С бурным развитием телекоммуникаций в современном мире общество
неуклонное идет к усложнению взаимосвязи между различными звеньями производства, увеличение информационных потоков в технической, научной, политической, культурной, бытовой и других сферах общественной деятельности. Сегодня, очевидно, что ни один процесс в жизни современного общества не может происходить без обмена информацией, для своевременной передачи которой используются различные средства и системы связи. В настоящее время развитие телекоммуникационных сетей происходит в направлении роста рынка мультисервисных услуг, внедрение новых телекоммуникационных и информационных технологий, их конвергенции. Широкополосное подключение к Интернету стало одним из самых успешных телекоммуникационных услуг не так давно, но всего за несколько лет число пользователей выросло до 200 млн., большинство из них пока ограничиваются доступом в Интернет с компьютера или ноутбука. Широкополосный Интернет появился в Европе менее 10 лет назад. Тогда считалось большой скоростью 256 кбит/с. Сегодня же 2 Мбит/с - скорость, ставшая стандартом де-факто для ШПД (широкополосный доступ). С другой стороны, в большей пропускной способности на заре зарождения Интернета острой необходимости не было: существующие приложения не требовали слишком большой полосы. В развитии технологий ШПД основную роль играет именно потребность рынка в экономически эффективном предоставлении абоненту большей емкости, пропускной способности и более короткому времени отклика. Сейчас, когда средняя нагрузка на абонента, по разным оценкам, уже составляет от 2 до 7 Гбайт в месяц - и при этом продолжает расти количество пользователей файлообменных приложений, многопользовательских игр и онлайн-видео, - такая потребность актуальна как никогда. Размещено на http://www.allbest.ru/ Главная причина для дальнейшей модернизации широкополосных сетей - это услуги IPTV. Передача HD потоков потребуют значительного увеличения пропускной способности. В связи с массовой информатизацией современного общества все большую актуальность приобретает знание нравственно-этических норм и правовых основ использования средств новых информационных технологий в повседневной практической деятельности. Наглядными примерами, иллюстрирующими необходимость защиты информации и обеспечения информационной безопасности, являются участившиеся сообщения о компьютерных «взломах» банков, росте компьютерного пиратства, распространении компьютерных вирусов. Число компьютерных преступлений растет, также увеличиваются масштабы компьютерных злоупотреблений. Основной причиной потерь, связанных с компьютерами, является недостаточная образованность в области безопасности. Под информационной безопасностью понимается защищенность информации от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации. Цель информационной безопасности - обезопасить ценности системы, защитить и гарантировать точность и целостность информации и минимизировать разрушения, которые могут иметь место, если информация будет модифицирована или разрушена. На практике важнейшими являются три аспекта информационной безопасности: доступность (возможность за разумное время получить требуемую информационную услугу); целостность (ее защищенность от разрушения и несанкционированного изменения); конфиденциальность (защита от несанкционированного прочтения). Размещено на http://www.allbest.ru/ Кроме того, использование информационных систем должно производиться в соответствии с существующим законодательством. Данное положение, разумеется, применимо к любому виду деятельности, однако информационные технологии специфичны в том отношении, что они развиваются исключительно быстрыми темпами. Почти всегда законодательство отстает от потребностей практики, и это создает в обществе определенную напряженность. Для информационных технологий подобное отставание законов, нормативных актов, национальных и отраслевых стандартов оказывается особенно болезненным. Формирование режима информационной безопасности - проблема комплексная. Меры по ее решению можно разделить на четыре уровня: законодательный (законы, нормативные акты, стандарты и т.п.) административный (действия общего характера, предпринимаемые руководством организации) процедурный (конкретные меры безопасности, имеющие дело с людьми) программно-технический (конкретные технические меры). В данной дипломной работе будут рассмотрены исключительно программно-технические методы защиты. Задачей данной дипломной работы является разработка и обеспечение безопасности сети широкополосного доступа по технологии FTTB в жилом районе города Ижевска. Дипломная работа включает в себя моделирование в эмуляторе сети передачи данных Cisco Packet Tracer, ее отладка, обеспечение защиты портов коммутаторов. Разработка сетевых фильтров, виртуальных локальных сетей, конфигурирование паролей, расчет организационных мер физической защиты и описание критериев выбора оборудования. Размещено на http://www.allbest.ru/ 1. Мультисервисные сети
В качестве предмета исследования я выбрал мультисервисную сеть
широкополосного доступа, и за основу проектируемой сети был взят настоящий рабочий проект «Мультисервисная сеть широкополосного доступа в г. Ижевске (Модернизация магистральной сети доступа и ОУ-5, ОУ-6, ОУ- 8). Второй пусковой комплекс сооружения связи - «Магистральное кольцо», район ОУ-6» представляющая собой универсальную многоцелевую среду, предназначенную для передачи речи, изображения и данных с использованием технологии коммутации пакетов (IP). Мультисервисная сеть отличается высокой степенью надежности, характерной для телефонных сетей (в противоположность негарантированному качеству связи через Интернет) и обеспечивает низкую стоимость передачи в расчете на единицу объема информации (приближенную к стоимости передачи данных по Интернету). Надо отметить, что мультисервисные сети - это не совсем технология или техническая концепция, это скорее технологическая доктрина или новый подход к пониманию сегодняшней роли телекоммуникаций, основанный на знании того, что компьютер и данные сегодня выходят на первое место по сравнению с речевой связью. Базовыми понятиями мультисервисных сетей являются QoS (Quality Of Service) и SLA (Service Level Agreement), то есть качество обслуживания и соглашение об уровне (качестве) предоставления услуг сети. Переход к новым мультисервисным технологиям изменяет саму концепцию предоставления услуг, когда качество гарантируется не только на уровне договорных соглашений с поставщиком услуг и требований соблюдения стандартов, но и на уровне технологий и операторских сетей. Архитектуру мультисервисной сети можно представить в виде нескольких основных уровней: ядро (магистральный уровень), уровень распределения и агрегирования и уровень доступа. Схема структуры мультисервисных сетей в приложении А. Размещено на http://www.allbest.ru/
Рис. 1
На уровне ядра находятся высокопроизводительные платформы для
быстрой коммутации трафика с поддержкой протоколов динамической маршрутизации, здесь же обеспечивается подключение к провайдеру и располагаются сервисные центры. Магистральный уровень является универсальной высокоскоростной и, по возможности, однородной платформой передачи информации, реализованной на базе цифровых телекоммуникационных каналов. Уровень распределения включает узловое оборудование сети оператора, а уровень агрегирования выполняет задачи агрегации трафика с уровня доступа и подключения к магистральной (транспортной) сети. На уровне доступа реализовано управление пользователями и рабочими группами при обращении к ресурсам объединенной сети. Уровень доступа включает корпоративные или внутридомовые сети, а также каналы связи, обеспечивающие их подключение к узлу (узлам) распределения сети.
1.1 Широкополосный доступ в Интернет
Поскольку рабочий проект и условия заказчика предусматривает
обязательное обеспечение пользователей не только доступом в интернет но и другими услугами стоит внести ряд требований к проектируемой сети: Размещено на http://www.allbest.ru/ Главным требованием, предъявляемым к сетям, является обеспечение потенциальной возможности доступа к разделяемым ресурсам всех компьютеров, объединенных в сеть. Проектируемая мультисервисная сеть должна предоставлять следующие услуги связи: Широкополосный доступ к сети Интернет, обеспечивает возможность доступа к информационным ресурсам сети Интернет, использование удаленных файловых ресурсов сети Интернет, обмен большими объемами информации, электронной почте, программам обмена сообщениями (ICQ, Skype), а также другими сервисами, доступ и управление которым возможно через Интернет. IP телефония - способ предоставления услуг телефонии с использованием для передачи голоса среди сетей с коммутацией пакетов, в том числе IP сети передачи данных и / или Интернет. IPTV - это цифровое интерактивное телевидение нового поколения. С помощью IPTV плеера, без использования дополнительного оборудования, можно просматривать более 100 телевизионных каналов. Технические требования, предъявляемые к характеристикам магистральных соединений сети: Скорость информационного обмена - 10 Гбит/с. автоматическая диагностика возникающих неисправностей. Поддержка QoS; Низкая вероятность потери данных. коэффициент экранирования применяемых кабелей должен составлять не менее 80 дБ в диапазоне 30-1000МГц. Технические требования к СПД: Сеть передачи данных должна быть спроектирована на основе технологии Ethernet и протокола IP. Скорость канала для подключения здания к сети ПД должна быть не менее 100 Мбит/с. Размещено на http://www.allbest.ru/ Пропускная способность магистральной сети ПД должна быть не менее 1000Мбит/с. Интерфейс подключения абонента по UTP - Ethernet 10/100BaseT. Наиболее оптимальным решением для достижения поставленных задач необходимо воспользоваться технологией широкополосного доступа Широкополосный или высокоскоростной доступ в Интернет обеспечивается с помощью ряда технологий, которые позволяют пользователям отправлять и принимать информацию в гораздо больших объемах и с гораздо более высокими скоростями, чем в случае получившего широкое распространение в настоящее время доступа в Интернет по обычным телефонным линиям. Широкополосный доступ обеспечивает не только высокую скорость передачи данных, но и непрерывное подключение к Интернету (без необходимости установления коммутируемого соединения) и так называемую «двустороннюю» связь, т. е. возможность как принимать («загружать»), так и передавать («сгружать») информацию на высоких скоростях. Широкополосный доступ не только обеспечивает богатство информационного наполнения («контента») и услуг, но и способен преобразить весь Интернет как в плане предлагаемого Сетью сервиса, так и в плане ее использования. По всей вероятности, многие из будущих применений широкополосного доступа, которые позволят наиболее полно раскрыть его технологический потенциал, еще только предстоит освоить. Для предоставления широкополосного доступа в Интернет могут использоваться множество различных носителей и технологий передачи данных. К ним относятся кабельная связь, усовершенствованный телефонный сервис под названием «цифровая абонентская линия» (Digital Subscriber Line, DSL), спутниковая связь, фиксированный беспроводный доступ и другие. Несмотря на то, что многие (хотя и не все) учреждения и коммерческие организации уже имеют широкополосный доступ в Интернет, до сих пор не решена проблема предоставления широкополосного доступа на Размещено на http://www.allbest.ru/ отрезке линии связи, ведущем непосредственно в дома пользователей (так называемая «последняя миля»). В настоящее время ряд конкурирующих телекоммуникационных компаний разрабатывают, внедряют и рекламируют специфические технологии и услуги, предназначенные для предоставления широкополосного доступа широким слоям населения. Термин «широкополосный доступ» используется для обозначения постоянного и высокоскоростного подключения к Интернет. Однако широкополосный доступ - это не только высокая скорость обмена информацией, но и особый способ использования всемирной сети. Пользователь широкополосного доступа имеет возможность в любую секунду получить или отправить большой объем любой информации, которая может включать в себя цветные изображения, аудио- и видеоклипы, анимацию, телевизионный контент и многое другое. Широкополосный доступ обеспечивает предоставление пользователю самых современных услуг, независимо от точки его подключения. Обладатель широкополосного доступа имеет больше возможностей по использованию мультимедийных услуг и по информационному обеспечению своего бизнеса. Это файловый обмен, видеоконференции, игры; услуги охранных систем; телефонные и банковские услуги и т.д. Всё это стало доступным благодаря современным сетям широкополосного доступа (ШПД). Широкополосный доступ способствует также появлению новых сфер деятельности человека и обогащает уже существующие. Он стимулирует экономический рост и открывает новые возможности для инвестиций и трудоустройства. Широкополосный доступ помогает решать задачу по обеспечению устойчивого развития отдаленных и сельских местностей, а также является важным элементом помощи местным властям в создании привлекательных условий для ведения бизнеса, в предоставлении населению отдаленных и сельских местностей возможности для дистанционной трудовой Размещено на http://www.allbest.ru/ деятельности, получения высококвалифицированных медицинских услуг, повышения образовательного уровня и участия в управлении государством.
