KONSTANTIN
PRESLAVSKY
UNIVERSITY
SHUMEN
ШУМЕНСКИ УНИВЕРСИТЕТ
“ЕПИСКОП КОНСТАНТИН ПРЕСЛАВСКИ”
ФАКУЛТЕТ ПОМАТЕМАТИКА И ИНФОРМАТИКА
КАТЕДРА КОМПЮТЪРНИ СИСТЕМИ И ТЕХНОЛОГИИ
ЗАДАНИЕ
за дипломно проектиране
ЗА ДИПЛОМНА РАБОТА НА ТЕМА:
“АДМИНИСТРИРАНЕ И ОПТИМИЗИРАНЕ НА МРЕЖА ЗА INTERNET ДОСТАВЧИК”
Дипломант: Алтан Фикрет Садък Ф№ 331
Специалност: Компютърна информатика
Тема: Администриране и оптимизиране на мрежа за интернет
доставчик
Да се проектира компютърна мрежа за доставка на Интернет на клиенти
при следните условия:
1. Тип на мрежата клиент-сървър
2. Брой на клиентите до 250
3. Оптимизирана скорост за ползване на видове трафик:
a. http – 2Мb/s
b. ftp – 500Kb/s
c. e-mail – 200Kb/s
d. MySQL – 1Mb/s
4. Осигуряване на възможност за свързване на безжични клиенти
5. Осигуряване на възможност за VPN връзки
6. Осигуряване на възможност за предаване на глас по IP мрежа (VoIP)
7. Осигуряване на автентикация на потребителите
1
Съдържание на обяснителната записка:
1. Увод
2. Глава 1 Услуги предоставяни от Интернет
3. Глава 2 Достъп, осигуряван от Internet доставчик. Мрежови преносни
среди
4. Глава 3 Проектиране на мрежата на ISP
5. Глава 4 Aдминистриране и оптимизиране на мрежата на ISP
6. Заключение
Дата на задаване на заданието: 09.03.2010г.
Препоръчителна литература: (3-4 заглавия)
1. CCNA Network Exploration
2. CCNA Network Discovery
3. Cisco Security Specialist 27s Guide to PIX - Syngress
4. Cisco IPSec VPN Design - Cisco Press
5. Computer Networking Essentials –Cisco Press
6. Cisco Access Control Security: AAA Administrative Services – Cisco Press
7.Компютърни мрежи и комуникации, Университетско издателство
„Епископ Константин Преславски ”
8. www.cisco.com
Дипломант:
/Алтан Фикрет Садък /
Ръководител:
/гл.ас.д-р Ал. Милев/
2
УВОД
В днешно време Интернет е неразделна част от ежедневието на хората,
независимо дали става дума за голямо предприятие, малка фирма или частно лице.
Изключителната популярност на Интернет се дължи на предоставените за ползване
услуги. Интернет вече не е само забавление, а средство за информация, за установяване
на контакти, за търсене и най-вече за намиране. Интернет представлява инструмент на
свободното слово и свободната комуникация. Той има все по-голямо икономическо и
социално въздействие. Освен това е свързано с новите технологии, бързото им
разпространение и все по-широкото им използване в ежедневния икономически и
социален живот в обществото. Без развитието на Интернет - мрежата е немислима
модернизацията и просперитетът на която и да е нация по света. Развитието на Интернет
се проектира пряко върху всички сфери на живота: търговия, банково дело, електронни
услуги, здравеопазването и особено образованието. Мрежата вече е неразделна част от
средното образование и от самообучението. В това отношение аспектите са два:
изучаването на Интернет и използването му като средство за обучение. Интернет се
използва като основно допълнение и алтернатива на другите носители на информация –
книгите и учебната литература.
Скоростта, с която се развива Internet е главозамайваща. С това темпо на развитие
светът се нуждае от нови Internet доставчици(Internet Service Provider, ISP) или старите
трябва да се разширяват, за да може да се обслужват повече и повече хора. A ISP се
нуждаят от квалифицирани кадри, които да проектират, развиват, администрират и
поддържат техните мрежи.
Целта на настоящата дипломна работа е да се проектира, оптимизира и
администира мрежа за Internet доставчик посредством новите технологии.
Дипломната работа е струкутира в четири глави.
В първа глава са разгледани услуги предоставяни от Internet.
Във втора глава са описани основните типове достъп до Internet и мрежова
преносна среда.
В трета глава е проектирана мрежата за Internet доставчик.
В четвърта глава e конфигурирана мрежата за топологията описана в предната
глава.
3
Глава I Услуги предоставяни от INTERNET
1. Internet
Изключителната популярност на Internet се дължи на предоставените за ползване
услуги. Свободната размяна на съобщения под формата на електронна поща между
отделни лица и организации вече се третира като нещо нормално. Това спестява време и
пари за разлика от класическата кореспонденция. Достъп до най-горещите новини на
деня, възможност за търсене и намиране на техническа, научна, юридическа,
икономическа, спортна и всякаква друга информация са предимства, които не са
постигани до сега с други средства. Пионерите на тази нова информационна технология
съвсем естествено са били и са в момента университетските центрове. Значителна част
от тяхната изследователска работа намира непосредствено приложение. Съвременният
бизнес, който както винаги търси нови територии, намира в този информационен свят
нови не изпробвани възможности, независимо от географското разположение.
Маркетинг и реклама, бизнес контакти, възможност за непосредствено договаряне и
разплащане са само видимата част на този технологичен айсберг. Internet мрежата се
превръща в основен информационен източник за милиони по света. Още сега може да се
твърди, че Internet се превръща в медия с най-широко влияние.
Ако трябва да обобщите целта на Интернет с една дума, тя вероятно ще бъде
комуникация. Комуникацията може да е еднопосочна или двупосочна, за бизнес или за
удоволствия, да се провежда в реално време или не. Освен това комуникацията може да
приема много различни форми.
Една малка част от нещата, които даден потребител може да прави по Internet, са:
• Сърфиране из Мрежата (World Wide Web, WWW), търсейки информация или
забавление, както и да създава Web страници, които да могат да се посещават от
други потребители.
• Изпращане и Получава e-mail съобщения за частица от времето, което е необходимо
на едно хартиено писмо да се достави от пощенската служба.
• Присъединяване към пощенски списък и да обменя съобщения с хора, споделящи
общи интереси, занимания, или притежаващи общи характери.
• Участване или стартиране нюзгрупа, служеща като виртуална система за обмяна ма
съобщения, където заинтересованите страни могат да четат и да пускат съобщения.
4
• Прехвърляне на файлове, като документи, графика и аудио, от някой друг компютър
към своя, или от своя компютър към друг, използвайки протокола за трансфер на
файлове (File Transfer Protocol - FTP).
• Използване на програма за емулация на терминал, като например Telnet, за да се
свързва към отдалечен компютър с цел да стартира приложения или да прочете
някакви данни на неговия харддиск.
• Слушане на радиопредавания или да гледа поточно видео.
• Чатене в реално време с един или повече потребители на далечно разстояние.
• Участване във виртуални съвещания, споделяйки документи и чертежи, като наред с
това си комуникира посредством текст, аудио и видео.
• Провеждане на телефонни разговори на далечно разстояние, без да плаща скъпи
междуградски разговори на телефонната компания, като използва технология за
телефония, комбинираща телекомуникациите и компютърните технологии.
• Установяване на сигурна виртуална частна мрежа чрез изграждане на тунел през
Интернет до частен сървър или локална мрежа (local-area network - LAN).
• Internet пазаруване
2. World Wide Web
Тази навигационна система е най-популярния инструмент за достъп до Интернет
през последните години. Наричат я още WWW, W3, Web (паяжината , мрежата). Да се
работи в Паяжината е все едно човек да има на разположение цяла библиотека с книги,
аудиокампакт дискове и аудиокасети. С две думи - това е библиотеката на бъдещето.
В следващите секции на тази глава се дискутират компонентите на Мрежата:
• Протокол за трансфер на хипертекст (Hypertext Transfer Protocol - HTTP)
• Език за форматиране на хипертекст (Hypertext Markup Language - HTML)
• Web услуги
• Система за имена на домейни (Domain Name System - DNS)
• Web клиенти
2.1.HTTP (HyperText Transfer Protocol)
5
HTTP представлява прост текстов протокол, който се използва от услугата WWW
за осигуряване на достъп до практически всякакъв вид данни, наричани събирателно
ресурси. В HTTP протокола има понятия като клиент (обикновено това са Webбраузърите) и сървър (това са Web-сървърите). Обикновено Стандартният порт за HTTP
протокола e 80, но може да се използва и всеки друг TCP порт. Комуникацията по HTTP
се състои от заявка (request) – съобщение от клиента към сървъра и отговор (response) –
отговор на сървъра на съобщението от клиента. В развитието си HTTP протоколът е
преминал през версиите 0.9, 1.0 и 1.1, която е най-разпространена. На практика когато се
говори за HTTP, обикновено се има предвид HTTP 1.1.
Когато даден потребител въведе Web адрес или URL в адресната лента (или поле)
на браузъра, или пък избере определена хипервръзка, браузърът изпраща заявката към
Web сървъра на този адрес. Web сървърът обработва заявката и връща заявения ресурс.
Ресурсът може да е HTML страница, графика, звуков файл или някакъв друг тип файл.
Браузърите се свързват и обменят информация с уеб сървърите по специфични
протоколи. Кой е конкретният протокол може да се разбере по началото на мрежовия
адрес:
http:// — протоколът е HTTP. Портът по подразбиране, на който клиентските
програми (каквито са браузърите) се опитват да се свържат със сървъра, е 80.
https:// — протоколът е HTTPS (HyperText Transfer Protocol Secure), при него
предаваните данни са кодирани. Портът за свръзка по подразбиране е 443.
2.2.HTML (HyperText Markup Language)
HTML не е програмен, а е по-скоро описателен език за форматиране на текста.
Той е в текстов вид, като в текста са вмъкнати инструкции (тагове), които обозначават
как точно ще се изобрази текста, след обработката на HTML файла. В HTML файла
могат да се указват връзки (hyperlinks) към произволни отдалечени ресурси.
Основната сила на HTML е неговата простота. За по динамични сайтове HTML
може да комбинация с различни езици като JavaScript, Cascading Style Sheets, PHP и др.
2.3.Web Сървъри
Web сървърът е софтуер, който обработва заявките за търсене на информация в
Мрежата и след това изпраща резултата на клиента. Съдържа и управлява (хоства)
6
документи, представени в web страници. Web сървърът трябва да има връзка към
Интернет и да притежава публичен IP адрес, по който да бъде идентифициран.Найразпространените сървъри са: Apache(който е безплатен) ; IIS )Internet Information
Services) – на Microsoft; Sun – на Sun Microsystems; NCSA – на екип от университета в
Илиноис. Последна версия MyProxy 3.7( Безплатен).
