Государственное бюджетное профессиональное образовательное учреждение ямалоненецкого автономного округа
 Скачать 3.8 Mb.
|
|
2.2 Оценка вариантов конфигурации компьютерной сети Проанализировав все варианты модернизации сети, было решено остано- виться на втором варианте. Во втором варианте в отличии от первого предлагаются кардинальные меры переоборудования сетевой инфраструктуры. Неуправляемые свитчи заменятся на управляемые, что позволит осуществлять более гибкую настройку сети. Разграни- чить трафик на аппаратном уровне, обезопасить сеть от несанкционированного подключения. Новые коммутаторы обладают средством обнаружения петель в ком- мутационном оборудовании, что значительно облегчит жизнь системному админи- стратору. Обновление технопарка и пополнение его новыми компьютерами, прин- терами, проекторами повысит скорость работы учителей, т.к. на открытие, редак- тирование и печать документов уйдет меньше времени. Третий вариант модернизации сети не актуален по 3 причинам: 17 Изм . Лист № док ум. Подпись Дата ДП.09.02.02.ПЗ Лист 1) Большинство компьютеров в сети – стационарные рабочие станции. Ко- личество ноутбуков, участвующих в учебном процессе – 25, которые находятся в помещении медиа-центра, в котором для них уже оборудованы места с проводным подключением сети. 2) Все помещения, участвующие в учебном процессе (предметные каби- неты, компьютерные и лингафонные классы, учительские, лаборантские) уже обо- рудованы проводным способом соединения с сетью. 3) В связи с развитием и удешевлением высокоскоростного мобильного ин- тернета, подавляющее большинство учащихся будут пользоваться им. Еще одна причина, по которой учащиеся не будут использовать беспроводную сеть лицея – это наличие контент фильтрации. Обновление программного обеспечения сервера включает в себя обновле- ние программы Traffic Inspector, так как версия, которая на данный момент исполь- зуется на предприятии устарела и больше не поддерживается разработчиком. Но- вая версия программы обладает более удобным интерфейсом управления, постоян- ными обновлениями и фиксами различных ошибок, а также меньшим потребле- нием ресурсов сервера. 2.3 Структурная схема компьютерной сети Рассматривается структурная схема компьютерной сети организации МБОУ «Многопрофильны лицей». Все компьютеры находятся в одной подсети. Управлением рабочими станциями осуществляется с помощью групповых политик Active Directory. В основном компьютеры обмениваются файлами, с помощью се- тевых папок, которые находятся на файловом сервере, напрямую между собой, с помощью коммутаторов компьютеры общаются в редких исключительных слу- чаях. Каждый сотрудник имеет доменную учетную запись и заходит в компьютер исключительно под ней. Права доступа к управлению теми или иными функциями 18 Изм . Лист № док ум. Подпись Дата ДП.09.02.02.ПЗ Лист компьютера и сетевыми ресурсами зависят от полномочий доменной четной за- писи. Поставщик интернета – компания «Ростелеком». Интернет провайдера по оптоволоконной линии проводится в серверную комнату, с помощью медиа-кон- вертера осуществляется переход на витую пару 5 категории RJ-45 и интернет попа- дает в роутер провайдера. Из роутера провайдера интернет попадает на сервер. Сер- вер осуществляет контент-фильтрацию, антивирусный контроль и перенаправляет трафик на главный коммутатор, который передает его на нижестоящие коммута- торы, те в свою очередь доставляют интернет на рабочие станции. 2.4 Комплектация компьютерной сети После модернизации ЛВС, произойдут значительные изменения в коммута- ционной среде. Расположение самих коммутаторов не изменится, но изменится их количество. Также значительные изменения произойдут в кабельной структуре сети. На некоторых участках сети придется удлинить кабель посредством исполь- зования проходных адаптеров с разъёмами типа RJ-45 – RJ45. Расположение ка- бель-каналов остаётся неизменным, так как уже существующее расположение ка- бель-каналов позволит протянуть нужные сетевые маршруты. Так же глобальные изменения произойдут и в парке компьютерной техники, устаревшие компьютеры заменятся на новые – более производительные, что повысит комфорт работы, и ско- рость создания и редактирования различных документов, поиск информации в ин- тернете. Список оборудования, которое будет добавлено в ходе модернизации представлены в таблице 6. Таблица 6 – Список добавляемых объектов в сеть № Наименование оборудования Единица измерения Количе- ство 1 Управляемый коммутатор уровня 2 SNR-S2985G-48T Шт. 4 19 Изм . Лист № док ум. Подпись Дата ДП.09.02.02.