Обеспечение безопасности IP-телефонии на базе VPN

Преимущества использования технологий VPN и VoIP

§ С помощью технологии VPN можно связать в единую локальную сеть все удаленные офисы компании, обеспечив легкий способ доступа к данным в сочетании с безопасностью.

§ Кроме сокращения расходов на междугородние переговоры внедряется и набор по коротким номерам. Все удаленные офисы компании вписываются в общую корпоративную телефонную сеть.

§ В полностью конвергентном решении с использованием голосовых шлюзов CISCO в связке с офисными АТС появляется возможность совершать телефонные звонки с помощью VoIP не только между офисами, но и между телефонными сетями данных городов.

Приклад налаштування PPTP-тунелю між DSR-500 і DIR-620 (DSR-500 - PPTP-сервер, DIR-620 - PPTP-клієнт)

ІP телефонія на прикладі Телекомунікаційної Компанії...

referatu.com.ua/referats/94/41606/?page=4

·

Перевести эту страницу

Обеспечение безопасности IP-телефонии на базе VPN

Одним из механизмов обеспечения безопасности IP-телефонии может быть использование виртуальных частных сетей (Virtual Private Network, VPN).

Сети VPN создаются, как правило, для решения двух задач. Во-первых, они служат для организации взаимодействия индивидуальных пользователей с удаленной сетью через Интернет, а во-вторых, — «для связи двух сетей». В первом случае, они используются в качестве альтернативы удаленному доступу. Вместо того, чтобы устанавливать соединение с корпоративной средой по междугородной или международной связи, пользователи локально подключаются к Интернет и связываются с сетью компании. Во втором — они часто применяются для организации так называемых виртуальных выделенных линий.

Виртуальная частная сеть (VPN) создается между инициатором туннеля и терминатором туннеля. Обычная маршрутизируемая сеть IP (она не обязательно включает в себя общедоступную сеть Интернет) определяет маршрут между инициатором и терминатором. Инициатор туннеля инкапсулирует пакеты в новый пакет, содержащий наряду с исходными данными новый заголовок с информацией об отправителе и получателе. Хотя все передаваемые по туннелю пакеты являются пакетами IP, в принципе, инкапсулируемые пакеты могут принадлежать к протоколу любого типа, включая пакеты немаршрутизируемых протоколов, например, NetBEUI. Терминатор туннеля выполняет процесс, обратный инкапсуляции, удаляя новые заголовки и направляя исходный пакет в локальный стек протоколов или адресату в локальной сети.

В табл. 8.2 представлены некоторые системы для организации взаимодействия между пользователями VPN в сети Интернет-телефонии.

Таблица 8.2. Категории систем VPN

Даний розділ присвячено вибору оптимального активного обладнання та його конфігуруванню. Даний розділ описує моделювання комп’ютерної мережі в середовищі Cisco Packet Tracer.

3.1 Вибір активного обладнання

Вибір активного обладнання є дуже важливим етапом розробки мережі адже правильний вибір елементів активного мережевого обладнання дозволяє створити інтегровану мережеву архітектуру і рішення, що забезпечують збільшення швидкодії програм, підвищення ефективності та надійності, зниження витрат, а також підвищення прибутковості в цілому. Серед великої кількості виробників на ринку активного мереженого обладнання можна виділити фірми CISCO, D-Link, HP, 3com, SURECOM, які вже довгий час залишаються лідерами в своїй галузі.

3.1.1 Маршрутизатор

Для реалізації пересилання пакетів в мережі, об’єднання сегментів мереж та їх структурних елементів використовується маршрутизатор.Для звичайного користувача маршрутизатор – це мережевий пристрій, який підключається між локальною мережею й інтернетом. Часто маршрутизатор не обмежується простим пересиланням даних між інтерфейсами, а також виконує й інші функції: захищає локальну мережу від зовнішніх загроз, обмежує доступ користувачів локальної мережі до ресурсів інтернету, роздає IP-адреси, шифрує трафік і багато іншого.

Маршрутизатори працюють на мережному рівні моделі OSI: можуть пересилати пакети з однієї мережі до іншої. Для того, щоб надіслати пакети в потрібному напрямку, маршрутизатор використовує таблицю маршрутизації, що зберігається у пам'яті. Таблиця маршрутизації може складатися засобами

статичної або динамічної маршрутизації.Крім того, маршрутизатори можуть здійснювати трансляцію адреси відправника й одержувача (англ. NAT, NetworkAddressTranslation), фільтрацію транзитного потоку даних на основі певних правил з метою обмеження доступу, шифрування/дешифрування передаваних даних тощо.Маршрутизатори не можуть здійснювати передачу широкомовних повідомлень, таких як ARP-запит.Маршрутизатором може виступати як спеціалізований пристрій, так і звичайний комп'ютер, що виконує функції простого маршрутизатора.

Зазвичай маршрутизатор використовує адресу одержувача, вказану в пакетах даних, і визначає за таблицею маршрутизації шлях, за яким слід передати дані. Якщо в таблиці маршрутизації для адреси немає описаного маршруту, пакет відкидається.

Існують і інші способи визначення маршруту пересилки пакетів, коли, наприклад, використовується адреса відправника, використовувані протоколи верхніх рівнів і інша інформація, що міститься в заголовках пакетів мережевого рівня. Нерідко маршрутизатори можуть здійснювати трансляцію адрес відправника і одержувача, фільтрацію транзитного потоку даних на основі певних правил з метою обмеження доступу, шифрування/дешифровка передаваних даних і т.д.

