Автор работы: Пользователь скрыл имя, 18 Января 2014 в 19:48, курсовая работа
Целью данной курсовой работы является построение инфраструктуры корпоративной территориально распределенной сети компании.
В ходе выполнения курсовой работы решались следующие задачи:
проектирование логической и физической структуры корпоративной сети, состоящей из трех территориально разнесенных сайтов;
распределение внутренних и внешних IP-адресов;
подбор сетевого оборудования и расчет его стоимости;
проектирование доменной структуры корпоративной сети;
развертывание служб DHCP, DNS, Active Directory, служб сертификации;
детальная проработка структуры беспроводной сети склада и рекомендации по настройке беспроводных контроллеров;
1 Анализ требований ТЗ 5
2 Проектирование логической структуры сети 10
2.1 Здание А Ошибка! Закладка не определена.
Первый этаж Ошибка! Закладка не определена.
Второй этаж Ошибка! Закладка не определена.
Третий этаж Ошибка! Закладка не определена.
Четвертый этаж Ошибка! Закладка не определена.
Пятый этаж Ошибка! Закладка не определена.
2.2 Здание Б Ошибка! Закладка не определена.
Manufacture 1 Ошибка! Закладка не определена.
Manufacture 2 Ошибка! Закладка не определена.
Production Ошибка! Закладка не определена.
2.3 Здание С Ошибка! Закладка не определена.
Первый этаж Ошибка! Закладка не определена.
Второй этаж Ошибка! Закладка не определена.
3 Проектирование физической структуры сети 13
3.1 Описание структурированной кабельной сети 13
Размещение коммутационного оборудования на этажах 13
Требование к оборудованию и линиям связи 13
3.2 Выбор сетевого оборудования 14
4 Распределение IP-адресов 19
4.1 Внутренние IP-адреса 20
4.2 Внешние IP-адреса 22
5 Организация службы DHCP 23
6 Организация службы DNS 27
7 Организация службы каталогов Active Directory 28
8 Проектирование беспроводной сети 29
8.1 Общие сведения 29
8.2 Централизованное решение организации WLAN 29
8.3 Управление беспроводной сетью 29
8.4 Безопасность беспроводной сети 29
8.5 Настройка беспроводного оборудования 29
9 Развертывание служб сертификации 30
9.1 Организация службы сертификации 30
9.2 Настройка корневого Центра сертификации 30
9.3 Варианты запросов сертификатов от клиентов 30
10 Расчет стоимостиприобретения оборудования 31
10.1 Стоимость оборудования Здания А 31
10.2 Стоимость оборудования филиала Manufacture 31
10.3 Стоимость оборудования Здания С 31
10.4 Суммарная стоимость оборудования 31
Настройка DHCPB 1
DHCP SCOPE |
Scope Address |
Start IP |
End IP |
Prfx |
003 Router |
006 DNS Servers |
Исключения |
051 Lease |
Производственный отдел (M2) |
172.22.40.0 |
172.22.40.1 |
172.22.43.254 |
22 |
172.22.40.1 |
172.22.40.1 172.22.40.2 172.22.42.0- 172.22.43.254 |
7 | |
Производственный отдел (M1) |
172.22.44.0 |
172.22.44.1 |
172.22.45.254 |
23 |
172.22.44.1 |
172.22.44.1 172.22.44.2 172.22.45.0- 172.22.45.254 |
7 | |
Производственный отдел (P) |
172.22.46.0 |
172.22.46.1 |
172.22.47.254 |
23 |
172.22.46.1 |
172.22.46.1 172.22.46.2 172.22.47.0- 172.22.47.254 |
7 |
Настройка DHCPB 2
DHCP SCOPE |
Scope Address |
Start IP |
End IP |
Prfx |
003 Router |
006 DNS Servers |
Исключения |
051 Lease |
Производственный отдел (M2) |
172.22.40.0 |
172.22.40.1 |
172.22.43.254 |
22 |
172.22.40.1 |
172.22.40.1 172.22.40.2 172.22.40.3- 172.22.41.254 |
7 | |
Производственный отдел (M1) |
172.22.44.0 |
172.22.44.1 |
172.22.45.254 |
23 |
172.22.44.1 |
172.22.44.1 172.22.44.2 172.22.44.3- 172.22.44.254 |
7 | |
