Разработка корпоративной сети для железнодорожного вокзала

 

Министерство образования и науки Российской Федерации

Вологодский государственный технический университет










Курсовой проект:

Разработка корпоративной сети для железнодорожного вокзала




Выполнил: Павлов А. А.

Группа: ИТ-11

Принял: Суконщиков А.А.









Вологда

г.

СОДЕРЖАНИЕ


Оглавление

Техническое задание

Введение

1. Определение информационных потоков на предприятии4

1.1 Организационная структура издательства

1.2 Схема информационных потоков предприятия

1.3 Трафик информационных потоков

1.4 Определение коэффициента нагрузки ЛВС

2. СХЕМА ИНФОРМАЦИОННЫХ ПОТОКОВ С УЧЕТОМ СЕРВЕРОВ

2.1 Определение информационной схемы предприятия с учетом серверов

2.2 Схема информационных потоков с учетом серверов

2.3 Определение физических серверов

3. РАЗРАБОТКА СТРУКТУРНОЙ СХЕМЫ КОРПОРАТИВНОЙ СЕТИ

3.1 Обобщенное описание сети

3.2 Выбор топологии и метода доступа корпоративной сети

3.3 Определение среды передачи

3.4 Организация связи с филиалами, технология SDH

3.5 Организация связи с филиалами, технология MetroEthernet:

3.6 Структурная схема корпоративной сети

4. ВЫБОР ОБОРУДОВАНИЯ

4.1 Описание QoS:

4.2 Выбор коммутаторов:

4.3 выбор мультиплексора SDH:

4.4 Выбор IP-телефонов и видеофонов

4.5 Выбор IP-камер

4.6 Выбор серверов

4.7 Выбор рабочих станций

5. ВЫБОР ПРОГРАМНОГО ОБЕСПЕЧЕНИЯ

5.1 Выбор операционной системы серверов и рабочих станций:

5.2 Выбор вспомогательного серверного ПО:

5.3 Выбор сетевых СУБД:

6. ЗАЩИТА СЕТИ

6.1 Защита от внутреннего НСД

6.2 Защита от внешнего НСД:

6.3 Выбор сетевых протоколов

7. РАСПРЕДЕЛЕНИЕ IP-АДРЕСОВ

8.1 Расчет длины витой пары

8.2 Расчет длины оптоволокна

9. Моделирование системы в GPSS

Выводы моделирования

ЗАКЛЮЧЕНИЕ

СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ

ПРИЛОЖЕНИЯ


Техническое задание

информационный сеть сервер коммутатор

Задание: спроектировать корпоративную сеть для железнодорожного вокзала.

Исходные данные:

Три двухэтажных здания 20х220м.

Расстояние между зданиями 180 м.

Два филиала, один в этом же городе, второй в другом городе.

Так же нужен выход в Интернет.

Введение


Корпоративная сеть-это сеть, главным назначением которой является поддержание работы конкретного предприятия, владеющего данной сетью. Корпоративные сети объединяют большое количество компьютеров на всех территориях отдельного предприятия. Они могут быть сложно связаны и покрывать город, регион или даже континент. Число пользователей и компьютеров может измеряться тысячами, а число серверов - сотнями. Для корпоративной сети характерны: масштабность - тысячи пользовательских компьютеров, сотни серверов, огромные объемы хранимых и передаваемых по линиям связи данных, множество разнообразных приложений; использование глобальных связей - сети филиалов соединяются с помощью телекоммуникационных средств, в том числе телефонным каналов, радиоканалов, спутниковой связи.

Целью данного курсового проекта является проектирование корпоративной сети для системы сбыта. Учреждение располагается в двух семиэтажных зданиях размером 20*220 м. Расстояние между зданиями 180 м. Имеется 2 филиала: один - в этом же городе, другой- в другом городе. Компьютерная сеть позволяет облегчить обслуживание компьютеров, слежение за их работоспособностью, быстрое реагирование на поломки. Современные сетевые операционные системы позволяют системному администратору настроить удаленный компьютер, установить на нем необходимое программное обеспечение со своего рабочего места. Так же локальная сеть позволяет обеспечить выход в Интернет всех пользователей сети через один компьютер, имеющий выход в Интернет.


1. Определение информационных потоков на предприятии


.1 Структура железнодорожного вокзала.


Выделим на предприятии следующие отделы:

. Справочный зал (10 компьютеров)

. Бухгалтерия (10 компьютеров)

. Администрация вокзала (5 компьютеров)

. Охрана (4 компьютера)

. ИТ-отдел (15 компьютеров).

. Камеры хранения (3 компьютера)

. Зал официальных делегаций (20 компьютеров)

. Пригородные кассы (10 компьютеров)

. Кассы дальнего следования 1 (12 компьютеров)

. Кассы дальнего следования 2 (15 компьютеров)


1.2 Схема информационных потоков предприятия


Информационный поток осуществляется по следующей схеме, изображенной на рисунке 1.1:

Рис.1.1.


.3 Трафик информационных потоков


Для каждого рабочего часа определим информационную нагрузку каждой информационной связи каждого отдела автотранспортного предприятия. Информационная нагрузка одной информационной связи определяется по результатам анализа документооборота в обоих направлениях между данным подразделением и каждым подразделением, непосредственно с ним связанным.

Соотношение между информационными потоками выразим с помощью таблицы. Цифры, приведенные в таблице 1.1, условны, поскольку количество информации (в Мб/ч), идущей от одного отдела к другому, невозможно подсчитать без наблюдения за функционирующей сетью. Также для каждого отдела подсчитаем суммарный трафик. Отделы пронумеруем так же, как в п.1.1.

Таблица 1

Соотношение между информационными потоками отделов


Отделы посылают информацию№12345678910Ф1Ф2? 1200300100---200---20020012002100300200-150100------8503200200300150300-----30020016504--150600-200-200200200--15505-150100-200-200100508015015011806-100-200-400------7007100---200-100505050--5508---10050-50200----4009---10050-50-200---40010---100100-50--200--450Ф1400-200-100-----300-1000Ф2200-300-100------4001000?1200105013501250125070065055050053095095021860

.4 Определение коэффициента нагрузки ЛВС



где Ср - трафик в канале, Смакс - пропускная способность канала для базовой технологии сети Fast Ethernet - 100 Mбит/с или 45000 Mбайт/час.

rн - коэффициент нагрузки неструктурированной сети или домена коллизий - логического сегмента ЛВС, т.е. коммутатора соединенного с рабочими станциями. Доменом коллизий будем считать коммутатор с прилегающими соединительными проводами. Номер домена совпадает с номером коммутатора.

Произведем расчет для каждого коммутатора или домена коллизий:


Коммутатор №1:

Коммутатор №2:

Коммутатор №3:

Коммутатор №4:

Коммутатор №5:

Коммутатор №6:

Коммутатор №7:

Коммутатор №8:

Коммутатор №9:

Коммутатор №10:


Определим трафик к серверу и коэффициент нагрузки по трафику к серверу:


,

где - суммарный трафик для серверов.



Получаем:



Рассчитанные коэффициенты согласуются с условием допустимой нагрузки ЛВС, т.е. . Значит, данная структурная схема удовлетворяет требованиям.



2. ИНФОРМАЦИОННЫЕ ПОТОКИ МЕЖДУ ОТДЕЛАМИ С УЧЕТОМ СЕРВЕРОВ


.1 Определение информационной схемы предприятия с учетом серверов


Любой сотрудник должен иметь возможность связаться с определенной базой данных и получить нужную информацию. Каждый сотрудник в ходе работы обменивается информацией с другими сотрудниками и пользуется общими ресурсами сети. По мере необходимости определённые сотрудники могут выходить в Internet и получать нужную информацию. Также требуется антивирусная защита.

В данном пункте определим информационные потоки, но уже с учётом серверов.

. PDC- Primary Domen Controller - хранит информацию об учётных записях пользователей в сети, служит для обработки потоков информации между отделами, для организации внутреннего документооборота

. BDC - Backup Domain Conroller, используется в случае отказа основного контроллера.

. Сервер БД. СУБД включает в себя следующие базы данных: база данных отдела кадров (информация по работникам); база данных бухгалтерии (информация о зарплатах), видеоархив камер наблюдения. К СУБД имеют доступ следующие отделы: директор, отдел бухгалтерии, отдел кадров, отдел ИТ, рабочий кабинет, охрана, склад.

. Сервер резервного копирования(Backup-сервер) - нужен для сохранения данных на случай неполадок с серверами. Выполняет автоматически ежедневное архивирование всех важных данных.

. Серверы - шлюзы, обеспечивают безопасность в сети как внутри, так и извне. В эту группу входят следующие серверы:

а) Web - сервер служит для обеспечения доступа в Internet;

б) Mail - сервер служит для внешней почты;

в) Firewall - межсетевой экран.

г) DNS-сервер и DHCP-сервер.

д) сервер организации шифрования для связи с филиалами

5. Сервер для работы с медленными клиентами(RAS).

6. Файл-сервер, на нем же выполняется архивирование БД бухгалтерии на случай проверки налоговой службой.

7. Сервер охраны, на нем хранятся записи с камер видеонаблюдения

6.Сервис-сервера: Телефонный сервер (Call Manager), сервер видеосвязи;

Для удобства объединим несколько серверов в один, т. о. количество серверов предприятия равно 4.


.2 Схема информационных потоков с учетом серверов


Рис. 2.1. Схема информационных потоков с учетом серверов


Выделим следующие потоки (приоритеты): 1 - телефония и датчики, 2 - видеосвязь и видео с камер наблюдения, 3 - базы данных, 4 - передача файлов и прочее. Использование отделами потоков представлено в таблице 2.

Таблица 2

Номер отделаИспользуемые потоки (приоритеты)11,2,3,421,2,3,431,2,3,441,251,2,3,461,371,2,48,9,101,2,4Филиалы3,4Сервер 2,3,43,4

2.3 Определение физических серверов


Таблица 3

Соотношение между информационными потоками серверов


№ отделаСервераFS1FS2FS3FS41400600200300240050050030034003502504004400-300-54003002506006300-300-7400-3003008150-1504009150-15040010150-15060011---90012---1700FS1----FS2--200200FS3300---FS4-400--

3. Разработка структурной схемы корпоративной сети


3.1 Обобщенное описание сети


На основе разработанных информационных потоков составим структурную схему локальной вычислительной сети для предприятия сбыта. Все располагается в двух зданиях, причем отделы расположены на первых этажах и седьмых.

Для защиты сети от «внутреннего врага» будем использовать коммутаторы (sw) вместо концентраторов (hub). Такие меры позволят получать пакеты данных только адресату. При использовании же концентраторов пакеты получат все те компьютеры, которые подключены к данному устройству. Расстояние между зданиями, согласно техническому заданию, составляет 180 метров.

