Разработка проекта построения телекоммуникационной сети с использованием протокола IPv6

МИНИСТЕРСТВО НАУКИ И ВЫСШЕГО ОБРАЗОВАНИЯ РОССИЙСКОЙ
ФЕДЕРАЦИИ
ФГАОУ ВО «СЕВЕРО–КАВКАЗСКИЙ ФЕДЕРАЛЬНЫЙ УНИВЕРСИТЕТ»
Институт цифрового развития
Кафедра инфокоммуникаций
КУРСОВОЙ ПРОЕКТ
по дисциплине
«Сети ЭВМ и телекоммуникации»
на тему: «Разработка проекта построения телекоммуникационной сети с
использованием протокола IPv6»
Выполнил:
Скориков Артем Юрьевич_____
студент 4 курса группы ИВТ-б-о-18-1,
направления подготовки 09.03.01
Информатика и вычислительная
техника, очной формы обучения
________________________
(подпись)
Руководитель проекта:
Линец Геннадий Иванович_________
Зав. кафедры инфокоммуникаций
Доктор тех. наук, доцент
Проект допущен к защите ____________________________________________
(подпись руководителя, дата)
Проект выполнен и
защищен с оценкой ______________
Дата защиты ___________________
Председатель комиссии:
Докт. тех. наук, доцент ________________________________ Г.И. Линец
Члены комиссии :
канд. тех. наук, доцент ________________________________ М.В. Самус
канд. тех. наук, доцент______________________________
К.М. Сагдеев
Ставрополь, 2021 г.
«УТВЕРЖДАЮ»
Зав. кафедрой инфокоммуникаций
доктор технических наук, доцент
Линец Г. И.
___________________________
подпись
"____" _____________ 2021 г
Институт цифрового развития
Кафедра инфокоммуникаций
Направление подготовки 11.03.02 Инфокоммуникационные технологии и системы связи
Профиль Сети связи и системы коммутаций
ЗАДАНИЕ
на курсовой проект
студента Скорикова Артема Юрьевича
(фамилия, имя, отчество)
по дисциплине «Сети ЭВМ и телекоммуникации»
1. Тема работы: Разработка проекта построения телекоммуникационной сети с
использованием протокола IPv6
2. Цель: Формирование у студента навыков научно–исследовательской работы
повышение уровня его профессиональной (теоретической и практической) подготовки,
углубление знаний по учебной дисциплине «Сети ЭВМ и телекоммуникации», развитие
интереса и навыков самостоятельной работы с научной и справочной литературой.
3. Задачи
1. Приобретение новых теоретических знаний в соответствии с темой проекта и заданием
руководителя.
2. Формирование умения систематизировать, обобщать и логично излагать
концепции, альтернативные точки зрения по исследуемой проблеме.
3. Развитие учебно–исследовательских и методических навыков, необходимых для
системного научного анализа изучаемого явления.
4. Совершенствование профессиональной подготовки в области проектирования сетей
связи.
4. Перечень вопросов, подлежащих разработке:
а) по теоретической части
1. Основные принципы технологии АТМ;
2. Стек протоколов АТМ;
3. Категории услуг протокола АТМ и управление трафиком.
4. Описание протокола IPv6 и сравнение с IPv4
5. Формат и представление IPv6–адресов.
6. Типы IPv6–адресов.
б) по аналитической части
1. Спроектировать ЛВС предприятия, используя технологию АТМ.
2. Выбрать среду передачи данных.
3.Создать имитационную модель проектируемой сети, удовлетворяющей приведенным
ниже исходным данным.
4. Осуществить выбор программных и аппаратных средств ЛВС.
5. Определить топологию сети.
6. Выбрать программное обеспечение клиентского и серверного оборудования
7. Назначить адреса абонентов с использованием протокола IPv6 и проверить командой
ping корректность информационного обмена между ними.
8. Создать пользователей и группы пользователей различного уровня доступа
9. Провести расчет суммы затрат на разработку: внедрение и эксплуатацию
вычислительной сети
5. Исходные данные: Спроектировать ЛВС предприятия, которая обеспечивает
информационный обмен данных между пользователями сети. Предприятие должно иметь:
сервер, обеспечивающий функционирование служебных сервисов; защищенный доступ к
глобальной сети Internet.
1. Скорость передачи информации, 1000 Мбит/с.
2. Число зданий предприятия 2.
3. Расстояние между зданиями 100 метров, (репиторы с fastethernet, чтобы на таком
расстоянии вышло или оптоволокно)
4. Число этажей в каждом здании предприятия (число подразделений) – 6.
5. Число комнат на каждом этаже (число рабочих групп в каждом подразделении) – 6.
6. Число компьютеров в каждой комнате (в каждой рабочей группе) –8.
7. Максимальная длина кабеля на этаже, 70 м.
6. Список рекомендуемой литературы
1. Пятибратов, А. П. Вычислительные системы, сети и телекоммуникации: учебник /
А. П. Пятибратов, Л. П. Гудыно, А. А. Кириченко. – 4–е изд., перераб. и доп. – М.:
Финансы и статистика, 2013. – 736 с.
2. Крук, Б. И. Телекоммуникационные системы и сети. Т1. Современные технологии
[Электронный ресурс]: учебное пособие / Б. И. Крук, В. Н. Попантонопуло,
В. П. Шувалов. – Электрон. дан. – М.: Горячая линия–Телеком, 2012. – 620 с.
3. Величко, В. В. Телекоммуникационные системы и сети: В 3 томах. Том 3. –
Мультисервисные сети [Электронный ресурс] : учебное пособие / В. В. Величко,
Е. А. Субботин, В. П. Шувалов [и др.]. – Электрон. дан. – М. : Горячая линия–Телеком,
2015.
4. Компьютерные телекоммуникации: учебное пособие / Ю. Ю. Громов, В. Е. Дидрих,
И. В. Дидрих и др.; Министерство образования и науки Российской Федерации,
Федеральное государственное бюджетное образовательное учреждение высшего
профессионального образования «Тамбовский государственный технический
университет». – Тамбов: Издательство ФГБОУ ВПО «ТГТУ», 2012. – 224 с.
5. Акулиничев, Ю. П. Теория и техника передачи информации: учебное пособие /
Ю. П. Акулиничев, А. С. Бернгардт. – Томск: Томский государственный университет
систем управления и радиоэлектроники, 2012. – 209 с.
Дополнительная литература:
6. Катунин, Г. П. Телекоммуникационные системы и сети. В 3 томах. Том 2. – Радиосвязь,
радиовещание, телевидение [Электронный ресурс] : учебное пособие / Г. П. Катунин,
Г. В. Мамчев, В. Н. Попантонопуло [и др.]. – Электрон. дан. – М. : Горячая линия–
Телеком, 2014. – 672 с.
7. Яковлев, С. В. (СевКавГТУ). Основы построения телекоммуникационных систем и
сетей : учебное пособие / С. В. Яковлев ; Сев.–Кав. гос. техн. ун–т. – Ставрополь :
СевКавГТУ, 2010. – 350 с.
8. Берлин, А.Н. Телекоммуникационные сети и устройства : учебное пособие /
А.Н. Берлин. – М. : Интернет–Университет Информационных Технологий, 2008. – 320 с.
9. Карлащук, В. И. Основы передачи дискретных сообщений : Практикум : учеб. пособие :
Направление подготовки 210700 – Инфокоммуникационные технологии и системы связи.
Бакалавр, магистр / В. И. Карлащук, С. В. Яковлев ; Сев.–Кав. федер. ун– т. – Ставрополь :
СКФУ, 2013. – 309 с.
3
10. Быховский, М. А. Основы проектирования цифровых радиорелейных линий связи
[Электронный ресурс]: учебное пособие / М. А. Быховский, Ю. М. Кирик, В. И. Носов [и
др.]. – Электрон. дан. – М.: Горячая линия–Телеком, 2014. – 334 с.
11. Галкин, В. А. Цифровая мобильная радиосвязь. [Электронный ресурс]: учебное
пособие. – Электрон. дан. – М.: Горячая линия–Телеком, 2012. – 592 с.
Методическая литература:
1. Лабораторный практикум по дисциплине «Сети ЭВМ и телекоммуникации» / сост. Линец
Г.И.
2. Методические рекомендации для студентов по организации самостоятельной работы по
дисциплине «Сети ЭВМ и телекоммуникации» / сост. Линец Г.И.
Интернет–ресурсы:
1. Семенов Ю. А. Телекоммуникационные технологии [электронный ресурс] //
http://book.itep.ru/.
2. Соколов Н. А. Сети абонентского доступа. Принципы построения – Пермь, «Энтер–
профи», 1999 [электронный ресурс] // http://nicksokolov.narod.ru/.
3. Соколов Н. А. Телекоммуникационные сети. – М.: Альварес Паблишинг, 2004
[электронный ресурс] // http://nicksokolov.narod.ru/.
4. NetCracker Professional Users Guide and Reference Manual [электронный ресурс] //
http://www.netcracker.com/.
Программное обеспечение
1. NetCracker Professional.
2. Packet Tracer 7.0
7. Контрольные сроки представления отдельных разделов курсового проекта:
25 % – "3" октября 2021 г.
50 % – "31" октября 2021 г.
75 % – "23" ноября 2021 г.
100 % – "12" декабря 2021 г.
8. Срок защиты студентом курсового проекта " 14 " декабря 2021 г.
Дата выдачи задания " ____ " _____________ 2021 г.
Руководитель курсового проекта
доктор технических наук, доцент
(ученая степень, звание)
фамилия)
(личная подпись)
Задание принял(а) к исполнению студент(ка)
очной
Г. И. Линец
(инициалы,
формы обучения
4 курса группы ИВТ–б–о–18–1
(личная подпись) (инициалы, фамилия)
4
СОДЕРЖАНИЕ
ВВЕДЕНИЕ .......................................................................................................... 7
1 ТЕОРЕТИЧЕСКАЯ ЧАСТЬ ............................................................................ 9
1.1 Основные принципы технологии АТМ ...................................................... 9
1.2 Стек протоколов АТМ ................................................................................ 12
1.3 Категории услуг протокола АТМ и управление трафиком .................... 14
1.4 Описание протокола IPv6 и сравнение с IPv4 .......................................... 16
1.5 Формат и представление IPv6–адресов .................................................... 19
1.6 Типы IPv6–адресов...................................................................................... 20
2 АНАЛИТИЧЕСКАЯ ЧАСТЬ ........................................................................ 22
2.1 Определение топологии сети ..................................................................... 22
2.2 Выбор среды передачи данных.................................................................. 22
2.3 Выбор программных и аппаратных средства ЛВС ................................. 24
2.4 Выбор программного обеспечения клиентского и серверного
оборудования ..................................................................................................... 30
2.5 Создание имитационной модели проектируемой сети,
удовлетворяющей приведенным исходным данным .................................... 32
2.6 Проектирование ЛВС предприятия с технологией АТМ ....................... 35
2.7 Настройка IP–адресации и маршрутизации с использованием протокола
IPv6 ..................................................................................................................... 47
2.8 Создание пользователей и группы пользователей различного уровня
доступа ............................................................................................................... 58
2.9 Расчет суммы затрат на разработку: внедрение и эксплуатацию
вычислительной сети ........................................................................................ 89
КП–СКФУ–09.03.01–180013–21
Изм. Лист
№ докум
Разраб
Скориков А.Ю.
Пров
Линец Г.И.
Н. Контр.
Утв
Линец Г.И.
Подпись
Дата
Разработка проекта
построения
телекоммуникационной сети с
использованием протокола IPv6
Литера
Лист
Листов
y
5
102
СКФУ. Институт МиИТИПЧ.
Каф. инфокоммуникаций.
Группа ИВТ–б–о–18–1
ЗАКЛЮЧЕНИЕ ................................................................................................. 97
Список рекомендуемой литературы ............................................................... 98
ПРИЛОЖЕНИЕ А ........................................................................................... 101
Изм.
Лист
№ докум.
Подп.
Дата
КП–СКФУ–09.03.01–180013–21
ВВЕДЕНИЕ
Сетевые технологии являются единым целым с нашей жизнью.
Благодаря им возможно взаимодействие со всеми информационными
технологиями и обеспечение комфортной жизни в век цифрового развития.
Локальная вычислительная сеть (ЛВС) имеет прямое отношение к
этому. Под ЛВС подразумевается набор аппаратного и программного
обеспечения,
позволяющий
объединить
компьютеры
в
единую
распределенную систему обработки и хранения информации. Аппаратные
средства
могут
ретрансляторами,
включать
компьютеры
концентраторами,
с
сетевыми
переключателями,
адаптерами,
мостами,
маршрутизаторами и т.д. сетевыми кабелями. Программное обеспечение
может включать сетевые операционные системы и протоколы передачи
информации. Так же стоит отметить, что расстояние между компьютерами,
объединенными в ЛВС, обычно не превышает нескольких километров из–за
ослабления электрического сигнала в объединяющих их кабелях. Средством
обхода таких ограничений является технология виртуальных частных сетей
(VPN – Virtual Private Network), что комбинирует несколько локальных,
которых разделяют километры, через интернет и телефонные линии. ЛВС
довольно мощный и гибкий инструмент и за счет своих возможностей
обеспечивает быстрый обмен данными между пользователями своей сети и
позволяет им совместно работать и использовать какое–либо оборудование.
Курсовой проект является актуальным по той причине, что технология
IPv6 довольно нова и за ней будущее. Со временем она заменит устаревший
протокол IPv4 и всем придется под это подстраиваться. Это значит, что всем
будет необходима современная, грамотная локальная сеть с высокой
отказоустойчивостью, ведь организациям и компаниям не хочется терять
финансы и репутацию.
7
Цель
курсового
проекта
–
разработка
проекта
построения
телекоммуникационной сети с использованием протокола IPv6. Необходимо,
зная базовые технологии по построению сетей, изучить протокол IPv6 и
пояснить его различие с четвертой версией IP.
Для реализации цели будут выполнены следующие этапы:
− Изучить и описать технологию ATM по принципам, стекам
протоколов и категориям услуг с управлением трафиком;
− Описать протокол IPv6 и сравнить с IPv4;
− Изучить формат, представление и типы IPv6–адресов;
− Определить топологию сети;
− Выбрать среду передачи данных;
− Выбрать программные и аппаратные средства ЛВС;
− Выбрать программного обеспечения клиентского и серверного
оборудования;
− Создать
имитационную
модель
проектируемой
сети,
удовлетворяющей приведенным исходным данным;
− Спроектировать ЛВС предприятия с технологией АТМ;
− Настроить IP–адресацию и маршрутизацию с использованием
протокола IPv6;
− Создать пользователей и группы пользователей различного уровня
доступа;
− Рассчитать сумму затрат на разработку: внедрение и эксплуатацию
вычислительной сети.
