Волжский Университет имени В.Н.Татищева
Факультет Информатики и Телекоммуникаций
Курсовая работа
По дисциплине «Корпоративные сети»
Тема: «Проектирование корпоративной магистрали»
выполнил студент группы ИС-525
Титагина К.
проверил преподаватель
Бакланов А. Е.
Тольятти 2006
Содержание
Введение…………………………………………………………………… 3
1 Техническая записка…………………………………………………... 4
1.1 Основание для разработки………………………………………….. 4
1.2 Источники разработки………………………………………………. 4
1.3 Технические требования……………………………………………. 5
1.3.1 Требования к изделию………………………………………….. 5
1.3.2 Состав изделия…………………………………………………... 5
1.3.3 Технические параметры………………………………………... 6
1.3.4 Программное обеспечение……………………………………… 8
1.3.5 Требования безопасности………………………………………. 9
1.3.6 Требования надежности………………………………………… 9
2 Техническая записка………………………………………………….. 11
2.1 Принцип работы…………………………………………………….. 11
2.2 Определение технических позиции………………………………... 11
2.3 Анализ трафика в корпоративной магистрали……………………. 12
Заключение……………………………………………………………….. 13
Список используемой литературы…………………………………….. 14
Приложение 1…………………………………………………………….. 15
Приложение 2…………………………………………………………….. 16
Введение
Компьютеры уже давно и прочно вошли во все финансовые структуры. На сегодняшний день не мыслимо представить хоть один банк, в котором не было бы внедрено какой-либо информационной структуры. Будь это электронная система перевода денег или терминалы банкоматов. Грамотно спроектированная корпоративная информационная структура жизненно важна для любой финансовой организации.
|
В данном курсовом проекте будет рассматривается тема проектирования корпоративной магистрали для филиалов коммерческого банка. Особое внимание необходимо уделить вопросам безопасности, поскольку значительный объем предаваемой информации в подобных организациях относиться к секретной и конденфициальной.
Техническое задание
Введение
Настоящее технической задание распространяется на разработку корпоративной магистрали для филиалов коммерческого банка.
Основания для разработки
Основанием для разработки является задание на курсовую работу по дисциплине «Корпоративные сети».
Тема – «Проектирование корпоративной магистрали».
Источники для разработки
Корпоративная магистраль будет проектироваться для 2-х филиалов коммерческого банка которые находятся в разных районах города на расстоянии 6 километров.
В данном курсовой работе использовались следующие источники для разработки:
- план расположения филиалов коммерческого банка;
- план каждого филиала коммерческого банка;
- стандарт IEEE 802.3;
- стандарт IEEE 802.1x
- стандарт IEEE 802.8;
- технические рекомендации производителей оборудования (в данном случае рекомендации компании Dlink);
- стандарты по технике безопасности.
Технические требования
Требования к изделию
Данная корпоративная магистраль должна обеспечить надежную и что особо важно безопасную связь между 2-мя филиалами коммерческого банка на скорости 1000 Кбит\с. Магистраль должна обеспечить доступ всем пользователям к информационным ресурсам данной организации. Безопасность должна быть реализована на всех участках магистрали. Необходимо использовать шифрование трафика.
|
Состав изделия
Корпоративная магистраль состоит из следующего оборудования:
- DXS-3326GSR уравляемый коммуттор 3 уровня – 2 шт.;
- DFL-1600 межсететвой экран – 2 шт.;
- ADSL modem Dlink DCM 260 - 1шт.;
- FTP server - 2шт.;
- Proxy and web server - 2шт.;
- кабель оптоволокно одномодовое;
- кабель витая пара UTP 5.
Технические параметры
Оборудование из которого состоит корпоративная магистраль имеет следующие параметры.
