Проектирование локальной вычислительной сети

Работа добавлена:



Если Вы нашли нужный Вам реферат или просто понравилась коллекция рефератов напишите о Нас в любой соц сети с помощью кнопок ниже





Проектирование локальной вычислительной сети на http://mirrorref.ru

Курсовая работа

Тема: Проектирование локальной вычислительной сети

Содержание

Введение 3

Техническое задание на проектирование локальной вычислительной сети Интранет 4

1 Теоретические вопросы проектирования сетей Интранет 7

1.1 Особенности проектирования сетей Интранет на основе коммутаторов и маршрутизаторов 7

1.2 Особенности разбиения сетей на подсети 10

1.3 Особенности IP-адресации сетей и маршрутизации 13

1.4 Выбор оборудования для проектируемой сети с его обоснованием из перечня оборудования 18

1.5 Расчет суммарной стоимости оборудования сети с обоснованием выбранного варианта 19

2 Размещение оборудования в отделах организации 22

3 Разработка адресации в сети 23

4 Разработка системы защиты информации в сети 25

Заключение 27

Список литературы 28

Приложение А. Схемы ЛВС 29

Введение

Развитие компьютерных сетей сопряжено с развитием вычислительной техники и телекоммуникаций. При организации сети необходимо учитывать основные методы организации и тенденции развития современных вычислительных сетей, а также то, что трафик проходит через сеть со скоростью, не превышающей пропускную способность самого медленного участка сети, находящегося на его пути. Особенно это важно при построении больших сетей.

Как правило, в крупных и малых организациях решается ряд типовых задач по созданию вычислительных и телефонных сетей [2, 8]:

  • Создание локальной сети в рамках офиса или здания;
  • Объединение в единую сеть группу разрозненных филиалов предприятия;
  • Создание единого центра коммутации вычислительных и телефонных сетей;
  • Повышение безопасности и контроля существующей сети;
  • Интеграция различных каналов передачи данных в единую сеть.

При построении локальных сетей используют соответствующее задаче сетевое оборудование. На современном рынке компьютерной техники и технологии сетевое оборудование ЛВС, включая персональные компьютеры, представлено великим множеством различных видов, модификаций, разработками конкурирующих фирм - изготовителей. Такого класса оборудование обновляется непрерывно, в среднем устаревает за 5-7 лет, что создает объективную необходимость для специалистов компьютерных технологий и специалистов, связанных с вычислительной техникой, постоянно следить за колебаниями рынка и проводить на любой необходимый текущий момент анализ состава и характеристик сетевого оборудования ЛВС.

На сегодня проблема выбора сетевого оборудования приобретает все большую актуальность при построении надежной и легко масштабируемой сетевой инфраструктуры организаций.

Целью курсовой работы является проектирование локальной вычислительной сети, использующей стек протоколов TCP/IP.

В соответствии с целью работы поставлены следующие задачи:

  • Рассмотреть теоретические вопросы проектирования сетей Интранет;
  • Выполнить обоснованный выбор оборудования для проектируемой сети;
  • Выполнить проектирование схемы ЛВС;
  • Разработать адресацию в сети;
  • Разработать систему защиты информации в сети.

Техническое задание на проектированиелокальной вычислительнойсети Интранет

В процессе выполнения курсовой работы необходимо создать проект локальной вычислительной сети, использующей стек протоколов TCP/IP.

Проектируемая Интранет-сеть располагается в двух зданиях (рис.1).

Рисунок 1 – Расположение отделов

Техническое задание на проектирование сети Интранет по варианту 15, которое включает в себя:

размеры помещений и количество персональных компьютеров в отделах (табл.1);

IP - адрес сети (табл.2);

список используемого оборудования с указанием условной стоимости (табл.З);

таблицу прав компьютеров отдела маркетинга (табл.4).

Конкретные значения размеров помещений и количество установленных в них компьютеров по выданному варианту приведены в табл.1.

Таблица 1. Размеры помещений и количество персональных компьютеров в отделах

Размеры помещений и длина трубопровода, м

Количество компьютеров, шт.

Номер

варианта

1.1

L2

L3

L4

L5

L6

L7

Отдел

марке

тинга

Отдел

АСУ

Произвол. отдел

Проектный отдел

15

20

20

20

20

20

800

5

5

6

7

15

16

Для организации системы внутренней IP-адресации с последующим разделением сети на подсети по CIDR, в табл.2 приводится исходный IP- адрес сети по выданному варианту технического задания.

Таблица 2. IP — адрес сети

№ варианта

1Р - адрес сети

15

192.168.14.0

Разрешается использовать только оборудование, приведенное в табл.3.

В табл.3 приведены также условные цены на используемое оборудование, которые потребуются при расчете общих затрат на оборудование локальной вычислительной сети.

Таблица 3. Перечень оборудования

Наименование

Условная стоимость (у.е.)

Неэкранированная витая пара (за один метр)

1

Двужильный оптоволоконный кабель (за один метр)

2

Сетевой адаптер с разъемом RJ-45

70

Коммутатор на 6 оптических портов

200

Двухпортовый мост с любой комбинацией портов для коаксиальных кабелей, неэкранированных витых пар и оптоволоконных кабелей

220

Коммутатор на 6 оптических портов и 24 порта с разъемом RJ-45

600

Коммутатор на 8 портов с разъемом RJ-45

150

Коммутатор на 36 портов с разъемом RJ-45

400

Маршрутизатор Wi-Fi на 8 LAN-портов

200

Источник бесперебойного питания на 800 ВА

200

Файловый сервер на основе процессора Pentium с предустановленной операционной системой (максимум на 30 пользователей)

900

Для отдела маркетинга в курсовой работе необходимо создать систему защиты от атак со стороны Интернета на базе фильтрующего маршрутизатора.

Права доступа компьютеров отдела маркетинга, необходимые для создания таблицы фильтрации, приведены в табл.4.

