Дипломный проект_1. В. В. Столяров Н. Б. Пономарев 2019 г

Лист
48
ЮУрГУ-09.03.01.797.2019. ПЗ
Рисунок 2.9 – Настройка DNS-сервера
На странице приветствия мастера настройки DNS-сервера нажать кнопку
«Далее» (Рисунок 2.10).
Рисунок 2.10 – Мастер настройки

Лист
49
ЮУрГУ-09.03.01.797.2019. ПЗ
Выбрать пункт «Создать зоны прямого и обратного просмотра
(рекомендуется для больших сетей)» и нажать кнопку «Далее» (Рисунок 2.11).
Рисунок 2.11 – Создание зоны прямого и обратного просмотра
Выбрать пункт
«Да, создать зону прямого просмотра сейчас
(рекомендуется)», затем нажать «Далее», (Рисунок 2.12).

Лист
50
ЮУрГУ-09.03.01.797.2019. ПЗ
Рисунок 2.12 – Создание «Зоны прямого просмотра»
Тип зоны «Основная зона», установить галочку напротив «Сохранять зону в
Active Directory», затем нажать «Далее» (Рисунок 2.13).
Рисунок 2.13 – Сохранение зоны в Active Directory
Выбрать пункт «Для всех DNS-серверов, работающих на контроллерах домена в этом домене», затем нажать «Далее» (Рисунок 2.14).

Лист
51
ЮУрГУ-09.03.01.797.2019. ПЗ
Рисунок 2.14 – Для всех DNS-серверов
Ввести имя зоны, затем нажать «Далее» (Рисунок 2.15).
Рисунок 2.15 – Имя зоны

Лист
52
ЮУрГУ-09.03.01.797.2019. ПЗ
Выбрать нужный тип динамического обновления «Разрешить только безопасные динамические обновления», либо «Запретить динамические обновления», затем нажать «Далее» (Рисунок 2.16).
Рисунок 2.16 – Разрешение только безопасного динамического обновления
Выбрать пункт «Да, создать зону обратного просмотра сейчас» и нажать
«Далее» (Рисунок 2.17).

Лист
53
ЮУрГУ-09.03.01.797.2019. ПЗ
Рисунок 2.17 – Создание «Зона обратного просмотра»
Выбрать тип зоны «Основная зона», установить галочку напротив
«Сохранять зону в Active Directory», затем нажать «Далее» (Рисунок 2.18).

Лист
54
ЮУрГУ-09.03.01.797.2019. ПЗ
Рисунок 2.18 – Сохранение зоны в Active Directory
Выбрать пункт «Для всех DNS-серверов, работающих на контроллерах домена в этом домене», затем нажать «Далее» (Рисунок 2.19).
Рисунок 2.19 – Для всех DNS-серверов
Выбрать пункт «Зона обратного просмотра IPv-4», затем нажать «Далее»
(Рисунок 2.20).

Лист
55
ЮУрГУ-09.03.01.797.2019. ПЗ
Рисунок 2.20 – Зона обратного просмотра IPv4
Установить идентификатор сети для зоны обратного просмотра и нажать
«Далее» (Рисунок 2.21).
Рисунок 2.21 – Идентификатор сети

Лист
56
ЮУрГУ-09.03.01.797.2019. ПЗ
Выбрать «Запретить динамические обновления», затем нажать «Далее»
(Рисунок 2.22).
Рисунок 2.22 – Запрет на динамическое обновление
В настройках пересылки выбрать пункт «Нет, не пересылать запросы», затем нажать «Далее» (Рисунок 2.23).

Лист
57
ЮУрГУ-09.03.01.797.2019. ПЗ
Рисунок 2.23 – Запрет на пересылку запросов
Для сохранения выбранных параметров настройки нажать «Готово».
Рисунок 2.24 – Сохранение выбранных параметров

Лист
58
ЮУрГУ-09.03.01.797.2019. ПЗ
2.8 Настройка Proxy-сервера
Kerio Control – новая версия достаточно старого и заслужившего широкую известность продукта Kerio WinRoute Firewall. Эта программа позиционировалась на рынке в первую очередь как корпоративный брандмауэр, надежное средство защиты интернет-шлюза от всех видов внешних угроз. Тем не менее, в ней реализован полноценный прокси-сервер, позволяющий организовать групповую работу сотрудников компании в Интернете. Фактически, Kerio Control полноценное решение, которое позволяет организовать интернет-шлюз и обезопасить его от вирусов и атак. Окно программы показано на рисунке 2.25.
Рисунок 2.25 – Окно программы
Начинать разбор продукта Kerio Control стоит с его возможностей по защите корпоративной сети. В первую очередь стоит отметить, конечно же, антивирус. У рассматриваемой программы есть версия со встроенным антивирусным модулем
Sophos, который может контролировать трафик, передаваемый по протоколам
SMTP, POP3, HTTP и FTP. Помимо этого, Kerio Control может использовать и внешние антивирусы от известных производителей. Стоит отметить, что работать

