Проектирование корпоративной сети с подключением удаленных филиалов по технологии VPN. Часть 2

Страницы: 1 2 3

2. Теоретический раздел

2.1 Анализ архитектуры корпоративной сети с использованием технологии VPN

 

Архитектура корпоративной сети — это совокупность компонентов, протоколов и технологий, которые определяют ее структуру и функциональные возможности.

Основные компоненты корпоративной сети:

• Клиентские устройства: компьютеры, ноутбуки, смартфоны, планшеты и другие устройства, которые используются для доступа к ресурсам сети.
• Сетевое оборудование: маршрутизаторы, коммутаторы, брандмауэры, прокси-серверы и другие устройства, которые обеспечивают передачу данных между устройствами сети.
• Серверы: файловые серверы, серверы электронной почты, серверы баз данных и другие устройства, которые предоставляют доступ к приложениям и данным сети.
• Средства защиты: антивирусные программы, системы обнаружения вторжений, протоколы аутентификации и другие технологии, которые обеспечивают безопасность корпоративной сети.

Архитектура корпоративной сети может быть построена в виде различных типов топологий сетей, таких как звезда, шина, кольцо или комбинированная топология. В зависимости от конкретных требований и задач корпоративной сети, архитектура может включать в себя различные слои, такие как слой доступа, слой распределения и слой ядра.

Типичная архитектура корпоративной сети включает следующие слои:

• Слой доступа: включает в себя коммутаторы и устройства, которые обеспечивают доступ к сети для клиентских устройств.

 

• Слой распределения: включает в себя маршрутизаторы и другие устройства, которые обеспечивают передачу данных между устройствами в различных сегментах сети.
• Слой ядра: включает в себя устройства, которые обеспечивают высокоскоростную передачу данных между сегментами сети.

Кроме того, архитектура корпоративной сети может включать в себя следующие компоненты:

• Систему управления сетью (NMS): программа или сервис, который позволяет администраторам управлять и контролировать работу сети, анализировать данные и решать проблемы в работе сети.
• Системы обеспечения безопасности: устройства и программы, которые обеспечивают защиту корпоративной сети от угроз, таких как вирусы, хакеры и другие типы атак.
• Системы резервирования: устройства и программы, которые обеспечивают бесперебойную работу сети в случае отказа основных компонентов.
• Системы мониторинга и анализа: устройства и программы, которые позволяют администраторам мониторить работу сети, анализировать данные и определять проблемы в работе сети.

В целом, архитектура корпоративной сети должна быть гибкой, масштабируемой и легко управляемой. Кроме того, она должна быть построена таким образом, чтобы обеспечить высокую производительность и надежность работы сети, а также обеспечить безопасность передачи данных внутри сети.

Настройка оборудования для работы с технологией VPN включает в себя несколько шагов:

Установка и настройка VPN-шлюза: VPN-шлюз является основным компонентом системы VPN, и его необходимо установить и настроить для работы. Настройка включает в себя создание пользовательских учетных записей, определение сетей, которые будут доступны через VPN-туннель, а также настройку параметров безопасности.

Настройка удаленных узлов: для работы сети VPN необходимо настроить все удаленные узлы, которые будут подключаться к VPN-шлюзу. Это может быть выполнено путем установки VPN-клиентов на каждом узле или настройки VPN-соединения встроенными средствами операционной системы.

Настройка маршрутизаторов и коммутаторов: для обеспечения правильного маршрутизации трафика через VPN-туннель необходимо настроить маршрутизаторы и коммутаторы. В зависимости от сетевой инфраструктуры, маршрутизация может выполняться на уровне маршрутизатора или на уровне коммутатора.

Настройка брандмауэров: для обеспечения безопасности сети необходимо настроить брандмауэры для обеспечения защиты от внешних угроз и атак.

Тестирование сети: после настройки сети VPN необходимо провести тестирование для проверки правильности работы всех компонентов. Тестирование может включать в себя проверку маршрутизации трафика, проверку соединения между удаленными узлами, проверку скорости передачи данных и другие тесты.

При настройке сети VPN рекомендуется использовать специализированные программные решения, такие как Cisco AnyConnect, OpenVPN или другие подобные программы. Эти программы обеспечивают удобный интерфейс для настройки и управления сетью VPN, а также имеют встроенные средства защиты данных и безопасности.

Под топологией корпоративной сети понимается физическое размещение компьютеров сети друг относительно друга и способ соединения их между собой. Топология определяет тип используемого кабеля, требования к оборудованию, надежность работы, методы управления обменом, возможности расширения сети.