2.4.Системата за имена на домейни (DNS, Domain Name System)
Мрежовото име е символично означение на мрежовия адрес за по-лесно запомняне
и идентифициране на устройствата от хората. Основното предназначение на DNS е автоматичното търсене на IP-адреси по съответното DNS име. За тази цел се използва протоколът DNS на приложения слой. В протокола DNS са определени DNS сървъри
(сървъри на имената) и DNS клиенти. DNS сървърите съхраняват части от базата данни
за съответствия на DNS имена и IP адреси. Името се състои от няколко елемента
(етикета), които са отделени с ограничител (@ или точка). Синтаксисът на името е
следния:
<account>@[subdomain]. [subdomain].<domain>
<domain> полето представя най-важните логически подразделения на Internet със
света. Всяка нация има домейн, които отговаря дву или три буквеният код на страната.
[subdomain] полето служи за адресиране на групи от имена, обособени в различни
йерархични нива - група, отдел, катедра и други. За всяко ниво е необходимо да има
регистриран субдомейн. Не трябва да се бъркат понятията поддомейн и домейн с
понятието локална мрежа, защото локалната мрежа е групиране чрез физически връзки и
локални комуникационни протоколи, а при домейните и поддомейните е налично
логическо групиране, което може да включва няколко мрежи (изцяло или частично). При
домейна йерархията не се диктува от физическата мрежа.
<account> полето е поле за дефиниране на потребителя и се отделя от другите
полета със символа @. Етикетът на потребителя се избира обикновено да отговаря на
идентичността му.
DNS сървъра преобразува числовите IP адреси в имена на домейните на английски
език, вече може и кирилица и други езици. Списъкът от съответствия между шифрирани
7
IP адреси и DNS имена е под формата на таблици, които се зареждат в оперативната
памет с цел по-бързо търсене.
2.5.Web клиенти
Web клиентита се явява софтуер, който предава заявките на потребителя към web
сървъра за определени услуги и визуализира изпратения резултат. Резултатът може да
бъде търсената web страница, информация от база данни, звуково или текстово
съобщение, писмо, файл и др. Най-често използваните Web клиенти са браузърите
(наречени още навигатори - browsers, navigators). Други клиенти са: Web mail, Web FTP,
Web forums и др. Обикновено те са включени в състава на браузърите.
Web браузъра е комуникационна програма за връзка с Интернет.Трите найпопулярни Web браузъра (HTTP клиентски софтуер) са Microsoft Internet Explorer,
Mozilla Firefox и Google Chrome Communicator. Съществуват и много други браузъри,
като например: Lynx -, Netscape ,Amaya ,Emacs/W3 ,Opera , Safari и др.
3.Какво има в Мрежата?
От прости текстови документи до анимирани мултимедийни представления на
базата на Java или ActiveX - в Мрежата има всичко. С други думи Мрежата увеличава
нашите възможности да събираме информация бързо и лесно, би било доста сдържано.
Наличието на достъп до Мрежата е като че ли се прелиства цялата Библиотека на
Конгреса, че дори и повече.
3.1.Кой използва Мрежата?
С тези темпове на разрастване изглежда сякаш почти всеки се е включил в
Мрежата. Притежаването на Web присъствие се превръща почти в задължително за
много типове бизнеси. Личните и семейните домашни страници са масово
разпространени. Дори тези, които не притежават собствени страници, са заети да
сърфират и да проучват предложенията на другите.
Цената на персоналните компютри падна значително и Интернет услугата стана
достъпна от финансова гледна точка. Някои компании дори предоставят такава услуга
безплатно; тя се издържа от реклами. Това ще рече, че непрекъснато все повече хора се
8
включват в „голямото семейство". Училищата изграждат компютърни зали с постоянна
връзка към Интернет, а компютърната грамотност става задължителен предмет. Почти
всяко кафене предлага улсугата Wi-Fi (безжичен Internet).
Тези които имат Интернет достъп, използват Мрежата за най-различни цели, а
много от тях я използват ежедневно. Потребителите използват Мрежата, за да научат
повече за дадени продукти и евентуално да си ги купят. Учениците и студентите я
използват за откриване на документи. Педагозите я използват за разпространяване на
учебни материали. Пътешествениците я използват за резервиране на полети и хотелски
стаи, както и за помагало при избор на ваканционни дестинации. Пациентите я
използват, за да научат повече относно техните здравословни състояния и лечения.
Бизнесмените я използват, за да се информират относно развитието в бранша и
конкуренцията, както и за да рекламират свои собствени стоки и услуги.
Мрежата се превръща в технология, която променя нашето общество и нашия
начин на живот по същия начин, както това са направили електричеството, телевизията
и телефонът. Всъщност въпросът не е „Кой използва Мрежата?", а „Кой не я
използва?".
Намиране на това, което ви интересува
Невероятното количество информация, достъпно за обществото в Мрежата, е
както най-голямата й сила, така и най-голямата й слабост. Откриването на всички
уместни данни относно дадена тема - и само данните, които в действителност са
уместни - може да бъде обезкуражаваща задача.
3.2.Машини за търсене
Бяха разработени стотици машини за търсене (search engines) в опит навигацията
в Мрежата да стане по-лесна. Машините за търсене са сайтове, съдържащи
интерактивни бази данни, които категоризират Web сайтове обикновено с помощта на
метатагове (metatags). Мстатагът е ключова дума, създадена от дизайнерите в HTML
кода. Според www.wwwmetrics.com - един сайт, посветен на Web статистика - 85
процента от потребителите използват машини за търсене, но по-малко от 20 процента
от обществената Мрежа е индексирана от тези машини.
Yahoo (www.yahoo.com) беше първата основна машина за търсене и днес все още
се използва от много хора. Други популярни машини за търсене са следните:
•
Google - www.google.com (най – популярната )
9
•
Lycos - www.lycos.com
•
AltaVista - www.altavista.com .... и др.
Повечето машини за търсене работят, като индексират ключовите думи или ме-
татаговете, разположени в HTML сорс кода от дизайнера на Web страницата. Тези
термини представляват термини, които даден човек е най-вероятно да използва,
търсейки документи, които са свързани с темата на Web страниците. Например, ако
бъде проектирана Web страница, в която се говори за определен бизнес с отглеждане на
сиамски котки, бихте могли да сложите следните ключови думи в HTML кода под
формата на метатагове: котка, сиамска и отглеждане.
Машините за търсене имат три основни компонента:
•
Паякът (spider) - Програма, която преминава от една връзка към друга в
Мрежата, събирайки индексираща информация
•
Индексът (index) - База данни, която съхранява копие на всяка Web страница,
събрана от паяка
•
Механизмът за търсене/извличане (searclt/retrieval mechanism) - Интерфейс,
който позволява на потребителите да въвеждат своите заявки и да получават
резултатите.
3.3.Web портали
Много машини за търсене служат и като Web портали. Порталът е Web сайт,
успял да се превърне в „стартова страница" за потребителите - точка, в която те често
се връщат за връзки, новини, Web поща, карти, телефонни указатели и обществени
форуми. Потребителите могат да настройват свои персонализира-ни стартови
страници, които да отразяват техните интереси. Например, може да бъде указано на
порталната страница да показва местните новини и времето в желания район. Освен
това може да се изберат специални теми, като спорт, бизнес, технологии и забавление,
за които се извеждат текущи новини, когато се осъществява достъп до страницата.
Онлайн услугите (като AOL и MSN) и доставчиците на Интернет, често
осигуряват портали са своите потребители.
3.4.Други Web услуги
10
Освен текстово-графичните страници с връзки към други страници, Мрежата
предлага и далеч по-развити услуги като следните:
• Анимации
• Чат в реално време
• Записано видео и видео на живо (използващо Web камери и RealVideo)
• Записани радиопредавания и такива на живо (използващи RealAudio)
• Игри с виртуална реалност (Virtual Reality Modular Language, VRML)
• 3-D „разходки" и панорами
• Сайтове за електронна търговия (т.е. интерактивно пазаруване)
• Web-базирани e-mail услуги
Много услуги (например тези, позволяващи ви да изпращате e-mail съобщения, да
четете статии в нюзгрупи, да чатвате и да прехвърляте файлове), които по едно време
изискваха отделни приложения, сега са вградени като функции в Web браузърите.
4.Електронна поща и пощенски списъци
Това е Internet услугата, без която не може. Според някои източници, на година
през Internet и онлайн услугите преминават над 6 милиарда e-mail съобщения. Това е
личният достъп до мрежата на всеки потребител в Internet. В днешно време съвсем
сериозно може да се твърди, че наличието на достъп до електронната поща е услуга
конкурентна на телефонните услуги. В голяма част от случаите, най-вече в
университетските среди поради финансови съображения, електронната поща е
предпочитана пред телефона за обмен на информация на големи разстояния.
Новите потребители в Internet, като правило имат едно единствено изискване собствен електронен адрес и достъп до пощенска кутия. Сред множеството от
предоставяните в мрежата услуги електронната поща е най-достъпна за възприемане и
обяснение. Едва в последствие, с натрупването на опит и повече информация
потребителите си дават сметка за възможностите и преимуществата на другите услуги.
Едно електронно съобщение се доставя за не повече от час до която и да е точка по
света, а в рамките на една държава за десетина секунди.
4.1. Основни функции на програмите за e-mail
достъп и четене на пристигаща (входяща) поща (read mail);
11
архивиране на входящи и изходящи съобщения;
отговор (reply) и препращане (forward) на получени писма;
създаване и изпращане на собствени съобщения (create message);
присъединяване на външни файлове с произволен формат (attachment);
поддържане на пощенската кутия - създаване и изтриване на папки, изтриване на
стари или нежелани писма, настройка на филтрите и сортирането, поддържане на
адресен указател и т.н.
4.2. Електронни адреси (e-mail)
За използването на e-mail, потребителят най-напред трябва да регистрира
собствен e-mail адрес. Електронният адрес (e-mail адрес или акаунт) има следния общ
формат: пощенска-кутия@сървър.домейн
Съществуват няколко типа адреси - web-mail, POP3, IMAP4 и mail forwarding
service (услуга за препращане на поща).
Webmail адрес - Използва се чрез web сайт. Почти всеки голям сайт предоставя email, за да бъде посещаван редовно. Адресът се регистрира на сървъра на такъв сайт,
където след това се съхраняват и съобщенията. Обикновено е безплатен и лесен.
Пространството за съобщения е ограничено.Удобството е, обаче в това, че може да се
използва мобилно от всеки възел в Мрежата, без допълнителни настройки. Най-добрите
пощенски сайтове са Hotmail.com, yahoo.com, gmail.google.com, a oт българските -abv.bg
и mail.bg.
4.3. Пощенски списъци (mailing lists)
Представляват списъци с е-mail адреси на хора, които искат да получават
съобщения на определена тема. На адрес www.liszt.com се поддържа справочник на
пощенските списъци, в който има инструкции за абонамент. По-големите списъци се
разпространяват чрез специални лист-сървъри, напр. Majordomo, ListServ и др.
