Курсовая работа направлена на отработку знаний, полученных в ходе прохождения курса, и самостоятельное применение отдельных навыков при реализации комплексной задачи по проектированию и развертыванию сетевой инфраструктуры небольшой корпоративной сети. Данная работа позволит показать наличие практических навыков для решения комплексных задач, возникающих в реальной практике сетевого инженера.
В результате выполнения этой работы вы:
- Научитесь формировать адресный план предприятия;
- Проектировать сетевую инфраструктуру на базе технического задания;
- Разворачивать сеть на основании спроектированного решения;
- Обосновывать выбранные технические решения, для их защиты перед внешними экспертами.
Для выполнения работ потребуется:
- Packet Tracer;
- Любой инструменты для рисования схем, например Draw.io;
- Текстовый редактор для подготовки пояснительной записки.
Вы устроились работать в молодой и перспективный стартап по производству элексира доброты ЗАО "Доброта". Конъюнктура рынка такова, что руководство стартапа ожидает быстрое развитие бизнеса. Предполагается открытие одного офиса и производственного помещения, но в дальнейшем планируется развитие как существующих площадок, так и филиальной сети организации.
У вас есть следующие бизнес-требования к сети. Проектируются две площадки - центральный офис и производство.
В центральном офисе планируется разместить 70 сотрудников, распределенных по отделам следующим образом: производственный отдел - 45 человек, отдел продаж - 15 человек, ИТ отдел - 5 человек, бухгалтерия и секретариат - 5 человек. В офисе расположено 10 периферийных устройств, требующих подключения к сети. Необходимо организовать беспроводное подключение к сети Wi-Fi для гостей компании.
Необходимо обеспечить резерв сетевой емкости при условии, что в пределах 3 лет ожидается двухкратный рост числа сотрудников.
На производстве будет размещено 10 сотрудников производственного отдела. Сотрудники производства должны иметь доступ к инфраструктуре центрального офиса. Отсутствие связи на производстве не оказывает критического воздействия на бизнес-процессы компании.
В центральном офисе будут располагаться также общие внутренние и публичные сервисы компании:
- почтовый сервер (внутренний),
- веб сайт (публичный),
- ftp сервер (публичный),
- файловое хранилище (внутренний),
- котроллер домена (внутренний). Внутренние и публичные сервисы компании должны иметь высокую доступность, выход из строя любого отдельного элемента сетевой инфраструктуры не должен приводить к их отказу.
Требования информационной безопасности.
- Коммутаторы доступа должны быть настроены таким образом, чтобы минимизировать риски подключения неавторизированных устройств, неуправляемых коммутаторов, точек доступа. Использование технологии dot1x в данной работе не допустимо, хотя и может являться валидным решением данной задачи.
- Доступ в интернет из центрального офиса разрешен для всех пользователей и сервисов компании за исключением периферийных устройств.
- Производство должно выходить в интернет только через центральный офис.
- Сегмент гостевого WiFi должен иметь возможность подключиться только к интернету и не должен подключаться к любым другим сегментам сети.
- Веб сайт должен быть доступен из сети Интернет по протоколу https.
- FTP сервер должен быть доступен из сети интернет только для клиента с IP 1.1.1.1/32.
- Все пользователи сети (кроме гостевых) должны иметь возможность подключаться к корпоративным ресурсам.
- Периферийные устройства должны быть доступны для пользователей, но сами периферийные устройства не могут инициировать соединения ни к одному сегменту сети.
- Каждый отдел не имеет доступа к ПК из других отделов. Так, например, пользовель ПК производственного отдела не может взаимодействовать с ПК из отдела продаж, ИТ отдела и бухгалтерии. Однако, ИТ отдел может взаимодействовать с ПК в любой подсети. В реальной жизни подобных требований может быть значительно больше, а также могут возникать новые в ходе эксплуатации и развития сети. В учебных целях рассматривается ограниченный набор таких требований.
- В рамках текущей работы вопрос подключения голосовой связи не рассматривается. Считаем, что на каждого пользователя приходится один порт, наличие голосового VLAN не требуется.
- Расположение сотрудников считаем произвольным, распределение пользователей по коммутаторам не имеет значения, ограничения на физическую длину кабеля не учитывается.
- Считаем, что технологическая сеть производства полностью изолирована от ЛВС и не является объектом проектирования.
- БЛВС сегмент в рамках курсовой работы должен представлять собой одну точку доступа с гостевой SSID. В реальной жизни для подобной задачи целесообразно предусмотреть наличие БЛВС контроллера, провести радио планирование, расположить несколько точек доступа и организовать несколько SSID с разными требованиями к авторизации и правами на доступ. В рамках курсового проекта делать этого НЕ ТРЕБУЕТСЯ.
- В данной работе отказоустойчивость рассматривается только в рамках сетевой инфраструктуры, проектирование конкретного сервиса, как отказоустойчивого решения, не требуется.
- При эмуляции сети Интернет можно использовать отдельный хост с произвольным публичным IP адресом, подключенным к маршрутизатору условного оператора связи, а не напрямую к корпоративной сети. Необходимо, чтобы данный хост был доступен из сегментов, где требуется подключение к интернету, а от данного хоста были доступен условный веб сайт компании.
- При проектировании сети в PacketTracer не требуется подключение всех оконечных устройств (компьютеров пользователей, периферийных устройств и так далее). Подключение по одному устройству каждого типа достаточно для проверки выполнения наличия связанности и выполнения требований информационной безопасности.
