Министерство цифрового развития, связи и массовых коммуникаций

Российской Федерации
КОЛЛЕДЖ ТЕЛЕКОММУНИКАЦИЙ
ордена Трудового Красного Знамени федерального государственного
бюджетного образовательного учреждения высшего образования
«Московский технический университет связи и информатики»
(КТ МТУСИ)

ДИПЛОМНАЯ РАБОТА
НА ТЕМУ

Способы повышения эффективности работы компьютерной

сети предприятия

Студент Теплов Олег Юрьевич /____________________________/

Курс 4 Группа С9-420Б /
Специальность: 11.02.11 / Сети связи и системы коммутации/
Руководитель:Агасиев Малик Букарович_________________________/
Председатель ПЦК«Сети связи и системы коммутации»
Безгина Наталия Владимировна /

Москва 2024 г.
 Министерство цифрового развития, связи и массовых коммуникаций
Российской Федерации
КОЛЛЕДЖ ТЕЛЕКОММУНИКАЦИЙ
ордена Трудового Красного Знамени федерального государственного
бюджетного образовательного учреждения высшего образования
«Московский технический университет связи и информатики»
(КТ МТУСИ)
Рассмотрено и одобрено Утверждаю
цикловой комиссией «______» Зам. директора по ККО
«____»____________2024г. ____________ /И. А. Мордвинцев/
Председатель комиссии «_____» ____________2024 г.
__________/Безгина Н. В. /

ЗАДАНИЕ НА ДИПЛОМНУЮ РАБОТУ

Получи Теплов Олег Юрьевич .
Курс 4 Групп С9-420Б .
Тема работ Способы повышения эффективности работы компьютерной сети предприятия

Утверждена приказом директора КТ МТУСИ № _______ от _______

Исходные данные: Физическая схема сети офиса

СОДЕРЖАНИЕ ПОЯСНИТЕЛЬНОЙ ЗАПИСКИ

Введение
1. Теоретическая часть
1.1. Дублирование трафика______________________________________________________
1.2. Захват пакетов_____________________________________________________________
1.3. Глубокая проверка пакетов___________________________________________________
1.4. Компоненты сети___________________________________________________________

2. Практическая часть
Построение корпоративной компьютерной сети в помещение офисного типа.
Заключение
_____________________________________________________________________________
Список литературы
_____________________________________________________________________________
Приложения

Дата выдачи задания «____»______________ 2024 г.

Срок сдачи законченной работы «____»______________ 2024 г.
Руководитель дипломной работы ___________________/ Агасиев Малик Букарович /
(подпись) Ф.И.О.

Задание принял к исполнению студент ___________________/ Теплов Олег Юрьевич /

(подпись) Ф.И.О.
 Министерство цифрового развития, связи и массовых коммуникаций

Российской Федерации

КОЛЛЕДЖ ТЕЛЕКОММУНИКАЦИЙ

ордена Трудового Красного Знамени федерального государственного

бюджетного образовательного учреждения высшего образования
«Московский технический университет связи и информатики»

(КТ МТУСИ)

Отзыв руководителя

на дипломную работу Теплова Олега Юрьевича, студента 4 курса,

группы С9-420Б.
на тему: «Способы повышения эффективности работы компьютерной
сети предприятия».
Дипломная работа Теплова Олега Юрьевича посвящена Способам
повышения эффективной работы компьютерной сети предприятия.
Актуальность темы заключается в исследовании направления повышения
уровня безопасности информации, и оптимизацию затрат на сетевую
инфраструктуру
Целью данной ВКР является исследование и разработка методов и
рекомендаций, направленных на повышение эффективности работы
компьютерных сетей на предприятиях.
В теоретической части рассмотрены: мониторинг и управление сетью,
дублирование трафика, захват пакетов и основные компоненты сети.
В практической части дипломной работы подробно описывается
процесс построения сети на выделенном участке, настройки конфигурации
основных протоколов в сети.
Теплов Олег Юрьевич проанализировал литературу,
продемонстрировал хорошие знания в области современных сетевых,
информационных технологий.
Дипломная работа выполнена в соответствии с требованиями,
предъявляемыми к выполнению ВКР, может быть допущена к защите и
заслуживает оценки «удовлетворительно», а студент Теплов Олег Юрьевич
присвоения квалификации «техник» по специальности 11.02.11 «Сети связи и
системы коммутации»
/____________________________/_Агасиев М.Б.
Преподаватель КТ МТУСИ
«09» февраля 2024 г.
 Министерство цифрового развития, связи и массовых коммуникаций
Российской Федерации
КОЛЛЕДЖ ТЕЛЕКОММУНИКАЦИЙ
ордена Трудового Красного Знамени федерального государственного
бюджетного образовательного учреждения высшего образования
«Московский технический университет связи и информатики»
(КТ МТУСИ)

Рецензия
на дипломную работу
студента_____________________________________________________________________________
____________________________________________________________________________________
(ФИО)