1.2 Технологии мультисервисных сетей
В сеть доступа инвестируется от 50% до 80% средств, поэтому
правильный выбор технологий и вариантов построения сети чрезвычайно важен. Ниже перечислены факторы, влияющие на выбор той или иной технологии абонентского доступа: Стоимость подключения в расчете на одного абонента. Простота подключения - фактор, определяющий доступность подключения для абонентов, быстроту подключения абонентов. Достаточная для абонента полоса пропускания или скорость передачи данных. Обеспечение требуемого качества обслуживания клиентов. Существующая кабельная инфраструктура - коаксиальный кабель, витая пара, телефонная проводка, оптическое волокно и т. д. На стадии проектирования было принято решение использовать технологию абонентского доступа FTTB потому что она отвечает всем выше перечисленным требованиям и оптимально подойдет для реализации поставленных задач. Технология Fiber To The X (Оптическое волокно до…) - понятие, описывающее общий подход к организации кабельной инфраструктуры сети доступа, в которой от узла связи до определённого места (точка «х») доходит оптоволокно, а далее, до абонента, - медный кабель (возможен и вариант, при котором оптика прокладывается непосредственно до абонентского устройства). Таким образом, FTTx - это только физический уровень. Однако фактически данное понятие охватывает и большое число технологий Размещено на http://www.allbest.ru/ канального и сетевого уровня. С широкой полосой систем FTTx неразрывно связана возможность предоставления большого числа новых услуг. В семейство FTTx входят различные виды архитектур: FTTN (Fiber to the Node) - волокно до сетевого узла; FTTC (Fiber to the Curb) - волокно до микрорайона, квартала или группы домов; FTTB (Fiber to the Building) - волокно до здания; FTTH (Fiber to the Home) - волокно до жилища (квартиры или отдельного коттеджа). Однозначно в пользу решений FTTH выступают эксперты, они сравнивают продолжительность жизненного цикла инвестиций в любую технологию доступа и коррелированный рост требований к пропускной способности каналов доступа. Проведенный анализ показывает, что если технические решения, которые закладываются в основу сегмента доступа сети сегодня, окажутся неспособными обеспечить скорость 100 Мбит/с в 2013-2015 годах, то моральное устаревание оборудования произойдет до окончания инвестиционного цикла. из всех вариантов FTTx она обеспечивает наибольшую полосу пропускания; это полностью стандартизированный и наиболее перспективный вариант; решения FTTH обеспечивают массовое обслуживание абонентов на расстоянии до 20 км от узла связи; они позволяют существенно сократить эксплуатационные расходы за счет уменьшения площади технических помещений (необходимых для размещения оборудования), снижения энергопотребления и собственно затрат на техническую поддержку. Существует два часто применяемых типа организации FTTH сетей: на базе технологии Ethernet и на базе технологии PON. Размещено на http://www.allbest.ru/ Технология Gigabit Ethernet - это расширение IEEE 802.3 Ethernet, использующее такую же структуру пакетов, формат и поддержку протокола CSMA/CD, полного дуплекса, контроля потока и прочее, но при этом предоставляя теоретически десятикратное увеличение производительности. Поскольку технология Gigabit Ethernet совместима с 10Mbps и 100Mbps Ethernet, возможен легкий переход на данную технологию без инвестирования больших средств в программное обеспечение, кабельную структуру и обучение персонала Как и в стандарте Fast Ethernet, в Gigabit Ethernet не существует универсальной схемы кодирования сигнала, для стандартов 1000Base-LX/SX/CX используется кодирование 8B/10B, для стандарта 1000Base-T используется специальный расширенный линейный код TX/T2. Функцию кодирования выполняет подуровень кодирования PCS, размещенный ниже среда независимого интерфейса GMII. 1000Base-T - это стандартный интерфейс Gigabit Ethernet передачи по неэкранированной витой паре категории 5 и выше на расстояния до 100 метров. Для передачи используются все четыре пары медного кабеля, скорость передачи по одной паре 250 Мбит/c. Предполагается, что стандарт будет обеспечивать дуплексную передачу, причем данные по каждой паре будут передаваться одновременно сразу в двух направлениях - двойной дуплекс (dual duplex) Размещено на http://www.allbest.ru/ 1.3 Технология абонентского доступа FTTB
Технология FTTB (англ. Fiber to the Building - волокно до здания) - на
сегодняшний день наиболее востребованная в России технология строительства широкополосных сетей. Широкому распространению FTTB способствовали снижение цен на оптический кабель (ОК), появление дешевых оптических приемников, передатчиков и оптических усилителей (ОУ). Использование оптики в FTTB позволяет использовать для передачи данных быструю технологию Metro Ethernet, избавляет от необходимости заземления несущего троса, исключает выход оборудования из строя от статического электричества, и облегчает согласование развертываемой сети в надзирающих инстанциях. Сеть FTTB, построенная по данной технологии - это две наложенные сети: одна для услуг аналогового кабельного телевидения, другая - для услуги передачи данных. Объединяет их использование различных волокон в одних и тех же ОК на участках магистрали и в распределительных сетях узлов второго уровня. В остальном, в отличие от DOCSIS, при использовании FTTB все оборудование строго специализировано: либо передача ТВ, либо передача данных, и при выходе из строя одного оборудования другая услуга не страдает. Развертываемые в настоящее время оптоволоконные сети доступа базируются на различных архитектурах и технологиях. Тщательно продуманные стандарты для этих технологий и доступность необходимого оборудования обусловливают развертывание сетей сервис-провайдеров без значительного риска. Успешность их деятельности является стимулом к динамичному развитию этой отрасли. Можно с полной уверенностью предположить, что конкурентное давление со стороны такого типа сетей будет стимулировать крупных операторов связи инвестировать средства в оптоволоконные сети доступа. Размещено на http://www.allbest.ru/ Топология сети, построенной по технологии FTTB, показана в приложении Б. Топология данной сети во многом повторяет гибридную волоконно- коаксиальную сеть и также состоит из узла передачи данных, магистральной волоконно-оптической линии связи (ВОЛС) и распределительной сети. Отличие FTTB состоит лишь в замене оптических узлов ГВКС на «узлы второго уровня» (усилительные пункты) и кабеля распределительных сетей с коаксиального кабеля на оптический. Головная станция и домовая распределительная сеть не требуют изменения при модернизации, а для магистрали может потребоваться лишь увеличение числа оптических волокон. Исходя из вышесказанного, в сетях FTTB возрастает количество прокладываемого оптоволокна и устанавливаемых оптических приемников. Размещено на http://www.allbest.ru/ 2. Разработка структурной схемы широкополосного доступа
2.1 Общие принципы построения домовой сети Ethernet
В основе подхода построения сети – повсеместное использование
оптической среды передачи, кроме ближайшего к абоненту участка сети, располагающегося внутри здания. Невысокие цены на оптический кабель, множество способов прокладки, возможность обеспечения надежной и помехонезависимой передачи информации, огромный диапазон поддерживаемых скоростей, гарантирующий возможность его длительного использования, делают инвестиции в оптическую проводку привлекательными и позволяют строить на ее основе сети операторского класса. Для обеспечения надежности, масштабируемости и управляемости сети, с возможностью обеспечения широкого спектра услуг с необходимым качеством обслуживания, Исполнитель предлагает подход в котором домовая сеть состоит из иерархических уровней. Это следующие уровни: Уровень доступа. Уровень агрегации. Уровень предоставления услуг (сервисный уровень). Уровень магистрали. Рассмотрим их предназначение. Уровень доступа Как следует из его названия, обеспечивает физический доступ абонента к сети. Все существующие технологии доступа обычно подразделяются на три класса - проводные, кабельные и беспроводные. К проводным относятся сети xDSL, PON и Ethernet. В данной дипломной работе мы рассматриваем исключительно Ethernet-доступ, однако с точки зрения архитектуры сети, то есть организации VLAN, логических принципов подключения абонентов, Размещено на http://www.allbest.ru/ обеспечения резервирования и т.д., все типы проводных (да и беспроводных) сетей доступа весьма похожи. Поэтому многие принципы, также можно отнести и к другим технологиям доступа. На этом уровне располагаются коммутаторы, к которым непосредственно (или через абонентские устройства) по внутридомовой медной проводке категории 5 подключаются абоненты сети. Для поддержки большинства услуг на этом уровне достаточно использовать управляемые коммутаторы уровня 2. К квартальным коммутаторам подключение производится по оптическому волокну на скорости 1 Гбит/с или 100 Мбит/с, в зависимости от предоставляемых услуг. Топология подключения – «кольцо». Коммутаторы уровня подъезда/дома (как, впрочем, и квартальные коммутаторы), как правило, располагаются в запираемых помещениях в подвалах или на чердаках домов. Отметим, что квартальный коммутатор и коммутаторы уровня подъезда/дома, находящийся в том же доме, могут подключаться по медной проводке. Уровень агрегации. Его задача - подключение уровня доступа к уровню предоставления услуг и к ядру сети. Географические размеры сети агрегации различаются и зависят от плотности абонентов, имеющейся оптической инфраструктуры и т.п.: как правило, она покрывает крупный город или область. Сеть может быть построена как полностью на втором уровне модели OSI Уровень агрегации состоит из квартальных маршрутизирующих коммутаторов уровня 3, которые подключаются к ближайшему узлу опорной сети. Подключение осуществляется на скорости 1 Гбит/с на основе Ethernet. Квартальные коммутаторы могут подключаться к коммутатору опорной сети (в данном случае к Центральному) либо по топологии «звезда», либо «кольцо». Размещено на http://www.allbest.ru/ Сервисный уровень Задача сервисного уровня заключается не в передаче трафика как такового, а в организации сервиса, то есть того, за что в итоге и платит абонент. Сервисный уровень осуществляет аутентификацию и авторизацию абонента определяет список сервисов, которые может (и должен) получать абонент. Далее оборудование сервисного уровня обеспечивает выполнение параметров контракта с абонентом по сервисам, на которые абонент подписан, например, ограничивает скорость доступа в Интернет до контрактных величин; и здесь же формируется статистика для биллинга абонента или обеспечивается контроль потребления услуг абонентами, работающими по предоплате. На сервисном уровне формируется понятие абонентской сессии, то есть своеобразного «виртуального сетевого интерфейса» к абоненту, осуществляется выдача IP-адресов. Собственно, на уровне IP-протокола абонент взаимодействует именно с сервисным уровнем. Уровень магистрали Уровень магистрали предназначен для быстрой и надежной передачи трафика на межрегиональном уровне. Фактически, магистраль связывает между собой сети агрегации, построенные в разных городах. Если оператор эксплуатирует сеть только в одном городе или области, уровень магистрали может вообще отсутствовать в явном виде, являясь, по сути, подключением к вышестоящему магистральному оператору. Уровень магистрали (или опорной сети). Включает Центральный узел и, возможно, другие узлы соединенные между собой надежным высокоскоростным Ethernet транспортом (1 Гбит/с, N x 1 Гбит/с или 10 Гбит/с). Основу узлов опорной сети составляют гигабитные маршрутизирующие коммутаторы Ethernet уровня 3. Посмотреть общую схему архитектуры широкополосного доступа можно в приложении В. Размещено на http://www.allbest.ru/
Рис. 2
На схеме видно, что топология сети строится по принципу “кольцо”
В данной дипломной работе будет рассмотрено два уровня сети широкополосного доступа, а именно уровень доступа и уровень агрегации в приделах одного оптического кольца.
