(1) Разработка и обеспечение безопасности сети широкополосного доступа по технологии FTTB в жилом районе города Ижевска

Размещено на http://www.allbest.
ru/
Введение
С бурным развитием телекоммуникаций в современном мире общество

неуклонное идет к усложнению взаимосвязи между различными звеньями
производства, увеличение информационных потоков в технической, научной,
политической, культурной, бытовой и других сферах общественной
деятельности. Сегодня, очевидно, что ни один процесс в жизни современного
общества не может происходить без обмена информацией, для
своевременной передачи которой используются различные средства и
системы связи.
В настоящее время развитие телекоммуникационных сетей происходит
в направлении роста рынка мультисервисных услуг, внедрение новых
телекоммуникационных и информационных технологий, их конвергенции.
Широкополосное подключение к Интернету стало одним из самых
успешных телекоммуникационных услуг не так давно, но всего за несколько
лет число пользователей выросло до 200 млн., большинство из них пока
ограничиваются доступом в Интернет с компьютера или ноутбука.
Широкополосный Интернет появился в Европе менее 10 лет назад.
Тогда считалось большой скоростью 256 кбит/с. Сегодня же 2 Мбит/с -
скорость, ставшая стандартом де-факто для ШПД (широкополосный доступ).
С другой стороны, в большей пропускной способности на заре
зарождения Интернета острой необходимости не было: существующие
приложения не требовали слишком большой полосы. В развитии технологий
ШПД основную роль играет именно потребность рынка в экономически
эффективном предоставлении абоненту большей емкости, пропускной
способности и более короткому времени отклика. Сейчас, когда средняя
нагрузка на абонента, по разным оценкам, уже составляет от 2 до 7 Гбайт в
месяц - и при этом продолжает расти количество пользователей
файлообменных приложений, многопользовательских игр и онлайн-видео, -
такая потребность актуальна как никогда.
Размещено на http://www.allbest.ru/
Главная причина для дальнейшей модернизации широкополосных
сетей - это услуги IPTV. Передача HD потоков потребуют значительного
увеличения пропускной способности.
В связи с массовой информатизацией современного общества все
большую актуальность приобретает знание нравственно-этических норм и
правовых основ использования средств новых информационных технологий
в повседневной практической деятельности. Наглядными примерами,
иллюстрирующими необходимость защиты информации и обеспечения
информационной безопасности, являются участившиеся сообщения о
компьютерных «взломах» банков, росте компьютерного пиратства,
распространении компьютерных вирусов.
Число компьютерных преступлений растет, также увеличиваются
масштабы компьютерных злоупотреблений.
Основной причиной потерь, связанных с компьютерами, является
недостаточная образованность в области безопасности.
Под информационной безопасностью понимается защищенность
информации от случайных или преднамеренных воздействий естественного
или искусственного характера, чреватых нанесением ущерба владельцам или
пользователям информации.
Цель информационной безопасности - обезопасить ценности системы,
защитить и гарантировать точность и целостность информации и
минимизировать разрушения, которые могут иметь место, если информация
будет модифицирована или разрушена.
На практике важнейшими являются три аспекта информационной
безопасности:
доступность (возможность за разумное время получить требуемую
информационную услугу);
целостность (ее защищенность от разрушения и несанкционированного
изменения);
конфиденциальность (защита от несанкционированного прочтения).
Кроме того, использование информационных систем должно
производиться в соответствии с существующим законодательством. Данное
положение, разумеется, применимо к любому виду деятельности, однако
информационные технологии специфичны в том отношении, что они
развиваются исключительно быстрыми темпами. Почти всегда
законодательство отстает от потребностей практики, и это создает в обществе
определенную напряженность. Для информационных технологий подобное
отставание законов, нормативных актов, национальных и отраслевых
стандартов оказывается особенно болезненным.
Формирование режима информационной безопасности - проблема
комплексная. Меры по ее решению можно разделить на четыре уровня:
законодательный (законы, нормативные акты, стандарты и т.п.)
административный (действия общего характера, предпринимаемые
руководством организации)
процедурный (конкретные меры безопасности, имеющие дело с
людьми)
программно-технический (конкретные технические меры).
В данной дипломной работе будут рассмотрены исключительно
программно-технические методы защиты.
Задачей данной дипломной работы является разработка и обеспечение
безопасности сети широкополосного доступа по технологии FTTB в жилом
районе города Ижевска. Дипломная работа включает в себя моделирование в
эмуляторе сети передачи данных Cisco Packet Tracer, ее отладка, обеспечение
защиты портов коммутаторов. Разработка сетевых фильтров, виртуальных
локальных сетей, конфигурирование паролей, расчет организационных мер
физической защиты и описание критериев выбора оборудования.
1. Мультисервисные сети
В качестве предмета исследования я выбрал мультисервисную сеть

широкополосного доступа, и за основу проектируемой сети был взят
настоящий рабочий проект «Мультисервисная сеть широкополосного доступа
в г. Ижевске (Модернизация магистральной сети доступа и ОУ-5, ОУ-6, ОУ-
8). Второй пусковой комплекс сооружения связи - «Магистральное кольцо»,
район ОУ-6» представляющая собой универсальную многоцелевую среду,
предназначенную для передачи речи, изображения и данных с
использованием технологии коммутации пакетов (IP). Мультисервисная сеть
отличается высокой степенью надежности, характерной для телефонных
сетей (в противоположность негарантированному качеству связи через
Интернет) и обеспечивает низкую стоимость передачи в расчете на единицу
объема информации (приближенную к стоимости передачи данных по
Интернету). Надо отметить, что мультисервисные сети - это не совсем
технология или техническая концепция, это скорее технологическая доктрина
или новый подход к пониманию сегодняшней роли телекоммуникаций,
основанный на знании того, что компьютер и данные сегодня выходят на
первое место по сравнению с речевой связью. Базовыми понятиями
мультисервисных сетей являются QoS (Quality Of Service) и SLA (Service
Level Agreement), то есть качество обслуживания и соглашение об уровне
(качестве) предоставления услуг сети. Переход к новым мультисервисным
технологиям изменяет саму концепцию предоставления услуг, когда качество
гарантируется не только на уровне договорных соглашений с поставщиком
услуг и требований соблюдения стандартов, но и на уровне технологий и
операторских сетей. Архитектуру мультисервисной сети можно представить
в виде нескольких основных уровней: ядро (магистральный уровень),
уровень распределения и агрегирования и уровень доступа. Схема структуры
мультисервисных сетей в приложении А.
Рис. 1
На уровне ядра находятся высокопроизводительные платформы для

быстрой коммутации трафика с поддержкой протоколов динамической
маршрутизации, здесь же обеспечивается подключение к провайдеру и
располагаются сервисные центры. Магистральный уровень является
универсальной высокоскоростной и, по возможности, однородной
платформой передачи информации, реализованной на базе цифровых
телекоммуникационных каналов.
Уровень распределения включает узловое оборудование сети оператора,
а уровень агрегирования выполняет задачи агрегации трафика с уровня
доступа и подключения к магистральной (транспортной) сети.
На уровне доступа реализовано управление пользователями и рабочими
группами при обращении к ресурсам объединенной сети. Уровень доступа
включает корпоративные или внутридомовые сети, а также каналы связи,
обеспечивающие их подключение к узлу (узлам) распределения сети.
1.1 Широкополосный доступ в Интернет
Поскольку рабочий проект и условия заказчика предусматривает

обязательное обеспечение пользователей не только доступом в интернет но и
другими услугами стоит внести ряд требований к проектируемой сети:
Главным требованием, предъявляемым к сетям, является обеспечение
потенциальной возможности доступа к разделяемым ресурсам всех
компьютеров, объединенных в сеть.
Проектируемая мультисервисная сеть должна предоставлять
следующие услуги связи:
Широкополосный доступ к сети Интернет, обеспечивает возможность
доступа к информационным ресурсам сети Интернет, использование
удаленных файловых ресурсов сети Интернет, обмен большими объемами
информации, электронной почте, программам обмена сообщениями (ICQ,
Skype), а также другими сервисами, доступ и управление которым возможно
через Интернет.
IP телефония - способ предоставления услуг телефонии с
использованием для передачи голоса среди сетей с коммутацией пакетов, в
том числе IP сети передачи данных и / или Интернет.
IPTV - это цифровое интерактивное телевидение нового поколения. С
помощью IPTV плеера, без использования дополнительного
оборудования, можно просматривать более 100 телевизионных каналов.
Технические требования, предъявляемые к характеристикам
магистральных соединений сети:
Скорость информационного обмена - 10 Гбит/с.
автоматическая диагностика возникающих неисправностей.
Поддержка QoS;
Низкая вероятность потери данных.
коэффициент экранирования применяемых кабелей должен составлять
не менее 80 дБ в диапазоне 30-1000МГц.
Технические требования к СПД:
Сеть передачи данных должна быть спроектирована на основе
технологии Ethernet и протокола IP.
Скорость канала для подключения здания к сети ПД должна быть не
менее 100 Мбит/с.
Пропускная способность магистральной сети ПД должна быть не менее
1000Мбит/с.
Интерфейс подключения абонента по UTP - Ethernet 10/100BaseT.
Наиболее оптимальным решением для достижения поставленных задач
необходимо воспользоваться технологией широкополосного доступа
Широкополосный или высокоскоростной доступ в Интернет
обеспечивается с помощью ряда технологий, которые позволяют
пользователям отправлять и принимать информацию в гораздо больших
объемах и с гораздо более высокими скоростями, чем в случае получившего
широкое распространение в настоящее время доступа в Интернет по
обычным телефонным линиям. Широкополосный доступ обеспечивает не
только высокую скорость передачи данных, но и непрерывное подключение к
Интернету (без необходимости установления коммутируемого соединения) и
так называемую «двустороннюю» связь, т. е. возможность как принимать
(«загружать»), так и передавать («сгружать») информацию на высоких
скоростях.
Широкополосный доступ не только обеспечивает богатство
информационного наполнения («контента») и услуг, но и способен
преобразить весь Интернет как в плане предлагаемого Сетью сервиса, так и в
плане ее использования. По всей вероятности, многие из будущих
применений широкополосного доступа, которые позволят наиболее полно
раскрыть его технологический потенциал, еще только предстоит освоить.
Для предоставления широкополосного доступа в Интернет могут
использоваться множество различных носителей и технологий передачи
данных. К ним относятся кабельная связь, усовершенствованный
телефонный сервис под названием «цифровая абонентская линия» (Digital
Subscriber Line, DSL), спутниковая связь, фиксированный беспроводный
доступ и другие. Несмотря на то, что многие (хотя и не все) учреждения и
коммерческие организации уже имеют широкополосный доступ в Интернет,
до сих пор не решена проблема предоставления широкополосного доступа на
отрезке линии связи, ведущем непосредственно в дома пользователей (так
называемая «последняя миля»). В настоящее время ряд конкурирующих
телекоммуникационных компаний разрабатывают, внедряют и рекламируют
специфические технологии и услуги, предназначенные для предоставления
широкополосного доступа широким слоям населения.
Термин «широкополосный доступ» используется для обозначения
постоянного и высокоскоростного подключения к Интернет. Однако
широкополосный доступ - это не только высокая скорость обмена
информацией, но и особый способ использования всемирной сети.
Пользователь широкополосного доступа имеет возможность в любую
секунду получить или отправить большой объем любой информации, которая
может включать в себя цветные изображения, аудио- и видеоклипы,
анимацию, телевизионный контент и многое другое. Широкополосный
доступ обеспечивает предоставление пользователю самых современных
услуг, независимо от точки его подключения. Обладатель широкополосного
доступа имеет больше возможностей по использованию мультимедийных
услуг и по информационному обеспечению своего бизнеса. Это файловый
обмен, видеоконференции, игры; услуги охранных систем; телефонные и
банковские услуги и т.д. Всё это стало доступным благодаря современным
сетям широкополосного доступа (ШПД).
Широкополосный доступ способствует также появлению новых сфер
деятельности человека и обогащает уже существующие. Он стимулирует
экономический рост и открывает новые возможности для инвестиций и
трудоустройства.
Широкополосный доступ помогает решать задачу по обеспечению
устойчивого развития отдаленных и сельских местностей, а также является
важным элементом помощи местным властям в создании привлекательных
условий для ведения бизнеса, в предоставлении населению отдаленных и
сельских местностей возможности для дистанционной трудовой
деятельности, получения высококвалифицированных медицинских услуг,
повышения образовательного уровня и участия в управлении государством.
1.2 Технологии мультисервисных сетей
В сеть доступа инвестируется от 50% до 80% средств, поэтому

