Материал: Выбор сетевых устройств (Вендор Cisco)
Выбор сетевых устройств (Вендор Cisco)
Содержание
Введение
. Цели, задачи курсового проекта, термины
. Описание технического задания
. Выбор топологии сети и протокола маршрутизации
. Выбор сетевых устройств (Вендор Cisco)
. Технологии Optic Fiber и Serial
. Элементы безопасности и используемые механизмы
. Серверы
Заключение
Библиография
Приложения
Введение
Основной особенностью любой сетевой системы является то, что ее компоненты распределены в пространстве, а связь между ними осуществляется физически, при помощи сетевых соединений (коаксиальный кабель, витая пара, оптоволокно и т. п.), и программно, при помощи механизма сообщений. При этом все управляющие сообщения и данные, пересылаемые между объектами распределенной вычислительной системы, передаются по сетевым соединениям в виде пакетов обмена.
К сетевым системам, наряду с обычными (локальными) атаками, осуществляемыми в пределах одной компьютерной системы, применим специфический вид атак, обусловленный распределенностью ресурсов и информации в пространстве,- так называемые сетевые (или удаленные) атаки (remote или network attacks). Они характеризуются, во-первых, тем, что злоумышленник может находиться за тысячи километров от атакуемого объекта, и, во-вторых, тем, что нападению может подвергаться не конкретный компьютер, а информация, передающаяся по сетевым соединениям, С развитием локальных и глобальных сетей именно удаленные атаки становятся лидирующими как по количеству попыток, так и по успешности их применения, и, соответственно, обеспечение безопасности ВС с точки зрения противостояния сетевым атакам приобретает первостепенное значение.
А под удаленной атакой обычно
понимается информационное разрушающее воздействие на распределенную ВС,
программно осуществляемое по каналам связи. Такое определение охватывает обе
особенности сетевых систем - распределенность компьютеров и распределенность
информации. Поэтому далее будут рассмотрены два подвида таких атак - это
удаленные атаки на инфраструктуру и протоколы сети и удаленные атаки на
операционные системы и приложения. При этом под инфраструктурой сети мы
понимаем сложившуюся систему организации отношений между объектами сети и
используемые в сети сервисные службы, а под операционными системами и
приложениями - все программное обеспечение, работающее на удаленном компьютере,
которое тем или иным образом обеспечивает сетевое взаимодействие.
1. Цели, задачи курсового
проекта
Цель и задача данного курсового
проекта, научиться работать в среде Cisco
Packet Tracer
6.0.1, проектировать сеть на основе выданного задания. Обеспечить безопасность
протоколов маршрутизации, рассмотреть и обеспечить безопасность серверов,
маршрутизаторов и коммутаторов, научиться настраивать межсетевые экраны.
Главный упор необходим на изучение механизмов защиты сети.
. Описание технического задания
офис:
· IP адрес - 212.121.15.20/30
· Количество станций - 10
· 2 Vlan
Офис:
· IP адрес - 58.58.45.16/30
· Количество станций - 6
· 2 Станции по Wi-Fi (Безопасность WEP)
· Radius сервер
· Получение IP адресов по DHCP с внешнего сервера
офис:
· IP адрес - 158.56.45.20/30
· Количество станций - 7
· 5 Станций по Wi-Fi (Безопасность WPA)
· WEB сервер (внутренний)
Сервера:
· Web сервер (внешний) - 12.12.12.12/24
· NTP сервер - 41.0.0.1/8
· FTP сервер - 64.64.45.22/12
· SYSLOG сервер - 31.31.12.12/8
· DNS сервер - 112.0.0.64/24
· E-MAIL сервер - 11.1.1.1/24
Основной протокол - OSPF
Резервный - Static
Топология сети - Полносвязная
3. Выбор топологии сети и
протокола маршрутизации
Полносвязная. (Mesh topology)
Эта схема обычно представляет собой сеть связанных друг с другом устройств, обеспечивающих множественные маршруты передачи данных между всеми узлами в сети. При полной реализации полносвязной топологии (full mesh), каждый узел напрямую соединен с каждым другим из других узлов, что обеспечивает наивысшую степень отказоустойчивости. При частичной реализации полносвязной топологии (partial mesh), не все узлы связаны напрямую. Интернет - это пример сети с частичной реализацией полносвязной топологии.
Достоинства:
· Высокая отказоустойчивость
Недостатки:
· Требуются повышенные затраты на прокладку кабелей и поиск неисправностей
В наше время крайне необходимо обеспечить достаточно большую отказоустойчивость сети и поэтому в моем курсовом проекте используется полносвязная топология.
Описание протоколов маршрутизации (Основного и резервного)
Основной протокол маршрутизации (по заданию)(англ. Open Shortest Path First) - протокол динамической маршрутизации, основанный на технологии отслеживания состояния канала (link-state technology) и использующий для нахождения кратчайшего пути Алгоритм Дейкстры (Dijkstra’s algorithm).
