Разработка инфраструктуры корпоративной сети

Тип работы:
Курсовая
Предмет:
Программирование


Узнать стоимость

Детальная информация о работе

Выдержка из работы

Разработка инфраструктуры корпоративной сети

1. Анализ требований ТЗ

Корпорация имеет главный офис (здание А) и два филиала:

производство продукции Manufacture (M) — здание B;

Структура подразделений корпорации CorpXYZ

Функциональные службы корпорации в головном здании А расположены следующим образом:

1 этаж. Подразделения корпорации:

отдел кадров и подготовки специалистов Human Resource (HR);

отдел маркетинга Marketing (M);

служба информационных технологий и технической поддержки Information Technologies (IT).

2 этаж. Подразделения:

руководство корпорацией Executive (E);

бухгалтерия Accounting (Acc);

отдел экономики и планирования Business (Bus).

На 3, 4, и 5 этажах расположено проектное отделение, при этом:

3 этаж. Проектный отдел Project 1 (P1);

4 этаж. Проектный отдел Project 2 (P2);

5 этаж. Проектный отдел Project 3 (P3).

Каждый проектный отдел имеет свой конфиденциальный сервер приложений.

Две независимые группы сотрудников отдела маркетинга в основном работают на ноутбуках и подали заявку на создание защищенной беспроводной сети WLAN с выходом в интернет.

В одноэтажном здании В филиала производятся изделия двух типов, одно из них на площадях М1, другое — на площадях М2. Кроме того, имеется автоматизированный склад готовой продукции Production (P). Филиал Manufacture (M) (здание В) расположен в другом городе, удаленном на значительное расстояние, и соединен с главным офисом каналом Т1. Филиал Research (здание С) связывается с главным офисом через Internet c использованием Site-to-Site VPN IPSec. В двухэтажном здании С отдел Research занимает два этажа, при этом на 1 этаже расположена рабочая группа Research 1 (R1), на 2 этаже группа Research 2 (R2).

В каждом офисе имеются небольшие ЛВС, которые будут объединены в единую корпоративную сеть. В качестве рабочих станций используются компьютеры с установленными ОС WinXP Prof, W2000 Prof, MS Vista. В ближайшие 12−18 месяцев планируется переход части клиентов отдела маркетинга и руководства корпорацией на новые ОС семейства MS Win7. Руководство компании решило принять в качестве базовой сетевой операционной системы MS Windows Server 2008 и готово использовать избыточное сетевое оборудование.

Несколько групп сотрудников работают в Европе в своих домашних офисах SOHO, подключающихся к главному офису по каналам VPN. Максимальное число компьютеров в SOHO не более 5. Кроме того, имеется небольшой штат сотрудников корпорации, которые соединяются с главным офисом по Internet.

Схема расположения корпорации CorpXYZ

В качестве исходных данных принимается достаточность полосы пропускания каналов передачи данных для обеспечения сетевого трафика с удовлетворительным клиентским откликом. Однако необходимо таким образом спроектировать местоположение серверов, чтобы минимизировать служебный трафик сети.

Базовой технологией сети является Ethernet по стандарту 100/1000BASE-T и FDDI.

Каждое подразделение корпорации имеет свой конфиденциальный сервер приложений, доступ к которому могут иметь только сотрудники соответствующего подразделения.

Для внешних IP_интернет адресов корпорации в целом (головное здание и филиалы) используется следующий диапазон адресов (Public_IP) 225. 46. 11. 0/24.

Для диапазона внутренних адресов (Private_IP) используются:

— для головного здания А диапазон адресов 10. 101.0. 0/16,

— для здания В адреса 172. 22. 40. 0/22,

— для здания С адреса 192. 168. 88. 0/21,

Исходные числовые данные курсовой работы приведены в таблицах 1, 2, 3, 4, 5 и 6.

В таблице 1 задано поэтажное расположение рабочих групп и количество рабочих станций трёх проектных отделов в здании А.

Распределение рабочих групп в здании А

ОТДЕЛ

Project 1

Project 2

Project 3

ЭТАЖ

Число рабочих групп (комнат)

Число раб. станций в гр., не более

Число рабочих групп

Число раб. ст. в группе, не более

Число рабочих. групп

Число раб. станций.

не более

Этаж 1

17

11

Этаж 4

15

14

Этаж 5

11

16

В таблице 2 приведены данные по количеству рабочих групп и рабочих станций в одноэтажном здании филиала В Manufacture.

Распределение рабочих групп в здании В

ОТДЕЛ

Manufacture

Подразделение

Число рабочих групп (комнат)

Число раб. станций в группе, не более

M1

25

14

M2

21

30

P

7

35

В таблице 3 заданы поэтажное число групп и рабочих станций в здании С филиала Research

Распределение рабочих групп в здании С

ОТДЕЛ

Res 1

Res 2

ЭТАЖ

Число рабочих групп (комнат)

Число рабочих станций в группе, не более

Число раб. групп

Число раб. станций, не более

Этаж 1

7

18

Этаж 2

14

14

В таблице 4 представлены данные общекорпоративных служб.

