Будівля
|
Поверх
|
Кількість
робочих місць
|
А
|
1
|
8
|
В
|
1
|
2
|
С
|
1
|
5
|
ЛОМ побудована на основі технології Fast Ethernet
стандарт IEEE 802.3u (100Base-TX) і Gigabit Ethernet стандарт IEEE 802.3
(1000BaseLX). Передача даних по кручений парі.
Технологія передачі даних магістральних каналів
зв’язку ІЕЕЕ 802.3ab.
Пропускна спроможність: робоча станція - 100
МБит/с, сервер - 1000 МБит/с.
Підключення до Інтернет: основне - 4 МБіт/с,
резервне - 2 МБіт/с.
Служби загального доступу: DNS, HTTPS, IMAP.
DNS (Domain Name System) - комп'ютерна
розподілена система для отримання інформації про домени. Найчастіше
використовується для отримання IP-адреси за іменем хосту (комп'ютера або
пристрою), отримання інформації про засоби маршрутизації, обслуговувані вузли
для протоколів в домені (SRV-запис).
Розподілена база даних DNS підтримується за
допомогою ієрархії DNS-серверів, взаємодіючих за певним протоколом.
Починаючи з 2010 року, в систему DNS
впроваджуються засоби перевірки цілісності переданих даних, звані DNS Security
Extensions (DNSSEC). Передані дані не шифруються, але їх достовірність
перевіряється криптографічними способами. Впроваджуваний стандарт DANE
забезпечує передачу засобами DNS достовірної криптографічного інформації
(сертифікатів), використовуваних для встановлення безпечних і захищених
з'єднань транспортного і прикладного рівнів.- схема URI, що синтаксично
ідентична http: схемі яка звичайно використовується для доступу до ресурсів
Інтернет. Використання https:URL указує, що протокол HTTP має використовуватися,
але з різним типовим портом (443) і додатковим шаром шифрування/автентифікації
між HTTP і TCP. Ця схема була винайдена у компанії Netscape Communications
Corporation для забезпечення автентифікації і шифрування комунікацій і широко
використовується на Інтернет для чутливих для безпеки комунікацій як наприклад
платіжні операції і корпоративні логіни.
Власне кажучи, HTTPS не окремий протокол, а
комбінація нормальної взаємодії HTTP через SSL або TLS. Це гарантує помірний
захист від підслуховування і від нападу «людина-посередині» (man-in-the-middle)
(якщо це здійснюється належним чином і уповноважені на видачу сертифікатів
верхнього рівня роблять свою роботу належним чином).
Типовим TCP портом HTTPS є 443 (для HTTP типове
значення - 80).
Щоб підготовити веб-сервер для прийняття https
транзакцій адміністратор повинен створити сертифікат з відкритим ключем для
веб-сервера. Ці сертифікати можуть бути створені на UNIX сервері такими
програмами, як наприклад OpenSSL ssl-ca. Цей сертифікат повинен бути підписаним
уповноваженим на видачу сертифікатів (certificate authority) який засвідчує, що
утримувач сертифікату - той самій, що стверджується у сертифікаті. Браузери
розповсюджуються з сертифікатами уповноважених на видачу сертифікатів верхнього
рівня, таким чином браузери можуть перевірити сертифікати підписані ними.
Організації можуть також мати їх власні
уповноважені на видачу сертифікатів, особливо якщо вони відповідальні за
конфігурацію браузерів, що мають доступ до їх власних сайтів (наприклад, сайти
на внутрішній мережі компанії), оскільки вони можуть тривіально додати свого
власного сертифіката до браузера.
Деякі сайти використовують самостійно підписані
сертифікати. Їх використання забезпечує захист проти підслуховування але є
ризик нападу «людина-посередині». Для запобігання нападу необхідна перевірка
сертифікату деяким іншим методом (наприклад подзвонити власнику сертифіката
задля перевірки контрольної суми сертифіката).
Система може також використовуватися для
клієнтської автентифікації, для того, щоб обмежити доступ до веб-сервера тільки
зареєстрованими користувачами. Для цього адміністратор сайту створює
сертифікати для кожного користувача, які завантажуються в їх браузер. Ці
сертифікати звичайно містять ім'я і електронну пошту зареєстрованого користувача
і автоматично перевіряються сервером при кожному повторном підключенні.
Введення паролю не потрібне.(Internet Message Access Protocol) - мережевий
протокол прикладного рівня для доступу до електронної пошти. Аналогічно POP3,
служить для роботи з вхідними листами, однак забезпечує додаткові функції,
зокрема, можливість пошуку за ключовим словом без збереження пошти в локальній
пам'яті.надає користувачеві великі можливості для роботи з поштовими
скриньками, розташованими на центральному сервері. Поштовий клієнт, що
використовує цей протокол, отримує доступ до сховища кореспонденції на сервер
так, начебто ця кореспонденція розташована на комп'ютері одержувача.
Електронними листами можна маніпулювати з комп'ютера користувача (клієнта) без
постійного пересилання з сервера і назад файлів з повним змістом листів. Для
відправки листів використовується протокол SMTP.
Служби обмеженого доступу: FTP, TFTP, 1C.
FTP - протокол передачі файлів (File Transfer
Protocol) - дає можливість абоненту обмінюватися двійковими і текстовими
файлами з будь-яким комп'ютером мережі, що підтримує протокол FTP. Установивши
зв'язок з віддаленим комп'ютером, користувач може скопіювати файл з віддаленого
комп'ютера на свій, або скопіювати файл з свого комп'ютера на віддалений.
При розгляді FTP як сервісу Інтернет мають на
увазі не просто протокол, а саме сервіс - доступ до файлів, які знаходяться у
файлових архівах.- стандартна програма, яка працює за протоколом TCP, яка
завжди поставляється з операційною системою. Її початкове призначення -
передача файлів між різними комп'ютерами, які працюють у мережах TCP/IP: на
одному з комп'ютерів працює програма-сервер, на іншому - програма-клієнт,
запущена користувачем, яка з'єднується з сервером і передає або отримує файли
через FTP-сервіс. Все це розглядається з припущенням, що користувач
зареєстрований на сервері та використовує логін та пароль на цьому
комп'ютері.(Trivial File Transfer Protocol - простий протокол передачі файлів)
використовується головним чином для первинного завантаження бездискових робочих
станцій. TFTP, на відміну від FTP, не містить можливостей аутентифікації (хоча
можлива фільтрація за IP-адресою) і заснований на транспортному протоколі UDP.
Основне призначення TFTP - забезпечення простоти
реалізації клієнта. У зв'язку з цим він використовується для завантаження
бездискових робочих станцій, завантаження оновлень і конфігурацій в «розумні»
мережеві пристрої, записи статистики з міні-АТС (CDR) та апаратних
маршрутизаторів / файрволов.
С - даний відкритий протокол розроблений
компаніями «1С» і «1С-Бітрікс». Протокол використовується штатної процедурою
обміну комерційними даними між системою «1С: Підприємство», з одного боку, і
системою управління сайтом, з іншого боку.
Функціонально обмін ділиться на два блоки:
¾ вивантаження на
сайт торгових пропозицій - каталогів продукції;
¾ обмін інформацією
про замовлення.
Перший блок забезпечує публікацію на сайті
каталогу номенклатурних позицій. Другий блок необхідний для передачі з сайту в
систему «1С: Підприємство» інформації про замовлення інтернет-магазину, і
подальшу синхронізацію статусів і параметрів замовлень.
В обох випадках ініціатором обміну виступає
система «1С: Підприємство». Обмін електронними документами здійснюється
відповідно до правил та форматами, описаними в стандарті CommerceML 2.
При ініціалізації взаємодії встановлюється HTTP
з'єднання. Система «1С: Підприємство» запитує у сайту необхідні параметри,
такі, як максимальний обсяг пакета, підтримка стиснення та ін. На підставі цих
даних система 1С: Підприємство формує XML повідомлення і передає їх на сайт.
1.3 Опис інформаційних ресурсів і служб
Мережева операційна система становить основу
будь-якої обчислювальної мережі. Кожен комп'ютер в мережі в значній мірі
втономний, тому під мережевою операційною системою в широкому сенсі розуміється
сукупність операційних систем окремих комп'ютерів, що взаємодіють з метою
обміну повідомленнями і поділу ресурсів за єдиними правилами - протоколами. У
вузькому сенсі мережева ОС - це операційна система окремого комп'ютера, що забезпечує
йому можливість працювати в мережі.
Особливу важливість для ОС корпоративної мережі
набувають питання безпеки даних. З одного боку, у великомасштабній мережі
об'єктивно існує більше можливостей для несанкціонованого доступу - через
децентралізацію даних і велику розподіленість «законних» точок доступу, через
велике число користувачів, благонадійність яких важко встановити, а також через
велику кількість можливих точок несанкціонованого підключення до мережі. І для
захисту даних в мережах поряд з різними апаратними засобами використовується
весь спектр засобів захисту, що надається операційною системою: виборчі або
мандатні права доступу, складні процедури аутентифікації користувачів,
програмна шифрація.Windows Server 2003 Standard Edition - є надійною серверною
операційною системою, що підвищує ефективність роботи організації. ОС Windows
Server 2003 Standard Edition орієнтована на застосування в мережах малих і
середніх організацій, забезпечуючи високий рівень надійності, масштабованості і
безпеки. Вбудовані засоби захисту інформації, сертифіковані за вимогами
безпеки, дозволяють використовувати дану серверну ОС для захисту конфіденційної
інформації та персональних даних, як в автономних мережах, так і в мережах
взаємодіючих з глобальною мережею Internet.