правильный выбор технологий и вариантов построения сети чрезвычайно
важен. Ниже перечислены факторы, влияющие на выбор той или иной
технологии абонентского доступа:
Стоимость подключения в расчете на одного абонента.
Простота подключения - фактор, определяющий доступность
подключения для абонентов, быстроту подключения абонентов.
Достаточная для абонента полоса пропускания или скорость передачи
данных.
Обеспечение требуемого качества обслуживания клиентов.
Существующая кабельная инфраструктура - коаксиальный кабель,
витая пара, телефонная проводка, оптическое волокно и т. д.
На стадии проектирования было принято решение использовать
технологию абонентского доступа FTTB потому что она отвечает всем выше
перечисленным требованиям и оптимально подойдет для реализации
поставленных задач.
Технология Fiber To The X (Оптическое волокно до…) - понятие,
описывающее общий подход к организации кабельной инфраструктуры сети
доступа, в которой от узла связи до определённого места (точка «х») доходит
оптоволокно, а далее, до абонента, - медный кабель (возможен и вариант, при
котором оптика прокладывается непосредственно до абонентского
устройства).
Таким образом, FTTx - это только физический уровень. Однако
фактически данное понятие охватывает и большое число технологий
канального и сетевого уровня. С широкой полосой систем FTTx неразрывно
связана возможность предоставления большого числа новых услуг.
В семейство FTTx входят различные виды архитектур:
FTTN (Fiber to the Node) - волокно до сетевого узла;
FTTC (Fiber to the Curb) - волокно до микрорайона, квартала или
группы домов;
FTTB (Fiber to the Building) - волокно до здания;
FTTH (Fiber to the Home) - волокно до жилища (квартиры или
отдельного коттеджа).
Однозначно в пользу решений FTTH выступают эксперты, они
сравнивают продолжительность жизненного цикла инвестиций в любую
технологию доступа и коррелированный рост требований к пропускной
способности каналов доступа. Проведенный анализ показывает, что если
технические решения, которые закладываются в основу сегмента доступа
сети сегодня, окажутся неспособными обеспечить скорость 100 Мбит/с в
2013-2015 годах, то моральное устаревание оборудования произойдет до
окончания инвестиционного цикла.
из всех вариантов FTTx она обеспечивает наибольшую полосу
пропускания;
это полностью стандартизированный и наиболее перспективный
вариант;
решения FTTH обеспечивают массовое обслуживание абонентов на
расстоянии до 20 км от узла связи;
они позволяют существенно сократить эксплуатационные расходы за
счет уменьшения площади технических помещений (необходимых для
размещения оборудования), снижения энергопотребления и собственно затрат
на техническую поддержку.
Существует два часто применяемых типа организации FTTH сетей: на
базе технологии Ethernet и на базе технологии PON.
Технология Gigabit Ethernet - это расширение IEEE 802.3 Ethernet,
использующее такую же структуру пакетов, формат и поддержку протокола
CSMA/CD, полного дуплекса, контроля потока и прочее, но при этом
предоставляя теоретически десятикратное увеличение производительности.
Поскольку технология Gigabit Ethernet совместима с 10Mbps и 100Mbps
Ethernet, возможен легкий переход на данную технологию без
инвестирования больших средств в программное обеспечение, кабельную
структуру и обучение персонала
Как и в стандарте Fast Ethernet, в Gigabit Ethernet не существует
универсальной схемы кодирования сигнала, для стандартов
1000Base-LX/SX/CX используется кодирование 8B/10B, для стандарта
1000Base-T используется специальный расширенный линейный код TX/T2.
Функцию кодирования выполняет подуровень кодирования PCS,
размещенный ниже среда независимого интерфейса GMII. 1000Base-T - это
стандартный интерфейс Gigabit Ethernet передачи по неэкранированной
витой паре категории 5 и выше на расстояния до 100 метров. Для передачи
используются все четыре пары медного кабеля, скорость передачи по одной
паре 250 Мбит/c. Предполагается, что стандарт будет обеспечивать
дуплексную передачу, причем данные по каждой паре будут передаваться
одновременно сразу в двух направлениях - двойной дуплекс (dual duplex)
1.3 Технология абонентского доступа FTTB
Технология FTTB (англ. Fiber to the Building - волокно до здания) - на

сегодняшний день наиболее востребованная в России технология
строительства широкополосных сетей. Широкому распространению FTTB
способствовали снижение цен на оптический кабель (ОК), появление
дешевых оптических приемников, передатчиков и оптических усилителей
(ОУ). Использование оптики в FTTB позволяет использовать для передачи
данных быструю технологию Metro Ethernet, избавляет от необходимости
заземления несущего троса, исключает выход оборудования из строя от
статического электричества, и облегчает согласование развертываемой сети в
надзирающих инстанциях.
Сеть FTTB, построенная по данной технологии - это две наложенные
сети: одна для услуг аналогового кабельного телевидения, другая - для услуги
передачи данных. Объединяет их использование различных волокон в одних
и тех же ОК на участках магистрали и в распределительных сетях узлов
второго уровня. В остальном, в отличие от DOCSIS, при использовании FTTB
все оборудование строго специализировано: либо передача ТВ, либо передача
данных, и при выходе из строя одного оборудования другая услуга не
страдает.
Развертываемые в настоящее время оптоволоконные сети доступа
базируются на различных архитектурах и технологиях. Тщательно
продуманные стандарты для этих технологий и доступность необходимого
оборудования обусловливают развертывание сетей сервис-провайдеров без
значительного риска. Успешность их деятельности является стимулом к
динамичному развитию этой отрасли. Можно с полной уверенностью
предположить, что конкурентное давление со стороны такого типа сетей
будет стимулировать крупных операторов связи инвестировать средства в
оптоволоконные сети доступа.
Топология сети, построенной по технологии FTTB, показана в
приложении Б.
Топология данной сети во многом повторяет гибридную волоконно-
коаксиальную сеть и также состоит из узла передачи данных, магистральной
волоконно-оптической линии связи (ВОЛС) и распределительной сети.
Отличие FTTB состоит лишь в замене оптических узлов ГВКС на
«узлы второго уровня» (усилительные пункты) и кабеля распределительных
сетей с коаксиального кабеля на оптический. Головная станция и домовая
распределительная сеть не требуют изменения при модернизации, а для
магистрали может потребоваться лишь увеличение числа оптических
волокон. Исходя из вышесказанного, в сетях FTTB возрастает количество
прокладываемого оптоволокна и устанавливаемых оптических приемников.
2. Разработка структурной схемы широкополосного доступа
2.1 Общие принципы построения домовой сети Ethernet
В основе подхода построения сети – повсеместное использование