Присъединяване към списък - В повечето случаи абонаментът е по е-mail или
чрез форма от web страница до специализиран сървър (list server). Това зависи от лицето,
което поддържа списъка. След присъединяването към отворен списък, потребителят,
както и всеки друг абониран за списъка, получават всички съобщения, изпратени до
12
адреса на списъка. Първото съобщение съдържа информация за това, как да се отписва
от списъка и други параметри, например как да се получава в пакетен формат
Намиране на списъци - Повечето сайтове с висока посещаемост публикуват
бюлетини с новини (еднопосочни списъци), за да информират какво става при тях.
Просто трябва да се потърси опцията на сайта за въвеждане на е-mail адрес за
получаване на новините.
5. Нюзгрупи
Нюзгрупите наподобяват пощенските списъци по това, че обикновено са организирани около специфични интереси или теми. Най-голямата разлика е, че след като
веднъж конкретен човек бъде присъединен към пощенски списък (обикновено чрез
изпращане на e-mail на специфичен „абонаментен" адрес), всички публикувани
съобщения се изпращат до указан e-mail адрес. За да бъде спряно пристигането на
съобщения, е необходимо да се извърши отписване (отабониране) от списъка.
В повечето случаи не се изисква човек да се присъединява към нюзгрупа (въпреки
че съществуват ограничени нюзгрупи, до които достъпът се осигурява срещу
потребителско име и парола); необходимо е само да се конфигурира съответния софтуер за четене на нюзгрупи (като Outlook Express, Netscape News или Free Agent), за да
се реализира връзка с конкретен нюзсървър. След това може да бъдат разглеждани и
четени всички публикувани съобщения, както и да бъдат пускани съобщения.
При желание за неползване на желана нюзгрупа, просто не е необходимо човек да
се свързва с нея. Тогата e-mail кутията не се наводнява от допълнителни съобщения,
което е възможно при обемните пощенски списъци.
5.1.Софтуер за нюзгрупи
Както при електронната поща, нюзгрупите изискват два типа софтуер: софтуер за
нюзсървър, работещ на машината, която хоства нюзгрупата, и софтуер за нюзклиент,
наречен също нюзридър (четец на новини).
Софтуерът за шозсървър често пъти се включва с програмите за Web сървъри
като Microsoft IIS. Някои e-mail програми и Web браузъри, като Netscape Communicator,
Microsoft Internet Explorer/Outlook Express и Opera, притежават вградени нюзридъри.
6. Трансфер на файлове (FTP, File Transfer Protocol)
13
FTP е Internet услуга за прехвърляне на файлове в ASCII или BINARY формат
между два компютъра, свързани в мрежата. Услугата се обслужва от свой протокол като
надстройка на TCP/IP протоколите. FTP е много полезно средство особено за пренасяне
на файлове с голям обем.
Осъществяване на FTP връзка между два компютъра в Internet мрежата и
провеждане на сесия изисква изпълнението на определена последователност от действия
от страна на клиента (FTP Client) в процеса на установяване на връзка и извличане на
информация от файловия сървър (FTP Server) на кореспондентския компютър. Тези
действия предполагат познаването на едно не голямо множество от команди за този
протокол. Познаването на основните команди е препоръчително дори и в случаите, в
които се използват програмни надстройки от меню или диалогов тип. Изпълняваните
действия по време на една FTP сесия е добре да се познават, с което се гарантира
правилното и преди всичко колегиалното използване на възможностите на тази услуга.
FTP услугата се основава на взаимодействието по Internet на един FTP клиент,
който влиза в контакт по FTP протокол с FTP сървър.
7. Telnet
TELNET (Networking Terminal Protocol) е Internet протокол (услуга), надстройка
на протоколния стек TCP/IP, за осъществяване на връзка (диалог) с друга машина в
режим на отдалечен терминал. Преимуществата на тази услуга са в това, че потребител
от своя компютър може, да използва ресурсите на друга машина, отдалечена от него на
значително разстояние. Дистанционното включване може да осигури достъп до
собствена пощенска кутия на друга машина в друг град, в друга държава, достъп до бази
данни с интересна за клиента информация, консултиране на библиотечни каталози за
книги и статии, получаване на валутна, борсова и друга бизнес информация. Това е едно
подходящо средство за използване на изчислителните възможности на по-мощни
компютърни системи, отдалечени на хиляди километри от собствената машина. В
случаите на връзка по модемна линия услугата се оказва особено ценна, поради
минималния обмен на информация с “отдалечения терминал”.
8. Поточна медия
14
C популяризирането и поевтиняването на високоскоростните Интернет връзки и
използването на съвременни технологии като ISDN, Т-1, кабелен модем, DSL и
оптиката е възможно да се предават аудио и видео сигнали в непрекъснат поток. Това
означава, че вместо да се налага свалянето на цял файл, за да бъде чут или видян, може
да бъде използвана постоянна връзка и да се получават данните бит по бит.
За да се гледа поточна медия без дразнещи паузи в аудиото и насечени движения
във видеото, е необходима не само бърза връзка, но и компютър с достатъчно памет и
процесорна мощ, който да се справи с потока от данни. Падането на цените на РС-тата
и Macintosh системите от висок клас съдействат за нарастващата популярпост на
поточната медия.
За достъп до поточна музика и видео клипове, както и за тяхното възпроизвеждане, се използват приложения като QuickTime на Apple, Real Audio/Real Video и Windows Media Player.
9. Чат на живо, IRC (Internet Relay Chat) и Web-базирани чат стаи
IRC е относително нова услуга в Internet. Базира се на протокол, който дава
възможност на множество потребители да осъщесвяват директна връзка помежду си във
форум (chanals) или по единично (Pear-to-pear).
Начинът на работа е следния:
Свързване към общ канал;
Свързване по единично.
При работа в общ канал всеки участник в конференцията се свързва първо към
определен сървър, където се идентифицира и при наличие на други участници може да
вземе участие в тяхната дискусия.
Работата по единично свързва две машини, имащи достъп до Internet мрежата по
техните IP адреси. В този случай дискусия няма, но може да се проведе разговор между
двамата участника.
По принцип обменът на информация може да се извършва с текст, звук или
видео. Комбинации също са възможни.
В общия случай IRC се използва за дискусии по най-разнообразни теми, между
хора заинтересовани от конкретен проблем или явление.
15
Еволюция - Последните новости в IRC услугата са свързани с използването на
звук и видео. За целта компютърните системи трябва да бъдат допълнително екипирани
със звукова карта, слушалки, тонколони, микрофон, цифрова видео камера и подходяща
видео карта или видео бластър.
10. Моментални съобщения
Програмите за моментални съобщения позволяват да се изпращат директни
съобщения до други хора, които са онлайн и които имат инсталиран подходящ софтуер.
В повечето случи на екрана на приемника изскача диалогов прозорец и в него се
появява написаното от вас съобщение. Някои услуги за съобщения включват „гласов
чат" или възможности за двупосочно видео. (Тези възможности са подобни на
инструментите за аудио конференции, дискутирани в следващата секция на тази глава.)
Популярните приложения за моментални съобщения включват Mirabilis ICQ („I
seek you" - „аз търся теб"), Skype, AOL/ Netscape Instant Messenger, Microsoft MSN Messenger, Yahoo Messenger и др.
11. Аудио/видео конференции
Технологиите за аудио/видео конференции ви позволяват да проведете среща с
хора, намиращи се на далечни разстояния. Популярността на тези технологии нараства
сред бизнес средите; те се използват и в образователните кръгове за създаване на
„виртуални класни стаи" за онлайн обучение.
В зависимост от използвания софтуер може да се показват документи по време на
конференцията, като те се виждат от всички участници на техните екрани. Също така е
възможно да се чертае по виртуална бяла дъска и всички участници да виждат на
мониторите си начертания модел или картина.
Всеки участник в конференция трябва да стартира софтуера за конференции,
както и да притежава звукова карта, микрофон и цифрова камера, които да са свързани
към PC-то. Популярните програми за видео конференции е Microsoft NetMeeting.
Софтуерът за видео конференции може да се раздели на две категории:
• От точка до точка (point-to-point) - Директна връзка между две машини, работеща
подобно на видео телефон
16
• Многоточков (multipoint) - Софтуер, чрез който едновременно могат да
комуникират повече от двама участника
12. Интернет телефония
Приложенията за Интернет телефония позволяват да бъдат провеждани междуградски и международни телефонни разговори чрез използване на технологията Voice
over IP (глас no IP), без да се плащат такси на телефонната компания за проведените
разговори. Ранните приложения за телефония бяха с лошо качество, като и
инициаторът, и приемникът на разговора трябваше да използват един и същ софтуер за
телефония.
По-новите технологии позволяват използването на шлюзови Интернет сървъри, за
да се реализира обаждане на нормален телефонен номер. Човекът от приемащата
страна дори не е задължително да притежава компютър или връзка към Интернет.
13. IPTV (Internet Protocol Televison)
Услугата IPTV представлява излъчване на телевизионни програми в реално време
през IP мрежи, посредством IPTV (streaming) технология, предназначена за крайни
клиенти.
Интерактивната телевизия позволява достъп до услугата "филми по поръчка"
(video on demand). Всеки филм може да се гледа в рамките на 24 часа след заявката.
Компанията Neterra също предлага интернет телевизия. Засега потребителят може да
гледа на живо 15-ина български телевизионни канали (съществува и опцията
предаванията им да се записват), както и филми на принципа на видео при поискване.
Проблем може да представлява единствено скоростта на интернет връзката – за повисоко качество на картината изискването е поне 1000 kbps. Именно това е и една от
причините, поради които се появяват предупреждения, че световната мрежа е изложена
на опасност вследствие на нахлуването на онлайн телевизионните услуги и видеото.
Фирмите-доставчици на интернет са принудени да правят големи инвестиции, за да
отговорят на нуждата на потребителите от по-високи скорости в резултат на все потежкото съдържание, предавано по мрежата.
17
14. Пазаруване в Интернет
Тази услуга, която се нарича още електронен магазин (e-shop) или електронна
търговия (e-trade), дава възможност чрез web страница да се преглеждат каталози със
стоки, да се поръчват и плащат избрани артикули. Това означава, че ако се пазарува
например музика, може да се прегледа целият каталог на даден изпълнител, слушайки
фрагменти и четейки мненията на други потребители за всеки албум. Друга възможност
е да се изпрати запитване към търсачка за най-добрите цени или наличност
едновременно из стотици магазини. Плащането може да се организира по различни
начини - онлайн чрез кредитна карта или кеш при доставка. Стоките в тези магазини са с
отстъпка, но обикновено се плаща за доставка.
