SlideShare a Scribd company logo

4

Szymon Konkol - Publikacje Cyfrowe
Szymon Konkol - Publikacje Cyfrowe

Projektowanie lokalnej sieci komputerowej

Education
1 of 19
Download to read offline
Moduł 4 Realizacja projektu sieci 1. Analiza celów biznesowych i wymagań technicznych 2. Projektowanie topologii sieci LAN 3. Projektowanie podłączeń do sieci LAN 4. Bezpieczeństwo sieci 5. Bibliografia
2 1. Analiza celów biznesowych i wymagań technicznych Prace projektowe modernizacji sieci zaczyna się dopiero wtedy, gdy wszystkie wymagania są zebrane, a istniejąca sieć jest przeanalizowana. Wcześniej w fazie przygo- towania i planowania powstały dokumenty zawierające wymagania projektowe, z listą celów biznesowych oraz wymagań technicznych. Szczegółowa i solidnie opracowana lista wymagań stanowi podstawowy warunek dla powodzenia projektu. Projekt sieci spełniającej określone cele biznesowe jest procesem wieloetapo- wym. Zwykle są to następujące kroki: 1) Wymień cele biznesowe, które muszą być spełnione przez nowy projekt. 2) Określ, jakie zmiany lub uzupełnienia są niezbędne do prowadzenia działalności, aby osiągnąć cele. 3) Zdecyduj, jakie wymagania techniczne są niezbędne do realizacji każdej zmiany. 4) Sprawdź, w jaki sposób wprowadzić do projektu każde z wymaganie techniczne. 5) Zdecyduj, które elementy muszą być obecne w końcowym projekcie. Wykonanie powyższych kroków dla każdego z celów biznesowych pozwala okre- ślić zakres koniecznych prac w projekcie sieci. Ograniczenia i kompromisy Dokumenty wymagania projektowe zawierają listę ograniczeń. Bardzo często, gdy ograniczenia wpływają na projekt, trzeba pójść na kompromis. Należy zbadać wszystkie możliwe alternatywy i wybrać najlepsze rozwiązanie do realizacji. Kompro- mis to wymiana jednych korzyści na inne korzyści bardziej pożądane. Ograniczenia pro- jektu sieci często zmuszają do szukania kompromisów między idealnym a realnym roz- wiązaniem. Często szukamy kompromisu między zaletami optymalnego rozwiązania, a możliwościami finansowymi lub ograniczeniami czasowymi. Szczególną uwagę należy zwracać na zminimalizowanie skutków kompromisów dotyczących celów podstawo- wych: skalowalności, dostępności, bezpieczeństwa i zarządzania. Wspieranie celów biznesowych może prowadzić do decyzji eliminujących pewne rozwiązania lub je skomplikować. Na przykład dodanie bezprzewodowego dostępu do poprawy obsługi klienta może zmniejszyć bezpieczeństwo serwera. Najczęściej kompromisy dotyczą:  kosztów sieci,  trudności wykonania (rozmieszczenia urządzeń, położenia kabli),  przyszłych wymagań wsparcia technicznego (brak personelu). Każde rozwiązanie kompromisowe wymaga uzgodnienia z klientem, jego akcep- tacji i pisemnej zgody na wdrożenie. 1.1. Skalowalność Skalowalność to możliwość rozbudowy sieci bez znaczącej ingerencji w sieć ist- niejącą. Firmy często przewidują w przyszłości znaczący wzrost potrzeb w niektórych obszarach sieci. Na przykład: szybko wzrasta liczba połączeń przewodowych, planowa- ne jest dodanie odległych miejsc biurowych, zwiększa się liczba użytkowników. Przykładowe wymagania skalowalności otrzymane od zarządu firmy:  50-procentowy wzrost w liczby wszystkich użytkowników (LAN i WAN),  75 procentowy wzrost liczby użytkowników sieci bezprzewodowej,
3  75-procentowy wzrost liczby transakcji internetowych obsługiwanych przez fir- mowe serwery komercyjne,  100 procentowy wzrost liczby zdalnych użytkowników,  dodanie 50 telefonów IP oraz włączenie sieci wideo,  dodanie 350 urządzeń końcowych. Projektant sieci analizuje informacje otrzymane z firmy i wykorzystując własne doświadczenie proponuje zmiany, gdyż często zakładana skalowalność jest zaniżona. Obecnie rzeczywiste potrzeby firm w zakresie sieci rosną bardzo szybko i należy prze- konywać zarządy firm do przyjęcia wysokich wskaźników. W celu wsparcia szybkiego wzrostu sieci, projektant sieci wdraża strategię skutecznej i łatwej skalowalności. Zalecenia dotyczące skalowalności:  Modułowa budowa warstwy dostępu – kolejny moduł może być dodany w razie potrzeby, bez wpływu na konstrukcję warstw dystrybucji i szkieletowej.  Modułowa lub klastrowa budowa urządzeń – mogą być łatwo uaktualnione w ce- lu zwiększenia możliwości.  Stosowanie routerów lub przełączników wielowarstwowych wyższej klasy – ma- ją możliwość filtrowania niepożądanego ruchu w sieci i ograniczania niepotrzeb- nej transmisji.  Wykonanie wielu połączeń fizycznych pomiędzy sprzętem – możliwość równo- ważenia obciążenia i zwiększenia przepustowości.  Zastosowanie hierarchicznego adresowania IP – możliwość podsumowania tras i ograniczenia pasma na uaktualnienia.  Zastosowanie sieci wirtualnych VLAN – umożliwia tworzenie nadmiarowości i ogranicza ilość sprzętu. 1.2. Dostępność Należy opracować strategię dostępności sieci, która zapewnia maksymalną ochronę przed awariami i nie jest zbyt droga do wdrożenia. W sieciach wykorzystywa- nych do realizacji transakcji komercyjnych, monitoringu i zabezpieczeń, obsługi syste- mów telefonii, wymagana jest dostępność 24 godziny na dobę, 7 dni w tygodniu (24 x 7). Niekompletne transakcje mogą spowodować utratę przychodów. Jeśli monitoring staje się niedostępny, bezpieczeństwo ludzi, zabezpieczenie mienia mogą być zagrożone. W przypadku, gdy system telefoniczny jest nieczynny, istotne wiadomości mogą zostać utracone.
4 Rys. 4.1. Sieć dostępna 24 x7 Źródło: materiały własne Zapewnienie dostępności dla transakcji komercyjnych (e-commerce) Zawodna strona do sprzedaży internetowej szybko staje się problemem dla po- mocy technicznej, a nawet może zniechęcić klientów od dokonywania transakcji. W celu zapewnienia niezawodności w handlu elektronicznym, należy użyć następujących zale- canych praktyk (rys. 4.1):  Podwójne serwery podłączone do dwóch różnych przełączników warstwy dostępu.  Nadmiarowe połączenia w warstwie dystrybucji.  Zapasowy serwer DNS umieszczony niezależnie od ISP.  Monitoring lokalny i przez Internet podstawowych urządzeń.  Nadmiarowe moduły i zasilacze w podstawowych urządzeniach.  Zasilanie UPS – przy krótkich przerwach w zasilaniu,  Awaryjny generator – przy długich przerwach w zasilaniu.  Strategia routingu – zastosować protokół, który zapewnia szybką i niezawodną zbieżność (np. OSPF, EIGRP).  Dodatkowy dostawca usług internetowych (ISP) lub gwarancja łączność od jed- nego dostawcy. Dostępność systemu monitoringu Serwery, które utrzymują pliki wideo i oprogramowanie do zarządzania bezpie- czeństwem mają takie same wymagania w zakresie dostępności jak serwery wykorzy- stywane komercyjnie. Należy zastosować jeszcze dodatkowe środki, które dotyczą ka- mer i urządzeń nadzoru:
5  Nadmiarowe kamery – podłączone w kluczowych obszarach. Aby ograniczyć ewentualne skutki awarii, kamery należy podłączyć do oddzielnych przełączników.  Zasilanie kamer przez kabel sygnałowy PoE (Power over Ethernet).  Zasilanie z UPS oraz zapasowego generatora. Dostępność systemu telefonii IP O dostępności telefonii IP decyduje nadmiarowość i wysoka dostępność prze- łączników warstwy dostępu. Zaleca się wdrożenie następujących środków:  Zastosowanie routerów lub przełączników wielowarstwowych (urządzeń war- stwy 3 OSI) do połączenia między warstwy dostępu i warstwą dystrybucji.  Zapewnienie rezerwowego zasilania i zasilania awaryjnego UPS.  Tworzenie nadmiarowych ścieżek z warstwy dostępu do warstwy szkieletowej.  Zmniejszenie rozmiaru domen awarii.  Zastosować urządzenia modułowe z nadmiarowymi komponentami.  Zastosowanie szybkich protokołów routingu. 1.3. Wydajność Większość sieci przeznaczonych jest do przesyłania danych, głosu i obrazu. Każdy rodzaj ruchu sieciowego ma indywidualne wymagania techniczne. Charakterystyczne cechy aplikacji w typowej sieci to:  pakiety o różnych rozmiarach,  odrębne zestawy protokołów,  różne tolerancji na opóźnienia i zakłócenia. Czasami wymagania techniczne jednej aplikacji tworzą konflikt z wymogami in- nej, co powoduje problemy z wydajnością. Prowadzi to do niezadowolenia użytkowni- ków i częstymi wezwaniami pomocy technicznej. Nawet wykwalifikowani i doświadcze- ni specjaliści IT mają trudności z rozwiązaniem konfliktów i utrzymaniem wysokiej wy- dajność aplikacji w różnorodnym środowisku. Wdrażanie nowych aplikacji i usług bez zakłócania istniejących jest zadaniem trudnym. Należy utworzyć listę celów projekto- wych i możliwych do zastosowania środków, które mogą mieć wpływ na wydajność priorytetowych aplikacji. Przykładowa lista celów i środków: Cel 1: Poprawa czasu przetwarzania transakcji do mniej niż 3 sekundy.  Zmniejszenie średnicy sieci (maksymalnej liczby przeskoków między urządze- niami końcowymi).  Ograniczenie niepożądanego ruchu i transmisji.  Zapewnienie ścieżek o wysokiej przepustowości do kluczowych serwerów.  Zastosowanie szybkiego serwera do przechowywania danych. Cel 2: Zapewnienie wysokiej jakości głosu i wideo.  Rozdzielenie i klasyfikacja ruchu w sieciach VLAN.  Krótkie ścieżki z serwera do punktów końcowych.  Filtrowanie ruchu.  Zwiększenie przepustowości do sieci WAN.  Wprowadzenie strategii i priorytetów ruchu QoS.  Zidentyfikować obszary, w których mogą pojawić się zatory.
6 1.4. Bezpieczeństwo Bezpieczeństwo jest jednym z obszarów projektowania sieci, gdzie nie powinno być kompromisów. Nie można lekceważyć zasad bezpieczeństwa, stosować w tym za- kresie oszczędnych rozwiązań, wprowadzań niezabezpieczonych funkcji sieciowych. Należy przeprowadzić ocenę ryzyka i zidentyfikować obszary, w których sieć jest najbardziej narażona. Sieci, które zawierają poufne informacje często posiadają indywi- dualne rozwiązania bezpieczeństwa. Ocenę ryzyka należy wykonać dla typowej działal- ności firmy oraz zaplanować przywracania danych po awarii. Zalecane standardowe praktyki bezpieczeństwa obejmują:  Stosowanie zapór do oddzielenia wszystkich poziomów zabezpieczonej sieci fir- mowej od innych niezabezpieczonych sieci, takich jak np. Internet.  Konfigurowanie zapór w celu monitorowania i kontroli ruchu, w oparciu o pi- semne regulaminy bezpieczeństwa.  Tworzenie bezpiecznych połączeń za pomocą tuneli VPN do szyfrowania informacji.  Zapobieganie włamaniom do sieci przez wdrażanie systemów zapobiegania włamaniom. Systemy te skanują sieć i wykrywają szkodliwe lub złośliwe zacho- wania oraz ostrzegają administratorów sieci.  Ochrona użytkowników przed wirusami, spyware i spamem.  Zapewnienie bezpieczeństwa punktów końcowych przez sprawdzenie tożsamo- ści każdego użytkownika przed udzieleniem dostępu do sieci.  Zapewnienie fizycznych środków bezpieczeństwa – zamknięte pomieszczenia, szafy, zabezpieczone kable, aby zapobiec nieautoryzowanemu dostępowi do urządzeń sieciowych.  Bezpieczne bezprzewodowe punkty dostępowe i zabezpieczenie sieci bezprze- wodowej. 2. Projektowanie topologii sieci LAN Przeprowadzona analiza celów i wymagań technicznych stanowi bazę dla dal- szych prac projektowych. Najczęściej istniejąca sieć ma istotne wady (np. płaska topolo- gia, słabe bezpieczeństwo) i nie spełnia stawianych wymagań. Należy zaprojektować właściwą topologii sieci LAN opartą o hierarchiczny model sieci, który zawiera warstwy dostępu, dystrybucji i szkieletową (rys. 4.2 i rys. 4.3).