Производственный отдел (P) |
172.22.46.0 |
172.22.46.1 |
172.22.47.254 |
23 |
172.22.46.1 |
172.22.46.1 172.22.46.2 172.22.46.3- 172.22.46.254 |
7 |
Настройка DHCPС 1
DHCP SCOPE |
Scope Address |
Start IP |
End IP |
Prfx |
003 Router |
006 DNS Servers |
Исключения |
051 Lease |
Исследова тельский отдел 1 (Res 1) |
192.168.88.0 |
192.168.88.1 |
192.168.88.254 |
24 |
192.168.88.1 |
192.168.88.1 192.168.88.2 192.168.88.128- 192.168.88.254 |
7 | |
Исследова тельский отдел 2 (Res 2) |
192.168.89.0 |
192.168.89.1 |
192.168.89.254 |
24 |
192.168.89.1 |
192.168.89.1 192.168.89.2 192.168.89.128- 192.168.89.254 |
7 |
Настройка DHCPС 2
DHCP SCOPE |
Scope Address |
Start IP |
End IP |
Prfx |
003 Router |
006 DNS Servers |
Исключения |
051 Lease |
Исследова тельский отдел 1 (Res 1) |
192.168.88.0 |
192.168.88.1 |
192.168.88.254 |
24 |
192.168.88.1 |
192.168.88.1 192.168.88.2 192.168.88.3- 192.168.88.127 |
7 | |
Исследова тельский отдел 2 (Res 2) |
192.168.89.0 |
192.168.89.1 |
192.168.89.254 |
24 |
192.168.89.1 |
192.168.89.1 192.168.89.2 192.168.89.3- 192.168.89.127 |
7 |
Прежде чем приступать к проектированию структуры Active Directory, рассмотрим сначала реализацию DNS. Предполагается применить т. н. разделение DNS (split-brain DNS). Разделенный DNS делает ресурсы доступными, прозрачными и независимыми по расположению для внешних и для внутренних пользователей. Под прозрачностью понимается, что пользователю не нужно использовать различные имена или перенастраивать клиентские приложения на использование разных имен в зависимости от его местоположения в настоящий момент.
Разделение DNS работает за счет того, что используется 2 или больше доступных серверов DNS, предназначенных для этого имени домена. Один или больше серверов отвечают за разрешение имен для хостов внутренней сети, другие же (один или больше) серверы отвечают за разрешение имен для хостов в Internet.
Сервер DNS, ответственный за разрешение имен во внутрикорпоративной сети, содержит записи DNS, которые отображают имена серверов в их внутренние IP-адреса, которые и используются во внутренней сети. DNS-сервер; ответственный за разрешение имен для внешних пользователей, отображает имена во внешние IP-адреса, обеспечивая доступ к корпоративным ресурсам снаружи. Схема разделения DNS приведена на рис. 8:
Internal DNS – внутренний DNS-сервер, используется только для того, чтобы внутренние пользователи могли получать доступ к ресурсам сети используя доменные имена.
DNS Resolver – служат только для forward’инга запросов от внутренних DNS серверов и для кэширования.
DNS Advertiser – используется только для разрешения имен для запросов, поступающих из вне. В нем должна быть отключена рекурсия, чтобы злоумышленник не мог получить доступ к внутренней сети.
Внутренние серверы DNS размещаются в Intranet за сетевым экраном (firewall), а внешние серверы DNS устанавливаются в демилитаризованной зоне (DMZ) или в Internet. При этом только внутренние клиенты имеют доступ к внутреннему серверу DNS, хранящему адресную информацию о компьютерах внутренней сети. Запросы внешних клиентов о доменных Internet-именах и адресах организации выполняются внешним DNS-сервером. Любые запросы, идущие из Internet в Intranet, запрещены. Если на внутренний DNS-сервер приходит запрос о разрешении имени Internet, которого нет в локальном кэше, то запрос отправляется на внешний DNS-сервер. На внешнем сервере DNS, следует разрешить только запросы, исходящие из внутренней сети.