В состав сети входят: 104 рабочие станции, 4 сервера, 11 коммутаторов и 1 мультиплексор SDH

Расположим отделы по зданиям и определим количество рабочих станций:

Здание №1:

Справочный зал (10 компьютеров)

Бухгалтерия (10 компьютеров)

Администрация вокзала (5 компьютеров)

Охрана (4 компьютера)

ИТ-отдел (15 компьютеров).

Зал официальных делегаций (20 компьютеров)

Здание №2:

Пригородные кассы (10 компьютеров)

Кассы дальнего следования 1 (12 компьютеров)

Здание №3:

Кассы дальнего следования 2 (15 компьютеров)

Камеры хранения (3 компьютера)

Здания соединены через коммутаторы, находящиеся на первых этажах зданий, с помощью оптоволоконного кабеля, проложенного по подземным коммуникациям.

Серверы подключены к центральному коммутатору SW8. , FS2, FS3, FS4 расположены в первом здании на втором этаже.


.2 Выбор топологии и метода доступа корпоративной сети


.Топология типа звезда.

В этом случае каждый компьютер подключается отдельным кабелем к общему устройству, называемому концентратором, который находится в центре сети. В функции концентратора входит направление передаваемой компьютером информации одному или всем остальным компьютерам сети. Главное преимущество такой топологии - большая надежность, любые неприятности с кабелем касаются лишь того компьютера, к которому этот кабель присоединен, и только неисправность концентратора может вывести из строя всю сеть. К недостаткам данной топологии относится высокая стоимость сетевого оборудования из-за необходимости приобретения концентратора.

.Кольцевая топология.

Данные передаются по кольцу от одного компьютера к другому, как правило, в одном направлении. В сети с кольцевой топологией необходимо принимать специальные меры, чтобы в случае выхода из строя или отключения какой либо станции не прервался канал связи между остальными станциями. Достоинства - большое количество абонентов, не чувствительность к изменению их количества, наличие усиления сигнала в кольце.

.Шинная.

Является очень распространенной топологией для локальных сетей. В этом случае компьютеры подключаются к одному коаксиальному кабелю по схеме «монтажное ИЛИ». Передаваемая информация может распространяться в обе стороны. Основные преимущества такой схемы являются дешевизна и простота разводки кабеля по помещениям. Самые серьезные недостатки шинной топологии заключаются в ее низкой надежности: любой дефект кабеля или одного из многочисленных разъемов может привести к полной парализации сети, и низкой производительности: в каждый момент времени только один компьютер может передавать данные в сеть.

Топология локальной сети является одним из самых критичных факторов, влияющих на производительность. В случае необходимости три основные топологии (звездообразную, кольцевую и шинную) можно комбинировать произвольным образом. Большинство современных технологий локальный сетей не только приветствуют, но даже обязывают использовать творческий подход. Очень важно разбираться в преимуществах и недостатках топологий, влияющих на производительность сети. Кроме того, следует учитывать и такие, казалось бы, необъективные факторы, как расположение рабочих станций в здании, пригодность кабеля, а также даже тип и способ проводки.

Основным критерием выбора удачной топологии являются требования пользователей к производительности. Такие факторы, как стоимость, предполагаемая модернизация и ограничения существующих технологий, играют второстепенную роль.

Исходя из преимуществ и недостатков каждой из топологий, выбираем «звездно-шинную» топологию. Т.к. по физической структуре - это «звезда», а логически в данной сети поддерживается топология «шина», т.е. сигнал распределяется ко всем абонентам данной сети.

3.3 Определение среды передачи


) для соединений между рабочими станциями и коммутаторами рабочих групп, а так же соединения между коммутаторами на этажах используем технологию 100Base-TX. Среда передачи данных - кабель UTP категории 5. Это кабель на основе неэкранированной витой пары (UTP). Образует звездообразную топологию на основе концентратора. Расстояние между концентратором и конечным узлом - не более 100 м. В 100Base-TX передача данных осуществляется по двум парам проводов, каждая из которых передаёт только в одну сторону. Каждый из абонентов подключается с помощью такого кабеля к концентратору, использование которого здесь обязательно.

) для соединения между зданиями используем технологию 100BASE-FX. Cреда передачи 100BASE-FX-- оптоволоконный кабель. Топология - «пассивная звезда». Компьютеры соединяются с помощь двух разнонаправленных оптоволоконных кабелей. Для представления данных при передаче по кабелю определён метод кодирования - 4B/5B. При этом методе каждые 4 бита данных подуровня MAC представляются 5 битами. Избыточный бит позволяет применить потенциальные коды при представлении каждого из пяти битов в виде оптических импульсов. Максимальная длина кабеля - 400м.

) для соединения серверов с коммутатором серверов технологию Gigabit Ethernet (1000BASE-T). Специальная рабочая группа 802.3ab разработала вариант Gigabit Ethernet на UTP категории 5. Для обеспечения скорости в 1000 Мбит/с используется одновременная передача данных по четырем неэкранированным витым парам, скорость в 250 Мбит/с обеспечивает метод кодирования РАМ-5, полнодуплексный режим поддерживается за счет встречной одновременной передачи информации по каждой паре с выделением принимаемого сигнала из общего с помощью сигнальных процессоров DSP. Для обеспечения приемлемого максимального диаметра сети в 200м в полудуплексном режиме разработчики технологии пошли на увеличение минимального размера кадра с 64 до 512 байт. Разрешается также передавать несколько кадров подряд, не освобождая среду, с общей длиной 8196 байт, тогда кадры не обязательно дополнять до 512 байт.


.4 Организация связи с филиалами, технология SDH


Для организации связи с филиалом в этом же городе применяется технология SDH.- Synchronous Digital Hierarchy - это технология транспортных телекоммуникационных сетей. Эти стандарты определяют характеристики цифровых сигналов, включая структуру фреймов (циклов), метод мультиплексирования, иерархию цифровых скоростей и кодовые шаблоны интерфейсов и т. д.

Интерфейсы:

Электрические интерфейсы:

Стандартизация интерфейсов определяет возможность соединения различного оборудования от разных производителей. Система SDH обеспечивает универсальные стандарты для сетевых узловых интерфейсов, включая стандарты на уровне цифровых скоростей, структуру фрейма, метод мультиплексирования, линейные интерфейсы, мониторинг и управление. Поэтому SDH оборудование от разных производителей может легко соединяться и устанавливаться в одной линии, что наилучшим образом демонстрирует системную совместимость.

Система SDH обеспечивает стандартные уровни информационных структур, то есть набор стандартных скоростей. Базовый уровень скорости - STM-1 155,52 Mбит/с. Цифровые скорости более высоких уровней определяются умножением скорости потока STM-1, соответственно, на 4, 16, 64 и т. д.: 622 Мбит/с (STM-4), 2,5 Гбит/с (STM-16), 10 Гбит/с (STM-64) и 40 Гбит/с (STM-256).

Оптические интерфейсы:

Линейные (оптические) интерфейсы работают, используя универсальные стандарты. Линейный сигнал только скремблируется (англ. scrambled - зашифрованный), вставки избыточного кода нет.

Стандарт скремблирования - универсальный. Поэтому и на приеме, и на передаче должны использоваться стандартные скремблер и дескремблер. Цель скремблирования - сделать вероятность возникновения «1» бита и «0» бита близкой к 50 % для облегчения извлечения синхросигнала из линейного сигнала. Поскольку линейный сигнал только скремблируется, линейная скорость сигнала SDH соответствует стандартной скорости сигнала на электрическом интерфейсе SDH. Таким образом, потребление оптической мощности передающими лазерами остается неизменным, однако, снижается их тепловыделение (так как исключается возможность следования большого количества «1» подряд), что увеличивает их ресурс. Еще одной причиной по которой используется скремблирование - длительная последовательность «1» («0») автоматической петлей регулировки усиления воспринимается как увеличение (уменьшение) уровня входного сигнала, что может привести к неправильной регулировке

Как работает SDH:

Процедура контейнирования нагрузки:

Вся информация в системе SDH передается в контейнерах. Контейнер представляет собой структурированные данные, передаваемые в системе. Если система PDH генерирует трафик, который нужно передать по системе SDH, то данные SDH сначала структурируются в контейнеры, а затем к контейнеру добавляется заголовок и указатели, в результате образуется синхронный транспортный модуль STM-1. По сети контейнеры STM-1 передаются в системе SDH разных уровней (STM-n), но во всех случаях раз сформированный STM-1 может только складываться с другим транспортным модулем, т.е. имеет место мультиплексирование транспортных модулей.

Понятие виртуального контейнера

Еще одно важное понятие, непосредственно связанное с общим пониманием технологии SDH - это понятие виртуального контейнера VC.В результате добавления к контейнеру трактового(маршрутного) заголовка получается виртуальный контейнер. Виртуальные контейнеры находятся в идеологической и технологической связи с контейнерами, так что контейнеру C-12 соответствует виртуальный контейнер VC-12 (передача потока E1), C-3 - VC-3 (передача потока E3), C-4 - контейнер VC-4 (передача потока STM-1).

Метод мультиплексирования

Поскольку низкоскоростные сигналы SDH мультиплексируются в структуру фрейма высокоскоростных сигналов SDH посредством метода побайтового мультиплексирования, их расположение во фрейме высокоскоростного сигнала фиксировано и определено или, скажем, предсказуемо. Поэтому низкоскоростной сигнал SDH, например 155 Мбит/с (STM-1) может быть напрямую добавлен или выделен из высокоскоростного сигнала, например 2.5 Гбит/с (STM-16). Это упрощает процесс мультиплексирования и демультиплексирования сигнала и делает SDH иерархию особенно подходящей для высокоскоростных волоконно-оптических систем передачи, обладающих большой производительностью.

Поскольку принят метод синхронного мультиплексирования и гибкого отображения структуры, низкоскоростные сигналы PDH (например, 2Мбит/с) также могут быть мультиплексированы в сигнал SDH (STM-N). Их расположение во фрейме STM-N также предсказуемо. Поэтому низкоскоростной трибутарный сигнал (вплоть до сигнала DS-0, то есть одного тайм-слота PDH, 64 kbps) может быть напрямую добавлен или извлечен из сигнала STM-N. Заметьте, что это не одно и то же с вышеописанным процессом добавления/выделения низкоскоростного сигнала SDH в/из высокоскоростного сигнала SDH. Здесь это относится к прямому добавлению/выделению низкоскоростного трибутарного сигнала такого как 2Мбит/с, 34Мбит/с и 140Мбит/с в/из сигнала SDH. Это устраняет необходимость использования большого количества оборудования мультиплексирования / демультиплексирования (взаимосвязанного), повышает надежность и уменьшает вероятность ухудшения качества сигнала, снижает стоимость, потребление мощности и сложность оборудования. Добавление/выделение услуг в дальнейшем упрощается.



Этот метод мультиплексирования помогает выполнять функцию цифровой кросс-коммутации (DXC) и обеспечивает сеть мощной функцией самовосстановления. Абонентов можно динамически соединять в соответствии с потребностями и выполнять отслеживание трафика в реальном времени.

