3 РПЗx
advertisement
1. Реферат
РПЗ 68 с., 26 рис., 14 табл., 4 источников, 3 прил.
СЕТЬ, ПРОТОКОЛ, ИНТЕРФЕЙС, ТОПОЛОГИЯ, АРХИТЕКТУРА, ДАННЫЕ, КОММУТАТОР,
МАРШРУТИЗАТОР, МОДУЛЬ, СТАНЦИЯ, СЕРВЕР, КАБЕЛЬ.
Объектом разработки является архитектура сети географически распределенного
предприятия.
Цель работы – законченный проект сети географически распределенного
предприятия.
В процессе работы осуществляется анализ требований к проектируемой сети, выбор
мест расположения оборудования, выбор моделей оборудования, получение первичного
результата топологии сети, его оценка и оптимизация.
Результат работы – сеть географически распределенного предприятия, технические
параметры которой соответствуют техническому заданию и особенностям проекта.
2. Оглавление
1.
Реферат ..................................................................................................................................... 1
2.
Оглавление............................................................................................................................... 2
3.
Перечень основных терминов и сокращений....................................................................... 4
4.
Введение .................................................................................................................................. 7
5.
Структура компании CorpGDV ................................................................................................ 8
6.
Исходные данные .................................................................................................................... 9
6.1.
Используемые IP адреса ................................................................................................. 9
6.2.
Здание А (основной офис) .............................................................................................. 9
6.3.
Здание B (производство)................................................................................................. 9
6.4.
Здание C (разработка) ..................................................................................................... 9
6.5.
Общекорпоративные службы.......................................................................................10
6.6.
Внешние сотрудники .....................................................................................................10
6.7.
Всего ...............................................................................................................................10
7.
Распределение IP адресов ....................................................................................................11
8.
Проектирование структуры сети ..........................................................................................12
8.1.
8.1.1.
В рабочих комнатах ...................................................................................................12
8.1.2.
В КМ центре этажа.....................................................................................................13
8.1.3.
Сравнение вариантов ................................................................................................14
8.2.
9.
Расположение оборудования на КМ центрах этажей................................................12
Взаимное подключение устройств уровня доступа и уровня распределения ........15
8.2.1.
Вариант 1 ....................................................................................................................15
8.2.2.
Вариант 2 ....................................................................................................................15
8.2.3.
Вариант 3 ....................................................................................................................16
8.2.4.
Вариант 4 ....................................................................................................................16
8.2.5.
Вариант 5 ....................................................................................................................17
8.2.6.
Вариант 6 ....................................................................................................................17
8.2.7.
Выбор варианта .........................................................................................................18
Выбор оборудования ............................................................................................................18
9.1.
Выбор оборудования уровня доступа .........................................................................18
9.2.
Выбор оборудования для беспроводной сети (WLAN) ..............................................24
9.2.1.
Отдельные контролеры беспроводного доступа: ..................................................24
9.2.2.
R с возможностью подключения модуля контроля WLAN ...................................25
9.2.3.
Модули для высокопроизводительных SW и R: .....................................................25
9.2.4.
Встроенный контроллер для Catalyst 3750G-24WS ................................................26
9.2.5.
Характеристики устройства WS-C3750G-24WS........................................................28
9.3.
Выбор оборудования для уровней распределения ...................................................31
9.4.
Выбор граничного устройства сети (маршрутизатора). .............................................36
9.4.1.
Удаленные пользователи и здание C ......................................................................36
9.4.2.
Главный офис .............................................................................................................38
9.5.
10.
Выбор брандмауэра ......................................................................................................41
Конфигурация оборудования Cisco Systems .......................................................................44
10.1.
Базовые команды ОС Cisco IOS.....................................................................................44
10.2.
Настройка EtherChannel ................................................................................................47
10.3.
VPN/L2TP .........................................................................................................................51
10.3.1. Обзор PPTP и L2TP ....................................................................................................51
10.3.2. Преимущества протокола L2TP/lPSec в сравнении с РРТР ...................................53
10.3.3. Преимущества протокола РРТР по сравнению с протоколом L2TP/IPSec...........54
10.3.4. Настройка L2TP сервера в Cisco ..............................................................................55
10.3.5. Настройка L2TP клиента в Cisco ..............................................................................57
11.
Разработка логической структуры сети ...............................................................................60
11.1.
Размещение серверов DNS. ..........................................................................................60
11.2.
Размещение серверов DHCP.........................................................................................62
11.3.
Active Directory Domain Controllers – DNS-зонирование ............................................65
12.
Заключение ............................................................................................................................67
13.
Список литературы ................................................................................................................68
3. Перечень основных терминов и сокращений
ЛВС или LAN – локальная вычислительная сеть, WAN – Wide Area Network
WLAN, Wireless LAN – беспроводная ЛВС
РС (ПК) или PC – рабочая станция (персональный компьютер)
ТЗ – техническое задание
КМ или SW – коммутатор (SW L3 – коммутатор третьего уровня)
МШ или R – маршрутизатор
UTP, Unshielded Twisted Pair или Нв/п – неэкранированная витая пара
в/п (twisted/pair) – витая пара ( далее, если не указано подразумевается UTP 5 )
о/в (fiber/optic) – оптоволокно
ИБ – Информационная безопасность, НСД - Несанкционированный доступ
ЭЦП – электронно-цифровая подпись с помощью закрытого ключа автора данных
Гб/с - Гигабит в секунду ( = 109 230 бит в секунду )
ГБ/с – Гигабайт в секунду ( = 23 230 бит в секунду ).
GPL, Global Price List – Глобальный список цен ( на устройства вендора Cisco )
SFP, Small Form-factor Pluggable – разъем приёмопередатчика (в основном гигабитного).
Используется для подключения к плате сетевого устройства (коммутатора, маршрутизатора или
подобного устройства) приемопередатчика, который в свою очередь соединен с о/в или Нв/п и
т.д., выступающим в роли среды передачи данных. Пришёл на смену более громоздкому модулю
GBIC. Имеет габарит разъёма, сопоставимый по размеру с разъёмом RJ45. [1]
PoE, Power over Ethernet – стандартизирована по стандарту IEEE 802.3af. Согласно стандарту
IEEE 802.3af обеспечивается постоянное напряжение 48 вольт через две пары проводников в
четырехпарном кабеле, с максимальным током 350 мА для обеспечения максимальной мощности
16,8 ватт. [1]
ARP, Address Resolution Protocol – протокол разрешения адресов. [1]. Т.е. получение по IP –
адресу узла его же MAC – адрес (иногда и наоборот ).
STP, Spanning Tree Protocol – Основной задачей STP является приведение сети Ethernet с
множественными связями к древовидной топологии, исключающей циклы пакетов. Происходит
это путём автоматического блокирования ненужных в данный момент для полной связности
портов. Протокол описан в стандарте IEEE 802.1D. [1]
Rapid
Spanning
Tree
Protocol
(RSTP)
–
характеризуется
значительными
усовершенствованиями STP, среди которых необходимо отметить уменьшение времени
сходимости и более высокую устойчивость. [1]
Per-VLAN Spanning Tree (PVSTP) – расширяет функционал STP для использования VLAN. В
рамках данного протокола в каждом VLAN работает отдельный экземпляр STP.
Multiple Spanning Tree Protocol (MSTP) – Multiple STP (MSTP) является наиболее
современной реализацией STP, учитывающей все достоинства и недостатки предыдущих
решений. В отличие от PVSTP, в котором число экземпляров связующего дерева (spanning tree)
равно числу виртуальных сетей, MSTP предполагает конфигурирование необходимого количества
экземпляров вне зависимости от числа виртуальных сетей (VLAN) на коммутаторе. В один
экземпляр MST могут входить несколько виртуальных сетей. [1]
Virtual LAN (VLAN) – группа узлов сети, трафик которых, в том числе широковещательный, на
канальном уровне полностью изолирован от других узлов сети. Т.о. передача кадров между
разными VLAN не возможна на канальном уровне. Стандарт VLAN – 802.1Q (encapsulation dot1q),
который предусматривает дополнительное 2Б – поле в кадре для приоритета (802.1p) и для
указания номера VLAN, при передаче кадров через Trunk-порт КМ к другим КМ или МШ. Cisco
использует ещё ISP – тегирование (encapsulation isp).
IGMP snooping – процесс отслеживания сетевого трафика IGMP, который позволяет сетевым
устройствам канального уровня (свитчам) отслеживать IGMP обмен между потребителями и
поставщиками
(маршрутизаторами)
многоадресного
(multicast)
IP
трафика,
формально
происходящий на более высоком (сетевом) уровне. Эта функциональность доступна во многих
управляемых коммутаторах для сети Ethernet (по крайней мере, среднего и верхнего ценовых
уровней), но всегда требует отдельного включения и настройки.
После включения IGMP snooping, коммутатор начинает анализировать все IGMP пакеты
между
подключенными
к
нему
компьютерами-потребителями
и
маршрутизаторами-
поставщиками multicast трафика. Обнаружив IGMP запрос потребителя на подключение к
multicast группе, коммутатор включает порт, к которому тот подключен, в список ее членов (для
ретрансляции группового трафика). И наоборот — услышав запрос ‘IGMP Leave’ (покинуть),
удаляет соответствующий порт из списка группы. [1]
ARP inspection – технология проверки соответствия IP-адреса указанному MAC-адресу на
возможно заданном порте КМ или МШ.
DHCP snooping – технология, позволяющая при выделении DHCP-сервером некоторого IPадреса клиенту контролировать доступ к сети узлами с определенными IP/MAC-адресами. Этот
протокол проверяет:
физическое расположение клиента,
что клиент пользуется только тем IP-адресом, который он получил от DHCP-сервера
что доступны только авторизованные DHCP-серверы.
VPN – Virtual Private Network или Виртуальная Частная Сеть
PAP – Password Authentication Protocol – часть протокола PPP
CHAP – Challenge Handshake Authentication Protocol – часть протокола PPP
L2F – Layer 2 Forwarding (только тунелирование) фирмы Cisco Systems.
PPTP – Point-to-Point Tunneling Protocol фирм Microsoft и 3COM
L2TP – Layer 2 Tunneling Protocol (только тунелирование) стандарт IETF (см.далее).
IETF – International Engineering Task Force
IPsec – протокол VPN сете
AH – Authentication Header – протокол аутентификации с зашитой от воспроизведения с
помощью ременных меток (номер последовательности), входящий в IPsec.
ESP, Encapsulation Security Protocol – протокол аутентификации и обеспечения целостности
(ХЭШ + секретный ключ) и подписания сообщения (Private Key), зашиты от повторных передач (с
помощью временной метки time stamp или нумерации пакетов) и шифрования с помощью любого
стандартизированного и лицензированного алгоритма шифрования. Является часть протокола
IPsec.
IKE – Internet Key Exchange – протокол обмена ключами (и инициализации защищенного
канала). Используется в IPsec.
TLS – Transport Layer Security – VPN протокол на транспортном уровне для IP
SSL – Security Socket Layer – зашита данных на представительском уровне (NetScape)
4. Введение
Для корпоративных предприятий с распределенными офисами и отделами в условиях
современных требований к быстрому документообороту, взаимодействию сотрудников
компании, важной составляющей любой компании стала информационная сеть, объединяющая
различные устройства сбора, хранения и обработки информации. Например, различные
устройства наблюдения, контроля периметра, допуска персонала, рабочие станции служащих
компании, сервера хранения данных и служебных сервисов, центры обработки данных и другие.
Проектирование сети географически распределенного предприятия, объединяющей все эти
устройства, и, соответствующей всем требованиям предприятия по стоимости, быстродействию,
надежности, информационной безопасности, является сложной задачей, т.к. многие параметры и
свойства сети являются взаимно конфликтующими (стоимость и быстродействие, быстродействие
и ИБ, стоимость и надежность). Таким образом, при проектировании сети предприятия могут быть
получены различные варианты архитектуры ЛВС, каждый из которых не обязательно
удовлетворяет все требованиям ТЗ, но при комбинировании некоторых решений каждого
варианта можно добиться соответствия спроектированной сети с ТЗ и с особенностями проекта.
Т.е. проектирование топологии сети является итерационным процессом выбора эффективных
решений из множества вариантов реализации сети.
Далее, если не указано, все изделия относятся к производителю (вендору) – фирме Cisco
Systems, в виду покрытия изделиями этой фирмы всех существующих требований и технологий,
хотя стоимость этих изделий значительно превышает аналоги других фирм, надежность и качество
устройств, выпускаемых этой фирмой, превосходят любые аналоги.
Вся информация о сетевых устройствах фирмы Cisco, их параметрах взята из источника 2
(сайт компании Cisco).
5. Структура компании CorpGDV
Компания CorpGDV,
имеет один
главный
офис,
производственный филиал и
исследовательский центр. В настоящее время в каждом офисе имеются небольшие ЛВС,
которые будут объединены в единую корпоративную сеть. В качестве рабочих станций
используются
компьютеры
с
установленными
ОС WinXP Prof, W2000 Prof, MS Vista. В
ближайшие 12-18 месяцев планируется переход части клиентов отдела маркетинга и
руководства корпорацией на новые ОС семейства MS Win7. Руководство компании решило
принять в качестве базовой сетевой операционной системы MS Windows Server 2008 и готово
использовать
избыточное сетевое оборудование там, где Вы обоснованно его спланируете.
Несколько групп сотрудников работают в Европе в своих домашних офисах SOHO,
подключающихся к главному офису по каналам VPN. Максимальное число компьютеров в SOHO
не более 5. Кроме того, имеется небольшой штат сотрудников корпорации, которые
соединяются с главным офисом по Internet.
Рисунок 1. Схема расположения корпорации CorpGDV.
В качестве исходных данных примите достаточность полосы пропускания каналов
передачи данных для обеспечения сетевого трафика с удовлетворительным клиентским
откликом. Однако вы должны таким образом спроектировать местоположение серверов,
чтобы минимизировать служебный трафик сети. Базовой технологией сети является Ethernet по
стандарту 100/1000BASE-T и FDDI.
Каждое
подразделение
корпорации
имеет
свой
конфиденциальный сервер приложений, доступ к которому могут иметь только сотрудники
соответствующего подразделения.
