ФИЗИЧЕСКОЕ ПРОЕКТИРОВАНИЕ СЕТИ
Модель горизонтального подуровня (ГП)
Установка требований к сети и подбор оборудования
Выбор пользовательского ПО
Выделение подсетей и распределение IP адресов по подсетям здания B
Размещение серверов DNS
Размещение серверов WINS
Разработка структуры Active Directory(AD)
Организация беспроводного доступа к сети (WLAN)
Подключение филиалов и удаленных пользователей
Подключение здания С по каналу ADSL
Подключение сотрудников по каналам Dial-Up
Навигация
Организация беспроводного доступа к сети (WLAN)
Инфраструктура территориально-распределительной корпоративной сети
85519
знаков
8
таблиц
11
изображений
3.6 Организация беспроводного доступа к сети (WLAN)
Две независимые группы сотрудников отдела маркетинга работают на ноутбуках и для них необходимо создать беспроводную сеть WLAN.
Беспроводные локальные сети кратко обозначаются аббревиатурой WLAN (Wireless Local Area Network). Самым распространенным на сегодняшний день стандартом беспроводных сетей является Wi-Fi. Он соответствует спецификации IEEE 802.11, которая, в свою очередь, имеет несколько модификаций, обозначаемых буквами a, b, g и n. Беспроводные сети претерпели много модификаций, сейчас наиболее распространены сети, поддерживающие протокол спецификации IEEE 802.11g, обеспечивающие в зоне прямой видимости скорость передачи данных до 54 Мбит/с. Для работы с WiFi необходимо выбрать протоколы аутентификации.
Операционные системы семейства Windows Server 2003 поддерживают протокол MS-CHAP v2, обеспечивающий взаимную проверку подлинности, создание более надежных начальных ключей шифрования данных для MPPE (Microsoft Point-to-Point Encryption) и разные ключи шифрования для отправки и приема данных. Чтобы свести к минимуму риск раскрытия пароля во время обмена паролями, из протокола исключена поддержка старых методов обмена паролями MS-CHAP. Поскольку версия MS-CHAP v2 обеспечивает более надежную защиту, чем MS-CHAP, при подключении сначала предлагается использовать именно ее (если она доступна), а затем уже MS-CHAP. Протокол MS-CHAP v2 поддерживается на компьютерах, работающих под управлением Windows XP, Windows 2000, Windows 98, Windows Millennium Edition и Windows NT 4.0. Компьютеры, работающие под управлением Windows 95, поддерживают MS-CHAP v2 только для подключений VPN, но не для подключений удаленного доступа.
Из-за нецелесообразности использования центра сертификации выбираем метод аутентификации EAP-MS CHAP V2, который является самым распространенным, наиболее дешевым и достаточно надежным.
Для организации доступа используется точка доступа WiFi 3CRWE454G75. Она поддерживает стандарт IEEE 802.11g и WPA, в состав которого входит EAP, выступающий каркасом для различных протоклов аутентификации, в том числе и MS CHAP V2.
3.7 Организация DMZ
Суть DMZ заключается в том, что она не входит непосредственно ни во внутреннюю, ни во внешнюю сеть, и доступ к ней может осуществляться только по заранее заданным правилам межсетевого экрана. В DMZ нет пользователей – там располагаются только серверы. Демилитаризованная зона, как правило, служит для предотвращения доступа из внешней сети к хостам внутренней сети за счет выноса из локальной сети в особую зону всех сервисов, требующих доступа извне.
В состав DMZ входят:
- сервера DMZ: Mail, Web, ftp, внешний DNS и RAS;
- средства изоляции (межсетевые экраны);
- коммутационное оборудование DMZ (коммутатор РГ и прочее оборудование, обеспечивающее связь с другими зданиями и сотрудниками корпорации по выделенным каналам).
В качестве серверов Mail, Web и ftp берем свободное ПО, распространяемое по лицензии GNU(или схожим). В частности, в качестве ОС используем FreeBSD, ориентированную на работу в сети. Для этой ОС существуют все указанные сервера в виде свободно распространяемых продуктов, поэтому их выбор должен осуществляться при консультации с отделом эксплуатации сети. Например, в качестве Web – сервера может быть развернут Apach вместе с PHP и MySQL или PostgreSQL. Поддержка мировым сообществом этих продуктов достаточно сильная. Тоже самое относится и большинству других решений для указанных серверов.
Для снижения стоимости DMZ следует физически разместить сервера, выполняющие схожую по нагрузке работу, на одном физическом сервере. Для этого развернем на одном сервере Mail и ftp, а на другом Web сервер.
Отдельно ставится сервер RAS на основе Windows Server 2003, так как он призван обеспечить доступ к сети для удаленных пользователей. Развернуть его на FreeBSD не получится. В добавок, служба DNS должна быть связана со службой AD, поэтому ее также лучше развернуть на сервере с OC Windows 2003 Server.