пристрій (характерний представник — продукція Cisco), так і звичайний комп'ютер, що виконує функції маршрутизатора В якості маршрутизатора може виступати як спеціалізований апаратний. Існує кілька пакетів програмного забезпечення (в основному на основі ядра Linux) за допомогою якого можна перетворити ПК на високопродуктивний і багатофункціональний маршрутизатор.

Для маршрутизаторів, як і до іншого обладнання, характерні декі вимоги пов’язані з його робочими параметрами:

– об’єм оперативної пам’яті;

– протоколи передачі даних;

– протоколи маршрутизації;

– наявність слотів розширення;

– кількість інтерфейсів;

– віддалене керування;

– відповідність стандартам;

– можливість встановлення в телекомунікаційну стійку.

З усіх маршрутизаторів для порівння було обрано моделіCISCO 2911/K9

(рисунок 3.1) та HPProCurveSecureRouter 7102dl (рисунок 3.2), які мають приблизно однакову ціну і дуже схожі за можливостями [14].

Маршрутизатор Cisco 2911 призначений для побудови мереж з високим рівнем безпеки. Пристрій оснащений 3-ма електричними портами Gigabit Ethernet, слотом для установки різних сервісних модулів, 4-ма високошвидкісними WAN-портами, 2-ма слотами для установки плат з DSP-процесорами для обробки голосових і відео даних і 1 слотом для установки модуля, обробного спеціалізовані програми. Маршрутизатори Cisco серії 2900 з інтеграцією мережевих сервісів (ISR) пропонують широкий спектр функціональних можливостей:

– Швидкісне безперервне підключення до мережі з інтегрованими сервісами забезпечує розгортання в глобальних мережах з високою швидкістю передачі даних.

– Модульна архітектура забезпечує оптимальну гнучкість сервісів.

– Поліпшені модулі EtherSwitch забезпечують інтегровані можливості комутації.

– Резервний доступ до глобальних мереж із застосуванням технології 3G для забезпечення безперервності діяльності підприємства..

– Підтримка Cisco Unified Communications Manager Express забезпечує ефективну колективну роботу користувачів (до 150 осіб).

– Додаткова вбудована високошвидкісна точка доступу 802.11n забезпечує безпечний мобільний доступ.

– Вбудовані засоби мережевої безпеки забезпечують захист від зловмисних атак і загроз при передачі даних, голосу, відео та мобільному доступі.

– Засоби підтримки мереж VPN забезпечує надійний зв'язок із застосуванням технологій GETVPN, DMVPN і Enhanced Easy VPN.

– Новітня технологія Services-Ready Engine (SRE) забезпечує розгортання сервісів за запитом.

– Розширене резервування, включаючи засоби діагностики і резервні джерела живлення, підвищують відмовостійкість і збільшують час безвідмовної роботи

– Простота експлуатації, енергозберігаюча конструкція і відповідність вимогам щодо захисту навколишнього середовища забезпечують низьку загальну вартість пристрою[16].

Рисунок 3.1 – Маршрутизатор CISCO2911/K9

Таблиця 3.1 – Технічні характеристики маршрутизатора CISCO2911/K9

Таблиця 3.1 – Технічні характеристики маршрутизатора CISCO2911/K9

(продовження)

Серія HP ProСurve Secure Router 7000dl - це роутери для розгортання в інфраструктурі великих і середніх підприємств. Пристрої надає можливість створити надійне VPN - з'єднання з віддаленим офісом, і надають повний набір фаервольних функцій. Набір додаткових пристроїв для роутерів включає модулі для підключення по каналах E1, T1, DSL і ISDN.

У серії два типи пристроїв:

HP ProСurve Secure Router 7102dl (J8752A) - 2 автовизначальних порти 10/100, дуплекс: повний дуплекс або напівдуплекс, 2 відкритих модульних слота dl, 1 консольний порт RS-232C DB-9, 1 порт для карти Compact Flash, 1 слот для модуля VPN, до 500 сесій VPN.

HP ProСurve Secure Router 7203dl (J8753A) - 2 автоматично знаходить порти 10/100, дуплекс: повний дуплекс або напівдуплекс, 2 відкритих модульних слота dl, 1 відкритий модульний слот dl wide 1 консольний порт RS-232C DB-9, 1 порт для карти Compact Flash, 1 слот для модуля VPN, до 1000 сесій VPN.

В порівняння візьмемо HPProCurveSecureRouter 7102dl.

Таблиця 3.2 – Технічні характеристики маршрутизатора HPProCurveSecure

Router 7102dl

Рисунок 3.2 – Маршрутизатор HPProCurveSecureRouter 7102dl

Порівнявши всі характеристики, було обрано модель CISCO 2911/K9, якає трохи дорожчоюв порівнянні зі своїм аналогом, але також має значно більші можливості, а також є дуже надійною та зручною в настроюванні і експлуатації[12].

3.1.2 Комутатор

Для з'єднання декількох вузлів комп'ютерної мережі в межах одногосегмента використовуються комутатори.

На відміну від концентратора, що поширює трафік від одного під'єднаного пристрою до всіх інших, комутатор передає дані лише безпосередньо отримувачу. Це підвищує продуктивність і безпеку мережі, рятуючи інші сегменти мережі від необхідності (і можливості) обробляти дані, які їм не призначалися.

