Курсовая работа / Методичка 2019 (из неё можно копировать текст)
.pdfФЕДЕРАЛЬНОЕ АГЕНТСТВО СВЯЗИ Федеральное государственное образовательное бюджетное учреждение высшего профессионального образования «САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ТЕЛЕКОММУНИКАЦИЙ
им. проф. М. А. БОНЧ-БРУЕВИЧА»
М.М. Ковцур
Безопасность беспроводных ло- кальных сетей
МЕТОДИЧЕСКИЕ УКАЗАНИЯ К ВЫПОЛНЕНИЮ КУРСОВОМУ ПРОЕКТУ
(редакция 2)
СПбГУТ)))
САНКТ-ПЕТЕРБУРГ
2020
|
|
|
|
Оглавление |
|
1. ВВЕДЕНИЕ.............................................................................................................................. |
|
|
|
3 |
|
2. ЗАДАНИЕ. Безопасность беспроводных ло-кальных сетей .................................... |
4 |
||||
3. ИСХОДНЫЕ ДАННЫЕ.......................................................................................................... |
|
8 |
|||
4. УКАЗАНИЯ К ВЫПОЛНЕНИЮ КП .................................................................................... |
9 |
||||
4.1. Модель сети |
|
|
|||
4.2. STP Toolkit |
....................................................................................................................................... |
|
9 |
||
4.3. |
|
|
....................................................................................................................................... 10 |
||
|
Отказоустойчивость на уровне распределения |
|
|||
|
|
|
|
HSRP ..................................................... |
12 |
4.3.1. Принцип действия |
........................................................................................ |
13 |
|||
4.4. Порты доступа................................................................................................................................. |
|
14 |
|||
4.5. LocalVLAN |
|
|
|
|
|
|
|
OSPF |
|
|
|
4.6. Протокол |
......................................................................................................................................... |
|
|
14 |
|
|
|
|
.............................................................................................................................. |
|
15 |
4.6.1. Описание настройки (общие принципы) .............................................................. |
16 |
||||
4.7. Распределение подсети в филиалах .................................................................................... |
17 |
||||
4.8. Трафик мониторинга и управления .................................................................................... |
18 |
||||
4.9. Многофункциональные устройс тва М ФУ) .................................................................... |
0 |
||||
4.10. Аутентификация пользователей ....................................................................................... |
1 |
||||
4.11. Покрытие сетью Wi– Fi. Пример расчета дизайна беспроводной сети |
|
||||
|
|
|
|
.......................................... |
25 |
4.15.1. Пример расчета для одного этажа головного офиса |
. 22 |
||||
4.12. База данных ActiveDirectory ............................................................................................. |
26 |
||||
4.13. Site Survey........................................................................................................................................ |
|
|
27 |
||
4.21.1. Пример расчета с помощью EkahauSiteSurvey................................................... |
28 |
||||
4.14. Присоединение филиалов к корпоративной ети .................................................... |
0 |
||||
ПРИЛОЖЕНИЕ 1 |
...................................................................................................................... |
|
|
31 |
|
ПРИЛОЖЕНИЕ 2 |
...................................................................................................................... |
|
|
42 |
2
1. ВВЕДЕНИЕ
Беспроводные технологии – одна из наиболее быстро и эффективно развивающихся областей IT-сферы. Беспроводные сети обладают огромны- ми преимуществами перед проводными технологиями. А именно: простота и скорость развертывания, низкие траты на реализацию и обслуживание, гибкость архитектуры, мобильность и высокая помехоустойчивость.
Современные локальные сети строятся с использованием технологий, предоставляющим сотрудникам неограниченные возможности в коммута- ционной среде компании:
∙Wi-Fi технологии передачи данных;
∙Программные сервисные приложения;
∙Видеоконференцсвязь;
∙Программные инструменты для совместной работы;
∙Средства видеосвязи.
