/>/>/>1. ВВЕДЕНИЕ
В настоящее время всесовременные крупные компании (со штатом сотрудников от 100 человек) проводятчеткую политику развития IT структуры компании. Основной частью этой структурыявляется разработка и внедрение корпоративной сети. Обычным явлением длякрупной корпоративной сети является наличие централизованного администрированиявсех филиалов, а также построение распределенной сети, позволяющей связыватьмежду собой как различные филиалы, так и отдельных работников. Так же для такихорганизаций свойственно формирование отдельных групп пользователей, имеющихуникальные способы доступа (через беспроводные сети, через выделенные каналы ит.п.).
Настоящая курсовая работапредназначена для создания проекта корпоративной сети крупной компании CorpKAM.
/>/>/>
2.АНАЛИЗ ИСХОДНЫХ ДАННЫХ
/>/>/>
2.1 Исходные данные
2.1.1 Структура компании
/>
Рис.1 Структура подразделенийкорпорации CorpKAM
Корпорация имеет главныйофис (здание А) и два филиала:
- производствопродукции Manufacture (M) – здание B;
- отделисследований и новейших разработок Research (R) – здание C;
Структура здания А:
1 этаж. Подразделениякорпорации:
- отдел кадров иподготовки специалистов Human Resource (HR);
- отдел маркетинга Sales (S);
- службаинформационных технологий и технической поддержки Information Technologies (IT).
2 этаж. Подразделения:
- руководствокорпорацией Executive(E);
- бухгалтерия Accounting (Acc);
- отдел экономики ипланирования Business (Bus).
На 3, 4, и 5 этажахрасположено проектное отделение, при этом:
3 этаж. Проектный отдел Project 1 (P1);
4 этаж. Проектный отдел Project 2 (P2);
5 этаж. Проектный отдел Project 3 (P3).
Для 2-х групп сотрудниковотдела маркетинга необходимо организовать защищенную беспроводную сеть свыходом в интернет.
Структура здания B:
В — одноэтажное здание,где производятся изделия двух типов, одно из них на площадях М1, другое — наплощадях М2. Кроме того, имеется автоматизированный склад готовой продукции Production (P). Филиал Manufacture (M) (здание В) расположен в другомгороде, удаленном на значительное расстояние, и соединен с главным офисомканалом Т1.
Структура здания С:
ЗданиеС связывается с главным офисом через Internet маршрутизаторами с функцией “дозвон по требованию”,используя подключение ADSL.Вдвухэтажном здании С филиала отдел Research занимает два этажа, при этом на 1 этаже расположена рабочаягруппа Research 1 (R1), на 2 этаже группа Research 2 (R2).
Такжеимеется небольшой штат сотрудников корпорации в Европе, которые соединяются сглавным офисом по каналам ISDN.Несколько сотрудников работают в своих домашних офисах SOHO, подключающихся к главному офису по коммутируемымканалам связи PSTN Dial-up 56Кб/с.
/> />
Рис 2. Схема расположениякорпорации CorpKAM
2.1.2 СОСТАВ ИСХОДНЫХ ДАННЫХ ТРЕБОВАНИЙ
Для определения исходных данных определяем, что номерварианта N=5.
В качестве исходныхданных берется достаточность полосы пропускания каналов передачи данных (Т1, ISDN, ASDL) для обеспечения сетевого трафика судовлетворительным клиентским откликом.
Критерием расположениясерверов является минимизация служебного трафика.
Основныетехнологии — Ethernet по стандарту 100/1000BASE-T (навитой паре cat5 и выше) и FDDI.
Каждое подразделениекорпорации имеет свой конфиденциальный сервер приложений, доступ к которомумогут иметь только сотрудники соответствующего подразделения.
Для внешних IP_интернет адресов используется диапазонадресов (Public_IP) 131.107.х.0/24, где х=50*G+N G={1, 2, 3} – номер группы, N- номер варианта. Таким образом,имеем x=50*1+5=55 и диапазон 131.107.55.0/24.
Для диапазона внутреннихадресов (Private_IP) используется зарезервированный ICANN диапазон адресов 10.55.0.0/16
ВеличиныK = 5, L = 1, N = 5, G = 1.
Таблица 1 Поэтажноерасположение рабочих групп и количество рабочих станций трёх проектных отделовв здании АОТДЕЛ Project 1 Project 2 Project 3 ЭТАЖ Число рабочих групп (комнат) Число рабочих станций в группе, не более Число раб. гр. Число раб. ст. Число раб. гр. Число раб. ст. Этаж 1 20 10 Этаж 4 13 16 Этаж 5 9 17
В таблице 3 приведеныданные по количеству рабочих групп и рабочих станций в одноэтажном зданиифилиала В Manufacture.
Таблица 2 Количестворабочих групп и рабочих станций в одноэтажном здании филиала В ManufactureОТДЕЛ Manufacture Подразделение Число рабочих групп (комнат) Число раб. станций в группе, не более M1 25 10 M2 16 22 P 10 37
Таблица 4 Поэтажное числогрупп и рабочих станций в здании С филиала ResearchОТДЕЛ Res 1 Res 2 ЭТАЖ Число рабочих групп (комнат) Число рабочих станций в группе, не более Число раб. групп Число раб. ст. Этаж 1 9 20 Этаж 2 6 10
Таблица 5 Данные общекорпоративных службСлужба Human Resource, IT gr., Sales Manag. Accounting Business Параметр К Число рабочих групп (комнат) Число рабочих станций в группе, не более Число раб. гр. Число раб. станций в раб. гр. Число раб. гр. Число раб. ст. в раб. гр. 5 5 8 4 13 3 7
Детально проработатьреализацию служб и протоколов VPN-L2TP/IPSec, используядля построения сети оборудование фирмы 3Com.Требования
При выполнении работывыполните также следующие требования:
- в качестве службыкаталогов корпоративной сети использовать Active Directory;
- предоставитьдоступ к размещенному в головном офисе Web и FTP серверам корпорации CorpKAM как пользователям Интернета, так и пользователямвнутренней корпоративной сети (intranet) в любое время в любой день недели;
- изолироватькорпоративную сеть от Интернета, кроме Web и FTP-сервера;
- изолироватьвнутреннее пространство имен;
- защитить вседанные, пересылаемые между головным офисом и филиалом Research;
- каждоеподразделение должно иметь свой конфиденциальный сервер приложений;
- обеспечить защитуконфиденциальных данных при пересылке в подразделениях корпоративной сети сиспользованием IPSec;
- обеспечить защитуконфиденциальных данных при пересылке через Интернет с использованием VPN;
- обеспечитьзащищенные подключения к корпоративной сети удаленных пользователей потелефонным линиям (ASDL/ISDN);
- обеспечить защитубеспроводных сетей WLAN;
- обеспечитьпроведение аудио и видеоконференций (*);
- обеспечитьнадежную работу соединений путем введения дополнительных, резервных маршрутныхподключений (*);
- предусмотретьмеры по снижению сетевого трафика, вызываемого потоковыми аудио ивидеоконференциями (*);
- выполнить оценкустоимости оборудования и сопутствующего ПО.
* — необязательное (ножелательное) для выполнения.
3. ФИЗИЧЕСКОЕПРОЕКТИРОВАНИЕ СЕТИ
Вфизическое проектирование сети включается подбор оборудования, проектированиерасположения оборудования на этажах, а также выбор ПО, которое будетиспользовано при построении сети.
3.1 Геометрическиехарактеристики зданий
Дляправильной оценки количества устанавливаемого оборудования и монтируемых линийнеобходимо иметь представление о геометрических параметрах здания, в которомосуществляется монтаж. Так как ТЗ не содержит данных для этого, примем, что:
— зданияимеют форму параллельного параллелепипеда;
— еслине оговорено иное, то каждое подразделение располагается на своем этаже;
— расчетвыполняется из наихудших условий труда – что бы рабочее место каждогосотрудника удовлетворяло минимальным санитарным нормам (4 м/>/человека);
— ввидутого, что размер одной РГ меняется по заданию от 7 до 22 РС в РГ, то будемсчитать, что площадь РГ с запасом в 50% на расширение сети равна 1,5*22*4=132 м/>. Учитываявозможности по расширению, а также то, что человеку реально нужно дялорганизации рабочего места больше 4 м/>, будем считать, что в РГ 30 РС.
— распределение оборудования по этажу выполняется так, что бы обеспечитьподключение РГ в любой точке этажа.
Длягеометрических расчетов применим следующую методику расчета, основанную нагеометрической оптимизации.
/>
3.1.1 Модель рабочейгруппы (РГ)
Под РГпонимается комната здания (или несколько смежных комнат здания), в которойрасположены РС. Так как порядок расположения РС неизвестен, то считаем, что ониравномерно распределены по комнате (смежным комнатам). Для простоты расчетовсчитаем, что РГ имеет прямоугольную форму. Как будет показано ниже, можно прирешении задачи о средней длине ЛС внутри РГ можно перейти от прямоугольнойформы РГ к квадратной без потери общности. Так же не известно расположение РГдруг относительно друга, поэтому считаем, что на каждую РГ выделяется одинкоммутатор (или коммутационный узел из нескольких коммутаторов).
В силутого, что по заданию РГ размещены на существенном расстоянии друг от друга,необходимо предусмотреть возможность их объединения коммутаторамигоризонтального подуровня ГП. Введем в рассмотрение модель такого подключения.
Допустим,что от коммутатора РГ к коммутатору ГП идет одна или несколько ЛС, объединенныхв один канал связи КС. Необходимо установить, как именно геометрическирасположить коммутаторы и линии связи, что бы общая стоимость такогоподключения была минимальной. Для простоты модели, а так же исходя из реальныхконструкций зданий, считаем, что ЛС можно прокладывать только под прямым углом(рисунок 1).
/>
Рисунок1. Модель №1 подключения РГ к ГП
Нарисунках 1 и 2 X и Y – расстояние между коммутаторами ГП и РГ по длине иширине здания соответственно, N*M – габариты РГ, W и L –габариты прямоугольной области, противоположными точками которых являютсякоммутатор ГП и наиболее удаленная от него РС РГ. Габариты W и Lописывают так называемую зону охвата коммутатора ГП и будут использованы в п.3.1.2 при построении математической модели ГП.
Притаком расположении коммутатора РГ в РГ имеем среднюю длину ЛС между РС икоммутатором как:
/> (1)
Считается,что длина ЛС изменяется от 0 (РС расположена около коммутатора) до (N+M) –(РС расположена в противоположном углу от коммутатора РГ).
Рассмотримдругое расположение коммутатора РГ (рисунок 2). Коммутатор РГ расположен вцентре РГ. Это увеличивает расстояние до коммутатора ГП на (N+M)/2,а средняя длина ЛС внутри РГ равна:
/> (2)
Получается,что расположение коммутатора не влияет на среднюю длину ЛС внутри РГ, но влияетна длину ЛС между коммутаторами РГ и ГП, увеличивая ее с (N+M)метров до 1.5*(N+M) метров.
