Разработка защищенной информационно-вычислительной сети организации

Рисунок 6 - Внешний вид маршрутизатора

Cisco 3800 – это высокопроизводительная  серия маршрутизаторов с интеграцией  сервисов (Integrated Services Routers, ISR).

Маршрутизаторы серии Cisco 3800 сочетают функциональность обеспечения безопасности, обработки голоса и другие интеллектуальные сервисы в единой компактной платформе, исключая необходимость использования нескольких отдельных устройств. Многие сервисные модули, например модули голосовой почты, модули обнаружения вторжений, кэширования трафика и т. д., имеют собственные аппаратные ресурсы, устраняющие влияние сервисов на производительность маршрутизатора и в то же время управляемые с помощью единого интерфейса управления. Интеграция сервисов значительно расширяет область применения маршрутизаторов, снижает сложность сети и ее общую стоимость владения.

Маршрутизаторы серии Cisco 3800 имеют модульную конструкцию. Доступны слоты NME для установки сетевых модулей, слоты HWIC для установки интерфейсных модулей, а также слоты PVDM и гнезда AIM на системной плате маршрутизатора для установки модулей обработки голоса и сервисных модулей соответственно. Слоты NME совместимы с сетевыми модулями NM, усовершенствованными сетевыми модулями NME, расширенными модулями NME-X и модулями двойной ширины NME-XD и NMD, а также с голосовыми модулями EVM и модулями высокой плотности EVM-HD. Слоты HWIC имеют обратную совместимость с модулями WIC, VIC и VWIC.

Высокая производительность и плотность интерфейсов создают основу для дальнейшего расширения сети и внедрения будущих приложений.

Основные возможности:

• Поддержка полного спектра функций ПО Cisco IOSТМ.
• Интеграция голоса и данных.
• Обширный набор функций в рамках одного устройства
• Поддержка широкого спектра модулей (NM, NME, NME-X, NMD, EVM-HD, WIC, HWIC, VIC, VWIC, AIM, PVDM).
• Встроенные средства аппаратного ускорения шифрования (DES, 3DES, AES 128, AES 192, AES 256; поддерживаются в версиях ПО Cisco IOS Software с функциональностью обеспечения сетевой безопасности).
• Встроенные порты Gigabit Ethernet 10/100/1000, порты Gigabit Ethernet SFP (Small Form-Factor Pluggable).
• Интегрированный асинхронный порт (AUX) поддерживает соединения на скорости до 115,2 кбит/с.
• Интегрированные порты USB 1.1 для поддержки USB токенов, хранения ключей на отторгаемом носителе, безопас- ного распространения ПО и т. д. (в будущих версиях ПО).
• «Горячая» замена (OIR) модулей NME и SFP.
• Поддержка источников питания переменного и постоянного тока.
• Поддержка подачи питания для портов Inline Power от интегрированного блока питания.
• Резервирование интегрированного блока питания (только для Cisco 3845).
• Встроенные часы реального времени для обеспечения точного значения даты и времени.
• Поддержка функциональности Network Admission Control для предоставления доступа в сеть только хостам, соответ- ствующим корпоративной политике безопасности.
• Ограниченная поддержка функциональности MPLS VPN.

 

SFP - модуль

Трансиверы, или Cisco SFP конверторы, - это устройства, которые подключаются в гигабитный порт Ethernet и предназначены для объединения данного порта с сетью, а так же имеют возможность горячей замены. Трансиверы являются взаимозаменяемыми и могут быть использованы в смешанных комбинациях 1000BASE-SX, 1000BASE-LX/LH, 1000BASE-ZX, или 1000BASE-BX10-D/U. Трансивер GLC-BX-D – это SFP приемопередатчик для одножильной одномодовой оптики с длиной волны в 1490 нанометров. Внешний вид представлен на Рисунке 7.

 

Рисунок 7 - Внешний вид SFP модуля

 

Характеристики:

• Тип модуля: SFP (Mini GBIC)
• Скорость передачи даннях:1000 Мбит/с
• Длина волны (нанометры): 1490 (нисходящий поток)
• Тип оптики: одномодовая
• Поддерживает цифровой оптический мониторинг (DOM support)
• Внутренний диаметр жилы (микрон): G.652
• Полоса пропускания (МГц/км) : -
• Рабочее расстояние: 10 км
• Электропитание: 3,3В
• Мощность передатчика(дБм): От -3 до -9
• Мощность приемника(дБм): От -3 до -19.5
• Размеры: 13 x 9 x 57 мм.

