72084

Администрирование локальной сети офиса

Дипломная

Информатика, кибернетика и программирование

Анализ виртуальных локальных сетей VLN Всем коммутируемым сетям присуще одно ограничение. Для того чтобы этого не происходило важно ограничить область распространения широковещательного трафика эта область называется широковещательным доменом организовать небольшие широковещательные домены...

Русский

2014-11-17

1.03 MB

56 чел.

ВВЕДЕНИЕ

Передо мной была поставлена задача в администрировании локальной сети офиса.

В своем дипломном проекте я покажу, какая локальная сеть была построена и что входит в задачи администратора ЛВС. В наши дни ни одна организация не обходится без компьютеров, которые, как правило, объединены в локальную сеть. Поэтому правильное функционирование компьютерной сети жизненно важно для того, чтобы информационные системы компании выполняли свои функции в полном объеме, а администрирование локальной сети становится задачей номер один для сетей любого масштаба и структуры.

Сегодня далеко не каждая компания или организация может позволить себе содержать в штате профессионального системного администратора для обслуживания и администрирования компьютерной сети. Необходимость администрирования давно не вызывает никаких споров среди руководителей современных организаций и компаний. Грамотный системный администратор Windows или Unix позволяет эффективно обеспечить информационную безопасность компании, защитить сеть от вирусов и возможных взломов злоумышленников, увеличить уровень отказоустойчивости всей локальной сети. Стоит отметить, что современное администрирование локальной сети – сложная и комплексная работа, состоящая из множества действий. Это еще более очевидно, если посмотреть на перечень необходимых работ:

•  Первичная настройка компьютерной сети, подключение компьютеров и периферии;

•  Настройка маршрутизации и оптимизация локальной сети;

•  Настройка общего доступа к ресурсам в сети, разграничение прав доступа;

•  Настройка общего доступа к сети Интернет;

•  Подключение новых компьютеров к сети и прочего сетевого оборудования;

•  Выявление и устранение неисправностей в локальной сети и сетевом оборудовании;

•  Организация защиты от несанкционированного доступа;

После того, как все эти пункты выполнены, задачи администратора сводятся к следующим пунктам:

•  снижение производственных затрат в сфере IT

•  повышение производительности работы

•  защита доходов клиентов

•  сохранение клиентской базы

•  улучшение качества жизни системного администратора

•  помощь в планировании пропускной способности сети

•  соответствие заявленному уровню обслуживания клиентов.

Раздел 1.

ХАРАКТЕРИСТИКА ОБЪЕКТА

1.1 Анализ программных решений для создания Интернет-шлюзов

Интернет-шлюз, как правило, это программное обеспечение, призванное организовать передачу трафика между разными сетями. Программа является рабочим инструментом системного администратора, позволяя ему контролировать трафик и действия сотрудников. Обычно Интернет-шлюз позволяет распределять доступ среди пользователей, вести учёт трафика, ограничивать доступ отдельным пользователям или группам пользователей к ресурсам в Интернет. Интернет-шлюз может содержать в себе прокси-сервер, межсетевой экран, почтовый сервер, шейпер, антивирус и другие сетевые утилиты. Интернет-шлюз может работать как на одном из компьютеров сети, так и на отдельном сервере. Шлюз устанавливается как программное обеспечение на машину с операционной системой, либо на пустой компьютер с развертыванием встроенной операционной системы.

Начнем работу с самого начала - с выбора операционной системы. Есть два основных варианта: ОС на ядре LINUX и ОС WINDOWS. Следует выбрать WINDOWS, если необходима легкость конфигурирования, разнообразие софта, привычная идеология системы.

К недостаткам же сервера на ОС Windows можно отнести повышенные требования к ресурсам, подверженность DoS-атакам, довольно малую стабильность в сети. Причем, время от времени находятся уязвимости, приводящие к полному выходу из строя сервера - от одной найденной уязвимости в WINDOWS SERVER 2003 серверы лежали более чем полугода.

Про LINUX сервер хочется сказать следующее: настройка, конечно, сложнее WINDOWS, графический интерфейс не имеет такого развития и такой мощи, как в WINDOWS, да и не нужен он серверу, знания ОС и сетей у администратора должны быть довольно глубокими. К плюсам относят то, что настроенный и отточенный сервер будет служить верой и правдой многие месяцы. Очень многие задачи администратора в LINUX автоматизированы на уровне отдельных демонов, изучив которые, можно избавиться от рутинной работы.

Основные задачи, поставленные перед сервером-шлюзом, можно сформулировать так: давать пользователям локальной сети доступ в интернет, производить учет трафика каждого пользователя, защищать локальную сеть от атак извне.

Разделение и учет трафика можно организовать двумя основными путями: настройкой маршрутизации в связке с биллинговой системой или использованием прокси-сервера. Обе схемы равноправны и применяются достаточно широко. Сначала рассмотрим наиболее простую в реализации: использование прокси-сервера. Общий принцип такой: каждый пользователь ЛВС прописывает в браузере IP и порт прокси-сервера, после чего все запросы браузер отправляет на определенный порт LINUX сервера. Где программа-демон, слушающая этот порт, смотрит на IP отправителя и на конечную цель пакета и решает, что делать: для локальных запросов обработать сразу, а для запросов во внешние сети сначала посмотреть на внутренний кэш и только потом, не найдя там необходимых файлов, отправить запрос далее в интернет. Если же запрашиваемая страница есть в кэше прокси, она будет просто извлечена оттуда и отправлена пользователю.

Плюсы такой организации шлюза: легкость настройки, управления, бесплатность (прокси-сервер есть в любом дистрибутиве LINUX).

Минусы часто заставляют переходить на более высокий уровень, применяя полноценную биллинговую систему. Дело в том, что у прокси есть огромные ограничения. Основное это то, что поддерживаются только НТТР и FTP. Прокси-сервер заметно замедляет работу сетевого подключения в целом, ведь перед отправкой запроса в глобальную сеть, пакет подвергается анализу, а если таких пакетов очень много, сервер может задуматься надолго.

1.2 АНАЛИЗ КОММУТАЦИОННЫХ УСТРОЙСТВ СЕТИ

Устройства канального уровня, которые позволяют соединить несколько физических сегментов локальной сети в одну большую сеть. Коммутация локальных сетей обеспечивает взаимодействие сетевых устройств по выделенной линии без возникновения коллизий, с параллельной передачей нескольких потоков данных.

Принцип работы коммутатора

Коммутаторы локальных сетей обрабатывают кадры на основе алгоритма прозрачного моста IEEE 802.1, который применяется в основном в сетях Ethernet. При включении питания коммутатор начинает изучать расположение рабочих станций всех присоединенных к нему сетей путем анализа МАС-адресов источников входящих кадров. Например, если на порт 1 коммутатора поступает кадр от узла 1, то он запоминает номер порта, на который этот кадр пришел и добавляет эту информацию в таблицу коммутации (рисунок 1.1). Адреса изучаются динамически. Это означает, что, как только будет прочитан новый адрес, то он сразу будет занесен в контентно-адресуемую память. Каждый раз, при занесении адреса в таблицу коммутации, ему присваивается временной штамп. Это позволяет хранить адреса в таблице в течение определенного времени. Каждый раз, когда идет обращение по этому адресу, он получает новый временной штамп. Адреса, по которым не обращались долгое время, из таблицы удаляются.

Рисунок 1.1 Построение таблицы коммутации.

Коммутатор использует таблицу коммутации для пересылки трафика. Когда на один из его портов поступает пакет данных, он извлекает из него информацию о МАС-адресе приемника и ищет этот МАС-адрес в своей таблице коммутации как показано на рисунке 1.1. Если в таблице есть запись, ассоциирующая МАС-адрес приемника с одним из портов коммутатора, за исключением того, на который поступил кадр, то кадр пересылается через этот порт. Если такой ассоциации нет, кадр передается через все порты, за исключением того, на который он поступил. Это называется лавинным распространением. Широковещательная и многоадресная рассылка выполняется также путем лавинного распространения. С этим связана одна из проблем, ограничивающая применение коммутаторов. Наличие коммутаторов в сети не препятствует распространению широковещательных кадров (broadcast) по всем сегментам сети, сохраняя ее прозрачность. В случае если в результате каких-либо программных или аппаратных сбоев протокол верхнего уровня или сам сетевой адаптер начнет работать не правильно, и будет постоянно генерировать широковещательные кадры, коммутатор в этом случае будет передавать кадры во все сегменты, затапливая сеть ошибочным трафиком. Такая ситуация называется широковещательным штормом. Коммутаторы надежно изолируют межсегментный трафик, уменьшая, таким образом трафик отдельных сегментов. Этот процесс называется фильтрацией и выполняется в случаях, когда МАС-адреса источника и приемника принадлежат одному сегменту. Обычно фильтрация повышает скорость отклика сети, ощущаемую пользователем.