 

2.2 Анализ базовых технологий и технологий VPN

 

Стандарты Ethernet определяют проводные соединения и электрические сигналы на физическом уровне. Формат кадров и протоколы управления доступом к среде — на канальном уровне модели OSI. Ethernet в основном описывается стандартами IEEE группы 802.3. Ethernet стал самой распространённой технологией ЛВС в середине1990-х годов, вытеснив такие устаревшие технологии, как Arcnet и Tokenring.

Название «Ethernet» (буквально «эфирная сеть») отражает первоначальный принцип работы этой технологии: всё, передаваемое одним узлом, одно-временно принимается всеми остальными (то есть имеется некое сходство с радио вещанием). В настоящее время практически всегда подключение происходит через коммутаторы (switch), так что кадры, отправляемые одним узлом, доходят лишь до адресата (исключение составляют передачи на широковещательный адрес) — это повышает скорость работы и безопасность сети.

FastEthernet, 100 Мбит/с

Технология Ethernet 100 Мбит/с, она же «быстрый Ethernet (FastEthernet). Имеет много разновидностей, при этом обозначение 100BASE-T чаще всего ис-пользуется как собирательное название. Как и в технологии 10BASE-T, в работе только зеленая и оранжевая пары (прием контакты 3, 6, передача контакты 1, 2), хотя поводились эксперименты по использованию всех 4 пар, которые затем привели к созданию гигабитного Ethernet (см. 1000BASE-T). Для реализации приложений 100-мегабитного Ethernet используется витая пара категории 5 (без буквы «е») или выше. Существует возможность использования для этих приложений и оптической среды передачи, однако в настоящее время волоконная оптика используется для более высоких скоростей, от 1 гигабита и выше.

Гигабитный Ethernet,1 Гбит/с

• 1000BASE-T, IEEE 802.3ab — стандарт, использующий витую пару категорий 5e. В передаче данных участвуют 4 пары. Скорость передачи данных — 250 Мбит/с по одной паре. Используется метод кодирования PAM5, частота основ-ной гармоники 62,5 МГц. Расстояние до 100 метров
• 1000BASE-TX был создан Ассоциацией Телекоммуникационной Промыш-ленности (англ. Telecommunications IndustryAssociation, TIA) и опубликован в марте 2001 года как «Спецификация физического уровня дуплексного Ethernet 1000 Мб/с (1000BASE-TX) симметричных кабельных систем категории 6.

Operating Over Category 6 Balanced Twisted-Pair Cabling (ANSI/TIA/EIA-854-2001)»). Стандарт, использует раздельную приём и передачу (по одной паре в каждом направлении), что существенно упрощает конструкцию.

В проекте оптимальным будет использование топологии «иерархическая звезда» из-за особенности расположения рабочих мест предприятия и его филиалов, функциональных задач.

Данная топология обладает следующими преимуществами:

выход из строя или отключение одной рабочей станции не отражается на работе всей сети в целом;

хорошая масштабируемость сети;

лёгкий поиск неисправностей и обрывов в сети;

высокая производительность сети (при условии правильного проектирования);

гибкие возможности администрирования.

Для реализации данной сети возможно использование следующих технологий:

1. «Иерархическая звезда» с использованием технологии FastEthernet по кабелю «витая пара» UTP-5E;
2. «Иерархическая звезда» с использованием технологии GigabitEthernet по кабелю «витая пара» UTP-5E или UTP-6E
3. «Иерархическая звезда» с использованием технологии GigabiteEthernet по волоконнооптическому кабелю.
4. Беспроводным технологиям по протоколу IEEE-802.11n, ac.

Построение сети в филиалах решено выполнять по топологии «иерархическая звезда», с использованием технологии GigabitEthernet по кабелю «витая пара» UTP-5E или UTP-6E. Выбор в пользу данного решения продиктован соображениями:

— более высокого уровня безопасности по отношению с беспроводными технологиями;

— более высокой пропускной способностью линий по сравнению с технологием FastEthernet;

— более низкой стоимостью работ и оборудования по сравнению с волоконнооптическим кабелем.

 

Таблица 1 – Сравнительные характеристики технологии Gigabit Ethernet

 

Построение соединительных линий между филиалами решено выполнять по топологии «иерархическая звезда», с использованием технологии VPN-MPLS за счет предоставления данной услуги провайдером Интернет. Подключение филиалов к сети провайдера осуществлять по технологии 10 GigabiteEthernet по волоконнооптическому кабелю.