оптической среды передачи, кроме ближайшего к абоненту участка сети,
располагающегося внутри здания. Невысокие цены на оптический кабель,
множество способов прокладки, возможность обеспечения надежной и
помехонезависимой передачи информации, огромный диапазон
поддерживаемых скоростей, гарантирующий возможность его длительного
использования, делают инвестиции в оптическую проводку
привлекательными и позволяют строить на ее основе сети операторского
класса.
Для обеспечения надежности, масштабируемости и управляемости
сети, с возможностью обеспечения широкого спектра услуг с необходимым
качеством обслуживания, Исполнитель предлагает подход в котором домовая
сеть состоит из иерархических уровней.
Это следующие уровни:
Уровень доступа.
Уровень агрегации.
Уровень предоставления услуг (сервисный уровень).
Уровень магистрали.
Рассмотрим их предназначение.
Уровень доступа
Как следует из его названия, обеспечивает физический доступ абонента
к сети. Все существующие технологии доступа обычно подразделяются на
три класса - проводные, кабельные и беспроводные. К проводным относятся
сети xDSL, PON и Ethernet. В данной дипломной работе мы рассматриваем
исключительно Ethernet-доступ, однако с точки зрения архитектуры сети, то
есть организации VLAN, логических принципов подключения абонентов,
обеспечения резервирования и т.д., все типы проводных (да и беспроводных)
сетей доступа весьма похожи. Поэтому многие принципы, также можно
отнести и к другим технологиям доступа.
На этом уровне располагаются коммутаторы, к которым
непосредственно (или через абонентские устройства) по внутридомовой
медной проводке категории 5 подключаются абоненты сети. Для поддержки
большинства услуг на этом уровне достаточно использовать управляемые
коммутаторы уровня 2. К квартальным коммутаторам подключение
производится по оптическому волокну на скорости 1 Гбит/с или 100 Мбит/с,
в зависимости от предоставляемых услуг.
Топология подключения – «кольцо». Коммутаторы уровня
подъезда/дома (как, впрочем, и квартальные коммутаторы), как правило,
располагаются в запираемых помещениях в подвалах или на чердаках домов.
Отметим, что квартальный коммутатор и коммутаторы уровня подъезда/дома,
находящийся в том же доме, могут подключаться по медной проводке.
Уровень агрегации.
Его задача - подключение уровня доступа к уровню предоставления
услуг и к ядру сети.
Географические размеры сети агрегации различаются и зависят от
плотности абонентов, имеющейся оптической инфраструктуры и т.п.: как
правило, она покрывает крупный город или область. Сеть может быть
построена как полностью на втором уровне модели OSI
Уровень агрегации состоит из квартальных маршрутизирующих
коммутаторов уровня 3, которые подключаются к ближайшему узлу опорной
сети. Подключение осуществляется на скорости 1 Гбит/с на основе Ethernet.
Квартальные коммутаторы могут подключаться к коммутатору опорной сети
(в данном случае к Центральному) либо по топологии «звезда», либо
«кольцо».
Сервисный уровень
Задача сервисного уровня заключается не в передаче трафика как
такового, а в организации сервиса, то есть того, за что в итоге и платит
абонент. Сервисный уровень осуществляет аутентификацию и авторизацию
абонента определяет список сервисов, которые может (и должен) получать
абонент. Далее оборудование сервисного уровня обеспечивает выполнение
параметров контракта с абонентом по сервисам, на которые абонент
подписан, например, ограничивает скорость доступа в Интернет до
контрактных величин; и здесь же формируется статистика для биллинга
абонента или обеспечивается контроль потребления услуг абонентами,
работающими по предоплате. На сервисном уровне формируется понятие
абонентской сессии, то есть своеобразного «виртуального сетевого
интерфейса» к абоненту, осуществляется выдача IP-адресов.
Собственно, на уровне IP-протокола абонент взаимодействует именно с
сервисным уровнем.
Уровень магистрали
Уровень магистрали предназначен для быстрой и надежной передачи
трафика на межрегиональном уровне. Фактически, магистраль связывает
между собой сети агрегации, построенные в разных городах. Если оператор
эксплуатирует сеть только в одном городе или области, уровень магистрали
может вообще отсутствовать в явном виде, являясь, по сути, подключением к
вышестоящему магистральному оператору.
Уровень магистрали (или опорной сети). Включает Центральный узел
и, возможно, другие узлы соединенные между собой надежным
высокоскоростным Ethernet транспортом (1 Гбит/с, N x 1 Гбит/с или 10
Гбит/с). Основу узлов опорной сети составляют гигабитные
маршрутизирующие коммутаторы Ethernet уровня 3.
Посмотреть общую схему архитектуры широкополосного доступа
можно в приложении В.
Рис. 2
На схеме видно, что топология сети строится по принципу “кольцо”

В данной дипломной работе будет рассмотрено два уровня сети
широкополосного доступа, а именно уровень доступа и уровень агрегации в
приделах одного оптического кольца.
2.2 Основные направления проектирования сети FTTx
Общее количество портов сети FTTx по техническому заданию

рабочего проекта по ОУ-6 составляет 6216 портов.
Уровень доступа состоит из коммутаторов доступа (домовых
коммутаторов), которые представляют собой управляемое устройство без
функции маршрутизации (L2). Коммутаторы соединены по кольцевой модели
распределения. Устройство коммутаторов обеспечивает соединение на
скорости 1000 Мбит/с. Порты каскадирования гигабитного Ethernet
соединяют коммутаторы доступа друг с другом, а граничные коммутаторы
соединяются с коммутаторами СПД узлов агрегации в виде кольца при
помощи оптических гигабитных интерфейсов.
Пользовательские интерфейсы конфигурируются в режим «access» в
выделенном VLAN для изоляции пользователей, подключенных к разным
коммутаторам доступа одного кольца.
Для определения монтированной емкости узла доступа в рабочем
проекте используется концепция 40% проникновения, т.е исходя из 24 портов
FastEthernet на каждые 108 квартир. В подъездах, где количество квартир
превышает 108, устанавливается коммутатор на 48 портов. Количество
коммутаторов в кольце доступа не более 10 штук.
В зданиях до 5-ти этажей включительно узлы доступа устанавливаются
из расчета одного УД на 4 подъезда.
В зданиях от 6-ти до 11-ти этажей включительно узлы доступа
устанавливаются из расчета один УД на 2-3 подъезда.
В зданиях с количеством этажей больше 11-ти узлы доступа
устанавливаются из расчета один УД на 1 подъезд
Схемы физического расположения оптических колец на ОУ-6
можно посмотреть в приложении Г
Также приведена логическая схема организации связи всего
кластерного узла ОУ-6 в приложении Д
Как уже упоминалось мы будем рассматривать одно оптическое кольцо.
А именно кольцо в которое входят дома по адресам:
Союзная 45
Союзная 47
Союзная 51
Союзная 53
Союзная 55
Союзная 57
Рис. 3
3. Выбор оборудования для проектируемой сети
Сетевое оборудование подразделяется на оборудование магистральной

сети и оборудование уровня доступа.
К оборудованию магистральной сети относят коммутаторы агрегации.
К оборудованию сети доступа относятся: коммутаторы доступа
На основе требований проектируемой сети выберем соответствующую
элементную базу оборудования.
3.1 Выбор оборудования уровня доступа
Главными критериями выбора оборудования в нашем случае является:

Возможность соединения коммутаторов доступа по оптическим
кабелям и наличие FSP модулей
коммутатор L2
Поддержка функций VLAN 1:1
расширенные возможности обеспечения безопасности
По соотношению цена/ качество было принято решение о
использовании коммутаторов доступа:
LS-S2326TP-E1 производства фирмы «HUAWEI» Technologies Co,Ltd;
LS-S2352TP-E1 производства фирмы «HUAWEI» Technologies Co,Ltd
Коммутаторы LS-S2326TP-E1/LS-S2352TP-E1 - управляемый
коммутатор 2/4 уровня представлен на рисунке 3.1
Рис. 4 - Внешний вид коммутатора S2326 TP-PWR-E1
Описание: коммутатор LS-S2326TP-E1/LS S2352TP-E1 - L2/L4 уровня

имеет 24/48 портов них 24/48 портов 10/100BASE-TX и 2/4 комбинированных
порта - 1000Base-T/SFP slot, позволяющие использовать гигабитный канал по
витой паре или создание оптического гигабитного канала с применением
дополнительно SFP модуля.
Конфигурация портов коммутаторов:
24/48 порта 10/100Base-TX;
2/4 комбинированных порта – 1000Base-T/SFP slot;
1 порт RS232.
Характеристики серии S2300:
управление услугами на базе VLAN
Коммутаторы серии S2300 поддерживают разнообразные стратегии
ACL с возможностью отправки правил ACL с различных интерфейсов VLAN.
Это обеспечивает гибкое управление интерфейсами VLAN и планирование
ресурсов. S2300-EI поддерживает переключение VLAN 1:1 для реализации
услуг IPTV без конфигурирования домашнего шлюза. S2300-EI поддерживает
переключение VLAN N:1, наиболее востребованное в данной отрасли. Это
обеспечивает агрегирование VLAN на стороне пользователя и снижает
количество используемых VLAN. S2300-EI поддерживает механизм QinQ,
при котором тэг VLAN сети общего пользования инкапсулируется в пакет
снаружи тэга VLAN абонентской сети. Таким образом пакеты содержат 2 тэга
VLAN, с которыми они передаются по операторской магистральной сети.
Разнообразные функции многоадресной рассылки
Коммутаторы серии S2300 поддерживают группы многоадресной
передачи и различные функции тиражирования многоадресной передачи
уровня 2, включая IGMP snooping, фильтрацию IGMP, многоадресная
передача по VLAN и распределение нагрузки за счет агрегирования портов.
S2300 также поддерживает ограничение скорости и сбор статистики по
многоадресному трафику на портах в соответствии с требованиями к услугам
IPTV.
Отличные характеристики QoS
Каждый порт S2300 поддерживает 4 очереди с управлением WRR, SP и
WRR + SP. Серия S2300 поддерживает сложную классификацию трафика на
базе VLAN, MAC-адреса, IP-адреса источника/назначения, приоритета или
порта, на котором используются прикладные программы. Серия S2300
поддерживает ограничение скорости по потокам и wire speed для каждого
порта. Это обеспечивает высокое качество услуг передачи голоса и данных.
Отличная безопасность
S2300 предоставляет различные функции защиты абонентов сети:
большое количество правил ACL, привязка IP-адреса, MAC-адреса или
порта, «черные дыры» MAC-адресов, изоляция порта, фильтрация пакетов,
ограничение числа MAC-адресов, распознаваемых интерфейсом,
распознавание по динамическим ARP, защита исходного IP-адреса,
аутентификация RADIUS, HWTACACS, IEEE 802.1x и SSH.
Молниезащита
В серии S2300 используется запатентованный Huawei механизм
молниезащиты и защиты от скачков напряжения. Коммутаторы серии S2300
предоставляют порты с молниезащитой 6КВ без установки дополнительных
грозоразрядников. Даже при неблагоприятных условиях эксплуатации
наличие молниезащиты помогает свести к минимуму повреждения,
вызванные ударами молнии.
Удобное техобслуживание и управление
Коммутаторы серии S2300 отличаются удобством в эксплуатации и
реализации. Поддерживается мониторинг состояния устройства в различных
режимах. К тому же S2300 поддерживает HGMPv2, SNMP, NTP, SSHv2,
HWTACACS+, RMON и сбор статистики трафика на портах VLAN. Серия
S2300 предоставляет удобные функции эксплуатации и техобслуживания,
упрощающие управление сетью. Это снижает OPEX и повышает
экономичность S2300.
Забота об окружающей среде и экономия энергии
Серия S2300 характеризуется низким энергопотреблением и высокой
адаптируемостью к температурным колебаниям. Коммутаторы серии S2300
не оснащены вентиляторами, они поддерживают автоматическое рассеивание
тепла, и поэтому эксплуатация не вызывает шумовых помех и не наносит
вреда окружающей среде.
3.2 Выбор Коммутатора уровня агрегации
Главными критерием выбора оборудования уровня агрегации является:

коммутатор L3 с поддержкой функции маршрутизации.
высокая производительность
Возможность соединения коммутаторов доступа по оптическим
кабелям и наличие FSP модулей
По соотношению цена/ качество было принято решение о
использовании коммутатора агрегации:
Cisco ME-4924
Рис. 5 - Внешний вид коммутатора Cisco ME-4924
Коммутатор агрегации от ведущего мирового производителя с 24

портами SFP 1000Base-X и дополнительными 4-мя портами SFP 1000Base-X
или 2-мя портами XFP 10 Гбит/с. Коммутаторы Cisco ME 4900 разработаны
для провайдеров, планирующих предлагать услуги следующего поколения -
такие, как голос и видео. Компактность устройства (высота - 1RU) позволяет
размещать его в офисах с ограниченным стоечным пространством.
Агрегирующий коммутатор Cisco ME 4924-10GE - это коммутатор Layer 2-4
U-PE aggregation switch для высокопроизводительных сетей операторских
сетей. Серия ME 4900 основана на технологиях серии 4900 и обеспечивает
производительность, необходимую операторам связи, предоставляющим
своим абонентам услуги triple play. Серия коммутаторов Cisco ME 4900
основана на технологиях серии 4900 и обеспечивает производительность,
необходимую операторам связи, предоставляющим своим абонентам услуги
triple play. Коммутаторы Cisco ME 4900 разработаны для провайдеров,
планирующих предлагать услуги следующего поколения - такие, как голос и
видео.
Особенности:
Высокая производительность - 48 Гбит/с и 71 миллион пакетов в
секунду.
Низкая задержка при коммутации Layer 2-4. Инновационные
возможности безопасности и QoS. Аплинки Gigabit Ethernet или 10 Gigabit
Ethernet. Опционально - внутренние модули питания AC или DC 1+1
возможностью горячей замены Вентиляция с возможностью горячей замены
и резервными вентиляторами.
4. Моделирование сети в программном пакете Cisco Packet Tracer
Packet Tracer - эмулятор сети передачи данных, выпускаемый фирмой

Cisco Systems. Позволяет делать работоспособные модели сети, настраивать
(командами Cisco IOS) маршрутизаторы и коммутаторы, взаимодействовать
между несколькими пользователями (через облако). Включает в себя серии
маршрутизаторов Cisco 1800, 2600, 2800 и коммутаторов 2950, 2960, 3650.
Кроме того есть серверы DHCP, HTTP, TFTP, FTP, рабочие станции,
различные модули к компьютерам и маршрутизаторам, устройства WiFi,
различные кабели.
4.1 Распределение адресного пространства
Проектируемая мультисервисная телекоммуникационная сеть имеет

Максимальное количество абонентов 144. (Одно оптическое кольцо)
На данном участке сети в целях обеспечения наибольшей безопасности
будет использоваться технология Vlan 1:1 “Vlan на абонента”
К числу ее безусловных достоинств относится довольно высокая
степень изоляции абонентов друг от друга на всей сети доступа и агрегации.
Каждый абонент в этой модели имеет фактически свой выделенный VLAN
типа «точка-точка» далее приведена таблица распределения адресного
пространства и Vlan
коммутатор Vlan IP addres Mask

1 10 192.168.10.1 255.255.255.248
2 20 192.168.10.9 255.255.255.248
3 30 192.168.10.17 255.255.255.248
4 40 192.168.10.25 255.255.255.248
5 50 192.168.10.33 255.255.255.248
6 60 192.168.10.41 255.255.255.248
Максимальное количество Vlan на каждом коммутаторе может
соответствовать максимальному количеству портов на коммутаторе. Но с
учетом что данная сеть является широкополосной то по мимо услуг
интернета могут быть организованны такие услуги как ip телефония и
кабельное TV. А это означает что для одного абонента может использоваться
более одного порта на коммутаторе.
4.2 Разработка сети
Моделированная сеть имеет ряд особенностей, организация связи в

пределах одного оптического кольца будет осуществляется при
использовании технологии Vlan 1:1 а также будет применена довольно
простая и в тоже время надежная схема обеспечения безопасности.
Хотелось бы отметить что приведенная ниже схема смоделирована в
упрощенном варианте. К каждому коммутатору я подключил по одному
пользователю и сконфигурировал интерфейсы Vlan только для одного
абонента. Данная схема подключения абонентов в полной мере отразит
работоспособность всей сети.
Как уже известно сеть одного оптического кольца состоит из 6
коммутаторов уровня доступа и одного коммутатора уровня агрегации.
В Packet Tracer имеются аналогичные коммутаторы уровня доступа и
уровня агрегации.
Будем использовать 2960-24ТТ в качестве коммутатора уровня доступа
и 3560-24PS в качестве коммутатора уровня агрегации.
В приложении Е приведена схема смоделированная в Packet Tracer.
4.3 Разработка Vlan
Сеть доступа и агрегации обеспечивает подключение абонента к

сервисному уровню (уровню предоставления услуг). Услуги, реализованные с
помощью выделенной сервисной границы, как правило, требуют обеспечить
подключение абонента к оборудованию сервисного уровня на втором уровне
модели OSI. В сети доступа и агрегации такие подключения выполняются
посредством набора VLAN. Услуги приложений могут использовать
оборудование агрегации в качестве упрощенной сервис-ной границы, и
соответствующий VLAN как средство подключения пользовательского
терминала к узлу агрегации необходим только на уровне доступа.
Существуют две базовые модели использования VLAN в сетях доступа и
агрегации: «VLAN на пользователя» и «VLAN на сервис/группу
пользователей»
Рис. 6 - Модель Vlan 1:1
Рис. 7 - Модель Vlan 1:N
Модель 1:1 предполагает, что каждому абоненту соответствует свой

персональный VLAN на всей сети доступа и агрегации вплоть до уровня
сервисной границы Модель N:1, напротив, заключается в том, что один
общий VLAN используется для некоторой группы абонентов Каждая из этих
схем имеет свои достоинства и недостатки. Рассмотрим их подробнее.
Начнем с модели 1:1, или «VLAN на абонента». К числу ее безусловных
достоинств относится довольно высокая степень изоляции абонентов друг от
друга на всей сети доступа и агрегации. Поскольку каждый абонент в этой
модели имеет фактически свой выделенный VLAN типа «точка-точка», в
котором находятся всего лишь два хоста - он сам (его CPE) и
соответствующий ему интерфейс на BRAS, вопросы изоляции абонентов
друг от друга и контроля их трафика решаются автоматически. Абонент
может передавать трафик только на выделенный ему логический интерфейс
BRAS, проверка легитимности использования IP/MAC адреса абонента
осуществляется исключительно на BRAS. Модель 1:1 позволяет обеспечить
четкую идентификацию порта подключения абонента на устройстве BRAS -
по номеру VLAN-абонента.
С другой стороны, эта модель предполагает наличие большого числа
VLAN в сети доступа и агрегации. Поскольку пространство номеров VLAN
ограничено (на номер VLAN в стандарте 802.1q выделено 12 бит.
Таким образом, мы имеем 4095 уникальных значений номеров VLAN),
для внедрения этой модели приходится применять двойную 802.1q
инкапсуляцию, то есть QinQ-инкапсуляцию (иерархическую нумерацию
VLAN). Как правило, второй, верхний VLAN тег в этой схеме определяет
коммутатор доступа или кольцо коммутаторов доступа. Кроме того, эта
модель требует назначения индивидуального номера VLAN каждому
абоненту, то есть требует от оператора, во-первых, изначального
планирования множества номеров VLAN в сети и, во-вторых, выделения и
назначения индивидуального номера на момент подключения абонента,
увеличивая трудозатраты на выполнение та-кого подключения.
Альтернативой тут могла бы быть разработка схемы нумерации VLAN,
позволяющей провести так называемый пре-провиженинг оборудования
доступа, то есть изначально присвоить уникальные номера VLAN всем
портам коммутаторов доступа. Такие схемы часто применяются операторами
DSL-сетей доступа. Однако, как показывает практика, разработать
подходящую схему для Ethernet-доступа оказывается или до-вольно сложно,
или вообще невозможно.
Связано это с тем, что Ethernet-доступ носит более распределенный
характер, коэффициент использования портов коммутаторов доступа сильно
различается от дома к дому, периодически в кольцо требуется подключить
новый коммутатор, что может сломать принятую изначально схему.
Вторая модель, N:1 или «VLAN на сервис», предполагает, что для
группы абонентов, подключенных к общему сервису, выделяется один общий
VLAN, который соединяет эту группу абонентов с виртуальным
интерфейсом, организованным на оборудовании, выполняющем функции
сервисной границы для этого сервиса. Это может быть, например, интерфейс
на BRAS для сервиса доступа в Интернет или интерфейс на оборудовании
агрегации для сервиса IPTV. Для подачи этой же группе абонентов другого
сервиса может использоваться как этот же, так и отдельный, второй общий
VLAN. Модель «VLAN на сервис», в отличие от модели выделенных VLAN,
существенно проще с точки зрения управления пространством номеров
VLAN. Число VLAN в сети существенно уменьшается, во многих случаях
позволяя отказаться от необходимости стекирования тегов VLAN (то есть в
модели N:1 можно обойтись без применения технологии QinQ). Упрощается
технология подключения абонента - все порты коммутаторов доступа
настраиваются одинаково, не требуется индивидуальных настроек номеров
VLAN. Отказ от технологии QinQ позволяет упростить технологию подачи
мультикаста. Наиболее важным достоинством модели N:1, на наш взгляд,
является возможность строить сеть с множеством сервисных границ, то есть
VLAN, предназначенный для обеспечения доступа в Интернет, может
«приземляться» на BRAS, а VLAN, предназначенный для услуг IPTV -
непосредственно на устройстве уровня агрегации, снижая нагрузку на BRAS
и уменьшая общую стоимость сети для оператора связи.
4.4 Конфигурирование коммутатора уровня доступа
Первое что необходимо сконфигурировать это имена и пароли

