Разработка и обеспечение безопасности сети широкополосного доступа по технологии FTTB в жилом районе города Ижевска

Широкополосный доступ в Интернет. Технологии мультисервисных сетей. Общие принципы построения домовой сети Ethernet. Моделирование сети в пакете Cisco Packet Tracer. Идентификация пользователя по mac-адресу на уровне доступа, безопасность коммутаторов.

Рубрика Коммуникации, связь, цифровые приборы и радиоэлектроника
Вид дипломная работа
Язык русский
Дата добавления 26.02.2013
Размер файла 4,5 M

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru/

Введение

С бурным развитием телекоммуникаций в современном мире общество неуклонное идет к усложнению взаимосвязи между различными звеньями производства, увеличение информационных потоков в технической, научной, политической, культурной, бытовой и других сферах общественной деятельности. Сегодня, очевидно, что ни один процесс в жизни современного общества не может происходить без обмена информацией, для своевременной передачи которой используются различные средства и системы связи.

В настоящее время развитие телекоммуникационных сетей происходит в направлении роста рынка мультисервисных услуг, внедрение новых телекоммуникационных и информационных технологий, их конвергенции.

Широкополосное подключение к Интернету стало одним из самых успешных телекоммуникационных услуг не так давно, но всего за несколько лет число пользователей выросло до 200 млн., большинство из них пока ограничиваются доступом в Интернет с компьютера или ноутбука.

Широкополосный Интернет появился в Европе менее 10 лет назад. Тогда считалось большой скоростью 256 кбит/с. Сегодня же 2 Мбит/с - скорость, ставшая стандартом де-факто для ШПД (широкополосный доступ).

С другой стороны, в большей пропускной способности на заре зарождения Интернета острой необходимости не было: существующие приложения не требовали слишком большой полосы. В развитии технологий ШПД основную роль играет именно потребность рынка в экономически эффективном предоставлении абоненту большей емкости, пропускной способности и более короткому времени отклика. Сейчас, когда средняя нагрузка на абонента, по разным оценкам, уже составляет от 2 до 7 Гбайт в месяц - и при этом продолжает расти количество пользователей файлообменных приложений, многопользовательских игр и онлайн-видео, - такая потребность актуальна как никогда.

Главная причина для дальнейшей модернизации широкополосных сетей - это услуги IPTV. Передача HD потоков потребуют значительного увеличения пропускной способности.

В связи с массовой информатизацией современного общества все большую актуальность приобретает знание нравственно-этических норм и правовых основ использования средств новых информационных технологий в повседневной практической деятельности. Наглядными примерами, иллюстрирующими необходимость защиты информации и обеспечения информационной безопасности, являются участившиеся сообщения о компьютерных «взломах» банков, росте компьютерного пиратства, распространении компьютерных вирусов.

Число компьютерных преступлений растет, также увеличиваются масштабы компьютерных злоупотреблений.

Основной причиной потерь, связанных с компьютерами, является недостаточная образованность в области безопасности.

Под информационной безопасностью понимается защищенность информации от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации.

Цель информационной безопасности - обезопасить ценности системы, защитить и гарантировать точность и целостность информации и минимизировать разрушения, которые могут иметь место, если информация будет модифицирована или разрушена.

На практике важнейшими являются три аспекта информационной безопасности:

доступность (возможность за разумное время получить требуемую информационную услугу);

целостность (ее защищенность от разрушения и несанкционированного изменения);

конфиденциальность (защита от несанкционированного прочтения).

Кроме того, использование информационных систем должно производиться в соответствии с существующим законодательством. Данное положение, разумеется, применимо к любому виду деятельности, однако информационные технологии специфичны в том отношении, что они развиваются исключительно быстрыми темпами. Почти всегда законодательство отстает от потребностей практики, и это создает в обществе определенную напряженность. Для информационных технологий подобное отставание законов, нормативных актов, национальных и отраслевых стандартов оказывается особенно болезненным.

Формирование режима информационной безопасности - проблема комплексная. Меры по ее решению можно разделить на четыре уровня:

законодательный (законы, нормативные акты, стандарты и т.п.)

административный (действия общего характера, предпринимаемые руководством организации)

процедурный (конкретные меры безопасности, имеющие дело с людьми)

программно-технический (конкретные технические меры).

В данной дипломной работе будут рассмотрены исключительно программно-технические методы защиты.

Задачей данной дипломной работы является разработка и обеспечение безопасности сети широкополосного доступа по технологии FTTB в жилом районе города Ижевска. Дипломная работа включает в себя моделирование в эмуляторе сети передачи данных Cisco Packet Tracer, ее отладка, обеспечение защиты портов коммутаторов. Разработка сетевых фильтров, виртуальных локальных сетей, конфигурирование паролей, расчет организационных мер физической защиты и описание критериев выбора оборудования.

1. Мультисервисные сети

В качестве предмета исследования я выбрал мультисервисную сеть широкополосного доступа, и за основу проектируемой сети был взят настоящий рабочий проект «Мультисервисная сеть широкополосного доступа в г. Ижевске (Модернизация магистральной сети доступа и ОУ-5, ОУ-6, ОУ-8). Второй пусковой комплекс сооружения связи - «Магистральное кольцо», район ОУ-6» представляющая собой универсальную многоцелевую среду, предназначенную для передачи речи, изображения и данных с использованием технологии коммутации пакетов (IP). Мультисервисная сеть отличается высокой степенью надежности, характерной для телефонных сетей (в противоположность негарантированному качеству связи через Интернет) и обеспечивает низкую стоимость передачи в расчете на единицу объема информации (приближенную к стоимости передачи данных по Интернету). Надо отметить, что мультисервисные сети - это не совсем технология или техническая концепция, это скорее технологическая доктрина или новый подход к пониманию сегодняшней роли телекоммуникаций, основанный на знании того, что компьютер и данные сегодня выходят на первое место по сравнению с речевой связью. Базовыми понятиями мультисервисных сетей являются QoS (Quality Of Service) и SLA (Service Level Agreement), то есть качество обслуживания и соглашение об уровне (качестве) предоставления услуг сети. Переход к новым мультисервисным технологиям изменяет саму концепцию предоставления услуг, когда качество гарантируется не только на уровне договорных соглашений с поставщиком услуг и требований соблюдения стандартов, но и на уровне технологий и операторских сетей. Архитектуру мультисервисной сети можно представить в виде нескольких основных уровней: ядро (магистральный уровень), уровень распределения и агрегирования и уровень доступа. Схема структуры мультисервисных сетей в приложении А.