8
1 ТЕОРЕТИЧЕСКАЯ ЧАСТЬ
1.1 Основные принципы технологии АТМ
Появление асинхронного метода передачи (АТМ) предопределило тот
факт, что почти все виды передач создают неравномерно высокую нагрузку.
Рассмотрим голосовой сигнал в качестве примера: во время обычного
двустороннего телефонного разговора уровень голосового сигнала каждого
абонента переменен, и существуют как межпрограммные, межязыковые и
межфразовые паузы, так и пробелы молчания во время прослушивания
собеседника. Очевидно, было бы желательно передавать речевой сигнал
только в периоды активности и не занимать канал связи во время пауз в речи.
Этот факт уже использовался в начале 1960–х годов для создания систем
статистической
уплотнения,
что
позволило
повысить
эффективность
использования дорогостоящих подводных межконтинентальных линий. В то
же время представляется заманчивым использовать периоды молчания и пауз
в сигнале речи для передачи других типов сигналов как данных, видео и так
далее. Однако, такие сигналы по сравнению с речевым создают крайне
неравномерную по интенсивности нагрузку.
Традиционным способом передачи нерегулярного нагрузки является
определенный тип коммутации сообщения (пакета). Пакеты АТМ называются
ячейками (cell), поскольку все они имеют фиксированную длину. Длина ячеек
АТМ составляет 53 байта (октета), из которых 48 байт зарезервированы для
информации (нагрузки) и 5 байт для заголовка. Информация, содержащаяся в
5–байтовом заголовке, достаточна для того, чтобы сеть доставила каждую
ячейку в пункт назначения. Сеть АТМ является инфраструктурой для
транспортировки элементов.
ATM подобно Frame Relay использует указатели для коммутации, но у
него они используются иначе и имеют другой смысл. В заголовке ATM есть
два поля – VPI (Virtual Path Identifier) и VCI (Virtual Channel Identifier). Они
имеют только локальное значение на интерфейсе, как и во Frame Relay. Но, в
9
отличии от FR, их никак нельзя сравнить с MAC адресами в Ethernet. Они
никаким образом не определяют устройство и могут меняться от линка к
линку. ATM свитч может оперировать двумя этими числами. Изучим на
основе примера (Рисунок 1).
Рисунок 1 – АТМ свитч
В свитч с левой стороны входят 4 канала. Это могут быть каналы
пользователей или непосредственные данные от соседнего ATM коммутатора.
Наш свитч делает с этими каналами две вещи:
− VC Swithing. Комутатор будет оперировать виртуальными каналами
(VC). В нашем случае виртуальный канал, который можно описать как VPI
1/VCI 1 будет скоммутирован в канал VPI 12/VCI 40. А VPI 1/VCI 2 – в канал
VPI 13/VCI 10. Таким образом, коммутатор произвел смену значений VPI/VCI.
Значения конечно могут остаться и прежние. Суть в том, что коммутатор
разбирает VPI до уровня VCI и может уже далее положить эти VCI в любую
другую трубу VPI.
− VP Switching. Коммутатор будет оперировать только виртуальными
путями VP. В нашем примере, когда к коммутатору придут данные из каналов
VPI 2/VCI 1, VPI 2/VCI 2, он просто посмотрит на значение VPI и примет
решение, что весь этот канал нужно отправить в определенный интерфейс,
10
сменив VPI на 20, хоть и менять его не обязательно. Главный смысл, что
коммутатор принимает решение только на основе VPI. И это дает выигрыш в
производительности.
Именно
такой
подход
часть
применяется
на
магистральных коммутаторах (одновременная передача пакетов со скоростью
среды между любыми парами своих портов). Это схоже с транспортной
агрегацией каналов (технология, которая позволяет объединить несколько
физических каналов в один логический).
Выходит значения VPI/VCI объединяются в некое подобие иерархии.
Несколько
Virtual
Channel'ов,
которые
определены
значением
VCI,
объединяются в один Virtual Path, которому задан VPI. В примере с левой
сторону выше два Virtual Path'a с номерами 1 и 2 и каждый из них состоит из
двух каналов, первого и второго соответственно.
В сети каждый АТМ коммутатор делает одно и то же в плане
коммутации:
1. Посмотреть на VPI в случае VP коммутации;
2. Посмотреть на пару VPI/VCI в случае VC коммутации;
3. Полагаясь на значения VPI/VCI выбрать исходящий порт;
4. Произвести или не производить замену значений VPI/VCI;
5. Отправить данные дальше.
ATM – это connection–oriented сеть, что подразумевает установление
соединения между двумя точками для передачи трафика. Существует много
типов такого соединения. Они делятся по тому какой тип коммутации выбран
(VC или VP) и по виду соединения – постоянные и коммутируемые (permanent,
switched).
В первом случае (permanent), на каждом коммутаторе по пути нужно
прописать входящий VPI/VCI, исходящий порт, исходящий VPI/VCI. Такое
соединение будет всегда присутствовать на сети независимо от наличия
трафика. Используется, например, для каналов по которым идет сигнализация.
11
Для второго типа (switched) характерна обратная ситуация. Когда появляется
трафик – начинает сигнализироваться соединение. Для этой цели используется
специальный протокол сигнализации и маршрутизации PNNI. Из чего можно
выделить плюсы: соединение поднимается по надобности и можно
использовать динамическую маршрутизацию (поиск кратчайшего пути).
Получается следующая классификация:
1. Permanent Virtual Connection (PVC);
2. Permanent Virtual Channel Connection (PVCC);
3. Permanent Virtual Path Connection (PVPC);
4. Switched Virtual Connection (SVC);
5. Switched Virtual Channel Connection (SVCC);
6. Switched Virtual Path Connection (SVPC);
7. Soft Permanent Virtual Connection (soft PVC);
8. Soft Permanent Virtual Channel Connection (soft PVCC);
9. Soft Permanent Virtual Path Connection (soft PVPC).
Soft PVC является неким гибридом между permanent и switched
каналами. Он устанавливается перманентно. Однако его не нужно
прописывать на каждом устройстве, поскольку соединение сигнализируется
как SVC, означающая, что для выбора кратчайшего пути будет использоваться
протокол маршрутизации со всеми его возможностями. Предположим, когда
вы прописали PVC в своей ATM сети, а какой–либо коммутатор по пути взял
да упал, то в случае PVC единственным вариантом будет прописывать новое
соединение в обход (если оно имеется). В случае Soft PVC такое соединение
будет проложено по другому пути автоматически (reroute).
1.2 Стек протоколов ATM
Чаще всего АТМ используется в стеке протоколов. Стек протоколов
АТМ соответствует нижним уровням семиуровневой модели ISO/OSI и
включает уровень адаптации АТМ, собственно уровень АТМ и физический
12
уровень. Прямое соответствия между уровнями протоколов технологии АТМ
и уровнями модели OSI отсутствует (Рисунок 2).
Рисунок 2 – ATM в модели ISO/OSI
Стек протоколов ATM соответствует нижним уровням семиуровневой
модели ISO/OSI и включает в себя следующее: адаптационные уровни ATM,
называемые AAL1–AAL5, и уровень ATM (Рисунок 3). Адаптационные
уровни
транслируют
пользовательские
данные
от
верхних
уровней
коммуникационных протоколов в пакеты, формат и размеры которых
соответствуют стандарту ATM. Каждый уровень AAL обрабатывает
пользовательский трафик с определенными характеристиками:
− Уровень AAL1 занимается трафиком с постоянной битовой
скоростью (CBR), который характерен для цифрового видео и цифровой речи
и чувствителен как к потере ячеек, так и к временным задержкам. Этот трафик
передается в сетях ATM так, чтобы эмулировать обычные выделенные
цифровые линии.
− Уровень AAL3/4 обрабатывает пульсирующий трафик с переменной
битовой скоростью (VBR), обычно характерный для трафика локальных сетей.
13
Этот трафик обрабатывается так, чтобы не допустить потерь ячеек, но ячейки
могут задерживаться коммутатором.
− Уровень AAL5 является упрощенным вариантом уровня AAL4, он
работает быстрее.
Рисунок 3 – Структура стека протоколов АТМ
1.3 Категории услуг протокола АТМ и управление трафиком
Для
поддержания
требуемого
качества
услуг
для
различных
виртуальных соединений и управления ресурсами сети на уровне протокола
АТМ для обслуживания пользовательского трафика было введено несколько
категорий услуг (service categories). Эти службы являются внутренними
службами сети АТМ, они предназначены для поддержки пользовательского
трафика различных классов вместе с протоколами AAL. Но в отличие от
протоколов AAL, которые работают в конечных узлах сети, данные службы
распространяются по всем сетевым коммутаторам. Услуги этих служб делятся
на категории, которые, как правило, соответствуют классам трафика,
14
достигаемого на входе уровня AAL конечного узла. Услуги уровня ATM
заказываются конечным узлом через интерфейс UNf с помощью протокола
Q.2931 при установлении виртуального соединения. Как и при обращении к
уровню AAL, при заказе услуги необходимо указать категорию услуги, а
также параметры трафика и параметры QoS. Эти параметры берутся из
аналогичных параметров уровня AAL или же определяются по умолчанию в
зависимости от категории услуги.
Всего на уровне протокола ATM определено пять категории услуг,
которые поддерживаются одноименными службами:
−
CBR – услуги для трафика с постоянной битовой скоростью;
−
rtVBR – услуги для трафика с переменной битовой скоростью,
требующего соблюдения средней скорости передачи данных и синхронизации
источника и приемника;
−
nrtVBR – услуги для трафика с переменной битовой скоростью,
требующего соблюдения средней скорости передачи данных и не требующего
синхронизации источника и приемника;
−
ABR – услуги для трафика с переменной битовой скоростью,
требующего соблюдения некоторой минимальной скорости передачи данных
и не требующего синхронизации источника и приемника;
−
LJBR – услуги для трафика, не предъявляющего требовании к
скорости передачи данных и синхронизации источника и приемника.
Названия большинства категорий услуг совпадают с названием типов
пользовательского трафика, для обслуживания которого они разработаны, но
необходимо понимать, что сами службы уровня ATM и их услуги – это
внутренние механизмы сети ATM, которые экранируются от приложения
уровнем AAL.
15
1.4 Описание протокола IPv6 и сравнение с IPv4
IPv6 — это новая версия протокола IP. Постоянный рост глобального
Интернета требует, чтобы его общая архитектура развивалась с учетом новых
технологий,
которые
поддерживают
растущее
число
пользователей,
приложений, приборов и услуг. Internet Protocol Version 6 (IPv6) разработан
для удовлетворения этих требований и создания глобальной среды, где
правила адресации сети снова просты. Главной причиной этого послужило
истощение адресного пространства IPv4 (публичных адресов). Последние
были выделены в 2011 году. Так вышло из–за ограниченных размеров IPv4.
Он имеет 32–битные адреса, которые дают более 4 миллионов IP–адресов.
Чтобы этого не случилось раньше – прибегали к новым технологиям. Сначала
после появления интернета были выделены сети класса А, В или С. Класс С
дает нам блок из 256 IP–адресов, класс B – это 65.535 IP–адресов, а класс A 16
777 216 IP–адресов. Далее пошла технология VLSM, чтобы использовать
любую маску подсети, которая нравится, и создавать более мелкие подсети, а
не только сети класса A, B или C. Для выхода из приватных сетей с
приватными адресами в публичные подключился NAT и имеется много
частных IP–адресов за одним публичным IP–адресом. Однако из–за
выросшего большого интереса к интернету около 20 лет назад – IP–адресов
нужно было больше. По этой причине и был разработан IPv6.
IPv6 имеет 128–битные адреса по сравнению с нашими 32–битными
IPv4–адресами. И мы получаем 340 ундециллионов адресов, что очень много.
IPv6–адреса записываются в шестнадцатеричном формате. А поскольку IPv4
записывается в десятичной форме, то оба они несовместимы друг с другом.
Поэтому многие протоколы были обновлены или заменены для работы с IPv6.
Некоторые примеры:
−
OSPF был обновлен с версии 2 (IPv4) до версии 3 (IPv6);
−
ICMP был обновлен до версии ICMP 6;
−
ARP был заменен на NDP (Neighborhood Discovery Protocol).
16
Однако имеются пути, как согласовать IPv4 и IPv6. Это Двойной стек
(Dual Stack), когда при настройке интерфейсов маршрутизатора протоколы
адресации и маршрутизации включают номера обоих протоколов. И
Туннелирование (Tunneling): в пределах области IPv4 сети создается туннель
(IPv6 over IPv4 GRE, MPLS и т.д.), по которому могут отправляться
инкапсулированные пакеты IPv6.
Заголовок пакета IPv6 содержит адреса источника и назначения, но по
сравнению с IPv4 проще, благодаря чему маршрутизаторам придется
выполнять меньше работы (Рисунок 4):
Рисунок 4 – Сравнение заголовков
Заголовок IPv4 состоит из 20 октетов и 12 основных полей заголовка.
Заголовок IPv6 состоит из 40 октетов (из–за длины адресов источника и
назначения) и 8 полей заголовков (3 основных поля заголовков IPv4 и 5
дополнительных полей). Кроме того, в IPv6 добавлено новое поле, которое не
используется в протоколе IPv4. Заголовок IPv6 предлагает ряд преимуществ
по сравнению с IPv4: повышенная эффективность маршрутизации для
масштабируемости производительности и скорости пересылки; не требуется
обработка контрольных сумм; упрощённые и более эффективные механизмы
заголовков расширений; поле «Метка потока» предназначена для обработки
17
по потокам без необходимости открывать транспортный внутренний пакет для
определения различных потоков трафика. В заголовке пакета IPv6
используются следующие поля:
1. Версия: поле, содержащее 4–битное двоичное значение, которое
определяет версию IP–пакета. Для пакетов IPv6 в этом поле всегда указано
значение 0110.
2. Класс
трафика:
8–битное
поле,
соответствующее
полю
«Дифференцированные сервисы (DS)» в заголовке IPv4. Оно также содержит
6–битное значение точки кода дифференцированных сервисов (DSCP),
которое используется для классификации пакетов, а также 2–битное значение
явного уведомления о перегрузке (ECN), используемое для управления
перегрузками самого трафика.
3. Метка потока: 20–битное поле, предоставляющее специальную
службу
для
приложений
реального
времени.
Используя
это
поле,
маршрутизаторам и коммутаторам передается информация о необходимости
поддерживать один и тот же путь для потока пакетов, что поможет избежать
их переупорядочивания.
