Разработка корпоративной сети для железнодорожного вокзала

Описание

Коммутаторы нового поколения серии xStack DGS-3600 в первую очередь предоставляют для сетей предприятий безопасность, возможность подключения резервного источника питания, высокую производительность и плотность гигабитных портов для подключения рабочих мест.
Коммутаторы также применяются в качестве устройств уровня доступа подразделений или в ядре сети для создания многоуровневой сетевой структуры с высокоскоростными магистралями и централизованным подключением серверов.

Интерфейсы

? 20 портов 10/100/1000BASE-T

? 4 комбо-порта 1000BASE-T/SFP

? 3 дополнительных открытых слота для модулей 10Gigabit

? Консольный порт RS-232

Функции 3 уровня

? Маршрутизация

Размер таблицы маршрутизации 12K записей

До 256 записей статических маршрутов IPv4

До 128 записей статических маршрутов IPv6

До 12K записей динамических маршрутов IPv4

До 6K записей динамических маршрутов IPv6

? RIP v1, v2

? RIPng (IPv6)

? OSPF v2

Выбор маршрутизатора: D-Link DSR-1000

Описание:

Унифицированные маршрутизаторы D-Link представляют собой высокопроизводительные решения, обеспечивающие защиту сети и предназначенные для удовлетворения растущих потребностей малого и среднего бизнеса. Стандарт IEEE 802.11n в маршрутизаторах DSR-250N, DSR-500N, и DSR-1000 обеспечивают ту же производительность, что и проводные сети, но с меньшим количеством ограничений. Оптимальная защита сети достигается за счет организации VPN (Virtual Private Network) туннелей, IP Security (IPSec), Point-to-Point Tunneling Protocol (PPTP), Layer 2 Tunneling Protocol (L2TP) и Secure Sockets Layer (SSL).

Интерфейс

* Ethernet

+ 2 WAN-порта 10/100/1000 Мбит/с

+ 4 LAN-портов 10/100/1000 Мбит/с

* 2 порта USB 2.0

* Консоль RJ-45

Межсетевой экран

* Статический маршрут

* Динамический маршрут - RIPv1, RIP v2, OSPF12

* Динамический DNS

* Маршрутизация между VLAN

* NAT, PAT

* Фильтрация web-содержимого: Статический URL-адрес, ключевые слова

* Система предотвращения вторжений (IPS): Пакет сигнатур, входящий в комплект ПО

Виртуальная частная сеть SSL (SSL VPN)

* SSL VPN туннели: 20

* Методы шифрования SSL: DES

* SSL Message Integrity: MD5, SHA1

Так же будем использовать модуль для коммутаторов DES-3026+ с 2 портами 100BASE-FX, ра зъем SC. Для осуществления сообщения между центральными свитчами зданий через оптическое волокно.

4.3 Выбор мультиплексора SDH:

Выбран QTECH QBM-7100 Micro

QBM-7100 micro предназначен для работы в качестве мультисервисного терминального мультиплексора для организации выносов и подключения корпоративных клиентов и конечных пользователей.

Мультисервисный терминальный мультиплексор QBM-7100 micro имеет набор пользовательских интерфейсов, необходимых для передачи смешанного трафика и может комплектоваться двумя оптическими интерфейсами STM-1 с функцией линейного резервирования 1+1. В состав базовой комплектации входят два блока питания 220В/48В.

Мультиплексор обеспечивает одновременную передачу интегрированного трафика Е1 и Ethernet, а также данных n*64 кбит/с (V.35).

Мультиплексор представляет собой конструктив для установки в стойку 19 высотой 1U. Возможно также настольное или настенное размещение оборудования.

Один или два оптических интерфейса STM-1

Четыре интерфейса Е1

Один интерфейс Fast Ethernet

Два интерфейса n*64 кбит/с (V.35)

Поддерживаемый тип сетевого элемента: терминальный мультиплексор TM

Поддержка линейного резервирования 1+1

Установка и изменение базовых параметров по Telnet, управление и мониторинг - Q3

Два источника электропитания: 220В/48В

Конструктив 1U 19”

Потребляемая мощность: <15 Вт

Габаритные размеры: 440 (ширина) х 44 (высота) х 138 (глубина)

Вес: 3,5 кг

Параметры оптического интерфейса

S-1.1, L-1.1, L-1.2 одноволоконный и двухволоконный

Линейная скорость: 155.52 Мбит/с

Линейное кодирование: NRZ

Тип соединителя: SC/PC

Параметры интерфейса ETHERNET

Скорость: 10/100 Мбит/с авто

Тип соединителя: RJ-45

Соответствие рекомендациям IEEE802.3

4.4 Выбор IP-телефонов и видеофонов

Решено использовать программные решения на клиентских компьютерах.