Операційні системи сімейства Microsoft Windows
Server 2003 - повнофункціональні серверні багатозадачні і багатокористувацькі
операційні системи загального призначення. Операційні системи Microsoft Windows
Server 2003 надають належну інфраструктурну платформу високої продуктивності
для підтримки обчислювальних мереж і забезпечують ефективне і масштабоване
розгортання різних додатків. Завдяки вбудованій підтримці однорангових і
клієнт-серверних мереж і стеків протоколів TCP / IP і IPX / SPX, вона дозволяє
забезпечити взаємодію з мережами Novell, UNIX і AppleTalk. До складу Microsoft
Windows Server 2003 включений сервер IIS, що надає платформу для розміщення
веб-вузлів в обчислювальних мережах.
ОС Microsoft Windows Server 2003 має можливість з
управління використовуваними апаратними та обчислювальними ресурсами, такими як
процесорний час, оперативна пам'ять, пристрої введення-виведення та ін
Служба каталогів Microsoft Active Directory -
центральний компонент ОС Microsoft Windows Server 2003 - дозволяє забезпечити
надійне та гнучке управління всім мережевим середовищем, а підтримка служби
Microsoft Metadirectory Service спрощує інтеграцію інформації з різних
каталогів, баз даних і файлів в каталог Microsoft Active Directory. Служба
Microsoft Metadirectory Service реалізує єдине подання ідентифікаційної
інформації, забезпечуючи інтеграцію бізнес-процесів, і полегшує синхронізацію
даної інформації всередині організації.
ОС Microsoft Windows Server 2003 має інтуїтивно
зрозумілий призначений для користувача інтерфейсом, засоби управління
електроживленням і підтримує технологію UPnP (Universal Plug and Play), що
дозволяє усунути ручне конфігурування та забезпечити автоматичне виявлення
різних пристроїв.
ОС Microsoft Windows Server 2003 підтримує
багатозадачність і здатна працювати однаково ефективно, використовуючи одно -
та багатопроцесорні системи. При цьому забезпечується те, що код, що
виконується на одному процесорі, не отримує доступ і не модифікує дані, що
обробляються іншим процесором. ОС Microsoft Windows Server 2003 підтримує
пакетний ввід-вивід із застосуванням зворотних пакетів запиту вводу-виводу і
асинхронного вводу-виводу.
ОС Microsoft Windows Server 2003 має репутацію
керованої, надійної і безпечної. Ці властивості ОС досягаються за рахунок
використання файлової системи NTFS, засобів управління додатками і розширених
можливостей забезпечення безпеки, керованого доступу до мережі, єдиного входу в
систему, безпечного зберігання реквізитів користувача та ін
Налаштована відповідно до рекомендацій
Керівництва щодо безпечного налаштування і контролю ОС Microsoft Windows Server
2003 забезпечує виконання основних вимог керівних і нормативних документів щодо
захисту конфіденційної інформації та персональних даних. ОС Microsoft Windows
Server 2003 успішно застосовується в якості сертифікованого засобу захисту
інформації від НСД для побудови автоматизованих систем класу захищеності до 1Г
включно - для роботи з конфіденційною інформацією, а так само в інформаційних
системах для роботи з персональними даними.
Сертифіковані версії Server 2003 Standard Edition
SP2 / R2 / R2 SP2 поставляються в складі базового або повного пакету. Вартість:
Базовий пакет - 1630 грн.
Повний пакет - 2010 грн.
«1С: підприємство» вже закуплено і застосовується
на підприємстві і є основним ПЗ для ведення господарської діяльності.
1.4 Адміністрування комп’ютерної мережі
У поняття «адміністрування кабельної мережі»
включаються такі види робіт:
¾ внесення змін до
пасивної частини кабельної мережі з установкою кросових шнурів в комутаційних
вузлах;
¾ установка і
підключення активного мережевого обладнання в комутаційних шафах;
¾ встановлення та
підключення периферійного обладнання на робочому місці користувача;
¾ заповнення
документації на внесені зміни.
Технічна документація на кабельну мережу повинна
бути видрукувана у трьох примірниках і зберігатися у наступних місцях:
¾ повний екземпляр
на робочому місці адміністратора кабельної мережі;
¾ робочі таблиці на
місці виконання робіт в головному комутаційному вузлі.
В процесі експлуатації мають вноситися зміни у
всіх трьох примірниках причому робочі таблиці заповнюються безпосередньо в
процесі виконання робіт, а повні екземпляри змінюються після закінчення робіт.
Усі записи виконуються акуратно і розбірливо і повинні відображати поточний
стан комутаційних вузлів.
Роботи, пов'язані із зміною трас прокладки,
виявленням несправностей і ремонтом кабельного господарства та комутаційних
елементів, тестуванням, виміром і оформленням протоколів вимірів, повинні
виконуватися сертифікованими фахівцями підрядної сервісної організації.
1.5 Вимоги безпеки
У проектованій мережі конфіденційними даними є
тільки дані начальства і бухгалтерії (рахунки) та особисті дані кожного
користувача. Попередження крадіжки цих даних усередині мережі вирішується на
рівні паролів і розмежування доступу до даних, між мережами (ЛОМ та Інтернет)
на рівні Proxy сервера і Firewall.
Облікові записи користувачів. У проектованої
обчислювальної мережі потрібно вибірково наділити користувачів правами доступу
до каталогів і створити групи для надання доступу до загальних мережних
ресурсів (табл. 1.2).
Таблиця 1.2. Права доступу для груп користувачів
Назва групи
|
Внутрішні
ресурси
|
Рівні доступу
до внутрішніх ресурсів
|
Доступ в
Internet і електронна пошта
|
Адміністратори
|
Всі
мережеві ресурси
|
Права
адміністратора в каталогах, в тому числі зміна рівня і прав доступу
|
Усі
мережеві ресурси
|
Викладачі
|
Вся
інформація школи
|
Обмеження
доступу до папок (за необхідністю)
|
Обмеження
за IP-адресою (адресата і джерела), обмеження за змістом (вхідної та вихідної
кореспонденції), за необхідністю
|
Батьки
|
Спеціальні
каталоги та папки для батьків
|
Перегляд
об'єктів (читання і пошук файлів)
|
Обмеження
за IP-адресою (адресата і джерела), обмеження за змістом (вхідної та вихідної
кореспонденції), за необхідністю Ідентифікація користувача не вимагається
|
(також званий міжмережевим екраном) - це
програмний або апаратний комплекс для розмежування доступу до локальної або
глобальної мережі. Загальний принцип його роботи наступний: firewall відстежує
всі встановлювані з'єднання, після переглядає наявний у нього список правил
(заданих користувачем або адміністратором) і визначає, чи слід дозволити дане
з'єднання або заблокувати.
Персональний Firewall - це програма, яка
встановлюється безпосередньо на комп'ютер звичайного користувача. Основна
відмінність персонального Firewall від корпоративного полягає в тому, що в його
правилах можна задавати не тільки протокол, адресу і порт для підключення, але
й програми, яким дозволено це підключення встановлювати (або навпаки, приймати
вхідне).
У даному проекті Firewall є апаратним, Zyxel
Internet Security Appliance (4 port 10/100 Mbs, 1WAN).
2. Техніко-економічне обґрунтування
2.1 Обґрунтування фізичної топології комп’ютерної мережі
Можливі варіанти конфігурації ЛОМ подані у табл.
2.1.
Таблиця 2.1. Можливі варіанти конфігурації ЛОМ
для ТОВ «Врожай»
Компонент
/характеристика
|
Варіант
1
|
Варіант
2
|
Варіант
3
|
Топологія
|
Шина
|
Зірка-шина
|
Зірка-шина
|
Лінія
зв’язку
|
Коаксіальний
кабель
|
Неекранована
або екранована кручена пара категорії 3.
|
Неекранована
або екранована кручена пара категорії 5 або 5е.
|
Мережеві
адаптери
|
Ethernet
10 Base2
|
Ethernet
10 BaseT
|
Fast
Ethernet 100 BaseTX
|
Ретранслятори
(повторювачі, концентратори, комутатори, мости, маршрутизатори, шлюзи)
|
Відсутні
|
Концентратор
|
Комутатор
100 BaseTX (з можливістю установки засобів віддаленого контролю, а також
збільшення щільності портів)
|
Управління
спільним використанням ресурсів
|
Однорангова
мережа; кожен комп'ютер виступає в ролі невиділеного сервера
|
Мережа
на основі сервера з комп'ютерами-клієнтами; роль сервера-файловий сервер
|
Мережа
на основі сервера з комп'ютерами-клієнтами; клієнт-серверна модель побудови
|
Спільне
використання периферійних пристроїв
|
Кожен
комп'ютер має своє власне периферійний пристрій
|
Підключення
мережного принтера; керування чергами до принтера здійснює робоча станція
|
Підключення
мережного принтера безпосередньо до мережевого кабелю через мережеву плату,
керування чергами до принтера за допомогою програмного забезпечення сервера
|
Підтримувані
додатки
|
Спільна
робота з одиночними документами; обмін короткими повідомленнями по ЛВС
|
Спільна
робота з документами, робота з базами даних (в режимі файлового сервера: DBF,
парадокс)
|
Електронна
пошта, обробка факсимільних повідомлень, організація колективних робіт в
середовищі електронного документообігу, робота з базами даних із
використанням спеціальних серверів
|
Обираємо «зірково-шинну» топологію із сервером за
варіантом 3.