на тему______________________________________________________________________________
_____________________________________________________________________________________
_____________________________________________________________________________________
_____________________________________________________________________________________
_____________________________________________________________________________________
_____________________________________________________________________________________
_____________________________________________________________________________________
_____________________________________________________________________________________
_____________________________________________________________________________________
_____________________________________________________________________________________
_____________________________________________________________________________________
_____________________________________________________________________________________
_____________________________________________________________________________________
_____________________________________________________________________________________
_____________________________________________________________________________________
_____________________________________________________________________________________
_____________________________________________________________________________________
_____________________________________________________________________________________
_____________________________________________________________________________________
_____________________________________________________________________________________
_____________________________________________________________________________________
_____________________________________________________________________________________
_____________________________________________________________________________________
_____________________________________________________________________________________
_____________________________________________________________________________________
_____________________________________________________________________________________
_____________________________________________________________________________________
/ /
подпись Фамилия И.О.

__________________________________________________________________
(место работы, должность)

«______»_________________20____г.
 Содержание
Введение................................................................................................................... 3
Глава 1. Теоретическая часть..................................................................................4
1.1. Дублирование трафика.....................................................................................6
1.2. Захват пакетов................................................................................................. 11
1.3. Глубокая проверка пакетов............................................................................ 13
1.4. Компоненты сети............................................................................................ 21
Глава 2. Практическая часть. Построение сети на выделенном участке......... 25
2.1. Эмуляция......................................................................................................... 25
2.2. Настройка........................................................................................................ 28
Заключение.............................................................................................................37
Список литературы................................................................................................38

2
 Введение
Наличие наложенной и бесперебойной связи между множеством
компьютеров, образующих управляемую централизованную сеть ,
удовлетворяет требования современного мира. В настоящие время многие
компании используют компьютерные технологии. Компьютерные сети
предприятий могут включать как огромные серверные кластеры, так и
минимально необходимую апертуру с подключением в интернет. В связи с
этим возникает нужда в способах мониторинга и настройки сети под каждый
конкретный случай в связи с различными условиями и требованиями.
Актуальность работы заключается в том, что В современном мире, где
бизнес-процессы и обслуживание клиентов всё больше зависят от цифровых
технологий, надёжность и эффективность компьютерных сетей становятся
критически важными. Учитывая, что объёмы данных продолжают расти, а
требования к скорости их обработки увеличиваются, оптимизация работы
компьютерной сети предприятия становится не просто задачей улучшения
технических характеристик, но и значительным фактором, влияющим на
конкурентоспособность и финансовую успешность бизнеса.
Помимо этого, вопрос кибербезопасности, обеспечения
бесперебойности сервисов и защиты персональных данных требуют от
специалистов постоянного повышения эффективности сетевой
инфраструктуры. Это включает в себя не только внедрение новейших
технологий, но и оптимизацию существующих сетевых ресурсов, а также
разработку и применение комплексных подходов к управлению и
мониторингу сети.
Цель исследования данной работы заключается в разработке
оптимальной сети передачи данных, с учетом требований конкретного
предприятия. Исследование направлено на анализ требований, выбор
оптимального оборудования с целью обеспечения стабильной защищенной
отвечающей под современные стандарты корпоративной сети.

3
 Глава 1. Теоретическая часть
Сеть — это фундамент большинства предприятий, который
поддерживает важные бизнес-приложения, предоставляя данные для
принятия решений и позволяя общаться с клиентами, партнерами,
поставщиками и сотрудниками. Сеть играет важнейшую
стратегическую роль, и любой простой или снижение
производительности сети или приложений напрямую влияют на
работу организации.

Рис. 1. Общая архитектура мониторинга сети

Для определения способа повышения эффективности сети,

отдельно досмотрим элементы сети и способы их улучшения, такие
как: управление, настройка, отслеживание ее работы и компоненты
самой сети.
Мониторинг и управление сетью
Мониторинг сети может быть активным или пассивным.
Пассивный мониторинг сети считывает данные с линии, не влияя на
трафик. Активный мониторинг сети добавляет возможность изменения
данных в линии. Пассивный мониторинг сети существует в нескольких
формах. Простой мониторинг может быть легко оценить вручную,
поскольку объем отслеживаемых и получаемых данных невелик.
Мониторинг всевозможных подробностей о сети и ее трафике
сталкивается с аналогичными трудностями; информация о
неисправностях и злоумышленниках собирается, но информации так
много, что она теряется в море. Также, чем больше данных собирается,

4
тем сложнее их сохранение и обработка с технологической точки
зрения. Таким образом, различные способы мониторинга сети
конкурируют друг с другом, поскольку каждый из них имеет разные
компромиссы и ориентирован на разные цели, и пользователей
Процесс мониторинга сети состоит из двух основных этапов:
дублирования трафика и анализа трафика

5
 1.1. Дублирование трафика
Все виды мониторинга сетевого трафика имеют одно общее
свойство; трафик с линии дублируется, чтобы копию можно было
проанализировать. Дублирование может происходить в одном из двух
режимов; встроенный или зеркальный. В канале размещено
устройство дублирования трафика в режиме inline. В режиме
зеркалирования функция дублирования уже является встроенной
функцией маршрутизатора или коммутатора. Существует несколько
способов зеркалирования трафика; зеркалирование портов, TAP(Test
Access Point, ответвитель трафика) и настройка, подобная TAP, с
использованием обходных сетевых карт. Зеркалирование портов — это
функция, обычно доступная в корпоративных сетевых коммутаторах и
маршрутизаторах. Трафик, проходящий через выбранные порты
коммутатора или маршрутизатора, зеркалируется на другой
выбранный порт. Порт, используемый для вывода дублированного
трафика, обычно называется зеркальным портом или портом Switched
Port Analyzer. Оба направления контролируемого канала передаются в
одном направлении через зеркальный порт.