4.5 Выбор IP-камер

Описание:

Мощная система круглосуточного наблюдения:

IP-камера DCS-6410 с поддержкой РоЕ и возможностью ночной съемки разработана для круглосуточного наблюдения. Сенсор CCD (Charged-coupled Device) обеспечивает высококачественное изображение без искажений, в то время как инфракрасная подсветка обеспечивает ночной мониторинг на расстоянии до 15 метров. Всё это делает камеру DCS-6410 идеальным решением для наблюдения внутри помещений дома, в офисах и бизнес-центрах.

Высококачественный видео-мониторинг:

DCS-6410 поддерживает одновременный мониторинг и запись, обеспечивая видео высочайшего качества. Оснащенная мощной системой SoC (System-on-Chip), камера обеспечивает высококачественное сжатие видео в режиме реального времени в форматах MPEG-4 и MJPEG. Бесплатное программное обеспечение D-ViewCam для осуществления записи по 32 каналам обеспечивает просмотр и запись высококачественных изображений. Благодаря встроенному Samba-клиенту, нет необходимости подключать данную IP-камеру непосредственно к компьютеру или использовать другое аппаратное и программное обеспечение для захвата и передачи изображений.

Четкое изображение под различными углами обзора:

Стационарная камера DCS-6410 обеспечивает просмотр изображения под различными углами, что делает ее идеальным решением для мониторинга небольших пространств. Камера осуществляет запись в форматах сжатия MPEG-4 и MJPEG, обеспечивая разрешение D1/CIF/QCIF для повышения производительности. Изображения обладают максимальным разрешением D1 при частоте 30 кадров в секунду.

Гибкость подключения:

Подключение Power over Ethernet (PoE) обеспечивает возможность незаметной установки камеры практически в любом месте внутри помещения. Встроенный модуль РоЕ, который соответствует стандарту 802.3af, обеспечивает эффективное наблюдение в любом пространстве, упрощая процесс установки за счет отсутствия необходимости прокладывать дополнительную проводку. Кроме того, Ethernet-порт 10/100BASE-TX обеспечивает бесшовное подключение к локальной сети или сети Интернет через маршрутизатор. Можно получить доступ и просматривать изображение с камеры из любого места в сети, так как она является сетевым устройством.

Камера DCS-6410 также поддерживает RCA-коннектор, который легко интегрируется в существующую систему CCTV и который помогает перейти от существующей аналоговой системы безопасности к решению на основе IP.

4.6 Выбор серверов

Для FS1 - FS4 выберем X-COMputers 0002080

Установленные процессоры:

Количество процессоров - 1

Модельный ряд - Intel Xeon

Модель - X3450

Количество ядер - 4

Техпроцесс - 45 нм

Частота - 2.66 ГГц, в режиме Turbo Boost - 3.2 ГГц

L3 кэш - 8 МБ

Охлаждение - Воздушное

Материнская плата:

Модель - ASUS P7F-C/SAS

Форм-фактор - ATX

Чипсет - Intel 3420

Сокет - LGA1156

Количество слотов Registered оперативной памяти - 6

Количество PCI-E 16x - 2 шт, работают в режиме x8

Количество PCI - 4 шт

Количество SATA II - 6 шт

Количество SAS - 8 шт

Поддержка ECC - Есть

Оперативная память:

Тип - DDR3, RDIMM

Частота - 1333 МГц

Объем - 8192 МБ

Количество занятых слотов - 4

Максимальный объем - 32768 МБ, для памяти RDIMM; 16384 МБ при использовании UDIMM

Жесткий диск:

Количество HDD - 2 шт

Интерфейс HDD - SATA

Общий объем HDD - 4000 ГБ

RAID:

Поддерживаемые уровни RAID - 0, 1 SATA/SAS, 5, 10 SATA, 1E SAS

4.7 Выбор рабочих станций

В принципе могут иметь любую конфигурацию в зависимости от поставленных задач. Единственное условие - наличие сетевого адаптера с поддержкой сети Ethernet, Fast Ethernet со скорость передачи данных 10/100 Мбит/сек.

Для примера возьмем: Компьютер Acer Veriton L480G PS.VA1E3.083

5. ВЫБОР ПРОГРАМНОГО ОБЕСПЕЧЕНИЯ.

5.1 Выбор операционной системы серверов и рабочих станций:

В качестве операционной системы для серверов выбираем Windows Server 2008 R2

ОС Windows Server 2008 R2 создана на основе завоевавшей признание ОС Windows Server 2008; она расширяет возможности существующих технологий, а также предоставляет организациям новые возможности, повышающие гибкость и надежность серверных инфраструктур. Новые средства виртуализации, веб-ресурсы, усовершенствованные средства управления и возможность интеграции с Windows 7 экономят время, снижают расходы и предоставляют платформу для эффективного динамического управления центрами обработки данных. Windows PowerShell 2.0, службы IIS 7.5, обновленные диспетчер серверов и гипервизор Hyper-V, а также другие мощные средства повышают управляемость систем и позволяют заказчикам быстрее реагировать на изменение требований бизнеса.

Операционная система Windows Server 2008 R2 не только унаследовала все достоинства своих предшественников из семейства Windows Server, но и получила целый ряд новых возможностей и мощных средств. Новые веб-средства, технологии виртуализации, средства управления и усовершенствования в системе безопасности экономят время, снижают затраты и предоставляют надежную платформу для создания ИТ-инфраструктуры организации.

