Помощь студентам, абитуриентам и школьникам

Консультации и учебные материалы для разработки диссертации, дипломной работы ,курсовой работы, контрольной работы, реферата, отчета по практике, чертежа, эссе и любого другого вида студенческих работ.

Пример курсовой работы по компьютерному моделированию: Проектирование локальной вычислительной сети организации

Раздел: Курсовая работа

Содержание

Введение3

Постановка задания4

1 Проектирование локальной вычислительной сети для предприятия5

1.1 Формулирование требований к локальной сети и выбор организационной схемы сети5

1.2 Выбор операционной системы для управления сетью8

1.3 План помещения14

1.4 Выбор топологии сети16

1.5 Расчет кабельной системы17

1.7 Расчет стоимости администрирования сети22

2 Разработка технического задания на развертывание локальной вычислительной сети для предприятия24

2.1 Выбор типа локальной сети24

2.2 Выбор активного оборудования сети25

2.3 Спецификация30

2.4 Возможность масштабирования30

2.5 Возможность интеграции локальной сети31

3 IP-сегментация локальной сети и диагностика стека протоколов TCP/IP33

3.1 IP-сегментация сети33

Заключение35

Список использованной литературы36

Выдержка из текста работы

3.1.1 Разработка физической и логической структуры ЛВС. Выбор сетевых коммуникационных устройств, оконечного оборудования. Разработка схемы комплекса технических средств ЛВС

3.1.2 IP-адреса узлов ЛВС

3.2 Разработка структурной схемы комплекса технических средств ЛВС

3.3 Техническое описание ЛВС

3.3.1 Выбор среды передачи информации

3.3.2 Выбор оборудования для активных компонентов ЛВС

3.3.3 Калькуляция затрат на оборудование и комплектующие ЛВС

3.3.4 Проверочный расчет корректности ЛВС

3.3.5 Планы прокладки кабельных трасс

3.4 Выбор программного обеспечения для ЛВС

3.4.1 Выбор программного обеспечения для защиты от НСД с помощью мандатного разграничения доступа

3.4.2 Выбор операционной системы

3.5 Организация защиты информации в ЛВС

3.5.1 Определение объектов защиты информации в ЛВС

3.5.2 Определение субъектов доступа к защищаемой в ЛВС информации

3.5.3 Определение общей и частных целей защиты информации в ЛВС

3.5.4. Определение видов и направлений защиты информации

3.5.5 Определение форм проявления уязвимости информации

3.5.6 Определение прав доступа субъектов доступа к объектам защиты информации в ЛВС

3.5.7 Перечень мероприятий по защите информации в ЛВС

3.5.8 Выбор методов и способов защиты информации в ЛВС

3.5.9 Выбор средств и систем защиты информации в ЛВС

4. Мероприятия по подготовке объектов (помещений здания) к вводу локальной вычислительной сети в действие

4.1 Мероприятия по обучению и проверке квалификации персонала ЛВС

4.2 Мероприятия по созданию необходимых подразделений и рабочих мест персонала ЛВС

4.3 Мероприятия, исходящие из специфических особенностей создаваемой ЛВС

Заключение

Список используемой литературы

Введение

Целью курсового проектирования при изучении дисциплины «Вычислительные сети» является получение студентами навыков проектирования локальных вычислительных сетей (ЛВС) по технологии Ethernet на основе теоретических знаний и практических умений, приобретенных на лекционных занятиях, при выполнении лабораторных работ, в процессе индивидуальных занятий и самостоятельной работы по названной дисциплине.

Суть проекта заключается в выработке наиболее оптимального по эффективности и стоимости проектного решения работоспособной ЛВС, соединяющей все рабочие станции, указанные в техническом задании.

В результате выполнения курсового проекта должны быть выполнены следующие пункты:

— осуществлен выбор средства аппаратного и программного обеспечения ЛВС, реализующее функции, указанные в задании на курсовое проектирование;

— разработана структурная схема с комплекса технических средств ЛВС (схема С1) в соответствии РД 50-34.698-90 «Методические указания. Информационная технология. Комплекс стандартов и руководящих документов на автоматизированные системы. Автоматизированные системы. Требования к содержанию документов» и оформлена в соответствии с ГОСТ 2.701-84 (2000) «Единая система конструкторской документации. Схемы виды и типы. Общие требования к выполнению»;

— разработаны планы прокладки кабельных трасс (схемы Э1 и Э5), выполненные в соответствии с названным ГОСТ 2.701-84 (2000) и ГОСТ 2.702-2011 «Единая система конструкторской документации. Правила выполнения электрических схем».

1. Общие положения

В рамках данного курсового проекта произведена разработка ЛВС образовательного учреждения на основе методических указаний к курсовому проекту по дисциплине «Вычислительные сети» специальности 090102 «Компьютерная безопасность». Проектирование осуществила студентка группы 042 Перец Татьяна Александровна.

1.1 Цели, назначение и области использования ЛВС

вычислительный сеть локальный информация

Цели создания ЛВС:

- Обеспечение доступа к сетевому хранилищу данных через Интернет.

Назначения ЛВС:

- создание данной вычислительной сети в пределах учебного заведения позволит значительно ускорить процесс обмена информацией между студентами и работниками, а также предоставит удаленный доступ каждому авторизованному пользователю к сетевому хранилищу, что также будет существенно способствовать улучшению качества учебного процесса.

Области применения данной ЛВС:

- использование преподавателями и студентами на территории учебного заведения.

1.2 Сведения об использованных при проектировании нормативно-технических документах

При проектировании данной ЛВС были использованы следующие нормативно-технические документы:

- ГОСТ 2.105-95 «Единая система конструкторской документации. Общие требования к текстовым документам»;

- РД 50-34.698-90 «Методические указания. Информационная технология. Комплекс стандартов и руководящих документов на автоматизированные системы. Автоматизированные системы. Требования к содержанию документов»;

- ГОСТ 2.701-84 (2000) «Единая система конструкторской документации. Схемы виды и типы. Общие требования к выполнению»;

- ГОСТ 2.702-2011 «Единая система конструкторской документации. Правила выполнения электрических схем».

1.3 Очередность создания системы и объем каждой очереди

Первоначально, необходимо определить очередность создания проектируемой системы и ее компонентов. Выделим основные шаги ввода в эксплуатацию ЛВС (в порядке возрастания их важности):

1. Подготовка помещений учебного заведения:

- подготовка аудиторий и помещений для установки оборудования и прокладки кабелей;

- подготовка вспомогательных средств и систем (электропитания, отопления и т.д.);

2. Установка и настройка административной подсети:

- установка серверного оборудования;

- установка административных рабочих станций;

- установка коммутаторов для административных аудиторий и сервера;

- прокладка кабелей от административных аудиторий к главному коммутатору, находящемуся в серверной аудитории;

- настройка главного коммутатора и коммутаторов административных аудиторий;

- настройка ПО сервера и рабочих станций административных аудиторий;

3. Установка и настройка студенческой подсети:

- установка рабочих станций в неадминистративных аудиториях;

- установка коммутаторов в неадминистративных аудиториях с рабочими станциями;

- соединение рабочих станций неадминистративных аудиторий с соответствующими коммутаторами;

- прокладка кабелей к главному коммутатору, находящемуся в серверной аудитории;

- настройка главного коммутатора и коммутаторов неадминистративных аудиторий;

- настройка ПО рабочих станций неадминистративных аудиторий и сервера;

4. Установка и настройка средств и систем защиты информации:

- установка средств и систем защиты информации;

- настройка средств и систем защиты информации;

5. Обучение персонала;

6. Эксплуатация и сопровождение.

2. Описание выполняемых функций

Согласно варианту на курсовой проект, в результате проектирования ЛВС должен быть обеспечен доступ к сетевому хранилищу данных через Интернет.

В качестве требований по защите информации в ЛВС задано:

- техническая защита от программных вирусов;

- техническая защита от НСД с использованием мандатного разграничения доступа;

- техническая защита от внешних атак на вскрытие пароля.

При проектировании ЛВС, согласно варианту задания, должно использоваться оборудование 3COM, но в апреле 2010 года компания 3COM была приобретена корпорацией Hewlett-Packard и стала частью подразделения HP Networking, поэтому при проектировании будем использовать оборудование корпорации HP.

В данной ЛВС выделим 3 подсети. Согласно варианту задания, в здании имеется 10 помещений (включая комнату, в которой будет располагаться серверное оборудование). Каждое из них необходимо специально оборудовать и включить в состав проектируемой ЛВС. 3 помещения являются административными (количество рабочих станций меньше 6) — они будут объединены в одну административную подсеть (организация административной подсети подробно описана в пунктах 4.1.1 и 4.1.2), 1 помещение отведено под серверную комнату, а остальные помещения будут включены в отдельную не административную (далее будем называть ее студенческой) подсеть. Таким образом, сетевые узлы будут иметь доступ к серверу, но не будут иметь доступ к сетевым узлам из других подсетей. Техническое решение по организации данной логической структуры приведено пункте 4.