Оперирование, администрирование и техобслуживание

Для функций оперирования, администрирования и техобслуживания (ОАМ) в структуре фрейма сигнала SDH организованы многочисленные биты. Это намного облегчает функцию сетевого мониторинга, то есть автоматическое техобслуживание. Несколько избыточных битов должны быть добавлены во время линейного кодирования для мониторинга рабочих характеристик линии, поскольку совсем мало байтов организовано в сигнале PDH. Например, в структуре фрейма сигнала PCM30/32 только биты в TS0 и TS16 используются для функций OAM.

Многочисленные заголовки в сигналах SDH составляют 1/20 от общего количества байтов во фрейме. Это намного облегчает функцию ОАМ и уменьшает стоимость системы техобслуживания, что очень важно, так как она составляет значительную часть от общей стоимости оборудования.

Совместимостьимеет высокую совместимость. Это означает, что сеть передачи SDH и существующая сеть PDH могут работать совместно, пока идет установление сети передачи SDH. Сеть SDH может быть использована для передачи услуг PDH, а также сигналов других иерархий, таких как ATM, Ethernet и FDDI.

Базовый транспортный модуль (STM-1) может размещать и три типа сигналов PDH, и сигналы ATM, FDDI, DQDB. Это обуславливает двустороннюю совместимость и гарантирует бесперебойный переход от сети PDH к сети SDH и от SDH к АТМ. Для размещения сигналов этих иерархий SDH мультиплексирует низкоскоростные сигналы различных иерархий в структуру фрейма STM-1 сигнала на границе сети (стартовая точка - точка ввода) и затем демультиплексирует их на границе сети (конечная точка - точка вывода). Таким образом цифровые сигналы различных иерархий могут быть переданы по сети передачи SDH.

Защита

В системах SDH термин «защита» используется для описания способа повышения надежности сети. Для этого все сети SDH стараются строить в виде замкнутых колец, передача по которым ведётся одновременно в обоих направлениях. При этом в случае повреждения кабеля сеть продолжает работать. Вопреки распространённому мнению, эти возможности доступны и в оборудовании PDH, например в мультиплексорах "Зелакс".

Обратной стороной такого повышения надёжности является уменьшение количества резервных оптических волокон в ка?белях сети.

3.5 Организация связи с филиалами, технология MetroEthernet


Для организации связи со вторым филиалом применяется технология MetroEthernet.

Взаимное проникновение сетей различного назначения путем использования единых компонентов и совмещения выполняемых функций уже имеет достаточно богатую историю. Среди традиционных технологий, которые призваны обеспечить интеграцию разнородного трафика в единых телекоммуникационных инфраструктурах прошлых лет, в первую очередь следует отметить технологии: ISDN, FR и ATM. И хотя сегодня эти технологии можно считать морально устаревшими, большинство основополагающих принципов и технических решений, которые были в них использованы впервые, остаются по-прежнему актуальными.

В такой ситуации повышенный интерес привлекают разнообразные неклассические технологии создания мультисервисных сетей (МСС) доступа, основанных на передовой технологии Ethernet. Применение такой технологии, как правило, позволяет создать МСС путем добавления дополнительных услуг к уже имеющимся в сети.

Появление и развитие гибридных сетей широкополосного доступа представляет собой типичный пример эволюционного развития технологий построения сетей доступа от узкоспециальных услуг к полнофункциональным услугам.

Появление Metro Ethernet как серьезной альтернативы другим вариантам сетей городского масштаба обусловлено следующими факторами:

ростом требований к полосе пропускания в связи с появлением новых типов приложений;

высокой концентрацией абонентов в офисных и жилых зданиях;

ростом интереса к массовому рынку домашних абонентов вследствие высокой насыщенности рынка корпоративных клиентов и падения доходности услуг на этом рынке;

низкой стоимостью первоначальных затрат (CAPEX) и затрат на поддержку (OPEX);

большим количеством специалистов, имеющих опыт работы с Ethernet.

Решение Metro Ethernet обеспечивает:

мультисервисность и высокую надежность инфраструктуры, обеспечивающие поддержку соглашений об уровне обслуживания, необходимых для критичных приложений;

низкую стоимость развертывания сети;

исключительно низкую цену за Гбит/c;

стандартный интерфейс с возможностью предоставления пакета услуг на одном клиентском порту (мультиплексирование сервисов);

модульность и высокую плотность агрегации- решение рассчитано на быстрое внедрение в районах с высокой плотностью клиентов;

отличную масштабируемость по количеству портов, производительности узлов и скорости каналов (до 80 Гбит/c);

единую технологию, механизмы сигнализации и управления для всей сети;

максимальную автоматизацию управления сетью и активации услуг, поддержку средств самообслуживания клиентов.

Рост требований к емкости городских сетей и успех существующих операторов Metro Ethernet ясно показывают, что данная модель предоставления телекоммуникационных услуг на базе Ethernet в городских сетях конкурентоспособна, востребована и прибыльна для операторов связи. И так же позволяет обеспечить основу для value-added сервисов, таких как IDS, хранение информации, VoIP и IPTV.

Архитектура сети Metro Ethernet разработана с учетом следующих требований:

масштабируемость;

высокая надежность и доступность;

поддержка качества услуг и соглашений об уровне обслуживания, необходимых для критичных бизнес-приложений, голосового трафика и широкополосного видео;

высокая производительность;

модульность и возможность быстрого развертывания;

управляемость;

поддержка наиболее полного набора услуг, как для бизнес клиентов, так и для домашних абонентов, возможность быстрого внедрения новых услуг;

безопасность


3.6 Структурная схема корпоративной сети


Рис.3.1. Структурная схема корпоративной сети


4. ВЫБОР ОБОРУДОВАНИЯ


Определим следующие основные параметры сети:

Топология сети: шинно-звездная.

Тип сети: Fast Ethernet

Метод доступа: CSMA/CD

В качестве среды передачи внутри зданий будем использовать неэкранированную витую пару пятой категории. Между зданиями протянем оптоволокно.

При выборе коммутаторов обратим внимание на его функции, он должен поддерживать QoS.


.1 Описание QoS:


Существует не слишком много способов обеспечения QoS. Самый простой из них - увеличение полосы пропускания сети за счет наращивания аппаратных возможностей оборудования. Можно использовать и такие приемы, как задание приоритетов данных, организация очередей, предотвращение перегрузок и формирование трафика. Управление сетью по заданным правилам в перспективе должно объединить все эти способы в единую автоматизированную систему, которая будет гарантировать качество услуг абсолютно на всех участках сети.

Увеличение аппаратной мощности, несомненно, является наиболее эффективным средством реализации QoS в локальной сети. Давление со стороны конкурентов, необходимость повышения эффективности производства, появление новых технологий, позволяющих оснащать специализированные микросхемы (ASIC) самыми разнообразными функциями, - все это заставляет поставщиков коммутационного оборудования для локальных сетей выбрасывать на рынок все более быстродействующие устройства по ценам, сопоставимым со стоимостью моделей прежнего поколения.

Маловероятно, что в обозримом будущем данный подход к поддержке QoS в локальных сетях перестанет быть приоритетным. Поскольку в локальных сетях удается обеспечить гарантированное качество услуг, не прибегая к дорогостоящей модернизации всего оборудования и серьезным изменениям в системе управления сетью, сетевые администраторы будут обращать внимание и на программные средства, позволяющие реализовать QoS.

Итак, наибольшее распространение, скорее всего, получит комбинированный подход. Некоторые производители высказываются в его пользу, утверждая, что лучше всего увеличивать пропускную способность сети не напрямую, а за счет интеллектуальных возможностей оборудования, которое обладает средствами обеспечения QoS. Правда, производители сетевых устройств вряд ли могут быть объективными в этом вопросе, так как они заинтересованы в сбыте тех самых продуктов, которые поддерживают гарантированное качество услуг.

В глобальных сетях наращивание аппаратных мощностей используется реже. Конечно, снижение стоимости полосы пропускания сделало бы передачу данных по глобальным сетям доступной для более широкого круга пользователей (и даже несколько снизило бы актуальность внедрения гарантированного качества услуг). Но в ближайшем будущем стоимость полосы пропускания в глобальных сетях будет оставаться достаточно высокой, поэтому и наращивание аппаратной мощности не станет столь популярным, как в локальных сетях.

Назначение приоритетов

Наравне с наращиванием аппаратного обеспечения сети для реализации QoS применяются и средства типа задания приоритетов данных и организации очередей. Маршрутизаторы поддерживают эти механизмы в течение многих лет, как и некоторые из новых коммутаторов для каналов Gigabit Ethernet. Однако ПО для управления сетью по заданным правилам, которое необходимо для практического воплощения этой технологии, пока не разработано. Среди новых коммутаторов такого класса можно назвать CoreBuilder 3500, CoreBuilder 9000 и SuperStack II компании 3Com, устройства серии Accelar фирмы Bay Networks, SmartSwitch Router компании Cabletron Systems, а также Catalyst 5000 и Catalyst 8000 производства Cisco.

Способы приоритезации данных можно условно подразделить на явные и неявные.

При неявном назначении приоритетов маршрутизатор или коммутатор автоматически присваивает услугам соответствующие уровни, исходя из заданных администратором сети критериев (например, типа приложения для применяемого протокола передачи или адреса источника). Каждый входящий пакет анализируется (фильтруется) на соответствие этим критериям. Механизм неявной приоритезации поддерживают практически все маршрутизаторы.

Некоторые коммутаторы тоже способны задавать приоритеты, но имеют ограниченный набор функций.Так, коммутаторы могут обеспечивать приоритезацию данных по типу виртуальной локальной сети, адресу источника или адресата, но не используют информацию более высокого уровня (протокол передачи или тип приложения). Разрабатываемые в настоящее время системы управления сетью по заданным правилам позволят реализовать более совершенные схемы приоритезации данных при работе с такими коммутаторами.

При явной приоритезации данных пользователь или приложение запрашивает определенный уровень службы, а коммутатор или маршрутизатор пытается удовлетворить запрос. Вероятно, самым популярным механизмом явной приоритезации станет протокол IP Precedence (протокол старшинства), получивший второе название IP TOS (IP Type Of Service), - один из разделов четвертой версии протокола IP.TOS резервирует специальное поле в заголовке пакета, где могут быть указаны признаки QoS, определяющие время задержки, скорость пропускания и уровень надежности передачи пакета. Последняя версия ПО Winsock в ОС Windows 98 и Windows NT позволяет администратору вводить такое поле в заголовок. Однако найдется немного популярных приложений - за исключением мультимедийного ПО, - в которых реализована поддержка протокола IP TOS.