Лист
59
ЮУрГУ-09.03.01.797.2019. ПЗ они могут как отдельно друг от друга, так и совместно, обеспечивая последовательную проверку всей информации. Есть в Kerio Control и полноценный файрволл, работающий на уровне приложений. Он позволяет задавать гибкие политики контроля входящего и исходящего трафика. Стоит отметить, что файрволл имеет сертификат ICSA Labs. И хотя этот сертификат в нашей стране формально не дает продукту никаких преимуществ, его наличие говорит о качестве программы и надежности предоставляемой ею защиты.
Из дополнительных инструментов обеспечения безопасности в Kerio Control есть система предотвращения вторжений (IPS) и VPN-сервер. Первый модуль защищает корпоративную информационную систему в целом и интернет-шлюз в частности от различного типа атак. Для этого в нем есть такие механизмы, как сигнатурный анализ пакетов данных, база данных правил безопасности, черный список IP-адресов и пр. VPN-сервер может использоваться для создания
VPN-туннелей между удаленными офисами компании, а также безопасного подключения сотрудников к корпоративной сети через интернет. Также в Kerio
Control существует система фильтрации по MAC-адресам, которая позволяет уменьшить риск несанкционированного использования подключения к Интернету.
Особого упоминания заслуживает реализованная в рассматриваемом продукте технология Kerio Web Filter. Суть ее заключается в блокировании доступа к сайтам по категориям. Она позволяет, например, запретить просмотр социальных сетей, проектов с содержанием для взрослых и пр. Всего, база данных разбита на 53 категории, а ее поддержкой занимается компания Kerio.
Что касается организации работы пользователей, то здесь возможности Kerio
Control не столь широки. Впрочем, и их вполне достаточно для комфортного использования. Начать нужно с того, что в рассматриваемом продукте есть все необходимое для построения производительного интернет-шлюза. Организовать коллективную работу сотрудников можно как с помощью обычного прокси- сервера, так и с использованием технологии NAT. Кроме того, в Kerio Control

Лист
60
ЮУрГУ-09.03.01.797.2019. ПЗ реализованы некоторые дополнительные возможности, например, DHCP-сервер, который позволяет организовать работу в небольших сетях.
Важной особенностью Kerio Control являются функции по увеличению эффективности работы в Интернете. К ним относится восстановление связи при обрыве, автоматическое переключение на резервный канал при необходимости, одновременное использование нескольких подключений к глобальной сети с распределением нагрузки между ними. В плане управления пользователями рассматриваемый продукт обеспечивает все необходимые возможности. Это и интеграция с Active Directory, и установка лимитов на потребляемый сотрудниками трафик, и полный мониторинг использования Интернета, и многое, многое другое.
Таким образом, Kerio Control – полноценное решение для организации интернет-шлюза, в котором есть все необходимое для организации коллективной работы сотрудников в Интернете, однако основной упор сделан на безопасность локальной сети [21].
2.9 Настройка рабочих станций
До проектирования ЛВС организации ООО «Кварц Групп» рабочие компьютера расположенные в производственных цехах были не настроены и не подключены к ЛВС организации. Следовательно, при объединении сети в единую была выполнена настройка рабочих мест. А именно, настроена учетная запись пользователей и права на сервере, подключены корпоративно доступные ресурсы организации с правами на внесение изменений и возможностью удаления.
2.10 Настройка коммутатора
VLAN – логическая («виртуальная») локальная сеть, представляет собой группу хостов с общим набором требований, которые взаимодействуют так, как

Лист
61
ЮУрГУ-09.03.01.797.2019. ПЗ если бы они были подключены к широковещательному домену, независимо от их физического местонахождения. VLAN имеет те же свойства, что и физическая локальная сеть, но позволяет конечным станциям группироваться вместе, даже если они не находятся в одной физической сети. Такая реорганизация может быть сделана на основе программного обеспечения вместо физического перемещения устройств.
Port-Base VLAN – представляет собой группу портов или порт в коммутаторе, входящий в один VLAN. Порты в таком VLAN называются не помеченными (не тегированными), это связанно с тем, что кадры приходящие и уходящие с порта не имеют метки или идентификатора. Данную технологию можно описать кратко – VLAN’ы только в коммутаторе. Эту технологию будем рассматривать на управляемом коммутаторе D-link DGS-1100-24.
IEEE 802.1Q – открытый стандарт, который описывает процедуру тегирования трафика для передачи информации о принадлежности к VLAN. Для этого, в тело фрейма помещается тег, содержащий информацию о принадлежности к VLAN’у. Т.к. тег помещается в тело, а не в заголовок фрейма, то устройства, не поддерживающие VLAN, пропускают трафик прозрачно.
Создание VLAN на D-link DGS-1100-24.
Два коммутатора, один из них D-link DGS-1100-24, к нему подключен коммутатор №2. В коммутатор №2 подключены компьютеры пользователей, абсолютно всех, а также сервера, шлюз по умолчанию и сетевое хранилище, окно программы представлено на рисунке 2.26.

