1. Реферат РПЗ 68 с., 26 рис., 14 табл., 4 источников, 3 прил. СЕТЬ, ПРОТОКОЛ, ИНТЕРФЕЙС, ТОПОЛОГИЯ, АРХИТЕКТУРА, ДАННЫЕ, КОММУТАТОР, МАРШРУТИЗАТОР, МОДУЛЬ, СТАНЦИЯ, СЕРВЕР, КАБЕЛЬ. Объектом разработки является архитектура сети географически распределенного предприятия. Цель работы – законченный проект сети географически распределенного предприятия. В процессе работы осуществляется анализ требований к проектируемой сети, выбор мест расположения оборудования, выбор моделей оборудования, получение первичного результата топологии сети, его оценка и оптимизация. Результат работы – сеть географически распределенного предприятия, технические параметры которой соответствуют техническому заданию и особенностям проекта. 2. Оглавление 1. Реферат ..................................................................................................................................... 1 2. Оглавление............................................................................................................................... 2 3. Перечень основных терминов и сокращений....................................................................... 4 4. Введение .................................................................................................................................. 7 5. Структура компании CorpGDV ................................................................................................ 8 6. Исходные данные .................................................................................................................... 9 6.1. Используемые IP адреса ................................................................................................. 9 6.2. Здание А (основной офис) .............................................................................................. 9 6.3. Здание B (производство)................................................................................................. 9 6.4. Здание C (разработка) ..................................................................................................... 9 6.5. Общекорпоративные службы.......................................................................................10 6.6. Внешние сотрудники .....................................................................................................10 6.7. Всего ...............................................................................................................................10 7. Распределение IP адресов ....................................................................................................11 8. Проектирование структуры сети ..........................................................................................12 8.1. 8.1.1. В рабочих комнатах ...................................................................................................12 8.1.2. В КМ центре этажа.....................................................................................................13 8.1.3. Сравнение вариантов ................................................................................................14 8.2. 9. Расположение оборудования на КМ центрах этажей................................................12 Взаимное подключение устройств уровня доступа и уровня распределения ........15 8.2.1. Вариант 1 ....................................................................................................................15 8.2.2. Вариант 2 ....................................................................................................................15 8.2.3. Вариант 3 ....................................................................................................................16 8.2.4. Вариант 4 ....................................................................................................................16 8.2.5. Вариант 5 ....................................................................................................................17 8.2.6. Вариант 6 ....................................................................................................................17 8.2.7. Выбор варианта .........................................................................................................18 Выбор оборудования ............................................................................................................18 9.1. Выбор оборудования уровня доступа .........................................................................18 9.2. Выбор оборудования для беспроводной сети (WLAN) ..............................................24 9.2.1. Отдельные контролеры беспроводного доступа: ..................................................24 9.2.2. R с возможностью подключения модуля контроля WLAN ...................................25 9.2.3. Модули для высокопроизводительных SW и R: .....................................................25 9.2.4. Встроенный контроллер для Catalyst 3750G-24WS ................................................26 9.2.5. Характеристики устройства WS-C3750G-24WS........................................................28 9.3. Выбор оборудования для уровней распределения ...................................................31 9.4. Выбор граничного устройства сети (маршрутизатора). .............................................36 9.4.1. Удаленные пользователи и здание C ......................................................................36 9.4.2. Главный офис .............................................................................................................38 9.5. 10. Выбор брандмауэра ......................................................................................................41 Конфигурация оборудования Cisco Systems .......................................................................44 10.1. Базовые команды ОС Cisco IOS.....................................................................................44 10.2. Настройка EtherChannel ................................................................................................47 10.3. VPN/L2TP .........................................................................................................................51 10.3.1. Обзор PPTP и L2TP ....................................................................................................51 10.3.2. Преимущества протокола L2TP/lPSec в сравнении с РРТР ...................................53 10.3.3. Преимущества протокола РРТР по сравнению с протоколом L2TP/IPSec...........54 10.3.4. Настройка L2TP сервера в Cisco ..............................................................................55 10.3.5. Настройка L2TP клиента в Cisco ..............................................................................57 11. Разработка логической структуры сети ...............................................................................60 11.1. Размещение серверов DNS. ..........................................................................................60 11.2. Размещение серверов DHCP.........................................................................................62 11.3. Active Directory Domain Controllers – DNS-зонирование ............................................65 12. Заключение ............................................................................................................................67 13. Список литературы ................................................................................................................68 3. Перечень основных терминов и сокращений ЛВС или LAN – локальная вычислительная сеть, WAN – Wide Area Network WLAN, Wireless LAN – беспроводная ЛВС РС (ПК) или PC – рабочая станция (персональный компьютер) ТЗ – техническое задание КМ или SW – коммутатор (SW L3 – коммутатор третьего уровня) МШ или R – маршрутизатор UTP, Unshielded Twisted Pair или Нв/п – неэкранированная витая пара в/п (twisted/pair) – витая пара ( далее, если не указано подразумевается UTP 5 ) о/в (fiber/optic) – оптоволокно ИБ – Информационная безопасность, НСД - Несанкционированный доступ ЭЦП – электронно-цифровая подпись с помощью закрытого ключа автора данных Гб/с - Гигабит в секунду ( = 109 230 бит в секунду ) ГБ/с – Гигабайт в секунду ( = 23 230 бит в секунду ). GPL, Global Price List – Глобальный список цен ( на устройства вендора Cisco ) SFP, Small Form-factor Pluggable – разъем приёмопередатчика (в основном гигабитного). Используется для подключения к плате сетевого устройства (коммутатора, маршрутизатора или подобного устройства) приемопередатчика, который в свою очередь соединен с о/в или Нв/п и т.д., выступающим в роли среды передачи данных. Пришёл на смену более громоздкому модулю GBIC. Имеет габарит разъёма, сопоставимый по размеру с разъёмом RJ45. [1] PoE, Power over Ethernet – стандартизирована по стандарту IEEE 802.3af. Согласно стандарту IEEE 802.3af обеспечивается постоянное напряжение 48 вольт через две пары проводников в четырехпарном кабеле, с максимальным током 350 мА для обеспечения максимальной мощности 16,8 ватт. [1] ARP, Address Resolution Protocol – протокол разрешения адресов. [1]. Т.е. получение по IP – адресу узла его же MAC – адрес (иногда и наоборот ). STP, Spanning Tree Protocol – Основной задачей STP является приведение сети Ethernet с множественными связями к древовидной топологии, исключающей циклы пакетов. Происходит это путём автоматического блокирования ненужных в данный момент для полной связности портов. Протокол описан в стандарте IEEE 802.1D. [1] Rapid Spanning Tree Protocol (RSTP) – характеризуется значительными усовершенствованиями STP, среди которых необходимо отметить уменьшение времени сходимости и более высокую устойчивость. [1] Per-VLAN Spanning Tree (PVSTP) – расширяет функционал STP для использования VLAN. В рамках данного протокола в каждом VLAN работает отдельный экземпляр STP. Multiple Spanning Tree Protocol (MSTP) – Multiple STP (MSTP) является наиболее современной реализацией STP, учитывающей все достоинства и недостатки предыдущих решений. В отличие от PVSTP, в котором число экземпляров связующего дерева (spanning tree) равно числу виртуальных сетей, MSTP предполагает конфигурирование необходимого количества экземпляров вне зависимости от числа виртуальных сетей (VLAN) на коммутаторе. В один экземпляр MST могут входить несколько виртуальных сетей. [1] Virtual LAN (VLAN) – группа узлов сети, трафик которых, в том числе широковещательный, на канальном уровне полностью изолирован от других узлов сети. Т.о. передача кадров между разными VLAN не возможна на канальном уровне. Стандарт VLAN – 802.1Q (encapsulation dot1q), который предусматривает дополнительное 2Б – поле в кадре для приоритета (802.1p) и для указания номера VLAN, при передаче кадров через Trunk-порт КМ к другим КМ или МШ. Cisco использует ещё ISP – тегирование (encapsulation isp). IGMP snooping – процесс отслеживания сетевого трафика IGMP, который позволяет сетевым устройствам канального уровня (свитчам) отслеживать IGMP обмен между потребителями и поставщиками (маршрутизаторами) многоадресного (multicast) IP трафика, формально происходящий на более высоком (сетевом) уровне. Эта функциональность доступна во многих управляемых коммутаторах для сети Ethernet (по крайней мере, среднего и верхнего ценовых уровней), но всегда требует отдельного включения и настройки. После включения IGMP snooping, коммутатор начинает анализировать все IGMP пакеты между подключенными к нему компьютерами-потребителями и маршрутизаторами- поставщиками multicast трафика. Обнаружив IGMP запрос потребителя на подключение к multicast группе, коммутатор включает порт, к которому тот подключен, в список ее членов (для ретрансляции группового трафика). И наоборот — услышав запрос ‘IGMP Leave’ (покинуть), удаляет соответствующий порт из списка группы. [1] ARP inspection – технология проверки соответствия IP-адреса указанному MAC-адресу на возможно заданном порте КМ или МШ. DHCP snooping – технология, позволяющая при выделении DHCP-сервером некоторого IPадреса клиенту контролировать доступ к сети узлами с определенными IP/MAC-адресами. Этот протокол проверяет: физическое расположение клиента, что клиент пользуется только тем IP-адресом, который он получил от DHCP-сервера что доступны только авторизованные DHCP-серверы. VPN – Virtual Private Network или Виртуальная Частная Сеть PAP – Password Authentication Protocol – часть протокола PPP CHAP – Challenge Handshake Authentication Protocol – часть протокола PPP L2F – Layer 2 Forwarding (только тунелирование) фирмы Cisco Systems. PPTP – Point-to-Point Tunneling Protocol фирм Microsoft и 3COM L2TP – Layer 2 Tunneling Protocol (только тунелирование) стандарт IETF (см.