Разработка инфраструктуры корпоративной сети
Разработка инфраструктуры корпоративной сети
1. Анализ требований ТЗ
Корпорация имеет главный офис
(здание А) и два филиала:
·
производство продукции Manufacture (M) - здание B;
Структура подразделений
корпорации CorpXYZ
Функциональные службы корпорации в
головном здании А расположены следующим образом:
1 этаж. Подразделения корпорации:
·
отдел кадров и подготовки специалистов Human Resource (HR);
·
отдел маркетинга Marketing
(M);
·
служба информационных технологий и технической поддержки Information Technologies (IT).
2 этаж. Подразделения:
·
руководство корпорацией Executive (E);
·
бухгалтерия Accounting (Acc);
·
отдел экономики и планирования Business (Bus).
На 3, 4, и 5 этажах расположено
проектное отделение, при этом:
этаж. Проектный отдел Project 1 (P1);
этаж. Проектный отдел Project 2 (P2);
этаж. Проектный отдел Project 3 (P3).
Каждый проектный отдел имеет свой
конфиденциальный сервер приложений.
Две независимые группы сотрудников
отдела маркетинга в основном работают на ноутбуках и подали заявку на создание
защищенной беспроводной сети WLAN с выходом в интернет.
В одноэтажном здании В филиала
производятся изделия двух типов, одно из них на площадях М1, другое - на
площадях М2. Кроме того, имеется автоматизированный склад готовой продукции Production (P). Филиал Manufacture (M) (здание В)
расположен в другом городе, удаленном на значительное расстояние, и соединен с
главным офисом каналом Т1. Филиал Research (здание С)
связывается с главным офисом через Internet c использованием Site-to-Site VPN IPSec. В двухэтажном здании С
отдел Research занимает два этажа, при этом на 1 этаже расположена рабочая
группа Research 1 (R1), на 2 этаже группа Research 2 (R2).
В каждом офисе имеются небольшие
ЛВС, которые будут объединены в единую корпоративную сеть. В качестве рабочих
станций используются компьютеры с установленными ОС WinXP Prof, W2000 Prof, MS Vista. В ближайшие 12-18
месяцев планируется переход части клиентов отдела маркетинга и руководства
корпорацией на новые ОС семейства MS Win7. Руководство компании решило принять в качестве базовой сетевой
операционной системы MS Windows Server 2008 и готово использовать избыточное сетевое оборудование.
Несколько групп сотрудников работают
в Европе в своих домашних офисах SOHO, подключающихся к главному офису по каналам VPN. Максимальное число
компьютеров в SOHO не более 5. Кроме того, имеется небольшой штат сотрудников
корпорации, которые соединяются с главным офисом по Internet.
Схема расположения корпорации CorpXYZ
В качестве исходных данных
принимается достаточность полосы пропускания каналов передачи данных для
обеспечения сетевого трафика с удовлетворительным клиентским откликом. Однако
необходимо таким образом спроектировать местоположение серверов, чтобы
минимизировать служебный трафик сети.
Базовой технологией сети является Ethernet по стандарту 100/1000BASE-T и FDDI.
Каждое подразделение корпорации имеет
свой конфиденциальный сервер приложений, доступ к которому могут иметь только
сотрудники соответствующего подразделения.
Для внешних IP_интернет адресов
корпорации в целом (головное здание и филиалы) используется следующий диапазон
адресов (Public_IP) 225.46.11.0/24.
Для диапазона внутренних адресов (Private_IP) используются:
- для головного
здания А диапазон адресов 10.101.0.0/16,
- для здания В адреса
172.22.40.0/22,
- для здания С адреса
192.168.88.0/21,
Исходные числовые данные курсовой
работы приведены в таблицах 1, 2, 3, 4, 5 и 6.
В таблице 1 задано поэтажное
расположение рабочих групп и количество рабочих станций трёх проектных отделов
в здании А.