Таблица 4. Разрешения па доступ компьютеров отдела маркетинга к ресурсам сети Интернет, Вариант 3

ПК

Разрешения

1

HTTP (83.36.33.02, 113.53.44.28.03, 129.69.23.77), FTP (111 .149.77.134), NTP

2

SMTP. NNTP, TELNET (68.77.23.96), NTP

3

HTTP (130.21.21.70), FTP, TELNET, NTP

4

NNTP (129.06.48.250, 129.06.23.01, 129.73.80.69), NTP

5

HTTP (207.41.35.18, 44.79.21.29), NTP

6

SMTP. HTTP (10.54.122.88), FTP (66.78.11.95), NNTP, NTP

7

SMTP, FTP, HTTP, NTP

8

FITTP (181.06.74.02.02, 113.53.44.28.03, 159.64.23.77), TELNET, NTP

ТРЕБОВАНИЯ К ПРОЕКТУ ЛОКАЛЬНОЙ ВЫЧИСЛИТЕЛЬНОЙ СЕТИ

Проект локальной вычислительной сети должен удовлетворять следующим требованиям:

  • Каждый отдел должен иметь доступ к ресурсам всех остальных отделов.
  • Трафик, создаваемый сотрудниками одного отдела, не должен влиять на локальные сети других отделов, кроме случаев обращения к ресурсам локальных сетей других отделов.
  • В качестве среды передачи данных могут использоваться витая пара, оптоволокно, радиоканал в соответствии с техническим заданием.
  • Один файл-сервер может поддерживать не более 30 пользователей.
  • Файловые серверы должны устанавливаться в каждом отделе.
  • Расстояние между компьютерами на моноканале должно быть не менее одного метра.
  • Коммутационное оборудование и файл-серверы должны иметь защиту от пропадания сетевого напряжения путем использования источников бесперебойного питания (UPS). КUPSподключается все оборудование, размещенное в коммутационном шкафу.
  • В коммутационных шкафах размешаются: файл-серверы, коммутационное оборудование (коммутаторы, мосты, маршрутизаторы), источники бесперебойного питания.
  • Коммутационные шкафы должны иметь защиту от несанкционированного доступа.
  • Проект должен иметь минимальную стоимость.
  • Скорость передачи данных в сети - 100 Мбит/с.
  • Tim используемой сетевой технологии -FastEthernet.

1 Теоретические вопросы проектирования сетей Интранет

1.1 Особенности проектирования сетей Интранет на основе коммутаторов и маршрутизаторов

Важным предварительным этапом при проектировании ЛВС является сбор и анализ исходных данных.

На основе анализа собранных данных необходимо упорядочить требования к проектируемой ЛВС и ее составным частям, чтобы в будущем можно было принять взвешенные конкретные решения по планированию ЛВС.

Перед созданием новой сети организации необходимо учесть ряд факторов [2, 6, 7]:

  • Требующийся размер сети (в настоящее время, в ближайшем будущем и по перспективному прогнозу).
  • Структуру, иерархию и основные части сети (по отделам организации, а также с учетом планов комнат, этажей и зданий организации).
  • Граф основных направлений и интенсивности информационных потоков в сети (настоящее – ближайшее будущее – дальняя перспектива). Определение характера пересылаемой по сети информации (данные, аудио, видео), от чего зависит требуемая скорость передачи.
  • Технические характеристики сетевого и компьютерного оборудования (компьютер, адаптер, кабель, коммутатор, маршрутизатор) и его стоимости.
  • Оценку возможностей проложить кабельную систему в комнатах и между ними, а также мер обеспечения целостности кабеля.
  • Требования к обслуживанию сети, обеспечению  ее безотказности и безопасности.
  • Требования к программному обеспечению с учетом необходимых ресурсов, скорости обмена информацией и разграничения прав доступа
  • Учет необходимости подключения к глобальным или к другим ЛВС.

Требуется также проведение полной инвентаризации имеющихся компьютеров, программных средств и периферийных устройств, чтобы исключить дублирование оборудования и программного обеспечения в условиях разделяемых ресурсов, а также определить необходимость модернизации компьютерного оборудования и программных систем.

При создании ЛВС используют активное и пассивное сетевое оборудование. В соответствии с ГОСТ Р 51513-99, активным является оборудование, которое содержит электронные схемы и получает питание от электрической сети или других источников и выполняет функции усиления, преобразования сигналов. Такое оборудование способно обрабатывать сигнал по специальным алгоритмам. Активное сетевое оборудование обеспечивает не только прием и передачу сигнала, но и обработку этой технической информации, распределяя поступающие потоки в соответствии со встроенными в память устройства алгоритмами. Эта «интеллектуальная» особенность, вместе с питанием от сети, является признаком активного оборудования. Так, в состав активного оборудования входят следующие типы устройств [1, 4]:

плата сетевого адаптера, устанавливаемая в компьютер и обеспечивающая его присоединение к ЛВС;

репитер – устройство, как правило, с двумя портами, который предназначен для повторения сигнала с целью увеличения длины сетевого сегмента;

концентратор (активный хаб, многопортовый репитер) является устройством с 4-32 портами, применяется для объединения устройств в сеть;

мост является устройством с 2 портами, обычно используемый для объединения нескольких рабочих групп ЛВС, позволяет выполнять фильтрацию сетевого трафика, разбирая сетевые (MAC) адреса;

коммутатор является устройством с несколькими (4-32) портами, обычно используется для объединения нескольких рабочих групп ЛВС;

маршрутизатор (роутер) используется для объединения нескольких рабочих групп ЛВС, позволяет осуществлять фильтрацию сетевого трафика, разбирая сетевые (IP) адреса;

ретранслятор применяется при создании усовершенствованной беспроводной сети с большей площадью покрытия и представляет собой альтернативу проводной сети. По умолчанию устройство работает в режиме усиления сигнала и выступает в роли ретрансляционной станции, которая улавливает радиосигнал от базового маршрутизатора сети или точки доступа и передает его на ранее недоступные участки.

медиаконвертер является устройством, как правило, с двумя портами, обычно используется для преобразования среды передачи данных (коаксиал-витая пара, витая пара-оптоволокно);

сетевой трансивер является устройством, обычно, с двумя портами, обычно используется для преобразования интерфейса передачи данных (RS232-V35, AUI-UTP).