Комутатор працює на канальному рівні моделі OSI, і тому в загальному випадку може тільки поєднувати вузли однієї мережі по їхніх MAC-адресах. Для з'єднання декількох мереж на основі мережного рівня служать маршрутизатори.Комутатор зберігає в пам'яті таблицю, у якій вказуються відповідні MAC-адреси вузла порту комутатора. При включенні комутатора ця таблиця порожня, і він працює в режимі навчання. У цьому режимі дані, що поступають на який-небудь порт передаються на всі інші порти комутатора. При цьому комутатор аналізує кадри й, визначивши MAC-адресу хоста-відправника, заносить його в таблицю. Згодом, якщо на один з портів комутатора надійде кадр, призначений для хоста, MAC-адреса якого вже є в таблиці, то цей кадр буде переданий тільки через порт, зазначений у таблиці. Якщо MAC-адреса хоста-отримувача ще не відома, то кадр буде продубльований на всі інтерфейси. Згодом комутатор будує повну таблицю для всіх своїх портів, і в результаті трафік локалізується [10].

Існує три способи комутації. Кожний з них — це комбінація таких параметрів, як час очікування й надійність передачі.

– Ізпроміжнимзберіганням (Store and Forward). Комутаторчитаєвсюінформаціюуфреймі, перевіряєйогонавідсутністьпомилок, вибираєпорткомутаціїйпісляцьогопосилаєвнього фрейм.

– Наскрізний (cut-through). Комутаторзчитуєуфреймітількиадресапризначенняйпіслявиконує комутацію. Цей режим зменшує затримки при передачі, але в ньому немає методу виявлення помилок.

– Безфрагментний (fragment-free) або гібридний. Цей режим є модифікацією наскрізного режиму. Передача здійснюється після фільтрації фрагментів колізій (фрейми розміром 64 байта обробляються за технологією store-and-forward, інші за технологією cut-through).

Основними показниками комутатора, що характеризують його продуктивність, є:

– пропускна спроможність;

– затримка передачі кадру, напряму залежить від пропускної спроможності;

– об’єм оперативної пам’яті;

– розмір внутрішньої адресної таблиці.

Оскільки більшість сучасних комутаторів є досить потужними, дані характеристики у них в більшій мірі схожі. В нашому випадку нас цікавлять наступні вимоги до комутаторів:

– можливість встановлення в телекомунікаційну стійку;

– можливість конфігурування;

– віддалене керування;

– підтримка VLAN;

– кількість портів Fast Ethernet;

– кількість портів Gigabit Ethernet.

Серед обладнання представленого на ринку комутаторів порівняємо моделі. [12]. Для порівняння візьмемо моделі CiscoCatalyst 2960-48TT-S (рисунок 3.3) та D-LINK DGS-1210-52 (рисунок 3.4).

Комутатори Cisco Catalyst серій 2960, 2960-C і 2960-S підтримують передачу голосу, відео і даних з високим рівнем безпеки доступу. Крім того, вони забезпечують масштабоване управління відповідно до мінливими потребами бізнесу.

Особливості комутаторів Cisco Catalyst серій 2960, 2960-C і 2960-S:

– Універсальність: підтримка передачі даних, бездротового і голосового зв'язку. Коли вам знадобляться всі ці функції, при виборі даного комутатора ви отримаєте єдину мережу, що відповідає всім потребам вашої організації.

– Інтелектуальне управління: призначення пріоритету голосовому трафіку або передачі даних з метою узгодити доставку інформації до потреб організації.

– Підвищена безпека: захист важливої ​​інформації, запобігання доступу до мережі неавторизованих користувачів і забезпечення безперебійної роботи.

– Надійність: використання переваг стандартних методів і модуля стекирования FlexStack для підвищення надійності та швидкого усунення неполадок. Для додаткового підвищення надійності можна також додати резервне джерело живлення.

– Зручність настройки конфігурації: використання набору функцій Cisco Catalyst Smart Operations і додатки Cisco Network Assistant для спрощення налаштування, оновлення та усунення неполадок.

Запорука спокою: всі комутатори Catalyst серій 2960, 2960-C і 2960-S захищені обмеженою гарантією Cisco, діючої протягом всього терміну служби обладнання, і відсутністю обмежень на оновлення[16].Технічні характеристики комутатора CiscoCatalyst 2960-48TT-S(рисунок 3.3)наведені в таблиці 3.3.

комутатора CiscoCatalyst 2960-48TT-S(рисунок 3.3)наведені в таблиці 3.3.

Рисунок 3.3 – Комутатор CiscoCatalyst 2960-48TT-S

Таблиця 3.3 – Технічні характеристики комутатора CiscoCatalyst 2960-48TT-S

Серія комутаторів D-Link DGS-1210 включає комутатори Web Smart наступного покоління з підтримкою технології D-Link Green 3.0. Серія відповідає стандарту Energy Efficient Ethernet IEEE 802.3az. Підтримка управління і настройки IPv6 гарантує, що мережа залишиться захищеної після переходу з IPv4 на IPv61. За допомогою численних опцій управління серія комутаторів DGS-1210 дозволяє швидко розгорнути мережу, розширити інфраструктуру і "безшовно" оновити функції. Орієнтуючись на малий і середній бізнес, комутатори Web Smart DGS-1210 забезпечують функціональність, безпека і керованість з мінімальними витратами на купівлю та експлуатацію.

Використовуючи технологію D-Link Green 3.0, комутатори серії DGS-1210 здатні економити енергію без шкоди для продуктивності і функціональних можливостей пристроїв. За допомогою стандарту Energy Efficient Ethernet мережа буде автоматично знижувати використання енергії, коли спостерігається невеликий потік трафіку, без необхідності в налаштуванні. Для умов, в яких стандарт не цілком підтримується, комутатори серії DGS-1210 пропонують такі налаштування енергозбереження, як виключення і режим очікування портів, вимикання індикаторів і сплячий режим системи, заснований на користувача профілях часу. Також комутатори серії DGS-1210 можуть визначити довжину підключених кабелів, щоб автоматично знизити використання енергії в більш коротких кабельних з'єднаннях.