4. Длина полезной нагрузки: 16–битное поле, соответствующее полю
«Общая длина» в заголовке IPv4. Оно определяет размер всего пакета
(фрагмента), включая заголовок и дополнительные расширения.
5. Следующий заголовок: 8–битное поле, соответствующее полю
«Протокол» в заголовке IPv4. Оно указывает тип полезной нагрузки данных,
которые переносит пакет, что позволяет сетевому уровню пересылать данные
на соответствующий протокол более высокого уровня. Это поле также
используется в тех случаях, когда в пакет IPv6 добавляются дополнительные
заголовки расширений.
6. Предел перехода: 8–битное поле, заменяющее поле «Время
существования» (TTL) в IPv4. Это значение уменьшается на единицу каждым
маршрутизатором, пересылающим пакет. Когда счетчик достигает 0, пакет
18
отбрасывается, и на отправляющий узел пересылается сообщение ICMPv6,
которое означает, что пакет не достиг своего назначения.
7. Адрес источника — 128–битовое поле, определяющее IPv6–адрес
принимающего узла.
8. Адрес назначения: 128–битное поле, определяющее IPv6–адрес
принимающего узла.
1.5 Формат и представление IPv6–адресов
Будет разобран формат IPv6 адреса:
2001: 0DB8: 0234: AB00: 0123: 4567: 8901: ABCD.
Он
состоит
из
восьми
частей,
каждая
из
которых
содержит
4
шестнадцатеричных цифр. Первые три части являются префиксом сайта или
глобальной маршрутизации, что назначается интернет–провайдером, где:
− 2
Глобальный
Одноадресный
Индикатор:
означает
отправку
сообщения в единую сеть назначения, идентифицируемую уникальным
адресом;
− 001 Региональный интернет–регистратор (AFRINIC, APNIC, ARIN,
LACNIC, RIPE NCC);
− ODB8 Локальный Интернет–реестр (ЛИР) или провайдер Интернет–
услуг (ПИУ);
− 0234 Клиент.
Четвертая часть AB00 представляет собой id подсети. А последние 4 части
0123:4567:8901:ABCD
–
64–битный
расширенный
уникальный
идентификатор, присваиваемый непосредственно хосту с ручной настройкой
или динамически за счет DCHPv6 или EUI–64.
IPv6–адреса можно представлять в разных формах за счет применения
следующих методов:
19
1) Если в адрес входит от одного октета и более с нулями, то это можно
сократить, удалив и заменив двойным двоеточием (::). И сделать такое можно
только один раз.
До: 2041:0000:140F:0000:0000:0000:875B:131B;
После: 2041: 0000:140F:: 875B:131B.
2) Если есть блок с 4 нулями, то можно удалить их и оставить там только
один ноль.
До: 2041: 0000:140F:: 875B:131B;
После: 2041:0:140F:: 875B:131B.
3) Удаление всех впередистоящих нулей.
До: 2001:0001:0002:0003:0004:0005:0006:0007;
После: 2001:1:2:3:4:5:6:7.
Нельзя удалять все нули, иначе устройство, работающее с IPv6 не поймет, где
заполнить нули, чтобы снова сделать адрес 128–битным.
1.6 Типы IPv6–адресов
Существуют различные типы адресов IPv6: одноадресные (Unicast),
групповые (Anycast) и многоадресные (Multicast).
Unicast идентифицирует конкретный интерфейс в сети. Пакет,
посланный на такой адрес, достигает в точности интерфейса, который этому
адресу соответствует. Есть несколько типов Unicast адресов:
1. Global unicast (2001:0DB8::/32). Эти адреса, к которым можно
проложить маршрут по Интернету, являются уникальными по всему миру.
Каждая компания, которая хочет подключиться к интернету с помощью IPv6,
получит блок IPv6–адресов, которые они могут дополнительно разделить на
более мелкие префиксы, чтобы все их устройства имели уникальный IPv6–
адрес.
2. Link–local (FE80::/10). Адрес, который используется только в
пределах одного линка. Link–local адреса используются для адресации линка
для таких механизмов как автоматическая настройка адреса, обнаружение
20
соседей при отсутствии маршрутизатора. Маршрутизаторы не должны
передавать в другой сегмент пакеты, в которых адрес отправителя или
получателя link–local. Глобальный индивидуальный адрес не обязателен.
Однако для содержания локального адреса канала необходим сетевой
интерфейс под управлением протокола IPv6. Если локальный адрес канала не
настроен вручную на интерфейсе, устройство автоматически создаёт
собственный адрес, не обращаясь к DHCP–серверу.
3. Unique local unicast (FC00::/7). Назначение в IPv6 аналогично
адресации IPv4 частной сети. Уникальные локальные адреса могут
использоваться свободно внутри одного сайта или организации. Они
маршрутизируются только в рамках таких частных сетей, но не в глобальном
IPv6 Интернет.
Anycast – любой индивидуальный адрес, который может быть назначен
нескольким устройствам. Пакет, отправляемый на адрес произвольной
рассылки, направляется к ближайшему устройству с этим адресом. Адреса
Anycast могут использоваться только маршрутизаторами. Схож с форматом
Unicast. Anycast–адрес не должен использоваться в качестве адреса
отправителя в IPv6–пакете.
Адреса типа Multicast идентифицируют группу интерфейсов, которые
обычно принадлежат различным устройствам. Пакет, отправленный на такой
адрес, будет доставлен всем интерфейсам в группе (как Broadcast адрес). И у
multicast адресов префикс FF00::/8.
Для успешной работы IPv6 на интерфейсе должен быть хотя бы один
loopback (::1/128) и один link–local адрес.
В результате были изучены следующие протоколы, что будут
использованы для разработки локальной сети: технология ATM с ее
основными принципами, стеками, услугами и особенностями при передаче
трафика, и современный протокол IPv6, относящий к семейству TCP/IP.
21
2 АНАЛИТИЧЕСКАЯ ЧАСТЬ
2.1. Определение топологии сети
Топология сети соответствует виду древовидной структуре, поскольку в
ней сочетается шинные и звездные сегменты. Такой вид хорошо вписывается
при построении трёхуровневой иерархической модели сети и в ЛВС большого
размера. Отказ любой из рабочих станций не влияет на работу всей сети.
Хорошая расширяемость и модернизация. Но требуется большое количество
кабеля и постоянный мониторинг и обслуживание.
Количество оборудования для обоих зданий:
Исходя из вида топологии и количества подключений с их резервом –
необходимо приобрести для уровня доступа сорок восемь 16–портовых
коммутаторов.
Из–за высокого трафика, дополнительной нагрузки сервера, выхода в
интернет и количества коммутаторов на уровне доступа – для уровня
распределения приобретается 17 штук 12–портовых свитчей.
В роли уровня ядра для высокой отказоустойчивости для каждого этажа
будет приобретен свой отдельный маршрутизатор, итоговое количество
которых составит 12.
Для
работы
со
старыми
протоколами
были
задействованы
дополнительные роутеры, благодаря чему соединения atm и fiber станут
рабочими. Для фильтрации трафика внутри сети и перед выходом в интернет
– так же использовались устройства с функционалом для этих целей. И
учитывая возможность выхода в интернет – общая сумма описанных
маршрутизаторов равняется 8.
2.2. Выбор среды передачи данных
Под этим подразумевается искусственные среды передачи.
Промышленностью выпускается огромное количество типов кабелей,
например, но все кабели можно разделить на три большие группы:
22
− медные кабели на основе витых пар проводов (twisted pair), которые
делятся на экранированные (shielded twisted pair, STP) и неэкранированные
(unshielded twisted pair, UTP);
− медные коаксиальные кабели (coaxial cable);
− оптоволоконные кабели (fibre optic).
Каждый тип кабеля имеет свои преимущества и недостатки, так что при
выборе надо учитывать как особенности решаемой задачи, так и особенности
конкретной сети, в том числе и используемую топологию.
Опираясь на данные условия из среды передачи данных для прокладки
кабеля в зданиях была выбрана витая пара UTP 5e, а для соединения двух
зданий между собой – оптоволокно(fiber) взамен репиторам с fastethernet,
поскольку первое является более безопасным, имеет большую скорость
передачи данных и тому подобные особенности, что крайне необходимо при
подключении зданий снаружи на каком–то расстоянии. Для его использования
будет применятся слот в роутерах под названием PA–POS–OC3. Для ATM
имеется свой особенный порт подключения – PA–A1 (Рисунок 5).
Рисунок 5 – Нужные выбранные слоты у роутера в программе для
построения
23
2.3. Выбор программных и аппаратных средства ЛВС
К основным компонентам аппаратных средств относятся:
Рабочие станции (PC) – это обычно персональные ЭВМ, которые
являются рабочими местами пользователей сети. Требования, предъявляемые
к составу PC, определяются характеристиками решаемых в сети задач,
принципами организации вычислительного процесса, используемой ОС и
некоторыми другими факторами.
Серверы выполняют
функции
распределения
сетевых
ресурсов.
Обычно его функции возлагают на достаточно мощный ПК, мини–ЭВМ,
большую ЭВМ или специальную ЭВМ–сервер. В одной сети может быть один
или несколько серверов. Каждый из серверов может быть отдельным или
совмещенным с PC. В последнем случае не все, а только часть ресурсов
сервера оказывается общедоступной.
Линии передачи данных соединяют PC и серверы в районе размещения
сети друг с другом. В качестве линий передачи данных чаще всего выступают
кабели. Наибольшее распространение получили кабели на витой паре и
коаксиальный кабель. Более перспективным и прогрессивным является
оптоволоконный кабель. В последнее время стали появляться беспроводные
сети, средой передачи данных в которых является радиоканал.
Коммутаторы используются для соединения в основном идентичных
сетей, имеющих некоторые различия на физическом и канальном уровнях.
Например, с помощью коммутатора могут соединяться на 3–м (сетевом)
уровне две сети с различными более низкими уровнями, но одинаковыми
более высокими уровнями.
Маршрутизаторы могут выполнять следующие простые функции:
− Подключение
локальных
сетей
(LAN)
распределенным сетям (WAN);
− Соединение нескольких локальных сетей.
24
к
территориально–
Маршрутизаторы зависят от используемого протокола и в отличие от
мостов и коммутаторов, функционирующих на втором уровне, работают на
третьем или седьмом уровне модели OSI. Маршрутизатор имеет в своем
распоряжении базу топологической информации, которая говорит ему о том,
между какими подсетями общей сети имеются связи и в каком состоянии
(работоспособном или нет) они находятся. Имея такую карту сети,
маршрутизатор может выбрать один из нескольких возможных маршрутов
доставки пакета адресату (он может принимать решение о наилучшем
маршруте доставки данных, руководствуясь такими факторами, как
стоимость, скорость доставки и т.д.). Кроме того, маршрутизаторы позволяют
эффективно управлять трафиком широковещательной рассылки, обеспечивая
передачу данных только в нужные порты.
Межсетевой экран (Брандмауэр; Firewall) – это программный или
программно–аппаратный элемент компьютерной сети, осуществляющий
контроль и фильтрацию проходящего через него сетевого трафика в
соответствии с заданными правилами. Применяется как для защиты серверов
в локальной сети, так и самих ЛВС от несанкционированного доступа из
внешней сети. Межсетевой экран может быть выполнен аппаратно или
программно. Реализация зависит от масштаба сети, объема трафика и
необходимых задач. Наиболее распространенным типом Брандмауэров
является программный. В этом случае он реализован в виде программы,
запущенной на конечном ПК, либо пограничном сетевом устройстве,
например маршрутизаторе. В случае аппаратного исполнения Firewall
представляет собой отдельный сетевой элемент, обладающий обычно
большими
производительными
способностями,
но
выполняющий
аналогичные задачи.
Для нашей ЛВС было выбрано следующее аппаратное оборудование:
C1000–16T–E–2G–L Cisco Catalyst коммутатор 16 x GE RJ–45, 2 x SFP –
уровень доступа;
25
C9500–16X–A Cisco Catalyst коммутатор 16 x SFP+. Network Advantage
– уровень распределения;
Cisco ISR4461/K9 – уровень ядра;
Cisco 7204VXR/NPE–G1– для работы atm и fiber;
Cisco CISCO2951/K9 – сетевой уровень;
ASA5506–K8 Cisco ASA 5506–X FirePOWER межсетевой экран 8 x GE
– для защиты сервера;
ASA5506–SEC–BUN–K8 Cisco ASA 5506–X FirePOWER 8 x GE RJ–45 –
для контроля трафика из внешней сети.
Выбор фирмы–производителя Cisco был обусловлен оптимальным
соотношением
цена/качество.
Помимо
выбранное
оборудование
удовлетворяет требованиям исходных данных.
О программных средствах в Cisco. У компании Cisco в ее оборудовании
встроена собственная операционная система – Cisco IOS. Это семейство
операционных
систем,
используемых
в
большинстве
роутеров
и
коммутаторов. IOS – это комплекс для управления маршрутизаторами,
коммутаторами, межсетевыми и телекоммуникационными функциями,
интегрированный в мультизадачную операционную систему. Хотя IOS и
базируется на ядре с совместной многозадачностью, многие функциональные
возможности системы переносятся на другие ядра, такие как QNX и Linux для
использования продуктов Cisco или использования симуляторов, например
Cisco VIRL.
Интерфейс командной строки (CLI) IOS предоставляет фиксированный
набор команд из нескольких слов. Доступный набор определяется «режимом»
и
уровнем
привилегий
текущего
пользователя.
«Режим
глобальной
конфигурации» предоставляет команды для изменения конфигурации
системы, а «режим конфигурации интерфейса» предоставляет команды для
изменения
конфигурации
конкретного
интерфейса.
Всем
командам
назначается уровень привилегий от 0 до 15, и к ним могут получить доступ
только пользователи с необходимыми привилегиями. Через интерфейс
26
командной строки можно определить команды, доступные для каждого уровня
привилегий.
Протоколы маршрутизации и другие протоколы выполняются как
процессы Cisco IOS и вносят вклад в Базу маршрутной информации (RIB). Это
обрабатывается для создания окончательной таблицы переадресации IP (FIB,
Forwarding Information Base), которая используется функцией пересылки
маршрутизатора.
На
платформах
маршрутизаторов
с
программной
пересылкой (например Cisco 7200) большая часть обработки трафика, включая
список управления доступом, фильтрация и пересылка, выполняется на уровне
прерывания с использованием Cisco Express Forwarding (CEF) или dCEF
(распределенный CEF). Это означает, что IOS не нужно выполнять процесс
переключение
контекста
для
пересылки
пакета.
