Разработка инфраструктуры территориально распределенной корпоративной сети CorpPAA (вариант № 11-WLAN-DLink)

 

Для организации беспроводной сети отдела маркетинга будем использовать беспроводную точку доступа. Из ряда продукции DLink для этого будем использовать DAP-2690, т.к. она поддерживает возможность создания массива точек доступа. Для обеспечения безопасности будем использовать шифрование по стандарту WPA2.

Уровень распределения

В качестве этажного гигабитного коммутатора  уровня распределения, объединяющего  стеки коммутаторов этажей зданий будем  использовать коммутаторы DGS-3426G, имеющие 20 портов SFP, 4 комбо-порта 1000Base-T/Mini GBIC (SFP) и 2 слота расширения. В данных коммутаторах также будем использовать трансивер MiniGBIC DEM-311GT.

Уровень ядра

В качестве коммутатора уровня ядра в разрабатываемой сети будет  использоваться модульный коммутатор 3 уровня DES-6500. В данный коммутатор необходимо будет установить модули DES-6507 (10 портов 10/100/1000BASE-T + 
2 комбо-порта 1000BASE-T/ mini GBIC (SFP)) и DES-6511 (резервный источник питания).

Выбор серверов

Все сервера, которые предназначены для работы внутри здания, будут расположены  не в DMZ, а непосредственно во внутреннем, защищенном сегменте сети. Эти серверы будут располагаться в серверной комнате на нижнем этаже здания, и объединяться с прочими сегментами сети с помощью высокопроизводительного коммутатора.

В данном сегменте будут использоваться следующие серверы:

• DNS внутренний;
• DHCP;
• Контроллер домена (DC);
• Серверы приложений;
• Print-сервера.

В качестве print-сервера будем использовать сервер DPR-1061 фирмы DLink. Такие устройства планируется установить в помещении каждой рабочей группы.

Фирма DLink не занимается выпуском высокопроизводительных серверов, поэтому необходимо выбрать продукцию другого производителя. Будем использовать серверы, выпускаемые компанией Hewlett Packard. HP отличается производством надежных масштабируемых высокопроизводительных серверных систем для всех видов бизнеса. Выберем сервер из серии блэйд-систем. Они обладают встроенными функциями виртуализации и распределения процессорной нагрузки, так же имеют зеркалированные дисковые массивы, что исключает возможность потери важной информации. Кроме того, они специально оптимизированы для работы с ОС Win2008 Server.

Выберем модель HP Integrity BL870c. Эти серверы размещаются в стойку по двое.

Таким образом, сервера будут  помещаться в четырех стойках.

7. Состав серверов

Модель	Серверы	ОС
HP Integrity BL870c	DNS1, DHCP1, DC1	Windows 2008 Server
HP Integrity BL870c	DNS2, DHCP2, DC2	Windows 2008 Server
HP Integrity BL870c	Сервера приложений 1	Windows 2008 Server
HP Integrity BL870c	Сервера приложений 2	Windows 2008 Server

 

Кроме того, для объединения  серверов требуется высокопроизводительный коммутатор с небольшим числом портов, но обеспечивающий скорости не менее 1000 Мбит/с. Для этой цели выберем модель DGS-3270-12 (управляемый коммутатор 2 уровня с 8 портами 10/100/1000Base-T + 4 комбо-портами 1000Base-T/Mini GBIC (SFP)).

Выбор маршрутизаторов

В качестве граничного устройства сети – маршрутизатора – выберем мультисервисный маршрутизатор фирмы DLink DI-2630. Данный маршрутизатор будет применяться во всех трех зданиях. Отличия будут заключаться в используемых модулях: в здании А необходимы модули интерфейсов Т1 (для связи со зданием В), 1000Base-T для подключения серверов DMZ и межсетевого экрана. Для здания В необходимы модули 1000Base-T и Т1, я для здания С – модули 1000Base-T и ADSL.