/>
Рисунок2. Модель №2 подключения РГ к ГП.
Дляснижения стоимости РГ и стоимости ее подключения к ГП необходимо
/> и />
Так какмы не можем повлиять на габариты РГ, то мы можем только минимизировать длину ЛСмежду коммутаторами РГ и ГП, поэтому для дальнейшей работы выбираем модель РГ№1.
Изформул (1) и (2) видно, что
/>
зависитне от конкретных значений габаритов РГ, а от периметра РГ, поэтому можнозаменить при расчете средней длины ЛС в РГ N+M на2Z, то есть представить РГ в виде квадрата со стороной Z.
Вдопущениях приведены оценки габаритов РГ. Если взять в первом приближении, чтоРГ имеет квадратную форму, то сторона квадрата Z будетсоставлять примерно 11-12 метров. Реально получается, что Z неменее 15-17 м (увеличение номинальных габаритов РГ на 25-30 % позволяет учестьособенности индивидуальной проводки внутри каждой РГ, в том числе проводку вкоробах, под потолком, петли в коробах и т. д.).
Установимзависимости между величинами X, Y и Z для того, что бы в дальнейшем оценивать суммарнуюдлину ЛС, используемых при подключении РГ к коммутатору ГП.
Исходяиз того, что сеть должна иметь минимальную стоимость, то выбираем в качестве ЛСкоммутатора ГП и РГ UTP cat5. Это накладывает ограниченияна величины X+Y
/> (3)
Полученныезависимости (3) позволяют оценить, можно ли вообще подключить РГ к ГП, и еслида, то определить, какая будет суммарная длина ЛС. Оценим длину ЛС, необходимыхдля образования РГ и ее подключения к коммутатору ГП
/>(4)
Выводы
1)Средняя длина ЛС внутри РГ не зависит от габаритов РГ, а зависит только отпериметра РГ (1). Поэтому можно взять в качестве математической модели РГквадрат со стороной Z=(N+M)/2. Если Z
2)Оценка совокупной длины ЛС, необходимой для образования РГ и подключения ее ккоммутатору ГП, производится по формуле (4).
/>
3.1.2 Модельгоризонтального подуровня (ГП)
Для ГПэтажа характерно, что имеется небольшое количество межэтажных переходов (1-2 наздание), к которым необходимо подвести коммуникации со всего этажа. Так как взадании не уточнено, каким именно межэтажными переходами обладает здание и какони расположены, то считаем, что переход делают при монтаже сети. Так как этодостаточно долгая и дорогостоящая процедура, то считаем, что межэтажный переходу нас один и находится примерно в центре этажа.
Как былоопределено в предположениях, сеть ГП должна обеспечить подключение РГ в любойточке этажа. При такой неопределенной ситуации относительно расположения РГединственно верное решение – обеспечить на уровне проекта возможностьподключения РГ к ГП в любой точке.
Длятого, что бы обеспечить такую возможность, необходимо, что бы в зону охватакоммутаторов ГП попали все РС этажа любой подгруппы. Коммутаторы ГПпредлагается объединять конструктивно общей шиной, то есть когда у каждогокоммутатора, кроме оконечных, один порт используется для подключения другихкоммутаторов, расположенных «левее», а другой – для подключения коммутаторов,расположенных «правее». С точки зрения эксплуатации это одна высокоскоростнаяшина, на которой организованы точки доступа – коммутаторы ГП. Такая схема показаласвою эффективность на практике, и поэтому при разработке модели ГП будемпридерживаться ее.
Рассмотриммодель ГП, которая позволит нам оценить, сколько коммутаторов необходимоиспользовать в ГП, что бы стоимость ГП была минимальной (с учетом того, что вГП входит все РГ). На рисунке 3 схематично изображена зона охвата однимкоммутатором ГП.
/>
Рисунок3. Модель зоны охвата коммутатора ГП
Обозначениявеличин соответствует обозначениям на рисунках 1 и 2. Зоной охвата коммутатораГП считаем прямоугольник 2W*2L. Теперь рассмотрим, какие данные можно получить наосновании такой модели.
1) Можнополучить размеры зоны охвата коммутатора ГП, если знать габариты РГ и длину ЛСмежду коммутаторами ГП и РГ. Если считать, что Z=(N+M)/2,для образования ЛС между коммутаторами используется кабель UTP cat5 (п. 3.1.1), а решение будет эффективно при /> (п. 3.1.1).Если при этом учесть, что минимальное значение Z=15 (п. 3.1),то получим, что
/> (5)
Формула(5) устанавливает, что W+L=120, то есть экономическая эффективность вводитограничение на периметр зоны охвата. Это позволяет при одном известном габаритевычислить другой. В частности, если использовать UTP cat5,то максимальное значение величины W составляет 105 метров (120-105=15метров сторона квадрата РГ). Эта величина превышает технологический пределиспользования кабелей UTP cat5 в 90 метров. Таким образом, мыможем использовать любое значение величины W, допустимоетехнологией передачи данных.
Получаем,что нам необходимо минимизировать периметр РГ при сохранении ее площади. Изгеометрии известно, что прямоугольник с минимальным периметром и заданнойплощадью – это квадрат. Таки образом, берем, что РГ – квадрат со стороной 15 м.Для здания А максимальное число РГ на этаж составляет 20, для здания B – 25,для здания С – 9. Определим, какой минимальной площади должны быть этажизданий, чтобы выполнялись требования санитарных норм (п. 3.1). Получаем, чтоплощадь здания A равна 20*225=4500 м2, здания В 25*225=5625 м2, здания С –9*225=2025 м2.
2) Наосновании модели можно рассчитать, сколько коммутаторов ГП необходимо дляпокрытия прямоугольного помещения произвольных габаритов. Основная задача вэтом случае – минимизировать количество коммутаторов ГП с соблюдениемтребования по периметру зоны охвата и расстояния между соседними коммутаторамиРГ. Последнее требование связано с тем, что эти коммутаторы потребуетсясоединять между собой для построения магистрали ГП. Слишком большие расстоянияпотребуют применять дорогие ВОЛС и соответствующее оборудование. Поэтому задачаминимизации стоимости ГП может рассматриваться только с учетом совокупнойстоимости ЛС, оборудования и проведения работ по монтажу.
3.1.3Принятые габариты зданий
Рассмотримнашу задачу для каждого здания. Как было показано выше, зона охвата описываетсявыражением (5), при условии, что W,L
Дляздания А: имеем S=4500 м2, для простоты будем считать, что здание имеет формупрямоугольника 50*90м. Тогда получаем, что W=90/2=45 и L=50/2=25. Условие W+L=70
Есливзять другие габариты здания, то результат может быть другим. Например, еслигабариты здания 20*180, то W=20/2=10, L=180/2=90. Условие W+L=100
Дляздания B: имеем S==5625 м2, для простоты будем считать, что здание имеет формупрямоугольника 45*125м. Тогда получаем, что W=125/2=62,5 и L=45/2=22,5. УсловиеW+L=85
Есливзять другие габариты здания, то результат может быть другим. Например, еслигабариты здания 90*62,5, то W=90/2=45, L=62,5/2=31,25. Условие W+L=96,25
Дляздания С: имеем S=2025 м2. Очевидно, что для покрытия такой площади хватитодного коммутатора ГП.
Наосновании проведенных выкладок можно сделать вывод о том, что ГП всех зданийбудет состоять из ЛС UTPcat5 и использовать один коммутатор ГП и по одномукоммутатору РГ на РГ. Соответственно, без информации о положении РГ на этаженевозможно выполнить чертежи расположения коммутационного оборудования РГ, аможно выполнить только чертеж расположения коммутационного оборудования ГП иВП.
Согласнорасчетам, проведенным в пп. 3.1.1-3.1.2, для дальнейших расчетов примем:
— габариты здания А 50*90 м2, число этажей 5;
— габариты здания В 45*125 м2, число этажей 3;
— габариты здания С 27*75м2, число этажей 2.
3.2 Установка требованийк сети и подбор оборудования
3.2.1 Требования коборудованию и ЛС по пропускной способности и надежности
Позаданию базовой технологией для построения сети является технология Ethernet100/1000Base TX и технология FDDI.Так как FDDI нуждается в специфичном оборудовании, а средойпередачи является ВОЛС, то рассматривать ее имеет смысл только тогда, когдапредъявляются высокие требования по отказоустойчивости, а требования кпропускной способности не очень высокие.
Длясовременных РС на рынке наиболее распространены сетевые карты Ethernet 100Base TX. Пропускной способности этой технологии вполнехватает, что бы покрыть требования практически всех пользователей.
Вдальнейшем будем считать, что на одну РГ требуется один коммутатор РГ, которыйобеспечивает подключение всех РС, входящих в РГ по заданию + желательно иметь 50%запаса по количеству портов на развитие сети, по технологии Ethernet 100Base-TX, подключение к коммутатору ГП по технологии Ethernet 1000Base-TX. Требования к надежности канала между коммутаторамиРГ и ГП достаточно низкие, резервирования обычно не требуется. В случае, еслиэто обусловлено характером работ группы в сети (например, бухгалтерия илируководство организации), можно предусмотреть «холодное» резервирование,протянув еще одну ЛС UTP cat5, и в случае отказа основной ЛС в короткие сроки(до 10-15 минут) вручную восстановить работоспособность сегмента сети.
Выше показано,что на ГП требуется разворачивать только один коммутационный узел. Число РС позаданию, подключаемых к коммутационному узлу ГП, сильно колеблется взависимости от условий применений от 120 до 550 (с учетом масштабирования на50%). Поэтому в зависимости от конкретных условий необходимо применять либопростые коммутаторы, либо коммутаторы 3-го уровня, обеспечивающих блокированиеШВТ. Скорость коммутации должна составлять 1000 Мбит/с, так как черезкоммутатор ГП будет вестись работа с серверами приложений подразделений,служебными серверами, а так же связь с другими объектами структуры сети.Требования к надежности самого коммутатора и ЛС, образующей идущей от ГП к ВП,предъявляются высокие, так как в случае отказа ЛС или коммутатора от сетиотделяется большое количество пользователей. Поэтому целесообразно подготовитьлибо «горячую» замену вышедшей из строя ЛС, либо применить агрегированиеканала, повысив пропускную способность сегмента (по технологии PortTrunking илидругой аналогичной). В обоих случаях требуется, что бы коммутаторы поддерживалиуказанные режимы работы.
Всесерверы здания, находящиеся в серверной комнате, объединяются в одну РГ сподключением к коммутатору ГП на скорости 1000 Мбит/с. Так как этоответственные РС, то для них организуется «холодное» резервирование ЛС скоммутатором РГ.
Вертикальнаяподсистема стягивается в точку. Она представлена коммутатором 3-го уровня, ккоторому подключается коммутаторы ГП, а так же коммутатор с серверной РГ. Всеподключения выполняются на скорости 1000 Мбит/с с «горячим» резервированием илиагрегированием ЛС.
