Для повышения производительности и безопасности коммутаторы серии DGS-3300 обеспечивают расширенную поддержку VLAN, включая GARP/GVRP и 802.1Q. Для поддержки объединенных приложений, включая VoIP, ERP и видеоконференций, широкий набор функций QoS/CoS 2/3/4 уровней гарантирует, что критичные к задержкам сетевые сервисы будут обслуживаться в приоритетном режиме. Для предотвращения загрузки центрального процессор обработкой вредоносного широковещательного трафика, генерируемого злоумышленниками или обусловленного вирусной активностью, коммутаторы серии DGS-3300 предоставляют функцию D-Link Safeguard Engine, позволяющую повысить надежность и доступность сети. Благодаря поддержке функции контроля полосы пропускания для каждого порта можно устанавливать лимиты, гарантируя определенный уровень обслуживания для конечных пользователей. Функция управления полосой пропускания для каждого потока позволяет настраивать типы обслуживания на основе определенных IP-адресов или протоколов.
2.3 Программное обеспечение и настройка коммутационного оборудования
Структура исходной сети представленной на рисунке 2.5 является работающей системой приносящей доход, следовательно, предоставление сервиса для конечных абонентов является приоритетной задачей. При проведение всех работ по реорганизации схемы управления и оптимизации структуры, необходимо обеспечить минимальное прерывание сервиса и возможность отката на старую работающую схему.
Рисунок 2.5
Определение точной топологии домашней сети, если требуется заведение заявок на исправление (при наличии каких- либо временных каналов связи, каскадных подключениях) Проверка коммутаторов, определение портов сегмента.
2. Выделение требуемого количества сетей для реализации проекта.
Cети для работы OSPF /30
Cети для users /21
Cети для management /22
Сформировать конфиг DHCP сервера.
3. Подготовка конфигов:
Коммутаторов ДС для динамического формирования неблокируемого сервера DHCP
Магистрального оборудования для организации должного пиринга.
4. Запуск маршрутизации:
Терминируем интерфейсы на граничном маршрутизаторе
Терминируем интерфейсы на узлах сегментов
Убедиться, что маршрутизация работает правильно и сети анонсируются.
Удалить default route на узлах, убедиться что маршрут пришел по OSPF.
Удаляем аплинк из влана пользователей
Терминируем пользователей на У2
Запускаем DHCP.
6. Убеждаемся, что пользователи начали получать ip и подключаться к vpn серверу.
Все пункты будут выполняться последовательно, с оповещением клиентов и необходимыми промежутками для перехода клиентов на новую адресацию. Планируемый перерыв сервиса не больше минуты на каждого клиента. Проект внедряется на существующем оборудовании без каких либо существенных материальных затрат. L3 трафик проходящий через У-2 достаточно мал и ресурсов DXS-3326GSR вполне хватит для такой схемы организации, единственное затрагивающее нас ограничение в нём это размер таблицы ipfdb в 3000 записей, но при подключении более 2500 клиентов в сегменте - его легко заменить на более мощный, например DGS-3627G с таблицей ipfdb в 8000 записей. L3 функции на У-1 задействованы не будут, и значит повышенных требований к нему не предъявляется. Настройка активного оборудование находиться в Приложение 1.
Расширение входящего канала. При строительстве оптических линий связи используется многожильный оптический кабель. При наличии свободных волокон можно расширить входящий канал, используя технологию агрегирование каналов — технология, которая позволяет объединить несколько физических каналов в один логический. Такое объединение позволяет увеличивать пропускную способность канала и увеличить надежность канала. Агрегирование каналов может быть настроено как между двумя коммутаторами, так и между коммутатором и сервером. Настройка активного оборудование находиться в Приложение 1.
В качестве платформы для сервера DHCP предлагается использовать Unix-подобную операционную система для ПК, основанную на самых различных, современных архитектурах. Эта операционная система выбрана в первую очередь из-за своей очень высокой надёжности, стабильности, защищённости и высокой производительности. Так же важную роль в выборе этой операционной системы сыграли факторы, что она является операционной системой с открытым кодом и для неё доступны тысячи бесплатных пакетов и прикладных программ. Можно настроить сервер DHCP, используя файл конфигурации /etc/dhcpd.conf приложение 2.