Серія комутаторів Web Smart D-Link забезпечує просте управління. Всі налаштування можна виконати через Web-інтерфейс незалежно від операційної системи ПК. Крім того, користувальницький Web-інтерфейс містить десять мовних опцій, що дозволяє зробити операції більш зрозумілими. При першій установці утиліта SmartConsole автоматично виявить всі комутатори Smart D-Link в мережі, дозволяючи адміністраторам швидко призначити IP-адреси і маску підмережі. Також можна одночасно оновити програмне забезпечення на декількох комутаторах, заощадивши багато часу. Важливі команди управління, такі як завантаження програмного забезпечення або конфігураційного файлу, пропонують удосконалений метод роботи в режимі групової обробки даних для декількох комутаторів [15].

Комутатори серії Web Smart D-Link автоматизують процес установки IP-спостереження і пристроїв VoIP в мережі. Auto Surveillance VLAN об'єднує дані і передачу відеоспостереження через мережу, скорочуючи вартість та засоби обслуговування обладнання. ASV також забезпечує якісне відео в реальному часі, групуючи пристрої IP-спостереження в окремий VLAN з високим пріоритетом. Це гарантує, що якщо збільшиться потік трафіку з звичайними даними, це не вплине на потоки відеоспостереження. Аналогічним чином Auto Voice VLAN забезпечує якісну і ефективну передачу голосових даних.

Дані комутатори підтримують повний набір функцій рівня 2, включаючи IGMP Snooping, Port Mirroring, Spanning Tree і Link Aggregation Control Protocol (LACP).

Функція управління потоком IEEE 802.3x дозволяє безпосередньо підключити сервери до комутатора для швидкої і надійної передачі даних. Підтримуючи швидкість 2000 Мбіт / с в режимі повного дуплексу, комутатори забезпечують високу швидкість передачі для підключення робочих місць з мінімальною втратою даних.

Комутатори підтримують функцію діагностики кабелю і функцію Loopback Detection. Функція Loopback Detection використовується для визначення петель і автоматичного відключення порту або VLAN, на якому виявлено петля. Функція діагностики кабелю призначена для визначення якості мідних кабелів, а також типу несправності кабелю.

Функція D-Link Safeguard Engine захищає комутатори від шкідливого трафіку, викликаного активністю вірусів. Автентифікацію порту 802.1X дозволяє використовувати зовнішній сервер RADIUS для авторизації користувачів. Крім цього, функція Списки управління доступом (ACL) збільшує безпеку мережі та допомагає захистити мережу, фільтруючи трафік, витікаючий від несанкціонованих MAC-адрес або IP-адрес.

Функція запобігання атак ARP Spoofing запобігає масову розсилку неправдивих ARP-повідомлень зловмисниками через керований джерело. Це захищає дані від перехоплення атаками із застосуванням технології "незаконний посередник" і запобігає розтрату циклів процесора на ці пакети. Для підвищення рівня безпеки використовується функція DHCP Server Screening, забороняє доступ неавторизованим DHCP-серверів [10].

Рисунок 3.4 – Комутатор D-LINK DGS-1210-52

Таблиця 3.4 – Технічні характеристики комутатора D-LINK DGS-1210-52

Якщо брати до уваги характеристики даних моделей, то чітко видно, що деякі з них кращі у моделі СISCO, інші у D-Link. Щодо ціни, то ціна моделі DGS-1210-52 майже в 2,5 рази менша ніж у Catalyst 2960-48TT-S, але розмір оперативної пам’яті у СISCO 64Мб, а у D-Link 1Мб, а також термін гарантії у СISCO 36 місяців проти 24 у D-Link. Тому в якості комутатора оберемо модель CiscoCatalyst 2960-48TT-S [14, 15].

Оскільки в проектуванні мережі передбачалося використання окремого комутатора на кожен відділ РДА, то провівши детальний аналіз, проаналізувавши усі показники фізичні, цінові, було прийняте рішення, для таких цілей використовувати комутатор Cisco SB SF100D-08P-EU. Технічні характеристики пристрою наведені в таблиці 3.5.

Таблиця 3.5 – Технічні характеристики комутатора SB SRW208-K9-G5

3.1.3 Сервер

В мережі присутній файловий сервер, який дозволить працівникам зберігати на ньому потрібну інформацію. Даний пристрій розміщується в серверній, це потужним комп’ютер з багатоядерним центральним процесором та жорстким диском великої ємності. До вибору сервера слід підходити дуже серйозно адже від його роботи дуже часто залежить і робота всього підприємства. Досить багато виробників мережевого обладнання пропонують уже готові сервери фіксованих конфігурацій, які підтримують можливість монтажу в телекомунікаційну стійку, або ж у вигляді звичайних комп’ютерів. В даних серверів досить значний, порівняно зі звичайними комп’ютерами, термін гарантії, але і коштують вони в декілька разів дорожче, аніж звичайний комп’ютер такої конфігурації.З метою економії коштів придбаємо потужний комп’ютер на який встановимо відповідне програмне забезпечення і який виконуватиме функції сервера. Комплектуючі потрібні для сервера наведені в таблиці 3.6 [15].

Параметри файлового сервера наведені в таблиці 3.6.

Таблиця 3.6 – Комплектуючі сервера

3.2 Розрахунок адресного простору

Під логічною структурою мережі розуміється її організація на третьому і вище рівнях моделі OSI, тобто це адресація та взаємодія робочих станцій з серверами.