Лист
62
ЮУрГУ-09.03.01.797.2019. ПЗ
Рисунок 2.26 – Окно программы
Выбрать пункт «Настройки», откроется окно настройки коммутатора. После задания адреса, маски и шлюза, пишем пароль, который по умолчанию «admin»
(Рисунок 2.27).
Рисунок 2.27 – Окно настройки коммутатора

Лист
63
ЮУрГУ-09.03.01.797.2019. ПЗ
После подключиться на Web-интерфейсе устройства и перейти в ветку VLAN
– Port-Based VLAN. На картинке 2.28 виден уже созданный VLAN, создадим еще один.
Рисунок 2.28 – Ветка VLAN - Port-Based VLAN
Выполнить настройки, нажать «Add VLAN» и назначить имя VLAN и порты.
Рисунок 2.29 – Имя VLAN
Рисунок 2.30 – Сохранение имени VLAN

Лист
64
ЮУрГУ-09.03.01.797.2019. ПЗ
После создания необходимых VLAN, сохранить настройки «Save», «Save configuration».
Рисунок 2.31 – Сохранение конфигурации
Итак, видно, что VLAN 3 не имеет доступа к портам 01-08, 15-24 – следовательно, не имеет доступ к серверам, шлюзу, сетевому хранилищу, к VLAN
2 и остальным клиентам – которые подключены к коммутатору №2. Тем не менее
VLAN 2 имеет доступ к серверам, шлюзу, сетевому хранилищу, но не имеет доступа к остальным машинам.
2.11 Настройка Ubiquiti NanoStation M2
Для процедуры подключения и начала процесса настройки NanoStation2 требуется подключить прибор. Для этого следует с помощью одного провода связать роутер, подключенный к компьютеру, с блоком питания M2 NanoStation, а другим проводом произвести подключение порта Main с гнездом POE блока, как показано на рисунке 2.32.

Лист
65
ЮУрГУ-09.03.01.797.2019. ПЗ
Рисунок 2.32 – Процедура подключения
Для Ubiquiti NanoStation M2 настройка сетевой карты компьютера осуществляется так же, как и для модели Локо. Наиболее надежным вариантом при процедуре настройки является проводное соединение, а не по Wi-Fi. Поэтому далее будет рассматривать вариант подключения по кабелю роутера с компьютером. Настройка состоит из следующих последовательных этапов действий.
Войти в «Панель управления». Перейти во вкладку «Центр управления сетями и общим доступом» (Рисунок 2.33).
Рисунок 2.33 – Панель управления

Лист
66
ЮУрГУ-09.03.01.797.2019. ПЗ
Затем, в следующем отобразившемся меню открыть закладку «Изменение параметров адаптера» (Рисунок 2.34).
Рисунок 2.34 – Закладка «Изменение параметров адаптера»
После выполненной работы вызвать контекстное меню от «Подключение по локальной сети».
Рисунок 2.35 – Подключение по локальной сети
Вызвать меню «Свойства», далее перейти в закладку «Сеть» и выделить
«Протокол Интернета версии 4», нажать «Свойства» (Рисунок 2.36).

Лист
67
ЮУрГУ-09.03.01.797.2019. ПЗ
Рисунок 2.36 – Подключение по локальной сети – свойство
Выполнить следующие настройки:
– «Использовать следующий IP»;
– «IP» – 192.168.1.21;
– «Маска» – 255.255.255.0.
Вводим параметры для точки доступа. Алгоритм последовательных действий состоит из следующих шагов. В строке ввода адресов интернет-обозревателя ввести «192.168.1.20», выполнить «Ввод», далее в окошке авторизации напечатать в обеих графах логина и кода:
– доступ «udnt»;
– «ОК».
Примечание: если имя и пароль не сработали, то потребуется произвести сброс параметров устройства. Для этого следует воспользоваться специальной кнопкой «Reset» на корпусе прибора. Нажать на нее и удерживать