ПЗ Лист Продолжение таблицы 6. № Наименование оборудования Единица измерения Количе- ство 2 Управляемый коммутатор уровня 2 SNR-S2965-24T Шт. 3 3 Компьютер в сборе ЭСТИ. Intel core i5-7400, 8GB RAM, 1 TB HDD. Монитор диаг. 24 д. 4096х2160, клавиатура, мышь. Шт. 63 4 Витая пара 5 категории. М. 1500 5 Коннекторы RJ-45 Шт. 189 6 LAN розетка RJ-45 Шт. 37 7 Проходной адаптер Rj-45 – Rj-45 Шт. 100 2.5 Планирование информационной безопасности компьютерной сети Установка антивирусного ПО на данном предприятии будет производится централизованно, с помощью технологии развертывания сервера администрирова- ния Kaspersky Endpoint Security на базе серверной операционной системы Microsoft Windows Server 2012 R2. Развертывание сервера администрирования настоятельно рекомендовано производить на контроллер домена. [13] После распаковки архива с установщиком, запускается программа установки сервера администрирования. Затем идет уста- новка базы данных Microsoft SQL Server, учетной записи администратора и обозна- чение контроллера домена. После завершения на сервер будет установлено (ри- сунки 1-6): – сервер администрирования; – консоль администрирования; – агент администрирования. 20 Изм . Лист № док ум. Подпись Дата ДП.09.02.02.ПЗ Лист Рисунок 1 – Копирование файлов дистрибутива Рисунок 2 – Обозначения количества машин Рисунок 3 – Ввод учетной записи администратора 21 Изм . Лист № док ум. Подпись Дата ДП.09.02.02.ПЗ Лист Рисунок 4 – Установка базы данных Рисунок 5 – Обозначение сервера Рисунок 6 – Установка сервера администрирования 22 Изм . Лист № док ум. Подпись Дата ДП.09.02.02.ПЗ Лист Следует запустить консоль администрирования, развернуть пункт «Удалён- ная установка» и выбрать пакет установки, компьютеры на которые нужно его установить, после установки в списке серверов появится действующий сервер и информация об установленном ПО (рисунки 7-10). Рисунок 7 – Выбор устанавливаемой программы Рисунок 8 – Выбор компьютера для установки 23 Изм . Лист № док ум. Подпись Дата ДП.09.02.02.ПЗ Лист Рисунок 9 – Процесс установки Рисунок 10 – список подконтрольных серверов Аналогичным образом производится установка антивируса и на клиентские машины (рисунки 11-14). Рисунок 11 – Распределение компьютеров 24 Изм . Лист № док ум. Подпись Дата ДП.09.02.02.ПЗ Лист Рисунок 12 – Добавление компьютеров в группу управления Рисунок 13 – Установка агента и антивируса Рисунок 14 – Список подконтрольны рабочих станций 25 Изм . Лист № док ум. Подпись Дата ДП.09.02.02.ПЗ Лист Настройки защиты по умолчанию являются оптимальным балансом за- щиты и производительности для компьютеров. Еще один этап защиты информации в локальной сети – это разграничение доступа к сетевым ресурсам. Чтобы создать разграничение, нужно зайти на файловый сервер, затем в «диспетчер серверов», перейти в «файловые службы и хранилища», и выбрать строку «общие ресурсы». Появится окно со всеми отображенными общими ресурсами. Следует выбрать нужный диск и правой клавишей мыши вызвать контекстное меню. В контекстном меню нажать кнопку «свойства», после чего появляется окно редактирования доступа. Чтобы можно было свободно редактировать права доступа, нужно отключить наследование разрешений (рисунок 15). Рисунок 15 – Отключение наследования разрешений Затем можно добавлять пользователя. Нажатие на кнопку «добавить» открывает окно добавления пользователя. Необходимо ввести имя пользователя или группы, после этого нажать на кнопку «проверить имена», если пользователь или группа будут найдены, система подчеркнет имя (рисунок 16). 26 Изм . Лист № док ум. Подпись Дата ДП.09.02.02.