При построении локальных сетей используют соответствующее задаче сетевое оборудование.

Сетевые коммутаторы 2 уровня применяют для объединения компьютеров в пределах одной сети. Подходят для создания локальной сети в офисе или объединения нескольких офисов в пределах одного здания (рисунок 2).

Рисунок 2 – Сетевой коммутатор 2 уровня Cisco 2960-48TT

Сетевые коммутаторы 3 уровня можно использовать для объединения нескольких различных сетей, он требует специализированной настройки, но в ряде случаев способен заменить такое устройство как маршрутизатор, более дороге по стоимости и обслуживанию. Подходит для объединения в единую сеть нескольких филиалов имеющих различные подсети в условиях стабильной топологии сети (рисунок 3).

Рисунок 3 – Сетевой коммутатор 3 уровня - HP E2910

В таблице коммутатора, которая называется таблицей MAC-адресов, находится список активных портов и MAC-адресов подключенных к ним узлов. Когда узлы обмениваются сообщениями, коммутатор проверяет, есть ли в таблице MAC-адрес. Если да, коммутатор устанавливает между портом источника и назначения временное соединение, которое называется канал. Этот новый канал представляет собой назначенный канал, по которому два узла обмениваются данными. Другие узлы, подключенные к коммутатору, работают на разных полосах пропускания канала и не принимают сообщения, адресованные не им. Для каждого нового соединения между узлами создается новый канал. Такие отдельные каналы позволяют устанавливать несколько соединений одновременно без возникновения коллизий.

Поскольку коммутация осуществляется на аппаратном уровне, это происходит значительно быстрее, чем аналогичная функция, выполняемая мостом с помощью программного обеспечения.

Каждый порт коммутатора можно рассматривать как отдельный микро-мост. При этом каждый порт коммутатора предоставляет каждой рабочей станции всю полосу пропускания передающей среды. Такой процесс называется микро-сегментацией.

Маршрутизаторы являются устройствами преимущественно корпоративного класса, способные динамически объединять различные сети, фильтровать, транслировать и шифровать данные, передаваемые по сети. Маршрутизаторы являются устройствами самого высокого уровня, которые используются интернет провайдерами, и крупными организациями с целью объединения и контроля над группой сетей. Сегодня лидером на рынке такого рода устройств является компания Cisco. В арсенале компании Cisco имеется довольно широкий целевой диапазон оборудования от офисных решений до обеспечения работы сложных ИТ-систем, требующих непрерывности функционирования, гибкой поддержки подключений к глобальной сети, широких возможностей для совместной работы. На сегодня маршрутизаторы Cisco с интеграцией сервисов второго поколения (ISR G2) создают новое рабочее пространство без границ за счет виртуализации сервисов, функций поддержки видео и превосходных эксплуатационных характеристик (рисунок 4).

Маршрутизаторы способны выбирать наилучший путь в сети для передаваемых данных. Функционируя на третьем уровне, маршрутизатор может принимать решения на основе сетевых адресов вместо использования индивидуальных MAC-адресов второго уровня. Маршрутизаторы также способны соединять между собой сети с различными технологиями второго уровня, такими, как Ethernet,Token Ring и FDDI (распределенный интерфейс передачи данных по волоконно-оптическим каналам). Задачей маршрутизатора является инспектирование входящих пакетов (а именно, данных третьего уровня), выбор для них наилучшего пути по сети и их коммутация на соответствующий выходной порт. В крупных сетях маршрутизаторы являются главными устройствами, регулирующими перемещение по сети потоков данных.

Рисунок 4 – Маршрутизатор Cisco C2811

1.2 Особенности разбиения сетей на подсети

Рассмотрим типовую задачу организации доступа в Интернет сотрудникам большого офиса с изолированным трафиком каждого отдела. Такой офис состоит из нескольких комнат с сотрудниками, представляющих отдельные рабочие группы. При решении задачи стандартным путем на основе физической сегментации трафика каждого отдела, то надо установить в каждую комнату отдельный коммутатор, подключенный отдельным кабелем к маршрутизатору, который предоставляет доступ в Интернет. В маршрутизаторе должно быть столько портов, чтобы обеспечить подключение всех физических сегментов сети. Такие решения плохо масштабируются и явно дорогие, поскольку при добавлении отделов потребуется приобрести соответствующее число коммутаторов, маршрутизатор (если недостаточно портов) и магистральный кабель. На рисунке 5 отображена физическая сегментация сети.

Рисунок 5  – Физическая сегментация сети [6]

Передача данных между узлами разных виртуальных сетей производится только через маршрутизатор.

Если же использовать виртуальную локальную сеть, не нужно подключение пользователей каждого из отделов к отдельным коммутаторам, сокращается число необходимых сетевых устройств и магистрального кабеля. Управляемый коммутатор с поддержкой функции виртуальной локальной сети позволит организовать логическую сегментацию сети с помощью программной настройки.

В этом случае можно будет подключить пользователей из разных логических сегментов к одному коммутатору, а также сократится число необходимых портов маршрутизатора. Рисунок 6 отображает логическую группировку сетевых пользователей в VLAN.

Рисунок 6 – Логическая группировка сетевых пользователей в VLAN [6]

При организации сети VLAN на основе портов каждой определенной VLAN назначен один порт, вне зависимости от того, какая рабочая станция подключена к этому порту. Это означает, что все рабочие станции, которые подключены к этому порту, будут принадлежать одной VLAN. Конфигурация портов является статической и ее можно изменить только вручную. На рисунке 7 отображена сеть VLAN на основе портов: порты 3,6,8 и 9 принадлежат к VLAN1, а порты 1,2,4,5 и 7 принадлежат к VLAN2 [3].

Рисунок 7 – VLAN на основе портов

Рассмотрим основные характеристики VLAN на основе портов.

Для создания виртуальных сетей на основе группирования портов  всем портам, помещаемым в одну VLAN надо присвоить одинаковый идентификатор VLAN ( VLAN ID). Можно изменять логическую топологии сети, не перемещая рабочие станции физически. Для этого изменяют настройки порта с одной VLAN на другую, и рабочая станция получит возможность совместного использования ресурсов новой другой сети VLAN.