Сервер Windows Server 2008 R2 содержит множество усовершенствований, превращающих его в самую надежную платформу веб-приложений на основе Windows Server среди всех версий Windows. Он содержит обновленную роль веб-сервера IIS 7.5 и обеспечивает поддержку .NET в режиме установки Server Core. При создании служб IIS 7.5 в них были внесены усовершенствования, предоставляющие администраторам веб-серверов удобные средства развертывания веб-приложений и управления ими и повышающие тем самым надежность и масштабируемость. Кроме того, службы IIS 7.5 упрощают управление и расширяют возможности настройки среды веб-сервера.

В Windows Server 2008 R2 в службы IIS и веб-платформу Windows внесены следующие усовершенствования.

Уменьшение трудоемкости администрирования и поддержки веб-приложений -- одно из основных преимуществ IIS 7.5. Данная версия поддерживает новые сценарии удаленного администрирования и более широкие возможности автоматизации, а также предоставляет авторам и разработчикам улучшенные возможности публикации материалов сайтов. Краткий перечень этих возможностей представлен ниже.

Расширение возможностей диспетчера IIS с помощью новых модулей управления

Автоматизация типичных административных задач с помощью провайдера-Windows PowerShell для IIS

Поддержка .NET в режиме Server Core, позволяющая использовать ASP.NET и выполнять удаленное администрирование с помощью диспетчера IIS

Разработчики IIS 7.5 стремились облегчить пользователям расширение базовой функциональности, предоставляемой IIS 7.5. Расширения IIS позволяют организациям создавать и приобретать ПО, которое может быть интегрировано с IIS 7.5 таким образом, чтобы это ПО работало как неотъемлемая часть IIS 7.5.

Расширения IIS могут разрабатывать организации, независимые поставщики ПО, партнеры и корпорация Майкрософт. Корпорация Майкрософт создала расширения IIS после выхода окончательной первоначальной версии Windows Server 2008. Чтобы загрузить эти расширения, обратитесь по адресу: http://www.iis.net. Большинство разработанных Майкрософт расширений IIS будет поставляться в составе Windows Server 2008 R2, включая WebDAV, интегрированный и усовершенствованный пакет администрирования и поставщик Windows PowerShell для IIS.

В режиме установки Server Core поддерживается .NET Framework (версий 2.0, 3.0, 3.5.1 и 4.0). Это позволяет администраторам использовать в данном режиме ASP.NET и пользоваться всеми возможностями командлетов PowerShell. Кроме того, поддержка .NET позволяет выполнять удаленное администрирование с помощью диспетчера IIS и размещать веб-приложения ASP.NET в режиме установки основных компонентов.

В качестве операционной системы для рабочих станций выберем Windows 7.

5.2 Выбор вспомогательного серверного ПО

В качестве антивирусного сервера используем NOD 32. Данный антивирус по уровню защиты не уступает антивирусу Касперского, менее требователен к ресурсам сервера, в отсутствии антивирусных баз, способен распознать 5 вирусных атак из 6. Кроме того, в отличие от антивируса Касперского, антивирус NOD 32 прошёл сертификацию Microsoft на совместимость с её операционными системами.

Для реализации Web-сервера выберем Apache 2.05. Apache может быть установлен практически на все ОС семейства Unix и на Microsoft Windows. Apache наиболее безопасен и в настоящее время является наиболее популярным.

В качестве RAS, DNS-сервера и DCHP-сервера выберем стандартные службы Microsoft Windows.

5.3 Выбор сетевых СУБД:

Выберем Oracle Database 11g - база данных, разработанная специально для работы в сетях распределенных вычислений Grid, предназначенная для эффективного развертывания на базе различных типов оборудования, от небольших серверов до мощных симметричных многопроцессорных серверных систем, от отдельных кластеров до корпоративных распределенных вычислительных систем. СУБД предоставляет возможность автоматической настройки и управления, что делает ее использование простым и экономически выгодным.

СУБД Oracle Database 11g поставляется в четырех различных редакциях, ориентированных на различные сценарии разработки и развертывания приложений. Кроме того, корпорация Oracle предлагает несколько дополнительных программных продуктов, расширяющих возможности Oracle Database 11g для работы с конкретными прикладными пакетами.

Используя Oracle Database 11g, организации смогут управлять всей корпоративной информацией и глубже понимать свой бизнес, а также оперативно и уверенно адаптироваться ко все более изменчивой конкурентной среде. Чтобы предоставить такие возможности, в новом выпуске расширены уникальные механизмы Oracle, обеспечивающие кластеризацию баз данных, автоматизацию центров обработки данных и управление рабочими нагрузками. Используя защищенные, масштабируемые grid-инфраструктуры на базе недорогих серверов и систем хранения, обеспечивающие высокие уровни готовности, клиенты Oracle могут создавать OLTP приложения, хранилища данных и системы управления контентом с самыми высокими требованиями.