Сейчас разрабатывается протокол резервирования ресурсов RSVP, который предусматривает более сложный, чем в IP TOS, механизм передачи от приложения к машрутизатору запроса на гарантированное качество услуг. Как и IP TOS, протокол RSVP пока не получил широкой поддержки разработчиков - он реализован лишь в отдельных типах маршрутизаторов. Распространение RSVP сдерживается из-за того, что не решены некоторые вопросы, связанные с совместимостью различных сетей. К тому же применение RSVP значительно увеличивает нагрузку на маршрутизаторы и может привести к снижению быстродействия этих устройств.

Видимо, в обозримом будущем неявная приоритезация, не требующая серьезных вычислительных мощностей маршрутизатора, останется более популярной, чем явная. Кроме того, при явном задании приоритетов значительно усложняется управление сетью. Конечные пользователи, скорее всего, будут настраивать свое программное обеспечение на запрос наивысшего из возможных уровней услуг. Соответственно, администратору сети придется разрабатывать правила управления пользователями и, возможно, даже настраивать службы с гарантированным качеством для каждого пользователя в отдельности.

Организация и обслуживание очередей

После того как передаваемым по сети данным назначены соответствующие приоритеты (при помощи явных или неявных методов), требуется определить порядок передачи этих данных, задав алгоритм обслуживания очередей с необходимым качеством (уровнем QoS). По сути, очереди представляют собой области памяти коммутатора или маршрутизатора, в которых группируются пакеты с одинаковыми приоритетами передачи. Алгоритм обслуживания очереди определяет порядок, в котором происходит передача хранящихся в ней пакетов. Смысл применения всех алгоритмов сводится к тому, чтобы обеспечить наилучшее обслуживание трафика с более высоким приоритетом при условии, что и пакету с низким приоритетом гарантируется соответствующее внимание.


Рис. 1 Механизмы явной и неявной приоритезации


При использовании способов задания явных и неявных приоритетов (рис. 1) алгоритм обработки очередей определяет порядок их обслуживания (в данном примере он циклический). В соответствии с этим алгоритмом на каждые два пакета, переданных в сеть из очереди 1 (с высоким приоритетом) приходится по одному пакету из очередей 2 и 3. Пакеты с одинаковыми приоритетами передаются по принципу FIFO (первым пришел - первым вышел).

Если в сети возникает перегрузка, служба очередей не гарантирует своевременного достижения пункта назначения наиболее важными данными. Гарантируется лишь то, что эти пакеты будут переданы раньше, чем имеющие более низкий приоритет.

Современные службы QoS решают такую задачу за счет резервирования полосы пропускания. Каждой из очередей (или их групп) выделяется заранее заданная величина полосы пропускания, что гарантирует определенную полосу пропускания для очереди с более высоким приоритетом. Для критических ситуаций, когда объем данных в очереди превышает размеры полосы пропускания, в алгоритмах обслуживания обычно предусматривается передача трафика с высоким приоритетом на полосу пропускания, принадлежащую очередям с низким приоритетом, и наоборот.

Самые простые алгоритмы обслуживают каждую очередь по принципу FIFO. При этом передача кадров большого размера, имеющих высокий приоритет, может приводить к задержкам трафика другого приложения со столь же высоким приоритетом, но меньшим объемом.

В более сложных алгоритмах предпринимается попытка справедливой обработки очередей. Например, алгоритм равномерного пропорционального (или взвешенного) обслуживания (WFQ - Weighted Fair Queuing), разработанный компанией Cisco, подразделяет приложения на требующие большой и малой ширины полосы пропускания, а сама полоса пропускания распределяется между всеми приложениями поровну. Следует отметить, что основные производители маршрутизаторов сами разрабатывают алгоритмы обслуживания очередей и используют для их описания собственную терминологию.

Существенным недостатком современных маршрутизаторов и коммутаторов является то, что они поддерживают малое число очередей. Чаще всего производители организуют службы QoS, использующие четыре очереди, хотя чем больше очередей, тем больше различных приоритетов можно присвоить передаваемым пакетам и тем справедливее распределить полосу пропускания между приложениями. Например, администратор в состоянии задать приоритеты таким образом, чтобы предпочтение при передаче отдавалось пакетам, адресованным на более удаленные узлы.

При потоковой организации очередей каждой сетевой сессии пользователя выделяется отдельная очередь. В настоящее время этот механизм реализован в коммутаторах Catalyst 8500 компании Cisco и Content Smart Switch компании Arrowpoint Communications (устройства выполнены на базе набора микросхем Anyflow 5500 фирмы MMC Networks). Однако при увеличении числа очередей растет и сложность устройства, а это неизбежно отражается на его стоимости, усложняет настройку и управление сетью.

Управление нагрузкой

Служба QoS дает возможность использовать для управления сетью два важных механизма - управления в условиях перегрузки и предотвращения перегрузок. Первый из них позволяет конечной станции сразу снижать скорость передачи данных, когда в сети начинается потеря пакетов. В протоколах TCP/IP и SNA этот механизм поддерживается уже в течение нескольких лет. И хотя сам по себе он не гарантирует качества передачи, при его использовании совместно с механизмом предотвращения перегрузок результаты оказываются намного лучшими. В сетях TCP/IP механизм предотвращения перегрузок применяется достаточно давно, но лишь в последние годы он становится стандартом де-факто для маршрутизаторов телекоммуникационных сетей и Internet.

Стандартным способом предотвращения перегрузок в сети стало применение механизма случайного выделения пакетов (Random Early Detection, RED). При заполнении очередей выше определенной критической отметки этот механизм заставляет маршрутизатор выбирать из очереди по случайному закону некоторые пакеты и терять их. Скорость передачи данных станциями-отправителями снижается, что и позволяет избежать переполнения очереди.

Механизм пропорционального случайного выделения пакетов - WRED (Weighted RED) - можно считать следующей, более совершенной версией RED. Он предусматривает, что выбор пакетов, которые должны потеряться, будет происходить с учетом их приоритезации согласно IP TOS.

Среди устройств, поддерживающих механизмы RED и WRED, можно назвать маршрутизаторы магистралей серий 7000 и 12000 фирмы Cisco, а также Backbone Node компании Bay Networks. Данные механизмы будут поддерживаться и пока серийно не выпускаемыми маршрутизаторами гигабитного и терабитного диапазонов скоростей для Internet, о создании которых уже объявили недавно появившиеся на этом рынке компании, такие как Argon Networks, Avici Systems, Juniper Networks, NetCore Systems и Nexabit Networks.

Формирование трафика

Формирование трафика - это общий термин, которым принято обозначать различные способы манипулирования данными для повышения качества их передачи. Один их таких способов - сегментация пакетов. В сетях АТМ гарантированно высокий уровень QoS достигается в том числе и за счет малого размера передаваемых пакетов (ячеек - в терминологии ATM). Максимальное время задержки при передаче любого пакета сети ATM - это время передачи одной ячейки.

Заимствуя полезные механизмы технологии АТМ, производители маршрутизаторов и коммутаторов начинают обеспечивать в своих продуктах возможность сегментации пакетов. Например, маршрутизаторы Cisco серии 12000 имеют встроенный механизм сегментации пакетов на ячейки размером 64 байта, что позволяет гарантировать качество передачи данных маршрутизатором. Некоторые устройства, предназначенные для сетей frame relay, сегментируют пакеты, передаваемые по каналам глобальных сетей, чтобы гарантировать конкретное время передачи и минимизировать задержки.

Еще один способ формирования трафика - его выравнивание. Для таких протоколов, как например, AppleTalk, характерна неравномерная передача пакетов, что порой приводит к появлению в сети последовательностей или цепочек пакетов, а следовательно - к ее перегрузке. Процедура выравнивания трафика позволяет расчленить цепочки путем размещения пакетов в буфере перед их передачей в сеть. Для обеспечения более равномерной передачи данных можно также выравнивать трафик оконечных узлов сети.


РесурсНеобходимая задержкаРазрешенная полоса пропусканияПользователь0,21 Мбит/сПриложение110 кбит/с

Объединение всех средств

Независимо от того, с помощью каких средств реализуется QoS в маршрутизаторе или коммутаторе, это устройство выполняет свою часть работы по передаче данных отдельно от других элементов сети. Пакет, успешно миновавший несколько узлов, может застрять в устройстве, не поддерживающем необходимые механизмы гарантии качества услуг. Устройства, через которые пакет уже прошел, не могут повлиять на его маршрут, чтобы предотвратить попадание пакета в несовершенный элемент сети.


Рис. 2. Управление сетью по заданным правилам:

1 - инструкции по применению правил (протокол SNMP); 2 - условия работы сети


Однако в настоящее время уже разрабатываются так называемые policy-based management systems, т. е. системы управления сетью по заданным правилам (рис. 2). В их функции входит объединение всех средств и формирование алгоритмов управления, обеспечивающих QoS на всех участках сети.

Специальное ПО (сервер правил), которое использует данные мониторинга и параметры администрирования, будет следить за работой сети, определять оптимальные способы реализации заданного уровня QoS и динамически настраивать маршрутизаторы и коммутаторы. Серверы правил будут опираться и на данные сетевых каталогов (например, NDS фирмы Novell), устанавливая с их помощью, какие уровни служб соответствуют уровню запроса пользователя или приложения. Для связи серверов и каталогов чаще всего будет служить протокол LDAP (Hight-Weight Directory Access Protocol - облегченный протокол доступа к каталогам).

Появление ПО серверов правил уже не за горами. Его использование предус-мотрено в новых продуктах компаний Bay Networks (Optivity Policy Services), 3Com (PolicyPowered Networking) и Cisco (CiscoAssure Policy Networking).

Следует отметить, что впервые идея управления сетью по заданным правилам была выдвинута компанией Cabletron еще в 1994 г. Тогда компания анонсировала систему SecureFast Virtual Networking, однако она не получила широкого признания. Сегодня использованная в этой системе технология стала основой нового сервера правил компании Cabletron. Сроки выпуска продукта пока неизвестны.

Поскольку реального сервера правил на рынке еще нет, остается только гадать, насколько простыми в эксплуатации и экономичными окажутся новые системы, обеспечивающие гарантированное качество услуг. Пока очевидно одно: для их успешной работы очень важна правильная организация всей сети. Такие услуги стоят дорого, реализовать их непросто, и не всегда использование даже самых совершенных механизмов службы QoS может компенсировать недостатки сети. По моим оценкам, службы QoS целесообразно применять так: в ЛВС - на магистральных линиях, а в глобальных сетях - на оконечных участках.


4.2 Выбор коммутаторов:


Коммутаторы необходимо выбирать, руководствуясь следующим принципом:

После подсоединения к коммутатору всех кабелей должно оставаться несколько свободных портов, чтобы при выходе из строя одного из портов, соответствующий кабель можно было сразу перекинуть на свободный порт.