ПЗ Лист Рисунок 16 – Добавление пользователя После успешного добавления пользователя, нужно настроить его разрешения, установив галочки напротив определенных пунктов (рисунок 17). Рисунок 17 – Установление разрешений После настройки разрешений для пользователей, производится проверка установленных разрешений на рабочих станциях. В данном случае пользователь может подключаться к сетевому диску, просматривать его содержимое, но производить удаление, перемещение и редактирование файлов не может. Подключаемся к сетевому диску и проверяем разрешение (рисунки 18–19). 27 Изм . Лист № док ум. Подпись Дата ДП.09.02.02.ПЗ Лист Рисунок 18 – Подключение к сетевому диску Рисунок 19 – Проверка разрешения Как показано на рисунке, разрешения работают, и пользователь не может сделать никаких манипуляций кроме чтения [6]. Ещё одним средством защиты компьютерной сети является firewall. Настройка firewall будет производиться в среде Traffic Inspector. Чтобы настроить firewall в среде traffic inspector, нужно перейти в раздел «Правила», который нахо- дится в навигационном меню слева (рисунок 20). 28 Изм . Лист № док ум. Подпись Дата ДП.09.02.02.ПЗ Лист Рисунок 20 – раздел «Правила» программы Traffic Inspector Далее откроется мастер создания правила для межсетевого экрана. В нем необходимо прописать имя правила, указать протокол на которое оно будет дей- ствовать, направление трафика, действие которое будет предпринимать программа в отношении данного трафика и ip адрес. Если поле ip адреса, в отношении кото- рого будет действовать правило оставить пустым, то по умолчанию правило при- меняется ко всем адресам (рисунки 21-27). Рисунок 21 – Запись имени правила 29 Изм . Лист № док ум. Подпись Дата ДП.09.02.02.ПЗ Лист Рисунок 22 – Указание действия Рисунок 23 – Обозначение направления трафика Рисунок 24 – Назначение ip адреса для правила 30 Изм . Лист № док ум. Подпись Дата ДП.09.02.02.ПЗ Лист Рисунок 25 – Указание рабочего протокола Рисунок 26 – Назначение портов Рисунок 27 – Указание типа трафика После этого в список сетевого экрана добавится правило. Чтобы его про- смотреть нужно в левом навигационном меню развернуть пункт «Правила» [3] и 31 Изм . Лист № док ум. Подпись Дата ДП.09.02.02.ПЗ Лист выбрать строку «Просмотреть правила межсетевого экрана» (рисунок 28). Рисунок 28 – Вход в правила межсетевого экрана Теперь можно просмотреть настроенное правило, и добавить остальные (ри- сунок 29). Рисунок 29 – Правила межсетевого экрана 32 Изм . Лист № док ум. Подпись Дата ДП.09.02.02.ПЗ Лист 2.6 Настройка технического обеспечения 2.6.1 Настройка сервера Производится настройка сервера. Первым делом нужно произвести объеди- нение сетевых интерфейсов. Для этого нужно открыть диспетчер серверов, перейти в настройки локального сервера, и выбрать пункт «объединение сетевых интерфей- сов» (рисунок 30-31). Рисунок 30 – Диспетчер серверов Рисунок 31 – Настройки локального сервера Далее необходимо выбрать один из нужных интерфейсов, нажать на него правой клавишей мыши, и в контекстном меню выбрать пункт «Добавить в новую 33 Изм . Лист № док ум. Подпись Дата ДП.09.02.02.ПЗ Лист группу» (рисунок 32). Рисунок 32 – Добавление интерфейса в группу Затем откроется меню, в котором необходимо выбрать интерфейсы, кото- рые нужно объединить (рисунок 33). Рисунок 33 – Выбор портов Так как коммутаторы в сети агрегируют порты по протоколу LACP [8], то в настройках объединения портов тоже нужно указать протокол LACP. В дополни- тельных свойствах, в пункте «Режим поддержки групп» стоит выбрать пункт «LACP» (рисунок 34). 34 Изм . Лист № док ум. Подпись Дата ДП.09.02.02.ПЗ Лист Рисунок 34 – Установка режима поддержки групп После всех настроек необходимо нажать «ОК». Запустится процесс объеди- нения портов. Если все порты данной группы подключены правильно, и средства диагностики не выявят ошибок, состояние объединенных портов будет обозна- чаться как «Активный» (рисунок 35). Рисунок 35 – Завершение объединения портов После успешного объединения, нужно присвоить объединенному порту IP адрес (рисунки 36-38). 35 Изм . Лист № док ум. Подпись Дата ДП.09.02.02.ПЗ Лист Рисунок 36 – Параметры адаптеров Рисунок 37 – Изменение свойств объединенного порта Рисунок 38 – Присвоение IP адреса Аналогичным образом присваиваем IP адреса другим портам. 36 Изм . Лист № док ум. Подпись Дата ДП.09.02.02.