6. ЗАЩИТА СЕТИ

6.1 Защита от внутреннего НСД

Для защиты информации от несанкционированного доступа и изменения внутри сети воспользуемся стандартными средствами аутентификации и назначения прав доступа операционной системы Microsoft Windows и прикладных программ. Эти средства включают в себя:

Объединение пользователей в группы (по отделам) и назначение для каждого пользователя группы уникального логина и пароля.

Назначение прав доступа группам пользователей.

Создание ролей внутри базы данных.

Повторная аутентификация пользователя при работе с приложениями, использующими конфиденциальную информацию.

Логин и пароль для аутентификации при входе в операционную систему должен отличаться от логина и пароля при аутентификации в приложении, процедура аутентификации не должна проходить в автоматическом режиме (запрет на сохранение логина и пароля).

Права доступа к серверам назначим в соответствии с таблицей 4.

Права доступа к сетевым ресурсам.

Адм. - Администрация вокзала

Бух - Бухгалтерия

ЗД - Зал официальных делегаций

КЗ - Кассовые залы

КХ - Камеры хранения

ИТ - Информационно-технический отдел.

СЗ - Справочный зал

ОХ - Охрана

Ф1, Ф2 - Филиалы

Таблица 4

Внутренние и внешние права доступа

Адм.

Бух.

ЗД

КЗ

КХ

ИТ

СЗ

ОХ

Ф1

Ф2

DHCP-сервер

Proxy-сервер

Web-сервер

Антивирусный сервер

Внутренний DNS

Архив БД

СУБД 1

СУБД 2

DHCP-сервер

R

R

R

R

R

F

R

R

-

-

RW

-

-

-

-

-

-

-

PDC, BDC-сервер

R

R

R

R

R

F

R

R

R

R

-

-

-

-

-

-

-

-

RAS-сервер

-

-

-

-

-

M

-

-

RW

RW

-

-

-

-

-

-

RW

RW

Proxy-сервер

RW

RW

RW

RW

-

F

RW

-

RW

RW

-

RW

RW

RW

-

-

-

-

Web-сервер

R

R

R

R

R

F

R

R

R

R

-

RW

RW

-

-

-

-

-

Print-сервер

W

W

W

W

W

WM

W

W

-

-

-

-

-

-

-

-

-

-

Backup-сервер

R

-

R

-

-

RM

R

-

-

-

-

-

-

-

-

-

-

-

Внутр. почтовый сервер

RW

RW

RW

RW

RW

F

RW

RW

RW

RW

-

RW

RW

-

-

-

-

-

Внеш. почтовый сервер

RW

RW

RW

RW

-

F

-

-

RW

RW

-

RW

RW

-

-

-

-

-

Телефония, видеосвязь

RW

RW

RW

RW

RW

F

RW

RW

RW

RW

-

RW

-

-

-

-

-

-

Сервер охраны

R

-

-

-

-

R

-

RW

-

-

-

-

-

-

-

-

-

-

СУБД 1

R

RW

R

-

-

RM

-

-

-

-

-

-

-

-

-

RW

-

-

СУБД 2

R

-

R

-

-

RM

RW

-

-

-

-

-

-

-

-

RW

-

-

Антивирусный сервер

R

R

R

R

R

RM

R

R

R

R

-

RW

-

-

-

-

-

-

Внутренний DNS-сервер

R

R

R

R

R

RM

R

R

-

-

-

-

-

-

-

-

-

-

Внешний DNS-сервер

R

R

R

R

-

RM

R

-

R

R

-

-

-

-

R

-

-

-

Файл-сервер

RW

RW

RW

RW

RW

F

RW

RW

RW

RW

-

-

-

RW

-

-

-

-

R - только чтение; W - перезапись информации; М - модифицирование программного обеспечения; F - полный доступ (RWM)

6.2 Защита от внешнего НСД

Так как наша сеть имеет выход в Интернет, то необходимо позаботиться о защите данных от внешних атак. Очевидно, что любая организация, в нашем случае, предприятие сбыта, должно быть хорошо защищено от подобных проникновений.

Определим права доступа филиалов, данные представлены в таблице 4.

Важным элементом защиты является DMZ-зона. Она позволяет разделить каждую сеть на две и более частей и реализовать набор правил, определяющих условия прохождения пакетов с данными через границу из одной части общей сети в другую. Как правило, эта граница проводится между корпоративной (локальной) сетью предприятия и глобальной сетью Интернет.

6.3 Выбор сетевых протоколов

6.3.1 Список протоколов

Стек протоколов TCP\IP -- набор сетевых протоколов разных уровней, используемых в сетях. Протоколы работают друг с другом в стеке, это означает, что протокол, располагающийся на уровне выше, работает «поверх» нижнего, используя механизмы инкапсуляции. Например, протокол TCP работает поверх протокола IP.

Эти протоколы полностью реализуют функциональные возможности модели OSI. На стеке протоколов TCP/IP построено всё взаимодействие пользователей в IP-сетях. Стек является независимым от физической среды передачи данных.