Для внешних IP_интернет адресов используется следующий диапазон адресов (Public_IP)
131.107.8.0/24
Для диапазона внутренних адресов (Private_IP) используйте зарезервированный ICANN
диапазон адресов 10.8.0.0/16
6. Исходные данные
6.1. Используемые IP адреса
Для внешних IP адресов будем использовать адреса 131.107.8.0/24, а для внутренних
адресов используем 10.8.0.0/16. Также определим параметры K и L: K=3, L = 2.
6.2. Здание А (основной офис)
Рассмотрим распределение сотрудников по этажам в здании А (здесь же находятся
сотрудники общекорпоративных служб, см ниже):
Этаж 3 (Project 1): число рабочих комнат = 3, число рабочих станций в комнате = 23, всего 69
Этаж 4 (Project 2): число рабочих комнат = 10, число рабочих станций в комнате = 9, всего 90
Этаж 5 (Project 3): число рабочих комнат = 11, число рабочих станций в комнате = 6, всего 66.
Всего 225 рабочих станций.
6.3. Здание B (производство)
Рассмотрим распределение сотрудников по этажам в здании B:
Подразделение М1: число рабочих комнат = 25, число рабочих станций в комнате = 8, всего 200
Подразделение М2: число рабочих комнат = 16, число рабочих станций в комнате = 24, всего 384
Подразделение П: число рабочих комнат = 8, число рабочих станций в комнате = 45, всего 360.
Всего 944 рабочих станций.
6.4. Здание C (разработка)
Рассмотрим распределение сотрудников по этажам в здании С:
Этаж 1: число рабочих комнат = 8, число рабочих станций в комнате = 13, всего 104,
Этаж 2: число рабочих комнат = 11, число рабочих станций в комнате = 12, всего 132.
Всего 236 рабочих станций.
6.5. Общекорпоративные службы
Рассмотрим распределение сотрудников общекорпоративных служб (находятся в здании А):
Этаж 1:
HR: число рабочих комнат = 4, число рабочих станций в комнате = 6, всего 24,
Этаж 2:
Accounting: число рабочих комнат = 3, число рабочих станций в комнате = 7, всего 21
Business: число рабочих комнат = 2, число рабочих станций в комнате = 4, всего 8.
Всего 53 рабочих станций.
6.6. Внешние сотрудники
Рассмотрим сотрудников, подключающихся извне:
SOHO: число групп сотрудников = 6, число рабочих станцией в группе = 5, всего 30.
Внешние сотрудники: число рабочих станций = 20.
Всего 50 рабочих станций.
6.7. Всего
Всего в сети планируется разместить 1508 рабочих станций.
7. Распределение IP адресов
Всего предполагается использовать подсеть, имеющую чуть более 65 тысяч адресов. Т.к. этого
более чем достаточно, можно оставить в каждом подразделении резерв для расширения
инфраструктуры.
Подразделение
Подсеть
Центральные ресурсы сети + резерв
10.8.0.0/20 (4080 адресов)
Здание А
10.8.16.0/20 (4080 адресов)
Сетевая инфраструктура
10.8.16.0/23 (512 адресов)
Этаж 3
10.8.18.0/23 (512 адресов)
Этаж 4
10.8.20.0/23 (512 адресов)
Этаж 5
10.8.22.0/23 (512 адресов)
Здание B
10.8.32.0/19 (8160 адресов)
Сетевая инфраструктура
10.8.32.0/23 (512 адресов)
Подразделение M1
10.8.34.0/23 (512 адресов)
Подразделение M2
10.8.36.0/22 (1024 адресов)
Подразделение П
10.8.40.0/22 (1024 адресов)
Здание С
10.8.64.0/20 (4080 адресов)
Сетевая инфраструктура
10.8.64.0/23 (512 адресов)
Этаж 1
10.8.66.0/23 (512 адресов)
Этаж 2
10.8.68.0/23 (512 адресов)
Общекорпоративные службы
10.8.80.0/20 (4080 адресов)
Сетевая инфраструктура
10.8.80.0/23 (512 адресов)
HR
10.8.82.0/23 (512 адресов)
Accounting
10.8.84.0/23 (512 адресов)
Business
10.8.86.0/23 (512 адресов)
Внешние сотрудники
10.8.96.0/20 (4080 адресов)
Сетевая инфраструктура
10.8.96.0/23 (512 адресов)
SOHO
10.8.98.0/23 (512 адресов)
Удаленные сотрудники
10.8.100.0/23 (512 адресов)
8. Проектирование структуры сети
В соответствии с рассчитанным в разделе 6 распределением рабочих станций по этажам и
комнатам определяем количество портов/интерфейсов на каждом этаже с учетом резерва в 20%.
Резервирование делаем в виду того, что затраты на прокладку кабеля сопоставимы с ценой
прокладываемых кабелей. Поэтому вторичная прокладка кабеля для небольшого числа
пользователей (портов/интерфейсов) обойдется незначительно дешевле первичной, при этом
нужно не забывать о непригодности рабочих площадей на время осуществления вторичной
прокладки (недоиспользование ресурсов).
8.1. Расположение оборудования на КМ центрах этажей
8.1.1. В рабочих комнатах
Оборудование уровня доступа находится непосредственно в помещении рабочей группы
(комната). Далее всё оборудование уровня доступа подключается к коммутационному центру
этажа, а от него уже - к коммутационному центру здания - см. Рисунок 2.
Рисунок 2. Вариант горизонтальной структурированной кабельной системы.
Достоинства:
Минимальные длины кабелей, т.е. от конечных пользователей до коммутатора,
находящегося в этой же комнате (соседней).
Недостатки:
Необходимость физической защиты каждого устройства уровня доступа (от
возможности подключения случайного лица к порту управления, даже от просмотра
количества мигающих лампочек). Т.е. необходимо специальное изолированное
помещение (контейнер), закрытое на ключ.
Затраты на дополнительное центральное устройство (КМ центр этажа)
в
горизонтальной СКС, к которому подключаются отдельные устройства уровня
доступа.
8.1.2. В КМ центре этажа
Все оборудование уровня доступа находится в отдельном помещении (если этаж имеет
значительные площади, то потребуется несколько таких помещений), равноудаленном от самых
дальних конечных пользователей. От этого оборудования до конечных пользователей
протягиваются отдельные кабели до каждого пользователя. Далее каждое устройство уровня
доступа подключается по отдельной линии к коммутационному центру здания – см. Рисунок 3.
Рисунок 3. Вариант горизонтальной структурированной кабельной системы
Достоинства:
Нет затрат на дополнительное центральное устройство (КМ центр этажа) в
горизонтальной СКС.
Необходимость физической защиты только одного помещения (если размеры этажа
малы, например, 100м на 100м) – коммутационного узла этажа.
Недостатки:
Большие длины и количество кабелей, т.е. от каждого конечного пользователя до КМ
центра этажа и от каждого устройства в нем до КМ центра здания.
8.1.3. Сравнение вариантов
В соответствии с рассчитанным в разделе 6 распределением рабочих станций по этажам,
количество портов/интерфейсов на каждом этаже с учетом резерва в 20% не превышает 461. Т.к. на
одно рабочее место требуется как минимум 4м2 , то минимальная площадь этажа 461 ∙ 4м2 =
1844м2 ≪ 100м ∙ 100м = 10000м2 , поэтому считаем, что площадь этажа позволяет применить
вариант 2. Это позволяет не использовать дополнительное оборудование для соединения
устройств уровня доступа, потребуется физическая защита только одного служебного помещения –
КМ центра этажа (пока рассматривается только горизонтальная СКС).
При выбранном варианте КМ центр здания будет соответствовать уровню распределения и
будет связан с КМ центрами этажа (уровень доступа) по вертикальной СКС. КМ центр здания
расположим на первом этаже вместе с КМ центром первого этажа в геометрическом центре
первого этажа – ввиду того, что на самом низком из доступных этажей во всех зданиях находиться
меньше всего пользователей. Кроме того при дальнейшем развитии расположение КМ центра
здания первом этаже может облегчить монтаж большого или тяжелого оборудования, которое не
всегда возможно поднять на высокие этажи, из-за особенностей здания. При этом длина
необходимых кабелей для подключения к КМ центру здания самого удаленного КМ центра этажа –
КМ центра 5 этажа = высоту этажа (около 3м) * 5 этажей + технологический запас (10м + 10м = 20м)
= около 15 м + 20м = 35м < 100м, следовательно, достаточно применения обычной в/п.
8.2. Взаимное подключение устройств уровня доступа и уровня распределения
Соединение SW уровня распределения – для растягивания VLAN’ов. Т.е. порты, соединяющие
SW уровня распределения, настраиваются как trunk-порты, т.е. через них могут “ходить” разные
VLAN с помощью тегирования кадров по 802.1Q/p или ISL (Cisco Systems).
Кругом вокруг линий связи обозначено агрегирование линий – Link Aggregation по 802.3ad
или по EtherChannel (Cisco Systems).
8.2.1. Вариант 1
Типовой простой вариант. Есть петли – нужен STP или технология Flex Links фирмы Cisco
Systems с временем сходимости 100мс. Сходимость STP от 300мс до 2с (есть механизмы ускорения
STP: UDLD, loopGuard, root Guard, backbone Fast, uplink Fast, не говоря о более современных версиях
STP). При использовании простого STP (802.1D) или RSTP (802.1w) один из SW L3 будет выбран за
корневой (это желательно, можно настроить, либо у него минимальный ID(2Байта)_MAC), а
низходяшие связи от другого SW L3 будут заблокированы. При использовании PerVLANSTP (Cisco
Systems) или MSTP (802.1s) дерево строиться отдельно для каждого VLAN или для каждой группы
VLAN.
При этом одни линии будут активными для одного VLAN или группы VLAN, и они же могут
быть резервными (заблокированными) для другого VLAN или группы VLAN, и наоборот.
Недостаток – плохая балансировка трафика. Например, обычная линия связи – активная для
VLAN 20, 40, 60, а пунктирная линия связи – для VLAN 10, 30, 50. Неизвестно какие будут загрузки у
этих двух групп VLAN, но в любом случае балансировка не возможна.
Рисунок 4. Вариант 1 подключения устройств уровней доступа и распределения.
8.2.2. Вариант 2
Экономия восходящих к уровню распределения связей. Есть петли – нужен STP.
Рисунок 5. Вариант 2 подключения устройств уровней доступа и распределения.
8.2.3. Вариант 3
Нет петель – STP не нужен. Вариант не предоставляет резервирования устройств уровня
распределения. Сервер может периодически ping’овать оба SW L2 для переключения на резервную
связь при отказе основной.
Рисунок 6. Вариант 3 подключения устройств уровней доступа и распределения.
8.2.4. Вариант 4
Нет петель – STP не нужен. Но нет L2 связи между разными VLAN – только через верхний
уровень ядра протягиваются.
Рисунок 7. Вариант 4 подключения устройств уровней доступа и распределения.
8.2.5. Вариант 5
Нет петель – STP не нужен. Virtual Switching System (VSS) называется у Cisco Systems. Реально
два Catalyst 6500 + sup720-10GE используют один IP для управления обоими устройствами. Быстрое
восстановление (fail over). Не нужен FHRP, т.к. логически – одно устройство.
Рисунок 8. Вариант 5 подключения устройств уровней доступа и распределения.
8.2.6. Вариант 6
Полная маршрутизация. Желательно использование протокола FHRP. Быстрая сходимость.
Недостатки: невозможно растянуть VLAN (вообще нет смысла применять VLAN), адресное
пространство существующих сетей плохо структурировано, дорого (L3), сервисы DHCP (Dynamic
Host Configuration Protocol) необходимо выносить на уровень доступа.
Рисунок 9. Вариант 6 подключения устройств уровней доступа и распределения.
8.2.7. Выбор варианта
Выберем первый вариант ввиду указанных его преимуществ (вместе с использованием
технологии Link Aggregation Control Protocol, LACP или Port Aggregation Protocol, PagP Cisco Systems).
Последние три варианта требуют соответственно стекируемых КМ уровня доступа, применения на
уровне распределения КМ серии Cisco Catalyst 6500 или подобных устройств других
производителей (такие устройства можно ставить на уровне ядра и даже как граничные устройства
локальной сети), использования SW L3 на уровне доступа, что неоправданно дорого.
В итоге оптимальным оказывается вариант 1.
9. Выбор оборудования
9.1. Выбор оборудования уровня доступа
Для всей сети предприятия потребуется около 40 КМ (см. раздел 6), из которых 4 будут
использоваться для подключения и поддержки точек доступа беспроводной сети. Итого 50 - 4 = 46
КМ будут выбранной модели, поэтому выбор очень важен.
К КМ уровня доступа предъявляются следующие требования:
Наличие нужного количества портов необходимых технологий LAN (Ethernet = IEEE
802.3 10BASE-T, 802.3u 100BASE-T/TX, 802.3ab 1000BASE-T, 802.3z 1000BASE-X) для
подключения пользователей и для соединения с оборудованием верхнего уровня (
уровня распределения ).
Производительность (Forwarding Rate в Mpps-Millions packets per second для 64Бпакетов и/или Switching capacity в Gbps-Gigabit per second)
Поддержка протоколов резервирования связей STP, RSTP, MSTP, PVRST (для
резервирования связей – IEEE 802.1d и 802.1w, 802.1s, Cisco Systems).
Поддержка Quality of Service, QoS по IEEE 802.1p – Class of Service, CoS и , желательно,
L3 QoS для маркирования Differential Service Control Point, DSCP и/или обслуживания
трафика по приоритетам.
Port security на основе MAC – адреса, аутентификации по стандарту IEEE 802.1x и/или
с использованием серверов TACACS+ and RADIUS.
-
IGMP(v1,v2,v3)-snooping, DHCP-snooping и Arp-inspection.
Поддержку PoE по IEEE 802.3af – опционально.
Агрегирование каналов по стандарту 802.3ad или EtherChannel компании Cisco
Systems.
Поддержка VLAN и trunk-портов по IEEE 802.1q/p или по Cisco Systems ISL. Протокол
VLAN Trunking Protocol, VTP (server, transparent only).
Протокол удаленного управления – Simple Network Management Protocol (v1, v2, v3).
Local ARP для минимизации широковещательного трафика.
Фильтрация трафика на L2.
Экономически обосновано закупать одинаковые 48-портовые КМ, т.к. при этом удельная
цена порта становиться меньше, а унификация оборудования облегчает настройку – одна
конфигурация на все КМ.