Рис. 1

На уровне ядра находятся высокопроизводительные платформы для быстрой коммутации трафика с поддержкой протоколов динамической маршрутизации, здесь же обеспечивается подключение к провайдеру и располагаются сервисные центры. Магистральный уровень является универсальной высокоскоростной и, по возможности, однородной платформой передачи информации, реализованной на базе цифровых телекоммуникационных каналов.

Уровень распределения включает узловое оборудование сети оператора, а уровень агрегирования выполняет задачи агрегации трафика с уровня доступа и подключения к магистральной (транспортной) сети.

На уровне доступа реализовано управление пользователями и рабочими группами при обращении к ресурсам объединенной сети. Уровень доступа включает корпоративные или внутридомовые сети, а также каналы связи, обеспечивающие их подключение к узлу (узлам) распределения сети.

1.1 Широкополосный доступ в Интернет

Поскольку рабочий проект и условия заказчика предусматривает обязательное обеспечение пользователей не только доступом в интернет но и другими услугами стоит внести ряд требований к проектируемой сети:

Главным требованием, предъявляемым к сетям, является обеспечение потенциальной возможности доступа к разделяемым ресурсам всех компьютеров, объединенных в сеть.

Проектируемая мультисервисная сеть должна предоставлять следующие услуги связи:

Широкополосный доступ к сети Интернет, обеспечивает возможность доступа к информационным ресурсам сети Интернет, использование удаленных файловых ресурсов сети Интернет, обмен большими объемами информации, электронной почте, программам обмена сообщениями (ICQ, Skype), а также другими сервисами, доступ и управление которым возможно через Интернет.

IP телефония - способ предоставления услуг телефонии с использованием для передачи голоса среди сетей с коммутацией пакетов, в том числе IP сети передачи данных и / или Интернет.

IPTV - это цифровое интерактивное телевидение нового поколения. С

помощью IPTV плеера, без использования дополнительного оборудования, можно просматривать более 100 телевизионных каналов.

Технические требования, предъявляемые к характеристикам магистральных соединений сети:

Скорость информационного обмена - 10 Гбит/с.

автоматическая диагностика возникающих неисправностей.

Поддержка QoS;

Низкая вероятность потери данных.

коэффициент экранирования применяемых кабелей должен составлять не менее 80 дБ в диапазоне 30-1000МГц.

Технические требования к СПД:

Сеть передачи данных должна быть спроектирована на основе технологии Ethernet и протокола IP.

Скорость канала для подключения здания к сети ПД должна быть не менее 100 Мбит/с.

Пропускная способность магистральной сети ПД должна быть не менее 1000Мбит/с.

Интерфейс подключения абонента по UTP - Ethernet 10/100BaseT.

Наиболее оптимальным решением для достижения поставленных задач необходимо воспользоваться технологией широкополосного доступа

Широкополосный или высокоскоростной доступ в Интернет обеспечивается с помощью ряда технологий, которые позволяют пользователям отправлять и принимать информацию в гораздо больших объемах и с гораздо более высокими скоростями, чем в случае получившего широкое распространение в настоящее время доступа в Интернет по обычным телефонным линиям. Широкополосный доступ обеспечивает не только высокую скорость передачи данных, но и непрерывное подключение к Интернету (без необходимости установления коммутируемого соединения) и так называемую «двустороннюю» связь, т. е. возможность как принимать («загружать»), так и передавать («сгружать») информацию на высоких скоростях.

Широкополосный доступ не только обеспечивает богатство информационного наполнения («контента») и услуг, но и способен преобразить весь Интернет как в плане предлагаемого Сетью сервиса, так и в плане ее использования. По всей вероятности, многие из будущих применений широкополосного доступа, которые позволят наиболее полно раскрыть его технологический потенциал, еще только предстоит освоить.

Для предоставления широкополосного доступа в Интернет могут использоваться множество различных носителей и технологий передачи данных. К ним относятся кабельная связь, усовершенствованный телефонный сервис под названием «цифровая абонентская линия» (Digital Subscriber Line, DSL), спутниковая связь, фиксированный беспроводный доступ и другие. Несмотря на то, что многие (хотя и не все) учреждения и коммерческие организации уже имеют широкополосный доступ в Интернет, до сих пор не решена проблема предоставления широкополосного доступа на отрезке линии связи, ведущем непосредственно в дома пользователей (так называемая «последняя миля»). В настоящее время ряд конкурирующих телекоммуникационных компаний разрабатывают, внедряют и рекламируют специфические технологии и услуги, предназначенные для предоставления широкополосного доступа широким слоям населения.

Термин «широкополосный доступ» используется для обозначения постоянного и высокоскоростного подключения к Интернет. Однако широкополосный доступ - это не только высокая скорость обмена информацией, но и особый способ использования всемирной сети. Пользователь широкополосного доступа имеет возможность в любую секунду получить или отправить большой объем любой информации, которая может включать в себя цветные изображения, аудио- и видеоклипы, анимацию, телевизионный контент и многое другое. Широкополосный доступ обеспечивает предоставление пользователю самых современных услуг, независимо от точки его подключения. Обладатель широкополосного доступа имеет больше возможностей по использованию мультимедийных услуг и по информационному обеспечению своего бизнеса. Это файловый обмен, видеоконференции, игры; услуги охранных систем; телефонные и банковские услуги и т.д. Всё это стало доступным благодаря современным сетям широкополосного доступа (ШПД).

Широкополосный доступ способствует также появлению новых сфер деятельности человека и обогащает уже существующие. Он стимулирует экономический рост и открывает новые возможности для инвестиций и трудоустройства.

Широкополосный доступ помогает решать задачу по обеспечению устойчивого развития отдаленных и сельских местностей, а также является важным элементом помощи местным властям в создании привлекательных условий для ведения бизнеса, в предоставлении населению отдаленных и сельских местностей возможности для дистанционной трудовой деятельности, получения высококвалифицированных медицинских услуг, повышения образовательного уровня и участия в управлении государством.

