Материал: Выбор сетевых устройств (Вендор Cisco)
· Полнофункциональная фильтрация Layer3 и Layer4 (ACL - access control list). Ограничение доступа по IP (layer 3) и номеру порта tcp/udp (layer 4)
· Управляемый дуплекс на всех портах (авто, полу-дуплексный и полнодуплексный режимы)
· Возможность автоматического или принудительного перехода на 10base-T и 100base-Tx на всех медных портах
· Высокоскоростная внутренняя коммутация
· Полная поддержка VLAN включая 802.1q (256 active VLANs, 4094 Vlan ID)
· Поддержкаа Voice VLAN и 802.1x
· Поддержка транковой технологии Fast EtherСhannel для создания единого логического соединения с пропускной способностью 800 Мб/сек
· Поддержка протокола Cisco Group Management Protocol (CGMP)
· Развитые функции по обеспечению безопасности
· Встроенное программное обеспечение Cisco IOS обеспечивает наибольшие функциональные возможности для конечной интеграции активного оборудования, включая создание высокоскоростных магистралей
· Наличие flash-памяти и конфигурации по умолчанию позволяет включать коммутаторы в работу с минимальным количеством изменений, а также позволяет сохранять конфигурацию устройства при отключении питания
· Режим автоконфигурирования облегчает процесс ввода в эксплуатацию новых коммутаторов. Это обеспечивается копированием конфигурации на несколько коммутаторов по сети с одного загрузочного сервера
· Протокол Cisco Discovery Protocol (CDP) позволяет станции сетевого управления с программным обеспечением CiscoWorks автоматически распознавать коммутатор в составе вычислительной системы
· Поддержка четырех групп RMON
· Управление устройством через платформу CiscoWorks Windows позволяет использовать единый интерфейс управления для всех устройств Cisco (маршрутизаторов, коммутаторов, концентраторов) в составе вычислительной системы
· Встроенный web-сервер для управления
· Приоритезация трафика (802.1p)
· Возможность объединения коммутаторов Cisco Catalyst серий 2900-XL, 3500-XL, 2950, 1900 в кластер
· Режим security - привязка до 132 MAC-адресов к порту вручную
· Управление потоками трафика по стандарту 802.3x
· Поддержка протокола Spanning Tree - увеличение надежности используя избыточную топологию
· Возможность объединять порты в транки для увеличения скорости
· Возможность обновления прошивки
· Возможность
установки в 19" стойку (Rack-mount)
Коммутатор Cisco Catalyst WS-C2960-24TT
Cisco Catalyst 2960 - новое семейство коммутаторов второго уровня с фиксированной конфигурацией, которое позволяет подключать рабочие станции к сетям Fast Ethernet и Gigabit Ethernet на скорости среды передачи, удовлетворяя растущие потребности в пропускной способности на периферии сети. Для агрегации применяются комбинированные гигабитные uplink-порты, которые могут объединяться в единый канал по технологии GigabitEtherChannel.
Данная серия коммутаторов ориентирована в первую очередь на предприятия малого и среднего бизнеса, а также филиалы крупных компаний для решения задачи реализации уровня доступа к сети. По сравнению с популярной серией коммутаторов Catalyst 2950 модели семейства 2960 обеспечивают более широкий набор функций обеспечения безопасности и качества обслуживания, а также управление полосой пропускания. Для упрощения задачи конфигурирования в коммутаторах серии Catalyst 2960 предусмотрена функция Smartports, позволяющая выполнить основные настройки порта коммутаторов, основываясь на его назначении. Cisco Catalyst 2960 обеспечивают потребность в передаче данных со скоростью 100 Мбит/сек и 1 Гбит/сек, позволяют использовать LAN сервисы, например, для сетей передачи данных, построенных в филиалах корпораций. Семейство Catalyst 2960 позволяет обеспечить высокую безопасность данных за счет встроенного NAC, поддержки QoS и высокого уровня устойчивости системы.
Основные особенности:
· Высокий уровень безопасности, усовершенствованные списки контроля доступа (ACL);
· Организация контроля сети и оптимизация ширины канала с использованием QoS, дифференцированного ограничения скорости и ACL.
· Для обеспечения безопасности сети коммутаторы используют широкий спектр методов аутентификации пользователя, технологии шифрации данных и организации разграничения доступа к ресурсам на основании идентификатора пользователя, порта и MAC адресов.
· Коммутаторы просты в управлении и конфигурировании
· Доступна функция
авто конфигурации посредством Smart портов для некоторых специализированных
приложений.