Среди оборудования фирмы Cisco Systems для уровня доступа (КМ центра этажа)
предлагаются устройства:
1. Catalyst Express 500
2. Catalyst 2960
3. Catalyst 3560
4. Catalyst 3560-E
5. Catalyst 3750
6. Catalyst 3750-E.
Первая из представленных серия не обладает 48-ми портовыми устройствами и
предназначена для малых офисов (до 250 сотрудников – [2]), поэтому данная серия не
рассматривается.
Вторая из представленных серия предоставляет широкий выбор устройств различной
производительности, набора портов, и поддерживает все указанные требования для SW уровня
доступа. В таблице 2.1 представлены сравнительные характеристики 48-ми портовых устройств
этой серии.
Model
Port Density and Type
2960-48PST-L
48 Ethernet 10/100 PoE ports and 2
Forwarding Rate
13.3 mpps
Price, US $
-
Gigabit Ethernet uplinks and 2 SFP
uplinks
2960-48TT-L
48 Ethernet 10/100 ports and 2 10.1 mpps
2495
10/100/1000 uplinks
2960-48TC-L
48 Ethernet 10/100 ports and 2 dual- 10.1 mpps
4495
purpose Gigabit Ethernet uplinks
2960G-48TC-L
44 Ethernet 10/100/1000 ports and 4 39.0 mpps
5995
dual-purpose Gigabit Ethernet uplinks
Таблица 1. Сравнительные характеристики 48-ми портовых SW Catalyst 2960
Общие для этой серии характеристики:
Switching fabric
16 Gbps - Catalyst 2960-48PST-L, Catalyst 2960-48TT-L, Catalyst 2960-48TC-L.
32 Gbps - Catalyst 2960G-48TC-L
64 MB DRAM
32 MB flash memory
Configurable up to 8000 MAC addresses
Configurable up to 255 IGMP groups
Следующие серии (Catalyst 3560, Catalyst 3560-E, Catalyst 3750, Catalyst 3750-E) слишком
дороги для установки их на уровне доступа. Цена 48-портового КМ этой серии – от 4995 US $ до
13 490 US $.
Т.к. КМ центры этажей расположены в геометрическом центре этажей и соединены с КМ
центром здания, расположенном в геометрическом центре второго этажа, то длина uplink-кабелей
от КМ уровня доступа до уровня распределения < 100м (см. пункт 8.1.3), применяем Ethernet
1000BASE-TX.
Выберем в качестве КМ уровня доступа устройство – Cisco Catalyst 2960-48TT-L, его вид
представлен на Рисунок 10, основные характеристики представлены в Таблица 2.
Рисунок 10. Вид Catalyst 2960-48TT.
Стоимость: -S = 1179.67 US $, -L = 1639.71 US $ (http://www.ritm-it.ru/).
-S = 1795 US $ , -L = 2495 US $(GPL)
Description
Performance
Specification
16 Gbps switching fabric Catalyst 2960-48TT-L
Forwarding rate based on 64-byte packets: 10.1 Mpps
64 MB DRAM
32 MB flash memory
Configurable up to 8000 MAC addresses
Configurable maximum transmission unit (MTU) of up to 9000 bytes,
with a maximum Ethernet frame size of 9018 bytes (Jumbo frames).
Connectors
100BASE-TX ports: RJ-45 connectors, 2-pair Category 5 UTP
and Cabling
1000BASE-T ports: RJ-45 connectors, 4-pair Category 5 UTP
1000BASE-T SFP-based ports: RJ-45 connectors, 4-pair Category 5 UTP
1000BASE-SX, -LX/LH, -ZX, -BX and CWDM SFP-based ports: LC fiber
connectors (single/multimode fiber)
100BASE-LX, -BX, -FX: LC fiber connectors (single/multimode fiber).
Integrated Cisco IOS
Per-port broadcast, multicast, and unicast storm control prevents
Software Features for
faulty end stations from degrading overall systems performance.
Bandwidth
IEEE 802.1d Spanning Tree Protocol
Optimization
PVST+ allows for Layer 2 load sharing on redundant links
IEEE 802.1s Multiple Spanning Tree Protocol
Local Proxy Address Resolution Protocol (ARP)
VLAN Trunking Protocol (VTP) pruning limits bandwidth consumption
on VTP trunks by flooding broadcast traffic only on trunk links required
to reach the destination devices.
Internet Group Management Protocol (IGMP) version 3 snooping
provides fast client joins and leaves of multicast streams and limits
bandwidth-intensive video traffic to only the requestors.
IGMP filtering provides multicast authentication by filtering out no
subscribers and limits the number of concurrent multicast streams
available per port.
Advanced QoS
Standard 802.1p CoS and DSCP field classification (L2, L3, L4)
Cisco control-plane and data-plane QoS ACLs on all ports
Four egress queues per port, Weighted tail drop (WTD)
There is no performance penalty for highly granular QoS functions.
Networkwide Security
IEEE 802.1x allows dynamic, port-based security, providing user
Features
authentication.
Web authentication for non-802.1x clients allows non-802.1x clients to
use an SSL-based browser for authentication.
Port-based ACLs for Layer 2 interfaces allow application of security
policies on individual switch ports.
Unicast MAC filtering
SSHv2 and SNMPv3 provide network security by encrypting
administrator traffic during Telnet and SNMP sessions.
TACACS+ and RADIUS authentication enable centralized control of the
switch and restrict unauthorized users from altering the configuration.
DHCP snooping allows administrators to ensure consistent mapping of
IP to MAC addresses.
DHCP Interface Tracker (Option 82) feature augments a host IP address
request with the switch port ID.
Port security secures the access to an access or trunk port based on
MAC address.
After a specific timeframe, the aging feature removes the MAC address
from the switch to allow another device to connect to the same port.
Spanning-Tree Root Guard (STRG)
Таблица 2. Основные характеристики Catalyst 2960-48TT
При этом цена активного оборудования уровня доступа для всей сети корпорации, не считая
устройств для подключения точек доступа беспроводной сети (см.ниже), составит :
40 ∗ 2495 𝑈𝑆 $ (𝐺𝑃𝐿) = 99 800 𝑈𝑆$.
Возможно существенное удешевление суммарной стоимости активного оборудования
уровня доступа всей корпорации, если использовать на уровне доступа аналогичное по
характеристикам оборудование других фирм-производителей (вендеров). Так, например, КМ DES3052/E фирмы производителя D-Link стоит 734 US$ [3]. Приведем очень кратко его
функциональные возможности – Таблица 3 (источник – [4]):
DES-3052/E ( 48-Port 10/100Mbps + 2 1000BASE-T + 2 Combo 1000BASE-T/SFP L2 Management Switch )
= 734,00 US $
4K of 802.1Q VLAN Support, QoS support, Traffic Segmentation, GVRP
QoS 802.1p, 4 queues, WRR / Strict mode (VLAN ID, TOS, DSCP, TCP/UDP port, Data)
256 ACL Support, IP-MAC-Port Binding, Port Security, IGMP snooping, Port mirroring
802.1D (STP), 802.1w (RSTP), 802.1s MSTP, STP Loopback Detection, 802.3ad Link Aggregation, BPDU
filtering
802.1x Port-based Access Control, 802.1x MAC-based Access Control, 802.1x Guest VLAN,
RADIUS/TACACS+ Authentication
Single IP Management, Web-configuration, CLI, Telnet, TFTP, SNMP v3, DHCP autoconfig.
Таблица 3. Краткие характеристики и стоимость КМ DES-3052/E фирмы D-Link
Коммутационная фабрика: 17.6 Гбит/с
Скорость передачи 64-байтных пакетов: 13.1 Mpps
Таблица МАС-адресов: 8К
SDRAM для CPU: 64Мб
Размер буфера пакетов: 4 Мб
Flash-память: 8Мб
Jumbo-фреймы (2048 байт для tagged, 2044 байт для untagged)
Т.е. данный КМ полностью удовлетворяет требованиям к КМ уровня доступа,
представленным выше, а стоимость его в 3.39 раза меньше стоимости используемого WS-C296048TT-L (GPL). При этом цена активного оборудования уровня доступа для всей сети корпорации, не
считая устройств для подключения точек доступа беспроводной сети (см.ниже), составит :
40 ∗ 734 𝑈𝑆 $ = 29 360 𝑈𝑆 $.
9.2. Выбор оборудования для беспроводной сети (WLAN)
Рассмотрим, предлагаемое Cisco оборудование
9.2.1. Отдельные контролеры беспроводного доступа:
9.2.1.1. Cisco 2100 Series
Рисунок 11. Внешний вид Cisco 2100 Series.
The Cisco Wireless LAN Controllers work in conjunction with Cisco Aironet access points and the
Cisco Wireless Control System (WCS) to provide systemwide wireless LAN functions.
The Cisco 2100 Series Wireless LAN Controllers supports six, twelve or twenty-five access points,
making it a cost-effective solution for enterprise branches and small and medium-sized businesses. The
Cisco 2100 Series Wireless LAN Controllers come with eight Ethernet ports, two of which can provide
power directly to Cisco lightweight access points.
Performance up to 100 Mbps. Wireless Standards IEEE 802.11a, 802.11b, 802.11g, 802.11d,
802.11h, 802.11n. Security Standards: Wi-Fi Protected Access IEEE 802.11i (WPA2, RSN), RFC 1321 MD5
Message-Digest Algorithm, RFC 2104 HMAC: Keyed Hashing for Message Authentication, RFC 2246 TLS
Protocol V1.0, RFC 3280 X.509 PKI Certificate and CRL Profile. Authentication, Authorization, and
Accounting (AAA): IEEE 802.1x, RFC 2716 PPP EAP-TLS, RFC 2865 RADIUS Authentication, RFC 2866
RADIUS Accounting, RFC 2867 RADIUS Tunnel Accounting, RFC 2869 RADIUS Extensions, Web-based
authentication.
- Cisco 4400 Series
9.2.1.2. Cisco 5500 Series
Основные преимущества Cisco 5500 Series:
-
Supports 12, 25, 50,100 or 250 access points.
-
Wireless Standards:
IEEE 802.11a, 802.11b, 802.11g, 802.11d, WMM/802.11e, 802.11h,
802.11n
-
Security Standards: IEEE 802.11i (WPA2, RSN), MD5, RFC 1851 The ESP Triple DES Transform,
HMAC, TLS Prot V1.0, RFC 2403 HMAC-MD5-96 within ESP and AH (IPsec), RFC 2404 HMACSHA-1-96 within ESP and AH, RFC 2405 ESP DES-CBC Cipher Algorithm with Explicit IV, RFC 2406
IPsec, RFC 2408 ISAKMP, RFC 2409 IKE, RFC 2451 ESP CBC-Mode Cipher Algorithms, X.509 PKI,
RFC 3602 The AES-CBC Cipher Algorithm and Its Use with IPsec, RFC 3686 Using AES Counter
Mode with IPsec ESP, RFC 4347 Datagram Transport Layer Security, RFC 4346 TLS Protocol
Version 1.1.
Основной недостаток этих устройств – их специфичность из чего следует сложность их
настройки.
9.2.2. R с возможностью подключения модуля контроля WLAN
Рисунок 12. Внешний вид Cisco wireless LAN (WLAN) controller module.
Поддерживаемые носители модуля: Cisco 2800, Cisco 2900, Cisco 3800, Cisco 3900 Series
Integrated Services Routers и Cisco 3700 Series (2600, 2800 не поддерживаются).
With performance up to 100 Mbps, the Cisco Wireless LAN Controller Modules enable small and
medium-sized branch offices to deploy collaboration applications such as guest access and mobile voice.
The Cisco Wireless LAN Controller Modules manage up to twenty-five Cisco Aironet access points.
Organizations can offer robust coverage with 802.11 a/b/g or deliver unprecedented reliability using
802.11n, Cisco Next-Generation Wireless Solutions.
Этот вариант – для малых и средних офисов плох ещё тем, что используются отдельные
устройства L3, которые нужно конфигурировать, назначать IP-адреса.
9.2.3. Модули для высокопроизводительных SW и R:
The Cisco® Catalyst 6500 Series/Cisco 7600 Series Wireless Services Module (WiSM) provides
unparalleled security, mobility, redundancy, and ease of use for business-critical wireless LANs (WLANs).
It delivers the most secure wireless system available by offering centralized security policies, wireless
intrusion prevention system (IPS) capabilities, award-winning RF management, quality of service (QoS),
and Layer 3 fast secure roaming for WLANs. As a key component of the Cisco Unified Wireless Network
for the enterprise, and Cisco ServiceMesh for service providers, the Cisco WiSM provides the control,
security, redundancy, and reliability that network managers and operators need to scale and manage
their wireless networks easily.
Рисунок 13. Cisco Wireless Services Module
The Cisco WiSM communicates using the emerging Lightweight Access Point Protocol (LWAPP)
standard to establish secure connectivity between access points and modules across Layer 3 networks.
This protocol enables the automation of important WLAN configuration and management functions for
cost-effective operations.
Этот вариант очень дорог, так как предполагает использование модульных устройств серий
SW Catalyst 6500 или R Cisco 7600. Особенно дорого использовать Catalyst 6500.
9.2.4. Встроенный контроллер для Catalyst 3750G-24WS
Рисунок 14. Внешний вид контроллера Catalyst 3750G-24WS.
The Cisco Catalyst 3750G Integrated Wireless LAN Controller adds wireless LAN controller
functions to the stackable, highly resilient Cisco Catalyst 3750G Series Switches. It delivers centralized
security policies, wireless intrusion prevention system (IPS) capabilities, award-winning RF management,
QoS, and Layer 3 fast secure roaming for WLANs. It provides the control, security, redundancy, and
reliability that network managers need to scale and manage their wireless networks as easily as they
scale and manage their traditional wired networks.
As a member of the Cisco Wireless LAN Controller family, the Cisco Catalyst 3750G Integrated
Wireless LAN Controller works in conjunction with Cisco Aironet lightweight access points, the Cisco
Wireless Control System (WCS), and the Cisco Wireless Location Appliance to support mission-critical
wireless data, voice, and video applications. It provides real-time communication between lightweight
access points and other wireless LAN controllers to deliver a secure and unified wireless solution.
The Cisco Catalyst WS-C3750G-24WS-S25 (S50), with 24 10/100/1000 PoE ports, 2 SFP module
slots, and an integrated Cisco wireless LAN controller supporting up to 25(50) Cisco Access Points.