Для створення ефективної функціонуючої комп'ютерної мережі в першу чергу кожен вузол цієї мережі повинен мати унікальну мережеву адресу.
Проблема, яка виникає при об'єднанні більше двох комп'ютерів – це проблема їх адресації. До адреси вузла мережі і схемі його призначення можна пред'явити декілька вимог:

– адреса повинна бути унікальною;

– схема призначення адрес повинна зводити до мінімуму ручну працю адміністратора.

Найбільше поширення отримали три схеми адресації вузлів: апаратні, символьні і числові.

Апаратні адреси (MAC-адреси). Стандартизована адреса канального рівня, який призначається кожному пристрою або порту, підключеному до локальної мережі. Інші мережеві пристрої використовують таку адресу для знаходження певних портів в мережі, для створення і оновлення таблиць маршрутизацій. Довжина MAC-адреси дорівнює 6 байт, її записують у вигляді двійкового або шістнадцяткового значення.

Символьні адреси або імена, призначені для запам'ятовування людьми і тому зазвичай несуть смислове значення. Для роботи у великих мережах символьне ім'я може мати ієрархічну структуру, наприклад m23.osi.in.ua. Тут m23 – доменне ім’я ПК, який знаходиться в домені osi.in.ua.

Числові складові адреси. В багатьох випадках для роботи у великих мережах в якості адрес вузлів використовують числові складові адреси. Типовим представниками адрес цього типу є IP- і IPX-адреси.

IP-адреса (InternetProtocoladdress) - це ідентифікатор (унікальний номер), що використовується для адресації комп'ютерів та пристроїв у мережі TCP/IP (наприклад Інтернет). IP-адреса складається з чотирьох 8-бітних чисел. Прикладом IP-адреси може бути адреса 192.168.0.31 [6].

В IP-адресації підтримується дворівнева ієрархія, адреса ділиться на старшу частина - номер мережі і молодшу - номер вузла. В залежності від розмірів мережі кількість адрес може бути більшою або меншою. Для різних потреб існує кілька класів мереж від яких залежить максимальна кількість адрес для хостів.Існує 5 класів адрес: A, B, C, D і E. Три з них - A, B і C - використовуються для адресації мереж, а два - D та E - мають спеціальне призначення.
Адреси класу А включає мережі з 1.0.0.0 до 127.0.0.0. Номер мережі знаходиться в першому байті октету. Це забезпечує 24 розряди для означення хостів. Дозволяє використовувати 126 мереж з числом хостів приблизно 1,6 мільйонів у мережі. Адреси класу В призначаються вузлам у великих і середніх за розміром мережах,вміщає мережі з 128.0.0.0 по 191.255.0.0, номер мережі – перші два байта октету. Дозволяє отримати 16320 мереж з 65024 хостом у кожній.Адреси класу С застосовуються в невеликих мережах,діапазон мереж від 192.0.0.0 по 223.255.255.0, номер мережі - перших три числа в октеті. Нараховує 2 мільйони мереж з 254 хостами в кожній [14].

Але в світі вже стільки комп’ютерів підключено до мереж, що всім не вистачає унікальних адрес. Тому був розроблений альтернативний варіант використання приватних IP-адрес для локальних мереж. Тобто, вузли в мережі Internet повинні мати глобально унікальні адреси. Проте в середині локальних мережі можна використовувати адреси, які мають бути унікальні тільки усередині локальної мережі. У специфікації RFC19184 виділено три блоки IP-адрес (одна адреса класу А, серія адрес класу В і набір адрес класу С) для внутрішнього використання в локальних мережах (табл. 3.7). Адреси з цих діапазонів не передаються магістральними маршрутизаторами мережі Internet, пакети з адресами з приватних мереж негайно будуть відкинуті такими пристроями.

Таблиця3.7 – Приватні ІР-адреси

Для комп’ютерів проектованої мережі мережі будемо використовувати адреси з приватного діапазону класу А (10.0.0.0-10.255.255.255). Для кожного підрозділу обираємо свою мережу. В табці 3.7 покажемо ІР-адреси для підмереж.

Таблиця 3.8 – Адреси для підмереж

Для деяких випадків нам потрібно буде задавати статичні адреси (для під інтерфейсів маршрутизатора та для сервера), тому краще буде перші п’ять адрес виключати з пулів мереж, це не вплине на роботу мережі просто перша ІР-адреса яку буде динамічно отримувати ПК працівника буде 10.0.*.6.

Для того щоб розділити мережу на підмережі використовується технологія VLAN. VLAN (Virtual Local Area Network) – віртуальна локальна комп'ютерна мережа є групою хостів, що взаємодіють між собою на канальному рівні. VLAN має ті самі атрибути, як і фізична локальна мережа, але дозволяє кінцевим станціям бути згрупованими разом, навіть якщо вони не перебувають на одному мережевому комутаторі. Пристрої, які знаходяться на різних VLAN не можуть взаємодіяти один з одним – це підвищує рівень мережевої безпеки і полегшує керування мережею.

Це означає, що передача кадрів між різними віртуальними мережами на підставі MAC-адреса неможлива, незалежно від типу адреси - унікального, групового або широкомовного. В той же час усередині віртуальної мережі кадри передаються за технологією комутації, тобто тільки на той порт, який пов'язаний з адресою призначення кадру.

VLAN мають наступні переваги:

– Гнучкість впровадження. VLAN є ефективним засобом для групування мережевих користувачів у віртуальні робочі групи, незважаючи на їх фізичне розміщення в мережі.

– VLAN забезпечують можливість контролю широкомовних повідомлень, що призводить до збільшення смуги пропускання доступної для користувача.

