Реализация
В нашем проекте использовалось адресное пространство приватных ip адресов. Сеть 10.0.0.0 была поделена на 2 подсети класса В: подсеть 10.1.0.0 и подсеть 10.2.0.0.
Подсеть 10.1.0.0 будет использована для административного доступа, а именно для серверов, рабочих станций преподавательского состава и системных администраторов.
Адреса из этой подсети будут назначены статически. Адресное пространство подсети 10.2.0.0 будет применено для общего пользования, т.е. будет раздаваться с помощью DHCP сервера ученикам школы и пользователям компьютеров общего пользования.
Основные внутренние адреса устройств:
Router: 10.1.0.1
Switch2980(1): 10.1.0.2
Switch2980(2): 10.1.0.3
Switch2948(B): 10.1.0.4
Switch2948(C): 10.1.0.5
DNS0: 10.1.0.10
Mail: 10.1.0.11
Administrative: 10.1.0.12
Library: 10.1.0.13
Application: 10.1.0.14
WebServer: 10.1.0.15
DHCP: 10.1.0.16
Shared:10.1.0.17
Административные: 10.1.0.21-10.1.0.100
Для маршрутизации в сети будет использован протокол IGRP:
SunsetRouter(config)router igrp 100
SunsetRouter(config-router)network 10.0.0.0
SunsetRouter(config-router)network 192.163.23.0
При использовании сетевой трансляции адресов (NAT) следует учитывать, что адреса учебным рабочим станциям присваиваются динамически и, следовательно, необходимо использовать динамическую трансляцию:
SunsetRouter(config)ip nat pool POOL 192.163.23.100 192.163.23.254 netmask 255.255.255.0
SunsetRouter(config)ip nat inside source list 1 pool POOL
!
SunsetRouter(config)interface serial 0
SunsetRouter(config-if)ip address 192.163.23.1 255.255.255.0
SunsetRouter(config-if)ip nat outside
!
SunsetRouter(config)interface ethernet 0
SunsetRouter(config-if)ip address 10.1.0.1 255.255.255.0
SunsetRouter(config-if)ip nat inside
Для устройств, обладающих статическими адресами, предусмотрена статическая трансляция:
SunsetRouter(config)ip nat inside source static 10.1.0.10 192.163.23.2
!
SunsetRouter(config)interface serial 0
SunsetRouter(config-if)ip address 192.163.23.1 255.255.255.0
SunsetRouter(config-if)ip nat outside
!
SunsetRouter(config)interface ethernet 0
SunsetRouter(config-if)ip address 10.1.0.1 255.255.255.0
SunsetRouter(config-if)ip nat inside
Таблица соответствия внешних и внутренних статических адресов серверов:
10.1.0.10 ßà 192.163.23.3 - DNS0
10.1.0.11 ßà 192.163.23.4 - Mail
10.1.0.12 ßà 192.163.23.5 - Administrative
10.1.0.13 ßà 192.163.23.6 - Library
10.1.0.14 ßà 192.163.23.7 - Application
10.1.0.15 ßà 192.163.23.8 - WebServer
10.1.0.16 ßà 192.163.23.9 - DHCP
Внешние угрозы – В соединении с Internet должна использоваться реализация двойного firewall’а, со всеми Internet-приложениями, размещенными в общественной основной сети. В данной реализации должны быть запрещены все подключения из Internet в частную школьную сеть. В модели безопасности района сеть должна быть разделена на три логические группы: административную, учебную и внешнюю, с защищенными связями между ними.
Данная модель показывает, что в каждой школе и районном офисе должны быть созданы две различные инфраструктуры локальных сетей: одна для учебных целей, а другая для административных. Необходимо разбить на категории все компьютеры и файловые серверы, согласно их функциям, и размещены в соответствующих сегментах сети. В школах каждый сегмент сети должен иметь свой файловый сервер. Все приложения должны быть разбиты на категории и размещены на соответствующих серверах. Путем использования списков контроля доступа (ACL) на маршрутизаторах, следует запретить весь трафик из учебной сети в административную. Исключения могут быть сделаны только на индивидуальной основе. Приложения, такие как электронная почта и сервис директорий должны быть разрешены, так как они не подвергают сеть риску. На всех компьютерах района должны быть установлены идентификатор пользователя и пароль. Все компьютеры в районе должны иметь полный доступ в Internet. Все списки контроля доступа должны управляться из районного офиса.
Реализация
Школьная локальная сеть разбита на две подсети – учебную и административную. Для исключения коммутации пакетов, на портах коммутаторов применены идентификаторы виртуальных сетей (VLAN1 – для подсети 10.1.0.0 и VLAN2 – для подсети 10.2.0.0). Т.е. портам коммутатора статическим образом задается принадлежность к той или иной виртуальной сети. Например:
Уважаемый посетитель!
Чтобы распечатать файл, скачайте его (в формате Word).
Ссылка на скачивание - внизу страницы.