Вариант хорош простотой, наличием 24 портов, каждый из которых поддерживает PoE по
IEEE 802.3af, т.е. можно напрямую подключить 24 точки доступа (далее AP) по Ethernet 1000BASET. При этом каждая AP может поддерживать до 20 активно работающих пользователей, при
использовании ими адаптеров с поддержкой 802.11g (20 * 54Mbps = 1080Mbps > 1000Mbps).
Также важно, что устройства серии Catalyst 3500G – стекируемые и используют технологию
StackWise, пример внешнего вида стека, в котором одно из устройств - WS-C3750G-24WS, смотри
на Рисунок 15.
Рисунок 15. Внешний вид стека из КМ серии Catalyst 3500G с одним -24WS устройством
Ниже представлена схема применения этого варианта:
Рисунок 16. Схема применения устройств WS-C3750G-24WS в WLAN
В итоге, выберем данный вариант для подключения и управления WLAN.
9.2.5. Характеристики устройства WS-C3750G-24WS
Основные характеристики устройства WS-C3750G-24WS представлены в Таблица 4.
Cisco Catalyst 3750G-24WS-24 Ethernet 10/100/1000 ports with IEEE 802.3af, Cisco prestandard
PoE and two SFP uplinks and an integrated wireless LAN controller.
Стоимость: -𝑆25 = 13 472 𝑈𝑆 $, −𝑆50 = 16 758.60 𝑈𝑆 $ (http://www.ritm-it.ru/).
Performance
32-Gbps switching fabric
Stack-forwarding rate of 38.7 mpps for 64-byte packets
Forwarding rate: 38.7 mpps Cisco Catalyst 3750G-24WS
128 MB DRAM and 32 MB Flash memory Cisco Catalyst 3750G-24WS
Configurable up to 12,000 MAC addresses
Configurable up to 11,000 unicast routes
Configurable up to 1000 IGMP groups and multicast routes
Configurable maximum transmission unit (MTU) of up to 9000 bytes, with
a maximum Ethernet frame size of 9018 bytes (jumbo frames) for bridging
on Gigabit Ethernet ports, and up to 1546 bytes for bridging and routing
on Fast Ethernet ports
Wireless
Wired/Switching
Security Standards
Encryption
AAA
IEEE 802.11a, 802.11b, 802.11g, 802.11d, 802.11h, 802.11n
IEEE 802.3u 100BASE-TX specification, IEEE 802.1Q VLAN tagging, and IEEE
802.1D Spanning Tree Protocol
WPA IEEE 802.11i (WPA2, RSN)
RFC 2406 IPSec
RFC 2661 L2TP
RFC 3280 Internet X.509 PKI Certificate and CRL Profile
RFC 3602 The AES-CBC Cipher Algorithm and its use with IPSec
Look at Security Standards Cisco 2100 Series, Cisco 5500 Series
WEP and TKIP-MIC: RC4 40, 104, and 128 bits (static and shared keys)
Secure Sockets Layer (SSL) and TLS: RC4 128-bit and RSA 1024- and 2048bit
AES: CCM, CCMP
IEEE 802.1X
RFC 2716 PPP EAP-TLS
RFC 2865 RADIUS Authentication
RFC 2866 RADIUS Accounting
RFC 2867 RADIUS Tunnel Accounting
RFC 2869 RADIUS Extensions
RFC 3748 Extensible Authentication Protocol
Web-based authentication
Cisco StackWise stacking creates a 32-Gbps switch interconnection.
Stacking does not require user ports. Up to 9 units can be stacked
together for a maximum of 468 10/100 ports, 468 10/100/1000 ports, 108
optical aggregation ports, nine 10 Gigabit Ethernet ports, or any mix
Scalable Stacking
thereof. Additional port combinations can be created by stacking together
the Cisco Catalyst 3750 Series Switches and the Cisco Catalyst 3750-E
Series Switches.
Up to 48 EtherChannel groups are supported per stack.
4 egress queues per port help enable differentiated management of up to
4 traffic types across the stack.
Advanced QoS
Shaped Round Robin (SRR) scheduling helps ensure differential
prioritization of packet flows by intelligently servicing the ingress queues
and egress queues.
Integrated Cisco IOS
Software Features
for Bandwidth
Optimization
Look at Catalyst 2960
PVST+ allows for Layer 2 load sharing on redundant links to efficiently use
the extra capacity inherent in a redundant design.
IEEE 802.1s Multiple Spanning Tree Protocol allows a spanning-tree
instance per VLAN, for Layer 2 load sharing on redundant links.
Equal-cost routing facilitates Layer 3 load balancing and redundancy
across the stack.
Look at Catalyst 2960
IEEE 802.1x allows dynamic, port-based security, providing user
authentication.
Cisco standard and extended IP security router ACLs define security
policies on routed interfaces for control-plane and data-plane traffic.
Networkwide
Security Features
Secure Shell (SSH) Protocol, Kerberos, and Simple Network Management
Protocol Version 3 (SNMPv3).
Dynamic ARP Inspection helps ensure user integrity by preventing
malicious users from exploiting the insecure nature of the ARP protocol.
DHCP Snooping prevents malicious users from spoofing a DHCP server and
sending out bogus addresses. This feature is used by other primary
security features to prevent a number of other attacks such as ARP
poisoning.
TACACS+ and RADIUS authentication facilitate centralized control of the
switch and restrict unauthorized users from altering the configuration.
DHCP Snooping - consistent mapping of IP to MAC addresses.
IGMP filtering provides multicast authentication by filtering out
nonsubscribers and limits the number of concurrent multicast streams
available per port.
1000 access control entries (ACEs) are supported.
Look at Catalyst 2960
Таблица 4. Основные харакеристики устройства WS-C3750G-24WS.
Точки доступа будут модели Aironet 1140 Series (точка доступа-AP типа Indoor с поддержкой
технологии Cisco M-Drive, есть ещё типы – WirelessMech и Challenging RF environments - см. [2]), её
внешний вид представлен на Рисунок 17. Стоимость 1300 US $.
Рисунок 17. Внешний вид Aironet 1140 Series AP.
9.3. Выбор оборудования для уровней распределения
В основном для КМ уровня распределения предъявляются следующие требования:
Наличие нужного количества портов нужных технологий LAN для подключения
пользователей и для соединения с оборудованием верхнего уровня ( уровня ядра )
Высокая производительность (Forwarding Rate в Mpps-Millions packets per second для
64Б-пакетов и/или Switching capacity в Gbps-Gigabit per second)
Характеристики надежности, например коэффициент готовности, близкий к 1,
например 0.995, и другие характеристики надежности.
kГ
t0
, где
t0 t В
t0 e t
t В e t , где
интенсивность _ отказов
интенсивность _ восстановления
Поддержка протоколов резервирования First Hop Redundancy Protocol (FHRP): HSRP
VRRP, GLBP – на основе виртуальных MAC (см. в Перечень обозначений и
сокращений).
Поддержка и обеспечение(тегирование) приоритетов QoS( 802.1Q/p, ToS (DSCP) ),
нескольких очередей для приоритетного трафика и алгоритмов, связанных с
обработкой этих очередей (например, Weighted Fair Quering, WFQ). Протоколов
обеспечения сквозного качества обслуживания (Resource ReSerVation Protocol, RSVP;
MultiProtocol Label Switching, MPLS ) работают на граничных МШ.
В качестве оборудования уровня распределения (КМ центра здания) можно выбрать
следующие модели КМ:
1. Cisco Catalyst 3560-E
2. Cisco Catalyst 3750-E
3. Cisco Catalyst 4500/4500-E
4. Cisco Catalyst 6500/6500-E
Т.к. каждый КМ уровня доступа (КМ центра этажа) будет подключаться к КМ
уровня
распределения (КМ центра здания) по отдельным двум (резервирование) линиям, то в Главном
офисе (Здание А) в КМ центра здания будут идти 9 ∙ 2 = 18 𝐺𝐸 (1000BASE-T) линий от КМ уровня
доступа, 2 ∙ 2 = 4 𝐺𝐸 (1000BASE-T SFP-based) линии от КМ обеспечения точек доступа
беспроводной сети и 4 ∙ 10 𝐺𝐸 (10GBASE-CX4) линии от КМ серверной фермы. Таким образом,
суммарный нисходящий возможный поток даже без учета дуплексного режима может составлять
22 𝐺𝑏𝑝𝑠 + 40 𝐺𝑏𝑝𝑠 = 62 𝐺𝑏𝑝𝑠, а с учетом восходящих связей и дуплескного режима
(одновременной передаче в двух направлениях по одной (условно) линии) может составлять 128
Gbps (условно). Такое количество разнородных портов (интерфейсов) могут обеспечить только
высокопроизводительные многоуровневые модульные коммутаторы серий Catalyst 4500/4500E и
Catalyst 6500/6500E.
В
здании
Б
суммарный
максимальный
поток
без
учета
дуплекса
составит
соответственно 92 𝐺𝑏𝑝𝑠, а с учетом дуплексного режима до 190 𝐺𝑏𝑝𝑠.
Количество коммутаторов уровня доступа в здании C совпадает с колиечством в здании A,
значит логично использовать такое же оборудование как и в здании A.
Производительность Catalyst 4500 серии ограничивается вариантом – Catalyst WS-C4510R +
Supervisor 6-E, и составляет 136 Gbps, 102 Mpps, чего может не хватить при расширении
предприятия. Производительность Catalyst 4500E серии ограничивается вариантом – Catalyst WSC4510R-E + Supervisor 6-E, и составляет 320 Gbps, 250 Mpps, чего более, чем достаточно даже с
учетом возможного роста компании как для здания А, так и для здания Б.
Таким
образом
серия
Catalyst
4500E
полностью
удовлетворяет
запросам
по
производительности даже с учетом роста компании, поэтому остановимся на ней (затраты на
устройства серии Catalyst 6500/6500E будут неоправданные).
Сравнительные характеристики производительности устройств серии Catalyst 4500E в
зависимости от типа шасси и модели супервизора (supervisor) см. в Таблица 5.
Superviso
Feature
r II-PlusTS
Catalyst WS-
Supervis
or II-Plus
Supervisor
II-Plus10GE
Supervis
Supervis
Supervisor
Supervisor
or IV
or V
V-10GE
6-E
64 Gbps
28 Gbps
72 Gbps
28 Gbps
28 Gbps
72 Gbps
136 Gbps
48 mpps
21 mpps
54 mpps
21 mpps
21 mpps
54 mpps
116 mpps
64 Gbps
108 Gbps
64 Gbps
64 Gbps
108 Gbps
280 Gbps
48 mpps
81 mpps
48 mpps
48 mpps
81 mpps
225 mpps
64 Gbps
108 Gbps
64 Gbps
68 Gbps
108 Gbps
280 Gbps
48 mpps
81 mpps
48 mpps
51 mpps
81 mpps
225 mpps
C4503-E
Chassis
Catalyst WSC4506-E
-
Chassis
Catalyst WSC4507R-E
Chassis
-
Catalyst WS-
-
C4510R-E
-
-
96 Gbps
136 Gbps
320 Gbps
72 mpps
102 mpps
250 mpps
-
Таблица 5. Сравнительные характеристики производительности устройств Catalyst 4500E.
Остановимся на варианте КМ центра здания = 2 * ( Catalyst WS-C4506-E Chassis + Supervisor
6-E), хотя реально хватило бы и Supervisor V-10GE, но зато при необходимости увеличить
производительность КМ узла здания потребуется купить только два новых шасси Catalyst WSC4510R-E, что увеличит производительность до 320𝐺𝑏𝑝𝑠.
250 mpps (интерфейсные карты – Line Cards, Supervisor, блоки питания и вентиляторы можно
будет оставить). Серия Catalyst 4500-E обеспечивает производительность 24𝐺𝑏𝑝𝑠 на каждый слот
(интерфейсную карту) при использовании Supervisor 6-E.
На Рисунок 18 представлен внешний вид Catalyst WS-C4506-E Chassis + Supervisor 6-E с 4 48портовыми RJ-45 (10/100/1000BASE-T) интерфейсными картами и одной картой WS-X4606-X2-E с 6
10GBASE-X портами.
Рисунок 18. Внешний вид Catalyst WS-C4506-E Chassis + Supervisor 6-E
Стоимость:
Catalyst WS-C4506-E Chassis (WS-C4506-E) - 4995 US $ (GPL)
Supervisor 6-E, 2x10GE(X2) (WS-X45-SUP6-E) - 19995 US $
Осталось выбрать интерфейсные карты
Как описано выше в Главном офисе к КМ центру здания подключены 46 1000BASE-T, 4
10GE (10GBASE-CX4) и 4 восходяшие связи (100BASE-TX – можно использовать обычные
10/100/1000BASE-T порты). Т.к. это указано с учетом резервирования оборудования, то эти цифры
делятся на два и полученные значения переходят в требования к составу интерфейсных карт (Line
Cards).
Т.к. два порта 10GE (X2) имеются на супервизоре, то дополнительной интерфейсной карты
для 10GE не потребуется. Для ( 46 + 4 ) / 2 = 25 1000BASE-T можно использовать одну из
следующих интерфейсных карт (Таблица 2.7):
WS-X4548-GB-RJ45
Catalyst 4500 Enhanced 48
WS-X4548-RJ45V+
Catalyst 4500 Classic 48
WS-X4548-GB-RJ45V
Catalyst 4500 PoE 802.3af 10/100/1000, 48
WS-X4648-RJ45V-E
Catalyst 4500 E-Series 48-Port PoE 10/100/1000(RJ45)
WS-X4648-RJ45V+E
Catalyst 4500 E-Series 48-Port Premium PoE 10/100/1000 (RJ45)
Таблица 6. Интерфейсные карты для 1000BASE-T (RJ-45)
Ещё подходит WS-X4448-GB-RJ45 Cisco Catalyst 4500 48-Port 10/100/1000 Module (RJ-45).