далее). IETF – International Engineering Task Force IPsec – протокол VPN сете AH – Authentication Header – протокол аутентификации с зашитой от воспроизведения с помощью ременных меток (номер последовательности), входящий в IPsec. ESP, Encapsulation Security Protocol – протокол аутентификации и обеспечения целостности (ХЭШ + секретный ключ) и подписания сообщения (Private Key), зашиты от повторных передач (с помощью временной метки time stamp или нумерации пакетов) и шифрования с помощью любого стандартизированного и лицензированного алгоритма шифрования. Является часть протокола IPsec. IKE – Internet Key Exchange – протокол обмена ключами (и инициализации защищенного канала). Используется в IPsec. TLS – Transport Layer Security – VPN протокол на транспортном уровне для IP SSL – Security Socket Layer – зашита данных на представительском уровне (NetScape) 4. Введение Для корпоративных предприятий с распределенными офисами и отделами в условиях современных требований к быстрому документообороту, взаимодействию сотрудников компании, важной составляющей любой компании стала информационная сеть, объединяющая различные устройства сбора, хранения и обработки информации. Например, различные устройства наблюдения, контроля периметра, допуска персонала, рабочие станции служащих компании, сервера хранения данных и служебных сервисов, центры обработки данных и другие. Проектирование сети географически распределенного предприятия, объединяющей все эти устройства, и, соответствующей всем требованиям предприятия по стоимости, быстродействию, надежности, информационной безопасности, является сложной задачей, т.к. многие параметры и свойства сети являются взаимно конфликтующими (стоимость и быстродействие, быстродействие и ИБ, стоимость и надежность). Таким образом, при проектировании сети предприятия могут быть получены различные варианты архитектуры ЛВС, каждый из которых не обязательно удовлетворяет все требованиям ТЗ, но при комбинировании некоторых решений каждого варианта можно добиться соответствия спроектированной сети с ТЗ и с особенностями проекта. Т.е. проектирование топологии сети является итерационным процессом выбора эффективных решений из множества вариантов реализации сети. Далее, если не указано, все изделия относятся к производителю (вендору) – фирме Cisco Systems, в виду покрытия изделиями этой фирмы всех существующих требований и технологий, хотя стоимость этих изделий значительно превышает аналоги других фирм, надежность и качество устройств, выпускаемых этой фирмой, превосходят любые аналоги. Вся информация о сетевых устройствах фирмы Cisco, их параметрах взята из источника 2 (сайт компании Cisco). 5. Структура компании CorpGDV Компания CorpGDV, имеет один главный офис, производственный филиал и исследовательский центр. В настоящее время в каждом офисе имеются небольшие ЛВС, которые будут объединены в единую корпоративную сеть. В качестве рабочих станций используются компьютеры с установленными ОС WinXP Prof, W2000 Prof, MS Vista. В ближайшие 12-18 месяцев планируется переход части клиентов отдела маркетинга и руководства корпорацией на новые ОС семейства MS Win7. Руководство компании решило принять в качестве базовой сетевой операционной системы MS Windows Server 2008 и готово использовать избыточное сетевое оборудование там, где Вы обоснованно его спланируете. Несколько групп сотрудников работают в Европе в своих домашних офисах SOHO, подключающихся к главному офису по каналам VPN. Максимальное число компьютеров в SOHO не более 5. Кроме того, имеется небольшой штат сотрудников корпорации, которые соединяются с главным офисом по Internet. Рисунок 1. Схема расположения корпорации CorpGDV. В качестве исходных данных примите достаточность полосы пропускания каналов передачи данных для обеспечения сетевого трафика с удовлетворительным клиентским откликом. Однако вы должны таким образом спроектировать местоположение серверов, чтобы минимизировать служебный трафик сети. Базовой технологией сети является Ethernet по стандарту 100/1000BASE-T и FDDI. Каждое подразделение корпорации имеет свой конфиденциальный сервер приложений, доступ к которому могут иметь только сотрудники соответствующего подразделения. Для внешних IP_интернет адресов используется следующий диапазон адресов (Public_IP) 131.107.8.0/24 Для диапазона внутренних адресов (Private_IP) используйте зарезервированный ICANN диапазон адресов 10.8.0.0/16 6. Исходные данные 6.1. Используемые IP адреса Для внешних IP адресов будем использовать адреса 131.107.8.0/24, а для внутренних адресов используем 10.8.0.0/16. Также определим параметры K и L: K=3, L = 2. 6.2. Здание А (основной офис) Рассмотрим распределение сотрудников по этажам в здании А (здесь же находятся сотрудники общекорпоративных служб, см ниже): Этаж 3 (Project 1): число рабочих комнат = 3, число рабочих станций в комнате = 23, всего 69 Этаж 4 (Project 2): число рабочих комнат = 10, число рабочих станций в комнате = 9, всего 90 Этаж 5 (Project 3): число рабочих комнат = 11, число рабочих станций в комнате = 6, всего 66. Всего 225 рабочих станций. 6.3. Здание B (производство) Рассмотрим распределение сотрудников по этажам в здании B: Подразделение М1: число рабочих комнат = 25, число рабочих станций в комнате = 8, всего 200 Подразделение М2: число рабочих комнат = 16, число рабочих станций в комнате = 24, всего 384 Подразделение П: число рабочих комнат = 8, число рабочих станций в комнате = 45, всего 360. Всего 944 рабочих станций. 6.4. Здание C (разработка) Рассмотрим распределение сотрудников по этажам в здании С: Этаж 1: число рабочих комнат = 8, число рабочих станций в комнате = 13, всего 104, Этаж 2: число рабочих комнат = 11, число рабочих станций в комнате = 12, всего 132. Всего 236 рабочих станций. 6.5. Общекорпоративные службы Рассмотрим распределение сотрудников общекорпоративных служб (находятся в здании А): Этаж 1: HR: число рабочих комнат = 4, число рабочих станций в комнате = 6, всего 24, Этаж 2: Accounting: число рабочих комнат = 3, число рабочих станций в комнате = 7, всего 21 Business: число рабочих комнат = 2, число рабочих станций в комнате = 4, всего 8. Всего 53 рабочих станций. 6.6. Внешние сотрудники Рассмотрим сотрудников, подключающихся извне: SOHO: число групп сотрудников = 6, число рабочих станцией в группе = 5, всего 30. Внешние сотрудники: число рабочих станций = 20. Всего 50 рабочих станций. 6.7. Всего Всего в сети планируется разместить 1508 рабочих станций. 7. Распределение IP адресов Всего предполагается использовать подсеть, имеющую чуть более 65 тысяч адресов. Т.к. этого более чем достаточно, можно оставить в каждом подразделении резерв для расширения инфраструктуры. Подразделение Подсеть Центральные ресурсы сети + резерв 10.8.0.0/20 (4080 адресов) Здание А 10.8.16.0/20 (4080 адресов) Сетевая инфраструктура 10.8.16.0/23 (512 адресов) Этаж 3 10.8.18.0/23 (512 адресов) Этаж 4 10.8.20.0/23 (512 адресов) Этаж 5 10.8.22.0/23 (512 адресов) Здание B 10.8.32.0/19 (8160 адресов) Сетевая инфраструктура 10.8.32.0/23 (512 адресов) Подразделение M1 10.8.34.0/23 (512 адресов) Подразделение M2 10.8.36.0/22 (1024 адресов) Подразделение П 10.8.40.0/22 (1024 адресов) Здание С 10.8.64.0/20 (4080 адресов) Сетевая инфраструктура 10.8.64.0/23 (512 адресов) Этаж 1 10.8.66.0/23 (512 адресов) Этаж 2 10.8.68.0/23 (512 адресов) Общекорпоративные службы 10.8.80.0/20 (4080 адресов) Сетевая инфраструктура 10.8.80.0/23 (512 адресов) HR 10.8.82.0/23 (512 адресов) Accounting 10.8.84.0/23 (512 адресов) Business 10.8.86.0/23 (512 адресов) Внешние сотрудники 10.8.96.0/20 (4080 адресов) Сетевая инфраструктура 10.8.96.0/23 (512 адресов) SOHO 10.8.98.0/23 (512 адресов) Удаленные сотрудники 10.8.100.0/23 (512 адресов) 8. Проектирование структуры сети В соответствии с рассчитанным в разделе 6 распределением рабочих станций по этажам и комнатам определяем количество портов/интерфейсов на каждом этаже с учетом резерва в 20%. Резервирование делаем в виду того, что затраты на прокладку кабеля сопоставимы с ценой прокладываемых кабелей. Поэтому вторичная прокладка кабеля для небольшого числа пользователей (портов/интерфейсов) обойдется незначительно дешевле первичной, при этом нужно не забывать о непригодности рабочих площадей на время осуществления вторичной прокладки (недоиспользование ресурсов). 8.1. Расположение оборудования на КМ центрах этажей 8.1.1. В рабочих комнатах Оборудование уровня доступа находится непосредственно в помещении рабочей группы (комната). Далее всё оборудование уровня доступа подключается к коммутационному центру этажа, а от него уже - к коммутационному центру здания - см. Рисунок 2. Рисунок 2. Вариант горизонтальной структурированной кабельной системы. Достоинства: Минимальные длины кабелей, т.е. от конечных пользователей до коммутатора, находящегося в этой же комнате (соседней). Недостатки: Необходимость физической защиты каждого устройства уровня доступа (от возможности подключения случайного лица к порту управления, даже от просмотра количества мигающих лампочек). Т.е. необходимо специальное изолированное помещение (контейнер), закрытое на ключ. Затраты на дополнительное центральное устройство (КМ центр этажа) в горизонтальной СКС, к которому подключаются отдельные устройства уровня доступа. 8.1.2. В КМ центре этажа Все оборудование уровня доступа находится в отдельном помещении (если этаж имеет значительные площади, то потребуется несколько таких помещений), равноудаленном от самых дальних конечных пользователей. От этого оборудования до конечных пользователей протягиваются отдельные кабели до каждого пользователя. Далее каждое устройство уровня доступа подключается по отдельной линии к коммутационному центру здания – см. Рисунок 3. Рисунок 3. Вариант горизонтальной структурированной кабельной системы Достоинства: Нет затрат на дополнительное центральное устройство (КМ центр этажа) в горизонтальной СКС. Необходимость физической защиты только одного помещения (если размеры этажа малы, например, 100м на 100м) – коммутационного узла этажа. Недостатки: Большие длины и количество кабелей, т.е. от каждого конечного пользователя до КМ центра этажа и от каждого устройства в нем до КМ центра здания. 8.1.3. Сравнение вариантов В соответствии с рассчитанным в разделе 6 распределением рабочих станций по этажам, количество портов/интерфейсов на каждом этаже с учетом резерва в 20% не превышает 461. Т.к. на одно рабочее место требуется как минимум 4м2 , то минимальная площадь этажа 461 ∙ 4м2 = 1844м2 ≪ 100м ∙ 100м = 10000м2 , поэтому считаем, что площадь этажа позволяет применить вариант 2. Это позволяет не использовать дополнительное оборудование для соединения устройств уровня доступа, потребуется физическая защита только одного служебного помещения – КМ центра этажа (пока рассматривается только горизонтальная СКС). При выбранном варианте КМ центр здания будет соответствовать уровню распределения и будет связан с КМ центрами этажа (уровень доступа) по вертикальной СКС. КМ центр здания расположим на первом этаже вместе с КМ центром первого этажа в геометрическом центре первого этажа – ввиду того, что на самом низком из доступных этажей во всех зданиях находиться меньше всего пользователей. Кроме того при дальнейшем развитии расположение КМ центра здания первом этаже может облегчить монтаж большого или тяжелого оборудования, которое не всегда возможно поднять на высокие этажи, из-за особенностей здания. При этом длина необходимых кабелей для подключения к КМ центру здания самого удаленного КМ центра этажа – КМ центра 5 этажа = высоту этажа (около 3м) * 5 этажей + технологический запас (10м + 10м = 20м) = около 15 м + 20м = 35м < 100м, следовательно, достаточно применения обычной в/п. 8.2. Взаимное подключение устройств уровня доступа и уровня распределения Соединение SW уровня распределения – для растягивания VLAN’ов. Т.е. порты, соединяющие SW уровня распределения, настраиваются как trunk-порты, т.е. через них могут “ходить” разные VLAN с помощью тегирования кадров по 802.1Q/p или ISL (Cisco Systems). Кругом вокруг линий связи обозначено агрегирование линий – Link Aggregation по 802.3ad или по EtherChannel (Cisco Systems). 8.2.1. Вариант 1 Типовой простой вариант. Есть петли – нужен STP или технология Flex Links фирмы Cisco Systems с временем сходимости 100мс. Сходимость STP от 300мс до 2с (есть механизмы ускорения STP: UDLD, loopGuard, root Guard, backbone Fast, uplink Fast, не говоря о более современных версиях STP). При использовании простого STP (802.1D) или RSTP (802.1w) один из SW L3 будет выбран за корневой (это желательно, можно настроить, либо у него минимальный ID(2Байта)_MAC), а низходяшие связи от другого SW L3 будут заблокированы. При использовании PerVLANSTP (Cisco Systems) или MSTP (802.1s) дерево строиться отдельно для каждого VLAN или для каждой группы VLAN. При этом одни линии будут активными для одного VLAN или группы VLAN, и они же могут быть резервными (заблокированными) для другого VLAN или группы VLAN, и наоборот. Недостаток – плохая балансировка трафика. Например, обычная линия связи – активная для VLAN 20, 40, 60, а пунктирная линия связи – для VLAN 10, 30, 50. Неизвестно какие будут загрузки у этих двух групп VLAN, но в любом случае балансировка не возможна. Рисунок 4. Вариант 1 подключения устройств уровней доступа и распределения. 8.2.2. Вариант 2 Экономия восходящих к уровню распределения связей. Есть петли – нужен STP. Рисунок 5. Вариант 2 подключения устройств уровней доступа и распределения. 8.2.3. Вариант 3 Нет петель – STP не нужен. Вариант не предоставляет резервирования устройств уровня распределения. Сервер может периодически ping’овать оба SW L2 для переключения на резервную связь при отказе основной. Рисунок 6. Вариант 3 подключения устройств уровней доступа и распределения. 