Linksys WRT300N
Linksys WRT300N - беспроводной маршрутизатор с 4 портами Ethernet и встроенной точкой доступа 802.11n MIMO). В стандарте 802.11n используются четыре новейшие технологии, применение которых обеспечивает увеличение скорости в 12 раз по сравнению со стандартом Wireless-G (802.11g). Технология Wireless-N позволяет одновременно работать в Интернете, смотреть видео высокого разрешения, слушать потоковую музыку, организовывать совместный доступ к файлам, совершать телефонные вызовы через Интернет и участвовать в сетевых играх.
Благодаря применению новой технологии передачи сигнала, зона охвата в сети Wireless-N в 4 раза превышает зоны охвата сетей, построенных по предыдущим технологиям, что позволило увеличить силу сигнала, практически устранить мертвые зоны и обеспечить непрерывную связь в любой точке дома или офиса, даже если ранее она была там недоступной. Наиболее удобная особенность оборудования Linksys для сетей Wireless-N заключается в том, что оно обладает совместимостью со всем существующим оборудованием стандартов Wireless-B и Wireless-G.
Aironet 1200 Access Point
Точка доступа Cisco Aironet 1200 Access Point является центральным компонентом беспроводной сети передачи данных и обеспечивает связь мобильных клиентов сети между собой и с клиентами, подключенными к обычной проводной локальной сети.
Устройство может работать как по технологии Wi-Fi (IEEE 802.11n, диапазон 2,4 ГГц), так и по технологии Wi-Fi5 (IEEE 802.11a, диапазон 5 ГГц). Это позволяет осуществить постепенный переход от стандарта 802.11b на новый стандарт 802.11a с сохранением уже сделанных инвестиций в инфраструктуру беспроводного доступа.Aironet 1200 Access Point имеет два посадочных места CBUS для установки радиоблоков диапазонов 2,4 ГГГц и 5 ГГц в любом сочетании (поддерживаемая скорость до 56 Мбит/с) и порт 10/100 BaseT для подключения к локальной сети.
В дальнейшем возможно использование радиоблоков, поддерживающих следующий стандарт беспроводной связи - 802.1g.
Питание на устройство может
подаваться как от адаптера переменного тока, так и по линии Ethernet используя
технологию Inline Power. При необходимости организовать беспроводной доступ на
большой территории пользователи могут выбирать самые разнообразные типы внешних
антенн диапазона 2,4 ГГц.
5. Технологии OpticFiber
и Serial
OpticFiber (Волоконно-оптический кабель) - кабель, предназначенный для передачи оптических сигналов. Средой передачи в волоконно-оптическом кабеле являются оптические волокна. Обеспечивает высокую скорость для передачи информации.
Serial:
Преимущества Serial:
. Возможность передачи на значительно большие расстояния;
. Гораздо более простой
соединительный кабель.
. Элементы безопасности
SSH (англ. Secure SHell - «безопасная оболочка») - сетевой протокол прикладного уровня, позволяющий производить удалённое управление операционной системой и туннелирование TCP-соединений (например, для передачи файлов). Схож по функциональности с протоколами Telnet и rlogin, но, в отличие от них, шифрует весь трафик, включая и передаваемые пароли. SSH допускает выбор различных алгоритмов шифрования. SSH-клиенты и SSH-серверы доступны для большинства сетевых операционных систем.позволяет безопасно передавать в незащищённой среде практически любой другой сетевой протокол. Таким образом, можно не только удалённо работать на компьютере через командную оболочку, но и передавать по шифрованному каналу звуковой поток или видео (например, с веб-камеры). Также SSH может использовать сжатие передаваемых данных для последующего их шифрования, что удобно, например, для удалённого запуска клиентов X Window System.
Большинство хостинг-провайдеров за определённую плату предоставляют клиентам доступ к их домашнему каталогу по SSH. Это может быть удобно как для работы в командной строке, так и для удалённого запуска программ.
VLAN (англ. Virtual Local Area Network) - логическая («виртуальная») локальная компьютерная сеть, представляет собой группу хостов с общим набором требований, которые взаимодействуют так, как если бы они были подключены к широковещательному домену, независимо от их физического местонахождения. VLAN имеет те же свойства, что и физическая локальная сеть, но позволяет конечным станциям группироваться вместе, даже если они не находятся в одной физической сети. Такая реорганизация может быть сделана на основе программного обеспечения вместо физического перемещения устройств.Equivalent Privacy (WEP) - алгоритм для обеспечения безопасности сетей Wi-Fi. Используется для обеспечения конфиденциальности и защиты передаваемых данных авторизированных пользователей беспроводной сети от прослушивания. Существует две разновидности WEP: WEP-40 и WEP-104, различающиеся только длиной ключа. В настоящее время данная технология является устаревшей, так как ее взлом может быть осуществлен всего за несколько минут. Тем не менее, она продолжает широко использоваться.
Использование WEP уже очень давно является нежелательным. Все Wi-Fi-оборудование, которое выпускают на рынок крупные производители, имеет в своем составе более надежные протоколы. Несколько советов о том, как же минимизировать риск взлома сети при использовании WEP.