Коммутаторы локальных сетей поддерживают два режима работы: полудуплексный режим и дуплексный режим.

Полудуплексный режим - это режим, при котором, только одно устройство может передавать данные в любой момент времени в одном домене коллизий.

Доменом коллизий (collision domain) называется часть сети Ethernet, все узлы которой распознают коллизию независимо от того, в какой части сети эта коллизия возникла.

Дуплексный режим - это режим работы, который обеспечивает одновременную двухстороннюю передачу данных между станцией- отправителем и станцией-получателем на МАС - подуровне. При работе в дуплексном режиме, между сетевыми устройствами повышается количество передаваемой информации. Это связано с тем, что дуплексная передача не вызывает в среде передачи коллизий, не требует составления расписания повторных передач и добавления битов расширения в конец коротких кадров. В результате не только увеличивается время, доступное для передачи данных, но и удваивается полезная полоса пропускания канала, поскольку каждый канал обеспечивает полноскоростную одновременную двустороннюю передачу

Дуплексный режим работы требует наличия такой дополнительной функции, как управление потоком. Она позволяет принимающему узлу рисунок 1.2 (например, порту сетевого коммутатора) в случае переполнения дать узлу - источнику команду (например, файловому серверу) приостановить передачу кадров на некоторый короткий промежуток времени.

Рисунок 1.2 Последовательность управления потоком IEEE 802.3.

Управление осуществляется между МАС-уровнями с помощью кадра-паузы, который автоматически формируется принимающим МАС уровнем. Если переполнение будет ликвидировано до истечения периода ожидания, то для того, чтобы восстановить передачу, отправляется второй кадр-пауза с нулевым значением времени ожидания.

Дуплексный режим работы и сопутствующее ему управление потоком являются дополнительными режимами для всех МАС-уровней Ethernet независимо от скорости передачи. Кадры-паузы идентифицируются как управляющие МАС-кадры по индивидуальным (зарезервированным) значениям поля длины/типа. Им также присваивается зарезервированное значение адреса приемника, чтобы исключить возможность передачи входящего кадра-паузы протоколам верхних уровней или на другие порты коммутатора.

Методы коммутации

В коммутаторах локальных сетей могут быть реализованы различные методы передачи кадров.

Коммутация с промежуточным хранением (store-and-forward) -коммутатор копирует весь принимаемый кадр в буфер и производит его проверку на наличие ошибок. Если кадр содержит ошибки (не совпадает контрольная сумма, или кадр меньше 64 байт или больше 1518 байт), то он отбрасывается. Если кадр не содержит ошибок, то коммутатор находит адрес приемника в своей таблице коммутации и определяет исходящий интерфейс. Затем, если не определены никакие фильтры, он передает этот кадр приемнику. Этот способ передачи связан с задержками - чем больше размер кадра, тем больше времени требуется на его прием и проверку на наличие ошибок.

Коммутация без буферизации (cut-through) - коммутатор локальной сети копирует во внутренние буферы только адрес приемника (первые 6 байт после префикса) и сразу начинает передавать кадр, не дожидаясь его полного приема. Это режим уменьшает задержку, но проверка на ошибки в нем не выполняется. Существует две формы коммутации без буферизации:

Коммутация с быстрой передачей (fast-forward switching) - эта форма коммутации предлагает низкую задержку за счет того, что кадр начинает передаваться немедленно, как только будет прочитан адрес назначения. Передаваемый кадр может содержать ошибки. В этом случае сетевой адаптер, которому предназначен этот кадр, отбросит его, что вызовет необходимость повторной передачи этого кадра.

Коммутация с исключением фрагментов (fragment-free switching) - коммутатор фильтрует коллизионные кадры, перед их передачей. В правильно работающей сети, коллизия может произойти во время передачи первых 64 байт. Поэтому, все кадры, с длиной больше 64 байт считаются правильными. Этот метод коммутации ждет, пока полученный кадр не будет проверен на предмет коллизии, и только после этого, начнет его передачу. Такой метод коммутации уменьшает количество пакетов передаваемых с ошибками.

Для использования в офисных целях, как правило применяются коммутаторы с коммутацией store-and-forward.

Классификация коммутаторов

Коммутаторы уровня 2 анализируют входящие кадры, принимают решение об их дальнейшей передаче и передают их пунктам назначения на основе МАС - адресов канального уровня модели OSI. Основное преимущество коммутаторов уровня 2 - прозрачность для протоколов верхнего уровня. Поскольку коммутатор функционирует на 2-м уровне, ему нет необходимости анализировать информацию верхних уровней модели OSI.

Коммутация 2-го уровня - аппаратная. Она обладает высокой производительностью, поскольку пакет данных не претерпевает изменений. Передача кадра в коммутаторе может осуществляться специализированным контроллером, называемым Application-Specific Integrated Circuits (ASIC). Эта технология, разработанная для коммутаторов, позволяет обеспечивать высокие скорости коммутации с минимальными задержками [19].

Существуют 2 основные причины использования коммутаторов 2-го уровня - сегментация сети и объединение рабочих групп. Высокая производительность коммутаторов позволяет разработчикам сетей значительно уменьшить количество узлов в физическом сегменте. Деление крупной сети на логические сегменты повышает производительность сети (засчет уменьшения объема передаваемых данных в отдельных сегментах), а также гибкость построения сети, увеличивая степень защиты данных, и облегчает управление сетью.

Несмотря на преимущества коммутации 2-го уровня, она все же имеет некоторые ограничения. Наличие коммутаторов в сети не препятствует распространению широковещательных кадров (broadcast) по всем сегментам сети, сохраняя ее прозрачность. Таким образом, очевидно, что для повышения производительности сети необходима функциональность 3-го уровня OSI модели.

Коммутатор уровня 3 принимает решение о коммутации на основании бóльшего количества информации, чем просто МАС-адрес. Коммутаторы 3-го уровня осуществляют коммутацию и фильтрацию на основе адресов канального (уровень 2) и сетевого (уровень 3) уровней OSI модели [19]. Такие коммутаторы динамически решают, коммутировать (уровень 2) или маршрутизировать (уровень 3) входящий трафик. Коммутаторы 3 уровня выполняет коммутацию в пределах рабочей группы и маршрутизацию между рабочими группами.

Коммутаторы 3-го уровня функционально практически ничем не отличаются от традиционных маршрутизаторов и выполняют те же функции:

• определение оптимальных путей передачи данных на основе логических адресов (адресов сетевого уровня, традиционно IP-адресов)

• управление широковещательным и многоадресным трафиком

• фильтрация трафика на основе информации 3-го уровня

• IP- фрагментация.

Основное отличие между маршрутизаторами и коммутаторами 3-го уровня заключается в том, что в маршрутизаторах общего назначения принятие решения о пересылке пакетов обычно выполняется программным образом, а в коммутаторах обрабатывается специализированными контроллерами ASIC. Это позволяет коммутаторам выполнять маршрутизацию пакетов на скорости канала связи.

1.3 Анализ виртуальных локальных сетей VLAN

Всем коммутируемым сетям присуще одно ограничение. Поскольку коммутатор является устройством канального уровня, он не может знать, куда направлять широковещательные пакеты протоколов сетевого уровня. Хотя трафик с конкретными адресами (соединения "точка-точка") изолирован парой портов, широковещательные пакеты передаются во всю сеть (на каждый порт). Широковещательные пакеты - это пакеты, передаваемые на все узлы сети. Они необходимы для работы многих сетевых протоколов, таких как ARP, BOOTP или DHCP, с их помощью рабочая станция оповещает другие компьютеры о своем появлении в сети, так же широковещательные пакеты могут возникать из-за некорректно работающего сетевого адаптера. Широковещательные пакеты могут привести к насыщению полосы пропускания, особенно в крупных сетях. Для того, чтобы этого не происходило важно ограничить область распространения широковещательного трафика (эта область называется широковещательным доменом) - организовать небольшие широковещательные домены или виртуальные ЛВС (Virtual LAN, VLAN).