Беспроводные сети обеспечивают доступ в реальном времени к сете- вым ресурсам в филиалах и удаленных офисах. Во всем мире стремительно растет потребность в беспроводных соединениях, особенно в сфере бизнеса и IT технологий. Пользователи с беспроводным доступом к сетевым ресур- сам работать с более высокой производительностью и эффективность, чем их коллеги, привязанные к проводным телефонным и компьютерным сетям.
Признавая большую значимость беспроводных сетей и Internet- технологий, как фундаментальных инструментов бизнеса, и стремясь повы- сить продуктивность сотрудников, организации во всех отраслях использу- ют технологию беспроводных локальных сетей (WLAN) для расширения возможностей действующих сетей. Беспроводные технологии обеспечивают возможность подключения к сети в любое время и в любом месте, что по- зволяет решить актуальную задачу повышения гибкости и мобильности со- трудников, а также создания дополнительных преимуществ при выборе пространства и методологии для работы. Все это способствует повышению качества труда, обуславливая повышение эффективности работы предпри- ятия в целом.
С ростом масштабов использования беспроводных локальных сетей (WLAN) вопросы сетевой безопасности приобретают для предприятий все большее значение. Сетевым администраторам необходимо обеспечить ко- нечным пользователям свободу и мобильность, при этом, не давая взломщи- кам доступа ни к самой сети WLAN, ни к информации, передаваемой по беспроводной сети.
3
2. ЗАДАНИЕ. Безопасность беспроводных ло-кальных сетей
Компания «SUT LLC» решила открыть офисы в РФ в СПб, Москве, Ар- хангельске и Казани, определив СПб местом для размещения головного офиса. Первоначальные данные, полученные от департаментов развития и HR, выглядят следующим образом:
Головной офис в СПб занимает отдельно стоящее 4-этажное здание, на первом этаже которого планируется расположение Reception Desk, а также конференц-зала и служебных помещений (в том числе серверных). На вто- ром и третьем этажах планируются кабинеты сотрудников (на каждом этаже 35 кабинетов площадью 50 м2 каждый), причем в каждом кабинете должны быть рабочие места для 6 сотрудников. На 4-м этаже располагается прием- ная генерального директора, а также кабинеты генерального директора, главного бухгалтера, директора по развитию, IT-директора, главного инже- нера и директора по персоналу.
Филиал в Москве занимает 2 этажа в бизнес-центре (параметры здания представлены в приложении 1). Этажи дублируются и имеют одинаковую структурук Площадь типовой комнаты составляет 250м2, если на схеме не указан масштаб или указанный масштаб не читается. Одно из помещений выделено для приемной и еще одно - кабинет директора филиала.
Остальные 2 филиала занимают по 5 помещений в бизнес-центрах (площадью 30 м2 каждое), из них 3 предназначены для сотрудников и одно для приемной и кабинета директора филиала.
Разработать дизайн корпоративной сети центрального офиса и филиа-
лов:
A.Изобразить структурную схему корпоративной сети головного офиса и филиалов;
B.Пояснить назначение всех функциональных узлов сети;
C.Рассчитать количество точек доступа (ТД) для центрального офиса и каждого филиала;
D.Провести все необходимые настройки в соответствии с ограниче- ниями, представленными IT-департаментом;
E.Обосновать выбор того или иного оборудования (с технической точки зрения) для каждого узла.
IT-департамент наложил следующие ограничения с целью сохранения целостного подхода к дизайну сети:
1.Для дизайна должна использоваться трехуровневая модель с сервер- ной фермой, расположенной в СПб.
2.На уровне доступа допускается использование только L2- коммутаторов.
4
3.Необходимо обеспечить отказоустойчивость на уровне распределе- ния. Выбрать соответсвующий протокол, аргументировать выбор.
4.На всех коммутаторах доступа используется STP Toolkit.
5.Все порты доступа должны работать со скоростью 1 Гбит/с.
6.«SUT Networks» предпочитает использовать модель «Local VLAN».
7.В качестве протокола маршрутизации должен использоваться OSPF.