Распределение общекорпоративных служб

Служба

Human Resource, IT gr., Sales Manag.

Accounting

Business

Параметр К

Число рабочих групп (комнат)

Число рабочих станций в группе, не более

Число раб. гр.

Число раб. станций

в раб. гр.

Число раб. гр.

Число раб. ст. в раб. гр.

1

6

14

4

11

3

6

Также необходимо детально проработать реализацию соответствующих частей WLAN/EAP-2 инфраструктуры корпоративной сети с использованием оборудования DLink, включая его настройку, а так же конфигурирование серверов WS2008 и операционных систем рабочих станций пользователей.

При выполнении работы должны быть выполнены также следующие требования:

— в качестве службы каталогов корпоративной сети использовать Active Directory;

— предоставить доступ к размещенным в головном офисе Web, FTPи MX серверам корпорации CorpPAA как пользователям Интернета, так и пользователям внутренней корпоративной сети (intranet) в любое время в любой день недели;

— изолировать корпоративную сеть от Интернета, Web, FTPи MX серверов;

— изолировать внутреннее пространство имен;

— защитить все данные, пересылаемые между головным офисом и филиалом Research;

— каждое подразделение должно иметь свой конфиденциальный сервер приложений;

— обеспечить защиту конфиденциальных данных при пересылке в подразделениях корпоративной сети с использованием IPSec;

— обеспечить защиту конфиденциальных данных при пересылке через Интернет с использованием VPN;

— обеспечить защищенные подключения к корпоративной сети удаленных пользователей по телефонным линиям ADSL;

— обеспечить защиту беспроводных сетей WLAN;

— обеспечить надежную работу соединений путем введения дополнительных резервных маршрутных подключений;

— обеспечить проведение аудита и видеоконференций (*);

— предусмотреть меры по снижению сетевого трафика, вызываемого потоковыми аудио и видеоконференциями (*);

— выполнить оценку стоимости закупки сетевого оборудования, включая стоимость сопутствующих программных продуктов (ПО);

— оценить затратную стоимость материалов структурированной кабельной сети СКС, включая монтажные стойки (*).

2. Проектирование логической структуры сети

Для обеспечения наилучшей производительности, управляемости и масштабируемости сети при разработке ее физической структуры, необходимо использовать многоуровневый подход. Такой подход позволяет расширять сеть путем добавления новых блоков, легко находить неисправности, позволяет ввести детерминизм в поведении и управлении сетью. При таком подходе выделяют следующие уровни:

Уровень ядра — находится на самом верху иерархии и отвечает за надежную и быструю передачу больших объемов данных. Трафик, передаваемый через ядро, является общим для большинства пользователей. Сами пользовательские данные обрабатываются на уровне распределения, который, при необходимости, пересылает запросы к ядру. Для уровня ядра большое значение имеет его отказоустойчивость, поскольку сбой на этом уровне может привести к потере связности между уровнями распределения сети.

Уровень распределения, является связующим звеном между уровнями доступа и ядра. В зависимости от способа реализации, уровень распределения может выполнять следующие функции:

— обеспечение маршрутизации, качества обслуживания и безопасности сети;

— агрегирование адресов;

— переход от одной технологии к другой (например, от 100Base-TX к 1000Base-T);

— объединение полос пропускания низкоскоростных каналов доступа в высокоскоростные магистральные каналы.

Уровень доступа управляет доступом пользователей и рабочих групп к ресурсам объединенной сети. Основной задачей уровня доступа является создание точек входа / выхода пользователей в сеть. Уровень выполняет следующие функции:

— продолжение (начиная с уровня распределения) управления доступом и политиками сети;

— создание отдельных доменов коллизий (сегментация);

— подключение рабочих групп к уровню распределения;

— уровень доступа использует технологию коммутируемых локальных сетей.

Сеть корпорации CorpPAA должна быть спроектирована таким образом, чтобы домены коллизий и широковещательного трафика были как можно меньше. Использование коммутаторов на уровне доступа решает проблему с доменом коллизий: при микросегментации размер домена коллизий равен 1 (1 рабочая станция).