Безопасность в локальной сети должна обеспечивать администрация сети, но пользователи тоже не должны забывать о безопасности в сети, так как большинство вредоносных программ распространяются через компьютеры пользователей. Таким образом требуется комплекс мер для обеспечения информационной безопасности в сети, как со стороны администрации, так и со стороны рядовых пользователей.
Пользователям сети нужно защищать только свой компьютер, что бы сохранить целостность конфиденциальной информации, скрыть её от других пользователей сети, так же компьютер может стать рассадником вирусов и всевозможных сетевых червей, которые будут мешать работать всем пользователям сети создавая создавать большой локальный трафик. Что бы пользователю защитить свой компьютер ему необходим комплекс программного обеспечения для обеспечения безопасности.
Существует множество программных комплексов защиты компьютера. Например: Kaspersky Internet Security, Norton Internet Security, Panda Internet Security, F-Secure Internet Security и т.д.
Состав этих программных комплексов почти одинаковый и в них входят следующие компоненты:
1. Антивирус:
• Программа осуществляет антивирусную проверку почтового трафика на уровне протокола передачи данных (POP3, IMAP и NNTP для входящих сообщений и SMTP для исходящих сообщений) независимо от используемой почтовой программы;
• Проверка интернет-трафика. Обеспечивает антивирусную проверку интернет-трафика, поступающего по сетевым протоколам, так же осуществляется отдельная проверка HTTP трафика на предмет spyware. В режиме реального времени, позволяя таким образом предотвратить заражение ещё до момента сохранения файлов на жестком диске компьютера;
• Защита файловой системы. Антивирусной проверке подвергаются любые отдельные файлы, каталоги и диски, так же возможна проверка только критических областей операционной системы и объектов, загружаемых при старте ОС;
• Проактивная защита. Осуществляется постоянное наблюдение за активностью программ и процессов, запущенных в оперативной памяти компьютера, и своевременно предупреждает пользователя в случае появления опасных, подозрительных или скрытых процессов; предотвращает опасные изменения файловой системы и реестра, а также восстанавливает систему после вредоносного воздействия.
2. Брандмауэр:
• Блокирует сетевые атаки. Фиксирует попытки сканирования портов компьютера, часто предшествующие сетевым атакам, и успешно отражает наиболее распространенные типы хакерских атак, запрещая взаимодействие с атакующим компьютером. Мониторинг сетевой активности позволяет вести статистику всех соединений;
• Контролирует все сетевые взаимодействия. На основе заданных правил программа контролирует обращения приложений к источникам в сети Интернет и отслеживает входящие и исходящие пакеты данных;
• Делает безопасной работу в любых сетях;
• Обладает режимом невидимости при работе в интернете. Режим невидимости предотвращает обнаружения компьютера извне. При переключении в этот режим запрещается вся сетевая деятельность, кроме предусмотренных правилами исключений, которые определяются самим пользователем.
По итогам проведенных этапов по реорганизации схемы управления и оптимизации сети были достигнуты следующие результаты:
снижена загрузка процессорной мощности оборудования рисунок 2.6, 2.7
Рисунок 2.6 –загрузка процессора до сегментации
Рисунок 2.7 –загрузка процессора после сегментации
Сокращен броадкаст домен в десятки раз. Исключено влияние пользователей на оборудование за счет разноса терминации пользовательского интерфейса и интерфейса менеджмента на различном оборудовании.
У узловых коммутаторов создано 3 интерфейса (рисунок 2.8) на которые можно удаленно попасть, и в случае ненормальной активности в сегменте можно будет быстро локализовать проблему, сегмент в среднем состоит из 15-20 домов.
Рисунок 2.8 –интерфейсы оборудования
Трафик между пользователями маршрутизируется напрямую на узловых коммутаторах и не загружает граничный маршрутизатор. Так же для равномерности загрузки с граничного маршрутизатора перенесен DHCP сервер в дата-центр компании.