Switch >enable
Switch #conf terminal
Switch (config)# hostname switch_UD109
Имена коммутаторов задаются в соответствии с паспортными данными
расположения оборудования.
Данный коммутатор будет располагаться в узле доступа №109.
Далее сконфигурируем консоль и защитим паролем
switch_UD109(config)#line console 0
switch_UD109(config-line)#password cisco
switch_UD109(config-line)#login
сконфигурируем виртуальные линии
switch_UD109(config)#line vty 0 15
switch_UD109(config-line)#password cisco
switch_UD109(config-line)#login
установим пароли
switch_UD109(config)#enable password cisco
switch_UD109(config)#enable secret 7xcv79bc
На этом начальное конфигурирование закончено.
Переходим к детальному конфигурированию.
Как уже говорилось ранее в данной сети будем использовать
технологию Vlan 1:1. Для наглядности в данной схеме подключено по одному
абоненту. Создадим Vlan в соответствии с таблицей.
switch_UD109#enable
switch_UD109#conf terminal
switch_UD109(config)#vlan 10
далее припишем созданный vlan к порту коммутатора fastEthernet 0/1 и
зададим параметры интерфейса
switch_UD109(config)#interface fastEthernet 0/1
switch_UD109(config-if)#switchport mode access
switch_UD109(config-if)#switchport access vlan 10
также зададим параметры интерфейсов обеспечивающих соединение
между коммутаторами
Для передачи нескольких VLAN по одному каналу нужно чтобы порты
коммутатора были в режиме Trunk
switch_UD109(config)#interface gigabitEthernet 1/1
switch_UD109(config-if)#switchport mode trunk
switch_UD109(config)#interface gigabitEthernet 1/2
switch_UD109(config-if)#switchport mode trunk
На этом конфигурирование коммутатора заканчивается.
Конфигурирование других коммутаторов производится по аналогии.
4.5 Конфигурирование и маршрутизация коммутатора уровня

агрегации
На начальной стадии конфигурирования необходимо задать имена и

пароли.
Switch>enable
Switch#conf terminal
Switch(config)#hostname switch_routing
switch_routing(config)#enable password cisco
switch_routing(config)#enable secret 7xcv79bc
switch_routing(config)#line console 0
switch_routing(config-line)#password cisco
switch_routing(config-line)#login
switch_routing(config)#line vty 0 4
далее необходимо создать и сконфигурировать Vlan .
задаем ip адреса vlan в соответствии с таблицей
switch_routing(config)#interface vlan 10
switch_routing(config-if)#ip address 192.168.10.1 255.255.255.248
далее сконфигурируем интерфейсы GigabitEthernet 0/1 и 0/2
switch_routing(config)#interface gigabitEthernet 0/1
switch_routing(config-if)#switchport mode trunk
switch_routing(config-if)#switch trunk encapsulation dot1q
и включим функцию маршрутизации
switch_routing(config)#ip routing
После данных действий сеть полностью работоспособна.
Обеспечение безопасности сети
В данной сети разработана схема обеспечения безопасности
удовлетворяющая основным требованиям и принципам обеспечения
безопасности. При разработке данной схемы необходимо было учесть
некоторые особенности такие как:
На уровне доступа я использовал стандартную функцию защиты портов
коммутаторов а именно создание списков разрешенных mac адресов на
каждый порт коммутатора и приписка интерфейсов Vlan к портам
коммутатора это означает что только определённое конечное устройство
входящие в определённый vlan может получать трафик только с
определённого порта на коммутаторе.
На уровне агрегации используется фильтрация конечных устройств по
ip адресам путём создания списков доступа.
Хотелось бы отметить что все интерфейсы и настройки vlan созданы
именно на коммутаторе уровня агрегации что делает еще более
затруднительным для злоумышленников получить траффик и доступ к
конфигурации агрегирующего оборудования.
Дополнительно я запретил всем конечным устройствам получить
доступ на удаленное управление агрегирующего оборудования кроме
определённых конечных устройств. Это достигается путем создание списков
доступа на удалённый доступ.
Таким образом, схема обеспечения безопасности состоит из двух
этапов идентификации
5. Идентификация пользователя по mac-адресу на уровне доступа
5.1 Безопасность коммутаторов. Общие сведения

интернет доступ сеть идентификация
Маршрутизаторы и коммутаторы внутри организаций часто имеют
минимальную конфигурацию безопасности, что делает их потенциальной
целью для атак злоумышленников. Если атака инициирована на втором
уровне с внутреннего устройства комплекса зданий, оставшаяся сеть может
быть быстро взломана, причем злоумышленник часто остается
необнаруженным.
Отрасль уделяет значительное внимание защите от атак, направленных
извне стен организации и использующие протоколы верхних уровней модели
OSI. Сетевая безопасность часто сосредотачивается на периферийных
маршрутизаторах и фильтрации пакетов на базе заголовков, портов, анализа
пакетов с учетом состояния и других функций третьего и четвертого уровней.
Этот подход охватывает уровни начиная с третьего, так как трафик попадает в
сеть комплекса зданий из Интернета. Устройство доступа в комплексе зданий
и каналы связи второго уровня не рассматриваются в большинстве дискуссий
по безопасности.
Внутренние маршрутизаторы cisco и коммутаторы организации
предназначены для обеспечения связи за счет передачи трафика внутри
комплекса зданий. По умолчанию они пересылают весь трафик, если иное не
задано в конфигурации. Цель таких устройств обеспечение связи, поэтому их
конфигурации безопасности зачастую минимальны и это делает устройства
потенциальной целью для атак злоумышленников. Если атака инициирована
на втором уровне с внутреннего устройства комплекса зданий, оставшаяся
сеть может быть быстро взломана, причем злоумышленник часто остается
необнаруженным.
Как и третий уровень, где меры безопасности традиционно
применялись на устройствах внутри комплекса зданий, второй уровень
требует мер безопасности для защиты от атак, основанных на обычных
операциях коммутатора второго уровня. Для коммутаторов и
маршрутизаторов доступно множество функций безопасности, однако, чтобы
эти функции работали, их необходимо включить. Администратор должен
создать политики и настроить функции для защиты от действий
злоумышленников (процесс аналогичен внедрению списков контроля доступа
(ACL) для обеспечения безопасности на верхних уровнях), и в то же время
поддерживать нормальную работу сети.
Рекомендуемые методы:
Проанализировать или создать организационные политики
безопасности
Защита коммутаторов:
Защита доступа к коммутаторам.
Риски сетевой безопасности включают нарушение
конфиденциальности, кражу данных, персонацию и потерю целостности
данных. Для уменьшения последствий небрежности пользователей и
вредоносных действий необходимо принять базовые меры безопасности для
всех сетей.
Рекомендуемые методы предполагают два базовых действия, которые
необходимо выполнить при вводе нового оборудования в эксплуатацию:
Действие 1 проанализировать или создать организационные политики
безопасности;
Действие 2 обеспечить безопасность коммутаторов, защитив доступ к
коммутатору и протоколам коммутации и снизить риски, связанные с
угрозами, инициированными с коммутатора.
5.2 Организационные политики безопасности
При определении уровня и типа политик безопасности для сети

необходимо учесть политики организации. Вы должны найти компромисс
между разумным уровнем сетевой безопасности и административными
издержками, связанными со слишком строгими мерами безопасности.
Поддержка процесса для ревизии существующей системы сетевой
безопасности
Поддержка общей структуры безопасности, на базе которой будет
внедряться сетевая безопасность.
Определение запрещенных режимов работы с данными в электронном
формате.
Определение инструментов и процедур, необходимых для организации.
Политика должна быть основана на договоренности между лицами,
принимающими решения, и должна определять обязанности пользователей и
администраторов.
Определение процесса обработки инцидентов сетевой безопасности.
Создание плана внедрения безопасности, охватывающего все площадки
предприятия, и приведение этого плана в действие.
5.3 Обеспечение безопасности коммутаторов уровня доступа
В этом разделе описываются действия, которые необходимо

предпринять, чтобы обеспечить безопасность коммутаторов.
Защита физического доступа к консоли.
Задание системных паролей.
Защита доступа по Telnet.
Защита портов коммутатора
5.3.1 Защита физического доступа к консоли

Предотвращение неавторизованного доступа к сетевым ресурсам
означает, прежде всего, невозможность физического доступа к компонентам
сети - рабочим станциям, серверам, сетевым кабелям и устройствам, и т.п.
Когда сетевое соединение выходит за пределы вашей зоны влияния, например
в точке подключения к внешнему провайдеру интернета, то контроль за
физическими аспектами сети, разумеется, теряется - и остается полагаться на
другие методы. Но оборудование в помещении должно находиться под
пристальным наблюдением.
Как бы глупо это ни звучало, но от несанкционированного доступа
часто спасает простой дверной замок. Серверы, на которых хранятся важные
или уязвимые данные, не должны стоять открыто на столе или в незапертой
комнате, куда может зайти кто угодно. Аналогичным образом должны
защищаться маршрутизаторы, концентраторы, коммутаторы и другие
устройства. Комнаты с оборудованием должны закрываться на замок или
находиться под круглосуточным наблюдением.
физическую безопасность оборудование уровня доступа нам будут
обеспечивать антивандальные шкафы 10U в которые в дальнейшем будет
установлено следующее оборудование:
оптический кросс – КРС-16 или КРС-24;
коммутаторы LS-S2326TP-E1 или LS S2352TP-E1;
ИБП APC Back-UPC 750VA;
автоматический выключатель на Автомат ВА 47-29 1Р, Iном=16A
блок розеток на 3 поз.;
патч-панели 19" на 24 порта
Размещение оборудования с установкой телекоммуникационных
шкафов выполняется с учетом согласованных списков и схем размещения
оборудования Заказчиком.
Антивандальные шкафы устанавливаются на верхних этажах домов или
в помещениях специально оборудованных для установки подобных
конструкций. Это могут быть технические этажи или чердаки.
Доступ к которым дополнительно обеспечивает управляющая компания
жилищно коммунального хозяйства. Чтобы получить доступ к данным
помещениям проводятся согласования на стадии планирования
строительства.
В приложении Ё приведены чертеж и фотография антивандального
шкафа обеспечивающего физическую безопасность оборудования уровня
доступа.
5.3.2 Защита доступа по Telnet