Каждый порт может входить только в одну VLAN. Чтобы объединить виртуальные подсети как в одном коммутаторе, так и между двумя коммутаторами, надо применить сетевой уровень OSI-модели. Один из портов каждой VLAN подключают к интерфейсу маршрутизатора, в котором создается таблица маршрутизации для пересылки кадров из одной подсети ( VLAN) в другую (IP-адреса подсетей должны различаться) (Рисунок 8).

Рисунок 8 - Объединение VLAN с помощью маршрутизирующего устройства

1.3 Особенности IP-адресации сетей и маршрутизации

IP-адрес используется, чтобы однозначно определить устройство в IP - сети. Адрес состоит из 32 двоичных разрядов и с помощью маски подсети  разделяется на часть сети и часть главного узла. 32 двоичных разряда разделены на четыре октета (1 октет = 8 битов). Каждый октет преобразуется в десятичное представление и отделяется от других октетов точкой. Поэтому принято говорить, что IP-адрес представлен в десятичном виде с точкой (например, 172.16.81.100)

В адресе класса А первый октет является частью сети, таким образом, Класс A имеет основной сетевой адрес 1.0.0.0 - 127.255.255.255. Октеты 2,3 и 4 (следующие 24 бита) предоставлены сетевому администратору, который может разделить их на подсети и узлы. Адреса класса A используются в сетях с количеством узлов, превышающим 65 536 (фактически до 16777214 узлов).

В адресе Класса B первые два октета являются частью сети, таким образом, Класс B имеет основной сетевой адрес 128.0.0.0 - 191.255.255.255. Октеты 3 и 4 (16 битов) предназначены для локальных подсетей и узлов. Адреса класса B используются в сетях с количеством узлов от 256 до 65534.

В адресе Класса C первые три октета являются частью сети. Класс C имеет основной сетевой адрес 192.0.0.0 - 223.255.255.255. Октет 4 (8 битов) предназначен для локальных подсетей и узлов. Этот класс идеально подходит для сетей, в которых количество узлов не превышает 254.

Маска сети позволяет определить, какая часть адреса является сетью, а какая часть адреса указывает на узел. Сети класса A, B и C имеют маски по умолчанию, также известные как естественные маски:

Class A: 255.0.0.0

Class B: 255.255.0.0

Class C: 255.255.255.0

Как можно разделить на подсети сеть класса B. Если используется сеть 172.16.0.0, то естественная маска равна 255.255.0.0 или 172.16.0.0/16. Расширение маски до значения выше 255.255.0.0 означает разделение на подсети.

Маска подсети является необходимым дополнением к IP адресу. Если бит в IP адресе соответствует единичному биту в маске, то этот бит в IP адресе представляет номер сети, а если бит в IP адресе соответствует нулевому биту в маске, то этот бит в IP адресе представляет номер хоста. Так для маски 255.255.0.0 и адреса 172.24.100.45 номер сети будет 172.24.0.0, а для маски 255.255.255.0 номер сети будет 172.24.100.0.

Другая форма записи маски - /N, где N – число единиц в маске. Эта форма используется только в сочетании с IP адресом. Например, для маски 255.255.0.0 и адреса 172.24.100.45 пишут 172.24.100.45/16.

Термин класс редко больше используется в отрасли из-за введения методологии CIDR.

Уже в начале 90-х годов почти все сети класса В были распределены. Добавление в Интернет новых сетей класса С приводило к значительному росту таблиц маршрутов и перегрузке маршрутизаторов. Использование бесклассовой адресации позволило в значительной мере решить возникшие проблемы.

CIDR – Бесклассовая междоменная адресация (Classless Inter-Domain Routing). CIDR позволяет агрегировать (суммировать) маршрутные записи. Другими словами, уменьшать количество записей хранящихся в таблице маршрутизатора и передаваемых другому маршрутизатору.

Методология CIDR была представлена для улучшения и масштабируемости использования и маршрутизации адресного пространства в Интернете. Необходимость в ней появилась вследствие быстрого роста Интернета и увеличения размера таблиц маршрутизации в маршрутизаторах сети Интернет.

В маршрутизации CIDR не используются традиционные IP-классы (класс A, класс B, класс C и т. д.). IP-сеть представлена префиксом, который является IP-адресом, и каким-либо обозначением длины маски. Длиной называется количество расположенных слева битов маски, которые представлены идущими подряд единицами. Так сеть 172.16.0.0 255.255.0.0 может быть представлена как 172.16.0.0/16. Кроме того, CIDR служит для описания иерархической структуры сети Интернет, где каждый домен получает свои IP-адреса от более верхнего уровня. Это позволяет выполнять сведение доменов на верхних уровнях. Если, к примеру, поставщик услуг Интернета владеет сетью 172.16.0.0/16, то он может предлагать своим клиентам сети 172.16.1.0/24, 172.16.2.0/24 и т. д. Однако при объявлении своего диапазона другим провайдерам ему достаточно будет объявить сеть 172.16.0.0/16.

Создание доменных имен

127.0.0.1 localhost

192.168.1.2 myserver.ru

Таблицы фильтрации маршрутизатора

Под фильтрациейпонимается нестандартная обработка IP-пакетов маршрутизаторами, приводящая к отбрасыванию некоторых пакетов или изменению их маршрута.

Условия фильтрации маршрутизаторов обычно существенно сложнее и в них учитывается гораздо больше признаков, чем у коммутаторов локальных сетей. Например, это могут быть:

  • IP-адреса источника и приемника;
  • МАС-адреса источника и приемника;
  • идентификатор интерфейса, с которого поступил пакет;
  • тип протокола, сообщение которого несет IP-пакет (то есть TCP, UDP, ICMP или OSPF);
  • номер порта TCP/UDP (то есть тип протокола прикладного уровня).

При наличии фильтра маршрутизатор сначала проверяет совпадение условия, описанного этими фильтром, с признаками пакета, и при положительной проверке выполняет над пакетом ряд нестандартных действий. Например, пакет может быть отброшен (drop); направлен к следующему маршрутизатору, отличающемуся от того, который указан в таблице маршрутизации; помечен, как вероятный кандидат на отбрасывание при возникновении перегрузки. Одним из таких действий может быть и обычная передача пакета в соответствии с записями таблицы маршрутизации.

