МИНОБРНАУКИ РОСИИ ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ «РОССИЙСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ТУРИЗМА И СЕРВСА» (ФГБОУ ВПО «РГУТиС») Факультет сервиса Кафедра «Информационных систем и технологий» Специальность 230201.65 «Информационные системы и технологии» Специализация 230201.28 «Информационные системы и технологии в компьютерных сетях» ДИПЛОМНЫЙ ПРОЕКТ Студента Иванова Ивана Ивановича На тему: Проектирование локальной сети офисного центра «Империал» Состав дипломного проекта: 1. Расчетно-пояснительная записка на 91 стр. 2. Иллюстративная часть на 6 листах. Москва 2012 г. МИНОБРНАУКИ РОСИИ ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ «РОССИЙСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ТУРИЗМА И СЕРВИСА» (ФГБОУ ВПО «РГУТиС») Факультет сервиса Кафедра «Информационных систем и технологий» Специальность 230201.65 «Информационные системы и технологии» Специализация 230201.28 «Информационные системы и технологии в компьютерных сетях» ЗАДАНИЕ на выполнение дипломного проекта Студенту группы ИБП-16 заочной формы обучения Иванову Ивану Ивановичу . Тема дипломного проекта Проектирование локальной сети офисного центра «Империал» утверждена приказом по Университету от «__» _______ 20___ г. № ___ . Срок сдачи студентом дипломного проекта: «____» ________ 2012 г. . Цели и задачи дипломного проекта: Разработка предложений по организации локальной сети офисного центра Империал на основе виртуальных локальных сетей и обеспечения выхода арендаторов в глобальные сети с требуемым качеством предоставления услуг и учетом их потребления. . Исходные данные: В городе Климовск построено трёх этажное здание под аренду офисных помещений. На каждом этаже расположено по 14 помещений площадью 48 м2 каждая. Количество помещений под аренду равно 42. . Перечень вопросов, подлежащих разработке, или краткое содержание дипломного проекта: Введение . Аналитическая часть .1 Разработка технического задания .2 Анализ существующих решений для построения сети .2.1 Маршрутизаторы .2.2 Сравнение программной и аппаратной реализации маршрутизаторов .2.3 Сравнение платформ программного маршрутизатора .2.4 Коммутаторы .2.5 Выбор коммутатора для решения поставленных задач .2.6 Выбор монтажного оборудования .3 Анализ программных решений для создания Интернет шлюзов .3.1 Сравнение биллинговых систем .4 Анализ виртуальных локальных сетей VLAN .4.1 VLAN на базе меток IEEE 802.1Q .5 Выводы по результатам анализа существующих решений . Проектная часть .1 Разработка модели сети .1.1 Построение сети с привязкой к плану-схеме здания .2 Настройка VLAN на коммутаторе Dlink DES-1210-52 .2.1 Программирование коммутатора .3 Установка ОС Russian Fedora Linux .4 Настройка установка дополнительных программ .4.1 Конфигурирование сети .4.2 Создание VLAN .4.3 Установка DHCP и DNS серверов .5 Разработка специального программного обеспечения .6 Установка биллинговой системы TraffPro .6.1 Конфигурация TraffPro .7 Выводы по результатам проектирования сети . Экономическая часть .1 Оценка стоимости оборудования для построения сети .2 Сравнение стоимости оборудования сети со стоимостью прототипа Заключение Список используемых источников Приложения . Перечень иллюстративного материала: 1) Тема, цель, вопросы подлежащие разработке ) Разработка технического задания ) Схема сети ) Общая модель офисного центра «Империал» ) Модель локальной сети 2-го этажа ) Сравнение типовых решений по организации сети . Консультанты по дипломному проекту: 1. Аналитическая часть проекта - к 2. Проектная часть проекта 3. Экономическая часть проекта 8. Дата выдачи задания «___» _______ 20__ г. Руководитель 9. Задание принял к исполнению «___» _______ 20__ г. Подпись студента ________________________________ АННОТАЦИЯ Иванов И.И. Проектирование локальной сети офисного центра «Империал». Дипломный проект студента гр. ИБП-16 факультета сервиса. - М.: РГУТиС, 2012 г. - 91с. Проведен анализ различных вариантов построения локальной сети офисного центра с учётом требований технического задания. Дан анализ перспективных сетевых технологий, обоснованны критерии выбора оборудования. Разработана методика использования маршрутизатора без избыточности сетевых интерфейсов. Разработано специальное программное обеспечение автоматизации рутинных операций. Проанализированы системы контроля и учёта трафика. Выбрана оптимальная биллинговая система. Определены затраты на создание сети. Рассмотрены вопросы обеспечения безопасности разрабатываемой сети. СОДЕРЖАНИЕ СПИСОК ИСПОЛЬЗУЕМЫХ СОКРАЩЕНИЙ ВВЕДЕНИЕ . АНАЛИТИЧЕСКАЯ ЧАСТЬ .1 Разработка технического задания. .2 Анализ существующих решений для построения сети .2.1 Маршрутизаторы .2.2 Сравнение программной и аппаратной реализации маршрутизаторов. .2.3 Сравнение платформ программного маршрутизатора. .2.4 Коммутаторы .2.5 Выбор коммутатора для решения поставленных задач. .2.6 Выбор монтажного оборудования .3 Анализ программных решений для создания Интернет-шлюзов. .3.1 Сравнение биллинговых систем. .4 Анализ виртуальных локальных сетей VLAN .4.1 VLAN на базе меток - стандарт IEEE 802.1Q .5 Выводы по результатам анализа существующих решений . ПРОЕКТНАЯ ЧАСТЬ .1 Разработка модели сети .1.1 Построение сети с привязкой к плану-схеме здания .2 Настройка VLAN на коммутаторе Dlink DES-1210-52 .2.1 Программирование коммутатора .3 Установка ОС Russian Fedora Linux .4 Настройка установка дополнительных программ .4.1 Конфигурирование сети .4.2 Создание VLAN .4.3 Установка DHCP и DNS серверов .5 Разработка специального программного обеспечения .6 Установка биллинговой системы TraffPro .6.1 Конфигурация TraffPro .7 Выводы по результатам проектирования сети . ЭКОНОМИЧЕСКАЯ ЧАСТЬ .1 Оценка стоимости оборудования для построения сети .2 Сравнение стоимости оборудования сети со стоимостью прототипа. ЗАКЛЮЧЕНИЕ СПИСОК ИСПОЛЬЗУЕМЫХ ИСТОЧНИКОВ ПРИЛОЖЕНИЯ СПИСОК ИСПОЛЬЗУЕМЫХ СОКРАЩЕНИЙ ЛВС - локально-вычислительная сеть; ТЗ - техническое задание; ОС - операционная система; ПО - программное обеспечение; ИБП - источник бесперебойного питания; НСД - несанкционированный доступ; ПК - персональный компьютер; ЭВМ - электронно-вычислительная машина; СКС - структурированная кабельная система; НИР - научно-исследовательская работа; НИТ - новые информационные технологии: VLAN - виртуальная локальная сеть: ВВЕДЕНИЕ Благодаря возникновению и развитию сетей передачи данных появился новый, высокоэффективный способ взаимодействия между людьми [7]. Первоначально сети использовались главным образом для научных исследований, но затем они стали проникать буквально во все области человеческой деятельности. При этом большинство сетей существовало совершенно независимо друг от друга, решая конкретные задачи для конкретных групп пользователей [6]. Без локальной сети сейчас не обходится ни одна организация. Программное обеспечение, терминальные подключения, базы данных, мультимедиа технологии (голос, видео, аудио), требующее для своей реализации стабильного и качественного соединения, заставляют уделять особое внимание при выборе оборудования. Это требование справедливо как внутри ЛВС, так и при доступе в глобальную сеть. Использование гибкого решения на стадии проектирования сети позволяет с минимальными затратами увеличить производительность в пределах офиса, вне зависимости от количества пользователей и характера трафика. Основными требованиями при проектировании сети являются обеспечение приемлемой производительности, возможность резервирования входящих интернет каналов, изолированность подсетей арендаторов, ограниченный бюджет на проектирование. Поэтому цель работы по проектированию локально-вычислительной сети офисного центра «Империал» следует считать актуальной и важной. На этапе проектирования были поставлены следующие задачи: . Выбрать и настроить управляемый коммутатор, способный обеспечить требуемым функционалом всех пользователей арендуемых помещений. . Спроектировать и настроить программный маршрутизатор. При использовании маршрутизаторов, открывается возможность гибко настраивать политику безопасности, как между сегментами VLAN, так при взаимодействии с глобальной сетью Интернет. Учитывая программную реализацию маршрутизатора, мы не ограничены 3 уровнями сетевой модели. Нам предоставляется широкий диапазон для администрирования, от фильтрации на канальном уровне до контроля над файлами на уровне приложений. При этом современные производительные процессоры, позволяют анализировать трафик с минимальными задержками. . Спроектировать и настроить VLAN. Технология виртуальных сетей, вобравшая в себя лучшее из современных сетевых технологий, решает множество проблем функционирования сети. В частности позволяет увеличить пропускную способность, за счёт разделения широковещательного домена. Появляется возможность создать изолированные сегменты сети, где доступ будет ограничиваться на канальном уровне, обеспечивая тем самым безопасное пространство рабочих станций и серверов. Для достижения коммуникационное поставленной оборудование, цели в работе маршрутизирующее проанализировано оборудование, технологии организации VLAN, биллинговые системы. Разработана схема построения сети, настройка ОС маршрутизатора, дополнительного программного обеспечения. Решение сформулированных выше задач позволит построить систему, обеспечивающую отдельные подразделения арендаторов высокоскоростной связью с выходом в глобальные сети с возможностью учета и фильтрации трафика, а так же обеспечением изолированности и, соответственно, безопасности ЛВС арендаторов друг от друга. 1. АНАЛИТИЧЕСКАЯ ЧАСТЬ .1 РАЗРАБОТКА ТЕХНИЧЕСКОГО ЗАДАНИЯ На выполнение работ по созданию локальной сети и настройке оборудования для доступа к сети Интернет арендаторов, заказчиком были утверждены основные требования. . Создание локальной сети и настройка оборудования для доступа к сети Интернет, используя для контроля биллинговую систему. . Подключение арендаторов к ресурсам Интернет, используя для этого активное сетевое оборудование, позволяющее организовать виртуальные сети по числу помещений в здании. И обеспечить изолированность каждого VLAN сегмента. Количество помещений под аренду 42. Расположены на территории города Климовска. . Маршрутизацию в сеть Интернет, необходимо организовать программно на ОС с ядром Linux. . Выбор оборудования характеристиках, способных должен быть удовлетворить основан на требованиям технических арендаторов к скорости передачи данных. . Число портов активного оборудования, должно соответствовать количеству арендуемых помещений с запасом в 10%. . Оборудование должно быть безопасно, защищено от поражения людей электрическим током, не должно создавать электрических помех в сети. Уровень электромагнитных излучений не должен превышать установленные санитарные нормы. . Кабельная продукция используемая при монтаже, должна соответствовать спецификации TIA/EIA-568-B. . Проведение работ по созданию ЛВС необходимо осуществить в течении 14 дней. Для уточнения требований заказчика было разработано ТЗ, в котором сформулированы основные требования к проекту по основному назначению, надежности, совместимости, безопасности, однородности, расширяемости. ТЗ с уточненными требованиями представлено в приложении 2. .2 АНАЛИЗ СУЩЕСТВУЮЩИХ РЕШЕНИЙ ДЛЯ ПОСТРОЕНИЯ СЕТИ Любое сетевое устройство, маршрутизатор, коммутатор, сетевая карта рабочей станции или сервера для своей работы используют сетевую модель OSI, состоящую из семи уровней. Уровни располагаются снизу вверх, на первом, самом низком уровне расположен физический уровень, на седьмом, высшем уровне расположен уровень приложений или прикладной. В зависимости от используемого оборудования, будут использованы либо физический и канальный - коммутаторы, либо физический, канальный и сетевой - сложные коммутаторы, маршрутизаторы. Существуют мультиуровневые устройства, способные работать на 4 уровне, но в данном дипломном проекте они рассматриваться не будут, из-за специфики применения. В таблице 1.1 показана сетевая модель OSI с указанием функции на каждом уровне. Высший уровень 7 - прикладной, 6- представительский, 5 сеансовый, 4 - транспортный, 3 - сетевой, 2 - канальный, самый низший уровень 1 - физический. Сетевая модель OSI - абстрактная сетевая модель для коммуникаций и разработки сетевых протоколов. Предлагает взгляд на компьютерную сеть с точки зрения измерений. Каждое измерение обслуживает свою часть процесса взаимодействия. Благодаря такой структуре совместная работа сетевого оборудования и программного обеспечения становится гораздо проще и прозрачнее [2]. Как видно в таблице 1.1 аппаратные сетевые устройства не работают с данными, так как анализ данных требует большой вычислительной способности, дать которую, процессор аппарата не способен. Таблица 1.1 Сетевая модель OSI Модель OSI Тип данных Данные Сегменты Пакеты Кадры Биты Уровень (layer) 7. Прикладной (application) 6. Представительский (presentation) 5. Сеансовый (session) 4. Транспортный (transport) 3. Сетевой (network) 2. Канальный (data link) 1. Физический (physical) Функции Доступ к сетевым службам Представление и кодирование данных Управление сеансом связи Прямая связь между конечными пунктами и надежность Определение маршрута и логическая адресация Физическая адресация Работа со средой передачи, сигналами и двоичными данными Мы должны понимать, что если кадры и пакеты имеют ограниченный размер и для их обработки процессор может применять аппаратный алгоритм обработки. То для обработки данных, которые имеют произвольный размер метод обработки только программный, с выделением под это больше оперативной памяти и ресурсов центрального процессора. Начнём с аппаратных устройств 3 уровня, к которым относятся маршрутизаторы и коммутаторы 3 уровня, которые тоже могут маршрутизировать трафик. .2.1 МАРШРУТИЗАТОРЫ Маршрутиза́тор (router) - сетевое устройство, пересылающее пакеты данных между различными сегментами сети и принимающее решения на основании информации о топологии сети и определённых правил, заданных администратором [8]. Существует 2 вида маршрутизаторов: программный и аппаратный (программно-аппаратный). В первом случае он является частью операционной системы одного из компьютеров сети, во втором случае - специальным вычислительным устройством. Аппаратный маршрутизатор - специализированное устройство, собранное на узкоспециализированном процессоре RISC или ARM, объединяющее в отдельном корпусе множество маршрутизирующих модулей. Разделим на 4 уровня работу маршрутизатора: ) уровень интерфейсов; ) уровень сетевого протокола; ) канальный уровень; ) уровень протоколов маршрутизации [6]. Уровень интерфейсов (нижний уровень) обеспечивает физический интерфейс со средой передачи данных. Для этого маршутизатор должен иметь до нескольких десятков разьемов соответствующих типов. Часть интерфейсов используется для подключения к локальной сети, часть - к глобальным сетям. Самой важной характеристикой для потребителя является перечень поддерживаемых маршрутизатором физических интерфейсов (портов). В зависимости от выбранной конфигурации каждый порт поддерживает определенный вид протокола передачи данных. Каждый порт машрутизатора является конечной точкой подсети, поэтому ему присваивается два типа адресов - локальный и сетевой [4]. Уровень сетевого протокола реализуется с помощью специального модуля, который вычисляет контрольную сумму пакета, время жизни пакета в сети, отбрасывает поврежденные пакеты. В отличие от мостов и коммутаторов, маршрутизатор имеет функцию фильтрации трафика, т.е. он способен обрабатывать и анализировать отдельные поля пакетов. Для управления этой функцией он оснащается пользовательским интерфейсом, с помощью которого можно без проблем задавать правила фильтрации. Второй задачей уровня сетевого протокола является обслуживание очередей пакетов, если скорость их обработки меньше скорости поступления. При этом после достижения очереди определенной критической величины, вновь поступающие пакеты отбрасываются [19]. Третьей и основной задачей сетевого уровня является определение маршрута пакета. Из поля адреса назначения пакета извлекается номер сети, затем маршрутизатор по нему определяет сетевой адрес следующего маршрутизатора и идентификатор своего порта, через который необходимо передать данный пакет. Если этот номер отсутствует, то пакет отбрасывается. Для передачи пакета другому маршрутизатору необходимо перевести его сетевой адрес в локальный, используя специальную таблицу соответствия. Четвертой функцией сетевого уровня является фрагментация пакетов, если у них не совпадают максимально допустимые значения длины поля данных кадра. На канальном соответствующего уровне формата производится с записью упаковка локального пакета адреса в кадр следующего маршрутизатора. После этого кадр отправляется в сеть. С помощью протоколов маршрутизации производится построение таблиц маршрутизации в автоматическом режиме. Эти протоколы не следует путать с сетевыми т.к. они собирают и передают только служебную информацию (в частности об изменениях в сети). В качестве транспорта используются обычные сетевые протоколы. На основе карт маршрутизации определяется наикратчайший путь до конечного адреса. В отличие от коммутаторов и мостов, в таблицах маршрутизации записываются номера подсетей, а не MAC-адреса. Вторым отличием является активный обмен с другими маршрутизаторами информацией о топологии связей в подсетях, их пропускная способность и состояние каналов. Особенности современных маршрутизаторов. К современному маршрутизатору предъявляются следующие требования: ) скорость работы; )функциональность. Функциональность характеризуется набором поддерживаемых сетевых протоколов, протоколов маршрутизации, портов. Она достигается с помощью использования модульной конструкции, когда в одно шасси устанавливается несколько блоков с портами определенного типа. Требование скорости работы маршрутизатора особенно важно в современных условиях, когда суммарная скорость движения пакетов может достигать нескольких терабит в секунду. С учетом этого требования маршрутизаторы могут строится: а) однопроцессорными, когда каждый протокол реализуется с помощью специального программного модуля; б) многопроцессорными, когда каждый порт имеет свой специальный процессор. При этом для нескольких портов может использоваться и общий специализированный процессор. Такая узкая специализация позволяет существенно увеличить скорость работы маршрутизатора. Программный маршрутизатор - это рабочая станция или выделенный сервер, имеющий несколько сетевых интерфейсов и снабженный специальным программным обеспечением, настроенным на маршрутизацию. Под специальным программным обеспечением может выступать ОС на ядре Linux, ОС WINDOWS или ОС FreeBSD, у которой в базовой установке уже заложен функционал маршрутизации [10]. У каждого из этих видов есть свои характерные преимущества и недостатки. Аппаратные роутеры принято считать более надежным решением, но как показывает практика при наличие прямых рук любая техника работает как надо. Программные маршрутизаторы обладают более гибким функционалом. Набор функций зависит от программы, количество портов для подключения сетей от количества сетевых карт. Программные маршрутизаторы чаще всего используются как максимально гибкое решение за меньшую стоимость. Понадобится лишь старый компьютер с необходимым количеством сетевых плат. В качестве программной начинки используются всевозможные варианты Linux'a, в т.ч. компактные версии, специально адаптированные для создания программных маршрутизаторов. В последнем случае для компьютера даже жесткий диск не понадобится. Достаточно иметь привод CD-ROM и USB-флешку для хранения файла конфигурации. Сама система загружается с CD-диска, затем подгружает конфигурацию со сменного носителя. Благодаря программной реализации и мощности центрального процессора, программные маршрутизаторы могут работать вплоть до 7 уровня модели OSI (см. рисунок 1.1). Как пример, использование антивирусных программ проверяющих проходящий трафик, или блокировка поступающих к клиенту файлов, фильтруя по расширению и размеру [18]. .2.2 СРАВНЕНИЕ ПРОГРАММНОЙ И АППАРАТНОЙ РЕАЛИЗАЦИИ МАРШРУТИЗАТОРОВ. У каждой реализации маршрутизаторов есть свои плюсы и минусы. Аппаратные маршрутизаторы: Плюсы: . Настройки для удобства могут производятся через web консоль, настройка таким образом значительно ускоряет ввод оборудование в эксплуатацию. . Специально разработанные внутренние протоколы, позволяющие 2 устройствам одного бренда, получить большую производительность сети. . Использование специализированных процессоров, позволяющих аппаратно управлять сетевой маршрутизацией. . Аппаратные устройства имеют все требуемые сертификаты и допуски для предъявления контролирующим органам. . Компоненты устройства подобраны с учётом их полной совместимости. . Большая сфера применения. . Для некоторых устройств пожизненная гарантия. . Низкое энергопотребление. Минусы: . Цена устройств может быть очень высокой. . Каждое аппаратное устройство имеет предел маштабируемости, после которого нужно покупать устройство классом выше. . При подключении к устройствам другого бренда теряется часть функционала. . Необходимость иметь аналогичное устройство про запас, так как если оборудование выйдет из строя, производитель сможет прислать оборудование на замену в течении 1-2 недель. . Нет возможности работать выше 3 уровня сетевой модели. Программные маршрутизаторы: Плюсы: . Цена устройства в несколько раз может быть ниже при сравнении с аппаратным устройством аналогичной производительности. . замены Производительность системы можно легко увеличить с помощью комплектующих (добавление оперативной памяти, более производительный процессор или сетевая карта с большей скоростью). . Благодаря программной реализации доступны все 7 уровней сетевой модели для обработки и фильтрации. . При использовании специализированного реализации балансировки по входящим интернет-каналам. ПО, возможность . Возможность использования средств шифрования и туннелирования, доступных только для компьютеров. . При выходе из строя устройства, его замена проходит с минимальными задержками. Минусы: . Для достижения стабильности работы необходима тщательная подборка комплектующих на совместимость. . Трудность при прохождении специальной сертификации из-за используемых комплектующих внутри компьютера. . Из-за специфики ОС, программные маршрутизаторы больше подвержены системным сбоям. . На настройку и запуск оборудования требуется намного больше времени. . Для реализации специфичного протокола, требуются глубокие знания ОС и языков программирования. . .2.3 Большее энергопотребление. СРАВНЕНИЕ ПЛАТФОРМ ПРОГРАММНОГО МАРШРУТИЗАТОРА По техническому заданию, обязательным требованием было построение программного маршрутизатора с ОС на ядре LINUX. Для этих целей было проанализировано 2 платформы на разных процессорах (таблица 1.2). Таблица 1.2 Сравнение платформ производителей. Платформа Процессор Кол-во ядер ОЗУ ПЗУ Сеть Цена Supermicro SYS-5015A-PHF Intel Atom D510 1660Мгц 2 4Гб DDRII SSD 60Gb SSD Kingston V200+ Series 2 х Intel 82574L Gigabit Ethernet 19 000 руб SuperMicro SYS-5016I-MR Intel Core i3 - 2100 3100Мгц 2 8Гб DDRIII 23 000 руб По требованиям технического задания, частота процессора не может быть меньше 2000 Мгц, в итоге была выбрана платформа SuperMicro SYS-5016I-MR. Наличие двух гигабитных сетевых интерфейса на чипе 82574L, добавляют следующую функциональность: . Аппаратная поддержка VLAN 802.1Q, позволяющая снять с центрального процессора работу по добавлению тега в кадр и пересчёту контрольной суммы [14]. . Четыре очереди обработки пакетов (рисунок 1.1), позволяют выделить 4 системных процесса. Обеспечивая тем самым многопоточность, позволяя избежать случаев, когда одно ядро загружалось на 100%, а второе простаивало без работы, так как на 1 процесс выделялось всего одно ядро. Для увеличения надёжности сервера, был выбран SSD диск Kingston 60Gb, данный диск имеет показатели чтения/записи 535Мб/480Мб, что сопоставимо с RAID0 на 4 дисках HDD, а так как ОС на ядре LINUX после установки занимает 900Мб, 60Гб полностью удовлетворяют требования сервера для развёртывания системы. Рисунок 1.1 Сравнение гигабитных сетевых карт. .2.4 КОММУТАТОРЫ Устройства канального уровня, которые позволяют соединить несколько физических сегментов локальной сети