2.2 Основные направления проектирования сети FTTx
Общее количество портов сети FTTx по техническому заданию
рабочего проекта по ОУ-6 составляет 6216 портов. Уровень доступа состоит из коммутаторов доступа (домовых коммутаторов), которые представляют собой управляемое устройство без функции маршрутизации (L2). Коммутаторы соединены по кольцевой модели распределения. Устройство коммутаторов обеспечивает соединение на скорости 1000 Мбит/с. Порты каскадирования гигабитного Ethernet соединяют коммутаторы доступа друг с другом, а граничные коммутаторы Размещено на http://www.allbest.ru/ соединяются с коммутаторами СПД узлов агрегации в виде кольца при помощи оптических гигабитных интерфейсов. Пользовательские интерфейсы конфигурируются в режим «access» в выделенном VLAN для изоляции пользователей, подключенных к разным коммутаторам доступа одного кольца. Для определения монтированной емкости узла доступа в рабочем проекте используется концепция 40% проникновения, т.е исходя из 24 портов FastEthernet на каждые 108 квартир. В подъездах, где количество квартир превышает 108, устанавливается коммутатор на 48 портов. Количество коммутаторов в кольце доступа не более 10 штук. В зданиях до 5-ти этажей включительно узлы доступа устанавливаются из расчета одного УД на 4 подъезда. В зданиях от 6-ти до 11-ти этажей включительно узлы доступа устанавливаются из расчета один УД на 2-3 подъезда. В зданиях с количеством этажей больше 11-ти узлы доступа устанавливаются из расчета один УД на 1 подъезд Схемы физического расположения оптических колец на ОУ-6 можно посмотреть в приложении Г Также приведена логическая схема организации связи всего кластерного узла ОУ-6 в приложении Д Как уже упоминалось мы будем рассматривать одно оптическое кольцо. А именно кольцо в которое входят дома по адресам: Союзная 45 Союзная 47 Союзная 51 Союзная 53 Союзная 55 Союзная 57 Размещено на http://www.allbest.ru/
Рис. 3 Размещено на http://www.allbest.ru/ 3. Выбор оборудования для проектируемой сети
Сетевое оборудование подразделяется на оборудование магистральной
сети и оборудование уровня доступа. К оборудованию магистральной сети относят коммутаторы агрегации. К оборудованию сети доступа относятся: коммутаторы доступа На основе требований проектируемой сети выберем соответствующую элементную базу оборудования.
3.1 Выбор оборудования уровня доступа
Главными критериями выбора оборудования в нашем случае является:
Возможность соединения коммутаторов доступа по оптическим кабелям и наличие FSP модулей коммутатор L2 Поддержка функций VLAN 1:1 расширенные возможности обеспечения безопасности По соотношению цена/ качество было принято решение о использовании коммутаторов доступа: LS-S2326TP-E1 производства фирмы «HUAWEI» Technologies Co,Ltd; LS-S2352TP-E1 производства фирмы «HUAWEI» Technologies Co,Ltd Коммутаторы LS-S2326TP-E1/LS-S2352TP-E1 - управляемый коммутатор 2/4 уровня представлен на рисунке 3.1
Рис. 4 - Внешний вид коммутатора S2326 TP-PWR-E1
Описание: коммутатор LS-S2326TP-E1/LS S2352TP-E1 - L2/L4 уровня
имеет 24/48 портов них 24/48 портов 10/100BASE-TX и 2/4 комбинированных Размещено на http://www.allbest.ru/ порта - 1000Base-T/SFP slot, позволяющие использовать гигабитный канал по витой паре или создание оптического гигабитного канала с применением дополнительно SFP модуля. Конфигурация портов коммутаторов: 24/48 порта 10/100Base-TX; 2/4 комбинированных порта – 1000Base-T/SFP slot; 1 порт RS232. Характеристики серии S2300: управление услугами на базе VLAN Коммутаторы серии S2300 поддерживают разнообразные стратегии ACL с возможностью отправки правил ACL с различных интерфейсов VLAN. Это обеспечивает гибкое управление интерфейсами VLAN и планирование ресурсов. S2300-EI поддерживает переключение VLAN 1:1 для реализации услуг IPTV без конфигурирования домашнего шлюза. S2300-EI поддерживает переключение VLAN N:1, наиболее востребованное в данной отрасли. Это обеспечивает агрегирование VLAN на стороне пользователя и снижает количество используемых VLAN. S2300-EI поддерживает механизм QinQ, при котором тэг VLAN сети общего пользования инкапсулируется в пакет снаружи тэга VLAN абонентской сети. Таким образом пакеты содержат 2 тэга VLAN, с которыми они передаются по операторской магистральной сети. Разнообразные функции многоадресной рассылки Коммутаторы серии S2300 поддерживают группы многоадресной передачи и различные функции тиражирования многоадресной передачи уровня 2, включая IGMP snooping, фильтрацию IGMP, многоадресная передача по VLAN и распределение нагрузки за счет агрегирования портов. S2300 также поддерживает ограничение скорости и сбор статистики по многоадресному трафику на портах в соответствии с требованиями к услугам IPTV. Размещено на http://www.allbest.ru/ Отличные характеристики QoS Каждый порт S2300 поддерживает 4 очереди с управлением WRR, SP и WRR + SP. Серия S2300 поддерживает сложную классификацию трафика на базе VLAN, MAC-адреса, IP-адреса источника/назначения, приоритета или порта, на котором используются прикладные программы. Серия S2300 поддерживает ограничение скорости по потокам и wire speed для каждого порта. Это обеспечивает высокое качество услуг передачи голоса и данных. Отличная безопасность S2300 предоставляет различные функции защиты абонентов сети: большое количество правил ACL, привязка IP-адреса, MAC-адреса или порта, «черные дыры» MAC-адресов, изоляция порта, фильтрация пакетов, ограничение числа MAC-адресов, распознаваемых интерфейсом, распознавание по динамическим ARP, защита исходного IP-адреса, аутентификация RADIUS, HWTACACS, IEEE 802.1x и SSH. Молниезащита В серии S2300 используется запатентованный Huawei механизм молниезащиты и защиты от скачков напряжения. Коммутаторы серии S2300 предоставляют порты с молниезащитой 6КВ без установки дополнительных грозоразрядников. Даже при неблагоприятных условиях эксплуатации наличие молниезащиты помогает свести к минимуму повреждения, вызванные ударами молнии. Удобное техобслуживание и управление Коммутаторы серии S2300 отличаются удобством в эксплуатации и реализации. Поддерживается мониторинг состояния устройства в различных режимах. К тому же S2300 поддерживает HGMPv2, SNMP, NTP, SSHv2, HWTACACS+, RMON и сбор статистики трафика на портах VLAN. Серия S2300 предоставляет удобные функции эксплуатации и техобслуживания, упрощающие управление сетью. Это снижает OPEX и повышает экономичность S2300. Размещено на http://www.allbest.ru/ Забота об окружающей среде и экономия энергии Серия S2300 характеризуется низким энергопотреблением и высокой адаптируемостью к температурным колебаниям. Коммутаторы серии S2300 не оснащены вентиляторами, они поддерживают автоматическое рассеивание тепла, и поэтому эксплуатация не вызывает шумовых помех и не наносит вреда окружающей среде.
3.2 Выбор Коммутатора уровня агрегации
Главными критерием выбора оборудования уровня агрегации является:
коммутатор L3 с поддержкой функции маршрутизации. высокая производительность Возможность соединения коммутаторов доступа по оптическим кабелям и наличие FSP модулей По соотношению цена/ качество было принято решение о использовании коммутатора агрегации: Cisco ME-4924
Рис. 5 - Внешний вид коммутатора Cisco ME-4924
Коммутатор агрегации от ведущего мирового производителя с 24
портами SFP 1000Base-X и дополнительными 4-мя портами SFP 1000Base-X или 2-мя портами XFP 10 Гбит/с. Коммутаторы Cisco ME 4900 разработаны для провайдеров, планирующих предлагать услуги следующего поколения - такие, как голос и видео. Компактность устройства (высота - 1RU) позволяет размещать его в офисах с ограниченным стоечным пространством. Агрегирующий коммутатор Cisco ME 4924-10GE - это коммутатор Layer 2-4 Размещено на http://www.allbest.ru/ U-PE aggregation switch для высокопроизводительных сетей операторских сетей. Серия ME 4900 основана на технологиях серии 4900 и обеспечивает производительность, необходимую операторам связи, предоставляющим своим абонентам услуги triple play. Серия коммутаторов Cisco ME 4900 основана на технологиях серии 4900 и обеспечивает производительность, необходимую операторам связи, предоставляющим своим абонентам услуги triple play. Коммутаторы Cisco ME 4900 разработаны для провайдеров, планирующих предлагать услуги следующего поколения - такие, как голос и видео. Особенности: Высокая производительность - 48 Гбит/с и 71 миллион пакетов в секунду. Низкая задержка при коммутации Layer 2-4. Инновационные возможности безопасности и QoS. Аплинки Gigabit Ethernet или 10 Gigabit Ethernet. Опционально - внутренние модули питания AC или DC 1+1 возможностью горячей замены Вентиляция с возможностью горячей замены и резервными вентиляторами. Размещено на http://www.allbest.ru/ 4. Моделирование сети в программном пакете Cisco Packet Tracer
Packet Tracer - эмулятор сети передачи данных, выпускаемый фирмой
Cisco Systems. Позволяет делать работоспособные модели сети, настраивать (командами Cisco IOS) маршрутизаторы и коммутаторы, взаимодействовать между несколькими пользователями (через облако). Включает в себя серии маршрутизаторов Cisco 1800, 2600, 2800 и коммутаторов 2950, 2960, 3650. Кроме того есть серверы DHCP, HTTP, TFTP, FTP, рабочие станции, различные модули к компьютерам и маршрутизаторам, устройства WiFi, различные кабели.