Для SW1, SW2, SW5, SW7, SW9, SW10 выбираем D-Link DES-3026:

Коммутаторы серии DES-30хх - это высокопроизводительные управляемые коммутаторы второго уровня, являющиеся идеальным решением для провайдеров услуг и предприятий малого и среднего бизнеса. Устройства предоставляют оптические порты для подключения к общей сети небольших групп пользователей, находящихся на больших расстояниях, например, в другом здании или объединения сетей отделов, находящихся в разных комнатах в пределах одного здания.

Расширенные функции для сетей предприятий
Коммутаторы серии DES-30хх предоставляют расширенные функции для сетей предприятий, такие как IP-MAC-port binding, сегментация трафика и 255 виртуальных локальных сетей VLAN (802.1Q). Помимо этого, коммутаторы поддерживают управление доступом пользователей 802.1x на основе портов/MAC-адресов и их аутентификацию на внешнем сервере RADIUS. Для предотвращения загрузки центрального процессора обработкой вредоносного трафика, генерируемого злоумышленниками или обусловленного вирусной активностью, коммутаторы серии DES-30хх предоставляют функцию CPU Interface Filtering. Функциональность Quality of Service включает поддержку очередей приоритетов 802.1p и классификацию пакетов на основе TOS, DSCP и MAC-адресов.
Для повышения отказоустойчивости сети коммутаторы серии DES-30х поддерживают такие функции как 802.1D Spanning Tree/802.1w Rapid Spanning Tree, STP loopback detection и управление широковещательным штормом. Агрегирование портов 802.3ad обеспечивает резервирование каналов связи и распределение нагрузки при каскадировании коммутаторов или подключении серверов.

Для SW12 выберем D-Link DGS-1100-16

Серия коммутаторов D-Link DGS-1100 является новейшей в линейке коммутаторов EasySmart. Коммутаторы данной серии поддерживают технологию D-Link Green. Оснащенные 16 и 24 портами 10/100/1000 Мбит/с, коммутаторы серии DGS-1100 выполнены в компактном металлическом корпусе шириной 11 дюймов для настольной установки или монтажа в стойку. Серия DGS-1100 поддерживает функции уровня 2, включая IGMP Snooping для сокращения многоадресного трафика и увеличения производительности сети. Использование пассивной системы охлаждения обеспечивает бесшумную работу и позволяет продлить срок эксплуатации устройства.

Технология Surveillance VLAN и управление полосой пропускания
Коммутаторы серии DGS-1100 поддерживают технологию Surveillance VLAN, которая является идеальным решением для организации видеонаблюдения. Surveillance VLAN - это новейшая технология, обеспечивающая видеонаблюдение и централизованную передачу данных через один коммутатор DGS-1100, сокращая, таким образом, расходы, связанные с приобретением дополнительного оборудования. Технология Surveillance VLAN гарантирует качественную передачу видео в реальном времени для мониторинга и контроля без передачи данных по обычной сети. Кроме того, функция управления полосой пропускания позволяет сетевым администраторам зарезервировать полосу пропускания для различных приложений, требующих высокой пропускной способности, или обеспечить максимальный приоритет
Для SW4, SW3, SW8, SW6 выбираем D-Link DES-3200

Коммутаторы DES-3200 входят в линейку управляемых коммутаторов D-Link уровня 2 серии xStack, предназначенную для сетей Metro Ethernet (ETTX и FTTX). Коммутаторы оснащены 16 портами 100Мбит/с Fast Ethernet, а также 2 комбо-портами Gigabit Ethernet/SFP. Коммутатор DES-3200-10/18 выполнен в корпусе шириной 9 дюймов для настольной установки и оснащен пассивной системой охлаждения, применимой при развертывании сетей ETTH. Коммутаторы DES-3200-28/28F и DES-3200-28/ME обеспечивают подключение по меди или оптике на скорости Fast Ethernet, что является преимуществом для различных приложений Metro Ethernet. Устройство обладает практичным дизайном с поддержкой 2 комбо-портов Gigabit/SFP, которые обеспечивают полосу пропускания 4Гбит/с с поддержкой топологии двойного кольца сети Ethernet. Коммутатор DES-3200-28F обеспечивает подключение на расстоянии до 20 км для приложений сети Metro Ethernet

Отказоустойчивость / увеличение производительности

Для критически важных приложений коммутаторы серии DES-3200 поддерживают протоколы 802.1D-2004 edition, 802.1w и 802.1s Spanning Tree Protocol (STP). Протоколы STP позволяют организовать резервный маршрут, обеспечивая, таким образом, передачу и прием пакетов даже в случае неисправности любого коммутатора в сети при работе в режиме моста. Коммутаторы также поддерживают функцию агрегирования каналов 802.3ad (LACP), что позволяет объединять в группы несколько портов, увеличивая при этом полосу пропускания и повышая работоспособность. Коммутаторы поддерживают стандарт 802.1p для управления качеством обслуживания (QoS). Данный стандарт позволяет осуществлять классификацию трафика в реальном времени на 8 уровней приоритетов и 4 очереди. Классификация пакетов осуществляется на основе TOS, DSCP, MAC-адресов, IP-адресов, VLAN ID, номера порта TCP/UDP, типа протокола и содержимого пакетов, определяемого пользователем, что обеспечивает гибкость настройки, особенно для приложений потокового мультимедиа в реальном времени, например, VoIP.

Управление трафиком и полосой пропускания

Функция управления полосой пропускания позволяет сетевым администраторам определять пропускную способность для каждого порта с шагом до 62,5кбит/с. Коммутаторы также поддерживают функцию управления широковещательным штормом, которая сводит к минимуму вероятность вирусных атак в сети. Функция зеркалирования портов упрощает диагностику трафика, а также помогает администраторам следить за производительностью коммутатора и изменять ее в случае необходимости. Функция Q-in-Q, также известная как стекирование VLAN, является мощным, простым и эффективным по стоимости решением, используемым для обеспечения нескольких виртуальных соединений и доступа к множеству сервисов в сети Metro-Ethernet.

Для SW11 выберем D-Link DGS-3627 (центральный коммутатор-маршрутизатор)

Описание

Коммутаторы нового поколения серии xStack DGS-3600 в первую очередь предоставляют для сетей предприятий безопасность, возможность подключения резервного источника питания, высокую производительность и плотность гигабитных портов для подключения рабочих мест.
Коммутаторы также применяются в качестве устройств уровня доступа подразделений или в ядре сети для создания многоуровневой сетевой структуры с высокоскоростными магистралями и централизованным подключением серверов.
Интерфейсы

? 20 портов 10/100/1000BASE-T

? 4 комбо-порта 1000BASE-T/SFP

? 3 дополнительных открытых слота для модулей 10Gigabit

? Консольный порт RS-232

Функции 3 уровня

? Маршрутизация

Размер таблицы маршрутизации 12K записей

До 256 записей статических маршрутов IPv4

До 128 записей статических маршрутов IPv6

До 12K записей динамических маршрутов IPv4

До 6K записей динамических маршрутов IPv6

? RIP v1, v2

? RIPng (IPv6)

? OSPF v2

Выбор маршрутизатора: D-Link DSR-1000


Описание:

Унифицированные маршрутизаторы D-Link представляют собой высокопроизводительные решения, обеспечивающие защиту сети и предназначенные для удовлетворения растущих потребностей малого и среднего бизнеса. Стандарт IEEE 802.11n в маршрутизаторах DSR-250N, DSR-500N, и DSR-1000 обеспечивают ту же производительность, что и проводные сети, но с меньшим количеством ограничений. Оптимальная защита сети достигается за счет организации VPN (Virtual Private Network) туннелей, IP Security (IPSec), Point-to-Point Tunneling Protocol (PPTP), Layer 2 Tunneling Protocol (L2TP) и Secure Sockets Layer (SSL).

Интерфейс

Ethernet

+ 2 WAN-порта 10/100/1000 Мбит/с

+ 4 LAN-портов 10/100/1000 Мбит/с

2 порта USB 2.0

Консоль RJ-45

Межсетевой экран

Статический маршрут

Динамический маршрут - RIPv1, RIP v2, OSPF12

Динамический DNS

Маршрутизация между VLAN

NAT, PAT

Фильтрация web-содержимого: Статический URL-адрес, ключевые слова

Система предотвращения вторжений (IPS): Пакет сигнатур, входящий в комплект ПО

Виртуальная частная сеть SSL (SSL VPN)

SSL VPN туннели: 20

Методы шифрования SSL: DES

SSL Message Integrity: MD5, SHA1

Так же будем использовать модуль для коммутаторов DES-3026+ с 2 портами 100BASE-FX, ра зъем SC. Для осуществления сообщения между центральными свитчами зданий через оптическое волокно.


4.3 Выбор мультиплексора SDH:


Выбран QTECH QBM-7100 Micromicro предназначен для работы в качестве мультисервисного терминального мультиплексора для организации выносов и подключения корпоративных клиентов и конечных пользователей.

Мультисервисный терминальный мультиплексор QBM-7100 micro имеет набор пользовательских интерфейсов, необходимых для передачи смешанного трафика и может комплектоваться двумя оптическими интерфейсами STM-1 с функцией линейного резервирования 1+1. В состав базовой комплектации входят два блока питания 220В/48В.

Мультиплексор обеспечивает одновременную передачу интегрированного трафика Е1 и Ethernet, а также данных n*64 кбит/с (V.35).

Мультиплексор представляет собой конструктив для установки в стойку 19 высотой 1U. Возможно также настольное или настенное размещение оборудования.

Один или два оптических интерфейса STM-1

Четыре интерфейса Е1

Один интерфейс Fast Ethernet

Два интерфейса n*64 кбит/с (V.35)

Поддерживаемый тип сетевого элемента: терминальный мультиплексор TM

Поддержка линейного резервирования 1+1

Установка и изменение базовых параметров по Telnet, управление и мониторинг - Q3

Два источника электропитания: 220В/48В

Конструктив 1U 19

Потребляемая мощность: <15 Вт

Габаритные размеры: 440 (ширина) х 44 (высота) х 138 (глубина)

Вес: 3,5 кг

Параметры оптического интерфейса.1, L-1.1, L-1.2 одноволоконный и двухволоконный

Линейная скорость: 155.52 Мбит/с

Линейное кодирование: NRZ

Тип соединителя: SC/PC

Параметры интерфейса ETHERNET

Скорость: 10/100 Мбит/с авто

Тип соединителя: RJ-45

Соответствие рекомендациям IEEE802.3

.4 Выбор IP-телефонов и видеофонов


Решено использовать программные решения на клиентских компьютерах.


.5 Выбор IP-камер


Описание:

Мощная система круглосуточного наблюдения:камера DCS-6410 с поддержкой РоЕ и возможностью ночной съемки разработана для круглосуточного наблюдения. Сенсор CCD (Charged-coupled Device) обеспечивает высококачественное изображение без искажений, в то время как инфракрасная подсветка обеспечивает ночной мониторинг на расстоянии до 15 метров. Всё это делает камеру DCS-6410 идеальным решением для наблюдения внутри помещений дома, в офисах и бизнес-центрах.