в одну большую сеть. Коммутация локальных сетей обеспечивает взаимодействие сетевых устройств по выделенной линии без возникновения коллизий, с параллельной передачей нескольких потоков данных [17]. Принцип работы коммутатора Коммутаторы локальных сетей обрабатывают кадры на основе алгоритма прозрачного моста IEEE 802.1, который применяется в основном в сетях Ethernet. При включении питания коммутатор начинает изучать расположение рабочих станций всех присоединенных к нему сетей путем анализа МАС-адресов источников входящих кадров. Например, если на порт 1 коммутатора поступает кадр от узла 1, то он запоминает номер порта, на который этот кадр пришел и добавляет эту информацию в таблицу коммутации (рисунок 1.2). Адреса изучаются динамически. Это означает, что, как только будет прочитан новый адрес, то он сразу будет занесен в контентно-адресуемую память. Каждый раз, при занесении адреса в таблицу коммутации, ему присваивается временной штамп. Это позволяет хранить адреса в таблице в течение определенного времени. Каждый раз, когда идет обращение по этому адресу, он получает новый временной штамп. Адреса, по которым не обращались долгое время, из таблицы удаляются. Рисунок 1.2 Построение таблицы коммутации. Коммутатор использует таблицу коммутации для пересылки трафика. Когда на один из его портов поступает пакет данных, он извлекает из него информацию о МАС-адресе приемника и ищет этот МАС-адрес в своей таблице коммутации как показано на рисунке 1.2. Если в таблице есть запись, ассоциирующая МАС-адрес приемника с одним из портов коммутатора, за исключением того, на который поступил кадр, то кадр пересылается через этот порт. Если такой ассоциации нет, кадр передается через все порты, за исключением того, на который он поступил. Это называется лавинным распространением. Широковещательная и многоадресная рассылка выполняется также путем лавинного распространения. С этим связана одна из проблем, ограничивающая применение коммутаторов. Наличие коммутаторов в сети не препятствует распространению широковещательных кадров (broadcast) по всем сегментам сети, сохраняя ее прозрачность. В случае если в результате каких-либо программных или аппаратных сбоев протокол верхнего уровня или сам сетевой адаптер начнет работать не правильно, и будет постоянно генерировать широковещательные кадры, коммутатор в этом случае будет передавать кадры во все сегменты, затапливая сеть ошибочным трафиком. Такая ситуация называется широковещательным штормом. Коммутаторы надежно изолируют межсегментный трафик, уменьшая, таким образом трафик отдельных сегментов. Этот процесс называется фильтрацией и выполняется в случаях, когда МАС-адреса источника и приемника принадлежат одному сегменту. Обычно фильтрация повышает скорость отклика сети, ощущаемую пользователем. Коммутаторы локальных сетей поддерживают два режима работы: полудуплексный режим и дуплексный режим. Полудуплексный режим - это режим, при котором, только одно устройство может передавать данные в любой момент времени в одном домене коллизий. Доменом коллизий (collision domain) называется часть сети Ethernet, все узлы которой распознают коллизию независимо от того, в какой части сети эта коллизия возникла. Дуплексный режим - это режим работы, который обеспечивает одновременную двухстороннюю передачу данных между станцией- отправителем и станцией-получателем на МАС - подуровне. При работе в дуплексном режиме, между сетевыми устройствами повышается количество передаваемой информации. Это связано с тем, что дуплексная передача не вызывает в среде передачи коллизий, не требует составления расписания повторных передач и добавления битов расширения в конец коротких кадров. В результате не только увеличивается время, доступное для передачи данных, но и удваивается полезная полоса пропускания канала, поскольку каждый канал обеспечивает полноскоростную одновременную двустороннюю передачу [16]. Дуплексный режим работы требует наличия такой дополнительной функции, как управление потоком. Она позволяет принимающему узлу рисунок 1.3 (например, порту сетевого коммутатора) в случае переполнения дать узлу источнику команду (например, файловому серверу) приостановить передачу кадров на некоторый короткий промежуток времени. Рисунок 1.3 Последовательность управления потоком IEEE 802.3. Управление осуществляется между МАС-уровнями с помощью кадра-паузы, который автоматически формируется принимающим МАС уровнем. Если переполнение будет ликвидировано до истечения периода ожидания, то для того, чтобы восстановить передачу, отправляется второй кадр-пауза с нулевым значением времени ожидания. Дуплексный режим работы и сопутствующее ему управление потоком являются дополнительными режимами для всех МАС-уровней Ethernet независимо от скорости передачи. Кадры-паузы идентифицируются как управляющие МАС-кадры по индивидуальным (зарезервированным) значениям поля длины/типа. Им также присваивается зарезервированное значение адреса приемника, чтобы исключить возможность передачи входящего кадра-паузы протоколам верхних уровней или на другие порты коммутатора. Методы коммутации В коммутаторах локальных сетей могут быть реализованы различные методы передачи кадров. Коммутация с промежуточным хранением (store-and-forward) -коммутатор копирует весь принимаемый кадр в буфер и производит его проверку на наличие ошибок. Если кадр содержит ошибки (не совпадает контрольная сумма, или кадр меньше 64 байт или больше 1518 байт), то он отбрасывается. Если кадр не содержит ошибок, то коммутатор находит адрес приемника в своей таблице коммутации и определяет исходящий интерфейс. Затем, если не определены никакие фильтры, он передает этот кадр приемнику. Этот способ передачи связан с задержками - чем больше размер кадра, тем больше времени требуется на его прием и проверку на наличие ошибок. Коммутация без буферизации (cut-through) - коммутатор локальной сети копирует во внутренние буферы только адрес приемника (первые 6 байт после префикса) и сразу начинает передавать кадр, не дожидаясь его полного приема. Это режим уменьшает задержку, но проверка на ошибки в нем не выполняется. Существует две формы коммутации без буферизации: Коммутация с быстрой передачей (fast-forward switching) - эта форма коммутации предлагает низкую задержку за счет того, что кадр начинает передаваться немедленно, как только будет прочитан адрес назначения. Передаваемый кадр может содержать ошибки. В этом случае сетевой адаптер, которому предназначен этот кадр, отбросит его, что вызовет необходимость повторной передачи этого кадра. Коммутация с исключением фрагментов (fragment-free switching) коммутатор фильтрует коллизионные кадры, перед их передачей. В правильно работающей сети, коллизия может произойти во время передачи первых 64 байт. Поэтому, все кадры, с длиной больше 64 байт считаются правильными. Этот метод коммутации ждет, пока полученный кадр не будет проверен на предмет коллизии, и только после этого, начнет его передачу. Такой метод коммутации уменьшает количество пакетов передаваемых с ошибками. Для использования в офисных целях, как правило применяются коммутаторы с коммутацией store-and-forward. Классификация коммутаторов Коммутаторы уровня 2 анализируют входящие кадры, принимают решение об их дальнейшей передаче и передают их пунктам назначения на основе МАС - адресов канального уровня модели OSI. Основное преимущество коммутаторов уровня 2 - прозрачность для протоколов верхнего уровня. Поскольку коммутатор функционирует на 2-м уровне, ему нет необходимости анализировать информацию верхних уровней модели OSI. Коммутация 2-го уровня - аппаратная. Она обладает высокой производительностью, поскольку пакет данных не претерпевает изменений. Передача кадра в коммутаторе может осуществляться специализированным контроллером, называемым Application-Specific Integrated Circuits (ASIC). Эта технология, разработанная для коммутаторов, позволяет обеспечивать высокие скорости коммутации с минимальными задержками [19]. Существуют 2 основные причины использования коммутаторов 2-го уровня - сегментация сети и объединение рабочих групп. Высокая производительность коммутаторов позволяет разработчикам сетей значительно уменьшить количество узлов в физическом сегменте. Деление крупной сети на логические сегменты повышает производительность сети (засчет уменьшения объема передаваемых данных в отдельных сегментах), а также гибкость построения сети, увеличивая степень защиты данных, и облегчает управление сетью. Несмотря на преимущества коммутации 2-го уровня, она все же имеет некоторые ограничения. Наличие коммутаторов в сети не препятствует распространению широковещательных кадров (broadcast) по всем сегментам сети, сохраняя ее прозрачность. Таким образом, очевидно, что для повышения производительности сети необходима функциональность 3-го уровня OSI модели. Коммутатор уровня 3 принимает решение о коммутации на основании бóльшего количества информации, чем просто МАС-адрес. Коммутаторы 3-го уровня осуществляют коммутацию и фильтрацию на основе адресов канального (уровень 2) и сетевого (уровень 3) уровней OSI модели [19]. Такие коммутаторы динамически решают, коммутировать (уровень 2) или маршрутизировать (уровень 3) входящий трафик. Коммутаторы 3 уровня выполняет коммутацию в пределах рабочей группы и маршрутизацию между рабочими группами. Коммутаторы 3-го уровня функционально практически ничем не отличаются от традиционных маршрутизаторов и выполняют те же функции: • определение оптимальных путей передачи данных на основе логических адресов (адресов сетевого уровня, традиционно IP-адресов) • управление широковещательным и многоадресным трафиком • фильтрация трафика на основе информации 3-го уровня • IP- фрагментация. Основное отличие между маршрутизаторами и коммутаторами 3-го уровня заключается в том, что в маршрутизаторах общего назначения принятие решения о пересылке пакетов обычно выполняется программным образом, а в коммутаторах обрабатывается специализированными контроллерами ASIC. Это позволяет коммутаторам выполнять маршрутизацию пакетов на скорости канала связи [20]. локальный сеть коммутатор конфигурирование 1.2.5 ВЫБОР КОММУТАТОРА ДЛЯ РЕШЕНИЯ ПОСТАВЛЕННЫХ ЗАДАЧ По требованиям технического задания, коммутатор должен иметь не менее 48 портов, два из которых должны быть гигабитные и ещё два с возможностью подключения к оптическим магистралям. Сравнивались управляемые коммутаторы 2 уровня с количеством портов больше 48, так как функция маршрутизации выполняется программным роутером. Проведя анализ оборудования на рынке (таблица 1.3). Был выбран коммутатор D-Link DES-1210-52, как лидер по соотношению цена/производительность. Таблица 1.3 Сравнительная таблица коммутаторов 2 уровня. Модель 1 Пропускная способность Скорость продвижения пакетов Метод коммутации Буфер памяти на порт Размер таблицы MAC адресов Оперативная память Flash-память Количество 100 Мбит портов Количество 1000 Мбит портов Количество SFP модулей Форм-фактор Цена Cisco Catalyst 2960TC-48 2 16 Гбит/с 10,1 млн пакетов/с store-and-forward 8мб 8196 64мб 32мб 48 2 Нет 1U 24 000 руб HP V1905-48 3 13,6 Гбит/с 10,1млн. пакетов/с D-Link DES-1210-52 4 17,6 Гбит/с 13,1 млн пакетов/с 384кб 1мб 8мб 4мб 48 2 2 1U 10 000 руб 64мб 16мб 48 4 2 1U 9 800 руб .2.6 ВЫБОР МОНТАЖНОГО ОБОРУДОВАНИЯ Техническое задание указывает, на необходимость монтажа оборудования в настенные 19 дюймовые шкафы высотой 6U. U - это единица измерения высоты специального оборудования и равна 44,45 мм (или 1,75 дюйма). Для этих целей выбран настенный шкаф Cabeus SH-05F-6U60/45. Для соединения клиентов с коммутатором на скорости 100 Мбит/с был выбран кабель типа витая пара категории 5е, обеспечивающий скорость до 1000 Мбит/с. Для соединения маршрутизатора с коммутатором через порты 100/1000 Мбит/с, был выбран кабель типа витая пара категории 6, обеспечивающий скорость до 10 Гбит/с. Для монтажа внутри арендуемых помещений, были выбраны стандартные розетки с разъёмом RJ-45 категории 5е. .3 АНАЛИЗ ПРОГРАММНЫХ РЕШЕНИЙ ДЛЯ СОЗДАНИЯ ИНТЕРНЕТ-ШЛЮЗОВ Интернет-шлюз, как правило, это программное обеспечение, призванное организовать передачу трафика между разными сетями. Программа является