ЛОМ побудована на основі технології Fast Ethernet
стандарт IEEE 802.3u (100Base-TX) і Gigabit Ethernet стандарт IEEE 802.3
(1000BaseLX). Передача даних по кручений парі. Розширюваність на базі кручений
пари набагато гнучкіше, ніж на коаксилі. Досягається це за рахунок топології
зірка, де центральну роль відіграє світч. Світчі між собою можуть бути з'єднані
кросовим кабелем.
Таким чином, досягаються величезні можливості для
розширення мережі. Тому для з'єднання комп'ютерів в мережу всередині будівель
ми вибираємо кручену пару, а для з'єднань мережі між будівлями ми вибираємо
оптоволоконний кабель. У оптоволоконному кабелі передані дані поширюються у
вигляді модульованих світлових імпульсів по оптичних волокнах. У зв'язку з цим
це відносно надійний і захищений спосіб передачі даних, оскільки електричні
сигнали при цьому не передаються.
Пропускна здатність мережі визначається
обчислювальною потужністю вузла і гарантується для кожної робочої станції.
Колізій (зіткнень) даних не виникає.
Топологія у виді зірки є найбільш швидкодіючою з
усіх топологій обчислювальних мереж, оскільки передача даних між робочими
станціями проходить через центральний вузол (при його гарній продуктивності) по
окремих лініях, використовуваним тільки цими робочими станціями.
Крім того, комбінована топологія відповідає
наступним техніко-економічним умовам:
¾ Низька вартість
розширення мережі (в частині мережі «зірка» нова машина лише підключається до
роз'єму комутатора);
¾ Подібна мережа
відповідає класичним вимогам стандарту Ethernet (великі довжини сегментів - до
100 м; велике число комп'ютерів в мережі - до 1024);
¾ В значній мірі
задовольняє іншим вимогам (розводка кабелю, захист даних, обслуговування).
Проект приміщень з розводкою кабелю представлений
в Додатку А.
Сервери знаходяться в будівлі А на 2-му поверсі в
приміщенні №3 (Додаток А).
2.2 Укрупнений розрахунок варіантів технічних засобів комунікацій
Розрахунок довжини кабелю подано у табл. 2.2.
Таблиця 2.2. Розрахунок довжини кабелю
Будівля
\ поверхи
|
1
|
2
|
3
|
Разом
|
будівля А
|
Шахта
|
3,5
|
3,5
|
3,5
|
|
кімната 1
|
50
|
50
|
50,5
|
|
кімната 2
|
79,5
|
79,5
|
79,5
|
|
кімната 3
|
49,5
|
49,5
|
49,5
|
|
|
182,5
|
182,5
|
183
|
548
|
будівля В
|
Шахта
|
3,5
|
|
|
|
кімната 1
|
42
|
|
|
|
кімната 2
|
95,5
|
|
|
|
|
141
|
|
|
141
|
будівля С
|
Шахта
|
3,5
|
3,5
|
|
|
кімната 1
|
45
|
45
|
|
|
кімната 2
|
39,5
|
39,5
|
|
|
кімната 3
|
31
|
30,5
|
|
|
кімната 4
|
24
|
24
|
|
|
|
143
|
142,5
|
|
285,5
|
|
57
|
|
|
114
|
Разом
по крученій парі
|
1088,5
|
Разом
по крученій парі +3%
|
1121,2
|
Оптика
|
Між
будівлями
|
А-В
|
30
|
А-С
|
39
|
Разом
оптика
|
69
|
Разом
оптика +3%
|
71,07
|
Кручена пара: Для виконання робіт з прокладання
кабельної системи мережі необхідно 1122 метрів кабелю. Що становить 4 бухти по
305 метрів + 1 бухта по 10 метрів. Разом 2090 грн.
Оптоволокно: Для виконання робіт з прокладання
кабельної системи мережі необхідно 72 метри оптоволокна. Разом 1500 грн.
Загальна вартість кабельної системи складає 3590
грн.
Розрахунок пасивного обладнання подано у табл.
2.3.
Таблиця 2.3. Розрахунок пасивного обладнання
№
|
Назва
|
Кількість
|
Ціна,
грн.
|
Сума,
грн.
|
1
|
Полка
фронтальна 19», 2U, Г400 мм, чорна
|
7
|
187
|
1309
|
2
|
Патч-панель 19» UTP 16 port кат. 5e роз’єм KRONE
|
3
|
230
|
690
|
3
|
Патч-панель 19» UTP 12 port кат. 5e роз’єм KRONE
|
5
|
228
|
1140
|
4
|
Настінна двосекційна шафа 19», 15U, скляні двері, Ш543хВ733хГ400 мм, сірий
|
1
|
1210
|
1210
|
5
|
Patch Cord UTP
0.5 м
|
100
|
5,5
|
550
|
6
|
RJ-45 Конектор
(экран.) (упаковка 100 шт.)
|
1
|
240
|
240
|
7
|
Кабель UTP 4 пари кат. 5Е <бухта 305> типу Pcnet
|
4
|
461
|
1844
|
8
|
Кабель UTP 4
пари кат. 5e < <бухта 100 м> >
|
1
|
250
|
250
|
9
|
Інструмент для обжимки, RJ-45
|
1
|
79
|
79
|
10
|
Розетка двійна RJ-45 тип KRONE кат. 5Е
|
80
|
33
|
2640
|
11
|
Мініканал 12х7 мм, білий, Efapel 10010 (10000) 2 м
|
502
|
39
|
19578
|
|
Разом:
|
|
|
29530
|
Розрахунок пасивного обладнання подано у табл.
2.4.
Таблиця 2.4. Розрахунок активного обладнання
№
|
Назва
|
Кількість
|
Ціна,
грн.
|
Сума,
грн.
|
1
|
D-Link
Switch 16port (14UTP 10/ 100/ 1000Mbps +2Combo 1000BASE-T/ SFP)
|
5
|
1585
|
7925
|
2
|
D-Link
Switch 24port (22UTP 10/ 100/ 1000Mbps +2Combo 1000BASE-T/ SFP)
|
1
|
2110
|
2110
|
3
|
D-link
10/100 Base-TX to 100Base-FX Media Converter
|
4
|
210
|
840
|
4
|
D-Link
Switch 8port (6UTP 10/ 100/ 1000Mbps +2Combo 1000BASE-T/ SFP)
|
3
|
1170
|
3510
|
5
|
Модем/маршрутизатор
P-793H ZyXEL
|
1
|
3880
|
3880
|
6
|
Модем/маршрутизатор
P-791R v2 ZyXEL
|
1
|
2300
|
2300
|
|
Разом:
|
|
|
20565
|
Загальна вартість пасивного обладнання - 29530
грн.
Загальна вартість активного обладнання - 20565
грн.
Разом - вартість обладнання за проектом - 50095
грн.
Розрахунок серверів подано у табл. 2.5.
Таблиця 2.5. Розрахунок серверів
№
|
Назва
|
Кількість
|
Ціна,
грн.
|
Сума,
грн.
|
Файловий
сервер
|
1
|
Intel
1U SR1530CL (Socket771, i5000V, SVGA, SATA Raid, 2xGblan, 6DDRII FBDIMM,
400W)
|
1
|
5443
|
5443
|
2
|
Xeon
E5430 BOX Active or 1U Passive 2.66ГГЦ/12MbL2/1333МГЦ 771-LGA
|
1
|
4165
|
4165
|
Kingston
DDRII FB-DIMM 2Gb ECC CL5
|
1
|
566
|
566
|
4
|
250Gb
SATA II 300 WESTERN Digital 7200rpm 8Mb
|
1
|
422
|
422
|
5
|
320
Gb SATA II 300 Western Digital 7200 rpm 16 Mb
|
4
|
496
|
1984
|
|
Разом
|
|
|
12580
|
Сервер
БД
|
1
|
Intel
1U SR1530CL (Socket771, i5000V, SVGA, SATA Raid, 2xGblan, 6DDRII FBDIMM,
400W)
|
1
|
5443
|
5443
|
2
|
Xeon
E5205 BOX Active or 1U Passive 1.86ГГЦ/6MbL2/1066МГЦ 771-LGA
|
1
|
1899
|
1899
|
3
|
Kingston
DDRII FB-DIMM 2Gb ECC CL5
|
1
|
675
|
675
|
4
|
250Gb
SATA II 300 WESTERN Digital 7200rpm 8Mb
|
1
|
422
|
422
|
5
|
320
Gb SATA II 300 Western Digital 7200 rpm 16 Mb
|
4
|
496
|
1984
|
|
Разом
|
|
|
10423
|
Proxy
сервер
|
1
|
Miditower
Thermaltake Silver Swing ATX 430W (24+6+4 пин)
|
1
|
770
|
770
|
2
|
Intel
Socket PCI-E+SVGA+GbLAN SATA RAID U133 MicroATX 4DDRII
|
1
|
743
|
743
|
3
|
Core
2 Duo E6550 2.33 ГГц/ 4Мб/ 1333МГц 775-LGA
|
1
|
1155
|
1155
|
4
|
Kingston
DDRII DIMM 1Gb CL5
|
1
|
232
|
232
|
5
|
250Gb
SATA II 300 WESTERN Digital 7200rpm 8Mb
|
1
|
422
|
422
|
6
|
D-Link
10/100 Mbps 32-bit Cardbus Adapter
|
2
|
195
|
390
|
|
Разом
|
|
|
3712
|
Разом - вартість трьох серверів - 26715 грн.