 

1.1.3 Состав программного обеспечения организации

Любая информационная система включает в себя инфраструктурные службы - службы и программы, необходимые для поддержания работы системы и выполнения типовых функций, а также собственно "полезное" программное обеспечении приложения, выполняющие расчеты в целях обеспечения производства данной организации.

Если прикладное программное обеспечение весьма разнообразно и общие рекомендации дать достаточно сложно, то инфраструктурные решения во многом схожи.

• ОС для АРМ: Windows 7
• Подсистема разрешения имен: DNS на сервере
• Подсистемы авторизации, аутентификации и контроля доступа: Active Directory
• Программное обеспечение офиса: MS Office 2010 Plus.

 

 

1.1.4 Спецификация ЛВС

По результатам проектирования составляется спецификация ЛВС (таблица 2)

Таблица 2 – Технические средства (ТС) вычислительной сети

№ п/п	Тип ТС	Наименование ТС	Цена ТС, руб.	Кол-во ТС, штук	Стоимость ТС, руб.
1	Сервер	MicroXperts Z124HS-01	41 490	1	41 490
2	Сетевой адаптер	Gigabit Ethernet 3COM	95	50	475
3	Линия связи	1. Одномодовое оптоволокно 2. Gigabit Ethernet	1. 30 2. 5	1. 2 000 2. 800	1. 6 000 2. 4 000
4	Коммутаторы	D-Link DES-3852.	35 440	35	1 240 400
5	Разъемы	Connector RJ-45	2	150	300
6	Сетевой принтер	HP Laser Jet 2100	4 610	5	23 050
7	SFP модуль	CISCO GLC-BX-D	9 450	5	47 250
8	Напольный шкаф	19" ЦМО, ШТК-М-18.6.6-3ААА.	21 700	5	108 500
9	Маршрутизаторы	CISCO 3825	45 200	5	226 000
Программное обеспечение
10	Сетевая операционная система	Windows Server 2008 R2	96 925	1	96 925
11	ОС АРМ	Windows 7 Professional	4 730	80	378 400
12	Интегрированная офисная система	Пакет MS Office 2010 Rus	1 547	80	123 760
13	Межсетевой экран	Outpost Pro Firewall	750	1	750

 

1.2 Структура сети и проектирование ЛВС

 

Современная сеть создается на основе трех уровней: ядра (Core), распределения (Distribution) и доступа (Access), как это показано на Рисунок 8. На уровне доступа обеспечивается подключение конечных рабочих станций. На уровне распределения реализуется маршрутизация пакетов и их фильтрация (на основе списков доступа и т. п.).

Задача оборудования уровня ядра - максимально быстро передать трафик между оборудованием уровня распределения.

Если рассматривать типовую сеть небольшой организации, занимающей несколько этажей одного здания, то уровень распределения будет соответствовать оборудованию, объединяющему коммутаторы каждого этажа, а уровень ядра - активному оборудованию, размещаемому обычно в главной серверной.

Это классическая схема иерархической структуры, которая на практике часто модифицируется с учетом специфики организации, оборудования и т. д. Так, в зависимости от размеров предприятия, может отсутствовать какой-либо уровень, и структура сети станет двухуровневой.

Маршрутизацию данных можно реализовать на уровне ядра, а оборудование уровня распределения будет только пересылать данные внутри сегмента сети.

Все зависит от решаемых задач, распределения потоков информации и предъявляемых к информационной системе требований. Обобщенная структурная схема находится в приложении Б.

Рисунок 8 - Схема трехуровневой структуры сети

Часто в схеме сети выделяют серверную ферму. Принципиально серверная ферма представляет собой обычный узел распределения, но реализованный на быстродействующем оборудовании и, как правило, со 100%-ным резервированным решением. В малых организациях часто практикуется подключение серверов непосредственно к ядру сети передачи данных.

Трехуровневая схема больше свойственна крупным сетям. Для средних и небольших предприятий чаще всего создается двухуровневая схема: существует один, обычно самый мощный коммутатор, к которому подключаются как серверы, так и рабочие станции. К этому коммутатору подключены коммутаторы второго уровня, распределяющие данные на остальные рабочие станции.

На практике структуру сети администраторам обычно приходится "примерять" на уже существующие линии связи, ограничиваться возможностями по созданию новых соединений (учитывая, по какой трассе можно проложить линию связи собственными силами) и т. д. Поэтому одной из основных рекомендаций при изменении топологии сети должна быть минимизация количества коммутаторов между любыми двумя точками подключения компьютеров.