Рис. 2. Принцип зеркалирования портов

У зеркальных портов есть два недостатка. Во-первых, если

суммарная пропускная способность трафика превышает возможности

6
передачи зеркального порта, зеркальный порт перегружается и пакеты
отбрасываются. Полнодуплексный трафик передается в одном
направлении через зеркальный порт. Это вдвое превышает
пропускную способность единственного порта для двух портов,
обслуживаемых коммутатором, и даже больше, если обслуживается
более двух портов. Во-вторых, большинству коммутаторов не хватает
вычислительной мощности для управления коммутацией и
зеркалированием. Основная функция коммутатора имеет приоритет, и
зеркалирование может не работать должным образом в периоды
пикового трафика.
Порт тестового доступа TAP — это устройство захвата пакетов,
работающее в линейном режиме, поскольку наблюдаемая линия
разделена. Между разделенными частями линии подключается TAP
устройство, и трафик дублируется. Одиночные TAP дублируют трафик
на один выход, состоящий из двух физических портов как для
нисходящего, так и для восходящего канала полудуплексного канала.
ТАР регенерации дублируют трафик на несколько выходов.
Ответвители агрегации объединяют оба канала в один выходной порт.
Существует три типа TAP; медь, оптоволокно и виртуальная. Оба
направления контролируемого канала передаются отдельно.

Рис. 3. Зеркалирование трафика с использованием ТАР

7
 Пассивные медные ответвители подключаются непосредственно
к линии. Поскольку пассивные ответвители не получают питание,
отключение электроэнергии не может привести к неисправности
линии. Недостатком пассивных медных TAP является то, что таким
образом можно подключиться только к соединениям со скоростью 10
Мбит/с и 100 Мбит/с. Пассивное соединение искажает сигнал таким
образом, что пассивно прослушивать гигабайтный Ethernet
невозможно . В патенте NetOptic представлен метод, в котором
используется активная гигабайтная точка доступа, оснащенная
конденсаторами, для поддержания соединения во время переключения
встроенных обходных реле.
Активные медные ответвители работают аналогично подходу,
описанному в предыдущем подразделе. Сигнал, проходящий через
TAP, активно ретранслируется и дублируется, при этом не возникает
никаких искажений сигнала, за исключением незначительной
задержки, вызванной электронной схемой. Обратной стороной этого
подхода является то, что сбой питания TAP приводит к переключению
реле аварийного переключения, что приводит к задержке в несколько
сотен микросекунд
Пассивные оптические ответвители перенаправляют часть
исходного сигнала на зеркальный выход. Преимуществом является
отсутствие сбоя питания ТАР. Недостаток заключается в том, что
сигнал в линии ослабляется ТАР
Оптические TAP с регенерацией направляют очень небольшую
часть исходного сигнала на зеркальный выход и усиливают его до
полной мощности. Сбой питания просто отключает зеркальный выход
и не приводит к сбоям в линии

8
 Настройка с использованием сетевой карты (NIC -network
interface controller,) объединяет зеркалирование трафика с анализом
трафика. Канал передающий данные расщеплен. Оба конца
разделения подключены к двум интерфейсам NIC. Сетевая карта
установлена в компьютере. Интерфейсы настраиваются программно
как сетевой мост. Действуя как мост, линия разделения остается
неподвижной. Работает должным образом. Прохождение трафика
через компьютер позволяет наблюдать за дорожным движением. Эта
установка расположена во встроенном режиме, аналогично TAP.

Рис. 4. Встроенное зеркалирование с использованием двух

интерфейсов сетевой карты

Зеркальное отображение с использованием сетевых карт

возможно при использовании сетевых карт потребительского уровня.
Это вводит точку отказа. В случае сбоя программного или аппаратного
обеспечения линия больше не подключается.
Существуют специализированные, так называемые обходные
сетевые карты. Обходные сетевые карты имеют возможность обходить
два сетевых интерфейса при возникновении сбоя например: сбой
программного обеспечения или потеря питания

9
 Рис. 5. Обход сетевого адаптера в режиме обхода обеспечивает
мостовое соединение в аппаратно, чтобы не разорвать
соединение

Недостатком является то, что компьютер заблокирован в

определенном месте и его нельзя переместить, не прерывая
соединения.

10
 1.2. Захват пакетов

Захват пакетов имеет три значения в произвольном порядке.