У підсумковій таблиці 2.6 розраховано загальну
вартість проекту.
Таблиця 2.6. Загальна вартість проекту
№
|
Назва
|
Сума,
грн.
|
1
|
Вартість
кабельної системи
|
3590
|
2
|
Роботи
з прокладки кабелю $0,24 за
метр
|
2050
|
3
|
Вартість
пасивного обладнання
|
29530
|
4
|
Вартість
серверів
|
26715
|
5
|
Налаштування
серверів +10%
|
1400
|
6
|
Вартість
активного обладнання
|
20535
|
7
|
Налаштування
активного обладнання +10%
|
990
|
8
|
Вартість ОС
|
2010
|
|
РАЗОМ:
|
86820
|
Отже, загальну вартість проекту оцінено в 86820
грн.
2.3 Структура комп’ютерної мережі
Розглянувши різні конфігурації ЛОМ з таблиці 2.1,
був обраний 3 варіант - мережа на основі сервера.
Сервер в мережі клієнт / сервер являє собою ПК із
жорстким диском великої місткості або окремий багатопроцесорний блок, який не
виконує функції звичайного ПК, на якому можна зберігати додатки і файли
доступні для інших ПК в мережі. Сервер може також управляти доступом до
периферійних пристроїв (таким як принтер, факс) і використовується для
виконання мережевої операційної системи.
У проекті передбачено 3 сервера:
Сервер БД - на даному сервері знаходяться
таблиці, дані, які можуть знадобитися працівникам даного підприємства в період
всієї роботи.
Файловий сервер - комп'ютер, основною функцією
якого є збереження, управління і передача файлів даних. Він не обробляє і не
змінює файлів. У загальному випадку на FS може навіть відсутніми клавіатура і
монітор. Всі зміни в файлах даних здійснюються з клієнтських робочих станцій.
Для цього клієнти зчитують файли даних з FS, здійснюють необхідні зміни даних і
повертають їх назад на FS.сервер - це сервер, який керує доступом клієнтських
комп'ютерів в Мережу. Використовуючи proxy-сервер, компанія може запобігти
доступу службовців до небажаних Web-сайтів, збільшити продуктивність за рахунок
локального зберігання Web-сторінок і приховати внутрішню мережу так, що
зовнішнім користувачам буде вкрай складно відстежувати інформацію, що
знаходиться в ній.
Сервери знаходяться в будівлі А в приміщенні №3
(Додаток А).
Логічна топологія комп’ютерної мережі подана у
Додатку Б.
Проектована комп’ютерна мережа складається з
наступних підсистем:
¾ підсистема
робочого місця;
¾ горизонтальна
підсистема;
¾ вертикальна
підсистема;
¾ підсистема
управління;
¾ підсистема
устаткування;
¾ зовнішня
підсистема.
Підсистема робочого місця
Підсистема робочого місця включає в себе
необхідну кількість універсальних портів на базі уніфікованих роз'ємів RJ45
і/або оптичних з'єднувачів для підключення кінцевого обладнання.
Кількість робочих місць взято з розрахунку 5 м2
площі кабінету на одне робоче місце з урахуванням специфікації. Точка установки
робочого місця в процесі експлуатації може бути без особливих витрат пересунута
вздовж короба. Для цієї мети необхідно залишити у кожної розетки петлю запасу
кабелю близько 1 м.
Горизонтальна підсистема
Горизонтальна підсистема забезпечує з'єднання
робочих місць з кросовим обладнанням, встановленим в стандартному 19»
монтажному шафі (головний крос). Виконано 4-х парним кабелем типу «неекранована
кручена пара категорії 5», з наступними характеристиками:
Опір 9.38 Ом/100 м
Ємність 4.59 нФ/100 м на частоті 1 кГц
У таблиці 2.7 представлені характеристики 4-х
парного кабелю типу UTP 5-ой категорії по загасанню, перехресним наводкам і
імпедансу.
Таблиця 2.7. Характеристики 4-х парного кабелю
типу UTP 5-ой категорії
Частота
МГц
|
Згасання
дБ/100 м
|
NEXT,
ДБ
|
Імпеданс,
Ом
|
1.0
|
2.0
|
62
|
100+15
|
4.0
|
4.1
|
53
|
100+15
|
8.0
|
5.8
|
48
|
100+15
|
10.0
|
6.5
|
47
|
100+15
|
16.0
|
8.2
|
44
|
100+15
|
20.0
|
9.3
|
42
|
100+15
|
25.0
|
10.4
|
41
|
100+15
|
31.25
|
11.7
|
40
|
100+15
|
62.5
|
17.0
|
36
|
100+15
|
100
|
22.0
|
32
|
100+15
|
Все кабельне та кросове обладнання, застосовуване
в проекті, задовольняє вимогам 5 категорії міжнародного стандарту EIA/TIA-568В,
а також вимогам Underwriters Laboratories (UL) США з електробезпеки і
технічними характеристиками.
Прокладка кабелів горизонтальної підсистеми на
поверхах за підвісною стелею:
Вертикальний стояк - металевий короб 100х60 мм;
Горизонтальна прокладка (за підвісною стелею по
стіні): міні-канал 12х7 мм для кожного UTP до кожного робочого місця.
Кабель-канали прокладаються по стінах будівлі
шляхом кріплення їх шурупами з кроком 1 метр. По периметру робочих приміщень
кабель-канали встановлюються на висоті 75-80 см від підлоги, трохи вище рівня
робочих столів. По стінах будівлі уздовж вікон, кабель-канали встановлюються
під підвіконнями. Для стикування каналів прокладених вздовж вікон та по
внутрішніх стінах робочих приміщень, використовуються кутові секції
кабель-каналів.
Кабель обжимають вбудовуваними в короб розетками
RJ-45. Для підключення обладнання робочих місць укомплектовується патч-кордом
довжиною 3 м.
Вертикальна підсистема
Вертикальна підсистема дозволяє об'єднувати в
уніфіковану мережу кілька поверхів будівлі. Забезпечує з'єднання пристроїв
зв'язку і комутації комп'ютерної мережі.
У даному проекті вертикальна підсистема
побудована на кабелі UTP 4 пари кат. 5Е, який з'єднує:
У будівлі А: 2 комутатори D-Link Switch 16port
(14UTP 10/100 / 1000Mbps +2 Combo 1000BASE-T / SFP) з головним комутатором
D-Link Switch 24port (22UTP 10/100 / 1000Mbps +2 Combo 1000BASE-T / SFP).
У будівлі С: 2 комутатори D-Link Switch 16port
(14UTP 10/100 / 1000Mbps +2 Combo 1000BASE-T / SFP)
У двох віддалених магазинах - крім модемів /
маршрутизаторів P-791R v2, в будівлі розміщуються комутатори D-Link Switch
8port (6UTP 10/100 / 1000Mbps +2 Combo 1000BASE-T / SFP), до яких приєднуються
комп'ютери користувачів.
Підсистема управління
Включає в себе кросове обладнання для комутації
сигналів, які передаються як по мідному, так і оптичному кабелю. Підсистема
управління включає в себе кросове обладнання для комутації сигналів в головному
кросі.
Комутація робочих місць здійснюється за допомогою
спеціальних крос-кабелів між цими панелями на головному кросі кожної будівлі.
Застосування такої схеми забезпечує більш безпечний метод комутації активного
устаткування.
У приміщеннях апаратної (к. 3 будівля А, к. 5
будівлі С, к. 1 будівлі В, див. Додаток А) встановлюються:
У будівлі А на 2-3 поверхах встановлюється полка
фронтальна 19», 2U:
¾ патч-панель 19
«UTP 16 port кат. 5Е TRENDnet, для підключення вузлів;
¾ комутатор D-Link
Switch 16port (14UTP 10/100 / 1000Mbps +2 Combo 1000BASE-T / SFP).
Будівля А на 1 поверсі встановлюється шафа
настінна 15U, односекційна, глибина - 600 мм:
¾ патч-панель 19
«UTP 16 port кат. 5Е TRENDnet, для підключення вузлів;
¾ комутатор D-Link
Switch 24port (22UTP 10/100 / 1000Mbps +2 Combo 1000BASE-T / SFP);
У будівлі А в комутаційній шафі також знаходяться
2 сервера (файловий сервер і сервер БД), також джерело безперебійного живлення.
