий:
Wi-Fi (англ. Wireless Fidelity — «беспроводная точность») — торговая марка Wi-Fi Alliance для беспроводных сетей на базе стандарта IEEE 802.11.
Первая спецификация Wi-Fi — 802.11 предусматривала передачу сигнала на выбор тремя различными способами. В двух из них использовались радиочастоты в диапазоне от 2400 МГц до 2483 МГц, в частности, один основывался на методе частотных скачков FHSS (Frequency Hopping Spread Spectrum), а другой — на методе прямой последовательности DSSS (Direct Sequence Spread Spectrum). В третьем же задействовался инфракрасный диапазон, причем между точкой доступа и клиентами не требовалось прямой видимости, так как сигнал должен был передаваться отраженным от потолка.
В спецификации 802.11b от былых трех методов остался всего один — DSSS. А для стандартов 802.11a, 802.11g и 802.11n был избран новый метод — OFDM (Orthogonal Frequency Division Multiplexing), при этом сигнал расщепляется на множество меньших, которые пересылаются одновременно по нескольким частотам. При этом спецификация 802.11a отличается от всех остальных тем, что задействуется другой диапазон частот: 5150−5825 МГц.
Еще одной особенностью Wi-Fi является то, что весь спектр используемых частот условно разделяется на несколько каналов (узких полос частот), частично перекрывающих друг друга. Однако для нормальной работы сети необходимо, чтобы разные каналы не использовали общие частоты, поэтому одновременно в одном месте может работать не более трех каналов в сети 802.11b/g и не более восьми каналов в сети 802.11a.
Для всех Wi-Fi спецификаций 802.11 максимальное расстояние уверенного приема сигнала находится в районе 300−400 метров для открытых помещений, и 90 метров — для закрытых. Данное ограничение не является строгим, и при использовании направленных антенн, в случае прямой видимости, возможно поймать сигнал на расстоянии порядка нескольких километров. Впрочем, не стоит рассчитывать на то, что максимальная скорость передачи данных будет обеспечиваться на любом расстоянии — при отдалении от точки доступа пропускная способность снижается пропорционально расстоянию. Кстати, электромагнитные волны в диапазоне 2.4 ГГц весьма болезненно реагируют на прохождение через различные препятствия, поэтому в сильно заставленных помещениях с большим количеством перегородок зона охвата точек доступа резко снижается. В диапазоне 5 ГГц дела обстоят заметно хуже, поэтому для покрытия того же помещения приходится или увеличивать количество точек доступа, или стараться подбирать им оптимальное размещение, например, ближе к потолку, а также оборудовать качественными антеннами. Еще одним фактором, мешающим работе беспроводной сети Wi-Fi, может оказаться другое оборудование, работающее в том же диапазоне частот. Самым ярким примером служат микроволновые печи, которые излучают электромагнитные волны как раз с частотой порядка 2.4 ГГц — на которой и работает большинство приёмо-передатчиков Wi-Fi сетей (802.11a и 802.11b).
Power over Ethernet (PoE) — технология, позволяющая передавать удалённому устройству вместе с данными электрическую энергию через стандартную витую пару в сети Ethernet. Power over Ethernet стандартизирована по стандарту IEEE 802.3af. Технология использует фантомное питание для передачи электропитания.
Данные в стандартах Ethernet передаются как разность потенциалов между проводниками в одной паре. Подача питающего напряжения осуществляется как разность потенциалов между парами проводников. Передача питания удаленному оборудованию по сетевому кабелю не подразумевает полное изменение существующей инфраструктуры. Технология PoE позволяет расширять существующие сети (модернизировать существующие), передавая энергию питания по сетевому кабелю только на участке между Ethernet коммутатором/концентратором и оконечным устройством. Естественно, оба этих устройства на концах линии должны поддерживать технологию PoE — к стандартным разъемам RJ-45 должны быть подключены встроенные преобразователи энергии для передачи и, соответственно, приема энергии питания.