WPA
(Wi-Fi® Protected Access) - это спецификация шифрования данных для беспроводной
сети. Она превосходит функцию безопасности WEP благодаря защите доступа к сети
за счет использования протокола EAP (Extensible Authentication Protocol), а
также обеспечивая механизм шифрования для защиты данных при передаче.
Технология WPA предназначена для использования с сервером проверки подлинности
802.1X, который распределяет различные ключи каждому пользователю. Однако ее
также можно использовать в менее безопасном режиме "Pre-Shared Key
(PSK)". Ключ PSK предназначен для домашних сетей и сетей небольших офисов,
где для всех пользователей используется одинаковый пароль. Протокол WPA-PSK
также называется WPA-Personal. Протокол WPA-PSK позволяет беспроводному
устройству Brother обмениваться данными с точками доступа при помощи способа
шифрования TKIP или AES. Протокол WPA2-PSK позволяет беспроводному устройству
Brother обмениваться данными с точками доступа при помощи способа шифрования
AES. Протокол TKIP
(Temporal
Key Integrity
Protocol) - это метод
шифрования. Протокол TKIP обеспечивает попакетное шифрование, включающее
проверку целостности сообщений и механизм повторного шифрования. Алгоритм AES
(Advanced Encryption Standard) - это одобренный Wi-Fi® стандарт надежного
шифрования. В режиме WPA-PSK/WPA2-PSK и TKIP или AES используется общий ключ
(PSK) длиной 8 - 63 символа.control lists (ACL) - списки доступа, одна из тех
технологий, которая широко используется современными маршрутизаторами, не
ограничивающимися простой проверкой адресов и продвижением пакетов. Сейчас они
выполняют инкапсуляцию, туннелирование, преобразование протоколов, действия по
обеспечению некоторой безопасности. Разнообразие каналов связи, увеличивающееся
использование сети Интернет и появление, наряду с данными, передачи голоса,
видео - все это приводит к усложнению проходящего через маршрутизатор трафика.
Проблемы безопасности, балансировки нагрузки и распределения трафика по
приоритетам поставили вопрос о необходимости фильтрации пакетов. В итоге для
этого стали применяться списки доступа различных типов. С их помощью
маршрутизатор не станет полнофункциональным межсетевым экраном, но все равно
это достаточно мощное средство для контроля за безопасным функционированием
сети.
NAT
NAT (от англ. Network Address Translation - «преобразование сетевых адресов») - это механизм в сетях TCP/IP, позволяющий преобразовывать IP-адреса транзитных пакетов.
Существует 3 базовых концепции трансляции адресов: статическая (Static Network Address Translation), динамическая (Dynamic Address Translation), маскарадная (NAPT, NAT Overload, PAT).
Статический NAT - Отображение незарегистрированного IP-адреса на зарегистрированный IP-адрес на основании один к одному. Особенно полезно, когда устройство должно быть доступным снаружи сети.
Динамический NAT - Отображает незарегистрированный IP-адрес на зарегистрированный адрес от группы зарегистрированных IP-адресов. Динамический NAT также устанавливает непосредственное отображение между незарегистрированным и зарегистрированным адресом, но отображение может меняться в зависимости от зарегистрированного адреса, доступного в пуле адресов, во время коммуникации.
Перегруженный NAT (NAPT, NAT Overload, PAT, маскарадинг) - форма динамического NAT, который отображает несколько незарегистрированных адресов в единственный зарегистрированный IP-адрес, используя различные порты. Известен также как PAT (Port Address Translation). При перегрузке каждый компьютер в частной сети транслируется в тот же самый адрес, но с различным номером порта.
Преимущества:
· Позволяет сэкономить IP-адреса (только в случае использования NAT в режиме PAT), транслируя несколько внутренних IP-адресов в один внешний публичный IP-адрес (или в несколько, но меньшим количеством, чем внутренних). По такому принципу построено большинство сетей в мире: на небольшой район домашней сети местного провайдера или на офис выделяется 1 публичный (внешний) IP-адрес, за которым работают и получают доступ интерфейсы с приватными (внутренними) IP-адресами.
· Позволяет предотвратить или ограничить обращение снаружи ко внутренним хостам, оставляя возможность обращения изнутри наружу. При инициации соединения изнутри сети создаётся трансляция. Ответные пакеты, поступающие снаружи, соответствуют созданной трансляции и поэтому пропускаются. Если для пакетов, поступающих снаружи, соответствующей трансляции не существует (а она может быть созданной при инициации соединения или статической), они не пропускаются.