– VLAN дозволяють посилити безпеку мережі, визначивши за допомогою фільтрів, налагоджених на комутаторі або маршрутизаторі, політику взаємодії користувачів з різних віртуальних мереж.

У комутаторах можуть використовуватися три типи VLAN:

VLAN на базі портів. При використанні VLAN на базі портів, кожен порт призначається певній VLAN, незалежно від того, який користувач або комп'ютер підключений до цього порту. Це означає, що усі користувачі, підключені до цього порту, будуть членами однієї VLAN. Конфігурація……..

3.3 Настроювання роботи маршрутизатора і комутатора

У підрозділі проводиться конфігурування комутаторів, а також налаштування віртуальних мереж VLAN. Створюється динамічне призначення адрес мережевого рівня та їх трансляція.

3.3 Настроювання роботи маршрутизатора і комутатора

У підрозділі проводиться конфігурування комутаторів, а також налаштування віртуальних мереж VLAN. Створюється динамічне призначення адрес мережевого рівня та їх трансляція.

FDDI, Token-Ring та ін. Далі розглянемо покроково процес створення нової VLAN:

1. Заходимо в режим глобального конфігурування:

Switch # configure terminal

2. Створюємо нову віртуальну мережу:

– задаємо номер VLAN;

Switch (config) # vlan 1

– задаємо ім'я VLAN;

Switch (config-vlan) # name reception

– виходимо з налаштувань VLAN;

Switch (config-vlan) # exit

3.Тепер потрібно визначити які порти належать даній VLAN:

– входимо в режим конфігурації порту FastEthernet 0/7;

Switch (config) # interface FastEthernet0/7

– задаємо порту режим access;

Switch (config-if) # switchport access vlan 1

Щоб налаштувати маршрутизацію між VLAN, потрібно виконати наступні дії:

1. Налаштуємо магістральний порт на комутаторі.

Switch (config) # interface fa0/1

Switch (config-if) # switchport mode trunk

2. На маршрутизаторі налаштуємо інтерфейс FastEthernet без IP-адреси і маски підмережі:

Router (config) # interface fa0/0

Router (config-if) # no ip address

Router (config-if) # no shutdown

3. На маршрутизаторі налаштуємо один підінтерфейс із IP-адресою і маскою мережі длякожної VLAN. Коженпідінтерфейсвикористовуєінкапсуляцію 802.1Q.

Router (config) # interface fa0/0.1

Router (config-subif) # encapsulation dot1q 1

Router (config-subif) # ip address 10.0.1.1 255.255.255.0

4. Перевіряємо конфігурацію і працездатність маршрутизації між VLAN за допомогою наступних команд.

Router # show ip interfaces

Router # show ip interfaces brief

Router # show ip route

3.3.2 Налаштування динамічного призначення адрес мережевого рівня

Для коректної роботи мережі, кожному мережевому інтерфейсу комп’ютера повинно бути призначено IP- адресу.

4 ОХОРОНА ПРАЦІ

Охорона праці – це система правил і заходів, які забезпечують безпечну роботу на виробництві. Трудова діяльність людини відбувається завжди у певному просторі та часі, певними засобами праці, у межах конкретних взаємовідносин, які виникають між людьми у процесі їх трудової діяльності – у виробничому (або трудовому) середовищі.

4.1 Аналіз умов праці

Виробниче середовище характеризується умовами праці. Умови праці – це сукупність фізичних, хімічних, біологічних, психологічних факторів, що впливають на людину у процесі її трудової діяльності.

В даній бакалаврській роботі розробляється мережа для Козятинської РДА так як дана мережа знаходиться в приміщені. У приміщені знаходиться одне робоче місце безпосередньо для інженера-програміста, рисунок 4.1. Офісне приміщення оснащене такими технічними засобами: комп’ютер для безпосередньої роботи працівника, принтер та сканер, що забезпечують виконання його обов’язків, стіл, два стільці, двері та два вікна. Підлога в приміщенні дерев’яна. Приміщення містить два вікна та одні двері. Електромережа від якої живеться обладнання трифазна, чотири провідна з заземленою нейтраллю.

На інженера-програміста ІІІ категорії можуть діяти небезпечні та шкідливі фактори, які по природі дії діляться на фізичні, хімічні, біологічні та психологічні.

На здоров’я інженера-програміста можуть впливати такі небезпечні фактори:

- підвищена та знижена температура повітря робочої зони;

- підвищений рівень вібрації;

- підвищена чи знижена вологість повітря;

- підвищена чи знижена рухливість повітря;

- підвищена чи знижена іонізація повітря;

- підвищений рівень електромагнітних випромінювань;

- підвищена напруженість електричного поля;

- підвищена напруженість магнітного поля;

- відсутність чи недостача природного світла через віконні пройми;

- підвищена напруга в електричній мережі, замикання якої може відбутись через тіло людини;

- недостатня освітленість робочої зони від світильників штучного освітлення;

- підвищена пульсація світлового потоку;

Організаційно-технічні заходи

Так як в даній бакалаврській роботі «Розробка комп’ютерної мережі для Козятинської РДА» проектується комп’ютерна мережа, яка включає в себе ряд виробничих приміщень користувачів ЕОМ, тому потрібно дотримуватись відповідних вимог.

Приміщення Козятинської РДА складається з робочих приміщень загальною прощею 600 м². Згідно плану будівлі який наведений в додатку А на першому поверсі знаходяться: юридичний відділ, загальний відділ, відділ

При організації розміщення робочих місць з відеотерміналами та персональними ЕОМ необхідно дотримуватись таких вимог:

– робочі місця з відеотерміналами та персональними ЕОМ розміщуються на відстані не менше 1м від стін зі світловими прорізами;

– відстань між бічними поверхнями відеотерміналів має бути не меншою за 1,2 м;

– відстань між тильною поверхнею одного відеотермінала та екраном іншого не повинна бути меншою 2,5 м;

– прохід між рядами робочих місць має бути не меншим 1м.