Рассмотрим примеры фильтров, написанных на командном языке маршрутизаторов Cisco. Эти фильтры, называемые списками доступа, сегодня в IP-маршрутизаторах являются очень распространенным средством ограничения пользовательского трафика.

Наиболее простым являетсястандартный список доступа; в нем в качестве условия фильтрации учитывается только IP-адрес источника.

Общая форма такого условия выглядит следующим образом:

access-list номер_списка_доступа { deny | permit } { адрес_источника [ метасимволы_источника ] | any }

Стандартный список доступа определяет два действия с пакетом, который удовлетворяет описанному в фильтре условию: отбросить (deny) или передать для стандартной обработки в соответствии с таблицей маршрутизации (permit). Условием выбора того или иного действия в стандартном списке доступа является совпадение IP-адреса источника пакета с адресом источника, заданным в списке. Совпадение проверяется в том же стиле, что и при проверке таблицы маршрутизации, при этом метасимволы являются аналогом маски, но в несколько модифицированном виде. Двоичный нуль в поле метасимволов источника означает, что требуется совпадение значения этого разряда в адресе пришедшего пакета и в адресе, заданном в списке доступа. Двоичная единица означает, что совпадения в этом разряде не требуется. Практически, если вы хотите задать условие для всех адресов некоторой подсети, то должны использовать инвертированное значение маски этой подсети. Параметр any означает любое значение адреса — это просто более понятная и краткая форма записи значения 255.255.255.255 в поле метасимволов источника. Пример стандартного списка доступа: access-list 1 deny 192.78.46.0 0.0.0.255

Здесь: 1 — номер списка доступа;

deny — действие с пакетом, который удовлетворяет условию данного списка доступа;

192.78.46.0 — адрес источника;

0.0.0.255 — метасимволы источника.

Этот фильтр запрещает передачу пакетов, у которых в старших трех байтах адреса источника имеется значение 192.78.46.0.

Список доступа может включать более одного условия. В этом случае он состоит из нескольких строк с ключевым словом access-list и одним и тем же номером списка доступа. Так, если мы хотим разрешить прохождение через маршрутизатор пакетов хоста 192.78.46.12, запрещая передачу пакетов одному из хостов сети 192.78.46.0/24, то список доступа будет выглядеть следующим образом:

access-list 1 permit 192.78.46.12 0.0.0.0

access-list 1 deny 192.78.46.0 0.0.0.255

access-list 1 permit any

Условия списка доступа проверяются по очереди, если какое-либо из них дает совпадение, то выполняется действие permit или deny, определенное в этом условии. После этого остальные условия списка уже не проверяются. Считается по умолчанию, что в конце каждого списка имеется неявное условие вида:

[access-list 1 deny any]

Однако, если вам все же требуется пропускать все пакеты, не определенные явно в условиях, необходимо добавить в последней строке условие:

access-list 1 permit any

Таблицы трансляции сетевых адресов

NAT (Network Address Translation - «преобразование сетевых адресов») – это механизм в сетях TCP/IP, позволяющий преобразовывать IP-адреса транзитныхпакетов.

Преобразование адреса методом NAT может производиться почти любым маршрутизирующим устройством – маршрутизатором, сервером доступа, межсетевым экраном. Наиболее популярным является SNAT, суть механизма которого состоит в замене адреса источника при прохождении пакета в одну сторону и обратной замене адреса назначения  в ответном пакете. Наряду с адресами источник/назначение могут также заменяться номера портов источника и назначения. Принимая пакет от локального компьютера, роутер смотрит на IP-адрес назначения. Если это локальный адрес, то пакет пересылается другому локальному компьютеру. Если нет, то пакет надо переслать наружу в интернет. Но ведь обратным адресом в пакете указан локальный адрес компьютера, который из интернета будет недоступен. Поэтому роутер «на лету» транслирует (подменяет) обратный IP-адрес пакета на свой внешний (видимый из интернета) IP-адрес и меняет номер порта (чтобы различать ответные пакеты, адресованные разным локальным компьютерам). Комбинацию, нужную для обратной подстановки, роутер сохраняет у себя во временной таблице. Через некоторое время после того, как клиент и сервер закончат обмениваться пакетами, роутер сотрет у себя в таблице запись о n-ом порте за сроком давности.

Статический NAT— Отображение незарегистрированного IP-адреса на зарегистрированный IP-адрес на основании один к одному. Особенно полезно, когда устройство должно быть доступным снаружи сети.

Динамический NAT— Отображает незарегистрированный IP-адрес на зарегистрированный адрес из группы зарегистрированных IP-адресов. Динамический NAT также устанавливает непосредственное отображение между незарегистрированным и зарегистрированным адресом, но отображение может меняться в зависимости от зарегистрированного адреса, доступного в пуле адресов, во время коммуникации.

Перегруженный NAT(NAPT, NAT Overload, PAT, маскарадинг) — форма динамического NAT, который отображает несколько незарегистрированных адресов в единственный зарегистрированный IP-адрес, используя различные порты. Известен также какPAT(Port Address Translation). При перегрузке каждый компьютер в частной сети транслируется в тот же самый адрес, но с различным номером порта.

На рисунке 9 приведен пример действия механизма NAT. УстройствоNATполучает пакет и делаетзаписьв таблице отслеживания соединений, которая управляет преобразованием адресов.

Рисунок 9 – Действия механизмаNAT

NATвыполняет три важных функции.