Протокол OSPF был разработан IETF в 1988 году. Последняя версия протокола представлена в RFC 2328. Протокол OSPF представляет собой протокол внутреннего шлюза (Interior Gateway Protocol - IGP). Протокол OSPF распространяет информацию о доступных маршрутах между маршрутизаторами одной автономной системы.имеет следующие преимущества:
· Высокая скорость сходимости по сравнению с дистанционно-векторными протоколами маршрутизации;
· Поддержка сетевых масок переменной длины (VLSM);
· Оптимальное использование пропускной способности (т. к. строится дерево кратчайших путей по алгоритму Дейкстры);
Описание работы протокола:
1. Маршрутизаторы обмениваются hello-пакетами через все интерфейсы, на которых активирован OSPF. Маршрутизаторы, разделяющие общий канал передачи данных, становятся соседями, когда они приходят к договоренности об определённых параметрах, указанных в их hello-пакетах.
. На следующем этапе работы протокола маршрутизаторы будут пытаться перейти в состояние смежности со своими соседями. Переход в состояние смежности определяется типом маршрутизаторов, обменивающихся hello-пакетами, и типом сети, по которой передаются hello-пакеты. OSPF определяет несколько типов сетей и несколько типов маршрутизаторов. Пара маршрутизаторов, находящихся в состоянии смежности, синхронизирует между собой базу данных состояния каналов.
. Каждый маршрутизатор посылает объявления о состоянии канала маршрутизаторам, с которыми он находится в состоянии смежности.
. Каждый маршрутизатор, получивший объявление от смежного маршрутизатора, записывает передаваемую в нём информацию в базу данных состояния каналов маршрутизатора и рассылает копию объявления всем другим смежным с ним маршрутизаторам.
. Рассылая объявления внутри одной OSPF-зоны, все маршрутизаторы строят идентичную базу данных состояния каналов маршрутизатора.
. Когда база данных построена, каждый маршрутизатор использует алгоритм «кратчайший путь первым» для вычисления графа без петель, который будет описывать кратчайший путь к каждому известному пункту назначения с собой в качестве корня. Этот граф - дерево кратчайших путей.
. Каждый маршрутизатор строит таблицу маршрутизации из своего дерева кратчайших путей.
Резервный протокол маршрутизации (по заданию)
Статическая маршрутизация - вид маршрутизации, при котором маршруты указываются в явном виде при конфигурации маршрутизатора. Вся маршрутизация при этом происходит без участия каких-либо протоколов маршрутизации.
При задании статического маршрута указывается:
· Адрес сети (на которую маршрутизируется трафик), маска сети
· Адрес шлюза (узла), который отвечает за дальнейшую маршрутизацию (или подключен к маршрутизируемой сети напрямую)
· (Опционально) метрика (иногда именуется также "ценой") маршрута. При наличии нескольких маршрутов на одну и ту же сеть некоторые маршрутизаторы выбирают маршрут с минимальной метрикой.
В некоторых маршрутизаторах возможно указывать интерфейс, на который следует направить трафик сети и указать дополнительные условия, согласно которым выбирается маршрут (например, SLA в маршрутизаторах cisco).
Достоинства:
· Лёгкость отладки и конфигурирования в малых сетях.
· Отсутствие дополнительных накладных расходов (из-за отсутствия протоколов маршрутизации)
· Мгновенная готовность (не требуется интервал для конфигурирования/подстройки)
· Низкая нагрузка на процессор маршрутизатора
· Предсказуемость в каждый момент времени
Недостатки:
· Очень плохое масштабирование (добавление (N+1)-ой сети потребует сделать 2*(N+1) записей о маршрутах, причём на большинстве маршрутизаторов таблица маршрутов будет различной, при N>3-4 процесс конфигурирования становится весьма трудоёмким).
· Низкая устойчивость в ситуациях, когда обрыв происходит между устройствами второго уровня и порт маршрутизатора не получает статус down).
· Отсутствие динамического балансирования нагрузки
· Необходимость в
ведении отдельной документации к маршрутам, проблема синхронизации документации
и реальных маршрутов.
4. Выбор сетевых устройств
Маршрутизатор Cisco 3745
В стандартную комплектацию входит: шасси Cisco 3745, Cisco 3745-2FE-I/O, 256Mb Dram, 32Mb Compact Flash, 1 блок питания.
Серия маршрутизаторов Cisco 3700 предназначена для удаленных офисов, требующих высокого уровня интеграции сервисов. Cisco 3700 предлагает широкий набор сетевых и голосовых интерфейсов в одном компактном устройстве и позволяет значительно улучшить качество передачи голосового трафика и трафика данных. При использовании этой платформы пользователи, благодаря новым высокопроизводительным модулям расширения (HDSM) и сервисным модулям (AIM), получают устройство, интегрирующее высокопроизводительную маршрутизацию/ коммутацию с поддержкой WAN соединений.3700 предоставляет решение, способное поддерживать большое количество традиционных устройств телефонии совместно с устройствами IP-телефонии. Использование 16- или 36-портовых EtherSwitch модулей с поддержкой Inline Power, аналоговых и цифровых интерфейсов, а также голосовых возможностей Cisco IOS позволяет совместить отдельные сети PBX телефонии и передачи данных, объединив их в одну. Значительная экономия средств достигается за счет финансирования одного решения, а не двух параллельных, и, соответственно, за счет уменьшения затрат на развертывание, техническую поддержку и обучение персонала.