Протокол DNS - служит для запроса IP-адреса хоста по его имени. Работает по модели «клиент-сервер», используется порт UDP 53.

Протокол DHCP - это сетевой протокол, позволяющий компьютерам автоматически получать IP-адрес и другие параметры, необходимые для работы в сети TCP/IP. Данный протокол работает по модели «клиент-сервер». Для автоматической конфигурации компьютер-клиент на этапе конфигурации сетевого устройства обращается к так называемому серверу DHCP, и получает от него нужные параметры. Передача данных производится при помощи протокола UDP, при этом сервер принимает сообщения от клиентов на порт 67 и отправляет сообщения клиентам на порт 68.

Протокол VLAN - IEEE 802.1Q -- открытый стандарт, который описывает процедуру тегирования трафика для передачи информации о принадлежности к VLAN. 802.1Q помещает внутрь фрейма тег перед полем «Тип протокола», который передает информацию о принадлежности трафика к VLAN'у. Так как фрейм изменился, пересчитывается контрольная сумма.

Протокол HTTP - протокол прикладного уровня передачи данных. Основой HTTP является технология «клиент-сервер. Обмен сообщениями идёт по обыкновенной схеме «запрос-ответ». Для идентификации ресурсов HTTP использует глобальные URI. В отличие от многих других протоколов, HTTP не сохраняет своего состояния. Это означает отсутствие сохранения промежуточного состояния между парами «запрос-ответ». Компоненты, использующие HTTP, могут самостоятельно осуществлять сохранение информации о состоянии, связанной с последними запросами и ответами.

Протокол FTP - протокол, предназначенный для передачи файлов в компьютерных сетях. FTP позволяет подключаться к серверам FTP, просматривать содержимое каталогов и загружать файлы с сервера или на сервер; кроме того, возможен режим передачи файлов между серверами. FTP является одним из старейших прикладных протоколов, появившимся задолго до HTTP, в 1971 году. Протокол FTP относится к протоколам прикладного уровня и для передачи данных использует транспортный протокол TCP. Команды и данные, в отличие от большинства других протоколов, передаются по разным портам. Исходящий порт 20, открываемый на стороне сервера, используется для передачи данных, порт 21 для передачи команд.

Протокол видеосвязи и телефонии - Рекомендации ITU-T, входящие в стандарт H.323, обеспечивают проведение мультимедийных конференций в пакетных сетях. Они определяют порядок функционирования абонентских терминалов в сетях с разделяемым ресурсом. Стандарт H.323 не связан с протоколом IP, однако, большинство реализаций основано на этом протоколе. Набор рекомендаций определяет сетевые компоненты, протоколы и процедуры, позволяющие организовать мультимедиа-связь в пакетных сетях. H.323 следует рассматривать как объединение различных, уже известных спецификаций. Это пять стандартов на аудио, 2 - на видеокодеки, один - на мультиплексирование данных, 3 стандарта сигнализации, а также версия протокола передачи в режиме реального времени (RTP) речевых и видеопакетов. В нашем случае для сжатия видео используется кодек MPEG4, а для аудио - G.729.

Протокол QoS (описан в разделе «Выбор оборудования»)

Протокол OSFP - протокол динамической маршрутизации, основанный на технологии отслеживания состояния канала (link-state technology) и использующий для нахождения кратчайшего пути Алгоритм Дейкстры. Протокол OSPF был разработан IETF в 1988 году. Последняя версия протокола представлена в RFC 2328. Протокол OSPF представляет собой протокол внутреннего шлюза (Interior Gateway Protocol -- IGP). Протокол OSPF распространяет информацию о доступных маршрутах между маршрутизаторами одной автономной системы.

OSPF предлагает решение следующих задач:

Увеличение скорости сходимости (в сравнении с протоколом RIP2, так как нет необходимости выжидания многократных тайм-аутов по 30с);

Поддержка сетевых масок переменной длины (VLSM);

Достижимость сети (быстро обнаруживаются отказавшие маршрутизаторы, и топология сети изменяется соответствующим образом);

Оптимальное использование пропускной способности (т.к строится минимальный остовный граф по алгоритму Дейкстры);

Метод выбора пути.

Для связи с филиалами применяется протокол SSL

Теоретическое описание протокола:

Криптографический протокол SSL (Secure Socket Layer) был разработан в 1996 году компанией Netscape и вскоре стал наиболее популярным методом обеспечения защищенного обмена данными через Интернет. Этот протокол интегрирован в большинство браузеров и веб серверов и использует ассиметричную криптосистему с открытым ключом, разработанную компанией RSA.

Для осуществления SSL соединения необходимо, чтобы сервер имел инсталлированный цифровой сертификат. Цифровой сертификат - это файл, который уникальным образом идентифицирует пользователей и серверы. Это своего рода электронный паспорт, который проводит аутентификацию сервера до того, как устанавливается сеанс SSL соединения. Обычно цифровой сертификат независимо подписывается и заверяется третьей стороной, что гарантирует его достоверность. В роли такой третьей стороны выступают центры сертификации, в частности, компания thawte. Компания thawte является наиболее известным в мире центром сертификации.