Виртуальной сетью называется логическая группа узлов сети, трафик которой, в том числе и широковещательный, на канальном уровне полностью изолирован от других узлов сети. Это означает, что передача кадров между разными виртуальными сетями на основании MAC-адреса невозможна, независимо от типа адреса - уникального, группового или широковещательного. В то же время, внутри виртуальной сети кадры передаются по технологии коммутации, то есть только на тот порт, который связан с адресом назначения кадра. Таким образом, с помощью виртуальных сетей решается проблема распространения широковещательных пакетов и вызываемых ими следствий, которые могут развиться в широковещательные штормы и существенно снизить производительность сети обладают следующими преимуществами:

• Гибкость внедрения VLAN являются эффективным способом группировки сетевых пользователей в виртуальные рабочие группы, несмотря на их физическое размещение в сети;

• VLAN обеспечивают возможность контроля широковещательных сообщений, что увеличивает полосу пропускания, доступную для пользователя;

• VLAN позволяют усилить безопасность сети, определив с помощью фильтров, настроенных на коммутаторе или маршрутизаторе, политику взаимодействия пользователей из разных виртуальных сетей.

В коммутаторах могут использоваться три типа VLAN:

• VLAN на базе портов;

• VLAN на базе MAC-адресов;

• VLAN на основе меток в дополнительном поле кадра - стандарт IEEE 802.1Q.

Организация VLAN на базе портов и MAC адресов, является устаревшей и не рекомендуется для применения в современных реализациях виртуальных сетей.


1.4 VLAN на базе меток - стандарт IEEE 802.1Q

Метод организации VLAN на основе меток - тэгов, использует дополнительные поля кадра для хранения информации о принадлежности кадра при его перемещениях между коммутаторами сети.

Стандарт IEEE 802.1Q определяет изменения в структуре кадра Ethernet, позволяющие передавать информацию о VLAN по сети.

С точки зрения удобства и гибкости настроек, VLAN на основе меток является лучшим решением. Его основные преимущества:

Гибкость и удобство в настройке и изменении - можно создавать необходимые комбинации VLAN как в пределах одного коммутатора, так и во всей сети, построенной на коммутаторах с поддержкой стандарта IEEE 802.1Q. Способность добавления меток позволяет VLAN распространяться через множество 802.1Q-совместимых коммутаторов по одному физическому соединению.

Способность VLAN 802.1Q добавлять и извлекать метки из заголовков пакетов позволяет VLAN работать с коммутаторами и сетевыми адаптерами серверов и рабочих станций, которые не распознают метки.

Устройства разных производителей, поддерживающие стандарт могут работать вместе, не зависимо от какого-либо фирменного решения.

Не обязательно применять маршрутизаторы. Чтобы связать подсети на сетевом уровне, достаточно включить нужные порты в несколько VLAN, что обеспечит возможность обмена трафиком. Например, для организации доступа к серверу из различных VLAN, нужно включить порт коммутатора, к которому подключен сервер во все подсети. Единственное ограничение - сетевой адаптер сервера должен поддерживать стандарт IEEE 802.1Q.

В силу указанных свойств, VLAN на базе тэгов используются на практике гораздо чаще остальных типов, поэтому остановимся подробно на принципах работы такой схемы и вариантов, которые можно с ее помощью организовать.

Теги IEEE 802.1Q VLAN

Рассмотрим структуру кадра Ethernet с добавленным маркером IEEE 802.1Q (Рисунок 1.3). К кадру Ethernet добавлены четыре байта. Первые 2 байта с фиксированным значение 0х8100 определяют, что кадр содержит тег протокола IEEE 802.1Q/802.1p. Остальные 2 байта содержат следующую информацию:

• 3 бита приоритета передачи кодируют до восьми уровней приоритета (от 0 до 7, где 7-наивысший приоритет), которые используются в стандарте IEEE 802.1р;

• 1 бит Canonical Format Indicator (CFI), который зарезервирован для обозначения кадров сетей других типов (Token Ring, FDDI), передаваемых по магистрали Ethernet;

• 12-ти битный идентификатор VLAN - VLAN ID (VID), определяющий, какой VLAN принадлежит трафик. Поскольку под поле VID отведено 12 бит, то можно определить 4096 уникальных VLAN.

Добавление тега в заголовок кадра делает кадр длиннее на 4 байта. Вся содержащаяся в исходном кадре информация сохраняется.

 

Рис. 1.3 Маркированный кадр Ethernet.

Поскольку сформированный кадр несколько длиннее исходного, то должна быть заново вычислена контрольная сумма Cyclic Redundancy Check (CRC).

1.5 Выводы по результатам анализа существующих решений

По результатам анализа аппаратных и программных средств и учитывая требования технического задания, был сформирован список из оборудования и программного обеспечения, удовлетворяющих требованиям.

Для программной реализации была выбрана платформа SuperMicro SYS-5016I-MR с ОС на ядре Linux, как наиболее производительное решение для построения программного маршрутизатора.

Коммутатор 2 уровня DES-1210-52, с большим количеством портов, наличием протокола 802.1Q, высокой скоростью коммутации, демократичной ценой и возможностью подключения к оптической магистрали при помощи специального модуля SFP. Позволяет использовать оптические сети провайдера для получения высокой скорости доступа к ресурсам интернет, разбить физическую сеть на логические сегменты VLAN.

Монтажное оборудование: шкафы, кабели и розетки, соответствующих требованиям стандарта IEEE 802.3.

Программный Интернет-шлюз Traffpro office, обеспечивающий требуемый функционал, простоту установки и низкую стоимость. Позволит отслеживать деятельность, считать трафик, вести статистику по каждому пользователю или группе пользователей. Благодаря интеллектуальному шейперу, возможно реализовать скоростные ограничения для каждой группы отдельно. Функция балансировки каналов, позволит в случае перегрузки или выхода из строя одного из каналов, сохранить доступ к сети интернет.

Организация сети VLAN протокола 802.1Q, позволит изолировать сегменты подсетей арендаторов на логическом уровне. При этом если арендаторы решат дополнительно арендовать помещение, создав там рабочую группу, то объединить группы в единый VLAN не составит труда.

1.6 ОБЗОР АДМИНИСТРИРУЕМОЙ СЕТИ С ПРИВЯЗКОЙ К ПЛАНУ-СХЕМЕ ЗДАНИЯ

При проектировании сети в первую очередь разрабатывалась наглядная модель сети с привязкой к имеющимся планам и инженерным конструкциям. Данное действие позволило:

•  Определиться в каком месте будет установлено коммуникационное оборудование.

•  Выбрать с учётом имеющихся коммуникаций наименьшее расстояние для прокладки коммуникационных кабелей.

•  Учитывая масштаб плана, позволяет рассчитать приблизительную длину каждого кабельного сегмента.

Для разработки модели был выбран метод имитационного моделирования, поскольку он в большей степени соответствует предъявляемым требованиям по адекватности и сложности.

В качестве программы для разработки имитационной модели сети выбрана программа NetCracker Professional 4.0.