При выборе технологии построения локальной сети необходимо учитывать то, что во многих случаях проектируемая сеть должна быть приспособлена к имеющейся кабельной системе. Согласно Т З на данный момент в зданиях компании существует кабельная система, состоящая из UTP-5 (для технологии 100BASE-TX). Эта система должна быть использована для соединения сетевой розетки на рабочем месте сотрудника и коммутатора на этаже. Стандарт EIA/TIA-568 допускает использование в вертикальной подсистеме многомодового оптоволоконного кабеля (62. 5/125 мкм). Для обеспечения возможности будущего роста проектируемой сети в вертикальной подсистеме целесообразно применение технологии 1000Base-SX. Для данного стандарта дальность прохождения сигнала без повторителя достигает 500 м, что для проектируемой сети будет вполне достаточно. Использование в вертикальной подсистеме 10-гигабитного Ethernet является нецелесообразным, поскольку при этом значительно увеличивается стоимость оборудования, и, кроме того, такая скорость будет излишней.

Таким образом, будем реализовывать такую структуру сети, при которой на каждом этаже будет располагаться стек коммутаторов уровня доступа. Поскольку на некоторых этажах располагается несколько отделов, то необходимо использовать технологию VLAN. Для объединения горизонтальных подсистем этажей будем использовать гигабитный коммутатор, поддерживающий технологию 1000BASE-SX. Для повышения надежности на уровне распределения будем использовать резервирование коммутаторов. Связь будет осуществляться по принципу «каждый с каждым». Поскольку при данной организации в сети могут возникнуть кольца, следует использовать протокол STP.

Серверный блок при помощи использования гигабитных коммутаторов 2-го уровня будет также подсоединяться к коммутатору здания.

Согласно техническому заданию, для сотрудников отдела маркетинга необходимо организовать беспроводную сеть с возможностью выхода в Интернет. Для этого необходимо использовать беспроводную точку доступа, которая будет подключаться к коммутатору этажа.

3. Распределение VLAN’ов

Распределение VLAN’ов

VLAN

VLAN name

Примечание

1

Default

Не используется

2

Administration

Для управления устройствами

3

Servers

Для внешних серверов

4−100

Зарезервировано

Здание А

111

HR

Отдел кадров

112

Marketing (1)

Отдел маркетинга (1 группа)

113

Marketing (2)

Отдел маркетинга (2 группа)

114

IT

Отдел информ. технологий

121

Executive

Руководство

122

Accounting

Бухгалтерия

123

Business

Отдел экономики

13

Project1

Проектный отдел 1

14

Project2

Проектный отдел 2

15

Project3

Проектный отдел 3

Здание В

21

Manufacture 1

Производство 1

22

Manufacture 2

Производство 2

23

Production

Склад

Здание С

31

Research 1

Отдел разработок 1

32

Research 2

Отдел разработок 2

Каждый отдел будет выделен в отдельный VLAN. Таким образом мы ограничим широковещательные домены. Также введём специальный VLAN для управления устройствами. Номера VLAN c 4 по 100 зарезервированы для будущих нужд.

План распределения IP-адресов будет приведен далее.

Проектирование физической структуры сети

Описание структурированной кабельной сети

Так как в ТЗ явно не указаны размеры зданий, то примем их произвольными, этажные перегородки между группами пользователей не мешают прокладке кабеля с учетом того, что длина кабеля не должна превышать максимальной длины для 100BASE-TX равной 100 метров.

Размещение коммутационного оборудования на этажах

В каждом здании, будь то здание A, B или C, на любом из этажей выделяется серверная комната, в которой расположено все серверное и коммутационное оборудования. Коммутаторы групп расположены на этажах соответствующих групп.

Требование к оборудованию и линиям связи

К линиям связи и оборудованию предъявляются следующие требования:

— между пользователем и соответствующим коммутатором 2 уровня скорость передачи данных должна быть не ниже 100 Mbit/s, следовательно, на уровне доступа логично использовать линии связи стандарта 100Base-TX;

— между коммутатором уровня доступа и коммутатором уровня распределения (коммутатор 3 уровня) скорость передачи данных должна быть не ниже 1000 Mbit/s для обеспечения передачи большого сетевого трафика, в данном случае логично использовать оптические линии связи по стандарту 1000Base-LX;

— между коммутаторами уровня распределения и другими устройствами (маршрутизаторы, брандмауэры) также будет использована оптическая линия связи по стандарту 1000Base-LX;

— между зданием A и B, и между зданием, А и интернет провайдером реализован канал T1;

— остальные линии реализованы посредством телефонных линий связи;

— в отделе маркетинга и на складе (Production) реализован беспроводной канал связи.

Нами были перечислены все основные требования к линиям связи, теперь сформулируем требования к активному сетевому оборудованию, т. к. всё используемое оборудование и линии связи должны быть совместимы друг с другом.

Выбор сетевого оборудования

Выбор сетевого оборудования согласно ТЗ будем проводить среди продуктов фирмы DLink. Эта компания производит полный спектр оборудования для создания проводных и беспроводных сетей, широкополосного доступа, IP-телефонии и мультимедиа-устройств. Несмотря на то, что продукция этой фирмы в основном рассчитана на потребительский сектор рынка сетевого оборудования, и, кроме того, имеет не совсем хорошую репутацию в области надежности и безотказности, ее преимуществом по сравнению с продукцией других фирм, таких, как HP или Cisco, является, прежде всего, невысокая цена.