Протокол SSL обеспечивает защищенный обмен данными за счет сочетания двух следующих элементов:

Аутентификация
Цифровой сертификат привязан к конкретному домену сети Интернет, а центр сертификации проводит проверки, подтверждающие подлинность организации, а уже затем создает и подписывает цифровой сертификат для этой организации. Такой сертификат может быть установлен только на тот домен web-сервера, доля которого он прошел аутентификацию, что и дает пользователям сети Интернет необходимые гарантии.

Шифрование
Шифрование - это процесс преобразования информации в нечитаемый для всех вид, кроме конкретного получателя. Оно основывается на необходимых для электронной коммерции гарантиях конфиденциальности передачи информации и невозможности ее фальсификации.

Значительное использование протокола SSL привело к формированию протокола HTTPS (Hypertext Transfer Protocol Secure), поддерживающего шифрование. Данные, которые передаются по протоколу HTTPS, «упаковываются» в криптографический протокол SSL или TLS, тем самым обеспечивая защиту этих данных. Такой способ защиты широко используется в мире Веб для приложений, в которых важна безопасность соединения, например в платёжных системах. HTTPS поддерживается всеми браузерами. В отличие от HTTP, для HTTPS по умолчанию используется TCP-порт 443.

Изначально виртуальные частные сети (VPN) на основе SSL разрабатывались как дополнительная и альтернативная технология удалённого доступа на основе IPsec VPN. Однако, такие факторы, как достаточная надёжность и дешевизна сделали эту технологию привлекательной для организации VPN. Также SSL получил широкое применение в электронной почте.

Основные цели протокола в порядке приоритетности

Криптографическая безопасность: SSL устанавливает безопасное соединение между двумя сторонами.

Совместимость: Программисты, независимо друг от друга могут создавать приложения, использующие SSL, которые впоследствии будут способны успешно обмениваться криптографическими параметрами без всякого знания кода чужих программ.

Расширяемость: SSL стремится обеспечить рабочее пространство, в котором новые открытые ключи и трудоемкие методы шифрования могут быть включены по мере необходимости.

Относительная эффективность: работа протокола на основе SSL требует больших скоростей от CPU, в частности для работы с открытыми ключами. По этой причине SSL протокол был включен в необязательную сессию схемы кеширования для уменьшения числа соединений, которые необходимо устанавливать с нуля. Кроме того, большое внимание уделяется тому, чтобы уменьшить сетевую активность.

6.3.3 Принцип работы SSL

Протокол SSL записи определяет формат, используемый для передачи данных. Протокол SSL включает рукопожатие с использованием протокола SSL записи для обмена сериями сообщений между сервером и клиентом во время установления первого соединения. Для работы SSL требуется, чтобы на сервере имелся SSL-сертификат.

SSL предоставляет канал, имеющий 3 основных свойства:

Аутентификация. Сервер всегда аутентифицируется, в то время как клиент аутентифицируется в зависимости от алгоритма.

Целостность. Обмен сообщениями включает в себя проверку целостности.

Частность канала. Шифрование используется после установления соединения и используется для всех последующих сообщений.

В протоколе SSL все данные передаются в виде записей-объектов, состоящих из заголовка и передаваемых данных. Передача начинается с заголовка. Заголовок содержит либо два, либо три байта кода длины. Причём, если старший бит в первом байте кода равен единице, то запись не имеет заполнителя и полная длина заголовка равна двум байтам, иначе запись содержит заполнитель и полная длина заголовка равна трём байтам. Код длины записи не включает в себя число байт заголовка.

6.3.4 Процесс связи по протоколу SSL

Следующая диаграмма показывает шаги, необходимые для установки защищенной сессии по протоколу SSL.

7. РАСПРЕДЕЛЕНИЕ IP-АДРЕСОВ

Для нормальной работы сети каждому сетевому интерфейсу компьютера и маршрутизатора, на которые будут приходить, и отправляться IP- пакеты, должен быть назначен IP-адрес. Назначение IP-адресов может происходить в ручную путём прописывания на каждой машине. При этом администратор должен помнить, какие адреса он уже использовал для других интерфейсов, а какие ещё свободные. Даже при небольшом размере сети эта работа представляется рутинной, а порой даже утомительной работой. Протокол Dynamic Host Configuration Protocol (DHCP) освобождает администратора от этой проблемы автоматизируя назначении IP- адресов.

DHCP может поддерживать автоматическое динамическое распределение IP-адресов, а также более простые способы ручного и автоматического статического назначения адресов. Протокол DHCP работает в соответствии с моделью клиент-сервер.

При автоматическом способе DHCP- сервер самостоятельно, без вмешательства администратора выбирает клиенту произвольный IP- адрес из пула наличных IP-адресов. Границы пула устанавливает администратор.При динамическом распределении DHCP-сервер выдает IP-адрес на ограниченное время, (время аренды), что даёт использовать этот IP-адрес для назначения другому компьютеру. DHCP-сервер может назначить клиенту не только IP-адрес, но и другие параметры стека TCP/IP, необходимые для его эффективной работы: маску, доменное имя компьютера и т.д.