Такие
функции
маршрутизации, как OSPF или BGP, выполняются на уровне процесса. В
маршрутизаторах с аппаратной пересылкой, таких как Cisco серии 12000, IOS
вычисляет FIB в программном обеспечении и загружает его в оборудование
пересылки (например, ASIC или сетевой процессор), которое выполняет
фактическую пересылку пакетов.
По личным предпочтениям были взяты в использования следующие
функции маршрутизации в cisco, для которых заодно будут описаны отличия
между версиями для IPv4 и IPv6:
OSPF
Для того чтобы маршрутизаторы установили отношения соседства
(adjacency), в hello–пакетах должны совпадать значения таких полей:
−
HelloInterval;
−
RouterDeadInterval;
−
Area ID;
−
Authentication — пароль использующийся для аутентификации.
Маршрутизаторы не обязательно должны использовать аутентификацию, но
если она используется, то пароли должны совпадать;
27
−
Stub area flag — необязательный флаг, который устанавливается на
всех маршрутизаторах, которые принадлежат тупиковой зоне (stub area).
OSPF, при выборе лучшего маршрута, учитывает два критерия — тип
маршрута и стоимость маршрута. OSPF использует метрику, которая
называется стоимость (cost). Стоимость сравнивается у маршрутов одного
типа. Если маршрутизатору известны маршруты к одной и той же сети, но эти
маршруты разных типов, то маршрутизатор выбирает наиболее приоритетный
тип маршрута и не учитывает стоимость маршрута.
Основные отличия OSPFv2 (версия для IPv4) и OSPFv3 (версия для
IPv6):
–
OSPFv3 включается на интерфейсах. Включение OSPF на интерфейсе
автоматически создает процесс OSPF и соответствующую команду в
конфигурационном файле;
–
Анонсируются все сети, настроенные на интерфейсе;
–
Идентификатор маршрутизатора должен быть настроен вручную.
Правила выбора идентификатора аналогичны правилам для OSPFv2, однако,
если на маршрутизаторе не настроен адрес IPv4, то идентификатор должен
быть настроен вручную;
–
Пакеты OSPF отправляются с link–local адреса (за исключением virtual
–
Аутентификации в самом OSPFv3 нет. Протокол использует
link);
аутентификацию IPv6;
EIGRP
Для того чтобы маршрутизаторы стали соседями должны выполняться
такие условия:
− Маршрутизаторы должны пройти аутентификацию;
− Маршрутизаторы должны быть в одной AS;
28
− Отношения соседства должны устанавливаться на primary–адресах
(когда приходит hello–пакет, маршрутизатор проверяет принадлежит ли адрес
отправителя сети на primary–адресе интерфейса);
− Должны совпадать значения K–коэффициентов;
− Для того чтобы маршрутизаторы стали EIGRP–соседями у них не
обязательно должны совпадать Hello и Hold time.
Если на одном из маршрутизаторов изменены Hello или Hold time, то
соседи этого маршрутизатора будут использовать эти значения. Для того
чтобы сам маршрутизатор использовал другие значения, необходимо
изменить таймер на соответствующем интерфейсе соседа.
EIGRP, при выборе лучшего маршрута, учитывает два критерия — тип
маршрута и метрику маршрута. В первую очередь сравнивается тип маршрута,
без учёта метрики. Внутренние маршруты EIGRP более приоритетные чем
внешние (external). Если известны разные маршруты одного типа, то
сравнивается метрика маршрутов и выбирается маршрут у которого метрика
меньше.
EIGRP для IPv6 по–прежнему имеет много общих функций со своим
предшественником для IPv4. Это по–прежнему продвинутый дистанционно–
векторный протокол с некоторыми функциями состояния канала. Он так же
использует DUAL (алгоритм диффузного обновления) для обнаружения
соседей с помощью пакетов приветствия и обновлений маршрута, как в IPv4.
Hello–пакеты и обновления отправляются с помощью многоадресной
передачи на многоадресный адрес FF02::A. Для IPv4 многоадресный адрес
был 224.0.0.10.
Несмотря на это, некоторые различия все же есть: команда network , как
и другие протоколы маршрутизации IPv6, никогда не используется для
настройки EIGRPv6. Вместо этого сетевое объявление выполняется в режиме
конфигурации интерфейса с использованием ipv6 eigrp PROCESS_ID . Но его
необходимо включать из режима настройки маршрутизатора с помощью
29
команды ipv6 router eigrp ASN, как интерфейс с помощью команды no
shutdown.
2.4. Выбор программного обеспечения клиентского и серверного
оборудования
В предприятии на персональных компьютерах и серверах необходимо
установленное лицензионное программное обеспечение. Какую предпочесть –
зависит от пожеланий руководства клиентской компании и рекомендаций
сетевого интегратора, а также и от выбранного оборудования. Примерами
могут послужить следующие:
UNIX представляет собой очень мощную, гибкую и динамичную
операционную систему, которая в состоянии обрабатывать практически
любую предложенную пользователем задачу. Обладает широким набором
предлагаемых средств, с помощью которых можно решить большинство
проблем, возникающих при работе с информационными технологиями. К
преимуществам
UNIX
относятся
мощность
работы,
стабильность и
надежность, полная автоматизация, а также поддержка множества языков
программирования. Эта операционная система предлагает оптимальные
решения для работы с Internet, включая доступ к ресурсам Web, Telnet, FTP,
базам данным и т.п. Поскольку система UNIX создавалась специально для
обработки больших массивов данных и полной интеграции с сетевой средой,
она почти всегда превосходит по быстродействию любую другую
комбинацию аппаратного и программного обеспечения. Linux представляет
собой версию UNIX, адаптированную для процессоров Intel.
Windows Server 2003 основан на Windows 2000 Server. Она является
платформой
высокой
производительности
для
поддержки
связанных
приложений, сетей, и веб–служб XML для рабочих групп, отделов и
предприятий любого размера. Состав Windows Server 2003: Windows Server
2003 Standard Edition – это сетевая операционная система для предприятий
малого бизнеса и отдельных подразделений организации. Windows Server 2003
30
Enterprise
Edition
предназначена
для
удовлетворения
общих
ИТ–
потребностей. Windows Server 2003 Datacenter Edition предназначена для
решения
ответственных
задач,
требующих
очень
высокого
уровня
масштабированности, доступности и надежности. Windows Server 2003 Web
Edition – это операционная система для Web–серверов. Так же существует WS
2008, в основу которого положена WS 2003. Она предназначена для
обеспечения
пользователей
наиболее
производительной
платформой,
позволяющей расширить функциональность приложений, сетей и веб–служб,
от рабочих групп до центров данных.
Система Linux известна своей быстрой обработкой внешних запросов и
хорошо себя зарекомендовала в плане стабильности и надежности, когда ее
ставят на сервер. Помимо она способна опознавать работающие под
управлением Windows компьютеры, чего ОС от Microsoft не умеет. Поэтому
мной был выбран знакомый мне уже в работе – дистрибутив Ubuntu Server.
Для простых пользователей предпочтительно ставить знакомые ОС,
чтобы не было много вопросов к интерфейсу, как это может быть с Linux.
Потому выбор пал на Windows 10. Самая известная операционная система,
известная всем пользователям на нашей планете.
Вдобавок были подобраны комплектующие для компьютеров, которые
будут использованы для расчета суммы затрат на разработку.
В результате было получено: IP–план для хостов и таблицы
маршрутизации
для
роутеров,
подсчитано
количество
необходимого
коммутационного оборудования и выбраны среда передачи, программные и
аппаратные средства, ПО для клиентского и серверного оборудования и их
комплектующие.
31
2.5.
Создание
имитационной
модель
проектируемой
сети,
удовлетворяющей приведенным исходным данным
Каждое здание разрабатывается на основе трёхуровневой иерархической
модели сети, которая содержит в себе следующие уровни:
− Ядро сети. Представляет собой комплекс сетевых устройств,
обеспечивающих резервирование каналов и высокоскоростную передачу
данных между различными сегментами уровня распределения;
− Уровень распределения. На уровне распределения решаются задачи
маршрутизации, фильтрации и настройки QoS (технология, при помощи
которой задается приоритет для определенного типа трафика);
− Уровень доступа. Как правило для организации этого самого простого
уровня иерархической модели устанавливаются наиболее оптимальные по
цене устройства, не требующие сложной конфигурации. Основная задача
таких устройств — предоставление доступа рабочим станциям и серверам к
следующему уровню (распределения) иерархии.
Опираясь на исходные данные для ЛВС предприятия – в каждое здание
входит 6 этажей, в каждом из которых числится 6 комнат, а в каждой комнате
расположено
8
компьютеров.
Помимо
задается
несколько
групп
пользователей, для каждой из которых формируется своя подсеть, сервер для
служебных сервисов и доступ к глобальной сети Internet. Необходима высокая
отказоустойчивость, в связи с чем на связывающих сетевых устройствах не
экономят.
На основе сформированных требований и исходных данных было
произведено построение имитационной модели для полного представления
проектируемой сети. В общей модели: повторяющиеся устройства были
помещены в прямоугольные формы с соответствующими подписями. Здание,
в котором будет находится сервер и firewall, расположено слева. Здание, в
котором его поток данных и первого здания будет поступать в ATM и
выходить в интернет через firewall с NAT64, справа. Так же были соблюдены
32
все виды подключения между устройствами, включая дополнительные,
позволяющие повысить отказоустойчивость. Кабель с многоточием – Ethernet,
черный прямой – Gigabit Ethernet, прямой красный – Fiber, прямой оранжевый
– ATM. Также группы пользователей обозначены разными цветами в колонках
Hosts и количество компьютеров в каждой комнате подписано цифрой
(Рисунок 6 – 10).
Рисунок 6 – Общая имитационная модель проектируемой сети
Рисунок 7 – Имитационная модель первого этажа первого здания
33
Рисунок 8 – Имитационная модель первого этажа второго здания
Рисунок 9 – Имитационная модель 2 – 6 этажа первого и второго зданий
34
Рисунок 10 – Схема вертикальной прокладки провода каждого здания
2.6. Проектирование ЛВС предприятия с технологией АТМ
По причине данных условий схему не было возможности собирать в
Cisco Packet Tracer в связи с отсутствием технологии ATM. На выбор было 2
программы – NetCracker Professional и не так давно появившийся GNS3.
Было решено использовать вторую, которая заинтересовала своим
количеством документации, рекомендациями сетевых инженеров, большой
поддержкой комьюнити на сайте производителя, большим функционалом
оборудования,
возможностью
проверки
различных
технологий
с
полноценным оригинальным программным обеспечением (Server Ubuntu,
Cisco ASA 5500–X, Windows Server) и подобные плюсы (Рисунок 11).
35
Рисунок 11 – Рабочее окно программы
GNS3 представляет из себя графический симулятор сети, позволяющий
создавать различные сетевые топологии на компьютере. В нем эмулируются
все основные компоненты устройства, в том числе процессор, память и
устройства ввода/вывода. С Cisco эмулятор создает модель маршрутизатора и
запускает внутри реальную операционную систему Cisco IOS. Таким образом
получается
полнофункциональное
устройство.
Помимо
мы
имеем
возможность проверять оборудование за счет подключения к настоящему
интернету и даже выходить в него за счет настоящего браузера, который есть
там возможность установить. Но не стоит забывать, что у программы большие
требования к вычислительным мощностям компьютера, потому что она
работает с реальными прошивками устройств. Может потребоваться какое–то
количество времени для установки и настройки необходимых прошивок
оборудования (как задействованные мной Cisco IOU, только которые и сумели
правильно работать для удовлетворения требований моего задания). Помимо
того имеет баги и порой бывает не очень стабильная (о чем свидетельствует
сам форум программы, постоянно пополняющийся вопросами по этим
поводам). Но несмотря на это ее можно рекомендовать, особенно при
36
построении не очень больших топологий, а если вычислительные мощности
велики – большая часть проблем обойдет стороной.
Основываясь на визуальной модели – начнется реализация ATM
технологии. Но прежде чем оно будет внедрено и настроено между зданиями
– первым делом будет выполнено возведение каждого этажа в каждом здании
с устройствами для их совместного соединения и контактирования.
Для реализации хостов бралось: VPCS, позволяющий имитировать
легкий ПК с поддержкой DHCP и ping, и так же дополнительно Alpine Linux с
облегченным дистрибутивов Linux и подобными функциями, как у VPCS. Для
удобной ориентации – каждый этаж здания представляет собой серый квадрат,
внутри которого для хостов выделяются прямоугольные области с каким–либо
цветом для выделения группы пользователей (Рисунок 12).
Рисунок 12 – Пользователи на одном этаже
37
Для
реализации
трёхуровневой
модели
сети
были
подобраны
соответствующие устройства. Лучше всего в плане работоспособности себя
показали: коммутатор для первого уровня i86bi–linux–l2–adventerprisek9–
15.2d,
коммутатор
второго
уровня
vios_l2–adventerprisek9–m.SSA.152–
4.0.55.E, для уровня ядра vios–adventerprisek9–m.vmdk.SPA.156–2.T.
Было выполнено соединение каждого устройства. С хостов на уровень доступа
идет кабель Ethernet, потому что здесь нет необходимости в высокой скорости.
Большая нагрузка начинает идти на уровне распределения и базовом уровне,
где и используется соединение Gigabit Ethernet (Рисунок 13).
Рисунок 13 – Соединение всего этажа
Таким образом был создан каждый этаж. Для удобства все устройства
базового доступа были вынесены за предел своего этажа и соединены вместе
друг с другом для последующей рабочей маршрутизации (Рисунок 14).
38
Рисунок 14 – Соединение между роутерами базового уровня и этажами
Далее как все этажи были настроены и соединены – поток данных с
роутеров базового уровня следует на уже известные коммутаторы vios_l2,
стоящие там для подключения одинаковых подсетей, распределения трафика
большого размера и отправления, что необходимо, на firewall для
последующего выхода на сервер, или на второе здание, где перед выходом все
поступает в роутер Gateway 1, с прошивкой c7200–p–mz.123–19, и он
соединяется через оптоволокно со вторым зданием (Рисунок 15).
39
Рисунок 15 – Соединение между роутерами базового уровня и этажами
Для стабильной работы программы – роль межсетевого экрана ASA и Server
на себя взял образ vios–adventerprisek9–m.vmdk.SPA.156–2.T. В дальнейшем
будет настроена нужная конфигурация для их необходимой работы.
Первое здание было описано и собрано. Второе в плане иерархической
сети собирается таким же образом. На выходе, когда трафик выходит из
коммутаторов 2 уровня, к которым подключены роутеры базового уровня,
стоит роутер EDGE, обладающий нужными функциями для работы всех
протоколов на основе IPv6 (особенно DHCPv6, что пригодится в дальнейшем).
