Проектирование локальной вычислительной сети с серверами и выходом в Internet

Кабельный проект

Выполнили: Назаров Илья и Инджикян Артем

Задание

В здании школы необходимо спроектировать локальную вычислительную сеть, обеспечить ее серверами и выходом в Internet. Каждое рабочее место должно быть обеспечено скоростью не менее 10 мегабит в секунду.

Топология

При проектировании сети используем технологию Ethernet и топологию типа "расширенная звезда", которая позволит сохранить максимальную пропускную способность и облегчит задачу поддержки сети в рабочем состоянии. В первую очередь необходимо определить на схеме места расположения узлов MDF и IDF. MDF - главный узел - размещаем как можно ближе к точке присутствия телефонной компании (POP), через которую осуществляется выход в Internet. Вторичные узлы (IDF) размещаем равномерно по всей площади здания, чтобы обеспечить подключение всех рабочих мест.

План размещения основных узлов, их соединений, а также зон охвата каждого из узлов

Типы используемых кабелей

К каждому узлу подключается до 20 рабочих мест, поэтому, чтобы обеспечить каждое рабочее место скоростью 10Mbps, для вертикальной проводки используем технологию Gigabit Ethernet. Поэтому в качестве физических проводников для горизонтальной проводки возьмем кабели CAT5 UTP, а для вертикальной проводки - многомодовые оптоволоконные кабели.

Безопасность и Internet

В сети будет использоваться 2 типа траффика: один для учебных целей, другой для административных. Для обеспечения безопасности, необходимо разбить сеть на 2 подсети и разграничить их при помощи VLAN. Также нам необходимо отследить и пресечь потенциально опасный траффик, исходящий как из Internet, так и из учебной подсети. Для решения этой проблемы используем ACL. Для выхода в Internet используем протокол PPP, который обеспечит безопасность для нашей сети при помощи аутентификации и шифрования. Также для связи с внешним миром нам необходимо настроить DDR (Dial-on Demand Routing) на пограничном маршрутизаторе и определить траффик, который вызовет соединение сети с коммутатором провайдера.

Схема соединения сетевого оборудования

Пояснения и ключевые этапы конфигурации сетевого оборудования

• Для обеспечения каждого рабочего места скоростью не менее 10 Mbps необходимо в качестве вертикальной проводки использовать оптоволоконный Gigabit Ethеrnet. Для этого нам необходимы модульные коммутаторы (Catalyst 6509) и маршрутизаторы (Cisco 7603).
• Внутри нашей сети будем использовать протокол TCP/IP.
• В проекте используем сеть класса B: 133.1.0.0 . Для обеспечения безопасности разобьем сеть на 3 подсети:
• 133.1.1.0 255.255.255.0 - для персонала
• 133.1.2.0 255.255.255.0 - для студентов
• 133.1.3.0 255.255.255.0 - для почтового сервера

Настройка VLAN

• (config)# set vlan 1 name staff
• (config)# set vlan 2 name students
• (config)# set vlan 1 1/1-4
• (config)# set vlan 2 1/5-8
• (config)# set trunk 1/20 on dot1q
• router1(config)# int fast 0/0.1
• router1(config-if)# ip address 133.1.1.1 255.255.255.0
• router1(config-if)# encapsulation dot1q 1
• ...
• router1(config)# int fast 0/0.2
• router1(config-if)# ip address 133.1.2.1 255.255.255.0
• router1(config-if)# encapsulation dot1q 2

Ограничение доступа к серверам

• Серверам присвоим следующие адреса:
• E-mail server: 133.1.3.11
• File server: 133.1.1.12
• Administrative server: 133.1.1.13
• Administrative server и file server разместим внутри сети, чтобы избежать излишнего траффика.
• Доступ к e-mail server открыт всем, в то время как file server огражден от внешнего траффика, а administrative server доступен только обслуживающему персоналу.

Настройка ACL

• router1(config)# access-list 101 deny ip 133.1.2.0 0.0.0.255 host 133.1.1.13
• router1(config)# access-list 101 permit ip any any
• router1(config)# interface fast 0/0.2
• router1(config-if)# ip access-group 101 in
• router1(config)# access-list 102 permit tcp any any eq http established
• router1(config)# access-list 102 permit tcp any any eq ftp established
• router1(config)# interface fast 0/1
• router1(config-if)# ip access-group 102 in
• router2(config)# access-list 103 permit tcp any host 133.1.3.11 eq smtp
• router2(config)# access-list 103 deny tcp any host 133.1.3.11
• router2(config)# access-list 103 permit ip any any
• router2(config)# interface bri 0
• router2(config-if)# ip access-group 103 in

Настройка глобального интерфейса

router2(config)# username royalpalm password 1fg56_t6z router2(config)# dialer-list 1 protocol ip permit router2(config)# isdn switch-type basic-dms100 router2(config)# interface bri 0 router2(config-if)# encapsulation ppp router2(config-if)# ppp authentication chap router2(config-if)# dialer-group 1 router2(config-if)# isdn spid1 5556667771 1234560 router2(config-if)# isdn spid2 5556667772 1234561