8.2.4. Вариант 4 Нет петель – STP не нужен. Но нет L2 связи между разными VLAN – только через верхний уровень ядра протягиваются. Рисунок 7. Вариант 4 подключения устройств уровней доступа и распределения. 8.2.5. Вариант 5 Нет петель – STP не нужен. Virtual Switching System (VSS) называется у Cisco Systems. Реально два Catalyst 6500 + sup720-10GE используют один IP для управления обоими устройствами. Быстрое восстановление (fail over). Не нужен FHRP, т.к. логически – одно устройство. Рисунок 8. Вариант 5 подключения устройств уровней доступа и распределения. 8.2.6. Вариант 6 Полная маршрутизация. Желательно использование протокола FHRP. Быстрая сходимость. Недостатки: невозможно растянуть VLAN (вообще нет смысла применять VLAN), адресное пространство существующих сетей плохо структурировано, дорого (L3), сервисы DHCP (Dynamic Host Configuration Protocol) необходимо выносить на уровень доступа. Рисунок 9. Вариант 6 подключения устройств уровней доступа и распределения. 8.2.7. Выбор варианта Выберем первый вариант ввиду указанных его преимуществ (вместе с использованием технологии Link Aggregation Control Protocol, LACP или Port Aggregation Protocol, PagP Cisco Systems). Последние три варианта требуют соответственно стекируемых КМ уровня доступа, применения на уровне распределения КМ серии Cisco Catalyst 6500 или подобных устройств других производителей (такие устройства можно ставить на уровне ядра и даже как граничные устройства локальной сети), использования SW L3 на уровне доступа, что неоправданно дорого. В итоге оптимальным оказывается вариант 1. 9. Выбор оборудования 9.1. Выбор оборудования уровня доступа Для всей сети предприятия потребуется около 40 КМ (см. раздел 6), из которых 4 будут использоваться для подключения и поддержки точек доступа беспроводной сети. Итого 50 - 4 = 46 КМ будут выбранной модели, поэтому выбор очень важен. К КМ уровня доступа предъявляются следующие требования: Наличие нужного количества портов необходимых технологий LAN (Ethernet = IEEE 802.3 10BASE-T, 802.3u 100BASE-T/TX, 802.3ab 1000BASE-T, 802.3z 1000BASE-X) для подключения пользователей и для соединения с оборудованием верхнего уровня ( уровня распределения ). Производительность (Forwarding Rate в Mpps-Millions packets per second для 64Бпакетов и/или Switching capacity в Gbps-Gigabit per second) Поддержка протоколов резервирования связей STP, RSTP, MSTP, PVRST (для резервирования связей – IEEE 802.1d и 802.1w, 802.1s, Cisco Systems). Поддержка Quality of Service, QoS по IEEE 802.1p – Class of Service, CoS и , желательно, L3 QoS для маркирования Differential Service Control Point, DSCP и/или обслуживания трафика по приоритетам. Port security на основе MAC – адреса, аутентификации по стандарту IEEE 802.1x и/или с использованием серверов TACACS+ and RADIUS. - IGMP(v1,v2,v3)-snooping, DHCP-snooping и Arp-inspection. Поддержку PoE по IEEE 802.3af – опционально. Агрегирование каналов по стандарту 802.3ad или EtherChannel компании Cisco Systems. Поддержка VLAN и trunk-портов по IEEE 802.1q/p или по Cisco Systems ISL. Протокол VLAN Trunking Protocol, VTP (server, transparent only). Протокол удаленного управления – Simple Network Management Protocol (v1, v2, v3). Local ARP для минимизации широковещательного трафика. Фильтрация трафика на L2. Экономически обосновано закупать одинаковые 48-портовые КМ, т.к. при этом удельная цена порта становиться меньше, а унификация оборудования облегчает настройку – одна конфигурация на все КМ. Среди оборудования фирмы Cisco Systems для уровня доступа (КМ центра этажа) предлагаются устройства: 1. Catalyst Express 500 2. Catalyst 2960 3. Catalyst 3560 4. Catalyst 3560-E 5. Catalyst 3750 6. Catalyst 3750-E. Первая из представленных серия не обладает 48-ми портовыми устройствами и предназначена для малых офисов (до 250 сотрудников – [2]), поэтому данная серия не рассматривается. Вторая из представленных серия предоставляет широкий выбор устройств различной производительности, набора портов, и поддерживает все указанные требования для SW уровня доступа. В таблице 2.1 представлены сравнительные характеристики 48-ми портовых устройств этой серии. Model Port Density and Type 2960-48PST-L 48 Ethernet 10/100 PoE ports and 2 Forwarding Rate 13.3 mpps Price, US $ - Gigabit Ethernet uplinks and 2 SFP uplinks 2960-48TT-L 48 Ethernet 10/100 ports and 2 10.1 mpps 2495 10/100/1000 uplinks 2960-48TC-L 48 Ethernet 10/100 ports and 2 dual- 10.1 mpps 4495 purpose Gigabit Ethernet uplinks 2960G-48TC-L 44 Ethernet 10/100/1000 ports and 4 39.0 mpps 5995 dual-purpose Gigabit Ethernet uplinks Таблица 1. Сравнительные характеристики 48-ми портовых SW Catalyst 2960 Общие для этой серии характеристики: Switching fabric 16 Gbps - Catalyst 2960-48PST-L, Catalyst 2960-48TT-L, Catalyst 2960-48TC-L. 32 Gbps - Catalyst 2960G-48TC-L 64 MB DRAM 32 MB flash memory Configurable up to 8000 MAC addresses Configurable up to 255 IGMP groups Следующие серии (Catalyst 3560, Catalyst 3560-E, Catalyst 3750, Catalyst 3750-E) слишком дороги для установки их на уровне доступа. Цена 48-портового КМ этой серии – от 4995 US $ до 13 490 US $. Т.к. КМ центры этажей расположены в геометрическом центре этажей и соединены с КМ центром здания, расположенном в геометрическом центре второго этажа, то длина uplink-кабелей от КМ уровня доступа до уровня распределения < 100м (см. пункт 8.1.3), применяем Ethernet 1000BASE-TX. Выберем в качестве КМ уровня доступа устройство – Cisco Catalyst 2960-48TT-L, его вид представлен на Рисунок 10, основные характеристики представлены в Таблица 2. Рисунок 10. Вид Catalyst 2960-48TT. Стоимость: -S = 1179.67 US $, -L = 1639.71 US $ (http://www.ritm-it.ru/). -S = 1795 US $ , -L = 2495 US $(GPL) Description Performance Specification 16 Gbps switching fabric Catalyst 2960-48TT-L Forwarding rate based on 64-byte packets: 10.1 Mpps 64 MB DRAM 32 MB flash memory Configurable up to 8000 MAC addresses Configurable maximum transmission unit (MTU) of up to 9000 bytes, with a maximum Ethernet frame size of 9018 bytes (Jumbo frames). Connectors 100BASE-TX ports: RJ-45 connectors, 2-pair Category 5 UTP and Cabling 1000BASE-T ports: RJ-45 connectors, 4-pair Category 5 UTP 1000BASE-T SFP-based ports: RJ-45 connectors, 4-pair Category 5 UTP 1000BASE-SX, -LX/LH, -ZX, -BX and CWDM SFP-based ports: LC fiber connectors (single/multimode fiber) 100BASE-LX, -BX, -FX: LC fiber connectors (single/multimode fiber). Integrated Cisco IOS Per-port broadcast, multicast, and unicast storm control prevents Software Features for faulty end stations from degrading overall systems performance. Bandwidth IEEE 802.1d Spanning Tree Protocol Optimization PVST+ allows for Layer 2 load sharing on redundant links IEEE 802.1s Multiple Spanning Tree Protocol Local Proxy Address Resolution Protocol (ARP) VLAN Trunking Protocol (VTP) pruning limits bandwidth consumption on VTP trunks by flooding broadcast traffic only on trunk links required to reach the destination devices. Internet Group Management Protocol (IGMP) version 3 snooping provides fast client joins and leaves of multicast streams and limits bandwidth-intensive video traffic to only the requestors. IGMP filtering provides multicast authentication by filtering out no subscribers and limits the number of concurrent multicast streams available per port. Advanced QoS Standard 802.1p CoS and DSCP field classification (L2, L3, L4) Cisco control-plane and data-plane QoS ACLs on all ports Four egress queues per port, Weighted tail drop (WTD) There is no performance penalty for highly granular QoS functions. Networkwide Security IEEE 802.1x allows dynamic, port-based security, providing user Features authentication. Web authentication for non-802.1x clients allows non-802.1x clients to use an SSL-based browser for authentication. Port-based ACLs for Layer 2 interfaces allow application of security policies on individual switch ports. Unicast MAC filtering SSHv2 and SNMPv3 provide network security by encrypting administrator traffic during Telnet and SNMP sessions. TACACS+ and RADIUS authentication enable centralized control of the switch and restrict unauthorized users from altering the configuration. DHCP snooping allows administrators to ensure consistent mapping of IP to MAC addresses. DHCP Interface Tracker (Option 82) feature augments a host IP address request with the switch port ID. Port security secures the access to an access or trunk port based on MAC address. After a specific timeframe, the aging feature removes the MAC address from the switch to allow another device to connect to the same port. Spanning-Tree Root Guard (STRG) Таблица 2. Основные характеристики Catalyst 2960-48TT При этом цена активного оборудования уровня доступа для всей сети корпорации, не считая устройств для подключения точек доступа беспроводной сети (см.ниже), составит : 40 ∗ 2495 𝑈𝑆 $ (𝐺𝑃𝐿) = 99 800 𝑈𝑆$. Возможно существенное удешевление суммарной стоимости активного оборудования уровня доступа всей корпорации, если использовать на уровне доступа аналогичное по характеристикам оборудование других фирм-производителей (вендеров). Так, например, КМ DES3052/E фирмы производителя D-Link стоит 734 US$ [3]. Приведем очень кратко его функциональные возможности – Таблица 3 (источник – [4]): DES-3052/E ( 48-Port 10/100Mbps + 2 1000BASE-T + 2 Combo 1000BASE-T/SFP L2 Management Switch ) = 734,00 US $ 4K of 802.1Q VLAN Support, QoS support, Traffic Segmentation, GVRP QoS 802.1p, 4 queues, WRR / Strict mode (VLAN ID, TOS, DSCP, TCP/UDP port, Data) 256 ACL Support, IP-MAC-Port Binding, Port Security, IGMP snooping, Port mirroring 802.1D (STP), 802.1w (RSTP), 802.1s MSTP, STP Loopback Detection, 802.3ad Link Aggregation, BPDU filtering 802.1x Port-based Access Control, 802.1x MAC-based Access Control, 802.1x Guest VLAN, RADIUS/TACACS+ Authentication Single IP Management, Web-configuration, CLI, Telnet, TFTP, SNMP v3, DHCP autoconfig. Таблица 3. Краткие характеристики и стоимость КМ DES-3052/E фирмы D-Link Коммутационная фабрика: 17.6 Гбит/с Скорость передачи 64-байтных пакетов: 13.1 Mpps Таблица МАС-адресов: 8К SDRAM для CPU: 64Мб Размер буфера пакетов: 4 Мб Flash-память: 8Мб Jumbo-фреймы (2048 байт для tagged, 2044 байт для untagged) Т.е. данный КМ полностью удовлетворяет требованиям к КМ уровня доступа, представленным выше, а стоимость его в 3.39 раза меньше стоимости используемого WS-C296048TT-L (GPL). При этом цена активного оборудования уровня доступа для всей сети корпорации, не считая устройств для подключения точек доступа беспроводной сети (см.ниже), составит : 40 ∗ 734 𝑈𝑆 $ = 29 360 𝑈𝑆 $. 9.2. Выбор оборудования для беспроводной сети (WLAN) Рассмотрим, предлагаемое Cisco оборудование 9.2.1. Отдельные контролеры беспроводного доступа: 9.2.1.1. Cisco 2100 Series Рисунок 11. Внешний вид Cisco 2100 Series. The Cisco Wireless LAN Controllers work in conjunction with Cisco Aironet access points and the Cisco Wireless Control System (WCS) to provide systemwide wireless LAN functions. The Cisco 2100 Series Wireless LAN Controllers supports six, twelve or twenty-five access points, making it a cost-effective solution for enterprise branches and small and medium-sized businesses. The Cisco 2100 Series Wireless LAN Controllers come with eight Ethernet ports, two of which can provide power directly to Cisco lightweight access points. Performance up to 100 Mbps. Wireless Standards IEEE 802.11a, 802.11b, 802.11g, 802.11d, 802.11h, 802.11n. Security Standards: Wi-Fi Protected Access IEEE 802.11i (WPA2, RSN), RFC 1321 MD5 Message-Digest Algorithm, RFC 2104 HMAC: Keyed Hashing for Message Authentication, RFC 2246 TLS Protocol V1.0, RFC 3280 X.509 PKI Certificate and CRL Profile. Authentication, Authorization, and Accounting (AAA): IEEE 802.1x, RFC 2716 PPP EAP-TLS, RFC 2865 RADIUS Authentication, RFC 2866 RADIUS Accounting, RFC 2867 RADIUS Tunnel Accounting, RFC 2869 RADIUS Extensions, Web-based authentication. - Cisco 4400 Series 9.2.1.2. Cisco 5500 Series Основные преимущества Cisco 5500 Series: - Supports 12, 25, 50,100 or 250 access points. - Wireless Standards: IEEE 802.11a, 802.11b, 802.11g, 802.11d, WMM/802.11e, 802.11h, 802.11n - Security Standards: IEEE 802.11i (WPA2, RSN), MD5, RFC 1851 The ESP Triple DES Transform, HMAC, TLS Prot V1.0, RFC 2403 HMAC-MD5-96 within ESP and AH (IPsec), RFC 2404 HMACSHA-1-96 within ESP and AH, RFC 2405 ESP DES-CBC Cipher Algorithm with Explicit IV, RFC 2406 IPsec, RFC 2408 ISAKMP, RFC 2409 IKE, RFC 2451 ESP CBC-Mode Cipher Algorithms, X.509 PKI, RFC 3602 The AES-CBC Cipher Algorithm and Its Use with IPsec, RFC 3686 Using AES Counter Mode with IPsec ESP, RFC 4347 Datagram Transport Layer Security, RFC 4346 TLS Protocol Version 1.1. Основной недостаток этих устройств – их специфичность из чего следует сложность их настройки. 