Дляорганизации беспроводного доступа требуются точки доступа WiFi.
3.2.2 Выбор конкретногооборудования и комплектующих сети согласно требованиям
Вкачестве источника данных о стоимости сетевого оборудования фирмы 3Com, а также о доступности на российском рынке возьмем данные Internet– магазинов www.levovosd.ru и www.apitcom.ru. Здесь будет рассмотрено толькооборудование, характеристики которого влияют на качество сети. Расходныематериалы и технически простые изделия (кабели, разъемы, пачкорды, пачпанели,шкафы и т.п.) не рассматриваются, так как их расход (количество) сильно зависитот конкретной геометрии зданий или отдельных комнат. Так же здесь не будетрассматриваться специфичное оборудование (маршрутизаторы ADSL,T1,Dial-Up ипр.), так как требования к ним будут сформированы ниже при описаниисоответствующих разделов.
Вкачестве коммутатора РГ возьмем 3COM Switch 4210 26-Port. Он имеет 24 портаEthernet на 100 Мбит/с и 2 порта на 1000 Мбит/с. Коммутатор являетсяуправляемым (через консоль и Web-интерфес), поддерживает QoS. Наличие 2-х портовпозволяет при росте рабочей группы подключить такой же коммутатор на скорости1000 Мбит/с, используя один порт для подключения к коммутатору ГП, а другой длядополнительного коммутатора. Так же поддерживается PortTrunking, что позволитпри необходимости использовать оба порта для подключения к коммутатору ГП.Имеется поддержка VLAN.
Вкачестве коммутатора ГП возьмем Baseline Switch 2916-SFP Plus. Он являетсякоммутатором 2-го уровня, но поддерживает до 256 VLAN с группировкой портов,Port Trunking до 8-ми транков и до 8 портов в транке. Данный коммутаторприменяется в тех случаях, когда число РГ на этаже не превышает 14. В случае,когда необходимо подключить большее число РГ, можно поставить дополнительныйкоммутатор.
Вкачестве коммутатора ВП, выполняющего роль ядра сети, возьмем модуль 3ComSwitch 8800 48-Port 10/100/1000BASE-T IPv6. Это устройство обеспечиваеткоммутацию 3-го, поддержку VLAN, стекируемость и внешнее управление. Длямаршрутизации доступны протоколы RIP, OSPF, IGMP,PIM(SM,DM), VRRP, BGP4, IS-IS. Устройство является стекируемым.
Вкачестве типового сервера (подходящего для решения большинства задач) возьмем2U HP ProLiant DL380 G5. У него достаточно гибкий набор изменяемых параметров,возможность монтирования в стойку и дублирующий блок питания горячей замены.
Вкачестве ИБП берем APC SUA3000RMI2U. Он обладает достаточной мощностью в 3000ВАдля обеспечения аварийной остановки серверов. Имеет возможность монтажа встойку. Число ИБП определяется в каждом конкретном случае, исходя из анализатого, сколько нужно времени, чтобы выполнить безопасную остановку серверов илиподготовить источники резервного питания к работе. Однако бесперебойное питаниенеобходимо обеспечить для всех серверов всех зданий.
Вкачестве рабочей станции можно использовать любое оборудование на базе IBM PC,комплектация которого зависит от характера решаемых задач. Ориентировочная стоимость1000-1500$.
3.3 Выбор пользовательскогоПО
Все ПОможно разделить на 2 большие группы: служебное ПО, предназначенное дляобеспечения работоспособности сети, и прикладное ПО пользователей.
Привыборе ПО следует учитывать возможность применения не только коммерческого ПО,но и свободного, распространяемого по GNU-лицензии или подобным им. Бесплатнаяподдержка такого ПО практически не проигрывает корпоративной, при необходимостипрактически всегда можно заключить договор на поддержку с третьей стороной.Особенно на это следует обратить внимание при выборе ПО для конечныхпользователей, так как именно в этом случае наиболее велики отчисления залицензирование и поддержку.
ПОпользователей может быть разнонаправленным, однако при его выборе необходиморуководствоваться тем, что по заданию основными пользовательскими ОС являются 98,NT Prof, XP Prof, 2000 Prof. При выбореОС следует иметь ввиду, что свободная продажа и техническая поддержка осталасьтолько для XP Prof, поэтому на новые РС имеетсмысл устанавливать только эту ОС. Дополнением к ОС является пакет офисного ПОOpenOffice.org 3.0, распространяемый по GNU лицензии и являющийся хорошейальтернативой пакету MS Office. В качестве почтового клиента можно использоватьOpenWebMail (http://openwebmail.org/). Специализированное ПО,которое устанавливается в соответствии с требованиями конкретного пользователя,определяется в процессе эксплуатации и не может быть определена на этапепроектирования сети.
СистемноеПО строится на основе Windows 2003 Server. Эта ОС имеет несколько редакций:Web, Datacenter, Enterprice, Standart. Редакции Web и Datacenter имеютдостаточно простую комплектацию, поэтому их рассматривать не будем. РедакцияEnterprice отличается от Statndart только добавлением следующих служб икомпонент:
— поддержка процессоров Itanium;
— горячее добавление ОЗУ;
— поддержкой службы сертификатов и смарт карт;
— службакластеров;
— каталог сессий служб терминалов;
— поддержка внешних хранилищ данных.
Проанализировавимеющиеся аппаратное обеспечения, структуру сети и требования по безопасности,приходим к выводу, что достаточно возможностей Windows 2003 Server StandartEdition. Указанные ОС применяется для развертывания всех серверных приложенийсети, за исключением отдельно оговоренных случаев.
4. ЛОГИЧЕСКОЕПРОЕКТИРОВАНИЕ СЕТИ
Влогическое проектирование сети включается выделение логических частей сети,описание настройки оборудования и настройка используемых сетевых служб (DNS, AD, DHCP).
3.1 Выделение подсетей ираспределение IP адресов по подсетям
ВыделениеIP адресов в пределах всей организации целесообразно сделать динамическим (сприменением DHCP)
3.1.1 Выделение подсетейи распределение IP адресов по подсетям здания А
Здание А согласно заданиюимеет 5 этажей. Нижние 2 этажа имеют в своем составе несколько подразделений, 3,4 и 5-й этажи имеют по одному подразделению на этаже. Выявим число РС на каждомэтаже и необходимое количество IP адресов, необходимых для работы на основанииданных таблиц 1,2 и 5.
В здании А так же помимоуказанных подразделений будут находится общекорпоративные серверы, серверыподразделений, серверы демилитаризованной зоны и прочее общекорпоративноеслужебное оборудование в отдельно выделенном помещении, находящемся на 1-емэтаже. Учтем так же, что по заданию для использования во внутренней сетидоступны адреса с диапазоном 10.55.0.0/16.
Таблица 6 Распределение IP адресов по зданию АЭтаж Подразделение Число РС (с запасом 50%) Выделяемое число IP адресов Общее число IP на этаже 1 Отдел кадров (Human Resource) 40(60) 64(10.55.0.192/26) 256 1 Отдел маркетинга Sales (S) 40(60) 64(10.55.0.128/26) 1 Отдел IT 40(60) 64(10.55.0.64/26) 1 Корпоративные сервера 30(45) 64(10.55.0.0/26) 2 Руководство Executive (E) 15(23) 32(10.55.1.0/27) 192 2 Бухгалтерия Accounting (Acc) 52(78) 128(10.55.1.128/25) 2 Отдел экономики Business (Bus) 21(32) 32(10.55.1.32/27) 3 Проектный отдел Project 1 (P1) 200(300) 512(10.55.2.0/23) 512 4 Проектный отдел Project 2 (P2) 208(312) 512(10.55.4.0/23) 512 5 Проектный отдел Project 3 (P3) 153(230) 256(10.55.6.0/24) 256
При таком разделе внутриздания А для использования остаются свободными диапазоны 10.55.1.96/26 (64адреса) и 10.55.7.0/24 (256 адресов). Остальные адреса внутреннего диапазонавыделяются зданиям B и C.
Свободные диапазоныадресов будут распределяться по мере возникновения необходимости. В частности,для сотрудников, использующих беспроводной доступ к корпоративной сети, будутвыделены адреса из этого диапазона, что позволит соответствующим образомнастроить сетевой фильтр и понизить риски при работе в беспроводных сетях.Размер свободно диапазона позволяет обеспечить свободным доступом весь отделмаркетинга, что снимает ограничения на численность группы.
Cервера приложений и подразделений, атакже сервера служб DNS, FTP, RAS/VPN,Mail, Web устанавливаются в серверной и на них устанавливаютсястатические IP адреса (путем привязки их MAC адреса к IP адресу, выдаваемому DHCP). Для серверов DHCP (основного, резервного итранслирующих) задаются настоящие статические IP адреса, в противном случаеработа сети будет невозможна. Размещение серверов подразделений в сервернойувеличивает объем межэтажного трафика, однако повышает физическую безопасностьсерверов от НСД и упрощает обслуживание.
Для внешнего FireWall-аобеспечивается выделение статических адресов из пула внешних адресов131.107.55.0/24(256 адресов). Из этого же пула адресов обеспечивается выделениеадресов firewall-а здания С, которое подключается кглавному филиалу через Internet с помощью технологии ADSL и для сотрудников, которые получают доступ поISDN, то есть для всех РС, которые подключаются к основному филиалу черезпубличные сети (или WireWall-ы, через которые они выходят в internet споддержкой NAT), должны быть выделены статические внешние адреса.
3.1.2 Выделение подсетейи распределение IP адресов по подсетям здания B
Так как здание Bсоединено с головным зданием А через канал Т1 с пропускной способностью всего в1,544 Мбит/с, то необходимо организовать в сети здания В собственные внутренниесервера, синхронизируемые с общекорпоративными серверами в здании А.
Таблица 7 Распределение IP адресов по зданию ВЭтаж Подразделение Число РС (с запасом 50%) Выделяемое число IP адресов Общее число IP на этаже 3 M1 250(375) 512(10.55.8.0/23) 1568 2 M2 352(528) 512(10.55.10.0/23) 1 P 370(555) 512(10.55.12.0/23) 1 Корпоративные сервера 15(45) 32(10.55.14.0/27)
В виду возможностидальнейшего роста производственных мощностей резервируем для здания всю сеть10.55.14.0.0/23 (512 адресов), из которой используется уже диапазон 10.55.14.0/27(32 адреса) под серверы здания B.
Так как сеть здания Вдолжна быть достаточно самостоятельно, то в ней необходимо развернутьсобственные сервера DNS, DHCP, основной и резервный контролер домена, а так жесервера приложений и подразделений.