WS-X4648-RJ45V+E
Catalyst 4500 E-Series 48-Port Premium PoE 10/100/1000
11995
WS-X4648-RJ45V-E
Catalyst 4500 E-Series 48-Port PoE 802.3af 10/100/1000(RJ45)
9495
WS-X4548-GB-RJ45
Catalyst 4500 Enhanced 48-Port 10/100/1000 Base-T (RJ-45)
5495
WS-X4548-GB-RJ45V
Catalyst 4500 PoE 802.3af 10/100/1000, 48-Ports (RJ45)
7495
Таблица 7. Интерфейсные карты для 1000BASE-T (RJ-45)
Выберем WS-X4548-GB-RJ45 Cisco Catalyst 4500 Enhanced 48-Port 10/100/1000 Module (RJ-45)
за 5495 US $ (GPL) и 3611 US $ (http://www.ritm-it.ru/), внешний вид которой представлен на
Рисунок 19.
Рисунок 19. Внешний вид WS-X4548-GB-RJ45
WS-X4548-GB-RJ45: • 48 ports• 10/100/1000 module (RJ-45)
Cisco IOS Software Release 12.1(19)EW or later • IEEE 802.3x flow control
Bandwidth is allocated across six 8-port groups, providing 1 Gbps per port group
More power efficient and more cost effective than the WS-X4448-GB-RJ45
Enterprise and commercial: designed for gigabit to the desktop
Дополнительно необходимо закупить:
оперативная память
MEM-C4K-FLD128M Cat 4500 IOS-based Supervisor, Compact Flash, 128MB
700$
MEM-C4K-FLD64M
Cat 4500 IOS-based Supervisor, Compact Flash, 64MB
400$
PWR-C45-1000AC Catalyst 4500 1000W AC Power Supply (Data Only) Spare
995$
два блока питания
PWR-C45-1300ACV Catalyst 4500 1300W AC Power Supply (Data and PoE)
1495$
PWR-C45-1400AC Catalyst 4500 1400W AC Power Supply (Data Only)(Spare)
1495$
PWR-C45-2800ACV Catalyst 4500 2800W AC Power Supply (Data and PoE)
1995$
PWR-C45-4200ACV Catalyst 4500 4200W AC dual input Power Supply (Data + PoE)
3995$
На сайте - http://www.ritm-it.ru/ в среднем на 34% дешевле.
9.4. Выбор граничного устройства сети (маршрутизатора).
9.4.1. Удаленные пользователи и здание C
Для удаленных пользователей SOHO и Отдела исследователей (Здания С), подключенных к
Internet (и главному офису) через ADSL подойдет простейшая из Branch-класса серия 800 Series
Integrated Services Routers, а именно, модели Cisco 827H ADSL Router и Cisco 827-4V ADSL Router,
либо Cisco 857 (4-port 10/100 Mbps switch) и Cisco 857W (4-port 10/100 Mbps switch) с поддержкой
802.11b/g.
Выберем модель Cisco 857.
Cisco 850 Series integrated services routers are fixed-configuration routers that support
broadband cable and Asymmetric DSL (ADSL) over analog telephone lines connections in small offices.
They provide the performance needed to run concurrent services, including firewall and encryption for
VPNs.
Внешний вид представлен на Рисунок 20, основные характеристики – в Таблице 2.8.
Рисунок 20. Внешний вид маршрутизатора Cisco 857.
Стоимость по GPL
CISCO857-K9
ADSL SOHO Security Router
449 US $
Таблица 8. Основные характеристики Cisco 857.
Feature
Description
• Routing Information Protocol (RIPv1 and RIPv2)
• Layer 2 Tunneling Protocol (L2TP)
Routing
Protocols
General Router Features
and • Network Address Translation (NAT) and Port Address Translation (PAT)
• PPP over Ethernet (PPPoE)
• Dynamic Host Control Protocol (DHCP) server/relay/client
• Access control lists (ACLs)
• Dynamic DNS Support for Cisco IOS
Recommended
Number of Users
10
Stateful Inspection Firewall
Hardware-accelerated Triple Data Encryption Standard (3DES) for IPSec
Hardware-accelerated Advanced Encryption Standard (AES) for IPSec
Security Features
IPSec 3DES termination/initiation
IPSec pass-through
5 VPN Tunnels
Point-to-Point Tunneling Protocol (PPTP) pass-through
L2TP pass-through
Advanced Application Inspection and Control
Security Features
E-mail Inspection Engine
HTTP Inspection Engine
System Logging-EAL4 Certification Enhancements
Weighted Fair Queuing (WFQ)
Quality
of
Service
Features
(QoS) Policy-based routing (PBR)
Per-VC queuing
Per-VC traffic shaping
Default DRAM
64 MB
Default Flash Memory
20 MB
WAN
ADSL over analog telephone lines
LAN Switch
4-port 10/100BASE-T switch
DSL Specifications
ST-Micro DynaMiTe (formerly Alcatel Micro Electronics) ADSL Chipset
(20190)
T1.413 ANSI ADSL DMT issue 2
G.992.1 ITU G.DMT support
G.992.3 ITU G.hs ADSL type negotiation
G.992.3 (ADSL 2)/G.992.5(ADSL2+)
DSL Forum TR-067 The chipset does not provide interoperability with
carrierless amplitude modulation/phase modulation (CAP)-based ADSL
lines.
9.4.2. Главный офис
Для Главного офиса среди маршрутизаторов WAN-класса:
ASR 1000 Series Aggregation Services Routers
7200 Series Routers
Catalyst 6500 Series Switches
Выберем 7200 Series Routers как лучшую серию по соотношению цена/качество, а также
ввиду гибкости выбранной серии (дополнительные модули, в том числе для поддержки
криптографических методов – VPN Service Adapter).
Cisco 7200 Series Security bundles include:
Cisco 7206VXR Router
Cisco Network Processing Engine (depending on the bundle, either a NPE-G1 or NPE-G2)
Cisco IOS® Software Advanced Security feature set (the feature set can vary, depending
on the bundle)
Security service adapter
AC power supply
Processor memory (SDRAM) and flash memory (PCMCIA flash or compact flash)
В модель Cisco 7201 встроен Cisco 7200VXR NPE-G2 Network Processing Engine с
производительностью 2 Mpps, что соответствует как минимум 2 Mpps * 64Bytes per packet = 1024
Mbps (пакет может быть и большего размера), что слишком избыточно для проектируемой сети,
поэтому эта модель не рассматривается далее.
Модели Cisco 7204 и 7206 отличаются только количеством слотов, а т.к. нам нужно всего
два-три интерфейса (T1, ADSL и, желательно, простое подключение к Internet), то достаточно
ресурсов модели Cisco 7204. Таким образом, выбираем модель МШ - Cisco 7204, внешний вид
которого, вместе с NPE-225, представлен на Рисунок 21.
Рисунок 21. Модель МШ Cisco 7204 Series и NPE-225.
Стоимость:
CISCO7204VXR 7204VXR, 4-slot chassis, 1 AC Supply, Spare (w/o IP SW)
4000$
NPE-225
4500$
7200VXR NPE-225 (128MB default memory),SPARE
Для поддержки интерфейса T1 можно использовать один из перечисленных ниже
адаптеров (Port Adapter):
PA-A3-8T1IMA
8-port ATM Inverse Mux T1 Port Adapter, Spare
8000 US $
PA-MC-2T1
2 port multichannel T1 port adapter with integrated CSU/DSUs
4500 US $
PA-MC-4T1
4 port multichannel T1 port adapter with integrated CSU/DSUs
7250 US $
PA-MC-8TE1
8 port multichannel T1/E1 8PRI port adapter
11600 US $
PA-MCX-2TE1
2 port MIX-enabled multichannel T1/E1 with CSU/DSU
5500 US $
PA-MCX-4TE1
4 port MIX-enabled multichannel T1/E1 with CSU/DSU
7250 US $
PA-MCX-8TE1
8 port MIX-enabled multichannel T1/E1 with CSU/DSU
11600 US $
PA-MCX-8TE1-M T1/E1 SS7 link PA for ITP
25000 US $
PA-VXA-1TE1-24 1 Port T1/E1 Digital Voice Port Adapter with 24 Channels
7500 US $
PA-VXA-1TE1-30 1 Port T1/E1 Digital Voice Port Adapter with 30 Channels
8500 US $
PA-VXB-2TE1
2 port T1/E1 moderate capacity enhanced voice PA
11500 US $
PA-VXC-2TE1
2 port TE1 hi-capacity enhanced voice PA
19500 US $
Нам требуется одна линия на одно устройство, поэтому достаточно - Port Adapter
PA-MC-2T1
2 port multichannel T1 port adapter with integrated CSU/DSUs 4500 US $
Для простого подключения к Internet-провайдеру, в зависимости от расстояния до
провайдера и ограничиваясь скоростью подключения в 100Mbps (155,52Mbps) и подключением
через о/в, можно воспользоваться одним из ниже перечисленных адаптеров:
PA-2FE-FX
2-Port Fast Ethernet 100Base FX Port Adapter
5000 US $
PA-A6-OC3MM
1 Port Enh ATM OC3c/STM1 Multimode Port Adapter
8000 US $
PA-A6-OC3SMI
1 Port Enh ATM OC3c/STM1 Singlemode(IR)Port Adapter
10000
PA-A6-OC3SML 1 Port Enh ATM OC3c/STM1 Singlemode(LR)Port Adapter
12000 US $
PA-MC-STM-1MM
1 port multichannel STM-1 multimode port adapter
45000 US $
PA-MC-STM-1SMI
1 port multichannel STM-1 single mode port adapter
46000 US $
PA-POS-1OC3
1 Port Packet/SONET OC3c/STM1 Port Adapter
6000 US $
PA-POS-2OC3
2 Port Packet/SONET OC3c/STM1 Port Adapter
9500 US $
Ввиду популярности Ethernet, воспользуемся - Port Adapter
PA-2FE-FX
2-Port Fast Ethernet 100Base FX Port Adapter
5000 US $
9.5. Выбор брандмауэра
В качестве брэндмауэра будем использовать решение Cisco ASA 5500, а именно Cisco ASA
5510 Security Plus Firewall Edition Bundle = ASA5510-SEC-BUN-K9
Includes: 2 Gigabit Ethernet + 3 Fast Ethernet interfaces, 250 IPsec VPN peers, 2 SSL VPN peers,
Active/Standby high availability, 3DES/AES license, 300 Mbps Firewall • 170 Mbps IPsec
Можно также использовать устройство предотвращения вторжений:
Cisco ASA 5510 Appliance IPS Edition Bundle = ASA5510-AIP10-K9
Includes Advanced Inspection and Prevention Security Services Module 10 (AIP-SSM-10 module,
Firewall services, 250 IPSec VPN peers, 2 SSL VPN peers, and 5 Fast Ethernet interfaces, Attack
Protection Performance = 150 Mbps.
Таблица 9. возможности Cisco ASA 5510 Adaptive Security Appliance Platform.
Feature
Description
Firewall Throughput
Up to 300 Mbps
Maximum
Firewall
and
IPS
• Up to 150 Mbps with AIP SSM-10
Throughput
• Up to 300 Mbps with AIP SSM-20
VPN Throughput (3DES/AES)
Up to 170 Mbps
Concurrent
50,000; 130,000
Sessions
(Connections)
IPsec VPN Peers
250
SSL VPN Peer
2/250
Security Contexts
Up to 5
Interfaces
5 Fast Ethernet ports; 2 Gigabit Ethernet + 3
Fast Ethernet
Virtual Interfaces (VLANs)
50; 100
Scalability
VPN clustering and load balancing
High Availability
Not supported; Active/Standby
Expansion Slot
1, SSC or SSM
Memory
256 MB
Внешний вид всего модельного ряда Cisco ASA и модельCisco ASA 5510 спереди с сзади + 4Port Gigabit Ethernet Security Services Module (скорее всего, данный модуль преназначен для полее
производительных моделей серии и не поддерживается в ASA 5510, 5520) см. на Рисунок 22.
Рисунок 22. Внешний вид всего модельного ряда Cisco ASA и
Модель Cisco ASA 5510 (снизу) в двух видах с 4 Port GE SSM.
Cisco ASA 5510 Series Adaptive Security Appliances:
ASA5510-BUN-K9
ASA 5510 Appliance with SW, 5FE,3DES/AES
3495
ASA5510-AIP10-DCK9
ASA 5510 Appl. w/ AIP10, DC Pwr, SW, 5FE, 3DES/AES
7195
ASA5510-AIP10-K9
ASA 5510 Appliance with AIP-SSM-10, SW, 5FE, 3DES/AES
5995
ASA5510-AIP20SP-K9
ASA 5510 with AIP-SSM-20, 2GE+3FE, SW, HA,3DES/AES,SEC+
9995
ASA5510-CSC10-K9
ASA 5510 Appl w/ CSC10, SW, 50 Usr AV/Spy, 1 YR Subscript
7195
ASA5510-CSC20-K9
ASA 5510 Appl w/ CSC20, SW, 500 Usr AV/Spy, 1 YR Subscript
12595
ASA5510-DC-K8 ASA 5510 Appliance with DC power, SW, 5FE, DES
4695
ASA5510-SSL50-K9
ASA 5510 VPN Edition w/ 50 SSL User License, 3DES/AES
7495
ASA5510-SSL100-K9
ASA 5510 VPN Edition w/ 100 SSL User License, 3DES/AES
11495
ASA5510-SSL250-K9
ASA 5510 VPN Edition w/ 250 SSL User License, 3DES/AES
23495
Cisco ASA 5500 Series Security Services Modules:
ASA-SSM-AIP-20-K9=
ASA 5500 AIP Security Services Module-20
9000
ASA-SSM-AIP-10-K9=
ASA 5500 AIP Security Services Module-10
5000
ASA-SSM-CSC-20-K9=
ASA Content Security SSM-20 w/ 500 Usr AV/Spy, 1YR Subscript
10500
ASA-SSM-CSC-10-K9=
ASA Content Security SSM-10 w/ 50 Usr AV/Spy, 1YR Subscript
4500
SSM-4GE=
ASA 5500 4-Port Gigabit Ethernet SSM (RJ-45+SFP)
5000
Количество и размещение оборудования всей корпорации по зданиям смотри в Таблица 10.
Таблица 10. Стоимость всего активного оборудования сети
Device Model
Building
Cost for 1
Summary
Cost
A
B
P
C
US $ (GPL)
US $ (GPL)
(Main)
(Manuf.)
(Product.)