1.2 Технологии мультисервисных сетей

В сеть доступа инвестируется от 50% до 80% средств, поэтому правильный выбор технологий и вариантов построения сети чрезвычайно важен. Ниже перечислены факторы, влияющие на выбор той или иной технологии абонентского доступа:

Стоимость подключения в расчете на одного абонента.

Простота подключения - фактор, определяющий доступность подключения для абонентов, быстроту подключения абонентов.

Достаточная для абонента полоса пропускания или скорость передачи данных.

Обеспечение требуемого качества обслуживания клиентов.

Существующая кабельная инфраструктура - коаксиальный кабель, витая пара, телефонная проводка, оптическое волокно и т. д.

На стадии проектирования было принято решение использовать технологию абонентского доступа FTTB потому что она отвечает всем выше перечисленным требованиям и оптимально подойдет для реализации поставленных задач.

Технология Fiber To The X (Оптическое волокно до…) - понятие, описывающее общий подход к организации кабельной инфраструктуры сети доступа, в которой от узла связи до определённого места (точка «х») доходит оптоволокно, а далее, до абонента, - медный кабель (возможен и вариант, при котором оптика прокладывается непосредственно до абонентского устройства).

Таким образом, FTTx - это только физический уровень. Однако фактически данное понятие охватывает и большое число технологий канального и сетевого уровня. С широкой полосой систем FTTx неразрывно связана возможность предоставления большого числа новых услуг.

В семейство FTTx входят различные виды архитектур:

FTTN (Fiber to the Node) - волокно до сетевого узла;

FTTC (Fiber to the Curb) - волокно до микрорайона, квартала или группы домов;

FTTB (Fiber to the Building) - волокно до здания;

FTTH (Fiber to the Home) - волокно до жилища (квартиры или отдельного коттеджа).

Однозначно в пользу решений FTTH выступают эксперты, они сравнивают продолжительность жизненного цикла инвестиций в любую технологию доступа и коррелированный рост требований к пропускной способности каналов доступа. Проведенный анализ показывает, что если технические решения, которые закладываются в основу сегмента доступа сети сегодня, окажутся неспособными обеспечить скорость 100 Мбит/с в 2013-2015 годах, то моральное устаревание оборудования произойдет до окончания инвестиционного цикла.

из всех вариантов FTTx она обеспечивает наибольшую полосу пропускания;

это полностью стандартизированный и наиболее перспективный вариант;

решения FTTH обеспечивают массовое обслуживание абонентов на расстоянии до 20 км от узла связи;

они позволяют существенно сократить эксплуатационные расходы за счет уменьшения площади технических помещений (необходимых для размещения оборудования), снижения энергопотребления и собственно затрат на техническую поддержку.

Существует два часто применяемых типа организации FTTH сетей: на базе технологии Ethernet и на базе технологии PON.

Технология Gigabit Ethernet - это расширение IEEE 802.3 Ethernet, использующее такую же структуру пакетов, формат и поддержку протокола CSMA/CD, полного дуплекса, контроля потока и прочее, но при этом предоставляя теоретически десятикратное увеличение производительности. Поскольку технология Gigabit Ethernet совместима с 10Mbps и 100Mbps Ethernet, возможен легкий переход на данную технологию без инвестирования больших средств в программное обеспечение, кабельную структуру и обучение персонала

Как и в стандарте Fast Ethernet, в Gigabit Ethernet не существует универсальной схемы кодирования сигнала, для стандартов 1000Base-LX/SX/CX используется кодирование 8B/10B, для стандарта 1000Base-T используется специальный расширенный линейный код TX/T2. Функцию кодирования выполняет подуровень кодирования PCS, размещенный ниже среда независимого интерфейса GMII. 1000Base-T - это стандартный интерфейс Gigabit Ethernet передачи по неэкранированной витой паре категории 5 и выше на расстояния до 100 метров. Для передачи используются все четыре пары медного кабеля, скорость передачи по одной паре 250 Мбит/c. Предполагается, что стандарт будет обеспечивать дуплексную передачу, причем данные по каждой паре будут передаваться одновременно сразу в двух направлениях - двойной дуплекс (dual duplex)

1.3 Технология абонентского доступа FTTB

Технология FTTB (англ. Fiber to the Building - волокно до здания) - на сегодняшний день наиболее востребованная в России технология строительства широкополосных сетей. Широкому распространению FTTB способствовали снижение цен на оптический кабель (ОК), появление дешевых оптических приемников, передатчиков и оптических усилителей (ОУ). Использование оптики в FTTB позволяет использовать для передачи данных быструю технологию Metro Ethernet, избавляет от необходимости заземления несущего троса, исключает выход оборудования из строя от статического электричества, и облегчает согласование развертываемой сети в надзирающих инстанциях.

Сеть FTTB, построенная по данной технологии - это две наложенные сети: одна для услуг аналогового кабельного телевидения, другая - для услуги передачи данных. Объединяет их использование различных волокон в одних и тех же ОК на участках магистрали и в распределительных сетях узлов второго уровня. В остальном, в отличие от DOCSIS, при использовании FTTB все оборудование строго специализировано: либо передача ТВ, либо передача данных, и при выходе из строя одного оборудования другая услуга не страдает.

Развертываемые в настоящее время оптоволоконные сети доступа базируются на различных архитектурах и технологиях. Тщательно продуманные стандарты для этих технологий и доступность необходимого оборудования обусловливают развертывание сетей сервис-провайдеров без значительного риска. Успешность их деятельности является стимулом к динамичному развитию этой отрасли. Можно с полной уверенностью предположить, что конкурентное давление со стороны такого типа сетей будет стимулировать крупных операторов связи инвестировать средства в оптоволоконные сети доступа.

Топология сети, построенной по технологии FTTB, показана в приложении Б.

Топология данной сети во многом повторяет гибридную волоконно-коаксиальную сеть и также состоит из узла передачи данных, магистральной волоконно-оптической линии связи (ВОЛС) и распределительной сети.