Распределение
рабочих групп в здании А
ОТДЕЛ
|
Project 1
|
|
Project 2
|
Project 3
|
ЭТАЖ
|
Число рабочих групп (комнат)
|
Число раб. станций в гр., не более
|
Число рабочих групп
|
Число раб. ст. в группе, не более
|
Число рабочих. групп
|
Число раб. станций. не более
|
Этаж 1
|
17
|
11
|
|
|
|
|
Этаж 4
|
|
|
15
|
14
|
|
|
Этаж 5
|
|
|
|
|
11
|
16
|
В таблице 2 приведены данные по
количеству рабочих групп и рабочих станций в одноэтажном здании филиала В
Manufacture.
Распределение
рабочих групп в здании В
ОТДЕЛ
|
Manufacture
|
Подразделение
|
Число рабочих групп (комнат)
|
Число раб. станций в группе, не более
|
M1
|
25
|
14
|
M2
|
21
|
30
|
7
|
35
|
В таблице 3 заданы поэтажное число
групп и рабочих станций в здании С филиала Research
Распределение
рабочих групп в здании С
ОТДЕЛ
|
Res
1
|
Res
2
|
ЭТАЖ
|
Число рабочих групп (комнат)
|
Число рабочих станций в группе, не более
|
Число раб. групп
|
Число раб. станций, не более
|
Этаж 1
|
7
|
18
|
|
|
Этаж 2
|
|
|
14
|
14
|
В таблице 4 представлены данные
общекорпоративных служб.
Распределение
общекорпоративных служб
Служба
|
Human Resource, IT gr., Sales
Manag.
|
Accounting
|
Business
|
Параметр К
|
Число рабочих групп (комнат)
|
Число рабочих станций в группе, не более
|
Число раб. гр.
|
Число раб. станций в раб. гр.
|
Число раб. гр.
|
Число раб. ст. в раб. гр.
|
1
|
6
|
14
|
4
|
11
|
3
|
6
|
Также необходимо детально
проработать реализацию соответствующих частей WLAN/EAP-2 инфраструктуры
корпоративной сети с использованием оборудования DLink, включая его настройку,
а так же конфигурирование серверов WS2008 и операционных систем рабочих станций пользователей.
При выполнении работы должны быть
выполнены также следующие требования:
в качестве службы каталогов
корпоративной сети использовать Active Directory;
предоставить доступ к
размещенным в головном офисе Web, FTPи MX серверам корпорации CorpPAA как пользователям Интернета, так и пользователям внутренней
корпоративной сети (intranet) в любое время в любой день недели;
изолировать корпоративную
сеть от Интернета, Web, FTPи MX серверов;
изолировать внутреннее
пространство имен;
защитить все данные,
пересылаемые между головным офисом и филиалом Research;
каждое подразделение должно
иметь свой конфиденциальный сервер приложений;
обеспечить защиту
конфиденциальных данных при пересылке в подразделениях корпоративной сети с
использованием IPSec;
обеспечить защиту
конфиденциальных данных при пересылке через Интернет с использованием VPN;
обеспечить защищенные
подключения к корпоративной сети удаленных пользователей по телефонным линиям ADSL;
обеспечить защиту
беспроводных сетей WLAN;
обеспечить надежную работу
соединений путем введения дополнительных резервных маршрутных подключений;
обеспечить проведение
аудита и видеоконференций (*);
предусмотреть меры по
снижению сетевого трафика, вызываемого потоковыми аудио и видеоконференциями
(*);
выполнить оценку стоимости
закупки сетевого оборудования, включая стоимость сопутствующих программных
продуктов (ПО);
оценить затратную стоимость
материалов структурированной кабельной сети СКС, включая монтажные стойки(*).
2. Проектирование
логической структуры сети
Для обеспечения наилучшей
производительности, управляемости и масштабируемости сети при разработке ее
физической структуры, необходимо использовать многоуровневый подход. Такой
подход позволяет расширять сеть путем добавления новых блоков, легко находить
неисправности, позволяет ввести детерминизм в поведении и управлении сетью. При
таком подходе выделяют следующие уровни:
Уровень ядра - находится на самом
верху иерархии и отвечает за надежную и быструю передачу больших объемов
данных. Трафик, передаваемый через ядро, является общим для большинства
пользователей. Сами пользовательские данные обрабатываются на уровне
распределения, который, при необходимости, пересылает запросы к ядру. Для
уровня ядра большое значение имеет его отказоустойчивость, поскольку сбой на
этом уровне может привести к потере связности между уровнями распределения
сети.