рабочим инструментом системного администратора, позволяя ему контролировать трафик и действия сотрудников. Обычно Интернет-шлюз позволяет распределять доступ среди пользователей, вести учёт трафика, ограничивать доступ отдельным пользователям или группам пользователей к ресурсам в Интернет. Интернет-шлюз может содержать в себе прокси-сервер, межсетевой экран, почтовый сервер, шейпер, антивирус и другие сетевые утилиты. Интернет-шлюз может работать как на одном из компьютеров сети, так и на отдельном сервере. Шлюз устанавливается как программное обеспечение на машину с операционной системой, либо на пустой компьютер с развертыванием встроенной операционной системы. Начнем работу с самого начала - с выбора операционной системы. Есть два основных варианта: ОС на ядре LINUX и ОС WINDOWS. Следует выбрать WINDOWS, если необходима легкость конфигурирования, разнообразие софта, привычная идеология системы [1]. К недостаткам же сервера на ОС Windows можно отнести повышенные требования к ресурсам, подверженность DoS-атакам, довольно малую стабильность в сети. Причем, время от времени находятся уязвимости, приводящие к полному выходу из строя сервера - от одной найденной уязвимости в WINDOWS SERVER 2003 серверы падали более полугода. Про LINUX сервер хочется сказать следующее: настройка, конечно, сложнее WINDOWS, графический интерфейс не имеет такого развития и такой мощи, как в WINDOWS, да и не нужен он серверу, знания ОС и сетей у администратора должны быть довольно глубокими. К плюсам относят то, что настроенный и отточенный сервер будет служить верой и правдой многие месяцы. Очень многие задачи администратора в LINUX автоматизированы на уровне отдельных демонов, изучив которые, можно избавиться от рутинной работы. Основные задачи, поставленные перед сервером-шлюзом, можно сформулировать так: давать пользователям локальной сети доступ в интернет, производить учет трафика каждого пользователя, защищать локальную сеть от атак извне. Доступ в Интернет Разделение и учет трафика можно организовать двумя основными путями: настройкой маршрутизации в связке с биллинговой системой или использованием прокси-сервера. Обе схемы равноправны и применяются достаточно широко. Сначала рассмотрим наиболее простую в реализации: использование прокси-сервера. Общий принцип такой: каждый пользователь ЛВС прописывает в браузере IP и порт прокси-сервера, после чего все запросы браузер отправляет на определенный порт LINUX сервера. Где программа-демон, слушающая этот порт, смотрит на IP отправителя и на конечную цель пакета и решает, что делать: для локальных запросов обработать сразу, а для запросов во внешние сети сначала посмотреть на внутренний кэш и только потом, не найдя там необходимых файлов, отправить запрос далее в интернет. Если же запрашиваемая страница есть в кэше прокси, она будет просто извлечена оттуда и отправлена пользователю. Плюсы такой организации шлюза: легкость настройки, управления, бесплатность (прокси-сервер есть в любом дистрибутиве LINUX). Минусы часто заставляют переходить на более высокий уровень, применяя полноценную биллинговую систему. Дело в том, что у прокси есть огромные ограничения. Основное это то, что поддерживаются только НТТР и FTP. Прокси-сервер заметно замедляет работу сетевого подключения в целом, ведь перед отправкой запроса в глобальную сеть, пакет подвергается анализу, а если таких пакетов очень много, сервер может задуматься надолго [2]. У биллинговых систем эти недостатки проявляются намного меньше. Так, учет может вестись по всем протоколам и портам, они не тормозят сервер при интенсивной работе пользователей в интернете, да и возможностей у них больше. .3.1 СРАВНЕНИЕ БИЛЛИНГОВЫХ СИСТЕМ Для наших целей мы рассмотрим 2 вида интернет-шлюзов. 1. На платформе Microsoft Windows. 2. На платформе Linux. На российском рынке существует большое количество продуктов на этих платформах, вот лишь небольшое их количество.CONTROL (WINDOWS) Возможности программы: управление полосой пропускания (балансировка каналов); надежная защита от хакерских атак; DHCP, DNS сервер; кеширующий PROXY сервер; клиент-серверная VPN-технология; мощные инструменты для управления доступом в Интернет на базе ISS Orange Web Filter; встраиваемое антивирусное ядро на выбор клиента; авторизация пользователей по IP, IP+MAC, WEB-авторизация; гибкие настройки и удобное управление: эти и многие другие уникальные особенности делают Kerio Control идеальным решением для защиты сети компании от враждебного Интернет-окружения. Вывод: Удобная в настройке, можно создавать временные зоны для пользователей, а также для их групп, но зависимая от возможностей операционной системы WINDOWS, цена для среднестатистического офиса с численностью 25 человек составляет 30 000 руб без стоимости ОС WINDOWS.INSPECTOR (WINDOWS) лицензия Федеральной Службой по Техническому и Экспортному Контролю (ФСТЭК) на деятельность по разработке и производству средств защиты конфиденциальной информации; многоуровневая защита помимо сетевого экрана и антивирусной проверки трафика в состав Traffic Inspector входит система блокировки высокой сетевой активности, которая защищает и от еще неизвестных вирусов; простота установки и использования программа проста в установке и администрировании. Работая на операционной системе Microsoft Windows, не требует специальных настроек: все, что работало ранее, будет работать и после установки программы - потребуется только авторизация пользователей; универсальный набор функции. Функционал программы разнообразен: организация доступа, контроль и учет, правила, сетевой экран, прокси-сервер, блокировка рекламы, сайтов, спама, антивирусная защита, управление загрузкой канала, экономия затрат; маршрутизация трафика по нескольким провайдерам одновременно. модуль фильтрации рекламы, соц.виджетов и всплывающих окон: работает на любом браузере и любой платформе; фильтрация писем по RBL-спискам; поддержка зоны РФ в отчетах. Вывод: Удобная в настройке, все настраивается через административную панель, но зависимая от возможностей операционной системы WINDOWS, цена для среднестатистического офиса с численностью 25 человек составляет 17 800 руб без стоимости ОС WINDOWS. Ideco Internet Control Server (LINUX ISO) контроль доступа (авторизация по IP,MAC,WEB,AD,LDAP); защита и безопасность, межсетевой экран(Firewall); ограничение трафика; удаленное подключение, виртуальные частные сети; интеллектуальный QoS; DHCP, DNS, FTP-сервер; полноценный маршрутизатор; подключение к провайдерам, резервирование каналов; почтовый сервер с антивирусом и фильтрацией спама; корпоративный IM-сервер. Вывод: Установка проходит с установочного диска на компьютер без ОС в автоматическом режиме, пользователю лишь предлагают указать пароль администратора и параметры сетевых интерфейсов, в состав входят все необходимые службы, настройка только через WEB консоль. Данная программа имеет простоту настроек, как у программ для WINDOWS, надёжность и производительность LINUX. Цена для среднестатистического офиса с численностью 25 человек составляет 18 000 руб.OFFICE (LINUX PACKAGE) Программное средство позволяет: защищать сеть организации от внешних атак; использовать аварийное резервирование каналов интернет; использование двух провайдеров и более; централизованное управление филиалами организации; ограничивать доступ пользователей к ресурсам развлекательного характера; блокировка сайтов по спискам; балансировать трафик между сотрудниками для более качественного и экономного использования канала; ограничение скорости пользователям; блокировать вирусную активность; почтовый сервер, высококачественный шейпер и многое другое [20]. Вывод: Программа устанавливается из исходников на установленную LINUX систему (FEDORA, UBUNTU), путём запуска автоматического скрипта установки, все необходимые программы для установки программы скачиваются автоматически, пользователю предлагается во время установки указать сетевые интерфейсы, создать администратора, периодически отвечать ДА, на поставленные вопросы. Программа TRAFFPRO, в отличии от IDECO, требует базовых знаний LINUX терминала и команд, половина настроек вводятся в консоли. Программа не перегружена службами, работает на слабых конфигурациях. Цена для среднестатистического офиса с численностью 25 человек составляет 3 000 руб. .4 АНАЛИЗ ВИРТУАЛЬНЫХ ЛОКАЛЬНЫХ СЕТЕЙ VLAN Всем коммутируемым сетям присуще одно ограничение. Поскольку коммутатор является устройством канального уровня, он не может знать, куда направлять широковещательные пакеты протоколов сетевого уровня. Хотя трафик с конкретными адресами (соединения "точка-точка") изолирован парой портов, широковещательные пакеты передаются во всю сеть (на каждый порт). Широковещательные пакеты - это пакеты, передаваемые на все узлы сети. Они необходимы для работы многих сетевых протоколов, таких как ARP, BOOTP или DHCP, с их помощью рабочая станция оповещает другие компьютеры о своем появлении в сети, так же широковещательные пакеты могут возникать из-за некорректно работающего сетевого адаптера. Широковещательные пакеты могут привести к насыщению полосы пропускания, особенно в крупных сетях. Для того, чтобы этого не происходило важно ограничить область распространения широковещательного трафика (эта область называется широковещательным доменом) - организовать небольшие широковещательные домены или виртуальные ЛВС (Virtual LAN, VLAN) [3]. Виртуальной сетью называется логическая группа узлов сети, трафик которой, в том числе и широковещательный, на канальном уровне полностью изолирован от других узлов сети. Это означает, что передача кадров между разными виртуальными сетями на основании MAC-адреса невозможна, независимо от типа адреса - уникального, группового или широковещательного [10]. В то же время, внутри виртуальной сети кадры передаются по технологии коммутации, то есть только на тот порт, который связан с адресом назначения кадра. Таким образом, с помощью виртуальных сетей решается проблема распространения широковещательных пакетов и вызываемых ими следствий, которые могут развиться в широковещательные штормы и существенно снизить производительность сети.обладают следующими преимуществами: • Гибкость внедрения VLAN являются эффективным способом группировки сетевых пользователей в виртуальные рабочие группы, несмотря на их физическое размещение в сети; • VLAN обеспечивают возможность контроля широковещательных сообщений, что увеличивает полосу пропускания, доступную для пользователя; • VLAN позволяют усилить безопасность сети, определив с помощью фильтров, настроенных на коммутаторе или маршрутизаторе, политику взаимодействия пользователей из разных виртуальных сетей. В коммутаторах могут использоваться три типа VLAN: • VLAN на базе портов; • VLAN на базе MAC-адресов; • VLAN на основе меток в дополнительном поле кадра - стандарт IEEE 802.1Q. Организация VLAN на базе портов и MAC адресов, является устаревшей и не рекомендуется для применения в современных реализациях виртуальных сетей. 