– Площа на одне робоче місце становить не менше ніж 6,0 об'єм

– не менше ніж 20,0.

У кімнаті на стіні повинен бути наявний план приміщення і евакуації внаслідок утворення небезпечної ситуації, який має бути затверджений керівником даного підприємства. При утворенні надзвичайної ситуації необхідно припинити роботу, виключити ЕОМ і керуючись евакуаційним планом покинути приміщення [10].

Санітарно гігієнічні вимоги

1 Нормування параметрів мікроклімату

Умови праці осіб, які працюють з ЕОМ відповідають І(а) категорії робіт згідно з ДСанПіН 3.3.2.007-98. Параметри мікроклімату в приміщенні повинні забезпечувати комфортне теплове самопочуття організму користувача ЕОМ. Тому оптимальна температура повітря в цих приміщеннях становить 22–25 С, оптимальна відносна вологість – 40–60%, оптимальна швидкість руху повітря – 0,1 м/с, допустима – 0,1-0,2 м/с. Комфортне теплове самопочуття при такому температурному режимі визначається і певним вмістом вологи, оптимальна величина якої складає 10 г/м³, допустима – 6 г/м³. В таблиці 3.1 наведено параметри мікроклімату даної категорії робіт по періодам року [12].

Таблиця 4.1 – Параметри мікроклімату, що нормуються за ДСН 3.3.6.042-99,

в робочій зоні виробничих приміщень

4.3.2 Вентиляція

Залежно від хімічного складу повітря, його фізичних та інших властивостей (температура, вологість, рухомість тощо) а також наявності в ньому інших забруднень у вигляді пилу, патогенних мікроорганізмів різного походження тощо повітряне середовище може бути сприятливим, несприятливим або навіть небезпечним.

Під час роботи ВДТ у повітрі робочої зони концентрація іонів зазнає значних змін. Вже через 5 хвилин роботи монітора концентрація легких негативних іонів зменшується у 5..10 разів (фонова концентрація становить 350…620 іонів/см³), а через 3 години роботи їх концентрація у повітрі наближається до 0. Істотно зменшується концентрація середніх та великих негативних часток. Оптимальним рівнем аероіонізації у зоні дихання користувача вважається вміст легких аероіонів обох знаків від 150 до 5000 у 1см³ повітря.

Нормалізуючий вплив на аероіонний склад повітря робочої зони справляють:

– регулярне провітрювання приміщення протягом робочої зміни;

щозмінне вологе прибирання приміщення;

– встановлення заземлених захисних екранів;

застосування штучних іонізаторів

Рівні позитивних і негативних іонів у повітрі приміщень з ВДТ мають відповідати санітарно-гігієнічним нормам №2152-80.

Таблиця 4.2 – Рівні іонізації повітря приміщень при роботі на ВДТ

4.3.3. Шум і вібрація

Деякі ВДТ є потенційними джерелами цілого ряду звуків, що містять як коливання, які можна почути, так і коливання ультразвукового діапазону. Цей шум справляє негативний вплив на функціональний стан користувачів.

Рівень шуму, за ГОСТ 12.1.003—86, на робочих місцях не має перевищу-вати 50 дБА, що досягається застосуванням малошумного обладнання, використанням спеціальних матеріалів для обшивки приміщень, а також різноманітними звукопоглинальними пристроями (перегородки, кожухи, прокладки тощо).

Як засоби шумопоглинання застосовують мінеральну вату з максимальним коефіцієнтом звукопоглинання в межах частот 31,5— 8000 Гц. Вентилятори системного блока, накопичувачі, принтери необхідно розміщувати в іншому приміщенні, огородити звукоізолювальними або звукопоглинальними екранами, помістити в кожухи. Для запобігання впливу шуму навколишнього середовища (ззовні) приміщення з ЕОМ повинні облицьовуватися звукопоглинальними матеріалами, які мають максимальний коефіцієнт звукопоглинання.

Таблиця 4.3 – Допустимі рівні звуку, еквівалентні рівні звуку і рівні звукового тиску в октавних смугах частот

4.4 Виробнича безпека: протипожежні заходи

Причинами виникнення пожеж можуть бути [4]:

– користування саморобними нагрівальними приладами у холодну пору

року;

– короткі замикання;

– перевантаження мережі;

– порушення правил та вимог пожежної безпеки.

Таблиця 3.2 – Норми первинних засобів гасіння пожеж

Категорія приміщення	Гранична захищу вальна площа,	Клас пожежі	Пінні та водні вогнегасники місткістю 10л	Порошкові вогнегасники місткістю, л	Хладонові вогнегасники місткістю 2(3)л	Вуглекислотні вогнегасники місткістю, л
			2(3)	5(8)
В		А	2++	4+	2++	1+	-	-	2+

Приміщення з ЕОМ оснащені системою автоматичної пожежної сигналізації із димовими пожежними сповіщувачами з розрахунку 2 шт. на кожні 20 м² площі приміщення. В інших помешканнях вставленні теплові пожежні сповіщувачі.

Приміщення з ЕОМ оснащені переносними вуглекислотними вогнегасникамиОУ–2 з розрахунку 1 на 50 м², але не менше 2 на приміщення. Проходи до засобів пожежегасіння повинні бути вільними [11].