4.1 Распределение адресного пространства
Проектируемая мультисервисная телекоммуникационная сеть имеет
Максимальное количество абонентов 144. (Одно оптическое кольцо) На данном участке сети в целях обеспечения наибольшей безопасности будет использоваться технология Vlan 1:1 “Vlan на абонента” К числу ее безусловных достоинств относится довольно высокая степень изоляции абонентов друг от друга на всей сети доступа и агрегации. Каждый абонент в этой модели имеет фактически свой выделенный VLAN типа «точка-точка» далее приведена таблица распределения адресного пространства и Vlan
коммутатор Vlan IP addres Mask
1 10 192.168.10.1 255.255.255.248 2 20 192.168.10.9 255.255.255.248 3 30 192.168.10.17 255.255.255.248 4 40 192.168.10.25 255.255.255.248 5 50 192.168.10.33 255.255.255.248 6 60 192.168.10.41 255.255.255.248 Размещено на http://www.allbest.ru/ Максимальное количество Vlan на каждом коммутаторе может соответствовать максимальному количеству портов на коммутаторе. Но с учетом что данная сеть является широкополосной то по мимо услуг интернета могут быть организованны такие услуги как ip телефония и кабельное TV. А это означает что для одного абонента может использоваться более одного порта на коммутаторе.
4.2 Разработка сети
Моделированная сеть имеет ряд особенностей, организация связи в
пределах одного оптического кольца будет осуществляется при использовании технологии Vlan 1:1 а также будет применена довольно простая и в тоже время надежная схема обеспечения безопасности. Хотелось бы отметить что приведенная ниже схема смоделирована в упрощенном варианте. К каждому коммутатору я подключил по одному пользователю и сконфигурировал интерфейсы Vlan только для одного абонента. Данная схема подключения абонентов в полной мере отразит работоспособность всей сети. Как уже известно сеть одного оптического кольца состоит из 6 коммутаторов уровня доступа и одного коммутатора уровня агрегации. В Packet Tracer имеются аналогичные коммутаторы уровня доступа и уровня агрегации. Будем использовать 2960-24ТТ в качестве коммутатора уровня доступа и 3560-24PS в качестве коммутатора уровня агрегации. В приложении Е приведена схема смоделированная в Packet Tracer.
4.3 Разработка Vlan
Сеть доступа и агрегации обеспечивает подключение абонента к
сервисному уровню (уровню предоставления услуг). Услуги, реализованные с Размещено на http://www.allbest.ru/ помощью выделенной сервисной границы, как правило, требуют обеспечить подключение абонента к оборудованию сервисного уровня на втором уровне модели OSI. В сети доступа и агрегации такие подключения выполняются посредством набора VLAN. Услуги приложений могут использовать оборудование агрегации в качестве упрощенной сервис-ной границы, и соответствующий VLAN как средство подключения пользовательского терминала к узлу агрегации необходим только на уровне доступа. Существуют две базовые модели использования VLAN в сетях доступа и агрегации: «VLAN на пользователя» и «VLAN на сервис/группу пользователей»
Рис. 6 - Модель Vlan 1:1
Рис. 7 - Модель Vlan 1:N
Модель 1:1 предполагает, что каждому абоненту соответствует свой
персональный VLAN на всей сети доступа и агрегации вплоть до уровня сервисной границы Модель N:1, напротив, заключается в том, что один Размещено на http://www.allbest.ru/ общий VLAN используется для некоторой группы абонентов Каждая из этих схем имеет свои достоинства и недостатки. Рассмотрим их подробнее. Начнем с модели 1:1, или «VLAN на абонента». К числу ее безусловных достоинств относится довольно высокая степень изоляции абонентов друг от друга на всей сети доступа и агрегации. Поскольку каждый абонент в этой модели имеет фактически свой выделенный VLAN типа «точка-точка», в котором находятся всего лишь два хоста - он сам (его CPE) и соответствующий ему интерфейс на BRAS, вопросы изоляции абонентов друг от друга и контроля их трафика решаются автоматически. Абонент может передавать трафик только на выделенный ему логический интерфейс BRAS, проверка легитимности использования IP/MAC адреса абонента осуществляется исключительно на BRAS. Модель 1:1 позволяет обеспечить четкую идентификацию порта подключения абонента на устройстве BRAS - по номеру VLAN-абонента. С другой стороны, эта модель предполагает наличие большого числа VLAN в сети доступа и агрегации. Поскольку пространство номеров VLAN ограничено (на номер VLAN в стандарте 802.1q выделено 12 бит. Таким образом, мы имеем 4095 уникальных значений номеров VLAN), для внедрения этой модели приходится применять двойную 802.1q инкапсуляцию, то есть QinQ-инкапсуляцию (иерархическую нумерацию VLAN). Как правило, второй, верхний VLAN тег в этой схеме определяет коммутатор доступа или кольцо коммутаторов доступа. Кроме того, эта модель требует назначения индивидуального номера VLAN каждому абоненту, то есть требует от оператора, во-первых, изначального планирования множества номеров VLAN в сети и, во-вторых, выделения и назначения индивидуального номера на момент подключения абонента, увеличивая трудозатраты на выполнение та-кого подключения. Альтернативой тут могла бы быть разработка схемы нумерации VLAN, позволяющей провести так называемый пре-провиженинг оборудования доступа, то есть изначально присвоить уникальные номера VLAN всем Размещено на http://www.allbest.ru/ портам коммутаторов доступа. Такие схемы часто применяются операторами DSL-сетей доступа. Однако, как показывает практика, разработать подходящую схему для Ethernet-доступа оказывается или до-вольно сложно, или вообще невозможно. Связано это с тем, что Ethernet-доступ носит более распределенный характер, коэффициент использования портов коммутаторов доступа сильно различается от дома к дому, периодически в кольцо требуется подключить новый коммутатор, что может сломать принятую изначально схему. Вторая модель, N:1 или «VLAN на сервис», предполагает, что для группы абонентов, подключенных к общему сервису, выделяется один общий VLAN, который соединяет эту группу абонентов с виртуальным интерфейсом, организованным на оборудовании, выполняющем функции сервисной границы для этого сервиса. Это может быть, например, интерфейс на BRAS для сервиса доступа в Интернет или интерфейс на оборудовании агрегации для сервиса IPTV. Для подачи этой же группе абонентов другого сервиса может использоваться как этот же, так и отдельный, второй общий VLAN. Модель «VLAN на сервис», в отличие от модели выделенных VLAN, существенно проще с точки зрения управления пространством номеров VLAN. Число VLAN в сети существенно уменьшается, во многих случаях позволяя отказаться от необходимости стекирования тегов VLAN (то есть в модели N:1 можно обойтись без применения технологии QinQ). Упрощается технология подключения абонента - все порты коммутаторов доступа настраиваются одинаково, не требуется индивидуальных настроек номеров VLAN. Отказ от технологии QinQ позволяет упростить технологию подачи мультикаста. Наиболее важным достоинством модели N:1, на наш взгляд, является возможность строить сеть с множеством сервисных границ, то есть VLAN, предназначенный для обеспечения доступа в Интернет, может «приземляться» на BRAS, а VLAN, предназначенный для услуг IPTV - непосредственно на устройстве уровня агрегации, снижая нагрузку на BRAS и уменьшая общую стоимость сети для оператора связи. Размещено на http://www.allbest.ru/
4.4 Конфигурирование коммутатора уровня доступа
Первое что необходимо сконфигурировать это имена и пароли
Switch >enable Switch #conf terminal Switch (config)# hostname switch_UD109 Имена коммутаторов задаются в соответствии с паспортными данными расположения оборудования. Данный коммутатор будет располагаться в узле доступа №109. Далее сконфигурируем консоль и защитим паролем switch_UD109(config)#line console 0 switch_UD109(config-line)#password cisco switch_UD109(config-line)#login сконфигурируем виртуальные линии switch_UD109(config)#line vty 0 15 switch_UD109(config-line)#password cisco switch_UD109(config-line)#login установим пароли switch_UD109(config)#enable password cisco switch_UD109(config)#enable secret 7xcv79bc На этом начальное конфигурирование закончено. Переходим к детальному конфигурированию. Как уже говорилось ранее в данной сети будем использовать технологию Vlan 1:1. Для наглядности в данной схеме подключено по одному абоненту. Создадим Vlan в соответствии с таблицей. switch_UD109#enable Размещено на http://www.allbest.ru/ switch_UD109#conf terminal switch_UD109(config)#vlan 10 далее припишем созданный vlan к порту коммутатора fastEthernet 0/1 и зададим параметры интерфейса switch_UD109(config)#interface fastEthernet 0/1 switch_UD109(config-if)#switchport mode access switch_UD109(config-if)#switchport access vlan 10 также зададим параметры интерфейсов обеспечивающих соединение между коммутаторами Для передачи нескольких VLAN по одному каналу нужно чтобы порты коммутатора были в режиме Trunk switch_UD109(config)#interface gigabitEthernet 1/1 switch_UD109(config-if)#switchport mode trunk switch_UD109(config)#interface gigabitEthernet 1/2 switch_UD109(config-if)#switchport mode trunk На этом конфигурирование коммутатора заканчивается. Конфигурирование других коммутаторов производится по аналогии.