4. Распределение IP-адресов

Согласно ТЗ необходимо использовать следующие диапазоны IP-адресов:

• Внешние адреса – 225.46.11.0/24;
• Внутренние адреса
• Здание A: 10.101.0.0/16
• Здание B: 172.22.43.225/21
• Здание C: 192.168.88.0/21

При разбиение адресного пространства рекомендуется придерживаться следующих принципов:

• Перед выделением каких-либо IP-адресов необходимо разработать структурированную модель адресации;
• Резервировать часть адресного пространства для обеспечения возможности последующего расширения сети;
• Выделять блоки адресов на основе топологии сети, а не структуры организации;

Поскольку в ТЗ не сказано  обратное, предполагается, что в  данной сети топология соответствует  структурной организации предприятия. Итак, будем выделять подсети на основе структурной организации.

Очевидно, что подсети  будут содержать различное количество хостов, и для оптимального использования IP-адресов нужны подсети различных размеров. Создание и развертывание подсетей различного размера в одной сети называется разбиением на сети переменного размера (Variable Length Subnetting), при этом используются маски подсетей переменных размеров (Variable Length Subnet Masks, VLSM).

Разбиение на подсети переменного  размера – метод создания идентификаторов  сетей, включающих идентификаторы подсетей и использующих маски подсетей переменной длины. Однако все такие идентификаторы сетей уникальны и различаются  по соответствующей маски подсети.

В соответствии с вышеизложенными  принципами, проведем распределение  выделенного адресного пространства.

Для каждого  отдела предполагается выделить свою подсеть.

Помимо рабочих  станций во всех зданиях также  будут размещены различные служебные  серверы (такие как DNS, DHCP). В главном здании будут использоваться серверы FTP, DNS, RAS/VPN, Mail. Необходимо также предусмотреть дополнительные IP-адреса размещения серверов.

1. Внутренние  IP-адреса

Здание А  

3. Распределение адресов в здании А

Здание В

Поскольку всего  в здании В располагается 1225 рабочих станций, то подсети с маской /22 (1022 адреса) будет недостаточно. Возьмем маску равной /21 и начнем выделение с наибольшей подсети, т.е. отдела Manufacture 2(630 PC).

4. Распределение адресов в здании В

 

Здание С

Адреса будем выделять подсетями с маской /24.

5. Распределение адресов в здании С

Подробное распределение  адресов приведено в таблице 8.

8. IP-план

Название отдела	Всего Узлов	Подсеть	Диапазон адресов	VLAN
1	2	3	4	5
Здание А (900 рабочих станций)
Для управления устройствами	-	10.101.6.0/24	10.101.6.1 10.101.6.254	VLAN0002
Для внешних серверов	62	10.101.1.0/24	10.101.1.1 10.101.1.254	VLAN0003
Зарезервировано	176	10.101.128.0/17	10.101.128.1 10.101.255.254	VLAN0004
Отдел кадров	84	10.101.0.0/25	10.101.0.1 10.101.0.126	VLAN0111
Отдел маркетинга(1 группа)	42	10.101.0.128/26	10.101.0.129 10.101.0.190	VLAN0112
Отдел маркетинга(2 группа)	42	10.101.0.192/26	10.101.0.193 10.101.0.254	VLAN0113
Отдел информ. Технологий	84	10.101.1.0/25	10.101.1.1 10.101.1.126	VLAN0114
Серверная ферма	62	10.101.1.128/25	10.101.1.129 10.101.1.254	VLAN0002, VLAN0003
Бухгалтерия	44	10.101.2.0/26	10.101.2.1 10.101. 2.62	VLAN0122
Руководство	15	10.101.2.64/27	10.101.2.65 10.101.2.94	VLAN0121
Экономический отдел	18	10.101.2.96/27	10.101.2.97 10.101.2.126	VLAN0123
1	2	3	4	5
1	2	3	4	5
Проектный отдел 1	187	10.101.3.0/24	10.101.3.1 10.101.3.254	VLAN0013
Проектный отдел 2	210	10.101.4.0/24	10.101.4.1 10.101.4.254	VLAN0014
Проектный отдел 3	176	10.101.5.0/24	10.101.5.1 10.101.5.254	VLAN0015
Здание B (1225 рабочие станции)
Производственный отдел М2	630	172.22.40.0/22	172.22.40.1 172.22.43.254	VLAN0021
Производственный отдел М1	350	172.22.44.0/23	172.22.44.1 172.22.45.254	VLAN0022
Производственный отдел P	245	172.22.46.0/23	172.22.46.1 172.22.47.254	VLAN0023
Серверная ферма	62	172.22.45.0/26	172.22.45.1 172.22.45.62	VLAN0002
Здание C (322 рабочие станции)
Исследовательский отдел 1 (Res 1)	126	192.168.88.0/24	192.168.88.1 192.168.88.254	VLAN0031
Исследовательский отдел 2 (Res 2)	196	192.168.89.0/24	192.168.89.1 192.168.89.254	VLAN0032
Серверная ферма	62	192.168.90.0/26	192.168.90.1 192.168.90.62	VLAN0002