DXS-3326GSR управляемый коммутатор 3 уровня с 20 портами Mini GBIC(SFP)+ 4 комбо-портами Mini GBIC (SFP)/10/100/1000BASE-T+ 2 портами 10 Гбит/с для стекирования + 1 слотом расширения. При объединении коммутаторов в стек по топологии «звезда» можно получить до 312 портов* Gigabit Ethernet, по топологи «кольцо» - до 384 портов**. Кроме того, коммутаторы DXS-33xx оборудованы слотом для установки дополнительных модулей с 2 uplink-портами 10 GE, каждый из которых обеспечивает пропускную способность до 20 Гбит/с в режиме полного дуплекса. Высокоскоростное стекирование. Каждый коммутатор оборудован 2 портами для стекирования, обеспечивающими полосу пропускания до 20 Гбит/с в режиме полного дуплекса. В стек по топологии «звезда» с мастером-коммутатором DGS-3324SRi можно объединить до 6 коммутаторов серии xStack и получить суммарную стековую полосу пропускания до 120 Гбит/с. Стекирование по архитектуре «звезда» обеспечивает отказоустойчивость и возможность добавления или исключения коммутаторов из стека, не прерывая его функционирования. Коммутаторы стекируются с помощью высокоскоростных кабелей для стекирования, что позволяет работать со стеком как с единым высокопроизводительным устройством. В стек такой архитектуры можно объединить до 12 коммутаторов. Его суммарная пропускная способность – 40 Гбит/с. Благодаря поддержке технологии SIM (Single IP Management), в стек можно легко объединить до 32-х коммутаторов, независимо от модели. Все коммутаторы могут настраиваться, обслуживаться и контролироваться с любой рабочей станции с установленным Web-браузером через единый IP-адрес. Стек управляется как единый объект и все коммутаторы, входящие в него определяются по одному IP-адресу. Расширенные функции безопасности. Они включаеют списки контроля доступа (ACL) уровней 2/3/4 на основе МАС-адреса, номера порта коммутатора, IP-адреса и/или номера порта TCP/UDP, аутентификацию пользователей 802.1x и контроль МАС-адресов. Также поддерживается централизованное управление доступом пользователей через серверы TACACS /TACACS+ и RADIUS. Коммутаторы предоставляют расширенную поддержку VLAN, включая 4 Кб записей VLAN, GARP/GVRP и 802.1Q для повышения безопасности и производительности сети. Управление полосой пропускания позволяет ограничить трафик для каждого порта и управлять объемом передаваемого трафика на границе сети. Коммутаторы предоставляют широкий набор многоуровневых (L2, L3, L4) функций QoS/CoS, гарантируя, что критичные к задержкам приложения, например VoIP, ERP, Интранет или видеоконференции будут обслуживаться с надлежащим приоритетом. Поддерживаются до 8 очередей приоритетов для 802.1p/TOS/DiffServ с классификацией на основе МАС-адресов источника и приемника, IP-адресов источника или приемника и/или номеров портов TCP/UDP. Протокол Virtual Router Redundancy Protocol (VRRP) позволяет нескольким коммутаторам 3-го уровня локальной сети использовать один IP-адрес. При этом, один из коммутаторов будет выбран ведущим, а остальные будут играть роль резервных, на случай выхода из строя ведущего. Поддержка VRRP обеспечивает удобство при настройке IP-параметров рабочей станции, не требуя изменения IP-адреса шлюза по умолчанию, при выходе из строя устройства, выполняющего маршрутизацию.
|
DFL-1600 NETDEFEND межсетевой экран. Устройства серии NetDefend представляют собой законченное решение в области безопасности, включающее встроенную поддержку межсетевого экрана, балансировки нагрузки, функций отказоустойчивости, механизма Zone-Defense, фильтрации содержимого, аутентификации пользователей, блокировки «мгновенных» сообщений и приложений Р2Р, защиты от атак «отказ в обслуживании» DoS и виртуальных локальных сетей VPN. Для того чтобы минимизировать влияние аварийной ситуации на всю сеть, межсетевые экраны поддерживают специальную функцию - Zone-Defense, представляющую собой механизм, позволяющий им работать с коммутаторами локальных сетей D-Link и обеспечивающий активную сетевую безопасность. Функция Zone-Defense автоматически изолирует инфицированные компьютеры сети и предотвращает распространение ими вредоносного трафика. Аппаратная спецификация межсетевых экранов NetDefend включает высокоскоростные процессоры, большие базы данных и вычислительные мощности, позволяющие обрабатывать до миллиона параллельных сессий. Устройства поставляются с несколькими, настраиваемыми пользователями интерфейсами, включая порты Gigabit Ethernet, позволяя развертывать гибкие, масштабируемые и свободные от «узких» мест сети, объединяющие между собой различные рабочие группы и предприятия. Все межсетевые экраны данной серии поддерживают удаленное управление через Web-интерфейс или выделенное VPN-соединение. Они включают набор функций для мониторинга и поддержания состояния и безопасности сети, в том числе отправку уведомлений по email, ведение журнала системных событий и предоставление статистики в режиме реального времени.