4.5 Конфигурирование и маршрутизация коммутатора уровня
агрегации
На начальной стадии конфигурирования необходимо задать имена и
пароли. Switch>enable Switch#conf terminal Switch(config)#hostname switch_routing switch_routing(config)#enable password cisco switch_routing(config)#enable secret 7xcv79bc switch_routing(config)#line console 0 Размещено на http://www.allbest.ru/ switch_routing(config-line)#password cisco switch_routing(config-line)#login switch_routing(config)#line vty 0 4 switch_routing(config-line)#password cisco switch_routing(config-line)#login далее необходимо создать и сконфигурировать Vlan . задаем ip адреса vlan в соответствии с таблицей switch_routing(config)#interface vlan 10 switch_routing(config-if)#ip address 192.168.10.1 255.255.255.248 switch_routing(config)#interface vlan 20 switch_routing(config-if)#ip address 192.168.10.9 255.255.255.248 switch_routing(config)#interface vlan 30 switch_routing(config-if)#ip address 192.168.10.17 255.255.255.248 switch_routing(config)#interface vlan 40 switch_routing(config-if)#ip address 192.168.10.25 255.255.255.248 switch_routing(config)#interface vlan 50 switch_routing(config-if)#ip address 192.168.10.33 255.255.255.248 switch_routing(config)#interface vlan 60 switch_routing(config-if)#ip address 192.168.10.41 255.255.255.248 далее сконфигурируем интерфейсы GigabitEthernet 0/1 и 0/2 switch_routing(config)#interface gigabitEthernet 0/1 switch_routing(config-if)#switchport mode trunk switch_routing(config-if)#switch trunk encapsulation dot1q switch_routing(config)#interface gigabitEthernet 0/2 switch_routing(config-if)#switchport mode trunk switch_routing(config-if)#switch trunk encapsulation dot1q и включим функцию маршрутизации switch_routing(config)#ip routing После данных действий сеть полностью работоспособна. Размещено на http://www.allbest.ru/ Обеспечение безопасности сети В данной сети разработана схема обеспечения безопасности удовлетворяющая основным требованиям и принципам обеспечения безопасности. При разработке данной схемы необходимо было учесть некоторые особенности такие как: На уровне доступа я использовал стандартную функцию защиты портов коммутаторов а именно создание списков разрешенных mac адресов на каждый порт коммутатора и приписка интерфейсов Vlan к портам коммутатора это означает что только определённое конечное устройство входящие в определённый vlan может получать трафик только с определённого порта на коммутаторе. На уровне агрегации используется фильтрация конечных устройств по ip адресам путём создания списков доступа. Хотелось бы отметить что все интерфейсы и настройки vlan созданы именно на коммутаторе уровня агрегации что делает еще более затруднительным для злоумышленников получить траффик и доступ к конфигурации агрегирующего оборудования. Дополнительно я запретил всем конечным устройствам получить доступ на удаленное управление агрегирующего оборудования кроме определённых конечных устройств. Это достигается путем создание списков доступа на удалённый доступ. Таким образом, схема обеспечения безопасности состоит из двух этапов идентификации Размещено на http://www.allbest.ru/ 5. Идентификация пользователя по mac-адресу на уровне доступа
5.1 Безопасность коммутаторов. Общие сведения
интернет доступ сеть идентификация Маршрутизаторы и коммутаторы внутри организаций часто имеют минимальную конфигурацию безопасности, что делает их потенциальной целью для атак злоумышленников. Если атака инициирована на втором уровне с внутреннего устройства комплекса зданий, оставшаяся сеть может быть быстро взломана, причем злоумышленник часто остается необнаруженным. Отрасль уделяет значительное внимание защите от атак, направленных извне стен организации и использующие протоколы верхних уровней модели OSI. Сетевая безопасность часто сосредотачивается на периферийных маршрутизаторах и фильтрации пакетов на базе заголовков, портов, анализа пакетов с учетом состояния и других функций третьего и четвертого уровней. Этот подход охватывает уровни начиная с третьего, так как трафик попадает в сеть комплекса зданий из Интернета. Устройство доступа в комплексе зданий и каналы связи второго уровня не рассматриваются в большинстве дискуссий по безопасности. Внутренние маршрутизаторы cisco и коммутаторы организации предназначены для обеспечения связи за счет передачи трафика внутри комплекса зданий. По умолчанию они пересылают весь трафик, если иное не задано в конфигурации. Цель таких устройств обеспечение связи, поэтому их конфигурации безопасности зачастую минимальны и это делает устройства потенциальной целью для атак злоумышленников. Если атака инициирована на втором уровне с внутреннего устройства комплекса зданий, оставшаяся сеть может быть быстро взломана, причем злоумышленник часто остается необнаруженным. Как и третий уровень, где меры безопасности традиционно применялись на устройствах внутри комплекса зданий, второй уровень Размещено на http://www.allbest.ru/ требует мер безопасности для защиты от атак, основанных на обычных операциях коммутатора второго уровня. Для коммутаторов и маршрутизаторов доступно множество функций безопасности, однако, чтобы эти функции работали, их необходимо включить. Администратор должен создать политики и настроить функции для защиты от действий злоумышленников (процесс аналогичен внедрению списков контроля доступа (ACL) для обеспечения безопасности на верхних уровнях), и в то же время поддерживать нормальную работу сети. Рекомендуемые методы: Проанализировать или создать организационные политики безопасности Защита коммутаторов: Защита доступа к коммутаторам. Риски сетевой безопасности включают нарушение конфиденциальности, кражу данных, персонацию и потерю целостности данных. Для уменьшения последствий небрежности пользователей и вредоносных действий необходимо принять базовые меры безопасности для всех сетей. Рекомендуемые методы предполагают два базовых действия, которые необходимо выполнить при вводе нового оборудования в эксплуатацию: Действие 1 проанализировать или создать организационные политики безопасности; Действие 2 обеспечить безопасность коммутаторов, защитив доступ к коммутатору и протоколам коммутации и снизить риски, связанные с угрозами, инициированными с коммутатора.
5.2 Организационные политики безопасности
При определении уровня и типа политик безопасности для сети
необходимо учесть политики организации. Вы должны найти компромисс Размещено на http://www.allbest.ru/ между разумным уровнем сетевой безопасности и административными издержками, связанными со слишком строгими мерами безопасности. Поддержка процесса для ревизии существующей системы сетевой безопасности Поддержка общей структуры безопасности, на базе которой будет внедряться сетевая безопасность. Определение запрещенных режимов работы с данными в электронном формате. Определение инструментов и процедур, необходимых для организации. Политика должна быть основана на договоренности между лицами, принимающими решения, и должна определять обязанности пользователей и администраторов. Определение процесса обработки инцидентов сетевой безопасности. Создание плана внедрения безопасности, охватывающего все площадки предприятия, и приведение этого плана в действие.
5.3 Обеспечение безопасности коммутаторов уровня доступа
В этом разделе описываются действия, которые необходимо
предпринять, чтобы обеспечить безопасность коммутаторов. Защита физического доступа к консоли. Задание системных паролей. Защита доступа по Telnet. Защита портов коммутатора
5.3.1 Защита физического доступа к консоли
Предотвращение неавторизованного доступа к сетевым ресурсам означает, прежде всего, невозможность физического доступа к компонентам сети - рабочим станциям, серверам, сетевым кабелям и устройствам, и т.п. Когда сетевое соединение выходит за пределы вашей зоны влияния, например Размещено на http://www.allbest.ru/ в точке подключения к внешнему провайдеру интернета, то контроль за физическими аспектами сети, разумеется, теряется - и остается полагаться на другие методы. Но оборудование в помещении должно находиться под пристальным наблюдением. Как бы глупо это ни звучало, но от несанкционированного доступа часто спасает простой дверной замок. Серверы, на которых хранятся важные или уязвимые данные, не должны стоять открыто на столе или в незапертой комнате, куда может зайти кто угодно. Аналогичным образом должны защищаться маршрутизаторы, концентраторы, коммутаторы и другие устройства. Комнаты с оборудованием должны закрываться на замок или находиться под круглосуточным наблюдением. физическую безопасность оборудование уровня доступа нам будут обеспечивать антивандальные шкафы 10U в которые в дальнейшем будет установлено следующее оборудование: оптический кросс – КРС-16 или КРС-24; коммутаторы LS-S2326TP-E1 или LS S2352TP-E1; ИБП APC Back-UPC 750VA; автоматический выключатель на Автомат ВА 47-29 1Р, Iном=16A блок розеток на 3 поз.; патч-панели 19" на 24 порта Размещение оборудования с установкой телекоммуникационных шкафов выполняется с учетом согласованных списков и схем размещения оборудования Заказчиком. Антивандальные шкафы устанавливаются на верхних этажах домов или в помещениях специально оборудованных для установки подобных конструкций. Это могут быть технические этажи или чердаки. Доступ к которым дополнительно обеспечивает управляющая компания жилищно коммунального хозяйства. Чтобы получить доступ к данным помещениям проводятся согласования на стадии планирования строительства. Размещено на http://www.allbest.ru/ В приложении Ё приведены чертеж и фотография антивандального шкафа обеспечивающего физическую безопасность оборудования уровня доступа.
5.3.2 Защита доступа по Telnet
Основной возможностью защиты маршрутизаторов Cisco является управление доступом Telnet к маршрутизатору. Этот тип защиты важен, поскольку с помощью Telnet к маршрутизатору можно получить привилегированный доступ. При попытке доступа к маршрутизатору с помощью Telnet пользователь получает приглашение маршрутизатора в пользовательском режиме. Затем пользователь может войти в привилегированный режим. Рассмотрим несколько замечаний, которые следует учитывать при управлении доступом Telnet. • Порты Telnet в маршрутизаторе называются портами виртуальных терминалов (портами vty). • Следует установить пароль привилегированного режима (пароль enable), ограничивающий доступ к привилегированному режиму через Telnet. • По умолчанию пароль режима enable для маршрутизатора не установлен. При по пытке подключения посредством Telnet к интерфейсу, пароль для которого не установлен, вы увидите сообщение, информирующее о том, что требуется пароль, но он не был установлен. Консольный порт при этом является единственным портом, позволяющим доступ в привилегированном режиме, когда пароль vty не установлен. • Программное обеспечение Cisco IOS использует один и тот же пароль для пор тов vty и консоли. • Необходимо ограничить доступ Telnet с помощью команд access-class и access-list, в частности необходимо сделать следующее: • ограничить доступ Telnet источникам с определенными IP-адресами; Размещено на http://www.allbest.ru/ • определить стандартный список доступа с разрешенными IP адресами; • использовать список доступа для линий vty с помощью команды access-class. • Необходимо настроить все заданные конфигурацией порты vty. Порты с номерами 0-4 имеются по умолчанию, но можно назначить и большее число портов. • Следует ограничить доступ к порту aux, заблокировать его или вообще отключить с помощью команды no exec в режиме конфигурации линии. • Нужно отключить команды, подобные ip alias, no cdp running и no cdp enable, чтобы предотвратить возможность доступа нарушителей к маршрутизатору через порты vty. • Необходимо заблокировать запросы отклика с помощью команд no service tcp-small-servers и по service udp-small-servers. • Следует установить ограничения на типы соединений (secure shell, LAT, RCP), которые могут быть открыты к маршрутизатору, используя для этого команды transport input. В нашем случае обеспечить защиту к удаленному доступу не будет вызывать сложностей в конфигурирование т.к. в сетях подобного типа. Удаленный доступ с пользовательских компьютеров не то чтобы нужен а наоборот повышает риск взлома удаленного доступа с любого конечного устройства что в свою очередь может привезти к выводу из строя всей сети. Все что нам нужно это: Сконфигурировать пароль на удаленный доступ Создать список доступа на удаленный доступ с определённого ip адресса в нашем случает это будет ip адрес компьютера главного администратора Размещено на http://www.allbest.ru/ Switch#ena Switch#conf terminal Switch(config)#line vty 0 15 Задаём пороли на вход в привилегированный режим Switch(config-line)#password cisco Switch(config-line)#login Switch(config-line)#exit Switch(config)#enable secret ciscosecre Создаём список доступа и разрежаем доступ с данного ip адреса Switch(config)#ip access-list standard 99 Switch(config-std-nacl)#permit 192.168.10.2 Switch(config-std-nacl)#exit Switch(config)#line vty 0 15 Применяем список доступа на виртуальные линии Switch(config-line)#access-class 99 in Проделанные действия обеспечат нам удаленный доступ только с 192.168.10.2 Для всех остальных хостов удаленный доступ будет закрыт.