VPN (Virtual Private Network) — это технология, которая позволяет устанавливать безопасное соединение между удаленными компьютерами или сетями через неприватный сетевой канал, такой как Интернет. Она обеспечивает защиту передаваемых данных путем шифрования трафика и создания «виртуального» частного канала связи между удаленными устройствами.

Основные принципы работы VPN:

Шифрование: все данные, передаваемые по VPN-каналу, шифруются, что обеспечивает безопасность передачи конфиденциальной информации.

Туннелирование: VPN-канал создает «туннель» через неприватный сетевой канал, такой как Интернет, и защищает передачу данных внутри этого туннеля.

Аутентификация: VPN-канал обеспечивает аутентификацию пользователей, что позволяет предотвратить несанкционированный доступ к защищенным данным.

Сокрытие IP-адреса: VPN-канал скрывает реальный IP-адрес отправителя и получателя, что делает невозможным отслеживание передачи данных.

Удаленный доступ: VPN-канал позволяет удаленным пользователям подключаться к защищенной сети организации из любого места в мире, используя доступ к Интернету.

Поддержка различных протоколов: VPN-технология поддерживает различные протоколы, такие как PPTP, L2TP, IPSec, SSL/TLS, которые обеспечивают различные уровни безопасности и функциональности.

Масштабируемость: VPN-технология легко масштабируется и может поддерживать большое количество пользователей и сетевых устройств.

Использование технологии VPN для подключения удаленных филиалов к корпоративной сети обеспечивает безопасный доступ к ресурсам организации и позволяет снизить затраты на коммуникации, так как не требуется использование выделенных линий связи.

Типы VPN

Существует несколько типов VPN-протоколов, каждый из которых имеет свои особенности и применяется в различных ситуациях:

PPTP (Point-to-Point Tunneling Protocol) – один из самых распространенных протоколов, который обеспечивает быстрое соединение и хорошую производительность. Однако, он имеет некоторые уязвимости в безопасности, поэтому не рекомендуется использовать его для передачи конфиденциальной информации.

L2TP (Layer 2 Tunneling Protocol) – комбинация PPTP и L2F (Layer 2 Forwarding Protocol). Обеспечивает более высокий уровень безопасности, чем PPTP, так как использует шифрование данных. Но, L2TP имеет некоторые ограничения при прохождении через NAT (Network Address Translation).

IPSec (Internet Protocol Security) – протокол, который обеспечивает высокий уровень безопасности. Он может быть использован как в туннельном режиме (шифрует весь IP-пакет) или в режиме транспортного уровня (шифрует только данные). IPSec поддерживает различные алгоритмы шифрования и аутентификации, что делает его очень гибким протоколом.

SSL/TLS (Secure Sockets Layer/Transport Layer Security) – протокол, который обеспечивает безопасный канал связи на основе шифрования SSL или TLS протоколов. Он часто используется для защиты передачи данных через веб-браузеры или для доступа к веб-приложениям.

OpenVPN – открытый протокол, который обеспечивает высокий уровень безопасности и гибкость. Он может использоваться для создания как туннельных, так и точка-точка соединений, а также поддерживает различные алгоритмы шифрования и аутентификации.

Каждый из этих протоколов имеет свои преимущества и недостатки, поэтому выбор протокола зависит от конкретных требований и задач. Важно выбрать подходящий протокол, который обеспечит необходимый уровень безопасности и производительности при использовании VPN-технологии.

Подключение удаленных филиалов через VPN-соединение имеет свои особенности:

Надежность и безопасность — VPN обеспечивает защиту данных от несанкционированного доступа, обеспечивая надежное и безопасное подключение к корпоративной сети. При подключении удаленных филиалов через VPN-соединение все данные передаются по зашифрованному туннелю, что позволяет обеспечить надежную защиту информации.

Гибкость и масштабируемость — VPN-соединение позволяет гибко масштабировать сеть и подключать удаленные филиалы в зависимости от потребностей компании. При необходимости можно добавлять или удалять удаленные филиалы, а также настраивать параметры VPN-соединения в соответствии с требованиями бизнеса.

Удобство использования — VPN-соединение позволяет удаленным сотрудникам работать на удаленном филиале так, как будто они находятся в офисе. При этом они могут использовать все ресурсы корпоративной сети, включая файлы, приложения, базы данных и другие ресурсы.

Ограниченная пропускная способность — при использовании VPN-соединения может возникнуть ограничение по пропускной способности, особенно при передаче больших объемов данных. В таких случаях можно использовать специальные технологии, такие как мультиплексирование или комбинирование различных типов соединений.