9.2.2. R с возможностью подключения модуля контроля WLAN Рисунок 12. Внешний вид Cisco wireless LAN (WLAN) controller module. Поддерживаемые носители модуля: Cisco 2800, Cisco 2900, Cisco 3800, Cisco 3900 Series Integrated Services Routers и Cisco 3700 Series (2600, 2800 не поддерживаются). With performance up to 100 Mbps, the Cisco Wireless LAN Controller Modules enable small and medium-sized branch offices to deploy collaboration applications such as guest access and mobile voice. The Cisco Wireless LAN Controller Modules manage up to twenty-five Cisco Aironet access points. Organizations can offer robust coverage with 802.11 a/b/g or deliver unprecedented reliability using 802.11n, Cisco Next-Generation Wireless Solutions. Этот вариант – для малых и средних офисов плох ещё тем, что используются отдельные устройства L3, которые нужно конфигурировать, назначать IP-адреса. 9.2.3. Модули для высокопроизводительных SW и R: The Cisco® Catalyst 6500 Series/Cisco 7600 Series Wireless Services Module (WiSM) provides unparalleled security, mobility, redundancy, and ease of use for business-critical wireless LANs (WLANs). It delivers the most secure wireless system available by offering centralized security policies, wireless intrusion prevention system (IPS) capabilities, award-winning RF management, quality of service (QoS), and Layer 3 fast secure roaming for WLANs. As a key component of the Cisco Unified Wireless Network for the enterprise, and Cisco ServiceMesh for service providers, the Cisco WiSM provides the control, security, redundancy, and reliability that network managers and operators need to scale and manage their wireless networks easily. Рисунок 13. Cisco Wireless Services Module The Cisco WiSM communicates using the emerging Lightweight Access Point Protocol (LWAPP) standard to establish secure connectivity between access points and modules across Layer 3 networks. This protocol enables the automation of important WLAN configuration and management functions for cost-effective operations. Этот вариант очень дорог, так как предполагает использование модульных устройств серий SW Catalyst 6500 или R Cisco 7600. Особенно дорого использовать Catalyst 6500. 9.2.4. Встроенный контроллер для Catalyst 3750G-24WS Рисунок 14. Внешний вид контроллера Catalyst 3750G-24WS. The Cisco Catalyst 3750G Integrated Wireless LAN Controller adds wireless LAN controller functions to the stackable, highly resilient Cisco Catalyst 3750G Series Switches. It delivers centralized security policies, wireless intrusion prevention system (IPS) capabilities, award-winning RF management, QoS, and Layer 3 fast secure roaming for WLANs. It provides the control, security, redundancy, and reliability that network managers need to scale and manage their wireless networks as easily as they scale and manage their traditional wired networks. As a member of the Cisco Wireless LAN Controller family, the Cisco Catalyst 3750G Integrated Wireless LAN Controller works in conjunction with Cisco Aironet lightweight access points, the Cisco Wireless Control System (WCS), and the Cisco Wireless Location Appliance to support mission-critical wireless data, voice, and video applications. It provides real-time communication between lightweight access points and other wireless LAN controllers to deliver a secure and unified wireless solution. The Cisco Catalyst WS-C3750G-24WS-S25 (S50), with 24 10/100/1000 PoE ports, 2 SFP module slots, and an integrated Cisco wireless LAN controller supporting up to 25(50) Cisco Access Points. Вариант хорош простотой, наличием 24 портов, каждый из которых поддерживает PoE по IEEE 802.3af, т.е. можно напрямую подключить 24 точки доступа (далее AP) по Ethernet 1000BASET. При этом каждая AP может поддерживать до 20 активно работающих пользователей, при использовании ими адаптеров с поддержкой 802.11g (20 * 54Mbps = 1080Mbps > 1000Mbps). Также важно, что устройства серии Catalyst 3500G – стекируемые и используют технологию StackWise, пример внешнего вида стека, в котором одно из устройств - WS-C3750G-24WS, смотри на Рисунок 15. Рисунок 15. Внешний вид стека из КМ серии Catalyst 3500G с одним -24WS устройством Ниже представлена схема применения этого варианта: Рисунок 16. Схема применения устройств WS-C3750G-24WS в WLAN В итоге, выберем данный вариант для подключения и управления WLAN. 9.2.5. Характеристики устройства WS-C3750G-24WS Основные характеристики устройства WS-C3750G-24WS представлены в Таблица 4. Cisco Catalyst 3750G-24WS-24 Ethernet 10/100/1000 ports with IEEE 802.3af, Cisco prestandard PoE and two SFP uplinks and an integrated wireless LAN controller. Стоимость: -𝑆25 = 13 472 𝑈𝑆 $, −𝑆50 = 16 758.60 𝑈𝑆 $ (http://www.ritm-it.ru/). Performance 32-Gbps switching fabric Stack-forwarding rate of 38.7 mpps for 64-byte packets Forwarding rate: 38.7 mpps Cisco Catalyst 3750G-24WS 128 MB DRAM and 32 MB Flash memory Cisco Catalyst 3750G-24WS Configurable up to 12,000 MAC addresses Configurable up to 11,000 unicast routes Configurable up to 1000 IGMP groups and multicast routes Configurable maximum transmission unit (MTU) of up to 9000 bytes, with a maximum Ethernet frame size of 9018 bytes (jumbo frames) for bridging on Gigabit Ethernet ports, and up to 1546 bytes for bridging and routing on Fast Ethernet ports Wireless Wired/Switching Security Standards Encryption AAA IEEE 802.11a, 802.11b, 802.11g, 802.11d, 802.11h, 802.11n IEEE 802.3u 100BASE-TX specification, IEEE 802.1Q VLAN tagging, and IEEE 802.1D Spanning Tree Protocol WPA IEEE 802.11i (WPA2, RSN) RFC 2406 IPSec RFC 2661 L2TP RFC 3280 Internet X.509 PKI Certificate and CRL Profile RFC 3602 The AES-CBC Cipher Algorithm and its use with IPSec Look at Security Standards Cisco 2100 Series, Cisco 5500 Series WEP and TKIP-MIC: RC4 40, 104, and 128 bits (static and shared keys) Secure Sockets Layer (SSL) and TLS: RC4 128-bit and RSA 1024- and 2048bit AES: CCM, CCMP IEEE 802.1X RFC 2716 PPP EAP-TLS RFC 2865 RADIUS Authentication RFC 2866 RADIUS Accounting RFC 2867 RADIUS Tunnel Accounting RFC 2869 RADIUS Extensions RFC 3748 Extensible Authentication Protocol Web-based authentication Cisco StackWise stacking creates a 32-Gbps switch interconnection. Stacking does not require user ports. Up to 9 units can be stacked together for a maximum of 468 10/100 ports, 468 10/100/1000 ports, 108 optical aggregation ports, nine 10 Gigabit Ethernet ports, or any mix Scalable Stacking thereof. Additional port combinations can be created by stacking together the Cisco Catalyst 3750 Series Switches and the Cisco Catalyst 3750-E Series Switches. Up to 48 EtherChannel groups are supported per stack. 4 egress queues per port help enable differentiated management of up to 4 traffic types across the stack. Advanced QoS Shaped Round Robin (SRR) scheduling helps ensure differential prioritization of packet flows by intelligently servicing the ingress queues and egress queues. Integrated Cisco IOS Software Features for Bandwidth Optimization Look at Catalyst 2960 PVST+ allows for Layer 2 load sharing on redundant links to efficiently use the extra capacity inherent in a redundant design. IEEE 802.1s Multiple Spanning Tree Protocol allows a spanning-tree instance per VLAN, for Layer 2 load sharing on redundant links. Equal-cost routing facilitates Layer 3 load balancing and redundancy across the stack. Look at Catalyst 2960 IEEE 802.1x allows dynamic, port-based security, providing user authentication. Cisco standard and extended IP security router ACLs define security policies on routed interfaces for control-plane and data-plane traffic. Networkwide Security Features Secure Shell (SSH) Protocol, Kerberos, and Simple Network Management Protocol Version 3 (SNMPv3). Dynamic ARP Inspection helps ensure user integrity by preventing malicious users from exploiting the insecure nature of the ARP protocol. DHCP Snooping prevents malicious users from spoofing a DHCP server and sending out bogus addresses. This feature is used by other primary security features to prevent a number of other attacks such as ARP poisoning. TACACS+ and RADIUS authentication facilitate centralized control of the switch and restrict unauthorized users from altering the configuration. DHCP Snooping - consistent mapping of IP to MAC addresses. IGMP filtering provides multicast authentication by filtering out nonsubscribers and limits the number of concurrent multicast streams available per port. 1000 access control entries (ACEs) are supported. Look at Catalyst 2960 Таблица 4. Основные харакеристики устройства WS-C3750G-24WS. Точки доступа будут модели Aironet 1140 Series (точка доступа-AP типа Indoor с поддержкой технологии Cisco M-Drive, есть ещё типы – WirelessMech и Challenging RF environments - см. [2]), её внешний вид представлен на Рисунок 17. Стоимость 1300 US $. Рисунок 17. Внешний вид Aironet 1140 Series AP. 9.3. Выбор оборудования для уровней распределения В основном для КМ уровня распределения предъявляются следующие требования: Наличие нужного количества портов нужных технологий LAN для подключения пользователей и для соединения с оборудованием верхнего уровня ( уровня ядра ) Высокая производительность (Forwarding Rate в Mpps-Millions packets per second для 64Б-пакетов и/или Switching capacity в Gbps-Gigabit per second) Характеристики надежности, например коэффициент готовности, близкий к 1, например 0.995, и другие характеристики надежности. kГ t0 , где t0 t В t0 e t t В e t , где интенсивность _ отказов интенсивность _ восстановления Поддержка протоколов резервирования First Hop Redundancy Protocol (FHRP): HSRP VRRP, GLBP – на основе виртуальных MAC (см. в Перечень обозначений и сокращений). Поддержка и обеспечение(тегирование) приоритетов QoS( 802.1Q/p, ToS (DSCP) ), нескольких очередей для приоритетного трафика и алгоритмов, связанных с обработкой этих очередей (например, Weighted Fair Quering, WFQ). Протоколов обеспечения сквозного качества обслуживания (Resource ReSerVation Protocol, RSVP; MultiProtocol Label Switching, MPLS ) работают на граничных МШ. В качестве оборудования уровня распределения (КМ центра здания) можно выбрать следующие модели КМ: 1. Cisco Catalyst 3560-E 2. Cisco Catalyst 3750-E 3. Cisco Catalyst 4500/4500-E 4. Cisco Catalyst 6500/6500-E Т.к. каждый КМ уровня доступа (КМ центра этажа) будет подключаться к КМ уровня распределения (КМ центра здания) по отдельным двум (резервирование) линиям, то в Главном офисе (Здание А) в КМ центра здания будут идти 9 ∙ 2 = 18 𝐺𝐸 (1000BASE-T) линий от КМ уровня доступа, 2 ∙ 2 = 4 𝐺𝐸 (1000BASE-T SFP-based) линии от КМ обеспечения точек доступа беспроводной сети и 4 ∙ 10 𝐺𝐸 (10GBASE-CX4) линии от КМ серверной фермы. Таким образом, суммарный нисходящий возможный поток даже без учета дуплексного режима может составлять 22 𝐺𝑏𝑝𝑠 + 40 𝐺𝑏𝑝𝑠 = 62 𝐺𝑏𝑝𝑠, а с учетом восходящих связей и дуплескного режима (одновременной передаче в двух направлениях по одной (условно) линии) может составлять 128 Gbps (условно). Такое количество разнородных портов (интерфейсов) могут обеспечить только высокопроизводительные многоуровневые модульные коммутаторы серий Catalyst 4500/4500E и Catalyst 6500/6500E. В здании Б суммарный максимальный поток без учета дуплекса составит соответственно 92 𝐺𝑏𝑝𝑠, а с учетом дуплексного режима до 190 𝐺𝑏𝑝𝑠. Количество коммутаторов уровня доступа в здании C совпадает с колиечством в здании A, значит логично использовать такое же оборудование как и в здании A. Производительность Catalyst 4500 серии ограничивается вариантом – Catalyst WS-C4510R + Supervisor 6-E, и составляет 136 Gbps, 102 Mpps, чего может не хватить при расширении предприятия. Производительность Catalyst 4500E серии ограничивается вариантом – Catalyst WSC4510R-E + Supervisor 6-E, и составляет 320 Gbps, 250 Mpps, чего более, чем достаточно даже с учетом возможного роста компании как для здания А, так и для здания Б. Таким образом серия Catalyst 4500E полностью удовлетворяет запросам по производительности даже с учетом роста компании, поэтому остановимся на ней (затраты на устройства серии Catalyst 6500/6500E будут неоправданные). Сравнительные характеристики производительности устройств серии Catalyst 4500E в зависимости от типа шасси и модели супервизора (supervisor) см. в Таблица 5. Superviso Feature r II-PlusTS Catalyst WS- Supervis or II-Plus Supervisor II-Plus10GE Supervis Supervis Supervisor Supervisor or IV or V V-10GE 6-E 64 Gbps 28 Gbps 72 Gbps 28 Gbps 28 Gbps 72 Gbps 136 Gbps 48 mpps 21 mpps 54 mpps 21 mpps 21 mpps 54 mpps 116 mpps 64 Gbps 108 Gbps 64 Gbps 64 Gbps 108 Gbps 280 Gbps 48 mpps 81 mpps 48 mpps 48 mpps 81 mpps 225 mpps 64 Gbps 108 Gbps 64 Gbps 68 Gbps 108 Gbps 280 Gbps 48 mpps 81 mpps 48 mpps 51 mpps 81 mpps 225 mpps C4503-E Chassis Catalyst WSC4506-E - Chassis Catalyst WSC4507R-E Chassis - Catalyst WS- - C4510R-E - - 96 Gbps 136 Gbps 320 Gbps 72 mpps 102 mpps 250 mpps - Таблица 5. Сравнительные характеристики производительности устройств Catalyst 4500E. Остановимся на варианте КМ центра здания = 2 * ( Catalyst WS-C4506-E Chassis + Supervisor 6-E), хотя реально хватило бы и Supervisor V-10GE, но зато при необходимости увеличить производительность КМ узла здания потребуется купить только два новых шасси Catalyst WSC4510R-E, что увеличит производительность до 320𝐺𝑏𝑝𝑠. 250 mpps (интерфейсные карты – Line Cards, Supervisor, блоки питания и вентиляторы можно будет оставить). Серия Catalyst 4500-E обеспечивает производительность 24𝐺𝑏𝑝𝑠 на каждый слот (интерфейсную карту) при использовании Supervisor 6-E. На Рисунок 18 представлен внешний вид Catalyst WS-C4506-E Chassis + Supervisor 6-E с 4 48портовыми RJ-45 (10/100/1000BASE-T) интерфейсными картами и одной картой WS-X4606-X2-E с 6 10GBASE-X портами. Рисунок 18. Внешний вид Catalyst WS-C4506-E Chassis + Supervisor 6-E Стоимость: Catalyst WS-C4506-E Chassis (WS-C4506-E) - 4995 US $ (GPL) Supervisor 6-E, 2x10GE(X2) (WS-X45-SUP6-E) - 19995 US $ Осталось выбрать интерфейсные карты Как описано выше в Главном офисе к КМ центру здания подключены 46 1000BASE-T, 4 10GE (10GBASE-CX4) и 4 восходяшие связи (100BASE-TX – можно использовать обычные 10/100/1000BASE-T порты). Т.