(Research)
Cat 2960-48TT-L
21
19
0
6
2495
114 770
Cat 3750G-24WS-S25
2
0
2
0
20495
81 980
AP Aironet 1140
2
0
24
0
1300
33 800
Cat 3560E-24TD-E
4
2
2
2
9990
99 900
Cat 4506E+ Sup6-E+
2
2
0
2
4995+
97050
WS-X4548-GB-RJ45 +
19995+
MEM-C4K-FLD-128M+
5495+
2 * PWR-C45-1300ACV
700+ 2 *
1495
= 16 175
Cisco 857 –K9
0
0
0
2
449
898
Cisco 7204 VXR+ NPE-
2
2
2
0
4000+
144 000
225+ PA-MC-2T1+ PA-
4500+
2FE-FX+
4500+
2 * PWR-7200-AC
5000+ 2 *
3000
= 24 000
ASA5510-AIP10-DCK9
2
2
0
0
7195
28 780
Server (free software)
12+5
6
6
6
5000
175 000
PC
802
756
378
218
-
-
Summary all buildings
676 278
Реально стоимость всегда меньше GPL, стоимость в лучшем случае может составить 65% от
GPL приблизительно = 444 448,81 US $. Плюс приблизительно столько же могут стоить кабели и их
прокладка по зданию.
10.
Конфигурация оборудования Cisco Systems
10.1. Базовые команды ОС Cisco IOS
Глобальными называются команды, действие которых распространяется на всю ОС IOS.
Примером таких команд являются hostname, enable secret и ip routing и другие. Эти команды были
использованы в скрипте команд конфигурирования, созданном диалогом конфигурирования
системы. Применение любой из этих команд вносит изменения в конфигурацию ОС IOS, не требуя
при этом использования дополнительных команд
Основные команды позволяют подкомандам конфигурировать устройство. Сами эти
команды не вносят изменений в конфигурацию устройства, а лишь подготавливают /
настраивают ОС IOS к изменению конфигурации.
Подкоманды выполняются в контексте некоторой основной команды. Подкоманды
непосредственно изменяют конфигурацию устройства.
Например, основная команда interface Ethernet0 сообщает ОС IOS о том, что последующие
подкоманды будут относиться непосредственно к интерфейсу локальной сети с именем Ethernet0.
Тогда последующая подкоманда ip address назначает IP-адрес интерфейсу Ethernet0.
Далее перечислим наиболее значимые команды Операционной Системы Cisco IOS:
// <> - не служебное слово; | - или [] – не обязательно;
// <cr> - конец команды; AL = AccessList;
device>enable secret <password>
device>enable password <password>
device>enable <password>
device#configure terminal
device(config)#hostname <HostName>
<name>(config)#vtp domain <nameVTPdomain>
// Обмена инфой о
VLAN’ах
<name>(config)#vtp mode client|server|transparent
<name>(config)#vtp password <passwordVTP>
<name>(config)#vtp version <versionVTP>
...
<name>(config)#ip routing
// Настройка R
<name>(config)#ip classless
// There is no such in
PacketTracer50
<name>(config)#ip subnet-zero // There is no such in
PacketTracer50
<name>(config)#ip route <DestIPaddress> <mask>
<IPaddressNext|interface>
<name>(config)#ip route 0.0.0.0 0.0.0.0 <DefGW_IPaddress>
//<name>(config)#ip default-network <DefGW_IPaddress>
...
<name>(config)#router rip|ospf|eigrp <cr>|processID|ASnumber
<name>(config-router)#version 2
// rip only in PacketTracer50
<name>(config-router)#network <IPaddress> | <IPaddress>
<Inversed-netmask>
<name>(config-router)#auto-summary //ripv2, eigrp
//<name>(config-router)#eigrp stub [receiveonly|connected|static|summary]
<name>(config-router)#redistribute static
// Redistribute
default GW
<name>(config-router)#distribute-list <ALnumber> in|out
[<Interface>]
<name>(config-router)#exit
// Example:
// Например, чтобы запретить отправку сведений о маршруте до
сети 1.1.0.0/16 через интерфейс // serial0/0/0, необходимо
подать следующие команды: (access-list смотри далее)
//router(config)#access-list 1 deny 1.1.0.0
//router(config)#access-list 1 permit any
//router(config)#router rip|ospf|eigrp <cr>|processID|ASnumber
//router(config-router)#distribute-list 1 out serial0/0/0
...
<name>(config)#access-list <AL Number < 100> deny|permit
(<SourseIPaddress> <Inversed-netmask>)|any|(host
<SoutrseIPAddress>)
<name>(config)#
<name>(config)#access-list <AL Number >= 100> deny|permit
<Protocol> (<SourseIPAddress <Inversed-netmask>)|any|(host
<SourseIPAddress>) [if <protocol> == tcp or udp, then
(eq|gt|lt|neq|range <port number or port range>)]
(<DestanationIPAddress> <Inversed-netmask>)|any|(host
<DestanationIPAddress>) [if <protocol> == tcp or udp, then
(eq|gt|lt|neq|range <port number or port range>)]
// Example:
//<name>(config)#access-list 110 deny udp 37.119.22.1 0.0.0.255
eq 23
//47.122.34.6 0.0.0.255 range 23 1023
...
<name>(config)#interface FastEthernet1/0
<name>(config-if)#access-group <AL Number> in|out
//
Фильтрация пакетов
<name>(config-if)#exit
<name>(config)#line vty|console 0 4
// оба числа м.б. в
0...15
<name>(config-line)#access-class <AL Number> in|out
<name>(config-line)#exit
...
<name>(config)#interface Serial0/0/0
<name>(config-if)#ip address <IPaddress> <netmask>
<name>(config-if)#encapsulation ppp|hdlc|frame-relay
<name>(config-if)#ppp authentification chap|pap
//<name>(config-if)#frame-relay interface-dlci <DLCInumber>
//<name>(config-if)#frame-relay lmi-type ansi|cisco|q933a
//<name>(config-if)#frame-relay map ip|ipv6
<name>(config-if)# clock rate 56000//bps,Один из R на serialMaster
<name>(config-if)#no shutdown
<name>(config-if)#exit
...
<name>(config)#vlan <VLANnumber>
<name>(config-vlan)#name <VLANname>
<name>(config-vlan)#exit
<name>(config)#interface vlan <VLANnumber>
// Далее назначим созданному VLAN интерфейсу IP-адрес, чтобы его
можно было использовать
// качестве шлюзов по умолчанию для
рабочих станций, а также для маршрутизации между ними.
<name>(config-if)#ip address <IPaddress> <netmask>
// SVI =
shared IP & MAC in vlan
<name>(config-if)#no shutdown // м.б. не нужно - виртуальный
интерфейс
<name>(config-if)#exit
<name>(config)#
<name>(config)#interface FastEthernet0/1
<name>(config-if)#ip address <IPaddress> <netmask>
<name>(config-if)#switchport mode access|trunk
<name>(config-if)#switchport access vlan <VLANnumber>
//<name>(config-if)#switchport trunk allowed vlan 100-1005
<name>(config-if)#no shutdown
<name>(config-if)#exit
...
<name>(config)#interface FastEthernet1/2
<name>(config-if)#ip address <IPaddress> <netmask>
<name>(config-if)#ip nat inside|outside
<name>(config-if)#exit
<name>(config)# ip nat inside source list|static (<ALnumber <=
199>|ALname) | ( (<localIPaddress> <globalIPaddress>)|( tcp|udp
<localIPaddress> <port number> <globalIPaddress> <port number> )
<cr> ) interface|pool <Interface|PoolName> [overload]
<name>(config)#
<name>(config)# ip nat pool <PoolName> <StartIPaddress>
<EndIPaddress> <netmask>
//Example:
//<name>(config)# interface serial 0/0
//<name>(config-if)#ip nat outside //<name>(config-if)#exit
//<name>(config)#access-list 10 permit 192.168.11.0 0.0.0.255
//<name>(config)# ip nat inside source list 10 interface
serial0/0 //overload
<name>(config)#exit
<name>#copy running-config startup-config
<name>#show startup-config
<name>#reload // copy startup-config running-config
<name>#disable
<name>>
10.2. Настройка EtherChannel
Конфигурация EtherChannel с использованием LACP IEEE 802.3ad (есть ещё Cisco LAgP).
Далее создается port channel, в который входят два порта.Можно настроить до 4 (8) портов на
каждый канал.
Основные шаги – команды Cisco IOS. Более детально - см. в Таблице 3.1.
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
enable
configure terminal
interface port-channel number
ip address ip_address mask
interface type slot/subslot/port
no ip address
channel-group number mode {active | passive} {on|active|...}
exit
interface type slot/subslot/port
no ip address
channel-group number mode {active | passive}{on|active|...}
end
Таблица 11. Детальные шаги по настройке EtherChannel с LACP
Step 1
Command or Action
Purpose
enable
Enables privileged EXEC mode.
Example:
•
Enter your password if prompted.
Router> enable
Step 2
configure terminal
Enters global configuration mode.
Example:
Router# configure terminal
Step 3
interface port-channel number
Specifies the port channel interface. Enters interface
Example:
configuration mode.
Router(config)# interface port- •
number - Valid range is from 1 to 64.
channel 1
Step 4
ip address ip_address mask
Assigns an IP address and subnet mask to the port
Example:
channel interface.
Router(config-if)#
ip
address
10.1.1.1 255.255.255.0
Step 5
interface type slot/subslot/port
Example:
Router(config-if)#
interface
Specifies the port to bundle.
g2/0/0
Step 6
no ip address
Disables the IP address on the port channel interface.
Example:
Router(config-if)# no ip address
Таблица 3.1 (продолжение)
Command or Action
Step 7
Purpose
channel-group number mode Assigns the interface to a port channel group and sets
{active | passive}
the LACP mode.
Example:
•
Router(config-if)#
channel- •
group 1 mode active
number - Valid range is 1 to 64.
active - Places a port into an active negotiating
state, in which the port initiates negotiations with
other ports by sending LACP packets.
•
passive - Places a port into a passive negotiating
state, in which the port responds to LACP packets it
receives but does not initiate LACP negotiation. In this
mode, the channel-group attaches the interface to the
bundle.
Step 8
exit
Exits interface configuration mode.
Example:
Router(config-if)# exit
Step 9
interface type slot/subslot/port
Specifies the next port to bundle. Enters interface
Example:
configuration mode.
Router(config)# interface g4/0/0
Step 10
no ip address
Disables the IP address on the port channel interface.
Example:
Router(config-if)# no ip address
Step 11
channel-group number mode Assigns the interface to the previously configured port
{active | passive}
channel group.
Example:
•
Router(config-if)#
group 1 mode active
channel- •
number—Valid range is 1 to 64.
active—Places a port into an active negotiating
state, in which the port initiates negotiations with
other ports by sending LACP packets.
•
passive—Places a port into a passive negotiating
state, in which the port responds to LACP packets it
receives but does not initiate LACP negotiation. In this
mode, the channel-group attaches the interface to the
bundle.
St
end
ep 12
Exits interface configuration mode.
Example:
Router(config-if)# end
Пример:
Router> enable
Router# configure terminal
Router(config)# interface port-channel 1
Router(config-if)# ip address 10.1.1.1 255.255.255.0
Router(config-if)# interface g2/0/0
Router(config-if)# no ip address
Router(config-if)# channel-group 1 mode active
Router(config-if)# exit
Router(config)# interface g4/0/0
Router(config-if)# no ip address
Router(config-if)# channel-group 1 mode active
Router(config-if)# end
Конфигурирование LACP System ID и Приоритета портов (Port Priority).
Таблица 12. Последовательность действий конфигурирования LACP System ID
Step 1
Command or Action
Purpose
enable
Enables privileged EXEC mode.
Example:
•
Enter your password if prompted.
Router> enable
Step 2
configure terminal
Enters global configuration mode.
Example:
Router# configure terminal
Step 3
lacp system-priority value
Specifies the priority of the system for LACP.
Example:
The higher the number, the lower the priority.
Router(config)# lacp system-priority •
Step 4
Step 5
value—Valid range is from 1 to 65535.
23456
The default is 32768.
interface type slot/subslot/port
Specifies the bundled port on which to set the
Example:
LACP port priority.
Router(config)# interface g0/1/1
Enters interface configuration mode.
lacp port-priority value
Specifies the priority for the physical interface.
Example:
•
value—Valid range is from 1 to 65535.
Router(config-if)# lacp port-priority The higher the number, the lower the priority.
500
Step 6
end
Example:
Exits interface configuration mode.
Router(config-if)# end
Пример:
Router> enable
Router# configure terminal
Router(config)# lacp system-priority 23456
Router(config)# interface g4/0/0
Router(config-if)# lacp port-priority 500
Router(config-if)# end
10.3. VPN/L2TP
10.3.1. Обзор PPTP и L2TP
Согласно заданию несколько привилегированных сотрудников работают в своих
домашних офисах SOHO, подключающихся к главному офису по коммутируемым каналам связи
Dial-up. Подключение этих клиентов будем осуществлять по VPN, так как подключение будет
производится через общедоступные телефонные сети. Проверку подлинности удаленных
пользователей в этом случае сначала выполняет сторонняя организация (в процессе
предоставления доступа по телефонной линии), а затем их аутентифицирует VPN-сервер
удаленного доступа (при подключении к частной сети).
При организации VPN могут использоваться усовершенствованные версии протоколов
РРР (Point-to-Point Protocol), РРТР (Point-to-Point Tunneling Protocol) и L2TP (Layer 2 Tunneling
Protocol). Для обеспечения безопасности конфиденциальных данных будем применять
шифрование на основе протокола IPSec в туннелях L2TP, которые являются более надежными,
чем туннели PPTP.
VPN-подключение состоит из следующих компонентов:
- VPN-сервер - компьютер, принимающий VPN-подключения от клиентов VPN.
- VPN-клиент - компьютер, инициирующий VPN-подключение к серверу VPN. VPNклиентом может быть отдельный компьютер или маршрутизатор.
- Туннель - часть подключения, содержащая инкапсулированные данные. Можно создать
туннель и передавать по нему данные без шифрования. Это не является VPN-подключением,
поскольку личные данные передаются через общедоступную сеть в незащищенном, легко
доступном для чтения виде.
- VPN-подключение - часть подключения, содержащая зашифрованные данные.
- Туннельные протоколы - протоколы, используемые для управления туннелями и
инкапсуляции личных данных. Операционные системы семейства WS2003 поддерживают
туннельные протоколы PPTP и L2TP.