5.3.3 Защита портов коммутатора
Защита портов - эта функция коммутаторов Cisco Catalyst, которая разрешает доступ к порту ограниченному набору MAC адресов. Коммутатор может добавлять эти адреса динамически или вы можете задать их статически. Порт, на котором настроена функция защиты порта, принимает кадры только от добавленных или заданных адресов. Существует несколько вариантов защиты порта. Динамический. Вы можете указать, сколько MAC адресов могут одновременно использовать порт. Динамический метод используется, если имеет значение только количество разрешенных MAC адресов, а не их значения. В зависимости от конфигурации коммутатора, эти динамически Размещено на http://www.allbest.ru/ добавленные адреса устаревают по прошествии определенного периода времени. Вместо устаревших адресов порт добавляет новые адреса, пока их количество не увеличивается до заданного максимального значения. Статический. Вы статически назначаете MAC адреса, которые имеют право на использование порта. MAC адреса источника, которым не будет присвоено это право, не смогут отправлять кадры в порт. Комбинация статического и динамического добавления адресов. Вы можете задать несколько разрешенных MAC адресов и позволить коммутатору динамически добавить остальные MAC адреса. Например, если задано максимальное число MAC адресов, равное четырем, и вы статически настроили два MAC адреса, коммутатор динамически добавит два следующих MAC адреса, полученных на соответствующем порту. Доступ к порту будет предоставляться только этим четырем адресам, два из которых заданы статически и другие два добавлены динамически. Статически заданные адреса не устаревают, однако динамически добавленные адреса могут устареть, в зависимости от конфигурации коммутатора. • Динамическая запись с закреплением. Если на интерфейсе настроена эта функция, он автоматически «закрепляет» динамически добавленные адреса. Это значит, что динамически добавленные адреса записываются в работающую конфигурацию так, как если бы они были статически заданы с помощь команды switchport portsecurity macaddress. Закрепленные адреса не устаревают Port security - функция коммутатора, позволяющая указать MAC-адреса хостов, которым разрешено передавать данные через порт. После этого порт не передает пакеты, если MAC-адрес отправителя не указан как разрешенный. Кроме того, можно указывать не конкретные MAC-адреса, разрешенные на порту коммутатора, а ограничить количество MAC-адресов, которым разрешено передавать трафик через порт. Размещено на http://www.allbest.ru/ 5.3.4 Безопасные MAC-адреса Коммутатор поддерживает такие типы безопасных MAC-адресов: Статические MAC-адреса: задаются статически командой switchport port-security mac-address mac- address в режиме настройки интерфейса, хранятся в таблице адресов, добавляются в текущую конфигурацию коммутатора; Динамические MAC-адреса: динамически выучиваются, хранятся только в таблице адресов, удаляются при перезагрузке коммутатора; Sticky MAC-адреса: могут быть статически настроены или динамически выучены, хранятся в таблице адресов, добавляются в текущую конфигурацию коммутатора. Если эти адреса сохранены в конфигурационном файле, после перезагрузки коммутатора, их не надо заново перенастраивать. Режимы реагирования на нарушения безопасности Нарушением безопасности для port security считаются ситуации: максимальное количество безопасных MAC-адресов было добавлено в таблицу адресов и хост, чей MAC-адрес не записан в таблице адресов пытается получить доступ через интерфейс, адрес, выученный или настроенный как безопасный на одном интерфейсе, появился на другом безопасном интерфейсе в том же VLAN'е. На интерфейсе могут быть настроены такие режимы реагирования на нарушения безопасности: protect - когда количество безопасных MAC-адресов достигает максимального ограничения настроенного на порту, пакеты с неизвестным MAC-адресом отправителя отбрасываются до тех пор, пока не будет удалено достаточное количество безопасных MAC-адресов, чтобы их количество было меньше максимального значения, или увеличено максимальное количество разрешенных адресов. Оповещения о нарушении безопасности нет. Размещено на http://www.allbest.ru/ restrict - когда количество безопасных MAC-адресов достигает максимального ограничения настроенного на порту, пакеты с неизвестным MAC-адресом отправителя отбрасываются до тех пор, пока не будет удалено достаточное количество безопасных MAC-адресов, чтобы их количество было меньше максимального значения, или увеличено максимальное количество разрешенных адресов. В этом режиме при нарушении безопасности отправляется оповещение - отправляется SNMP trap, сообщение syslog и увеличивается счетчик нарушений (violation counter). shutdown - нарушение безопасности приводит к тому, что интерфейс переводится в состояние error-disabled и выключается немедленно, и выключается LED порта. Отправляется SNMP trap, сообщение syslog и увеличивается счетчик нарушений. Когда порт в состоянии error-disabled, вывести из этого состояния его можно введя команду errdisable recovery cause psecure-violation или вручную включить интерфейс введя в режиме настройки интерфейса shutdown и no shutdown. Это режим по умолчанию.
5.3.5 Настройка port security
Port security настраивается в режиме настройки интерфейса. На многих коммутаторах Cisco по умолчанию порт находится в режиме dynamic auto, однако этот режим не совместим с функцией port security. Поэтому интерфейс надо перевести в режим trunk или access. В нашем случае требуется использовать на коммутаторах уровня доступа на портах Fastethernet соединение access, а для коммутатора уровня агрегации использовать соединение trunk. Для этого необходимо сконфигурировать данные интерфейсы так: Switch>enable Switch#conf terminal switch_UD109(config)#interface fastEthernet 0/1 switch_UD109(config-if)#switchport mode access Размещено на http://www.allbest.ru/ аналогично производим конфигурирование для всех коммутаторов уровня доступа. Конфигурирование коммутатора уровня агрегации будет следущем: Switch>enable Switch#conf terminal switch_routing(config)#interface fastEthernet 0/1 switch_routing(config-if)#switchport mode trunk Далее необходимо сконфигурировать список разрешенных mac адресов и приписать их с портам коммутатора. Mac адрес - это уникальный идентификатор, присваиваемый каждой единице оборудования компьютерных сетей. В широковещательных сетях (таких, как сети на основе Ethernet) MAC-адрес позволяет уникально идентифицировать каждый узел сети и доставлять данные только этому узлу. Таким образом, MAC-адреса формируют основу сетей на канальном уровне, которую используют протоколы более высокого (сетевого) уровня Также хотелось бы отметить что установка разрешенных адресов могут устанавливаться как на порты коммутатора так и на интерфейсы Vlan. Нам лучше сделать привязку адресов именно к портам коммутатора так как интерфейсы vlan у нас также приписаны к портам коммутатора. Перед началом конфигурирования списка разрешенных mac адресов необходимо выполнить следующие действия: Switch>enable Switch#conf terminal switch_UD109(config)#interface fastEthernet 0/1 далее необходимо включить функцию port security switch_UD109(config)# port-security задать количество безопасных адресов равное 1 Switch_UD109(config-if)#switchport port-security maximum 1 Размещено на http://www.allbest.ru/ Установить режим безопасных адресов sticky и указать разрешенный адрес Switch_UD109(config-if)#switchport port-security mac-address sticky 0001.6450.62DC Установить режим реагирования на нарушение безопасности Switch_UD109(config-if)#switchport port-security violation protect После проделанных действий компьютер с mac адресом 0001.6450.62DC Может получить доступ к сети только с определённого коммутатора и только с определённого порта, а именно с коммутатора по адресу UD109 и с порта fastEthernet 0/1 На мой взгляд данная схема обеспечения безопасности наиболее проста и в тоже время полноценно обеспеченна всеми необходимыми средствами технической безопасности. На этом примере показана наглядная схема обеспечения безопасности портов коммутатора. Аналогично производится конфигурирование остальных коммутаторов в данном оптическом кольце. Ниже приведены списки конфигураций коммутаторов уровня доступа: Коммутатор по адресу ул. Союзная 45 UD109 version 12.2 no service timestamps log datetime msec no service timestamps debug datetime msec no service password-encryption hostname switch_UD109 enable secret 5 $1$mERr$oXudM0pt1ousyj22XJqei/ spanning-tree mode pvst interface FastEthernet0/1 switchport access vlan 10 switchport mode access Размещено на http://www.allbest.ru/ switchport port-security switchport port-security mac-address sticky switchport port-security violation protect switchport port-security mac-address sticky 0001.6450.62DC interface FastEthernet0/2 switchport access vlan 11 switchport mode access switchport port-security switchport port-security mac-address sticky switchport port-security violation protect switchport port-security mac-address sticky 0010.6450.62DC interface FastEthernet0/3 switchport access vlan 12 switchport mode access switchport port-security switchport port-security mac-address sticky switchport port-security violation protect switchport port-security mac-address sticky 0011.6450.62DC interface FastEthernet0/9 switchport access vlan 18 switchport mode access switchport port-security switchport port-security mac-address sticky switchport port-security violation protect switchport port-security mac-address sticky 1100.6450.62DC interface GigabitEthernet1/1 switchport mode trunk interface GigabitEthernet1/2 switchport mode trunk Размещено на http://www.allbest.ru/ interface Vlan1 no ip address shutdown line con 0 line vty 0 4 password cisco login line vty 5 15 password cisco login end Коммутатор по адресу ул. Союзная 47 UD110 version 12.2 no service timestamps log datetime msec no service timestamps debug datetime msec no service password-encryption hostname switch_UD110 enable secret 5 $1$mERr$oXudM0pt1ousyj22XJqei/ spanning-tree mode pvst interface FastEthernet0/1 switchport access vlan 20 switchport mode access switchport port-security switchport port-security mac-address sticky switchport port-security violation protect switchport port-security mac-address sticky 0001.6450.62DH interface FastEthernet0/2 switchport access vlan 21 switchport mode access Размещено на http://www.allbest.ru/ switchport port-security switchport port-security mac-address sticky switchport port-security violation protect switchport port-security mac-address sticky 0010.6450.62EC interface FastEthernet0/3 switchport access vlan 22 switchport mode access switchport port-security switchport port-security mac-address sticky switchport port-security violation protect switchport port-security mac-address sticky 0011.6450.62KC interface FastEthernet0/9 switchport access vlan 28 switchport mode access switchport port-security switchport port-security mac-address sticky switchport port-security violation protect switchport port-security mac-address sticky 1100.6450.62DL interface GigabitEthernet1/1 switchport mode trunk interface GigabitEthernet1/2 switchport mode trunk interface Vlan1 no ip address shutdown line con 0 line vty 0 4 password cisco login Размещено на http://www.allbest.ru/ line vty 5 15 password cisco login end Коммутатор по адресу ул. Союзная 51 UD112 version 12.2 no service timestamps log datetime msec no service timestamps debug datetime msec no service password-encryption hostname switch_UD112 enable secret 5 $1$mERr$oXudM0pt1ousyj22XJqei/ spanning-tree mode pvst interface FastEthernet0/1 switchport access vlan 30 switchport mode access switchport port-security switchport port-security mac-address sticky switchport port-security violation protect switchport port-security mac-address sticky 0001.6650.62DC interface FastEthernet0/2 switchport access vlan 31 switchport mode access switchport port-security switchport port-security mac-address