На рисунке 1.4 показана схема первого этажа офисного центра «Созвездие»

                  

Рис. 1.4 План-схема 1 этажа


1.7 Анализ сети с привязкой к плану-схеме здания

Каждая группа - это виртуальная сеть, которая изолирована от остальных. Все кабели укладываются в кабель-каналы и прокладываются под потолком. В каждой комнате устанавливается компьютерная розетка, к ней по стене в кабель канале подводится сетевой кабель. Арендатор каждого помещения устанавливает по собственному желанию, рядом с розеткой коммутатор доступа на 5-8 портов, в зависимости от количества рабочих станций в помещении. На рисунке 1.5 показана схема коммуникационного подключения рабочих групп второго этажа. Второй этаж взят как точка отсчёта. На этом этаже располагается серверная комната с коммуникационным шкафом. В шкаф установлены: коммутатор, маршрутизатор, блок бесперебойного питания форм-фактора 1U. На этаже располагается 14 помещений под аренду. Максимальная дальность одного сегмента ЛВС на втором этаже до коммутационного оборудования не превышает 70 метров, что соответствует требованию стандарта EIA/TIA-568-В передачи данных на скорости 100 Мбит/с

Используя технологические отверстия в полу, кабели были проложены  на первый этаж. На первом этаже (рисунок 1.6) располагаются 14 помещений. Кабели 5 категории прокладываются под потолком в кабель каналах до помещения.

Максимальная дальность одного сегмента ЛВС на первом этаже до коммутационного оборудования второго этажа не превышает 70 метров, что соответствует требованию стандарта EIA/TIA-568-В передачи данных на скорости 100 Мбит/с.

Рис. 1.5 Структурная схема коммуникаций второго этажа.

Рисунок 1.6 Структурная схема коммуникаций первого этажа.

Раздел 2.

администрирование сети

2.1 Настройка VLAN на коммутаторе Dlink DES-1210-52

Наша цель настроить коммутатор таким образом, чтобы каждый порт входил в уникальный VLAN. Коммуникатор имеет 48 портов на скорости 10/100 Мбит/с и 4 порта на скорости 100/1000 Мбит/с, количество арендуемых помещений 28. У нас остаётся в резерве 20 портов. Два гигабитных порта 51-52 из резерва сделаем тегируемыми для подключения двух сетевых карт маршрутизатора (рисунок 2.1).

Рис. 2.1 Схема подключения маршрутизатора к коммутатору.

Порты 49-50 будут задействованы для подключения 2 каналов интернет-провайдера (основной и резервный).

Порты с 1 по 42 будут задействованы для подключения каждого арендуемого помещения.

Методика настройки на маршрутизаторе

На интерфейсе №1 (eth0) маршрутизатора, будут настроены 2 субинтерфейса vlan100 и vlan101 c настройками интернет провайдеров, на интерфейсе №2 (eth1) маршрутизатора будут настроены 42 субинтерфейса vlan2-vlan43 с настройкой IP параметров(vlan1 используется только для административных целей).

Методика настройки на коммутаторе

Создаются виртуальные сети vlan2-vlan43, порты с 1 по 42 по одному добавляются в VLAN, Отдельно создаются vlan100 и vlan101 на портах 49 и 50. В эти порты будут приходить два Интернет канала от разных провайдеров (рисунок 3.4). Порт 51 коммутатора, который будет соединен со вторым интерфейсом маршрутизатора, необходимо сделать тегируемым, и добавить этот порт в vlan100 и vlan101. Тем самым мы сможем использовать 1 физическую линию и вместить в неё 2 канала. Таким образом, можно использовать ещё несколько входящих каналов, главное чтобы были свободные порты на коммутаторе. Порт 52 коммутатора, который будет соединен со вторым интерфейсом маршрутизатора, необходимо сделать тегируемым и добавить его в vlan2-vlan43.

2.2 Программирование коммутатора

Сеть на коммутаторе настроена по умолчанию по адресу 192.168.1.100/24. По умолчанию все порты включены в vlan1 по этому конфигурировать telnet-ом можно через любой порт.

Для того, чтобы не потерять управление над коммутатором при процедуре удаления портов из vlan1 или (defaul vlan), подключим коммутатор к 48 порту, который останется в vlan1.

Выполним команду удаления портов с 1 по 42:

config vlan default delete 1-42

Создаём vlan-ы с именем office1….office42 помечая тегами.

create vlan office1 tag2

……………………….vlan office42 tag43

Добавляем в vlan-ы по одному порту

config vlan office1 add untagged 1

…………………………………..vlan office42 add untagged 42

Порты клиентов настроены

Теперь включим в каждый vlan тегируемый порт 52. Гигабитный порт №52 будет соединен с сетевой картой Linux шлюза, на котором будут настраиваться VLAN порты.

config vlan office1 add tagged 52

…………………………………………vlan office42 add tagged 52

Коммутацией входящих интернет каналов будет заниматься коммутатор, для каждого канала будет создан отдельный VLAN с привязкой к порту. Так как у нас свободны с 43 по 48 100 мегабитные порты и с 49 по 50 гигабитные, создадим VLAN на 49 и 50 портах.

create vlan provider1 tag 100vlan provider2 tag 101

Добавляем гигабитные порты в созданные VLAN

config vlan provider1 add untagged 49vlan provider2 add untagged 50

Добавим тегированный порт, в нашем случае гигабитный порт в VLAN.

config vlan provider1 add tagged 51vlan provider2 add tagged 51

reboot

Использование коммутатора, для коммутации входящих интернет каналов, даёт ряд преимуществ:

На сервере будет использованы встроенные сетевые интерфейсы, что важно, так как при использовании серверов 1U, накладывает ограничение на периферийные компоненты по количеству PCI слотов - не более одного.

. Вся маршрутизация будут проходить на субинтерфейсах двух физических интерфейсов.

. В коммутаторе есть возможность подключения 2 оптических линий, что значительно дешевле, если бы мы покупали сетевую плату с оптическим входом.

Для достижения высокой производительности коммутации и маршрутизации между VLAN, необходимо использовать сетевую карту с аппаратной поддержкой VLAN 802.1Q. Она освободит процессор сервера от добавления тега в кадр и пересчёта контрольной суммы, процессор будет заниматься только маршрутизацией между интерфейсами и работой сервисов и служб.


2.3 Установка ОС
Russian Fedora Linux

Пользуясь требованием технического задания, была установлена ОС с ядром LINUX на наш маршрутизатор. Практически все дистрибутивы ОС на ядре Linux похожи друг на друга, различия только в дополнительном оснащении некоторых ОС специальными драйверами для серверных компонентов (сетевые платы, RAID контроллеры). Также не все ОС позволяют выполнить установку так называемого серверного варианта. Серверный вариант - это установка только ядра системы с пакетом необходимых программ, каких как; С++ компиляторы, текстовые редакторы, ssh сервер, командная оболочка BASH и SH. В серверный вариант не входит графическая оболочка рабочего стола, которая серверу не требуется. Все настройки вводились  через командную строку терминала.

В настоящее время возможностью серверной установки обладают дистрибутивы основанные на коммерческой версии ОС Red Hat Enterprise Linux. Одним из таких является полностью бесплатный Russian Fedora Linux. Скачиваем файл образа с ресурса проекта. Скаченный файл является образом диска, который необходимо записать на DVD диск с помощью программы Ultraiso или другой программы понимающей файлы с расширением iso. Загружаемся с диска и начинаем устанавливать OС.

На рисунке 2.2 показано окно установщика, который предлагает установить систему в разных вариантах, восстановить систему, загрузиться с локального диска или проверить оперативную память на ошибки.

Рис. 2.2 Окно приветствия установщика.

Из версии в версию, при установки любой версии linux, установщик предлагает проверить носитель(dvd диск) на ошибки (рисунок 2.3). Это очень полезная функция, так как сохранит нервные клетки при установке. Система Linux очень критична к установке, любой повреждённый пакет на этапе установки и придётся всё начинать заново.

Рис. 2.3 Окно тестирования DVD носителя.

Следующее окно (рисунок 2.4) установщика требует особого внимания, так как по умолчанию система пытается создать динамические диски (тома), которые будут изменять свои размеры в зависимости от потребностей. На домашнем компьютере это удобно, но на сервере, который будет работать 24 часа в сутки, 7 дней в неделю, 365 дней в году это не очень удобно и вот почему.

Рис. 2.4 Выбор ручного разбиения диска на разделы.

Система Linux очень любит логировать (писать в файл) деятельность процессов и программ. И к примеру произошёл небольшой сбой. Рухнула таблица определённой базы Mysql, или служба squid зафиксировала ошибку кеша. Система продолжает работать, продолжая писать лог в файл и если вовремя не заметить, то лог-отчёт может полностью забить диск, оставив важные службы без свободного дискового пространства. Чтобы такого не происходило, необходимо правильно разметить диск.