Во-первых, это интерактивный подход к мониторингу сети.
Во-вторых, захват пакетов — это файл трассировки пакетов.
В-третьих, это перехват пакетов по сетевому каналу. Захват может
быть сохранен в файл или прочитан непосредственно анализатором
сетевого трафика в режиме реального времени
Захват пакетов как метод дублирования пакетов
Сетевой трафик захватывается с точки наблюдения. Нет
необходимости, чтобы захват во времени и пространстве зависел от
последующего анализа, поскольку собранные данные можно
сохранить в файл. Это может быть временный файл как часть всего
процесса мониторинга сети или его можно сохранить в файл для
дальнейшего использования. Захваченные данные такие же, как и
были на линии. Процесс захвата пакетов может быть как ручным, так
и автоматическим
Захват пакетов как метод мониторинга сети.
Подход к мониторингу сети захвата пакетов состоит из двух
основных этапов; во-первых, создание файла перехвата пакетов и,
во-вторых, выполнение анализа сетевого трафика в захваченном
файле. Захват пакетов как метод мониторинга сети может быть как
ручным, так и автоматизированным. Автоматизированный подход
используется для регистрации и анализа поведения вредоносного ПО.
Также возможен дополнительный ручной анализ выбранных пакетов,
перехваченных такой автоматизированной системой. Уровень 3
модели OSI обычно используется, чтобы трафик рассматривался как
серия IP-пакетов. Захваченный трафик в этом представлении затем
можно просматривать, искать или фильтровать. Также возможно
фильтровать пакеты перед захватом трассировки пакета.

11
Используются как графический интерфейс пользователя (GUI), так и
интерфейс командной строки (CLI). В некоторых установках возможна
автоматизация посредством сценариев действий. Это просто
предназначено для помощи пользователю и не предназначено для
реализации сложной автоматизированной системы. Систему
обнаружения вторжений (IDS) можно рассматривать как сложную
автоматизированную систему. В контексте анализа перехвата пакетов
даже сценарии, подобные IDS, по-прежнему предназначены для
индивидуального интерактивного анализа. Доступность полных
сетевых данных для свободного просмотра и поиска не имеет себе
равных среди всех архитектурных подходов, упомянутых в этой
статье. Интерактивность и доступ к любой части данных о дорожном
движении могут быть огромным преимуществом. Пользователь может
искать весьма специфические артефакты, не программируя ничего и
не ограничиваясь более автоматизированным программным
обеспечением. Это полезно для борьбы с новыми шаблонами трафика,
такими как новые вредоносные программы или неизвестные
протоколы связи. Однако интерактивность является недостатком,
когда шаблон уже известен, а работа повторяется и автоматизируется.
Этот подход не масштабируется, и поиск в больших объемах данных
становится обременительным.
PCAP - широко используемый формат файла для хранения
перехваченного трафика. Tshark и tcpdump являются примерами
программного обеспечения, работающего через CLI. Wireshark —
пример программного обеспечения с графическим интерфейсом.

12
 1.3. Глубокая проверка пакетов

Автоматизация — характерная особенность глубокой проверки

пакетов (DPI - Deep Packet Inspection), особенно по сравнению с
описанным выше ручным захватом и анализом пакетов. Глубокая
проверка пакетов — это метод просмотра полезной нагрузки
IP-пакетов. Однако он также используется для обозначения тех
архитектурных подходов к мониторингу сетевого трафика, которые
используют DPI в автоматическом режиме; DPI встроен в
автоматизированные системы по своей сути. Захват и дальнейший
анализ трафика могут быть как отдельными процессами как во
времени, так и в пространстве, или могут быть интегрированы в один
конвейер процессов. Пакет Метод захвата может служить источником
файла PCAP для дальнейшего анализа на основе DPI.

Рис. 6. Подход на основе DPI

Существует два основных типа анализа на основе DPI;

сопоставление шаблонов и анализ событий. Оба используются в
различных IDS/IPS (системах обнаружения вторжений/системах
предотвращения вторжений).

13
 Сопоставление с образцом

Это метод DPI, который включает поиск по всем сетевым данным

известных последовательностей байтов или совпадений с регулярными
выражениями. Поиск может быть ограничен определенными частями пакетов
или конкретными пакетами.

Рис. 7. DPI – метод сопоставления с образцом

Относительная простота является преимуществом этого подхода,

поэтому он является популярным типом DPI. Описать искомые данные
последовательностями байтов или регулярными выражениями зачастую
несложно. Однако эта сила становится проблемой, когда мы хотим найти
шаблоны, которые невозможно или невозможно описать с помощью
регулярных выражений. Если данные необходимо декодировать перед
дальнейшим сопоставлением с образцом, а функция декодирования еще не
встроена в монитор сетевой безопасности, обычно невозможно создать
регулярное выражение, которое также выполняет декодирование. Сжатие
может служить примером такого декодирования, необходимого перед
сопоставлением с образцом.