Отличие FTTB состоит лишь в замене оптических узлов ГВКС на «узлы второго уровня» (усилительные пункты) и кабеля распределительных сетей с коаксиального кабеля на оптический. Головная станция и домовая распределительная сеть не требуют изменения при модернизации, а для магистрали может потребоваться лишь увеличение числа оптических волокон. Исходя из вышесказанного, в сетях FTTB возрастает количество прокладываемого оптоволокна и устанавливаемых оптических приемников.

2. Разработка структурной схемы широкополосного доступа

2.1 Общие принципы построения домовой сети Ethernet

В основе подхода построения сети - повсеместное использование оптической среды передачи, кроме ближайшего к абоненту участка сети, располагающегося внутри здания. Невысокие цены на оптический кабель, множество способов прокладки, возможность обеспечения надежной и помехонезависимой передачи информации, огромный диапазон поддерживаемых скоростей, гарантирующий возможность его длительного использования, делают инвестиции в оптическую проводку привлекательными и позволяют строить на ее основе сети операторского класса.

Для обеспечения надежности, масштабируемости и управляемости сети, с возможностью обеспечения широкого спектра услуг с необходимым качеством обслуживания, Исполнитель предлагает подход в котором домовая сеть состоит из иерархических уровней.

Это следующие уровни:

Уровень доступа.

Уровень агрегации.

Уровень предоставления услуг (сервисный уровень).

Уровень магистрали.

Рассмотрим их предназначение.

Уровень доступа

Как следует из его названия, обеспечивает физический доступ абонента к сети. Все существующие технологии доступа обычно подразделяются на три класса - проводные, кабельные и беспроводные. К проводным относятся сети xDSL, PON и Ethernet. В данной дипломной работе мы рассматриваем исключительно Ethernet-доступ, однако с точки зрения архитектуры сети, то есть организации VLAN, логических принципов подключения абонентов, обеспечения резервирования и т.д., все типы проводных (да и беспроводных) сетей доступа весьма похожи. Поэтому многие принципы, также можно отнести и к другим технологиям доступа.

На этом уровне располагаются коммутаторы, к которым непосредственно (или через абонентские устройства) по внутридомовой медной проводке категории 5 подключаются абоненты сети. Для поддержки большинства услуг на этом уровне достаточно использовать управляемые коммутаторы уровня 2. К квартальным коммутаторам подключение производится по оптическому волокну на скорости 1 Гбит/с или 100 Мбит/с, в зависимости от предоставляемых услуг.

Топология подключения - «кольцо». Коммутаторы уровня подъезда/дома (как, впрочем, и квартальные коммутаторы), как правило, располагаются в запираемых помещениях в подвалах или на чердаках домов. Отметим, что квартальный коммутатор и коммутаторы уровня подъезда/дома, находящийся в том же доме, могут подключаться по медной проводке.

Уровень агрегации.

Его задача - подключение уровня доступа к уровню предоставления услуг и к ядру сети.

Географические размеры сети агрегации различаются и зависят от плотности абонентов, имеющейся оптической инфраструктуры и т.п.: как правило, она покрывает крупный город или область. Сеть может быть построена как полностью на втором уровне модели OSI

Уровень агрегации состоит из квартальных маршрутизирующих коммутаторов уровня 3, которые подключаются к ближайшему узлу опорной сети. Подключение осуществляется на скорости 1 Гбит/с на основе Ethernet. Квартальные коммутаторы могут подключаться к коммутатору опорной сети (в данном случае к Центральному) либо по топологии «звезда», либо «кольцо».

Сервисный уровень

Задача сервисного уровня заключается не в передаче трафика как такового, а в организации сервиса, то есть того, за что в итоге и платит абонент. Сервисный уровень осуществляет аутентификацию и авторизацию абонента определяет список сервисов, которые может (и должен) получать абонент. Далее оборудование сервисного уровня обеспечивает выполнение параметров контракта с абонентом по сервисам, на которые абонент подписан, например, ограничивает скорость доступа в Интернет до контрактных величин; и здесь же формируется статистика для биллинга абонента или обеспечивается контроль потребления услуг абонентами, работающими по предоплате. На сервисном уровне формируется понятие абонентской сессии, то есть своеобразного «виртуального сетевого интерфейса» к абоненту, осуществляется выдача IP-адресов.

Собственно, на уровне IP-протокола абонент взаимодействует именно с сервисным уровнем.

Уровень магистрали

Уровень магистрали предназначен для быстрой и надежной передачи трафика на межрегиональном уровне. Фактически, магистраль связывает между собой сети агрегации, построенные в разных городах. Если оператор эксплуатирует сеть только в одном городе или области, уровень магистрали может вообще отсутствовать в явном виде, являясь, по сути, подключением к вышестоящему магистральному оператору.

Уровень магистрали (или опорной сети). Включает Центральный узел и, возможно, другие узлы соединенные между собой надежным высокоскоростным Ethernet транспортом (1 Гбит/с, N x 1 Гбит/с или 10 Гбит/с). Основу узлов опорной сети составляют гигабитные маршрутизирующие коммутаторы Ethernet уровня 3.

Посмотреть общую схему архитектуры широкополосного доступа можно в приложении В.

Рис. 2

На схеме видно, что топология сети строится по принципу “кольцо”

В данной дипломной работе будет рассмотрено два уровня сети широкополосного доступа, а именно уровень доступа и уровень агрегации в приделах одного оптического кольца.

2.2 Основные направления проектирования сети FTTx

Общее количество портов сети FTTx по техническому заданию рабочего проекта по ОУ-6 составляет 6216 портов.

Уровень доступа состоит из коммутаторов доступа (домовых коммутаторов), которые представляют собой управляемое устройство без функции маршрутизации (L2). Коммутаторы соединены по кольцевой модели распределения. Устройство коммутаторов обеспечивает соединение на скорости 1000 Мбит/с. Порты каскадирования гигабитного Ethernet соединяют коммутаторы доступа друг с другом, а граничные коммутаторы соединяются с коммутаторами СПД узлов агрегации в виде кольца при помощи оптических гигабитных интерфейсов.

Пользовательские интерфейсы конфигурируются в режим «access» в выделенном VLAN для изоляции пользователей, подключенных к разным коммутаторам доступа одного кольца.