IP-адреса представляют собой основной тип адресов, на основании которых сетевой уровень передаёт пакеты между сетями. Эти адреса состоят из 4 байт. IP-адрес состоит из двух частей: номера сети и номера узла. Номер сети может быть выбран администратором произвольно, либо назначен по рекомендациям специального подразделения Internet, если сеть должна работать как основная часть Internet.

Если адрес начинается с 0, то сеть относится к классу А и номер сети занимает один байт, остальные 3 байта интерпретируются как номер узла в сети. Сети класса А имеют номера в диапазоне от 1 до 126.(Номер 0 не используется, а номер 127 зарезервирован для специальных целей.) Если первые два бита адреса равны 10, то сеть относится к классу B. В сетях класса В под номер сети и под номер узла отводится по 16 бит, то есть по 2 байта. Если адрес начинается с последовательности 110, то это сеть класса С. В этом случае под номер сети отводится 24 бита, а под номер узла-8 бит. Если адрес начинается с последовательности 1110, то он является адресом класса D и обозначается особый, групповой адрес-multicast.

Второй подход разделения IP-адресов основан на использовании основан использовании маски, которая позволяет максимально гибко устанавливать границу между номером сети и номером узла. Маска - это число, которое используется в паре с IP-адресом, двоичная запись маски содержит последовательность единиц в тех разрядах, которые должны в IP-адресе интерпретироваться как номер сети. Граница между последовательностью единиц и последовательностью нулей в маске соответствует границе между номером узла в IP-адресе. Каждая рабочая станция в сети имеет свой уникальный 4-х байтный IP-адрес, который состоит из номера сети и номера узла в сети. К нашей сети подключено 108 компьютера, следовательно, ее можно отнести к C-классу.

Результаты распределения IP-адресов на рабочие станции приведено в таблице 7

Таблица 5

Распределение IP-адресов.

№ подсети	Кол-во рабочих станций	Кол-во коммутаторов и прочего оборудования	Адрес подсети	Адрес для широковещательных пакетов	Диапазон IP-адресов
1	64	15	192.168.1.0 255.255.255.128	192.168.1.127	192.168.1.1 - 192.168.1.79
2	22	3	192.168.2.0 255.255.255.192	192.168.2.63	192.168.2.1-192.168.2.25
3	18	3	192.168.2.0 255.255.255.192	192.168.2.127	192.168.2.64-192.168.2.21
4	2	-	10.0.0.0 255.255.255.252	10.0.0.3	10.0.0.1-10.0.0.2
5	2	-	10.0.0.4 255.255.255.252	10.0.0.7	10.0.0.5-10.0.0.7
6	1	2	192.168.1.0 255.255.255.128	192.168.1.127	192.168.1.4(FS4), 192.168.1.5 (RT),

Сервера входят в подсеть 1 с IP адресами 192.168.1.1-192.168.1.4. Подсети 4 и 5 - виртуальные (VPN), для связи между филиалами и сервером 4. Подсеть 6 - DMZ

Состав VLAN-ов:

VLAN-ы в нашей сети создаются по порту на коммутаторе, их состав представлен в таблице 8. В VLAN-ах всех отделов кроме охраны и склада присутствует 1 рабочая станция из отдела ИТ для оказания технической помощи. Порты между коммутаторами тегированы. Тегированный порт позволяет коммутатору передать трафик нескольких VLAN'ов через один порт и сохранить при этом информацию о том, в пределах какого именно VLAN'а передается фрейм.

Таблица 6

Состав VLAN.

Номер VLAN	Коммутаторы, имя (порты)	FS1	FS2	FS3	FS4
1 (СЗ)	SW1 (1-10), SW5 (1)	PDC, вн. DNS, DHCP, вн. MAIL	СУБД, файл-сервер		Web, внеш. MAIL
2 (БУХ)	SW2 (1-10), SW5 (2)	PDC, вн. DNS, DHCP, вн. MAIL	СУБД, файл-сервер		Web, внеш. MAIL
3 (АДМ)	SW3 (1-4), SW5 (3)	PDC, вн. DNS, DHCP, вн. MAIL	СУБД, файл-сервер		Web, внеш. MAIL
4 (ОХР)	SW4 (1-4)	PDC, вн. DNS, DHCP, вн. MAIL		Сервер охраны
5 (ИТ)	SW5 (5-15)	PDC, вн. DNS, DHCP, вн. MAIL	СУБД, файл-сервер		Web, внеш. MAIL
6 (ЗД)	SW7(1-20), SW5 (4)	PDC, вн. DNS, DHCP, вн. MAIL			Web, внеш. MAIL
7 (КХ, КЗ)	SW6 (1-3), SW8 (1-10), SW9 (1-12), SW10 (1-15)	PDC, вн. DNS, DHCP, вн. MAIL			Web, внеш. MAIL
8 (ДАТ, КАМ)	SW1 (11), SW3 (5), SW4 (5), SW6 (4), SW7 (21), SW8 (11),	вн. DNS, DHCP		Сервер охраны
9 (СЕРВ)	SW12 (1-4)	Архив БД	СУБД	Резерв БД	RAS,VPN, SSL, FW
10 (ТЕЛЕФ)	SW1(1-10),SW2(1-10), SW3(1-3),SW4(1-4),SW5(1-15), SW6(1),SW7(1-20),SW8(1), SW9(1),SW10(1)			Call-manager,
11 (ВИДЕО)	SW1(1-10),SW2(1-10), SW3(1-3),SW4(1-4),SW5(1-15), SW6(1),SW7(1-20),SW8(1), SW9(1), SW10(1)			Сервер видео