ADSL модем Dlink DSL 504 поддерживает модуляцию G.dmt, достигая скорости нисходящего потока до 8 мб/с и 864 кбит/с восходящего, так же поддерживает модуляцию G.lite со скоростями 1,5 мбит/c нисходящего потока и до 512 кбит/с восходящего. Модем автоматически выбирает оптимальную схему модуляции и использует протокол установки соединения G.hs.
FTP server и Proxy and web server имеют одну и ту же конфигурацию и каждый сервер состоит из следующих комплектующих:
- материнская плата Asus M2N WS Pro socket AM2 – 1 шт.;
- процессор AMD Athlon 64 X2 4800+ box – 1 шт.;
- модуль памяти 1 Gb DDR2 533Mhz Kingston – 2 шт.;
- винчестер Seagate 500 Gb sata 2 16 Mb – 2 шт.;
- видеоадаптер PCI-E GF 7300 258 Mb – 1 шт.;
- DVD – ROM nec ND4570 – 1шт.;
- корпус inwin s605 430 Вт – 1 шт.;
- монитор Samsung 19 – 1шт.;
- клавиатура и мышь комплект – 1 шт.;
- ИБП Ippon Smart Winner 1000 VA – 1шт.;
- сетевая карта Dlink DGE 530 T – 1 шт.
Программное обеспечение
На FTP server установлено следующее программное обеспечение:
- антивирус Касперского 5.0;
- операционная система Windows 2003 server sp1;
На proxy and web server установлено следующее программное обеспечение:
- антивирус Касперского 5.0;
- операционная система Windows 2003 server sp1;
- proxy server User gate 4.0;
Дополнительно на все рабочие станции корпоративной магистрали устанавливается PGP 8.0
В данной корпоративной магистрали используются следующие протоколы:
- FTP протокол передачи данных;
- HTTP протокол работы web приложений;
- TCP/IP стек протоколов;
- SNMP сетевой протокол управления;
- SSL шифрование данных.
Требования безопасности
Для безопасного и надежного функционирования спроектированной корпоративной магистрали нужно соблюдать следующие требования безопасности:
- все сервера и коммуникационное оборудование нужно устанавливать в отдельных специально оборудованных помещениях, доступ к которым должны иметь только системные администраторы;
- системным администраторам необходимо разработать корпоративную политику информационной безопасности;
- во всех компьютерах в сети обязательно использовать антивирусное программное обеспечение и регулярно обновлять антивирусные базы данных;
- обязательно использовать шифрование трафика.
Требования надежности
Для повышения надежности корпоративной магистрали и для создания должного уровня отказоустойчивости необходимо строго соблюдать следующие требования надежности:
- при монтаже и настройке сети нужно строго соблюдать все стандарты и технические рекомендации производителей оборудования;
- все коммуникационное оборудование и так же кабельная система должны быть заземлены и защищены от скачков напряжения;
- выбор типа кабельной системы должен проводиться с учетом климатических особенностей;
- на серверах обязательно использовать источники бесперебойного питания.
Техническая записка
Принцип работы
У проектируемой магистрали самым важным требованием является безопасно связать 2 филиала коммерческого банка. Именно поэтому была выбрана оптическая линия связи. В оптике не возможно перехватить трафик, не разорвав линию связи. Для связи филиалов по оптической линии связи использовались коммутаторы третьего уровня DXS-3326GSR. Скорость передачи внутри филиала между рабочими станциями состовляет 100 Кбит\с, а между серверами и коммутаторами 1000 кбит\с. В каждом филиале имеются свои сервера и для обеспечения высокого уровня безопасности были установлены межсетевые экраны DFL-1600. Именно к ним подключены серверы, и только потом сетевой экран и коммутатор связаны гигабитной линией связи по витой паре. Так же каждое здание имеет выход в Интернет по ADSL модему, который в свою очередь подключен к proxy серверу.
Определение технических позиций
В каждом филиале имеется своя локальная сеть, в которой свое адресное пространство. Филиалы находятся на расстоянии 6 километров в разных районах города. Для адресации использовался стек протоколов TCP/IP. IP адреса раздавались принудительно системными администраторами. Для безопасной передачи данных применялось шифрование данных по протолку SSL. Установка между серверами и коммутатором сетевого экрана позволит защитить магистраль от большего количества угроз, а поскольку у магистрали есть доступ в Интернет очень актуальным является фильтрация трафика.
Рассматриваемой корпоративной магистрали соответствует шаблон корпоративной магистраль.