Для защиты проникновения через демилитаризованную зону в корпоративную сеть используются межсетевые экраны. Существуют программные и аппаратные экраны. Для программных требуется отдельная машина. Для установки аппаратного брандмауэра (программируемого моста) нужно лишь подключить его в сеть и выполнить минимальное конфигурирование. Обычно программные экраны используются для защиты сетей, где нет необходимости производить много настроек, связанных с гибким распределением полосы пропускания и ограничения трафика по протоколам для пользователей. Если сеть большая и требуется высокая производительность, выгоднее становится использовать аппаратные межсетевые экраны.
1) При достаточном финансировании используются 2 firewall-а – один отделяет DMZ от внешней сети, другой- DMZ от локальной сети
2) При ограниченном финансировании используется более дешевый вариант: использованию одного сервера с тремя сетевыми интерфейсами. Тогда один интерфейс «смотрит» в Интернет, второй – в DMZ и третий – в локальную сеть.
При реализации такого варианта необходимо обратить внимание на его недостатки:
- Снижение надежности сети. В случае зависания или перезагрузки сервера ресурсы, находящиеся в DMZ, будут временно недоступны пользователям;
- В случае его выхода из строя все то время, которое вы потратите на замену, локальная сеть организации будет практически неработоспособна;
- Слабая защита от вмешательств извне.
Если используются два межсетевых экрана, то все эти недостатки частично или полностью можно устранить. В случае выхода из строя одного из них в течение буквально нескольких минут сеть из варианта «1» можно превратить в вариант «2», добавив в сервер еще одну сетевую карту и произведя соответствующие изменения в настройках. К тому же безопасность сети при использовании двух межсетевых экранов повышается. Например, если взломщик сумел проникнуть на сервер, подключенный к WAN и DMZ, то ему не будут доступны ресурсы локальной сети.
Остановимся на втором варианте при использовании программного firewall. В качестве ОС для firewall выбираем FreeBSD, в качестве программного firewall – пакет Smoothwall. В коммерческой версии этот продукт обладает мощным набором настроек и предоставляет большие возможности по фильтрации пакетов. Так же он предоставляет возможность организации NAT(п. 3.7.1), что важно для внешнего FireWall-a.
Оборудование, которое потребуется для такой организации DMZ, следующее:
- 5 серверов;
- 1 коммутатор ГП;
- коммутационное оборудование в составе маршрутизаторов 5680 и OfficeConnect ADSL Wireless.
3.7.1 Распределение внешних IP адресов, использование NAT
Технология NAT позволяет выполнять трансляцию адресов из локальных в глобальные через подмену портов. Подмена должна происходить до попадания в WAN, то есть внутри DMZ.
Для обеспечения доступа к серверам DMZ им должен быть назначены внешние IP адреса из доступного по заданию диапазона. Для обеспечения подключения пользователей через Dial-Up (п. 3.7.3) реализацию технологии NAT необходимо сделать на внешнем firewall. Так же необходимо назначить статические внешние IP адреса на все сетевые интерфейсы внутреннего firewall, кроме связанного с локальной сетью.
Похожие работы
... СУБД; можно управлять распределением областей внешней памяти, контролировать доступ пользователей к БД и т.д. в масштабах индивидуальной системы, масштабах ограниченного предприятия или масштабах реальной корпоративной сети. В целом, набор серверных продуктов одиннадцатого выпуска компании Sybase представляет собой основательный, хорошо продуманный комплект инструментов, которые можно ...
... коммуникационного центра. 51 1. Реферат. В целях комплексной автоматизации документооборота, а также повышения качества диагностики и лечения онкологических больных в Мелитопольском межрайонном онкологическом диспансере, разработан проект информационно-диагностической системы, предназначенной для оперативного ввода, анализа и хранения графической, текстовой лечебно-диагностической информации и ...
... произвести такие расчеты в рамках данного дипломного проекта не представляется возможным. Однако имеет смысл формирование прогнозной оценки реализации того или иного варианта интеграции локальных вычислительных сетей МИЭТ и студенческого городка МИЭТ. Прогнозная оценка будет формироваться исходя из суммы прямых затрат по основным статьям расходов, а так же стоимости поддержки связи, применительно ...
... информации (тип кабеля); метод доступа к среде; максимальная протяженность сети; пропускная способность сети; метод передачи и др. В данном проекте ставится задача связать административный корпус предприятия с четырьмя цехами посредством высокоскоростной сети со скоростью передачи данных – 100 Мбит/сек. Рассмотрим вариант построения сети: на основе технологии Fast Ethernet. Данный стандарт ...
0 комментариев