Для определения монтированной емкости узла доступа в рабочем проекте используется концепция 40% проникновения, т.е исходя из 24 портов FastEthernet на каждые 108 квартир. В подъездах, где количество квартир превышает 108, устанавливается коммутатор на 48 портов. Количество коммутаторов в кольце доступа не более 10 штук.

В зданиях до 5-ти этажей включительно узлы доступа устанавливаются из расчета одного УД на 4 подъезда.

В зданиях от 6-ти до 11-ти этажей включительно узлы доступа устанавливаются из расчета один УД на 2-3 подъезда.

В зданиях с количеством этажей больше 11-ти узлы доступа устанавливаются из расчета один УД на 1 подъезд

Схемы физического расположения оптических колец на ОУ-6

можно посмотреть в приложении Г

Также приведена логическая схема организации связи всего кластерного узла ОУ-6 в приложении Д

Как уже упоминалось мы будем рассматривать одно оптическое кольцо.

А именно кольцо в которое входят дома по адресам:

Союзная 45

Союзная 47

Союзная 51

Союзная 53

Союзная 55

Союзная 57

Рис. 3

3. Выбор оборудования для проектируемой сети

Сетевое оборудование подразделяется на оборудование магистральной сети и оборудование уровня доступа.

К оборудованию магистральной сети относят коммутаторы агрегации.
К оборудованию сети доступа относятся: коммутаторы доступа

На основе требований проектируемой сети выберем соответствующую элементную базу оборудования.

3.1 Выбор оборудования уровня доступа

Главными критериями выбора оборудования в нашем случае является:

Возможность соединения коммутаторов доступа по оптическим кабелям и наличие FSP модулей

коммутатор L2

Поддержка функций VLAN 1:1

расширенные возможности обеспечения безопасности

По соотношению цена/ качество было принято решение о использовании коммутаторов доступа:

LS-S2326TP-E1 производства фирмы «HUAWEI» Technologies Co,Ltd;

LS-S2352TP-E1 производства фирмы «HUAWEI» Technologies Co,Ltd

Коммутаторы LS-S2326TP-E1/LS-S2352TP-E1 - управляемый коммутатор 2/4 уровня представлен на рисунке 3.1

Рис. 4 - Внешний вид коммутатора S2326 TP-PWR-E1

Описание: коммутатор LS-S2326TP-E1/LS S2352TP-E1 - L2/L4 уровня имеет 24/48 портов них 24/48 портов 10/100BASE-TX и 2/4 комбинированных порта - 1000Base-T/SFP slot, позволяющие использовать гигабитный канал по витой паре или создание оптического гигабитного канала с применением дополнительно SFP модуля.

Конфигурация портов коммутаторов:

24/48 порта 10/100Base-TX;

2/4 комбинированных порта - 1000Base-T/SFP slot;

1 порт RS232.

Характеристики серии S2300:

управление услугами на базе VLAN

Коммутаторы серии S2300 поддерживают разнообразные стратегии ACL с возможностью отправки правил ACL с различных интерфейсов VLAN. Это обеспечивает гибкое управление интерфейсами VLAN и планирование ресурсов. S2300-EI поддерживает переключение VLAN 1:1 для реализации услуг IPTV без конфигурирования домашнего шлюза. S2300-EI поддерживает переключение VLAN N:1, наиболее востребованное в данной отрасли. Это обеспечивает агрегирование VLAN на стороне пользователя и снижает количество используемых VLAN. S2300-EI поддерживает механизм QinQ, при котором тэг VLAN сети общего пользования инкапсулируется в пакет снаружи тэга VLAN абонентской сети. Таким образом пакеты содержат 2 тэга VLAN, с которыми они передаются по операторской магистральной сети.

Разнообразные функции многоадресной рассылки

Коммутаторы серии S2300 поддерживают группы многоадресной передачи и различные функции тиражирования многоадресной передачи уровня 2, включая IGMP snooping, фильтрацию IGMP, многоадресная передача по VLAN и распределение нагрузки за счет агрегирования портов. S2300 также поддерживает ограничение скорости и сбор статистики по многоадресному трафику на портах в соответствии с требованиями к услугам IPTV.

Отличные характеристики QoS

Каждый порт S2300 поддерживает 4 очереди с управлением WRR, SP и WRR + SP. Серия S2300 поддерживает сложную классификацию трафика на базе VLAN, MAC-адреса, IP-адреса источника/назначения, приоритета или порта, на котором используются прикладные программы. Серия S2300 поддерживает ограничение скорости по потокам и wire speed для каждого порта. Это обеспечивает высокое качество услуг передачи голоса и данных.

Отличная безопасность

S2300 предоставляет различные функции защиты абонентов сети: большое количество правил ACL, привязка IP-адреса, MAC-адреса или порта, «черные дыры» MAC-адресов, изоляция порта, фильтрация пакетов, ограничение числа MAC-адресов, распознаваемых интерфейсом, распознавание по динамическим ARP, защита исходного IP-адреса, аутентификация RADIUS, HWTACACS, IEEE 802.1x и SSH.

Молниезащита

В серии S2300 используется запатентованный Huawei механизм молниезащиты и защиты от скачков напряжения. Коммутаторы серии S2300 предоставляют порты с молниезащитой 6КВ без установки дополнительных грозоразрядников. Даже при неблагоприятных условиях эксплуатации наличие молниезащиты помогает свести к минимуму повреждения, вызванные ударами молнии.

Удобное техобслуживание и управление

Коммутаторы серии S2300 отличаются удобством в эксплуатации и реализации. Поддерживается мониторинг состояния устройства в различных режимах. К тому же S2300 поддерживает HGMPv2, SNMP, NTP, SSHv2, HWTACACS+, RMON и сбор статистики трафика на портах VLAN. Серия S2300 предоставляет удобные функции эксплуатации и техобслуживания, упрощающие управление сетью. Это снижает OPEX и повышает экономичность S2300.

Забота об окружающей среде и экономия энергии

Серия S2300 характеризуется низким энергопотреблением и высокой адаптируемостью к температурным колебаниям. Коммутаторы серии S2300 не оснащены вентиляторами, они поддерживают автоматическое рассеивание тепла, и поэтому эксплуатация не вызывает шумовых помех и не наносит вреда окружающей среде.