7 Rys. 4.2. Uproszczony schemat topologii sieci LAN Źródło: materiały własne Rys. 4.3. Widok urządzeń sieci LAN Źródło: materiały własne
8 Ostatnim etapem wstępnego projektu sieci LAN jest wykonanie schematu logicz- nego dla sieci. Schemat zawiera połączenia wszystkich warstw, połączenia urządzeń, system adresowania IP, protokoły, podłączenia serwerów i usług. 2.1. Projektowanie topologii warstwy dostępu Warstwa dostępu służy do podłączenia urządzeń końcowych. Najczęściej wyko- rzystywane są przełączniki, których każdy port stanowi osobną domenę kolizji. Dostęp może być realizowany przewodowo lub przez bezprzewodowe punkty dostępowe. Projektant tworzy wykaz wymogów warstwy dostępu, który zawiera informacje techniczne i dane liczbowe dotyczące użytkowników końcowych i ich podłączenia do sieci. Przykładowy wykaz wymagań warstwy dostępu:  Zapewnić przewodowy dostęp do istniejących urządzeń sieciowych dla 100 użyt- kowników.  Dodać bezprzewodowy dostęp do sieci.  Dodać 40 telefonów IP.  Utworzyć sieci VLAN – do oddzielenia przesyłania głosu, monitorowania nadzoru bezpieczeństwa, dostępu bezprzewodowego i typowych urządzeń przetwarzania danych.  Urządzenia sieci VLAN zamknąć w szafach, z wyjątkiem bezprzewodowej sieci VLAN.  Zapewnić rezerwowe łącza do sieci warstwy dystrybucyjnej.  Wykorzystać 10 szt. przełączników z obecnej sieci. Możliwości istniejących przełączników: Przełączniki te są stałe konfiguracji 10/100 przełączniki Ethernet z dwoma por- tami 10/100/1000 uplink. 2960 może obsługiwać większość z następujących wymagań sieci warstwy dostępu:  skalowalność – obsługuje klastry, dlatego nowe przełączniki mogą być łatwo do- dane do obsługi dodatkowych połączeń,  dostępność – obsługuje nadmiarowe połączenia – dwa przełączniki mogą być skonfigurowane jako przełączniki nadmiarowe, jeśli jeden z nich zawiedzie drugi przejmuje jego funkcje, klasyfikacja ruchu i możliwości znakowania są również dostępne w tym modelu, możliwość tworzenia sieci VLAN,  bezpieczeństwo – zabezpieczenia portów i inne opcje są dostępne.  łatwość zarządzania – przełączniki obsługują Simple Network Management Pro- tocol (SNMP), mogą być zarządzane w paśmie i poza pasmem, obsługują zestaw poleceń z wiersza poleceń CLI oraz konfigurację okienkową GUI. Ograniczenia istniejących przełączników: - brak możliwości podłączenia kabli światłowodowych, koniczność zakupu dodatko- wych kart, - nie obsługują zasilania kalem sygnałowym PoE, co powoduje konieczność zakupu pa- neli przyłączeniowych z możliwością zasilania telefonów IP i kamer.  Zapewnić zasilanie kablem sygnałowym PoE do kamer, telefonów IP oraz bez- przewodowych punktów dostępowych.  Przygotować strategię QoS – klasyfikacja i znakowanie ruchu.
9  Wzrost liczby komputerów nie wymaga proporcjonalnego zwiększenia liczby urządzeń i portów, ponieważ telefony IP posiadają wbudowany przełącznik, któ- ry pozwala komputer podłączyć bezpośrednio do telefonu (rys. 4.4). Rys. 4.4. Telefony IP z przełącznikiem z trzema portami Źródło: materiały własne Port 1 – port zewnętrzny, który podłącza się do przełącznika lub innego urządzenia VoIP. Port 2 – port wewnętrzny interfejs 10/100, który przenosi ruch IP telefonu. Port 3 – port zewnętrzny, który łączy się z komputerem lub innym urządzeniem. 2.2. Projektowanie topologii warstwy dystrybucji Warstwa dystrybucji łączy warstwę dostępu z warstwą szkieletową. Służy ona także jako punkt połączenia odległych lokalizacji. Warstwa dystrybucji zawiera routery lub wielowarstwowe przełączniki. Najczęściej jest odpowiedzialna również za kierowa- nie ruchem pomiędzy sieciami VLAN oraz filtrowanie ruchu niepożądanego. Projektant tworzy wykaz wymogów warstwy dystrybucji, który zawiera podstawowe informacje techniczne dotyczące budowy i działania warstwy. Przykładowy wykaz wymagań warstwy dystrybucji:  Zapewnić nadmiarowe urządzenia i połączenia w celu ograniczenia wpływu awa- rii na sieć.  Zapewnić dostęp do routingu dla 16 węzłów dystrybucji okablowania, z których każdy może mieć więcej niż jedno połączenie do warstwy dystrybucji.  Zastosować filtrowanie ruchu.  Zastosować mechanizmy QoS.  Zapewnić połączenia wysokiej przepustowości.  Zastosować szybko zbieżne protokół routingu.  Zastosować równoważenie obciążenia i podsumowanie tras.  Kolejnym etapem projektowania topologii warstwy dystrybucji jest dobór odpo- wiednich urządzeń sieciowych. Wielowarstwowe przełączniki stanowią odpo- wiedni wybór dla spełnienia tych wymagań. Zapewniają one dużą ilość portów
10 i możliwości uruchomienia routingu (rys.4.2 i rys.4.3). Warstwa dystrybucja za- wiera również projekt podłączenia dla zdalnych użytkowników sieci LAN i podłą- czenia farmy serwerów. Przykładowe możliwości przełączników wielowarstwowych:  Skalowalność – modułowe wielowarstwowe przełączniki posiadają porty świa- tłowodowe oraz porty kabli miedzianych. Korzystanie z routingu w warstwie dystrybucji pozwala dodawać nowe moduły wpływu na istniejącą topologię.  Dostępność - posiadają nadmiarowe elementy w tym zasilacze, wentylatory oraz szybkie moduły pracy awaryjnej. Jeśli jeden moduł zawodzi to rezerwowy moduł przejmuje jego funkcje, bez widocznej utraty łączności. Wykorzystanie routingu umożliwia równoważenie obciążenia i sterowanie ruchem. Podsumowania tras zmniejszają obciążenie sieci i zmniejszają wpływ awarii urządzeń warstwy do- stępu lub awarii łącza działanie sieci.  Bezpieczeństwo – dostępne są funkcje filtrowania ruchu za pomocą list dostępu ACL, zabezpieczenia portów oraz funkcje zapory. Dodatkowo można wdrożyć funkcje zabezpieczeń przed nieautoryzowanym dostępem.  Łatwość zarządzania – obsługują protokół SNMP. Mogą one być zarządzane w pa- śmie jak i poza pasmem.  Występujące ograniczenia – ograniczona ilość portów światłowodowych – zmniejsza możliwość tworzenia łączy nadmiarowych. 2.3. Projektowanie topologii warstwy szkieletowej Podstawowym zadaniem sieci szkieletowej jest zapewnienie szybkiej łączności i wysokiej dostępności sieci. Wymagania konstrukcyjne sieci szkieletowej obejmują:  szybkie połączenia do przełączników warstwy dystrybucji,  dostępność 24 x 7 (24 godziny na dobę, 7 dni w tygodniu),  równoważenie obciążenia między urządzeniami,  szybkie połączenia nadmiarowe między urządzeniami sieci szkieletowej i sieci dystrybucji. Jako urządzenia sieciowe w tej warstwie zaleca się stosowanie przełączników wielowarstwowych o dużej wydajności. Z uwagi na wymagania szybkiego przełączania ruchu w sieci szkieletowej nie stosuje się (lub w niewielkim stopniu) filtrowania pakie- tów. W małych sieciach warstwy szkieletowe i dystrybucji mogą być połączone. Wysoka dostępność Priorytetem w warstwie szkieletowej sieci jest wysoka dostępność. Należy roz- ważyć wszelkie środki, które mogą być podjęte w celu poprawy niezawodności i dostępu do sieci. Należy zaprojektować nadmiarowe połączenia warstwy szkieletowej i warstwy dystrybucji, zainstalować nadmiarowe komponenty w sprzęcie i podjąć dodatkowe środki w celu zapewnienia rezerwowego zasilania, klimatyzacji pomieszczeń. Połączenia nadmiarowe między przełącznikami warstwy szkieletowej zapewnia- ją równoważenie obciążenia i zapewniają połączenie w czasie awarii. Należy zastosować szybko zbieżne protokoły routingu warstwy 3, takie jak EIGRP lub OSPF. Pozwoli to zmniejszyć czas potrzebny do odzyskania łącza po awarii.
11 Wysoka prędkość Kolejnym priorytetem w warstwie rdzeniowej jest szybkość połączeń. Aby za- pewnić wystarczającą przepustowość, należy stosować szybkie interfejsy komunikacji światłowodowej i technologie umożliwiające tworzenie połączeń wirtualnych (np. Et- herChannel). 3. Projektowanie podłączeń do sieci LAN Aby sieć była funkcjonalna i umożliwiała realizację zaplanowanych celów należy zaprojektować podłączenia dla odległych lokalizacji oraz zaprojektować sieć bezprze- wodową WLAN. 3.1. Podłączenie zdalnych lokalizacji Do podłączenia zdalnych lokalizacji można wykorzystać dedykowane, stałe połą- czenia WAN lub wykorzystać dostęp przez sieć publiczną. Możliwości realizacji podłą- czenia zdalnych lokalizacji przedstawiono na rysunku 4.5. Rys. 4.5. Podłączenie zdalnych lokalizacji Źródło: materiały własne W celu określenia kosztów i dostępności usług połączenia stałego, należy do do- stawców usług telekomunikacyjnych wystosować zapytanie ofertowe. Stałe połączenie point-to-point T1 oferuje najlepszą jakość usług, można również wykorzystać mniej kosztową usługę Frame Relay. Zaletą korzystania z połączenia Fra- me Relay jest możliwość wykorzystania jednego połączenia fizycznego do realizacji łączności do wielu odległych miejsc (rys. 4.5). Rodzaje połączeń Frame Relay:  przełączane obwody wirtualne (SVC) – to tymczasowe połączenia stworzone dla każdego transferu danych, które znikają, gdy transfer danych jest kompletny.  stałe obwody wirtualne (PVC) – to połączenia stałe.