Прошивка наших core–роутеров. Через его два порта данные направляются на
Gateway 2, а он соединяется в свою очередь через оптоволокно с отвечающим
за ATM–передачу маршрутизатором ATM_CLOUD (потому что соединив atm
с помощью fiber – у нас не будет ничего работать в программе). Второй его
интерфейс с кабелем fiber направлен в сторону первого здания, а третий в
коммутатор ATM. Для поддержки atm и fiber внедрена та же прошивка, что на
Gateway 1 (Рисунок 16).
40
Рисунок 16 – Соединение на выходе второго этажа
В последующей части схемы – прошивка core–роутеров была
использована только для маршрутизатора NAT6TO4, который выполняет
фильтрацию трафика как ASA, для работы протокола NAT64. ATM_CLOUD
за счет кабеля A1 соединяется с ATM–switch, а к тому HOSTS_V6, который
является последним устройством, носящий на всех интерфейсах IPv6. Трафик,
протекающий через его интерфейс g0/0, идет на NAT6TO4, который
посредник для перехода IPv6 в IPv4 и обратно за счет преобразования сетевых
адресов. И последний роутер в нашей цепочке, принимающий только IPv4
адреса для публичной сети – ISP_V4. Он тоже выполняет функцию NAT, но
для выхода в интернет, делая приватные адреса публичными. И полученный
публичный адрес следует в объект облако под названием Internet (Рисунок 17).
Рисунок 17 – Соединение с выходом в интернет
41
Для работы GNS3 так же используется виртуальная машина VMware
Workstation, позволяющая проще работать с прошивками устройств и
выходить в интернет. Узел в форме облака за счет сетевого адаптера с
функцией NAT, который был ранее создан в виртуальной машине, позволяет
нам получить доступ к интернету. После настройки конфигурации NAT мы
проверим это (Рисунок 18).
Рисунок 18 – Настройка сетевых адаптеров в VMware Workstation, где
нужный нам для интернета подписан типом NAT
Все здания с расположенными в них устройствами были расписаны.
Пришло время приступить к настройке конфигурации. Первые делом
возьмемся за оптоволокно в роутерах GW1, GW2 и ATM_CLOUD. Включим
соответствующий порт (Рисунок 19).
42
Рисунок 19 – Нужный порт PA–POS–OC3 для работы fiber
Заходим в соответствующий интерфейс и задаем IPv6 адрес нужной подсети,
что ранее было расписано. Подробно о настройке IPv6 будет в следующем
пункте. Необходимо указать вид инкапсуляции пакета, что позволит нам
выполнять передачу. На выбор нам предоставлено 4 варианта. PPP имеет
широкий набор функций и предоставит нам нужную скорость передачи и
потому используем его. Включим интерфейс и проверим пинг на устройствах
(Рисунок 20, 21).
Рисунок 20 – Настройка и проверка fiber на GW1
43
Рисунок 21 – Настройка и проверка fiber на GW1
Сконфигурируем теперь ATM. Заходим в настройки коммутатора ATM
и выставляем следующие значения таблицы коммутации для виртуальных
каналов PVC. Записи будут означать, что если на порт 1 поступает ATM
ячейка с полями VPI=100 и VCI=200, то её необходимо перенаправить на порт
2, а значение полей VCI/VPI поменять местами. А если поступает со второго
порта ATM ячейка, то значения VCI/VPI вновь меняются на 100:200 (Рисунок
22).
Рисунок 22 – Настройки ATM свитча
44
Убедимся, что выбран слот PA–A1 на роутерах (Рисунок 23).
Рисунок 23 – Порты роутера
В
режиме
глобальной
конфигурации
настроим
порты
ATM.
Виртуальные каналы ATM в Cisco IOS представляются субинтерфейсами
порта ATM. Так же для их работы применяется протокол PPP, который
используется для установления прямой связи между двумя узлами сети. Он
дописывается сразу после отступа от прописанного интерфейса. После
создания мы включаем интерфейс и вводим IPv6 адрес, как ранее. Теперь
настройка двух постоянных виртуальных каналов и добавление им тип
инкапсуляции с уровнем адаптации. Выбирается aal5snap, потому что версия
5 современная и хорошая надежность, а SNAP в ячейки ATM будет помещать
пакеты IP (Рисунок 24, 25, 26).
Рисунок 24 – Настройка ATM на первом маршрутизаторе
45
Рисунок 25 – Настройка ATM на втором маршрутизаторе с последующим
просмотром интерфейсов и пинга ATM_CLOUD
Рисунок 26 – Пинг с ATM_CLOUD
46
2.7. Настройка IP–адресации и маршрутизации с использованием
протокола IPv6
Необходимо учитывать, что в случае расширения предприятия –
необходимо выделять резервное адресное пространство, что запросто
позволяет осуществить IPv6 благодаря своим особенностям. Разбиение IPv6–
сети на подсети носит иной характер, чем разбиение на подсети IPv4–сети.
Пространство IPv6–адресов разбивается не с целью экономии адресов, а для
обеспечения иерархической логической структуры сети. Помним, что IPv6
имеет 128–битные адреса. Интернет–провайдером выдается блок с префиксом
/48, допустим 2001:828:105::/48. Последние 64 бита в адресе (блок из 4
значений, в каждое из которых входит четыре 16–ричных числа) уходят на
идентификатор интерфейса и представляет собой часть хоста. После этого у
нас по середине остается 16 бит, которые и выделяются на создание подсетей.
С таким количеством бит возможно создание около 65.536 подсетей на основе
выданного префикса и потому нет необходимости заимствовать биты от части
хоста для создания большего количества подсетей, как это практикуется в
IPv4. В итоге все, что находится между 0000 и FFFF в нашей части с размеров
в 16 бит, является допустимыми подсетями: 2001:828:105:0005::/64,
2001:828:105:0013::/64 и т.д.
По той причине, что теперь нет такого количества ограничений, как в
IPv4, для каждой группы пользователей был сформирован один VLAN, но из–
за дополнительных уровней ядра, внедренных для надежности топологии, для
каждого этажа будут свои подсети, чтобы на каждом роутере ядра не
повторялись адреса. На разных этажах будут пересекаться одни и те же VLAN,
поскольку теперь смысла нет создавать их в большом количестве. И это имеет
отношение к каждому зданию отдельно.
На основе всего выше сказанного были разработаны таблицы адресного
пространства для всех необходимых устройств в каждом здании.
47
Таблица 1.1 – Распределение адресного пространства для хостов в
первом здании
Группа
пользователей
Номер Эта
VLAN ж
1
100
2
Консультанты
200
3
Бухгалтеры
4
300
Администраторы
5
6
Выделенный
блок адресов
2001:db8:acad:e100::/64
2001:db8:acad:b100::/64
2001:db8:acad:a100::/64
2001:db8:acad:e150::/64
2001:db8:acad:b150::/64
2001:db8:acad:a150::/64
2001:db8:acad:e200::/64
2001:db8:acad:b200::/64
2001:db8:acad:a200::/64
2001:db8:acad:e250::/64
2001:db8:acad:b250::/64
2001:db8:acad:a250::/64
2001:db8:acad:e300::/64
2001:db8:acad:b300::/64
2001:db8:acad:a300::/64
2001:db8:acad:e350::/64
2001:db8:acad:b350::/64
2001:db8:acad:a350::/64
Адрес шлюза по
умолчанию
2001:db8:acad:e100::bc1:1/64
2001:db8:acad:b100::bc1:1/64
2001:db8:acad:a100::bc1:1/64
2001:db8:acad:e150::bc1:1/64
2001:db8:acad:b150::bc1:1/64
2001:db8:acad:a150::bc1:1/64
2001:db8:acad:e200::bc1:1/64
2001:db8:acad:b200::bc1:1/64
2001:db8:acad:a200::bc1:1/64
2001:db8:acad:e250::bc1:1/64
2001:db8:acad:b250::bc1:1/64
2001:db8:acad:a250::bc1:1/64
2001:db8:acad:e300::bc1:1/64
2001:db8:acad:b300::bc1:1/64
2001:db8:acad:a300::bc1:1/64
2001:db8:acad:e350::bc1:1/64
2001:db8:acad:b350::bc1:1/64
2001:db8:acad:a350::bc1:1/64
Таблица 1.2 – Распределение адресного пространства для хостов во
втором здании
Группа
пользователей
Номер Эта
VLAN ж
1
Менеджеры
Рабочие
150
2
3
250
4
Администраторы
350
5
6
Выделенный
блок адресов
2001:db8:acad:f100::/64
2001:db8:acad:c100::/64
2001:db8:acad:d100::/64
2001:db8:acad:f150::/64
2001:db8:acad:c150::/64
2001:db8:acad:d150::/64
2001:db8:acad:f200::/64
2001:db8:acad:c200::/64
2001:db8:acad:d200::/64
2001:db8:acad:f250::/64
2001:db8:acad:c250::/64
2001:db8:acad:d250::/64
2001:db8:acad:f300::/64
2001:db8:acad:c300::/64
2001:db8:acad:d300::/64
2001:db8:acad:f350::/64
2001:db8:acad:c350::/64
2001:db8:acad:d350::/64
48
Адрес шлюза по
умолчанию
2001:db8:acad:f100::bc1:1/64
2001:db8:acad:c100::bc1:1/64
2001:db8:acad:d100::bc1:1/64
2001:db8:acad:f150::bc1:1/64
2001:db8:acad:c150::bc1:1/64
2001:db8:acad:d150::bc1:1/64
2001:db8:acad:f200::bc1:1/64
2001:db8:acad:c200::bc1:1/64
2001:db8:acad:d200::bc1:1/64
2001:db8:acad:f250::bc1:1/64
2001:db8:acad:c250::bc1:1/64
2001:db8:acad:d250::bc1:1/64
2001:db8:acad:f300::bc1:1/64
2001:db8:acad:c300::bc1:1/64
2001:db8:acad:d300::bc1:1/64
2001:db8:acad:f350::bc1:1/64
2001:db8:acad:c350::bc1:1/64
2001:db8:acad:d350::bc1:1/64
Таблица 1.3 – Распределение адресов для устройств первого здания
Устройство
GW1
Layer_3_CORE_1
Layer_3_CORE_2
Layer_3_CORE_3
Layer_3_CORE_4
Layer_3_CORE_5
Layer_3_CORE_6
Интерфейс
G0/0
G1/0
G2/0
POS4/0
Loopback0
G0/0
G1/0
G2/0.100
G2/0.200
G2/0.300
G3/0
G4/0
G5/0
Loopback0
G0/0
G1/0
G2/0.100
G2/0.200
G2/0.300
G3/0
G4/0
G5/0
Loopback0
G0/0
G3/0
G1/0
G2/0.100
G2/0.200
G2/0.300
G4/0
G5/0
Loopback0
G0/0
G3/0
G2/0.100
G2/0.200
G2/0.300
G1/0
G4/0
G5/0
Loopback0
G0/0
G1/0
G3/0
G2/0.100
G2/0.200
G2/0.300
Loopback0
G0/0
IP–адрес
2001:db8:acad:23c::c1/64
2001:db8:acad:3c::c1/64
2001:db8:acad:ae1::ea1/64
2001:db8:acad:122:1::2/64
2001:face:5::1/128
2001:db8:acad:2fe3::0e11/64
2001:db8:acad:3c::c3/64
2001:db8:acad:e100::bc1:1/64
2001:db8:acad:b100::bc1:1/64
2001:db8:acad:a100::bc1:1/64
2001:db8:acad:1de1::00e1/64
2001:db8:acad:23c::c4/64
2001:db8:acad:1ef3::0e11/64
2001:face:2::1/128
2001:db8:acad:2fe3::0e22/64
2001:db8:acad:3c::c4/64
2001:db8:acad:e150::bc1:1/64
2001:db8:acad:b150::bc1:1/64
2001:db8:acad:a150::bc1:1/64
2001:db8:acad:2de1::0e11/64
2001:db8:acad:23c::c3/64
2001:db8:acad:2fe1::0e11/64
2001:face:6::1/128
2001:db8:acad:2fe2::0e11/64
2001:db8:acad:1de1::00e2/64
2001:db8:acad:1de2::00e1/64
2001:db8:acad:e200::bc1:1/64
2001:db8:acad:b200::bc1:1/64
2001:db8:acad:a200::bc1:1/64
2001:db8:acad:1ef2::0e11/64
2001:db8:acad:2fe1::0e22/64
2001:face:3::1/128
2001:db8:acad:1ef1::00e1/64
2001:db8:acad:2de1::0e22/64
2001:db8:acad:e250::bc1:1/64
2001:db8:acad:b250::bc1:1/64
2001:db8:acad:a250::bc1:1/64
2001:db8:acad:2de2::0e11/64
2001:db8:acad:1ef2::0e22/64
2001:db8:acad:1ef3::0e22/64
2001:face:7::1/128
2001:db8:acad:1ef1::00e2/64
2001:db8:acad:1de2::00e2/64
2001:db8:acad:2ef2::0e11/64
2001:db8:acad:e300::bc1:1/64
2001:db8:acad:b300::bc1:1/64
2001:db8:acad:a300::bc1:1/64
2001:face:4::1/128
2001:db8:acad:2fe2::0e22/64
49
G1/0
G3/0
G2/0.100
G2/0.200
G2/0.300
Loopback0
2001:db8:acad:2de2::0e22/64
2001:db8:acad:2ef2::0e22/64
2001:db8:acad:e350::bc1:1/64
2001:db8:acad:b350::bc1:1/64
2001:db8:acad:a350::bc1:1/64
2001:face:8::1/128
Таблица 1.4 – Распределение адресов для устройств второго здания
Устройство
GW2
EDGE
Layer_3_CORE_11
Layer_3_CORE_12
Layer_3_CORE_10
Layer_3_CORE_9
Интерфейс
G0/0
G3/0
POS4/0
Loopback0
G2/0
G1/0
G0/0
G3/0
Loopback0
G0/0
G1/0
G2/0.150
G2/0.250
G2/0.350
G3/0
G4/0
G5/0
Loopback0
G0/0
G1/0
G2/0.150
G2/0.250
G2/0.350
G3/0
G4/0
G5/0
Loopback0
G0/0
G3/0
G1/0
G2/0.150
G2/0.250
G2/0.350
G4/0
G5/0
Loopback0
G0/0
G3/0
G2/0.150
G2/0.250
G2/0.350
IP–адрес
2001:db8:acad:24c1::c1/64
2001:db8:acad:24c2::c1/64
2001:db8:acad:123:1::2/64
2001:face:E::1/128
2001:db8:acad:23c2::c1/64
2001:db8:acad:3c2::c1/64
2001:db8:acad:24c1::c2/64
2001:db8:acad:24c2::c2/64
2001:face:A7::1/128
2001:db8:acad:4fe3::0e11/64
2001:db8:acad:3c2::c3/64
2001:db8:acad:f100::bc1:1/64
2001:db8:acad:c100::bc1:1/64
2001:db8:acad:d100::bc1:1/64
2001:db8:acad:3de1::00e1/64
2001:db8:acad:23c2::c2/64
2001:db8:acad:3ef3::0e11/64
2001:face:A1::1/128
2001:db8:acad:4fe3::0e22/64
2001:db8:acad:23c2::c3/64
2001:db8:acad:f150::bc1:1/64
2001:db8:acad:c150::bc1:1/64
2001:db8:acad:d150::bc1:1/64
2001:db8:acad:4de1::0e11/64
2001:db8:acad:3c2::c2/64
2001:db8:acad:4fe1::0e11/64
2001:face:A2::1/128
2001:db8:acad:4fe2::0e11/64
2001:db8:acad:3de1::00e2/64
2001:db8:acad:3de2::00e1/64
2001:db8:acad:f200::bc1:1/64
2001:db8:acad:c200::bc1:1/64
2001:db8:acad:d200::bc1:1/64
2001:db8:acad:3ef2::0e11/64
2001:db8:acad:4fe1::0e22/64
2001:face:A3::1/128
2001:db8:acad:3ef1::00e1/64
2001:db8:acad:4de1::0e22/64
2001:db8:acad:f250::bc1:1/64
2001:db8:acad:c250::bc1:1/64
2001:db8:acad:d250::bc1:1/64
50
Layer_3_CORE_8
Layer_3_CORE_7
G1/0
G4/0
G5/0
Loopback0
G0/0
G1/0
G3/0
G2/0.150
G2/0.250
G2/0.350
Loopback0
G0/0
G1/0
G3/0
G2/0.150
G2/0.250
G2/0.350
Loopback0
2001:db8:acad:4de2::0e11/64
2001:db8:acad:3ef2::0e22/64
2001:db8:acad:3ef3::0e22/64
2001:face:A4::1/128
2001:db8:acad:3ef1::00e2/64
2001:db8:acad:3de2::00e2/64
2001:db8:acad:4ef2::0e11/64
2001:db8:acad:f300::bc1:1/64
2001:db8:acad:c300::bc1:1/64
2001:db8:acad:d300::bc1:1/64
2001:face:A5::1/128
2001:db8:acad:4fe2::0e22/64
2001:db8:acad:4de2::0e22/64
2001:db8:acad:4ef2::0e22/64
2001:db8:acad:f350::bc1:1/64
2001:db8:acad:c350::bc1:1/64
2001:db8:acad:d350::bc1:1/64
2001:face:A6::1/128
Таблица 1.5 – Распределение адресов для общего оборудования
Устройство
Интерфейс
IP–адрес
Server_1
G0/0
G0/0
G1/0
G2/0
G3/0
Loopback0
G0/0
A6/0.1020
Loopback0
POS3/0
POS4/0
A6/0.1020
Loopback0
G0/0
G0/1
Loopback0
Loopback0
G0/1
G0/2
Loopback0
2001:db8:acad:ce1::e2/64
2001:db8:acad:ce1::e1/64
2001:db8:acad:3c::c2/64
2001:db8:acad:ae1::ea2/64
2001:db8:acad:23c::c2/64
2001:face:1::1/128
2001:db8:acad:120:1::2/64
2001:db8:acad:121:3::1/64
2001:face:C::1/128
2001:db8:acad:122:1::1/64
2001:db8:acad:123:1::1/64
2001:db8:acad:121:3::2/64
2001:face:9::1/128
2001:db8:acad:120:1::1/64
77.88.20.1/24
2001:face:A::1/128
2.2.2.2/32
77.88.20.2/24
77.88.21.130/24
1.1.1.1/32
FireWall
HOSTS_V6
ATM_CLOUD
NAT6TO4
ISP_V4
Следующей целью будет изучить и внедрить IPv6 адресацию и
маршрутизацию за счет нее. Каждому роутеру будет прописан на интерфейсы
IPv6–адрес, опираясь на созданный IP–план.