3.1.3 Выделение подсетейи распределение IP адресов по подсетям здания С
Так как здание B соединенос головным зданием А через канал ADSL, чья пропускная способность до 6,1 Мбит/сс дозвоном по требованию, то необходимо организовать в сети здания Ссобственные внутренние сервера, синхронизируемые с общекорпоративными серверамив здании А только при установлении канала связи.
Таблица 7 Распределение IP адресов по зданию CЭтаж Подразделение Число РС (с запасом 50%) Выделяемое число IP адресов Общее число IP на этаже 1 R1 180(240) 256(10.55.16.0/24) 256 2 R2 60(90) 256(10.55.17.0/24) 288 2 Корпоративные сервера 15(45) 32(10.55.18.0/27)
В виду возможностидальнейшего роста мощностей резервируем для здания всю сеть 10.55.18.0/24 (256адресов), из которой используется уже диапазон 10.55.18.0/27 (32 адреса) подсерверы здания C.
Так как сеть здания C должна быть достаточносамостоятельно, то в ней необходимо развернуть собственные сервера DNS, DHCP,основной и резервный контролер домена, а так же сервера приложений иподразделений.
3.2 Размещение серверовDNS
Структуры AD, DNS и DHCPдостаточно сильно взаимосвязаны, особенно AD и DNS, поэтому их развертываниеследует рассматривать в комплексе. В частности, DNS желательно развертыватьодновременно с AD, так как в этом случае гарантируется их совместимость иоблегчается процесс взаимной настройки.
Прежде чем приступать кпроектированию структуры Active Directory,рассмотрим сначала реализацию DNS.Предполагается применить нестандартный подход, а именно – использовать т. н.разделение DNS (split-brain DNS). РазделенныйDNS делает ресурсы доступными, прозрачными и независимыми по расположению длявнешних и для внутренних пользователей. Под прозрачностью понимается, чтопользователю не нужно использовать различные имена или перенастраиватьклиентские приложения на использование разных имен в зависимости от егоместоположения в настоящий момент.
Разделение DNS работаетза счет того, что используется 2 или больше доступных серверов DNS,предназначенных для этого имени домена. Один или больше серверов отвечают заразрешение имен для хостов внутренней сети, другие же (один или больше) серверыотвечают за разрешение имен для хостов в Internet.
Сервер DNS, ответственныйза разрешение имен во внутрикорпоративной сети, содержит записи DNS, которыеотображают имена серверов в их внутренние IP-адреса, которые и используются вовнутренней сети. DNS-сервер; ответственный за разрешение имен для внешнихпользователей, отображает имена во внешние IP-адреса, обеспечивая доступ ккорпоративным ресурсам снаружи.
Внутренние серверы DNSразмещаются в Intranet за сетевым экраном (firewall), а внешние серверы DNSустанавливаются в демилитаризованной зоне (DMZ) или в Internet. При этом только внутренние клиентыимеют доступ к внутреннему серверу DNS, хранящему адресную информацию окомпьютерах внутренней сети. Запросы внешних клиентов о доменныхInternet-именах и адресах организации выполняются внешним DNS-сервером. Любыезапросы, идущие из Internet в Intranet, запрещены. Если на внутреннийDNS-сервер приходит запрос о разрешении имени Internet, которого нет в локальном кэше, тозапрос отправляется на внешний DNS-сервер. На внешнем сервере DNS разрешаютсятолько запросы, исходящие из внутренней сети.
Зоне DNS в домене ADсвойственны две особенности. Во-первых, AD сохраняет в DNS большое количестводанных. Во-вторых, значительная часть этой информации носит конфиденциальныйхарактер. В частности, в зоне домена AD хранятся имена и адреса контроллеровдомена. Структура с разделением DNSпозволит скрыть эту информацию от посторонних глаз.
Для корпорации CorpKAM необходимо зарегистрировать доменвторого уровня. Например, corpkam.ru. Для обеспечения автономности сетейотдельных филиалов и рационального обмена служебной информацией через WAN, выделим в домене corpkam.ru. два дочерних поддомена: manuf. corpkam.ru. и res.corpkam.ru соответственно для зданий B и C.
Согласно рекомендациитехнического задания, DNS-сервервместе с основным контроллером домена AD будут базироваться на платформе Windows 2003 Enterprice Server. Для обеспечения надежности с ним впаре будет работать еще один сервер (Secondary), который сможет обеспечивать работоспособность сети вслучае выхода из строя первого сервера. В нашем случае оценивая вариант выходаиз строя только первичного сервера, ввиду конкретно его технических илипрограммных неисправностей, целесообразным будет размещение вторичного серверав том же здании.
Получив запрос на преобразованиеимени, основной DNS-сервер сначала обращается в кэш. Если имени в кэше нет, аDNS-сервер содержит зоны, то сервер пытается преобразовать имя, проверяя зоны.Сервер обращается к ретранслятору (установленному в DMZ) или в Интернет лишь в том случае, если не можетнайти нужный адрес в кэше или в зонах. Главная особенность разделенной DNSзаключается в том, что DNS-сервер больше доверяет информации из зон, чемданным, извлеченным из Интернета.
Для функционирования такой структурынеобходимо на внутреннем DNS-серверев качестве forwarder’а установить внешний DNS-сервер, а на внешнем DNS-сервере установить либо режимрекурсивного запроса к DNSпровайдера, либо итеративный опрос DNS-серверов, начиная с корневых (root-hints). Форвардинг запросов будетосуществляться на кэширующий сервер, что позволит благодаря использованию кэшаснизить нагрузку при обработке «внешних» запросов, так как в основной массезапросы будут касаться разрешения имен машин корпоративной сети.
В реализации структуры DNS главного здания участвуют 3 DNS-сервера: внутренний, внешний исервер провайдера. Внутренний сервер отвечает за зоны main. corpkam.ru (куда входят все отделы здания А), proj.corpkam.ru(планируется создать специальный домен для проектов в Active Directory). Внешний сервер устанавливается вкачестве forwarding-сервера для внутреннего для того,чтобы перенаправлять запросы, не разрешенные с помощью кэша. Внешний DNS-сервер, в свою очередь, отправляетрекурсивные запросы к DNS-серверупровайдера.
DNS-серверы в зданиях B пересылают неразрешённые запросы на DNS-сервер здания A.
Для того чтобы из здания C можно было разрешать именакомпьютеров, располагающихся в здании B без нагрузки на DNS-серверыздания А, необходимо на DNS-серверездания C создать так называемые зоны-заглушкиили упрощённые зоны (stub-zone). Упрощенная зона представляет собойкопию зоны, содержащую только те ресурсные записи, которые необходимы для локализацииDNS-серверов, являющихся носителями полной версии зоны. Основное назначениеупрощенной зоны – идентификация DNS-серверов, которые способны выполнитьразрешение доменных имен, принадлежащих к этой зоне.
Таким образом, на DNS-сервере здания C будет создана stub-zone для каждой из зон здания A и для зоны здания B. А в качестве forwarder-DNS выступит DNS-сервер провайдера.
На всех внутренних DNS-серверах следует включить режим Dynamic DNS Updates, для того, чтобы узлы могли регистрировать своизаписи в соответствующих зонах. Поскольку мы используем ADIZ, рекомендуется также включить режимбезопасных обновлений (secure updates). В этомрежиме администратор ADможет определять, кому и какие действия разрешается выполнять над ресурснымизаписями DNS.
3.3 Размещение серверов WINS
Согласно заданию накурсовую работу, среди рабочих станций в сети корпорации есть машины подуправлением ОС Windows 98,которые используют имена NetBIOS.Поэтому наряду с DNS впроектируемой сети должна быть реализована служба разрешения имен NetBIOS. Для этой цели необходимо установитьсерверы WINS.
Сервер WINS рассчитан на высокую нагрузочнуюспособность и может один обслуживать компанию с 10-15 тысячами компьютеров.Имена NetBIOS являются 16-байтными адресами, которые однозначно идентифицируютузлы в сети. Этот адрес имеет длину в 15 знаков и 16-тый используется дляоднозначной идентификации службы, запущенной на системе, такой, например, какслужбы Сервера или Рабочей Станции. Основная цель использования WINS – эторазрешение имен NetBIOS в IP-адреса. Как и в случае NT 4, системы, настроенныена использование службы WINS, при загрузке будут регистрировать свои именаNetBIOS и соответствующие им IP-адреса. В целях повышения надежности установимв главном здании 2 WINS-сервера, а взданиях филиалов – по одному WINS-серверу.
Сервер WINS можно задействовать совместно ссервером DNS для разрешения имен NetBIOS. Для этого на сервере DNS используются записи типа WINS. Если сервер DNS снабжен адресомсервера WINS (при помощи записи WINS), то сервер DNS будет пытаться опрашиватьсервера WINS для разрешения имен, не найденных в собственной базе данных.
Обычно серверы WINS можно разместить на контроллерахдомена. Например, если ADспланирована так, что имеется корневой домен, не содержащий пользователей иприменяемый лишь как держатель имени домена и административных групп, то егоконтроллеры домена не очень загружены и могут выполнять дополнительные функции.
3.4 Размещение серверов DHCP
Каждому хосту,подключенному к сети на базе TCP/IP, должен быть назначен уникальный IP-адрес.Протокол DHCP (DynamicHost Configuration Protocol, протокол динамической конфигурациихоста) был разработан как средство динамического выделения хостам IP-адресов.Протокол DHCP является открытым промышленным стандартом, упрощающим управлениесетями на базе TCP/IP. Этот протокол также может быть использован дляцентрализованного управления процессом настройки стека протокола TCP/IP наклиентских машинах (речь идет о таких параметрах, как адрес шлюза по умолчаниюили адрес DNS-сервера).
В спецификации протоколаDHCP определяются два участника: DHCP-сервер и DHCP-клиенты. Служба клиентаDHCP запрашивает у DHCP-сервера параметры для настройки стека протоколовTCP/IP. Служба сервера DHCP обрабатывает клиентские запросы, осуществляя выдачув аренду IP-адреса из некоторого диапазона. Каждый адрес выделяется наопределенный срок. По окончании этого срока хост должен либо продлить срокаренды, либо освободить адрес. Все удовлетворенные запросы пользователяфиксируются службой сервера DHCP в собственной базе данных. Подобное решениепозволяет предотвратить выделение одного IP-адреса двум хостам. Одновременно свыдачей IP-адреса DHCP-сервер может также предоставить клиенту дополнительнуюинформацию о настройках стека протоколов TCP/IP, такую как маска подсети, адресшлюза и адреса серверов DNS и WINS.
В составе Windows Server 2003 реализован как DHCP-клиент (которыйустанавливается по умолчанию), так и DHCP-сервер (который может быть установлени сконфигурирован администратором при необходимости).