3.2 Выбор Коммутатора уровня агрегации

Главными критерием выбора оборудования уровня агрегации является:

коммутатор L3 с поддержкой функции маршрутизации.

высокая производительность

Возможность соединения коммутаторов доступа по оптическим кабелям и наличие FSP модулей

По соотношению цена/ качество было принято решение о использовании коммутатора агрегации:

Cisco ME-4924

Рис. 5 - Внешний вид коммутатора Cisco ME-4924

Коммутатор агрегации от ведущего мирового производителя с 24 портами SFP 1000Base-X и дополнительными 4-мя портами SFP 1000Base-X или 2-мя портами XFP 10 Гбит/с. Коммутаторы Cisco ME 4900 разработаны для провайдеров, планирующих предлагать услуги следующего поколения - такие, как голос и видео. Компактность устройства (высота - 1RU) позволяет размещать его в офисах с ограниченным стоечным пространством. Агрегирующий коммутатор Cisco ME 4924-10GE - это коммутатор Layer 2-4 U-PE aggregation switch для высокопроизводительных сетей операторских сетей. Серия ME 4900 основана на технологиях серии 4900 и обеспечивает производительность, необходимую операторам связи, предоставляющим своим абонентам услуги triple play. Серия коммутаторов Cisco ME 4900 основана на технологиях серии 4900 и обеспечивает производительность, необходимую операторам связи, предоставляющим своим абонентам услуги triple play. Коммутаторы Cisco ME 4900 разработаны для провайдеров, планирующих предлагать услуги следующего поколения - такие, как голос и видео.

Особенности:

Высокая производительность - 48 Гбит/с и 71 миллион пакетов в секунду.

Низкая задержка при коммутации Layer 2-4. Инновационные возможности безопасности и QoS. Аплинки Gigabit Ethernet или 10 Gigabit Ethernet. Опционально - внутренние модули питания AC или DC 1+1 возможностью горячей замены Вентиляция с возможностью горячей замены и резервными вентиляторами.

4. Моделирование сети в программном пакете Cisco Packet Tracer

Packet Tracer - эмулятор сети передачи данных, выпускаемый фирмой Cisco Systems. Позволяет делать работоспособные модели сети, настраивать (командами Cisco IOS) маршрутизаторы и коммутаторы, взаимодействовать между несколькими пользователями (через облако). Включает в себя серии маршрутизаторов Cisco 1800, 2600, 2800 и коммутаторов 2950, 2960, 3650. Кроме того есть серверы DHCP, HTTP, TFTP, FTP, рабочие станции, различные модули к компьютерам и маршрутизаторам, устройства WiFi, различные кабели.

4.1 Распределение адресного пространства

Проектируемая мультисервисная телекоммуникационная сеть имеет

Максимальное количество абонентов 144. (Одно оптическое кольцо)

На данном участке сети в целях обеспечения наибольшей безопасности будет использоваться технология Vlan 1:1 “Vlan на абонента”

К числу ее безусловных достоинств относится довольно высокая степень изоляции абонентов друг от друга на всей сети доступа и агрегации. Каждый абонент в этой модели имеет фактически свой выделенный VLAN типа «точка-точка» далее приведена таблица распределения адресного пространства и Vlan

коммутатор

Vlan

IP addres

Mask

1

10

192.168.10.1

255.255.255.248

2

20

192.168.10.9

255.255.255.248

3

30

192.168.10.17

255.255.255.248

4

40

192.168.10.25

255.255.255.248

5

50

192.168.10.33

255.255.255.248

6

60

192.168.10.41

255.255.255.248

Максимальное количество Vlan на каждом коммутаторе может соответствовать максимальному количеству портов на коммутаторе. Но с учетом что данная сеть является широкополосной то по мимо услуг интернета могут быть организованны такие услуги как ip телефония и кабельное TV. А это означает что для одного абонента может использоваться более одного порта на коммутаторе.

4.2 Разработка сети

Моделированная сеть имеет ряд особенностей, организация связи в пределах одного оптического кольца будет осуществляется при использовании технологии Vlan 1:1 а также будет применена довольно простая и в тоже время надежная схема обеспечения безопасности.

Хотелось бы отметить что приведенная ниже схема смоделирована в упрощенном варианте. К каждому коммутатору я подключил по одному пользователю и сконфигурировал интерфейсы Vlan только для одного абонента. Данная схема подключения абонентов в полной мере отразит работоспособность всей сети.

Как уже известно сеть одного оптического кольца состоит из 6 коммутаторов уровня доступа и одного коммутатора уровня агрегации.

В Packet Tracer имеются аналогичные коммутаторы уровня доступа и уровня агрегации.

Будем использовать 2960-24ТТ в качестве коммутатора уровня доступа и 3560-24PS в качестве коммутатора уровня агрегации.

В приложении Е приведена схема смоделированная в Packet Tracer.

4.3 Разработка Vlan

Сеть доступа и агрегации обеспечивает подключение абонента к сервисному уровню (уровню предоставления услуг). Услуги, реализованные с помощью выделенной сервисной границы, как правило, требуют обеспечить подключение абонента к оборудованию сервисного уровня на втором уровне модели OSI. В сети доступа и агрегации такие подключения выполняются посредством набора VLAN. Услуги приложений могут использовать оборудование агрегации в качестве упрощенной сервис-ной границы, и соответствующий VLAN как средство подключения пользовательского терминала к узлу агрегации необходим только на уровне доступа. Существуют две базовые модели использования VLAN в сетях доступа и агрегации: «VLAN на пользователя» и «VLAN на сервис/группу пользователей»

Рис. 6 - Модель Vlan 1:1

Рис. 7 - Модель Vlan 1:N

Модель 1:1 предполагает, что каждому абоненту соответствует свой персональный VLAN на всей сети доступа и агрегации вплоть до уровня сервисной границы Модель N:1, напротив, заключается в том, что один общий VLAN используется для некоторой группы абонентов Каждая из этих схем имеет свои достоинства и недостатки. Рассмотрим их подробнее. Начнем с модели 1:1, или «VLAN на абонента». К числу ее безусловных достоинств относится довольно высокая степень изоляции абонентов друг от друга на всей сети доступа и агрегации. Поскольку каждый абонент в этой модели имеет фактически свой выделенный VLAN типа «точка-точка», в котором находятся всего лишь два хоста - он сам (его CPE) и соответствующий ему интерфейс на BRAS, вопросы изоляции абонентов друг от друга и контроля их трафика решаются автоматически. Абонент может передавать трафик только на выделенный ему логический интерфейс BRAS, проверка легитимности использования IP/MAC адреса абонента осуществляется исключительно на BRAS. Модель 1:1 позволяет обеспечить четкую идентификацию порта подключения абонента на устройстве BRAS - по номеру VLAN-абонента.