12 Usługi sieciowe dla zdalnych lokalizacji Na dobór łącza wpływa również analiza wykorzystywanych aplikacji w odległych lokalizacjach. Przykładowe, potrzebne usługi i aplikacje to dostęp do:  serwera komercyjnego i usług bazodanowych,  telefonii IP,  monitoringu i kontroli. Projektant tworzy wykresy ruchu dla każdego połączenia WAN do różnych miejsc sieci LAN. Zapewnia to materiał do analizy, w celu tworzenia reguł zapory i filtrowania ACL. Adresowanie IP i routing W połączeniach do zdalnych lokalizacji, jeżeli jest to możliwe należy konfiguro- wać trasy statyczne. Należy starannie wybrać zakresy adresów IP, które są wykorzy- stywane w każdym miejscu, rozważyć miejsce umieszczenia serwera DHCP, który może również się znajdować u dostawcy usług ISP. 3.2. Podłączenie sieci bezprzewodowej WLAN Sieć bezprzewodowa WLAN powinna zapewnić wysoki stopień pokrycia wyma- ganego obszaru. Firmy wymagają czasem niski stopień pokrycia w biurach lub pomiesz- czeniach produkcyjnych. Typowe urządzenia bezprzewodowe mogą nie być wystarcza- jąco silne dla sieci WLAN w halach produkcyjnych lub obszarach przemysłowych. Zasięg sieci bezprzewodowej Należy określić obszary działania sieci WLAN, wyodrębnić obszary sieci dostępne dla pracowników i dla gości. Szczególną uwagę należy zwrócić na przewidywany wzrost sieci (skalowalność) oraz na aplikacje priorytetowe np. bezprzewodową telefonię IP, które wymagają wdrożenia strategii QoS. Rozmieszczenie punktów AP, rodzaje anten należy ustalić doświadczalnie, bada- jąc zasięg sieci bezprzewodowej. Integracja sieci bezprzewodowej z przewodową LAN Należy szczególną uwagę zwrócić na miejsca podłączenia sieci WLAN do sieci LAN. Połączenie to powinno być proste w zarządzaniu, korzystać z funkcji bezpieczeń- stwa sieci LAN oraz z nadmiarowości infrastruktury. Umieszczenie punktów dostępowych AP w szafach, w pobliżu przełączników mo- że nie zapewniać pokrycia wymaganego obszaru. Aby ograniczyć prowadzenie kabli do punktów dostępowych AP można utworzyć bezprzewodową sieć LAN, stosując bez- przewodowe kontrolery sieci LAN (Wireless LAN Controller). Schemat sieci WLAN z bezprzewodowym kontrolerem LAN przedstawiono na rys. 4.6.
13 Rys. 4.6 Sieć WLAN z bezprzewodowym kontrolerem LAN Źródło: materiały własne Wskazane jest tworzenie bezprzewodowych sieci wirtualnych VLAN, które obej- mują sieci i obszarach zasięgu sieci bezprzewodowych, które nakładają się na siebie. Sieciami VLAN można również rozdzielić użytkowników o różnych uprawnieniach np. pracowników i gości. Dostępne są pełne rozwiązania sieci bezprzewodowej, które zawierają oprogra- mowanie systemu bezprzewodowego. Oferują zaawansowane funkcje, takie jak zarzą- dzanie scentralizowane, podział użytkowników na typy, przypisanie usług użytkowni- kom. Umożliwiają zastosowanie różnych poziomów bezpieczeństwa i strategii QoS. Nadmiarowość i odporność na awarie Dostępność połączenia bezprzewodowego zależy od następujących czynników:  położenia punktów AP,  mocy sygnału AP,  liczby użytkowników, którzy dzielą połączenia AP. W sieci realizowanej przy użyciu osobnego AP można statycznie nastawić kanał i moc sygnału. Należy brać pod uwagę, że w sieciach bezprzewodowych propagacja sy- gnału zależy od warunków otoczenia, rozmieszczenia przeszkód i źródeł zakłóceń. Dynamiczna rekonfiguracja W sieciach z kontrolerami LAN (rys.4.6), kontroler automatycznie określa siłę sy- gnału, która istnieje pomiędzy punktami w tej sieci i może dynamicznie dobrać opty- malną siłę sygnału. Gdy klient wyszukuje AP aby się połączyć, sterownik określa, które AP odpowia- da na żądanie klienta, biorąc pod uwagę siłę sygnału i stosunek sygnału do szumu. Host po zalogowaniu się do sieci WLAN:  natychmiast szuka kontrolera bezprzewodowej sieci LAN,
14  gdy wykryje kontroler – AP wysyła zaszyfrowaną wiadomość, która zawierają ad- res MAC i siłę sygnału każdego hosta podłączonego do AP.  kontroler sieci bezprzewodowej LAN analizuje sygnał każdego kanału AP i ustala optymalną siłę sygnału, zasięg i pasmo. Adresowanie IP w sieci WLAN Należy uwzględnić strukturę adresowania IP. Pojedynczy punkt dostępowy AP obsługuje jedną sieć wirtualną VLAN, wszystkie połączenia IP w tej sieci. W przypadku dużej liczby użytkowników sieci bezprzewodowej może stanowić to problem z adreso- waniem i możliwością rozwoju sieci. 4. Bezpieczeństwo sieci Sieć jest zagrożona z wielu różnych miejsc, ze źródeł wewnętrznych i zewnętrz- nych. Nie wystarczy umieszczenie zapory na wejściu do sieci. Należy określić informacje, które są zagrożone i jakie są potencjalne źródła ataków. Serwery komercyjne zawierają informacje o klientach, dane z kart kredytowych i płatniczych. Serwery zawierają poufne dane na temat technologii Produkcji, zawartych umów, dane osobowe pracowników. Serwery i infrastrukturę, które przenosi dane w nich zawarte należy odpowiednio za- bezpieczyć przed nieautoryzowanym dostępem. Użytkownicy korzystają z tych serwe- rów w obrębie sieci lokalnej i przez Internet. Aby zapobiec prawdopodobnym atakom, usługi ochrony muszą być umieszczone w odpowiednich miejscach na całym obszarze sieci. Szczególnie należy chronić sieć bezprzewodową. Usługi bezpieczeństwa chronią urządzenia i sieć przed włamaniami, sabotażem, zamianą danych i zakłóceniem usług przez ataki Dos (Denial of Service). Podstawowe kategorie usług bezpieczeństwa to:  ochrona infrastruktury,  bezpieczeństwo łączności,  wykrywanie zagrożeń – obrona i łagodzenie skutków. 4.1. Funkcje bezpieczeństwa Ochrona infrastruktury Na bezpieczeństwo sieci wpływa fizyczne zabezpieczenie urządzeń sieciowych. Należy urządzenia umieścić w zamkniętych pomieszczeniach i szafach, kable prowadzić w odpowiednio przygotowanych kanałach kablowych. Negatywny przykład ochrony infrastruktury przedstawiono na rys. 4.7.
15 Rys. 4.7. Ochrona infrastruktury Źródło: materiały własne Istotną rzeczą jest jakość urządzeń sieciowych. Urządzenia wyższej klasy posia- dają dobrze zabezpieczone systemy operacyjne, co w połączeniu z ochroną fizyczną sku- tecznie je zabezpiecza przed atakiem. Bezpieczeństwo łączności Bardzo ważne jest, aby zapobiegać nieautoryzowanemu dostępowi do sieci. Moż- na to osiągnąć przez fizyczne zabezpieczenie sieci oraz żądanie uwierzytelnienia w celu uzyskania dostępu do usług sieciowych. W sieciach bezprzewodowych dla pracowników i gości należy stosować oddzielne identyfikatory SSID, a jeżeli to możliwe to oddzielne sieci WLAN. Zabezpieczanie przesyłanych danych może być wykonane przy użyciu tune- lowania VPN i szyfrowania danych.
16 Wykrywanie zagrożeń – obrona i łagodzenie skutków Ściany ogniowe (Firewalle), systemy IDS, IPS oraz listy ACL zapewniają ochronę przed zagrożeniami i napastnikami. Reguły list ACL i filtrowania zapór zabezpieczają sieć przed niepożądanym ruchem. Wdrożenie strategii bezpieczeństwa Usługi bezpieczeństwa nie są skuteczne, jeżeli nie są one realizowane w odpo- wiednich miejscach, w całej sieci. Zapory i filtry umieszczone na wejściu do sieci nie chronią serwerów przed atakami z wewnątrz sieci LAN. Należy przeanalizować wcze- śniej utworzone wykresy przepływu ruchu, które wskazują:  zasoby, do których mają dostęp użytkownicy wewnętrzni,  zasoby, do których mają dostęp użytkownicy zewnętrzni,  ścieżki dostępu do zasobów. Analiza pomaga zaprojektować usługi bezpieczeństwa w odpowiednich miej- scach. Korzystanie ze zintegrowanych usług bezpieczeństwa Jeżeli jest to możliwe, należy wykorzystywać zintegrowane usługi bezpieczeństwa umieszczone w systemach operacyjnych urządzeń sieciowych. Mają one funkcje zapory, moduły IDS, co eliminuje potrzebę stosowania dodatkowych urządzeń zabezpieczających. W większych sieciach konieczne jest, aby korzystać z oddzielnych urządzeń, ponieważ dodatkowe przetwarzanie może spowolnić pracę routerów i przełączników. 4.2. Wdrożenie filtrowania ACL Zastosowanie w sieci firmy list kontroli dostępu ACL, umożliwia przydzielenie uprawnień do określonych zasobów dla grup lub pojedynczych pracowników. Umożli- wiają one również filtrowanie ruchu do serwerów oraz pomagają w identyfikacji i fil- trowaniu ruchu szkodliwego. Przykład zastosowania listy ACL do ochrony serwera przedstawiono na rys. 4.8. Cały ruch do serwera zostaje odrzucony za wyjątkiem wy- mienionych portów i protokołów www i ftp. Przy projektowaniu zestawów reguł fire- walla i list ACL, przyjmuje się regułę odrzucenia całego ruchu, który jest niepożądany lub nieautoryzowany.
17 Rys. 4.8. Zastosowanie listy kontroli dostępu ACL Źródło: materiały własne Przykłady zestawu reguł firewalla i list ACL:  Zablokuj cały ruch przychodzący z adresami sieciowymi IP zgodnymi z adresami wewnętrznymi. Ruch przychodzący nie powinien pochodzić z adresów siecio- wych wewnętrznych.  Zablokuj cały ruch przychodzący do serwerów z zewnętrznych adresów. Zasada ta obejmuje cały ruch z wyjątkiem dozwolonych portów.  Zablokuj cały przychodzący ICMP (echo request). Zasada ta zapobiega żądaniom ping wygenerowanym spoza zaufanej sieci.  Przepuść ruch DNS (UDP 53) – pozwolenie na korzystanie z zewnętrznych ser- werów DNS.  Zezwalaj na ruch internetowy (TCP 80/443) z dowolnego zewnętrznego adresu do serwera www.  Przepuść ruch (TCP 21) do serwerów FTP. Jeśli usługi FTP są dostępne dla użyt- kowników zewnętrznych, zasada ta pozwala na dostęp do serwera FTP. Podczas korzystania z usług FTP konta użytkownika i hasło są przesyłane w po- staci zwykłego tekstu. Wykorzystanie pasywnego FTP (PASV) negocjuje losowy port danych w odróżnieniu od typowego wykorzystania portu TCP 20.  Zezwalaj na ruch (TCP 25) do serwera SMTP – pozwala użytkownikom ze- wnętrznym na dostęp do wewnętrznego serwera poczty SMTP.  Zezwalaj na ruch (TCP 143) do wewnętrznego serwera IMAP – pozwala na ze- wnętrzny dostęp klientów do wewnętrznego serwera IMAP. Zestawy reguł list ACL są realizowane na routerach i urządzeniach firewall. Każdy zestaw reguł może filtrować zarówno ruch przychodzący jak i wychodzący.
18 Dokumentowanie zasad bezpieczeństwa Dokumentacja projektowa powinna zawierać wszystkie zestawy reguł zapór i list kontroli dostępu ACL oraz określać, gdzie są one zastosowane. Wykaz reguł jest częścią polityki bezpieczeństwa w firmie. Dokumentowanie reguł firewalla i list ACL daje następujące korzyści:  Dostarcza dowodów, że polityka bezpieczeństwa jest realizowany w sieci.  Stanowi dowód, że wszystkie rozwiązania i zmiany były dokonane na podstawie pisemnych wniosków i zgód firmy.  Pomaga w rozwiązywaniu problemów z dostępem do aplikacji lub segmentów sieci.
19 Bibliografia: 1. Halska B., Hensel P. Projektowanie lokalnych sieci komputerowych i administrowa- nie sieciami. Podręcznik do nauki zawodu technik informatyk. Część 1 i 2. Helion, Gliwice 2012, 2013. 2. Krysiak K. Sieci komputerowe. Kompendium. Helion, Gliwice 2005. 3. Derfler F. Freed L. Tłum.: Zięba P. Okablowanie sieciowe w praktyce. Księga eks- perta. Helion, Gliwice 2000. 4. Designing and Supporting Computer Networks. Materiały szkoleniowe CCNA Di- scovery Cisco. 5. Sportach M. Tłum.: Gała Z. Sieci komputerowe. Księga eksperta. Helion, Gliwice 1999.