· Позволяет скрыть определённые внутренние сервисы внутренних хостов/серверов. По сути, выполняется та же указанная выше трансляция на определённый порт, но возможно подменить внутренний порт официально зарегистрированной службы (например, 80-й порт TCP (HTTP-сервер) на внешний 54055-й). Тем самым, снаружи, на внешнем IP-адресе после трансляции адресов на сайт (или форум) для осведомлённых посетителей можно будет попасть по адресу #"801287.files/image015.gif">
- Протокол динамической конфигурации ЭВМ (Dynamic Host Configuration Protocol, RFC-2131, -2132, -2485, -2563, -2610, -2855, -2937, -2939, -3004, -3011, -3046) служит для предоставления конфигурационных параметров ЭВМ, подключенных к Интернет. DHCP имеет два компонента: протокол предоставления специфических для ЭВМ конфигурационных параметров со стороны DHCP-сервера и механизм предоставления ЭВМ сетевых адресов. Протокол эффективен для случая распределения адресов за Firewall, где ЭВМ в защищенной зоне все равно бессмысленно выделять реальные IP-адреса.построен по схеме клиент-сервер, где DHCP-сервер выделяет сетевые адреса и доставляет конфигурационные параметры динамически конфигурируемым ЭВМ.
Динамическое присвоение адресов
представляет собой единственный механизм, который позволяет автоматически
повторно использовать адрес, который не нужен клиенту. Таким образом,
динамическое присвоение адресов является оптимальной схемой для клиентов,
подключаемых к сети временно, или совместно использующих один и тот же набор
IP-адресов и не нуждающихся в постоянных адресах.
Заключение
В данном курсовом проекте была создана топология соединения 3-х офисов в разных частях города, выполнены настройки ip адресов, маршрутизации, безопасности, а также настройки серверов. Сконфигурированы 2 Web сервера и E-mail с сопостовлением символьных имен IP адресам. Сконфигурирован проброс портов через Linksys роутер. Настроен ZBF фаервол (Service Leg конфигурация). Хосты офис 2 получают IP адреса от внешнего DHCP сервера, также во втором офисе настроен Radius сервер для аутентификации всех роутеров по технологии SSH из первого офиса.
Было подобрано оборудование
необходимое для создания корпоративной сети, а также выбрана наилучшая топология
соединения устройств. Курсовой проект дал более подробные навыки настройки
оборудования на основе вендора CISCO
(лидера в области продажи телекоммуниционного оборудования в мире). С помощью
программного симулятора Cisco Packet Tracer 6.0.1 (данный эмулятор очень хорош
для изучения основ настроек оборудования вендора CISCO,
без опасности порчи реального оборудования) рассмотрено, а также произведена
настройка протоколов маршрутизации и гланым образом защиты устройств и
протоколов маршрутизации. Для более углубленного изучения технологий вендора CISCO
необходимо использовать графический симулятор сети GNS3,
который позволяет симулировать работу на реальном оборудовании загружая
реальные образы устройств.
Библиография
1. Олифер В.Г., Олифер Н.А. Компьютерные сети. Принципы, технологии, протоколы: Учебник для вузов. 4-е изд. - СПб.: Питер, 2010. - 944 е.: ил.
. Гук М. Аппаратные средства локальных сетей. Энциклопедия - СПб: Издательство «Питер», 2000. - 576 с.: ил.
. #"801287.files/image016.gif">
Офис 1
Офис 2
Офис 3
Приложение Б
Конфигурация устройств
Router0
!
version 12.2timestamps log datetime msecservice timestamps debug datetime msecpassword-encryption
!secret level 2 5 $1$mERr$FOYYV7exBGDf49hz04T581secret 5 $1$mERr$hx5rVt7rPNoS4wqbXKX7m0
!new-model
!authentication login default group radius noneauthentication login ssh group radius
!ssh version 2domain-name router0
!GigabitEthernet0/0address 214.1.1.1 255.255.255.252ospf message-digest-key 1 md5 ciscoaccess-group no_privat in
!GigabitEthernet1/0address 212.121.15.22 255.255.255.252ospf message-digest-key 1 md5 ciscoaccess-group no_privat in
!GigabitEthernet2/0address 216.1.1.1 255.255.255.252ospf message-digest-key 1 md5 ciscoaccess-group no_privat in
!Serial3/0address 215.1.1.1 255.255.255.252access-group no_privat inrate 4000000
!Serial4/0address 215.3.3.2 255.255.255.252access-group no_privat in
!GigabitEthernet5/0address 214.3.3.2 255.255.255.252ospf message-digest-key 1 md5 ciscoaccess-group no_privat in
!ospf 100id 1.1.1.1adjacency-changes0 authentication message-digest1 authentication message-digest4 authentication message-digest214.3.3.0 0.0.0.3 area 0214.1.1.0 0.0.0.3 area 0216.1.1.0 0.0.0.3 area 1212.121.15.20 0.0.0.3 area 450