Сложную логику принятия решений также невозможно реализовать,

используя только регулярные выражения. Пример задачи; оповещение об
истекших SSL-сертификатах для HTTPS-соединений, поступающих из

14
указанного списка IP-адресов и ниоткуда больше. Преобразование данных
обнаружения сертификата SSL в регулярные выражения может оказаться
невозможным. Проверка принадлежности определенного сертификата списку
может привести к созданию сложного регулярного выражения. Даже если
первая проблема решается декодером SSL, вторая остается. Еще один шаг:
если список сигналов динамически меняется во время выполнения,
преобразование алгоритма в регулярное выражение становится вообще
невозможным. Примером этого может быть обнаружение на основе
пороговых значений, например: оповещение о хостах, получающих более 10
ошибок DNS в час. Современные мониторы сетевого трафика, использующие
метод сопоставления с образцом DPI, обычно декодируют наиболее
используемые протоколы. Подход сопоставления с образцом медленный по
сравнению с подходом наблюдения за потоком, описанным в следующем
разделе. Конкретная реализация сопоставления с образцом для скорости 10
Гбит/с требует аппаратного ускорения с использованием FPGA. Напротив,
конкретная реализация наблюдения потока без аппаратного ускорения
обеспечивает скорость 40 Гбит/с. По сравнению с подходом, основанным на
событиях, описанным в следующем подразделе, подход сопоставления с
образцом также довольно упрощен.

Существует множество алгоритмов сопоставления с образцом.

Алгоритмы сопоставления с образцом в контексте сетевого мониторинга
описаны Дж. Келли. Помимо алгоритмов, существуют пакеты программного
обеспечения для сопоставления с образцом, готовые для интеграции в другое
программное обеспечение; Например, Flex и MultiFast. Использование Flex и
MultiFast в контексте анализа сетевого трафика исследовал Т. Шима.

Snort и Suricata являются программными реализациями сопоставления

шаблонов DPI.ngrep — это утилита командной строки для сопоставления
шаблонов в трассировках захваченных пакетов.

15
 Анализ событий

В предыдущем подразделе описаны случаи, когда сопоставление с

образцом явно является недостаточным методом. Его неспособность
выполнять декодирование или несколько шагов принятия решений
рассматривается в архитектурном подходе анализа на основе событий. В
подходе DPI с анализом на основе событий, как показано на рисунке 8,
пакеты преобразуются в события, которые, в свою очередь, обрабатываются
скриптами. Скрипты могут реализовывать сложные алгоритмы обработки и
добавлять новые функции, связанные с DPI.

Рис. 8. DPI с анализом событий

Такой архитектурный подход заменяет часть сопоставления с

образцом алгоритмами, реализованными в виде компьютерной
программы. Алгоритмы могут быть как с сохранением состояния, так
и без него. Алгоритмы без сохранения состояния — это всего лишь
немедленная реакция или цепочка реакций на конкретные события.
Алгоритмы с отслеживанием состояния могут использовать
программные переменные для запоминания состояния между
возникновением событий. Bro Network Security Monitor — сетевой
монитор с такой архитектурой.

16
 Наблюдение за потоком
Подходом, отличающимся от описанных в предыдущих
разделах, является наблюдение за потоком. Содержимое пакетов не
анализируется, кроме информации из заголовков пакетов. Эта
информация агрегатируется в потоки. RFC 7011. В дано следующее
определение потока: “Поток определяется как набор пакетов или
кадров, проходящих через точку наблюдения в сети в течение
определенного интервала времени. Все пакеты, принадлежащие
определенному Потоку, имеют набор общих свойств “.
Следующий пять значений используется в качестве общего
свойства, отличающего потоки друг от друга: IP-адрес источника,
IP-адрес назначения, IP-порт источника, IP-порт назначения, протокол
уровня 4.
При архитектурном подходе к наблюдению за потоками монитор
сетевого трафика хранит информацию о наблюдаемых потоках, такую
как идентифицирующий кортеж из пяти элементов, количество
переданных байтов и пакетов, а также флаги протокола L4, но он не
анализирует и не сохраняет полезную нагрузку. Поскольку сами
данные не обрабатываются, наблюдение потока имеет несколько
преимуществ.
Поскольку полезная нагрузка не анализируется, наблюдение
потока происходит быстрее, чем другие подходы на том же
оборудовании. Более того, отсутствие сохранения полезной нагрузки
приводит к значительному уменьшению объема хранимых данных,
чем в случае упомянутого выше перехвата пакетов. Отсутствие
обработки полезной нагрузки также снижает угрозу
конфиденциальности по сравнению с захватом пакетов или DPI.
Данные о потоках могут использоваться для соблюдения законов о
хранении данных.

17
 После наблюдения пакеты отправляются в процесс измерения.
Процесс измерения идентифицирует потоки и подсчитывает их
статистику. С этого момента исходные пакеты не обрабатываются.
Процесс измерения отправляет информацию о потоках в процесс
экспорта через определенный период времени. Процессы измерения и
экспорта обычно выполняются вместе на сетевом зонде. Процесс
экспорта отправляет окончательную информацию о потоке сборщику
для хранения и последующей обработки.