- Туннелированные данные - данные, обычно передаваемые при помощи частного
подключения «точка-точка».
- Транзитная объединенная сеть - общедоступная сеть, по которой передаются
инкапсулированные
данные. В операционных
системах
семейства WS2008
транзитная
объединенная сеть всегда является сетью IP. Транзитной объединенной сетью может быть
Интернет или частная интрасеть на основе IP-протокола.
Рисунок 23. Организация VPN-тоннеля.
Протоколы туннелирования:
РРТР
и
L2TP
позволяют
зашифровать
мультипротокольный
трафик,
а
затем
инкапсулировать его в IP-заголовок, который будет послан по объединенной IP-сети организации
или общественной объединенной IP-сети типа интернета. Основаны на протоколе РРР,
следовательно имеют функции для управления сеансом, назначения адресов и маршрутов.
Режим туннелирования IPSec (IPSec) позволяет зашифровывать IP-пакеты и затем
инкапсулировать их в IP-заголовок, который будет послан по объединенной IP-сети организации
или открытой объединенной IP-сети типа интернета.
Технология IPSec не рекомендуется для VPN-подключений удаленного доступа, потому что
она не содержит никаких стандартных методов для аутентификации пользователей, назначения
IP-адресов и назначения адреса сервера имен. Возможно использовать технологию IPSec для
межсайтовых VPN-подключений на компьютерах с системой WS2008.
PPTP (Point-to-Point Tunneling Protocol) —является расширением протокола PPP и
использует механизмы проверки подлинности, сжатия и шифрования этого протокола. Протокол
PPTP и метод шифрования MPPE (Microsoft Point-to-Point Encryption) обеспечивают основные
необходимые для виртуальных частных сетей службы инкапсуляции и шифрования частных
данных. Кадр PPP зашифровывается по методу MPPE с использованием ключей шифрования,
созданных в процессе проверки подлинности по протоколу MS-CHAP, MS-CHAP v2 или EAP-TLS.
Кадр PPP, содержащий IP - датаграмму заключается в оболочку с заголовком GRE (Generic
Routing Encapsulation) и заголовком IP. В заголовке IP-адреса источника и приемника
соответствуют VPN-клиенту и VPN-серверу.
Зашифрован
Заголовок
IP
Заголовок
GRE
Заголовок
PPP
Полезная нагрузка
PPP (IP пакет)
Фрейм PPP
Рисунок 24. Структура кадра PPP.
L2TP (Layer Two Tunneling Protocol) — это туннельный протокол на основе RFC, являющийся
промышленным стандартом. L2TP использует средства шифрования, предоставляемые методом
IPSec. Комбинацию L2TP и IPSec называют L2TP/IPSec. Комбинация L2TP/IPSec обеспечивает работу
служб VPN, выполняющих инкапсуляцию и шифрование частных данных.
Заголовок
IP
Заголовок
IP
Заголовок
UDP
Заголовок
L2TP
Заголовок
PPP
Полезная нагрузка
PPP (IP пакет)
Заголовок
IPSec ESP
Заголовок
UDP
Заголовок
L2TP
Заголовок
PPP
Полезная нагрузка
PPP (IP пакет)
IPSec ESP
Трейлер
IPSec Auth
Трейлер
Зашифровано
Рисунок 25. Структура кадра L2TP.
Инкапсуляция пакетов L2TP/IPSec выполняется в два этапа.
1. Инкапсуляция L2TP - кадр PPP (IP-датаграмма или IPX-датаграмма) заключается в
оболочку с заголовком L2TP и заголовком UDP.
2. Затем полученное L2TP-сообщение заключается в оболочку с заголовком и трейлером
IPSec
ESP
(Encapsulating
Security
Payload),
трейлером
проверки
подлинности
IPSec,
обеспечивающим целостность сообщения и проверку подлинности, и заголовком IP. В заголовке
IP-адреса источника и приемника соответствуют VPN-клиенту и VPN-серверу.
Сообщение L2TP шифруется с использованием стандарта DES или 3DES при помощью
ключей шифрования, созданных в процессе согласования IKE (Internet Key Exchange).
10.3.2. Преимущества протокола L2TP/lPSec в сравнении с РРТР
1) Метод IPSec ESP дает аутентификацию источника данных каждого пакета, целостность
данных, защиту от атак воспроизведения и конфиденциальность данных (шифрование). В
противоположность этим свойствам, протокол РРТР обеспечивает только конфиденциальность
данных в каждом пакете.
2) Подключения L2TP/IPSec обеспечивают более сильную аутентификацию, требуя как
аутентификации на уровне компьютера через сертификаты, так и аутентификации на уровне
пользователей через аутентификационный протокол РРР.
3) В протоколе L2TP/IPSec пакеты РРР, обмен которыми происходит в процессе
аутентификации на уровне пользователей, никогда не посылаются в незашифрованной форме,
потому что процесс РРР-подключения происходит после установления соглашения по безопасности IPSec. В случае перехвата РРР-пакеты опознавательного обмена для некоторых типов
аутентификационных РРР-протоколов могут использоваться для автономных словарных атак и
определения пользовательских паролей;
4) Связка L2TP\IPSec может работать в двух режимах – с использованием цифровых
сертификатов и с использованием предварительных ключей. Сертификаты дают гибкую
возможность по организации доступа, однако требуют развертывания службы сертификатов.
Применение предварительных ключей делает сертификаты не нужными, однако требует
применения для всех клиентов одинакового ключа. Для автоматического обновления требуется
применение Диспетчера подключений (Connection Manager).
10.3.3. Преимущества протокола РРТР по сравнению с протоколом L2TP/IPSec
1)
Протокол РРТР не требует инфраструктуры сертификатов. Протоколу L2TP/IPSec
требуется инфраструктура предварительного установления общих секретов или инфраструктура
сертификатов для выдачи компьютерных сертификатов VPN-серверу и всем компьютерам VPNклиентов. В случае использования предварительных ключей это ограничение снимается.
2) Клиенты РРТР могут находиться за транслятором сетевых адресов (NAT), если
транслятор NAT имеет редактор для РРТР-трафика. Клиенты или VPN-серверы, базирующиеся на
протоколе L2TP/IPSec, не могут располагаться позади NAT-устройства, если только поддержка VPN
в нем не установлена отдельно.
Существует несколько способов защиты конфиденциальности данных, пересылаемых
между клиентами и VPN-сервером удаленного доступа:
- проверка подлинности удаленных пользователей;
- шифрование конфиденциальных данных;
- применение политик удаленного доступа.
Чтобы обеспечить доступ к ресурсам частной сети только уполномоченным удаленным
пользователям, в проекте следует предусмотреть аутентификацию, или проверку
подлинности, удаленных пользователей. В этом случае для входа в систему пользователям
необходимо ввести реквизиты: имя пользователя, пароль и имя домена. Проверка
реквизитов может выполняется на основе:
- локальных учетных записей, хранимых на VPN-сервере удаленного доступа;
- учетных записей Active Directory, хранимых на контроллерах домена.
В
проектируемой
сети
будем
осуществлять
аутентификацию
и
авторизацию
пользователей на основе учетных записей Active Directory. Доступ к ресурсам удаленному
пользователю будет предоставляться на основании принадлежности его к определенной группе,
авторизованной для доступа к данному ресурсу внутренней сети. В целях безопасности
реквизиты удаленных шифруются при пересылке между клиентом и сервером удаленного
доступа.
В корпорации CorpKAM для организации VPN выбираем связку протоколов L2TP\IPSec c
использованием предварительных ключей, так как он позволяет обойтись без организации
системы сертификации, что упрощает построение сети, однако снижает безопасность
организованного подключения через VPN.
10.3.4. Настройка L2TP сервера в Cisco
Пример настройки L2TP сервера в Cisco
aaa new-model ! Включаем работу с Authorization Authentication Accounting!
aaa authorization network default local ! Авторизация сетевых сервисов локальная
(именно тут происходит связка Login <=> IP)
!
aaa attribute list test
attribute type addr 10.8.96.1 service vpdn
!
vpdn enable!
vpdn-group VPDN-L2TP ! Создаем профиль для L2TP соединений
!
Default L2TP VPDN group
accept-dialin
protocol l2tp
virtual-template 2
lcp renegotiation on-mismatch
l2tp security crypto-profile L2TP
no l2tp tunnel authentication
ip pmtu
ip mtu adjust!
vpdn-group VPDN-PPTP ! Создаем профиль для PPTP соединений
!
Default PPTP VPDN group
accept-dialin
protocol pptp
virtual-template 1
pptp tunnel echo 10
ip pmtu
ip mtu adjust!
async-bootp dns-server 131.107.8.4 ! Выдавать данный ДНС в настройках VPN соединения
!
username test password 0 testusername test aaa attribute list test
!
crypto isakmp policy 100 ! Данные настройки относятся к методу шифрования ключа в
L2TP VPN
encr 3des
hash md5
authentication pre-share
group 2
lifetime 3600crypto isakmp key cisco address 0.0.0.0 0.0.0.0 no-xauth ! Общее слово
пароль Windows “Сетевое соединение -> Безпасность -> Параметры IPSEC
!
crypto ipsec transform-set L2TP esp-des esp-md5-hmac ! Данные настройки относятся к
методу шифрования данных в L2TP VPN
mode transport
!
crypto map L2TP 100 ipsec-isakmp profile L2TP ! Сборка настроек в единую криптомапу
set transform-set L2TP
!
interface Loopback0 ! Используем данный интерфейс для навешивания IP в VirtualTemplate интерфейсах
ip address 10.8.96.2 255.255.255.255
!
interface FastEthernet0/0 ! Внешний интерфейс
ip address 10.8.100.0 255.255.252.0
speed auto
crypto map L2TP ! Прикручиваем криптомапу. Требуеться для создания Windows L2TP
тунелей
!
interface Virtual-Template1 ! Настройки интерфесов которые создают PPTP тунель
ip unnumbered Loopback0
ip nat inside
no ip virtual-reassembly
autodetect encapsulation ppp
peer default ip address pool VPN-pool
ppp encrypt mppe auto
ppp authentication chap ms-chap ms-chap-v2
!
interface Virtual-Template2 ! Настройки интерфесов которые создают L2TP тунель
ip unnumbered Loopback0
ip nat inside
no ip virtual-reassembly
autodetect encapsulation ppp
peer default ip address pool VPN-pool
ppp authentication chap ms-chap ms-chap-v2
!
ip local pool VPN-pool 10.8.100.0 10.8.101.254 ! Наш пул адресов для VPN соединений
10.3.5. Настройка L2TP клиента в Cisco
service internal ! Обязятельная скрытая команда
ip cef
ip multicast-routing
!
vpdn-group L2TP-STRONGVPN
request-dialin
protocol l2tp
pool-member 1
initiate-to ip 131.107.8.8
no l2tp tunnel authentication
!
!
crypto isakmp policy 5
encr 3des
authentication pre-share
group 2
lifetime 3600
crypto isakmp key _Password_ address 131.107.8.8
!
!
crypto ipsec transform-set ESP-AES256-SHA esp-aes 256 esp-sha-hmac
mode transport
!
crypto map STRONGVPN 10 ipsec-isakmp
set peer 131.107.8.8
set transform-set ESP-AES256-SHA
match address L2TP_SA_DIALER1
!
interface FastEthernet0/0
description -= Local network =ip address 172.16.0.1 255.255.255.0
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
!
interface FastEthernet0/1
description -= Outside Interface =ip address 77.91.55.69 255.255.255.240
ip access-group INPUT_ACL in
ip flow ingress
ip flow egress
ip virtual-reassembly
duplex auto
speed auto
no cdp enable
crypto map STRONGVPN
!
interface Dialer1
description -= VPN (StrongVPN) L2TP client =ip address negotiated
ip mtu 1492
ip nbar protocol-discovery
ip flow ingress
ip flow egress
ip nat outside
ip virtual-reassembly
encapsulation ppp
ip tcp adjust-mss 1452
dialer pool 1
dialer idle-timeout 0
dialer string 123
dialer vpdn
dialer-group 1
no cdp enable
ppp chap hostname _USERNAME_
ppp chap password _Password_
!
ip route 0.0.0.0 0.0.0.0 Dialer1 ! Весь трафик заворачиваем в тунель
ip route 172.16.0.1 255.255.255.0 FastEthernet0/0
ip route 131.107.8.8 255.255.255.255 77.91.55.69 !на шлюз провайдера
!
ip flow-top-talkers
top 50
sort-by bytes
cache-timeout 30000
match protocol udp
!
ip nat translation timeout 30
!НАТ-им в адрес интерфейса Dialer1
ip nat inside source route-map map_IPSEC interface Dialer1 overload
!
ip access-list extended INPUT_ACL
permit ip host 131.107.8.8 host 77.91.55.69 ! Разрешаем трафик между нашим
интерфейсом и VPN сервером. Остально е запрещаем.
deny
ip any any log
!
ip access-list extended L2TP_SA_DIALER1
permit udp host 77.91.55.69 eq 1701 host 131.107.8.8 eq 1701
remark -= Razreshaem L2TP =!
ip access-list extended VPN_IPSEC
permit ip host 172.16.0.1 any
permit ip host 172.16.0.44 any
remark -= Vybyraem Local IP adresa korotye NAT-im =!
dialer-list 1 protocol ip permit
!
route-map map_IPSEC permit 10
match ip address VPN_IPSEC
match interface Dialer1
11.
Разработка логической структуры сети
11.1. Размещение серверов DNS.
Структуры AD, DNS и DHCP достаточно сильно взаимосвязаны, особенно AD и DNS, поэтому
их развертывание следует рассматривать в комплексе. В частности, DNS желательно развертывать
одновременно с AD, так как в этом случае гарантируется их совместимость и облегчается процесс
взаимной настройки.
Прежде чем приступать к проектированию структуры Active Directory, рассмотрим сначала
реализацию DNS. Предполагается применить нестандартный подход, а именно – использовать т.
н. разделение DNS (split-brain DNS). Разделенный DNS делает ресурсы доступными, прозрачными
и независимыми по расположению для внешних и для внутренних пользователей. Под
прозрачностью понимается, что пользователю не нужно использовать различные имена или
перенастраивать клиентские приложения на использование разных имен в зависимости от его
местоположения в настоящий момент.