  1. Позволяет сэкономить IP-адреса, транслируя несколько внутренних IP-адресов в один внешний публичный IP-адрес (или в несколько, но меньшим количеством, чем внутренних). По такому принципу построено большинство сетей в мире: на небольшой район домашней сети местного провайдера или на офис выделяется 1 публичный (внешний) IP-адрес, за которым работают и получают доступ интерфейсы с частными (внутренними) IP-адресами.
  2. Позволяет предотвратить или ограничить обращение снаружи к внутренним хостам, оставляя возможность обращения из внутренней сети во внешнюю. При инициации соединения изнутри сети создаётся трансляция. Ответные пакеты, поступающие снаружи, соответствуют созданной трансляции и поэтому пропускаются. Если для пакетов, поступающих из внешней сети, соответствующей трансляции не существует (а она может быть созданной при инициации соединения или статической), они не пропускаются.
  3. Позволяет скрыть определённые внутренние сервисы внутренних хостов/серверов. По сути, выполняется та же указанная выше трансляция на определённый порт, но возможно подменить внутренний порт официально зарегистрированной службы (например, 80-й порт TCP (HTTP-сервер) на внешний 54055-й). Тем самым, снаружи, на внешнем IP-адресе после трансляции адресов на сайт для осведомлённых посетителей можно будет попасть по адресуhttp://dlink.ru:54055, но на внутреннем сервере, находящимся за NAT, он будет работать на обычном 80-м порту.

Статическая трансляция адресов

Внутренний интерфейс:

dyn3(config)# int fa0/0

dyn3(config-if)# ip nat inside

Внешнийинтерфейс:

dyn3(config)# int fa1/0

dyn3(config-if)# ip nat outside

Трансляцияадресавадрес:

dyn3(config)# ip nat inside source static 3.3.3.3 192.168.1.10

Трансляция адреса в адрес интерфейса:

dyn3(config)# ip nat inside source static 3.3.3.3 int fa0/0

Трансляция одной сети в другую (транслируется часть сети, а часть хоста сохраняется)

dyn3(config)# ip nat inside source static network 3.3.3.0 200.3.3.0 /24

1.4 Выбор оборудования для проектируемой сети с его обоснованием из перечня оборудования

В соответствии с требованием к минимизации затрат на создание сети выбрано оборудование, отображенное в таблице 5. Для прокладки кабельной системы внутри помещений выбран кабель неэкранированная витая пара, который соединит рабочие станции с коммутаторами (разъемRJ-45), маршрутизаторомWi-Fi(8LAN-портов), а также сетевое оборудование между собой. Расстояние между сетевыми устройствами для витой пары ограничено 100 метрами. Поэтому для прокладки кабельной системы в трубопроводе (800 метров) выбран двужильный оптоволоконный кабель, который позволяет организовать прямое соединение между двумя двухпортовыми мостами без промежуточного оборудования. Во все компьютеры необходимо установить сетевой адаптер с разъемомRJ-45. Двухпортовые мосты (порт для неэкранированных витых пар и порт для оптоволоконных кабелей) соединят сегменты сети на неэкранированной витой паре между собой по оптоволоконному кабелю. Коммутаторы на 8 портов с разъемомRJ-45 и маршрутизаторWi-Fi на 8LAN-портов используются объединения всех сетевых устройств в единую локальную сеть. Этот же маршрутизаторWi-Fi на 8LAN-портов в отделе маркетинга необходим для организации фильтрации сетевого трафика. Для обеспечения бесперебойного режима работы сетевого оборудования в каждый коммуникационный шкаф устанавливается Источник бесперебойного питания на 800 ВА. Для обеспечения доступа к общим сетевым ресурсам выбран файловый сервер на основе процессораPentium с предустановленной операционной системой (максимум на 30 пользователей).

Таблица 5. Перечень оборудования

Наименование

Условная стоимость (у.е.)

Неэкранированная витая пара (за один метр)

1

Двужильный оптоволоконный кабель (за один метр)

2

Сетевой адаптер с разъемомRJ-45

70

Двухпортовый мост с любой комбинацией портов для коаксиальных кабелей, неэкранированных витых пар и оптоволоконных кабелей

220

Коммутатор на 8 портов с разъемомRJ-45

150

МаршрутизаторWi-Fi на 8LAN-портов

200

Источник бесперебойного питания на 800 ВА

200

Файловый сервер на основе процессораPentium с предустановленной операционной системой (максимум на 30 пользователей)

900

1.5 Расчет суммарной стоимости оборудования сети с обоснованием выбранного варианта

Для организации канала связи по трубопроводу необходимо 806 метров двужильного оптоволоконного кабеля (800 метров трубопровод и по 3 метра с каждой стороны для заведения кабеля в коммуникационный шкаф к мосту.

Выполняем расчет длины кабеля для неэкранированной витой пары, расход кабеля определяется расстояниемот коммуникационного шкафа до рабочей точки плюс три метра на ввод кабеля в коммуникационного шкаф к оборудованию, таблицы 6-9.

Таблица 6 – Расход кабеля на СКС отдела маркетинга

Рабочее место

Расстояние от коммуникационного шкафа до рабочей точки

Расход кабеля, в метрах

Точка 1

3

6

Точка 2

5

8

Точка 3

7

10

Точка 4

3

6

Точка 5

5

8

Итого

38

Таблица 7 – Расход кабеля на СКС отдела АСУ

Рабочее место

Расстояние от коммуникационного шкафа до рабочей точки

Расход кабеля, в метрах

Точка 1

3

6

Точка 2

5

8

Точка 3

7

10

Точка 4

3

6

Точка 5

5

8

Итого

38

Таблица 8 – Расход кабеля на СКС производственного отдела

Рабочее место

Расстояние от коммуникационного шкафа до рабочей точки

Расход кабеля, в метрах

Точка 1

3

6

Точка 2

5

8

Точка 3

7

10

Точка 4

3

6

Точка 5

5

8

Точка 6

7

10

Итого

48

Таблица 9 – Расход кабеля на СКС проектного отдела

Рабочее место

Расстояние от коммуникационного шкафа до рабочей точки

Расход кабеля, в метрах

Точка 1

3

6

Точка 2

5

8

Точка 3

7

10

Точка 4

3

6

Точка 5

5

8

Точка 6

7

10

Точка 6

9

12

Итого

60

Рассчитываем длину кабеля для соединения оборудования коммуникационных шкафов:  20 + 6 + 20 +6 =52 метра

Выполняем расчет всей длины неэкранированной витой пары

38+38+48+60+52= 236 метров

В таблице 10 содержатся результаты расчета суммарной стоимости оборудования.