С другой стороны, эта модель предполагает наличие большого числа VLAN в сети доступа и агрегации. Поскольку пространство номеров VLAN ограничено (на номер VLAN в стандарте 802.1q выделено 12 бит.

Таким образом, мы имеем 4095 уникальных значений номеров VLAN), для внедрения этой модели приходится применять двойную 802.1q инкапсуляцию, то есть QinQ-инкапсуляцию (иерархическую нумерацию VLAN). Как правило, второй, верхний VLAN тег в этой схеме определяет коммутатор доступа или кольцо коммутаторов доступа. Кроме того, эта модель требует назначения индивидуального номера VLAN каждому абоненту, то есть требует от оператора, во-первых, изначального планирования множества номеров VLAN в сети и, во-вторых, выделения и назначения индивидуального номера на момент подключения абонента, увеличивая трудозатраты на выполнение та-кого подключения. Альтернативой тут могла бы быть разработка схемы нумерации VLAN, позволяющей провести так называемый пре-провиженинг оборудования доступа, то есть изначально присвоить уникальные номера VLAN всем портам коммутаторов доступа. Такие схемы часто применяются операторами DSL-сетей доступа. Однако, как показывает практика, разработать подходящую схему для Ethernet-доступа оказывается или до-вольно сложно, или вообще невозможно.

Связано это с тем, что Ethernet-доступ носит более распределенный характер, коэффициент использования портов коммутаторов доступа сильно различается от дома к дому, периодически в кольцо требуется подключить новый коммутатор, что может сломать принятую изначально схему.

Вторая модель, N:1 или «VLAN на сервис», предполагает, что для группы абонентов, подключенных к общему сервису, выделяется один общий VLAN, который соединяет эту группу абонентов с виртуальным интерфейсом, организованным на оборудовании, выполняющем функции сервисной границы для этого сервиса. Это может быть, например, интерфейс на BRAS для сервиса доступа в Интернет или интерфейс на оборудовании агрегации для сервиса IPTV. Для подачи этой же группе абонентов другого сервиса может использоваться как этот же, так и отдельный, второй общий VLAN. Модель «VLAN на сервис», в отличие от модели выделенных VLAN, существенно проще с точки зрения управления пространством номеров VLAN. Число VLAN в сети существенно уменьшается, во многих случаях позволяя отказаться от необходимости стекирования тегов VLAN (то есть в модели N:1 можно обойтись без применения технологии QinQ). Упрощается технология подключения абонента - все порты коммутаторов доступа настраиваются одинаково, не требуется индивидуальных настроек номеров VLAN. Отказ от технологии QinQ позволяет упростить технологию подачи мультикаста. Наиболее важным достоинством модели N:1, на наш взгляд, является возможность строить сеть с множеством сервисных границ, то есть VLAN, предназначенный для обеспечения доступа в Интернет, может «приземляться» на BRAS, а VLAN, предназначенный для услуг IPTV - непосредственно на устройстве уровня агрегации, снижая нагрузку на BRAS и уменьшая общую стоимость сети для оператора связи.

4.4 Конфигурирование коммутатора уровня доступа

Первое что необходимо сконфигурировать это имена и пароли

Switch >enable

Switch #conf terminal

Switch (config)# hostname switch_UD109

Имена коммутаторов задаются в соответствии с паспортными данными расположения оборудования.

Данный коммутатор будет располагаться в узле доступа №109.

Далее сконфигурируем консоль и защитим паролем

switch_UD109(config)#line console 0

switch_UD109(config-line)#password cisco

switch_UD109(config-line)#login

сконфигурируем виртуальные линии

switch_UD109(config)#line vty 0 15

switch_UD109(config-line)#password cisco

switch_UD109(config-line)#login

установим пароли

switch_UD109(config)#enable password cisco

switch_UD109(config)#enable secret 7xcv79bc

На этом начальное конфигурирование закончено.

Переходим к детальному конфигурированию.

Как уже говорилось ранее в данной сети будем использовать технологию Vlan 1:1. Для наглядности в данной схеме подключено по одному абоненту. Создадим Vlan в соответствии с таблицей.

switch_UD109#enable

switch_UD109#conf terminal

switch_UD109(config)#vlan 10

далее припишем созданный vlan к порту коммутатора fastEthernet 0/1 и зададим параметры интерфейса

switch_UD109(config)#interface fastEthernet 0/1

switch_UD109(config-if)#switchport mode access

switch_UD109(config-if)#switchport access vlan 10

также зададим параметры интерфейсов обеспечивающих соединение между коммутаторами

Для передачи нескольких VLAN по одному каналу нужно чтобы порты коммутатора были в режиме Trunk

switch_UD109(config)#interface gigabitEthernet 1/1

switch_UD109(config-if)#switchport mode trunk

switch_UD109(config)#interface gigabitEthernet 1/2

switch_UD109(config-if)#switchport mode trunk

На этом конфигурирование коммутатора заканчивается. Конфигурирование других коммутаторов производится по аналогии.

4.5 Конфигурирование и маршрутизация коммутатора уровня агрегации

На начальной стадии конфигурирования необходимо задать имена и пароли.

Switch>enable

Switch#conf terminal

Switch(config)#hostname switch_routing

switch_routing(config)#enable password cisco

switch_routing(config)#enable secret 7xcv79bc

switch_routing(config)#line console 0

switch_routing(config-line)#password cisco

switch_routing(config-line)#login

switch_routing(config)#line vty 0 4

switch_routing(config-line)#password cisco

switch_routing(config-line)#login

далее необходимо создать и сконфигурировать Vlan .