При пазаруването в Интернет трябва да се имат предвид:
сигурността при онлайн разплащането - да се проверяват и сравняват
извлеченията от кредитната карта всеки месец;
да не се пазарува от сайт с липсващ пощенски адрес и телефонен номер или без
собствено име на домейн;
да не се предоставят данни за ЕГН, лична карта, шофьорска книжка, номер на
спестовна сметка;
да не се отговаря на спам;
да се превключва на сигурна връзка при промяна на акаунт или прекъсване на
абонамент;
да не се предоставя номер на кредитна карта по e-mail или за безплатни услуги и
т.н.;
ползване на нюзгрупите за съвети относно мнения на клиенти и класации за
продукти;
че трябва да се проверят условията за връщане на стоката, ако не отговаря по
качество;
че не е удобно, ако стоките трябва да се пробват за тегло, размери и др.
18
ГЛАВА II Достъп, осигуряван от INTERNET доставчик. Мрежови
преносни среди
В днешно време живота на хората зависи все повече и повече от Internet. Той не
се ползва само като средство за информация, забавление или за разговор с приятели. Все
повече обмяната на сигурна инфомация става актуална. Дали става дума за кредитни
карти, при покупки на стоки online, за банкови транзакции, или за предаване на
поверителна информация между отделни лица основното нещо, което се изисква е
сигурност на информацията.
В България ISP доставчиците все повече разширяват гамата от видове Internet
достъп. Самиата мрежа Internet вече е станала неделима част от живота на голяма част от
хората и почти всеки има достъп до него(около 50 % за 2009г.). Ако трябва да се направи
някаква класификаця на видовете достъп то тя може би ще изглежда по следния начин.
1) Dial –Up Internet достъп, за който се изисква наличието на стационарен телефон. Той
може да се раздели на три основни технологии:
Обикновен Dial –Up: възможно е да се ползва обикновена аналогова централа или
цифрова централа. (вече почти не се използва в България)
ISDN (Integrated Services Digital Network)
DSL (Digital Subscriber Line) или xDSL
2) Internet използващ наета линия. Тук възможностите са доста повече но най –
разпространените и употребявани технологии са:
LAN (Local Area Network) Internet
CaTV (Community Antenna Television) Internet – предлага се от повечето кабелни
опеартори тъй като ползва преносната среда на кабелните телевизии.
Оптичен Internet използващ оптични кабели
3) Безжичен Internet достъп.
Wi-Fi
WiMAX
4) VPN (Virtual Private Network )
Carrier
Enterprise
Ще бъдат разгледани основните характеристики на изброените методи..
19
1.Dial –Up Internet достъп
1.1. Обикновен Dial-Up
Фиг. 2.1 Dial-up схема
За да се реализира достъп до Internet през dial-up единственото изискване от
хардуерна гледна точка е модема. Както е известно, в компютъра данните се представят
в цифров вид - във вид на нули и единици, съответстващи на ниско и високо ниво на
напрежението. Това са цифрови електронни импулси( електронни сигнали). От друга
страна, данните, предавани по телефонната мрежа се предават основно под формата на
аналогови сигнали (звук). Модемът(modem) е устройство, което позволява на
компютрите да комуникират по телефонната линия. Те не могат просто така да се
свържат към телефонната линия. Модемът от изпращащата страна преобразува
цифровия сигнал на компютъра в аналогов и го предава по телефонната линия.. Модемът
от приемащата страна преобразува входящия аналогов сигнал отново във цифров за
приемашия компютър. Казано с други думи, изпращащия компютър МОдулира
цифровите сигнали в аналогови, а приемащия компютър ДЕМодулира аналоговите
сигнали обратно в цифрови. Първите модеми са се използвали за предаване на данни
между терминали и хост- компютри. В таблица 2.1 е дадено съответствието на протокола
и максималната скорост (не са цитирани всички протоколи!):
Таблица 2.1 Dial – up Протоколи
Стандарт Година на приемане Скорост(bps)
V.22bis
1984
2400
...
....
....
…
….
…
V.42
1995
33600
V.90
1998
56600
V.92
2000
56600
20
1.2. Цифрова мрежа за интегрирани услуги (ISDN).
ISDN (Integrated Services Digital Network) е вътрешно мрежова спецификация за
цифрови връзки, която може да обслужва: Глас; Данни; Изображения.
Една от основните цели на създателите на ISDN е била да свържат домовете и
офисите с меден телефонен кабел. Първоначалната идея на ISDN е била замяна на
съществуващите аналогови телефонни линии с цифрови. Тази идея започва да се
осъществява в цял свят.
Фигура 2.2. Схема на ISDN.
Basic Rate ISDN разделя пропускателната си способност на три канала за данни.
Два от тях пренасят данни със скорост 64Kbps, а третият предава с 16Kbps. Каналите
със скорост 64Kbps са известни като В-канали. Те могат да пренасят глас, данни или
изображения. По-бавният, 16Kbps канал се нарича D-канал и пренася данни за
управление на връзките. Настолната услуга Basic Rate ISDN се нарича 2B+D.
Компютърът свързан към ISDN услуга, може да използува двата В-канала
едновременно, за да постигне скорост на връзката 128Kbps. Ако компютрите от двете
страни на връзката поддържат компресиране могат да се постигнат много по-високи
скорости на трансфер на данни.
Primary Rate ISDN използува цялата пропускателна способност на Т1 връзка,
осигурявайки 23 В-канала с 64Kbps и един D-канал с 64Kbps. D-каналът се използува за
изпращане на сигнали и за управление на връзките. За мрежи, в които се планира
използването на ISDN услуги, трябва да се избере или Basic Rate, или Primary Rate, в
зависимост от необходимият капацитет за предаване на данни. ISDN е цифров аналог на
обществената комутируема телефонна мрежа (PSTN- Public Switched Telephone
Network) и като такава е само комутируема услуга. Тя не е предназначена да бъде 24
21
часова (като Т1) или с пропускателна способност според нуждите (каквато е услугата с
кадрово предаване).
1.3. DSL или xDSL
хDSL е съкращение за Цифрова абонатна линияи представлява група технологии,
които дават нов живот на цифровите комуникации по усукана двойка медни
проводници, аналогично на ISDN технологията. xDSL са технологии, специално
предназначени за достъп до обществени мрежи за комуникации от пункт до пункт, които
позволяват да се пренасят разнообразни форми на информация по усукана двойка медни
проводници от абонатните линии за достъп до централата на доставчика на мрежови
услуги. xDSL модемите преобразуват една линия за предоставяне на традиционната
телефонна услуга в две такива линии, като по този начин се избягва необходимостта от
физическо инсталиране на окабеляване за втората линия и се създава възможност за
едновременен пренос както на глас и видео, така и на данни и мултимедиен трафик. Това
се постига чрез използваните при тези технологии техники за модулиране на сигнала –
процеси, при които един сигнал изменя свойствата на друг сигнал. Различните
технологии от xDSL групата могат да бъдат класифицирани в две основни подгрупи:
симетрични и несиметрични. Асиметричните DSL технологии (ADSL, ADSL2+, RADSL,
асиметрична и симетрични VDSL,VDSL 2) осигуряват по-висока скорост на пренасяне в
посока от мрежата към абоната и по-малка в обратна посока – от абоната към мрежата.
Те са подходящи за сърфиране в Internet и за отдалечен достъп до локални мрежи, тъй
като при тези приложения обикновено се получава много повече информация, отколкото
се излъчва. При симетричните DSL технологии (HDSL, HDSL2, SDSL или S-HDSL,
IDSL) скоростта на предаване в двете посоки е еднаква. Те са по-подходящи за Web
сървъри, корпоративни мрежи и за абонати, които обикновено излъчват големи обеми
информация.
1.3.1. Асиметрични xDSL технологии :
ADSL (Asymmetric Digital Subscriber Line) е добре позната технология и е
главната използвана днес. Може да осигури до 1 Mb/s свързаност на сравнително
голямо разстояние (до 5 километра) или да осигури 5.5 Mb/s на едно нормално
22
разстояние (до 3 километра). Това я прави отлична технология за масова
употреба.
ADSL2+ - (ADSL2+) - G.Lite е просто по-скъп и по-сложен вариант на ADSL,
осигуряващ скорост до 24Mbps за download и до 1.5Mbps за upload.
RADSL – (Rate Adaptive Digital Subscriber Line)
-осигурява всички
възможности на ADSL технологията с някои важни допълнения. Тази технология
позволява на оборудването постоянно да следи за максималната скорост, която
може да се постигне при моментното състояние на линията и съответно се
адаптира към нея.
VDSL (Very High Bitrate DSL) - За тази адресирана към бизнес приложения
технология съществуват както асиметрични, така и симетрични версии.Предлага
достъп и трансфер на данни от 12.9 Mbps до 52.8 Mbps, който съответства на
максимална достигната дължина на пръстена от 50 до 200 метра.
VDSL 2 (Very High Bitrate DSL) – е допълнение на технологията VDSL .
Теоретически предлага достъп и трансфер до 250 Mbps за download и upload, но
това е само за много близки разстояния. На около 0.5 км вече предлага достъп до
Internet от 100 Mbps за download и upload, на 1 км 50 Mbps за download и upload, а
над 1.6 км се изравнява със скоростта, която предлага е на ADSL. Връзката може
да бъде симетрична и асиметрична.
1.3.2.Симетрични xDSL технологии
HDSL (High data rate DSL)- Работи се с по-малка честотна лента и не изисква
регенератори. Използвайки по-усъвършенствани техники на модулация, HDSL
предава с 1.544 Mbps или с 2.048 Mbps.Осигурява тези скорости на разстояния до
5 км. По две линии за Т1 и три линии за Е1, като всяка линия работи на една
втора или една трета от общата скорост.
HDSL2 (High data rate DSL2)- – Следваща стъпка в развитието на HDSL. Има
почти същите характеристики като HDSL, но използва само един меден чифт за
преноса на данни.
SDSL (Symmetrical DSL) - има същите характеристики като HDSL, предавайки
Т1 или Е1, но работи по един меден чифт в обхвата над разговорната честотна
лента. По този начин една линия може да поддържа гласова услуга и Т1/Е1
23
едновременно.SDSL е подходящ за приложения, изискващи симетричен достъп
(като сървъри или свързване на LAN мрежи), и следователно допълва ADSL .
Максимално покривано разстояние - 10 000 метра, дистанция на която ADSL
потдържа скорости над 6Mbps.
IDSL (ISDN Digital Subscriber Line) Предоставя симетрични скорости над 128
Kbps.
В световен мащаб обаче, и особено в Западна Европа, хDSL технологията е силно
наложен стандарт за свързване с глобалната мрежа. Около 80% от Internet достъпът в ЕС
се осигурява чрез нея. Тази технология е широко популярна, защото използва
съществуващите телефонни линии. Най-големият й проблем е относително ниската
скорост на пренос.
2. Наетата линия.
Тя предоставя некомутируем достъп, което значително увеличава скоростта на
трансфер. Основните технологии тук използват различна преносната среда (медиа).
Можем да класифицираме следните типове.