Высококачественный видео-мониторинг:поддерживает одновременный мониторинг и запись, обеспечивая видео высочайшего качества. Оснащенная мощной системой SoC (System-on-Chip), камера обеспечивает высококачественное сжатие видео в режиме реального времени в форматах MPEG-4 и MJPEG. Бесплатное программное обеспечение D-ViewCam для осуществления записи по 32 каналам обеспечивает просмотр и запись высококачественных изображений. Благодаря встроенному Samba-клиенту, нет необходимости подключать данную IP-камеру непосредственно к компьютеру или использовать другое аппаратное и программное обеспечение для захвата и передачи изображений.

Четкое изображение под различными углами обзора:

Стационарная камера DCS-6410 обеспечивает просмотр изображения под различными углами, что делает ее идеальным решением для мониторинга небольших пространств. Камера осуществляет запись в форматах сжатия MPEG-4 и MJPEG, обеспечивая разрешение D1/CIF/QCIF для повышения производительности. Изображения обладают максимальным разрешением D1 при частоте 30 кадров в секунду.

Гибкость подключения:

Подключение Power over Ethernet (PoE) обеспечивает возможность незаметной установки камеры практически в любом месте внутри помещения. Встроенный модуль РоЕ, который соответствует стандарту 802.3af, обеспечивает эффективное наблюдение в любом пространстве, упрощая процесс установки за счет отсутствия необходимости прокладывать дополнительную проводку. Кроме того, Ethernet-порт 10/100BASE-TX обеспечивает бесшовное подключение к локальной сети или сети Интернет через маршрутизатор. Можно получить доступ и просматривать изображение с камеры из любого места в сети, так как она является сетевым устройством.

Камера DCS-6410 также поддерживает RCA-коннектор, который легко интегрируется в существующую систему CCTV и который помогает перейти от существующей аналоговой системы безопасности к решению на основе IP.


.6 Выбор серверов


Для FS1 - FS4 выберем X-COMputers 0002080

Установленные процессоры:

Количество процессоров - 1

Модельный ряд - Intel Xeon

Модель - X3450

Количество ядер - 4

Техпроцесс - 45 нм

Частота - 2.66 ГГц, в режиме Turbo Boost - 3.2 ГГцкэш - 8 МБ

Охлаждение - Воздушное

Материнская плата:

Модель - ASUS P7F-C/SAS

Форм-фактор - ATX

Чипсет - Intel 3420

Сокет - LGA1156

Количество слотов Registered оперативной памяти - 6

Количество PCI-E 16x - 2 шт, работают в режиме x8

Количество PCI - 4 шт

Количество SATA II - 6 шт

Количество SAS - 8 шт

Поддержка ECC - Есть

Оперативная память:

Тип - DDR3, RDIMM

Частота - 1333 МГц

Объем - 8192 МБ

Количество занятых слотов - 4

Максимальный объем - 32768 МБ, для памяти RDIMM; 16384 МБ при использовании UDIMM

Жесткий диск:

Количество HDD - 2 шт

Интерфейс HDD - SATA

Общий объем HDD - 4000 ГБ:

Поддерживаемые уровни RAID - 0, 1 SATA/SAS, 5, 10 SATA, 1E SAS


.7 Выбор рабочих станций


В принципе могут иметь любую конфигурацию в зависимости от поставленных задач. Единственное условие - наличие сетевого адаптера с поддержкой сети Ethernet, Fast Ethernet со скорость передачи данных 10/100 Мбит/сек.

Для примера возьмем: Компьютер Acer Veriton L480G PS.VA1E3.083

5. ВЫБОР ПРОГРАМНОГО ОБЕСПЕЧЕНИЯ.


.1 Выбор операционной системы серверов и рабочих станций:


В качестве операционной системы для серверов выбираем Windows Server 2008 R2

ОС Windows Server 2008 R2 создана на основе завоевавшей признание ОС Windows Server 2008; она расширяет возможности существующих технологий, а также предоставляет организациям новые возможности, повышающие гибкость и надежность серверных инфраструктур. Новые средства виртуализации, веб-ресурсы, усовершенствованные средства управления и возможность интеграции с Windows 7 экономят время, снижают расходы и предоставляют платформу для эффективного динамического управления центрами обработки данных. Windows PowerShell 2.0, службы IIS 7.5, обновленные диспетчер серверов и гипервизор Hyper-V, а также другие мощные средства повышают управляемость систем и позволяют заказчикам быстрее реагировать на изменение требований бизнеса.

Операционная система Windows Server 2008 R2 не только унаследовала все достоинства своих предшественников из семейства Windows Server, но и получила целый ряд новых возможностей и мощных средств. Новые веб-средства, технологии виртуализации, средства управления и усовершенствования в системе безопасности экономят время, снижают затраты и предоставляют надежную платформу для создания ИТ-инфраструктуры организации.

Сервер Windows Server 2008 R2 содержит множество усовершенствований, превращающих его в самую надежную платформу веб-приложений на основе Windows Server среди всех версий Windows. Он содержит обновленную роль веб-сервера IIS 7.5 и обеспечивает поддержку .NET в режиме установки Server Core. При создании служб IIS 7.5 в них были внесены усовершенствования, предоставляющие администраторам веб-серверов удобные средства развертывания веб-приложений и управления ими и повышающие тем самым надежность и масштабируемость. Кроме того, службы IIS 7.5 упрощают управление и расширяют возможности настройки среды веб-сервера.

В Windows Server 2008 R2 в службы IIS и веб-платформу Windows внесены следующие усовершенствования.

Уменьшение трудоемкости администрирования и поддержки веб-приложений - одно из основных преимуществ IIS 7.5. Данная версия поддерживает новые сценарии удаленного администрирования и более широкие возможности автоматизации, а также предоставляет авторам и разработчикам улучшенные возможности публикации материалов сайтов. Краткий перечень этих возможностей представлен ниже.

Расширение возможностей диспетчера IIS с помощью новых модулей управления

Автоматизация типичных административных задач с помощью провайдера-Windows PowerShell для IIS

Поддержка .NET в режиме Server Core, позволяющая использовать ASP.NET и выполнять удаленное администрирование с помощью диспетчера IIS

Разработчики IIS 7.5 стремились облегчить пользователям расширение базовой функциональности, предоставляемой IIS 7.5. Расширения IIS позволяют организациям создавать и приобретать ПО, которое может быть интегрировано с IIS 7.5 таким образом, чтобы это ПО работало как неотъемлемая часть IIS 7.5.

Расширения IIS могут разрабатывать организации, независимые поставщики ПО, партнеры и корпорация Майкрософт. Корпорация Майкрософт создала расширения IIS после выхода окончательной первоначальной версии Windows Server 2008. Чтобы загрузить эти расширения, обратитесь по адресу: #"justify">В режиме установки Server Core поддерживается .NET Framework (версий 2.0, 3.0, 3.5.1 и 4.0). Это позволяет администраторам использовать в данном режиме ASP.NET и пользоваться всеми возможностями командлетов PowerShell. Кроме того, поддержка .NET позволяет выполнять удаленное администрирование с помощью диспетчера IIS и размещать веб-приложения ASP.NET в режиме установки основных компонентов.

В качестве операционной системы для рабочих станций выберем Windows 7.


.2 Выбор вспомогательного серверного ПО


В качестве антивирусного сервера используем NOD 32. Данный антивирус по уровню защиты не уступает антивирусу Касперского, менее требователен к ресурсам сервера, в отсутствии антивирусных баз, способен распознать 5 вирусных атак из 6. Кроме того, в отличие от антивируса Касперского, антивирус NOD 32 прошёл сертификацию Microsoft на совместимость с её операционными системами.

Для реализации Web-сервера выберем Apache 2.05. Apache может быть установлен практически на все ОС семейства Unix и на Microsoft Windows. Apache наиболее безопасен и в настоящее время является наиболее популярным.

В качестве RAS, DNS-сервера и DCHP-сервера выберем стандартные службы Microsoft Windows.


5.3 Выбор сетевых СУБД:


Выберем Oracle Database 11g - база данных, разработанная специально для работы в сетях распределенных вычислений Grid, предназначенная для эффективного развертывания на базе различных типов оборудования, от небольших серверов до мощных симметричных многопроцессорных серверных систем, от отдельных кластеров до корпоративных распределенных вычислительных систем. СУБД предоставляет возможность автоматической настройки и управления, что делает ее использование простым и экономически выгодным.

СУБД Oracle Database 11g поставляется в четырех различных редакциях, ориентированных на различные сценарии разработки и развертывания приложений. Кроме того, корпорация Oracle предлагает несколько дополнительных программных продуктов, расширяющих возможности Oracle Database 11g для работы с конкретными прикладными пакетами.

Используя Oracle Database 11g, организации смогут управлять всей корпоративной информацией и глубже понимать свой бизнес, а также оперативно и уверенно адаптироваться ко все более изменчивой конкурентной среде. Чтобы предоставить такие возможности, в новом выпуске расширены уникальные механизмы Oracle, обеспечивающие кластеризацию баз данных, автоматизацию центров обработки данных и управление рабочими нагрузками. Используя защищенные, масштабируемые grid-инфраструктуры на базе недорогих серверов и систем хранения, обеспечивающие высокие уровни готовности, клиенты Oracle могут создавать OLTP приложения, хранилища данных и системы управления контентом с самыми высокими требованиями.


6. ЗАЩИТА СЕТИ


.1 Защита от внутреннего НСД


Для защиты информации от несанкционированного доступа и изменения внутри сети воспользуемся стандартными средствами аутентификации и назначения прав доступа операционной системы Microsoft Windows и прикладных программ. Эти средства включают в себя:

Объединение пользователей в группы (по отделам) и назначение для каждого пользователя группы уникального логина и пароля.

Назначение прав доступа группам пользователей.

Создание ролей внутри базы данных.

Повторная аутентификация пользователя при работе с приложениями, использующими конфиденциальную информацию.

Логин и пароль для аутентификации при входе в операционную систему должен отличаться от логина и пароля при аутентификации в приложении, процедура аутентификации не должна проходить в автоматическом режиме (запрет на сохранение логина и пароля).

Права доступа к серверам назначим в соответствии с таблицей 4.

Права доступа к сетевым ресурсам.

Адм. - Администрация вокзала

Бух - Бухгалтерия

ЗД - Зал официальных делегаций

КЗ - Кассовые залы

КХ - Камеры хранения

ИТ - Информационно-технический отдел.