Правильно разбитый диск -это диск у которого под каждый раздел собственное разбиение. На рисунке 2.5 показано как правильно разметить диск системы.

Рис. 2.5 Правильно размеченный диск.

Следующий этап важен, так как именно от этих настроек будет зависеть какие программы, и сервисы будут включены в установку. Так как я устанавливал серверную операционную систему все настройки и команды я делал в консоли. Работа в консоли подразумевает, что рабочий стол с интернет-браузерами мне не нужны, для этого отметили минимальную конфигурацию (рисунок 2.6) и выбрали лишь те пакеты, которые будут необходимы.

Рис. 2.6 Выбор типа установки.

На завершающем этапе система проинсталлирует все необходимые пакеты (рисунок 2.7) и предложит перезагрузить компьютер. Установка закончена

.

Рис. 2.7 Завершение установки.


2.4 Настройка установка дополнительных программ

После перезагрузки системы мы попадаем в приглашение ввести логин и пароль (рисунок 2.8).

Рис. 2.8 Приглашение входа.

Этапы настройки операционной системы:

1. конфигурирование сети;

2. добавление VLAN интерфейсов;

3. установка DHCP, DNS серверов;

4. установка биллинговой системы traffpro office;

5. проверка работоспособности;

2.5 Конфигурирование сети

Конфигурирование сети в системе Linux выполняется с помощью команды:

ifconfig ethх 192.168.1.х netmask 255.255.255.0 up,

где, ethx - имя сетевого интерфейса.

Предварительно, мы должны узнать список установленных сетевых плат выполнив команду ifconfig.

Эта команда выведет на экран список установленных сетевых карт в системе [13].

eth0 - интерфейс на котором будут настраиваться субинтерфейсы vlan100 и vlan101.

eth1 - интерфейс на котором будут настраиваться субинтерфейсы vlan2-43

Присваивать физическим интерфейсам eth0 и eth1 IP адреса нет необходимости, IP адреса нужны будут только VLAN интерфейсам, так как вся маршрутизация будет проходить именно на них.

Прежде чем приступать к настройке vlan, для большей стабильности скачиваем и устанавливаем последний драйвер для карт INTEL, установка драйверов в Linux отличается от установки в системах Windows. Драйвера необходимо скомпилировать из исходников, используя компилятор C++.

Скачиваем архив с драйвером и выполним автоматическую компиляцию:-tb e1000e-1.10.6.tar.gz

Данная команда распакует архив, скомпилирует драйвер и создаст установочный пакет e1000e-1.10.6-1.x86_64.rpm удобный для установки. Чтобы установить драйвер из установочного пакета выполним команду:

rpm -Uvh e1000e-1.10.6-1.x86_64.rpm

После этого можно приступать к настройке VLAN.

2.6 Создание VLAN

Для работы VLAN необходимо, чтобы операционная система его поддерживала, для этого требуется загрузить модуль 8021q в ядро командой:

modprobe 8021q

После настройки Linux для каждого VLAN 'а будет создано отдельное устройство (субинтерфейс). Нужно выбрать формат обозначения устройств из четырех имеющихся вариантов. Формат устанавливается с помощью команды:

vconfig set_name_type [name-type]

где, name-type может принимать следующие значения:_PLUS_VID имя устройства будет выглядеть так: vlan0002._PLUS_VID_NO_PAD имя устройства будет выглядеть так: vlan2._PLUS_VID имя устройства будет выглядеть так: eth0.0002._PLUS_VID_NO_PAD имя устройства будет выглядеть так: eth0.2

Во избежание несовместимости выберем 2 вариант:

vconfig set_name_type VLAN_PLUS_VID_NO_PAD.

Вернемся теперь к настройке OC.

Укажем VLAN'ы, которые будут использоваться на этом интерфейсе. Каждый VLAN добавим на нужный интерфейс, так как номер 1 используется в VLAN по умолчанию и используется для административного управления оборудованием.

Создадим субинтерфейсы провайдеров vlan100 и vlan101 на интерфейсе eth0:

vconfig add eth0 100add eth0 101

Что бы интерфейсы не пропали после перезагрузки, создадим 2 конфигурационных файла в папке /etc/sysconfig/network-scripts с именами ifcfg-vlan100 и ifcfg-vlan101 со следующим текстом.

VLAN=yes_NAME_TYPE=VLAN_PLUS_VID_NO_PAD=eth0="vlan100" (“vlan101”)=none=vlan100 (“vlan101”)=212.152.63.165 (212.152.63.5)=255.255.255.240 (255.255.255.0)=212.152.63.161 (212.152.63.1)INIT=no=no=yes

Обязательные параметры:=yes - иначе интерфейс не создастся после перезагрузки

Два последних параметра отвечают за имя субинтерфейса vlan и ассоциацией с физическим интерфейсом eth0

VLAN_NAME_TYPE=VLAN_PLUS_VID_NO_PAD=eth0

Для создания VLAN интерфейсов арендаторов, необходимо создать аналогичные файлы конфигурации на интерфейсе eth1 с собственными настройками.

Пример конфигурации ifcfg-vlan2 субинтерфейса vlan2:

VLAN=yes_NAME_TYPE=VLAN_PLUS_VID_NO_PAD=eth1="vlan2"=none=vlan2=Ethernet=192.168.2.1=yesINIT=no=no=24

2.7 Установка DHCP и DNS серверов

Служба DHCP помогает справиться с некоторыми проблемами, связанными с окружением локальных сетей, включая проблемы с назначением IP адреса и административную составляющую.

Рассмотрим некоторые концепции, с которыми приходится встречаться и чем может помочь DHCP.

•  ПК и рабочие станции нуждаются в уникальных IP адресах, информации DNS и размещение шлюзов.

•  Определение местонахождения (трассировка) IP адресов вручную чревато излишней работой.

•  Случайное дублирование IP адресов создаёт конфликты в сети.

•  Устранение ошибок, связанных с адресами (таких как дублирование адресов) и изменение местонахождения порождает ненужную работу.

•  Изменения в личных данных обычно означают, что кто-то должен будет проверить каждый компьютер для конфигурирования новой базы данных назначений IP адресов.

•  Частое перемещение мобильных пользователей вызывает необходимость реконфигурации сети с учётом ноутбуков.

DHCP решает эти проблемы, выдавая IP адреса по необходимости каждой системе локальной сети, когда эти системы загружаются. Сервер DHCP гарантирует, что все IP адреса уникальны. Сервис требует небольшого вмешательства пользователя для назначения и обслуживания IP адресов. Администраторы могут написать файлы конфигурации и перепоручить оставшуюся работу серверу DHCP. Данный сервер управляет пулом IP адресов, освобождая администратора сети от этой задачи.

Этот процесс состоит из четырех шагов: клиент DHCP запрашивает IP-адрес (DHCP Discover, обнаружение), DHCP-сервер предлагает адрес (DHCP Offer, предложение), клиент принимает предложение и запрашивает адрес (DHCP Request, запрос) и адрес официально назначается сервером (DHCP Acknowledgement, подтверждение). Чтобы адрес не "простаивал", сервер DHCP предоставляет его на определенный администратором срок, это называется арендным договором (lease). По истечении половины срока арендного договора клиент DHCP запрашивает его возобновление, и сервер DHCP продлевает арендный договор. Это означает, что когда машина прекращает использовать назначенный IP-адрес (например, в результате перемещения в другой сетевой сегмент), арендный договор истекает, и адрес возвращается в пул для повторного использования.

Мы будем использовать DHCPD сервер, так как он поддерживает неограниченное количество выделяемых пулов, что незаменимо при необходимости использования DHCP сервера для раздачи адресов в подсети VLAN.

Настройка DHCP пулов.

В роли сервера DHCP будет использоваться хорошо зарекомендовавший DHCPD. Для настройки используется файл /etc/dhcpd.conf, выделяемые пулы описываются блоками для каждого субинтерфейса.

Пример блока для субинтерфейса vlan2:

subnet 192.168.2.0 netmask 255.255.255.0{ (1)192.168.2.2 192.168.2.10; (2)router 192.168.2.1; (3)subnet-mask 255.255.255.0; (4)domain-name-servers 192.168.2.1; (5)

}

-Строка настраивает область пула, подсеть.