1.4.1 VLAN НА БАЗЕ МЕТОК - СТАНДАРТ IEEE 802.1Q Метод организации VLAN на основе меток - тэгов, использует дополнительные поля кадра для хранения информации о принадлежности кадра при его перемещениях между коммутаторами сети. Стандарт IEEE 802.1Q определяет изменения в структуре кадра Ethernet, позволяющие передавать информацию о VLAN по сети [9]. С точки зрения удобства и гибкости настроек, VLAN на основе меток является лучшим решением. Его основные преимущества: Гибкость и удобство в настройке и изменении - можно создавать необходимые комбинации VLAN как в пределах одного коммутатора, так и во всей сети, построенной на коммутаторах с поддержкой стандарта IEEE 802.1Q. Способность добавления меток позволяет VLAN распространяться через множество 802.1Q-совместимых коммутаторов по одному физическому соединению. Способность VLAN 802.1Q добавлять и извлекать метки из заголовков пакетов позволяет VLAN работать с коммутаторами и сетевыми адаптерами серверов и рабочих станций, которые не распознают метки. Устройства разных производителей, поддерживающие стандарт могут работать вместе, не зависимо от какого-либо фирменного решения. Не обязательно применять маршрутизаторы. Чтобы связать подсети на сетевом уровне, достаточно включить нужные порты в несколько VLAN, что обеспечит возможность обмена трафиком. Например, для организации доступа к серверу из различных VLAN, нужно включить порт коммутатора, к которому подключен сервер во все подсети. Единственное ограничение - сетевой адаптер сервера должен поддерживать стандарт IEEE 802.1Q. В силу указанных свойств, VLAN на базе тэгов используются на практике гораздо чаще остальных типов, поэтому остановимся подробно на принципах работы такой схемы и вариантов, которые можно с ее помощью организовать. Теги IEEE 802.1Q VLAN Рассмотрим структуру кадра Ethernet с добавленным маркером IEEE 802.1Q (Рисунок 1.4). К кадру Ethernet добавлены четыре байта. Первые 2 байта с фиксированным значение 0х8100 определяют, что кадр содержит тег протокола IEEE 802.1Q/802.1p. Остальные 2 байта содержат следующую информацию: • 3 бита приоритета передачи кодируют до восьми уровней приоритета (от 0 до 7, где 7-наивысший приоритет), которые используются в стандарте IEEE 802.1р; • 1 бит Canonical Format Indicator (CFI), который зарезервирован для обозначения кадров сетей других типов (Token Ring, FDDI), передаваемых по магистрали Ethernet; • 12-ти битный идентификатор VLAN - VLAN ID (VID), определяющий, какой VLAN принадлежит трафик. Поскольку под поле VID отведено 12 бит, то можно определить 4096 уникальных VLAN. Добавление тега в заголовок кадра делает кадр длиннее на 4 байта. Вся содержащаяся в исходном кадре информация сохраняется. Рисунок 1.4 Маркированный кадр Ethernet. Поскольку сформированный кадр несколько длиннее исходного, то должна быть заново вычислена контрольная сумма Cyclic Redundancy Check (CRC). 1.5 ВЫВОДЫ ПО РЕЗУЛЬТАТАМ АНАЛИЗА СУЩЕСТВУЮЩИХ РЕШЕНИЙ По результатам анализа аппаратных и программных средств и учитывая требования технического задания, был сформирован список из оборудования и программного обеспечения, удовлетворяющих требованиям. . Для программной реализации была выбрана платформа SuperMicro SYS-5016I-MR с ОС на ядре Linux, как наиболее производительное решение для построения программного маршрутизатора. . Коммутатор 2 уровня DES-1210-52, с большим количеством портов, наличием протокола 802.1Q, высокой скоростью коммутации, демократичной ценой и возможностью подключения к оптической магистрали при помощи специального модуля SFP. Позволяет использовать оптические сети провайдера для получения высокой скорости доступа к ресурсам интернет, разбить физическую сеть на логические сегменты VLAN [19]. . Монтажное оборудование: шкафы, кабели и розетки, соответствующих требованиям стандарта IEEE 802.3. . Программный Интернет-шлюз Traffpro office, обеспечивающий требуемый функционал, простоту установки и низкую стоимость. Позволит отслеживать деятельность, считать трафик, вести статистику по каждому пользователю или группе пользователей. Благодаря интеллектуальному шейперу, возможно реализовать скоростные ограничения для каждой группы отдельно. Функция балансировки каналов, позволит в случае перегрузки или выхода из строя одного из каналов, сохранить доступ к сети интернет. . Организация сети VLAN протокола 802.1Q, позволит изолировать сегменты подсетей арендаторов на логическом уровне. При этом если арендаторы решат дополнительно арендовать помещение, создав там рабочую группу, то объединить группы в единый VLAN не составит труда. . ПРОЕКТНАЯ ЧАСТЬ .1 РАЗРАБОТКА МОДЕЛИ СЕТИ При проектировании сети в первую очередь разрабатывается наглядная модель сети с привязкой к имеющимся планам и инженерным конструкциям. Данное действие позволяет: . Определиться в каком месте будет установлено коммуникационное оборудование. . Выбрать с учётом имеющихся коммуникаций наименьшее расстояние для прокладки коммуникационных кабелей. . Учитывая масштаб плана, позволяет рассчитать приблизительную длину каждого кабельного сегмента. Для разработки модели выбран метод имитационного моделирования, поскольку он в большей степени соответствует предъявляемым требованиям по адекватности и сложности. В качестве программы для разработки имитационной модели сети выбрана программа NetCracker Professional 4.0. На рисунке 2.1 показана схема первого этажа офисного центра «Империал» Рисунок 2.1 План-схема 1 этажа .1.1 ПОСТРОЕНИЕ СЕТИ С ПРИВЯЗКОЙ К ПЛАНУ-СХЕМЕ ЗДАНИЯ Каждая группа - это виртуальная сеть, которая изолирована от остальных. Все кабели укладываются в кабель-каналы и прокладываются под потолком. В каждой комнате устанавливается компьютерная розетка, к ней по стене в кабель канале подводится сетевой кабель. Арендатор каждого помещения устанавливает по собственному желанию, рядом с розеткой коммутатор доступа на 5-8 портов, в зависимости от количества рабочих станций в помещении. На рисунке 2.2 показана схема коммуникационного подключения рабочих групп второго этажа. Второй этаж взят как точка отсчёта. На этом этаже располагается серверная комната с коммуникационным шкафом. В шкаф установлены: коммутатор, маршрутизатор, блок бесперебойного питания форм-фактора 1U. На этаже располагается 14 помещений под аренду. Максимальная дальность одного сегмента ЛВС на втором этаже до коммутационного оборудования не превышает 70 метров, что соответствует требованию стандарта EIA/TIA-568-В передачи данных на скорости 100 Мбит/с Рисунок 2.2 Структурная схема коммуникаций второго этажа. Используя технологические отверстия в полу, кабели прокладываются на первый этаж. На первом этаже (рисунок 2.3) располагаются 14 помещений. Кабели 5 категории прокладываются под потолком в кабель каналах до помещения. Максимальная дальность одного сегмента ЛВС на первом этаже до коммутационного оборудования второго этажа не превышает 70 метров, что соответствует требованию стандарта EIA/TIA-568-В передачи данных на скорости 100 Мбит/с. Рисунок 2.3 Структурная схема коммуникаций первого этажа. Таким же образом происходит подключение последнего третьего этажа (рисунок 2.4). Для подключения используется технологическое отверстие в потолке второго этажа. Максимальная дальность одного сегмента ЛВС на первом этаже до коммутационного оборудования второго этажа не превышает 70 метров, что соответствует требованию стандарта EIA/TIA-568-В передачи данных на скорости 100 Мбит/с. Рисунок 2.4 Структурная схема коммуникаций третьего этажа. .2 НАСТРОЙКА VLAN НА КОММУТАТОРЕ DLINK DES-1210-52 Наша цель настроить коммутатор таким образом, чтобы каждый порт входил в уникальный VLAN. Коммуникатор имеет 48 портов на скорости 10/100 Мбит/с и 4 порта на скорости 100/1000 Мбит/с, количество арендуемых помещений 42. У нас остаётся в резерве 10 портов. Два гигабитных порта 51-52 из резерва сделаем тегируемыми для подключения двух сетевых карт маршрутизатора (рисунок 2.5). Рисунок 2.5 Схема подключения маршрутизатора к коммутатору. Порты 49-50 будут задействованы для подключения 2 каналов интернет-провайдера (основной и резервный). Порты с 1 по 42 будут задействованы для подключения каждого арендуемого помещения. Методика настройки на маршрутизаторе На интерфейсе №1 (eth0) маршрутизатора, будут настроены 2 субинтерфейса vlan100 и vlan101 c настройками интернет провайдеров, на интерфейсе №2 (eth1) маршрутизатора будут настроены 42 субинтерфейса vlan2-vlan43 с настройкой IP параметров(vlan1 используется только для административных целей). Методика настройки на коммутаторе Создаются виртуальные сети vlan2-vlan43, порты с 1 по 42 по одному добавляются в VLAN, Отдельно создаются vlan100 и vlan101 на портах 49 и 50. В эти порты будут приходить два Интернет канала от разных провайдеров (рисунок 2.5). Порт 51 коммутатора, который будет соединен со вторым интерфейсом маршрутизатора, необходимо сделать тегируемым, и добавить этот порт в vlan100 и vlan101. Тем самым мы сможем использовать 1 физическую линию и вместить в неё 2 канала. Таким образом, можно использовать ещё несколько входящих каналов, главное чтобы были свободные порты на коммутаторе [19]. Порт 52 коммутатора, который будет соединен со вторым интерфейсом маршрутизатора, необходимо сделать тегируемым и добавить его в vlan2-vlan43. .2.1 ПРОГРАММИРОВАНИЕ КОММУТАТОРА Сеть на коммутаторе настроена по умолчанию по адресу 192.168.1.100/24. По умолчанию все порты включены в vlan1 по этому конфигурировать telnet-ом можно через любой порт [18]. Для того, чтобы не потерять управление над коммутатором при процедуре удаления портов из vlan1 или (defaul vlan), подключим коммутатор к 48 порту, который останется в vlan1. Выполним команду удаления портов с 1 по 42: config vlan default delete 1-42 Создаём vlan-ы с именем office1….office42 помечая тегами. create vlan office1 tag2 ……………………….vlan office42 tag43 Добавляем в vlan-ы по одному порту config vlan office1 add untagged 1 …………………………………..vlan office42 add untagged 42 Порты клиентов настроены Теперь включим в каждый vlan тегируемый порт 52. Гигабитный порт №52 будет соединен с сетевой картой Linux шлюза, на котором будут настраиваться VLAN порты. config vlan office1 add tagged 52 …………………………………………vlan office42 add tagged 52 Коммутацией входящих интернет каналов будет заниматься коммутатор, для каждого канала будет создан отдельный VLAN с привязкой к порту. Так как у нас свободны с 43 по 48 100 мегабитные порты и с 49 по 50 гигабитные, создадим VLAN на 49 и 50 портах. create vlan provider1 tag 100vlan provider2 tag 101 Добавляем гигабитные порты в созданные VLAN config vlan provider1 add untagged 49vlan provider2 add untagged 50 Добавим тегированный порт, в нашем случае гигабитный порт в VLAN. config vlan provider1 add tagged 51vlan provider2 add tagged 51 reboot Использование коммутатора, для коммутации входящих интернет каналов, даёт ряд преимуществ: . На сервере будет использованы встроенные сетевые интерфейсы, что важно, так как при использовании серверов 1U, накладывает ограничение на периферийные компоненты по количеству PCI слотов - не более одного. . Вся маршрутизация будут проходить на субинтерфейсах двух физических интерфейсов. . В коммутаторе есть возможность подключения 2 оптических линий, что значительно дешевле, если бы мы покупали сетевую плату с оптическим входом. Для достижения высокой производительности коммутации и маршрутизации между VLAN, необходимо использовать сетевую карту с аппаратной поддержкой VLAN 802.1Q. Она освободит процессор сервера от добавления тега в кадр и пересчёта контрольной суммы, процессор будет заниматься только маршрутизацией между интерфейсами и работой сервисов и служб. 