СЗ - Справочный зал

ОХ - Охрана

Ф1, Ф2 - Филиалы

Таблица 4

Внутренние и внешние права доступа

Адм.Бух.ЗДКЗКХИТСЗОХФ1Ф2DHCP-серверProxy-серверWeb-серверАнтивирусный серверВнутренний DNSАрхив БДСУБД 1СУБД 2DHCP-серверRRRRRFRR--RW-------PDC, BDC-серверRRRRRFRRRR--------RAS-сервер-----M--RWRW------RWRWProxy-серверRWRWRWRW-FRW-RWRW-RWRWRW----Web-серверRRRRRFRRRR-RWRW-----Print-серверWWWWWWMWW----------Backup-серверR-R--RMR-----------Внутр. почтовый серверRWRWRWRWRWFRWRWRWRW-RWRW-----Внеш. почтовый серверRWRWRWRW-F--RWRW-RWRW-----Телефония, видеосвязьRWRWRWRWRWFRWRWRWRW-RW------Сервер охраныR----R-RW----------СУБД 1RRWR--RM---------RW--СУБД 2R-R--RMRW--------RW--Антивирусный серверRRRRRRMRRRR-RW------Внутренний DNS-серверRRRRRRMRR----------Внешний DNS-серверRRRR-RMR-RR----R---Файл-серверRWRWRWRWRWFRWRWRWRW---RW----R - только чтение; W - перезапись информации; М - модифицирование программного обеспечения; F - полный доступ (RWM)


.2 Защита от внешнего НСД


Так как наша сеть имеет выход в Интернет, то необходимо позаботиться о защите данных от внешних атак. Очевидно, что любая организация, в нашем случае, предприятие сбыта, должно быть хорошо защищено от подобных проникновений.

Определим права доступа филиалов, данные представлены в таблице 4.

Важным элементом защиты является DMZ-зона. Она позволяет разделить каждую сеть на две и более частей и реализовать набор правил, определяющих условия прохождения пакетов с данными через границу из одной части общей сети в другую. Как правило, эта граница проводится между корпоративной (локальной) сетью предприятия и глобальной сетью Интернет.


.3 Выбор сетевых протоколов


.3.1 Список протоколов

Стек протоколов TCP\IP - набор сетевых протоколов разных уровней, используемых в сетях. Протоколы работают друг с другом в стеке, это означает, что протокол, располагающийся на уровне выше, работает «поверх» нижнего, используя механизмы инкапсуляции. Например, протокол TCP работает поверх протокола IP.

Эти протоколы полностью реализуют функциональные возможности модели OSI. На стеке протоколов TCP/IP построено всё взаимодействие пользователей в IP-сетях. Стек является независимым от физической среды передачи данных.

Протокол DNS - служит для запроса IP-адреса хоста по его имени. Работает по модели «клиент-сервер», используется порт UDP 53.

Протокол DHCP - это сетевой протокол, позволяющий компьютерам автоматически получать IP-адрес и другие параметры, необходимые для работы в сети TCP/IP. Данный протокол работает по модели «клиент-сервер». Для автоматической конфигурации компьютер-клиент на этапе конфигурации сетевого устройства обращается к так называемому серверу DHCP, и получает от него нужные параметры. Передача данных производится при помощи протокола UDP, при этом сервер принимает сообщения от клиентов на порт 67 и отправляет сообщения клиентам на порт 68.

Протокол VLAN - IEEE 802.1Q - открытый стандарт, который описывает процедуру тегирования трафика для передачи информации о принадлежности к VLAN. 802.1Q помещает внутрь фрейма тег перед полем «Тип протокола», который передает информацию о принадлежности трафика к VLANу. Так как фрейм изменился, пересчитывается контрольная сумма.

Протокол HTTP - протокол прикладного уровня передачи данных. Основой HTTP является технология «клиент-сервер. Обмен сообщениями идёт по обыкновенной схеме «запрос-ответ». Для идентификации ресурсов HTTP использует глобальные URI. В отличие от многих других протоколов, HTTP не сохраняет своего состояния. Это означает отсутствие сохранения промежуточного состояния между парами «запрос-ответ». Компоненты, использующие HTTP, могут самостоятельно осуществлять сохранение информации о состоянии, связанной с последними запросами и ответами.

Протокол FTP - протокол, предназначенный для передачи файлов в компьютерных сетях. FTP позволяет подключаться к серверам FTP, просматривать содержимое каталогов и загружать файлы с сервера или на сервер; кроме того, возможен режим передачи файлов между серверами. FTP является одним из старейших прикладных протоколов, появившимся задолго до HTTP, в 1971 году. Протокол FTP относится к протоколам прикладного уровня и для передачи данных использует транспортный протокол TCP. Команды и данные, в отличие от большинства других протоколов, передаются по разным портам. Исходящий порт 20, открываемый на стороне сервера, используется для передачи данных, порт 21 для передачи команд.

Протокол видеосвязи и телефонии - Рекомендации ITU-T, входящие в стандарт H.323, обеспечивают проведение мультимедийных конференций в пакетных сетях. Они определяют порядок функционирования абонентских терминалов в сетях с разделяемым ресурсом. Стандарт H.323 не связан с протоколом IP, однако, большинство реализаций основано на этом протоколе. Набор рекомендаций определяет сетевые компоненты, протоколы и процедуры, позволяющие организовать мультимедиа-связь в пакетных сетях. H.323 следует рассматривать как объединение различных, уже известных спецификаций. Это пять стандартов на аудио, 2 - на видеокодеки, один - на мультиплексирование данных, 3 стандарта сигнализации, а также версия протокола передачи в режиме реального времени (RTP) речевых и видеопакетов. В нашем случае для сжатия видео используется кодек MPEG4, а для аудио - G.729.

Протокол QoS (описан в разделе «Выбор оборудования»)

Протокол OSFP - протокол динамической маршрутизации, основанный на технологии отслеживания состояния канала (link-state technology) и использующий для нахождения кратчайшего пути Алгоритм Дейкстры. Протокол OSPF был разработан IETF в 1988 году. Последняя версия протокола представлена в RFC 2328. Протокол OSPF представляет собой протокол внутреннего шлюза (Interior Gateway Protocol - IGP). Протокол OSPF распространяет информацию о доступных маршрутах между маршрутизаторами одной автономной системы.предлагает решение следующих задач:

Увеличение скорости сходимости (в сравнении с протоколом RIP2, так как нет необходимости выжидания многократных тайм-аутов по 30с);

Поддержка сетевых масок переменной длины (VLSM);

Достижимость сети (быстро обнаруживаются отказавшие маршрутизаторы, и топология сети изменяется соответствующим образом);

Оптимальное использование пропускной способности (т.к строится минимальный остовный граф по алгоритму Дейкстры);

Метод выбора пути.

Для связи с филиалами применяется протокол SSL

Теоретическое описание протокола:

Криптографический протокол SSL (Secure Socket Layer) был разработан в 1996 году компанией Netscape и вскоре стал наиболее популярным методом обеспечения защищенного обмена данными через Интернет. Этот протокол интегрирован в большинство браузеров и веб серверов и использует ассиметричную криптосистему с открытым ключом, разработанную компанией RSA.

Для осуществления SSL соединения необходимо, чтобы сервер имел инсталлированный цифровой сертификат. Цифровой сертификат - это файл, который уникальным образом идентифицирует пользователей и серверы. Это своего рода электронный паспорт, который проводит аутентификацию сервера до того, как устанавливается сеанс SSL соединения. Обычно цифровой сертификат независимо подписывается и заверяется третьей стороной, что гарантирует его достоверность. В роли такой третьей стороны выступают центры сертификации, в частности, компания thawte. Компания thawte является наиболее известным в мире центром сертификации.

Протокол SSL обеспечивает защищенный обмен данными за счет сочетания двух следующих элементов:

Аутентификация
Цифровой сертификат привязан к конкретному домену сети Интернет, а центр сертификации проводит проверки, подтверждающие подлинность организации, а уже затем создает и подписывает цифровой сертификат для этой организации. Такой сертификат может быть установлен только на тот домен web-сервера, доля которого он прошел аутентификацию, что и дает пользователям сети Интернет необходимые гарантии.
Шифрование
Шифрование - это процесс преобразования информации в нечитаемый для всех вид, кроме конкретного получателя. Оно основывается на необходимых для электронной коммерции гарантиях конфиденциальности передачи информации и невозможности ее фальсификации.
Значительное использование протокола SSL привело к формированию протокола HTTPS (Hypertext Transfer Protocol Secure), поддерживающего шифрование. Данные, которые передаются по протоколу HTTPS, «упаковываются» в криптографический протокол SSL или TLS, тем самым обеспечивая защиту этих данных. Такой способ защиты широко используется в мире Веб для приложений, в которых важна безопасность соединения, например в платёжных системах. HTTPS поддерживается всеми браузерами. В отличие от HTTP, для HTTPS по умолчанию используется TCP-порт 443.

Изначально виртуальные частные сети (VPN) на основе SSL разрабатывались как дополнительная и альтернативная технология удалённого доступа на основе IPsec VPN. Однако, такие факторы, как достаточная надёжность и дешевизна сделали эту технологию привлекательной для организации VPN. Также SSL получил широкое применение в электронной почте.

Основные цели протокола в порядке приоритетности

Криптографическая безопасность: SSL устанавливает безопасное соединение между двумя сторонами.

Совместимость: Программисты, независимо друг от друга могут создавать приложения, использующие SSL, которые впоследствии будут способны успешно обмениваться криптографическими параметрами без всякого знания кода чужих программ.

Расширяемость: SSL стремится обеспечить рабочее пространство, в котором новые открытые ключи и трудоемкие методы шифрования могут быть включены по мере необходимости.

Относительная эффективность: работа протокола на основе SSL требует больших скоростей от CPU, в частности для работы с открытыми ключами. По этой причине SSL протокол был включен в необязательную сессию схемы кеширования для уменьшения числа соединений, которые необходимо устанавливать с нуля. Кроме того, большое внимание уделяется тому, чтобы уменьшить сетевую активность.


.3.3 Принцип работы SSL

Протокол SSL записи определяет формат, используемый для передачи данных. Протокол SSL включает рукопожатие с использованием протокола SSL записи для обмена сериями сообщений между сервером и клиентом во время установления первого соединения. Для работы SSL требуется, чтобы на сервере имелся SSL-сертификат.предоставляет канал, имеющий 3 основных свойства:

Аутентификация. Сервер всегда аутентифицируется, в то время как клиент аутентифицируется в зависимости от алгоритма.

Целостность. Обмен сообщениями включает в себя проверку целостности.

Частность канала. Шифрование используется после установления соединения и используется для всех последующих сообщений.

В протоколе SSL все данные передаются в виде записей-объектов, состоящих из заголовка и передаваемых данных. Передача начинается с заголовка. Заголовок содержит либо два, либо три байта кода длины. Причём, если старший бит в первом байте кода равен единице, то запись не имеет заполнителя и полная длина заголовка равна двум байтам, иначе запись содержит заполнитель и полная длина заголовка равна трём байтам. Код длины записи не включает в себя число байт заголовка.


.3.4 Процесс связи по протоколу SSL

Следующая диаграмма показывает шаги, необходимые для установки защищенной сессии по протоколу SSL.