Запрос к серверу DHCP посылается клиентомшироковещательно, следовательно, не может выйти за пределы локальной подсети.Чтобы клиент из подсети, не соединенной непосредственно с DHCP сервером, мог получать от него IP адреса, необходимо убедиться, чтомаршрутизатор (в нашем случае, коммутатор 3 уровня), объединяющий подсети,поддерживал направление широковещательных сообщений DHCP, то есть поддерживал стандарт RFC 1542. В противном случае необходимобудет установить в каждой из подобных подсетей агент ретрансляции DHCP (DHCP Relay Agent) или сервер DHCP. Агент ретрансляции DHCP – это хост, который прослушивает подсети наналичие широковещательных сообщений DHCP/BOOTP и переадресовывает их нанекоторый заданный DHCP-сервер. Использование агентов ретрансляции избавляет отнеобходимости устанавливать сервер DHCP в каждом физическом сегменте сети.Агент не только обслуживает прямые локальные запросы клиента DHCP иперенаправляет их на удаленные DHCP-серверы, но также возвращает ответыудаленных DHCP-серверов клиентам.
Используемый дляобъединения подсетей коммутаторы ГП Baseline Switch 2916-SFP Plus неподдерживает стандарт RFC1542, поэтому агент ретрансляции необходим в каждой подсети ГП (один на этаж).Для них должны быть выделены статические IP –адреса из пула, выделенных длясерверной комнаты.
Для повышения надежностиво всех зданиях корпорации будем использовать по 2 DHCP-сервера в связи с довольно большим числом рабочихстанций в них и для повышения надежности.
Для того чтобы DHCP-сервер начал корректно работать,необходимо на нем настроить области (т. н. scopes). Область DHCP – административная группа,идентифицирующая полные последовательные диапазоны возможных IP-адресов длявсех клиентов DHCP в физической подсети. Области определяют логическую подсеть,для которой должны предоставляться услуги DHCP, и позволяют серверу задаватьпараметры конфигурации, выдаваемые всем клиентам DHCP в подсети. Область должнабыть определена прежде, чем клиенты DHCP смогут использовать сервер DHCP длядинамической конфигурации TCP/IP.
В главном здании выделим9 областей в соответствии с числом отделов. Пусть области отделов HR, Sales, IT, Exec, Bus, Acc, Project 1, Project 2 обслуживаются одним DHCP-сервером, а области отдела Project 3 – другим. В этом случае между серверами будетсоблюдена пропорция 80/20 по количеству обслуживаемых рабочих станций, как ирекомендует Microsoft.
Настройка DHCP областей на каждом сервере включаетследующее:
— Начальный адрес (start IP address);
— Конечный адрес (End IP address);
— Маска подсети (Subnet mask length);
— Исключения (Exclusions)
— Резервирование (Reservation).
Рассмотрим настройку DHCP-области на примере отдела HR (ей соответствует диапазон10.55.0.192/26): начальным адресом будет являться 10.55.0.192, конечным — 10.55.0.255.Маска подсети – 26 (то есть, 255.255.255.192), а диапазон статических адресовопределим следующий: 10.55.4.1 – 10.55.4.10.
В здании B отдадим под управление одному DHCP-серверу отделы M1 и M2, а второму серверу – отдел P. Опять будет соблюдена пропорция количества обслуживаемыхсерверами рабочих станций 80/20, обеспечена некоторая отказоустойчивость.
В здании C выделим области (scopes) в соответствии с отделами R1 и R2.
Наличие двух серверов DHCP в сети может при определённыхусловиях привести к её частичной или полной неработоспособности. Подобное быловозможно в более старых ОС из-за того, что практически любой мог активизироватьсвой сервер DHCP. Для того чтобы этого не случилось,необходимо авторизовать установленные DHCP-серверы в Active Directory. В этом случае при попытке запуститьслужбу DHCP происходит обращение к Active Directory, где просматривается список адресов IP для всех авторизованных в доменесерверов DHCP. Если адреса рассматриваемогосервера нет, то служба DHCPбудет автоматически на нем терминирована.
сервер пользователь филиал сетьбеспроводный
3.5 Разработка структуры Active Directory(AD)
ActiveDirectory – это службакаталогов в Windows 2003 Server. Active Directory содержит каталог, в котором хранится информация о сетевых ресурсах ислужбы, предоставляющие доступ к этой информации. Ресурсы, хранящиеся вкаталоге, такие, как данные, сведения о принтерах, серверах, базах данных, группах,службах, компьютерах, политике безопасности, – называются объектами (object). Active Directory встроена в Windows 2003 Serverи обеспечивает:
— упрощенноеадминистрирование;
— масштабируемость;
— поддержку открытыхстандартов;
— поддержку стандартныхформатов имен.
Active Directory иерархически упорядочивает ресурсы вдомене – логическом объединении серверов и других сетевых ресурсов в единое имядомена. Домен является основной единицей репликации и безопасности в сети Windows 2003.
Логическая часть Active Directory включает в себя лес, деревья, доменыи OU (организационные подразделения, ОП).Физическая часть – сайты и контроллеры домена. Пространство имен Active Directory будет базироваться на ранееописанной структуре доменных имен службы DNS.
Один домен способенподдерживать до 10 миллионов объектов каталога. Согласно этому утверждению,можно было бы для всей корпорации создать один домен. Однако при созданиидоменов следует руководствоваться другими критериями – не только количествомобъектов, которые могут быть созданы в Active Directory.
Первый критерий –административная политика. Необходимо так спроектировать систему, чтобы ей былопроще управлять.
Второй критерий –безопасность. Внутри домена действуют правила безопасности, не распространяющиесяза его пределы.
Третий критерий – размер.Управлять доменом с огромным числом пользователей может оказаться значительносложнее, чем несколькими доменами с меньшим числом объектов.
Несмотря на то, что уоднодоменной структуры есть свои преимущества (простота управления; меньшаястоимость; меньшее число администраторов; предельная емкость, равная емкостилеса доменов), предпочтение при проектировании Active Directory в корпорации CorpKAM отдадим многодоменной структуре. Аименно – лесу.
Одной из причин, покоторым выбирается структура с несколькими доменами, является как разбезопасность. Если в организации существуют ОП, требования к безопасностикоторых существенно отличаются от остальных, то такие подразделения лучшевыделить в отдельные домены. Проблема безопасности также тесно связана сполномочиями администраторов. Если взять администраторов единственного домена(а значит, и корневого домена в лесу), то по умолчанию они включены в такиегруппы как Domain Admins, Schema Admins, Enterprise Admins. Последние два наделены огромными полномочиями врамках леса, которые нужны далеко не всем администраторам. Чтобы уадминистратора не было возможности самостоятельно включить себя в группу собширным списком прав, целесообразно создавать корневой домен пустым – вкотором нет пользователей, но есть учетная запись администратора предприятия. Востальных хранятся учетные записи пользователей и администраторов домена.
Создание пустогокорневого домена для хранения в нем учетных записей администратора предприятияобязательно при наличии более чем одного дочернего домена или несколькихдеревьев в лесу. В нашем случае дочерних доменов планируется создать какминимум 2 (для зданий B и C), поэтому создадим пустой корневойдомен.
Пустой корневой домениграет и ещё одну важную роль. Это своего рода «хранитель имени» организации.Так как корневой домен дает имя всему лесу, то никакие изменения в нижележащейдоменной структуре не отражаются в имени леса. Можно легко добавлять новыедомены в лес или удалять их из леса.
Еще один положительныйфактор наличия пустого корневого домена в том, что в нем нет значительныхнагрузок на контроллеры, и надежность их от этого возрастает. Поэтому в этомдомене можно разместить глобальный каталог и мастера схемы и именованиядоменов, которые можно будет задействовать для восстановления системы.
Естественно, у структурылеса с пустым корневым доменом есть и недостаток – необходимость использовать 2дополнительных сервера в качестве контроллеров домена. Но аппаратные требованияк таким контроллерам невысоки, поэтому не будем принимать во внимание указанныйнедостаток.
Развертывание сетевойструктуры начнем с пустого корневого домена corpKAM.ru.Дочерние домены будут выделены соответственно для главного здания (main.corpkam.ru),здания B (manuf.corpkam.ru) и здания C (res.corpkam.ru). Также предполагается создать еще один дочерний домен сособой политикой безопасности (например, для проектов). Конфигурация этогодомена будет меняться в зависимости от текущих проектов. Назовем его, например,proj.corpkam.ru.
Заканчивая проектированиелогической структуры Active Directory, надосказать об организационных подразделениях (ОП), которые используются:
— для делегированияадминистративных полномочий;
— для разграничениягрупповой политики;
— для рассортировкиобъектов;
— для ограничения числаобъектов в контейнерах;
— для помощи в миграции.
Предполагается длякаждого отдела создать ОП. Таким образом, в здании A будет 9 ОП, в здании B – 3 ОП, и в здании C – 2 ОП. В домене проектов (proj.corpiso.ru) организационные подразделения будут создаваться всоответствии с текущими проектами компании.
Перейдем к физическойструктуре Active Directory. Начнем её рассмотрение с сайтов.Сайт – это часть физической структуры Active Directory,совокупность одной или нескольких IP-подсетей, соединенных высокоскоростными каналами связи. Основная задачасайта – обеспечивать хорошее сетевое соединение.
Проектируемуюкорпоративную сеть можно представить как 3 области с качественными линиямисвязи LAN (они соответствуют сетям головногоофиса и двух филиалов), которые соединены между собой линиями связи WAN, имеющими другое качество ипропускную способность. Следовательно, целесообразно представить физическуюструктуру сети в виде трех сайтов. Каждый сайт соответствует одному зданию корпорации.Отдельный сайт в Active Directory может включать несколько доменов.Сайт в здании A будет включать в себя 3 домена:пустой корневой, домен здания A идомен проектов. В зданиях B и C сайты будут содержать по одномудомену.
Как только будет завершенаработа по созданию сайтов, рабочие станции при входе домен будутрегистрироваться на контроллере домена, входящем в данный сайт, а не посылатьзапросы через WAN. Репликацию же контроллеров доменовможно настроить с помощью сайтов. Таким образом, у администраторов есть удобныймеханизм контроля и регулирования межсайтового трафика.
Теперь необходимоопределить, какое количество контроллеров нужно разместить в каждом домене. Длякаждого домена нужен как минимум один контроллер. Однако в крупных сайтах одногоконтроллера на домен может оказаться недостаточно. В случае недоступностиединственного контроллера в сайте весь трафик регистрации в сети будетнаправлен по каналу. Время регистрации может заметно возрасти. Наличиенескольких контроллеров домена в крупном сайте дает некоторые преимущества.Одно из них – повышение надежности.
Проектируя AD для крупного предприятия, стоит подумать об оптимальномрасположении мастеров операций.
Мастер схемы (Schema Master) — единственный во всем лесу мастер операций, ответственный за внесениеизменений в схему. Изменения в схему может вносить администратор с полномочиямиSchema Admins. Так как эта группа располагается только в корневомдомене леса, то целесообразно и мастер схемы держать там же. В нашем случаепустой корневой домен — идеальное место для мастера схемы. Компьютер с мастеромсхемы не несет особой нагрузки, так как схема модифицируется крайне редко.Мастер схемы по умолчанию размещается на самом первом контроллере домена влесу. В силу его небольшой загруженности его можно там и оставить.