к. это указано с учетом резервирования оборудования, то эти цифры делятся на два и полученные значения переходят в требования к составу интерфейсных карт (Line Cards). Т.к. два порта 10GE (X2) имеются на супервизоре, то дополнительной интерфейсной карты для 10GE не потребуется. Для ( 46 + 4 ) / 2 = 25 1000BASE-T можно использовать одну из следующих интерфейсных карт (Таблица 2.7): WS-X4548-GB-RJ45 Catalyst 4500 Enhanced 48 WS-X4548-RJ45V+ Catalyst 4500 Classic 48 WS-X4548-GB-RJ45V Catalyst 4500 PoE 802.3af 10/100/1000, 48 WS-X4648-RJ45V-E Catalyst 4500 E-Series 48-Port PoE 10/100/1000(RJ45) WS-X4648-RJ45V+E Catalyst 4500 E-Series 48-Port Premium PoE 10/100/1000 (RJ45) Таблица 6. Интерфейсные карты для 1000BASE-T (RJ-45) Ещё подходит WS-X4448-GB-RJ45 Cisco Catalyst 4500 48-Port 10/100/1000 Module (RJ-45). WS-X4648-RJ45V+E Catalyst 4500 E-Series 48-Port Premium PoE 10/100/1000 11995 WS-X4648-RJ45V-E Catalyst 4500 E-Series 48-Port PoE 802.3af 10/100/1000(RJ45) 9495 WS-X4548-GB-RJ45 Catalyst 4500 Enhanced 48-Port 10/100/1000 Base-T (RJ-45) 5495 WS-X4548-GB-RJ45V Catalyst 4500 PoE 802.3af 10/100/1000, 48-Ports (RJ45) 7495 Таблица 7. Интерфейсные карты для 1000BASE-T (RJ-45) Выберем WS-X4548-GB-RJ45 Cisco Catalyst 4500 Enhanced 48-Port 10/100/1000 Module (RJ-45) за 5495 US $ (GPL) и 3611 US $ (http://www.ritm-it.ru/), внешний вид которой представлен на Рисунок 19. Рисунок 19. Внешний вид WS-X4548-GB-RJ45 WS-X4548-GB-RJ45: • 48 ports• 10/100/1000 module (RJ-45) Cisco IOS Software Release 12.1(19)EW or later • IEEE 802.3x flow control Bandwidth is allocated across six 8-port groups, providing 1 Gbps per port group More power efficient and more cost effective than the WS-X4448-GB-RJ45 Enterprise and commercial: designed for gigabit to the desktop Дополнительно необходимо закупить: оперативная память MEM-C4K-FLD128M Cat 4500 IOS-based Supervisor, Compact Flash, 128MB 700$ MEM-C4K-FLD64M Cat 4500 IOS-based Supervisor, Compact Flash, 64MB 400$ PWR-C45-1000AC Catalyst 4500 1000W AC Power Supply (Data Only) Spare 995$ два блока питания PWR-C45-1300ACV Catalyst 4500 1300W AC Power Supply (Data and PoE) 1495$ PWR-C45-1400AC Catalyst 4500 1400W AC Power Supply (Data Only)(Spare) 1495$ PWR-C45-2800ACV Catalyst 4500 2800W AC Power Supply (Data and PoE) 1995$ PWR-C45-4200ACV Catalyst 4500 4200W AC dual input Power Supply (Data + PoE) 3995$ На сайте - http://www.ritm-it.ru/ в среднем на 34% дешевле. 9.4. Выбор граничного устройства сети (маршрутизатора). 9.4.1. Удаленные пользователи и здание C Для удаленных пользователей SOHO и Отдела исследователей (Здания С), подключенных к Internet (и главному офису) через ADSL подойдет простейшая из Branch-класса серия 800 Series Integrated Services Routers, а именно, модели Cisco 827H ADSL Router и Cisco 827-4V ADSL Router, либо Cisco 857 (4-port 10/100 Mbps switch) и Cisco 857W (4-port 10/100 Mbps switch) с поддержкой 802.11b/g. Выберем модель Cisco 857. Cisco 850 Series integrated services routers are fixed-configuration routers that support broadband cable and Asymmetric DSL (ADSL) over analog telephone lines connections in small offices. They provide the performance needed to run concurrent services, including firewall and encryption for VPNs. Внешний вид представлен на Рисунок 20, основные характеристики – в Таблице 2.8. Рисунок 20. Внешний вид маршрутизатора Cisco 857. Стоимость по GPL CISCO857-K9 ADSL SOHO Security Router 449 US $ Таблица 8. Основные характеристики Cisco 857. Feature Description • Routing Information Protocol (RIPv1 and RIPv2) • Layer 2 Tunneling Protocol (L2TP) Routing Protocols General Router Features and • Network Address Translation (NAT) and Port Address Translation (PAT) • PPP over Ethernet (PPPoE) • Dynamic Host Control Protocol (DHCP) server/relay/client • Access control lists (ACLs) • Dynamic DNS Support for Cisco IOS Recommended Number of Users 10 Stateful Inspection Firewall Hardware-accelerated Triple Data Encryption Standard (3DES) for IPSec Hardware-accelerated Advanced Encryption Standard (AES) for IPSec Security Features IPSec 3DES termination/initiation IPSec pass-through 5 VPN Tunnels Point-to-Point Tunneling Protocol (PPTP) pass-through L2TP pass-through Advanced Application Inspection and Control Security Features E-mail Inspection Engine HTTP Inspection Engine System Logging-EAL4 Certification Enhancements Weighted Fair Queuing (WFQ) Quality of Service Features (QoS) Policy-based routing (PBR) Per-VC queuing Per-VC traffic shaping Default DRAM 64 MB Default Flash Memory 20 MB WAN ADSL over analog telephone lines LAN Switch 4-port 10/100BASE-T switch DSL Specifications ST-Micro DynaMiTe (formerly Alcatel Micro Electronics) ADSL Chipset (20190) T1.413 ANSI ADSL DMT issue 2 G.992.1 ITU G.DMT support G.992.3 ITU G.hs ADSL type negotiation G.992.3 (ADSL 2)/G.992.5(ADSL2+) DSL Forum TR-067 The chipset does not provide interoperability with carrierless amplitude modulation/phase modulation (CAP)-based ADSL lines. 9.4.2. Главный офис Для Главного офиса среди маршрутизаторов WAN-класса: ASR 1000 Series Aggregation Services Routers 7200 Series Routers Catalyst 6500 Series Switches Выберем 7200 Series Routers как лучшую серию по соотношению цена/качество, а также ввиду гибкости выбранной серии (дополнительные модули, в том числе для поддержки криптографических методов – VPN Service Adapter). Cisco 7200 Series Security bundles include: Cisco 7206VXR Router Cisco Network Processing Engine (depending on the bundle, either a NPE-G1 or NPE-G2) Cisco IOS® Software Advanced Security feature set (the feature set can vary, depending on the bundle) Security service adapter AC power supply Processor memory (SDRAM) and flash memory (PCMCIA flash or compact flash) В модель Cisco 7201 встроен Cisco 7200VXR NPE-G2 Network Processing Engine с производительностью 2 Mpps, что соответствует как минимум 2 Mpps * 64Bytes per packet = 1024 Mbps (пакет может быть и большего размера), что слишком избыточно для проектируемой сети, поэтому эта модель не рассматривается далее. Модели Cisco 7204 и 7206 отличаются только количеством слотов, а т.к. нам нужно всего два-три интерфейса (T1, ADSL и, желательно, простое подключение к Internet), то достаточно ресурсов модели Cisco 7204. Таким образом, выбираем модель МШ - Cisco 7204, внешний вид которого, вместе с NPE-225, представлен на Рисунок 21. Рисунок 21. Модель МШ Cisco 7204 Series и NPE-225. Стоимость: CISCO7204VXR 7204VXR, 4-slot chassis, 1 AC Supply, Spare (w/o IP SW) 4000$ NPE-225 4500$ 7200VXR NPE-225 (128MB default memory),SPARE Для поддержки интерфейса T1 можно использовать один из перечисленных ниже адаптеров (Port Adapter): PA-A3-8T1IMA 8-port ATM Inverse Mux T1 Port Adapter, Spare 8000 US $ PA-MC-2T1 2 port multichannel T1 port adapter with integrated CSU/DSUs 4500 US $ PA-MC-4T1 4 port multichannel T1 port adapter with integrated CSU/DSUs 7250 US $ PA-MC-8TE1 8 port multichannel T1/E1 8PRI port adapter 11600 US $ PA-MCX-2TE1 2 port MIX-enabled multichannel T1/E1 with CSU/DSU 5500 US $ PA-MCX-4TE1 4 port MIX-enabled multichannel T1/E1 with CSU/DSU 7250 US $ PA-MCX-8TE1 8 port MIX-enabled multichannel T1/E1 with CSU/DSU 11600 US $ PA-MCX-8TE1-M T1/E1 SS7 link PA for ITP 25000 US $ PA-VXA-1TE1-24 1 Port T1/E1 Digital Voice Port Adapter with 24 Channels 7500 US $ PA-VXA-1TE1-30 1 Port T1/E1 Digital Voice Port Adapter with 30 Channels 8500 US $ PA-VXB-2TE1 2 port T1/E1 moderate capacity enhanced voice PA 11500 US $ PA-VXC-2TE1 2 port TE1 hi-capacity enhanced voice PA 19500 US $ Нам требуется одна линия на одно устройство, поэтому достаточно - Port Adapter PA-MC-2T1 2 port multichannel T1 port adapter with integrated CSU/DSUs 4500 US $ Для простого подключения к Internet-провайдеру, в зависимости от расстояния до провайдера и ограничиваясь скоростью подключения в 100Mbps (155,52Mbps) и подключением через о/в, можно воспользоваться одним из ниже перечисленных адаптеров: PA-2FE-FX 2-Port Fast Ethernet 100Base FX Port Adapter 5000 US $ PA-A6-OC3MM 1 Port Enh ATM OC3c/STM1 Multimode Port Adapter 8000 US $ PA-A6-OC3SMI 1 Port Enh ATM OC3c/STM1 Singlemode(IR)Port Adapter 10000 PA-A6-OC3SML 1 Port Enh ATM OC3c/STM1 Singlemode(LR)Port Adapter 12000 US $ PA-MC-STM-1MM 1 port multichannel STM-1 multimode port adapter 45000 US $ PA-MC-STM-1SMI 1 port multichannel STM-1 single mode port adapter 46000 US $ PA-POS-1OC3 1 Port Packet/SONET OC3c/STM1 Port Adapter 6000 US $ PA-POS-2OC3 2 Port Packet/SONET OC3c/STM1 Port Adapter 9500 US $ Ввиду популярности Ethernet, воспользуемся - Port Adapter PA-2FE-FX 2-Port Fast Ethernet 100Base FX Port Adapter 5000 US $ 9.5. Выбор брандмауэра В качестве брэндмауэра будем использовать решение Cisco ASA 5500, а именно Cisco ASA 5510 Security Plus Firewall Edition Bundle = ASA5510-SEC-BUN-K9 Includes: 2 Gigabit Ethernet + 3 Fast Ethernet interfaces, 250 IPsec VPN peers, 2 SSL VPN peers, Active/Standby high availability, 3DES/AES license, 300 Mbps Firewall • 170 Mbps IPsec Можно также использовать устройство предотвращения вторжений: Cisco ASA 5510 Appliance IPS Edition Bundle = ASA5510-AIP10-K9 Includes Advanced Inspection and Prevention Security Services Module 10 (AIP-SSM-10 module, Firewall services, 250 IPSec VPN peers, 2 SSL VPN peers, and 5 Fast Ethernet interfaces, Attack Protection Performance = 150 Mbps. Таблица 9. возможности Cisco ASA 5510 Adaptive Security Appliance Platform. Feature Description Firewall Throughput Up to 300 Mbps Maximum Firewall and IPS • Up to 150 Mbps with AIP SSM-10 Throughput • Up to 300 Mbps with AIP SSM-20 VPN Throughput (3DES/AES) Up to 170 Mbps Concurrent 50,000; 130,000 Sessions (Connections) IPsec VPN Peers 250 SSL VPN Peer 2/250 Security Contexts Up to 5 Interfaces 5 Fast Ethernet ports; 2 Gigabit Ethernet + 3 Fast Ethernet Virtual Interfaces (VLANs) 50; 100 Scalability VPN clustering and load balancing High Availability Not supported; Active/Standby Expansion Slot 1, SSC or SSM Memory 256 MB Внешний вид всего модельного ряда Cisco ASA и модельCisco ASA 5510 спереди с сзади + 4Port Gigabit Ethernet Security Services Module (скорее всего, данный модуль преназначен для полее производительных моделей серии и не поддерживается в ASA 5510, 5520) см. на Рисунок 22. Рисунок 22. Внешний вид всего модельного ряда Cisco ASA и Модель Cisco ASA 5510 (снизу) в двух видах с 4 Port GE SSM. Cisco ASA 5510 Series Adaptive Security Appliances: ASA5510-BUN-K9 ASA 5510 Appliance with SW, 5FE,3DES/AES 3495 ASA5510-AIP10-DCK9 ASA 5510 Appl. w/ AIP10, DC Pwr, SW, 5FE, 3DES/AES 7195 ASA5510-AIP10-K9 ASA 5510 Appliance with AIP-SSM-10, SW, 5FE, 3DES/AES 5995 ASA5510-AIP20SP-K9 ASA 5510 with AIP-SSM-20, 2GE+3FE, SW, HA,3DES/AES,SEC+ 9995 ASA5510-CSC10-K9 ASA 5510 Appl w/ CSC10, SW, 50 Usr AV/Spy, 1 YR Subscript 7195 ASA5510-CSC20-K9 ASA 5510 Appl w/ CSC20, SW, 500 Usr AV/Spy, 1 YR Subscript 12595 ASA5510-DC-K8 ASA 5510 Appliance with DC power, SW, 5FE, DES 4695 ASA5510-SSL50-K9 ASA 5510 VPN Edition w/ 50 SSL User License, 3DES/AES 7495 ASA5510-SSL100-K9 ASA 5510 VPN Edition w/ 100 SSL User License, 3DES/AES 11495 ASA5510-SSL250-K9 ASA 5510 VPN Edition w/ 250 SSL User License, 3DES/AES 23495 Cisco ASA 5500 Series Security Services Modules: ASA-SSM-AIP-20-K9= ASA 5500 AIP Security Services Module-20 9000 ASA-SSM-AIP-10-K9= ASA 5500 AIP Security Services Module-10 5000 ASA-SSM-CSC-20-K9= ASA Content Security SSM-20 w/ 500 Usr AV/Spy, 1YR Subscript 10500 ASA-SSM-CSC-10-K9= ASA Content Security SSM-10 w/ 50 Usr AV/Spy, 1YR Subscript 4500 SSM-4GE= ASA 5500 4-Port Gigabit Ethernet SSM (RJ-45+SFP) 5000 Количество и размещение оборудования всей корпорации по зданиям смотри в Таблица 10. Таблица 10. Стоимость всего активного оборудования сети Device Model Building Cost for 1 Summary Cost A B P C US $ (GPL) US $ (GPL) (Main) (Manuf.) (Product.) (Research) Cat 2960-48TT-L 21 19 0 6 2495 114 770 Cat 3750G-24WS-S25 2 0 2 0 20495 81 980 AP Aironet 1140 2 0 24 0 1300 33 800 Cat 3560E-24TD-E 4 2 2 2 9990 99 900 Cat 4506E+ Sup6-E+ 2 2 0 2 4995+ 97050 WS-X4548-GB-RJ45 + 19995+ MEM-C4K-FLD-128M+ 5495+ 2 * PWR-C45-1300ACV 700+ 2 * 1495 = 16 175 Cisco 857 –K9 0 0 0 2 449 898 Cisco 7204 VXR+ NPE- 2 2 2 0 4000+ 144 000 225+ PA-MC-2T1+ PA- 4500+ 2FE-FX+ 4500+ 2 * PWR-7200-AC 5000+ 2 * 3000 = 24 000 ASA5510-AIP10-DCK9 2 2 0 0 7195 28 780 Server (free software) 12+5 6 6 6 5000 175 000 PC 802 756 378 218 - - Summary all buildings 676 278 Реально стоимость всегда меньше GPL, стоимость в лучшем случае может составить 65% от GPL приблизительно = 444 448,81 US $. Плюс приблизительно столько же могут стоить кабели и их прокладка по зданию. 