Разделение DNS работает за счет того, что используется 2 или больше доступных серверов
DNS, предназначенных для этого имени домена. Один или больше серверов отвечают за
разрешение имен для хостов внутренней сети, другие же (один или больше) серверы отвечают за
разрешение имен для хостов в Internet.
Сервер DNS, ответственный за разрешение имен во внутрикорпоративной сети, содержит
записи DNS, которые отображают имена серверов в их внутренние IP-адреса, которые и
используются во внутренней сети. DNS-сервер; ответственный за разрешение имен для внешних
пользователей, отображает имена во внешние IP-адреса, обеспечивая доступ к корпоративным
ресурсам снаружи.
Внутренние серверы DNS размещаются в Intranet за сетевым экраном (firewall), а внешние
серверы DNS устанавливаются в демилитаризованной зоне (DMZ) или в Internet. При этом только
внутренние клиенты имеют доступ к внутреннему серверу DNS, хранящему адресную
информацию о компьютерах внутренней сети. Запросы внешних клиентов о доменных Internetименах и адресах организации выполняются внешним DNS-сервером. Любые запросы, идущие из
Internet в Intranet, запрещены. Если на внутренний DNS-сервер приходит запрос о разрешении
имени Internet, которого нет в локальном кэше, то запрос отправляется на внешний DNS-сервер.
На внешнем сервере DNS разрешаются только запросы, исходящие из внутренней сети.
Зоне DNS в домене AD свойственны две особенности. Во-первых, AD сохраняет в DNS
большое количество данных. Во-вторых, значительная часть этой информации носит
конфиденциальный характер. В частности, в зоне домена AD хранятся имена и адреса
контроллеров домена. Структура с разделением DNS позволит скрыть эту информацию от
посторонних глаз.
Для корпорации CorpGDV необходимо зарегистрировать домен второго уровня. Например,
corpgdv.ru. Для обеспечения автономности сетей отдельных филиалов и рационального обмена
служебной информацией через WAN, выделим в домене corpkam.ru. два дочерних поддомена:
manuf.corpgdv.ru. и res.corpgdv.ru соответственно для зданий B и C.
Согласно
рекомендации
технического
задания,
DNS-сервер
вместе
с
основным
контроллером домена AD будут базироваться на платформе Windows 2008 Enterprice Server. Для
обеспечения надежности с ним в паре будет работать еще один сервер (Secondary), который
сможет обеспечивать работоспособность сети в случае выхода из строя первого сервера. В нашем
случае оценивая вариант выхода из строя только первичного сервера, ввиду конкретно его
технических или программных неисправностей, целесообразным будет размещение вторичного
сервера в том же здании.
Получив запрос на преобразование имени, основной DNS-сервер сначала обращается в кэш.
Если имени в кэше нет, а DNS-сервер содержит зоны, то сервер пытается преобразовать имя,
проверяя зоны. Сервер обращается к ретранслятору (установленному в DMZ) или в Интернет лишь
в том случае, если не может найти нужный адрес в кэше или в зонах. Главная особенность
разделенной DNS заключается в том, что DNS-сервер больше доверяет информации из зон, чем
данным, извлеченным из Интернета.
Для функционирования такой структуры необходимо на внутреннем DNS-сервере в качестве
forwarder’а установить внешний DNS-сервер, а на внешнем DNS-сервере установить либо режим
рекурсивного запроса к DNS провайдера, либо итеративный опрос DNS-серверов, начиная с
корневых (root-hints). Форвардинг запросов будет осуществляться на кэширующий сервер, что
позволит благодаря использованию кэша снизить нагрузку при обработке «внешних» запросов,
так как в основной массе запросы будут касаться разрешения имен машин корпоративной сети.
В реализации структуры DNS главного здания участвуют 3 DNS-сервера: внутренний,
внешний и сервер провайдера. Внутренний сервер отвечает за зоны main.corpgdv.ru (куда входят
все отделы здания А), proj.corpgdv.ru (планируется создать специальный домен для проектов в
Active Directory). Внешний сервер устанавливается в качестве forwarding-сервера для внутреннего
для того, чтобы перенаправлять запросы, не разрешенные с помощью кэша. Внешний DNS-сервер,
в свою очередь, отправляет рекурсивные запросы к DNS-серверу провайдера.
DNS-серверы в зданиях B пересылают неразрешённые запросы на DNS-сервер здания A.
Для того чтобы из здания C можно было разрешать имена компьютеров, располагающихся в
здании B без нагрузки на DNS-серверы здания А, необходимо на DNS-сервере здания C создать так
называемые зоны-заглушки или упрощённые зоны (stub-zone). Упрощенная зона представляет
собой копию зоны, содержащую только те ресурсные записи, которые необходимы для
локализации DNS-серверов, являющихся носителями полной версии зоны. Основное назначение
упрощенной зоны – идентификация DNS-серверов, которые способны выполнить разрешение
доменных имен, принадлежащих к этой зоне.
Таким образом, на DNS-сервере здания C будет создана stub-zone для каждой из зон здания
A и для зоны здания B. А в качестве forwarder-DNS выступит DNS-сервер провайдера.
На всех внутренних DNS-серверах следует включить режим Dynamic DNS Updates, для того,
чтобы узлы могли регистрировать свои записи в соответствующих зонах. Поскольку мы
используем ADIZ, рекомендуется также включить режим безопасных обновлений (secure updates).
В этом режиме администратор AD может определять, кому и какие действия разрешается
выполнять над ресурсными записями DNS.
11.2. Размещение серверов DHCP.
Каждому хосту, подключенному к сети на базе TCP/IP, должен быть назначен уникальный
IP-адрес. Протокол DHCP (Dynamic Host Configuration Protocol, протокол динамической
конфигурации хоста) был разработан как средство динамического выделения хостам IP-адресов.
Протокол DHCP является открытым промышленным стандартом, упрощающим управление сетями
на базе TCP/IP. Этот протокол также может быть использован для централизованного управления
процессом настройки стека протокола TCP/IP на клиентских машинах (речь идет о таких
параметрах, как адрес шлюза по умолчанию или адрес DNS-сервера).
В спецификации протокола DHCP определяются два участника: DHCP-сервер и DHCPклиенты. Служба клиента DHCP запрашивает у DHCP-сервера параметры для настройки стека
протоколов TCP/IP. Служба сервера DHCP обрабатывает клиентские запросы, осуществляя выдачу
в аренду IP-адреса из некоторого диапазона. Каждый адрес выделяется на определенный срок.
По окончании этого срока хост должен либо продлить срок аренды, либо освободить адрес. Все
удовлетворенные запросы пользователя фиксируются службой сервера DHCP в собственной базе
данных. Подобное решение позволяет предотвратить выделение одного IP-адреса двум хостам.
Одновременно с выдачей IP-адреса DHCP-сервер может также предоставить клиенту
дополнительную информацию о настройках стека протоколов TCP/IP, такую как маска подсети,
адрес шлюза и адреса серверов DNS и WINS.
В составе Windows Server 2008 реализован как DHCP-клиент (который устанавливается по
умолчанию), так и DHCP-сервер (который может быть установлен и сконфигурирован
администратором при необходимости).
Запрос к серверу DHCP посылается клиентом широковещательно, следовательно, не
может выйти за пределы локальной подсети. Чтобы клиент из подсети, не соединенной
непосредственно с DHCP сервером, мог получать от него IP адреса, необходимо убедиться, что
маршрутизатор (в нашем случае, коммутатор 3 уровня), объединяющий подсети, поддерживал
направление широковещательных сообщений DHCP, то есть поддерживал стандарт RFC 1542. В
противном случае необходимо будет установить в каждой из подобных подсетей агент
ретрансляции DHCP (DHCP Relay Agent) или сервер DHCP. Агент ретрансляции DHCP – это хост,
который прослушивает подсети на наличие широковещательных сообщений DHCP/BOOTP и
переадресовывает их на некоторый заданный DHCP-сервер. Использование агентов ретрансляции
избавляет от необходимости устанавливать сервер DHCP в каждом физическом сегменте сети.
Агент не только обслуживает прямые локальные запросы клиента DHCP и перенаправляет их на
удаленные DHCP-серверы, но также возвращает ответы удаленных DHCP-серверов клиентам.
Используемые для объединения подсетей коммутаторы не поддерживают стандарт RFC
1542, поэтому нет необходимости в использовании агентов ретрансляции.
Для повышения надежности во всех зданиях корпорации будем использовать по 2 DHCPсервера в связи с довольно большим числом рабочих станций в них и для повышения надежности.
Для того чтобы DHCP-сервер начал корректно работать, необходимо на нем настроить
области (т. н. scopes). Область DHCP – административная группа, идентифицирующая полные
последовательные диапазоны возможных IP-адресов для всех клиентов DHCP в физической
подсети. Области определяют логическую подсеть, для которой должны предоставляться услуги
DHCP, и позволяют серверу задавать параметры конфигурации, выдаваемые всем клиентам DHCP
в подсети. Область должна быть определена прежде, чем клиенты DHCP смогут использовать
сервер DHCP для динамической конфигурации TCP/IP.
Рисунок 26. Конфигурация DHCP скоупов.
В главном здании выделим 9 областей в соответствии с числом отделов. Пусть области
отделов HR, Sales, IT, Exec, Bus, Acc, Project 1, Project 2 обслуживаются одним DHCP-сервером, а
области отдела Project 3 – другим. В этом случае между серверами будет соблюдена пропорция
80/20 по количеству обслуживаемых рабочих станций, как и рекомендует Microsoft.
Настройка DHCP областей на каждом сервере включает следующее:
- Начальный адрес (start IP address);
- Конечный адрес (End IP address);
- Маска подсети (Subnet mask length);
- Исключения (Exclusions)
- Резервирование (Reservation).
Диапазоны IP адресов отделам выдаем в соответствии с ранее сделанным распределением
IP адресов.
Наличие двух серверов DHCP в сети может при определённых условиях привести к её
частичной или полной неработоспособности. Подобное было возможно в более старых ОС из-за
того, что практически любой мог активизировать свой сервер DHCP. Для того чтобы этого не
случилось, необходимо авторизовать установленные DHCP-серверы в Active Directory. В этом
случае при попытке запустить службу DHCP происходит обращение к Active Directory, где
просматривается список адресов IP для всех авторизованных в домене серверов DHCP. Если
адреса рассматриваемого сервера нет, то служба DHCP будет автоматически на нем
терминирована.
11.3. Active Directory Domain Controllers – DNS-зонирование
Логическая многодоменная структура AD:
В качестве корневого домена будет использоваться пустой домен, который будет содержать
учетную запись администратора предприятия, а также будет выступать в роле хранителя имени
предприятия, те CorpGDV.ru. Таким образом, при изменении или добавлении дочерних доменов
имя предприятия не затрагивается. Создадим по одному дочернему домену для каждого здания.
Для здания А – main.corpgdv.ru, для здания В – manufacture.corpgdv.ru и для здания С –
research.corpgdv.ru. Каждый отдел выделим в организационное подразделение(OU, Organisation
Unit).
Физическая структура AD:
На данном этапе проектируются сайты, выбирается количество и размещение контроллеров
домена, рассматривается расположение мастеров операций и организация репликаций.
Проетируемая корпоративная сеть состоит из трех LAN, объединенные глобальными
связями (T1, ADSL, Internet). В связи с этим сеть предприятия будет представлена в виде трех
сайтов AD. Этот инструмент позволяет легко контролировать загрузку каналов связи между
филиалами.
Каждый сайт может содержать как один так и несколько доменов. В сайте здания А
предполагается расположить два домена: Один пустой корневой домен corpsda.ru и дочерний
домен здания A main.corpsda.ru. В сайтах зданий В и С по одному домену manufacture.corpsda.ru и
research.corpsda.ru соответственно.
Каждый домен содержит минимум один контроллер домена, но для обеспечения
надежности рекомендуется использовать два и более контроллеров домена в каждом домене.
Что касается мастеров операций, то Мастер схемы и Мастер доменных имен планируется
разместить на корневом контроллере домена, так как на них возлагается не большая нагрузка и
используются они редко. Эмулятор PDC лучше расположить на отдельном контроллере домена
так как на него возлагается большая нагрузка. Эмулятор PDC должен размещаться в каждом
домене. Мастер относительных идентификаторов разместим на тех же контроллерах что и другие
мастера операций. Мастер инфраструктуры размещается на контроллерах домена которые не
являются глобальными каталогами.
Учитывая все сказанное выше, предлагаем следующую схему размещения мастеров: в
каждом домене устанавливается как минимум два сервера-контроллера домена, причем на
первом сервере размещается ГК и мастер относительных идентификаторов. На втором сервере
устанавливается эмулятор PDC и мастер инфраструктуры.
12.
Заключение
В процессе разработки Корпоративной Сети решались следующие задачи:
Анализ требований к проектируемой сети
Анализ вариантов построения КМ узла этажа, КМ узла здания
Выбор модели КМ для уровней доступа и распределения
Выбор оборудования обеспечения беспроводной связи
Подключение КС к провайдеру (МШ и брэндмауэры)
Анализ команд Cisco IOS, конфигурирование Cisco EtherChannel
Распределение адресов для рабочих групп и оборудования
Компьютерная сеть предприятия построена по иерархическому принципу с применением
резервирования связей и оборудования. При проектировании сети использовались коммутаторы
третьего уровня, технология VLAN и агрегирование каналов по технологии EtherChannel компании
Cisco. На выходных брэндмауэрах КС поддерживается технология трансляции адресов – NAT/PAT,
что позволяет использовать внутри сети внутренние адреса, а для выхода в глобальную сеть
использовать всего лишь несколько уникальных внешних IP - адресов. Также эта технология
скрывает внутренную организацию КС.
В
результате
получили
сеть
предприятия,
удовлетворяющую
всем
требованиям
технического задания, что достигнуто выбором качественного оборудования и современных
технологий.
13.
Список литературы
1. Справочные материалы и определения из свободной открытой энциклопедии. Internet:
http://ru.wikipedia.org/
2. Описания сетевых устройств и технологий фирмы Cisco Systems взяты из официального сайта
указанной компании. Internet: http://www.cisco.com/
3. Цены
на
оборудование
фирм
Cisco
Systems
и
D-Link.
Internet:
http://www.seti.ru/prices.html#anet
4. Официальный сайт производителя сетевого оборудования – компании D-Link. Internet:
http://www.dlink.ru