Пропускная способность ЛВС будет зависеть от характеристик физической среды передачи и от принятого способа передачи данных (FastEthernet/ Gigabit Ethernet). В данном случае в качестве физической среды передачи используется витая пара. Конечный вариант спроектированной ЛВС должен удовлетворять требованиям стандарта IEEE 802.3 (Ethernet), а также иметь общую стоимость, приемлемую для конкретного образовательного учреждения.

Размещение рабочих станций в аудиториях представлено в таблице 2.1.

Таблица 2.1 — Размещение рабочих станций в аудиториях

№ варианта

Номера помещений размещения рабочих станций ЛВС /кол-во рабочих станций в помещении

Номер помещения размещения серверного оборудования ЛВС

Рекомендуемый производитель активного оборудования ЛВС

IP-адреса узлов ЛВС

13

106/16; 115/4; 125/8; 101/20; 227/10; 226/12; 201/16; 243/3; 249/3;

232

3COM

207.65.97.0/24

3. Основные технические решения по ЛВС

3.1 Разработка структуры ЛВС

3.1.1 Разработка физической и логической структуры ЛВС. Выбор сетевых коммуникационных устройств, оконечного оборудования. Разработка схемы комплекса технических средств ЛВС

ЛВС, разрабатываемая в данном проекте, представляет собой множество рабочих станций, которые с помощью коммутационных устройств будут соединяться с сервером.

Рабочие станции будут подключаться к ЛВС по технологии Ethernet 100BASE-TX (Fast Ethernet) — стандарт IEEE 802.3u. Серверное оборудование — по технологии Ethernet 1000BASE-T (Gigabit Ethernet) — стандарт IEEE 802.3ab.

В качестве активного сетевого оборудования используется сетевое оборудование HP. Выбор сетевых адаптеров для рабочих станций и сервера произведен, исходя из вышесказанного: сетевые адаптеры для рабочих станций должны поддерживать технологию Ethernet 100BASE-TX (Fast Ethernet), а сетевые адаптеры для сервера — 1000BASE-T (Gigabit Ethernet).

В качестве топологии при разработке ЛВС была выбрана топология «звезда-шина». В звездно-шинной (star-bus) топологии используется комбинация шины и пассивной звезды. К концентратору подключаются как отдельные компьютеры, так и целые шинные сегменты. На самом деле реализуется физическая топология шина, включающая все компьютеры сети. В данной топологии может использоваться и несколько концентраторов, соединенных между собой и образующих так называемую магистральную, опорную шину. К каждому из концентраторов при этом подключаются отдельные компьютеры или шинные сегменты. В результате получается звездно-шинное дерево. Таким образом, пользователь может гибко комбинировать преимущества шинной и звездной топологий, а также легко изменять количество компьютеров, подключенных к сети.

На рисунке 3.1 приведен пример звездно-шинной топологии.

Рисунок 3.1 — Схема топологии «звезда-шина».

В качестве линии связи была выбрана неэкранированная витая пара категории 5е. Данный выбор основывается на том, что она поддерживает как технологию Ethernet 100BASE-TX (Fast Ethernet) , так и технологию Ethernet 1000BASE-T (Gigabit Ethernet). Согласно стандартам IEEE 802.3ab и IEEE 802.3u. устанавливается ограничение на длину связи между узлами — 100 метров. Конфигурация проектируемой ЛВС приведена в таблице 2.

Таблица 3.1 — Конфигурация ЛВС

Компонент/характеристика

Реализация

Топология

Звезда-шина

Линия связи

Неэкранированная витая пара категории 5e

Сетевые адаптеры

Ethernet 100BASE-TX, Ethernet 1000BASE-T

Ретрансляторы (повторители, коммутаторы, маршрутизаторы)

Коммутаторы Ethernet 100BASE-TX,

коммутаторы Ethernet 1000BASE-T.

Управление совместным использованием ресурсов

Сеть на основе сервера с рабочими станциями — клиентами

Сетевые узлы располагаются на двух этажах в аудиториях, номер которых задан техническим заданием на разработку ЛВС. Прокладка кабеля будет осуществляться вдоль коридорных стен на высоте равной трем метрам. Такое решение позволит сделать расположение кабелей труднодоступным для злоумышленников, в то время как персонал не должен испытать проблем доступа к ним.

При разработке ЛВС была предусмотрена и заложена возможность ее дальнейшего развития — под резерв оставлено около 20% количества портов коммутаторов.

Организацию подсетей будем проводить с помощью технологии VLAN. Для упрощения задачи будем использовать управляемые коммутаторы.

VLAN (аббр. от англ. Virtual Local Area Network) — логическая («виртуальная») локальная компьютерная сеть, представляющая собой группу хостов с общим набором требований, которые взаимодействуют так, как если бы они были подключены к широковещательному домену, независимо от их физического местонахождения. VLAN имеет те же свойства, что и физическая локальная сеть, но позволяет конечным станциям группироваться вместе, даже если они не находятся в одной физической сети.

Достоинства использования технологии VLAN:

- гибкое разделение устройств на группы. Как правило, одному VLAN соответствует одна подсеть. Компьютеры, находящиеся в разных VLAN, будут изолированы друг от друга. Также можно объединить в одну виртуальную сеть компьютеры, подключенные к разным коммутаторам;

- уменьшение широковещательного трафика в сети. Каждый VLAN представляет отдельный широковещательный домен. Широковещательный трафик не будет транслироваться между разными VLAN;

- увеличение безопасности и управляемости сети. В сети, разбитой на виртуальные подсети, удобно применять политики и правила безопасности для каждого VLAN. Политика будет применена к целой подсети, а не к отдельному устройству;

- уменьшение количества оборудования и сетевого кабеля. Для создания новой виртуальной локальной сети не требуется покупка коммутатора и прокладка сетевого кабеля. Однако нужно использовать более дорогие управляемые коммутаторы с поддержкой VLAN.

В коммутаторах могут использоваться три типа VLAN:

- VLAN на базе портов;

- VLAN на базе MAC-адресов;

- VLAN на основе меток в дополнительном поле кадра — стандарт IEEE 802.1q.

В данной сети организация VLAN будет осуществляться путем логического объединения выбранных физических портов коммутатора. При этом каждый порт приписывается той или иной виртуальной сети. К одному порту коммутатора может быть подключено несколько компьютеров, например, через коммутатор. Все эти компьютеры будут принадлежать к одной VLAN — к той, к которой приписан обслуживающий их порт коммутатора.

Создание виртуальных сетей на основе группирования портов не требует от администратора большого объема ручной работы — достаточно каждый порт приписать к нескольким заранее поименованным виртуальным сетям. Обычно такая операция выполняется с использованием программы, которая идет в комплекте с коммутатором.

На рисунке 3.2 показан один из примеров организации VLAN на основе группировки портов.

Как видно из рисунка 3.2 и схемы расположения компонентов ЛВС в помещениях здания, представленной в Приложении 1, именно такая организация VLAN является наиболее предпочтительной для данной проектируемой ЛВС.

Также необходимо 1500 метров неэкранированной витой пары категории 5e, которая подойдет как для подключения серверного оборудования по технологии 1000BASE-T (Gigabit Ethernet), так и для подключения рабочих станций по технологии 100BASE-TX (Fast Ethernet).

Рисунок 3.2 — Пример организации VLAN на основе группировки портов.

Будут выбраны такие рабочие станции и такое серверное оборудование, которые будут включать в себя сетевые адаптеры необходимого типа и количества. Всего потребуется 92 рабочих станций и один сервер.

Спроектированная ЛВС, которая представлена на структурной схеме в Приложении 2 полностью удовлетворяет требованиям стандартов IEEE 802.3u и 802.3ab Ethernet.

Таким образом, предлагаемые технические решения удовлетворяют требованиям стандартов, что гарантирует корректное функционирование локальной вычислительной сети.

3.1.2 IP-адреса узлов ЛВС

В локальных сетях, основанных на протоколе IPv4, могут использоваться специальные адреса, назначенные IANA (стандарты RFC 1918 и RFC 1597). Как показано на рисунке 3.3, эти IP-адреса делятся на несколько классов.

Рисунок 3.3 — Классы IP-адресов.

Согласно техническому заданию на курсовой проект, IP-адреса узлов проектируемой ЛВС 207.65.97.0/24. Следовательно, они относятся к классу С представленной модели.

Во 2 пункте уже было сказано, что всю проектируемую сеть решено разделить на 3 подсети. Для осуществления выбора адресов подсетей будем использовать таблицу VLSM (Variable Length Subnet Mask) (рисунок 3.4). Применение масок сети переменной длины (VLSM) позволяет более рационально использовать адресное пространство, выделенное организации.