10. Конфигурация оборудования Cisco Systems 10.1. Базовые команды ОС Cisco IOS Глобальными называются команды, действие которых распространяется на всю ОС IOS. Примером таких команд являются hostname, enable secret и ip routing и другие. Эти команды были использованы в скрипте команд конфигурирования, созданном диалогом конфигурирования системы. Применение любой из этих команд вносит изменения в конфигурацию ОС IOS, не требуя при этом использования дополнительных команд Основные команды позволяют подкомандам конфигурировать устройство. Сами эти команды не вносят изменений в конфигурацию устройства, а лишь подготавливают / настраивают ОС IOS к изменению конфигурации. Подкоманды выполняются в контексте некоторой основной команды. Подкоманды непосредственно изменяют конфигурацию устройства. Например, основная команда interface Ethernet0 сообщает ОС IOS о том, что последующие подкоманды будут относиться непосредственно к интерфейсу локальной сети с именем Ethernet0. Тогда последующая подкоманда ip address назначает IP-адрес интерфейсу Ethernet0. Далее перечислим наиболее значимые команды Операционной Системы Cisco IOS: // <> - не служебное слово; | - или [] – не обязательно; // <cr> - конец команды; AL = AccessList; device>enable secret <password> device>enable password <password> device>enable <password> device#configure terminal device(config)#hostname <HostName> <name>(config)#vtp domain <nameVTPdomain> // Обмена инфой о VLAN’ах <name>(config)#vtp mode client|server|transparent <name>(config)#vtp password <passwordVTP> <name>(config)#vtp version <versionVTP> ... <name>(config)#ip routing // Настройка R <name>(config)#ip classless // There is no such in PacketTracer50 <name>(config)#ip subnet-zero // There is no such in PacketTracer50 <name>(config)#ip route <DestIPaddress> <mask> <IPaddressNext|interface> <name>(config)#ip route 0.0.0.0 0.0.0.0 <DefGW_IPaddress> //<name>(config)#ip default-network <DefGW_IPaddress> ... <name>(config)#router rip|ospf|eigrp <cr>|processID|ASnumber <name>(config-router)#version 2 // rip only in PacketTracer50 <name>(config-router)#network <IPaddress> | <IPaddress> <Inversed-netmask> <name>(config-router)#auto-summary //ripv2, eigrp //<name>(config-router)#eigrp stub [receiveonly|connected|static|summary] <name>(config-router)#redistribute static // Redistribute default GW <name>(config-router)#distribute-list <ALnumber> in|out [<Interface>] <name>(config-router)#exit // Example: // Например, чтобы запретить отправку сведений о маршруте до сети 1.1.0.0/16 через интерфейс // serial0/0/0, необходимо подать следующие команды: (access-list смотри далее) //router(config)#access-list 1 deny 1.1.0.0 //router(config)#access-list 1 permit any //router(config)#router rip|ospf|eigrp <cr>|processID|ASnumber //router(config-router)#distribute-list 1 out serial0/0/0 ... <name>(config)#access-list <AL Number < 100> deny|permit (<SourseIPaddress> <Inversed-netmask>)|any|(host <SoutrseIPAddress>) <name>(config)# <name>(config)#access-list <AL Number >= 100> deny|permit <Protocol> (<SourseIPAddress <Inversed-netmask>)|any|(host <SourseIPAddress>) [if <protocol> == tcp or udp, then (eq|gt|lt|neq|range <port number or port range>)] (<DestanationIPAddress> <Inversed-netmask>)|any|(host <DestanationIPAddress>) [if <protocol> == tcp or udp, then (eq|gt|lt|neq|range <port number or port range>)] // Example: //<name>(config)#access-list 110 deny udp 37.119.22.1 0.0.0.255 eq 23 //47.122.34.6 0.0.0.255 range 23 1023 ... <name>(config)#interface FastEthernet1/0 <name>(config-if)#access-group <AL Number> in|out // Фильтрация пакетов <name>(config-if)#exit <name>(config)#line vty|console 0 4 // оба числа м.б. в 0...15 <name>(config-line)#access-class <AL Number> in|out <name>(config-line)#exit ... <name>(config)#interface Serial0/0/0 <name>(config-if)#ip address <IPaddress> <netmask> <name>(config-if)#encapsulation ppp|hdlc|frame-relay <name>(config-if)#ppp authentification chap|pap //<name>(config-if)#frame-relay interface-dlci <DLCInumber> //<name>(config-if)#frame-relay lmi-type ansi|cisco|q933a //<name>(config-if)#frame-relay map ip|ipv6 <name>(config-if)# clock rate 56000//bps,Один из R на serialMaster <name>(config-if)#no shutdown <name>(config-if)#exit ... <name>(config)#vlan <VLANnumber> <name>(config-vlan)#name <VLANname> <name>(config-vlan)#exit <name>(config)#interface vlan <VLANnumber> // Далее назначим созданному VLAN интерфейсу IP-адрес, чтобы его можно было использовать // качестве шлюзов по умолчанию для рабочих станций, а также для маршрутизации между ними. <name>(config-if)#ip address <IPaddress> <netmask> // SVI = shared IP & MAC in vlan <name>(config-if)#no shutdown // м.б. не нужно - виртуальный интерфейс <name>(config-if)#exit <name>(config)# <name>(config)#interface FastEthernet0/1 <name>(config-if)#ip address <IPaddress> <netmask> <name>(config-if)#switchport mode access|trunk <name>(config-if)#switchport access vlan <VLANnumber> //<name>(config-if)#switchport trunk allowed vlan 100-1005 <name>(config-if)#no shutdown <name>(config-if)#exit ... <name>(config)#interface FastEthernet1/2 <name>(config-if)#ip address <IPaddress> <netmask> <name>(config-if)#ip nat inside|outside <name>(config-if)#exit <name>(config)# ip nat inside source list|static (<ALnumber <= 199>|ALname) | ( (<localIPaddress> <globalIPaddress>)|( tcp|udp <localIPaddress> <port number> <globalIPaddress> <port number> ) <cr> ) interface|pool <Interface|PoolName> [overload] <name>(config)# <name>(config)# ip nat pool <PoolName> <StartIPaddress> <EndIPaddress> <netmask> //Example: //<name>(config)# interface serial 0/0 //<name>(config-if)#ip nat outside //<name>(config-if)#exit //<name>(config)#access-list 10 permit 192.168.11.0 0.0.0.255 //<name>(config)# ip nat inside source list 10 interface serial0/0 //overload <name>(config)#exit <name>#copy running-config startup-config <name>#show startup-config <name>#reload // copy startup-config running-config <name>#disable <name>> 10.2. Настройка EtherChannel Конфигурация EtherChannel с использованием LACP IEEE 802.3ad (есть ещё Cisco LAgP). Далее создается port channel, в который входят два порта.Можно настроить до 4 (8) портов на каждый канал. Основные шаги – команды Cisco IOS. Более детально - см. в Таблице 3.1. 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. enable configure terminal interface port-channel number ip address ip_address mask interface type slot/subslot/port no ip address channel-group number mode {active | passive} {on|active|...} exit interface type slot/subslot/port no ip address channel-group number mode {active | passive}{on|active|...} end Таблица 11. Детальные шаги по настройке EtherChannel с LACP Step 1 Command or Action Purpose enable Enables privileged EXEC mode. Example: • Enter your password if prompted. Router> enable Step 2 configure terminal Enters global configuration mode. Example: Router# configure terminal Step 3 interface port-channel number Specifies the port channel interface. Enters interface Example: configuration mode. Router(config)# interface port- • number - Valid range is from 1 to 64. channel 1 Step 4 ip address ip_address mask Assigns an IP address and subnet mask to the port Example: channel interface. Router(config-if)# ip address 10.1.1.1 255.255.255.0 Step 5 interface type slot/subslot/port Example: Router(config-if)# interface Specifies the port to bundle. g2/0/0 Step 6 no ip address Disables the IP address on the port channel interface. Example: Router(config-if)# no ip address Таблица 3.1 (продолжение) Command or Action Step 7 Purpose channel-group number mode Assigns the interface to a port channel group and sets {active | passive} the LACP mode. Example: • Router(config-if)# channel- • group 1 mode active number - Valid range is 1 to 64. active - Places a port into an active negotiating state, in which the port initiates negotiations with other ports by sending LACP packets. • passive - Places a port into a passive negotiating state, in which the port responds to LACP packets it receives but does not initiate LACP negotiation. In this mode, the channel-group attaches the interface to the bundle. Step 8 exit Exits interface configuration mode. Example: Router(config-if)# exit Step 9 interface type slot/subslot/port Specifies the next port to bundle. Enters interface Example: configuration mode. Router(config)# interface g4/0/0 Step 10 no ip address Disables the IP address on the port channel interface. Example: Router(config-if)# no ip address Step 11 channel-group number mode Assigns the interface to the previously configured port {active | passive} channel group. Example: • Router(config-if)# group 1 mode active channel- • number—Valid range is 1 to 64. active—Places a port into an active negotiating state, in which the port initiates negotiations with other ports by sending LACP packets. • passive—Places a port into a passive negotiating state, in which the port responds to LACP packets it receives but does not initiate LACP negotiation. In this mode, the channel-group attaches the interface to the bundle. St end ep 12 Exits interface configuration mode. Example: Router(config-if)# end Пример: Router> enable Router# configure terminal Router(config)# interface port-channel 1 Router(config-if)# ip address 10.1.1.1 255.255.255.0 Router(config-if)# interface g2/0/0 Router(config-if)# no ip address Router(config-if)# channel-group 1 mode active Router(config-if)# exit Router(config)# interface g4/0/0 Router(config-if)# no ip address Router(config-if)# channel-group 1 mode active Router(config-if)# end Конфигурирование LACP System ID и Приоритета портов (Port Priority). Таблица 12. Последовательность действий конфигурирования LACP System ID Step 1 Command or Action Purpose enable Enables privileged EXEC mode. Example: • Enter your password if prompted. Router> enable Step 2 configure terminal Enters global configuration mode. Example: Router# configure terminal Step 3 lacp system-priority value Specifies the priority of the system for LACP. Example: The higher the number, the lower the priority. Router(config)# lacp system-priority • Step 4 Step 5 value—Valid range is from 1 to 65535. 23456 The default is 32768. interface type slot/subslot/port Specifies the bundled port on which to set the Example: LACP port priority. Router(config)# interface g0/1/1 Enters interface configuration mode. lacp port-priority value Specifies the priority for the physical interface. Example: • value—Valid range is from 1 to 65535. Router(config-if)# lacp port-priority The higher the number, the lower the priority. 500 Step 6 end Example: Exits interface configuration mode. Router(config-if)# end Пример: Router> enable Router# configure terminal Router(config)# lacp system-priority 23456 Router(config)# interface g4/0/0 Router(config-if)# lacp port-priority 500 Router(config-if)# end 10.3. VPN/L2TP 10.3.1. Обзор PPTP и L2TP Согласно заданию несколько привилегированных сотрудников работают в своих домашних офисах SOHO, подключающихся к главному офису по коммутируемым каналам связи Dial-up. Подключение этих клиентов будем осуществлять по VPN, так как подключение будет производится через общедоступные телефонные сети. Проверку подлинности удаленных пользователей в этом случае сначала выполняет сторонняя организация (в процессе предоставления доступа по телефонной линии), а затем их аутентифицирует VPN-сервер удаленного доступа (при подключении к частной сети). При организации VPN могут использоваться усовершенствованные версии протоколов РРР (Point-to-Point Protocol), РРТР (Point-to-Point Tunneling Protocol) и L2TP (Layer 2 Tunneling Protocol). Для обеспечения безопасности конфиденциальных данных будем применять шифрование на основе протокола IPSec в туннелях L2TP, которые являются более надежными, чем туннели PPTP. VPN-подключение состоит из следующих компонентов: - VPN-сервер - компьютер, принимающий VPN-подключения от клиентов VPN. - VPN-клиент - компьютер, инициирующий VPN-подключение к серверу VPN. VPNклиентом может быть отдельный компьютер или маршрутизатор. - Туннель - часть подключения, содержащая инкапсулированные данные. Можно создать туннель и передавать по нему данные без шифрования. Это не является VPN-подключением, поскольку личные данные передаются через общедоступную сеть в незащищенном, легко доступном для чтения виде. - VPN-подключение - часть подключения, содержащая зашифрованные данные. - Туннельные протоколы - протоколы, используемые для управления туннелями и инкапсуляции личных данных. Операционные системы семейства WS2003 поддерживают туннельные протоколы PPTP и L2TP. - Туннелированные данные - данные, обычно передаваемые при помощи частного подключения «точка-точка». - Транзитная объединенная сеть - общедоступная сеть, по которой передаются инкапсулированные данные. В операционных системах семейства WS2008 транзитная объединенная сеть всегда является сетью IP. Транзитной объединенной сетью может быть Интернет или частная интрасеть на основе IP-протокола. Рисунок 23. Организация VPN-тоннеля. Протоколы туннелирования: РРТР и L2TP позволяют зашифровать мультипротокольный трафик, а затем инкапсулировать его в IP-заголовок, который будет послан по объединенной IP-сети организации или общественной объединенной IP-сети типа интернета. Основаны на протоколе