У будівлі С встановлюється полка фронтальна 19»,
2U:
¾ патч-панель 19
«UTP 12 port кат. 5e роз'єм KRONE, для підключення вузлів;
¾ комутатор D-Link
Switch 16port (14UTP 10/100 / 1000Mbps +2 Combo 1000BASE-T / SFP).
У будівлі В встановлюється полка фронтальна 19»,
2U:
¾ патч-панель 19
«UTP 12 port кат. 5e роз'єм KRONE, для підключення вузлів;
¾ комутатор D-Link
Switch 8port (6UTP 10/100 / 1000Mbps +2 Combo 1000BASE-T / SFP).
Для комутації шафи укомплектовуються патч-корд
довжиною 0,5 м.
Підсистема устаткування
Включає в себе будь активне обладнання систем
передачі голосу, даних, відео, контролю за безпекою. В якості пристрою зв'язку
і комутації комп'ютерної мережі проектом взяти чотири комутатора D-Link Switch
16port (14UTP 10/100 / 1000Mbps +2 Combo 1000BASE-T / SFP), один комутатор
D-Link Switch 24port (22UTP 10/100 / 1000Mbps +2 Combo 1000BASE - T / SFP) і
D-Link Switch 8port (6UTP 10/100 / 1000Mbps +2 Combo 1000BASE-T / SFP)
Проектом передбачений файловий сервер і сервер БД
Intel 1U SR1530CL (Socket771, i5000V, SVGA, SATA Raid, 2xGblan, 6DDRII FBDIMM,
400W). Вибір серверів обумовлений підвищеною продуктивністю системи
вводу-виводу, повним набором засобів підтримки працездатності і поліпшеними
можливостями розширення для повного задоволення всіх вимог швидко розвиваються
корпоративних обчислювальних центрів.
Для організації файлового сервера, необхідний
комп'ютер з об'ємним дисковим накопичувачем. Для цих потреб будемо
використовувати RAID 5 технологію, яка забезпечить швидкодію і підвищить
надійність, при незначному збільшенні ціни.
Файловий сервер містить:
¾ Процесор Xeon
E5430 BOX Active or 1U Passive 2.66ГГЦ/12MbL2/1333МГЦ 771-LGA;
¾ Модуль пам'яті
Kingston DDRII FB-DIMM 2Gb ECC CL5;
¾ Жорсткі диски:
750Gb SATA II 300 WESTERN Digital 7200rpm 16Mb (1 шт.) І 1,5 Tb SATA II 300
Western Digital 7200 rpm 64 Mb (4 шт.)
¾ Жорсткий диск на
750 Gb буде використаний під операційну систему, а 4 штуки на 1,5 Tb будуть
працювати в рейді.
Сервер баз даних містить:
¾ Процесор Xeon
E5205 BOX Active or 1U Passive 1,86 ГГЦ/6MbL2/1066МГЦ 771-LGA;
¾ Модуль пам'яті
Kingston DDRII FB-DIMM 2Gb ECC CL5;
¾ Жорсткі диски:
250Gb SATA II 300 WESTERN Digital 7200rpm 8Mb (1 шт.) І 320 Gb SATA II 300
Western Digital 7200 rpm 16 Mb (4 шт.)
Інтернет сервер складається з:
¾ Корпус Miditower
Thermaltake Silver Swing ATX 430W (24 +6 +4 пін);
¾ Материнська плата
Intel Socket PCI-E + SVGA + GbLAN SATA RAID U133 MicroATX 8DDRIII;
¾ Процесор Core
Quad Duo 2.67ГГЦ/8Mb/1333МГц BOX 775-LGA4
¾ Модуль пам'яті
Kingston DDRII DIMM 1Gb CL5;
¾ Жорсткий диск 1,5
Tb SATA II 300 WESTERN Digital 7200rpm 8Mb;
¾ Сетевая карта
D-Link 10/100 Mbps 32-bit Cardbus Adapter
Джерело безперебійного електроживлення ДБЖ
В якості джерела в системі безперебійного
живлення проектом передбачається використання ДБЖ UPS 600VA PowerCorn RackMourt
1U. (5654 руб.)
Основними завданнями ДБЖ в системі безперебійного
живлення є:
¾ при порушеннях в
роботі електричної мережі, забезпечення електропостачання відповідальних
споживачів (інформаційно-обчислювальний, мережеве обладнання) на час, достатній
для коректного ручного або автоматичного згортання роботи локальної мережі;
¾ можливість
контролю та управління з боку мережевого адміністратора;
¾ підвищення якості
електричної енергії, одержуваної від живильної мережі і надходить до
відповідальних споживачам;
¾ створення
додаткової розв'язки електрична мережа - відповідальний споживач для вирішення
питань електричної безпеки;
Зовнішня підсистема
Призначена для формування об'єднаної мережі в
групі будівель. В даному курсовому проекті передбачена прокладка оптичного
кабелю між будівлями Центрального офісу через зовнішнє середовище.
Для організації з'єднання будівель Центрального
офісу та двох віддалених філій необхідно скористатися технологією сімейства
xDSL. Це найбільш вигідна технологія передачі даних по каналах зв'язку.
Дозволяє використовувати одну пару мідних телефонних проводів, що ми і маємо в
даному випадку. Для реалізації необхідно резервування магістральних каналів
зв’язку у провайдера.
3. технічний Проект
3.1 Вибір активного мережевого обладнання
В якості пристрою зв'язку і комутації
комп'ютерної мережі проектом взяти чотири комутатора D-Link Switch 16port
(14UTP 10/100 / 1000Mbps +2 Combo 1000BASE-T / SFP), один комутатор D-Link
Switch 24port (22UTP 10/100 / 1000Mbps +2 Combo 1000BASE - T / SFP) і D-Link
Switch 8port (6UTP 10/100 / 1000Mbps +2 Combo 1000BASE-T / SFP).
У будівлі А: 2 комутатори D-Link Switch 16port
(14UTP 10/100 / 1000Mbps +2 Combo 1000BASE-T / SFP) з головним комутатором
D-Link Switch 24port (22UTP 10/100 / 1000Mbps +2 Combo 1000BASE-T / SFP).
У будівлі С: 2 комутатори D-Link Switch 16port
(14UTP 10/100 / 1000Mbps +2 Combo 1000BASE-T / SFP)
У двох віддалених магазинах - крім модемів /
маршрутизаторів P-791R v2, в будівлі розміщуються комутатори D-Link Switch
8port (6UTP 10/100 / 1000Mbps +2 Combo 1000BASE-T / SFP), до яких приєднуються
комп'ютери користувачів.
3.2 Розрахунок логічної адресації
адреси повинні бути унікальними в просторі
Інтернет - глобальної TCP / IP-мережі, що є конгломератом MILNET, NSFNET,
регіональних, університетських, відомчих мереж та мереж, котрі обслуговуються
комерційними провайдерами. Мережеві номери присвоює центральний орган - служба
реєстрації центру InterNIC.
Проектованій мережі надано IP адресу
10.203.0.0.
Кількість робочих місць у кожному приміщенні
вказана вище (див. табл. 1.1).
Таблиця адрес користувачів мережі подана нижче
(табл. 3.1).
Таблиця 3.1. Таблиця адресації в проектованій
комп’ютерній мережі
Будівля
/ приміщення
|
IP адреса підмережі
|
Пул IP адрес
|
Будівля
А
|
|
|
серверна
|
10.203.0.1.
|
10.203.0.2
- 10.203.0.9
|
1
поверх
|
10.203.0.10
|
10.203.0.11.
- 10.203.0.19
|
Будівля
В
|
10.203.0.60
|
10.203.0.61.
- 10.203.0.69
|
Будівля
С
|
|
|
1
поверх
|
10.203.0.70
|
10.203.0.71.
- .10.203.0.79
|
Таким чином ми отримали, що адрес вхідної мережі
становить 10.203.0.0, кількість доступних адрес в цій мережі: 255. Ми виділили
119 адрес, що становить близько 46,7% доступного адресного простору мережі.
3.3 Комутація
Налаштування комутаторів
D-Link Switch 16port (14UTP 10/100 / 1000Mbps +2
Combo 1000BASE-T / SFP) - керовані Комутатори D-Link рівня 2 серії xStack
DGS-3200 з підтримкою розширених функцій безпеки та IPv6 забезпечують високу
продуктивність мережі рівня Enterprise (рис. 3.1).
Рис. 3.1. Комутатор D-Link Switch 16port DGS-3200-16 (14UTP
10/100 / 1000Mbps +2 Combo 1000BASE-T / SFP)
В дану серію входять комутатори DGS-3200-10, DGS-3200-16 і
DGS-3200-24. Комутатор входить в комплексне рішення забезпечення безпеки D-Link
(End-to-End Security) і забезпечує комплексний захист мережі від внутрішніх і
зовнішніх загроз. Крім цього, технологія D-Link Green Ethernet зменшує витрати
на енергію, завдяки скороченню споживаної потужності, не знижуючи
продуктивність мережі.