Технология PoE не оказывает влияния на качество передачи данных.
Для реализации PoE были использованы свойства физического уровня Ethernet, а именно — наличие высокочастотных трансформаторов на обоих концах линии, используемых стандартно для уменьшения интерференции синфазного сигнала. Постоянное напряжение питания подается на центральные отводы вторичных обмоток этих трансформаторов, и так же с центральных отводов снимается на приемной стороне.
Использование центральных отводов сигнальных трансформатров позволяет избежать насыщения их ферритовых сердечников и успешно, без взаимного влияния, передавать по одной паре проводов и высокочастотные данные и постоянное напряжение питания.
3. Построение магистральных каналов взаимодействия между сегментами сети
3.1 Разработка структуры магистральных каналов предприятия
Построение магистральных линий связи определяется возможностями сетевых технологий и расстояниями между подразделениями сети. Магистраль между центральным офисом и производством можно реализовать при помощи технологий Ethernet с использованием оптоволоконных технологий. Для построения магистрали используются стандартные преобразования среды передачи данных производства D-Link. Магистральная линия связи «Центральный офис-Производство» подключена к центральному коммутатору производства. Схема магистрали приведена на рисунке 10.
Рисунок 10 — Структура магистрали «Центральный офис-Производство»
Для магистрали «Центральный офисОфис продаж» канал связи предоставляется региональным провайдером Интернет. Наиболее распространённый тип широкополосного доступа в настоящее время ADSL технология стандартов 1,2.
Для обеспечения безопасного межсетевого взаимодействия по общественной сети широко применяется технология VPN.
Сегодня технология VPN (Virtual Private Network — виртуальная частная сеть) завоевала всеобщее признание и любой администратор считает своим долгом организовать VPN-каналы для сотрудников, работающих вне офиса.
Виртуальная частная сеть, VPN (Virtual Private Network) — это технология, при которой происходит обмен информацией с удаленной локальной сетью по виртуальному каналу через сеть общего пользования с имитацией частного подключения «точка-точка». Под сетью общего пользования можно подразумевать как Интернет, так и другую интрасеть.
VPN представляет собой объединение отдельных машин или локальных сетей в виртуальной сети, которая обеспечивает целостность и безопасность передаваемых данных. Она обладает свойствами выделенной частной сети и позволяет передавать данные между двумя компьютерами через промежуточную сеть.
VPN отличается рядом экономических преимуществ по сравнению с другими методами удаленного доступа. Во-первых, пользователи могут обращаться к корпоративной сети, не устанавливая с ней коммутируемое соединение, таким образом, отпадает надобность в использовании модемов. Во-вторых, можно обойтись без выделенных линий. Пример VPN для двух офисных сетей представлен на рисунке 11.
Рисунок 11 — VPN для двух офисных сетей Имея доступ в Интернет, любой пользователь может без проблем подключиться к сети офиса своей фирмы. Следует заметить, что общедоступность данных совсем не означает их незащищенность. Система безопасности VPN — это броня, которая защищает всю корпоративную информацию от несанкционированного доступа. Прежде всего, информация передается в зашифрованном виде. Прочитать полученные данные может лишь обладатель ключа к шифру. Наиболее часто используемым алгоритмом кодирования является Triple DES, который обеспечивает тройное шифрование (168 разрядов) с использованием трех разных ключей.
3.2 Выбор оборудования для магистрали центральный офис-производство
Основу магистрали составляет медиаконвертер DMC-560SC, представленный на рисунке 12.
Рисунок 12 — Медиаконвертер DMC-560SC
Данный медиаконвертер преобразует сигнал из стандарта 100BASE-TX Fast Ethernet на витой паре в сигнал стандарта 100BASE-FX Fast Ethernet по одномодовому оптическому кабелю. Максимальная длина оптического кабеля: 60 км. Поддерживают 1 порт RJ-45 для витой пары и 1 порт для оптического кабеля.