-Диапазон раздаваемых адресов со 2 по 10.

-Адрес шлюза.

-Маска подсети.

-Адрес кеширующего DNS сервера.

Для других субинтерфейсов настраивается согласно их IP адресам.

При запуске сервер dhcp прочитает файл созданных подсетей, сопоставит параметр option router с IP адресом имеющихся сетевых интерфейсов (включая vlan интерфейсы) и начнёт выдавать адреса по каждому сегменту.- (Domain Name System) - доменная система имен предназначена для преобразования доменных имен в IP-адреса, либо наоборот - IP-адресов в доменные имена.

Кэширующий DNS-сервер - сервер, который обслуживает запросы клиентов. Данный сервер при первом обращении к ресурсу кеширует преобразование имени узла в IP, при последующих обращениях берёт преобразование из кеша, что значительно ускоряет запрос. Скорость разрешения днс имени увеличивается в 30 раз (рисунок 2.9). Для проверки скорости разрешения DNS выполним 2 раза одну и ту же команду.

Рис. 2.9 Ускорение DNS запросов

- это легковестный, не требующий больших ресурсов, кеширующий dns сервер. В настройках которого указываются DNS провайдера для первичного обращения, в последствии программа накапливает собственный кеш.

2.8 Разработка специального программного обеспечения

Два vlan субинтерфейса создать не сложно, а вот если нужно создать 42, то на помощь приходит командная оболочка BASH, позволяющая автоматизировать рутинные операции. Напишем небольшую интерактивную программу, которая будет создавать конфигурационные скрипты для выбранного диапазона субинтерфейсов.

Первым делом, нам необходимы параметры, которые будут присваиваться переменным скрипта.

Весь скрипт с описанием:

#!/bin/bash

cd /etc/sysconfig/network-scripts

lsmod | grep 8021q > /dev/nul l

i f [ $? -eq 1 ] 8021q

echo “Сколько VLAN интерфейсов необходимо создать”

read answer =$(($answer+1))i in $(seq 2 $num) -a | grep vlan$i > /dev/null [ $? -eq 1 ] add eth1 $i > /dev/null vlan$i 192.168.$i.1 netmask 255.255.255.0 up ifcfg-vlan$i "Интерфейс vlan$i был создан как новый!" -e "\rVLAN=yes

\rVLAN_NAME_TYPE=VLAN_PLUS_VID_NO_PAD

\rPHYSDEV=eth1

\rDEVICE=vlan$i

\rNAME=”vlan$i”

\rBOOTPROTO=none

\rNETMASK=255.255.255.0

\rTYPE=Ethernet

\rIPADDR=192.168.$i.1

\rONBOOT=yes

\rIPV6INIT=no

\rUSERCTL=no

\rPREFIX=24" > ifcfg-vlan$i (14)

else "Интерфейс VLAN vlan$i был создан ранее!"

fi

done

Выполним переход в директорию, где будут создаваться конфигурационные файлы.

Проверка загруженности модуля 8021q, если модуль не загружен, то VLAN интерфейсы не будут созданы. Если модуль не загружен, то команда lsmod | grep 8021q > /dev/null передаст значение 1 если загружен 0.

Рекурсионная обработка предыдущей команды. При полученном значении 1 выполнит подгрузку модуля, при 0 пропустит выполнение скрипта.

Информационное сообщение о количестве создаваемых интерфейсах будет напечатано на экране.

Команда read позволяет передать значение переменной answer не посредственно с клавиатуры (интерактивный режим).

Приращение на 1 к введённому значению. Так как VLAN отсчитываются с 2, соответственно при создании 10 VLAN, последний VLAN будет иметь имя vlan11.

Цикл, позволяющий по очереди перебирать диапазон полученных значений.

С помощью цикла скрипт проверит на существование VLAN интерфейсов начиная с vlan2 до vlanN. 1 - не существует, 0 - существует.

- Рекурсионная обработка предыдущей команды, при 1 - создаст VLAN интерфейс.

, 11, - Команды создания субинтерфейса и присвоения этому интерфейсу IP адреса.

- Создание пустого конфигурационного файла.

- Вывод информационного сообщения о создании интерфейса.

- Помещение конфигурации в пустой файл.

- Рекурсивный переход, при условии, что интерфейс существовал перед созданием(защита от дублирования субинтерфейса).

- Информационное сообщение, о том что интерфейс с указанным номером не нуждается в создании, так как он был создан ранее.

В результате выполнения скрипта создадутся vlan интерфейсы в количестве указанных в параметре $answer, создадутся конфигурационные файлы для этих интерфейсов.

Для добавления модуля 8021q в автозагрузку системы создадим управляющий скрипт следующего содержания:

lsmod | grep 8021q > /dev/null

if [ $? -eq 1 ]8021q0

И поместим эту запись в конец тектового файла /etc/rc.d/rc.local отвечающего за автозагрузку. Данный скрипт проверит таблицу загруженных модулей, сопоставит с входящим условием фильтрации по имени, если совпадение будет найдено, программа передаст рекурсионной обработке IF значение 0, если нет, то значение 1. При значении 1 произойдёт подгрузка модуля в ядро, при значении 0 выход.

2.9 Установка биллинговой системы TraffPro

Установка происходит путём запуска установочного скрипта install.sh из директории распакованными исходниками программы:

[root@server traffpro.office.1.4.3]# ./install.sh

Откроется диалоговое окно установки ПО (рисунок 2.10).

Рис. 2.10. Начало установки.

Далее установщик проверит наличие необходимых пакетов (рисунок 2.11) для установки TraffPro.

Риc. 2.11 Необходимые пакеты для установки.

Если при проверке установщик не найдет необходимых пакетов, он предложит Вам установить данные пакеты из доступных репозитариев. Далее идет процесс установки, который может занять продолжительно время.

2.10 Конфигурация TraffPro

Программа конфигурируется путём вноса изменений в файл /etc/traffpro/traffpro.cfg, каждый параметр отвечает за настройку билинговой системы. Файл создасться во время установки из параметров которые нас попросят ввести.

Пример файла конфигурации:_url=localhost_port=3306 Порт подключения к MySQL_usr=root Имя пользователя базы данных MySql_passwd= Пароль пользователя db_usr для доступа к БД_name=traffpro Имя базы данных_eth_addr=true Включение авторизации по MAC адресам

ports_detail=true Детализация по портам (true/false):

ss_enabled=true Включение защиты сервера

url_detail=true Детализация www посещений.

Если значение true, то установка кеширующего DNS сервера, обязательна! Этот параметр включает возможность просмотра посещений пользователей, без учета количества скачанного с каждого ресурса.

Настройка закончена, через WEB консоль добавляем группы по виртуальным сетям, определяем ресурсы доступные группе, временные диапазоны отключения интернета, приоритеты скорости для групп, добавляем пользователей в группы, прописываем IP адреса интернет провайдеров. И перезагружаем сервер.

2.11 результаты работы после построения сети и ввода ее в эксплуатацию

На этапе проектирования, была составлена схема двух этажей офисного центра, с указанием расположения коммуникационного и серверного оборудования. Для избежания увеличения длины сегмента более 100 метров, в качестве точки отсчёта был выбран второй этаж, в результате максимальная длина сегмента была не более 70 метров, что полностью укладывается в спецификацию. Все соединения проходили под потолком в кабель каналах. В каждом арендуемом помещении устанавливалась сетевая розетка.

Вторым этапом была настройка аппаратного оборудования. На коммутаторе объявлялись VLAN с привязкой к порту. Из расчёта один VLAN - один порт - одно помещение . При необходимости два помещения могут объедениться в общий VLAN. Каналы от двух провайдеров заводились в гигабитные порты коммутатора, каждый порт добавлялся в объявленный VLAN провайдера, передача на маршрутизатор происходила через тегированные порты. Данный метод позволяет коммутировать несколько входящих линий на одну физическую линию сетевой карты.

Третьим этапом была проведена установка и настройка ОС на ядре Linux, которая была выполнена в серверном варианте с необходимым мимиумом программ. С настройкой VLAN по сетевым интерфейсам. Для облегчения рутинных операций была написана интерактивная программа, создающая конфигурационные файлы к VLAN субинтерфейсам.