Recommended

1
11
1Szymon Konkol - Publikacje Cyfrowe
 
3
33
3Szymon Konkol - Publikacje Cyfrowe
 
5
55
5Szymon Konkol - Publikacje Cyfrowe
 
8
88
8Szymon Konkol - Publikacje Cyfrowe
 
6
66
6Szymon Konkol - Publikacje Cyfrowe
 
Modele odniesienia OSI/ISO i TCP/IP
Modele odniesienia OSI/ISO i TCP/IPModele odniesienia OSI/ISO i TCP/IP
Modele odniesienia OSI/ISO i TCP/IPSzymon Konkol - Publikacje Cyfrowe
 
2
22
2Szymon Konkol - Publikacje Cyfrowe
 
4
44
4Szymon Konkol - Publikacje Cyfrowe
 

Recommended

1
11
1Szymon Konkol - Publikacje Cyfrowe
 
3
33
3Szymon Konkol - Publikacje Cyfrowe
 
5
55
5Szymon Konkol - Publikacje Cyfrowe
 
8
88
8Szymon Konkol - Publikacje Cyfrowe
 
6
66
6Szymon Konkol - Publikacje Cyfrowe
 
Modele odniesienia OSI/ISO i TCP/IP
Modele odniesienia OSI/ISO i TCP/IPModele odniesienia OSI/ISO i TCP/IP
Modele odniesienia OSI/ISO i TCP/IPSzymon Konkol - Publikacje Cyfrowe
 
2
22
2Szymon Konkol - Publikacje Cyfrowe
 
4
44
4Szymon Konkol - Publikacje Cyfrowe
 
Podstawowe pojęcia dotyczące sieci komputerowych. Podział sieci
Podstawowe pojęcia dotyczące sieci komputerowych. Podział sieciPodstawowe pojęcia dotyczące sieci komputerowych. Podział sieci
Podstawowe pojęcia dotyczące sieci komputerowych. Podział sieciSzymon Konkol - Publikacje Cyfrowe
 
5
55
5Szymon Konkol - Publikacje Cyfrowe
 
6
66
6Szymon Konkol - Publikacje Cyfrowe
 
4
44
4Szymon Konkol - Publikacje Cyfrowe
 
5
55
5Szymon Konkol - Publikacje Cyfrowe
 
6
66
6Szymon Konkol - Publikacje Cyfrowe
 
7
77
7Szymon Konkol - Publikacje Cyfrowe
 
5
55
5Szymon Konkol - Publikacje Cyfrowe
 
7
77
7Szymon Konkol - Publikacje Cyfrowe
 
3
33
3Szymon Konkol - Publikacje Cyfrowe
 
6
66
6Szymon Konkol - Publikacje Cyfrowe
 
8
88
8Szymon Konkol - Publikacje Cyfrowe
 
3
33
3Szymon Konkol - Publikacje Cyfrowe
 
Not Almanach short-cut within Networking (in Polish)
Not Almanach short-cut within Networking (in Polish)Not Almanach short-cut within Networking (in Polish)
Not Almanach short-cut within Networking (in Polish)tomasz_pelczar
 
7
77
7Szymon Konkol - Publikacje Cyfrowe
 
PLNOG 17 - Dawid Królica, Piotr Szołkowski - ExtremeCloud czyli infrastruktur...
PLNOG 17 - Dawid Królica, Piotr Szołkowski - ExtremeCloud czyli infrastruktur...PLNOG 17 - Dawid Królica, Piotr Szołkowski - ExtremeCloud czyli infrastruktur...
PLNOG 17 - Dawid Królica, Piotr Szołkowski - ExtremeCloud czyli infrastruktur...PROIDEA
 
3
33
3Szymon Konkol - Publikacje Cyfrowe
 
Punkt dostepowy Motorola AP7532
Punkt dostepowy Motorola AP7532Punkt dostepowy Motorola AP7532
Punkt dostepowy Motorola AP7532LogicSystemCo
 
Trendy w rozwoju okablowania strukturalnego RSIM
Trendy w rozwoju okablowania strukturalnego RSIMTrendy w rozwoju okablowania strukturalnego RSIM
Trendy w rozwoju okablowania strukturalnego RSIMWydział ds. eZdrowia, Departament Polityki Zdrowotnej, Urząd Marszałkowski w Łodzi
 
PLNOG14: Więcej niż samo łącze, czyli jak zarabiać na dodatkowych usługach op...
PLNOG14: Więcej niż samo łącze, czyli jak zarabiać na dodatkowych usługach op...PLNOG14: Więcej niż samo łącze, czyli jak zarabiać na dodatkowych usługach op...
PLNOG14: Więcej niż samo łącze, czyli jak zarabiać na dodatkowych usługach op...PROIDEA
 
PLNOG14: Ocena wydajności i bezpieczeństwa infrastruktury operatora telekomu...
PLNOG14: Ocena wydajności i bezpieczeństwa infrastruktury operatora telekomu...PLNOG14: Ocena wydajności i bezpieczeństwa infrastruktury operatora telekomu...
PLNOG14: Ocena wydajności i bezpieczeństwa infrastruktury operatora telekomu...PROIDEA
 
Espol Plnog7 WiMax
Espol Plnog7 WiMaxEspol Plnog7 WiMax
Espol Plnog7 WiMaxespol
 

More Related Content

What's hot

Podstawowe pojęcia dotyczące sieci komputerowych. Podział sieci
Podstawowe pojęcia dotyczące sieci komputerowych. Podział sieciPodstawowe pojęcia dotyczące sieci komputerowych. Podział sieci
Podstawowe pojęcia dotyczące sieci komputerowych. Podział sieciSzymon Konkol - Publikacje Cyfrowe
 
Not Almanach short-cut within Networking (in Polish)
Not Almanach short-cut within Networking (in Polish)Not Almanach short-cut within Networking (in Polish)
Not Almanach short-cut within Networking (in Polish)tomasz_pelczar
 

What's hot (15)

Podstawowe pojęcia dotyczące sieci komputerowych. Podział sieci
Podstawowe pojęcia dotyczące sieci komputerowych. Podział sieciPodstawowe pojęcia dotyczące sieci komputerowych. Podział sieci
Podstawowe pojęcia dotyczące sieci komputerowych. Podział sieci
 
5
55
5
 
6
66
6
 
4
44
4
 
5
55
5
 
6
66
6
 
7
77
7
 
5
55
5
 
7
77
7
 
3
33
3
 
6
66
6
 
8
88
8
 
3
33
3
 
Not Almanach short-cut within Networking (in Polish)
Not Almanach short-cut within Networking (in Polish)Not Almanach short-cut within Networking (in Polish)
Not Almanach short-cut within Networking (in Polish)
 
7
77
7
 

Similar to 4

PLNOG 17 - Dawid Królica, Piotr Szołkowski - ExtremeCloud czyli infrastruktur...
PLNOG 17 - Dawid Królica, Piotr Szołkowski - ExtremeCloud czyli infrastruktur...PLNOG 17 - Dawid Królica, Piotr Szołkowski - ExtremeCloud czyli infrastruktur...
PLNOG 17 - Dawid Królica, Piotr Szołkowski - ExtremeCloud czyli infrastruktur...PROIDEA
 
Punkt dostepowy Motorola AP7532
Punkt dostepowy Motorola AP7532Punkt dostepowy Motorola AP7532
Punkt dostepowy Motorola AP7532LogicSystemCo
 
PLNOG14: Więcej niż samo łącze, czyli jak zarabiać na dodatkowych usługach op...
PLNOG14: Więcej niż samo łącze, czyli jak zarabiać na dodatkowych usługach op...PLNOG14: Więcej niż samo łącze, czyli jak zarabiać na dodatkowych usługach op...
PLNOG14: Więcej niż samo łącze, czyli jak zarabiać na dodatkowych usługach op...PROIDEA
 
PLNOG14: Ocena wydajności i bezpieczeństwa infrastruktury operatora telekomu...
PLNOG14: Ocena wydajności i bezpieczeństwa infrastruktury operatora telekomu...PLNOG14: Ocena wydajności i bezpieczeństwa infrastruktury operatora telekomu...
PLNOG14: Ocena wydajności i bezpieczeństwa infrastruktury operatora telekomu...PROIDEA
 
Espol Plnog7 WiMax
Espol Plnog7 WiMaxEspol Plnog7 WiMax
Espol Plnog7 WiMaxespol
 
PLNOG 9: Krzysztof Dziedzic - Nowe usługi w sieciach szerokopasmowych, czyli ...
PLNOG 9: Krzysztof Dziedzic - Nowe usługi w sieciach szerokopasmowych, czyli ...PLNOG 9: Krzysztof Dziedzic - Nowe usługi w sieciach szerokopasmowych, czyli ...
PLNOG 9: Krzysztof Dziedzic - Nowe usługi w sieciach szerokopasmowych, czyli ...PROIDEA
 
Bartlomiej Anszperger - Od sieci Metro do sieci Carrier Ethernet
Bartlomiej Anszperger - Od sieci Metro do sieci Carrier EthernetBartlomiej Anszperger - Od sieci Metro do sieci Carrier Ethernet
Bartlomiej Anszperger - Od sieci Metro do sieci Carrier EthernetPROIDEA
 
PLNOG14: Vectra i Infoblox Advanced DNS Protection , historia sukcesu pewnego...
PLNOG14: Vectra i Infoblox Advanced DNS Protection , historia sukcesu pewnego...PLNOG14: Vectra i Infoblox Advanced DNS Protection , historia sukcesu pewnego...
PLNOG14: Vectra i Infoblox Advanced DNS Protection , historia sukcesu pewnego...PROIDEA
 
PLNOG15: End of theoretical talks on SDN! Time for real solutions - Cisco SP ...
PLNOG15: End of theoretical talks on SDN! Time for real solutions - Cisco SP ...PLNOG15: End of theoretical talks on SDN! Time for real solutions - Cisco SP ...
PLNOG15: End of theoretical talks on SDN! Time for real solutions - Cisco SP ...PROIDEA
 
PLNOG 9: Krzysztof Konkowski, Władysław Misztal - Skuteczne planowanie i czas...
PLNOG 9: Krzysztof Konkowski, Władysław Misztal - Skuteczne planowanie i czas...PLNOG 9: Krzysztof Konkowski, Władysław Misztal - Skuteczne planowanie i czas...
PLNOG 9: Krzysztof Konkowski, Władysław Misztal - Skuteczne planowanie i czas...PROIDEA
 
Prezentacja witruallizacja dc 1.3
Prezentacja witruallizacja dc 1.3Prezentacja witruallizacja dc 1.3
Prezentacja witruallizacja dc 1.3Marta Pacyga
 