Мастер доменных имен(Domain Naming Master) также один на весь лес. Он отвечает за добавление в лес новых доменов,кроме существующих, и за добавление/удаление объектов кросс-ссылок на внешниекаталоги. Эти операции может выполнять только администратор с правами Enterprise Admins, следовательно, как и мастера схемы, мастер доменныхимен разместим в пустом корневом домене. Мастер доменных имен отвечает за то,чтобы имена доменов в лесу были уникальны. Когда добавляется новый домен, этотмастер обращается к серверу ГК в поисках такого имени. Именно поэтому он долженрасполагаться на одном сервере с сервером ГК. Компьютер, на которомрасполагается мастер доменных имен, не несет практически никакой нагрузки, таккак домены в лес добавляются нечасто. Это позволяет поместить его на одномкомпьютере с мастером схемы. Он должен быть доступен из любой точки сети.
Имитатор PDC (PDC Emulator)прежде всего нужен для клиентовстарого типа (ранее Windows 2000), таккак, с их точки зрения, он играет роль главного контроллера домена. Помимоэтого, он выполняет роль master browser дляприложений, использующих NetBIOS.Он отвечает за срочное тиражирование изменений в AD, таких как смена паролей или блокировка учетных записей.Кроме того, он отвечает за аутентификацию пользователей, сменивших пароль.
Следует учитывать, что для каждогодомена должен быть свой имитатор PDC иимитатор PDC должен быть всегда доступен длядругих контроллеров в домене, а также в больших доменах имитатор PDC несет повышенную нагрузку и егоцелесообразно размещать на отдельном сервере.
Мастер относительных идентификаторов(Relative Identifier Master) хранит общий пул идентификаторов домена и выдает их контроллерам по меренеобходимости, при этом обеспечивается уникальность RID в домене, переносит объекты из одного домена вдругой: при переносе между доменами у учетной записи меняется DN и SID, а уникальный ID остается неизменным. Компьютер, выполняющий данную роль,относительно не загружен, поэтому может располагаться на тех же контроллерах,где и другие мастера доменных операций.
Мастер инфраструктуры (Infrastructure Master) периодически проверяет ссылки на отсутствующий на данном контроллередомена объект в доступной ему реплике базы AD. Для этого он обращается к ГК и проверяет, не изменились лиу объекта с данным GUID его DN и SID. Если они изменились, то соответствующие изменениявносятся в локальную реплику и тиражируются на остальные контроллеры в домене.
Если мастер инфраструктуры находитсяна том же компьютере, что и ГК, то он не функционирует. Это связано с тем, чтокомпьютер, исполняющий роль ГК, хранит реплики всех объектов в лесу, а значит,нет ссылок на отсутствующие объекты. Если все контроллеры в домене являются ГК,то надобности в мастере инфраструктуры нет, и он может не работать. Такимобразом, мастер инфраструктуры должен быть один в каждом домене, не долженрасполагаться на сервере ГК и должен быть слабо загружен и может располагатьсяна одном сервере с другими мастерами в домене.
Учитывая все сказанное выше, предлагаемследующую схему размещения мастеров: в каждом домене устанавливается какминимум два сервера-контроллера домена, причем на первом сервере размещается ГКи мастер относительных идентификаторов. Этот же сервер выступает в ролифорпоста при междоменной репликации. На втором сервере устанавливается имитаторPDC и мастер инфраструктуры.
Для поддержки целостности информациив сети, необходимо организовать репликацию AD. В Windows2003 действует модель multi-master (нескольких главных), означающая, что на любомконтроллере домена можно производить обновления в Active Directory. Однако,вместе с усложнением репликации в Windows 2003 Active Directory, здесь так жеприсутствует возможность более простого контроля процесса репликации, черезиспользование сайтов, site links (связей сайтов) и работы по расписанию. Всреде Active Directory контроллерам домена нет необходимости связываться содним главным контроллером домена для получения изменений. Вместо этого, онисоздают связи друг с другом для отслеживания, какой контроллер домена будетвыступать в качестве источника репликации изменений. Эти взаимоотношенияназываются connection objects (объекты-подключения). Процесс, который создаетобъекты подключения между контроллерами домена, запускается на всехконтроллерах домена автоматически и называется Knowledge Consistence Checker(KCC — дословно: служба проверки непротиворечивости знаний). КСС стартуеткаждые 15 минут и вносит изменения в топологию объектов-подключения, если этонеобходимо (например, если какой-либо из контроллеров домена временнонедостижим).
Внутрисайтовая репликация:
1) RPC over IP – Remote PresageCall over IP – асинхронный трафик, несжимаемый, не требует сертификатов.
2) SMTP- асинхронный, сжатый, требуетсертификата
Active Directory реплицирует информацию в пределах сайта чаще, чем междусайтами, сопоставляя необходимость в обновленной информации каталога сограничениями пропускной способности сети.
В пределах сайта Active Directory автоматическисоздает топологию репликации между контроллерами одного домена с использованиемкольцевой структуры. Топология определяет путь передачи обновлений каталогамежду контроллерами домена до тех пор, пока обновления не будут переданы на всеконтроллеры домена.
Для обеспечения репликации междусайтами нужно предоставить сетевые соединения в виде связей сайтов. Active Directory используетинформацию о сетевых соединениях для создания объектов соединений, чтообеспечивает эффективную репликацию и отказоустойчивость.
3.6 Организациябеспроводного доступа к сети (WLAN)
Две независимые группысотрудников отдела маркетинга работают на ноутбуках и для них необходимосоздать беспроводную сеть WLAN.
Беспроводные локальныесети кратко обозначаются аббревиатурой WLAN (Wireless Local Area Network).Самым распространенным на сегодняшний день стандартом беспроводных сетейявляется Wi-Fi. Он соответствует спецификации IEEE 802.11, которая, в своюочередь, имеет несколько модификаций, обозначаемых буквами a, b, g и n. Беспроводныесети претерпели много модификаций, сейчас наиболее распространены сети,поддерживающие протокол спецификации IEEE 802.11g, обеспечивающие в зоне прямойвидимости скорость передачи данных до 54 Мбит/с. Для работы с WiFi необходимовыбрать протоколы аутентификации.
Операционные системысемейства Windows Server 2003 поддерживают протокол MS-CHAP v2, обеспечивающийвзаимную проверку подлинности, создание более надежных начальных ключейшифрования данных для MPPE (Microsoft Point-to-Point Encryption) и разные ключишифрования для отправки и приема данных. Чтобы свести к минимуму риск раскрытияпароля во время обмена паролями, из протокола исключена поддержка старыхметодов обмена паролями MS-CHAP. Поскольку версия MS-CHAP v2 обеспечивает болеенадежную защиту, чем MS-CHAP, при подключении сначала предлагается использоватьименно ее (если она доступна), а затем уже MS-CHAP. Протокол MS-CHAP v2поддерживается на компьютерах, работающих под управлением Windows XP, Windows 2000,Windows 98, Windows Millennium Edition и Windows NT 4.0. Компьютеры, работающиепод управлением Windows 95, поддерживают MS-CHAP v2 только для подключений VPN,но не для подключений удаленного доступа.
Из-за нецелесообразностииспользования центра сертификации выбираем метод аутентификации EAP-MS CHAP V2,который является самым распространенным, наиболее дешевым и достаточнонадежным.
Для организации доступаиспользуется точка доступа WiFi 3CRWE454G75. Она поддерживает стандарт IEEE802.11g и WPA, в состав которого входит EAP, выступающий каркасом для различныхпротоклов аутентификации, в том числе и MS CHAP V2.
3.7Организация DMZ
Суть DMZ заключается в том, что онане входит непосредственно ни во внутреннюю, ни во внешнюю сеть, и доступ к нейможет осуществляться только по заранее заданным правилам межсетевого экрана. ВDMZ нет пользователей – там располагаются только серверы. Демилитаризованнаязона, как правило, служит для предотвращения доступа из внешней сети к хостамвнутренней сети за счет выноса из локальной сети в особую зону всех сервисов,требующих доступа извне.
В состав DMZ входят:
— сервера DMZ: Mail, Web, ftp,внешний DNS и RAS;
— средства изоляции (межсетевыеэкраны);
— коммутационное оборудование DMZ(коммутатор РГ и прочее оборудование, обеспечивающее связь с другими зданиями исотрудниками корпорации по выделенным каналам).
В качестве серверов Mail, Web и ftpберем свободное ПО, распространяемое по лицензии GNU(или схожим). В частности,в качестве ОС используем FreeBSD, ориентированную на работу в сети. Для этой ОСсуществуют все указанные сервера в виде свободно распространяемых продуктов,поэтому их выбор должен осуществляться при консультации с отделом эксплуатациисети. Например, в качестве Web – сервера может быть развернут Apach вместе сPHP и MySQL или PostgreSQL. Поддержка мировым сообществом этих продуктовдостаточно сильная. Тоже самое относится и большинству других решений дляуказанных серверов.
Для снижения стоимости DMZ следуетфизически разместить сервера, выполняющие схожую по нагрузке работу, на одномфизическом сервере. Для этого развернем на одном сервере Mail и ftp, а на другом Web сервер.
Отдельно ставится сервер RAS на основе Windows Server 2003, так как онпризван обеспечить доступ к сети для удаленных пользователей. Развернуть его наFreeBSD не получится. В добавок, служба DNS должна быть связана со службой AD,поэтому ее также лучше развернуть на сервере с OC Windows 2003 Server.
Для защиты проникновения черездемилитаризованную зону в корпоративную сеть используются межсетевые экраны.Существуют программные и аппаратные экраны. Для программных требуется отдельнаямашина. Для установки аппаратного брандмауэра (программируемого моста) нужнолишь подключить его в сеть и выполнить минимальное конфигурирование. Обычнопрограммные экраны используются для защиты сетей, где нет необходимостипроизводить много настроек, связанных с гибким распределением полосыпропускания и ограничения трафика по протоколам для пользователей. Если сетьбольшая и требуется высокая производительность, выгоднее становится использоватьаппаратные межсетевые экраны.
1) При достаточном финансированиииспользуются 2 firewall-а – один отделяет DMZ от внешней сети, другой- DMZ отлокальной сети
2) При ограниченномфинансировании используется более дешевый вариант: использованию одного серверас тремя сетевыми интерфейсами. Тогда один интерфейс «смотрит» в Интернет,второй – в DMZ и третий – в локальную сеть.
При реализации такого вариантанеобходимо обратить внимание на его недостатки:
— Снижение надежностисети. В случае зависания или перезагрузки сервера ресурсы, находящиеся в DMZ,будут временно недоступны пользователям;
— В случае его выхода изстроя все то время, которое вы потратите на замену, локальная сеть организациибудет практически неработоспособна;
— Слабая защита отвмешательств извне.