Основной возможностью защиты маршрутизаторов Cisco является
управление доступом Telnet к маршрутизатору. Этот тип защиты важен,
поскольку с помощью Telnet к маршрутизатору можно получить
привилегированный доступ. При попытке доступа к маршрутизатору с
помощью Telnet пользователь получает приглашение маршрутизатора в
пользовательском режиме. Затем пользователь может войти в
привилегированный режим.
Рассмотрим несколько замечаний, которые следует учитывать при
управлении доступом Telnet.
• Порты Telnet в маршрутизаторе называются портами виртуальных
терминалов (портами vty).
• Следует установить пароль привилегированного режима (пароль
enable), ограничивающий доступ к привилегированному режиму через Telnet.
• По умолчанию пароль режима enable для маршрутизатора не
установлен. При по пытке подключения посредством Telnet к интерфейсу,
пароль для которого не установлен, вы увидите сообщение, информирующее
о том, что требуется пароль, но он не был установлен. Консольный порт при
этом является единственным портом, позволяющим доступ в
привилегированном режиме, когда пароль vty не установлен.
• Программное обеспечение Cisco IOS использует один и тот же пароль
для пор тов vty и консоли.
• Необходимо ограничить доступ Telnet с помощью команд access-class
и access-list, в частности необходимо сделать следующее:
• ограничить доступ Telnet источникам с определенными IP-адресами;
• определить стандартный список доступа с разрешенными IP
адресами;
• использовать список доступа для линий vty с помощью команды
access-class.
• Необходимо настроить все заданные конфигурацией порты vty. Порты
с номерами 0-4 имеются по умолчанию, но можно назначить и большее число
портов.
• Следует ограничить доступ к порту aux, заблокировать его или
вообще отключить с помощью команды no exec в режиме конфигурации
линии.
• Нужно отключить команды, подобные ip alias, no cdp running и no cdp
enable, чтобы предотвратить возможность доступа нарушителей к
маршрутизатору через порты vty.
• Необходимо заблокировать запросы отклика с помощью команд no
service tcp-small-servers и по service udp-small-servers.
• Следует установить ограничения на типы соединений (secure shell,
LAT, RCP), которые могут быть открыты к маршрутизатору, используя для
этого команды transport input.
В нашем случае обеспечить защиту к удаленному доступу не будет
вызывать сложностей в конфигурирование т.к. в сетях подобного типа.
Удаленный доступ с пользовательских компьютеров не то чтобы нужен а
наоборот повышает риск взлома удаленного доступа с любого конечного
устройства что в свою очередь может привезти к выводу из строя всей сети.
Все что нам нужно это:
Сконфигурировать пароль на удаленный доступ
Создать список доступа на удаленный доступ с определённого ip
адресса в нашем случает это будет ip адрес компьютера главного
администратора
Switch#ena
Switch(config)#line vty 0 15
Задаём пороли на вход в привилегированный режим
Switch(config-line)#password cisco
Switch(config-line)#login
Switch(config-line)#exit
Switch(config)#enable secret ciscosecre
Создаём список доступа и разрежаем доступ с данного ip адреса
Switch(config)#ip access-list standard 99
Switch(config-std-nacl)#permit 192.168.10.2
Switch(config-std-nacl)#exit
Switch(config)#line vty 0 15
Применяем список доступа на виртуальные линии
Switch(config-line)#access-class 99 in
Проделанные действия обеспечат нам удаленный доступ только с
192.168.10.2
Для всех остальных хостов удаленный доступ будет закрыт.
5.3.3 Защита портов коммутатора

Защита портов - эта функция коммутаторов Cisco Catalyst, которая
разрешает доступ к порту ограниченному набору MAC адресов. Коммутатор
может добавлять эти адреса динамически или вы можете задать их
статически. Порт, на котором настроена функция защиты порта, принимает
кадры только от добавленных или заданных адресов.
Существует несколько вариантов защиты порта.
Динамический. Вы можете указать, сколько MAC адресов могут
одновременно использовать порт. Динамический метод используется, если
имеет значение только количество разрешенных MAC адресов, а не их
значения. В зависимости от конфигурации коммутатора, эти динамически
добавленные адреса устаревают по прошествии определенного периода
времени. Вместо устаревших адресов порт добавляет новые адреса, пока их
количество не увеличивается до заданного максимального значения.
Статический. Вы статически назначаете MAC адреса, которые имеют
право на использование порта. MAC адреса источника, которым не будет
присвоено это право, не смогут отправлять кадры в порт.
Комбинация статического и динамического добавления адресов. Вы
можете задать несколько разрешенных MAC адресов и позволить
коммутатору динамически добавить остальные MAC адреса. Например, если
задано максимальное число MAC адресов, равное четырем, и вы статически
настроили два MAC адреса, коммутатор динамически добавит два
следующих MAC адреса, полученных на соответствующем порту. Доступ к
порту будет предоставляться только этим четырем адресам, два из которых
заданы статически и другие два добавлены динамически. Статически
заданные адреса не устаревают, однако динамически добавленные адреса
могут устареть, в зависимости от конфигурации коммутатора.
• Динамическая запись с закреплением. Если на интерфейсе настроена
эта функция, он автоматически «закрепляет» динамически добавленные
адреса. Это значит, что динамически добавленные адреса записываются в
работающую конфигурацию так, как если бы они были статически заданы с
помощь команды switchport portsecurity macaddress. Закрепленные адреса не
устаревают
Port security - функция коммутатора, позволяющая указать MAC-адреса
хостов, которым разрешено передавать данные через порт. После этого порт
не передает пакеты, если MAC-адрес отправителя не указан как
разрешенный. Кроме того, можно указывать не конкретные MAC-адреса,
разрешенные на порту коммутатора, а ограничить количество MAC-адресов,
которым разрешено передавать трафик через порт.
5.3.4 Безопасные MAC-адреса
Коммутатор поддерживает такие типы безопасных MAC-адресов:
Статические MAC-адреса:
задаются статически командой switchport port-security mac-address mac-
address в режиме настройки интерфейса, хранятся в таблице адресов,
добавляются в текущую конфигурацию коммутатора;
Динамические MAC-адреса:
динамически выучиваются, хранятся только в таблице адресов,
удаляются при перезагрузке коммутатора;
Sticky MAC-адреса:
могут быть статически настроены или динамически выучены,
хранятся в таблице адресов, добавляются в текущую конфигурацию
коммутатора. Если эти адреса сохранены в конфигурационном файле, после
перезагрузки коммутатора, их не надо заново перенастраивать.
Режимы реагирования на нарушения безопасности
Нарушением безопасности для port security считаются ситуации:
максимальное количество безопасных MAC-адресов было добавлено в
таблицу адресов и хост, чей MAC-адрес не записан в таблице адресов
пытается получить доступ через интерфейс, адрес, выученный или
настроенный как безопасный на одном интерфейсе, появился на другом
безопасном интерфейсе в том же VLAN'е.
На интерфейсе могут быть настроены такие режимы реагирования на
нарушения безопасности:
protect - когда количество безопасных MAC-адресов достигает
максимального ограничения настроенного на порту, пакеты с неизвестным
MAC-адресом отправителя отбрасываются до тех пор, пока не будет удалено
достаточное количество безопасных MAC-адресов, чтобы их количество
было меньше максимального значения, или увеличено максимальное
количество разрешенных адресов. Оповещения о нарушении безопасности
нет.
restrict - когда количество безопасных MAC-адресов достигает
максимального ограничения настроенного на порту, пакеты с неизвестным
MAC-адресом отправителя отбрасываются до тех пор, пока не будет удалено
достаточное количество безопасных MAC-адресов, чтобы их количество
было меньше максимального значения, или увеличено максимальное
количество разрешенных адресов. В этом режиме при нарушении
безопасности отправляется оповещение - отправляется SNMP trap, сообщение
syslog и увеличивается счетчик нарушений (violation counter).
shutdown - нарушение безопасности приводит к тому, что интерфейс
переводится в состояние error-disabled и выключается немедленно, и
выключается LED порта. Отправляется SNMP trap, сообщение syslog и
увеличивается счетчик нарушений. Когда порт в состоянии error-disabled,
вывести из этого состояния его можно введя команду errdisable recovery cause
psecure-violation или вручную включить интерфейс введя в режиме настройки
интерфейса shutdown и no shutdown. Это режим по умолчанию.
5.3.5 Настройка port security

Port security настраивается в режиме настройки интерфейса. На многих
коммутаторах Cisco по умолчанию порт находится в режиме dynamic auto,
однако этот режим не совместим с функцией port security. Поэтому интерфейс
надо перевести в режим trunk или access. В нашем случае требуется
использовать на коммутаторах уровня доступа на портах Fastethernet
соединение access, а для коммутатора уровня агрегации использовать
соединение trunk. Для этого необходимо сконфигурировать данные
интерфейсы так:
Switch>enable
switch_UD109(config-if)#switchport mode access
аналогично производим конфигурирование для всех коммутаторов
уровня доступа.
Конфигурирование коммутатора уровня агрегации будет следущем:
Switch>enable
switch_routing(config)#interface fastEthernet 0/1
Далее необходимо сконфигурировать список разрешенных mac адресов
и приписать их с портам коммутатора.
Mac адрес - это уникальный идентификатор, присваиваемый каждой
единице оборудования компьютерных сетей. В широковещательных сетях
(таких, как сети на основе Ethernet) MAC-адрес позволяет уникально
идентифицировать каждый узел сети и доставлять данные только этому узлу.
Таким образом,
MAC-адреса формируют основу сетей на канальном уровне, которую
используют протоколы более высокого (сетевого) уровня
Также хотелось бы отметить что установка разрешенных адресов могут
устанавливаться как на порты коммутатора так и на интерфейсы Vlan.
Нам лучше сделать привязку адресов именно к портам коммутатора так
как интерфейсы vlan у нас также приписаны к портам коммутатора.
Перед началом конфигурирования списка разрешенных mac адресов
необходимо выполнить следующие действия:
Switch>enable
далее необходимо включить функцию port security
switch_UD109(config)# port-security
задать количество безопасных адресов равное 1
Switch_UD109(config-if)#switchport port-security maximum 1
Установить режим безопасных адресов sticky и указать разрешенный
адрес
Switch_UD109(config-if)#switchport port-security mac-address sticky
0001.6450.62DC
Установить режим реагирования на нарушение безопасности
Switch_UD109(config-if)#switchport port-security violation protect
После проделанных действий компьютер с mac адресом
0001.6450.62DC
Может получить доступ к сети только с определённого коммутатора и
только с определённого порта, а именно с коммутатора по адресу UD109 и с
порта fastEthernet 0/1
На мой взгляд данная схема обеспечения безопасности наиболее проста
и в тоже время полноценно обеспеченна всеми необходимыми средствами
технической безопасности.
На этом примере показана наглядная схема обеспечения безопасности
портов коммутатора. Аналогично производится конфигурирование остальных
коммутаторов в данном оптическом кольце.
Ниже приведены списки конфигураций коммутаторов уровня доступа:
Коммутатор по адресу ул. Союзная 45 UD109
version 12.2
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
hostname switch_UD109
enable secret 5 $1$mERr$oXudM0pt1ousyj22XJqei/
spanning-tree mode pvst
interface FastEthernet0/1
switchport access vlan 10
switchport mode access
switchport port-security
switchport port-security mac-address sticky
switchport port-security violation protect
switchport port-security mac-address sticky 0001.6450.62DC
interface GigabitEthernet1/1
switchport mode trunk
interface Vlan1
no ip address
shutdown
line con 0
line vty 0 4
password cisco
login
line vty 5 15
password cisco
login
end
version 12.2
switchport port-security mac-address sticky 0001.6450.62DH
switchport port-security mac-address sticky 0010.6450.62EC
switchport port-security mac-address sticky 0011.6450.62KC
switchport port-security mac-address sticky 1100.6450.62DL
interface Vlan1
no ip address
shutdown
line con 0
line vty 0 4
password cisco
login
line vty 5 15
password cisco
login
end
version 12.2
switchport port-security mac-address sticky 1100.6650.62DH
nterface GigabitEthernet1/1
nterface GigabitEthernet1/2
interface Vlan1
no ip address
shutdown
line con 0
line vty 0 4
password cisco
login
line vty 5 15
password cisco
login
end
version 12.2
switchport port-security mac-address sticky 0001.6450.62EC
switchport port-security mac-address sticky 0010.6450.627C
switchport port-security mac-address sticky 0011.6450.6FDC
switchport port-security mac-address sticky 1100.6450.62YC
interface Vlan1
no ip address
shutdown
line con 0
line vty 0 4
password cisco
login
line vty 5 15
password cisco
login
version 12.2
interface Vlan1
no ip address
shutdown
line con 0
line vty 0 4
password cisco
login
line vty 5 15
password cisco
login
end
Коммутатор по адресу ул. Союзная 57UD113
version 12.2
interface Vlan1
no ip address
shutdown
line con 0
line vty 0 4
password cisco
login
line vty 5 15
password cisco
login
end
5.4 Обеспечение безопасности коммутатора уровня агрегации
На оборудование агрегации в моей дипломной работе ложится