Рис. 9. Архитектура наблюдения за потоком

Существует два примечательных формата передачи информации

о потоке; NetFlow, разработанный CISCO, и IPFIX, разработанный
IETF. Некоторые из существующих программных экспортеров потоков
— это nProbe, softflowd, YAF и FlowMo; выбранными коллекторами
потока являются nProbe, nfdump, flowd, IPFIXcol и SiLK.

18
 Таблица 1
Преимущества и недостатки типов мониторинга

Типы Достоинства и недостатки

мониторинга

Порт Плюсы Широко доступны в переключателях

Зеркалирования
Минусы Ненадежный

TAP Плюсы Надежность на высоких скоростях

Минусы Дорогой
Требует отключения при установке

Захват пакетов Плюсы Беспрепятственный доступ ко всем сетевым

данным во время анализа

Минусы В основном ручной анализ

Не масштабируется до высоких скоростей и
большого размера захвата

Шаблон Плюсы Простая разработка правил обнаружения

соответствие DPI Хорошо масштабируется до высоких
скоростей

Минусы Не все данные можно описать шаблонами

или регулярными выражениями

Событие на Плюсы Хорошо масштабируется до высоких

основе DPI скоростей
Улучшение выразительных возможностей
при сопоставлении шаблонов DPI

Минусы Требует более сложной реализации, чем

19
 Продолжение таблицы 1

сопоставление с образцом DPI

Разработка правил требует от разработчика
знаний значительно больше о реализации
DPI, чем о сопоставлении с образцом

Наблюдение за Плюсы Конфиденциальность – данные полезной

потоком нагрузки пакета не используются
Хорошо масштабируется до высоких
скоростей
Выходные данные представляют собой
часть размера отслеживаемых данных о
трафике.

Минусы Хранит только агрегированные метаданные

о трафике
Ограниченные возможности анализа
данных

20
 1.4. Компоненты сети
Основное оконечное устройства
Для выбора форм-фактора оконечного устройства необходимо
определить допустимый размер устройства, бюджет и задачи.

Таблица 2
Сравнение персональных компьютеров

Тип устройства

Ноутбук Стационарный Моноблок

компьютер

Размер и Занимает мало Системный блок Занимает Много

занимаемое места. Требует занимает много
место мало рабочего места. Требует
пространства много места для
необходимых
устройств ввода
и вывода.

Возможности Можно Сложная Не сложный перенос

по переносу переносить переноска из-за самого устройства и
даже обилия устройств его периферии
включенным и габаритов

Цена Низкая Высокая из-за Усредненная между

дополнительных ноутбуком и
затрат на стационарным
периферию компьютером

21
 Продолжение таблицы 2

Задачи и Имеет все Высокая Удобство

возможность компоненты для вычислительная расположения и
видео и аудио мощность. проектирования
связи. Модульность. рабочих мест
Возможность Обилие портов по
работать без для форм-фактору.
премного подключения Легкий доступ
подключения к внешних к
сети. устройств. подключенным
устройствам
при этом малое
обилие лишних
предметов на
рабочем
пространстве.

22
 Наиболее важное в выборе устройства это его расположение и
вытекающие из этого задачи.
Внутрисетевые или промежуточные устройства
Многие устройства вышли из обихода или их функции были заняты
другими. В свою очередь задачи некоторые могут выполняться программно,
что не мешает им быть взаимодополняющими.
Хаб был полностью вытеснены роутером, коммутатор и
маршрутизаторами, одной из осевых причин была устаревшая и небезопасная
технология отправки и распределения пакетов. Беспроводная сеть
используется повсеместно и значительно повышает скорость передачи и
приема данных на многих устройствах. Для организации инфраструктуры
беспроводной сети во многих предприятиях используются, такие устройства
как контроллер Wi-Fi точек доступа, Wi-Fi точка доступа, антенны Wi-Fi
точек доступа, маршрутизатор, коммутатор, многие из которых уже давно
выполняют не одну функцию. Оборудование выполняющие функции
сводятся к понижению влияние человеческого фактора на сеть: сервер для
сохранения важных данных; Брандмауэр или межсетевой экран выполняет
фильтрацию трафика. Аппаратные и программно-аппаратно средства
повышения безопасности сети генератор шума, система обнаружения
вторжений и система электронных ключей и аутентификации пользователя.
Влияние компонентов на эффективность сети
Эффективность работы сети предприятия зависит от множества
факторов, в том числе от качества и настройки каждого из компонентов.
Например, пропускная способность и задержка в коммуникационных каналах
напрямую влияют на скорость обмена данными. Современные технологии,
такие как Gigabit Ethernet или 10-Gigabit Ethernet в кабельных сетях и Wi-Fi 6
в беспроводных, могут значительно повысить производительность сети.
Настройка сетевого оборудования, включая маршрутизаторы и
коммутаторы, также имеет важное значение. Правильная конфигурация
маршрутизации, управление полосой пропускания, QoS (Quality of Service) .