Для адресации подсетей будут использоваться следующие IP-адреса:

- для 1 подсети (серверная, аудитория 232) — 207.54.97.0/26;

- для 2 подсети (административной, аудитории 115, 243, 249) — 207.54.97.64/26;

- для 3 подсети (студенческой, аудитории 106, 125, 101, 227, 226, 201) — 207.54.97.127/25.

Таблица 3.2 — Характеристики сети класса С с адресом IP 207.54.97.0.

Network

Broadcast

Netmask

Hosts

207.54.97.0

207.54.97.63

255.255.255.192

62

207.54.97.64

207.54.97.126

255.255.255.192

62

207.54.97.127

207.54.97.255

255.255.255.192

126

Рисунок 3.4 — Таблица подсетей VLSM.

Выполнять маршрутизацию между подсетями нет необходимости, поскольку не требуется доступ из одной подсети в другую, требуется лишь доступ к серверу.

Подключение сервера к главному коммутатору, а также соединения коммутаторов с главным коммутатором будет произведено через trunk-порты. Trunk-порт — это порт (или несколько портов), который принадлежит сразу нескольким VLAN-ам одновременно. При этом к Ethernet-фрейму (кадру) при передаче по trunk еще добавляется метка VLAN-а (тэг).

Размер тэга — 4 байта. Он состоит из следующих полей:

- Tag Protocol Identifier (TPID, идентификатор протокола тегирования). Размер поля — 16 бит. Указывает, какой протокол используется для тегирования. Для 802.1Q используется значение 0x8100.

- Priority (приоритет). Размер поля — 3 бита. Используется стандартом IEEE 802.1p для задания приоритета передаваемого трафика.

- Canonical Format Indicator (CFI, индикатор канонического формата). Размер поля — 1 бит. Указывает на формат MAC-адреса. 0 — канонический, 1 — не канонический. CFI используется для совместимости между сетями Ethernet и Token Ring.

- VLAN Identifier (VID, идентификатор VLAN). Размер поля — 12 бит. Указывает какому VLAN принадлежит фрейм. Диапазон возможных значений от 0 до 4095.

Такой трафик называется тэгированым. Таким образом, на сервер будет попадать тэгированый трафик. Сервер, на основе метке VLAN-а будет знать — откуда пришел трафик, для чего при настройке коммутаторов достаточно при настройке каждого порта указать 2 идентификатора VLAN (VID — VLAN ID): первый — для подсети аудитории, второй — для подсети сервера. Если аудитория является административным помещением, то необходимо указать 3 идентификатора VLAN: первый — для подсети аудитории, второй — для подсети сервера, третий — для административной подсети.

Таким образом, следует сделать замечание о том, что выбранное сетевое оборудование должно поддерживать кроме стандартов 802.3u и 802.3ab стандарт 802.1q, который описывает процедуру тегирования трафика для передачи информации о принадлежности к VLAN.

Также, плюсом такой организации сети является то, что при необходимости доступа в сеть Интернет достаточно будет установить на сервере еще один сетевой адаптер.

Сервер будет иметь две сетевых карты, при этом через первый интерфейс он подключается к маршрутизатору проектируемой ЛВС, а второй интерфейс подключается к маршрутизатору провайдера, который находится за периметром образовательного учреждения и в проектировании ЛВС здания роли не играет.

3.2 Разработка структурной схемы комплекса технических средств ЛВС

В помещениях здания будут располагаться:

- 92 рабочих станций;

- 1 сервер;

- 1 сетевое хранилище;

- 3 коммутатора с 8-ю портами (аудитория 115, 243, 249);

- 3 коммутатора с 16-ю портами (аудитории 125, 226, 227);

- 3 коммутатора с 24-мя портами (аудитории 106, 101, 201)

- 1 маршрутизатор с 24 портами (аудитория 232).

Выбран тип кабеля — неэкранированная витая пара категории 5е, поддерживаемый стандартами 802.3ab и 802.3u.

3.3 Техническое описание ЛВС

3.3.1 Выбор среды передачи информации

Для выбора наиболее подходящей среды передачи данных рассмотрим основные виды кабелей, которые возможно использовать при проектировании ЛВС:

- оптоволоконный кабель;

- коаксиальный кабель;

- витая пара.

Оптоволоконный кабель.

Достоинства:

- способности пропускать одновременно большое количество информации;

- эффективная защита от различных помех;

- высокий срок службы, который составляет 25 лет.

Недостатки:

- высокая стоимость самого кабеля;

- высокая цена оборудования для установки этого вида кабеля и его дальнейшего обслуживания.

Коаксиальный кабель.

Достоинства:

- широкополосный кабель может использоваться для передачи речи, данных, радио, телевидения и видео;

- кабель относительно просто устанавливать;

- коаксиальные кабели имеют доступную цену по сравнению с другими типами кабелей;

- сравнительно малое затухание сигнала.

Недостатки:

- легко повреждается и иногда с ним трудно работать, особенно в случае толстого коаксиального кабеля;

- некоторые толстые коаксиальные кабели дороже устанавливать, особенно если их нужно проложить через существующие проводки для кабелей;

- коннекторы могут быть дорогими;

- коннекторы трудно устанавливать.

Витая пара.

По сравнению с волоконно-оптическими и коаксиальными кабелями, использование витой пары обладает рядом существенных преимуществ. Такой кабель более тонкий, более гибкий и его проще устанавливать. Он также недорог. И вследствие этого, витая пара является идеальным средством передачи данных для офисов или рабочих групп, где нет электромагнитных помех. Однако, витая пара обладает следующими недостатками: сильное воздействие внешних электромагнитных наводок, возможность утечки информации и сильное затухание сигналов. Кроме того, проводники витой пары подвержены поверхностному эффекту — при высокой частоте тока, электрический ток вытесняется из центра проводника, что приводит к уменьшению полезной площади проводника и дополнительному ослаблению сигнала.

Таким образом, в данной ЛВС в качестве среды передачи информации выбирается кабель витой пары категории 5е, так как она подойдет как для подключения серверного оборудования по технологии IEEE 802.3ab 1000BASE-T (Gigabit Ethernet), так и для подключения рабочих станций по технологии IEEE 802.3 100BASE-TX (Fast Ethernet).

Для данной сети выбран кабель в бухтах Кабель UTP 4 пары кат.5e < бухта 300 / 305м> типа PCNet. Согласно Приложению 2, потребуется 1500 метров кабеля.

Выбрана неэкранированная витая пара, поскольку по техническому заданию не требуется защита от утечки информации по каналам побочных электромагнитных излучений и наводок.

3.3.2 Выбор оборудования для активных компонентов ЛВС

Согласно заданию на курсовой проект (вариант 13), при проектировании ЛВС должно использоваться оборудование компании 3COM. Как уже упоминалось (пункт 3), в 2010 году компания 3COM была выкуплена корпорацией HP. В связи с этим при проектировании, целесообразно использовать оборудование именно этой марки.

Будут использоваться управляемые коммутаторы, так как с их помощью можно обеспечить более гибкую настройку сети.

Выбор коммутаторов основывался на том, что они должны поддерживаться одновременно три стандарта: IEEE 802.3u, IEEE 802.3ab и IEEE 802.1q.

То есть выбранные коммутаторы должны поддерживать:

- технологию 100BASE-TX (Fast Ethernet) — для обмена данными с рабочими станциями;

- технологию 1000-BASE-T (Gigabit Ethernet) — для обмена данными с сервером;

- технологию VLAN — для разбиения сети на виртуальные подсети.

Необходимость поддержки технологии VLAN обуславливается тем, что благодаря ее организации трафик каждой виртуальной сети будет распространяться только внутри нее и не будет передаваться в другие виртуальные сети.

В соответствии с физической и логической структурой ЛВС было выбрано следующее оборудование:

Компьютер рабочей станции.

При выборе компьютера для рабочей станции предпочтение отдавалось компьютерам компании НИКС. Компромиссным решением цены и качества стали компьютеры модели С5000МВ (C5348LNi).

За счет сетевого адаптера, встроенного в материнскую плату Realtek RTL8111F , конфигурация системного блока, поддерживает все необходимые технологии (Ethernet 1000BASE-T, Ethernet 100BASE-TX, VLAN).

Данный компьютер показывает хорошую производительность, достаточную для обеспечения нужд при работе пользователей проектируемой ЛВС.

Рисунок 3.5 — Компьютер С500МВ.

Конфигурация рабочей станции подробно представлена в таблице 3.

