Разработка инфраструктуры корпоративной сети
Анализ требований ТЗ
Корпорация имеет главный офис (здание А) и два филиала:
· производство продукции Manufacture (M) - здание B;
Структура подразделений корпорации CorpXYZ
Функциональные службы корпорации в головном здании А расположены следующим образом:
1 этаж. Подразделения корпорации:
· отдел кадров и подготовки специалистов Human Resource (HR);
· отдел маркетинга Marketing (M);
· служба информационных технологий и технической поддержки Information Technologies (IT).
2 этаж. Подразделения:
· руководство корпорацией Executive (E);
· бухгалтерия Accounting (Acc);
· отдел экономики и планирования Business (Bus).
На 3, 4, и 5 этажах расположено проектное отделение, при этом:
этаж. Проектный отдел Project 1 (P1);
этаж. Проектный отдел Project 2 (P2);
этаж. Проектный отдел Project 3 (P3).
Каждый проектный отдел имеет свой конфиденциальный сервер приложений.
Две независимые группы сотрудников отдела маркетинга в основном работают на ноутбуках и подали заявку на создание защищенной беспроводной сети WLAN с выходом в интернет.
В одноэтажном здании В филиала производятся изделия двух типов, одно из них на площадях М1, другое - на площадях М2. Кроме того, имеется автоматизированный склад готовой продукции Production (P). Филиал Manufacture (M) (здание В) расположен в другом городе, удаленном на значительное расстояние, и соединен с главным офисом каналом Т1. Филиал Research (здание С) связывается с главным офисом через Internet c использованием Site-to-Site VPN IPSec. В двухэтажном здании С отдел Research занимает два этажа, при этом на 1 этаже расположена рабочая группа Research 1 (R1), на 2 этаже группа Research 2 (R2).
В каждом офисе имеются небольшие ЛВС, которые будут объединены в единую корпоративную сеть. В качестве рабочих станций используются компьютеры с установленными ОС WinXP Prof, W2000 Prof, MS Vista. В ближайшие 12-18 месяцев планируется переход части клиентов отдела маркетинга и руководства корпорацией на новые ОС семейства MS Win7. Руководство компании решило принять в качестве базовой сетевой операционной системы MS Windows Server 2008 и готово использовать избыточное сетевое оборудование.
Несколько групп сотрудников работают в Европе в своих домашних офисах SOHO, подключающихся к главному офису по каналам VPN. Максимальное число компьютеров в SOHO не более 5. Кроме того, имеется небольшой штат сотрудников корпорации, которые соединяются с главным офисом по Internet.
Схема расположения корпорации CorpXYZ
В качестве исходных данных принимается достаточность полосы пропускания каналов передачи данных для обеспечения сетевого трафика с удовлетворительным клиентским откликом. Однако необходимо таким образом спроектировать местоположение серверов, чтобы минимизировать служебный трафик сети.
Базовой технологией сети является Ethernet по стандарту 100/1000BASE-T и FDDI.
Каждое подразделение корпорации имеет свой конфиденциальный сервер приложений, доступ к которому могут иметь только сотрудники соответствующего подразделения.
Для внешних IP_интернет адресов корпорации в целом (головное здание и филиалы) используется следующий диапазон адресов (Public_IP) 225.46.11.0/24.
Для диапазона внутренних адресов (Private_IP) используются:
- для головного здания А диапазон адресов 10.101.0.0/16,
- для здания В адреса 172.22.40.0/22,
- для здания С адреса 192.168.88.0/21,
Исходные числовые данные курсовой работы приведены в таблицах 1, 2, 3, 4, 5 и 6.
В таблице 1 задано поэтажное расположение рабочих групп и количество рабочих станций трёх проектных отделов в здании А.
Распределение рабочих групп в здании А
| ОТДЕЛ | Project 1 | Project 2 | Project 3 | |||
| ЭТАЖ | Число рабочих групп (комнат) | Число раб. станций в гр., не более | Число рабочих групп | Число раб. ст. в группе, не более | Число рабочих. групп | Число раб. станций. не более |
| Этаж 1 | ||||||
| Этаж 4 | ||||||
| Этаж 5 |
В таблице 2 приведены данные по количеству рабочих групп и рабочих станций в одноэтажном здании филиала В Manufacture.
