Проектування комп’ютерної мережі факультету університету

При розробці і проведенні її в життя доцільно керуватися наступними засадами:

• неможливість оминути захисні засоби;
• посилення самої слабкої ланки;
• неможливість переходу в небезпечний стан;
• мінімізація привілеїв;
• поділ обов'язків;
• розмаїтість захисних засобів;
• простота і керованість інформаційної системи;
• забезпечення загальної підтримки мір безпеки.

Якщо  в зловмисника чи незадоволеного користувача з'явиться можливість минати захисні засоби, він, зрозуміло, скористається ними.

Брандмауер, або мережевий екран — пристрій або набір пристроїв, сконфігурованих щоб допускати, відмовляти, шифрувати, пропускати через проксі весь комп'ютерний трафік між областями різної безпеки згідно з набором правил та інших критеріїв.

Брандмауер може бути у вигляді окремого приладу (так званий маршрутизатор), або програмного забезпечення, що встановлюється на персональний комп'ютер чи проксі-сервер. Простий та дешевий фаєрвол може не мати такої гнучкої системи налаштувань правил фільтрації пакетів та трансляції адрес вхідного та вихідного трафіку (функція редиректу).

В залежності від активних з'єднань, що відслідковуються, фаєрволи розділяють на:

• stateless (проста фільтрація), які не відслідковують поточні з'єднання (наприклад TCP), а фільтрують потік даних виключно на основі статичних правил;
• stateful (фільтрація з урахуванням контексту), з відслідковуванням поточних з'єднань та пропуском тільки таких пакетів, що задовольняють логіці й алгоритмам роботи відповідних протоколів та програм.

Основними компонентами брандмауера є:

• політика мережевого доступу;
• механізми посиленої аутентифікації;
• фільтрація пакетів;
• прикладні шлюзи.

Для того щоб задовольнити вимогам широкого кола користувачів, існує три типи фаєрволів: мережевого рівня, прикладного рівня і рівня з'єднання. Кожен з цих трьох типів використовує свій, відмінний від інших підхід до захисту мережі.

Брандмауер мережевого рівня представлений екрануючим маршрутизатором.

Брандмауер прикладного рівня також відомий як проксі-сервер (сервер-посередник).

Брандмауер рівня з'єднання схожий на фаєрвол прикладного рівня але він обслуговує  велику кількість протоколів.

В залежності від типу підмереж застосовується різний рівень захисту та надання різного пріоритету в обслуговуванні.

 

2 ТЕХНІКО-ЕКОНОМІЧНЕ ОБГРУНТУВАННЯ

 

2.1 Обгрунтування фізичної  топології комп’ютерної мережі

В даній роботі вибрано  топологію розширена зірка (Extended Star) (рисунок 2.1). При цій топології кожен комп’ютер підключається окремим кабелем до загального пристрою – в даному випадку комутатора.

 

Рисунок 2.1 – Топологія «розширена зірка»

 

Кожен вузол, що входить до центрального пристрою є центром іншої зірки. В даній топології виділяють центральну зірку, що утворює магістраль (backbone), що з’єднує між собою комутатори або маршрутизатори. При цьому логічну зірку розділяють на MDF (Main Distribution Faсility) – головна комутаційна кімната та IDF (Intermediate Distribution Faсility) – допоміжна комутаційна кімната.  

Головна перевага цієї топології  перед загальною шиною – істотно  збільшена надійність. Будь-які проблеми з кабелем стосуються лише того комп'ютера, до якого цей кабель приєднаний, і тільки несправність комутатора може вивести з ладу всю мережу. Також комутатор може відігравати роль інтелектуального фільтра інформації, що надходить від вузлів у мережу, і блокувати заборонені адміністратором передачі.

 

Недоліком топології типу «розширена зірка» є вища вартість мережевого обладнання, через необхідність придбання комутаторів. Крім того, можливості нарощування кількості вузлів у мережі обмежуються кількістю портів комутатора. Іноді є сенс будувати мережу з використанням декількох комутаторів, ієрархічно сполучених між собою зв'язками типу «розширена зірка». Сьогодні «розширена зірка» є найбільш поширеним типом топології зв'язків як у локальних, так і у глобальних мережах.

 

2.2 Укрупнений розрахунок варіантів технічних засобів телекомунікацій

Розрахунок вартості обладнання представлено у таблиці 2.1.