Затраты на оборудование — для организации VPN-соединения может потребоваться дополнительное оборудование, такое как VPN-концентраторы или маршрутизаторы с поддержкой VPN. Важно учитывать затраты на оборудование при планировании внедрения VPN-технологии.

В целом, использование VPN-технологии позволяет эффективно организовать удаленный доступ к корпоративной сети и обеспечить безопасность и надежность передачи данных. Однако, при выборе решения необходимо учитывать конкретные требования бизнеса и особенности сетевой инфраструктуры.

Основные преимущества VPN:

1. Безопасность: VPN защищает передаваемую информацию от несанкционированного доступа, зашифровывая данные и создавая защищенное соединение.
2. Гибкость: VPN позволяет удаленным сотрудникам подключаться к корпоративной сети из любого места в мире с доступом в Интернет, что повышает гибкость работы и повышает производительность.
3. Низкая стоимость: VPN не требует дополнительных инвестиций в оборудование и позволяет снизить расходы на связь между удаленными филиалами.
4. Упрощение настройки и управления: VPN позволяет создавать защищенные соединения между удаленными устройствами без необходимости настройки сложной инфраструктуры.
5. Улучшение производительности: VPN может повысить производительность сети, уменьшив задержки и увеличивая пропускную способность.

Основные недостатки VPN:

1. Значительное снижение скорости: VPN может снизить скорость передачи данных из-за дополнительной обработки, связанной с шифрованием и дешифрованием информации.
2. Необходимость надежной сети: VPN работает через Интернет, поэтому требуется надежное и быстрое соединение для обеспечения стабильной работы.
3. Сложность настройки: Настройка VPN может быть сложной и требовать высокой квалификации специалистов для обеспечения безопасной работы.
4. Ограничения по безопасности: При использовании общей сети, такой как Интернет, возможны риски нарушения безопасности.
5. Необходимость лицензирования: Для использования некоторых видов VPN может потребоваться лицензирование, что может увеличить затраты на внедрение.

 

2.3 Анализ сетевого и коммутационного оборудования необходимого для построения корпоративной сети с использованием VPN

 

При выборе оборудования для построения корпоративной сети с использованием VPN, можно рассмотреть следующие типы оборудования:

VPN-шлюзы: это специализированные устройства, которые обеспечивают шифрование и передачу данных между удаленными узлами сети.

Маршрутизаторы: это устройства, которые обеспечивают маршрутизацию и пересылку данных в сети.

Коммутаторы: это устройства, которые обеспечивают коммутацию данных между узлами сети.

Брандмауэры: это устройства, которые обеспечивают защиту сети от внешних угроз и атак.

Серверы: это устройства, которые предоставляют различные службы, такие как хранение данных, веб-сервисы, электронная почта и т.д.

Персональные компьютеры: это устройства, которые используются для работы сетевых пользователей.

Выбор конкретного оборудования зависит от потребностей организации, объема данных, количества пользователей и других факторов.

Для построения корпоративных сетей в настоящее время лидирующие позиции занимают радиочастотный эфир и проводная среда распространения электрических сигналов. Свою область применения имеют волоконнооптические линии связи, коаксиальные линии, оптические каналы и т.д.

Витая пара (англ. twisted pair) – разновидность кабеля связи, который представляет собой сочетание нескольких пар изолированных электрических проводников, определенным образом свитыми между собой и покрытых пластиковой оболочкой.

Витки проводников выполняются с рассчитанным шагом и с целью повышения помехозащищенности проводников одной пары при этом помеха одинаково влияет на оба провода в паре, но с различной фазой что и приводит к последующему уменьшению внешних электромагнитных помех, а также взаимных наводок при передаче различных сигналов. Для уменьшения взаимовлияния отдельных пар кабеля в кабелях UTP, проводники в различных парах свиваются с отличным друг от друга шагом. Данный тип кабеля самый распространенный в настоящее компонент современных структурированных кабельных систем. Он находит применения в телекоммуникационных системах и в компьютерных сетях различного уровня и типов в качестве физической среды распространения сигнала. Благодаря дешевизне и лёгкости монтажа, стал самым распространённым решением для построения кабельных (проводных) ЛВС.

Кабель к сетевым устройствам подключается при помощи разъёма типа 8P8C, который также получил название RJ45.