LAN Internet при който се използват UTP/STP медни кабели с усукана двойна
нишка
CaTV кабелен Internet, който използва преносната мрежа на кабелните телевизии
и за медиа ползва коаксиален кабел.
Пасивна оптична мрежа и FDDI технология ползваща оптичен кабел за
високоскоростен пренос на данни
2.1. LAN мрежите
Какво е локална мрежа ?
Понятието мрежа е известно от древността. Известни са мрежи от напоителни
канали, транспортни мрежи, електропроводни мрежи, телефонни и телексни мрежи.
Техническото средство на нашия век - компютърът, също се свързва в мрежа.
През 70 г. се разпространиха глобалните мрежи от компютри (Wide Area Networks
- WAN), а в началото на 80 – те години и локалните мрежи (Local Area Networks - LAN).
24
Локалната мрежа е високоскоростна комуникационна връзка между устройства за
обработване на данни, разположени в географски ограничен район. Локалните мрежи
могат да свързват персонални компютри (ПК), терминали, мини компютри и големи
компютри, принтери и други електронни устройства. Свързването може да стане
посредством
няколко
различни
конфигурации
на
топологично
и
йерархично
структуриране.
Категоризиране на LAN мрежите :
Равноправна (peer to peer) – работна група в която всеки клиент фигурира и като
клиент и като сървър и всеки потребител администрира ресурсите на своя
компютър.
Клиент/сървър – при нея администрирането е централизирано на компютър,
работещ със специален сървърен софтуер и мрежова операционна система (NOS).
Този компютър автентицира информацията за името на потребителя и паролата,
за да позволи на оторизираните потребители да влязат в мрежата и да позволят
достъп до ресурс.
Локалните мрежи образуват основата на по-големите MAN и WAN, които се
изграждат чрез свързване на две или повече локални мрежи.
LAN < MAN < WAN
MAN мрежата покрива по-обширна област от LAN, но е географски поограничена от WAN.
Локалните мрежи се различават от глобалните мрежи по ограниченото разстояние
между абонатите си и високата скорост на предаваната информация. Съществени
разлики са малката вероятност за грешка при локалната мрежа – 10-12 и 10-6 при
глобалните мрежи, използване на собствена, високоскоростна съобщителна среда,
възможност за осъществяване на групово и общодостъпно предаване, сравнително лесно
преконфигуриране и управление, стабилност при високо натоварване, относително ниска
цена. Локална мрежа не е точно дефинирано понятие. Можем да използваме следното
определение: Локалната мрежа е система за предаване на информация, която дава
възможност на независими цифрови устройства да комуникират помежду си на къси
разстояния и да използват общи ресурси.
Свързването на устройствата не означава, че те ще могат да работят заедно. За това е
необходим подходящ софтуер, който да поддържа ефективна връзка между различаващи се
системи.
25
Локалните мрежи могат да свързват не само ПК, а видео, телефонни и алармени
системи, машини с цифрово-програмно управление и всевъзможни устройства, които
изискват високоскоростен обмен на данни. Няколко локални мрежи могат да бъдат свързани
чрез локални или отдалечени връзки, за да образуват по-големи обединени мрежи.
Основните области на приложение на локалните мрежи са автоматизация на :
административна дейност;
производство;
финансовите и банковите системи;
търговия;
науката и образованието;
съвместното използване на програми, принтери, модеми;
изпращането на съобщения чрез електронна поща.
При внедряването на локалните мрежи се поставят две главни цели:
1) да се осигури стандартен начин за комуникация между цифрово обурудване,
изработено от различни производители;
2) да се даде възможност за стандартна комуникация между различни мрежи чрез
междумрежови адаптери
2.2. CaTV (Community Antenna Television)
Кабелните телевизионни мрежи осигуряват високоскоростен достъп до Internet.
Този достъп е равностоен на постоянно наета линия с висока скорост на предаване на
данни. Използваните технологии осигуряват връзка със скорост, достигаща до няколко
мегабита в секунда.
Кабелна телевизия е придобилото широко разпространение название на системата
за пренос на телевизионен сигнал през фиксиран коаксиален кабел (англ. Community
Antenna Television — CATV, букв. „Телевизия с обща антена“).
Традиционната кабелна телевизия работи с аналогови канали. С навлизането на
по-нови технологии, както и увеличеното търсене на все по-нови и по-комплексни
услуги от страна на потребителите, кабелните телевизии търпят съществени промени в
технологията за пренос. Първоначално еднопосочните канали, биват заменени с
двупосочни. Това е пряко следствие от изискването на цифровата телевизия (англ.
„digital TV“) за обратна връзка от клиента до централата.
26
Причината е, че се използват да се използва тази техонология са вече готовите
трасета на кабелните телевизии, без да се налага пълно преокабеляване. Тази услуга
позволява сравнително високоскоростен достъп до външни мрежи. Предимство на този
тип достъп е и възможността да се реализира „качество на услугата“ (англ. Quality of
Service —QoS), което на практика не може да се осигури до такава степен от другите
широко разпространени методи за достъп на крайния потребител до споделени ресурси
като Ethernet, xDSLи други. За основа на този вид достъп служи наборът от
спецификации DOCSIS — Data Over Cable System Interface Specification.
DOCSIS 1.0 покрива технологиите, които са достъпни в периода 1995–1996
година. През това време тя получава голямо разпространение в целия свят. DOCSIS 1.0 е
базата, на която са разработени следващите версии. Има възможност да поддържа
скорост 5Mbps .
DOCSIS 1.1 е втората фаза. Тя добавя гъвкавост в управлението, сигурност и
Quality-of-Service (QoS). Вече се позволява прилагане на услуги в реално време, като
телефония (VoIP), интерактивни игри и конферентни връзки. Има възможност да
поддържа скорост 10Mbps .
DOCSIS 2.0 предлага силно увеличен обратен канал (30Mbps), което позволява
използването на симетрични услуги (видео-конферентна връзка). Има възможност да
поддържа скорост 30Mbps
DOCSIS 3.0 e най – новата DOCSIS технология. Тя поддържа IPv6 . Може да
достигне скорости до 440 Mbps за download и 120 Mbps за upload.
2.2.1. Предлагани услуги от CaTV:
Високоскоростен достъп до Internet;
IP файлов трансфер
Връзки межди две локални мрежи, VPN комуникации;
Internet телефония;
Видеоконференции;
Видео по поръчка;
Интерактивна телевизия;
Пожароизвестяване;
VoIP
Игри и други услуги.
27
Голямо ограничение обаче за този вид услуги си остава преносната среда.
Споделените канали налагат ограничаване на скоростта на потребителите, като за един
обратен канал, разпределен между определен брой потребители, на този етап тя е около
10 Mbps (за QAM16 модулация) и 38–42 Mbps за прав канал при QAM256 модулация. В
този смисъл при този тип свързаност, се налага много стриктно разпределяне на
мрежовите ресурси. Този проблем обаче в голяма степен бива решен посредством
смесените оптично-коаксиални трасета.
2.3. Оптични мрежи (FTTH, FDDI)
Има два вида категории оптични мрежи:
PON (Passive Optical Network) е пасивна оптична мрежа, т.е. при изграждането и не
се използват активни комутатори, а пасивни оптични сплитери, които
„разклоняват“ предавания сигнал.
AON (Active Optical Networ) е активна оптична мрежа, т.е. при изграждането и се
използват рутери, комутатори и т.н.т.
Според анализаторите от Heavy Reading FTTH (fiber to the home) технологията
най-сетне се е наредила сред основните на световния операторски пазар и ще е главен
фактор за преобразуването на телеком средата през следващото десетилетие. Подобно на
клетъчните мрежи, тази технология ще окаже повлияе в дълбочина върху цялата верига от технологични производители през системни интегратори до мрежови оператори."
По настоящем медните мрежи за достъп са масово заменени от оптични.
В същото време конкуренцията кара компаниите да насочват клиентите си към
комплексни
пакети
от
услуги,
включващи
различни
видеоприложения,
което
задължително изисква мащабно разгръщане на оптични мрежи.
Оптиката до дома представлява огромна възможност за много оператори и
доставчици на оборудване. Чрез FTTH те могат да предложат на домакинствата не само
висока пропускателна способност и надеждност, но и възможност да доставят различни
пакети от скъпи услуги с добра печалба като видео с висока резолюция, споделяне на
снимки, дори защитено отдалечено съхранение на данни. Коя технология обаче да
изберат - пасивна или активна? Надолу ще се разгледа само на PON и FDDI
технологията.
28
ITU-T G.983 включва два варианта - APON (ATM Passive Optical Network) и
BPON (Broadband PON). Първият е ATM базирана пасивна мрежа, използвана основно за
бизнес приложения, използващи ATM пренос. Доработка на първата е BPON (Broadband
PON), като се добавя поддръжка за WDM(Wave Division Multiplexing). Досига скорости
655 Mbps за download и 155 за Upload.
ITU-T G.984 е стандартът за GPON (Gigabit PON), който също еволюира от
BPON. Поддържат се по-високи скорости, подобрена е сигурността, има избор между
няколко Layer 2 протоколи (ATM, GEM, Ethernet). GPON предоставя най-високи
параметри както по отношение на общата пропускателна способност, така и на
ефективното й използване с помощта на големи пакети с променлива големина.
Стандартите позволяват избор от няколко скоростни нива, но индустрията се е
обединила около 2,488 Gbps за канала към клиента (downstream) и 1,244 Gbps за
обратния (upstream) канал.
IEEE 802.3ah е името на стандарта за EPON или GEPON (Ethernet PON), който
използва технологията Ethernet за пренос на пакетни данни. Ethernet PON (EPON или
GEPON) стандартът е завършен през 2004 г. като част от проекта за Ethernet в "първата
миля". EPON използва стандартни 802.3 Ethernet рамки със симетрични нива на
предаване от 1 Gbps. EPON е приложим както за мрежи, предаващи предимно данни,
така и за пълнофункционални мрежи за пренос на глас, видео и данни. В началото на
2006 г. започна работата и по високоскоростния вариант на този стандарт - 10 Gbit/s
EPON (XEPON или 10-GEPON).
IEEE 802.3av е най-новият стандарт 10GEPON (10 Gigabit Ethernet PON) на IEEE
Task Force за 10 Gbps с обратна съвместимост с 802.3ah EPON. 10GigEPON ще бъде
базиран на технологията за компресирано предаване на светлинните лъчи по оптичните
влакна Wave Division Multiplexing (WDM).
Fiber Distributed Data Interface (FDDI)/ ANSI X3T9.5 се използва при 100-Mbps
предаване с управляващ маркер, като се използва двойна LAN мрежа с кръгова
топология. Преносната среда е оптичен кабел. Основното нещо което трябва да се знае
за този тип преносна медиа е, че е доста уязвима на външни физически влияния и има
доста малък радиус на огъване. FDDI се използва рядко за високоскоростен пренос на
информация и се ползва най – вече за гръбнак или основна преносна част за други
мрежи. Оптичните кабели позволяват пренос на данни на много по голямо разстояни в
срвнение с обикновените медни кабели. FDDI използва двойна пръстенна кръгова
29
архитектура като трафика в двата кръга се двиви в противоположни посоки. Двойките
пръстени се състоят от първичен и вторичен пръстен. При нормално предаване на данни
първичния пръстен се използва за предаване на данни а вторичния остава свободен.