PLNOG15: Virtualization and automation of network and security services in Da...
PLNOG15: Virtualization and automation of network and security services in Da...PLNOG15: Virtualization and automation of network and security services in Da...
PLNOG15: Virtualization and automation of network and security services in Da...PROIDEA
 
PLNOG 7: Jerzy Kosiedowski, Wojciech Kozicki - WiMax
PLNOG 7: Jerzy Kosiedowski, Wojciech Kozicki - WiMaxPLNOG 7: Jerzy Kosiedowski, Wojciech Kozicki - WiMax
PLNOG 7: Jerzy Kosiedowski, Wojciech Kozicki - WiMaxPROIDEA
 
PLNOG 5: Piotr Wojciechowski - Budowa głosowych usług operatorskich z zastoso...
PLNOG 5: Piotr Wojciechowski - Budowa głosowych usług operatorskich z zastoso...PLNOG 5: Piotr Wojciechowski - Budowa głosowych usług operatorskich z zastoso...
PLNOG 5: Piotr Wojciechowski - Budowa głosowych usług operatorskich z zastoso...PROIDEA
 
PLNOG14: Overlay Networking, nowatorskie podejście do budowy wydajnej sieci D...
PLNOG14: Overlay Networking, nowatorskie podejście do budowy wydajnej sieci D...PLNOG14: Overlay Networking, nowatorskie podejście do budowy wydajnej sieci D...
PLNOG14: Overlay Networking, nowatorskie podejście do budowy wydajnej sieci D...PROIDEA
 
Czy twoje zabezpieczenia są skuteczne? Błędy i podatności w rozwiązaniach zab...
Czy twoje zabezpieczenia są skuteczne? Błędy i podatności w rozwiązaniach zab...Czy twoje zabezpieczenia są skuteczne? Błędy i podatności w rozwiązaniach zab...
Czy twoje zabezpieczenia są skuteczne? Błędy i podatności w rozwiązaniach zab...SecuRing
 
PLNOG 17 - Maciej Flak - Cisco Cloud Networking - czyli kompletna infrastrukt...
PLNOG 17 - Maciej Flak - Cisco Cloud Networking - czyli kompletna infrastrukt...PLNOG 17 - Maciej Flak - Cisco Cloud Networking - czyli kompletna infrastrukt...
PLNOG 17 - Maciej Flak - Cisco Cloud Networking - czyli kompletna infrastrukt...PROIDEA
 

Similar to 4 (20)

PLNOG 17 - Dawid Królica, Piotr Szołkowski - ExtremeCloud czyli infrastruktur...
PLNOG 17 - Dawid Królica, Piotr Szołkowski - ExtremeCloud czyli infrastruktur...PLNOG 17 - Dawid Królica, Piotr Szołkowski - ExtremeCloud czyli infrastruktur...
PLNOG 17 - Dawid Królica, Piotr Szołkowski - ExtremeCloud czyli infrastruktur...
 
3
33
3
 
Punkt dostepowy Motorola AP7532
Punkt dostepowy Motorola AP7532Punkt dostepowy Motorola AP7532
Punkt dostepowy Motorola AP7532
 
Trendy w rozwoju okablowania strukturalnego RSIM
Trendy w rozwoju okablowania strukturalnego RSIMTrendy w rozwoju okablowania strukturalnego RSIM
Trendy w rozwoju okablowania strukturalnego RSIM
 
PLNOG14: Więcej niż samo łącze, czyli jak zarabiać na dodatkowych usługach op...
PLNOG14: Więcej niż samo łącze, czyli jak zarabiać na dodatkowych usługach op...PLNOG14: Więcej niż samo łącze, czyli jak zarabiać na dodatkowych usługach op...
PLNOG14: Więcej niż samo łącze, czyli jak zarabiać na dodatkowych usługach op...
 
PLNOG14: Ocena wydajności i bezpieczeństwa infrastruktury operatora telekomu...
PLNOG14: Ocena wydajności i bezpieczeństwa infrastruktury operatora telekomu...PLNOG14: Ocena wydajności i bezpieczeństwa infrastruktury operatora telekomu...
PLNOG14: Ocena wydajności i bezpieczeństwa infrastruktury operatora telekomu...
 
Espol Plnog7 WiMax
Espol Plnog7 WiMaxEspol Plnog7 WiMax
Espol Plnog7 WiMax
 
Wykonanie infrastruktury sieciowej w zakładach opieki zdrowotnej podległych S...
Wykonanie infrastruktury sieciowej w zakładach opieki zdrowotnej podległych S...Wykonanie infrastruktury sieciowej w zakładach opieki zdrowotnej podległych S...
Wykonanie infrastruktury sieciowej w zakładach opieki zdrowotnej podległych S...
 
PLNOG 9: Krzysztof Dziedzic - Nowe usługi w sieciach szerokopasmowych, czyli ...
PLNOG 9: Krzysztof Dziedzic - Nowe usługi w sieciach szerokopasmowych, czyli ...PLNOG 9: Krzysztof Dziedzic - Nowe usługi w sieciach szerokopasmowych, czyli ...
PLNOG 9: Krzysztof Dziedzic - Nowe usługi w sieciach szerokopasmowych, czyli ...
 
Bartlomiej Anszperger - Od sieci Metro do sieci Carrier Ethernet
Bartlomiej Anszperger - Od sieci Metro do sieci Carrier EthernetBartlomiej Anszperger - Od sieci Metro do sieci Carrier Ethernet
Bartlomiej Anszperger - Od sieci Metro do sieci Carrier Ethernet
 
PLNOG14: Vectra i Infoblox Advanced DNS Protection , historia sukcesu pewnego...
PLNOG14: Vectra i Infoblox Advanced DNS Protection , historia sukcesu pewnego...PLNOG14: Vectra i Infoblox Advanced DNS Protection , historia sukcesu pewnego...
PLNOG14: Vectra i Infoblox Advanced DNS Protection , historia sukcesu pewnego...
 
PLNOG15: End of theoretical talks on SDN! Time for real solutions - Cisco SP ...
PLNOG15: End of theoretical talks on SDN! Time for real solutions - Cisco SP ...PLNOG15: End of theoretical talks on SDN! Time for real solutions - Cisco SP ...
PLNOG15: End of theoretical talks on SDN! Time for real solutions - Cisco SP ...
 
PLNOG 9: Krzysztof Konkowski, Władysław Misztal - Skuteczne planowanie i czas...
PLNOG 9: Krzysztof Konkowski, Władysław Misztal - Skuteczne planowanie i czas...PLNOG 9: Krzysztof Konkowski, Władysław Misztal - Skuteczne planowanie i czas...
PLNOG 9: Krzysztof Konkowski, Władysław Misztal - Skuteczne planowanie i czas...
 
Prezentacja witruallizacja dc 1.3
Prezentacja witruallizacja dc 1.3Prezentacja witruallizacja dc 1.3
Prezentacja witruallizacja dc 1.3
 
PLNOG15: Virtualization and automation of network and security services in Da...
PLNOG15: Virtualization and automation of network and security services in Da...PLNOG15: Virtualization and automation of network and security services in Da...
PLNOG15: Virtualization and automation of network and security services in Da...
 
PLNOG 7: Jerzy Kosiedowski, Wojciech Kozicki - WiMax
PLNOG 7: Jerzy Kosiedowski, Wojciech Kozicki - WiMaxPLNOG 7: Jerzy Kosiedowski, Wojciech Kozicki - WiMax
PLNOG 7: Jerzy Kosiedowski, Wojciech Kozicki - WiMax
 
PLNOG 5: Piotr Wojciechowski - Budowa głosowych usług operatorskich z zastoso...
PLNOG 5: Piotr Wojciechowski - Budowa głosowych usług operatorskich z zastoso...PLNOG 5: Piotr Wojciechowski - Budowa głosowych usług operatorskich z zastoso...
PLNOG 5: Piotr Wojciechowski - Budowa głosowych usług operatorskich z zastoso...
 
PLNOG14: Overlay Networking, nowatorskie podejście do budowy wydajnej sieci D...
PLNOG14: Overlay Networking, nowatorskie podejście do budowy wydajnej sieci D...PLNOG14: Overlay Networking, nowatorskie podejście do budowy wydajnej sieci D...
PLNOG14: Overlay Networking, nowatorskie podejście do budowy wydajnej sieci D...
 
Czy twoje zabezpieczenia są skuteczne? Błędy i podatności w rozwiązaniach zab...
Czy twoje zabezpieczenia są skuteczne? Błędy i podatności w rozwiązaniach zab...Czy twoje zabezpieczenia są skuteczne? Błędy i podatności w rozwiązaniach zab...
Czy twoje zabezpieczenia są skuteczne? Błędy i podatności w rozwiązaniach zab...
 
PLNOG 17 - Maciej Flak - Cisco Cloud Networking - czyli kompletna infrastrukt...
PLNOG 17 - Maciej Flak - Cisco Cloud Networking - czyli kompletna infrastrukt...PLNOG 17 - Maciej Flak - Cisco Cloud Networking - czyli kompletna infrastrukt...
PLNOG 17 - Maciej Flak - Cisco Cloud Networking - czyli kompletna infrastrukt...
 

More from Szymon Konkol - Publikacje Cyfrowe

More from Szymon Konkol - Publikacje Cyfrowe (20)

k1.pdf
k1.pdfk1.pdf
k1.pdf
 
t1.pdf
t1.pdft1.pdf
t1.pdf
 
Quiz3
Quiz3Quiz3
Quiz3
 
Quiz2
Quiz2Quiz2
Quiz2
 
Quiz 1
Quiz 1Quiz 1
Quiz 1
 
Pytania RODO do prezentacji
Pytania RODO do prezentacjiPytania RODO do prezentacji
Pytania RODO do prezentacji
 
Rodo prezentacja dla_pracownikow (1)
Rodo prezentacja dla_pracownikow (1)Rodo prezentacja dla_pracownikow (1)
Rodo prezentacja dla_pracownikow (1)
 
Rodo bezpieczenstwo _dla_pracownikow
Rodo bezpieczenstwo _dla_pracownikowRodo bezpieczenstwo _dla_pracownikow
Rodo bezpieczenstwo _dla_pracownikow
 
Rodo reakcja na_naruszenia
Rodo reakcja na_naruszeniaRodo reakcja na_naruszenia
Rodo reakcja na_naruszenia
 
Rodo podstawy przetwarzania_danych_ dla pracownikow
Rodo podstawy przetwarzania_danych_ dla pracownikowRodo podstawy przetwarzania_danych_ dla pracownikow
Rodo podstawy przetwarzania_danych_ dla pracownikow
 