51
Прежде всего нам необходимо включить пересылку пакетов IPv6
командой ipv6 unicast–routing. Теперь присваиваем сам глобальный адрес
(линк–локал создается самостоятельно), но в отличии от IPv4 пишем префикс
в конце нашего адреса и просто включаем интерфейс. Повторяем это на всех
маршрутизаторах (Рисунок 27, 28).
Рисунок 27 – Визуально показанная настройка IPv6 на интерфейсе роутера
Рисунок 28 – Интерфейсы после настройки с глобальным и линк локальным
IPv6 адресами
Таким образом были сконфигурированы все порты каждого роутера,
использованные при коммутации с устройствами. Только порт G0/2 у
маршрутизаторов базового уровня будет включен, но без адреса, поскольку в
дальнейшем пригодится для Vlan и раздачи DHCPv6 для пользователей и
групп.
52
В основном будет использована динамическая маршрутизация OSPFv3.
Для удобства на схему были нанесены: адреса подсетей, router id каждого
роутера и прямоугольные цветные области с подписанными на них area. Все
это поможет во внедрении ospf. (Рисунок 29, 30).
Рисунок 29 – Первое здание визуально измененное для ospf
Рисунок 30 – Второе здание
53
Чтобы настроить процесс маршрутизации OSPF на узлах, необходимо
сначала создать процесс OSFP и указать его номер командой ipv6 router ospf
(AS). После мы попадаем в настройки созданного ospf и задаем router–id. Это
будет уникальное имя маршрутизатора в пределах созданной ранее
автономной системы. Выходим из настроек ospf и заходим на нужные
интерфейсы, которые должны быть обязательно включены. Каждому
вписывается команда ipv6 ospf 10 area (number) для назначения интерфейса в
наш протокол, где area представляет собой область ospf, в которой находится
наш роутер. Когда ospf будет настроена – установится отношение соседства у
наших устройств, что будет символизировать появившаяся строка состояния
со словами «from LOADING to FULL» в конце. Соседи, это когда два
маршрутизатора, которые находятся в одном широковещательном сегменте и
у которых совпали нужные поля в hello–пакетах. Так же стоит помнить, что
значение IP MTU (Maximum transmission unit) должно совпадать на их
интерфейсах.
Длина area ограничена потому невозможно все устройства собрать в
одной. Помимо разделение на зоны позволяет снизить нагрузку на ЦПУ
маршрутизаторов. Правильно начинать с area 0, вокруг которой сумеют
контактировать остальные. Если все–таки одна ненулевая зона должна быть
присоединена к другой ненулевой, то используется либо обычный туннель
(GRE), либо virtual–link, что представляет собой виртуальный канал и может
напрямую связать две разные зоны. Он настраивается между пограничными
маршрутизаторами и первым в команде указывается область, где нужен
виртуальный канал, далее сам virtual–link, а третьим идентификатор для AS
другого маршрутизатора.
Опираясь на эту информацию – было создано 9 AREA, настроена и
проверена маршрутизация между всеми роутерами IPv6 (Рисунок 31 - 36).
54
Рисунок 31 – Приведенная настройка GW2 и EDGE с уведомлением о
найденном соседе
Рисунок 32 – Приведенная настройка роутера базового уровня
Layer_3_CORE_8 и EDGE с использованием virtual link
55
Рисунок 33 – Таблица маршрутизации роутера EDGE после настройки OSPF
с GW2
Рисунок 34 – Все соседи у core роутера в первом здании
Рисунок 35 – Распределение зон на каждом интерфейсе после настройки, что
можно посмотреть за счет команды sh ipv ospf neighbor
56
Рисунок 36 – Проверка командой ping взаимодействия между роутерами
разных зданий
В случае если в каком–то устройстве не была доступна функция virtual
link и area 0 была далеко – использовалась маршрутизация EIGRPv6, которая
настраивается подобным образом, как и OSPF (Рисунок 37).
Рисунок 37 – Пример настройки EIGRPv6, где у второго устройства надпись
«new adjacency», символизирующая успех подключения
57
2.8. Создание пользователей и группы пользователей различного
уровня доступа
Были определены следующие этапы для достижение поставленных
задач в пункте:
– Ввести Vlan’ы для каждого этажа в зданиях для распределения
пользователей по группам, как было расписано в ip–плане;
– Проведение DHCPv6 и создание трех компонентов для его работы в
нашей схеме – Server, Relay и Client;
– Предоставление выхода в глобальную сеть с настройкой NAT64 для
преобразования IPv6 адресов в Ipv4 и стандартного NAT для превращения
приватных адресов в публичные. Также внедрение ACL для безопасного
интернета и настроек правил для определенных пользователей;
– Настройка SSH для возможности удаленно управлять устройствами и
добавление пользователей различного уровня доступа.
Vlan’ы являются основой трехуровневой модели сети, о которой ранее
неоднократно говорили. Под Vlan понимается группа устройств, имеющих
возможность взаимодействовать между собой напрямую на канальном уровне.
Их полезно использовать для сокращения широковещательного трафика в
сети, получения дополнительной безопасности и управляемости и , в конце
концов, гибкого разделения устройств на группы. Основную роль для
тегирования Vlan играет коммутатор. Хост не знает, в каком Vlan размещен.
Об этом и куда перенаправлять трафик – думает коммутатор, к которому
подключен наш компьютер. Его порты можно поделить на тегированные и
нетегированные или как это еще можно назвать – trunk port и access port.
Первый передает тегированный трафик одного или нескольких Vlan, а второй
принадлежит одному Vlan’у и передает нетегированный трафик (нет
возможности
узнавать
информацию
конкретному Vlan).
58
о
принадлежности
трафика
к
Vlan’ы можно как все создавать на каждом необходимом коммутаторе
вручную, так и использовать VTP с DTP. Первое предназначено для создания,
удаления и переименования VLAN’ов на сетевых устройствах. VTP работает
в трех режимах:
1. Server для создания, изменения и удаления Vlan из командной строки
коммутатора, генерирует объявления VTP и передает объявления от других
коммутаторов;
2. Client, синхронизирующий свою базу данных VLAN при получении
информации VTP;
3. Transparent, похожий на Server, но работать можно с Vlan’ами только
на локальному коммутаторе, не сохраняет в свою базу данных VLAN при
получении информации VTP и не передает объявления от других
коммутаторов.
DTP позволяет коммутаторам динамически распознавать настроен ли
соседний коммутатор для поднятия транка и какой протокол использовать.
Поддерживает режимы:
1. auto – Порт находится в автоматическом режиме и будет переведён в
состояние trunk, только если порт на другом конце находится в режиме on или
desirable;
2. desirable
–
Порт находится в режиме «готов перейти в состояние
trunk» и периодически передает DTP–кадры порту на другом конце,
запрашивая удаленный порт перейти в состояние trunk;
3. nonegotiate
–
Порт готов перейти в режим trunk, но при этом не
передает DTP–кадры порту на другом конце. Этот режим используется для
предотвращения конфликтов с другим «не–cisco» оборудованием.
Для ускорения создания Vlan были использованы эти два протокола.
Сначала свитч второго уровня настраиваем как VTP Server за счет
команды vtp mode (client | server | transparent). Имя домена и пароль, с
помощью которых клиенты сумеют обращаться к нему. И включается 2 версия
VTP для корректной работы. Теперь создается нужное количество Vlan’ов с
59
присваиванием к каждому имени. И в конце используется DTP, который
переводится в режим desirable для удобной настройки в trunk портов
коммутаторов первого уровня, которыми они подключены к нашему
нынешнему (Рисунок 38, 39).
Рисунок 38 – Скриншот настройки VTP и DTP на коммутаторе 2 уровня во
втором здании
Рисунок 39 – Просмотр базы Vlan’ов на другом настроенном коммутаторе 2
уровня
И последним шагом в нашем устройстве пропишем какой куда идет
тэгированный Vlan портам, которые смотрят на свитчи первого уровня
(Рисунок 40).
60
Рисунок 40 – Настройка trunk – портов у Layer 2
Далее заходим на коммутатор первого уровня и теперь его переводим в
режим VTP Client и вводим данные нашего VTP Server – домен и пароль.
Спустя небольшое количество времени – в базе Vlan появятся созданные ранее
на коммутаторе distribution. (Рисунок 41, 42).
Рисунок 41 – Настройка клиента VTP и проверка базы Vlan после этого
61
Рисунок 42 – Статус клиента после настройки vtp
Теперь на коммутаторах Layer_1 необходимо портам, подключенные к
хостам, активировать access режим, а который подключен к Layer_2 – режим
trunk. Так же указать, какие vlan’ы куда идут в зависимости от количества
подключенных групп пользователей к Layer_1 (Рисунок 43, 44).
Рисунок 43 – Настройка портов на нужные режимы у свитча уровня доступа
в первом здании
62
Рисунок 44 – Настройка портов на нужные режимы у свитча уровня доступа
во втором здании
Осталось настроить уровень ядра. Каждому роутеру core добавляются
подинтерфейсы, номер каждого которого соответствует Vlan, с которым будет
контактировать, инкапсуляция пакета с номером на конце соответствующему
Vlan, и ip–адрес, что будет шлюзом для хостов, что принадлежат этому Vlan’у.
Здесь вместо просто адреса написан dhcp префикс с дописанным адресом
подсети, что было необходимо для настройки DHCPv6, о чем будет рассказано
в следующем пункте (Рисунок 45).
Рисунок 45 – Просмотр настроенных сабинтерфейсов на роутере одного и
другого здания
63
И это все шаги, из которых состояла настройка Vlan в наших зданиях. В
первом здании существует для каждого вида пользователя Vlan 100, 200, 300.
Во втором здании Vlan 150, 250 и 350. Кроме того был проверен пинг между
разными Vlan’ами (Рисунок 46, 47).
Рисунок 46 – Проверка пинга между компьютерами разных Vlan на основе
Ipv4 адресов
64
Рисунок 47 – Проверка пинга между компьютерами c Ipv6
Следующим шагом станет DHCPv6. Как и в простом dhcp – протокол
для работы между клиентом и сервером для динамической конфигурации
хоста. Можно насчитать несколько типов выделения IPv6–адреса:
– Ручная
настройка
адреса/префикса
и
других
параметров
конфигурации сети;
– Автоматическое выделение адресов без сохранения состояния, когда
локальный адрес канала генерируется из идентификатора интерфейса, а
локальный адрес автоматически настраивается в соответствии с информацией
о префиксе (fe:80::/10);
– Автоматическое выделение адресов с отслеживанием состояния, то
есть DHCPv6. Его тоже можно поделить на типы:
1. DHCPv6 имеет автоматическое распределение с отслеживанием
состояния. Сервер DHCPv6 автоматически назначает адреса IPv6 /
префиксы PD и другие параметры конфигурации сети;
65
2. Автоматическое выделение DHCPv6 без сохранения состояния.