8.В качестве IP-адресации должны использоваться адреса блока 172.16.0.0/16. При этом Московский филиал должен использовать адреса
вида
10.(G-1)*50+S. X.X, где
G - последняя цифра в номере группы студента (Например, для МБИ- 123 - G="3"),
S - порядковый номер студента по журналу, X - любое число.
9.Трафик управления и мониторинга должен быть отделен от осталь- ного трафика. Система мониторинга, как и все остальные системы управле- ния должны быть расположены в серверной ферме. Привести скриншоты с контроллера VWLC, относящиеся к настройке удаленного управления и мо- ниторинга.
10.На каждом этаже должны использоваться сетевые многофункцио- нальные устройства МФУ (принтер+сканер+копир).
11.В качестве корпоративной базы данных компании должна исполь-
зоваться Active Directory, установленная на Windows Server 2016. Все ос-
тальные базы должны синхронизироваться с AD.
12.Аутентификация пользователей должна проводиться с использова- нием стандарта 802.1Х.
13.Все здания должны иметь полное покрытие сетью IEEE 802.11ac.
Все точки доступа должны находиться под управлением отказоустойчивого контроллера, расположенного в серверной ферме. Должна обеспечиваться возможность эффективной работы с трафиком HD-видео, при использова- нии беспроводных устройств.
Для филиалов необходимо предоставить расчет по рекомендации ILO для трех вариантов трафика, с учетом Location Based сервисов. Расчет для Multicast провести для точек 3600, а также для любых, выбранных вами то- чек. Провести экономическую оценку всех предложенных вариантов, уче- том стоимости СКС и контроллера. Параметр устройств на человека вы- брать 2.8.
Необходимо предоставить расчет для трех вариантов трафика, допол- нительный расчет с учетом Location Based сервисов. Провести экономиче- скую оценку всех предложенных вариантов, с учетом стоимости СКС и кон- троллера. Расчет выполнить на точках 3600 и на любых выбранных вами точках Cisco. Сделать выводы. Параметр устройств на человека выбрать со- гласно таблице 1
5
Таблица 1. Выбор параметра устройств на человека
№ группы |
устройств |
|
на человека |
1 |
2,2 |
2 |
2,4 |
3 |
2,6 |
4 |
2,8 |
Выполнить расчет точек доступа. Нарисовать схему здания согласно варианту в масштабе 1м=0.5см или указать другой масштаб.
Рассчитать 4 варианта проекта
Только данные Данные + телефония
Данные + телефония + мультикаст
Данные + телефония + мультикаст+Location Based
Привести |
расчеты и расположение |
точек |
доступа включающие |
||
L1/L2/L3-диаграммы, расчеты и расположение точек доступа , а также план |
|||||
здания с указанием масштаба и расстановкой точек доступа по зданию. |
|
||||
Изобразить |
расстановку |
точек |
для |
проекта |
дан- |
ные+телефония+мультикаст+ Location Based. Учесть необходимость реали-
зации сервисов определения местоположения клиента с точностью до трех метров.
Рассчитать ориентировочную стоимость проекта, указать стоимость точек доступа и контроллера, оценить стоимость проводной сети.
Здание выбирать из Приложения 1 по варианту согласно формуле З=S mod 12
Где S порядковый номер по списку одного студента из бригады.
14. В офисе в Казани необходимо реализовать авторизацию пользова- телей беспроводной сети с применением протокола RADIUS. Все скриншо- ты, отражающие настройку, включить в курсовой.
15.Для всех офисов аргументировать выбор архитектуры Split-MAC или Flex Connect или другой. Описать особенности передачи трафика и вы- грузки трафика. Описать сценарии работы при обрыве WAN - линка между
офисами 16 Выполнить моделирование беспроводной сети на основе цифровой
карты в филиале в Москве в программе Ekahau Site Survey или аналогичной на основе расчета пункта 13, проверить обеспечение номатического WiFi. Обеспечить номатический WiFi в здании
6
17 Приуличный сектор здания филиала в Москве обеспечить Outdoor WiFi для проведения конференции. Обеспечить работу сервиса при высо- кой концентрации посетителей. Модель из трех секторов для конференции, вместимость каждого составляет 500 зрителей.