- IPv6 адресация в работе не рассматривается.
- Продумать критерии разбиения общей сети на подсети, если оно требуется. В случае, если разбиение на подсети необходимо, нужно составить таблицу следующего вида.
| Сегмент сети | Номер VLAN | Название VLAN | Адрес подсети | Маска подсети |
|---|---|---|---|---|
| Гостевой WiFi | 123 | GuestWiFi | 192.168.1.0 | /24 |
Обосновать необходимость/отсутствие необходимости в сегментировании. Обосновать выбранный размер подсети, учитывая требования по числу пользователей и планам по масштабированию, описанным в задании
- Выбрать схему подключения центрального офиса к интернету с учетом требования по отказоустойчивости публичного сегмента. Компания не обладает PI адресами. В здании, где расположен центральный офис, присутствует только один оператор связи "МоноТел". Но оператор имеет два независимых кабельных и энерго-ввода и две различные точки присутствия в здании и готов реализовать любую предложенную схему.
- Описать выбранную схему.
- Обосновать требуемый размер публичной подсети/подсетей и описать ее/их в виде таблицы.
| IP адрес | Назначение | Зона ответственности |
|---|---|---|
| 12.34.56.0 | Адрес сети | Не используется |
| 12.34.56.1 | ISP Router 1 | "МоноТел" |
| 12.34.56.2 | ISP Router 2 | "МоноТел" |
| 12.34.56.3 | VRRP шлюз | "МоноТел" |
| 12.34.56.4 | NAT для польз-ей | ЗАО "Доброта" |
| 12.34.56.5 | Веб сайт | ЗАО "Доброта" |
| 12.34.56.6 | Резерв | ЗАО "Доброта" |
| 12.34.56.7 | Широко-ный адрес | Не используется |
Адрес подсети приведен в качестве примера и может быть выбран произвольно из диапазона публичных IPv4 адресов.
- Выбрать и обосновать технологию подключения производства к центральному офису с учетом описанных в задании требований. Возможные варианты:
- интернет,
- L2VPN/L3VPN от оператора связи,
- арендованная ВОЛС. Указать транспортные и/или туннельные адреса, необходимые для построения связанности, описать их в таблице по шаблону п.2. Если на производстве требуется подключение к интернету, описать его аналогично п. 2.
- Обосновать выбор протокол маршрутизации, если протокол необходим, если нет - описать почему.
- Продумать механизмы обеспечения отказоустойчивости сервисного сегмента. Указать выбранные технологии и обосновать их применение.
- Нарисовать схему сети и собрать ее в Packet Tracer.
- Настроить оборудование согласно выбранной схеме и требованиям по информационной безопасности. Оборудование, которое эмулирует интернет и сторону оператора связи настроить согласно п.6 Замечаний к заданию.
- Выполнить тесты, отражающие наличие требуемой связанности и выполнение требований информационной безопасности.
Необходимо провести и зафиксировать (в виде скриншота из PacketTracer) следующие тесты. Если не указано дополнительно - тестирование производить командой ping.
- ПК сегмента производственного отдела, гостевого WiFi и веб сервер имеют доступ в сеть интернет.
- ПК в сегменте периферийных устройств не имеет доступа в интернет.
- ПК на производстве имеет доступ в интернет и выходит в него через центральный офис (дополнительно приложить вывод traceroute).
- ПК на производстве имеет доступ к периферийному устройству и web серверу.
- ПК в сегменте гостевого WiFi не имеет доступа к сегменту производственного отдела и ftp серверу.
- Веб сайт доступен из сети интернет. Для этого необходимо включить веб сервер на хосте в PacketTracer (Services\HTTP) и с ПК в условном Интернете запустить браузер через PC\Desktop\Web Browser. В качестве проверки приложить скриншот вывода web браузера.
- ПК сегмента ИТ и бухгалтерии имеют доступ к Web и FTP серверу.
- ПК в сегменте производственного отдела имеют доступ к периферийному устройству, но периферийное устройство не имеет доступа к ПК в сегменте производственного отдела.
- ПК производственного отдела не может взаимодействовать с ПК из отдела продаж, ИТ отдела и бухгалтерии.
- ПК в ИТ отделе могут взаимодействовать с отделом продаж и бухгалтерией.
По результатам выполнения работы необходимо предоставить файлы, содержащие следующую информацию.
- Пояснительную записку, которая содержит таблицы и описания к решениям, указанным в этапах 1-5 выполнения работ. Обоснование предполагает короткое описание (1-3 предложения) выбранного технического решения, которое должно ответить на вопрос, почему вы выбрали именно это решение, а не иное.
- Схему L3 связанности, в которой должны быть отражены все подсети, точки терминации подсетей, связи между ними и используемые протоколы маршрутизации, если такие есть. Схему можно рисовать в любом редакторе и приложить в виде графического файла типа .jpeg.
- Собранную топологию в PacketTracer.
- Конфигурационные файлы с оборудования.
- Результаты тестирования, проведенного на 8 этапе выполнения работы, в виде отдельного текстового файла с вложенными в него скриншотами.
- Разработанная сетевая архитектура, не противоречащая исходному заданию. Если какие-то вопросы по Вашему мнению не отражены в задании, и они мешают выполнению задания - можно делать так, как считаете нужным. Главное условие выполнение работы - соответствие тому, что написано в задании.
- На проверку предоставлены все данные, указанные в Правилах приема работы.
- Тесты, выполненные на 8 этапе выполнения работ, соответствуют требованиям задания.