2.3 УСТАНОВКА ОС RUSSIAN FEDORA LINUX Пользуясь требованием технического задания, установим ОС с ядром LINUX на наш маршрутизатор. Практически все дистрибутивы ОС на ядре Linux похожи друг на друга, различия только в дополнительном оснащении некоторых ОС специальными драйверами для серверных компонентов (сетевые платы, RAID контроллеры). Также не все ОС позволяют выполнить установку так называемого серверного варианта. Серверный вариант - это установка только ядра системы с пакетом необходимых программ, каких как; С++ компиляторы, текстовые редакторы, ssh сервер, командная оболочка BASH и SH. В серверный вариант не входит графическая оболочка рабочего стола, которая серверу не требуется. Все настройки будем вводить через командную строку терминала [8]. В настоящее время возможностью серверной установки обладают дистрибутивы основанные на коммерческой версии ОС Red Hat Enterprise Linux. Одним из таких является полностью бесплатный Russian Fedora Linux. Скачиваем файл образа с ресурса проекта. Скаченный файл является образом диска, который необходимо записать на DVD диск с помощью программы Ultraiso или другой программы понимающей файлы с расширением iso. Загружаемся с диска и начинаем устанавливать OС. На рисунке 2.6 показано окно установщика, который предлагает установить систему в разных вариантах, восстановить систему, загрузиться с локального диска или проверить оперативную память на ошибки. Рисунок 2.6. Окно приветствия установщика. Из версии в версию, при установки любой версии linux, установщик предлагает проверить носитель(dvd диск) на ошибки (рисунок 2.7). Это очень полезная функция, так как сохранит нервные клетки при установке. Система Linux очень критична к установке, любой повреждённый пакет на этапе установки и придётся всё начинать заново. Рисунок 2.7 Окно тестирования DVD носителя. Следующее окно (рисунок 2.8) установщика требует особого внимания, так как по умолчанию система пытается создать динамические диски (тома), которые будут изменять свои размеры в зависимости от потребностей. На домашнем компьютере это удобно, но на сервере, который будет работать 24 часа в сутки, 7 дней в неделю, 365 дней в году это не очень удобно и вот почему. Рисунок 2.8 Выбор ручного разбиения диска на разделы. Система Linux очень любит логировать (писать в файл) деятельность процессов и программ. И к примеру произошёл небольшой сбой. Рухнула таблица определённой базы Mysql, или служба squid зафиксировала ошибку кеша. Система продолжает работать, продолжая писать лог в файл и если вовремя не заметить, то лог-отчёт может полностью забить диск, оставив важные службы без свободного дискового пространства. Чтобы такого не происходило, необходимо правильно разметить диск. Правильно разбитый диск -это диск у которого под каждый раздел собственное разбиение. На рисунке 2.9 показано как правильно разметить диск системы. Рисунок 2.9. Правильно размеченный диск. Следующий этап важен, так как именно от этих настроек будет зависеть какие программы, и сервисы будут включены в установку. Так как я устанавливаю серверную операционную систему все настройки и команды я буду производить в консоли. Работа в консоли подразумевает, что рабочий стол с интернет-браузерами мне не нужены, для этого отметим минимальную конфигурацию (рисунок 2.10) и выберем лишь те пакеты, которые будут необходимы. Рисунок 2.10. Выбор типа установки. На завершающем этапе система проинсталлирует все необходимые пакеты (рисунок 2.11) и предложит перезагрузить компьютер. Установка закончена. Рисунок 2.11. Завершение установки. .4 НАСТРОЙКА УСТАНОВКА ДОПОЛНИТЕЛЬНЫХ ПРОГРАММ После перезагрузки системы мы попадаем в приглашение ввести логин и пароль (рисунок 2.12). Рисунок 2.12 Приглашение входа. Этапы настройки операционной системы: 1. конфигурирование сети; 2. добавление VLAN интерфейсов; . установка DHCP, DNS серверов; . установка биллинговой системы traffpro office; . проверка работоспособности. .4.1 КОНФИГУРИРОВАНИЕ СЕТИ Конфигурирование сети в системе Linux выполняется с помощью команды: ifconfig ethх 192.168.1.х netmask 255.255.255.0 up, где, ethx - имя сетевого интерфейса. Предварительно, мы должны узнать список установленных сетевых плат выполнив команду ifconfig. Эта команда выведет на экран список установленных сетевых карт в системе [13]. eth0 - интерфейс на котором будут настраиваться субинтерфейсы vlan100 и vlan101. eth1 - интерфейс на котором будут настраиваться субинтерфейсы vlan2-43 Присваивать физическим интерфейсам eth0 и eth1 IP адреса нет необходимости, IP адреса нужны будут только VLAN интерфейсам, так как вся маршрутизация будет проходить именно на них. Прежде чем приступать к настройке vlan, для большей стабильности скачиваем и устанавливаем последний драйвер для карт INTEL, установка драйверов в Linux отличается от установки в системах Windows. Драйвера необходимо скомпилировать из исходников, используя компилятор C++. Скачиваем архив с драйвером компиляцию:-tb e1000e-1.10.6.tar.gz и выполним автоматическую Данная команда распакует архив, скомпилирует драйвер и создаст установочный пакет e1000e-1.10.6-1.x86_64.rpm удобный для установки. Чтобы установить драйвер из установочного пакета выполним команду: rpm -Uvh e1000e-1.10.6-1.x86_64.rpm После этого можно приступать к настройке VLAN. .4.2 СОЗДАНИЕ VLAN Для работы VLAN необходимо, чтобы операционная система его поддерживала, для этого требуется загрузить модуль 8021q в ядро командой: modprobe 8021q После настройки Linux для каждого VLAN 'а будет создано отдельное устройство (субинтерфейс). Нужно выбрать формат обозначения устройств из четырех имеющихся вариантов. Формат устанавливается с помощью команды: vconfig set_name_type [name-type] где, name-type может принимать следующие значения:_PLUS_VID имя устройства будет выглядеть так: vlan0002._PLUS_VID_NO_PAD имя устройства будет выглядеть так: vlan2._PLUS_VID имя устройства будет выглядеть так: eth0.0002._PLUS_VID_NO_PAD имя устройства будет выглядеть так: eth0.2 Во избежание несовместимости выберем 2 вариант: vconfig set_name_type VLAN_PLUS_VID_NO_PAD. Вернемся теперь к настройке OC. Укажем VLAN'ы, которые будут использоваться на этом интерфейсе. Каждый VLAN добавим на нужный интерфейс, так как номер 1 используется в VLAN по умолчанию и используется для административного управления оборудованием. Создадим субинтерфейсы провайдеров vlan100 и vlan101 на интерфейсе eth0: vconfig add eth0 100add eth0 101 Что бы интерфейсы не пропали после перезагрузки, создадим 2 конфигурационных файла в папке /etc/sysconfig/network-scripts с именами ifcfg-vlan100 и ifcfg-vlan101 со следующим текстом. VLAN=yes_NAME_TYPE=VLAN_PLUS_VID_NO_PAD=eth0="vlan100" (“vlan101”)=none=vlan100 (“vlan101”)=212.152.63.165 (212.152.63.5)=255.255.255.240 (255.255.255.0)=212.152.63.161 (212.152.63.1)INIT=no=no=yes Обязательные параметры:=yes - иначе интерфейс не создастся после перезагрузки Два последних параметра отвечают за имя субинтерфейса vlan и ассоциацией с физическим интерфейсом eth0 VLAN_NAME_TYPE=VLAN_PLUS_VID_NO_PAD=eth0 Для создания VLAN интерфейсов арендаторов, необходимо создать аналогичные файлы конфигурации на интерфейсе eth1 с собственными настройками. Пример конфигурации ifcfg-vlan2 субинтерфейса vlan2: VLAN=yes_NAME_TYPE=VLAN_PLUS_VID_NO_PAD=eth1="vlan2"=no ne=vlan2=Ethernet=192.168.2.1=yesINIT=no=no=24 .4.3 УСТАНОВКА DHCP И DNS СЕРВЕРОВ Служба DHCP помогает справиться с некоторыми проблемами, связанными с окружением локальных сетей, включая проблемы с назначением IP адреса и административную составляющую [12]. Рассмотрим некоторые концепции, с которыми приходится встречаться и чем может помочь DHCP. . ПК и рабочие станции нуждаются в уникальных IP адресах, информации DNS и размещение шлюзов. . Определение местонахождения (трассировка) IP адресов вручную чревато излишней работой. . Случайное дублирование IP адресов создаёт конфликты в сети. . Устранение ошибок, связанных с адресами (таких как дублирование адресов) и изменение местонахождения порождает ненужную работу. . Изменения в личных данных обычно означают, что кто-то должен будет проверить каждый компьютер для конфигурирования новой базы данных назначений IP адресов. . Частое перемещение мобильных пользователей вызывает необходимость реконфигурации сети с учётом ноутбуков. DHCP решает эти проблемы, выдавая IP адреса по необходимости каждой системе локальной сети, когда эти системы загружаются. Сервер DHCP гарантирует, что все IP адреса уникальны. Сервис требует небольшого вмешательства пользователя для назначения и обслуживания IP адресов. Администраторы могут написать файлы конфигурации и перепоручить оставшуюся работу серверу DHCP. Данный сервер управляет пулом IP адресов, освобождая администратора сети от этой задачи. Этот процесс состоит из четырех шагов: клиент DHCP запрашивает IP-адрес (DHCP Discover, обнаружение), DHCP-сервер предлагает адрес (DHCP Offer, предложение), клиент принимает предложение и запрашивает адрес (DHCP Request, запрос) и адрес официально назначается сервером (DHCP Acknowledgement, подтверждение). Чтобы адрес не "простаивал", сервер DHCP предоставляет его на определенный администратором срок, это называется арендным договором (lease). По истечении половины срока арендного договора клиент DHCP запрашивает его возобновление, и сервер DHCP продлевает арендный договор. Это означает, что когда машина прекращает использовать назначенный IP-адрес (например, в результате перемещения в другой сетевой сегмент), арендный договор истекает, и адрес возвращается в пул для повторного использования. Мы будем использовать DHCPD сервер, так как он поддерживает неограниченное количество выделяемых пулов, что незаменимо при необходимости использования DHCP сервера для раздачи адресов в подсети VLAN. Настройка DHCP пулов. D роли сервера DHCP будет использоваться хорошо зарекомендовавший DHCPD. Для настройки используется файл /etc/dhcpd.conf, выделяемые пулы описываются блоками для каждого субинтерфейса. Пример блока для субинтерфейса vlan2: subnet 192.168.2.0 netmask 255.255.255.0{ (1)192.168.2.2 192.168.2.10; (2)router 192.168.2.1; (3)subnet-mask 255.255.255.0; (4)domain-name-servers 192.168.2.1; (5) } -Строка настраивает область пула, подсеть. -Диапазон раздаваемых адресов со 2 по 10. -Адрес шлюза. -Маска подсети. -Адрес кеширующего DNS сервера. Для других субинтерфейсов настраивается согласно их IP адресам. При запуске сервер dhcp прочитает файл созданных подсетей, сопоставит параметр option router с IP адресом имеющихся сетевых интерфейсов (включая vlan интерфейсы) и начнёт выдавать адреса по каждому сегменту.- (Domain Name System) - доменная система имен предназначена для преобразования доменных имен в IP-адреса, либо наоборот - IP-адресов в доменные имена. Кэширующий DNS-сервер - сервер, который обслуживает запросы клиентов. Данный сервер при первом обращении к ресурсу кеширует преобразование имени узла в IP, при последующих обращениях берёт преобразование из кеша, что значительно ускоряет запрос. Скорость разрешения днс имени увеличивается в 30 раз (рисунок 2.13). Для проверки скорости разрешения DNS выполним 2 раза одну и ту же команду. Рисунок 2.13 Ускорение DNS запросов - это легковестный, не требующий больших ресурсов, кеширующий dns сервер. В настройках которого указываются DNS провайдера для первичного обращения, в последствии программа накапливает собственный кеш. .5 РАЗРАБОТКА СПЕЦИАЛЬНОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ Два vlan субинтерфейса создать не сложно, а вот если нужно создать 42, то на помощь приходит командная оболочка BASH, позволяющая автоматизировать рутинные операции. Напишем небольшую интерактивную программу, которая будет создавать конфигурационные скрипты для выбранного диапазона субинтерфейсов. Первым делом, нам необходимы параметры, которые будут присваиваться переменным скрипта. Весь скрипт с описанием: #!/bin/bash cd /etc/sysconfig/network-scripts (1) lsmod | grep 8021q > /dev/nul l (2) i f [ $? -eq 1 ] (3)8021q echo “Сколько VLAN интерфейсов необходимо создать” (4) read answer (5)=$(($answer+1)) (6)i in $(seq 2 $num) (7)-a | grep vlan$i > /dev/null (8)[ $? -eq 1 ] (9)add eth1 $i > /dev/null (10)vlan$i 192.168.$i.1 netmask 255.255.255.0 up (11)ifcfg-vlan$i (12)"Интерфейс vlan$i был создан как новый!" (13)-e "\rVLAN=yes \rVLAN_NAME_TYPE=VLAN_PLUS_VID_NO_PAD \rPHYSDEV=eth1 \rDEVICE=vlan$i \rNAME=”vlan$i” \rBOOTPROTO=none \rNETMASK=255.255.255.0 \rTYPE=Ethernet \rIPADDR=192.168.$i.1 \rONBOOT=yes \rIPV6INIT=no \rUSERCTL=no \rPREFIX=24" > ifcfg-vlan$i (14) else (15) "Интерфейс VLAN vlan$i был создан ранее!" (16) fi done - Выполним переход в директорию, где будут создаваться конфигурационные файлы. - Проверка загруженности модуля 8021q, если модуль не загружен, то VLAN интерфейсы не будут созданы. Если модуль не загружен, то команда lsmod | grep 8021q > /dev/null передаст значение 1 если загружен 0. - Рекурсионная обработка предыдущей команды. При полученном значении 1 выполнит подгрузку модуля, при 0 пропустит выполнение скрипта. - Информационное сообщение о количестве создаваемых интерфейсах будет напечатано на экране. - Команда read позволяет передать значение переменной answer не посредственно с клавиатуры (интерактивный режим). - Приращение на 1 к введённому значению. Так как VLAN отсчитываются с 2, соответственно при создании 10 VLAN, последний VLAN будет иметь имя vlan11. - Цикл, позволяющий по очереди перебирать диапазон полученных значений. - С помощью цикла скрипт проверит на существование VLAN интерфейсов начиная с vlan2 до vlanN. 