23
Серверы должны быть эффективно распределены и настроены для
обеспечения надежности и высокой доступности ресурсов. Виртуализация
серверов и использование облачных технологий может увеличить гибкость и
масштабируемость сетевой инфраструктуры.
В заключение, оптимизация работы клиентских устройств, включая
регулярное обновление программного обеспечения и аппаратного
обеспечения, может способствовать уменьшению нагрузки на сеть и
повышению общей производительности.

24
 Глава 2. Практическая часть. Построение сети на
выделенном участке
Техническое задание

Создать сеть предприятия офис.

Используя программу Cisco Packet Tracer разработать логическую сеть
и физическую схему сети основанную на схеме.
Разработать и использовать методы повышения эффективности сети
подходящий для данного предприятия.

2.1. Эмуляция
Размещение

В помещение всего 41 компьютеров из которых 33 офисные, 4

бухгалтерские, 2 ресепшн, 1 серверный и 1 в переговорной. Сеть разделена на
3 виртуальных сети. Сеть Vlan 1 офисная не имеющая доступ к сети
бухгалтерии, но имеющая доступ к корпоративной сети. Сеть бухгалтерии
Vlan2 имеет доступ ко всем виртуальным сетям. Корпоративная сеть Vlan 3
обеспечивает всем доступ к сетевому принтеру и серверу.
Для размещения всех необходимых компьютеров в Vlan1 компьютеров
было взято 2 коммутатора из-за наличия у каждого из них всего по 24 порта,
на логической схеме видно что компьютеры распределены в примерно равной
степени что сделано для упрощения поиска неисправностей и легкости
последующего расширения сети. Бухгалтерская сеть отделена от офисной для
защиты важной информации, возможность Vlan1 и Vlan2 иметь доступ к
Vlan3 позволяет: непрямой обмен данными через сервер, сохранение данных
для дополнительного способа к хранению и защите от потери и конечно же
удобство использования. Устройство находящиеся в зале с экраном и
проектором находиться в общем доступ, как и принтеры подключенные к

25
сети, то есть любой компьютер может передать туда свои данные. Чем
меньше причин и возможностей у сотрудников негативно повлиять на
работоспособность сети и чем легче и работникам без чей либо помощи
работать с сетью тем больше времени у системных администраторов
заниматься действительно важными вещами. Настройку и взаимодействие
между собой сетей Vlan позволяет коммутаторы 3 уровня модели SIP, а
конкретнее используемое решение предлагаемое компании Cisco, коммутатор
Cisco 3560.

Рис. 10. Физическая схема сети

26
 Рис. 11. Логическая схема сети

Затраты
Количество коммутаторов может показаться излишним, но 2
коммутатора отвечающие за сеть Vlan 1 равномерно делят нагрузку,
оставляют место под дальнейшее расширение и позволяют более явно
оценивать состояние сети и быстрее устранять ошибки. Коммутатор 3 уровня
позволяющий не только организовывать Vlan, но и передавать информацию
между ними, ограничивать доступ и разрешение в сети. Также организуя
доступ к сети как для все устройств, так и возможность его ограничить.
Ставить каждому сотруднику личный принтер очень дорого с этой проблемой
и помогает принтер с сетевым интерфейсом. Сервер не являются
необходимым компонентом сети, но потенциальная экономия денег и
времени благодаря этому перекрывает затраты. Сервер предоставляет такие
возможности как сохранение введенных в его базу данных пакетов, резервное
постоянное копирование баз данных и возможность резервного копирования.
Разделение сети на три виртуальных сети позволяет предотвратить потери и
искажение важных данных.
27
 2.2. Настройка
После сборки сети и подключения все компонентов по ранее указанным
схемам переходим к настройке. Устройства в Vlan 1 занимают ip адреса с
192.168.1.1 до 192.168.1.34, в Vlan2 c 192.168.2.1 до 192.168.2.8 и Vlan3 c
192.168.3.1 до 192.168.3.4.
IP
Для настройки IP устройства нужно одно нажатие на устройство и
появится меню настройки.

Рис. 12. Меню настройки

28
 Затем нужно перейти в раздел Desktop, затем в IP Configuration

Рис. 13. Вкладка Desktop

В открывшемся окне нужно ввести Ip адрес с важным условием, что

третий октет номер Vlan а четвертый октет порядковый номер устройства.
Маску система введет сама остальные свойства пока что нам не важны.

29
 Рис. 14. Настройка сетевого интерфейса

Vlan
Переходим к настройкам виртуальных сетей. Настройка Vlan происходит
полностью в коммутаторах и маршрутизаторах. Одно нажатие на роутер.
Откроется меню настроек надо перейти в раздел CLI. C помощью команд
настроем порты и относящиеся к ним Vlan.

30
 Рис. 15. Окно эмуляции терминала настройки

Команды для настройки Vlan.