Комутатор DGS-3200-10 виконаний в компактному корпусі
шириною 11 дюймів для установки в стійку, оснащений пасивною системою
охолодження і забезпечує меншу тепло-та шумо-виділення у порівнянні зі стандартними
пристроями. Комутатор DGS-3200-16 підтримує функцію автоматичної вентиляції і
оснащений термодатчиками, що забезпечують корекцію температури пристрою для
оптимальної продуктивності.
Пристрій є частиною комплексного рішення D-Link щодо
забезпечення комплексної безпеки, який передбачає забезпечення безпеки на всіх
рівнях: кінцевий пристрій, вузол і шлюз. Дане рішення включає комутатори,
міжмережевий екран і бездротову мережу LAN з системою виявлення загроз (Unified
Threat Management), забезпечуючи простоту управління безпекою від кінцевої
точки до центральної частини мережі підприємства. Комутатори підтримують
широкий набір функцій безпеки для забезпечення конфіденційності та захисту
даних в мережі. Комплексний захист досягається за рахунок використання таких
функцій, як аутентифікація користувача, авторизація VLAN, сегментація та
управління трафіком, управління адресами вузлів і захист від атак.
Комутатори також підтримують управління доступом 802.1х на
основі портів / MAC-адрес, Guest VLAN, RADIUS і TACACS +, керування доступом на
основі Web-інтерфейсу (WAC) і MAC-адрес (МАС), забезпечуючи простоту
розгортання мережі. Списки управління доступом (ACL), створювані користувачем,
дозволяють захистити мережу від вірусів і збільшити продуктивність комутатора.
Функція IP-MAC-Port-Binding забезпечує прив'язку IP-адреси джерела до
відповідного МАС-адресою для певного номера порту. Комутатори також підтримують
функцію DHCP Screening, забороняє доступ неавторизованим DHCP-серверів.
Включення цієї опції дозволяє фільтрувати всі пакети DHCP-сервера з певного
порту. Інші функції безпеки, такі як Port Security і Traffic Segmentation,
забезпечують надійний контроль та підвищують безпеку мережі.
Застосування технологій Microsoft NAP (Network Access
Protection) і D-Link ZoneDefense забезпечує управління доступом і захист мережі
в реальному часі. Завдяки технології D-Link ZoneDefense, даний комутатор може
бути успішно використаний спільно з міжмережевим екраном NetDefend, що дозволяє
створити комплексну проактивну архітектуру безпеки.
Крім протоколу IPv4, Комутатор DGS-3200 підтримує протокол
IPv6, створений для задоволення зростаючого попиту на адресний простір.
Протокол IPv6 спрощує налаштування мережі, а також скорочує витрати при
розгортанні мережі. Комутатори даної серії успішно пройшли сертифікацію IPv6
Logo Phase 2 від IPv6 Forum, глобального альянсу галузі, основним напрямом
діяльності якого є забезпечення впровадження і розвитку технології IPv6.
Програма сертифікації IPv6 Ready Logo забезпечує тестування обладнання IPv6 на
функціональну сумісність і відповідність протоколам.
Більш того, комутатори підтримують Microsoft Network Access
Protection (NAP), що дозволяє користувачам заборонити доступ у мережу
комп'ютерам, які не відповідають встановленим вимогам безпеки. Функція MLD
Snooping покращує ефективність багатоадресної розсилки, оскільки дані
відправляються тільки тим, хостам, які підписані на розсилку, замість того, щоб
передавати дані на всі порти VLAN. Функції ACL, QoS (на основі мітки потоку
IPv6 і класу трафіку) забезпечують збільшення швидкості й ефективності
сервісів. Для управління IPv6 комутатори підтримують такі механізми управління,
як Web, telnet і SNMP.
Мережеві адміністратори можуть визначити продуктивність
кожного порту, задавши відповідну смугу пропускання. Такі функції, як
управління широкомовним штормом і контроль смуги пропускання, дозволяють
знизити ризик пошкодження пристрою в результаті вірусних атак або роботи
додатків P2P в мережі.
Функція D-Link's Single IP Management (SIM) забезпечує
просте і швидке виконання завдань управління, оскільки існує можливість
налаштовувати, здійснювати моніторинг та обслуговування декількох комутаторів,
підключившись до одного IP-адресою з будь-якого комп'ютера з підтримкою
Web-браузера. Завдяки застосуванню цієї технології при здійсненні управління
всі пристрої у віртуальному стеку розглядаються як єдиний об'єкт і управляються
через одну IP-адресу. Комутатори серії DGS-3200 підтримують стандартизовані
протоколи управління, включаючи SNMP, RMON, Telnet, Console, GUI, а також
протоколи аутентифікації SSH / SSL.
Для зовнішнього управління DGS-3200-24 оснащений
комбо-консоллю з наданням гнучкого вибору типу консолі, включаючи RS-323 DB-9 і
порт RJ-45. Комутатор підтримує також CardReader для читання карт пам'яті
формату SD, що дозволяє завантажувати зображення та конфігураційних файлів
безпосередньо з SD-карти. Більш того, файли системного журналу можуть бути
також збережені на карті.
Інші комутатори D-Link, що використовуються у проекті,
мають аналогічні характеристики підтримки протоколів, адміністрування та
управління.
Налаштування VLAN
VLAN (від англ. Virtual Local Area Network) -
віртуальна локальна обчислювальна мережа, відома так само як VLAN, являє собою
групу хостів із загальним набором вимог, які взаємодіють так, ніби вони були
підключені до широкомовного домену, незалежно від їхнього фізичного
місцезнаходження. VLAN має ті ж властивості, що й фізична локальна мережа, але
дозволяє кінцевим станціям, групуватися разом, навіть якщо вони не перебувають
в одній фізичній мережі. Така реорганізація може бути зроблена на основі
програмного забезпечення замість фізичного переміщення обладнання.
Приклад створення логічного під-інтерфейсу
адміністрації (VLAN 11) на Main_Router:
- Main> enable
- Main# configure terminal
- Main(config)# interface
gigabitEthernet 8/0.11
- Main (config-subif)# no
shutdown
- Main (config-subif)#
encapsulation dot1Q 11
- Main (config-subif)# ip
address 10.203.0.7 255.255.255.224
- Main (config-subif)# exit
Створення інших під мереж VLAN:
- Switch> enable
- Switch# configure
terminal
- Switch(config)# vlan 34
- Switch (config-vlan)#
name Admin
- Switch (config-vlan)#
exit
Далі для кожного використовуваного інтерфейсу
визначимо свої параметри
- Switch> enable
- Switch# configure
terminal
- Switch(config)# interface
fastethernet 0/1
- Switch (config-if)#
switchport mode access
- Switch (config-if)#
switchport access vlan 11
- Switch (config-if)# exit
Налаштування протоколу резервування з’єднань
Протокол HSRP був розроблений компанією Cisco Systems.
В даний момент в якості основного стандарту, що описує даний протокол,
прийнятий документ RFC 2281, написаний представниками Cisco Systems і Juniper
Networks. Потім на основі HSRP був створений протокол VRRP - Virtual Router
Redundancy Protocol, який не є пропрієтарним, але має деякі проблеми з
патентними правами саме тому, що заснований на HSRP. Вільної альтернативою
протоколу HSRP є протокол CARP, розроблений в 2003 р командою розробників
операційної системи OpenBSD і не має проблем з патентними правами.
Основне завдання і призначення даного протоколу
полягає в тому, щоб домогтися практично 100% доступності та відмовостійкості
першого хопу від відправника (також іноді званий маршрут за замовчуванням або
шлюз останньої надії). Це досягається шляхом використання у двох або більше
маршрутизаторів або маршрутизуючих комутаторів третього рівня однієї IP адреси
і MAC адреси так званого віртуального маршрутизатора. Така група називається
HSRP групою. У термінології HSRP протоколу існують декілька основних понять
(термінів):
Активний маршрутизатор (Active Router) -
Маршрутизатор або Маршрутизуючий комутатор третього рівня, який виконує роль
віртуального маршрутизатора і забезпечує пересилку пакетів з однієї підмережі в
іншу.
Резервний маршрутизатор (Standby Router) -
Маршрутизатор або Маршрутизуючий комутатор третього рівня, який виконує роль
резервного віртуального маршрутизатора, що очікує відмови активного
маршрутизатора в рамках однієї HSRP групи.
Група резервування (Standby Group) - Група
маршрутизаторів або маршрутизуючих комутаторів третього рівня, які є членами
однієї HSRP групи і забезпечують роботу і відмовостійкість віртуального
маршрутизатора.
Таймер вітання (Hello Time) - Проміжок часу,
протягом якого маршрутизатори або маршрутизуючі комутатори третього рівня, що
знаходяться в рамках однієї HSRP групи, очікують пакети вітання (Hello Packet)
від активного маршрутизатора.
Таймер утримання (Hold Time) - Проміжок часу,
після закінчення якого резервний маршрутизатор посилає пакет, в якому міститься
інформація про відмову активного маршрутизатора, тим самим здійснює пріоритетне
переривання в групі і бере на себе роль активного маршрутизатора.