Основната цел при използването на два пръстена е да осигури сигурен и стабилен пренос
на данни. На фигура 3 се представя архитектурата на този тип:
Фиг. 2.3: FDDI използва два пръстена с противоположни посоки на движение
3. Безжичен Internet
Терминът безжични връзки се свързва основно с мобилните
телефони. Едно от приложенията, в които е направен технологичен
пробив е създаването на безжичните комуникационни мрежи.
Използването на радиоканалите за връзка между устройствата, макар че не е ново
като изобретение, едва напоследък еволюира значително благодарение на широкото
разпространение на Internet, локалните и глобалните мрежи, свързващи много хора,
позволяващи да си разменят глас, видео и данни помежду си с високи скорости.
Развитието на безжичните комуникационни системи е обосновало необходимостта от
по-голяма свобода и удобство при изграждането на мрежи, необходимостта от лесното
включване на все по-бързо увеличаващия се брой на мобилни абонати, не желаещи да
търсят специални точки за включване към мрежата.
3.1. Безжичен Internet (Wi-Fi)
WiFi е революционна безжична технология за обединяване на компютри в мрежа
и/или връзка в Internet. С нея Internet става наистина мобилен и дава на потребителя
свобода за постоянна връзка както в рамките на една зона (стая, етаж, дом, заведение,
район), така и по целия свят. Повечето от новите преносими устройства вече се
30
произвеждат с вградено устройство за Wi-Fi. Ако вашето устойство няма Wi-Fi
устойство вече са достъпни и различни видове Wi Fi адаптери, съвместими със всеки
преносим компютър. Тези адаптери се предлагат или като PCMCIA карти, или като
външни устройства, които се включват към USB порта. Включването им е достатъчно
лесно и добре описано в инструкциите за ползване.
Wi-Fi е индустриално име за безжична мрежова комуникационна технология
(wireless LAN [WLAN]) отнасяща се към IEEE 802.11 фамилия безжични мрежови
стандарти. Понякога термина Wi-Fi е синоним на 802.11b, тъй като 802.11b е първият
стандарт от фамилията, който е получил широка популярност. Днес, Wi-Fi може да се
отнася за всеки от четери от най използвани стандарти 802.11a, 802.11b,802.11g и
802.11n :
802.11а – базиран на основата на 802.11, този вариант използва метода за пренос
на данни OFDM, според който те се предават паралелно, разбити на малки
блокове. При 802.11а скоростта може да достигне до 54 MBit/s при честоти от 5
GHz. Този стандарт е бил приет през 1999 г.
802.11b – също приет през 1999 г. 802.11b е може би най-известният стандарт за
безжична връзка, познат в момента. Това е вариантът, който въведе
маркетинговото означение Wi-Fi и все още се използва с голям успех. Един от
недостатъците на 802.11b е ниската честота, при която оперира – 2,4 GHz, и
затова е възможно да се получи интерференция с Bluetooth устройства или 2,4
GHz безжични телефони. Стандартът притежава номинална скорост от 11 MBit/s.
802.11g – подобрена версия на 802.11b, 802.11g е сертифициран да оперира при 54
MBit/s и 2,4 GHz работна честота. Новият стандарт притежава възможността да
работи в общо четири режима – два основни и задължителни и два допълнителни.
Предимствата са главно в наличието на съвместимост с 802.11a и 802.11b, но
ниската работна честота е съществен недостатък.
802.11n - 802.11n стандартът е одобрен на 11 септември 2009г. Спецификацията
на този стандарт, предложена от консорциума EWC (Enhanced Wireless
Consortium), предполага използване на нелицензирания в повечето страни
честотен диапазон от 2,4 и 5 GHz. Пропускателната способност на мрежата на
стандарта 802.11n теоретично може да достигне впечатляващите 600 Mbps. За
сравнение, в безжичната WiMAX мрежа могат да предават данни със скорост до
70 Мbps.
31
За съжаление, стандартът 802.11a не е съвместим с 802.11b/g, така Wi-Fi маркета
остава някак разделен.
3.2. Безжичен Internet Wi-Max (Worldwide Interoperability for Microwave
Access)
WiMAX е революционна технология за безжичен високоскоростен
пренос на данни, глас и видео на големи разстояния. Базирана на
стандарта IEEE 802.16, тя получава името WiMAX от WiMAX Forum през 2001 година,
когато е основан с цел популяризиране, поддържане и съвместимост на стандарта.
Технологията дава възможност да се изгради високоскоростна мрежа, която служи за за
предоставяне на разнообразни услуги като достъп до Internet, фиксирана телефонна
услуга, пренос на глас и данни, връзка между офиси, факс, градски и междуградски
виртуални частни мрежи, видеоинформация, мултимедийни приложения и други.
WiMAX услугите се считат за заместител на традиционните услуги, предоставяни чрез
LAN, кабелни модеми, оптика или DSL технология.
Стандартът IEEE 802.16 (Wi-Max) предвижда обхват на действие до 24 км (15
мили) при равнинен терен и дава възможност за свързаност на потребители без пряка
видимост от базовата станция. Технологията също предоставя възможност за споделени
скорости на връзка до 70 MBit/s, което е достатъчна ширина на лентата за едновременна
поддръжка на повече от 60 бизнес клиента с Т1 тип свързаност и още над хиляда
домашни потребители при аналогична на 1 MBit/s DSL тип свързаност.
Таблица 2.2. Wi-Max Технологията (стандарти)
Технология Стандарт Приложение
Скорост
Обсег
Честота
Wi-Max
802.16d Wi-MAN
до 75 Mbps (20 MHz BW) 7 – 10 км 11 GHz
Wi-Max
802.16e Mobile Wi-MAN до 30 Mbps (10 MHz BW) 1.5 – 5 км 2- 6 GHz
За разлика от мрежи, изградени на Етернет (т.н. LAN-доставчици) или
коаксиалните кабели на кабелните телевизионни оператори, WiMAX не е споделена
структура – всеки клиент на услуга има собствена, защитена и несподелена с друг
клиент връзка към мрежата на доставчика. WiMAX наподобява Wi-Fi мрежа, но, за
разлика от нея, покрива десетки километри, вместо стотици метри, като същевременно е
тотално устойчив на всякакви метеорологични условия и смущения. Друга нейна
характеристика е симетричността на връзката и гарантирания капацитет, които
32
позволяват ползването на разнообразие от комуникационни услуги едновременно, без
това да влошава качеството на някоя от тях. Освен това, за осъществяването на връзката
чрез WiMAX не е необходима пряка видимост, каквато е наложителна за Wi-Fi
системите. Това означава, че независимо от инфраструктурата на града (наличието на
високи сгради или дървета), технологията позволява непрекъсната и надеждна
свързаност.
4. VPN (Virtual Private Network)
Идеята на VPN е, като се използва Интернет, посредством тунелиране и/или
криптография да се създаде частна мрежа, т.е. да е достъпна само за ограничен брой
потребители. Това се явява много по-евтино решение, но то е свързано с известен риск,
тъй като частната комуникация се провежда в мрежова инфраструктура, която се
използва от много организации.
Тунелът, създаден в една VPN връзка, реално представлява само логическа връзка
от точка до точка, която поддържа автентикация и криптиране на данни от една крайна
точка на тунела до другата.
Има две големи групи VPN технологии така наречените Carrier и Enterprise
типове. Разликата между тях е следната:
4.1. Carrier
При Carrier типа, доставчика на телекомуникационната услуга се грижи да я
направи частна мрежа като може да използва свои технологии. Потребителя, не прави
нищо, за да съществува тази мрежа, не му е необходима специална конфигурация, не му
трябват специални устройства и не му трябва специален софтуер.
4.2. Enterprise
При Enterprise VPN технологиите, потребителя прави всичко, а доставчика на
телекомуникационни услуги обикновено дори не знае за това. Към тези технологии се
числят L2F (layer-2 forwarding), GRE (generic routing encapsulation), IPSEC (IP security protocol), PPTP (point-to-point tunneling protocol), L2TP (layer-2 tunneling protocol), SSL(Secure
Sockets Layer) тунели (Tunnels) и други.
33
Основно VPN е частна мрежа, която използва обществената мрежа (обикновено
Internet), за да се осъществи връзката. Всеки отдалечен потребител на една мрежа може
да комуникира защитено и надеждно, използвайки Internet като посредник, за да се
свърже с частната локална мрежа. Може да поддържа много потребители и различни
локации. VPN работи върху редица протоколи, като в различните случаи различни
имплементации могат да се окажат най-добри.
4.3. Видове VPN
Има два основни вида VPN:
Remote-access или Virtual Privet dial-up network (VPDN)
Site-to-Site.
Remote access или VPDN - Използва се от компании, чиито служители се
свързват с частната мрежа от различни отдалечени места. Предлага защитена и
криптирана връзка между частната мрежа на компанията и отдалечените потребители
чрез трети доставчик.
Site-to-Site
Може да бъде два типа:
Интранет базиран – Когато има няколко отдалечени офиса които трябва
да се свържат в мрежа.
Екстранет базиран
–
Когато дадена компания и неин партньор искат да
имат споделена среда.
4.4. Методи за защита на VPN мрежи
VPN използва няколко метода за да защити връзката и данните на потребителя.
Това са:
Защитна стена (Firewalls); - “Защитна стена” (Firewall) за VPN мрежите могат
да бъдат настроени да забраняват някои отворени портове, да се укаже какви
пакети да се прехвърлят и кои протоколи са разрешени. Преди да се инсталира
VPN трябва да има добре настроен firewall.
34
Кодиране (Encryption)- Кодиране (Encryption) - Това е процес при, който всички
данни които един компютъри изпраща към друг се кодират така, че приемащия
компютър да може да ги декодира. Най-разпространените категории са:
o Symmetric-key encryption – При тази категория всеки компютър има
ключ който се използва за кодиране на пакети от информация още преди тя
да се изпрати през мрежата до друг компютър. Тази категория изисква този
ключ да бъде инсталиран на всеки компютър с който ще се осъществява
комуникация, а също трябва да има и ключ с който данните ще бъдат
декодирани. Така предаваната информация е четима само за тези, които
притежават ключа
o Public-key encryption - При тази категория се използва комбинация от
персонален и публичен ключ. Персоналния ключ е известен само на
собствения ви компютър, докато публичния се предоставя от собствения ви
компютър на всеки друг който иска да комуникира защитено с него. За
декодиране на данните от приемащия компютър се използва публичния
ключ и неговия личен персонален ключ
IPSec (Internet Protocol Security Protocol) - IPSec (Internet Protocol Security Protocol) - Притежава по-добри кодиращи алгоритми и идентификация. Има два
метода на кодиране tunnel и transport. Tunnel кодира заглавието и съдържанието
на пакета данни, докато transport кодира само съдържанието. Това е най-сигурния
и най-използван протокол за изграждане на виртуална частна мрежа. Протоколът
е основан на TCP/IP. Възможно е пренасянето на всякакъв вид IP пакети с
изключение не multicast. Основно IPSec протокола капсулира пакет чрез
увиването на друг пакет около него и след това криптира целия пакет. Този
криптиран поток формира сигурен тунел през мрежата.