Зоне DNS в домене AD свойственны две особенности. Во-первых, AD сохраняет в DNS большое количество данных. Во-вторых, значительная часть этой информации носит конфиденциальный характер. В частности, в зоне домена AD хранятся имена и адреса контроллеров домена. Структура с разделением DNS позволит скрыть эту информацию от посторонних глаз.
Для корпорации CorpPAA необходимо зарегистрировать домен второго уровня - CorpPAA.ru. Для обеспечения автономности сетей филиалов и оптимизированного обмена служебной информацией через глобальную сеть, выделим в домене CorpPAA.ru. два дочерних поддомена: manuf. CorpPAA.ru. и reseach.CorpPAA.ru соответственно для зданий B и C. Домен CorpPAA.ru разобъем на два поддомена main.CorpPAA.ru для трех проектных отделов и additional.CorpPAA.ru для остальных отделов.
Согласно ТЗ, DNS-сервер будут базироваться на платформе Windows 2013. Для обеспечения надежности с ним в паре будет работать еще один сервер, который сможет обеспечивать работоспособность сети в случае выхода из строя первого сервера.
Получив запрос на преобразование имени, основной DNS-сервер сначала обращается в кэш. Если имени в кэше нет, а DNS-сервер содержит зоны, то сервер пытается преобразовать имя, проверяя зоны. Сервер обращается к ретранслятору (установленному в DMZ) или в Интернет лишь в том случае, если не может найти нужный адрес в кэше или в зонах. Главная особенность разделенной DNS заключается в том, что DNS-сервер больше доверяет информации из зон, чем данным, извлеченным из Интернета.
Для функционирования такой структуры необходимо на внутреннем DNS-сервере в качестве forwarder’а установить внешний DNS-сервер, а на внешнем DNS-сервере установить либо режим рекурсивного запроса к DNS провайдера, либо итеративный опрос DNS-серверов, начиная с корневых (root-hints). Форвардинг запросов будет осуществляться на кэширующий сервер, что позволит благодаря использованию кэша снизить нагрузку при обработке «внешних» запросов, так как в основной массе запросы будут касаться разрешения имен машин корпоративной сети.
В реализации структуры DNS главного здания участвуют 3 DNS-сервера: внутренний, внешний и сервер провайдера. Внутренний сервер отвечает за зоны main.CorpPAA.ru , additional.CorpPAA.ru. Внешний сервер устанавливается в качестве forwarding-сервера для внутреннего для того, чтобы перенаправлять запросы, не разрешенные с помощью кэша. Внешний DNS-сервер, в отправляет рекурсивные запросы к DNS-серверу провайдера.
DNS-серверы в зданиях B пересылают неразрешённые запросы на DNS-сервер здания A. Для того чтобы из здания C можно было разрешать имена компьютеров, располагающихся в здании B без нагрузки на DNS-серверы здания А, необходимо на DNS-сервере здания C создать так называемые зоны-заглушки или упрощённые зоны (stub-zone). Упрощенная зона представляет собой копию зоны, содержащую только те ресурсные записи, которые необходимы для локализации DNS-серверов, являющихся носителями полной версии зоны. Основное назначение упрощенной зоны – идентификация DNS-серверов, которые способны выполнить разрешение доменных имен, принадлежащих к этой зоне.
Таким образом, на DNS-сервере здания C будет создана stub-zone для каждой из зон здания A и для зоны здания B. А в качестве forwarder-DNS выступит DNS-сервер провайдера.
На всех внутренних DNS-серверах следует включить режим Dynamic DNS Updates, для того, чтобы узлы могли регистрировать свои записи в соответствующих зонах.