При выборе конкретной модели будем руководствоваться следующими критериями.

— количество портов;

— скорость работы;

— поддерживаемые технологии;

— поддерживаемые типы кабелей.

4. Уровень доступа

Для уровня доступа используем коммутаторы DLink серии DES-3500. Управляемые коммутаторы этой серии обладают большим функционалом и позволяют решать все необходимые задачи для уровня доступа корпорации CorpPAA.

Коммутаторы серии 10/100 Мбит/с D-Link DES-3500 являются взаимно стекируемыми коммутаторами уровня доступа, поддерживающими технологию Single IP Management (SIM, управление через единый IP-адрес). Эти коммутаторы, имеющие 24 или 48 10/100BASE-TX портов и 2 комбо порта 1000BASE-T/SFP Gigabit Ethernet в стандартном корпусе для установки в стойку, разработаны для гибкого и безопасного сетевого подключения. Коммутаторы серии DES-3500 могут легко объединяться в стек и настраиваться вместе с любыми другими коммутаторами с поддержкой D-Link Single IP Management, включая коммутаторы 3-го уровня ядра сети, для построения части многоуровневой сети, структурированной с магистралью и централизованными быстродействующими серверами.

В основном, коммутаторы серии DES-3500 формируют стек сети уровня подразделения, предоставляя порты 10/100 Мбит/с и возможность организации гигабитного подключения к магистрали. Трафик, передаваемый между устройствами стека, проходит через интерфейсы Gigabit Ethernet с поддержкой полного дуплекса и обычные провода сети, позволяя избежать использования дорогостоящих и громоздких кабелей для стекирования. Отказ от использования этих кабелей позволяет устранить барьеры, связанные с их длиной и ограничениями методов стекирования. В стек могут быть объединены устройства, расположенные в любом месте сети, исключая возможность появления любой точки единственного отказа (single point of failure).

В стек можно легко объединить до 32-х коммутаторов, независимо от модели. Виртуальный стек поддерживает любые модели коммутаторов со встроенным Single IP Management. Это означает, что стек может быть расширен коммутаторами, включая коммутаторы 3-го уровня для ядра сети, коммутаторы на основе шасси или любые другие коммутаторы.

Серия DES-3500 обеспечивает расширенный набор функций безопасности для управления подключением и доступом пользователей. Этот набор включает Access Control Lists (ACL) на основе МАС-адресов, портов коммутатора, IP адресов и / или номеров портов TCP/UDP, аутентификацию пользователей 802. 1х и контроль МАС-адресов. Помимо этого, DES-3500 обеспечивает централизованное управление административным доступом через TACACS+ и RADIUS. Вместе с контролем над сетевыми приложениями, эти функции безопасности обеспечивают не только авторизованный доступ пользователей, но и предотвращают распространение вредоносного трафика по сети.

Для повышения производительности и безопасности сети коммутаторы серии DES-3500 обеспечивает расширенную поддержку VLAN, включая GARP/GVRP, 802. 1Q и асимметричные VLAN. Ассиметричные VLAN будут использоваться для доступа к конфиденциальным серверам отделов. Управление полосой пропускания позволяет установить лимит трафика для каждого порта, что дает возможность управлять объемом трафика на границе сети.

В серии DES-3500 для проектируемой сети будем использовать модели коммутаторов DES-3550 (48 портов 10/100BASE-TX, 2 комбо-порта 1000BASE-T/ MiniGBIC (SFP)) и DES-3526 (24 порта 10/100BASE-TX, 2 комбо-порта 1000BASE-T/ MiniGBIC (SFP)). Поскольку в проектируемой сети в вертикальной подсистеме будет использоваться технология 1000BASE-SX, в коммутаторы необходимо будет установить трансивер MiniGBIC DEM-311GT с 1 портом 1000BASE-SX для многомодового оптического кабеле.

Стеки коммутаторов планируется установить на каждом этаже в каждом здании. Суммарное число РС на каждом этаже зданий и состав стеков коммутаторов приведен в таблице 2. Избыток портов необходим для подключения конфиденциальных серверов отделов, а также для обеспечения масштабирования сети без необходимости установления новых коммутаторов в стек. Два порта одного коммутатора стека будут использоваться для подключения к коммутаторам здания.