Особенности Cisco 3700
Универсальность и защита инвестиций
· Модульные маршрутизаторы серии Cisco 3700 используют интерфейсные карты, совместимые с сериями Cisco 1600, 1700, 2600, 3600, поддерживается возможность обновления сетевых модулей.
· Интегрированная поддержка LAN/WAN, большое количество слотов для установки NM и HDSM модулей, а также присутствие AIM и WIC слотов расширения позволяют гибко изменять аппаратную конфигурацию в зависимости от требований заказчика.
· Гибкость конфигурации стандартной и IP-телефонии, возможность постепенного перехода от традиционной к IP-телефонии обусловлена совместимостью более чем с 90% традиционного телефонного оборудования и системами TDM PBX, а также поддержкой голосовыми шлюзами большого количества аналоговых и цифровых соединений.
· Операционная система Cisco IOS, применяемая в маршрутизаторах серии 3700, по своим возможностям близка к установленной в сериях 2600 и 3600. Качество сервиса, управление полосой пропускания, механизмы сетевой безопасности совместно с постоянными обновлениями Cisco IOS гарантируют эффективное решение для построения компьютерных сетей.
Масштабируемость
· В маршрутизаторах серии Cisco 3700 увеличено количество AIM (2) и WIC (3) слотов. Специально встроенные слоты расширения для поддержки дополнительных аппаратных сервисов, WAN и backup соединений увеличивают производительность и реализуют более гибкие решения.
· Увеличено количество памяти, до 32 Мб Compact Flash и 128 Мб DRAM.
· Поддержка модулей High Density Service Modules (HDSM) позволяет развертывать высокопроизводительные сервисы и представляет более высокую плотность портов.
Отказоустойчивость
· Поддержка дополнительного источника питания - Redundant Power Supply (внешнего для Cisco 3725, встроенного в Cisco 3745) - уменьшает время нестабильной работы.
· Установка вызовов IP-телефонии на маршрутизаторе (Survivable Remote Site Telephony).
· Режим горячей замены (только 3745), NM модули, RPS, вентилятор могут быть заменены при работающем маршрутизаторе. Заменяемые NM должны быть идентичными по функциональности.
· Поддержка аппаратных обновлений материнской платы, платы ввода/вывода, источника питания и вентилятора (только 3745) значительно увеличивает возможности технического обслуживания.
Простота управления
· Cisco Works2000 и Cisco View. Позволяют управлять всеми компонентами сетевого устройства, такими как сетевые модули и WAN интерфейсные карты, с одной станции сетевого управления, обслуживающей несколько устройств, что снижает стоимость эксплуатации.
· Cisco Voice Manager. Средство управления, построенное на базе Java, позволяет сократить затраты на установку и управление мультисервисными решениями.
· Cisco Call Manager. Cisco 3700 поддерживает работу с Cisco Call Manager, используя протокол H.323. Поддержка протокола MGCP будет добавлена в следующих релизах Cisco IOS.
Модельный ряд
Модельный ряд Cisco 3700 состоит из двух модульных маршрутизаторов - Cisco 3725 и 3745, отличающихся друг от друга производительностью, наличием доступных NM слотов и возможностями восстановления после сбоев. Помимо двух фиксированных FastEthernet интерфейсов, каждая модель содержит три слота для WAN интерфейсных модулей (WIC), два (3725) или четыре (3745) слота для сетевых модулей (NM) и два внутренних слота для установки сервисных модулей (AIM), предоставляющих дополнительные сервисы по передаче и обработке данных и голоса. Вместо сетевых модулей возможна установка одного (3125) или одного/двух (3745) HDSM модулей соответственно.
Характеристики Cisco 3700
Тип управляющего ПО
Cisco IOS Software (minimum Cisco IOS release - 12.2(8) T)
Фиксированные интерфейсыинтерфейсы - 2 порта 10/100 BaseTXинтерфейсы
Дополнительный асинхронный интерфейс AUX EIA/TIA 232 - до 115.2 кбит/c
Другие
Консольный порт
Количество слотов3745 - 3 для WIC, 4 для NM или 2 HDSM, 2 для AIMмодули
· Высокоскоростные синхронные интерфейсы, до 2 Мбит/c (1 портовая карточка) и до 8 Мбит/c (2-х портовая карточка)
· Низкоскоростные синхронно/асинхронные интерфейсы до 128 кбит/c в синхронном режиме и до 115.2 кбит/c в асинхронном, 2 порта
· ISDN BRI S/T для коммутируемых/выделенных линий, 1 порт
· ISDN BRI U с интегрированным оконечным устройством NT1, для коммутируемых/выделенных линий, 1 порт
· 4-х проводный 56/64 кбит/c DSU/CSU, 1 порт
· 1 порт Т1 с DSU/CSU
· Аналоговые модемы с поддержкой V.90, 1 или 2 модема
· Высокоскоростной интерфейс широкополосного асимметричного доступа ADSL