Топология была выбрана «звезда».

 

1.2.1 Планирование сети

Собранные сведения сведены в таблицу 3.

Таблица 3 – Конфигурация ЛВС

№ п/п	Компонент/ Характеристика	Реализация
1	Топология	Звезда
2	Кабель	Неэкранированная витая пара категории 5 (5е). Расстояние до 100 метров Волоконно-оптическая сеть Одномодовый кабель. Расстояние свыше 200 м
3	Сетевые адаптеры	Gigabit Ethernet 1000 BaseTX Ethernet 10G
4	Коммутаторы и маршрутизаторы	1000 BaseTX (Gigabit Ethernet) SFP модуль
5	Совместное использование ресурсов	Сеть на основе сервера с рабочими станциями – клиентами, способными выделять свои ресурсы в совместное использование. Ресурсы, требующие централизованного управления, находятся на сервере, а остальные – на рабочих станциях.
6	Совместное использование принтера	Часто сетевой принтер подключают к сетевому кабелю через сетевую плату, устанавливаемую непосредственно в принтере. Управление доступом к нему осуществляется с помощью программного обеспечения, которое позволяет серверу контролировать очередь к принтеру. Другой вариант подключения – к одной из рабочих станций, которая открывает доступ к нему, указывая его как общий ресурс сети.
7	Другие специализированные службы/серверы	Поддержка электронной почты, факсимильных сообщений, удаленный доступ к сети, совместное использование (пула) модемов, работа с базами данных и т.д. Многие из таких специализированных серверов могут устанавливаться на центральном выделенном сервере как дополнительное программное обеспечение, а при большом объеме работ эффективнее использовать выделенный сервер для каждой задачи.

1.2.2 Разработка структурной схемы ВС предприятия

Структура сети приведена на Рисунок 9. При построении кабельной системы подразумевается, что каждое рабочее место на предприятии должно быть оснащено телекоммуникационными розетками (ТО) для подключения компьютера, даже если в данный момент этого не требуется.

 

Рисунок 9 - Структура универсальной кабельной системы

 

Горизонтальная кабельная система.

Для нее характерно расширение и удобство использования.

Типовой план этажа приведен на Рисунок 10.

Рисунок 10 – Типовой план этажа

 

Вертикальная кабельная система, ее схема соединения приведена на Рисунке 11.

Рисунок 11 - Схема межэтажного соединения

Данные о длине кабеля и его характеристиках приведены в таблице 4.

Таблица 4 – Характеристики кабеля

Стандарт Ethernet	Пропускная способность	Тип кабеля	Максимальное расстояние для передачи
100-BaseTX	200 Mbps	Cat5 UTP	100 м
1000-BaseT	1 Gbps	Cat5e UTP	100 м
1000-BaseTX	1 Gbps	Одномодовое оптоволокно	200 км

 

На каждом этаже есть коммутатор уровня доступа, их всего 5, затем эти коммутаторы соединяются в коммутатор уровня распределения несколькими линиями связи, а этот коммутатор соединяется с главным маршрутизатором корпуса.

 

1.3 Выделение и определение размеров подсетей

 

IP адреса характеризуют сетевые  соединения, а не компьютеры. IP адреса  назначены на сетевые интерфейсы  на компьютерах. На настоящий момент большинство компьютеров в IP-сети обладают единственным сетевым интерфейсом (и имеют, как следствие, единственный IP адрес). Но компьютеры (и другие устройства) могут иметь несколько (если не много) сетевых интерфейсов - и каждый интерфейс будет иметь свой IP адрес. Понятие подсети введено, чтобы можно было выделить часть IP-адресов одной организации, часть другой и т. д. Подсеть представляет собой диапазон IP-адресов, которые считаются принадлежащими одной локальной сети. При работе в локальной сети информация пересылается непосредственно получателю. Если данные предназначены компьютеру с IP-адресом, не принадлежащим локальной сети, то к ним применяются специальные правила для вычисления маршрута пересылки из одной сети в другую. Поэтому при использовании протокола TCP/IP важно знать, к какой сети принадлежит получатель информации: к локальной или удаленной. Важно, что организация подсетей имеет локальную конфигурацию, она невидима для остального мира. Сеть разбивают на подсети так, чтобы трафик был сосредоточен внутри подсетей, разгружая, таким образом, всю сеть, без необходимости увеличивать ее общую пропускную способность. Разделение на подсети может быть продиктовано соображениями безопасности, т.к. трафик в общей сети может быть перехвачен.