Распределение рабочих групп в здании В
| ОТДЕЛ | Manufacture | |
| Подразделение | Число рабочих групп (комнат) | Число раб. станций в группе, не более |
| M1 | ||
| M2 | ||
| P |
В таблице 3 заданы поэтажное число групп и рабочих станций в здании С филиала Research
Распределение рабочих групп в здании С
| ОТДЕЛ | Res 1 | Res 2 | ||
| ЭТАЖ | Число рабочих групп (комнат) | Число рабочих станций в группе, не более | Число раб. групп | Число раб. станций, не более |
| Этаж 1 | ||||
| Этаж 2 |
В таблице 4 представлены данные общекорпоративных служб.
Распределение общекорпоративных служб
| Служба | Human Resource, IT gr., Sales Manag. | Accounting | Business | |||
| Параметр К | Число рабочих групп (комнат) | Число рабочих станций в группе, не более | Число раб. гр. | Число раб. станций в раб. гр. | Число раб. гр. | Число раб. ст. в раб. гр. |
Также необходимо детально проработать реализацию соответствующих частей WLAN/EAP-2 инфраструктуры корпоративной сети с использованием оборудования DLink, включая его настройку, а так же конфигурирование серверов WS2008 и операционных систем рабочих станций пользователей.
При выполнении работы должны быть выполнены также следующие требования:
в качестве службы каталогов корпоративной сети использовать Active Directory;
предоставить доступ к размещенным в головном офисе Web, FTPи MX серверам корпорации CorpPAA как пользователям Интернета, так и пользователям внутренней корпоративной сети (intranet) в любое время в любой день недели;
изолировать корпоративную сеть от Интернета, Web, FTPи MX серверов;
изолировать внутреннее пространство имен;
защитить все данные, пересылаемые между головным офисом и филиалом Research;
каждое подразделение должно иметь свой конфиденциальный сервер приложений;
обеспечить защиту конфиденциальных данных при пересылке в подразделениях корпоративной сети с использованием IPSec;
обеспечить защиту конфиденциальных данных при пересылке через Интернет с использованием VPN;
обеспечить защищенные подключения к корпоративной сети удаленных пользователей по телефонным линиям ADSL;
обеспечить защиту беспроводных сетей WLAN;
обеспечить надежную работу соединений путем введения дополнительных резервных маршрутных подключений;
обеспечить проведение аудита и видеоконференций (*);
предусмотреть меры по снижению сетевого трафика, вызываемого потоковыми аудио и видеоконференциями (*);
выполнить оценку стоимости закупки сетевого оборудования, включая стоимость сопутствующих программных продуктов (ПО);
оценить затратную стоимость материалов структурированной кабельной сети СКС, включая монтажные стойки(*).
Проектирование логической структуры сети
Для обеспечения наилучшей производительности, управляемости и масштабируемости сети при разработке ее физической структуры, необходимо использовать многоуровневый подход. Такой подход позволяет расширять сеть путем добавления новых блоков, легко находить неисправности, позволяет ввести детерминизм в поведении и управлении сетью. При таком подходе выделяют следующие уровни:
Уровень ядра - находится на самом верху иерархии и отвечает за надежную и быструю передачу больших объемов данных. Трафик, передаваемый через ядро, является общим для большинства пользователей. Сами пользовательские данные обрабатываются на уровне распределения, который, при необходимости, пересылает запросы к ядру. Для уровня ядра большое значение имеет его отказоустойчивость, поскольку сбой на этом уровне может привести к потере связности между уровнями распределения сети.
Уровень распределения, является связующим звеном между уровнями доступа и ядра. В зависимости от способа реализации, уровень распределения может выполнять следующие функции:
обеспечение маршрутизации, качества обслуживания и безопасности сети;
агрегирование адресов;
переход от одной технологии к другой (например, от 100Base-TX к 1000Base-T);
объединение полос пропускания низкоскоростных каналов доступа в высокоскоростные магистральные каналы.