Таблиця 2.1 – Розрахунок вартості обладнання

Назва елемента	Позначення	Модель	Ціна, грн.	К-сть	Загальна вартість, грн.
SFP конвертер	–	GLC-LH-SM	4460	2	8920
Розетка телекомунікаційна	1-11-1 … 4-19-12	Electrum RJ-45	30	189	5670
Комутатор некерований	sw-1-11 … sw-4-19	Cisco Catalyst 2960 series	4365	22	96030
Комутатор керований	sw-mdf, sw-idf2, sw-idf3, sw-idf4	Cisco Catalyst 3560-24PS	15070	4	60280
Точка доступу	AP-idf	Linksys WRT-300N	1200	1	1200
Брандмауер	FW-mdf	Cisco ASA 5505 series	9150	1	9150
Блок безперебійного живлення	–	Powercom KIN-000AP	1100	2	2200
Загальна вартість мережі					183450

2.3 Структура комп’ютерної мережі

Під структурою мережі розуміється  спосіб розділення мережі на частини (сегменти), а також спосіб з'єднання цих  сегментів між собою - обладнання і кабелю. Тому вибір структури мережі виключно важливий.

Комп’ютерна мережа факультету університету складається з трьох рівнів:

• рівень ядра мережі;
• рівень каналу зв’язку з мережею Інтернет;
• рівень доступу користувачів.

Під рівнем ядра мережі розуміється  система основних засобів комунікації. Під рівнем каналу зв’язку з мережею Інтернет розуміється система забезпечення надійного та безпечного зв’язку з мережею Інтернет. Під рівнем доступу користувачів розуміється сукупність засобів комунікацій, що безпосередньо забезпечують доступ до мережі користувачам.

 

Структуру комп’ютерної мережі представлено у таблиці 2.2.

Таблиця 2.2 – Структура комп’ютерної мережі

Корпус	Кабінет		Кількість розеток	Номер розетки
	Назва	Номер
1	Клас	1-11, 1-12, 1-20, 1-23	28	1-11-1…1-11-6, 1-12-1…1-12-6, 1-20-1…1-20-7, 1-23-1…1-23-9
1	Лабораторія	1-16, 1-17, 1-21, 1-22	14	1-16-1…1-16-4, 1-17-1…1-17-4, 1-21-1…1-21-3, 1-22-1…1-22-3
1	Викладацька 1	1-18, 1-19	-	-
1	Викладацька 2	1-13, 1-14, 1-15	3	1-13-1, 1-14-1, 1-15-1
1	Головна комутаційна кімната	1-24	6	-
2	Клас	2-11, 2-12, 2-13, 2-17, 2-18, 2-22, 2-23	45	2-11-1…2-11-3, 2-12-1…2-12-7, 2-13-1…2-13-7, 2-17-1…2-17-7, 2-18-1…2-18-7, 2-22-1…2-22-7, 2-23-1…2-23-7
2	Викладацька 2	2-15, 2-20, 2-21	3	2-15-1, 2-20-1, 2-21-1
2	Бібліотека	2-16	7	2-16-1…2-16-7
2	Читальний зал	2-17	7	2-17-1…2-17-7
2	Допоміжна комутаційна кімната	2-14	2	-
3	Лабораторія	3-15, 3-16, 3-17, 3-18, 3-29	10	3-15-1…3-15-2, 3-16-1…3-16-2, 3-17-1, 3-18-1,  3-29-1…3-29-4
3	Кафедра 1	3-13	2	3-13-1, 3-13-2
3	Кафедра 2	3-31	1	3-31-1
3	Зав. кафедри 1	3-14	1	3-14-1
3	Зав. кафедри 2	3-30	1	3-30-1
3	Викладацька 1	3-11, 3-12, 3-21, 3-22, 3-23, 3-27	-	-
3	Викладацька 2	3-19, 3-25, 3-26, 3-28	1	3-28-1
3	Канцелярія	3-24	2	3-24-1, 3-24-2
3	Допоміжна комутаційна кімната	3-20	3	-
4	Клас	4-14, 4-19	36	4-11-1…4-14-24, 4-19-1…4-19-12
4	Лабораторія	4-13	7	4-13-1…4-13-7
4	Викладацька 1	4-11, 4-12	-	-
4	Деканат	4-15	12	4-15-1…4-15-12
4	Декан	4-16	1	4-16-1
4	Допоміжна комутаційна кімната	4-17	2	-

 

 

3 ТЕХНІЧНИЙ ПРОЕКТ

3.1 Вибір активного мережевого обладнання

Виходячи з вимог безпеки, кількості необхідних портів в кожному  корпусі, підмереж, надійності мережі та єдиного центру управління мережею обрано наступне обладнання:

В першому корпусі факультету унівеситету в головній комутаційній кімнаті розміщено:

• комутатор керований Cisco Catalyst 3560-24PS;
• брандмауер Cisco ASA 5505 series.

Окрім цього, у всіх кабінетах першого корпусу, кількість комп’ютерів в яких повинна перевищувати три, розміщено некерований комутатор Cisco Catalyst 2960 series.