Уровень распределения, является
связующим звеном между уровнями доступа и ядра. В зависимости от способа
реализации, уровень распределения может выполнять следующие функции:
обеспечение маршрутизации, качества
обслуживания и безопасности сети;
агрегирование адресов;
переход от одной технологии к другой
(например, от 100Base-TX к 1000Base-T);
объединение полос пропускания
низкоскоростных каналов доступа в высокоскоростные магистральные каналы.
Уровень доступа управляет доступом
пользователей и рабочих групп к ресурсам объединенной сети. Основной задачей
уровня доступа является создание точек входа / выхода пользователей в сеть.
Уровень выполняет следующие функции:
продолжение (начиная с уровня
распределения) управления доступом и политиками сети;
создание отдельных доменов коллизий
(сегментация);
подключение рабочих групп к уровню
распределения;
уровень доступа использует
технологию коммутируемых локальных сетей.
Сеть корпорации CorpPAA должна быть
спроектирована таким образом, чтобы домены коллизий и широковещательного
трафика были как можно меньше. Использование коммутаторов на уровне доступа
решает проблему с доменом коллизий: при микросегментации размер домена коллизий
равен 1 (1 рабочая станция).
При выборе технологии построения
локальной сети необходимо учитывать то, что во многих случаях проектируемая
сеть должна быть приспособлена к имеющейся кабельной системе. Согласно ТЗ на
данный момент в зданиях компании существует кабельная система, состоящая из UTP-5 (для технологии 100BASE-TX). Эта система должна
быть использована для соединения сетевой розетки на рабочем месте сотрудника и
коммутатора на этаже. Стандарт EIA/TIA-568 допускает использование в вертикальной подсистеме
многомодового оптоволоконного кабеля (62.5/125 мкм). Для обеспечения
возможности будущего роста проектируемой сети в вертикальной подсистеме
целесообразно применение технологии 1000Base-SX. Для данного стандарта
дальность прохождения сигнала без повторителя достигает 500 м, что для
проектируемой сети будет вполне достаточно. Использование в вертикальной
подсистеме 10-гигабитного Ethernet является нецелесообразным, поскольку при этом значительно
увеличивается стоимость оборудования, и, кроме того, такая скорость будет
излишней.
Серверный блок при помощи
использования гигабитных коммутаторов 2-го уровня будет также подсоединяться к
коммутатору здания.
Согласно техническому заданию, для
сотрудников отдела маркетинга необходимо организовать беспроводную сеть с возможностью
выхода в Интернет. Для этого необходимо использовать беспроводную точку
доступа, которая будет подключаться к коммутатору этажа.
3. Распределение VLAN’ов
Распределение VLAN’ов
№VLAN
|
VLAN name
|
Примечание
|
1
|
Default
|
Не используется
|
2
|
Administration
|
Для управления устройствами
|
3
|
Servers
|
Для внешних
серверов
|
4-100
|
|
Зарезервировано
|
Здание А
|
111
|
HR
|
Отдел кадров
|
112
|
Marketing(1)
|
Отдел маркетинга (1 группа)
|
113
|
Marketing(2)
|
Отдел маркетинга (2 группа)
|
114
|
IT
|
Отдел информ. технологий
|
121
|
Executive
|
Руководство
|
122
|
Accounting
|
Бухгалтерия
|
123
|
Business
|
Отдел экономики
|
13
|
Project1
|
Проектный отдел 1
|
14
|
Project2
|
Проектный отдел 2
|
15
|
Project3
|
Проектный отдел 3
|
Здание В
|
21
|
Manufacture 1
|
Производство 1
|
22
|
Manufacture 2
|
Производство 2
|
23
|
Production
|
Склад
|
Здание С
|
31
|
Research 1
|
Отдел разработок 1
|
32
|
Research 2
|
Отдел разработок 2
|
Каждый отдел будет выделен в
отдельный VLAN. Таким образом мы ограничим широковещательные домены. Также
введём специальный VLAN для управления устройствами. Номера VLAN c 4 по 100
зарезервированы для будущих нужд.
План распределения IP-адресов будет приведен
далее.
Проектирование физической структуры сети
Описание структурированной кабельной сети