Существует и используются следующие виды кабеля, которые относятся к кабелям «витая пара»

Защита кабеля может строится за счет электрически заземленной медной оплетки, а также алюминиевой фольги, намотанной вокруг пар, тип защиты определяет следующие разновидности исполнения кабеля:

Unshielded twisted pair (UTP – с англ., незащищенная витая пара). Кроме пластиковой защиты собственно проводников никаких дополнительных элементов защиты (экранирования, заземления) не используется.

Foiled twisted pair (F/UTP – с англ., фольгированная витая пара). Все пары проводников этого кабеля покрыты общим экраном из алюминевой фольги:

Рисунок 7 — Фольгированная витая пара

 

Shielded twisted pair (STP, – с англ., защищенная витая пара). В данном кабеле каждая пара экранирована собственной экранирующей оплеткой, а также все пары закрыты общим сеточным экраном.

Рисунок 8 – Защищенная витая пара

 

Screened Foiled twisted pair (S/FTP, – с англ., фольгированная экранированная витая пара). В этом типе кабеля каждая пара находится в собственной оплетке из фольги, а все пары помещены в медный экран.

Рисунок 9 – Фольгированная экранированная витая пара

 

Screened Foiled Unshielded twisted pair (SF/UTP, – с англ., незащищенная экранированная витая пара). Характеризуется двойным общим экраном из медной оплетки и из фольги.

Рисунок 10 – Незащищенная экранированная витая пара

 

В зависимости от структуры проводников – кабель применяется одно- и многожильный. Для первого случая каждый провод изготавливается из одной медной жилы (жила-монолит), а для второго – каждый провод состоит из нескольких медных жил (жила-пучок).

Многожильный кабель плохо монтируется («врезается») в разъёмы патч-панелей (тонкие жилы разрезаются), но отлично переносит изгибы и скручивание, однако обладает большей величиной затухания сигнала. Эти свойства многожильного кабеля обусловили его применение для изготовления патч-кордов (англ. patchcord), соединяющих оборудование с розетками и соединения между розетками.

Существует несколько категорий кабеля «витая пара». Они пронумерованы от CAT1 до CAT7 и определяются эффективной пропускаемой полосой частот (ЭППЧ). Кабели более высоких категорий содержат большее число пар проводников, а каждая пара имеет большее число витков на единицу длины. Данные категории для неэкранированной витой пары описываются в стандарте EIA/TIA 568 (Американский стандарт проводки в коммерческих зданиях). Так согласно этого стандарта:

САТ5 (ЭППЧ – 100 МГц) — 4-парный кабель, нашел широкое применение при построении локальных сетей 100BASE-TX и для прокладки телефонных линий связи, поддерживает скорость передачи данных до 100 Мбит/с по 2 парам проводов. При прокладке новых сетей применяется усовершенствованный кабель CAT5e, который обычно и называют кабелем «витая пара», является самой распространённой сетевым средой распространения, использующимся в компьютерных сетях, благодаря высокой скорости передачи (до 100 Мбит/с по 2 парам, до 1000 Мбит/с по 4 парам). Максимальная длина кабеля между устройствами (компьютер-свитч, свитч-компьютер, свитч-свитч) может достигать 100 м.

CAT6 (ЭППЧ – 250 МГц) – применяется в сетях FastEthernet и GigabitEthernet, в его устройство входит 4 пары проводников, максимальная скорость передачи данных до 1000 Мбит/с. Включена в стандарт в июне 2002 года. Описана в стандарте категория CAT6a, в которой увеличена ЭППЧ до 500 МГц. Согласно данных IEEE, 77 % установленных сетей в 2016 году, использовали кабель категории CAT6.

CAT7 скорость передачи данных до 100 Гбит/с, ЭППЧ пропускаемого сигнала до 600 – 700 МГц. Кабель данной категории экранирован. Седьмая категория, это кабель не UTP, а S/FTP (Screened Fully shielded Twisted Pair).

Каждая отдельно взятая витая пара, входящая в состав кабеля, предназначенного для передачи данных, должна иметь волновое сопротивление равное 120 Ом, при невыполнении этого условия форма электрического сигнала будет необратимо искажаться, и передача данных станет невозможной. К этому может привести не только некачественный кабель, но также наличие «скруток» в кабеле и использование розеток более низкой категории, чем кабель.

Для построения спроектированной сети потребуется клиентское оборудование, сетевое и серверное оборудование.