Таблица 3.3 — Конфигурация рабочей станции:

Устройство

Модель

Операционная система

Microsoft Windows 7 Professional

Материнская плата

GigaByte GA-B75M-D3V rev2.0 (OEM) LGA1155 <B75> PCI-E+Dsub+DVI+GbLAN SATA MicroATX 2DDR-III

Процессор

CPU Intel Core i3-3240 3.4 GHz/2core/SVGA HD Graphics 2500/0.5+3Mb/55W/5 GT/s LGA1155

Оперативная память

2x Crucial <CT25664BA160B> DDR-III DIMM 2Gb <PC3-12800>

Жесткий диск

HDD 500 Gb SATA 6Gb/s Seagate Barracuda 7200.12 <ST500DM002> 3.5″ 7200rpm 16Mb

Видеокарта

Интегрированная в процессор Intel HD Graphics 2500

Дисковод

DVD RAM & DVD±R/RW & CDRW Samsung SH-224DB <Black> SATA (OEM)

Система охлаждения

Arctic Cooling Alpine 11 Pro rev.2 Cooler (775/1155, 500-2000об/мин, 23.5дБ, Al)

Корпус

Minitower INWIN EMR002 <Black> Micro ATX 350W (24+4пин)

Для полной комплектации каждой рабочей станции было также выбрано следующее оборудование:

а) источник бесперебойного питания UPS 650VA Back APC < BX650CI>, который обеспечит надежную защиту от перегрузок и необходимое время для корректного завершения работы при отключении питания. ИБП обладает следующими характеристиками: максимальная выходная мощность 650 ВА; эффективная мощность 390 Ватт.

б) ЖК монитор hp P17A <F4M97AA> с диагональю 17 дюймов и разрешением 1280×1024.

в) Мышь A4-Tech Optical Mouse < OP-720-Black (1) > (RTL) USB 3btn+Roll.

г) Клавиатура A4-Tech KR-86 < PS / 2 > 104КЛ+19КЛ

Сервер Выбор подходящего серверного оборудования для ЛВС остановился на сервере компании DEPO Storm 2350N5.

DEPO Storm 2350N5 — это универсальный двухпроцессорный сервер на базе процессоров Intel® Xeon® серии E5-2400 выполнен в корпусе Tower, с возможностью монтажа в стойку. Обладает лучшим в своем классе соотношением производительности, масштабируемости, отказоустойчивости и стоимости.

Основным критерием при выборе именно этого сервера была его многофункциональность. Конкретно, данный сервер может использоваться для следующих служб:

- файл-сервер;

- сервер резервного копирования;

- терминальный сервер;

- сервер приложений;

- сервер СУБД;

- сервер виртуализации;

- сервер электронной почты;

- контроллер домена (DC);

- сервер видеонаблюдения.

Основные преимущества:

- универсальный производительный бюджетный сервер в исполнении Pedestal на базе процессоров Intel® Xeon® серии E5-2400, поддерживающий двухпроцессорные конфигурации, предназначен для приложений, требовательных к вычислительной мощности;

- возможность выбора интерфейса накопителей (SAS или SATA) обеспечивает необходимую гибкость конфигурации в зависимости от требований к производительности и стоимости дисковой подсистемы;

- возможность установки до 10 жестких дисков 3,5″ позволяет увеличивать количество накопителей по мере роста нагрузки на сервер и возможностью организации RAID-массивов уровней: 0, 1, 10, 5, 5EE, 50, 6, 60;

- наличие большого количества слотов расширения позволяет гибко настраивать сервер для широкого круга задач конечного пользователя.

Рисунок 3.6 — Сервер DEPO Storm 2350N5.

Конфигурация данного сервера подробно представлена в таблице 3.4.

Таблица 3.4 — Конфигурация сервера:

Наименование

Значение

Базовая конфигурация

DEPO Storm 2350N5

Операционная система

Microsoft Windows Server 2012 Standard R2 64-bit, Rus

Процессор

Intel Xeon E5-2407 (4-core, 2.2GHz, 10Mb Cache, 6.4 GT/s, 1066MHz)

Оперативная память

4GB DDR3-1600 ECC REG

Контроллер

Интегрированный 10x SATA (RAID 0, 1, 5, 10)

Дисковый массив

1 x 1000GB SATA hard drive (7200rpm)

Дисковая корзина

Без корзины горячей замены

Дисковод

DVD-RW/CD-RW/DVD SATA

Видеокарта

Integrated Matrox G200eW Graphics

Сетевая карта

Интегрированный Dual Intel® 82574L Gigabit Ethernet Controller

Последовательный порт

1xCOM (UART 16550) на задней панели

Порты USB

2x USB 2.0 на задней панели

Блок питания

Блок питания 700W

Слоты расширения

Полноразмерные: 1x PCI-E 3.0 x16 + 3x PCI-E 3.0 x8 + 1x PCI-E x4 (in x8 slot) + 1x PCI-32

Комплект для монтажа в стойку

Комплект для монтажа в стандартную 19″ стойку.

Гарантия и дополнительный сервис

Стандартная CAR1S — 1 год с обслуживанием в СЦ

Благодаря сетевому адаптеру, встроенному в материнскую плату Dual Intel® 82574L Gigabit Ethernet Controller, конфигурация системного блока сервера поддерживает все необходимые технологии: Ethernet 1000BASE-T, Ethernet 100BASE-TX, VLAN. Высокая вычислительная мощность потенциально позволит использовать его для широкого круга задач. Операционная система Microsoft Windows Server 2012 позволяет легко настроить службу поддержки DHCP сервера. Ее использование значительно упростит обращение станций к серверу в проектируемой ЛВС.

Также в данной операционной системе есть встроенный web-сервер IIS, вполне удобный в настройке. Следовательно, не требуется приобретение других пакетов.

Для подключения ЛВС к сети Интернет, необходимо доукомплектовать сервер еще одним адаптером. Был выбран сетевой адаптер HP NC7170, 2 порта Gigabit Ethernet, который удовлетворяет требованиям проектируемой ЛВС, к тому же соответствует фирме указанной в ТЗ на проектируемую ЛВС.

Адаптер представляет собой съемную сетевую карты на чипсете Intel 82546EB. 2 порта со скоростью передачи данных 1Гбит/сек. Среда передачи — Ethernet 1000BaseT.

Поддерживаются следующие сетевые стандарты:

· IEEE 802.1p (Prioritizing)

· IEEE 802.1Q (VLAN)

· IEEE 802.3 (Ethernet)

· IEEE 802.3ab (TP Gigabit Ethernet)

· IEEE 802.3ad (Link Aggregation)

· IEEE 802.3u (Fast Ethernet)

· IEEE 802.3x (Flow Control)

В комплект к серверу были также выбраны:

а) источник бесперебойного питания UPS 1500VA Power Saving Back-UPS Pro APC < BR1500GI >, который обеспечит надежную защиту от перегрузок и необходимое время для корректного завершения работы при отключении питания. ИБП обладает следующими характеристиками: максимальная выходная мощность 1500 ВА; эффективная мощность 865 Ватт.

б) ЖК монитор hp P17A <F4M97AA> с диагональю 17 дюймов и разрешением 1280×1024.

в) Мышь A4-Tech Optical Mouse < OP-720-Black (1) > (RTL) USB 3btn+Roll.

г) Клавиатура A4-Tech KR-86 < PS / 2 > 104КЛ+19КЛ

Помимо физического серверного оборудования, был также приобретен пакет сетевой службы Server Reverse Proxy (обратный прокси-сервер) для организации работы доступа к сетевому хранилищу через Интернет.

Обратный прокси-сервер — это тип прокси-сервера, который ретранслирует запросы клиентов из внешней сети на один или несколько серверов, логически расположенных во внутренней сети. При этом для клиента это выглядит так, будто запрашиваемые ресурсы находятся непосредственно на прокси-сервере. В отличие от прозрачного прокси, который перенаправляет запросы клиентов к любым серверам в Интернете и возвращает им результат. Обратный прокси непосредственно взаимодействует лишь с ассоциированными с ним серверами и возвращает ответ только от них.

Схема работы обратного прокси-сервера представлена на рисунке 3.7.

Рисунок 3.7 — схема работы обратного прокси-сервера.

В качестве наиболее компромиссного варианта в отношении цена-качество была выбрана покупка пакета реализации обратного прокси-сервера как сетевой службы. Конкретно, на нужды проектируемой ЛВС, в состав которой входит 92 рабочие станции, подходит пакет reverse proxy 100 ports monthly plan. Оплата данного пакета помесячная. Для начальной установки и функционирования в пределах сети учебного заведение целесообразным будет приобрести минимально пакет сроком на полгода.

Сетевое хранилище

В качестве сетевого хранилища для нужд проектируемой ЛВС было выбрано сетевое хранилище WD < WDBCTL0020HWT-EESN > My Cloud 2Tb EXT (RTL) GbLAN, USB3.0.

Рисунок 3.8 — сетевое хранилище WD < WDBCTL0020HWT-EESN >

Модель сетевого хранилища My Cloud от производителя Western Digital позволяет хранить всевозможные материалы без абонентской платы и ограничений. Поддерживается автоматическое резервное копирование с помощью WD SmartWare Pro для операционных систем семейства Windows и возможность резервирования содержимого My Cloud на другом сетевом хранилище.