sticky switchport port-security violation protect switchport port-security mac-address sticky 0010.6459.62DC interface FastEthernet0/3 switchport access vlan 32 switchport mode access Размещено на http://www.allbest.ru/ switchport port-security switchport port-security mac-address sticky switchport port-security violation protect switchport port-security mac-address sticky 0011.6430.62DC interface FastEthernet0/9 switchport access vlan 38 switchport mode access switchport port-security switchport port-security mac-address sticky switchport port-security violation protect switchport port-security mac-address sticky 1100.6650.62DH nterface GigabitEthernet1/1 switchport mode trunk nterface GigabitEthernet1/2 switchport mode trunk interface Vlan1 no ip address shutdown line con 0 line vty 0 4 password cisco login line vty 5 15 password cisco login end Коммутатор по адресу ул. Союзная 53 UD111 version 12.2 no service timestamps log datetime msec Размещено на http://www.allbest.ru/ no service timestamps debug datetime msec no service password-encryption hostname switch_UD111 enable secret 5 $1$mERr$oXudM0pt1ousyj22XJqei/ spanning-tree mode pvst interface FastEthernet0/1 switchport access vlan 40 switchport mode access switchport port-security switchport port-security mac-address sticky switchport port-security violation protect switchport port-security mac-address sticky 0001.6450.62EC interface FastEthernet0/2 switchport access vlan 41 switchport mode access switchport port-security switchport port-security mac-address sticky switchport port-security violation protect switchport port-security mac-address sticky 0010.6450.627C interface FastEthernet0/3 switchport access vlan 42 switchport mode access switchport port-security switchport port-security mac-address sticky switchport port-security violation protect switchport port-security mac-address sticky 0011.6450.6FDC interface FastEthernet0/9 switchport access vlan 48 switchport mode access Размещено на http://www.allbest.ru/ switchport port-security switchport port-security mac-address sticky switchport port-security violation protect switchport port-security mac-address sticky 1100.6450.62YC interface GigabitEthernet1/1 switchport mode trunk interface GigabitEthernet1/2 switchport mode trunk interface Vlan1 no ip address shutdown line con 0 line vty 0 4 password cisco login line vty 5 15 password cisco login Коммутатор по адресу ул. Союзная 55 UD114 version 12.2 no service timestamps log datetime msec no service timestamps debug datetime msec no service password-encryption hostname switch_UD114 enable secret 5 $1$mERr$oXudM0pt1ousyj22XJqei/ spanning-tree mode pvst interface FastEthernet0/1 switchport access vlan 50 switchport mode access Размещено на http://www.allbest.ru/ switchport port-security switchport port-security mac-address sticky switchport port-security violation protect switchport port-security mac-address sticky 0001.6450.62DC interface FastEthernet0/2 switchport access vlan 51 switchport mode access switchport port-security switchport port-security mac-address sticky switchport port-security violation protect switchport port-security mac-address sticky 0010.6450.62DC interface FastEthernet0/3 switchport access vlan 52 switchport mode access switchport port-security switchport port-security mac-address sticky switchport port-security violation protect switchport port-security mac-address sticky 0011.6450.62DC interface FastEthernet0/9 switchport access vlan 58 switchport mode access switchport port-security switchport port-security mac-address sticky switchport port-security violation protect switchport port-security mac-address sticky 1100.6450.62DC interface GigabitEthernet1/1 switchport mode trunk interface GigabitEthernet1/2 switchport mode trunk Размещено на http://www.allbest.ru/ interface Vlan1 no ip address shutdown line con 0 line vty 0 4 password cisco login line vty 5 15 password cisco login end Коммутатор по адресу ул. Союзная 57UD113 version 12.2 no service timestamps log datetime msec no service timestamps debug datetime msec no service password-encryption hostname switch_UD113 enable secret 5 $1$mERr$oXudM0pt1ousyj22XJqei/ spanning-tree mode pvst interface FastEthernet0/1 switchport access vlan 60 switchport mode access switchport port-security switchport port-security mac-address sticky switchport port-security violation protect switchport port-security mac-address sticky 0001.6450.62DC interface FastEthernet0/2 switchport access vlan 61 switchport mode access Размещено на http://www.allbest.ru/ switchport port-security switchport port-security mac-address sticky switchport port-security violation protect switchport port-security mac-address sticky 0010.6450.62DC interface FastEthernet0/3 switchport access vlan 62 switchport mode access switchport port-security switchport port-security mac-address sticky switchport port-security violation protect switchport port-security mac-address sticky 0011.6450.62DC interface FastEthernet0/9 switchport access vlan 68 switchport mode access switchport port-security switchport port-security mac-address sticky switchport port-security violation protect switchport port-security mac-address sticky 1100.6450.62DC interface GigabitEthernet1/1 switchport mode trunk interface GigabitEthernet1/2 switchport mode trunk interface Vlan1 no ip address shutdown line con 0 line vty 0 4 password cisco login Размещено на http://www.allbest.ru/ line vty 5 15 password cisco login end
5.4 Обеспечение безопасности коммутатора уровня агрегации
На оборудование агрегации в моей дипломной работе ложится
основная нагрузка по реализации мер защиты. В их число входят применение списков контроля над доступом (ACL), статическое закрепление ip адресов к vlan маршрутизация, блокировка неразрешенных ip адресов, авторизация по протоколу 802.1х или привязка IP-адреса к конкретному MAC-адресу. На этом уровне должна обеспечиваться поддержка механизмов качества обслуживания, заключающаяся в сегментации трафика по очередям приоритетов. В данной сети разработана схема обеспечения безопасности удовлетворяющая основным требованиям и принципов обеспечения безопасности оборудования уровня агрегации. Разработанная схема безопасности имеет несколько особенностей такие как: Поскольку именно на оборудовании уровня агрегации происходит коммутация и распределение траффика немало важным фактором является то что, получить доступ к конфигурации всей сети злоумышленнику необходимо получить доступ именно к коммутатору уровня агрегации. Поэтому необходимо создавать списки доступа и конфигурировать интерфейсы Vlan именно на коммутаторах уровня агрегации а на уровне доступа минимизировать конфигурации оборудования потому что получить доступ к оборудованию уровню доступа гораздо легче чем к уровню агрегации. Поэтому было принято решение максимально обеспечить контроль над трафиком и доступом к конфигурации оборудования. Размещено на http://www.allbest.ru/ Для достижения этих целей было проделана следующая работа. На начальной стадии конфигурирования необходимо задать имена и пароли. Switch>enable Switch#conf terminal Switch(config)#hostname switch_routing switch_routing(config)#enable password cisco switch_routing(config)#enable secret 7xcv79bc switch_routing(config)#line console 0 switch_routing(config-line)#password cisco switch_routing(config-line)#login switch_routing(config)#line vty 0 4 switch_routing(config-line)#password cisco switch_routing(config-line)#login далее необходимо создать и сконфигурировать Vlan switch_routing(config)#interface vlan 10 switch_routing(config-if)#ip address 192.168.10.1 255.255.255.248 switch_routing(config)#interface vlan 20 switch_routing(config-if)#ip address 192.168.10.9 255.255.255.248 switch_routing(config)#interface vlan 30 switch_routing(config-if)#ip address 192.168.10.17 255.255.255.248 switch_routing(config)#interface vlan 40 switch_routing(config-if)#ip address 192.168.10.25 255.255.255.248 switch_routing(config)#interface vlan 50 switch_routing(config-if)#ip address 192.168.10.33 255.255.255.248 switch_routing(config)#interface vlan 60 switch_routing(config-if)#ip address 192.168.10.41 255.255.255.248 далее сконфигурируем интерфейсы GigabitEthernet 0/1 и 0/2 Размещено на http://www.allbest.ru/ поскольку по интерфейсам GigabitEthernet будет проходить трафик в разные vlan необходимо утрановить соединение trunk. switch_routing(config)#interface gigabitEthernet 0/1 switch_routing(config-if)#switchport mode trunk switch_routing(config-if)#switch trunk encapsulation dot1q switch_routing(config)#interface gigabitEthernet 0/2 switch_routing(config-if)#switchport mode trunk switch_routing(config-if)#switch trunk encapsulation dot1q и включим функцию маршрутизации switch_routing(config)#ip routing после того как были заданы основные параметры сети необходимо обеспечить контроль доступа на удалённый доступ хотелось бы отметить, что данная конфигурация принадлежит коммутатору уровня агрегации. Подобная конфигурация выполнялась также на коммутаторы уровня доступа. Задаём пороли на вход в привилегированный режим Switch_routing (config-line)#password cisco Switch_routing (config-line)#login Switch_routing (config-line)#exit Switch_routing (config)#enable secret ciscosecret Создаём список доступа и разрешаем доступ с данного ip адреса Switch_routing(config)#ip access-list standard 98 Switch_routing (config-std-nacl)#permit 192.168.10.2 Switch_routing (config-std-nacl)#exit Switch_routing (config)#line vty 0 15 Применяем список доступа на виртуальные линии Switch(config-line)#access-class 99 in Проделанные действия обеспечат нам удаленный доступ только с 192.168.10.2. Размещено на http://www.allbest.ru/ 5.4.1 Конфигурирование списков доступа Списки доступа позволяют управлять прохождением траффика через интерфейсы коммутатора, разрешая или запрещая передачу пакетов, удовлетворяющих указанным условиям. Списки доступа используются в качестве базового средства обеспечения безопасности сети. Списки доступа (access-lists) используются в целом ряде случаев и являются общим механизмом задания условий, которые роутер проверяет перед выполнением каких-либо действий. Некоторые примеры использования списков доступа: Управление передачей пакетов на интерфейсах Управление доступом к виртуальным интерфейсам Vlan Ограничение информации, передаваемой динамическими протоколами роутинга Задачи и правила построения списков доступа для различных протоколов различны, но, в общем, можно выделить два этапа работы с любыми списками доступа. Сначала, необходимо создать список доступа, затем применить его к соответствующему интерфейсу. Списки доступа определяют критерии, на соответствие которым проверяется каждый пакет, обрабатываемый роутером в точке <приложения> списка доступа. Типичными критериями являются адреса отправителя и получателя пакета, тип протокола. Однако, для каждого конкретного протокола существует свой собственный набор критериев, которые можно задавать в списках доступа. Каждый критерий в списке доступа записывается отдельной строкой. Список доступа в целом представляет собой набор строк с критериями, имеющих один и тот же номер (или имя). дополнение списка новыми критериями производится в конец списка. Запомните также, что нет возможности исключить какой-либо критерий из списка. Есть только возможность стереть весь вписок целиком. Размещено на http://www.allbest.ru/ Порядок задания критериев в списке существенен. Проверка пакета на соответствие списку производится последовательным применением критериев из данного списка (в том порядке, в котором они были введены). Если пакет удовлетворяет какому-либо критерию, то дальнейшие проверки его на соответствие следующим критериям в списке - НЕ ПРОИЗВОДЯТСЯ В конце каждого списка системой добавляется неявное правило. Таким образом, пакет, который не соответствует ни одному из введенных критериев будет отвергнут. Для каждого протокола на интерфейс может быть назначен только один список