РРР, следовательно имеют функции для управления сеансом, назначения адресов и маршрутов. Режим туннелирования IPSec (IPSec) позволяет зашифровывать IP-пакеты и затем инкапсулировать их в IP-заголовок, который будет послан по объединенной IP-сети организации или открытой объединенной IP-сети типа интернета. Технология IPSec не рекомендуется для VPN-подключений удаленного доступа, потому что она не содержит никаких стандартных методов для аутентификации пользователей, назначения IP-адресов и назначения адреса сервера имен. Возможно использовать технологию IPSec для межсайтовых VPN-подключений на компьютерах с системой WS2008. PPTP (Point-to-Point Tunneling Protocol) —является расширением протокола PPP и использует механизмы проверки подлинности, сжатия и шифрования этого протокола. Протокол PPTP и метод шифрования MPPE (Microsoft Point-to-Point Encryption) обеспечивают основные необходимые для виртуальных частных сетей службы инкапсуляции и шифрования частных данных. Кадр PPP зашифровывается по методу MPPE с использованием ключей шифрования, созданных в процессе проверки подлинности по протоколу MS-CHAP, MS-CHAP v2 или EAP-TLS. Кадр PPP, содержащий IP - датаграмму заключается в оболочку с заголовком GRE (Generic Routing Encapsulation) и заголовком IP. В заголовке IP-адреса источника и приемника соответствуют VPN-клиенту и VPN-серверу. Зашифрован Заголовок IP Заголовок GRE Заголовок PPP Полезная нагрузка PPP (IP пакет) Фрейм PPP Рисунок 24. Структура кадра PPP. L2TP (Layer Two Tunneling Protocol) — это туннельный протокол на основе RFC, являющийся промышленным стандартом. L2TP использует средства шифрования, предоставляемые методом IPSec. Комбинацию L2TP и IPSec называют L2TP/IPSec. Комбинация L2TP/IPSec обеспечивает работу служб VPN, выполняющих инкапсуляцию и шифрование частных данных. Заголовок IP Заголовок IP Заголовок UDP Заголовок L2TP Заголовок PPP Полезная нагрузка PPP (IP пакет) Заголовок IPSec ESP Заголовок UDP Заголовок L2TP Заголовок PPP Полезная нагрузка PPP (IP пакет) IPSec ESP Трейлер IPSec Auth Трейлер Зашифровано Рисунок 25. Структура кадра L2TP. Инкапсуляция пакетов L2TP/IPSec выполняется в два этапа. 1. Инкапсуляция L2TP - кадр PPP (IP-датаграмма или IPX-датаграмма) заключается в оболочку с заголовком L2TP и заголовком UDP. 2. Затем полученное L2TP-сообщение заключается в оболочку с заголовком и трейлером IPSec ESP (Encapsulating Security Payload), трейлером проверки подлинности IPSec, обеспечивающим целостность сообщения и проверку подлинности, и заголовком IP. В заголовке IP-адреса источника и приемника соответствуют VPN-клиенту и VPN-серверу. Сообщение L2TP шифруется с использованием стандарта DES или 3DES при помощью ключей шифрования, созданных в процессе согласования IKE (Internet Key Exchange). 10.3.2. Преимущества протокола L2TP/lPSec в сравнении с РРТР 1) Метод IPSec ESP дает аутентификацию источника данных каждого пакета, целостность данных, защиту от атак воспроизведения и конфиденциальность данных (шифрование). В противоположность этим свойствам, протокол РРТР обеспечивает только конфиденциальность данных в каждом пакете. 2) Подключения L2TP/IPSec обеспечивают более сильную аутентификацию, требуя как аутентификации на уровне компьютера через сертификаты, так и аутентификации на уровне пользователей через аутентификационный протокол РРР. 3) В протоколе L2TP/IPSec пакеты РРР, обмен которыми происходит в процессе аутентификации на уровне пользователей, никогда не посылаются в незашифрованной форме, потому что процесс РРР-подключения происходит после установления соглашения по безопасности IPSec. В случае перехвата РРР-пакеты опознавательного обмена для некоторых типов аутентификационных РРР-протоколов могут использоваться для автономных словарных атак и определения пользовательских паролей; 4) Связка L2TP\IPSec может работать в двух режимах – с использованием цифровых сертификатов и с использованием предварительных ключей. Сертификаты дают гибкую возможность по организации доступа, однако требуют развертывания службы сертификатов. Применение предварительных ключей делает сертификаты не нужными, однако требует применения для всех клиентов одинакового ключа. Для автоматического обновления требуется применение Диспетчера подключений (Connection Manager). 10.3.3. Преимущества протокола РРТР по сравнению с протоколом L2TP/IPSec 1) Протокол РРТР не требует инфраструктуры сертификатов. Протоколу L2TP/IPSec требуется инфраструктура предварительного установления общих секретов или инфраструктура сертификатов для выдачи компьютерных сертификатов VPN-серверу и всем компьютерам VPNклиентов. В случае использования предварительных ключей это ограничение снимается. 2) Клиенты РРТР могут находиться за транслятором сетевых адресов (NAT), если транслятор NAT имеет редактор для РРТР-трафика. Клиенты или VPN-серверы, базирующиеся на протоколе L2TP/IPSec, не могут располагаться позади NAT-устройства, если только поддержка VPN в нем не установлена отдельно. Существует несколько способов защиты конфиденциальности данных, пересылаемых между клиентами и VPN-сервером удаленного доступа: - проверка подлинности удаленных пользователей; - шифрование конфиденциальных данных; - применение политик удаленного доступа. Чтобы обеспечить доступ к ресурсам частной сети только уполномоченным удаленным пользователям, в проекте следует предусмотреть аутентификацию, или проверку подлинности, удаленных пользователей. В этом случае для входа в систему пользователям необходимо ввести реквизиты: имя пользователя, пароль и имя домена. Проверка реквизитов может выполняется на основе: - локальных учетных записей, хранимых на VPN-сервере удаленного доступа; - учетных записей Active Directory, хранимых на контроллерах домена. В проектируемой сети будем осуществлять аутентификацию и авторизацию пользователей на основе учетных записей Active Directory. Доступ к ресурсам удаленному пользователю будет предоставляться на основании принадлежности его к определенной группе, авторизованной для доступа к данному ресурсу внутренней сети. В целях безопасности реквизиты удаленных шифруются при пересылке между клиентом и сервером удаленного доступа. В корпорации CorpKAM для организации VPN выбираем связку протоколов L2TP\IPSec c использованием предварительных ключей, так как он позволяет обойтись без организации системы сертификации, что упрощает построение сети, однако снижает безопасность организованного подключения через VPN. 10.3.4. Настройка L2TP сервера в Cisco Пример настройки L2TP сервера в Cisco aaa new-model ! Включаем работу с Authorization Authentication Accounting! aaa authorization network default local ! Авторизация сетевых сервисов локальная (именно тут происходит связка Login <=> IP) ! aaa attribute list test attribute type addr 10.8.96.1 service vpdn ! vpdn enable! vpdn-group VPDN-L2TP ! Создаем профиль для L2TP соединений ! Default L2TP VPDN group accept-dialin protocol l2tp virtual-template 2 lcp renegotiation on-mismatch l2tp security crypto-profile L2TP no l2tp tunnel authentication ip pmtu ip mtu adjust! vpdn-group VPDN-PPTP ! Создаем профиль для PPTP соединений ! Default PPTP VPDN group accept-dialin protocol pptp virtual-template 1 pptp tunnel echo 10 ip pmtu ip mtu adjust! async-bootp dns-server 131.107.8.4 ! Выдавать данный ДНС в настройках VPN соединения ! username test password 0 testusername test aaa attribute list test ! crypto isakmp policy 100 ! Данные настройки относятся к методу шифрования ключа в L2TP VPN encr 3des hash md5 authentication pre-share group 2 lifetime 3600crypto isakmp key cisco address 0.0.0.0 0.0.0.0 no-xauth ! Общее слово пароль Windows “Сетевое соединение -> Безпасность -> Параметры IPSEC ! crypto ipsec transform-set L2TP esp-des esp-md5-hmac ! Данные настройки относятся к методу шифрования данных в L2TP VPN mode transport ! crypto map L2TP 100 ipsec-isakmp profile L2TP ! Сборка настроек в единую криптомапу set transform-set L2TP ! interface Loopback0 ! Используем данный интерфейс для навешивания IP в VirtualTemplate интерфейсах ip address 10.8.96.2 255.255.255.255 ! interface FastEthernet0/0 ! Внешний интерфейс ip address 10.8.100.0 255.255.252.0 speed auto crypto map L2TP ! Прикручиваем криптомапу. Требуеться для создания Windows L2TP тунелей ! interface Virtual-Template1 ! Настройки интерфесов которые создают PPTP тунель ip unnumbered Loopback0 ip nat inside no ip virtual-reassembly autodetect encapsulation ppp peer default ip address pool VPN-pool ppp encrypt mppe auto ppp authentication chap ms-chap ms-chap-v2 ! interface Virtual-Template2 ! Настройки интерфесов которые создают L2TP тунель ip unnumbered Loopback0 ip nat inside no ip virtual-reassembly autodetect encapsulation ppp peer default ip address pool VPN-pool ppp authentication chap ms-chap ms-chap-v2 ! ip local pool VPN-pool 10.8.100.0 10.8.101.254 ! Наш пул адресов для VPN соединений 10.3.5. Настройка L2TP клиента в Cisco service internal ! Обязятельная скрытая команда ip cef ip multicast-routing ! vpdn-group L2TP-STRONGVPN request-dialin protocol l2tp pool-member 1 initiate-to ip 131.107.8.8 no l2tp tunnel authentication ! ! crypto isakmp policy 5 encr 3des authentication pre-share group 2 lifetime 3600 crypto isakmp key _Password_ address 131.107.8.8 ! ! crypto ipsec transform-set ESP-AES256-SHA esp-aes 256 esp-sha-hmac mode transport ! crypto map STRONGVPN 10 ipsec-isakmp set peer 131.107.8.8 set transform-set ESP-AES256-SHA match address L2TP_SA_DIALER1 ! interface FastEthernet0/0 description -= Local network =ip address 172.16.0.1 255.255.255.0 ip nat inside ip virtual-reassembly duplex auto speed auto ! interface FastEthernet0/1 description -= Outside Interface =ip address 77.91.55.69 255.255.255.240 ip access-group INPUT_ACL in ip flow ingress ip flow egress ip virtual-reassembly duplex auto speed auto no cdp enable crypto map STRONGVPN ! interface Dialer1 description -= VPN (StrongVPN) L2TP client =ip address negotiated ip mtu 1492 ip nbar protocol-discovery ip flow ingress ip flow egress ip nat outside ip virtual-reassembly encapsulation ppp ip tcp adjust-mss 1452 dialer pool 1 dialer idle-timeout 0 dialer string 123 dialer vpdn dialer-group 1 no cdp enable ppp chap hostname _USERNAME_ ppp chap password _Password_ ! ip route 0.0.0.0 0.0.0.0 Dialer1 ! Весь трафик заворачиваем в тунель ip route 172.16.0.1 255.255.255.0 FastEthernet0/0 ip route 131.107.8.8 255.255.255.255 77.91.55.69 !на шлюз провайдера ! ip flow-top-talkers top 50 sort-by bytes cache-timeout 30000 match protocol udp ! ip nat translation timeout 30 !НАТ-им в адрес интерфейса Dialer1 ip nat inside source route-map map_IPSEC interface Dialer1 overload ! ip access-list extended INPUT_ACL permit ip host 131.107.8.8 host 77.91.55.69 ! Разрешаем трафик между нашим интерфейсом и VPN сервером. Остально е запрещаем. deny ip any any log ! ip access-list extended L2TP_SA_DIALER1 permit udp host 77.91.55.69 eq 1701 host 131.107.8.8 eq 1701 remark -= Razreshaem L2TP =! ip access-list extended VPN_IPSEC permit ip host 172.16.0.1 any permit ip host 172.16.0.44 any remark -= Vybyraem Local IP adresa korotye NAT-im =! dialer-list 1 protocol ip permit ! route-map map_IPSEC permit 10 match ip address VPN_IPSEC match interface Dialer1 11. Разработка логической структуры сети 11.1. Размещение серверов DNS. Структуры AD, DNS и DHCP достаточно сильно взаимосвязаны, особенно AD и DNS, поэтому их развертывание следует рассматривать в комплексе. В частности, DNS желательно развертывать одновременно с AD, так как в этом случае гарантируется их совместимость и облегчается процесс взаимной настройки. Прежде чем приступать к проектированию структуры Active Directory, рассмотрим сначала реализацию DNS. Предполагается применить нестандартный подход, а именно – использовать т. н. разделение DNS (split-brain DNS). Разделенный DNS делает ресурсы доступными, прозрачными и независимыми по расположению для внешних и для внутренних пользователей. Под прозрачностью понимается, что пользователю не нужно использовать различные имена или перенастраивать клиентские приложения на использование разных имен в зависимости от его местоположения в настоящий момент. Разделение DNS работает за счет того, что используется 2 или больше доступных серверов DNS, предназначенных для этого имени домена. Один или больше серверов отвечают за разрешение имен для хостов внутренней сети, другие же (один или больше) серверы отвечают за разрешение имен для хостов в Internet. Сервер DNS, ответственный за разрешение имен во внутрикорпоративной сети, содержит записи DNS, которые отображают имена серверов в их внутренние IP-адреса, которые и используются во внутренней сети. DNS-сервер; ответственный за разрешение имен для внешних пользователей, отображает имена во внешние IP-адреса, обеспечивая доступ к корпоративным ресурсам снаружи. Внутренние серверы DNS размещаются в Intranet за сетевым экраном (firewall), а внешние серверы DNS устанавливаются в демилитаризованной зоне (DMZ) или в Internet. При этом только внутренние клиенты имеют доступ к внутреннему серверу DNS, хранящему адресную информацию о компьютерах внутренней сети. Запросы внешних клиентов о доменных Internetименах и адресах организации выполняются внешним DNS-сервером. Любые запросы, идущие