AAA Server – AAA (authentication, authorization and accounting) - AAA Server –
AAA (authentication, authorization and accounting) - Използват се за много позащитен достъп до Remote-access VPN. Когато от мрежата дойде заявка за
отваряне на сесия ААА проверява :
o Кой си ? – authentication;
o Какви права имаш ? – authorization ;
o Kакво правиш? – accounting.
35
4.5. Предимства и недостатъци на VPN мрежите:
VPN
мрежите
спестяват
разходите
за междуградски
разговори,
когато
отдалечените потребители се намират извън областта за набиране на локални
номера. Те изискват по-малко телефонни линии за осигуряване на отдалечен
достъп до множество потребители едновременно
VPN мрежите изискват по-малко хардуерно оборудване, например банки от
модеми
VPN мрежите, базирани на ISP, редуцират цените за администриране и обучение
VPN мрежите имат и недостатъци: и двата края на връзката трябва да имат
Internet връзка, за да изградят VPN, това може да бъде проблем, ако единият, или
двата края, имат ненадеждна връзка.
Друг недостатък на VPN мрежите е свързан с производителността. Добавянето на
VPN слой вероятно ще повлияе на производителността до известна степен.
Повечето сериозни проблеми на производителността се дължат на самата природа
на Internet. Често настъпват прекъсвания на достъпността от регионален, или
всеобщ характер, тежкият трафик може да предизвика забавяния и забивания на
системата, освен това, отделни Internet доставчици могат да се сблъскат с
изключвания на сървъри, които се отразяват на стотици потребители.
5 МРЕЖОВА ПРЕНОСНА СРЕДА
Мрежовата преносна среда служи за пренасяне на сигналите от едно мрежово
устройство към друго, като най-често срещаната преносна среда е кабелът, но
съществуват и форми на безжична връзка (радио вълни, лазерни и инфрачервени лъчи,
сателитни връзки и микровълни).
Видове преносни среди :Жични (Медна и Оптична) и Безжични
6 Основни видове кабели
Огромна част от съвременните мрежи са свързани с някакъв вид кабел, който
служи за среда за предаване на сигналите между компютрите. Има различни кабели за
различни цели и за различни по размер мрежи - от малка до голяма.
36
Окабеляването може да бъде доста сложно. Фирмата Belden, водещият
производител на кабели, разполага с каталог с повече от 2200 типа кабели. За щастие
само три основни групи от кабели се използват в повечето мрежи:
Коаксиални (coaxial)
С усукана двойка проводници (twisted-pair)
Неекраниран (unshielded) кабел с усукана двойка проводници.
Екраниран (shielded) кабел с усукана двойка проводници.
С оптични нишки (fiber-optic).
6.1.Коаксиален кабел
Някога коаксиалният кабел бе един от най-широко използваните мрежови кабели. За
това имаше редица причини. Той е относително евтин, лек, гъвкав и с него лесно се работи.
Популярността му се дължи и на това, че инсталирането му е сигурен и лесен процес.
Коаксиалният кабел е по-устойчив на смущения и заглъхване от кабела с усукана
двойка проводници. Заглъхването е загуба на силата на сигнала, възникваща при предаване
на сигнали по меден кабел на големи разстояния. Поради тази причина коаксиалният кабел е
добър вариант за надеждно изпращане на данни с висока скорост на дълги разстояния и с не
толкова сложно оборудване. Има два основни вида коаксиални кабели:
- Тънък (thinnet) коаксиален кабел
Тънкият коаксиален кабел (thinnet) е гъвкав кабел с дебелина около 0.25 инча.
Поради това че е гъвкав и с него лесно се работи, той може да се използва за инсталация на
почти всеки вид мрежа. Тънкият коаксиален кабел се свързва директно към мрежовите
адаптерни карти на компютрите.
Тънкият коаксиален кабел може да предава сигналите на разстояние до 185 метра без
да се получи заглъхване. (Почти не се използва)
- Дебелият (thicknet) коаксиален кабел
Дебелият коаксиален кабел (thicknet) е относително твърд кабел с дебелина около
0.5 инча. Той понякога се нарича Standard Ethernet, защото беше първият тип кабел,
използван за широкоразпространената мрежова архитектура Ethernet. Медният проводник е
по-дебел, отколкото при тънкия коаксиален кабел.
Колкото по дебел е проводникът, толкова по-далече кабелът може да пренася
сигнали. Това означава, че дебелият коаксиален кабел може да пренася сигналите на по-
37
големи разстояния от тънкия кабел - на около 500 метра (около 1640 фута). Поради тази
причина дебелият коаксиален кабел се използва като гръбнак (backbone) за свързване на
няколко по-малки мрежи, окабелени с тънък коаксиален кабел. (Почти не се използва)
Изборът на коаксиален кабел се основава на следните условия:
Физическа среда, по която ще се предават глас, видео и данни.
Реализация на предаване на данни на дълги разстояния, за които по-евтиното
окабеляване няма да свърши работа.
Позната технология, предлагаща разумно ниво на защита на данните.
6.2.Кабелът с усукана двойка проводници (twisted-pair)
В най-елементарния си вариант кабелът с усукана двойка проводници (twisted-pair) се
състои от два изолирани и взаимно усукани медни проводника. Има два вида кабели с
усукана двойка проводници:
неекранирани (unshielded twisted-pair - UTP)
екранирани (shielded twisted-pair - STP).
Фигура 2.4 Неекраниран кабел и екраниран кабел с усукана двойка проводници
Често няколко двойки (4 на брой) от усукани проводници са групирани заедно и са
поставени в обща защитна обвивка, оформяйки кабела. Броят на двойките проводници е
различен. Усукването на проводниците намалява (но не елиминира) външните шумове,
причинени от различни източници, като двигатели, релета, трансформатори и др.
6.2.1. Неекранирани усукана двойка проводници (unshielded twisted-pair - UTP)
UTP, използващ спецификацията lOBaseT, е най-популярният вид кабел с усукана
двойка проводници и бързо се превръща в най-широко разпространения тип окабеляване за
LAN. Максималната дължина на един сегмент е 100 метра или около 328 фута.
38
UTP се състои от два изолирани медни проводника. Има спецификации, които
определят колко двойки са разрешени за дължина на кабела от един фут. В Северна Америка
голяма част от телефонните системи използват UTP кабел, затова той е предварително
инсталиран в много офис сгради.
UTP кабелите се разделят на седем категории:
Cat 1. Традиционните UTP телефонни кабели, които могат да пренасят глас, но не и
данни. До 1983 г. повечето телефонни кабели бяха от Категория 1.
Cat 2. UTP кабели за предаване на данни със скорост до 4Mbps (мегабита в секунда).
Състоят се от четири усукани двойки.
Cat 3. UTP кабели за предаване на данни със скорост до lOMbps. Има четири усукани
двойки с по три усуквания на всеки фут.
Cat 4. UTP кабели за предаване на данни със скорост до 16Mbps. Състои се от
четири усукани двойки.
Cat 5. UTP кабели за предаване на данни със скорост до lOOMbps. Има четири усукани
двойки от медни проводници.
Cat 5e UTP- Използва се за Fast Ethernet и ATM (Asynchronous Transfer Mode) със
скорост 155 Mbps
Cat 6/7. UTP кабели е проектиран за извършване на честоти до 250 MHz и
предоставя висока производителност за по-добро предаване на данни със
скорости до 1000 Mbps Някои правилно инсталирана категория 6 кабел също ще
поддържат 10 Gigabit скорости, но вероятно с ограничения за дължината
Един от потенциалните проблеми за всички видове кабели е преплитането на
сигналите. Характерна особеност е, че преплитане (crosstalk) се получава, когато сигналът
от една линия се смесва с този от друга линия. UTP кабелът по принцип е податлив на
преплитане. За да се избегне този недостатък, се използва екранирането (shielding).
6.2.2 Екраниран кабел с усукана двойка проводници (shielded twisted-pair STP)
STP използва за обвивка медна оплетка, поради което е по-висококачествен и
надежден от UTP. При STP се използва и пластмасова обвивка между и около двойките
проводници. В резултат на това STP кабелът осигурява чудесна защита на предаваните данни
от външни смущения.
39
Тъй като STP е по-малко податлив на електрически смущения, той поддържа повисока скорост на предаване на данните на по-дълги разстояния, отколкото UTP.
6.3.Кабел с оптична нишка/влакно (fiber-optic cable)
При кабела с оптични нишки (fiber-optic cable) цифровите сигнали се пренасят от
оптичните нишки под формата на модулирани светлинни импулси. Това е относително
безопасен начин за изпращане на данни, защото по оптичния кабел не пътуват електрически
импулси. Това означава, че кабелите с оптични нишки не могат да бъдат "подслушвани", за
да се откраднат данни, което е възможно при всички видове медни кабели, пренасящи
електронни сигнали.
Кабелите с оптични нишки се характеризират с високоскоростно(понастоящем
скоростта е 1Gbps или 10 Gbps, но може да достига нива, по-високи от 40, 100 Gbps , даже
се работи по 160 Gbps), висококапацитетно предаване на данните, тъй като няма заглъхване
и сигналът е много чист. Предаваните по кабелите с оптични нишки сигнали не се влияят от
електрически смущения.
Кабелът с оптично влакно предлага много предимства пред обикновеният меден
проводник. Част от тези предимства са:
Скорост на трансфер на данните (до 10Gbps),
Разтояние на предаване на сигналите (максималната дължина на кабела
достига до 3000 м при използване на single-mode влакна)
Сигналът не се влияе от радиочестотни или електромагнитни смущения
Сигурност (нямаме електрически сигнали които могат да бъдат прихванати)
6.3.1. Многолъчев (multimode) оптичен кабел
Multimode влакната позволяват на няколко светлинни лъча да се придвижват
вътре във влакното. Понеже тези влакна влизат под различен ъгъл те ще пристигнат на
другия край на влакното по различно време.Тази характеристика е известна като лъчева
дисперсия. Тя обаче ограничава пропускателната способност и разстоянието за пренос
на данни при многолъчев оптичен кабел. Поради тази причина този тип кабел се
използва за по кратки разстияния, например между отделните офиси в една голяма
сграда.