Если используются двамежсетевых экрана, то все эти недостатки частично или полностью можноустранить. В случае выхода из строя одного из них в течение буквально несколькихминут сеть из варианта «1» можно превратить в вариант «2», добавив в сервер ещеодну сетевую карту и произведя соответствующие изменения в настройках. К томуже безопасность сети при использовании двух межсетевых экранов повышается.Например, если взломщик сумел проникнуть на сервер, подключенный к WAN и DMZ,то ему не будут доступны ресурсы локальной сети.
Остановимся на второмварианте при использовании программного firewall. В качестве ОС для firewall выбираем FreeBSD, в качестве программного firewall – пакет Smoothwall. В коммерческой версии этот продукт обладаетмощным набором настроек и предоставляет большие возможности по фильтрациипакетов. Так же он предоставляет возможность организации NAT(п. 3.7.1), чтоважно для внешнего FireWall-a.
Оборудование, котороепотребуется для такой организации DMZ, следующее:
— 5 серверов;
— 1 коммутатор ГП;
— коммутационноеоборудование в составе маршрутизаторов 5680 и OfficeConnect ADSL Wireless.
3.7.1 Распределениевнешних IP адресов, использование NAT
/>ТехнологияNATпозволяет выполнять трансляцию адресов из локальных в глобальные через подменупортов. Подмена должна происходить до попадания в WAN, то есть внутри DMZ.
Для обеспечения доступа к серверамDMZ им должен быть назначены внешние IP адреса из доступного по заданиюдиапазона. Для обеспечения подключения пользователей через Dial-Up (п. 3.7.3) реализацию технологииNAT необходимо сделать на внешнем firewall. Так же необходимо назначить статические внешние IP адресана все сетевые интерфейсы внутреннего firewall, кроме связанного с локальнойсетью.
3.8 Подключение филиалови удаленных пользователей
Согласно заданию накурсовую работу, все три здания корпорации CorpKAM географически разнесены, поэтому необходимоопределить, каким образом будет происходить подключение филиалов к главномузданию A.
3.8.1Подключение здания В по каналу Т1
Здание В расположено вдругом городе, удалённом на значительное расстояние от главного офиса. Для егоподключения арендуется канал T1. Для обеспечения репликации сайтов и зон DNS, целесообразно подключить выделенныйканал к коммутатору, соединяющему корпоративные серверы в демилитаризованнойзоне. На стороне здания Bиспользуется специальный маршрутизатор 5680, имеющий возможность подключенияканалов T1. В здании А стоит аналогичный маршрутизатор.
Канал T1 — первичныйканал иерархии PDH — является основным каналом, используемым во вторичных сетяхтелефонии, передачи данных и ISDN. Структура систем передачи T1 включают три уровня эталонноймодели OSI: физический, канальный и сетевой. Физический уровень описываетэлектрический интерфейс потока T1, атакже параметры сигнала T1.
Канальный уровеньописывает процедуры мультиплексирования и демультиплексирования каналов болеенизкого уровня иерархии (ОЦК 64 кбит/с и каналов ТЧ) в поток T1, цикловую и сверхцикловую структурупотока T1, встроенные процедуры контроляошибок и т.д. Наконец, сетевой уровень описывает процедуры управления каналами T1 в первичной сети, а также контрольпараметров ошибок на сетевом уровне. Этот уровень является относительнонеполным и включает всего лишь несколько процедур. Основным же для рассмотрениясистем передачи T1 являетсяструктура канального уровня. Рассмотрим более подробно структуру каждого изтрех уровней систем T1.
Используемые типы кодирования:HDB3 (стандартизирован), либо AMI.Уровень цифровой иерархии Скорости передачи, соответствующие различным системам цифровой иерархии, кбит/с Американский стандарт(Tx) Японский стандарт(DSx)Jx Европейский стандарт(Ex) 1 (первичный) – T1 1544 (24 канала) 1544 (24 канала) 2048 (30 каналов по 64kbps) 2 (вторичный) – T2 6312 (96 каналов) 6312 (96 каналов) 8448 (120 каналов по 64kbps) 3 (третичный) – T3 44736 (672 канала) 32064 (480 каналов) 34368 (480 каналов по 64kbps) 4 (четвертичный) — T4 274176 (4032 канала) 97728 (1440 каналов) 139264 (1920 каналов по 64kbps) 5 (пятеричный) *не используется* 397200 564992
Таким образом, выбранный маршрутизаторподключается к одному из портов коммутатора, объединяющего серверы вдемилитаризованной зоне здания А. Поскольку для соединения филиала В с главнымофисом не используется никакая публичная сеть, то на этом канале организовыватьVPN с целью защиты данных не будем.
3.8.2 Подключение зданияС по каналу ADSL
Филиал Research (здание C) связывается с главным офисом через Internet маршрутизаторами с функцией «дозвонпо требованию», используя подключение ADSL. Выбранный маршрутизатор OfficeConnect ADSL Wireless не поддерживаетфункцию «дозвон по требованию», поэтому для обеспечения автодозвона будетиспользоваться сервер двумя сетевыми интерфейсами с ОС FreeBSD через пакет PPPD. Помимо маршрутизации, эта машина будет выполнять роль межсетевогоэкрана, для чего на ней будет установлен пакет Smoothwall. Выбранный маршрутизатор имеет средствадля организации VPN-туннелей с аппаратным шифрованием данных по протоколамWPA/WPA2 шифрование 128- bit с TKIP/AES wireless encryption, 40/64-bit и128-bit WEP шифрование. Для сохранения конфиденциальности данных, передаваемыхмежду зданиями A и C, организуем VPN-туннель.
ADSL (Asymmetric DigitalSubscriber Line — Асимметричная цифровая абонентская линия) входит в числотехнологий высокоскоростной передачи данных, известных как технологии DSL(Digital Subscriber Line — Цифровая абонентская линия) и имеющих общееобозначение xDSL.
/>
Рисунок 4. Распределениечастот в ADSL
ADSL являетсяасимметричной технологией — скорость «нисходящего» потока данных(т.е. тех данных, которые передаются в сторону конечного пользователя) выше,чем скорость «восходящего» потока данных (в свою очередьпередаваемого от пользователя в сторону сети).
Технология ADSLиспользует метод разделения полосы пропускания медной телефонной линии нанесколько частотных полос (также называемых несущими). Это позволяетодновременно передавать несколько сигналов по одной линии. Кроме этого можетприменяться технология эхокомпенсации (Echo Cancellation), при использовании которойдиапазоны «восходящего» и «нисходящего» потоковперекрываются (смотрите рисунок 5) и разделяются средствами местнойэхокомпенсации.
/>
Рисунок 5. Частотноеуплотнение линии связи и эхокомпенсация
Для защиты данных припередаче через публичную сеть используется VPN, описание которого приведеныниже в п.3.8.4.
3.8.3Подключение сотрудников корпорации в Европе по каналам ISDN
Аббревиатура ISDNрасшифровывается как цифровая сеть с интеграцией услуг (Integrated ServicesDigital Network). Технология ISDN базируется на пользовательских каналах соскоростью 64 Кбит/с (так называемых B-каналах) и на отдельном служебном канале(D-канале).
Канал «B»(Bearer) — канал дляпередачи голоса, данных, видео c пропускной способностью 64 Кбит/с. Онпредоставляется «чистым», т.е. вся его полоса пропускания доступнадля передачи информации, а вызовы, сигнализация и другая системная информацияпередается по D-каналу.
Канал «D»(Delta) — служебныйканал для передачи управляющих сигналов с пропускной способностью 16 (BRI) или64 (PRI) Кбит/с. Один канал типа «D» обслуживает 2 или 30 (Европа)В-каналов и обеспечивает возможность быстрой генерации и сброса вызовов, атакже передачу информации о поступающих вызовах, в том числе о номереобращающегося к сети абонента.
BRI (Basic RateInterface) — стандартныйбазовый интерфейс с пропускной способностью 144 Кбит/с (EuroISDN); он объединяетдва канала «B» и один канал «D». К интерфейсу BRI можноподключить до восьми различных ISDN-устройств. При этом каждому устройствувыделяется свой индивидуальный номер (multiple subscriber numbers). Оченьважная особенность ISDN состоит в том, что для установки BRI-розетки операторуобычно не требуется прокладывать новую телефонную пару — используется обычнаялиния ТСОП.
Физическим уровнеминтерфейса BRI, определяющего правила взаимодействия конечных пользователей икоммутатора ISDN, служит обычная витая пара, которая работает в дуплексномрежиме передачи данных, — так называемый U-интерфейс.
PRI (Primary RateInterface) — этотинтерфейс объединяет несколько B-каналов (например, в Европе — 30 В-каналов собщей полосой пропускания 2,048 Мбит/с). В отличие от BRI, он поддерживаеттолько одно оконечное устройство. Но подключив, например, локальную АТС илимаршрутизатор c поддержкой ISDN, можно разбить PRI на множествоBRI-интерфейсов. В настоящее время для предоставления офисам PRI-сервиса широкоиспользуется абонентская цифровая линия на одной (SDSL) или двух (HDSL)телефонных парах.
По сравнению страдиционными аналоговыми сетями, ISDN имеет ряд преимуществ:
- экономия времениблагодаря быстрому соединению между абонентами (менее 1 секунды внутри города ине более 10 секунд при междугородном вызове);
- два полноценныхгородских номера по одной паре проводов, вместо одного, как при аналоговомподключении;
- возможностьподключить до 8 различных устройств (компьютер, факс, телефон, видеотелефон идр.), два, из которых могут работать одновременно;
- великолепноекачество связи, отсутствие прерываний и посторонних шумов на линии;
- высокая скоростьсоединения с сетью Интернет — гарантированные 128 Кбит/с до провайдера, вместонегарантированных при аналоговом подключении 51200 Кбит/с (в лучшем случае);
- широкий спектрразличных дополнительных услуг (более надежное определение номера вызывающегоабонента (CLIP), мультиплексирование абонентских номеров (MSN), мини-АТС,переадресация по различным критериям, 3-х сторонняя конференция и т.д.).
По одной физической парепользователь получает две независимые цифровые линии по 64 Кбит/c (вместоодной, как аналоговом подключении), которые он может использовать для:
- подключения двухобычных или специальных цифровых телефонов;
- одновременногоподключения телефона и ISDN-устройства передачи данных на скорости 64 Кбит/c;
- подключенияISDN-устройства передачи данных на скорости 128 Кбит/c (для подключения к сетиИнтернет или организации внутрикорпоративной сети).