Таблица 10. Расчет суммарной стоимости оборудования

Наименование

Условная стоимость (у.е.)

Кол-во

Сумма

Неэкранированная витая пара (за один метр)

1

236

236

Двужильный оптоволоконный кабель (за один метр)

2

806

1612

Сетевой адаптер с разъемомRJ-45

70

24

1680

Двухпортовый мост с любой комбинацией портов для коаксиальных кабелей, неэкранированных витых пар и оптоволоконных кабелей

220

2

440

Коммутатор на 8 портов с разъемомRJ-45

150

3

450

МаршрутизаторWi-Fi на 8LAN-портов

200

1

200

Источник бесперебойного питания на 800 ВА

200

4

800

Файловый сервер на основе процессораPentium с предустановленной операционной системой (максимум на 30 пользователей)

900

1

900

Итого

6318

Для подключения к сети рабочих станций сотрудников и сервера необходимо 24 сетевых адаптера с разъемомRJ-45.

Для соединения сегмента сети производственного отдела с сегментом сети проектного отдела требуются два двухпортовых моста (порт для неэкранированных витых пар и порт для оптоволоконных кабелей).

Для объединения всех сетевых устройств в единую локальную сеть требуется 3 коммутатора на 8 портов с разъемом RJ-45 и один маршрутизатор Wi-Fi на 8 LAN-портов.

Для обеспечения бесперебойного режима работы сетевого оборудования в каждый коммуникационный шкаф устанавливается Источник бесперебойного питания на 800 ВА, всего 4 штуки. Для обеспечения доступа к общим сетевым ресурсам выбран файловый сервер на основе процессораPentium с предустановленной операционной системой (максимум на 30 пользователей), одна штука, поскольку в сети 23 рабочие станции.

Но в такой комплектации будут заняты все порты коммутаторов и для расширения сети необходимо будет добавить дополнительное оборудование.

В соответствии с выбранным оборудованием была разработана принципиальная схема сети, работоспособная и удовлетворяющая требованиям, предъявляемым к проекту локальной вычислительной сети (Приложение А. Рисунок А.1)

2 Размещение оборудования в отделах организации

В соответствии с Санитарно-эпидемиологические правила и нормативы СанПиН 2.2.2/2.4.1340-03 "Гигиенические требования к персональным электронно-вычислительным машинам и организации работы":

«При размещении рабочих мест с ПЭВМ расстояние между рабочими столами с видеомониторами (в направлении тыла поверхности одного видеомонитора и экрана другого видеомонитора), должно быть не менее 2,0 м, а расстояние между боковыми поверхностями видеомониторов - не менее 1,2 м».

Исходя из этого, а также из производственной необходимости и минимизации затрат размещаем компьютеры сотрудников на расстоянии 2 метра друг от друга, 1 метр от стены и 3 метра от коммуникационного шкафа.

Разработана схема размещения компьютеров и коммуникационных шкафов с сетевым оборудованием (Приложение А. Рисунок А.2)

3 Разработка адресации в сети

Начальное условие – сеть класса С, то есть

192.168.14.0/24

255.255.255.0

Данная маска показывает, что в распоряжении находятся 256 адресов.

Максимальное количество компьютеров находится в проектном отделе и равно 7. То есть для подсети достаточно 8 адресов.

256/8= 32, то есть можно выделить 32 подсети.

Вычитаем из максимального числа адресов количество адресов подсети

256-8=248

То есть получаем маску 255.255.255.248 или 192.168.14.0/29

Но при таком делении можно использовать только 6 адресов, проектном отделе требуется 7. Поэтому необходимо увеличить размер подсети. Выполняем пересчет.

256/16=16, то есть выделяется 16 подсетей.

Вычитаем из максимального числа адресов количество адресов подсети

256-16=240

То есть получаем маску 255.255.255.240 или192.168.14.0/28

На основе этого формируем  Разделения сети на подсети по CIDR в таблице 11 и систему адресации в сети в таблице 12.

Таблица 11.  Разделения сети на подсети поCIDR

Наименование подсети

Пул адресов

Адрес подсети

Подсеть 1 (отдел маркетинга)

192.168.14.1-192.168.14.14

192.168.14.0

Подсеть 2 (отдел АСУ)

192.168.14.17-192.168.14.31

192.168.14.16

Подсеть 3 (производственный отдел)

192.168.14.33-192.168.14.47

192.168.14.32

Подсеть 4 (проектный отдел)

192.168.14.49-192.168.14.62

192.168.14.48

Таблица 12. Система адресации в сети

IP-адрес

Доменное имя

Адрес электронной почты компьютеров (E-mail)

Маршрутизатор

192.168.14.1

market.local

ПК1

192.168.14.2

Mark1.market.local

Mark1@ market.local

ПК2

192.168.14.3

Mark2.market.local

Mark2@ market.local

ПК3

192.168.14.4

Mark3.market.local

Mark3@ market.local

Продолжение таблицы 12.

ПК4

192.168.14.5

Mark4.market.local

Mark4@ market.local

ПК5

192.168.14.6

Mark5.market.local

Mark5@ market.local

ПК6

192.168.14.9

A6.asu.local

A6@ asu.local

ПК7

192.168.14.10

A7.asu.local

A7@ asu.local

ПК8

192.168.14.11

A8.asu.local

A8@ asu.local

ПК9

192.168.14.12

A9.asu.local

A9@ asu.local

ПК10

192.168.14.13

A10.asu.local

A10@ asu.local

Сервер

192.168.14.14

local

ПК11

192.168.14.17

Prod11.production.local

Prod11@ production.local

ПК12

192.168.14.18

Prod12.production.local

Prod12@ production.local

ПК13

192.168.14.19

Prod13.production.local

Prod13@ production.local

ПК14

192.168.14.20

Prod14.production.local

Prod14@ production.local

ПК15

192.168.14.21

Prod15.production.local

Prod15@ production.local

ПК16

192.168.14.22

Prod16.production.local

Prod16@ production.local

ПК17

192.168.14.25

Prj17.project.local

Prj17@ project.local

ПК18

192.168.14.26

Prj18.project.local

Prj18@ project.local

ПК19

192.168.14.27

Prj19.project.local

Prj19@ project.local

ПК20

192.168.14.28

Prj20.project.local

Prj20@ project.local

ПК21

192.168.14.29

Prj21.project.local

Prj21@ project.local

ПК22

192.168.14.30

Prj22.project.local

Prj22@ project.local

ПК23

192.168.14.31

Prj23.project.local

Prj23@ project.local

4 Разработка системы защиты информации в сети

Права доступа компьютеров отдела маркетинга, необходимые для создания таблицы фильтрации, приведены в табл.13. Формируем таблицы 14 и 15 для описанияNAT и фильтрации для компьютеров отдела маркетинга.