8. ПЛАН МОНТАЖНОЙ ПРОКЛАДКИ

Отделы по зданиям распределяются в следующем порядке:

-1-й этаж 1-го здания: справочный зал, бухгалтерия и охрана (24 компьютера);

-2-й этаж 1-го здания: администрация, ИТ-отдел, зал официальных делегаций, серверная (44 компьютера);

-1-й этаж 2-го здания: пригородная касса и касса дальнего следования 1 (22 компьютера);

-1-й этаж 3-го здания: Камеры хранения и касса дальнего следования 2 (18 компьютеров).

Кабель типа “витая пара” внутри зданий проходит по стенам в специальных защитных коробах. Переход сквозь стены осуществляется через технологические отверстия в стенах.

Оптоволоконный кабель, соединяющий здания, проходит под землей в шахте. Жгуты из кабелей проходят либо по стенам в кабель-канале.

8.1 Расчет длины витой пары

Длина кабеля рассчитана по формуле:

L=((L1+L2)/2)*N,

где L1 - длина кабеля от наиболее удалённой машины до коммутатора, L2 - длина кабеля от самой приближенной машины до коммутатора, N - количество компьютеров в кабинете.

1.Справочный зал ((18+1)/2)*11=104м

2.Бухгалтерия ((30+3)/2)*10=181 м

3.Администрация вокзала ((10+3)/2)*5=32 м

4.Охрана ((50+4)/2)*5=135 м

5.ИТ-отдел ((15+1)/2)*15=120 м

6.Зал официальных делегаций ((20+2)/2)*20=220 м

7.Камеры хранения ((10+3)/2)*3=19 м

8.Пригородные кассы ((45+5)/2)*11=275 м

9.Кассы дальнего следования 1 ((50+4)/2)*12=324 м

10. Кассы дальнего следования 2 ((65+10)/2)*15=412 м

11) 1 здание, 1 этаж: 160 м

1 здание, 2 этаж: 160 м

2 здание, 1 этаж: 70 м

3 здание, 1 этаж: 70м.

Так как отделы занимают 1 и 2 этажи, а высота этажа равняется 3 метра, то дополнительно необходимо 6 метров витой пары для связи этажей. Таким образом, суммарно для прокладки сети требуется 2402м витой пары (с учётом запаса в 5%).

8.2 Расчет длины оптоволокна

На основе схемы внешних соединений выполним расчет требуемого кол-ва оптоволокна:

По подвальным помещениям: 25 м

По подземным коммуникациям: 655 м.

Итог: 680 м.

Возьмем 5-ти процентный запас оптоволокна: таким образом, всего потребуется 714 м оптоволоконного кабеля.

ЗАКЛЮЧЕНИЕ

При разработке курсового проекта были пройдены все этапы по созданию корпоративной сети. Была разработана схема информационных потоков и построена схема информационных потоков с учетом серверов. Далее рассмотрены различные существующие топологии сетей и выбрана одна из наиболее подходящих для заданных условий. Для разработанной сети это сеть типа Fast Ethernet . Определили среду передачи данных и метод доступа к среде передачи данных. После чего выбрали активное и пассивное сетевое оборудование, сетевую и клиентскую операционные системы и сетевое прикладное обеспечение, разработали защиту сети от несанкционированного доступа.

СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ

Головин, Ю.А. Суконщиков А.А. Информационные сети и телекоммуникации.

Отпечатано: РИО ВоГТУ, Вологда, 2003. - 151 с.

Олифер В.Г., Олифер Н.А. Компьютерные сети. Принципы, технологии, протоколы. - СПб, Питер, 1999. - 672 с.

Компьютерные сети. Модернизация и поиск неисправностей. /Крейг Закер. - СПБ.: БХВ-Петербург, 2005. - 1008 с.:ил

Лагутенко, О.И. Модемы: справочник пользователя / О.И. Лагутенко. - СПб.: Лань, 1997. - 368 с.

Олифер, В.Г. Новые технологии и оборудование IP - сетей / В.Г.Олифер, Н.А.Олифер. - СПб.: Питер, 2000. - 372 с

ПРИЛОЖЕНИЯ

Размещено на http://www.allbest.ru