2. Внешние IP-адреса

Для демилитаризованной зоны будут использованы публичные адреса. Нарежем сеть 225.46.11.0/24 на подсети:

Внешний брандмауэр - Шлюз здания А    225.46.11.244/30 (2)

Шлюз здания А - маршрутизатор провайдера   225.46.11.248/30 (2)

Граничный маршрутизатор – маршрутизатор здания В  225.46.11.252/30 (2)

Для подключения пользователей  SOHO    225.46.11.192/27 (30)

Для серверов DMZ       225.46.11.128/26 (62)

Для NAT могут быть использованы оставшиеся адреса:

225.46.11.0/25 (126)

225.46.11.128/26 (62)

225.46.11.224/28 (14)

225.46.11.240/30 (2)

Организация службы DHCP

Каждому хосту, подключенному к сети на базе TCP/IP, должен быть назначен уникальный IP-адрес. Протокол DHCP (Dynamic Host Configuration Protocol, протокол динамической конфигурации хоста) был разработан как средство динамического выделения хостам IP-адресов. В спецификации протокола DHCP определяются два участника: DHCP-сервер и DHCP-клиенты. Служба клиента DHCP запрашивает у DHCP-сервера параметры для настройки стека протоколов TCP/IP. Служба сервера DHCP обрабатывает клиентские запросы, осуществляя выдачу в аренду IP-адреса из некоторого диапазона. Каждый адрес выделяется на определенный срок. По окончании этого срока хост должен либо продлить срок аренды, либо освободить адрес. Все удовлетворенные запросы пользователя фиксируются службой сервера DHCP в собственной базе данных. Подобное решение позволяет предотвратить выделение одного IP-адреса двум хостам. Одновременно с выдачей IP-адреса DHCP-сервер может также предоставить клиенту дополнительную информацию о настройках стека протоколов TCP/IP, такую как маска подсети, адрес шлюза и адреса серверов DNS и WINS.

Для повышения надежности во всех зданиях корпорации будем использовать по 2 DHCP-сервера в связи с довольно большим числом рабочих станций в них и для повышения надежности, диапазон адресов делится в отношении 100/100. Для того чтобы DHCP-сервер начал корректно работать, необходимо на нем настроить области (scopes). Область DHCP – административная группа, идентифицирующая полные последовательные диапазоны возможных IP-адресов для всех клиентов DHCP в физической подсети. Области определяют логическую подсеть, для которой должны предоставляться услуги DHCP, и позволяют серверу задавать параметры конфигурации, выдаваемые всем клиентам DHCP в подсети. Область должна быть определена прежде, чем клиенты DHCP смогут использовать сервер DHCP для динамической конфигурации TCP/IP.