Для проектируемой сети можно сформулировать следующие требования:

— скорость подключения филиалов к Интернет – 10 Гбит/с;

— скорость подключений в сетях филиалов – 1 Гбит/с;

— требования к клиентским ПЭВМ – максимальная производительность для работы графических и видеоредакторов под управлением ОС Windows 10; низкая стоимость; большая диагональ мониторов;

— требования к серверам — оптимальная для работы типовых серверных приложений производительность; низкая стоимость;

— требования к активному сетевому оборудованию: использовать оборудование от одного вендора; высокая надежность; высокая производительность; техническая поддержка; обучение персонала.

Исходя из требований, предлагается оборудование компании Cisco, как полностью удовлетворяющее требованиям заказчика и обладающее широкими возможностями для дальнейшего развития и совершенствования сети, в т.ч. и в вопросах обеспечения информационной безопасности.

Сетевое оборудование

Коммутатор Симанитрон SWME-48GT-4XG

Сетевой коммутатор Симанитрон SWME-48GT-4XG — устройство промышленного исполнения RACKMOUNT, обеспечивающее широкополосное подключение оконечных устройств на скорости 10/100/1000 Мбит/с, подключение к верхней ступени сети агрегации или ядру на скорости Gigabit Ethernet или 10 Gigabit Ethernet (10 GbE).

Ключевые особенности:

Высокоскоростная маршрутизация трафика

Обеспечивает высокопроизводительную маршрутизацию трафика IP. Программное обеспечение SMI поддерживает статическую, RIPv1 и RIPv2 маршрутизацию, а EMI – еще и OSPF, IGRP, EIGRP, а также маршрутизацию multicast трафика (PIM, DVMRP, IGMP snooping)

Высокая безопасность

Поддержка протокола 802.1x, функциональность Identity-Based Networking Services (IBNS), списки доступа для трафика, коммутируемого на втором уровне (VLAN ACL), на третьем и четвертом уровнях (Router ACL), а также Port-based ACLs (PACL) и Time-based ACL. Для обеспечения безопасности при администрировании поддерживаются протоколы SSH и SNMPv3, а также централизованная аутентификация на TACACS+ и RADIUS серверах.

Высокая доступность

Для защиты от сбоев внутренних блоков питания коммутаторы Симанитрон SWME-48GT-4XG поддерживают резервную систему питания, протоколы 802.1D, 802.1s, 802.1w, функциональность UplinkFast, HSRP, UDLD, Aggressive UDLD, Switch port Auto-recovery.

Поддержка качества обслуживания (QoS)

Классификация трафика по полям DSCP или 802.1p (CoS), стандартные и расширенные списки доступа для выделения заданного типа трафика, WRED, очередность Strict Priority, Shaped Round Robin. Существует возможность определения максимальной полосы для определенного вида трафика, а также выделения гарантированной полосы CIR.

Отличная управляемость

Внедренное в коммутатор ПО CMS, поддержка управления с помощью SNMP-платформ, поддержка SNMP версий 1, 2, 3, Telnet, RMON, SPAN, RSPAN, NTP, TFTP.

Технические характеристики

 

Варианты программного обеспечения

• Standard Multilayer Software Image (SMI). Включает расширенную поддержку QoS, списки доступа, возможность статической маршрутизации и маршрутизации с помощью протокола RIP.
• Enhanced Multilayer Software Image (EMI). Помимо функциональности SMI также обеспечивает расширенную функциональность корпоративного класса, включая аппаратную маршрутизацию одноадресного (unicast) и многоадресного (multicast) IP трафика, PBR, протокол WCCP.

Межсетевое оборудование

Маршрутизаторы Eltex ESR-3100 — это устройства, представляющие собой универсальную аппаратную платформу и способные выполнять широкий круг задач, связанных с сетевой защитой, шифрованием передаваемых данных, терминированием пользователей и т.д.

В линейке представлены модели, ориентированные на применение в сетях различных масштабов — от сетей предприятий различного масштаба до сетей операторов связи и дата-центров.

Ключевыми элементами серии являются средства для программной и аппаратной обработки данных. За счет оптимального распределения функций обработки данных между частями устройства достигается максимальная производительность.