В даному розділі розглянуто питання охорони праці та безпеки життєдіяльності для інженера-програміста ІІІ категорії. До основних завдань, які виконує програміст можна віднести постійну роботу з комп’ютером, а саме розробка комп’ютерної мережі. Детально було розглянуто питання санітарно-гігієнічних норм щодо виробничої безпеки у приміщенні де працює інженер-програміст ІІІ категорії. Для покращення рівня мікроклімату рекомендуєтьсяу приміщенні встановити кондиціонер для покращення рівня обміну повітря та підтримання постійної температури.

ВИСНОВКИ

У бакалаврській роботі було розроблено комп’ютерну мережу для Козятинської районної державної адміністрації. Впровадження розробленої мережі надасть установі наступні можливості: дозволить вести спільний документообіг, розділене використання мережевих ресурсів, прискорення роботи з мережею, покращить комунікацію між співробітниками, та організує централізоване управління і керування установою.

У результаті проведеної роботи було проаналізовано сучасні принципи побудови локальних комп’ютерних мереж і визначено особливості їх побудови.

Серед мережевих технології для розробки локальних комп’ютерних мереж було обрано технологію Ethernet, а точніше її підтип FastEthernet 100Base-T4 для зв’язку між робочими станціями та мережевим обладнанням.

Розроблена логічна структура мережі дозволить розділити ресурси мережі між відділами. Завдяки такому підходу вдалося обмежити доступ їм доступ один до одного. Також визначено фізичну структуру мережі, що включає в себе створення структурованої кабельної системи, створення якої передбачає такі етапи як: архітектурний, телекомунікаційний та розрахунку додаткових елементів кабельної системи.

В результаті детального аналізу було вибрано активне мережеве обладнання. До його складу входять: маршрутизатор CISCO 2911/K9, три комутатора, по одному на поверх, три комутатори CiscoCatalyst 2960-48TT-S,

а також 18 комутаторів, по одному на підрозділ SB SRW208-K9-G5. Також було обрано конфігурацію для серверів та надано рекомендації щодо встановлення на них операційних систем та програмного забезпечення.

Крім того до результатів проведеної роботи можна віднести моделювання розроблюваної мережі та стартове налаштування мережевого обладнання. Було здійснене налаштування VLAN на комутаторах та маршрутизаторі мережі. Для забезпечення безпеки всередині мережі та обмеження можливостей доступу користувачів між ними,було застосовано списки керування доступом – ACL.На маршрутизаторі було налаштовано DHCP сервер, що автоматично призначає ір–адреси для кожної робочої станції в залежності від того, до якої під мережі вона відноситься.

В останньому розділі розглянуто вимоги до виробничих приміщень користувачів ЕОМ, аналіз праці, організаційно-технічні заходи, санітарно-гігієнічні вимоги і виробничу безпеку.

ЛІТЕРАТУРА

1. Олифер В. Г. Компьютерные сети. Принципы, технологии, протоколы: [учебник для ВУЗов] / В. Г. Олифер, Н. А. Олифер. – [4-е изд.] – Питер: СПб., 2010. – 944 с.

2. Семенов A. Б. Проектирование и расчет структурированных кабельних систем и их компонентов. – М.: ДМК Пресс; М.: Компания АйТи, 2003. – 416+16 с.: ил.

3. Максимов Н.В., Попов И.И. Компьютерные сети: [учеб. пособия] / Н. В. Максимов, И.И. Попов – [3-е изд.] – М.: ФОРУМ, 2008. – 448 с.

4. Закер К. Компьютерные сети. Модернизация и поиск несправностей / Конрад Закер; Пер. с англ. Д. Харламов. – Питер: СПб., 2004. -1008 с.

5. Кларк К. Р. Принципы коммутации в локальных сетях Cisco / Кларк К. Р., Гамильтон К. А.; пер. с англ. А. А. Выстропский, А. В. Судакова, В. А. Швец. – М: Вильямс, 2003. –976 с.

6. Стандарт телекоммуникационных трасс и пространств коммерческих зданий: ANSI/TIA/EIA-569-A. – Рабочая группа TIA/EIA TR-41.8.3, 1998.

7. Минаев И. Я. Локальная сеть своїми руками. 100% самоучитель: [учеб. пособия] / И. Я Минаев. – М: Технолоджи, 2004. – 368 с.

8. Буров Є. Комп'ютерні мережі / Є. Буров– Львів: БАК, 1999 - 468 с.

9. Є.А. Бондаренко. Охорона праці в робочій професії користувача ЕОМ. – Вінниця: ВДТУ, 2003. – 115с. Державні санітарні правила і норми робот із візуальними терміналами ЕОМ СанПін 2.2.212.41340-03.

10. Є. А. Бондаренко Методичні вказівки до контрольної роботи для студентів галузей знань «Інформатика та обчислювальна техніка»/ Є.А. Бондаренко – В.: ВНТУ, 2011. – 50с.

11. ДСН 3.3.6.042-99. Санітарні норми мікроклімату виробничих приміщень. – Київ, 2000.

12. Куин Л., Рассел Р. Fast Ethernet. –К.: Издательская группа BNV, 1998. – 448 с.

13. Михаил Гук. Аппаратные средства локальных сетей. Энциклопедия. - СПб: Издательство “Питер”, 2000 – 576с.;

14. Інтернетмагазин ROZETKA[Електронний ресурс] – http://rozetka.com.ua/

15. ТехнопорталD-Link[Електронний ресурс] –http://d-link.technoportal.ua

16. Troubleshooting, configuration, installation, and technical documentation– http://www.cisco.com/

DOC]Рисунок 3.1 – Логічна структура комп'ютерної мережі