Состав стеков коммутаторов

Этаж

Число рабочих станций на этаже

Число КМ с 24 портами

Число КМ с 48 портами

Общее число портов в стеке

Избыток портов

Здание A

1

84*3=252

0

6

336

22

2

15+44+16=75

0

2

96

21

3

187

1

4

216

29

4

210

0

5

240

30

5

176

0

4

192

16

Итого:

900

1

21

1032

132

Здание B

1 (M1)

245

1

4

264

19

1 (M2)

350

1

7

360

10

1 (P)

630

1

13

648

18

Итого:

1225

3

24

1272

47

Здание C

1

126

0

3

144

18

2

196

1

4

216

20

Итого:

322

1

7

360

38

Для организации беспроводной сети отдела маркетинга будем использовать беспроводную точку доступа. Из ряда продукции DLink для этого будем использовать DAP-2690, т. к. она поддерживает возможность создания массива точек доступа. Для обеспечения безопасности будем использовать шифрование по стандарту WPA2.

Уровень распределения

В качестве этажного гигабитного коммутатора уровня распределения, объединяющего стеки коммутаторов этажей зданий будем использовать коммутаторы DGS-3426G, имеющие 20 портов SFP, 4 комбо-порта 1000Base-T/Mini GBIC (SFP) и 2 слота расширения. В данных коммутаторах также будем использовать трансивер MiniGBIC DEM-311GT.

Уровень ядра

В качестве коммутатора уровня ядра в разрабатываемой сети будет использоваться модульный коммутатор 3 уровня DES-6500. В данный коммутатор необходимо будет установить модули DES-6507 (10 портов 10/100/1000BASE-T + 2 комбо-порта 1000BASE-T/ mini GBIC (SFP)) и DES-6511 (резервный источник питания).

Выбор серверов

Все сервера, которые предназначены для работы внутри здания, будут расположены не в DMZ, а непосредственно во внутреннем, защищенном сегменте сети. Эти серверы будут располагаться в серверной комнате на нижнем этаже здания, и объединяться с прочими сегментами сети с помощью высокопроизводительного коммутатора.

В данном сегменте будут использоваться следующие серверы:

— DNS внутренний;

— DHCP;

— Контроллер домена (DC);

— Серверы приложений;

— Print-сервера.

В качестве print-сервера будем использовать сервер DPR-1061 фирмы DLink. Такие устройства планируется установить в помещении каждой рабочей группы.

Фирма DLink не занимается выпуском высокопроизводительных серверов, поэтому необходимо выбрать продукцию другого производителя. Будем использовать серверы, выпускаемые компанией Hewlett Packard. HP отличается производством надежных масштабируемых высокопроизводительных серверных систем для всех видов бизнеса. Выберем сервер из серии блэйд-систем. Они обладают встроенными функциями виртуализации и распределения процессорной нагрузки, так же имеют зеркалированные дисковые массивы, что исключает возможность потери важной информации. Кроме того, они специально оптимизированы для работы с ОС Win2012 Server.

Выберем модель HP Integrity BL870c. Эти серверы размещаются в стойку по двое.

Таким образом, сервера будут помещаться в четырех стойках.

Состав серверов

Модель

Серверы

ОС

HP Integrity BL870c

DNS1, DHCP1, DC1

Windows 2012 Server

HP Integrity BL870c

DNS2, DHCP2, DC2

Windows 2012 Server

HP Integrity BL870c

Сервера приложений 1

Windows 2012 Server

HP Integrity BL870c

Сервера приложений 2

Windows 2012 Server

Кроме того, для объединения серверов требуется высокопроизводительный коммутатор с небольшим числом портов, но обеспечивающий скорости не менее 1000 Мбит/с. Для этой цели выберем модель DGS-3270−12 (управляемый коммутатор 2 уровня с 8 портами 10/100/1000Base-T + 4 комбо-портами 1000Base-T/Mini GBIC (SFP)).

Выбор маршрутизаторов

В качестве граничного устройства сети — маршрутизатора — выберем мультисервисный маршрутизатор фирмы DLink DI-2630. Данный маршрутизатор будет применяться во всех трех зданиях. Отличия будут заключаться в используемых модулях: в здании, А необходимы модули интерфейсов Т1 (для связи со зданием В), 1000Base-T для подключения серверов DMZ и межсетевого экрана. Для здания В необходимы модули 1000Base-T и Т1, я для здания С — модули 1000Base-T и ADSL.

Распределение IP-адресов

Согласно ТЗ необходимо использовать следующие диапазоны IP-адресов:

· Внешние адреса — 225. 46. 11. 0/24;

· Внутренние адреса

o Здание A: 10. 101.0. 0/16

o Здание B: 172. 22. 40. 0/21

o Здание C: 192. 168. 88. 0/21

При разбиение адресного пространства рекомендуется придерживаться следующих принципов:

· Перед выделением каких-либо IP-адресов необходимо разработать структурированную модель адресации;

· Резервировать часть адресного пространства для обеспечения возможности последующего расширения сети;

· Выделять блоки адресов на основе топологии сети, а не структуры организации;

Поскольку в ТЗ не сказано обратное, предполагается, что в данной сети топология соответствует структурной организации предприятия. Итак, будем выделять подсети на основе структурной организации.