В другому і четвертому корпусах факультету унівеситету в допоміжній комутаційній кімнаті розміщено кометатор керований Cisco Catalyst 3560-24PS.

В третьому корпусі факультету унівеситету в допоміжній комутаційній кімнаті розміщено:

• комутатор керований Cisco Catalyst 3560-24PS;
• точка доступу Linksys WRT-300N.

Також, у всіх кабінетах другого, тертього і четвертого корпусів, кількість комп’ютерів в яких повинна перевищувати три, розміщено некерований комутатор Cisco Catalyst 2960 series, аналогічно першому корпусу.

Порівняльну характеристику керованих комутаторів Cisco та D-link представлено у таблиці 3.1.

 

 

 

 

Таблиця 3.1 – Порівняльна характеристика керованих комутаторів

Характеристики	Cisco Catalyst 3560-24TS	D-Link DES-3852
Інтерфейси	24 порти 10/100 Ethernet і 2 гігабітних порти SFP-based	48 портів 10/100BASE-TX  і 2 гігабітних порти 10/100/1000BASE-T
Тип комутатора	Керований	Керований
Пропускна здатність	13 Гбіт/с	12,8 Гбіт/с
Продуктивність маршрутизації	9,5 млн. пакетів/с	8 млн. пакетів/с
Розмір таблиці МАС-адресів	16К	8К
Протоколи маршрутизації	HSRP, IGMP, IGRP, OSPF, BGP-4, DVMRP, EIGRP, IS-IS, RIP-1 и 2, IGMP версій 2 и 3, PIM-DM, PIM-SM.	HSRP, IGMP, IGRP, OSPF, BGP-4, DVMRP, EIGRP, IS-IS, RIP-1 и 2, IGMP версій 2 и 3, PIM-DM, PIM-SM.
Вартість	15070 грн	8230 грн

Порівняльну характеристику некерованих комутаторів Cisco та D-link представлено у таблиці 3.2.

Таблиця 3.2 – Порівняльна характеристика некерованих комутаторів

Характеристики	Cisco Catalyst 2960 series	D-Link DES-3526
Тип комутатора	Некерований	Некерований
Інтерфейс	24 порти 10/100 Мбіт/с і 2 гігабітних порти 10/100/1000BASE-T	24 порти 10/100 і 2 гігабітних порти 10/100/1000BASE-T
Пропускна здатність	1,6 Гбіт/с	1,0 Гбіт/с
Розмір таблиці МАС-адресів	8K	16К
Стандарти і протоколи	CE, UL, TUV GS, CISPR 24, cUL, EN 60950, EN55022, NOM, VCCI Class A ITE, IEC 60950, EN55024, UL 60950, CISPR 22, FCC Part 15, MIC, AS/NZS 3548	802.1p (CoS), 802.1Q (VLAN), 802.1x (User Authentication), 802.3 (Ethernet), 802.3u (Fast Ethernet)
Режим передачі	Half-duplex, full-duplex	Half-duplex, full-duplex
Вартість	4365 грн	2200 грн

 

Порівняльну характеристику комутатора 3 рівня та маршрутизатора представлено у таблиці 3.3.

Таблиця 3.3 – Порівняльна характеристика комутатора 3 рівня та маршрутизатора

Характеристики	Комутатор 3 рівня	Маршрутизатор
Маршрутизація 3 рівня	+	+
Управління трафіком	+	+
WAN Interface Card підтримка	-	+
Розширені протоколи маршрутизації	-	+
Маршрутизація на швидкості середовища	+	-

 Порівняльна характеристика брандмауерів Cisco та WatchGuard представлено у таблиці 3.4.

Таблиця 3.4 – Порівняльна характеристика брандмауерів

Характеристики	Cisco ASA 5505 series	WatchGuard XTM 22/22-W
Продуктивність	150 Мбіт/с	150 Мбіт/с
Кількість паралельних сесій	25000	20000
Політики	1000	1000
Інтерфейси	8 Fast Ethernet with 2 Power over Ethernet (PoE) портів	3 порта 10/100Base-TX, 3 порта 10/100Base-TX LAN, 2 USB
Резервування каналу WAN	+	+
VPN	Шифрування (DES), Сервер PPTP/L2TP	Шифрування (DES, 3DES, AES), Сервер PPTP/L2TP, IPSec SHA-1, MD5, IKE pre-shared Key, 3rd party cert import
Мережеві функції	DHCP server/client,  DHCP relay, Маршрутизація на основі політик,  IEEE 802.1Q VLAN, IP Multicast: IGMP v1-v3, IGMP Snoooping	Static, DynDNS, PPPoE, DHCP (server, client, relay), Маршрутизація на основі політик
Вартість	9500 грн	7800 грн