из Internet в Intranet, запрещены. Если на внутренний DNS-сервер приходит запрос о разрешении имени Internet, которого нет в локальном кэше, то запрос отправляется на внешний DNS-сервер. На внешнем сервере DNS разрешаются только запросы, исходящие из внутренней сети. Зоне DNS в домене AD свойственны две особенности. Во-первых, AD сохраняет в DNS большое количество данных. Во-вторых, значительная часть этой информации носит конфиденциальный характер. В частности, в зоне домена AD хранятся имена и адреса контроллеров домена. Структура с разделением DNS позволит скрыть эту информацию от посторонних глаз. Для корпорации CorpGDV необходимо зарегистрировать домен второго уровня. Например, corpgdv.ru. Для обеспечения автономности сетей отдельных филиалов и рационального обмена служебной информацией через WAN, выделим в домене corpkam.ru. два дочерних поддомена: manuf.corpgdv.ru. и res.corpgdv.ru соответственно для зданий B и C. Согласно рекомендации технического задания, DNS-сервер вместе с основным контроллером домена AD будут базироваться на платформе Windows 2008 Enterprice Server. Для обеспечения надежности с ним в паре будет работать еще один сервер (Secondary), который сможет обеспечивать работоспособность сети в случае выхода из строя первого сервера. В нашем случае оценивая вариант выхода из строя только первичного сервера, ввиду конкретно его технических или программных неисправностей, целесообразным будет размещение вторичного сервера в том же здании. Получив запрос на преобразование имени, основной DNS-сервер сначала обращается в кэш. Если имени в кэше нет, а DNS-сервер содержит зоны, то сервер пытается преобразовать имя, проверяя зоны. Сервер обращается к ретранслятору (установленному в DMZ) или в Интернет лишь в том случае, если не может найти нужный адрес в кэше или в зонах. Главная особенность разделенной DNS заключается в том, что DNS-сервер больше доверяет информации из зон, чем данным, извлеченным из Интернета. Для функционирования такой структуры необходимо на внутреннем DNS-сервере в качестве forwarder’а установить внешний DNS-сервер, а на внешнем DNS-сервере установить либо режим рекурсивного запроса к DNS провайдера, либо итеративный опрос DNS-серверов, начиная с корневых (root-hints). Форвардинг запросов будет осуществляться на кэширующий сервер, что позволит благодаря использованию кэша снизить нагрузку при обработке «внешних» запросов, так как в основной массе запросы будут касаться разрешения имен машин корпоративной сети. В реализации структуры DNS главного здания участвуют 3 DNS-сервера: внутренний, внешний и сервер провайдера. Внутренний сервер отвечает за зоны main.corpgdv.ru (куда входят все отделы здания А), proj.corpgdv.ru (планируется создать специальный домен для проектов в Active Directory). Внешний сервер устанавливается в качестве forwarding-сервера для внутреннего для того, чтобы перенаправлять запросы, не разрешенные с помощью кэша. Внешний DNS-сервер, в свою очередь, отправляет рекурсивные запросы к DNS-серверу провайдера. DNS-серверы в зданиях B пересылают неразрешённые запросы на DNS-сервер здания A. Для того чтобы из здания C можно было разрешать имена компьютеров, располагающихся в здании B без нагрузки на DNS-серверы здания А, необходимо на DNS-сервере здания C создать так называемые зоны-заглушки или упрощённые зоны (stub-zone). Упрощенная зона представляет собой копию зоны, содержащую только те ресурсные записи, которые необходимы для локализации DNS-серверов, являющихся носителями полной версии зоны. Основное назначение упрощенной зоны – идентификация DNS-серверов, которые способны выполнить разрешение доменных имен, принадлежащих к этой зоне. Таким образом, на DNS-сервере здания C будет создана stub-zone для каждой из зон здания A и для зоны здания B. А в качестве forwarder-DNS выступит DNS-сервер провайдера. На всех внутренних DNS-серверах следует включить режим Dynamic DNS Updates, для того, чтобы узлы могли регистрировать свои записи в соответствующих зонах. Поскольку мы используем ADIZ, рекомендуется также включить режим безопасных обновлений (secure updates). В этом режиме администратор AD может определять, кому и какие действия разрешается выполнять над ресурсными записями DNS. 11.2. Размещение серверов DHCP. Каждому хосту, подключенному к сети на базе TCP/IP, должен быть назначен уникальный IP-адрес. Протокол DHCP (Dynamic Host Configuration Protocol, протокол динамической конфигурации хоста) был разработан как средство динамического выделения хостам IP-адресов. Протокол DHCP является открытым промышленным стандартом, упрощающим управление сетями на базе TCP/IP. Этот протокол также может быть использован для централизованного управления процессом настройки стека протокола TCP/IP на клиентских машинах (речь идет о таких параметрах, как адрес шлюза по умолчанию или адрес DNS-сервера). В спецификации протокола DHCP определяются два участника: DHCP-сервер и DHCPклиенты. Служба клиента DHCP запрашивает у DHCP-сервера параметры для настройки стека протоколов TCP/IP. Служба сервера DHCP обрабатывает клиентские запросы, осуществляя выдачу в аренду IP-адреса из некоторого диапазона. Каждый адрес выделяется на определенный срок. По окончании этого срока хост должен либо продлить срок аренды, либо освободить адрес. Все удовлетворенные запросы пользователя фиксируются службой сервера DHCP в собственной базе данных. Подобное решение позволяет предотвратить выделение одного IP-адреса двум хостам. Одновременно с выдачей IP-адреса DHCP-сервер может также предоставить клиенту дополнительную информацию о настройках стека протоколов TCP/IP, такую как маска подсети, адрес шлюза и адреса серверов DNS и WINS. В составе Windows Server 2008 реализован как DHCP-клиент (который устанавливается по умолчанию), так и DHCP-сервер (который может быть установлен и сконфигурирован администратором при необходимости). Запрос к серверу DHCP посылается клиентом широковещательно, следовательно, не может выйти за пределы локальной подсети. Чтобы клиент из подсети, не соединенной непосредственно с DHCP сервером, мог получать от него IP адреса, необходимо убедиться, что маршрутизатор (в нашем случае, коммутатор 3 уровня), объединяющий подсети, поддерживал направление широковещательных сообщений DHCP, то есть поддерживал стандарт RFC 1542. В противном случае необходимо будет установить в каждой из подобных подсетей агент ретрансляции DHCP (DHCP Relay Agent) или сервер DHCP. Агент ретрансляции DHCP – это хост, который прослушивает подсети на наличие широковещательных сообщений DHCP/BOOTP и переадресовывает их на некоторый заданный DHCP-сервер. Использование агентов ретрансляции избавляет от необходимости устанавливать сервер DHCP в каждом физическом сегменте сети. Агент не только обслуживает прямые локальные запросы клиента DHCP и перенаправляет их на удаленные DHCP-серверы, но также возвращает ответы удаленных DHCP-серверов клиентам. Используемые для объединения подсетей коммутаторы не поддерживают стандарт RFC 1542, поэтому нет необходимости в использовании агентов ретрансляции. Для повышения надежности во всех зданиях корпорации будем использовать по 2 DHCPсервера в связи с довольно большим числом рабочих станций в них и для повышения надежности. Для того чтобы DHCP-сервер начал корректно работать, необходимо на нем настроить области (т. н. scopes). Область DHCP – административная группа, идентифицирующая полные последовательные диапазоны возможных IP-адресов для всех клиентов DHCP в физической подсети. Области определяют логическую подсеть, для которой должны предоставляться услуги DHCP, и позволяют серверу задавать параметры конфигурации, выдаваемые всем клиентам DHCP в подсети. Область должна быть определена прежде, чем клиенты DHCP смогут использовать сервер DHCP для динамической конфигурации TCP/IP. Рисунок 26. Конфигурация DHCP скоупов. В главном здании выделим 9 областей в соответствии с числом отделов. Пусть области отделов HR, Sales, IT, Exec, Bus, Acc, Project 1, Project 2 обслуживаются одним DHCP-сервером, а области отдела Project 3 – другим. В этом случае между серверами будет соблюдена пропорция 80/20 по количеству обслуживаемых рабочих станций, как и рекомендует Microsoft. Настройка DHCP областей на каждом сервере включает следующее: - Начальный адрес (start IP address); - Конечный адрес (End IP address); - Маска подсети (Subnet mask length); - Исключения (Exclusions) - Резервирование (Reservation). Диапазоны IP адресов отделам выдаем в соответствии с ранее сделанным распределением IP адресов. Наличие двух серверов DHCP в сети может при определённых условиях привести к её частичной или полной неработоспособности. Подобное было возможно в более старых ОС из-за того, что практически любой мог активизировать свой сервер DHCP. Для того чтобы этого не случилось, необходимо авторизовать установленные DHCP-серверы в Active Directory. В этом случае при попытке запустить службу DHCP происходит обращение к Active Directory, где просматривается список адресов IP для всех авторизованных в домене серверов DHCP. Если адреса рассматриваемого сервера нет, то служба DHCP будет автоматически на нем терминирована. 11.3. Active Directory Domain Controllers – DNS-зонирование Логическая многодоменная структура AD: В качестве корневого домена будет использоваться пустой домен, который будет содержать учетную запись администратора предприятия, а также будет выступать в роле хранителя имени предприятия, те CorpGDV.ru. Таким образом, при изменении или добавлении дочерних доменов имя предприятия не затрагивается. Создадим по одному дочернему домену для каждого здания. Для здания А – main.corpgdv.ru, для здания В – manufacture.corpgdv.ru и для здания С – research.corpgdv.ru. Каждый отдел выделим в организационное подразделение(OU, Organisation Unit). Физическая структура AD: На данном этапе проектируются сайты, выбирается количество и размещение контроллеров домена, рассматривается расположение мастеров операций и организация репликаций. Проетируемая корпоративная сеть состоит из трех LAN, объединенные глобальными связями (T1, ADSL, Internet). В связи с этим сеть предприятия будет представлена в виде трех сайтов AD. Этот инструмент позволяет легко контролировать загрузку каналов связи между филиалами. Каждый сайт может содержать как один так и несколько доменов. В сайте здания А предполагается расположить два домена: Один пустой корневой домен corpsda.ru и дочерний домен здания A main.corpsda.ru. В сайтах зданий В и С по одному домену manufacture.corpsda.ru и research.corpsda.ru соответственно. Каждый домен содержит минимум один контроллер домена, но для обеспечения надежности рекомендуется использовать два и более контроллеров домена в каждом домене. Что касается мастеров операций, то Мастер схемы и Мастер доменных имен планируется разместить на корневом контроллере домена, так как на них возлагается не большая нагрузка и используются они редко. Эмулятор PDC лучше расположить на отдельном контроллере домена так как на него возлагается большая нагрузка. Эмулятор PDC должен размещаться в каждом домене. Мастер относительных идентификаторов разместим на тех же контроллерах что и другие мастера операций. Мастер инфраструктуры размещается на контроллерах домена которые не являются глобальными каталогами. Учитывая все сказанное выше, предлагаем следующую схему размещения мастеров: в каждом домене устанавливается как минимум два сервера-контроллера домена, причем на первом сервере размещается ГК и мастер относительных идентификаторов. На втором сервере устанавливается эмулятор PDC и мастер инфраструктуры. 12. Заключение В процессе разработки Корпоративной Сети решались следующие задачи: Анализ требований к проектируемой сети Анализ вариантов построения КМ узла этажа, КМ узла здания Выбор модели КМ для уровней доступа и распределения Выбор оборудования обеспечения беспроводной связи Подключение КС к провайдеру (МШ и брэндмауэры) Анализ команд Cisco IOS, конфигурирование Cisco EtherChannel Распределение адресов для рабочих групп и оборудования Компьютерная сеть предприятия построена по иерархическому принципу с применением резервирования связей и оборудования. При проектировании сети использовались коммутаторы третьего уровня, технология VLAN и агрегирование каналов по технологии EtherChannel компании Cisco. На выходных брэндмауэрах КС поддерживается технология трансляции адресов – NAT/PAT, что позволяет использовать внутри сети внутренние адреса, а для выхода в глобальную сеть использовать всего лишь несколько уникальных внешних IP - адресов. Также эта технология скрывает внутренную организацию КС. В результате получили сеть предприятия, удовлетворяющую всем требованиям технического задания, что достигнуто выбором качественного оборудования и современных технологий. 13. Список литературы 1. Справочные материалы и определения из свободной открытой энциклопедии. Internet: http://ru.wikipedia.org/ 2. Описания сетевых устройств и технологий фирмы Cisco Systems взяты из официального сайта указанной компании. Internet: http://www.cisco.com/ 3. Цены на оборудование фирм Cisco Systems и D-Link. Internet: http://www.seti.ru/prices.html#anet 4. Официальный сайт производителя сетевого оборудования – компании D-Link. Internet: http://www.dlink.ru