3.3 Выбор оборудования для магистрали центральный офис — офис продаж
Центральный шлюз сети реализуется при помощи прокси-сервера UserGate 5.4
Прокси-сервер UserGate 5.4 — программа для подключения локальных пользователей к сети Интернет через один внешний IP-адрес. Прокси-cервер ведет точный учет трафика (NAT), имеет встроенный межсетевой экран (firewall), Port mapping, систему Интернет-статистики и Антивирус Касперского.
Встроенный firewall предотвращает несанкционированный доступ к данным сервера и локальной сети, запрещая соединения по определенным портам.
Функциональность брандмауэра контролирует доступ к необходимым портам, например, для публикации веб-сервера компании в сети Интернет. UserGate обеспечивает полный контроль трафика сети: — позволяет централизованно управлять Интернет-подключениями с помощью гибкой системы правил (правила можно задавать по протоколам, дням, размерам и расширениям файлов, сотрудникам, средствам и т. д.);
— ведет точный учет трафика с помощью драйвера NAT (Network Address Translation);
— позволяет вести учет средств, выделяемых на Интернет;
— предоставляет встроенное средство сетевой защиты — Антивирус Касперского;
— осуществляет кэширование сетевых ресурсов, что в значительной степени сокращает Ваши затраты на Интернет;
— имеет биллинговую систему и систему Интернет-статистики;
— включает различные методы авторизации пользователей;
— оснащен фильтрами URL, позволяющими запретить доступ к нежелательным ресурсам и настроить «баннерорезку»;
осуществляет назначение портов для переадресации трафика с одного порта на другой;
делает возможной публикацию ресурсов (доступ к внутренним ресурсам);
— реализует автодозвон до провайдера;
— предоставляет возможность удаленного администрирования. Прокси-сервер UserGate обладает интуитивно понятным интерфейсом.
Прост и удобен в настройке и использовании, что делает работу с ним доступной не только системному администратору, но и простому пользователю.
Продукт поддерживает все известные TCP/UDP протоколы: FTP, РОРЗ, SMTP, IMAP4, Telnet, IRC, NNTP и ICQ.
В качестве VPN шлюзов и каналообразующей аппаратуры выбран маршрутизатор Trendnet TEW-659BRV.
Подробное описание данного маршрутизатора приведено в разделе 2.
3.4 Выбор оборудования для магистрали «Центральный офис — Производство»
В качестве каналообразующей аппаратуры выбраны модемы D-Link DCM-202/RU/C — кабельный модем DOCSIS/EuroDOCSIS 2.0 с 1 портом 10/100BASE-TX Fast Ethernet и интерфейсом USB 1.1. Выбранный модем представлен на рисунке 13.
Рисунок 13 — Модем D-Link DCM-202/RU/C
Благодаря поддержке ПО увеличения полосы пропускания TurboDoxTM модем DCM-202 увеличивает скорость загрузки в 20 раз, позволяя без ограничений воспользоваться популярными приложениями Интернет, такими как совместный доступ к файлам, просмотр и прослушивание потокового аудио и видео, Интернет-ТВ и просмотр Web-страниц.
Кабельный модем DCM-202 DOCSIS/EuroDOCSIS 2.0 увеличивает эффективность широкополосного соединения, предотвращая перегрузки сети, что значительно повышает скорость соединения. С помощью DCM-202 пользователь извлекает максимальную выгоду из вложенных в широкополосное соединение средств, благодаря увеличению скорости загрузки и повышению производительности.
DCM-202 сертифицирован CableLabs по стандарту DOCSIS 2.0, что гарантирует его совместимость со всеми кабельными провайдерами, поддерживающими DOCSIS. DCM-202 является обратно совместимым со стандартами DOCSIS 1.1/1.0.
DCM-202 предлагает на выбор подключение к компьютеру через Ethernet или USB. Установка модема не требует усилий, устройство совместимо с Windows XP/Vista/7, Mac OSX, Unix и другими популярными операционными системами (подключение через USB поддерживают только Windows XP, Vista и 7).