Настройка DHCPА 1

DHCP SCOPE	Scope Address	Start IP	End IP	Prfx	003 Router	006 DNS Servers	Исключения	051 Lease
Проектный отдел 1 (P1)	10.101.3.0	10.101.3.1	10.101.3.254	24	10.101.3.1		10.101.3.1 10.101.3.2 10.101.3.129- 10.101.3.254	7
Проектный отдел 2 (P2)	10.101.4.0	10.101.4.1	10.101.4.254	24	10.101.4.1		10.101.4.1 10.101.4.2 10.101.4.129- 10.101.4.254	7
Проектный отдел 3 (P3)	10.101.5.0	10.101.5.1	10.101.5.254	24	10.101.5.1		10.101.5.1 10.101.5.2 10.101.5.129- 10.101.5.254	7
Отдел кадров (HR)	10.101.0.0	10.101.0.1	10.101.0.126	25	10.101.0.1		10.101.0.1 10.101.0.2 10.101.0.65- 10.101.0.126	7
Отдел маркетинга1 (Sales1)	10.101.0.128	10.101.0.129	10.101.0.191	26	10.101.0.129		10.101.0.129 10.101.0.130 10.101.0.160- 10.101.0.191	7
Отдел маркетинга2 (Sales2)	10.101.0.192	10.101.0.193	10.101.0.254	26	10.101.0.193		10.101.0.193 10.101.0.194 10.101.0.224- 10.101.0.254	7
Отдел информационный технологий (IT)	10.101.1.0	10.101.1.1	10.101.1.126	25	10.101.1.1		10.101.1.1 10.101.1.2 10.101.1.64- 10.101.1.126	7
Отдел экономики и планирования (Bus)	10.101.2.96	10.101.2.97	10.101.2.126	27	10.101.2.97		10.101.2.97 10.101.2.98 10.101.2.112- 10.101.2.126	7
Руководитель (Ex)	10.101.2.64	10.101.2.65	10.101.2.94	27	10.101.2.65		10.101.2.65 10.101.2.66 10.101.3.80- 10.101.3.94	7
Бухгалтерия (Acc)	10.101.2.0	10.101.2.62	10.101.2.1	26	10.101.2.1		10.101.2.1 10.101.2.2 10.101.2.32- 10.101.2.62	7

Настройка DHCPА 2

DHCP SCOPE	Scope Address	Start IP	End IP	Prfx	003 Router	006 DNS Servers	Исключения	051 Lease
Проектный отдел 1 (P1)	10.101.3.0	10.101.3.1	10.101.3.254	24	10.101.3.1		10.101.3.1 10.101.3.2 10.101.3.3- 10.101.3.128	7
Проектный отдел 2 (P2)	10.101.4.0	10.101.4.1	10.101.4.254	24	10.101.4.1		10.101.4.1 10.101.4.2 10.101.4.3- 10.101.4.128	7
Проектный отдел 3 (P3)	10.101.5.0	10.101.5.1	10.101.5.254	24	10.101.5.1		10.101.5.1 10.101.5.2 10.101.5.3- 10.101.5.128	7
Отдел кадров (HR)	10.101.0.0	10.101.0.1	10.101.0.126	25	10.101.0.1		10.101.0.1 10.101.0.2 10.101.0.3- 10.101.0.95	7
Отдел маркетинга1 (Sales1)	10.101.0.128	10.101.0.129	10.101.0.191	26	10.101.0.129		10.101.0.129 10.101.0.130 10.101.0.131- 10.101.0.159	7
Отдел маркетинга2 (Sales2)	10.101.0.192	10.101.0.193	10.101.0.254	26	10.101.0.193		10.101.0.193 10.101.0.194 10.101.0.195- 10.101.0.224	7
Отдел информационный технологий (IT)	10.101.1.0	10.101.1.1	10.101.1.126	25	10.101.1.1		10.101.1.1 10.101.1.2 10.101.1.3- 10.101.1.64	7
Отдел экономики и планирования (Bus)	10.101.2.96	10.101.2.97	10.101.2.126	27	10.101.2.97		10.101.2.97 10.101.2.98 10.101.2.99- 10.101.2.112	7
Руководитель (Ex)	10.101.2.64	10.101.2.65	10.101.2.94	27	10.101.2.65		10.101.2.65 10.101.2.66 10.101.3.80- 10.101.3.94	7