4
44
4
 
3
33
3
 
2
2 2
2
 
1
11
1
 
6
66
6
 
5
55
5
 
4
44
4
 
3
33
3
 
2
22
2
 
1
11
1
 

4

  • 1. Moduł 4 Realizacja projektu sieci 1. Analiza celów biznesowych i wymagań technicznych 2. Projektowanie topologii sieci LAN 3. Projektowanie podłączeń do sieci LAN 4. Bezpieczeństwo sieci 5. Bibliografia
  • 2. 2 1. Analiza celów biznesowych i wymagań technicznych Prace projektowe modernizacji sieci zaczyna się dopiero wtedy, gdy wszystkie wymagania są zebrane, a istniejąca sieć jest przeanalizowana. Wcześniej w fazie przygo- towania i planowania powstały dokumenty zawierające wymagania projektowe, z listą celów biznesowych oraz wymagań technicznych. Szczegółowa i solidnie opracowana lista wymagań stanowi podstawowy warunek dla powodzenia projektu. Projekt sieci spełniającej określone cele biznesowe jest procesem wieloetapo- wym. Zwykle są to następujące kroki: 1) Wymień cele biznesowe, które muszą być spełnione przez nowy projekt. 2) Określ, jakie zmiany lub uzupełnienia są niezbędne do prowadzenia działalności, aby osiągnąć cele. 3) Zdecyduj, jakie wymagania techniczne są niezbędne do realizacji każdej zmiany. 4) Sprawdź, w jaki sposób wprowadzić do projektu każde z wymaganie techniczne. 5) Zdecyduj, które elementy muszą być obecne w końcowym projekcie. Wykonanie powyższych kroków dla każdego z celów biznesowych pozwala okre- ślić zakres koniecznych prac w projekcie sieci. Ograniczenia i kompromisy Dokumenty wymagania projektowe zawierają listę ograniczeń. Bardzo często, gdy ograniczenia wpływają na projekt, trzeba pójść na kompromis. Należy zbadać wszystkie możliwe alternatywy i wybrać najlepsze rozwiązanie do realizacji. Kompro- mis to wymiana jednych korzyści na inne korzyści bardziej pożądane. Ograniczenia pro- jektu sieci często zmuszają do szukania kompromisów między idealnym a realnym roz- wiązaniem. Często szukamy kompromisu między zaletami optymalnego rozwiązania, a możliwościami finansowymi lub ograniczeniami czasowymi. Szczególną uwagę należy zwracać na zminimalizowanie skutków kompromisów dotyczących celów podstawo- wych: skalowalności, dostępności, bezpieczeństwa i zarządzania. Wspieranie celów biznesowych może prowadzić do decyzji eliminujących pewne rozwiązania lub je skomplikować. Na przykład dodanie bezprzewodowego dostępu do poprawy obsługi klienta może zmniejszyć bezpieczeństwo serwera. Najczęściej kompromisy dotyczą:  kosztów sieci,  trudności wykonania (rozmieszczenia urządzeń, położenia kabli),  przyszłych wymagań wsparcia technicznego (brak personelu). Każde rozwiązanie kompromisowe wymaga uzgodnienia z klientem, jego akcep- tacji i pisemnej zgody na wdrożenie. 1.1. Skalowalność Skalowalność to możliwość rozbudowy sieci bez znaczącej ingerencji w sieć ist- niejącą. Firmy często przewidują w przyszłości znaczący wzrost potrzeb w niektórych obszarach sieci. Na przykład: szybko wzrasta liczba połączeń przewodowych, planowa- ne jest dodanie odległych miejsc biurowych, zwiększa się liczba użytkowników. Przykładowe wymagania skalowalności otrzymane od zarządu firmy:  50-procentowy wzrost w liczby wszystkich użytkowników (LAN i WAN),  75 procentowy wzrost liczby użytkowników sieci bezprzewodowej,
  • 3. 3  75-procentowy wzrost liczby transakcji internetowych obsługiwanych przez fir- mowe serwery komercyjne,  100 procentowy wzrost liczby zdalnych użytkowników,  dodanie 50 telefonów IP oraz włączenie sieci wideo,  dodanie 350 urządzeń końcowych. Projektant sieci analizuje informacje otrzymane z firmy i wykorzystując własne doświadczenie proponuje zmiany, gdyż często zakładana skalowalność jest zaniżona. Obecnie rzeczywiste potrzeby firm w zakresie sieci rosną bardzo szybko i należy prze- konywać zarządy firm do przyjęcia wysokich wskaźników. W celu wsparcia szybkiego wzrostu sieci, projektant sieci wdraża strategię skutecznej i łatwej skalowalności. Zalecenia dotyczące skalowalności:  Modułowa budowa warstwy dostępu – kolejny moduł może być dodany w razie potrzeby, bez wpływu na konstrukcję warstw dystrybucji i szkieletowej.  Modułowa lub klastrowa budowa urządzeń – mogą być łatwo uaktualnione w ce- lu zwiększenia możliwości.  Stosowanie routerów lub przełączników wielowarstwowych wyższej klasy – ma- ją możliwość filtrowania niepożądanego ruchu w sieci i ograniczania niepotrzeb- nej transmisji.  Wykonanie wielu połączeń fizycznych pomiędzy sprzętem – możliwość równo- ważenia obciążenia i zwiększenia przepustowości.  Zastosowanie hierarchicznego adresowania IP – możliwość podsumowania tras i ograniczenia pasma na uaktualnienia.  Zastosowanie sieci wirtualnych VLAN – umożliwia tworzenie nadmiarowości i ogranicza ilość sprzętu. 1.2. Dostępność Należy opracować strategię dostępności sieci, która zapewnia maksymalną ochronę przed awariami i nie jest zbyt droga do wdrożenia. W sieciach wykorzystywa- nych do realizacji transakcji komercyjnych, monitoringu i zabezpieczeń, obsługi syste- mów telefonii, wymagana jest dostępność 24 godziny na dobę, 7 dni w tygodniu (24 x 7). Niekompletne transakcje mogą spowodować utratę przychodów. Jeśli monitoring staje się niedostępny, bezpieczeństwo ludzi, zabezpieczenie mienia mogą być zagrożone. W przypadku, gdy system telefoniczny jest nieczynny, istotne wiadomości mogą zostać utracone.
  • 4. 4 Rys. 4.1. Sieć dostępna 24 x7 Źródło: materiały własne Zapewnienie dostępności dla transakcji komercyjnych (e-commerce) Zawodna strona do sprzedaży internetowej szybko staje się problemem dla po- mocy technicznej, a nawet może zniechęcić klientów od dokonywania transakcji. W celu zapewnienia niezawodności w handlu elektronicznym, należy użyć następujących zale- canych praktyk (rys. 4.1):  Podwójne serwery podłączone do dwóch różnych przełączników warstwy dostępu.  Nadmiarowe połączenia w warstwie dystrybucji.  Zapasowy serwer DNS umieszczony niezależnie od ISP.  Monitoring lokalny i przez Internet podstawowych urządzeń.  Nadmiarowe moduły i zasilacze w podstawowych urządzeniach.  Zasilanie UPS – przy krótkich przerwach w zasilaniu,  Awaryjny generator – przy długich przerwach w zasilaniu.  Strategia routingu – zastosować protokół, który zapewnia szybką i niezawodną zbieżność (np. OSPF, EIGRP).  Dodatkowy dostawca usług internetowych (ISP) lub gwarancja łączność od jed- nego dostawcy. Dostępność systemu monitoringu Serwery, które utrzymują pliki wideo i oprogramowanie do zarządzania bezpie- czeństwem mają takie same wymagania w zakresie dostępności jak serwery wykorzy- stywane komercyjnie. Należy zastosować jeszcze dodatkowe środki, które dotyczą ka- mer i urządzeń nadzoru:
  • 5. 5  Nadmiarowe kamery – podłączone w kluczowych obszarach. Aby ograniczyć ewentualne skutki awarii, kamery należy podłączyć do oddzielnych przełączników.  Zasilanie kamer przez kabel sygnałowy PoE (Power over Ethernet).  Zasilanie z UPS oraz zapasowego generatora. Dostępność systemu telefonii IP O dostępności telefonii IP decyduje nadmiarowość i wysoka dostępność prze- łączników warstwy dostępu. Zaleca się wdrożenie następujących środków:  Zastosowanie routerów lub przełączników wielowarstwowych (urządzeń war- stwy 3 OSI) do połączenia między warstwy dostępu i warstwą dystrybucji.  Zapewnienie rezerwowego zasilania i zasilania awaryjnego UPS.  Tworzenie nadmiarowych ścieżek z warstwy dostępu do warstwy szkieletowej.  Zmniejszenie rozmiaru domen awarii.  Zastosować urządzenia modułowe z nadmiarowymi komponentami.  Zastosowanie szybkich protokołów routingu. 1.3. Wydajność Większość sieci przeznaczonych jest do przesyłania danych, głosu i obrazu. Każdy rodzaj ruchu sieciowego ma indywidualne wymagania techniczne. Charakterystyczne cechy aplikacji w typowej sieci to:  pakiety o różnych rozmiarach,  odrębne zestawy protokołów,  różne tolerancji na opóźnienia i zakłócenia. Czasami wymagania techniczne jednej aplikacji tworzą konflikt z wymogami in- nej, co powoduje problemy z wydajnością. Prowadzi to do niezadowolenia użytkowni- ków i częstymi wezwaniami pomocy technicznej. Nawet wykwalifikowani i doświadcze- ni specjaliści IT mają trudności z rozwiązaniem konfliktów i utrzymaniem wysokiej wy- dajność aplikacji w różnorodnym środowisku. Wdrażanie nowych aplikacji i usług bez zakłócania istniejących jest zadaniem trudnym. Należy utworzyć listę celów projekto- wych i możliwych do zastosowania środków, które mogą mieć wpływ na wydajność priorytetowych aplikacji. Przykładowa lista celów i środków: Cel 1: Poprawa czasu przetwarzania transakcji do mniej niż 3 sekundy.  Zmniejszenie średnicy sieci (maksymalnej liczby przeskoków między urządze- niami końcowymi).  Ograniczenie niepożądanego ruchu i transmisji.  Zapewnienie ścieżek o wysokiej przepustowości do kluczowych serwerów.  Zastosowanie szybkiego serwera do przechowywania danych. Cel 2: Zapewnienie wysokiej jakości głosu i wideo.  Rozdzielenie i klasyfikacja ruchu w sieciach VLAN.  Krótkie ścieżki z serwera do punktów końcowych.  Filtrowanie ruchu.  Zwiększenie przepustowości do sieci WAN.  Wprowadzenie strategii i priorytetów ruchu QoS.  Zidentyfikować obszary, w których mogą pojawić się zatory.
  • 6. 6 1.4. Bezpieczeństwo Bezpieczeństwo jest jednym z obszarów projektowania sieci, gdzie nie powinno być kompromisów. Nie można lekceważyć zasad bezpieczeństwa, stosować w tym za- kresie oszczędnych rozwiązań, wprowadzań niezabezpieczonych funkcji sieciowych. Należy przeprowadzić ocenę ryzyka i zidentyfikować obszary, w których sieć jest najbardziej narażona. Sieci, które zawierają poufne informacje często posiadają indywi- dualne rozwiązania bezpieczeństwa. Ocenę ryzyka należy wykonać dla typowej działal- ności firmy oraz zaplanować przywracania danych po awarii. Zalecane standardowe praktyki bezpieczeństwa obejmują:  Stosowanie zapór do oddzielenia wszystkich poziomów zabezpieczonej sieci fir- mowej od innych niezabezpieczonych sieci, takich jak np. Internet.  Konfigurowanie zapór w celu monitorowania i kontroli ruchu, w oparciu o pi- semne regulaminy bezpieczeństwa.  Tworzenie bezpiecznych połączeń za pomocą tuneli VPN do szyfrowania informacji.  Zapobieganie włamaniom do sieci przez wdrażanie systemów zapobiegania włamaniom. Systemy te skanują sieć i wykrywają szkodliwe lub złośliwe zacho- wania oraz ostrzegają administratorów sieci.  Ochrona użytkowników przed wirusami, spyware i spamem.  Zapewnienie bezpieczeństwa punktów końcowych przez sprawdzenie tożsamo- ści każdego użytkownika przed udzieleniem dostępu do sieci.  Zapewnienie fizycznych środków bezpieczeństwa – zamknięte pomieszczenia, szafy, zabezpieczone kable, aby zapobiec nieautoryzowanemu dostępowi do urządzeń sieciowych.  Bezpieczne bezprzewodowe punkty dostępowe i zabezpieczenie sieci bezprze- wodowej. 2. Projektowanie topologii sieci LAN Przeprowadzona analiza celów i wymagań technicznych stanowi bazę dla dal- szych prac projektowych. Najczęściej istniejąca sieć ma istotne wady (np. płaska topolo- gia, słabe bezpieczeństwo) i nie spełnia stawianych wymagań. Należy zaprojektować właściwą topologii sieci LAN opartą o hierarchiczny model sieci, który zawiera warstwy dostępu, dystrybucji i szkieletową (rys. 4.2 i rys. 4.3).