Интерфейсы устройства: Совместимость с DOCSIS/EuroDOCSIS 2.0; Совместимость с DOCSIS/EuroDOCSIS 1.1; Совместимость с DOCSIS/EuroDOCSIS 1.0; IEEE 802.3/802.3u 10/100BASE-TX Ethernet + USB 1.1 тип B. Интерфейсы: Ethernet-порт 10/100BASE-TX (Автоматическое определение MDI/MDIX); USB-порт; + Коаксиальный разъем CATV, тип «мама». Поддерживаемые протоколы: ICMP/SNMP V1, V2c, V3, MIB: MIB II/MCNS MIB.
3.5 Разработка механизмов безопасного взаимодействия частной сети и Интернет
Сервер маршрутизации и удаленного доступа (RRAS) может быть настроен в соответствии с 5 возможными вариантами настройки:
— удаленный доступ (модем);
— удаленный доступ (VPN);
— преобразование сетевых адресов (NAT);
— виртуальная частная сеть (VPN) и преобразование сетевых адресов (NAT);
— безопасное соединение между двумя частными сетями.
При выборе первого варианта RRAS настроен для разрешения подключения клиентов удаленного доступа к частной сети с помощью вызова банка модема или другого оборудования удаленного доступа.
При выборе второго варианта RRAS настроен для разрешения подключения клиентов удаленного доступа к частной сети через Интернет.
При выборе третьего варианта RRAS настроен для совместного использования с компьютерами частной сети подключения к Интернету и для передачи трафика между общим адресом и частной сетью. Компьютеры в Интернете не в состоянии определять IP-адреса компьютеров в частной сети.
Для четвертого варианта RRAS настроен для предоставления частной сети преобразования сетевых адресов (NAT) и для принятия соединений по VPN.
Компьютеры в Интернете не в состоянии определять IP-адреса компьютеров в частной сети. Однако клиенты VPN в состоянии подключаться к компьютерам частной сети, как если бы они были физически присоединены к этой сети.
Для пятого варианта два RRAS настроены для безопасной передачи частных данных через Интернет. Такой вариант необходимо настраивать на каждом сервере маршрутизации и удаленного доступа. Подключение между двумя серверами может быть постоянным (включено постоянно), либо по требованию (вызов по требованию).
4. Разработка схемы вычислительной сети предприятия
4.1 Перечень оборудования сети предприятия
Таблица 3 — Перечень оборудования сети предприятия
Модель | Количество | Где устанавливается | Поддерживаемые технологии | |
DGS-1210−24 | Центральный офис, офис продаж | VLAN, QoS, PoE | ||
DGS-1224TP/GE | Центральный офис, производство | VLAN, QoS, PoE, Spanning Tree | ||
Trendnet TEW-659BRV | Центральный офис, офис продаж | WEP, VPN, NAT, WLAN | ||
DMC-560SC | Центральный офис, производство | Ethernet 100BASE-FX | ||
4.2 Структурная схема сети предприятия
Структурная схема сети предприятия представлена на рисунке 14.
Рисунок 14 — Структурная схема сети предприятия
Заключение
Разработанная корпоративная сеть полностью соответствует поставленной задаче. Уровень безопасности отвечает современным стандартам информационной безопасности. Сеть имеет возможность расширения за счет использования беспроводный технологий стандарта 802.11 и использования дополнительного сетевого оборудования на случай увеличения количества рабочих станция и серверов предприятия. Сеть имеет высокую надежность и производительность за счет использования современных технологий, таких как VPN, PoE, QoS, Wi-Fi.
Список использованных источников
1. Олифер В. Г., Олифер Н. А. Компьютерные сети. Принципы, технологии, протоколы: Учебник для вузов. 3е изд. — СПб.: Питер, 2006.
2. Рэнд Моримото, Майкл Ноэл, Омар Драуби, Росс Мистри, Крис Амарис. Microsoft Windows Server 2008. Полное руководство. — Вильямс, 2008.