1. enable (en) - привилегированный режим, используется для настройки
от имени администратора.
2. configure terminal (conf t) - вход в терминал настройки устройства.
3. Vlan - команда для создания, обновления виртуальной сети.
4. interface vlan - для настройки отношения Vlan к интерфейсу.
5. interface FastEthernet ,interface GigabitEthernet - указание и переход к
настройке конкретного интерфейса
31
 6. access port - переключение режима работы на передачу нелегированный
информационный трафик
Настройка портов происходит в окне CLI. Настройка отличается только
названием порта и подключаем Vlan.

Рис. 16. Пример подключения порта 0/2, коммутатора 2 к Vlan 3

Результат можно посмотреть с помощью команды show vlan.

32
 Рис. 17. Таблица подключенных портов и Vlan

Далее нужно настроить порты коммутаторов. Нужно перевести порты

подключённые к оконечным устройствам в режим access, а порты между
коммутаторами и роутером в режим trunk. Изначально все порты находиться
в динамическом режиме, подстраиваясь под подключаемое устройство.
Переключи порты в определенный режим от имени администратора мы

33
повысим безопасность сети. Команда позволяющая переключит сразу
диапазон int range, далее нужно написать диапазон.

Рис. 19. Настройка коммутатора

Повторяем схожие настройки для оставшихся коммутаторов.

Роутер
Настройка портов для выхода в интернет. Для каждого Vlan настраивается
свой порт и внешний ip адрес. У VLan 3 не будет доступа к интернету в целях
безопасности.

34
Рис. 20. Прикрепление Vlan2 к sub интерфейсу

35
 Access list
Используя access list ограничим доступ одного Vlan к другому. На
примере того что Vlan 1 может получать данные отправленные от Vlan 2, а
отправлять не может.

Рис. 21. Отключение доступа Vlan 1 от Vlan 2

36
 Заключение
В теоретической главе рассмотрена взаимосвязанные темы организации
и мониторинга сети. Для организации работы сети связь и взаимодействия ее
компонентов наиболее важно.
Цель исследования в разработке эффективной сети предприятия для
офисного помещения с учетом особенностей проектирования доступного
места и в подборе оборудования под получившейся требования, была
достигнута.
В своей выпускной квалификационной работе я рассмотрел способы
администрирования сети и описал методы и способы повышения
эффективности конкретного предприятия. При помощи средств эмулирования
функций компьютерною сети и ее компонентов продемонстрировал и
разобрал их положительные и отрицательные стороны.

37
 Список литературы
1. Андреев С. А., Комаров М. М. "Управление ИТ-инфраструктурой
предприятия". Москва: Издательство "Финансы и статистика", 2021.
2. Белоусов Ф. И., Карпов Ю. Г. "Компьютерные сети: принципы,
технологии, протоколы". Москва: Издательство "Техносфера", 2020.
3. Васильев В. В. "Сетевые технологии в информационных
системах". Санкт-Петербург: Питер, 2022.
4. Головачева Е. В. "Организация и управление IT-службой: лучшие
мировые практики". Москва: Издательство "Альпина Паблишер", 2021.
5. Дейкстра А. Ю., Соколова А. Г. "Сетевые информационные
технологии". Москва: Издательство "Бином", 2022.
6. Дмитрий Митюшин “Использование программного компилятора
Cisco Packet Tracer”, 2021.
7. Кузнецов С. П. "Основы построения корпоративных сетей".
Москва: Издательство "Эксмо", 2023.
8. Куроуз, Дж. К., & Росс, К. "Компьютерные сети. Принципы,
технологии, протоколы". Москва: Техносфера, 2012.
9. Мэтьюз, М. "Построение виртуализированных сетевых
инфраструктур". Москва: ДМК Пресс, 2019.
10. Олифер В.Г., Олифер Н.А. "Компьютерные сети. Принципы,
технологии, протоколы". – СПб.: Питер, 2014.
11. Петров В. А. "Безопасность компьютерных сетей". Москва:
Издательство "ДМК Пресс", 2020.
12. Сталлингс У. "Компьютерные сети. Принципы, технологии,
протоколы". Москва: Издательство "Вильямс", 2021.
13. Таненбаум Э., Визинг Д. "Компьютерные сети". Москва:
Издательство "Питер", 2020.

38
 14. Фролов А. И., Чернышев А. Л. "Оптимизация
производительности корпоративных сетей". Москва: Издательство "Радио и
связь", 2021.
15. Харрис А. "Руководство по настройке сетевых устройств".
Москва: Издательство "БХВ-Петербург", 2022.
16. Циско Системс. "Руководство по настройке сетевого
оборудования". Москва: Издательство "БХВ-Петербург", 2020.
17. Чаплин Д. "Сетевые операционные системы". Москва:
Издательство "Эксмо", 2021
18. Шнейер Б. "Прикладная криптография: Протоколы, алгоритмы и
исходные коды на Си". Москва: Издательство "Триумф", 2021.
19. Шнейдерман Р. "Оптимизация сетевой инфраструктуры". – М.:
Радио и связь, 2021.
20. Эннисс Дж., Паттон М. "Безопасность корпоративных сетей".
Москва: Издательство "Вильямс", 2022

39
40
41
42