  • 7. 7 Rys. 4.2. Uproszczony schemat topologii sieci LAN Źródło: materiały własne Rys. 4.3. Widok urządzeń sieci LAN Źródło: materiały własne
  • 8. 8 Ostatnim etapem wstępnego projektu sieci LAN jest wykonanie schematu logicz- nego dla sieci. Schemat zawiera połączenia wszystkich warstw, połączenia urządzeń, system adresowania IP, protokoły, podłączenia serwerów i usług. 2.1. Projektowanie topologii warstwy dostępu Warstwa dostępu służy do podłączenia urządzeń końcowych. Najczęściej wyko- rzystywane są przełączniki, których każdy port stanowi osobną domenę kolizji. Dostęp może być realizowany przewodowo lub przez bezprzewodowe punkty dostępowe. Projektant tworzy wykaz wymogów warstwy dostępu, który zawiera informacje techniczne i dane liczbowe dotyczące użytkowników końcowych i ich podłączenia do sieci. Przykładowy wykaz wymagań warstwy dostępu:  Zapewnić przewodowy dostęp do istniejących urządzeń sieciowych dla 100 użyt- kowników.  Dodać bezprzewodowy dostęp do sieci.  Dodać 40 telefonów IP.  Utworzyć sieci VLAN – do oddzielenia przesyłania głosu, monitorowania nadzoru bezpieczeństwa, dostępu bezprzewodowego i typowych urządzeń przetwarzania danych.  Urządzenia sieci VLAN zamknąć w szafach, z wyjątkiem bezprzewodowej sieci VLAN.  Zapewnić rezerwowe łącza do sieci warstwy dystrybucyjnej.  Wykorzystać 10 szt. przełączników z obecnej sieci. Możliwości istniejących przełączników: Przełączniki te są stałe konfiguracji 10/100 przełączniki Ethernet z dwoma por- tami 10/100/1000 uplink. 2960 może obsługiwać większość z następujących wymagań sieci warstwy dostępu:  skalowalność – obsługuje klastry, dlatego nowe przełączniki mogą być łatwo do- dane do obsługi dodatkowych połączeń,  dostępność – obsługuje nadmiarowe połączenia – dwa przełączniki mogą być skonfigurowane jako przełączniki nadmiarowe, jeśli jeden z nich zawiedzie drugi przejmuje jego funkcje, klasyfikacja ruchu i możliwości znakowania są również dostępne w tym modelu, możliwość tworzenia sieci VLAN,  bezpieczeństwo – zabezpieczenia portów i inne opcje są dostępne.  łatwość zarządzania – przełączniki obsługują Simple Network Management Pro- tocol (SNMP), mogą być zarządzane w paśmie i poza pasmem, obsługują zestaw poleceń z wiersza poleceń CLI oraz konfigurację okienkową GUI. Ograniczenia istniejących przełączników: - brak możliwości podłączenia kabli światłowodowych, koniczność zakupu dodatko- wych kart, - nie obsługują zasilania kalem sygnałowym PoE, co powoduje konieczność zakupu pa- neli przyłączeniowych z możliwością zasilania telefonów IP i kamer.  Zapewnić zasilanie kablem sygnałowym PoE do kamer, telefonów IP oraz bez- przewodowych punktów dostępowych.  Przygotować strategię QoS – klasyfikacja i znakowanie ruchu.
  • 9. 9  Wzrost liczby komputerów nie wymaga proporcjonalnego zwiększenia liczby urządzeń i portów, ponieważ telefony IP posiadają wbudowany przełącznik, któ- ry pozwala komputer podłączyć bezpośrednio do telefonu (rys. 4.4). Rys. 4.4. Telefony IP z przełącznikiem z trzema portami Źródło: materiały własne Port 1 – port zewnętrzny, który podłącza się do przełącznika lub innego urządzenia VoIP. Port 2 – port wewnętrzny interfejs 10/100, który przenosi ruch IP telefonu. Port 3 – port zewnętrzny, który łączy się z komputerem lub innym urządzeniem. 2.2. Projektowanie topologii warstwy dystrybucji Warstwa dystrybucji łączy warstwę dostępu z warstwą szkieletową. Służy ona także jako punkt połączenia odległych lokalizacji. Warstwa dystrybucji zawiera routery lub wielowarstwowe przełączniki. Najczęściej jest odpowiedzialna również za kierowa- nie ruchem pomiędzy sieciami VLAN oraz filtrowanie ruchu niepożądanego. Projektant tworzy wykaz wymogów warstwy dystrybucji, który zawiera podstawowe informacje techniczne dotyczące budowy i działania warstwy. Przykładowy wykaz wymagań warstwy dystrybucji:  Zapewnić nadmiarowe urządzenia i połączenia w celu ograniczenia wpływu awa- rii na sieć.  Zapewnić dostęp do routingu dla 16 węzłów dystrybucji okablowania, z których każdy może mieć więcej niż jedno połączenie do warstwy dystrybucji.  Zastosować filtrowanie ruchu.  Zastosować mechanizmy QoS.  Zapewnić połączenia wysokiej przepustowości.  Zastosować szybko zbieżne protokół routingu.  Zastosować równoważenie obciążenia i podsumowanie tras.  Kolejnym etapem projektowania topologii warstwy dystrybucji jest dobór odpo- wiednich urządzeń sieciowych. Wielowarstwowe przełączniki stanowią odpo- wiedni wybór dla spełnienia tych wymagań. Zapewniają one dużą ilość portów
  • 10. 10 i możliwości uruchomienia routingu (rys.4.2 i rys.4.3). Warstwa dystrybucja za- wiera również projekt podłączenia dla zdalnych użytkowników sieci LAN i podłą- czenia farmy serwerów. Przykładowe możliwości przełączników wielowarstwowych:  Skalowalność – modułowe wielowarstwowe przełączniki posiadają porty świa- tłowodowe oraz porty kabli miedzianych. Korzystanie z routingu w warstwie dystrybucji pozwala dodawać nowe moduły wpływu na istniejącą topologię.  Dostępność - posiadają nadmiarowe elementy w tym zasilacze, wentylatory oraz szybkie moduły pracy awaryjnej. Jeśli jeden moduł zawodzi to rezerwowy moduł przejmuje jego funkcje, bez widocznej utraty łączności. Wykorzystanie routingu umożliwia równoważenie obciążenia i sterowanie ruchem. Podsumowania tras zmniejszają obciążenie sieci i zmniejszają wpływ awarii urządzeń warstwy do- stępu lub awarii łącza działanie sieci.  Bezpieczeństwo – dostępne są funkcje filtrowania ruchu za pomocą list dostępu ACL, zabezpieczenia portów oraz funkcje zapory. Dodatkowo można wdrożyć funkcje zabezpieczeń przed nieautoryzowanym dostępem.  Łatwość zarządzania – obsługują protokół SNMP. Mogą one być zarządzane w pa- śmie jak i poza pasmem.  Występujące ograniczenia – ograniczona ilość portów światłowodowych – zmniejsza możliwość tworzenia łączy nadmiarowych. 2.3. Projektowanie topologii warstwy szkieletowej Podstawowym zadaniem sieci szkieletowej jest zapewnienie szybkiej łączności i wysokiej dostępności sieci. Wymagania konstrukcyjne sieci szkieletowej obejmują:  szybkie połączenia do przełączników warstwy dystrybucji,  dostępność 24 x 7 (24 godziny na dobę, 7 dni w tygodniu),  równoważenie obciążenia między urządzeniami,  szybkie połączenia nadmiarowe między urządzeniami sieci szkieletowej i sieci dystrybucji. Jako urządzenia sieciowe w tej warstwie zaleca się stosowanie przełączników wielowarstwowych o dużej wydajności. Z uwagi na wymagania szybkiego przełączania ruchu w sieci szkieletowej nie stosuje się (lub w niewielkim stopniu) filtrowania pakie- tów. W małych sieciach warstwy szkieletowe i dystrybucji mogą być połączone. Wysoka dostępność Priorytetem w warstwie szkieletowej sieci jest wysoka dostępność. Należy roz- ważyć wszelkie środki, które mogą być podjęte w celu poprawy niezawodności i dostępu do sieci. Należy zaprojektować nadmiarowe połączenia warstwy szkieletowej i warstwy dystrybucji, zainstalować nadmiarowe komponenty w sprzęcie i podjąć dodatkowe środki w celu zapewnienia rezerwowego zasilania, klimatyzacji pomieszczeń. Połączenia nadmiarowe między przełącznikami warstwy szkieletowej zapewnia- ją równoważenie obciążenia i zapewniają połączenie w czasie awarii. Należy zastosować szybko zbieżne protokoły routingu warstwy 3, takie jak EIGRP lub OSPF. Pozwoli to zmniejszyć czas potrzebny do odzyskania łącza po awarii.
  • 11. 11 Wysoka prędkość Kolejnym priorytetem w warstwie rdzeniowej jest szybkość połączeń. Aby za- pewnić wystarczającą przepustowość, należy stosować szybkie interfejsy komunikacji światłowodowej i technologie umożliwiające tworzenie połączeń wirtualnych (np. Et- herChannel). 3. Projektowanie podłączeń do sieci LAN Aby sieć była funkcjonalna i umożliwiała realizację zaplanowanych celów należy zaprojektować podłączenia dla odległych lokalizacji oraz zaprojektować sieć bezprze- wodową WLAN. 3.1. Podłączenie zdalnych lokalizacji Do podłączenia zdalnych lokalizacji można wykorzystać dedykowane, stałe połą- czenia WAN lub wykorzystać dostęp przez sieć publiczną. Możliwości realizacji podłą- czenia zdalnych lokalizacji przedstawiono na rysunku 4.5. Rys. 4.5. Podłączenie zdalnych lokalizacji Źródło: materiały własne W celu określenia kosztów i dostępności usług połączenia stałego, należy do do- stawców usług telekomunikacyjnych wystosować zapytanie ofertowe. Stałe połączenie point-to-point T1 oferuje najlepszą jakość usług, można również wykorzystać mniej kosztową usługę Frame Relay. Zaletą korzystania z połączenia Fra- me Relay jest możliwość wykorzystania jednego połączenia fizycznego do realizacji łączności do wielu odległych miejsc (rys. 4.5). Rodzaje połączeń Frame Relay:  przełączane obwody wirtualne (SVC) – to tymczasowe połączenia stworzone dla każdego transferu danych, które znikają, gdy transfer danych jest kompletny.  stałe obwody wirtualne (PVC) – to połączenia stałe.