основная нагрузка по реализации мер защиты. В их число входят применение
списков контроля над доступом (ACL), статическое закрепление ip адресов к
vlan маршрутизация, блокировка неразрешенных ip адресов, авторизация по
протоколу 802.1х или привязка IP-адреса к конкретному MAC-адресу. На
этом уровне должна обеспечиваться поддержка механизмов качества
обслуживания, заключающаяся в сегментации трафика по очередям
приоритетов.
В данной сети разработана схема обеспечения безопасности
удовлетворяющая основным требованиям и принципов обеспечения
безопасности оборудования уровня агрегации.
Разработанная схема безопасности имеет несколько особенностей такие
как:
Поскольку именно на оборудовании уровня агрегации происходит
коммутация и распределение траффика немало важным фактором является то
что, получить доступ к конфигурации всей сети злоумышленнику
необходимо получить доступ именно к коммутатору уровня агрегации.
Поэтому необходимо создавать списки доступа и конфигурировать
интерфейсы Vlan именно на коммутаторах уровня агрегации а на уровне
доступа минимизировать конфигурации оборудования потому что получить
доступ к оборудованию уровню доступа гораздо легче чем к уровню
агрегации. Поэтому было принято решение максимально обеспечить
контроль над трафиком и доступом к конфигурации оборудования.
Для достижения этих целей было проделана следующая работа.
На начальной стадии конфигурирования необходимо задать имена и
пароли.
Switch>enable
Switch(config)#hostname switch_routing
switch_routing(config)#enable password cisco
switch_routing(config)#enable secret 7xcv79bc
switch_routing(config)#line console 0
switch_routing(config)#line vty 0 4
далее необходимо создать и сконфигурировать Vlan
далее сконфигурируем интерфейсы GigabitEthernet 0/1 и 0/2
поскольку по интерфейсам GigabitEthernet будет проходить трафик в
разные vlan необходимо утрановить соединение trunk.
и включим функцию маршрутизации
switch_routing(config)#ip routing
после того как были заданы основные параметры сети необходимо
обеспечить контроль доступа на удалённый доступ
хотелось бы отметить, что данная конфигурация принадлежит
коммутатору уровня агрегации. Подобная конфигурация выполнялась также
на коммутаторы уровня доступа.
Задаём пороли на вход в привилегированный режим
Switch_routing (config-line)#password cisco
Switch_routing (config-line)#login
Switch_routing (config-line)#exit
Switch_routing (config)#enable secret ciscosecret
Создаём список доступа и разрешаем доступ с данного ip адреса
Switch_routing(config)#ip access-list standard 98
Switch_routing (config-std-nacl)#permit 192.168.10.2
Switch_routing (config-std-nacl)#exit
Switch_routing (config)#line vty 0 15
Применяем список доступа на виртуальные линии
Switch(config-line)#access-class 99 in
Проделанные действия обеспечат нам удаленный доступ только с
192.168.10.2.
5.4.1 Конфигурирование списков доступа
Списки доступа позволяют управлять прохождением траффика через
интерфейсы коммутатора, разрешая или запрещая передачу пакетов,
удовлетворяющих указанным условиям. Списки доступа используются в
качестве базового средства обеспечения безопасности сети.
Списки доступа (access-lists) используются в целом ряде случаев и
являются общим механизмом задания условий, которые роутер проверяет
перед выполнением каких-либо действий. Некоторые примеры использования
списков доступа:
Управление передачей пакетов на интерфейсах
Управление доступом к виртуальным интерфейсам Vlan
Ограничение информации, передаваемой динамическими протоколами
роутинга
Задачи и правила построения списков доступа для различных
протоколов различны, но, в общем, можно выделить два этапа работы с
любыми списками доступа. Сначала, необходимо создать список доступа,
затем применить его к соответствующему интерфейсу.
Списки доступа определяют критерии, на соответствие которым
проверяется каждый пакет, обрабатываемый роутером в точке <приложения>
списка доступа.
Типичными критериями являются адреса отправителя и получателя
пакета, тип протокола. Однако, для каждого конкретного протокола
существует свой собственный набор критериев, которые можно задавать в
списках доступа.
Каждый критерий в списке доступа записывается отдельной строкой.
Список доступа в целом представляет собой набор строк с критериями,
имеющих один и тот же номер (или имя). дополнение списка новыми
критериями производится в конец списка. Запомните также, что нет
возможности исключить какой-либо критерий из списка. Есть только
возможность стереть весь вписок целиком.
Порядок задания критериев в списке существенен. Проверка пакета на
соответствие списку производится последовательным применением
критериев из данного списка (в том порядке, в котором они были введены).
Если пакет удовлетворяет какому-либо критерию, то дальнейшие проверки
его на соответствие следующим критериям в списке - НЕ ПРОИЗВОДЯТСЯ
В конце каждого списка системой добавляется неявное правило. Таким
образом, пакет, который не соответствует ни одному из введенных критериев
будет отвергнут. Для каждого протокола на интерфейс может быть назначен
только один список доступа. Для большинства протоколов можно задать
раздельные списки для разных направлений траффика. Если список доступа
назначен на входящий через интерфейс траффик, то при получении пакета,
роутер проверяет критерии, заданные в списке. Если пакет разрешен данным
списком, то он передается для дальнейшей обработки. Если пакет запрещен,
то он отбрасывается.
Если список доступа назначен на выходящий через интерфейс траффик,
то после принятия решения о передаче пакета через данный интерфейс
роутер проверяет критерии, заданные в списке. Если пакет разрешен данным
списком, то он передается в интерфейс. Если пакет запрещен, то он
отбрасывается.
Стандартные и расширенные списки доступа
Поддерживаются следующие виды списков доступа для IP:
Стандартные списки доступа (проверяют адрес отправителя пакета)
Расширенные списки доступа (проверяют адрес отправителя, адрес
получателя и еще ряд параметров пакета)
Динамические расширенные списки доступа (имеют конечное <время
жизни> и условия применения)
В нашем случае будем использовать стандартные именованные списки
доступа. Для создания и применения списков доступа были проделанный
следующие действия:
Создаём сами списки. Поскольку в нашей сети используется
упрощённая схема подключения абонентов, создано 6 vlan для 6
пользователей подключенных по 1 на каждом коммутаторе
(данная схема подключения абонентов отразит работоспособность всей
сети в полном объёме)
Нумерация списков доступа для простоты понимания производится
синхронно с нумерацией Vlan.
switch_routing#enable
switch_routing#configure terminal
switch_routing(config)#ip access-list standard 10
после создания списка необходимо вписать критерии. В стандартных
именных списках существует несколько критериев, такие как:
permit: разрешить
deny: запретить
remark: комментарий о списке доступа
address: запрещаем или разрешаем сеть
any: разрешаем или запрещаем всё
host: разрешаем или запрещаем хосту
source-wildcard: WildCard маска сети
log: включаем логгирование пакеты проходящие через данную запись
ACL
switch_routing(config-std-nacl)#permit host 192.168.10.2
switch_routing(config-std-nacl)#deny any
этими действиями мы разрешаем доступ только данному хосту.
После чего необходимо присвоить данные условия к определённому
интерфейсу. В нашем случае это интерфейс Vlan 10
Входим в интерфейс и запрещаем входящий и исходящий трафик при
нарушение условий данного списка.
switch_routing(config)#int vlan 10
switch_routing(config-if)#ip access-group 10 in
switch_routing(config-if)#ip access-group 10 out
Таким образом получается что только данный ip адрес входящий в
данный vlan может получать траффик. Подобную конфигурацию необходимо
повторить на всех созданных Vlan.
далее приведена конечная конфигурация оборудования уровня
агрегации
Building configuration...
Current configuration: 2064 bytes
version 12.2
hostname switch_routing
enable secret 5 $1$mERr$wZMkJsj2RVk4hay2C4T32.
ip routing
switchport trunk encapsulation dot1q
switchport trunk encapsulation dot1q
interface Vlan1
no ip address
shutdown
interface Vlan10
ip address 192.168.10.1 255.255.255.248
ip access-group 10 in
ip access-group 10 out
interface Vlan20
ip address 192.168.10.9 255.255.255.248
interface Vlan30
ip address 192.168.10.17 255.255.255.248
interface Vlan40
ip address 192.168.10.25 255.255.255.248
interface Vlan50
ip address 192.168.10.33 255.255.255.248
interface Vlan60
ip address 192.168.10.41 255.255.255.248
ip classless
access-list 10 permit host 192.168.10.2
access-list 10 deny any
line con 0
password cisco
login
line vty 0 4
password cisco
login
end
Заключение
С активным развитием мультисервисных сетей становится важным