Очевидно, что подсети будут содержать различное количество хостов, и для оптимального использования IP-адресов нужны подсети различных размеров. Создание и развертывание подсетей различного размера в одной сети называется разбиением на сети переменного размера (Variable Length Subnetting), при этом используются маски подсетей переменных размеров (Variable Length Subnet Masks, VLSM).

Разбиение на подсети переменного размера — метод создания идентификаторов сетей, включающих идентификаторы подсетей и использующих маски подсетей переменной длины. Однако все такие идентификаторы сетей уникальны и различаются по соответствующей маски подсети.

В соответствии с вышеизложенными принципами, проведем распределение выделенного адресного пространства.

Для каждого отдела предполагается выделить свою подсеть.

Помимо рабочих станций во всех зданиях также будут размещены различные служебные серверы (такие как DNS, DHCP). В главном здании будут использоваться серверы FTP, DNS, RAS/VPN, Mail. Необходимо также предусмотреть дополнительные IP-адреса размещения серверов.

Внутренние IP-адреса

Здание А

Распределение адресов в здании А

Здание В

Поскольку всего в здании В располагается 1225 рабочих станций, то подсети с маской /22 (1022 адреса) будет недостаточно. Возьмем маску равной /21 и начнем выделение с наибольшей подсети, т. е. отдела Manufacture 2 (630 PC).

Распределение адресов в здании В

Здание С

Адреса будем выделять подсетями с маской /24.

Распределение адресов в здании С

Подробное распределение адресов приведено в таблице 8.

IP-план

Название отдела

Всего

Узлов

Подсеть

Диапазон адресов

VLAN

1

2

3

4

5

Здание, А (900 рабочих станций)

Для управления устройствами

-

10. 101.6. 0/24

10. 101.6. 1

10. 101.6. 254

VLAN0002

Для внешних серверов

62

10. 101.1. 0/24

10. 101.1. 1

10. 101.1. 254

VLAN0003

Зарезервировано

176

10. 101. 128. 0/17

10. 101. 128. 1

10. 101. 255. 254

VLAN0004

Отдел кадров

84

10. 101.0. 0/25

10. 101.0. 1

10. 101.0. 126

VLAN0111

Отдел маркетинга (1 группа)

42

10. 101.0. 128/26

10. 101.0. 129

10. 101.0. 190

VLAN0112

Отдел маркетинга (2 группа)

42

10. 101.0. 192/26

10. 101.0. 193

10. 101.0. 254

VLAN0113

Отдел информ. Технологий

84

10. 101.1. 0/25

10. 101.1. 1

10. 101.1. 126

VLAN0114

Серверная ферма

62

10. 101.1. 128/25

10. 101.1. 129

10. 101.1. 254

VLAN0002, VLAN0003

Бухгалтерия

44

10. 101.2. 0/26

10. 101.2. 1

10. 101. 2. 62

VLAN0122

Руководство

15

10. 101.2. 64/27

10. 101.2. 65

10. 101.2. 94

VLAN0121

Экономический отдел

18

10. 101.2. 96/27

10. 101.2. 97

10. 101.2. 126

VLAN0123

Название отдела

Всего

Узлов

Подсеть

Диапазон адресов

VLAN

1

2

3

4

5

Проектный отдел 1

187

10. 101.3. 0/24

10. 101.3. 1

10. 101.3. 254

VLAN0013

Проектный отдел 2

210

10. 101.4. 0/24

10. 101.4. 1

10. 101.4. 254

VLAN0014

Проектный отдел 3

176

10. 101.5. 0/24

10. 101.5. 1

10. 101.5. 254

VLAN0015

Здание B (1225 рабочие станции)

Производственный отдел М2

630

172. 22. 40. 0/22

172. 22. 40. 1

172. 22. 43. 254

VLAN0021

Производственный отдел М1

350

172. 22. 44. 0/23

172. 22. 44. 1

172. 22. 45. 254

VLAN0022

Производственный отдел P

245

172. 22. 46. 0/23

172. 22. 46. 1

172. 22. 47. 254

VLAN0023

Серверная ферма

62

172. 22. 45. 0/26

172. 22. 45. 1

172. 22. 45. 62

VLAN0002

Здание C (322 рабочие станции)

Исследовательский отдел 1 (Res 1)

126

192. 168. 88. 0/24

192. 168. 88. 1

192. 168. 88. 254

VLAN0031

Исследовательский отдел 2 (Res 2)

196

192. 168. 89. 0/24

192. 168. 89. 1

192. 168. 89. 254

VLAN0032

Серверная ферма

62

192. 168. 90. 0/26

192. 168. 90. 1

192. 168. 90. 62

VLAN0002

Внешние IP-адреса

Для демилитаризованной зоны будут использованы публичные адреса. Нарежем сеть 225. 46. 11. 0/24 на подсети:

Внешний брандмауэр — Шлюз здания, А 225. 46. 11. 244/30 (2)

Шлюз здания, А — маршрутизатор провайдера 225. 46. 11. 248/30 (2)

Граничный маршрутизатор — маршрутизатор здания В225. 46. 11. 252/30 (2)

Для подключения пользователей SOHO 225. 46. 11. 192/27 (30)

Для серверов DMZ 225. 46. 11. 128/26 (62)

Для NAT могут быть использованы оставшиеся адреса:

225. 46. 11. 0/25 (126)

225. 46. 11. 128/26 (62)

225. 46. 11. 224/28 (14)

225. 46. 11. 240/30 (2)

Организация службы DHCP

Каждому хосту, подключенному к сети на базе TCP/IP, должен быть назначен уникальный IP-адрес. Протокол DHCP (Dynamic Host Configuration Protocol, протокол динамической конфигурации хоста) был разработан как средство динамического выделения хостам IP-адресов. В спецификации протокола DHCP определяются два участника: DHCP-сервер и DHCP-клиенты. Служба клиента DHCP запрашивает у DHCP-сервера параметры для настройки стека протоколов TCP/IP. Служба сервера DHCP обрабатывает клиентские запросы, осуществляя выдачу в аренду IP-адреса из некоторого диапазона. Каждый адрес выделяется на определенный срок. По окончании этого срока хост должен либо продлить срок аренды, либо освободить адрес. Все удовлетворенные запросы пользователя фиксируются службой сервера DHCP в собственной базе данных. Подобное решение позволяет предотвратить выделение одного IP-адреса двум хостам. Одновременно с выдачей IP-адреса DHCP-сервер может также предоставить клиенту дополнительную информацию о настройках стека протоколов TCP/IP, такую как маска подсети, адрес шлюза и адреса серверов DNS и WINS.

Для повышения надежности во всех зданиях корпорации будем использовать по 2 DHCP-сервера в связи с довольно большим числом рабочих станций в них и для повышения надежности, диапазон адресов делится в отношении 100/100. Для того чтобы DHCP-сервер начал корректно работать, необходимо на нем настроить области (scopes). Область DHCP — административная группа, идентифицирующая полные последовательные диапазоны возможных IP-адресов для всех клиентов DHCP в физической подсети. Области определяют логическую подсеть, для которой должны предоставляться услуги DHCP, и позволяют серверу задавать параметры конфигурации, выдаваемые всем клиентам DHCP в подсети. Область должна быть определена прежде, чем клиенты DHCP смогут использовать сервер DHCP для динамической конфигурации TCP/IP.

Настройка DHCPА 1

DHCP SCOPE

Scope Address

Start IP

End IP

Prfx

003 Router

006 DNS Servers

Проектный отдел 1 (P1)

10. 101.3. 0

10. 101.3. 1

10. 101.3. 254

24

10. 101.3. 1

Проектный отдел 2 (P2)

10. 101.4. 0

10. 101.4. 1

10. 101.4. 254

24

10. 101.4. 1

Проектный отдел 3 (P3)

10. 101.5. 0

10. 101.5. 1

10. 101.5. 254

24

10. 101.5. 1

Отдел кадров (HR)

10. 101.0. 0

10. 101.0. 1

10. 101.0. 126

25

10. 101.0. 1

Отдел маркетинга1 (Sales1)

10. 101.0. 128

10. 101.0. 129

10. 101.0. 191

26

10. 101.0. 129

Отдел маркетинга2 (Sales2)

10. 101.0. 192

10. 101.0. 193

10. 101.0. 254

26

10. 101.0. 193

Отдел информационный технологий (IT)

10. 101.1. 0

10. 101.1. 1

10. 101.1. 126

25

10. 101.1. 1

Отдел экономики и планирования (Bus)

10. 101.2. 96

10. 101.2. 97

10. 101.2. 126

27

10. 101.2. 97

Руководитель (Ex)

10. 101.2. 64

10. 101.2. 65

10. 101.2. 94

27

10. 101.2. 65

Бухгалтерия (Acc)

10. 101.2. 0

10. 101.2. 62

10. 101.2. 1

26

10. 101.2. 1

Настройка DHCPА 2

DHCP SCOPE

Scope Address

Start IP

End IP

Prfx

003 Router

006 DNS Servers

Проектный отдел 1 (P1)

10. 101.3. 0

10. 101.3. 1

10. 101.3. 254

24

10. 101.3. 1

Проектный отдел 2 (P2)

10. 101.4. 0

10. 101.4. 1

10. 101.4. 254

24

10. 101.4. 1

Проектный отдел 3 (P3)

10. 101.5. 0

10. 101.5. 1

10. 101.5. 254

24

10. 101.5. 1

Отдел кадров (HR)