Таблица DNS1A (10.1.6.2), DNS2A (10.1.6.11). В качестве forwarding указывается адрес сервера DNSDMZ1 (131.107.1.6) и DNSDMZ2 (131.107.1.7)
Name |
Type |
Value |
PRINT1A.CorpPAA.ru |
A |
10.1.6.3 |
DB1A.CorpPAA.ru |
A |
10.1.6.5 |
PRINT2A.CorpPAA.ru |
A |
10.1.6.12 |
DB2A.CorpPAA.ru |
A |
10.1.6.14 |
Web.CorpPAA.ru |
A |
131.107.1.8 |
CorpPAA.ru |
CNAME |
Web.CorpPAA.ru |
Mail.CorpPAA.ru |
MX 0 |
131.107.1.8 |
ftp.CorpPAA.ru |
A |
131.107.1.9 |
DC1.CorpPAA.ru |
A |
10.1.6.6 |
DC2.CorpPAA.ru |
A |
10.1.6.15 |
DC3.Main.CorpPAA.ru |
A |
10.1.6.7 |
DC4.Main.CorpPAA.ru |
A |
10.1.6.16 |
DC5.Additional.CorpPAA.ru |
A |
10.1.6.8 |
DC6.Additional..CorpPAA.ru |
A |
10.1.6.17 |
CA_A.CorpPAA.ru |
A |
10.1.6.9 |
CA_Bridge.CorpPAA.ru |
A |
131.107.1.9 |
DNS1A.CorpPAA.ru |
A |
10.1.6.2 |
NS1A.CorpPAA.ru |
CNAME |
DNS1A.CORPPBKS.ru |
NS2A.CorpPAA.ru |
CNAME |
DNS1A.CorpPAA.ru |
Main.CorpPAA.ru |
NS |
NS1A.CorpPAA.ru |
Additional.CorpPAA.ru |
NS |
NS2A.CorpPAA.ru |
Name |
Type |
Value |
PRINT1A.CorpPAA.ru |
A |
10.1.6.3 |
DB1A.CorpPAA.ru |
A |
10.1.6.5 |
PRINT2A.CorpPAA.ru |
A |
10.1.6.12 |
DB2A.CorpPAA.ru |
A |
10.1.6.14 |
Web.CorpPAA.ru |
A |
131.107.1.8 |
CorpPAA.ru |
CNAME |
Web.CorpPAA.ru |
Mail.CorpPAA.ru |
MX 0 |
131.107.1.8 |
ftp.CorpPAA.ru |
A |
131.107.1.9 |
DC1.CorpPAA.ru |
A |
10.1.6.6 |
DC2.CorpPAA.ru |
A |
10.1.6.15 |
DC3.Main.CorpPAA.ru |
A |
10.1.6.7 |
DC4.Main.CorpPAA.ru |
A |
10.1.6.16 |
DC5.Additional.CorpPAA.ru |
A |
10.1.6.8 |
DC6.Additional..CorpPAA.ru |
A |
10.1.6.17 |
CA_A.CorpPAA.ru |
A |
10.1.6.9 |
CA_Bridge.CorpPAA.ru |
A |
131.107.1.9 |
DNS2A.CorpPAA.ru |
A |
10.1.6.11 |
NS1A.CorpPAA.ru |
CNAME |
DNS2A.CorpPAA.ru |
NS2A.CorpPAA.ru |
CNAME |
DNS2A.CorpPAA.ru |
Main.CorpPAA.ru |
NS |
NS1A.CorpPAA.ru |
Additional.CorpPAA.ru |
NS |
NS2A.CorpPAA.ru |
DNS forwarder Primary 131.107.1.6 enable cacheing
DNS forwarder Secondary 131.107.1.7 enable cacheing
Настройка внешнего DNS сети здания А (DNS Forwarder 1,2)
DNS-имя |
Тип записи |
Адрес |
Web.CorpPAA.ru |
A |
131.107.1.8 |
CorpPAA.ru |
CNAME |
Web.CorpPAA.ru |
Mail.CorpPAA.ru |
MX 0 |
131.107.1.8 |
ftp.CorpPAA.ru |
A |
131.107.1.9 |
Bridge_CA.CorpPAA.ru |
A |
131.107.1.11 |
DNS1A.CorpPAA.ru |
A |
10.1.6.2 |
DNS2A.CorpPAA.ru |
A |
10.1.6.11 |
DNS1B.Manuf. CorpPAA.ru |
A |
10.1.42.2 |
DNS2B.Manuf. CorpPAA.ru |
A |
10.1.42.12 |
DNS1C.Research.CorpPAA.ru |
A |
10.1.19.2 |
DNS2C.Research.CorpPAA.ru |
A |
10.1.19.9 |