Для удобства администрирования сети были установлены и настроены DHCP и DNS серверы.

Раздел 4.

РАЗГРАНИЧЕНИЕ ДОСТУПА К РЕСУРСАМ СЕТИ.

4.1 ОБЗОР ВАРИАНТОВ РАЗГРАНИЧЕНИЯ ДОСТУПА К СЕТИ

Оконечными устройствами в локальной вычислительной сети являются компьютеры, но между компьютером и патч-панелью, в каждом офисе установлено по одному 8-ми портовому коммутатору, для облегчения администрирования ЛВС (рисунок 4.1)

Это позволит:

• Уменьшить общую длину кабеля по периметру здания

• Облегчить настройку прав и полномочий сотрудников каждого офиса, а не всей сети одновременно

• Упростить администрирование сети вплоть до того, что мелкие ошибки смогут исправлять сами сотрудники одного офиса

• Аппаратные поломки не тронут всю сеть, а лишь одно помещение

• Добравшийся до системных настроек неопытный сотрудник не сломает все настройки, а лишь конфигурацию своего компьютера, что в очередной раз облегчит устранение неисправности

При выборе «традиционного» способа прокладки сети от общего коммутатора до рабочего места, данных плюсов не появится, что делает этот способ более удобным.

Рис. 4.1 Схема организации локальной сети.

4.2 ПРИЧИНЫ РАЗГРАНИЧЕНИЯ ПРАВ И ПОЛНОМОЧИЙ ПОЛЬЗОВАТЕЛЕЙ

Раздел 5.

ЭКОНОМИЧЕСКАЯ ЧАСТЬ

5.1 Оценка стоимости оборудования для построения сети

Оценка стоимости является важной задачей любого проектирования, так как позволяет обосновать расходование средств на приобретение того или иного оборудования.

При оценки стоимости мы будем придерживаться требований технического задания, которое определяет нижнюю грань характеристик требуемого оборудования.

Наша сеть состоит из коммутатора, маршрутизатора, коммуникационного шкафа, кабелей и розеток.

При выборе коммутатора мы оценивали производительность и цену, сравнивая с конкурентами (таблица 5.1). По соотношению цена/производительность выбор был сделан в пользу D-Link DES-1210-52.

Сравнение цен на коммутаторы.

Таблица 5.1

Модель

Cisco Catalyst 2960TC-48

HP V1905-48

D-Link DES-1210-52

Цена

24000 руб

10000 руб

9800 руб

Серверы SuperMicro пользуется широким спросом из-за относительно невысокой стоимости на продукцию, при неизменно высоком качестве серверного оборудования. При выборе маршрутизатора, мы сравнили серверные платформы на процессорах INTEL таблица 5.2.

Цены на серверные платфрмы.

Таблица 5.2

Платформа

Supermicro SYS-5015A-PHF

SuperMicro SYS-5016I-MR

Процессор

Intel Atom D510 1660Мгц

Intel Core i3 - 540 3100Мгц

Цена

19 000 руб

23 000 руб

По требованию ТЗ, частота процессора не должна быть менее 2000 Мгц, в результате выбор был сделан в пользу платформы SuperMicro SYS-5016I-MR. Данная платформа может быть оснащена разными процессорами таблица 5.3, что позволяет гибко подходить к выбору максимальной производительности.

Процессорные варианты SuperMicro SYS-5016I-MR.

Таблица 5.3

Процессор

Intel Core i3 540

Intel Xeon X3430

Кол-во ядер

2

4

Частота процессора

3100

2600

Итоговая стоимость платформы

23000 руб

26400 руб

Использование процессора Intel Core i3 540, позволяет обслуживать до 300 абонентов, так что выбор очевиден.

Для защиты от сбоя электропитания для сравнения были выбраны 2 устройства таблица 5.4 для монтирования в стойку.

Сравнения ИБП.

Таблица 5.4

APC Smart-UPS RM 750VA

Powercom King Pro KIN-1200AP RM

480Вт

720Вт

Время работы при полной наргузке

7 мин

10 мин

12000 руб

8000 руб

Выбор был сделан в пользу Powercom King Pro KIN-1200AP RM

При выборе коммуникационного шкафа, мы пользовались габаритами маршрутизатора, так как коммутатор короче на 100мм. Минимальная глубина шкафа 450мм, количество секций 6U.

В таблице 5.5 показано сравнение цен на подвесные шкафы 6U. Данные шкафы отличаются, цветовой раскраской и производителем, больше различий кроме цены между ними нет. Выбор был сделан в пользу Cabeus SH-05-6U60/45 - этот шкаф обладает приемлемой толщиной корпуса, полной комплектацией держателей и заземляющих проводов.

Ценовое сравнение коммуникационных шкафов 6U.

Таблица 5.5

Наименование

Cabeus SH-05-6U60/45

Hyperline TWM-0645-GR-RAL9004

Цена

3500 руб

4000 руб

Из-за не большой длины максимального сегмента и укладки внутри помещения, мы можем выбирать любую марку не экранированного медного кабеля типа витая пара категории 5е. Самый хороший из не дорогих соответствующий стандарту EIA/TIA 568B и диаметром жилы не менее 0,5мм Konoos KL-UPC-5051E-SO.

Сравнение кабелей 5е категории.

Таблица 5.6

Марка кабеля

Konoos KL-UPC-5051E-SO

Telecom UTP cat 5E

Материал

Медь

Омеднённый алюминий

Толщина

0,51мм

0,50мм

Цена

2500руб/305м

1600руб/305м

Учитывая периметр здания для подключения 14 помещений и выводом их в коммуникационный шкаф, необходимо использовать 300м кабеля на этаж.

Для патч кордов соединяющих маршрутизатор с коммутатором выбран кабель 6 категории Hyperline UTP4-C6-PATCH-NCR-GY для этих целей достаточно одного метра стоимость которого равна 20 руб.

Для обобщения затрат (таблица 5.7) на оборудование представим общую стоимость на оборудование. Данная таблица не включает затраты на проведение работ по прокладке кабелей, установку розеток.

Общая стоимость оборудования для построения сети.

Таблица 5.7

Наименование оборудования

Кол-во

Цена

Итог

Маршрутизатор SuperMicro SYS-5016I-MR

1

23000 руб

23000 руб

D-Link DES-1210-52

1

9800 руб

9800 руб

Powercom King Pro KIN-1200AP RM

1

8000 руб

8000 руб

Шкаф настенный 19", 6U Cabeus SH-05F-6U60/45

1

3500 руб

3500 руб

Коннекторы RJ-45 100 шт

1

300 руб

300 руб

Кабель Konoos KL-UPC-5051E-SO 305м

2

3750 руб

7500 руб

Hyperline UTP4-C6-PATCH-NCR-GY 1м

1

20 руб

20 руб

Розетка ком. настенная, 1 порт RJ-45

42

40 руб

880 руб

Кабель-канал 2м 25х30

50

100

5000 руб

Кабель-канал 2м 12х7

50

25

1250 руб

Интернет шлюз TRAFFPRO OFFICE до 500 пользователей

1

16500 руб

16500руб

D-Link DIR 612

28

1050

29400

Итого

97150 руб

Бюджет на покупку оборудования, программного обеспечения и материалов, выделенный заказчиком составил 200000руб. Основная статья расходов 110000 рублей, планировалась под стоимость интернет шлюза. 90000 рублей на покупку оборудования и материалов. Выбранное в ходе анализа оборудование и программное обеспечение позволило сэкономить 93500 рублей на стоимости интернет шлюза. Экономическая выгода составила 122250 рублей.

3.2 Сравнение стоимости оборудования сети со стоимостью прототипа

Реализация интернет шлюза доступна на разных платформах. Для Windows - это Kerio control, Traffic Inspector. Для Linux - это Traffpro. Стоимость решения интернет-шлюза складывается из стоимости ОС + стоимость ПО интернет-шлюза + стоимость аппаратной реализации.

Стоимость лицензии ОС Windows server 2003 standart edition 64bit составляет 20765 руб.

Теперь определимся с предполагаемым количеством пользователей, которым будет доступен доступ в интернет.