10. 101.0. 0

10. 101.0. 1

10. 101.0. 126

25

10. 101.0. 1

Отдел маркетинга1 (Sales1)

10. 101.0. 128

10. 101.0. 129

10. 101.0. 191

26

10. 101.0. 129

Отдел маркетинга2 (Sales2)

10. 101.0. 192

10. 101.0. 193

10. 101.0. 254

26

10. 101.0. 193

Отдел информационный технологий (IT)

10. 101.1. 0

10. 101.1. 1

10. 101.1. 126

25

10. 101.1. 1

Отдел экономики и планирования (Bus)

10. 101.2. 96

10. 101.2. 97

10. 101.2. 126

27

10. 101.2. 97

Руководитель (Ex)

10. 101.2. 64

10. 101.2. 65

10. 101.2. 94

27

10. 101.2. 65

Настройка DHCPB 1

DHCP SCOPE

Scope Address

Start IP

End IP

Prfx

003 Router

006 DNS Servers

Производственный отдел (M2)

172. 22. 40. 0

172. 22. 40. 1

172. 22. 43. 254

22

172. 22. 40. 1

Производственный отдел (M1)

172. 22. 44. 0

172. 22. 44. 1

172. 22. 45. 254

23

172. 22. 44. 1

Производственный отдел (P)

172. 22. 46. 0

172. 22. 46. 1

172. 22. 47. 254

23

172. 22. 46. 1

Настройка DHCPB 2

DHCP SCOPE

Scope Address

Start IP

End IP

Prfx

003 Router

006 DNS Servers

Производственный отдел (M2)

172. 22. 40. 0

172. 22. 40. 1

172. 22. 43. 254

22

172. 22. 40. 1

Производственный отдел (M1)

172. 22. 44. 0

172. 22. 44. 1

172. 22. 45. 254

23

172. 22. 44. 1

Производственный отдел (P)

172. 22. 46. 0

172. 22. 46. 1

172. 22. 47. 254

23

172. 22. 46. 1

Настройка DHCPС 1

DHCP SCOPE

Scope Address

Start IP

End IP

Prfx

003 Router

006 DNS Servers

Исследовательский отдел 1 (Res 1)

192. 168. 88. 0

192. 168. 88. 1

192. 168. 88. 254

24

192. 168. 88. 1

Исследовательский отдел 2 (Res 2)

192. 168. 89. 0

192. 168. 89. 1

192. 168. 89. 254

24

192. 168. 89. 1

Заключение

В ходе выполнения курсовой работы была разработана сеть корпорации CorpPAA. Была спроектирована физическая структура сети здания каждого из филиалов. При выборе сетевого оборудования отдавалось предпочтение продукции компании DLink.

В процессе проектирования физической структуры сети зданий, учитывались правила построения структурированных кабельных систем.

Также в ходе курсовой работы была спроектирована как логическая, так и физическая структура службы каталогов — Active Directory. Были определен состав доменов, число контроллеров в каждом из них и роли, выполняемые ими. Для корректной репликации данных главного каталога домены были включены в состав сайтов.

Служба DNS интегрирована в Active Directory. В целях безопасности внутреннюю и внешнюю среды обслуживают разные DNS-серверы. Выбранное количество и размещение внутренних и внешних серверов DNS позволяет быстро обслужить запросы и минимизировать трафик WAN.

В целях безопасности в проекте широко применяются программные межсетевые экраны на базе Microsoft Forefront. Для организации конфиденциального удаленного доступа к ресурсам сети используется технология VPN на основе протокола туннелирования IPSec Tunnel.

Список литературы

сетевой оборудование сеть корпоративный

1. Сурков Л. В. Методические указания по выполнению курсовой работы по курсу «Корпоративные сети». МГТУ им. Баумана, каф. ИУ-6, 2013.

2. Сурков Л. В. Конспект лекций и Практикум по курсу «Корпоративные сети». МГТУ им. Баумана, каф. ИУ-6, 2005.

3. Microsoft Windows Server 2012. Active Directory Services. /Пер. с англ. — 2-е изд. — М.: Издательско-торговый дом «Русская редакция», 2004. — 800 стр.: ил.

4. Таллоч Мич. Знакомство с Windows Server 2008. — М.: Издательский отдел «Русская редакция», 2008. — 400 с.: ил.

5. Учебное пособие: Коммутаторы локальных сетей DLink, 2006.

6. Уильям Р. Станек. Microsoft Windows Server 2003. Справочник администратора / Пер. с англ. — М.: Издательский отдел «Русская редакция», 2003. — 640 с.: ил.

7. Федоров А. Microsoft Windows Server 2008. Краткий обзор ключевых новинок. Издательская группа BHV, 2008.

ПоказатьСвернуть
Заполнить форму текущей работой