доступа. Для большинства протоколов можно задать раздельные списки для разных направлений траффика. Если список доступа назначен на входящий через интерфейс траффик, то при получении пакета, роутер проверяет критерии, заданные в списке. Если пакет разрешен данным списком, то он передается для дальнейшей обработки. Если пакет запрещен, то он отбрасывается. Если список доступа назначен на выходящий через интерфейс траффик, то после принятия решения о передаче пакета через данный интерфейс роутер проверяет критерии, заданные в списке. Если пакет разрешен данным списком, то он передается в интерфейс. Если пакет запрещен, то он отбрасывается. Стандартные и расширенные списки доступа Поддерживаются следующие виды списков доступа для IP: Стандартные списки доступа (проверяют адрес отправителя пакета) Расширенные списки доступа (проверяют адрес отправителя, адрес получателя и еще ряд параметров пакета) Динамические расширенные списки доступа (имеют конечное <время жизни> и условия применения) В нашем случае будем использовать стандартные именованные списки доступа. Для создания и применения списков доступа были проделанный следующие действия: Размещено на http://www.allbest.ru/ Создаём сами списки. Поскольку в нашей сети используется упрощённая схема подключения абонентов, создано 6 vlan для 6 пользователей подключенных по 1 на каждом коммутаторе (данная схема подключения абонентов отразит работоспособность всей сети в полном объёме) Нумерация списков доступа для простоты понимания производится синхронно с нумерацией Vlan. switch_routing#enable switch_routing#configure terminal switch_routing(config)#ip access-list standard 10 после создания списка необходимо вписать критерии. В стандартных именных списках существует несколько критериев, такие как: permit: разрешить deny: запретить remark: комментарий о списке доступа address: запрещаем или разрешаем сеть any: разрешаем или запрещаем всё host: разрешаем или запрещаем хосту source-wildcard: WildCard маска сети log: включаем логгирование пакеты проходящие через данную запись ACL switch_routing(config-std-nacl)#permit host 192.168.10.2 switch_routing(config-std-nacl)#deny any этими действиями мы разрешаем доступ только данному хосту. После чего необходимо присвоить данные условия к определённому интерфейсу. В нашем случае это интерфейс Vlan 10 Входим в интерфейс и запрещаем входящий и исходящий трафик при нарушение условий данного списка. switch_routing(config)#int vlan 10 Размещено на http://www.allbest.ru/ switch_routing(config-if)#ip access-group 10 in switch_routing(config-if)#ip access-group 10 out Таким образом получается что только данный ip адрес входящий в данный vlan может получать траффик. Подобную конфигурацию необходимо повторить на всех созданных Vlan. switch_routing(config)#ip access-list standard 20 switch_routing(config-std-nacl)#permit host 192.168.10.10 switch_routing(config-std-nacl)#deny any switch_routing(config)#int vlan 20 switch_routing(config-if)#ip access-group 10 in switch_routing(config-if)#ip access-group 10 out switch_routing(config)#ip access-list standard 30 switch_routing(config-std-nacl)#permit host 192.168.10.18 switch_routing(config-std-nacl)#deny any switch_routing(config)#int vlan 30 switch_routing(config-if)#ip access-group 10 in switch_routing(config-if)#ip access-group 10 out switch_routing(config)#ip access-list standard 40 switch_routing(config-std-nacl)#permit host 192.168.10.26 switch_routing(config-std-nacl)#deny any switch_routing(config)#int vlan 40 switch_routing(config-if)#ip access-group 10 in switch_routing(config-if)#ip access-group 10 out switch_routing(config)#ip access-list standard 50 switch_routing(config-std-nacl)#permit host 192.168.10.34 switch_routing(config-std-nacl)#deny any switch_routing(config)#int vlan 50 switch_routing(config-if)#ip access-group 10 in switch_routing(config-if)#ip access-group 10 out Размещено на http://www.allbest.ru/ switch_routing(config)#ip access-list standard 60 switch_routing(config-std-nacl)#permit host 192.168.10.42 switch_routing(config-std-nacl)#deny any switch_routing(config)#int vlan 60 switch_routing(config-if)#ip access-group 10 in switch_routing(config-if)#ip access-group 10 out далее приведена конечная конфигурация оборудования уровня агрегации Building configuration... Current configuration: 2064 bytes version 12.2 no service timestamps log datetime msec no service timestamps debug datetime msec no service password-encryption hostname switch_routing enable secret 5 $1$mERr$wZMkJsj2RVk4hay2C4T32. ip routing spanning-tree mode pvst interface FastEthernet0/1 interface FastEthernet0/2 interface FastEthernet0/24 interface GigabitEthernet0/1 switchport trunk encapsulation dot1q interface GigabitEthernet0/2 switchport trunk encapsulation dot1q interface Vlan1 no ip address shutdown interface Vlan10 Размещено на http://www.allbest.ru/ ip address 192.168.10.1 255.255.255.248 ip access-group 10 in ip access-group 10 out interface Vlan20 ip address 192.168.10.9 255.255.255.248 ip access-group 20 in ip access-group 20 out interface Vlan30 ip address 192.168.10.17 255.255.255.248 ip access-group 30 in ip access-group 30 out interface Vlan40 ip address 192.168.10.25 255.255.255.248 ip access-group 40 in ip access-group 40 out interface Vlan50 ip address 192.168.10.33 255.255.255.248 ip access-group 50 in ip access-group 50 out interface Vlan60 ip address 192.168.10.41 255.255.255.248 ip access-group 60 in ip access-group 10 out ip classless access-list 10 permit host 192.168.10.2 access-list 10 deny any access-list 20 permit host 192.168.19.10 access-list 20 deny any access-list 30 permit host 192.168.10.18 Размещено на http://www.allbest.ru/ access-list 30 deny any access-list 40 permit host 192.168.10.26 access-list 40 deny any access-list 50 permit host 192.168.10.34 access-list 50 deny any access-list 60 permit host 192.168.10.42 access-list 60 deny any line con 0 password cisco login line vty 0 4 password cisco login end Размещено на http://www.allbest.ru/ Заключение
С активным развитием мультисервисных сетей становится важным
вопрос об их квалифицированной разработке и соответствующей защите. Ведь от грамотного создания проекта сети и от эффективной схемы обеспечения безопасности зависит эффективность ее дальнейшего функционирования. В результате проделанной работы была спроектирована мультисервисная сеть и применена достаточно надежная схема обеспечения безопасности для одного оптического кольца в жилом районе города Ижевска а именно район ОУ-6 в состав которого входит оптическое кольцо в который вошли здания по адресам улица Союзная 45, 47, 51, 53, 55, 57 Общее количество абонентов составляет 144. Абоненты мультисервисной сети имеют доступ к сети Интернет, услуг IP-телефонии, и цифрового интерактивного телевидения. В качестве источника услуг был избран оператор ООО «Комстар» Мультисервисная сеть ОУ-6 разделена на 2 уровня: агрегирующий уровень и уровень доступа. Для агрегирующего уровня был выбран высокопроизводительный коммутатор 3-го уровня с низкими показателями отказа. Сеть уровня доступа имеет кольцевую топологию, которая соединяет все узлы в кольцо замыкаясь через сеть “Комстар”, обеспечивая соединение низкую вероятность отказа. Район ОУ-6 был разделен на 15 секторов (оптических колец) с одним узлом агрегации. При рассмотрении одного оптического кольца, до узла агрегации подключена сеть доступа состоящая из 6 коммутаторов уровня доступа. Также была спроектирована модель сети в программе Packet Tracer , для проверки работоспособности, также была Разработана схема обеспечения безопасности данной сети, состоящая из двух этапов. Размещено на http://www.allbest.ru/ Идентификация пользователя по mac-адресу на уровне доступа. Идентификация пользователя по ip адресу на уровне агрегации. Для достижения данных целей были сконфигурированы пороли для доступа конфигурирования оборудования, обеспечена безопасность портов коммутатора уровня доступа путём создания таблицы разрешенных mac- адресов и приписаны к определённым портам коммутатора. Также были сконфигурированы виртуальные интерфейсы Vlan по технологии Vlan 1:1 они также были приписаны к определённым портам коммутатора. Была обеспечена фильтрация траффика по ip адресам пользователей путем создания списков доступа на коммутаторе уровня агрегации. Также были созданы списки доступа на удаленное подключение к конфигурированию оборудования, и были защищены паролем. Размещено на http://www.allbest.ru/ Список используемых источников
1. Филимонов, А. Построение мультисервисных сетей Ethernet [Текст] /
СпБ – 2007 – «БХВ-Петербург». 2. Бакланов И.Г. NGN: Принципы построения и организации [Текст] /под ред. Ю.Н. Чернышова. – М.: Эко-Трендз, 2008. – 400 с. 3. Официальный сайт администрации городского округа Самара– [Электронный ресурс] / Режим доступа – http://city.samara.ru. 4. Слепов Н.Н. Синхронный цифровые сети SDH [Текст] / Слепов, Н.Н. – М., 1997. Эко-Трендз. 5. Слепов Н. Сети SDH новой генерации и их использование для передачи трафика Ethernet [Текст] / Н. Слепов // Электроника: НТБ – 2005 – Вып.3. – C. 47-55. 6. Бахтеяров П. Основы построения Metro Ethernet сетей [Текст] /П. Бахтеяров // Вестник связи – 2004 – Вып. №10. – C. 45-51. 7. Принципы маршрутизации в Internet, 2-е издание [Текст]: Пер. с англ. М.: Издательский дом "Вильяме", 2001. - 448 с.: ил. 8. Руководство по Cisco IOS [Текст]. - СПб.: Питер, М.: Издательство «Русская Редакция», 2008. -784 с 9. Росляков А.В. IP-телефония / Росляков А.В., Самсонов М.Ю., Шибаева И.В. – М.: Эко-Трендз, 2003. – 252 с. 10. Официальный сайт произвоизводителя оборудования Cisco Systems [Электронный ресурс] / Режим доступа – http://www.cisco.com. 11. Хьюкаби, Д., Мак-Квери, С. Руководство по конфигурированию коммутаторов Catalyst.: Пер. с англ. [Текст] – М.: Издательский дом «Вильямс» – 2004. – 560 с. 12. Optix OSN 3500 Интеллектуальная система оптической передачи Техническое руководство - Описание системы. 13. RAD RIC-155GE. Техническое описание конвертора интерфейсов. Размещено на http://www.allbest.ru/ 14. Транспортные сети и системы электросвязи. Системы мультиплексирования: Учебник для студентов ВУЗов по специальности «Телекоммуникации» [Текст] / Под ред. В.К. Стеклова. – К.; 2003 – 352 с. 15. Официальный сайт компании D-Link. Техническое описание медиаконвертора DMC-920 [Электронный ресурс] / Режим доступа –http://ftp.dlink.ru/pub/transciever_mediaconverter/DMC-920/Data_sh. 16. Техническое описание синхронного мультиплексора SMA4. Фирма «СИМЕНС». Вариант исполнения S42022-D3502-H2-2-18. 17. Официальный сайт ЗАО «Самарская оптическая кабельная компания» [Электронный ресурс] / Режим доступа – http://www.soccom.ru. 18. Дональд, Дж. Стерлинг. Техническое руководство по волоконной оптике [Текст] / Дональд Дж. Стерлинг., пер. Московченко А. – Издательство «ЛОРИ» – 1998. 19. Основы организации сетей Cisco, том 1 [Текст].: Пер. с англ. - М.: Издательский дом «Вильямс», 2002. - 512 с. 20. Портнов, Э.Л. Оптические кабели связи [Текст] – М. «Информсвязь», 2000 – 112 с. 21. Программа сетевой академии Cisco CCNA 3 и 4. Вспомогательное руководство, 3-е изд., с испр. [Текст]: Пер. с англ. – М.: ООО «И. Д. Вильямс», 2007. – 994. 22. Сапаров В.Е. Руководящий документ. Выпускные квалификационные работы. Общие требования по оформлению пояснительной записки [Текст]. – Самара: ПГУТИ, 2009. – 28 с. 23. Слепов Н.Н. Оптоволоконные системы дальней связи. Перспективы развития [Текст] // Электроника: НТБ – 2005. – Вып.6. 24. Величко В.В. Телекоммуникационные системы и сети: Учебное пособие в 3-х томах. Том 3. – Мультисервисные сети [Текст] / В.В. Величко, Е.А. Субботин, В.П. Шувалов, А.Ф. Ярославцев; под ред. профессора В.П. Шувалова. – М.: Горячая линия – Телеком, 2005. – 592 с. Размещено на http://www.allbest.ru/ Приложение А Размещено на http://www.allbest.ru/ Приложение Б Размещено на http://www.allbest.ru/ Приложение В Размещено на http://www.allbest.ru/ Приложение Г Размещено на http://www.allbest.ru/ Приложение Д