ПЗ Лист 2.6.2 Настройка рабочих станций Настройка рабочих станций. Все, что нужно для настройки рабочей станции – это ввести её в домен. При вводе в домен, рабочая станция попадает под действие групповых политик Active Directory и настраивается сервером в зависимости от полномочий учетной записи, под которой заходит в компьютер пользователь. Для ввода рабочей станции в домен, нужно перейти в свойства компьютера и нажать на кнопку «Изменить параметры» (рисунок 39). Рисунок 39 – Свойства компьютера В параметрах компьютера нужно выбрать пункт «Изменить» (рисунок 40). Рисунок 40 – Изменение параметров компьютера В открывшемся меню нужно поставить галочку напротив пункта «Домена» и ввести в строку название домена, нажать «ОК» (рисунок 41). 37 Изм . Лист № док ум. Подпись Дата ДП.09.02.02.ПЗ Лист Рисунок 41 – Ввод имени домена Система запросит пароль. Необходимо ввести пароль системного админи- стратора (рисунок 42). Рисунок 42 – Ввод пароля Если введенные данные верны, и соединение установлено, должна высве- титься надпись «Добро пожаловать в домен». После нужно перезагрузить компью- тер и войти под доменной учетной записью (рисунок 43). Рисунок 43 – Успешное введение в домен 38 Изм . Лист № док ум. Подпись Дата ДП.09.02.02.ПЗ Лист 2.6.3 Настройка сетевого оборудования Прежде чем приступать к настройке сетевого оборудования, нужно сначала определить его задачи: – ограничение скорости трафика на портах; – обнаружение логических петлей в портах; – производить агрегацию каналов; – предотвращать подключение неопознанных устройств. Рассмотрим ограничение скорости на портах коммутатора на примере глав- ного свитча на 3 этаже. На 6 портах выставим скорость в 1гбит\с, 4 из которых будут выделены для агрегации, 2 порта выделены для подключения компьютерных классов. На остальных портах скорость будет равна 100мбит\с. Для этого переходим в режим конфигурации, затем в режим конфигурации выбранных интерфейсов SNR-3# conf t SNR-3(config)# interface ethernet 1/0/1-7 Команда «speed-duplex force1g-full» принудительно переводит указанные интерфейсы в режим передачи со скоростью 1000мбит\с в полнодуплексном ре- жиме. SNR-3(config-if-eth 1/0/1-7)# speed-duplex force1g-full Команда «speed-duplex force100-full» принудительно переводит указанные интерфейсы в режим передачи со скоростью 100мбит\с в полнодуплексном ре- жиме. Производим агрегирование портов. Агрегирование портов - это процесс объединения нескольких портов с одинаковой конфигурацией и для использования их логически в качестве одного физического порта (Port-Channel), что позволяет суммировать полосу пропускания в одном логическом линке и использовать резер- вирование. Для агрегации портов на коммутаторах SNR используется Port-Group, который должен быть создан и добавлен на порты для работы их как часть одного 39 Изм . Лист № док ум. Подпись Дата ДП.09.02.02.ПЗ Лист Port-Channel. Для создания и корректной работы порты-члены интерфейса Port- Channel должны работать в дуплексном режиме (full-duplex) и иметь одинаковую конфигурацию. После объединения физические порты могут конфигурироваться одновременно как один логический интерфейс Port-channel. Агрегация портов будет настраиваться с использованием протокола LACP. LACP (Link Aggregation Control Protocol) - протокол агрегирования каналов, опи- санный в стандарте IEEE 802.3ad. LACP использует LACPDU сообщения для об- мена информацией с соседней стороной. После включения LACP порт посылает LACPDU, уведомляя ответную сторону о приоритете и MAC адресе системы, при- оритете и адресе порта, и ключе операции. Когда ответный порт получает эту ин- формацию, он сравнивает её с информацией о своих портах, настроенных на агре- гацию. Таким образом обе стороны достигают соглашения о включении или ис- ключении порта из динамической группы агрегации. В режиме конфигурации интерфейса командой «switchport mode «hybrid». 