Интерфейсы

• 8хEthernet 10/100/1000BASE-T (LAN/WAN)
• 8х10GBASE-R SFP+/1000BASE-X SFP (LAN/WAN)
• 1xConsole (RJ-45)
• 2хUSB 3.0
• 1 слот для SD-карт

Подключаемые интерфейсы

• USB 3G/4G/LTE модем
• E1 TopGate SFP

Системные характеристики

• Количество VPN-туннелей — 500
• Статические маршруты — 11000
• Количество конкурентных сессий — 512000
• Поддержка VLAN — до 4k активных VLAN в соответствии с 802.1Q
• Количество маршрутов BGP — 5000000
• Количество BGP-соседей — 1000
• Количество маршрутов OSPF — 500000
• Количество маршрутов RIP — 10000
• Количество маршрутов ISIS — 500000
• Таблица MAC-адресов — 2000 записей на бридж
• Размер базы FIB — 1700000
• VRF — 32

Клиенты Remote Access VPN

• PPTP/PPPoE/L2TP/OpenVPN/IPsec XAUTH

Сервер Remote Access VPN

• L2TP/PPTP/OpenVPN/IPsec XAUTH

Site-to-site VPN

• IPSec: режимы «policy-based» и «route-based»
• DMVPN
• Алгоритмы шифрования DES, 3DES, AES, Blowfish, Camelia
• Аутентификация сообщений IKE MD5, SHA-1, SHA-2

Туннелирование

• IPoGRE, EoGRE
• IPIP
• L2TPv3
• LT (inter VRF routing)

Функции L2

• Коммутация пакетов (bridging)
• Агрегация интерфейсов LAG/LACP (802.3ad)
• Поддержка VLAN (802.1Q)
• Логические интерфейсы
• LLDP, LLDP MED
• VLAN на основе MAC

Функции L3 (IPv4/IPv6)

• Трансляция адресов NAT, Static NAT, ALG
• Статические маршруты
• Динамические протоколы маршрутизации RIPv2, OSPFv2/v3, IS-IS, BGP
• Фильтрация маршрутов (prefix list)
• VRF
• Policy Based Routing (PBR)
• BFD для BGP, OSPF, статических маршрутов

BRAS (IPoE)1

• Терминация пользователей
• Белые/черные списки URL
• Квотирование по объёму трафика, по времени сессии, по сетевым приложениям
• HTTP/HTTPS Proxy
• HTTP/HTTPS Redirect
• Аккаунтинг сессий по протоколу Netflow
• Взаимодействие с серверами ААА, PCRF
• Управление полосой пропускания по офисам и SSID, сессиям пользователей
• Аутентификация пользователей по MAC- или IP-адресам

Функции сетевой защиты 

• Система обнаружения и предотвращения вторжений (IPS/IDS)¹
• Взаимодействие с Eltex Distribution Manager для получения лицензируемого контента — наборы правил, предоставляемые Kaspersky SafeStream II
• Web-фильтрация по URL, по содержимому (cookies, ActiveX, JavaScript)
• Zone-based Firewall
• Фильтрация на базе L2/L3/L4-полей и по приложениям
• Поддержка списков контроля доступа (ACL) на базе L2/L3/L4-полей
• Защита от DoS/DDoS атак и оповещение об атаках
• Логирование событий атак, событий срабатывания правил

Качество обслуживания (QoS)

• До 8-ми приоритетных или взвешанных очередей на порт
• L2- и L3-приоритизация трафика (802.1p (cos), DSCP, IP Precedence (tos))
• Предотвращение перегрузки очередей RED, GRED
• Назначение приоритетов по портам, по VLAN
• Средства перемаркирования приоритетов
• Применение политик (policy-map)
• Управление полосой пропускания (shaping)
• Иерархический QоS
• Маркировка сессий

Управление IP-адресацией (IPv4/IPv6)

• Статические IP-адреса
• DHCP-клиент
• DHCP Relay Option 82
• Встроенный сервер DHCP, поддержка опций 43, 60, 61, 150
• DNS resolver
• IP unnumbered

Средства обеспечения надежности сети

• VRRP v2,v3
• Tracking на основании VRRP или SLA теста
  • Управление параметрами VRRP
  • Управление параметрами PBR
  • Управление административным статусом интерфейса
  • Активация и деактивация статического маршрута
  • Управление атрибутом AS-PATH и preference в route-map
• Балансировка нагрузки на WAN-интерфейсах, перенаправление потоков данных, переключение при оценке качества канала
• Резервирование сессий firewall

Мониторинг и управление

• Поддержка стандартных и расширенных SNMP MIB, RMONv1
• Встроенный Zabbix agent
• Аутентификация по локальной базе пользователей, RADIUS, TACACS+, LDAP
• Защита от ошибок конфигурирования, автоматическое восстановление конфигурации. Возможность сброса конфигурации к заводским настройкам
• Интерфейсы управления CLI
• Поддержка Syslog
• Монитор использования системных ресурсов
• Ping,traceroute (IPv4/IPv6), вывод информации о пакетах в консоли
• Обновление ПО, загрузка и выгрузка конфигурации по TFTP, SCP, FTP, SFTP, HTTP(S)
• Поддержка NTP
• Netflow v5/v9/v10 (экспорт статистики URL для HTTP, host для HTTPS)
• Локальное управление через консольный порт RS-232 (RJ-45)
• Удаленное управление, протоколы Telnet, SSH (IPv4/IPv6)
• Вывод информации по сервисам/процессам
• Локальное/удаленное сохранение конфигураций
  маршрутизатора