Конфигурация данного сетевого хранилища подробно приведена в таблице 3.5:

Таблица 3.5 — конфигурация сетевого хранилища

Наименование

Значение

Комплект поставки

Patch cord (RJ45)

ПО в комплекте

WD SmartWare Pro for Windows

Количество ядер процессора

2

Процессор

ARM

HDD в комплекте поставки NAS

2 Тб

Поддержка DLNA

DLNA 1.5

Порты

1 x USB 3.0 Type A, 1 порт 10/100/1000 Мбит/сек

Безопасность

Слот для Kensington lock

Блок питания

Внешний. Входит в комплект поставки

Соответствие стандартам

802.3ab (1000BASE-T)

Поддержка протоколов доступа к файлам

SMB/CIFS (Microsoft)

Сетевые протоколы

UPnP

Количество отсеков для HDD

1

Формат HDD (NAS)

3.5 «

Размеры (ширина x высота x глубина)

49 x 170.6 x 139.3 мм

Возможно подключение приобретаемого отдельно USB 3.0 накопителя для мгновенного расширения вашего облачного хранилища (USB накопитель подключается напрямую к My Cloud).

Управляемый коммутатор с 24 портами HP 3600-24 v2 SI(JG304A)

Такой коммуникатор будет установлен в аудитории 232.

Технические характеристики:

а) порты:

1) 24 разъема RJ-45 10/100 с автоматическим определением скорости;

2) 2 разъема SFP 10/100/1000 двойного назначения;

3) 2 разъема SFP 1000 Мбит/с.

б) память: 256 Мб ОЗУ, пакетный буфер: 2 МБ, флэш-память 128 МБ;

в) пропускная способность: до 9,5 млн пакетов в секунду;

г) функции управления: веб-браузер, интерфейс командной строки, ;

д) дополнительно: поддержка и тегирование VLAN.

Управляемый коммутатор c 8 портами HP 1810-8 v2 (J9800A).

Рисунок 3.9 — Коммутатор HP 1810-8 v2.

Такие коммутаторы будут использованы в аудиториях 115, 243, 249.

Технические характеристики:

а) порты:

1) 7 портов RJ-45 10/100 с автоматическим определением скорости (IEEE 802.3 тип 10BASE-T, IEEE 802.3u тип 100BASE-TХ);

2) 1 порт RJ-45 10/100/1000 с автоматическим определением скорости (IEEE 802.3 тип 10BASE-T, IEEE 802.3u тип 100BASE-TX, IEEE 802.3ab тип 1000BASE-T);

б) память: 128 Мб ОЗУ, пакетный буфер: 512 КБ, флэш-память 8 МБ;

в) пропускная способность: до 2,5 млн пакетов в секунду;

г) функции управления: веб-браузер;

д) дополнительно: поддержка и тегирование VLAN: поддерживает до 64 VLAN на основе портов и динамическую конфигурацию тегирования VLAN по стандарту IEEE 802.1Q.

Данный коммутатор имеет 7 портов, поддерживающих передачу данных со скоростью до 100Мбит/c (Fast Ethernet), а также один порт, поддерживающий передачу данных со скоростью до 1000Мбит/c (Gigabit Ethernet), что удовлетворяет выбранным характеристикам ЛВС.

Управляемый коммутатор c 16 портами HP 1910-16G (JE005A).

Рисунок 3.10 — Коммутатор HP 1910-16G.

Такие коммутаторы будут использованы в аудиториях 125, 227, 226.

Технические характеристики:

а) порты: 16 портов RJ-45 10/100/1000 с автоматическим определением скорости (IEEE 802.3 тип 10BASE-T, IEEE 802.3u тип 100BASE-TX, IEEE 802.3ab тип 1000BASE-T);

б) память: 128 Мб ОЗУ, пакетный буфер: 512 КБ, флэш-память 128 МБ;

в) пропускная способность: до 29,8 млн. пакетов в секунду;

г) функции управления: веб-браузер;

д) дополнительно: поддержка и тегирование VLAN: поддерживает до 64 VLAN на основе портов и динамическую конфигурацию тегирования VLAN по стандарту IEEE 802.1Q.

Данный коммутатор имеет 16 портов, поддерживающих передачу данных как со скоростью до 100Мбит/c (Fast Ethernet), так и передачу данных со скоростью до 1000Мбит/c (Gigabit Ethernet), что удовлетворяет выбранным характеристикам ЛВС.

Управляемый коммутатор c 24 портами HP 1910-24 (JG538A).

Рисунок 3.11 — Коммутатор HP 1910-24.

Данные коммутаторы будут установлены в аудиториях 106, 101, 201.

Технические характеристики:

а) порты: 24 порта RJ-45 10/100/1000 с автоматическим определением скорости (IEEE 802.3 тип 10BASE-T, IEEE 802.3u тип 100BASE-TX, IEEE 802.3ab тип 1000BASE-T);

б) память: 128 Мб ОЗУ, пакетный буфер: 512 КБ, флэш-память 32 МБ;

в) пропускная способность: до 6,6 млн. пакетов в секунду;

г) функции управления: веб-браузер;

д) дополнительно: поддержка и тегирование VLAN: поддерживает до 64 VLAN на основе портов и динамическую конфигурацию тегирования VLAN по стандарту IEEE 802.1Q.

Данный коммутатор имеет 24 порта, поддерживающих передачу данных как со скоростью до 100Мбит/c (Fast Ethernet), так и передачу данных со скоростью до 1000Мбит/c (Gigabit Ethernet), что удовлетворяет выбранным характеристикам ЛВС.

4.3.3 Калькуляция затрат на оборудование и комплектующие ЛВС

Стоимость оборудования и материалов, используемых для реализации спроектированной ЛВС, а также итоговая суммарная стоимость представлены в таблице 3.6.

Таблица 3.6 — Стоимость оборудования и материалов

Оборудование

Количество, шт.

Цена, руб.

Стоимость, руб.

Активное оборудование ЛВС

Управляемый коммутатор c 8 портами HP 1810-8 v2 (J9800A)

3

5 290

15 870

Управляемый коммутатор c 16 портами HP 1910-16G (JE005A)

3

11 532

34 596

Управляемый коммутатор c 24 портами HP 1910-24 (JG538A)

3

12 906

38 718

Управляемый коммутатор 3 уровня с 24 портами HP 3600-24 v2 SI(JG304A)

1

78 000

78 000

Рабочие станции и сервер

Сервер

1

95 200

95 200

Сетевая карта HP NC7170

1

1 285

1 285

ИБП для сервера

1

23 753

23 753

Системный блок для рабочих станций

92

14 500

1 334 000

Мышь

93

184

17 112

Клавиатура

93

539

50 127

Монитор

93

7 525

699 825

ИБП для рабочих станций

92

4 902

450 984

Сетевое хранилище и сетевые службы

Сетевое хранилище

1

7 649

7 649

Reverse Proxy

6 (пакет на 6 месяцев)

15 000

90 000

Компоненты кабельной системы

Кабель UTP 2 пары кат.5 < бухта 500м > BaseLevel < BL-UTP02-5-500, ССA PVC >

3

1 803

5 409

Кабельный канал 60х40

300

762

228 000

Внешний угол для кабельного канала 60х40

12

146

1 752

Внутренний угол для кабельного канала 60х40

12

146

1 752

RJ-45 коннектор

261

14

3 654

Шкаф настенный антивандальный

1

4 745

4 745

Итого

3 182 431

Данная стоимость ЛВС обусловлена тем, что в данном образовательном учреждении требуется достаточно много рабочих станций.

3.3.4 Проверочный расчет корректности ЛВС

При определении корректности конфигурации сети нужно рассчитать время двойного оборота (PDV).

Для этого комитет IEEE 802.3 приводит данные об удвоенных задержках, вносимых кабельными сегментами, сетевыми адаптерами и повторителями Fast Ethernet.

Для кабеля UTP Cat 5 удвоенная задержка, вносимая кабелем, составляет 1,112 bt/м. Максимальные задержки, вносимые двумя сетевыми адаптерами (или портами коммутаторов) при двойном обороте составляют 100 bt для сетевых адаптеров TX/FX.

Рассчитаем время двойного оборота на самом длинном сегменте сети — между коммутаторам, находящимся в аудитории 115 и маршрутизатором в аудитории 232. Повторители здесь не используются.

Протяженность кабельной линии — 120 м. Максимальная длина, предусмотренная стандартом — 100 м, но данный стандарт уже устарел. В настоящее время максимальное расстояние между современными коммутаторами без повторителей составляет 150-200 метров.

120 * 1,112 bt = 133,44 bt

Порты взаимодействующих коммутаторов создают задержку в 100 bt.

Повторитель на участке сети отсутствует, поэтому дополнительная задержка не создается.

Итоговая задержка равна 233,44 bt, что меньше заданного максимально возможного значения 512 bt.