Шляхом проведення виборів HSRP група вибирає один
активний роутер, який відповідає за форвардинг пакетів, призначених
віртуальному роутеру. Вибори проводяться на підставі пріоритету роутера.
Пріоритет може бути призначений адміністратором, що дозволяє йому впливати на
процес вибору. Якщо адміністратор не визначив пріоритет, використовується
значення за замовчуванням, рівне 100. Якщо жодному з роутерів у групі не був
призначений пріоритет, то пріоритети всіх роутерів збігаються, активним у цьому
випадку стане роутер з найбільшим IP адресою. Потім вибирається резервний
роутер. Обмінюються повідомленнями тільки активний і резервний роутери. Решта
тільки слухають.
За замовчуванням кожні 3 секунди розсилаються
hello-повідомлення. Якщо протягом 10 секунд немає жодного hello-повідомлення
від активного роутера, резервний стає активним, і починаються вибори нового
резервного роутера.
Налаштування протоколу HSRP на маршрутизаторі
Main Router виглядає так:
- Main> enable
- Main# configure terminal
- Main(config)# router hsrp 1
- Main (config-router)#
network 10.203.0.0 0.255.255.255 area 0
- Main (config-router)#
network 32.0.0.0 0.255.255.255 area 0
- Main (config-router)#
exit
3.4 Організація безпровідного доступу
Виходячи з того, що відстань між Центральним
офісом і віддаленими філіями в прямої видимості становить приблизно 2 км і 4
км, це виключає можливість використання Wi-fi технології.
З бездротових варіантів зв'язку можна
використовувати більш дорогу технологію Wi-Max або подібну технологію
радіозв'язку. Відповідно, необхідно продумати систему безпеки від НСД до
інформації, що для бездротових технологій є дуже складним завданням з
розподілом ключів доступу, контролем помилок в програмному забезпеченні і
захисту від хакерських атак. А також необхідно проводити сертифікацію вибраного
обладнання, що принесе додаткові витрати.
Тому в рамках даного проекту організація
безпровідного доступу не розглядається.
3.5 Маршрутизація
Налаштування маршрутизаторів
H 2/4-проводной маршрутизатор SHDSL.bis з
міжмережевим екраном, 4-портовим комутатором і резервуванням зв'язку.
Завдяки своїй надійності, завадозахищеності та
високій симетричній швидкості передачі даних, SHDSL-модеми ZyXEL вже багато
років широко використовуються в корпоративних мережах. Подальшим розвитком
стандарту SHDSL є розширена версія SHDSL.bis, що має модуляцію TC-PAM32 і
забезпечує істотний виграш у швидкості.
Використовуючи переваги сучасної технології
SHDSL.bis, високошвидкісний маршрутизатор ZyXEL P-793H дозволяє передавати
дані, голос і відео по одній мідній парі на швидкостях до 5,69 Мбіт / с. У
4-дротовому режимі швидкість зв'язку може бути подвоєна і досягати 11,38 Мбіт /
с. Це майже в 2,5 рази перевищує можливості звичайного SHDSL-модем.
Маршрутизатор доступу з розширеними функціями
безпеки забезпечує симетричне високошвидкісне підключення до Інтернету,
захищене вбудованим міжмережевим екраном (Firewall) з безперервним контролем
стану з'єднань (Stateful Packet Inspection - SPI) і захистом від DoS-атак.
Використовуючи зручний веб-інтерфейс управління, адміністратор може за своїм
розсудом налаштовувати права доступу в локальну мережу, вирішуючи або
забороняючи доступ до певних ресурсів. Підтримка IPSec VPN-тунелів дозволяє
безпечно об'єднати офіси компанії через публічну мережу Інтернет.
Побудова територіально розподіленої корпоративної
мережі
Маршрутизатор P-793H підтримує режими клієнт /
сервер, що дозволяє використовувати його як для підключення до DSLAM-у, так і
для спільної роботи з іншим SHDSL-модемом за схемою «точка-точка». Крім цього,
в 2-дротовому режимі P-793H забезпечує підключення до центрального офісу
відразу двох віддалених філій компанії, як показано у Додатку В.
Вбудований комутатор Fast Ethernet з автоматичним
визначенням типу кабелю по всіх портах забезпечить об'єднання в локальну мережу
до 4 комп'ютерів без використання додаткових пристроїв. Якщо P-793H
використовується в локальній мережі з великим числом комп'ютерів, то його можна
підключити до зовнішнього комутатора Ethernet. Функція VLAN на базі
Ethernet-портів дозволяє об'єднати користувачів локальної мережі в незалежні
робочі групи.
До особливостей P-793H можна віднести
резервування виділеної лінії за допомогою комутованого з'єднання або за
допомогою функції автоматичного перенаправлення трафіку на запасний шлюз в
локальній мережі.
Статична прив'язка PVC в SHDSL-лінії до
відповідного роз'єму RJ-45 на Ethernet-порту гарантує передачу по виділеній лінії
різних видів трафіку із заданою якістю обслуговування (CBR, VBR, UBR). Ця
функція вже давно успішно застосовується, наприклад, в ADSL-модемах для надання
послуг інтерактивного цифрового телебачення (IPTV).
Управління смугою пропускання каналу зв'язку (функція
«Bandwidth management») дозволяє оптимізувати роботу додатків TCP / IP і
виділити кожному з додатком гарантовану смугу в залежності від адрес
відправника / одержувача і типу сервісу (номери порту).
В залежності від налаштувань, P-791R v2 можна
використовувати як для IP-маршрутизації, так і для установки моста. З метою
організації віртуальних локальних мереж і розмежування доступу абонентів,
P-791R v2 дозволяє прозорим чином передавати по SHDSL-каналу трафік 802.1q.
Основним застосуванням P-791R v2 є створення
простих і високошвидкісних двоточкових з'єднань по одній мідній парі між двома
територіально рознесеними мережами. Крім цього, P-791R v2 може
використовуватися як абонентський модем SHDSL.bis для підключення до 2-портовий
маршрутизатор P-793H, коли P-793H в 2-дротовому режимі забезпечує підключення
до центрального офісу відразу двох віддалених філій компанії (режим
2wire-2line).
Операторам DSL-мереж новий модем SHDSL.bis
ідеально підходить для підключення корпоративних клієнтів і невеликих офісних
комплексів на швидкостях понад 2 Мбіт / с. У цьому випадку в якості серверного
обладнання рекомендується використовувати DSL-комутатори ZyXEL з
SHDSL.bis-модулями SAM1216-22 і SLC1248G-22.
До особливостей P-791R v2 можна віднести
резервування виділеної лінії за допомогою комутованого з'єднання або за
допомогою функції автоматичного перенаправлення трафіку на запасний шлюз в
локальній мережі.
Основні переваги
Завдяки сучасній технології SHDSL.bis, в P-791R
v2 більш ніж у два рази збільшена максимальна швидкість зв'язку (до 5,69 Мбіт /
с) у порівнянні зі звичайними SHDSL-модемами.
Можливість вибору режимів міст / маршрутизатор.
Підтримка протоколів RFC1483, PPPoE, PPPoA і
Ether ENCAP дозволяє провайдерові Інтернету ефективно управляти адресним
простором, параметрами з'єднання, здійснювати надійну авторизацію та
тарифікацію користувачів.
Дозволяє прозорим чином передавати по
високошвидкісного каналу трафік 802.1q для організації віртуальних локальних
мереж і розмежування доступу абонентів.
Можливість організації резервного комутованого
підключення до Інтернету або корпоративної мережі через вбудований порт RS-232
і зовнішній модем. Функція автоматичного перенаправлення трафіку на запасний
шлюз в локальній мережі також дозволить організувати резервування зв'язку з
глобальною мережею.
Вбудовані засоби фільтрації трафіку забезпечують
захист локальної мережі від несанкціонованого доступу.
В головній будівлі Центрального офісу (будівля А)
розташовується P-793H 2/4-проводной маршрутизатор SHDSL.bis з міжмережевим
екраном, 4-портовим комутатором і резервуванням зв'язку фірми ZyXEL.
А в двох віддалених офісах стоять абонентські
модеми також фірми ZyXEL P-791R v2 маршрутизатор SHDSL.bis з резервуванням
зв'язку.
Міжмережева взаємодія
Для забезпечення безпеки в мережі відмінено
маршрутизацію між окремими мережами, але підмережа адміністрації може «бачити»
всі комп'ютери у мережі, для завчасного виявлення зловмисників, тощо. Так,
наприклад, підмережа другого поверху будівлі А для доступу до мережі Інтернет
була поміщена до списку контролю доступу, це є необхідним обмеження, так як
любий користувач ззовні міг би підключитись до комп'ютерів. За допомогою ACL їх
відокремлюють від внутрішньої мережі, вони можуть виходити лише до мережі
Інтернет.