Лист
68
ЮУрГУ-09.03.01.797.2019. ПЗ продолжительностью 15 секунд. После выполненной процедуры, вновь будут действовать параметры авторизации, установленные производителем аппарата:
– перейти в закладку wireless, где указать в первом пункте «access point»;
– в «ssid» ввести наименование;
– из выпадающего меню графы «coutry code» выбрать страну
(месторасположение прибора);
– указать вид шифрования, например, «wpa2-aes» (в зависимости от функциональных возможностей применяемых пользователем девайсов);
– напечатать код доступа к сети;
– кликнуть кнопку «change»;
– ввести параметры для режима «мост»;
– войти в закладку «network»;
– установить отметку на «dhcp» в разделе «bridge ip»;
– затем последовательно кликнуть «change» и в следующем окошке – «apply»;
– запустить «панель управления»;
– войти в раздел «центр управления сетями и общим доступом»;
– указать «подключение по локальной сети»;
– кликнуть «свойства»;
– выделить «протокол интернета версии 4»;
– вновь кликнуть «свойства»;
– в отобразившемся меню в закладке «общие» поставить отметку на пункте присвоения «IP» в автоматическом режиме;
– нажать кнопку «ОК».
Для нахождения IP-станции необходимо установить в персональный компьютер специальное приложение «Device Discovery Tool». Затем, сразу после запуска программы, она произведет автоматический поиск IP и выведет его на монитор. Любые корректировки параметров должны быть доступны только владельцу устройства, поэтому необходимо знать, как его менять. С этой целью потребуется выполнить лишь несколько шагов:

Лист
69
ЮУрГУ-09.03.01.797.2019. ПЗ
– войти в раздел «system»;
– перейти в закладку «administrative account», где напечатать самостоятельно придуманный сложный код доступа;
–кликнуть «change» для сохранения корректировок;
– в последнем окошке щелкнуть «apply».
Теперь безопасность сети обеспечена, и точка доступа функционирует.
2.12 Тестирование ЛВС организации
Выполнив установку и настройку оборудования сети необходимо произвести тестирование. Для выполнения данной задачи необходимой воспользоваться встроенной в состав операционной команды «Ping». Команда «Ping» позволяет оправлять пакеты информации заданной длины и фиксировать время отклика удаленной системы, а также целостность информации. Тестовая служба «Ping» взаимодействует напрямую с сетевой картой на уровне протокола TCP/IP, поэтому вне зависимости от того, настроены ли параметры доступа и дополнительные службы, «Ping» систему увидит.
Для тестирования ЛВС необходимо запустить командную строку «cmd».
По умолчанию программа передает 4 пакета по 32 байт каждый, что недостаточно для объективного тестирования сети, так как система отчитается об успешном результате даже при очень низком качестве сигнала. Данная команда подойдет только для того, чтобы определить, есть ли связь с тем или иным узлом.
Для тестирования качества связи запустить «Ping» со следующими параметрами:
– ping.exe -l 16384 -w 5000 -n 100 10.197.144.35.
Это обеспечит отправку 100 запросов по 16 килобайт на заданный IP-адрес с интервалом ожидания равным 0,5 секунды (Рисунок 2.37).

Лист
70
ЮУрГУ-09.03.01.797.2019. ПЗ
Рисунок 2.37 – Окно тестирования сети
Если по результатам тестирования дойдут все пакеты и потери составят:
– не более 3% – сеть работает стабильно;
– 3-10% – сеть работает благодаря алгоритмам коррекции ошибок;
– 10-15% – работа сети не стабильна, необходимо проводить работы по устранению неисправности.
Результаты выполненного тестирования проведены на рисунке 2.38.
Рисунок 2.38 – Результаты тестирования
Тестирования проводилось на более удаленном рабочем месте в ЛВС организации с целью прохождения сигнала по всем установленному оборудованию в сети. Отображение точной информации о работоспособности используемого оборудования продемонстрированно на рисунке 2.38.
По результатам тестирования:
– процент потери информации = 0%;
– среднее время передачи = 4 миллисекунды.

Лист
71
ЮУрГУ-09.03.01.797.2019. ПЗ
Выводы по разделу два:
В рассматриваемом разделе был произведен выбор и обоснование требуемого оборудования, соответствующие выявленным требованиям выполнения проекта
ЛВС организации ООО «Кварц Групп». Произведен выбор и установка на рабочих местах программного обеспечения и выполнена его настройка.
Произведен монтаж структурированной кабельной системы организации по объединению ЛВС в расположенных на расстояние друг от друга зданиях по технологии беспроводного соединения. Проведена настройка и тестирование ЛВС.

Лист