задаем ip адреса vlan в соответствии с таблицей

switch_routing(config)#interface vlan 10

switch_routing(config-if)#ip address 192.168.10.1 255.255.255.248

switch_routing(config)#interface vlan 20

switch_routing(config-if)#ip address 192.168.10.9 255.255.255.248

switch_routing(config)#interface vlan 30

switch_routing(config-if)#ip address 192.168.10.17 255.255.255.248

switch_routing(config)#interface vlan 40

switch_routing(config-if)#ip address 192.168.10.25 255.255.255.248

switch_routing(config)#interface vlan 50

switch_routing(config-if)#ip address 192.168.10.33 255.255.255.248

switch_routing(config)#interface vlan 60

switch_routing(config-if)#ip address 192.168.10.41 255.255.255.248

далее сконфигурируем интерфейсы GigabitEthernet 0/1 и 0/2

switch_routing(config)#interface gigabitEthernet 0/1

switch_routing(config-if)#switchport mode trunk

switch_routing(config-if)#switch trunk encapsulation dot1q

switch_routing(config)#interface gigabitEthernet 0/2

switch_routing(config-if)#switchport mode trunk

switch_routing(config-if)#switch trunk encapsulation dot1q

и включим функцию маршрутизации

switch_routing(config)#ip routing

После данных действий сеть полностью работоспособна.

Обеспечение безопасности сети

В данной сети разработана схема обеспечения безопасности удовлетворяющая основным требованиям и принципам обеспечения безопасности. При разработке данной схемы необходимо было учесть некоторые особенности такие как:

На уровне доступа я использовал стандартную функцию защиты портов коммутаторов а именно создание списков разрешенных mac адресов на каждый порт коммутатора и приписка интерфейсов Vlan к портам коммутатора это означает что только определённое конечное устройство входящие в определённый vlan может получать трафик только с определённого порта на коммутаторе.

На уровне агрегации используется фильтрация конечных устройств по ip адресам путём создания списков доступа.

Хотелось бы отметить что все интерфейсы и настройки vlan созданы именно на коммутаторе уровня агрегации что делает еще более затруднительным для злоумышленников получить траффик и доступ к конфигурации агрегирующего оборудования.

Дополнительно я запретил всем конечным устройствам получить доступ на удаленное управление агрегирующего оборудования кроме определённых конечных устройств. Это достигается путем создание списков доступа на удалённый доступ.

Таким образом, схема обеспечения безопасности состоит из двух этапов идентификации

5. Идентификация пользователя по mac-адресу на уровне доступа

5.1 Безопасность коммутаторов. Общие сведения

интернет доступ сеть идентификация

Маршрутизаторы и коммутаторы внутри организаций часто имеют минимальную конфигурацию безопасности, что делает их потенциальной целью для атак злоумышленников. Если атака инициирована на втором уровне с внутреннего устройства комплекса зданий, оставшаяся сеть может быть быстро взломана, причем злоумышленник часто остается необнаруженным.

Отрасль уделяет значительное внимание защите от атак, направленных извне стен организации и использующие протоколы верхних уровней модели OSI. Сетевая безопасность часто сосредотачивается на периферийных маршрутизаторах и фильтрации пакетов на базе заголовков, портов, анализа пакетов с учетом состояния и других функций третьего и четвертого уровней. Этот подход охватывает уровни начиная с третьего, так как трафик попадает в сеть комплекса зданий из Интернета. Устройство доступа в комплексе зданий и каналы связи второго уровня не рассматриваются в большинстве дискуссий по безопасности.

Внутренние маршрутизаторы cisco и коммутаторы организации предназначены для обеспечения связи за счет передачи трафика внутри комплекса зданий. По умолчанию они пересылают весь трафик, если иное не задано в конфигурации. Цель таких устройств обеспечение связи, поэтому их конфигурации безопасности зачастую минимальны и это делает устройства потенциальной целью для атак злоумышленников. Если атака инициирована на втором уровне с внутреннего устройства комплекса зданий, оставшаяся сеть может быть быстро взломана, причем злоумышленник часто остается необнаруженным.

Как и третий уровень, где меры безопасности традиционно применялись на устройствах внутри комплекса зданий, второй уровень требует мер безопасности для защиты от атак, основанных на обычных операциях коммутатора второго уровня. Для коммутаторов и маршрутизаторов доступно множество функций безопасности, однако, чтобы эти функции работали, их необходимо включить. Администратор должен создать политики и настроить функции для защиты от действий злоумышленников (процесс аналогичен внедрению списков контроля доступа (ACL) для обеспечения безопасности на верхних уровнях), и в то же время поддерживать нормальную работу сети.

Рекомендуемые методы:

Проанализировать или создать организационные политики безопасности

Защита коммутаторов:

Защита доступа к коммутаторам.

Риски сетевой безопасности включают нарушение конфиденциальности, кражу данных, персонацию и потерю целостности данных. Для уменьшения последствий небрежности пользователей и вредоносных действий необходимо принять базовые меры безопасности для всех сетей.

Рекомендуемые методы предполагают два базовых действия, которые необходимо выполнить при вводе нового оборудования в эксплуатацию:

Действие 1 проанализировать или создать организационные политики безопасности;

Действие 2 обеспечить безопасность коммутаторов, защитив доступ к коммутатору и протоколам коммутации и снизить риски, связанные с угрозами, инициированными с коммутатора.

5.2 Организационные политики безопасности

При определении уровня и типа политик безопасности для сети необходимо учесть политики организации. Вы должны найти компромисс между разумным уровнем сетевой безопасности и административными издержками, связанными со слишком строгими мерами безопасности.

Поддержка процесса для ревизии существующей системы сетевой безопасности

Поддержка общей структуры безопасности, на базе которой будет внедряться сетевая безопасность.

Определение запрещенных режимов работы с данными в электронном формате.

Определение инструментов и процедур, необходимых для организации.

Политика должна быть основана на договоренности между лицами, принимающими решения, и должна определять обязанности пользователей и администраторов.

Определение процесса обработки инцидентов сетевой безопасности.

Создание плана внедрения безопасности, охватывающего все площадки предприятия, и приведение этого плана в действие.

5.3 Обеспечение безопасности коммутаторов уровня доступа


Подобные документы

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.