7. РАСПРЕДЕЛЕНИЕ IP-АДРЕСОВ


Для нормальной работы сети каждому сетевому интерфейсу компьютера и маршрутизатора, на которые будут приходить, и отправляться IP- пакеты, должен быть назначен IP-адрес. Назначение IP-адресов может происходить в ручную путём прописывания на каждой машине. При этом администратор должен помнить, какие адреса он уже использовал для других интерфейсов, а какие ещё свободные. Даже при небольшом размере сети эта работа представляется рутинной, а порой даже утомительной работой. Протокол Dynamic Host Configuration Protocol (DHCP) освобождает администратора от этой проблемы автоматизируя назначении IP- адресов.может поддерживать автоматическое динамическое распределение IP-адресов, а также более простые способы ручного и автоматического статического назначения адресов. Протокол DHCP работает в соответствии с моделью клиент-сервер.

При автоматическом способе DHCP- сервер самостоятельно, без вмешательства администратора выбирает клиенту произвольный IP- адрес из пула наличных IP-адресов. Границы пула устанавливает администратор.При динамическом распределении DHCP-сервер выдает IP-адрес на ограниченное время, (время аренды), что даёт использовать этот IP-адрес для назначения другому компьютеру. DHCP-сервер может назначить клиенту не только IP-адрес, но и другие параметры стека TCP/IP, необходимые для его эффективной работы: маску, доменное имя компьютера и т.д. адреса представляют собой основной тип адресов, на основании которых сетевой уровень передаёт пакеты между сетями. Эти адреса состоят из 4 байт. IP-адрес состоит из двух частей: номера сети и номера узла. Номер сети может быть выбран администратором произвольно, либо назначен по рекомендациям специального подразделения Internet, если сеть должна работать как основная часть Internet.

Если адрес начинается с 0, то сеть относится к классу А и номер сети занимает один байт, остальные 3 байта интерпретируются как номер узла в сети. Сети класса А имеют номера в диапазоне от 1 до 126.(Номер 0 не используется, а номер 127 зарезервирован для специальных целей.) Если первые два бита адреса равны 10, то сеть относится к классу B. В сетях класса В под номер сети и под номер узла отводится по 16 бит, то есть по 2 байта. Если адрес начинается с последовательности 110, то это сеть класса С. В этом случае под номер сети отводится 24 бита, а под номер узла-8 бит. Если адрес начинается с последовательности 1110, то он является адресом класса D и обозначается особый, групповой адрес-multicast.

Второй подход разделения IP-адресов основан на использовании основан использовании маски, которая позволяет максимально гибко устанавливать границу между номером сети и номером узла. Маска - это число, которое используется в паре с IP-адресом, двоичная запись маски содержит последовательность единиц в тех разрядах, которые должны в IP-адресе интерпретироваться как номер сети. Граница между последовательностью единиц и последовательностью нулей в маске соответствует границе между номером узла в IP-адресе. Каждая рабочая станция в сети имеет свой уникальный 4-х байтный IP-адрес, который состоит из номера сети и номера узла в сети. К нашей сети подключено 108 компьютера, следовательно, ее можно отнести к C-классу.

Результаты распределения IP-адресов на рабочие станции приведено в таблице 7


Таблица 5

Распределение IP-адресов.

№ подсетиКол-во рабочих станцийКол-во коммутаторов и прочего оборудованияАдрес подсетиАдрес для широковещательных пакетовДиапазон IP-адресов16415192.168.1.0 255.255.255.128192.168.1.127192.168.1.1 - 192.168.1.792223192.168.2.0 255.255.255.192192.168.2.63192.168.2.1-192.168.2.253183192.168.2.0 255.255.255.192192.168.2.127192.168.2.64-192.168.2.2142-10.0.0.0 255.255.255.25210.0.0.310.0.0.1-10.0.0.25 2-10.0.0.4 255.255.255.25210.0.0.710.0.0.5-10.0.0.7612192.168.1.0 255.255.255.128192.168.1.127192.168.1.4(FS4), 192.168.1.5 (RT),

Сервера входят в подсеть 1 с IP адресами 192.168.1.1-192.168.1.4. Подсети 4 и 5 - виртуальные (VPN), для связи между филиалами и сервером 4. Подсеть 6 - DMZ

Состав VLAN-ов:ы в нашей сети создаются по порту на коммутаторе, их состав представлен в таблице 8. В VLAN-ах всех отделов кроме охраны и склада присутствует 1 рабочая станция из отдела ИТ для оказания технической помощи. Порты между коммутаторами тегированы. Тегированный порт позволяет коммутатору передать трафик нескольких VLAN'ов через один порт и сохранить при этом информацию о том, в пределах какого именно VLAN'а передается фрейм.


Таблица 6

Состав VLAN.

Номер VLANКоммутаторы, имя (порты)FS1FS2FS3FS41 (СЗ)SW1 (1-10), SW5 (1)PDC, вн. DNS, DHCP, вн. MAILСУБД, файл-серверWeb, внеш. MAIL2 (БУХ) SW2 (1-10), SW5 (2)PDC, вн. DNS, DHCP, вн. MAILСУБД, файл-серверWeb, внеш. MAIL3 (АДМ)SW3 (1-4), SW5 (3) PDC, вн. DNS, DHCP, вн. MAILСУБД, файл-серверWeb, внеш. MAIL4 (ОХР)SW4 (1-4)PDC, вн. DNS, DHCP, вн. MAILСервер охраны5 (ИТ)SW5 (5-15)PDC, вн. DNS, DHCP, вн. MAILСУБД, файл-серверWeb, внеш. MAIL6 (ЗД)SW7(1-20), SW5 (4)PDC, вн. DNS, DHCP, вн. MAILWeb, внеш. MAIL7 (КХ, КЗ)SW6 (1-3), SW8 (1-10), SW9 (1-12), SW10 (1-15) PDC, вн. DNS, DHCP, вн. MAILWeb, внеш. MAIL8 (ДАТ, КАМ)SW1 (11), SW3 (5), SW4 (5), SW6 (4), SW7 (21), SW8 (11),вн. DNS, DHCPСервер охраны9 (СЕРВ)SW12 (1-4)Архив БДСУБДРезерв БДRAS,VPN, SSL, FW10 (ТЕЛЕФ)SW1(1-10),SW2(1-10), SW3(1-3),SW4(1-4),SW5(1-15), SW6(1),SW7(1-20),SW8(1), SW9(1),SW10(1) Call-manager, 11 (ВИДЕО)SW1(1-10),SW2(1-10), SW3(1-3),SW4(1-4),SW5(1-15), SW6(1),SW7(1-20),SW8(1), SW9(1), SW10(1) Сервер видео

8. ПЛАН МОНТАЖНОЙ ПРОКЛАДКИ


Отделы по зданиям распределяются в следующем порядке:

-й этаж 1-го здания: справочный зал, бухгалтерия и охрана (24 компьютера);

-й этаж 1-го здания: администрация, ИТ-отдел, зал официальных делегаций, серверная (44 компьютера);

-й этаж 2-го здания: пригородная касса и касса дальнего следования 1 (22 компьютера);

-й этаж 3-го здания: Камеры хранения и касса дальнего следования 2 (18 компьютеров).

Кабель типа витая пара внутри зданий проходит по стенам в специальных защитных коробах. Переход сквозь стены осуществляется через технологические отверстия в стенах.

Оптоволоконный кабель, соединяющий здания, проходит под землей в шахте. Жгуты из кабелей проходят либо по стенам в кабель-канале.


.1 Расчет длины витой пары


Длина кабеля рассчитана по формуле:

=((L1+L2)/2)*N,


где L1 - длина кабеля от наиболее удалённой машины до коммутатора, L2 - длина кабеля от самой приближенной машины до коммутатора, N - количество компьютеров в кабинете.

.Справочный зал ((18+1)/2)*11=104м

.Бухгалтерия ((30+3)/2)*10=181 м

.Администрация вокзала ((10+3)/2)*5=32 м

.Охрана ((50+4)/2)*5=135 м

.ИТ-отдел ((15+1)/2)*15=120 м

.Зал официальных делегаций ((20+2)/2)*20=220 м

.Камеры хранения ((10+3)/2)*3=19 м

.Пригородные кассы ((45+5)/2)*11=275 м

.Кассы дальнего следования 1 ((50+4)/2)*12=324 м

. Кассы дальнего следования 2 ((65+10)/2)*15=412 м

) 1 здание, 1 этаж: 160 м

здание, 2 этаж: 160 м

здание, 1 этаж: 70 м

здание, 1 этаж: 70м.

Так как отделы занимают 1 и 2 этажи, а высота этажа равняется 3 метра, то дополнительно необходимо 6 метров витой пары для связи этажей. Таким образом, суммарно для прокладки сети требуется 2402м витой пары (с учётом запаса в 5%).


.2 Расчет длины оптоволокна


На основе схемы внешних соединений выполним расчет требуемого кол-ва оптоволокна:

По подвальным помещениям: 25 м

По подземным коммуникациям: 655 м.

Итог: 680 м.

Возьмем 5-ти процентный запас оптоволокна: таким образом, всего потребуется 714 м оптоволоконного кабеля.

ЗАКЛЮЧЕНИЕ


При разработке курсового проекта были пройдены все этапы по созданию корпоративной сети. Была разработана схема информационных потоков и построена схема информационных потоков с учетом серверов. Далее рассмотрены различные существующие топологии сетей и выбрана одна из наиболее подходящих для заданных условий. Для разработанной сети это сеть типа Fast Ethernet . Определили среду передачи данных и метод доступа к среде передачи данных. После чего выбрали активное и пассивное сетевое оборудование, сетевую и клиентскую операционные системы и сетевое прикладное обеспечение, разработали защиту сети от несанкционированного доступа.



СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ


Головин, Ю.А. Суконщиков А.А. Информационные сети и телекоммуникации.

Отпечатано: РИО ВоГТУ, Вологда, 2003. - 151 с.

Олифер В.Г., Олифер Н.А. Компьютерные сети. Принципы, технологии, протоколы. - СПб, Питер, 1999. - 672 с.

Компьютерные сети. Модернизация и поиск неисправностей. /Крейг Закер. - СПБ.: БХВ-Петербург, 2005. - 1008 с.:ил

Лагутенко, О.И. Модемы: справочник пользователя / О.И. Лагутенко. - СПб.: Лань, 1997. - 368 с.

Олифер, В.Г. Новые технологии и оборудование IP - сетей / В.Г.Олифер, Н.А.Олифер. - СПб.: Питер, 2000. - 372 с




ПРИЛОЖЕНИЯ







Министерство образования и науки Российской Федерации Вологодский государственный технический университет Курсовой про

Больше работ по теме:

КОНТАКТНЫЙ EMAIL: [email protected]

Скачать реферат © 2017 | Пользовательское соглашение

Скачать      Реферат

ПРОФЕССИОНАЛЬНАЯ ПОМОЩЬ СТУДЕНТАМ