вопрос об их квалифицированной разработке и соответствующей защите.
Ведь от грамотного создания проекта сети и от эффективной схемы
обеспечения безопасности зависит эффективность ее дальнейшего
функционирования.
В результате проделанной работы была спроектирована
мультисервисная сеть и применена достаточно надежная схема обеспечения
безопасности для одного оптического кольца в жилом районе города Ижевска
а именно район ОУ-6 в состав которого входит оптическое кольцо в который
вошли здания по адресам улица Союзная 45, 47, 51, 53, 55, 57
Общее количество абонентов составляет 144. Абоненты
мультисервисной сети имеют доступ к сети Интернет, услуг IP-телефонии, и
цифрового интерактивного телевидения. В качестве источника услуг был
избран оператор ООО «Комстар»
Мультисервисная сеть ОУ-6 разделена на 2 уровня: агрегирующий
уровень и уровень доступа. Для агрегирующего уровня был выбран
высокопроизводительный коммутатор 3-го уровня с низкими показателями
отказа. Сеть уровня доступа имеет кольцевую топологию, которая соединяет
все узлы в кольцо замыкаясь через сеть “Комстар”, обеспечивая соединение
низкую вероятность отказа. Район ОУ-6 был разделен на 15 секторов
(оптических колец) с одним узлом агрегации. При рассмотрении одного
оптического кольца, до узла агрегации подключена сеть доступа состоящая из
6 коммутаторов уровня доступа. Также была спроектирована модель сети в
программе Packet Tracer , для проверки работоспособности, также была
Разработана схема обеспечения безопасности данной сети, состоящая из двух
этапов.
Идентификация пользователя по mac-адресу на уровне доступа.
Идентификация пользователя по ip адресу на уровне агрегации.
Для достижения данных целей были сконфигурированы пороли для
доступа конфигурирования оборудования, обеспечена безопасность портов
коммутатора уровня доступа путём создания таблицы разрешенных mac-
адресов и приписаны к определённым портам коммутатора. Также были
сконфигурированы виртуальные интерфейсы Vlan по технологии Vlan 1:1
они также были приписаны к определённым портам коммутатора. Была
обеспечена фильтрация траффика по ip адресам пользователей путем
создания списков доступа на коммутаторе уровня агрегации. Также были
созданы списки доступа на удаленное подключение к конфигурированию
оборудования, и были защищены паролем.
Список используемых источников
1. Филимонов, А. Построение мультисервисных сетей Ethernet [Текст] /

СпБ – 2007 – «БХВ-Петербург».
2. Бакланов И.Г. NGN: Принципы построения и организации [Текст] /под
ред. Ю.Н. Чернышова. – М.: Эко-Трендз, 2008. – 400 с.
3. Официальный сайт администрации городского округа Самара–
[Электронный ресурс] / Режим доступа – http://city.samara.ru.
4. Слепов Н.Н. Синхронный цифровые сети SDH [Текст] / Слепов, Н.Н. –
М., 1997. Эко-Трендз.
5. Слепов Н. Сети SDH новой генерации и их использование для передачи
трафика Ethernet [Текст] / Н. Слепов // Электроника: НТБ – 2005 – Вып.3. – C.
47-55.
6. Бахтеяров П. Основы построения Metro Ethernet сетей [Текст] /П.
Бахтеяров // Вестник связи – 2004 – Вып. №10. – C. 45-51.
7. Принципы маршрутизации в Internet, 2-е издание [Текст]: Пер. с англ.
М.: Издательский дом "Вильяме", 2001. - 448 с.: ил.
8. Руководство по Cisco IOS [Текст]. - СПб.: Питер, М.: Издательство
«Русская Редакция», 2008. -784 с
9. Росляков А.В. IP-телефония / Росляков А.В., Самсонов М.Ю., Шибаева
И.В. – М.: Эко-Трендз, 2003. – 252 с.
10. Официальный сайт произвоизводителя оборудования Cisco Systems
[Электронный ресурс] / Режим доступа – http://www.cisco.com.
11. Хьюкаби, Д., Мак-Квери, С. Руководство по конфигурированию
коммутаторов Catalyst.: Пер. с англ. [Текст] – М.: Издательский дом
«Вильямс» – 2004. – 560 с.
12. Optix OSN 3500 Интеллектуальная система оптической передачи
Техническое руководство - Описание системы.
13. RAD RIC-155GE. Техническое описание конвертора интерфейсов.
14. Транспортные сети и системы электросвязи. Системы
мультиплексирования: Учебник для студентов ВУЗов по специальности
«Телекоммуникации» [Текст] / Под ред. В.К. Стеклова. – К.; 2003 – 352 с.
15. Официальный сайт компании D-Link. Техническое описание
медиаконвертора DMC-920 [Электронный ресурс] / Режим доступа
–http://ftp.dlink.ru/pub/transciever_mediaconverter/DMC-920/Data_sh.
16. Техническое описание синхронного мультиплексора SMA4. Фирма
«СИМЕНС». Вариант исполнения S42022-D3502-H2-2-18.
17. Официальный сайт ЗАО «Самарская оптическая кабельная компания»
[Электронный ресурс] / Режим доступа – http://www.soccom.ru.
18. Дональд, Дж. Стерлинг. Техническое руководство по волоконной
оптике [Текст] / Дональд Дж. Стерлинг., пер. Московченко А. – Издательство
«ЛОРИ» – 1998.
19. Основы организации сетей Cisco, том 1 [Текст].: Пер. с англ. - М.:
Издательский дом «Вильямс», 2002. - 512 с.
20. Портнов, Э.Л. Оптические кабели связи [Текст] – М. «Информсвязь»,
2000 – 112 с.
21. Программа сетевой академии Cisco CCNA 3 и 4. Вспомогательное
руководство, 3-е изд., с испр. [Текст]: Пер. с англ. – М.: ООО «И. Д.
Вильямс», 2007. – 994.
22. Сапаров В.Е. Руководящий документ. Выпускные квалификационные
работы. Общие требования по оформлению пояснительной записки [Текст]. –
Самара: ПГУТИ, 2009. – 28 с.
23. Слепов Н.Н. Оптоволоконные системы дальней связи. Перспективы
развития [Текст] // Электроника: НТБ – 2005. – Вып.6.
24. Величко В.В. Телекоммуникационные системы и сети: Учебное
пособие в 3-х томах. Том 3. – Мультисервисные сети [Текст] / В.В. Величко,
Е.А. Субботин, В.П. Шувалов, А.Ф. Ярославцев; под ред. профессора В.П.
Шувалова. – М.: Горячая линия – Телеком, 2005. – 592 с.
Приложение А
Приложение Б
Приложение В
Приложение Г
Приложение Д
Размещено на Allbest.ru

(1) Разработка и обеспечение безопасности сети широкополосного доступа по технологии FTTB в жилом районе города Ижевска

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

(1) Разработка и обеспечение безопасности сети широкополосного доступа по технологии FTTB в жилом районе города Ижевска

Загружено:

Авторское право:

Доступные форматы

Размещено на http://www.allbest.

С бурным развитием телекоммуникаций в современном мире общество

В качестве предмета исследования я выбрал мультисервисную сеть

На уровне ядра находятся высокопроизводительные платформы для

1.1 Широкополосный доступ в Интернет

Поскольку рабочий проект и условия заказчика предусматривает

1.2 Технологии мультисервисных сетей

В сеть доступа инвестируется от 50% до 80% средств, поэтому

Технология FTTB (англ. Fiber to the Building - волокно до здания) - на

2.1 Общие принципы построения домовой сети Ethernet

В основе подхода построения сети – повсеместное использование

На схеме видно, что топология сети строится по принципу “кольцо”

2.2 Основные направления проектирования сети FTTx

Общее количество портов сети FTTx по техническому заданию

Сетевое оборудование подразделяется на оборудование магистральной

3.1 Выбор оборудования уровня доступа

Главными критериями выбора оборудования в нашем случае является:

Рис. 4 - Внешний вид коммутатора S2326 TP-PWR-E1

Описание: коммутатор LS-S2326TP-E1/LS S2352TP-E1 - L2/L4 уровня

3.2 Выбор Коммутатора уровня агрегации

Главными критерием выбора оборудования уровня агрегации является:

Рис. 5 - Внешний вид коммутатора Cisco ME-4924

Коммутатор агрегации от ведущего мирового производителя с 24

Packet Tracer - эмулятор сети передачи данных, выпускаемый фирмой

4.1 Распределение адресного пространства

Проектируемая мультисервисная телекоммуникационная сеть имеет

коммутатор Vlan IP addres Mask

4.2 Разработка сети

Моделированная сеть имеет ряд особенностей, организация связи в

4.3 Разработка Vlan

Сеть доступа и агрегации обеспечивает подключение абонента к

Рис. 6 - Модель Vlan 1:1

Рис. 7 - Модель Vlan 1:N

Модель 1:1 предполагает, что каждому абоненту соответствует свой

4.4 Конфигурирование коммутатора уровня доступа

Первое что необходимо сконфигурировать это имена и пароли

4.5 Конфигурирование и маршрутизация коммутатора уровня

На начальной стадии конфигурирования необходимо задать имена и

5.1 Безопасность коммутаторов. Общие сведения

5.2 Организационные политики безопасности

При определении уровня и типа политик безопасности для сети

5.3 Обеспечение безопасности коммутаторов уровня доступа

В этом разделе описываются действия, которые необходимо

5.3.1 Защита физического доступа к консоли

5.3.2 Защита доступа по Telnet

5.3.3 Защита портов коммутатора

5.3.5 Настройка port security

5.4 Обеспечение безопасности коммутатора уровня агрегации

На оборудование агрегации в моей дипломной работе ложится

С активным развитием мультисервисных сетей становится важным

1. Филимонов, А. Построение мультисервисных сетей Ethernet [Текст] /

Вам также может понравиться