IPv6–адрес хоста по–прежнему автоматически генерируется
посредством объявления маршрута. Сервер DHCPv6 выделяет
только параметры конфигурации, кроме адреса IPv6.
В связи с объемами нашей схемы – простым dhcp–сервером обойтись не
выйдет. Необходимо распределить следующие три роли:
– DHCPv6 Client – клиент DHCPv6 получает адрес / префикс IPv6 и
информацию о конфигурации сети, взаимодействуя с сервером DHCPv6 для
выполнения своей собственной функции конфигурации адреса;
– DHCPv6 Relay – агент ретрансляции DHCPv6 отвечает за пересылку
сообщений DHCPv6 со стороны клиента или со стороны сервера и помогает
клиенту DHCPv6 и серверу DHCPv6 выполнить функцию настройки адреса.
Если сервер и клиент находятся в разных диапазонах каналов, для пересылки
сообщения необходимо использовать агент ретрансляции DHCPv6, что
позволяет избежать развертывания сервера DHCPv6 в каждом диапазоне
каналов;
– DHCPv6 Server – сервер DHCPv6 отвечает за обработку запросов от
клиентов или ретрансляционных агентов для выделения адресов, обновления
адресов и освобождения адресов, а также выделяет клиентам адреса /
префиксы IPv6 и другую информацию о конфигурации сети.
Так же стоит затронуть адрес многоадресной рассылки. В DHCPv4
клиент отправляет широковещательные сообщения, чтобы найти сервер.
Чтобы избежать широковещательных штормов в IPv6 больше нет
широковещательных
сообщений,
но
используются
многоадресные
сообщения, и вместо настройки адреса сервера в клиенте – второй отправляет
сообщение
Solicit,
адрес
назначения
которого
является
адресом
многоадресной рассылки. DHCPv6 использует два многоадресных адреса:
1. FF02 :: 1: 2 (Все агенты и серверы ретрансляции DHCP):
многоадресный адрес всех серверов DHCPv6 и агентов ретрансляции. Этот
66
адрес находится в диапазоне ссылок и используется между клиентом и
соседними серверами и агентами ретрансляции;
2. FF05 :: 1: 3 (Все серверы DHCP): многоадресный адрес всех серверов
DHCPv6. Этот адрес используется для связи между агентами ретрансляции и
серверами.
На основе данной информации создадим полнофункциональный
DHCPv6. Настроим глобальный префикс за счет команды ipv6 local pool. Это
сообщает маршрутизатору, что есть пул с именем GLOBAL и что можно
использовать весь префикс 2001:DB8:1100::/40. Но каждый DHCP–клиент
получит префикс /48 из этого пула, что позволит получить полноценный IPv6
адрес на выходе.
Теперь сам dhcp–сервер. Создается стандартный пул с желанным
названием. Прописывается делегирование префиксом на основе раннее
созданного локального пула для автоматизации настройки. Вводится два dns
сервера компании Google в виде IPv6 и доменное имя. И после просто
активирую на нужном интерфейсе dhcp–сервер с заданным ранее названием
(Рисунок 48).
Рисунок 48 – Показанная настройка нашего сервера
Для удобства отслеживания поведения передачи dhcp – включу debug
на устройствах. Остается вписать одну команду для клиента и одну для
передатчика. ipv6 dhcp client pd (Prefix name), включающая функцию клиента
с сообщением о делегировании префиксом и назначением какого–либо имени,
которое будет носить как раз получаемый клиентом префикс (Рисунок 49).
67
Рисунок 49 – Пересылка данными клиента после подключения к серверу
Командой ipv6 dhcp relay destination (IPv6 address) мы просто обозначаем
адрес самого нашего сервера, чтобы запрашивающее сообщение от клиента
было переадресовано на DHCP–сервер (Рисунок 50).
Рисунок 50 – Пересылка данными рилэя после подключения клиента
68
Опираясь на ранее созданный префикс, передаваемый с сервера, используем
для создания шлюзов для каждого Vlana’a на сабинтерфейсах (но можно его
полностью прописать вручную) (Рисунок 51).
Рисунок 51 – Настройка субинтерфейсов
Далее для каждого этажа делаем таким же образом, включая клиента на
интерфейсе одного роутера, и включая relay на интерфейсе другого,
находящийся в одной подсети с первым. (Рисунок 52, 53).
Рисунок 52 – Поведение роутеров после назначения им relay и client
69
Рисунок 53 – Поведение роутера EDGE во втором здании после назначения
ему relay для передачи данных клиенту ниже
Была проведена проверка выдачи ip–адресов через dhcp хостам и пинг
между ними (Рисунок 54 – 62).
70
Рисунок 54 – Выдача адресов у хостов VPCS командой ip auto
Рисунок 55 – Для выдачи адреса linux–хостам – на них нажимается правая
кнопка мыши и вызывается edit config, в котором раскомментируются
нужные строки
71
Рисунок 56 – Выдача адреса linux–хосту
Рисунок 57 – Выдача адреса linux–хосту другой прошивки
Рисунок 58 – Пинг между хостами разных vlan’ов
72
Рисунок 59 – Пинг между разными этажами 1
Рисунок 60 – Пинг между разными этажами 2
73
Рисунок 61 – Пинг между разными зданиями 1
Рисунок 62 – Пинг между разными зданиями 2
74
Таким образом был полностью настроен DHCPv6 и динамически
получены ip–адреса хостами.
Предпоследним шагом необходимо обеспечить выход в интернет и
внедрить ACL. Начнем с NAT64. Как ранее было описано – для совместного
использования протоколов IPv4 и IPv6 имеется 3 решения:
1. Двойной стек, позволяющий протоколам IPv4 и IPv6 сосуществовать
в одной сети. Устройства с двойным стеком одновременно работают с
протокольными стеками IPv4 и IPv6;
2. Туннелирование — это способ транспортировки IPv6–пакетов через
IPv4–сеть. IPv6–пакет инкапсулируется внутри IPv4–пакета, как и другие типы
данных (например 6in4);
3. NAT64 — преобразование сетевых адресов, которое позволяет
устройствам под управлением IPv6 обмениваться данными с устройствами
под управлением IPv4 с помощью метода преобразования, похожего на метод
преобразования из NAT для IPv4. IPv6–пакет преобразовывается в пакет IPv4–
пакет и наоборот.
Был выбран NAT64 как более современный и удобный метод. Он бывает
2 типов – NAT64 без сохранения и с сохранением состояния. Во втором сразу
видно преимущество, поскольку один IPv4–адрес используется для всех
частных пользователей, находящихся в локальной сети, для доступа к
общедоступному серверу IPv4, с разными номерами портов. И не нужно для
каждого выделять отдельный адрес.
Для настройки будет использован роутер NAT6TO4, что является в
схеме граничащим между IPv6 и IPv4. Интерфейс g0/0 смотрит в сторону IPv6,
а интерфейс g0/1 в IPv4. На обоих делаем активным nat64. Создаем список
управления доступом, который поможет отфильтровать лишний трафик и
обязательно необходим для nat64, где команда permit разрешает, а deny
запрещает. Следующая команда nat64 prefix stateful 2001:db8::/96, где
необходимо именно такая маска чтобы 6 версию ip сопоставить с 4 и
предоставить префикс провайдеру для выхода в интернет. Теперь создается
75
пул 4 адресов для замены ими 6 адресов при переходе (c запасом на случай
повышения рабочих мест). nat64 v6v4 list NAT–64–ACL pool NAT64–POOL
overload является последней командой, позволяющая динамически перевести
6 в 4 , где опираясь на ACL – будет взят нужный адрес и сопоставлен с адресом
из пула (Рисунок 63).
Рисунок 63 – Настройка NAT64
Далее роутер IPv4 версии необходимо настроить для работы с прошлым.
Первым делом проверяем наш выход в интернет, делая запрос dhcp на том
интерфейсе, которым подключен роутер к облаку Internet, и включаем его.
Приходит уведомление об полученном адресе. Прописываем возможность
пинговать публичные доменные имена и dns сервер google. Заходим на
интерфейс, соединяющийся с роутером NAT6TO4 и прописываем ему
публичный адрес и включаем. Так же для настройки NAT, чтобы обеспечить
выход в интернет устройствам из ЛВС, применяю тому же интерфейсу
команду ip nat inside. Возвращаюсь на прошлый интерфейс и применяю ip nat
outside. Выходим из него и применяем команду, позволяющая, опираясь на
76
ACL–лист, создать трансляцию в публичную сеть. И дописываем стандартный
список доступа (Рисунок 64).
Рисунок 64 – Настройка NAT64
Настраиваю динамическую маршрутизацию между роутером NAT6TO4
и ISP_V4 знакомым видом маршрутизации (Рисунок 65, 66).
77
Рисунок 65 – Настройка OSPFv2, указывая для area сеть loopbackинтерфейсов наших двоих маршрутизаторов, а команда default-information
originate заставляет OSPF передавать этот маршрут остальным
маршрутизаторам
Рисунок 66 – Настройка OSPFv2 на роутере NAT6TO4 для взаимодействия с
прошлым роутером, где в конце задаем статический маршрут до
направленного в сторону нашего роутера интерфейса прошлого роутера, и
проверяем выход в интернет командой ping
78
Подобным образом настрою динамическую маршрутизацию между роутером
HOSTS_V6 и NAT6TO4 (Рисунок 67, 68).
Рисунок 67 – Настройка интерфейса на IPv6 и OSPFv3, где вешаем
маршрутизацию на лупбэк тоже, как ранее делалось на каждом роутере IPv6,
чтобы все полноценно работало и легко проверять ping
79
Рисунок 68 – Подобная настройка роутера HOSTS_V6, где в конце указываем
статический маршрут для установки шлюза последнего выбора
Главная настройка конфигурации была завершена и можно проверять
работоспособность. По причине nat64 – метод пинга немного меняется и
необходимо сначала прописать наш внедренный префикс 2001:db8:/96 и
следом за ним нужный адрес IPv4 и все это в одну строку вместе. Так же 4
адрес можно указать в переведенной 16–ричной системе (Рисунок 69 – 72).
80
Рисунок 69 – Два роутера с успешным пингом, где 4d58:1582 является
адресом сетевого адаптера 77.88.21.130, который подключен к нашему
роутеру ISP_V4
Рисунок 70 – Пинг интернета с сервера
81
Рисунок 71 – Пинг интернета с хостов 1
Рисунок 72 – Пинг интернета с хостов 2
А во время перехода между NAT64 и просто NAT – мы можем наблюдать
преобразование адресов (Рисунок 73, 74).
82
Рисунок 73 –Трансляции в NAT64
Рисунок 74 –Трансляции в NAT
Так же нам необходимо обозначить дополнительные ACL–листы, чтобы
некоторые роутеры выполняли роль ASA, как в начале говорили, и серверу
разрешу его сервисы (Рисунок 75 – 78).
Рисунок 75 – Обновленный ACL у роутера NAT6TO4 для запрета выхода в
интернет группе пользователей
83
Рисунок 76 – ACL у Firewall для запрета входа на сервер всем пользователям,
кроме администраторов каждого здания, и помимо ping с компьютеров до и
после внедрения
Рисунок 77 – Просмотр ACL, где можно увидеть, какое количество пакетов
попало под какое-либо условие
84
Рисунок 78 – Команды access-list у Server для разрешения сервиса DNS и
DHCP
Остался SSH с пользователями различного уровня.
SSH позволяет
удаленно подключаться к устройствам и на них работать с директориями,
перемещать файлы между компьютерами, выполнять сетевые команды и тд.
Протокол Telnet является ненадежным и небезопасным и потому к нему на
замену пришел SSH, который позволяет делать тоже самое, но защищенно и
потому все логины и пароли, введенные во время сессии, будут зашифрованы.
Для его работы необходимо, чтобы удаленное устройство являлось SSHсервером, т.е. могло понимать наш протокол. И должен быть сам SSH-клиент
для инициирования соединения. В нашем случае будет использован эмулятор
терминала PuTTy, которая используется на всех устройствах нашей
топологии.
Создаваемые пользователи различного уровня доступа будут в нашем
случае заноситься в локальную базу нашего устройства. Создание их на
устройстве выполняется следующей командой м username (name) privilege (0
м15) password (*****). Privilege отвечает за уровень привелегий и чем он
больше, тем больше команд доступно. Обычно уровни 2м14 по умолчанию не
используются, но команды, относящиеся к уровню 15, могут быть перенесены
на один из этих уровней, также как и команды с уровня 1. Данная модель
используется для разграничения пользователей в правах в зависимости от их
85
роли. Например администратору сети нужен доступ ко всем командам,
поэтому ему понадобится наивысший уровень привилегий, т.е. 15.
Специалистам тех. поддержки возможно нужны только команды диагностики
без доступа к командам конфигурации. В таком случае подходит обычный
пользовательский режим м уровень 1. Остальные уровни (2м14) можно
использовать
для
создания
индивидуальных
профилей
со
строго
определенным перечнем команд. И для большей надежности используется
вместо password – secret.
Настроим SSH на разных устройствах и попробуем получить к ним
доступ за счет созданных учетных данных. Указывается какое-либо доменное
имя для работы следующей команды, генерируется ключ для ssh с
криптошифрованием с выбранным размером, выбирается версия ssh,
создается пользователь с именем, паролем и привилегиями. Последние
команды отвечают за настройку портов VTY, необходимый для обеспечения
удаленного доступа к устройству и регулировки количества одновременных
подключений, аутентификацию с помощью пользователя и пароля, и тип
соединения (Рисунок 79).
86
Рисунок 79 – Настройка сервера ssh на роутере
Войдем с другого устройства на наш настроенный ssh(к сожалению на
наших хостах ssh не работает) и проверим работу. Запущу ssh путем ввода
команды ssh мl (user) (name interface), где я указал нужного пользователя, а в
качестве интерфейса выбрал удобный loopback, который был настроен на
каждом устройстве. Ввел пароль от пользователя и очутился на нужном
устройстве. Проверил версию ssh и нынешние сессии ssh. Использовал show
line для отображения дополнительной информации о сессии, где можно
увидеть использующийся порт VTY. После было совершенно отключение от
ssh командой exit (Рисунок 80).