Кроме этого:
- ISDN можетработать со всеми типами информации, включая голос, текст, изображение, аудио-и видеоинформацию;
- ISDN позволяетобъединить компьютерные сети компании, имеющей рассредоточенные офисы в какпределах города (звонок бесплатный), так и за его пределами (поминутная оплатаза межгород, соединение по требованию — DDR) с гарантированной (в отличие отсети «Интернет») скоростью 64 или 128 Кбит/c;
- стоимостьISDN-оборудования значительно меньше, чем стоимость модемов для выделенныхлиний;
- абонент получаетшестизначный номер городской телефонной сети и имеет возможность пользоватьсяуслугами междугородной связи.
Для защиты данных припередаче через публичную сеть используется VPN, описание которого приведеныниже в п.3.8.4.
/>
3.8.4 Подключениесотрудников по каналам Dial-Up
Согласно заданиюнесколько привилегированных сотрудников работают в своих домашних офисах SOHO, подключающихся к главному офису покоммутируемым каналам связи Dial-up. Подключение этих клиентов будемосуществлять по VPN на основеслужбы RAS ОС Windows 2003 Server, так какподключение будет производится через общедоступные телефонные сети. Проверкуподлинности удаленных пользователей в этом случае сначала выполняет сторонняяорганизация (в процессе предоставления доступа по телефонной линии), а затем ихаутентифицирует VPN-серверудаленного доступа (при подключении к частной сети).
При организации VPN могут использоватьсяусовершенствованные версии протоколов РРР (Point-to-Point Protocol), РРТР (Point-to-Point Tunneling Protocol) и L2TP (Layer 2 Tunneling Protocol). Для обеспечения безопасностиконфиденциальных данных будем применять шифрование на основе протокола IPSec в туннелях L2TP, которыеявляются более надежными, чем туннели PPTP.
VPN-подключение состоитиз следующих компонентов:
- VPN-сервер — компьютер, принимающийVPN-подключения от клиентов VPN.
- VPN-клиент — компьютер, инициирующийVPN-подключение к серверу VPN. VPN-клиентом может быть отдельный компьютер илимаршрутизатор.
- Туннель — часть подключения,содержащая инкапсулированные данные. Можно создать туннель и передавать по немуданные без шифрования. Это не является VPN-подключением, поскольку личныеданные передаются через общедоступную сеть в незащищенном, легко доступном длячтения виде.
- VPN-подключение — часть подключения,содержащая зашифрованные данные.
- Туннельные протоколы — протоколы,используемые для управления туннелями и инкапсуляции личных данных.Операционные системы семейства WS2003 поддерживают туннельные протоколы PPTP иL2TP.
- Туннелированные данные — данные,обычно передаваемые при помощи частного подключения «точка-точка».
- Транзитная объединенная сеть — общедоступная сеть, по которой передаются инкапсулированные данные. Воперационных системах семейства WS2003 транзитная объединенная сеть всегдаявляется сетью IP. Транзитной объединенной сетью может быть Интернет иличастная интрасеть на основе IP-протокола.
/>
Рисунок 6. ОрганизацияVPN-тоннеля
Протоколы туннелирования:
РРТР и L2TP позволяют зашифроватьмультипротокольный трафик, а затем инкапсулировать его в IP-заголовок, который будет послан пообъединенной IP-сети организации или общественнойобъединенной IP-сети типа интернета. Основаны напротоколе РРР, следовательно имеют функции для управления сеансом, назначенияадресов и маршрутов.
Режим туннелирования IPSec (IPSec ТМ)позволяет зашифровывать IP-пакетыи затем инкапсулировать их в IP-заголовок,который будет послан по объединенной IP-сети организации или открытой объединенной IP-сети типа интернета.
Технология IPSec TM не рекомендуется для VPN-подключений удаленного доступа, потому что она несодержит никаких стандартных методов для аутентификации пользователей,назначения IP-адресов и назначения адреса сервераимен. Возможно использовать технологию IPSec TM для межсайтовых VPN-подключений на компьютерах с системой WS2003.
PPTP (Point-to-PointTunneling Protocol) —является расширением протокола PPP и использует механизмыпроверки подлинности, сжатия и шифрования этого протокола. Протокол PPTP иметод шифрования MPPE (Microsoft Point-to-Point Encryption) обеспечиваютосновные необходимые для виртуальных частных сетей службы инкапсуляции ишифрования частных данных. Кадр PPP зашифровывается по методу MPPE сиспользованием ключей шифрования, созданных в процессе проверки подлинности попротоколу MS-CHAP, MS-CHAP v2 или EAP-TLS.
Кадр PPP, содержащий IP — датаграмму заключается в оболочку с заголовком GRE (Generic RoutingEncapsulation) и заголовком IP. В заголовке IP-адреса источника и приемникасоответствуют VPN-клиенту и VPN-серверу.
/>
Рисунок 7. Структуракадра PPP
L2TP (Layer Two TunnelingProtocol) — это туннельный протокол на основе RFC, являющийся промышленнымстандартом. L2TP использует средства шифрования, предоставляемые методом IPSec.Комбинацию L2TP и IPSec называют L2TP/IPSec. Комбинация L2TP/IPSec обеспечиваетработу служб VPN, выполняющих инкапсуляцию и шифрование частных данных.
/>
Рисунок 8. Структуракадра L2TP
Инкапсуляция пакетовL2TP/IPSec выполняется в два этапа.
1. Инкапсуляция L2TP — кадр PPP (IP-датаграмма или IPX-датаграмма) заключается в оболочку с заголовкомL2TP и заголовком UDP.
2. Затем полученноеL2TP-сообщение заключается в оболочку с заголовком и трейлером IPSec ESP(Encapsulating Security Payload), трейлером проверки подлинности IPSec,обеспечивающим целостность сообщения и проверку подлинности, и заголовком IP. Взаголовке IP-адреса источника и приемника соответствуют VPN-клиенту иVPN-серверу.
Сообщение L2TP шифруется с использованием стандарта DES или3DES при помощью ключей шифрования, созданных в процессе согласования IKE(Internet Key Exchange).
Преимущества протоколаL2TP/lPSec в сравнении с РРТР
1) Метод IPSec ESP дает аутентификацию источника данных каждого пакета,целостность данных, защиту от атак воспроизведения и конфиденциальность данных(шифрование). В противоположность этим свойствам, протокол РРТР обеспечиваеттолько конфиденциальность данных в каждом пакете.
2) Подключения L2TP/IPSec обеспечиваютболее сильную аутентификацию, требуя как аутентификации на уровне компьютерачерез сертификаты, так и аутентификации на уровне пользователей черезаутентификационный протокол РРР.
3) В протоколе L2TP/IPSec пакеты РРР,обмен которыми происходит в процессе аутентификации на уровне пользователей,никогда не посылаются в незашифрованной форме, потому что процессРРР-подключения происходит после установления соглашения по безопасности IPSec. В случае перехвата РРР-пакетыопознавательного обмена для некоторых типов аутентификационных РРР-протоколовмогут использоваться для автономных словарных атак и определенияпользовательских паролей;
4) Связка L2TP\IPSecможет работать в двух режимах – с использованием цифровых сертификатов и сиспользованием предварительных ключей. Сертификаты дают гибкую возможность поорганизации доступа, однако требуют развертывания службы сертификатов.Применение предварительных ключей делает сертификаты не нужными, однако требуетприменения для всех клиентов одинакового ключа. Для автоматического обновлениятребуется применение Диспетчера подключений (Connection Manager).
Преимущества протокола РРТР по сравнению с протоколом L2TP/IPSec
1) Протокол РРТР нетребует инфраструктуры сертификатов. Протоколу L2TP/IPSec требуется инфраструктурапредварительного установления общих секретов или инфраструктура сертификатовдля выдачи компьютерных сертификатов VPN-серверу и всем компьютерам VPN-клиентов. В случае использования предварительных ключей это ограничениеснимается.
2) Клиенты РРТР могут находиться затранслятором сетевых адресов (NAT),если транслятор NAT имеет редактордля РРТР-трафика. Клиенты или VPN-серверы,базирующиеся на протоколе L2TP/IPSec, не могут располагаться позади NAT-устройства, если только поддержкаVPN в нем не установлена отдельно.
Существуетнесколько способов защиты конфиденциальности данных, пересылаемых междуклиентами и VPN-сервером удаленного доступа:
— проверка подлинности удаленных пользователей;
— шифрование конфиденциальных данных;
— применение политик удаленного доступа.
Чтобыобеспечить доступ к ресурсам частной сети только уполномоченным удаленнымпользователям, в проекте следует предусмотреть аутентификацию, или проверкуподлинности, удаленных пользователей. В этом случае для входа в системупользователям необходимо ввести реквизиты: имя пользователя, пароль и имядомена. Проверка реквизитов может выполняется на основе:
— локальных учетных записей, хранимых на VPN-сервере удаленного доступа;
— учетных записей Active Directory, хранимых на контроллерах домена.
Впроектируемой сети будем осуществлять аутентификацию и авторизациюпользователей на основе учетных записей Active Directory. Доступ к ресурсам удаленномупользователю будет предоставляться на основании принадлежности его копределенной группе, авторизованной для доступа к данному ресурсу внутреннейсети. В целях безопасности реквизиты удаленных шифруются при пересылке междуклиентом и сервером удаленного доступа.
Вкорпорации CorpKAM для организации VPN выбираем связку протоколов L2TP\IPSec cиспользованием предварительных ключей, так как он позволяет обойтись безорганизации системы сертификации, что упрощает построение сети, однако снижаетбезопасность организованного подключения через VPN.
3.9 Обеспечениевозможности проведения аудио и видео конференций
Дляобеспечения видео и аудио конференций необходимо использовать возможностиоборудованию по обеспечению QoS. Применяемые коммутаторы и маршрутизаторы имеюттакую возможность, поэтому все, что необходимо сделать – это настроитьсоответствующим образом QoS накаждом устройстве.
5.ЗАКЛЮЧЕНИЕ
В ходе выполнениякурсовой работы был разработан эскизный проект сети корпорации CorpKAM. Была спроектирована физическаяструктура сети здания каждого из филиалов. При выборе сетевого оборудованияотдавалось предпочтение продукции компании 3Com, которую отличает высокая надежность и приемлемоесоотношение цена/качество. К тому же, использование сетевого оборудованияодного производителя гарантирует совместимость.
В процессе проектированияфизической структуры сети зданий учитывались правила построенияструктурированных кабельных систем.
Также в ходе курсовойработы была спроектирована как логическая, так и физическая структура службыкаталогов – Active Directory. Был определен состав доменов, числоконтроллеров в каждом из них и роли, выполняемые ими. Для корректной репликацииданных главного каталога, домены были включены в состав сайтов.
Служба DNS интегрирована в Active Directory. В целях безопасности внутреннюю ивнешнюю среды обслуживают разные DNS-серверы.Выбранное количество и размещение внутренних и внешних серверов DNS позволяет быстро обслужить запросы иминимизировать трафик WAN.
В целях безопасности впроекте широко применяются межсетевые экраны. Для организации конфиденциальногоудаленного доступа к ресурсам сети используется технология VPN на основе протокола туннелирования L2TP\IPSec.