Все остальные участки сети между портами взаимодействующих коммутаторов значительно меньше по своей протяженности и не содержат в своем составе повторителей. Соответственно, можно сделать вывод, что расчет на данном участке можно считать достаточным для проверки корректности разрабатываемой ЛВС.

3.3.5 Планы прокладки кабельных трасс

Планы прокладки кабельных трасс приведены в приложениях 1 и 2.

Помещения, представленные на планах прокладки кабельных трасс, имеют следующие размеры:

- один «оконный шаг» (ширина однооконной комнаты) В0=4м;

- глубина всех помещений (от входа к окну) L0=6м;

- ширина j-ой многооконной комнаты Вj0·m, где m — число окон в j — ой комнате. Количество окон в комнатах изображено на планах прокладки кабельных трасс;

- ширина коридора Вк=2м;

- высота всех помещений Н=3м.

При проектировании кабельных трасс следует считать, что:

- кабели связи прокладываются (главным образом) вдоль коридорных стен на высоте не менее 2,4м;

- переходы кабелей с этажа на этаж производятся через кабельные туннели, показанные на планах;

- переходы кабелей через межкомнатные переборки не допускаются;

- прокладка кабелей из коридора в комнату не использует дверной проем комнаты.

3.4 Выбор программного обеспечения для ЛВС

3.4.1 Выбор программного обеспечения для защиты от НСД с помощью мандатного разграничения доступа

В качестве программного обеспечения для защиты от НСД с помощью мандатного разграничения доступа было выбрано специальное программное обеспечение от компании «Код безопасности» Secret Net версии 7.

СЗИ Secret Net предназначено для решения следующих типовых задач:

- Защита информации на рабочих станциях и серверах в соответствии с требованиями регулирующих органов

- Контроль утечек и каналов распространения защищаемой информации

Основные возможности данной СЗИ:

1. Разграничение доступа — Secret Net позволяет гибко разграничивать доступ пользователей к информации и ресурсам защищаемой автоматизированной системы.

2. Контроль утечек — Secret Net позволяет защитить важные бизнес-данные от утечек через внешние устройства, сетевые интерфейсы, устройства печати и др.

3. Централизованное управление — централизованное иерархическое управление упрощает применение Secret Net в больших системах и в организациях с большим количеством филиалов.

4. Система отчетов — широкий спектр наглядных отчетов о состоянии Secret Net и зафиксированных событиях облегчает контроль функционирования системы.

5. Высокая масштабируемость — Secret Net обеспечивает эффективную защиту как отдельных рабочих станций, так и вычислительных инфраструктур класса Enterprise.

Преимущества Secret Net 7:

- Простота развертывания и администрирования

- Гибкие настройки защиты для разных вариантов применения

- Поддержка широкой линейки ОС — от Windows XP до Windows 8.1 и Windows Server 2012 R2

Система сертифицирована ФСТЭК и Минобороны России. Применяется для защиты АС до класса 1Б включительно (в том числе защита гостайны с грифом «совершенно секретно»), ИСПДн до У31 включительно и ГИС до 1 класса включительно.

Для нужд нашей ЛВС (92 рабочие станции и сервер) будет приобретен пакет СЗИ Secret Net версия 7. Сервер безопасности класса B.

Сервер класса B — до 250 защищаемых серверов и рабочих станций (от 1 до 249 рабочих станций/серверов).

3.4.2 Выбор операционной системы

В качестве операционной системы для сервера была выбрана Microsoft Server 2012 R2. Выбор обусловлен простотой и гибкой реализации настроек политик паролей для защиты от внешних атак на вскрытие пароля и широких возможностей работы с AC (Active Directory).

Active Directory («Активный каталог», AD) — LDAP-совместимая реализация службы каталогов корпорации Microsoft для операционных систем семейства Windows NT. Active Directory позволяет администраторам использовать групповые политики для обеспечения единообразия настройки пользовательской рабочей среды, разворачивать программное обеспечение на множестве компьютеров через групповые политики или посредством System Center Configuration Manager (ранее Microsoft Systems Management Server), устанавливать обновления операционной системы, прикладного и серверного программного обеспечения на всех компьютерах в сети, используя Службу обновления Windows Server. Active Directory хранит данные и настройки среды в централизованной базе данных. Сети Active Directory могут быть различного размера: от нескольких десятков до нескольких миллионов объектов.

Представление Active Directory состоялось в 1999 году, продукт был впервые выпущен с Windows 2000 Server, а затем был модифицирован и улучшен при выпуске Windows Server 2003. Впоследствии Active Directory был улучшен в Windows Server 2003 R2, Windows Server 2008 и Windows Server 2008 R2 и переименован в Active Directory Domain Services.

Доменные службы Active Directory предоставляют распределенную базу данных, в которой хранятся сведения о сетевых ресурсах и данные приложений с поддержкой каталогов, а также осуществляется управление этой информацией. Сервер, на котором выполняются AD DS, называется контроллером домена. Администраторы могут использовать AD DS для упорядочения в иерархическую вложенную структуру таких элементов сети, как пользователи, компьютеры и другие устройства. Иерархическая вложенная структура включает лес Active Directory, домены в лесу и организационные подразделения в каждом домене.

Упорядочение элементов сети в иерархическую вложенную структуру предоставляет следующие преимущества.

· Лес действует как защитная граница для организации и определяет объем полномочий администраторов. По умолчанию лес содержит один домен, который называется корневым доменом леса.

· Чтобы структурировать данные AD DS, что позволит организациям реплицировать данные только там, где необходимо, в лесу можно создать дополнительные домены. Это позволяет AD DS глобально масштабировать сеть, имеющую ограниченную полосу пропускания. Домен Active Directory поддерживает также ряд других основных функций, которые связаны с администрированием, включая действующие во всей сети удостоверения пользователей, проверку подлинности и отношения доверия.

· Наличие подразделений упрощает делегирование прав, облегчая управление большим количеством объектов. С помощью делегирования владельцы могут передавать полные или ограниченные права на объекты другим пользователям или группам. Функция делегирования прав важна, так как помогает распределять управление большим количеством объектов между несколькими людьми, которым доверяется выполнение задач администрирования.

Средства безопасности интегрированы в AD DS в виде проверки подлинности и контроля доступа к ресурсам в каталоге. С помощью единого входа в сеть администраторы могут управлять по сети данными каталога и организацией. Авторизованные пользователи сети также могут использовать единый вход в сеть для доступа к ресурсам, расположенным в любом месте сети. Администрирование на основе политики облегчает управление даже очень сложной сетью.

Доменные службы Active Directory предоставляют следующие дополнительные возможности.

· Набор правил — схема, определяющая классы объектов и атрибуты, которые содержатся в каталоге, ограничения и пределы для экземпляров этих объектов, а также формат их имен.

· Глобальный каталог, содержащий сведения о каждом объекте в каталоге. Пользователи и администраторы могут использовать глобальный каталог для поиска данных каталога независимо от того, какой домен в каталоге действительно содержит искомые данные.

· Механизм запросов и индексирования, благодаря которому объекты и их свойства могут публиковаться и находиться сетевыми пользователями и приложениями.

· Служба репликации, которая распределяет данные каталога по сети. Все контроллеры домена, доступные для записи в домене, участвуют в репликации и содержат полную копию всех данных каталога для своего домена. Любые изменения данных каталога реплицируются в домене на все контроллеры домена.

· Роли хозяев операций (известные также как гибкие операции с единым хозяином, или FSMO). Контроллеры доменов, исполняющие роли хозяев операций, предназначены для выполнения специальных задач по обеспечению согласованности данных и исключению конфликтующих записей в каталоге.

3.5 Организация защиты информации в ЛВС

Защита информации в разрабатываемой ЛВС направлена на сохранение интегральных характеристик, а именно конфиденциальности, целостности и доступности циркулирующей и обрабатываемой в ЛВС информации.

3.5.1 Определение объектов защиты информации в ЛВС

Объектами защиты информации является информация, располагающаяся на сетевом хранилище.

3.5.2 Определение субъектов доступа к защищаемой в ЛВС информации

Субъектами доступа к защищаемой информации в ЛВС являются пользователи (студенты, сотрудники) и обслуживающий персонал ЛВС.

3.5.3 Определение общей и частных целей защиты информации в ЛВС

Общей целью защиты информации является предотвращение или существенное уменьшение величины ущерба, наносимого субъектам доступа ЛВС в результате утраты общедоступной информации и (или) утраты и утечки информации ограниченного доступа.

Частными целями защиты информации, согласно заданию на курсовое проектирование, являются:

- техническая защита от программных вирусов;

- техническая зашита от НСД с использованием мандатного разграничения доступа;

- техническая защита от внешних атак на вскрытие пароля.

3.5.4 Определение видов и направлений защиты информации

Различают следующие виды защиты информации:

правовая защита информации;

техническая защита информации;

криптографическая защита информации;

физическая защита информации.