  • 12. 12 Usługi sieciowe dla zdalnych lokalizacji Na dobór łącza wpływa również analiza wykorzystywanych aplikacji w odległych lokalizacjach. Przykładowe, potrzebne usługi i aplikacje to dostęp do:  serwera komercyjnego i usług bazodanowych,  telefonii IP,  monitoringu i kontroli. Projektant tworzy wykresy ruchu dla każdego połączenia WAN do różnych miejsc sieci LAN. Zapewnia to materiał do analizy, w celu tworzenia reguł zapory i filtrowania ACL. Adresowanie IP i routing W połączeniach do zdalnych lokalizacji, jeżeli jest to możliwe należy konfiguro- wać trasy statyczne. Należy starannie wybrać zakresy adresów IP, które są wykorzy- stywane w każdym miejscu, rozważyć miejsce umieszczenia serwera DHCP, który może również się znajdować u dostawcy usług ISP. 3.2. Podłączenie sieci bezprzewodowej WLAN Sieć bezprzewodowa WLAN powinna zapewnić wysoki stopień pokrycia wyma- ganego obszaru. Firmy wymagają czasem niski stopień pokrycia w biurach lub pomiesz- czeniach produkcyjnych. Typowe urządzenia bezprzewodowe mogą nie być wystarcza- jąco silne dla sieci WLAN w halach produkcyjnych lub obszarach przemysłowych. Zasięg sieci bezprzewodowej Należy określić obszary działania sieci WLAN, wyodrębnić obszary sieci dostępne dla pracowników i dla gości. Szczególną uwagę należy zwrócić na przewidywany wzrost sieci (skalowalność) oraz na aplikacje priorytetowe np. bezprzewodową telefonię IP, które wymagają wdrożenia strategii QoS. Rozmieszczenie punktów AP, rodzaje anten należy ustalić doświadczalnie, bada- jąc zasięg sieci bezprzewodowej. Integracja sieci bezprzewodowej z przewodową LAN Należy szczególną uwagę zwrócić na miejsca podłączenia sieci WLAN do sieci LAN. Połączenie to powinno być proste w zarządzaniu, korzystać z funkcji bezpieczeń- stwa sieci LAN oraz z nadmiarowości infrastruktury. Umieszczenie punktów dostępowych AP w szafach, w pobliżu przełączników mo- że nie zapewniać pokrycia wymaganego obszaru. Aby ograniczyć prowadzenie kabli do punktów dostępowych AP można utworzyć bezprzewodową sieć LAN, stosując bez- przewodowe kontrolery sieci LAN (Wireless LAN Controller). Schemat sieci WLAN z bezprzewodowym kontrolerem LAN przedstawiono na rys. 4.6.
  • 13. 13 Rys. 4.6 Sieć WLAN z bezprzewodowym kontrolerem LAN Źródło: materiały własne Wskazane jest tworzenie bezprzewodowych sieci wirtualnych VLAN, które obej- mują sieci i obszarach zasięgu sieci bezprzewodowych, które nakładają się na siebie. Sieciami VLAN można również rozdzielić użytkowników o różnych uprawnieniach np. pracowników i gości. Dostępne są pełne rozwiązania sieci bezprzewodowej, które zawierają oprogra- mowanie systemu bezprzewodowego. Oferują zaawansowane funkcje, takie jak zarzą- dzanie scentralizowane, podział użytkowników na typy, przypisanie usług użytkowni- kom. Umożliwiają zastosowanie różnych poziomów bezpieczeństwa i strategii QoS. Nadmiarowość i odporność na awarie Dostępność połączenia bezprzewodowego zależy od następujących czynników:  położenia punktów AP,  mocy sygnału AP,  liczby użytkowników, którzy dzielą połączenia AP. W sieci realizowanej przy użyciu osobnego AP można statycznie nastawić kanał i moc sygnału. Należy brać pod uwagę, że w sieciach bezprzewodowych propagacja sy- gnału zależy od warunków otoczenia, rozmieszczenia przeszkód i źródeł zakłóceń. Dynamiczna rekonfiguracja W sieciach z kontrolerami LAN (rys.4.6), kontroler automatycznie określa siłę sy- gnału, która istnieje pomiędzy punktami w tej sieci i może dynamicznie dobrać opty- malną siłę sygnału. Gdy klient wyszukuje AP aby się połączyć, sterownik określa, które AP odpowia- da na żądanie klienta, biorąc pod uwagę siłę sygnału i stosunek sygnału do szumu. Host po zalogowaniu się do sieci WLAN:  natychmiast szuka kontrolera bezprzewodowej sieci LAN,
  • 14. 14  gdy wykryje kontroler – AP wysyła zaszyfrowaną wiadomość, która zawierają ad- res MAC i siłę sygnału każdego hosta podłączonego do AP.  kontroler sieci bezprzewodowej LAN analizuje sygnał każdego kanału AP i ustala optymalną siłę sygnału, zasięg i pasmo. Adresowanie IP w sieci WLAN Należy uwzględnić strukturę adresowania IP. Pojedynczy punkt dostępowy AP obsługuje jedną sieć wirtualną VLAN, wszystkie połączenia IP w tej sieci. W przypadku dużej liczby użytkowników sieci bezprzewodowej może stanowić to problem z adreso- waniem i możliwością rozwoju sieci. 4. Bezpieczeństwo sieci Sieć jest zagrożona z wielu różnych miejsc, ze źródeł wewnętrznych i zewnętrz- nych. Nie wystarczy umieszczenie zapory na wejściu do sieci. Należy określić informacje, które są zagrożone i jakie są potencjalne źródła ataków. Serwery komercyjne zawierają informacje o klientach, dane z kart kredytowych i płatniczych. Serwery zawierają poufne dane na temat technologii Produkcji, zawartych umów, dane osobowe pracowników. Serwery i infrastrukturę, które przenosi dane w nich zawarte należy odpowiednio za- bezpieczyć przed nieautoryzowanym dostępem. Użytkownicy korzystają z tych serwe- rów w obrębie sieci lokalnej i przez Internet. Aby zapobiec prawdopodobnym atakom, usługi ochrony muszą być umieszczone w odpowiednich miejscach na całym obszarze sieci. Szczególnie należy chronić sieć bezprzewodową. Usługi bezpieczeństwa chronią urządzenia i sieć przed włamaniami, sabotażem, zamianą danych i zakłóceniem usług przez ataki Dos (Denial of Service). Podstawowe kategorie usług bezpieczeństwa to:  ochrona infrastruktury,  bezpieczeństwo łączności,  wykrywanie zagrożeń – obrona i łagodzenie skutków. 4.1. Funkcje bezpieczeństwa Ochrona infrastruktury Na bezpieczeństwo sieci wpływa fizyczne zabezpieczenie urządzeń sieciowych. Należy urządzenia umieścić w zamkniętych pomieszczeniach i szafach, kable prowadzić w odpowiednio przygotowanych kanałach kablowych. Negatywny przykład ochrony infrastruktury przedstawiono na rys. 4.7.
  • 15. 15 Rys. 4.7. Ochrona infrastruktury Źródło: materiały własne Istotną rzeczą jest jakość urządzeń sieciowych. Urządzenia wyższej klasy posia- dają dobrze zabezpieczone systemy operacyjne, co w połączeniu z ochroną fizyczną sku- tecznie je zabezpiecza przed atakiem. Bezpieczeństwo łączności Bardzo ważne jest, aby zapobiegać nieautoryzowanemu dostępowi do sieci. Moż- na to osiągnąć przez fizyczne zabezpieczenie sieci oraz żądanie uwierzytelnienia w celu uzyskania dostępu do usług sieciowych. W sieciach bezprzewodowych dla pracowników i gości należy stosować oddzielne identyfikatory SSID, a jeżeli to możliwe to oddzielne sieci WLAN. Zabezpieczanie przesyłanych danych może być wykonane przy użyciu tune- lowania VPN i szyfrowania danych.
  • 16. 16 Wykrywanie zagrożeń – obrona i łagodzenie skutków Ściany ogniowe (Firewalle), systemy IDS, IPS oraz listy ACL zapewniają ochronę przed zagrożeniami i napastnikami. Reguły list ACL i filtrowania zapór zabezpieczają sieć przed niepożądanym ruchem. Wdrożenie strategii bezpieczeństwa Usługi bezpieczeństwa nie są skuteczne, jeżeli nie są one realizowane w odpo- wiednich miejscach, w całej sieci. Zapory i filtry umieszczone na wejściu do sieci nie chronią serwerów przed atakami z wewnątrz sieci LAN. Należy przeanalizować wcze- śniej utworzone wykresy przepływu ruchu, które wskazują:  zasoby, do których mają dostęp użytkownicy wewnętrzni,  zasoby, do których mają dostęp użytkownicy zewnętrzni,  ścieżki dostępu do zasobów. Analiza pomaga zaprojektować usługi bezpieczeństwa w odpowiednich miej- scach. Korzystanie ze zintegrowanych usług bezpieczeństwa Jeżeli jest to możliwe, należy wykorzystywać zintegrowane usługi bezpieczeństwa umieszczone w systemach operacyjnych urządzeń sieciowych. Mają one funkcje zapory, moduły IDS, co eliminuje potrzebę stosowania dodatkowych urządzeń zabezpieczających. W większych sieciach konieczne jest, aby korzystać z oddzielnych urządzeń, ponieważ dodatkowe przetwarzanie może spowolnić pracę routerów i przełączników. 4.2. Wdrożenie filtrowania ACL Zastosowanie w sieci firmy list kontroli dostępu ACL, umożliwia przydzielenie uprawnień do określonych zasobów dla grup lub pojedynczych pracowników. Umożli- wiają one również filtrowanie ruchu do serwerów oraz pomagają w identyfikacji i fil- trowaniu ruchu szkodliwego. Przykład zastosowania listy ACL do ochrony serwera przedstawiono na rys. 4.8. Cały ruch do serwera zostaje odrzucony za wyjątkiem wy- mienionych portów i protokołów www i ftp. Przy projektowaniu zestawów reguł fire- walla i list ACL, przyjmuje się regułę odrzucenia całego ruchu, który jest niepożądany lub nieautoryzowany.
  • 17. 17 Rys. 4.8. Zastosowanie listy kontroli dostępu ACL Źródło: materiały własne Przykłady zestawu reguł firewalla i list ACL:  Zablokuj cały ruch przychodzący z adresami sieciowymi IP zgodnymi z adresami wewnętrznymi. Ruch przychodzący nie powinien pochodzić z adresów siecio- wych wewnętrznych.  Zablokuj cały ruch przychodzący do serwerów z zewnętrznych adresów. Zasada ta obejmuje cały ruch z wyjątkiem dozwolonych portów.  Zablokuj cały przychodzący ICMP (echo request). Zasada ta zapobiega żądaniom ping wygenerowanym spoza zaufanej sieci.  Przepuść ruch DNS (UDP 53) – pozwolenie na korzystanie z zewnętrznych ser- werów DNS.  Zezwalaj na ruch internetowy (TCP 80/443) z dowolnego zewnętrznego adresu do serwera www.  Przepuść ruch (TCP 21) do serwerów FTP. Jeśli usługi FTP są dostępne dla użyt- kowników zewnętrznych, zasada ta pozwala na dostęp do serwera FTP. Podczas korzystania z usług FTP konta użytkownika i hasło są przesyłane w po- staci zwykłego tekstu. Wykorzystanie pasywnego FTP (PASV) negocjuje losowy port danych w odróżnieniu od typowego wykorzystania portu TCP 20.  Zezwalaj na ruch (TCP 25) do serwera SMTP – pozwala użytkownikom ze- wnętrznym na dostęp do wewnętrznego serwera poczty SMTP.  Zezwalaj na ruch (TCP 143) do wewnętrznego serwera IMAP – pozwala na ze- wnętrzny dostęp klientów do wewnętrznego serwera IMAP. Zestawy reguł list ACL są realizowane na routerach i urządzeniach firewall. Każdy zestaw reguł może filtrować zarówno ruch przychodzący jak i wychodzący.
  • 18. 18 Dokumentowanie zasad bezpieczeństwa Dokumentacja projektowa powinna zawierać wszystkie zestawy reguł zapór i list kontroli dostępu ACL oraz określać, gdzie są one zastosowane. Wykaz reguł jest częścią polityki bezpieczeństwa w firmie. Dokumentowanie reguł firewalla i list ACL daje następujące korzyści:  Dostarcza dowodów, że polityka bezpieczeństwa jest realizowany w sieci.  Stanowi dowód, że wszystkie rozwiązania i zmiany były dokonane na podstawie pisemnych wniosków i zgód firmy.  Pomaga w rozwiązywaniu problemów z dostępem do aplikacji lub segmentów sieci.
  • 19. 19 Bibliografia: 1. Halska B., Hensel P. Projektowanie lokalnych sieci komputerowych i administrowa- nie sieciami. Podręcznik do nauki zawodu technik informatyk. Część 1 i 2. Helion, Gliwice 2012, 2013. 2. Krysiak K. Sieci komputerowe. Kompendium. Helion, Gliwice 2005. 3. Derfler F. Freed L. Tłum.: Zięba P. Okablowanie sieciowe w praktyce. Księga eks- perta. Helion, Gliwice 2000. 4. Designing and Supporting Computer Networks. Materiały szkoleniowe CCNA Di- scovery Cisco. 5. Sportach M. Tłum.: Gała Z. Sieci komputerowe. Księga eksperta. Helion, Gliwice 1999.