Уровень доступа управляет доступом пользователей и рабочих групп к ресурсам объединенной сети. Основной задачей уровня доступа является создание точек входа / выхода пользователей в сеть. Уровень выполняет следующие функции:
продолжение (начиная с уровня распределения) управления доступом и политиками сети;
создание отдельных доменов коллизий (сегментация);
подключение рабочих групп к уровню распределения;
уровень доступа использует технологию коммутируемых локальных сетей.
Сеть корпорации CorpPAA должна быть спроектирована таким образом, чтобы домены коллизий и широковещательного трафика были как можно меньше. Использование коммутаторов на уровне доступа решает проблему с доменом коллизий: при микросегментации размер домена коллизий равен 1 (1 рабочая станция).
При выборе технологии построения локальной сети необходимо учитывать то, что во многих случаях проектируемая сеть должна быть приспособлена к имеющейся кабельной системе. Согласно ТЗ на данный момент в зданиях компании существует кабельная система, состоящая из UTP-5 (для технологии 100BASE-TX). Эта система должна быть использована для соединения сетевой розетки на рабочем месте сотрудника и коммутатора на этаже. Стандарт EIA/TIA-568 допускает использование в вертикальной подсистеме многомодового оптоволоконного кабеля (62.5/125 мкм). Для обеспечения возможности будущего роста проектируемой сети в вертикальной подсистеме целесообразно применение технологии 1000Base-SX. Для данного стандарта дальность прохождения сигнала без повторителя достигает 500 м, что для проектируемой сети будет вполне достаточно. Использование в вертикальной подсистеме 10-гигабитного Ethernet является нецелесообразным, поскольку при этом значительно увеличивается стоимость оборудования, и, кроме того, такая скорость будет излишней.
Таким образом, будем реализовывать такую структуру сети, при которой на каждом этаже будет располагаться стек коммутаторов уровня доступа. Поскольку на некоторых этажах располагается несколько отделов, то необходимо использовать технологию VLAN. Для объединения горизонтальных подсистем этажей будем использовать гигабитный коммутатор, поддерживающий технологию 1000BASE-SX. Для повышения надежности на уровне распределения будем использовать резервирование коммутаторов. Связь будет осуществляться по принципу «каждый с каждым». Поскольку при данной организации в сети могут возникнуть кольца, следует использовать протокол STP.
Серверный блок при помощи использования гигабитных коммутаторов 2-го уровня будет также подсоединяться к коммутатору здания.
Согласно техническому заданию, для сотрудников отдела маркетинга необходимо организовать беспроводную сеть с возможностью выхода в Интернет. Для этого необходимо использовать беспроводную точку доступа, которая будет подключаться к коммутатору этажа.
Распределение VLAN’ов
Распределение VLAN’ов
| №VLAN | VLAN name | Примечание |
| Default | Не используется | |
| Administration | Для управления устройствами | |
| Servers | Для внешних серверов | |
| 4-100 | Зарезервировано | |
| Здание А | ||
| HR | Отдел кадров | |
| Marketing(1) | Отдел маркетинга (1 группа) | |
| Marketing(2) | Отдел маркетинга (2 группа) | |
| IT | Отдел информ. технологий | |
| Executive | Руководство | |
| Accounting | Бухгалтерия | |
| Business | Отдел экономики | |
| Project1 | Проектный отдел 1 | |
| Project2 | Проектный отдел 2 | |
| Project3 | Проектный отдел 3 | |
| Здание В | ||
| Manufacture 1 | Производство 1 | |
| Manufacture 2 | Производство 2 | |
| Production | Склад | |
| Здание С | ||
| Research 1 | Отдел разработок 1 | |
| Research 2 | Отдел разработок 2 |
Каждый отдел будет выделен в отдельный VLAN. Таким образом мы ограничим широковещательные домены. Также введём специальный VLAN для управления устройствами. Номера VLAN c 4 по 100 зарезервированы для будущих нужд.
План распределения IP-адресов будет приведен далее.