Таблица 13. Разрешения на доступ компьютеров отдела маркетинга к ресурсам сети Интернет, Вариант 3

ПК

Разрешения

1

HTTP (83.36.33.02, 113.53.44.28.03, 129.69.23.77), FTP (111 .149.77.134), NTP

2

SMTP. NNTP, TELNET (68.77.23.96), NTP

3

HTTP (130.21.21.70), FTP, TELNET, NTP

4

NNTP (129.06.48.250, 129.06.23.01, 129.73.80.69), NTP

5

HTTP (207.41.35.18, 44.79.21.29), NTP

Таблица 14.NAT для компьютеров отдела маркетинга

№ ПК

Внутренний адрес

Шлюз

Внешний адрес

ПК1

192.168.14.2

192.168.14.1

83.36.33.02

113.53.44.28.03

129.69.23.77

111 .149.77.134

ПК2

192.168.14.3

192.168.14.1

68.77.23.96

ПК3

192.168.14.4

192.168.14.1

130.21.21.70

ПК4

192.168.14.5

192.168.14.1

129.06.48.250

129.06.23.01

129.73.80.69

ПК5

192.168.14.6

192.168.14.1

207.41.35.18

44.79.21.29

Таблица15. Фильтрация маршрутизатора отдела маркетинга

№ ПК

Внутренний адрес

Разрешенный протокол

Разрешение доступа

ПК1

192.168.14.2

HTTP

83.36.33.02

113.53.44.28.03

129.69.23.77

FTP

111 .149.77.134

NTP

Без ограничений

ПК2

192.168.14.3

TELNET

68.77.23.96

SMTP

Без ограничений

NNTP

Без ограничений

NTP

Без ограничений

ПК3

192.168.14.4

HTTP

130.21.21.70

FTP

Продолжение таблицы15.

TELNET

Без ограничений

NTP

Без ограничений

ПК4

192.168.14.5

NNTP

129.06.48.250

129.06.23.01

129.73.80.69

NTP

Без ограничений

ПК5

192.168.14.6

HTTP

207.41.35.18

44.79.21.29

NTP

Без ограничений

Заключение

В результате была достигнута цель курсового проекта – создан проект локальной вычислительной сети Интранет.

Решены все поставленные задачи:

  • Рассмотрены теоретические вопросы проектирования сетей Интранет;
  • Выполнен обоснованный выбор оборудования для проектируемой сети;
  • Выполнено проектирование схемы ЛВС;
  • Разработана адресацию в сети;
  • Разработана систему защиты информации в сети.

Созданная общая ЛВС, охватывающая все четыре отдела и обеспечит эффективную работу сотрудников.

На основе плана здания осуществили выбор структуры сети: в общей локальной сети было выделено 4 сегмента – по одному на отдел, а для их объединения использовалась топология «звезда» и технологияFastEthernet.

А также был осуществлен выбор оборудования, поддерживающего технологиюFastEthernet, сервера для управления ЛВС.

Был произведен расчет затрат на создание локальной вычислительной сети, которые составили6318 у.е.

Важно учесть, что конечный эффект от применения ЛВС связан не только с возмещением затрат на покупку, монтаж и эксплуатацию оборудования, а, в первую очередь, с дополнительным улучшением качества оказываемых услуг и принимаемых решений.

Список литературы

  1. Васин Н.Н Построение сетей на базе коммутаторов и маршрутизаторов (2-е изд.) / М.: НОУ "Интуит" 2016. – 330 с.
  2. Виртуальные частные сети [Электронный ресурс] / 2017. - Метод доступа -https://technet.microsoft.com/ru-ru/library/dd469653(v=ws.11).aspx
  3. Гук М. Аппаратные средства локальных сетей /М. Гук - СПб.: Питер, 2012. - 230 с.
  4. Зимин, В.В. Промышленные сети: учебное пособие для вузов / НГТУ им. Р.Е. Алексеева; В.В. Зимин. - Н. Новгород, 2.008. - 252 с.
  5. Коломоец, Г.П. Организация компьютерных сетей. Учебное пособие: / Запорожье: КПУ, 2012. – 158 с.
  6. Коммутируемый VLAN Ethernet [Электронный ресурс] / 2017. - Метод доступа -http://www.tekoc.ru/text/vlan/vlans.html
  7. Олифер, В.Г. Компьютерные сети. Принципы, технологии, протоколы / В.Г. Олифер, Н.А. Олифер. – СПб.: Питер, 2016. – 992 с.
  8. Уэнделл Одом. Программа сетевой академии Cisco CCNA 3 и 4. Вспомогательное руководство / М.: Вильямс, 2007. – 944 с.

Приложение А. Схемы ЛВС

Рисунок А.1 – Принципиальная (логическая) схема сети

Проектирование локальной вычислительной сети на http://mirrorref.ru


Похожие рефераты, которые будут Вам интерестны.

1. Проектирование локальной вычислительной сети

2. Создание локальной вычислительной сети (ЛВС) для предприятия

3. Разработка локальной вычислительной сети и ДИС Матвеевской средней школы

4. Проектирование локальной сети

5. Проектирование распределенной информационно-вычислительной сети для заданной зоны проектирования

6. Организация локальной сети

7. СКС – основа компьютерной локальной сети (ЛВС)

8. Разработка локальной сети магазина

9. Модернизация локально-вычислительной сети для ООО Айти-Клиник

10. Модель локальной сети на языке GPSS