1 - не существует, 0 - существует. - Рекурсионная обработка предыдущей команды, при 1 - создаст VLAN интерфейс. , 11, - Команды создания субинтерфейса и присвоения этому интерфейсу IP адреса. - Создание пустого конфигурационного файла. - Вывод информационного сообщения о создании интерфейса. - Помещение конфигурации в пустой файл. - Рекурсивный переход, при условии, что интерфейс существовал перед созданием(защита от дублирования субинтерфейса). - Информационное сообщение, о том что интерфейс с указанным номером не нуждается в создании, так как он был создан ранее. В результате выполнения скрипта создадутся vlan интерфейсы в количестве указанных в параметре $answer, создадутся конфигурационные файлы для этих интерфейсов. Для добавления модуля 8021q в автозагрузку системы создадим управляющий скрипт следующего содержания: lsmod | grep 8021q > /dev/null if [ $? -eq 1 ]8021q0 И поместим эту запись в конец тектового файла /etc/rc.d/rc.local отвечающего за автозагрузку. Данный скрипт проверит таблицу загруженных модулей, сопоставит с входящим условием фильтрации по имени, если совпадение будет найдено, программа передаст рекурсионной обработке IF значение 0, если нет, то значение 1. При значении 1 произойдёт подгрузка модуля в ядро, при значении 0 выход. .6 УСТАНОВКА БИЛЛИНГОВОЙ СИСТЕМЫ TRAFFPRO Установка происходит путём запуска установочного скрипта install.sh из директории распакованными исходниками программы: [root@server traffpro.office.1.4.3]# ./install.sh Откроется диалоговое окно установки ПО (рисунок 2.14). Рисунок 2.14. Начало установки. Далее установщик проверит наличие необходимых пакетов (рисунок 2.15) для установки TraffPro. Рисунок 2.15. Необходимые пакеты для установки. Если при проверке установщик не найдет необходимых пакетов, он предложит Вам установить данные пакеты (рисунок 2.15) из доступных репозитариев. Далее идет процесс установки, который может занять продолжительно время. .6.1 КОНФИГУРАЦИЯ TRAFFPRO Программа конфигурируется путём вноса изменений в файл /etc/traffpro/traffpro.cfg, каждый параметр отвечает за настройку билинговой системы. Файл создасться во время установки из параметров которые нас попросят ввести. Пример файла конфигурации:_url=localhost_port=3306 Порт подключения к MySQL_usr=root Имя пользователя базы данных MySql_passwd= Пароль пользователя db_usr для доступа к БД_name=traffpro данных_eth_addr=true Включение авторизации по MAC адресам ports_detail=true Детализация по портам (true/false): ss_enabled=true Включение защиты сервера Имя базы url_detail=true Детализация www посещений. Если значение true, то установка кеширующего DNS сервера, обязательна! Этот параметр включает возможность просмотра посещений пользователей, без учета количества скачанного с каждого ресурса. Настройка закончена, через WEB консоль добавляем группы по виртуальным сетям, определяем ресурсы доступные группе, временные диапазоны отключения интернета, приоритеты скорости для групп, добавляем пользователей в группы, прописываем IP адреса интернет провайдеров. И перезагружаем сервер. .7 ВЫВОДЫ ПО РЕЗУЛЬТАТАМ ПРОЕКТИРОВАНИЯ СЕТИ На этапе проектирования, я составил схему трёх этажей офисного центра, с указанием расположения коммуникационного и серверного оборудования. Для избежания увеличения длины сегмента более 100 метров, в качестве точки отсчёта был выбран второй этаж, в результате максимальная длина сегмента была не более 70 метров, что полностью укладывается в спецификацию. Все соединения проходили под потолком в кабель каналах. В каждом арендуемом помещении устанавливалась сетевая розетка. Вторым этапом была настройка аппаратного оборудования. На коммутаторе объявлялись VLAN с привязкой к порту. Из расчёта один VLAN один порт - одно помещение . При необходимости два помещения могут объедениться в общий VLAN. Каналы от двух провайдеров заводились в гигабитные порты коммутатора, каждый порт добавлялся в объявленный VLAN провайдера, передача на маршрутизатор происходила через тегированные порты. Данный метод позволяет коммутировать несколько входящих линий на одну физическую линию сетевой карты. Третьим этапом была проведена установка и настройка ОС на ядре Linux, которая была выполнена в серверном варианте с необходимым мимиумом программ. С настройкой VLAN по сетевым интерфейсам. Для облегчения рутинных операций была написана интерактивная программа, создающая конфигурационные файлы к VLAN субинтерфейсам. Для удобства администрирования сети были установлены и настроены DHCP и DNS серверы. На заключительном этапе была установлена биллинговая система, установка которой проходила в автоматическом режиме, работа администратора заключалась в добавлении входящих интерфейсов провайдеров и в создании групп VLAN с добавлением в эти группы их участников. 3. ЭКОНОМИЧЕСКАЯ ЧАСТЬ .1 ОЦЕНКА СТОИМОСТИ ОБОРУДОВАНИЯ ДЛЯ ПОСТРОЕНИЯ СЕТИ Оценка стоимости является важной задачей любого проектирования, так как позволяет обосновать расходование средств на приобретение того или иного оборудования. При оценки стоимости мы будем придерживаться требований технического задания, которое определяет нижнюю грань характеристик требуемого оборудования. Наша сеть состоит из коммутатора, маршрутизатора, коммуникационного шкафа, кабелей и розеток. При выборе коммутатора мы оценивали производительность и цену, сравнивая с конкурентами (таблица 3.1). По соотношению цена/производительность выбор был сделан в пользу D-Link DES-1210-52. Таблица 3.1 Сравнение цен на коммутаторы. Модель Cisco Catalyst 2960TC-48 24000 руб Цена HP V1905-48 10000 руб D-Link DES-1210-52 9800 руб Серверы SuperMicro пользуется широким спросом из-за относительно невысокой стоимости на продукцию, при неизменно высоком качестве серверного оборудования. При выборе маршрутизатора, мы сравнили серверные платформы на процессорах INTEL таблица 3.2. Таблица 3.2 Цены на серверные платфрмы. Платформа Процессор Цена Supermicro SYS-5015A-PHF Intel Atom D510 1660Мгц 19 000 руб SuperMicro SYS-5016I-MR Intel Core i3 - 540 3100Мгц 23 000 руб По требованию ТЗ, частота процессора не должна быть менее 2000 Мгц, в результате выбор был сделан в пользу платформы SuperMicro SYS-5016I-MR. Данная платформа может быть оснащена разными процессорами таблица 3.3, что позволяет гибко подходить к выбору максимальной производительности. Таблица 3.3 Процессорные варианты SuperMicro SYS-5016I-MR Процессор Кол-во ядер Частота процессора Итоговая стоимость платформы Intel Core i3 540 2 3100 23000 руб Intel Xeon X3430 4 2600 26400 руб Использование процессора Intel Core i3 540, позволяет обслуживать до 300 абонентов, так что выбор очевиден. Для защиты от сбоя электропитания для сравнения были выбраны 2 устройства таблица 3.4 для монтирования в стойку. Таблица 3.4 сравнения ИБП APC Smart-UPS RM 750VA 480Вт Время работы при полной наргузке 7 мин 12000 руб Powercom King Pro KIN-1200AP RM 720Вт 10 мин 8000 руб Выбор был сделан в пользу Powercom King Pro KIN-1200AP RM При выборе коммуникационного шкафа, мы пользовались габаритами маршрутизатора, так как коммутатор короче на 100мм. Минимальная глубина шкафа 450мм, количество секций 6U. В таблице 3.5 показано сравнение цен на подвесные шкафы 6U. Данные шкафы отличаются, цветовой раскраской и производителем, больше различий кроме цены между ними нет. Выбор был сделан в пользу Cabeus SH-05-6U60/45 - этот шкаф обладает приемлемой толщиной корпуса, полной комплектацией держателей и заземляющих проводов. Таблица 3.5 Ценовое сравнение коммуникационных шкафов 6U Наименование Cabeus SH-05-6U60/45 Цена 3500 руб Hyperline TWM-0645-GR-RAL9004 4000 руб Из-за не большой длины максимального сегмента и укладки внутри помещения, мы можем выбирать любую марку не экранированного медного кабеля типа витая пара категории 5е (рисунок 3.6). Самый хороший из не дорогих соответствующий стандарту EIA/TIA 568B и диаметром жилы не менее 0,5мм Konoos KL-UPC-5051E-SO. Таблица 3.6 Сравнение кабелей 5е категории. Марка кабеля Материал Толщина Цена Konoos KL-UPC-5051E-SO Медь 0,51мм 2500руб/305м Telecom UTP cat 5E Омеднённый алюминий 0,50мм 1600руб/305м Учитывая периметр здания для подключения 14 помещений и выводом их в коммуникационный шкаф, необходимо использовать 300м кабеля на этаж. Для патч кордов соединяющих маршрутизатор с коммутатором выбран кабель 6 категории Hyperline UTP4-C6-PATCH-NCR-GY для этих целей достаточно одного метра стоимость которого равна 20 руб. Для обобщения затрат (таблица 3.7) на оборудование представим общую стоимость на оборудование. Данная таблица не включает затраты на проведение работ по прокладке кабелей, установку розеток. Таблица 3.7 Общая стоимость оборудования для построения сети. Наименование оборудования Маршрутизатор SuperMicro SYS-5016I-MR D-Link DES-1210-52 Powercom King Pro KIN-1200AP RM Шкаф настенный 19", 6U Cabeus SH-05F-6U60/45 Коннекторы RJ-45 100 шт Кабель Konoos KL-UPC-5051E-SO 305м Hyperline UTP4-C6-PATCH-NCR-GY 1м Розетка ком. настенная, 1 порт RJ-45 Кабель-канал 2м 25х30 Кабель-канал 2м 12х7 Интернет шлюз TRAFFPRO OFFICE на 500 пользователей Итого Кол-во 1 1 1 1 1 3 1 42 50 50 1 Цена 23000 руб 9800 руб 8000 руб 3500 руб 300 руб 2500 руб 20 руб 40 руб 100 25 16500 руб Итог 23000 руб 9800 руб 8000 руб 3500 руб 300 руб 7500 руб 20 руб 880 руб 5000 руб 1250 руб 16500руб 67750 руб Бюджет на покупку оборудования, программного обеспечения и материалов, выделенный заказчиком составил 190000руб. Основная статья расходов 110000 рублей, планировалась под стоимость интернет шлюза. 80000 рублей на покупку оборудования и материалов. Выбранное в ходе анализа оборудование и программное обеспечение позволило сэкономить 93000 рублей на стоимости интернет шлюза, и 12250 рублей на стоимости оборудования и материалов. В сумме экономическая выгода составила 105225 рублей. .2 СРАВНЕНИЕ СТОИМОСТИ ОБОРУДОВАНИЯ СЕТИ СО СТОИМОСТЬЮ ПРОТОТИПА Реализация интернет шлюза доступна на разных платформах. Для Windows - это Kerio control, Traffic Inspector. Для Linux - это Traffpro. Стоимость решения интернет-шлюза складывается из стоимости ОС + стоимость ПО интернет-шлюза + стоимость аппаратной реализации. Стоимость лицензии ОС Windows server 2003 standart edition 64bit составляет 20765 руб. Теперь определимся с предполагаемым количеством пользователей, которым будет доступен доступ в интернет. Имеем 42 помещения, каждое помещение имеет площадь 48м2, если предположить, что средняя численность пользователей каждого помещения может доходить до 5-6 человек. То средняя плотность офисного центра может быть в диапазоне 210~252 человек Pmin N 5 42 5 210 (3.1) Pmax N 5 42 6 252 (3.2) где, N - количество помещений в здании. Решение на Windows server + Kerio control Для функционирования Kerio control с поддержкой от 100 пользователей и больше требуется следующая конфигурация CPU 2.8GHz Quad Core, 8 GB RAM, 20 Gb HDD. - эта конфигурация является общим требованием для интернет шлюзов построенных на ОС Windows с количеством пользователей до 300. Стоимость платформы с рекомендуемыми параметрами составляет 27000руб Стоимость Kerio control с поддержкой 210-252 пользователей составляет 239500 руб Общая стоимость решения высчитывается по формуле: ОС CОC CИШ САР (3.3) Где, ОС - общая стоимость, СОС - стоимость ОС, СИШ - стоимость интернет шлюза, САР - стоимость аппаратного решения. Общая стоимость решения на Kerio используя формулу (3.3) составляет: OC 20765 239500 27000 287265 руб (3.4) Решение на Windows server + Traffic inspector Стоимость Traffic inspector c поддержкой 210-252 пользователей составляет 70000руб. Общая стоимость решения на Traffic inspector OC 20765 70000 27000 117765 руб (3.5) Решение на Linux + Traffpro Стоимость ОС на ядре Linux = 0 руб. Для поддержки до 300 пользователей ОС на ядре linux требуется следующая конфигурация. CPU 2. GHz Dual Core, 4 GB RAM, 5 Gb HDD Стоимость рекомендуемой конфигурации составляет 23000руб Стоимость Traffpro с поддержкой 210-252 пользователей составляет 16500руб. Общая стоимость решения на Traffpro. OC 0 16500 23000 39500 руб (3.6) Представим расчёты в виде таблицы 3.8. Таблица 3.8 Общая таблица стоимости систем. ОС 1 Стоимость платформы Стоимость ОС Продукт Цена Итог Windows Server 2003 StEd 64bit 2 27000 руб. Linux kernel 2.6.32 3 23000 руб. 20765 руб. Kerio control 239500 руб. 287265 руб. 0 руб. Traffpro 16500 руб. 39500 руб. Traffic inspector 70000 руб. 117675 руб. Пользуясь данными таблицы 1.8, определяем, что разница в цене между самой дешёвой windows версией интернет шлюза Traffic