Имеем 28 помещений, каждое помещение имеет площадь 48м2, если предположить, что средняя численность пользователей каждого помещения может доходить до 4-5 человек. То средняя плотность офисного центра может быть в диапазоне 120-148 человек

        (5.1)

        (5.2)

где, N - количество помещений в здании.

Решение на Windows server + Kerio control:

Для функционирования Kerio control с поддержкой от 100 пользователей и больше требуется следующая конфигурация:

CPU 2.8GHz Quad Core, 8 GB RAM, 20 Gb HDD. - эта конфигурация является общим требованием для интернет шлюзов построенных на ОС Windows с количеством пользователей до 300.

Стоимость платформы с рекомендуемыми параметрами составляет 27000руб

Стоимость Kerio control с поддержкой 210-252 пользователей составляет 239500 руб

Общая стоимость решения высчитывается по формуле:

       (5.3)

Где, ОС - общая стоимость, СОС - стоимость ОС, СИШ - стоимость интернет шлюза, САР - стоимость аппаратного решения.

Общая стоимость решения на Kerio используя формулу (3.3) составляет:

    (5.4)

Решение на Windows server + Traffic inspector

Стоимость Traffic inspector c поддержкой 210-252 пользователей составляет 70000руб.

Общая стоимость решения на Traffic inspector

     (5.5)

Решение на Linux + Traffpro

Стоимость ОС на ядре Linux = 0 руб.

Для поддержки до 300 пользователей ОС на ядре linux требуется следующая конфигурация.

CPU 2. GHz Dual Core, 4 GB RAM, 5 Gb HDD

Стоимость рекомендуемой конфигурации составляет 23000руб

Стоимость Traffpro с поддержкой 210-252 пользователей составляет 16500руб.

Общая стоимость решения на Traffpro.

      (5.6)

Представим расчёты в виде таблицы 5.8.

Общая таблица стоимости систем.

Таблица 3.8

ОС

Windows Server 2003 StEd 64bit

Linux kernel 2.6.32

1

2

3

Стоимость платформы

27000 руб.

23000 руб.

Стоимость ОС

20765 руб.

0 руб.

Продукт

Kerio control

Traffic inspector

Traffpro

Цена

239500 руб.

70000 руб.

16500 руб.

Итог

287265 руб.

117675 руб.

39500 руб.

Пользуясь данными таблицы 3.8, определяем, что разница в цене между самой дешёвой windows версией интернет шлюза Traffic inspector и самой дорогой Kerio control, составляет от 3 до 7 раз. Выбор ОС на ядре Linux очевиден.

Затем посчитаем окупаемость системы, определив тариф для каждого помещения.

Средняя цена на тарифы в офиц-центрах Санкт-Петербурга составляет от 2000 рублей до 5000. Возьмем тариф в 3500 рублей, из которых 2000 будут потрачены на оплату услуг провайдера по доступу к сети Интернет. Затем посчитаем срок окупаемости ЛВС по формуле: . Таким образом, мы получаем срок окупаемости нашей ЛВС равный двум месяцам, что более чем полностью удовлетворяет окупаемость, оговорённую в техническом задании.


 

А также другие работы, которые могут Вас заинтересовать

76371. Международное движение капитала. Сущность и формы движения капитала 121 KB
  Международное движение капитала Сущность и формы движения капитала Вывоз капитала зарубежное инвестирование представляет собой процесс изъятия части капитала из национального оборота в данной стране и перемещение его в товарной или денежной форме в производственный процесс и обращение другой страны. Важнейшими причинами вывоза капитала являются: 1. Более низкие экологические стандарты в принимающей стране чем в странедоноре капитала. В зависимости от собственника вывоз капитала делится на 3 вида: 1 частный вывоз капитала крупные...
76372. Международная миграция трудовых ресурсов. Проблемы оптимального размещения трудовых ресурсов в мировой экономике 106.5 KB
  Проблемы оптимального размещения трудовых ресурсов в мировой экономике Миграция рабочей силы переселение трудоспособного населения из одних государств в другие сроком более чем на год вызванное причинами экономического и иного характера. Различают внутреннюю миграцию рабочей силы происходящую между регионами одного государства и внешнюю миграцию затрагивающую несколько стран. силы – утечка мускулов перемещение высококвалифицированной раб. силы – утечка умов Первая форма получила свое развитие еще при рабовладельческом строе...
76373. Международные валютно-финансовые и кредитные отношения 87 KB
  Цена единицы национальной валюты выраженная в единицах иностранной валюты называется валютный обменный курс exchnge rte. Валютный курс играет важную роль в развитии международной торговли и движении капитала. Таким образом с помощью валютных курсов производители и потребители приводят цены на товары в сопоставимый вид и формируют на этой основе международные потоки товаров. Фиксирование курса национальной денежной единицы по отношению к иностранным денежным единицам принято называть валютной котировкой currency quottion.
76374. Платежный баланс. Понятие и структура платежного баланса 75.5 KB
  В этом случае итальянская фирма осуществила продажу а Сбербанк – покупку российских активов банковского депозита на сумму в 1000 долл и эта сделка будет отражена в российских счетах движения капитала. Такая операция создает две компенсирующие бухгалтерские записи в платежном балансе РФ: Кредит Дебет Покупка принтера текущий счет российский импорт 1000 долл Продажа банковского депозита осуществляемая Сбербанком счет движения капитала экспорт российских активов 1000 долл 2. Поэтому когда вы расплачиваетесь за свой обед за...
76375. Мировой рынок. Конъюнктура мирового рынка. Ценообразование в международной торговле 64.5 KB
  В зависимости от уровня конкретной цены на конкретный товар зависит решение тех или иных проблем возникающих у продавца: возмещение понесенных издержек производства и обращения товара доходность производства данного товара и его реализации появление новых стимулов для расширения внешнеэкономических связей или их свертывания. Цены в международной торговле как и внутри страны зависят от конкретной рыночной ситуации соотношения спроса и предложения но здесь оказывает влияние более широкий круг участников влияющих на конъюнктуру и...
76376. Мировое хозяйство и международные экономические отношения 50.5 KB
  Международные экономические отношения МЭО система хозяйственных связей между национальными экономиками отдельных стран соответствующими субъектами хозяйствования. МЭО особая сфера деятельности основанная на международном разделении труда. МЭО объективно вытекают из процесса разделения труда международной специализации производства и науки интенационализации хозяйственной жизни. Становление и развитие МЭО определяются усилением взаимосвязи и взаимозависимости экономик отдельных стран.
76377. Формирование мирового хозяйства и МРТ 78.5 KB
  Финикийские и греческие торговцы не только торговали по всему Средиземноморью собственными и приобретенными в других странах товарами но и оказывали услуги перевозя чужие грузы и иноземных пассажиров. Район Средиземноморья и Черного моря вместе с прилегающими странами Западной Азии стал тем регионом мира где еще в глубокой древности зародилось ядро МХ. Экономика различных стран становилась более открытой: в 1913 экспорт европейских стран составлял 14 их ВВП против 55 в 1830г. Тогда впервые возникла мировая система мирохозяйственных...
76378. Теория международной торговли с позиции предложения товаров и услуг 221.5 KB
  Теория международной торговли Тема 4. Теория международной торговли с позиции предложения товаров и услуг Торговля является традиционной и древнейшей формой МЭО. Меркантилизм Экономическая мысль на протяжении по крайней мере трех последних столетий пытается теоретически осмыслить проблемы международной торговли и ответить на следующие вопросы: Почему страны торгуют А точнее что определяет какие товары следует импортировать и какие экспортировать Как международная торговля влияет на производство и потребление в каждой стране Как...
76379. Взаимодействие спроса и предложения в международной торговле. Формирование мировой цены 80 KB
  Теория международной торговли в частности теория сравнительных преимуществ утверждает что в результате развития внешнеторговых отношений все участвующие в них страны получают выигрыш в виде прироста общего благосостояния. С другой стороны выигрыш от внешней торговли который получает страна в целом распределяется внутри страны между потребителями и производителями экспортерами и импортерами также не поровну. Выигрыш от внешней торговли Распределение выигрыша от международной торговли как внутри страны так и между странами в конечном...