Для того, щоб адміністратор міг «бачити» любий
комп'ютер в мережі, а любий комп'ютер в мережі не зміг «побачити» охоронців,
треба створити такий список доступу на маршрутизаторі Main:
- Main> enable
- Main# configure terminal
- Main(config)# ip
access-list extended sec
- Main (config-ext-nacl)#
permit icmp any any echo-reply
- Main (config-ext-nacl)#
permit tcp any any established
- Main (config-ext-nacl)#
permit udp any eq domain any
- Main (config-ext-nacl)#
exit
Також, його треба призначити інтерфейсу:
- Main> enable
- Main# configure terminal
- Main (config-subif)#
interface GigabitEthernet8/0.31
- Main (config-subif)# ip
access-group sec out
Маршрут за замовчуванням
Таблиця маршрутизації створюється автоматично на
основі поточної конфігурації протоколу TCP / IP даного комп'ютера. Кожен
маршрут займає один рядок цієї таблиці. Комп'ютер виконує в таблиці
маршрутизації пошук запису, найбільш точно відповідної IP-адресою призначення.
Якщо не вдається знайти жодного маршруту до вузла
або до мережі для IP-адреси призначення, зазначеного в IP-датаграмі, буде
використовуватися маршрут за замовчуванням. Маршрут за замовчуванням звичайно
перенаправляє IP-датаграму (для якої не вдалося знайти більш підходящого
маршруту) за адресою основного шлюзу, яким є маршрутизатор в локальній
підмережі. У нашому випадку маршрут за замовчуванням перенаправляє датаграми
маршрутизатора за адресою шлюзу 10.203.0.1.
Оскільки маршрутизатор, відповідний основному
шлюзу, має інформацію про ідентифікатори мереж інших IP-підмереж в більш
великій мережі, він перенаправляє датаграму іншим маршрутизаторам; цей процес
продовжується до тих пір, поки датаграма не досягне IP-маршрутизатора,
підключеного до вузла призначення або до підмережі, в якій знаходиться цей
вузол.
3.6 Організація доступу до Інтернет
Технологія доступу до Інтернет
Asymmetric DSL - призначений для підключення до
Інтернету домашніх користувачів і малих офісів. Технологія має асиметричний
характер: швидкість від провайдера до користувача - до 8,192 Мбіт / с, а від
користувача до провайдера - 0,768 Мбіт / с. Модем підключається до існуючої
телефонної лінії і дозволяє одночасно розмовляти по телефону і працювати в
Інтернеті. Максимальна довжина з'єднання - до 7-8 км, але реально
використовується при довжині абонентської лінії 3-4 км. З'єднання «точка-точка»
для цих модемів неможливо (за винятком окремих дорогих моделей), з боку сервера
потрібна наявність спеціального і достатньо дорогого устаткування
(мультиплексор DSLAM з ADSL-модулями). Потрібні також роздільники (сплітери) на
обох кінцях абонентської лінії для частотного поділу голосового і цифрового
каналів (в новітніх моделях вони найчастіше вбудовані в сам модем). В даний час
з'явилися стандарти ADSL2 і ADSL2 +. Тут швидкості від провайдера можуть
досягати 12 і 25 Мбіт / с відповідно. Однак в ADSL2 + вона підтримується лише
на абонентських лініях завдовжки до 1,5 км.(ISDN DSL) - технологія xDSL,
протоколи якої були запозичені у ISDN. Максимальна швидкість зв'язку до 0,128
Мбіт / с, максимальна дальність передачі - 5.5 км; немає підтримки передачі
голосу на лінії. (High bit-rate DSL) - симетрична реалізація DSL-технології з
високим бітрейтом дозволяє передавати дані зі швидкістю до 1,54 Мбіт / с в обох
напрямках. Через це, до недавнього часу, вона часто використовувалася
провайдерами, операторами стільникового зв'язку та іншими компаніями, яким були
потрібні високошвидкісні симетричні канали. Максимальна дальність зв'язку - до
3.6 км. Але це компенсується можливістю створення з'єднання «точка-точка» між
двома однотипними модемами. За цією технологією потрібний чотирипровідна лінія
зв'язку. Відсутня підтримка передачі голосу.Adaptive DSL - DSL з адаптацією за
швидкістю - створений для роботи на лініях зниженої якості. Забезпечує
адаптивну регулювання швидкості передачі. Швидкість до користувача - від 0,64
до 14 Мбіт / с, до провайдера - від 0,128 до 1 Мбіт / с. Максимальна дальність
- до 6,4 км. Зважаючи на свою асиметричності слабо підходить для створення
з'єднань «точка-точка».DSL - симетрична DSL - швидкість передачі даних до 1,1
Мбіт / с, підтримка голосу відсутня. Може застосовуватися на протяжних лініях.
Максимальна дальність зв'язку - 7,2 км. (Single-Paired High Speed DSL)
- на відміну від HDSL, використовується двухпроводная лінія зв'язку; швидкість
передачі декілька вище - до 2,304 Мбіт / с. Існують і чотирьохпровідні варіанти
SHDSL-модемів, з максимальною швидкістю передачі до 4,608 Мбіт / с. Максимальна
довжина лінії зв'язку на окремих моделях модемів, що реалізують цю технологію,
- до 9 км при максимальній швидкості з'єднання 64 Кбіт / с. Більш висока
перешкодозахищеність в порівнянні з HDSL. Підтримка передачі голосу відсутня.
На багатьох модемах є налаштування швидкості зв'язку «модем-модем». (Very
high-bit-rate DSL - DSL з дуже високим бітрейтом) - на дистанціях до 0,3 км
забезпечує передачу даних зі швидкістю до 3 Мбіт / с від користувача, від
провайдера - до 52 Мбіт / с. Для підтримки високих швидкостей передачі на
відстанях понад 1,3 км вимагає спільного застосування мідних пар і оптоволокна.
Підтримує передачу голосу.
Отже, з провайдером Інтернет заключаємо контракт
про надання послуг за протоколом хDSL.
Апаратні засоби доступу до Інтернет
Веб-сервер - це сервер, що ухвалює HTTP-Запити
від клієнтів, зазвичай веб-браузерів, та видає їм HTTP-Відповіді, разом з
HTML-Сторінкою, зображенням, файлом, медіа-потоком або іншими даними.
Веб-сервери - основа Всесвітньої павутини.
Веб-сервером називають як програмне забезпечення,
що виконує функції веб-сервера, так і комп'ютер, на якому це програмне
забезпечення працює.
Клієнти одержують доступ до веб-сервера по URL
адресі потрібної їм веб-сторінки або іншого ресурсу.
Для налаштування HTTP сервера необхідно:
¾ Включити на
сервері підтримку HTTP сервісу в програмі Packet Tracer;
¾ Заповнити «Default
Page Content (index.html)» у програмі Packet Tracer, яка буде стартовою
сторінкою нашого HTTP сервера;
¾ указати IP адресу
й маску підмережі сервера;
¾ указати шлюз,
через який сервер з'єднаний з іншою мережею.
З боку сервера наявний мультиплексор DSLAM з
ADSL-модулями.
Висновки
На основі проведеного дослідження можна зробити
наступні висновки.
У роботі спроектовано мережу, що вирішує всі
завдання, котрі поставлені клієнтом перед розробниками, а саме:
¾ дозволяє
обмінюватися даними та сумісно використовувати файли та БД підприємства;
¾ надає можливість
підтримувати зв’язок між віддаленими магазинами та центральним офісом;
¾ надає доступ до
Інтернету;
¾ забезпечує вимоги
за безпекою внутрішніх даних підприємства.
Загальна вартість проекту оцінена в 86820 грн.
У програмі імітаційного моделювання Packet Tracer
було розроблено повністю функціональну модель мережі.
Перелік посилань
комп’ютерний мережа комунікація
інформаційний
1. ДСТУ 3008-95. Документація. Звіти у сфері науки і техніки.
Структура і правила оформлення.
. Олифер В.Г., Олифер Н.А. Комп'ютерні мережі. Принципи,
технології, протоколи. Підручник для вузів. Спб. Питер 2006. 958 с.
. А.Б. Семенов, С.К. Стрижаков, И.Р. Сунчелей.
«Структуровані Кабельні Системи Айти-Скс, видання 3-е». Москва, Айти-Пресс,
2001
. Новиков Ю.В., Кондратенко С.В. «Локальні мережі:
архітектура, алгоритми, проектування.» - М.: Видавництво ЭКОМ, 2000
. «LAN/Журнал мережних рішень». Москва, Відкриті системи,
січень 2004
. Технология VoIP: самые популярные вопросы и ответы - 2006
- http://www.thg.ru/network/VoIP_faq/index.html
. Виденье отказоустойчивой, надежной, масштабируемой сети
передачи данных -2010 - http://habrahabr.ru/blogs/personal/93629/
. Принципы маршрутизации в Internet, 2-е издание.: Пер. с
англ. М.: Издательский дом «Вильяме», 2001. - 448 с.: ил. - Парал. тит. англ.
. Документація з настройки обладнання фірми Cisco.
http://www.cisco.com
. http://www.vinet.ua/site.php/page1646.html -
Структурована кабельна система [Електронний ресурс]: Каталог. - електр. дані. -
К.:Альянс Технолоджис., 2008. - [Електронний ресурс], вільний.
. Олифер В.Г., Олифер Н.А. Комп'ютерні мережі. Принципи,
технології, протоколи. Підручник для вузів. Спб. Питер 2006. 958 с.