MPLS

• Поддержка протокола LDP
• Поддержка L2VPN VPWS
• Поддержка L2VPN VPLS Martini Mode
• Поддержка L2VPN VPLS Kompella Mode
• Поддержка L3VPN MP-BGP

2.4 Анализ сетевого и клиентского программного обеспечения

 

В состав операционной системы входят сервисные программы – утилиты, позволяют обслуживать диски (проверять, сжимать, дефрагментировать и так далее), выполнять операции с файлами (архивировать и т.д.), работать в компьютерных сетях и так далее.

Сейчас практически все ОС поддерживают работу с сетью и обеспечивают выход как в локальную сеть, к общим ресурсам рабочей группы, так и во всемирную глобальную сеть Интернет. Каждая из ОС требует для своей работы определенных ресурсов, таких как объем оперативной памяти, объем винчестера, тип процессора и его производительность.

Для того что бы определиться в качестве выбранных сетевых серверных решений необходимо сравнить представленные аналоги бесплатных Linux систем, платных систем семейства Windows Server и Unix подобных платных систем Solaris. Сравнение представлено в таблице 2

С точки зрения производительности, безопасности и ориентированности на пользователя операционная система Windows Server 2016 является оптимальной. Затраты на операционную систему составляют 48961р.  Клиентское программное обеспечение включает в себя программы, которые позволяют вычислительной системе работать в составе локальной вычислительной сети и выполнять вычисления и позволять пользователю работать с прикладными программами, которые ему необходимы для работы.

 

Таблица 2 – Сравнение сетевых серверных операционных систем

 

Сравнение операционных систем представлено в таблице 3.

Исходя из выбора пользовательского ПО наиболее оптимальным и распространенным программным обеспечением операционной системы является Windows 10.

Пользовательское программное обеспечение для выполнения повседневной работы и автоматизации управленческих задач состоит из служебного ПО и пользовательского.

Таблица 3 – Сравнение клиентских операционных систем

 

К служебному программному обеспечению относятся:

Squid – прокси-сервер;

Dovecot – агент доставки почты (MDA);

Postfix – агент передачи почты (MTA);

OpenVPN — Свободная реализация технологии виртуальной частной сети (VPN);

Active Directory;

DNS-сервер — приложение, предназначенное для ответов на DNS-запросы по обращению к хостам;

DHCP-сервер;

SMB-сервер.

К специальному программному обеспечению относят автоматизированные средства:

операционная система рабочих станций MS Windows 10.

пакет офисных программ Microsoft Office 2016;

антивирусное программное обеспечение Kaspersky Endpoint Security;

интернет-браузер Mozilla Firefox.

Adobe Reader;

Microsoft SQL Server Experess.

Для обеспечения безопасности необходимо использовать отдельные аппаратные средства защиты, или специальное программное обеспечение.

Существуют специализированные программные средства, которым помогают предотвратить проникновения, утечки, изменения и взлом.

Firewalls — брандмауэры (дословно firewall — огненная стена). Между локальной и глобальной сетями создаются специальные промежуточные сервера, которые инспектируют и фильтруют весь проходящий через них трафик сетевого/транспортного уровней.

NAT («преобразование сетевых адресов») — это механизм в сетях TCP/IP, позволяющий преобразовывать IP-адреса транзитных пакетов. Также имеет названия IP Masquerading, Network Masquerading и Native Address Translation. Когда весь исходящий из локальной сети трафик посылается от имени сервера, скрывая тем самым внутреннюю структуру локальной сети [7].

Антивирусное ПО — программа для обнаружения вредоносных компьютерных программ, удаления их и восстановления зараженных (модифицированных) такими программами файлов, а также для профилактики — предотвращения заражения (модификации) файлов или операционной системы вредоносным кодом [4].

В программную архитектуру локальной вычислительной сети входят операционные системы и всё программное обеспечение, которое установлено на компьютерах, входящих в техническую архитектуру. Сервера работают под управлением Windows Server 2016, а рабочие станции под управлением
Windows 10.

 

Страницы: 1 2 3