7 портов нужно перевести в режим «trunk», для дальнейшей настройки агрегации портов, остальные переводятся в режим «access». В режиме глобальной конфигурации прописываем команды: SNR-3(config)# interface ethernet 1/0/1-7 SNR-3(config-if-eth1/0/1-7)# switchport mode trunk SNR-3(config-if-eth1/0/1-3)# interface ethernet 1/0/7-24 SNR-3(config-if-eth1/0/8-24)# switchport mode access SNR-3(config-if-eth1/0/4-24)#exit Теперь необходимо создать портовые группы и прописать режим согласо- вания. Все этажные коммутаторы будут переведены в режим active, центральный коммутатор, и коммутаторы в компьютерных классах – в режим passive. Режим со- гласования портов по протоколу LACP не играет особого значения в общении ком- мутаторов между собой, главное, чтобы соседние коммутаторы работали в разных режимах согласования. SNR-3(config)#interface ethernet 1/0/1-3 40 Изм . Лист № док ум. Подпись Дата ДП.09.02.02.ПЗ Лист SNR-3(Config-If-Port-Range)#port-group 1 mode passive SNR-3(Config-If-Port-Range)#exit SNR-3(config)#interface ethernet 1/0/4-5 SNR-3(Config-If-Port-Range)#port-group 2 mode passive SNR-3(Config-If-Port-Range)#exit SNR-3(config)#interface ethernet 1/0/6-7 SNR-3(Config-If-Port-Range)#port-group 3 mode passive SNR-3(Config-If-Port-Range)#exit Аналогичным образом агрегирование настраивается на других коммутато- рах. Далее производится настройка Port security. Port-Security - механизм обеспечения безопасности и контроля доступа ос- нованный на контроле изучаемых MAC-адресов. Может использоваться как допол- нение существующей аутентификации 802.1x и аутентификации MAC. Port-security контролирует доступ неавторизованных устройств к сети, проверяя MAC-адрес ис- точника принятого кадра и доступ к неавторизованным устройствам, проверяя MAC-адрес назначения отправленного кадра. Если функционал port-security настроен на портах коммутатора, при получении кадра с неверным MAC-адресом, коммутатор запускает заданную пользователем функцию защиты порта и автома- тически выполняет заданное действие[12]. Чтобы грамотно настроить Port-Security, необходимо создать базу MAC- адресов всего оборудования и поочередно настраивать каждый порт коммутатора. Таким образом никто из посторонних, не сможет подключиться к сети организации через коммутатор. Настройка Port-Security для порта производится следующими командами: SNR-3(config)#interface Ethernet 1/0/1-1/0/24 SNR-3(config-if-range)#switchport port-security SNR-3(config-if-range)#switchport port-security mac-address sticky SNR-3(config-if-range)#switchport port-security violation shutdown SNR-3(config-if-range)#switchport port-security maximum 1 SNR-3(config-if-range)#exit 41 Изм . Лист № док ум. Подпись Дата ДП.09.02.02.ПЗ Лист С такими настройками, при первом подключении к коммутатору компью- тера, или другого устройства, коммутатор запомнит его MAC-адрес и в случае его изменения – отключит порт. Петля коммутации (loopback) - состояние в сети, при котором коммутатор принимает кадры, отправленные им же. При получении кадра впервые, коммутатор добавляет MAC адреса источника в таблицу, создавая соответствие с тем портом, на котором был получен кадр. Следующий кадр с данным мак-адресом получателя будет отправлен на порт в соответствии с таблицей. Когда MAC-адрес источника уже изучен коммутатором, но кадр тем же MAC-адресом получен через другой порт, коммутатор меняет соответствие для MAC-адреса в таблице. В результате, если на порту существует петля, из-за наличия широковещательных и многоадрес- ных кадров может произойти не только лавинный рост количества таких кадров - все MAC-адреса в пределах L2 сегмента сети будут изучены на порту с петлей, что вызовет потерю работоспособности сети. Избежать возникновения петель комму- тации поможет функция Loopback detection. С её помощью порт с петлей будет ав- томатически заблокирован, а коммутатор может послать уведомление в систему мониторинга для своевременного обнаружения петли администратором. Настроить функцию loopback detection можно с помощью следующих команд: SNR-3(config)#loopback-detection interval-time 35 15 SNR-3(config)#interface ethernet 1/0/1 SNR-3(Config-If-Ethernet1/0/1)#loopback-detection control block SNR-3(Config-If-Ethernet1/0/1)# loopback-detection trap enable С таким настройками, коммутатор при обнаружении петли на портах, будет их автоматически выключать и отправлять отчет системному администратору. Аналогичные настройки проводятся и на остальных коммутаторах. |