В реализации данного курсового проекта используется только технический вид защиты. Техническая защита от программных вирусов реализуется посредством установки на все рабочие станции и сервер пакетов антивирусного оборудования Avira Free Antivirus 2014.

Механизмы управления доступом являются основой защиты ресурсов, обеспечивая решение задачи разграничения доступа субъектов к защищаемым информационным и техническим ресурсам — объектам.

Многоуровневые (мандатные) модели управления доступом предполагают формализацию процедуры назначения прав доступа посредством использования так называемых меток конфиденциальности или мандатов, назначаемых субъектам и объектам доступа.

Так, для субъекта доступа метки, например, могут определяться в соответствии с уровнем допуска лица к информации, а для объекта доступа (собственно данные) — признаками конфиденциальности информации. Признаки конфиденциальности фиксируются в метке объекта.

Права доступа каждого субъекта и характеристики конфиденциальности каждого объекта отображаются в виде совокупности уровня конфиденциальности и набора категорий конфиденциальности. Уровень конфиденциальности может принимать одно из строго упорядоченного ряда фиксированных значений, например: конфиденциально, секретно, для служебного пользования, не секретно и т.п.

Существуют требования к мандатному механизму, которые состоят в следующем:

1. Каждому субъекту и объекту доступа должны сопоставляться классификационные метки, отражающие их место в соответствующей иерархии. Посредством этих меток субъектам и объектам должны назначаться классификационные уровни. Данные метки должны служить основой мандатного принципа разграничения доступа.

2. Система защиты при вводе новых данных в систему должна запрашивать и получать от санкционированного пользователя классификационные метки этих данных. При санкционированном занесении в список пользователей нового субъекта ему должны назначаться классификационные метки. Внешние классификационные метки(субъектов, объектов) должны точно соответствовать внутренним меткам (внутри системы защиты).

3. Система защиты должна реализовывать мандатный принцип контроля доступа применительно ко всем объектам при явном и скрытом доступе со стороны любого из субъектов:

— субъект может читать объект, только если иерархическая классификация в классификационном уровне субъекта не меньше, чем иерархическая классификация в классификационном уровне объекта.

— субъект осуществляет запись в объект, только если классификационный уровень субъекта в иерархической классификации не больше, чем классификационный уровень объекта в иерархической классификации.

4. Реализация мандатных ПРД должна предусматривать возможность сопровождения, изменения классификационных уровней субъектов и объектов специально выделенными субъектами.

Достоинства такого разграничения:

- Существенно упрощается задача администрирования;

- Пользователь не может полностью управлять доступок к ресурсам, которые он создает.

- Пользователь или процесс, не обладающий определенным уровнем доверия, не может получить доступ к информации, процессам или устройствам более защищенного уровня.

Недостатки такого разграничения:

- Отдельно взятые категории одного уровня равнозначны, что приводит в большинстве случаев к избыточности прав доступа для конкретных субъектов в пределах соответствующих уровней.

Основу реализации управления доступом составляют:

1. Формальное сравнение метки субъекта, запросившего доступ, и метки объекта, к которому запрошен доступ.

2. Принятие решений о предоставлении доступа на основе некоторых правил, основу которых составляет противодействие снижению уровня конфиденциальности защищаемой информации.

Практика показывает, что многоуровневые модели защиты находятся гораздо ближе к потребностям реальной жизни, нежели матричные (дискреционные) модели, и представляют собой хорошую основу для построения автоматизированных систем разграничения доступа.

Для реализации такого метода разграничения доступа необходимо уставить специальное программное обеспечение на рабочие станции и сервер. В качестве программного обеспечения была выбрана последняя версия программного продукта компании «Код безопасности» Secret Net 7.

Подробное описание программного продукта СЗИ Secret Net описано в пункте 3.4.1.

Для нужд нашей ЛВС (92 рабочие станции и сервер) будет приобретен пакет СЗИ Secret Net версия 7. Сервер безопасности класса B.

Сервер класса B — до 250 защищаемых серверов и рабочих станций (от 1 до 249 рабочих станций/серверов). Цена ПО составит 92 000 рублей.

Реализация технической защиты от внешних атак на вскрытие пароля обеспечивается посредством изменения параметров политики паролей. Операционная система Windows server 2012 R2, установленная на сервере, обеспечивает довольно гибкую настройку политик учетных пользователей, в том числе и политик паролей.

Встроенными средствами системы обеспечивается настройка следующих политик:

1. Вести журнал паролей — не позволяет пользователям создавать новый пароль, аналогичный текущему или недавно использовавшемуся.

2. Максимальный срок действия пароля — Устанавливает период времени в днях, в течение которого будет действовать пароль. По истечении этого срока пользователь должен будет изменить пароль.

3. Минимальный срок действия пароля — устанавливает минимальное число дней, которые должны пройти перед тем, как пользователь сможет сменить пароль.

4. Минимальная длина пароля — устанавливает минимальное количество знаков, которые должны содержаться в пароле.

5. Пароль должен отвечать требованиям к сложности. Необходимо, чтобы пароли:

— имели длину не менее шести знаков;

— содержали комбинацию как минимум из трех указанных ниже знаков: прописные буквы, строчные буквы, цифры, знаки препинания.

— не содержали имени пользователя или экранного имени

6. Хранение пароля с использованием обратимого шифрования — хранение пароля без шифрования.

3.5.5 Определение форм проявления уязвимости информации

Формами проявления уязвимости информации, обрабатываемой в проектируемой ЛВС, являются:

- разрушение информации;

- хищение информации;

- потеря информации;

- несанкционированные уничтожение информации;

- несанкционированные искажение (модифицирование) информации;

- несанкционированные блокирование доступа к информации;

- несанкционированные копирование информации;

- несанкционированные предоставление информации;

- несанкционированные распространение информации;

- несанкционированное ознакомление с информацией.

Таблица 3.7 — Формы проявления уязвимости информации

п/п

Форма проявления уязвимости информации

Характеристики безопасности

Конфиден-циальность

Целостность

Доступность

1.

Разрушение информации

Нарушается

Нарушается

2.

Хищение информации

Нарушается

Возможно нарушается

3.

Потеря информации

Нарушается

Возможно нарушается

Возможно нарушается

4.

Несанкционированное уничтожение информации

Нарушается

Нарушается

5.

Несанкционированное искажение

Нарушается

Частично нарушается

6.

Несанкционированное ознакомление с информацией.

Нарушается

7.

Несанкционированное блокирование доступа к информации;

Нарушается

8.

Несанкционированное предоставление информации;

Нарушается

9.

Несанкционированное распространение информации;

Нарушается

10.

Несанкционированное копирование информации;

Нарушается

3.5.6 Определение прав доступа субъектов доступа к объектам защиты информации в ЛВС

Таблица 3.8 — Таблица прав доступа

Название группы

Внутренние ресурсы

Права доступа к внутренним ресурсам

Администраторы

Все ресурсы

Права администратора в каталогах, в том числе изменение уровня и прав доступа

Разработчики

Базы данных, программное обеспечение

Создание, чтение файлов, запись в файл, создание подкаталогов и файлов, удаление каталогов, поиск файлов, изменение каталогов

Сотрудники

Информационные ресурсы своего отдела

Ограничение доступа к папкам (файлам), а также к информационным ресурсам других отделов

Студенты

Образовательные ресурсы

Ограничение доступа к папкам (файлам), а также к информационным ресурсам других отделов

3.5.7 Перечень мероприятий по защите информации в ЛВС

На основе анализа требований по защите информации задания на курсовое проектирование, целей защиты информации, видов и направлений защиты информации, форм проявления уязвимостей информации был составлен перечень мероприятий по защите информации в ЛВС:

а) мероприятия по разграничению прав доступа. Администратор должен реализовать мандатную модель разграничения доступа ддля предотвращения НСД к ресурсам;

б) мероприятия по усилению парольных политик. Администратор должен внести изменения в политику паролей, чтобы обеспечить защиту от внешних атак на вскрытие паролей;

в) администратор должен иметь представление о виртуальных сетях VLAN, чтобы правильно организовать работу имеющихся виртуальных сетей;

г) обучение пользователей — подготовка активных участников информационной среды для работы в условиях соответствия требованиям информационной безопасности.

3.5.8 Выбор методов и способов защиты информации в ЛВС

На основе анализа требований по защите информации задания на курсовое проектирование, целей защиты информации, видов и направлений защиты информации, форм проявления уязвимостей информации был составлен перечень мероприятий по защите информации в разрабатываемой ЛВС:

а) мероприятия по разграничению прав доступа. Для каждого объекта и субъекта информационной системы должны быть проставлены метки конфиденциальности;

б) должна быть четко и правильно организована работа виртуальных подсетей проектируемой ЛВС;

в) должна быть организована настройка политик паролей.