Описать применяемые точки доступа и антенны. Выполнить моделиро- вание беспроводной сети с учетом выбранных точек и антенн.
18 Описать критерии организации защищенной беспроводной сети се- мейства стандартов IEEE 802.11 . Описать реализацию критериев в рамках проектируемой сети. Привести скриншоты настройки указанного функцио- нала с WLC, а также алгоритм работы в рамках конкретного проекта. При- вести скриншоты базовых настроек для проектируемой беспроводной сети,
атакже аргументировать выбор этих настроек.
19.Филиалы должны быть присоединены к корпоративной сети с ис- пользованием отказоустойчивой топологии «точка-многоточка» (Hub-and spoke) с центром в СПб, однако следует учесть, что трафик между филиала- ми должен идти напрямую. Весь трафик между центральным офисом и фи- лиалами должен шифроваться.
Результатом работы должна стать пояснительная записка, подробно объясняющая все аспекты дизайна корпоративной сети, включающие
L1/L2/L3-диаграммы.
Присутствие примеров конфигурационных файлов не является обяза- тельным, но будет преимуществом при защите проекта.
7
3. ИСХОДНЫЕ ДАННЫЕ
Корпоративная сеть связывает центральный офис в Санкт-Петербурге с филиалами в Москве, Архангельске и Казани. Структура офисов представ- лена в таблице 1.
Таблица 1
|
Центральный офис – Санкт-Петербург |
||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
ReceptionDesk |
|||||||||||
|
1 этаж |
|
|
|
Конферен-зал |
||||||||||||
|
|
|
|
|
Служебные помещения (в том числе серверные) |
||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
2-3 этаж |
|
35 кабинетов по 50 м2 |
|||||||||||||||
|
Рабочие места 6 сотрудников в каждом кабинете |
||||||||||||||||
|
|
|
|
||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Приемная генерального директора, кабинеты генераль- |
|||||||||||||
|
4 этаж |
|
ного директора, главного бухгалтера, директора по раз- |
||||||||||||||
|
|
витию, IT-директора, главного инженера, директора по |
|||||||||||||||
|
|
|
|
||||||||||||||
|
|
|
|
персоналу. |
|||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Филиал №1 – Москва |
||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
2 этажа в бизнес-центре (параметры здания представле- |
|||||||||||||
|
|
|
|
ны в приложении 1). Площадь типовой комнаты состав- |
|||||||||||||
|
|
|
|
ляет 250м2, если на схеме не указан масштаб или указан- |
|||||||||||||
|
|
|
|
ный масштаб не читается. |
Одно из помещений первого |
|
|
||||||||||
2 этажа |
|
|
|
этажа выделено для приемной и еще одно второго - ка- |
|
|
|
|
|||||||||
(дублируются) |
|||||||||||||||||
|
|
|
|
бинет директора филиала. |
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
Схема этажей в соответствии с вариантом (приложение |
|||||||||||||
|
|
|
|
1). Оба этажа имеют одинаковую структуру. |
|
|
|
|
|||||||||
|
|
|
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
Филиал №2 – Архангельск |
|||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
5 помещений площадью 30 м2 |
|
|
|
||||||||
|
|
|
|
|
|
|
|
|
|
||||||||
|
1 этаж |
|
|
Рабочие места для 6 сотрудников в 3 помещенииях |
|||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
Одно помещение для приемной и одно - кабинета дирек- |
|
||||||||||||||
|
|
|
|
|
|||||||||||||
|
|
|
|
|
|
|
|
тора |
|
|
|||||||
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
Филиал №3 – Казань |
||||||||||||
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
|
5 помещений площадью 30 м2 |
|
||||||||||
|
|
|
|
|
|
|
|||||||||||
|
1 этаж |
|
|
Рабочие места для 6 сотрудников в 3 помещенииях |
|||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
Одно помещение для приемной и одно - кабинета дирек- |
|
||||||||||||||
|
|
|
|
|
|||||||||||||
|
|
|
|
|
|
|
|
тора |
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Схема этажа для филиала в Москве выбирается в соответствии с вари- антом (порядковый номер студента по журналу)
8
4. УКАЗАНИЯ К ВЫПОЛНЕНИЮ КП
4.1. Модель сети
Для дизайна должна использоваться трехуровневая модель с сервер- ной фермой, расположенной в СПб. На уровне доступа допускается исполь- зование только L2-коммутаторов.