inspector и самой дорогой Kerio control, составляет от 3 до 7 раз. Выбор ОС на ядре Linux очевиден. ЗАКЛЮЧЕНИЕ Подводя итоги выполненного дипломного проекта, в качестве основных его результатов можно отметить следующие. Локальные сети и Интернет глубоко интегрировались в деятельность организаций. Работа с базами данных, удалёнными терминалами, голосом или поиск оперативной информации, заставляют искать всё более качественный и быстрый доступ в Интернет. Порой для полнофункциональной работы организаций, требуется обеспечивать сетевую безопасность, путём внедрения виртуальных частных сетей VPN. Обеспечивать связь с филиалами, расположенными в других городах, и объединением их в единый VLAN сегмент, обеспечивая взаимодействие с установленными программами. С учётом таких запросов организации, занимающиеся проектированием локальных сетей, уделяют особую роль поиску решений, способных эти запросы удовлетворить. В результате было выработано следующее решение. . В данном дипломном проекте разработана локальная сеть, способная предоставить качественный доступ, безопасность сетевого окружения для 300 пользователей за счёт: внедрения не требовательного к ресурсам программного обеспечения, позволяющее динамически управлять входящими интернет каналами, предотвратить нецелесообразное использование рабочего времени, уменьшая риск простоя офисного центра; использования масштабировать сеть в программного пределах маршрутизатора, офисного здания, позволяющего с минимумом задействованных для этого ресурсов, гибко настраиваться под изменение поставленных задач; использования активного коммутационного оборудования, способного изолировать физические сегменты на логическом уровне (создать VLAN подсети), предотвращая несанкционированный доступ из вне; увеличения общей пропускной способности сети, за счёт уменьшения широковещательного домена, как следствие паразитного трафика; использования операционной системы на ядре Linux, способной маршрутизировать проходящий трафик, на уровне более дорогих аппаратных маршрутизаторов; разработки специального программного обеспечения, способного после интеграции оборудования в локальную сеть сократить время на его администрирование; . Получена экономическая выгода за счёт: экономии на операционной системе и выбора свободно распространяемого ПО; выбора активного оборудования без лишних опций, выгодно отличающегося по цене от конкурентов, способного в полной мере выполнять поставленные задачи; приобретения более дешёвой серверной платформы с характеристиками, удовлетворяющими требования ОС маршрутизатора; использования ПО, необходимого для эффективного использования сети и выгодно отличающегося по цене по сравнению с конкурирующими продуктами; Разработанные в ходе выполнения дипломного проекта решения в полном объёме использованы для создания локальной сети офисного центра «Империал». При незначительных модификациях, система может быть перенесена на более крупные объекты инфраструктуры, позволяя удовлетворить современные потребности в части качественного доступа в глобальную сеть. СПИСОК ИСПОЛЬЗУЕМЫХ ИСТОЧНИКОВ 1. Олифер В.Г. и Н.А. «Компьютерные сети», СПб: Питер, 2001г. - 672с 2. Олифер В.Г. и Н.А. «Компьютерные сети. Принципы, технологии, протоколы», СПб: Питер, 2000г. - 635с 3. Михаил Гук «Аппаратные средства локальных сетей. Энциклопедия», СПб:Питер, 2002г. - 576c. 4. Денис Колисниченко. «Администрирование Unix-сервера и Linux-станций», СПб: Питер, 2011г.-452с 5. Адельштайн Том, Любанович Билл. «Системное администрирование в LINUX», СПб: Питер, 2011г.-765с 6. Вегешна Шринивас. «Качество обслуживания в сетях IP», Москва, Издательский дом «Вильямс», 2003г. 708с 7. Новиков Ю.А., Кондратенко С.В. «Локальные сети: архитектура, проектирование», М.: Эком, 2001г. - 312с. 8. Леммл Т. «CCNP. Маршрутизация. Учебное руководство», М.:Лори,2002.-444с 9. Леонов В. «Команды Linux» - М.: ЭКСМО, 2011г. - 576с. 10.Джесси Рассел. «Виртуальные локальные сети» - М.: ЭКСМО, 2011г. - 672с. 11.Михаил Гук. «Сети NetWare 3.12 - 4.1 книга ответов» - СПб: Питер, 1996г. 12.Нанс Б.Рофаэль В. «Компьютерные сети.» - М.: Редакция БИНОМ, 1996г. 13.Колисниченко Д.Н. «Разработка Linux-приложений»- СПб: Питер, 2011г.-476с 14.Хант К. «Серия «Для специалиста»: Персональные компьютеры в сетях TCP/IP.» - Киев: BHV, 2007г. 15.Чаппелл Л.А., Хейкс Д.Е. «Анализатор локальных сетей NetCracker.» - М.: ЛОРИ, 2006г. 16.Бутаев М.М. «Моделирование сетей ЭВМ: учеб.-метод. Пособие» - Пенза: Изд-во Пенз. гос. ун-та, 2007. - 56 с. 17.Кравец О. Я. «Практикум по вычислительным сетям и телекоммуникациям» 2-е издание, Воронеж, 2006г. - 156с. 18.Учебное пособие: Коммутаторы локальных сетей D-Link. 19.Материалы для тренингов D-Link. 20.Документация установки и настройки Traffpro. http://traffpro.ru ПРИЛОЖЕНИЯ ПРИЛОЖЕНИЕ 1 Поэтажный план здания. Рисунок П.1 План 1-го этажа Рисунок П.2 План 2-го этажа Рисунок П.3 План 3-го этажа. ПРИЛОЖЕНИЕ 2 Техническое задание на проектирование ЛВС Техническое задание на выполнение работ по созданию локальной вычислительной сети и настройке оборудования для доступа к сети Интернет арендаторов .1 Общие сведения Работы по проектированию локальной вычислительной сети производятся в соответствии с документами: утвержденное Техническое Задание на проектирование локальной вычислительной сети; договор на проектирование локальной вычислительной сети. Сроки и этапы выполнения работ по проектированию локальной вычислительной сети определяются договором на выполняемые работы. .2 Назначение и цели создания локальной вычислительной сети Локальная вычислительная сеть предназначена для организации среды передачи информации в офисном центре «Империал». Описанные в техническом задании требования должны использоваться в качестве основы при проектировании локальной вычислительной сети .3 Требования к локальной вычислительной сети .3.1 Требования к локальной вычислительной сети в целом Локальная вычислительная сеть должна включать следующие компоненты: информационная кабельная подсистема с пропускной способность 100 Мб/с; активное оборудование (коммутаторы, маршрутизаторы); Информационная кабельная подсистема должна строиться в соответствии с требованиями стандарта ISO/IEC 11801 Class D, категория 5е. Общее количество точек - 42. Максимальная длина кабеля от информационного порта RJ45 до коммутационной панели не должна превышать 90 м. Локальная вычислительная сеть в целом должна соответствовать категории не ниже 5Е, все комплектующие (кабель, розетки, коммутационные панели, соединительные шнуры) должны соответствовать категории не ниже 5е. Каждое офисное помещение должно состоять из информационной розетки RJ-45 в количестве 1 штука. Для создания локальной вычислительной сети необходимо использовать только высококачественные компоненты, которые прошли стопроцентное тестирование в соответствии с требованиями ISO 9001 (ГОСТ 40.9001-88). Все кабельные системы локальной вычислительной сети должны быть выполнены с учётом требований по физической защите трасс от повреждения включающих: прокладку кабеля за подвесным потолком, за гипсокартоновыми стенами, в кабель-каналах. крепление кабеля по всей трассе с помощью специальных стяжек по всей длине. Оборудование ЛВС и схемы его соединений должны обеспечивать двойное резервирование каналов передачи данных . .3.2 Общие требования к информационной кабельной подсистеме Все порты RJ-45 расположенные на коммутационной панели в коммутационном шкафу должны быть промаркированы таким способом, что бы их можно было однозначно идентифицировать. Маркировка должна быть выполнена типографским способом или при помощи принтера. .3.3 Требования к активному оборудованию. Оборудование должно функционировать 24 часа в сутки, 7 дней в неделю, без учета времени необходимого для проведения регламентных работ в соответствии с рекомендациями производителя. Оборудование должно иметь возможность для установки в 19'' коммутационный шкаф. Технические требования к активному оборудованию. Маршрутизатор - должен быть выполнен на платформе с установленной операционной системой Linux и ядром не ниже 2.6 с функцией биллинга. Требования к маршрутизатору сведены в таблице П.1. Таблица П.1 Технические требования к серверу. Процессор Память Жесткий диск Ethernet порты Производительность в режиме межсетевого экрана Поддержка EoIP туннелей Поддержка PPPoE туннеей Поддержка PPTP туннелей Поддержка L2TP туннелей Поддержка OVPN туннелей Поддержка VLAN интерфейсы Правила брандмауэра P2P NAT правила Активных пользователей Хот-Спот Число портов активного Intel core не ниже 2000 Ггц не менее: 4096 MB DDRIII не менее: 50Гб не менее: двух 10/100/1000 Mbit/s Ethernet портов с поддержкой Auto MDI/X не менее 1 Гбит/с не ограничено Не менее 300 Не менее 300 Не менее 300 не ограничено не ограничено не ограничено не ограничено 200 оборудования должно обеспечивать функционирование всех офисных помещений и иметь дополнительный запас не менее 10%. Требования к коммутатору сведены в таблице П.2. Коммутатор - уровня L2 Таблица П.2 Технические требования к маршрутизатору. Кол-во портов Gigabit Ethernet 10/100/1000 Кол-во портов SFP Пропускная способность Системная память memory Объем буфера пакетов Встроенная флэш-память Размер базы данных адресов Число VLAN не менее: 48 порта не менее: 4 слота не менее: 17 Гбит/сек; 13 Mpps не менее: 64 Мбайт не менее: до 0.75 Мбайт не менее: 16 Мбайт не менее: 8000 MAC-адресов не менее: 1024 Число очередей Число маршрутизируемых VLAN не менее: 8 не менее: 32 .3.4. Требования к кабель-каналам, информационным и электрическим розеткам. Для реализации проекта исполнитель самостоятельно выбирает производителя кабельной системы. Тип и размер кабель канала для горизонтальной кабельной подсистемы должен быть одинаков во всех помещениях. .3.5. Требования к коммутационной системе. Серверное помещение, оснащается телекоммуникационным шкафом 6U. К данному шкафу подводятся кабеля вертикальных и горизонтальных кабельных систем. Так же в нем должно быть установлено активное оборудование. В шкафу необходимо придерживаться следующего расположения. Сверху вниз: медное активное оборудование, сервера, источники бесперебойного питания. .3.6. Требования к электропитанию и заземлению Система электропитания рабочих мест ЛВС представляет собой выделенную распределительную электрическую сеть 380/220В, 50Гц, которая подключается к общей системе электроснабжения здания в центральном распределительном устройстве. Система электропитания должна быть выполнена по 5-ти проводной схеме (TN-C-S) в магистральной части и по 3-проводной схеме в групповой части. .3.7 Надежность Оборудование в составе локальной вычислительной сети должно обеспечивать постоянство физических характеристик канала между портом активного оборудования и абонентским оборудованием вне зависимости от трассы коммутации на панелях переключения распределительных узлов. Используемые в локальной вычислительной сети оборудование и материалы не должны допускать изменений физико-химических параметров в результате воздействия окружающей среды в течение всего гарантийного срока эксплуатации при условии соблюдения заданных производителем условий эксплуатации. В случае выхода из строя любого из каналов должна обеспечиваться возможность перехода на использование альтернативного канала. .3.8. Безопасность Используемое возможности оборудование нанесения вреда и материалы здоровью или не должны допускать поражения персонала электрическим током, или электромагнитными излучениями при условии соблюдения правил эксплуатации оборудования. .3.9. Однородность Применить унифицированные типы кабелей и разъемов в рамках рабочих мест, горизонтальной подсистемы, подсистем внутренних магистралей, а также распределительных узлов, вне зависимости от типов подключаемого абонентского оборудования и активного оборудования различных подсистем. .3.10. Расширяемость Обеспечить возможность увеличения абонентской емкости локальной вычислительной сети за счет включения дополнительных линий горизонтальной подсистемы, без необходимости прокладки новых кабельных трасс, кабельных каналов, нарушения интерьера рабочих помещений, а также без остановки работы персонала объекта.