Для проектируемой ЛВС необходимо использовать следующие часто применяемые на практике, а поэтому хорошо изученные и эффективные методы и механизмы защиты информации:

- идентификация — определение (распознавание) каждого участника процесса информационного взаимодействия перед тем, как к нему будут применены иные механизмы обеспечения информационной безопасности;

- аутентификация — обеспечение уверенности в том, что участник процесса информационного взаимодействия идентифицирован верно, то есть действительно является тем, чей идентификатор он предъявил;

- контроль доступа — создание и поддержание набора правил, определяющих каждому участнику процесса информационного обмена разрешение на доступ к ресурсам и вид (уровень) этого доступа. Это основной механизм, который обеспечивает разграничение прав доступа субъекта к объекту;

- авторизация — формирование набора (профиля) прав доступа для конкретного участника процесса информационного обмена из набора правил контроля доступа;

- механизмы аудита и мониторинга — регулярное отслеживание событий, происходящих в процессе обмена информацией с регистрацией и анализом предварительно определенных значимых или подозрительных событий.

В соответствии с заданием в проектируемой ЛВС будут использоваться технические методы защиты информации.

3.5.9 Выбор средств и систем защиты информации в ЛВС

Для проектируемой ЛВС необходимо использовать следующие методы и механизмы защиты информации, такие как организация виртуальной локальной сети VLAN и организация мандатного разграничения доступа для предотвращения YCL к ресурсам.

Организация виртуальной локальной сети — VLAN (Virtual Local Area Network).

Виртуальной локальной сетью называется группа узлов сети, трафик которой, в том числе и широковещательный, на канальном уровне полностью изолирован от трафиков других узлов сети. Достоинством технологии виртуальных сетей является то, что она позволяет создавать полностью изолированные сегменты сети путем логического конфигурирования коммутаторов, не прибегая к изменению физической структуры.

С помощью технологии VLAN трафик каждой подсети ЛВС будет изолирован, что позволит защитить информацию, циркулирующую в каждой подсети от НСД из другой подсети.

В данной сети организация VLAN будет осуществляться путем логического объединения выбранных физических портов коммутатора. При этом каждый порт приписывается той или иной виртуальной сети. К одному порту коммутатора может быть подключено несколько компьютеров, например, через коммутатор. Все эти компьютеры будут принадлежать к одной VLAN — к той, к которой приписан обслуживающий их порт коммутатора.

В качестве антивирусного ПО для рабочих станций я выбрала Avira Free Antivirus — бесплатный антивирус, антишпион и антируткит.

Основные возможности Avira Free Antivirus 2014:

1. Антивирус и антишпион

Эффективная защита в режиме реального времени и по запросу от различного рода вредоносных программ: вирусов, троянов, интернет-червей, программ-шпионов и рекламного ПО. Постоянные автоматические обновления и эвристическая технология AHeAD надежно защищают от известных и новых угроз.

2. Облачная защита

Облачная технология защиты Avira Protection Cloud — классификация угроз в реальном времени и быстрое сканирование системы.

3. Защита от руткитов

Анти-руткит Avira защищает от сложных в обнаружении угроз — руткитов.

4. Управлением Брандмауэром Windows

Avira Free Antivirus позволяет редактировать сетевые правила для приложений, изменить профили сети (Частная, Общая) и управлять расширенными параметрами Брандмауэра Windows в режиме повышенной безопасности.

Организация защиты от НСД с помощью мандатного разграничения доступа будет реализована посредством установки на все рабочие станции и сервер пакета программного обеспечения от компании «Код безопасности» Secret Net. Подробнее об этом ПО рассказано в пункте 3.4.1.

4. Мероприятия по подготовке объектов (помещений здания) к вводу локальной вычислительной сети в действие

4.1 Мероприятия по обучению и проверке квалификации персонала ЛВС

Лица, имеющие право доступа к ресурсам ЛВС, делятся на категории:

- системные администраторы (администраторы ресурсов сети);

- операторы баз данных;

- пользователи сети.

Системный администратор — должностное лицо, обеспечивающее непрерывное функционирование ЛВС и отвечающее за реализацию технических мер по конфигурированию и настройке сетевых системных программных средств на серверах и станциях пользователей; мониторинг сетевой операционной системы; обеспечение доступа пользователей ЛВС к ресурсам сети; ведение эксплуатационной документации по сети.

Оператор базы данных — должностное лицо, ответственное за ввод, корректность и поддержание актуальности информации в базе данных.

Пользователь сети — лицо, в установленном порядке зарегистрированное в сети и осуществляющее доступ к ресурсам ЛВС.

Пользователями сети в данном случае являются сотрудники и студенты.

Должность системного администратора совмещена с должностью администратора безопасности, что приводит к расширению круга обязанностей.

Системный администратор локальной сети обязан:

- производить работы по генерации, установке и настройке сетевой операционной системы;

- устанавливать новые сетевые программные средства;

- контролировать работу сетевой операционной системы, оперативно устранять неисправности и сбои на серверах и контроллерах ЛВС;

- подключать и своевременно удалять сетевые ресурсы и реквизиты пользователей ЛВС;

- вести документацию по сети;

- оказывать методическую помощь пользователям ЛВС;

- разрабатывать процедуры и инструкции по защите ресурсов локальной сети от нарушения целостности и несанкционированного доступа;

- обеспечивать эффективную защиту оборудования локальной сети, в том числе интерфейсов с другими сетями;

- оперативно реагировать на события, таящие угрозу целостности и нарушения правил доступа к информации в ЛВС, информировать системного администратора и администраторов баз данных о попытках нарушения защиты, оказывать помощь в отражении угрозы, выявлении нарушителей и предоставлении информации для их наказания;

- участвовать во всех изменениях сетевой аппаратно-программной конфигурации;

- периодически производить проверку надежности защиты локальной сети, не допускать получения привилегий неавторизованными пользователями.

Исходя из варианта задания на проектирование данной ЛВС, системный администратор также должен разбить сеть на несколько виртуальных сетей VLAN способом, указанным в разделе 3.1.1. «Разработка физической и логической структуры ЛВС. Выбор сетевых коммуникационных устройств, оконечного оборудования. Разработка схемы комплекса технических средств ЛВС», то есть путем логического объединения выбранных физических портов коммутатора. Также администратор с помощью специализированного программного обеспечения Secret Net версии 7 должен обеспечить защиту от НСД к ресурсам путем реализации мандатной модели разграничения доступа.

Оператор базы данных обязан:

- поддерживать в актуальном состоянии информацию во вверенной ему базе данных;

- в случае обнаружения сбоев или некорректной информации в базе данных оперативно информировать об этом системного администратора для принятия мер по её восстановлению.

Пользователь обязан:

- иметь знания и навыки, достаточные для самостоятельной работы с доступными ему программными и техническими ресурсами;

- использовать доступные защитные механизмы для обеспечения конфиденциальности своей информации.

4.2 Мероприятия по созданию необходимых подразделений и рабочих мест персонала ЛВС

Для организации эксплуатации системы необходимо предварительно выполнить следующие действия:

в структуре образовательного учреждения определить рабочие места системных администраторов;

предусмотреть возможность увеличения количества рабочих мест Системы для проведения экспериментов по оценке её масштабируемости.

4.3 Мероприятия, исходящие из специфических особенностей создаваемой ЛВС

Для организации работы в сети, администратор должен ее предварительно разбить на несколько виртуальных подсетей. Для предотвращения НСД к ресурсам необходимо воспользоваться специализированным программным обеспечением Secret Net версии 7, подробно описанной в пункте 3.4.1. Для защиты от внешних атак на вскрытие пароля необходимо изменить политики паролей встроенными средствами операционной системы.

Заключение

В результате выполнения курсового проекта были разработаны:

- структура ЛВС в соответствии с заданием на курсовое проектирование;

- схема структурная комплекса технических средств ЛВС;

- планы прокладки кабельных трасс;

Были выбраны средства аппаратного и программного обеспечения ЛВС, реализующие возможность организации доступа к сетевому хранилищу через Интернет.

Создание вычислительной сети позволит упростить процессы, связанные с обменом информацией между различными рабочими местами внутри образовательного учреждения и сам учебный процесс.

Список используемой литературы

1. Олифер В.Г., Олифер Н.А. Компьютерные сети. Принципы, технологии, протоколы: Учебник для вузов.4-е изд. — СПб: Питер, 2010. — 904 с.:ил.

2. Алексеенцев А.И. Сущность и соотношение понятий «защиты информации», «безопасность информации», «информационная безопасность» // Безопасность информационных технологий, 1999, №1, с. 16-20.

3. Таненбаум Э. Компьютерные сети. 4-е изд. — СПб.: Питер, 2003. — 947 с: ил.

4. Спортан Марк, Паппас Фрэнк, Компьютерные сети и сетевые технологии: Пер. с англ./Марк Спортак, Френк Паппас и др. — К.: ООО «ТИД «ДС», 2002. — 736 с.

Размещено на