Для дизайна сети используется стандартная трехуровневая модель (рис.1), которая включает в себя 3 уровня: доступ, распределение, ядро.
Уровень доступа управляет подключением пользователей и рабочих групп к ресурсам сети. Уровень распределения является связующим звеном между уровнями доступа и ядра. Уровень ядра является основным звеном в данной
топологии и отвечает за надежную и быструю передачу больших объемов данных. В случае типичных площадок (филиалов) из-за небольшого числа пользователей в качества ядра используется уровень распределения.
Рисунок 1. Трехуровневая архитектура сети
Основной задачей уровня доступа является создание точек вхо- да/выхода пользователей в сеть. Уровень доступа выполняет следующие функции:
∙управление доступом пользователей и политиками сети;
∙создание отдельных доменов коллизий (сегментация);
∙подключение рабочих групп к уровню распределения;
∙использование технологии коммутируемых локальных сетей.
На уровне распределения устанавливается политика сети, производится обеспечение возможности гибкого описания сетевых операций, а именно:
∙реализация инструментов, подобных спискам доступа, фильтрации пакетов или механизму запросов;
∙реализация системы безопасности и сетевых политик, включая транс- ляцию адресов и установку брандмауэров;
9
∙перераспределение между протоколами маршрутизации, включая ис- пользование статических путей;
∙маршрутизация между сетями VLAN и другие функции поддержки рабочих групп;
∙определение доменов широковещательных и многоадресных рассы-
лок.
Самым верхним уровнем является уровень ядра. Он отвечает за быст- рую и надежную пересылку больших объемов трафика. Главным задачей этого уровня является быстрая коммутация трафика. Для небольших сетей уровни распределения и ядра могут быть объединены с целью снижения за- трат и общего числа устанавливаемых устройств. Такой подход получил на-
звание Collapsed core.
4.2. STP Toolkit
На всех коммутаторах доступа используется STP Toolkit. Требуется выбрать один из протоколов, аргументировать выбор, описать основные на- стройки и принцип действия.
STP (Spanning Tree Protocol) — сетевой протокол (или семейство сете- вых протоколов) предназначенный для автоматического удаления циклов (петель коммутации) из топологии сети на канальном уровне в Ethernet- сетях.
Протокол Rapid Spanning Tree Protocol (RSTP) является развитием про-
токола STP. Он был разработан для преодоления отдельных ограничений протокола STP, связанных с его производительностью. Протокол RSTP зна- чительно ускоряет время сходимости коммутируемой сети за счет мгновен- ного перехода корневых и назначенных портов в состояние продвижения.
Протокол Multiple Spanning Tree Protocol (MSTP), являющийся расши-
рением протокола RSTP, преодолевает это ограничение. В дополнение к
обеспечению быстрой сходимости сети он позволяет настраивать отдельное связующее дерево для любой VLAN или группы VLAN, создавая множество маршрутов передачи трафика и позволяя осуществлять балансировку на- грузки. Протокол MSTP делит коммутируемую сеть на регионы MST (Multiple Spanning Tree (MST) Region), каждый из которых может содержать множество копий связующих деревьев (Multiple Spanning Tree Instance, MSTI) с независимой друг от друга топологией. Другими словами, регион MST, представляющий собой набор физически подключенных друг к другу коммутаторов, делит данную физическую топологию на множество логиче- ских.
Компания Cisco Systems имеет свою проприетарную реализацию про-
токола STP — PVST (Per-VLAN Spanning Tree) — которая предназначена для работы в сети с несколькими VLAN. В PVST для каждого VLAN суще- ствует свой процесс STP, что позволяет независимую и гибкую настройку
10