87
Рисунок 80 – Вход с роутера на наш настроенный ssh
Таким же образом настроил ssh на другом устройстве одного здания, а вошел
на него с устройства второго так же за счет loopback (Рисунок 81).
Рисунок 81 – Создание ssh сервера на одном устройстве с пользователем
высоких привилегий и вход на него с другого с просмотром сессии
88
Для ssh возможно использовать access–листы, чтобы ограничивать вход
на сервер для кого–либо. Тем самым порт для ssh устройству layer_3_core_1
блокируется, но он продолжает пинговать наш firewall, а остальные устройства
входить могут (Рисунок 82).
Рисунок 82 – Результат внедрение нового правила для блокировки
2.9. Расчет суммы затрат на разработку: внедрение и эксплуатацию
вычислительной сети
Данный пункт будет состоять из стоимости работы на разработку,
внедрения, монтажа и цена на оборудование.
Вынесем таблицы с оборудованием, что было выбрано для клиентов и
сервера нашей топологии.
Таблица 2.1 – Для клиентов
Комплектующее
Операционная
система
Цена
Microsoft 10 499 руб
Windows 10 Home
23.8" Монитор HP V24i черный
13 500 руб
Клавиатура проводная Logitech K120 960 руб
89
Мышь
проводная
Logitech
M90 599 руб
черный
Колонки 2.0 Edifier R19U
2399 руб
Процессор Intel Core i5–9400 OEM
14 799 руб
Материнская плата ASRock H370M– 3 999 руб
HDV
Корпус ZALMAN T8 черный
2 999 руб
Кулер для процессора DEEPCOOL
2 699 руб
GAMMAXX GT V2
Оперативная память Kingston
2 850 руб
ValueRAM 8 ГБ
Видеокарта MSI GeForce GT 730
7 999
250 ГБ 2.5" SATA накопитель
4 699 руб
Samsung 870 EVO
500 ГБ Жесткий диск Seagate
3 099 руб
BarraCuda
Блок питания Chieftec iARENA
3 699 руб
600W
Привод DVD–RW ASUS DRW–
1 199 руб
24D5MT
Вентилятор Scythe Kaze Flex Slim
1 099 руб
120 PWM
Итоговая цена
63 998 руб
Таблица 2.2 – Для сервера
Комплектующее
Цена
Ubuntu Advantage for Infrastructure
57 000 руб
23.8" Монитор HP X24c черный
15 999 руб
90
Клавиатура проводная HyperX Alloy 4 999 руб
Core RGB
Мышь проводная Logitech G102 2 099 руб
LightSync черный
Процессор AMD Ryzen 5 3600 OEM
19 999 руб
Материнская плата MSI B450M
6 250 руб
MORTAR MAX
Корпус ZALMAN Z1 NEO черный
3 550 руб
Видеокарта MSI GeForce GTX 1050
23 999 руб
Ti OCV1
Кулер для процессора DEEPCOOL
899 руб
Ice Blade 100
Оперативная память AMD Radeon
2 799 руб
R9 Gamer Series
512 ГБ 2.5" SATA накопитель
4 499 руб
Apacer AS350 PANTHER
1 ТБ Жесткий диск Seagate 7200
3 099 руб
BarraCuda
Блок питания AeroCool VX PLUS
2 199 руб
500W
Внутренняя звуковая карта ASUS
3 399 руб
Xonar SE
Итоговая цена
159 999 руб
Учитывая ранее выбранные модели коммутационных устройств,
комплектующие компьютеров, кабеля и т.п. – будет выполнен расчет суммы
всего оборудования.
91
Таблица 2.3 – Цена всего оборудования
Наименование
Стоимость
C1000–16T–E–2G–L Cisco Catalyst 50 639 руб * 48 = 2 430 672 руб
коммутатор 16 x GE RJ–45, 2 x SFP
C9500–16X–A
Cisco
Catalyst 563 126 руб * 17 = 9 573 142 руб
коммутатор 16 x SFP+. Network
Advantage
Cisco ISR4461/K9
1 391 331 руб * 12 = 16 695 972 руб
Cisco 7204VXR/NPE–G1
105 266 руб * 4 = 421 064 руб
Cisco CISCO2951/K9
375450 руб * 4 = 1 501 800 руб
ASA5506–K8 Cisco ASA 5506–X 48 966 руб
FirePOWER межсетевой экран 8 x GE
RJ–45
ASA5506–SEC–BUN–K8 Cisco ASA 72 565 руб
5506–X FirePOWER 8 x GE RJ–45
Сервер Ubuntu
159 999 руб
Клиентский компьютер
63 998 руб * 576 = 36 862 848 руб
Кабель оптоволоконный
2500р/м * 100 = 250 000 руб
Коннекторы RJм45 (100 шт)
550 руб * 6 = 3300 руб
Cabeus
SHм05Cм12U60/80
Шкаф 27 588,80 руб
монтажный телекоммуникационный
Кабель витая пара U/UTP 5e (305 м)
4690 руб * 3 = 14 070 руб
Итого:
68 061 986 руб
Расчет расхода кабеля витая пара происходит следующим образом:
Lс = (Lмин + Lмакс) / 2 * 1,1 + X
где: Lмин и Lмакс — это длины наиболее короткой и наиболее длинной
кабельных линий;
92
X – это запас на разделку кабеля (обычно 0,6 – 1,0 м);
1,1 – это коэффициент технологического запаса равный 10%.
Длина нам известна и равняется 70м.
Делим длину кабеля в упаковке на среднюю длину кабельной линии и
округляем в меньшую сторону:
Ncr = Lкат / Lср
где Lкат — количество кабеля в одной упаковке и для нашего случая 305
N = 305 / 70 = 4 пробросов
Рассчитываем общее количество кабеля Lcb, необходимое для создания
кабельной системы
Lcb = Lkat * (Nto / Ncr)
где Nto— общее количество портов.
Lcb = 305 * (92 / 4) = 7015 м
Таблица 2.4 – Стоимость монтажа локально вычислительной сети,
рассчитанная калькулятором организации, занимающаяся монтажом ЛВС
Монтаж кабеля
витая пара
7015 м
Прокладка
Оптоволокно
кабеля витой
пары
250 000 руб
Количество
сетевых розеток
В гофротрубе
576 шт
Стоимость монтажа: 1 483 125 + 250 000 = 1 733 125 руб
Таблица 2.5 – Расчет эксплуатации
Устройство
C1000–16T–E–2G–L
Потребляемая Количество
Затраты в
мощности
год
Cisco 0.12 КВ/ч
Catalyst коммутатор 16 x GE
RJ–45, 2 x SFP
93
48
6931 руб
C9500–16X–A Cisco Catalyst 0.19 КВ/ч
коммутатор
16
x
17
2890 руб
SFP+.
Network Advantage
Cisco ISR4461/K9
0.09 КВ/ч
12
2346 руб
Cisco 7204VXR/NPE–G1
0.06 КВ/ч
4
1283 руб
Cisco CISCO2951/K9
0.075 КВ/ч
4
1343 руб
Сервер Ubuntu
0.65 КВ/ч
1
2990 руб
576
859 350
Клиентский компьютер
руб
Итого:
889 133 руб
Расчет затрат на разработку проекта и документации рассчитываются по
формуле:
Зпд=ЗПпд+П+Врк+Сесн*ФОТпд+Нр;
где: Зпд м затраты на разработку проекта и документации;
ЗПпд – затраты на выплату заработной платы работникам, участвующим в
разработке проекта и документации;
П – премия работников, участвующих в разработке проекта и документации
(20%);
Врк–районный коэффициент (15%);
Сесн – общая ставка отчислений на социальные нужды (26,2%);
ФОТпд – фонд оплаты труда работников (включает заработную плату,
премию и выплаты по районному коэффициенту);
Нр – накладные расходы организации (отопление, освещение, содержание
управленческого персонала) – 100 – 200% от ЗПпд+П.
Зарплата инженера 25 000 руб, а руководителя 35 000руб. На основе этого
начну вычисления:
ЗПпд = ЗПрук + ЗПинж = 25 000 + 35 000 = 60 000;
94
П = 0,2 * 60 000 = 12 000;
Врк = 0,15*(ЗПпд + П) = 0,15 * (60 000 + 12 000) = 10 800;
ФОТпд = ЗПпд+П+Врк = 60 000 + 12 000 + 10 800 = 82 800;
Сесн = 0,26 * ФОТпд = 0,26 * 82 800 = 21 528;
Нр = 1,5 * (ЗПпд + П) = 1,5 * (60 000 + 12 000) = 108 000;
В результате чего рассчитываем первую формулу:
Зпд = 60 000 + 12 000 + 10 800 + 21 528 + 108 000 = 212 328;
Таким образом затраты на разработку проекта и документации составляют
212 328 руб.
Таблица 2.6 – Вся сумма на разработку
Вид
Цена
Цена всего оборудования
68 061 986 руб
Стоимость монтажа локально
1 733 125 руб
вычислительной сети
Эксплуатация
889 133 руб
Затраты на разработку проекта и
212 328 руб
документации
Итого:
70 896 572 руб
В результате было создана: имитационной модели проектируемой сети,
вертикальная планировка проводов, спроектировано ЛВС предприятие с
технологией
АТМ,
настроена
IP–адресация
и
маршрутизацией
с
использованием протокола IPv6, введены Vlan’ы для каждого этажа в каждом
здании, проведено DHCPv6 и выданы IPv6 адреса хостам, предоставлен выход
в глобальную сеть с преобразованием IPv6 адресов в IPv4, включен
стандартный NAT для превращения приватных адресов в публичные,
внедрены ACL–листы для повышения безопасности и настроек правил для
пользователей, настроен SSH для возможности удаленно управлять
устройствами и добавлены пользователи различного уровня доступа. Помимо
95
были произведены расчёты, которые дали понять стоимость работы на
разработку, внедрения, монтажа и цена на оборудование.
96
ЗАКЛЮЧЕНИЕ
При выполнении курсового проекта были приобретены навыки работы
с программой для построения сетевых топологий – GNS3, протоколами ATM
и IPv6. Получены новые теоретические знания в соответствии с темой проекта
и
заданием руководителя, сформированы
умения
систематизировать,
обобщать и логично излагать концепции, альтернативные точки зрения по
исследуемой проблеме, учебно–исследовательские и методические навыки,
необходимые для системного научного анализа изучаемого явления и
усовершенствована профессиональная подготовка в области проектирования
сетей связи.
97
Список рекомендуемой литературы
1. Пятибратов, А. П. Вычислительные системы, сети и
телекоммуникации: учебник / А. П. Пятибратов, Л. П. Гудыно, А. А.
Кириченко. – 4ме изд., перераб. и доп. – М.: Финансы и статистика, 2013. –
736 с.
2. Крук, Б. И. Телекоммуникационные системы и сети. Т1.
Современные технологии [Электронный ресурс]: учебное пособие / Б. И.
Крук, В. Н. Попантонопуло, В. П. Шувалов. – Электрон. дан. – М.: Горячая
линиямТелеком, 2012. – 620 с.
3. Величко, В. В. Телекоммуникационные системы и сети: В 3 томах.
Том 3. м Мультисервисные сети [Электронный ресурс] : учебное пособие / В.
В. Величко, Е. А. Субботин, В. П. Шувалов [и др.]. – Электрон. дан. – М. :
Горячая линиямТелеком, 2015.
4. Компьютерные телекоммуникации: учебное пособие / Ю. Ю.
Громов, В. Е. Дидрих, И. В. Дидрих и др.; Министерство образования и
науки Российской Федерации, Федеральное государственное бюджетное
образовательное учреждение высшего профессионального образования
«Тамбовский государственный технический университет». – Тамбов:
Издательство ФГБОУ ВПО «ТГТУ», 2012. – 224 с.
5. Акулиничев, Ю. П. Теория и техника передачи информации: учебное
пособие / Ю. П. Акулиничев, А. С. Бернгардт. – Томск: Томский
государственный университет систем управления и радиоэлектроники, 2012.
– 209 с.
Дополнительная литература:
6. Катунин, Г. П. Телекоммуникационные системы и сети. В 3 томах.
Том 2. – Радиосвязь, радиовещание, телевидение [Электронный ресурс] :
учебное пособие / Г. П. Катунин, Г. В. Мамчев, В. Н. Попантонопуло [и др.].
– Электрон. дан. – М. : Горячая линиямТелеком, 2014. – 672 с.
98
7. Яковлев, С. В. (СевКавГТУ). Основы построения
телекоммуникационных систем и сетей : учебное пособие / С. В. Яковлев ;
Сев.мКав. гос. техн. унмт. – Ставрополь : СевКавГТУ, 2010. м 350 с.
8. Берлин, А.Н. Телекоммуникационные сети и устройства : учебное
пособие / А.Н. Берлин. м М. : ИнтернетмУниверситет Информационных
Технологий, 2008. м 320 с.
9. Карлащук, В. И. Основы передачи дискретных сообщений :
Практикум : учеб. пособие : Направление подготовки 210700 –
Инфокоммуникационные технологии и системы связи. Бакалавр, магистр /
В. И. Карлащук, С. В. Яковлев ; Сев.мКав. федер. унм т. – Ставрополь :
СКФУ, 2013. – 309 с.
10. Быховский, М. А. Основы проектирования цифровых
радиорелейных линий связи [Электронный ресурс]: учебное пособие / М. А.
Быховский, Ю. М. Кирик, В. И. Носов [и др.]. – Электрон. дан. – М.: Горячая
линиямТелеком, 2014. – 334 с.
11. Галкин, В. А. Цифровая мобильная радиосвязь. [Электронный
ресурс]: учебное пособие. – Электрон. дан. – М.: Горячая линиямТелеком,
2012. – 592 с.
Методическая литература:
1. Лабораторный практикум по дисциплине «Сети ЭВМ и
телекоммуникации» / сост. Линец Г.И.
2. Методические рекомендации для студентов по организации
самостоятельной работы по дисциплине «Сети ЭВМ и телекоммуникации» /
сост. Линец Г.И.
Интернет-ресурсы:
1. С. В. Кунегин Основы технологии АТМ [электронный ресурс] //
http://kunegin.com/ref/atm1/#11/.
2. The software that empowers network professionals [электронный
ресурс] // https://www.gns3.com/community/discussions/.
99
3. IPv6 Addressing White Paper [электронный ресурс] //
https://www.cisco.com/c/dam/en_us/solutions/industries/docs/gov/IPv6_WP.pdf/.
100
ПРИЛОЖЕНИЕ А
Собранная топология в GNS3
101