40
6.3.2. Eднолъчев (single-mode) опитчен кабел
Single-mode влакната позволяват само на един лъч от светлина да се
разпространява вътре във влакното. Поради тази причина тука няма лъчева дисперсия.
От друга страна пък еднолъчевите оптични кабели позволяват пренос на много голеи
разстояния заради което също така се използва за свързващо звено между одетлни
мрежи.
Фиг.2.5: Многолъчев оптичен кабел
Фиг.6: Еднолъчев оптичен кабел
Kабел с оптични нишки се използват, ако:
Трябва да се предават данни с голяма скорост на дълги разстояния по много добре защитена
физическа среда.
Кабел с оптични нишки НЕ се използва , ако:
Бюджетът е ограничен (*Забележка: Цените на оптичните кабели са съизмерими с тези
на най-висококачествените медни кабели.)
Се нуждаете от необходимия опит, за да инсталирате и свържете устройствата към
него. (*Забележка: Работата с оптични кабели става все по-лесна. Техниките за
полиране и терминиране изискват все по-малко части и по-малък технически опит.)
6.3.3. Конектори за оптични влакна
Конекторите за оптични кабели са най-трудни за инсталиране, защото всяка
отделна нишка стъкло или пластмаса трябва да се подравни прецизно. След като се
подравнят, кабелът се свързва към конектора с нагорещено лепило, епоксидна смола или
анаеробно лепило.
Разнообразието е голямо за оптични конектори. Основните разлики между видове
съединители са размерите и методите на механични съединения. Организациите имат за
цел да стандартизират по един вид конектор в зависимост от това дали е Singlemode или
Multimode.
41
7.1.FDDI оптични влакна
FDDI използва кабел с оптични нишки за главно транспортна медиан но също
може да ползва медено окабеляване. FDDI използващо медена преносна среда се казва
Copper-Distributed Data Interface (CDDI). FDDI позволява 2 km разстояние между
станции използващи многолъчев(multimode) оптичен кабел и дори по дълги разстояния
при еднолъчев (single mode). Макар че стандартът на ANSI X3T9.5 определя скорост за
трансфер от 100 Мbps, съществуват и спецификации надграждащи типичният FDDI и
позволяващи далеч по-голяма скорост (1Gbps,10Gbps).
FDDI използва два типа оптични влакна: еднолъчев (single-mode) и многолъчев
(multimode).
8. WiFi vs WiMax
На практика Wi-Fi и WiMAX са две технологии със съвсем различна цел. Докато
Wi-Fi служи да улесни изграждането на локална домашна мрежа например, WiMAX
служи на фирмата, доставяща Internet до тази мрежа без при това да се налага
прокарването на скъпо окабеляване.
Свързването на компютрите в обща мрежа от много време насам е логичната
следваща стъпка в тяхната еволюция. Недостатък на това свързване обаче се явява
вездесъщото окабеляване, способно да се превърне в кошмар от вплетени един в друг
проводници. Алтернативата на този кошмар представлява безжичната Wi-Fi мрежа,
благодарение на която става възможно вързването на различните компютри в мрежа без
нужда от кабели и проводници. В последно време като наследник на Wi-Fi се сочи
WiMax, която предлага по-голям обхват, съчетан с по-висока скорост. Това всъщност
далеч не е така – WiMAX използва лицензирани честоти от платения спектър, които се
придобиват чрез даването им на търг. Логично тяхното използване се заплаща от Internet
доставчика и използването им единствено за изграждане на локална безжична мрежа е
неоправдано от икономическа гледна точка. На практика Wi-Fi и WiMAX са две
технологии със съвсем различна цел. Докато Wi-Fi служи да улесни изграждането на
локална домашна мрежа например, WiMAX служи на фирмата, доставяща Internet до
тази мрежа, за да извърши последната крачка, без при това да се налага прокарването на
скъпо окабеляване.
42
8.1. Какво се крие зад името Wi-Fi?
Безжичната компютърна мрежа обединява в себе си няколко стандарта, първият
от които съществува още от „далечната“ 1997 г. Целият пакет протоколи за безжична
комуникация носи името 802.11, като според различните поколения може да е вариант а,
b, g или n(едни от най използваните стандарти). Използваните за допълнително
означение букви логично обозначават следващото (по-усъвършенствано) ниво в
развитието на протокола независимо дали става въпрос за чисто хардуерен или
софтуерен ъпгрейд.
Първото поколение протокол за изграждане на безжична мрежа е обявен през
1997 г. от IEEE (Institute of Electrical and Electronics Engineers). Неговите спецификации
са следните: максимална дистанция на връзката до 20 метра в сграда и до 100 метра при
пряка видимост, средна скорост на трансфер 0.9 Mbit/s, максимална скорост на трансфер
2 Mbit/s, работна честота 2.4 GHz. Протоколът носи техническото наименование IEEE
802.11, а модулацията на сигнала става чрез използването на Orthogonal Frequency
Division Multiplexing (OFDM).
Предимствата на този метод са доста на брой, сред които по-основните са
следните: добра устойчивост на лош сигнал или наличие на силни смущения в
него;добра устойчивост на интерференция; ниска чувствителност към грешки във
времевата синхронизация на отделните пакети; възможност да се използва при честоти с
малък диапазон и др. Естествено OFDM си има и своите недостатъци, които всъщност са
в основата на това да се премине към по-усъвършенствани методи в WiMAX. На това се
дължи и един от най-големите недостатъци на WiFi като цяло – употребата на безжична
мрежа по време на движение с по-висока скорост е почти невъзможно, особено при
наличието на по-големи разстояния. В допълнение към това OFDМ също така е в силна
зависимост от честотната модулация на сигнала и при евентуални проблеми в нея
използването му става почти невъзможно. Опроводяването на приемника и неговата
антена при OFDM изискват доста сложни схеми, което води до още един сериозен
недостатък – лоша енергоефективност, което превръща 802.11a в неподходящ избор за
преносими компютри.
Алтернатива на OFDM се използва при 802.11b, където намира приложение друга
модулационна техника, принадлежаща към spread spectrum семейството – DirectSequence Spread Spectrum (DSSS).
43
Причината за въвеждането на DSSS се корени в променената работна честота на
ревизията – от 5 GHz тя е намалена до 2.4 GHz, което предизвиква проблеми с
интерференция на сигнала както от други уреди, използващи този спектър, така и от
сградите в градовете. За разлика от OFDM, DSSS се справя изключително успешно със
съвместяването на повече от един потребител в един и същ честотен канал, без при това
те да си пречат взаимно. Недостатък обаче се явява сравнително ниската скорост на
трансфер, дължаща се на принципа на действие на DSSS модулацията.
През 2003 г. IEEE предлага стандарта 802.11g. Новият протокол наследява същата
OFDM модулация на сигнала, но за разлика от 802.11a тук се използва съвсем друг
честотен спектър. Докато при стандарта 802.11а от 1999 г. работната честота е 5 GHz,
при 802.11g (а и 802.11b) тя е редуцирана до 2.4 GHz. Комбинирането на OFDM
модулационна технология с по-ниска честота на сигнала има като резултат максимална
скорост на трансфер на данните от около 54 Mbit/s, комбинирана с добра проникваща
способност на сигнала с честота 2.4 GHz.
8.1.1. WiFi 802.11n
Малко по-специално внимание ще бъде обърнато на една от ревизиите на WiFi,
носеща кодовото наименование 802.11n. Това допълнение към протокола за безжична
връзка все още не е изцяло стандартизирано, но това не пречи на производителите да го
вграждат и предлагат на своите клиенти. Последното се дължи на факта, че скоростта на
трансфер на 802.11n надхвърля значително досега достиганите нива от предишните
ревизии.
Тази впечатляващо по-висока скорост на трансфер се постига чрез употребата на
малко по-различна технология на предаване на данните, носеща името Multiple Input and
Multiple Output (MIMO). Тайната за постигането на значително повишената скорост на
трансфер се крие в използването на изцяло нов (макар и все пак стар като идея) начин за
изпращане на сигналите. При MIMO както за предаване на информацията, така и за
приемането й се използват антени, съставени от няколко елемента, всеки от които сам по
себе си действа като антена.
Благодарение на този метод технологията MIMO успява да се справи с проблема,
който дълго време е причиназа ниската скорост на безжичните мрежи – отразените от
стени и предмети сигнали. За да се преодолее той, е необходимо пакетите в сигнала да се
предават с по-ниска скорост, чрез което приемащият хардуер успява да разграничи и
44
декодира всеки пакет. Алтернативен вариант е добавянето на повече информация за
всеки от предадените пакети, по този начин гарантираме приемането му в отсрещния
край, тъй като имаме повече базови точки за сравнение на приетия пакет.
Независимо от избрания метод крайният резултат е сериозно снижаване на
скоростта на трансфер на полезната информация – нещо, с което MIMO и в частност
802.11n успяват да се справят отлично, демонстрирайки завидни скорости. Причината за
отделянето на толкова внимание на 802.11n и в частност на MIMO е, че същата тази
технология намира приложение за предаване на данни и в WiMax.
8.1.2. Антени за WLAN (Wireless local area network)
Макар че повечето от устройствата 802.11 и да разполагат с вътрешни антени, поголяма част от тях, особено точките за достъп, имат с възможност за включване на
външни антени. Използването на външни антени, позволява да се увеличи обхвата на
устройствата и да се стабилизира и усили приемания сигнал, като в крайна сметка
разстоянието между безжичните устройства може да достигне десетки километри.
Разбира се, с вътрешните антени е нереално да се очакват подобни разстояния, дори и
при пряка видимост между безжичните устройства. Използваните антени могат да бъдат
от няколко типа - от антени с тясни диаграми до кръгови (широконасочени) антени.
-
Тяснонасочената антена концентрира излъчването си в тясна диаграма,
осигуряваща
на по-далечно разстояние на връзка. Чрез нея се реализира
максимално разстояние между две крайни устройства. Съединението от тип
точка-точка, използва тяснонасочени антени, "прицелени" една в друга.
-
Кръговите антени подсигуряват по-голямо покритие, например, в рамките на
една сграда или по-голяма площ. Възможен е вариантът, когато станцията е
условен център се оборудвана с кръгова антена, а станциите около нея - с
насочени диаграми към централната антена. По този начин ще се получи
съединение точка - много точки.
8.2. Worldwide Interoperability for Microwave Access – WiMAX.
Макар доста производители да се опитват да представят WiMAX като бъдещето
на безжичната мрежа. На практика WiMAX се различава прекалено много от WiFi, за да
стане възможно посевместното му използване от много потребители. Разликите са не
45
само технологично в начина на предаване на сигнала, но също така в кодирането на
информацията, контрола на грешките и ауторизацията на всеки клиент.
При WiFi потребителите споделят общия ресурс на базата, към която са се
свързали, което означава, че ако даден клиент иска да изпрати или получи пакет, той
трябва да се съобразява с тези, изпратени или получени преди него, и да изчака своя ред.
За съжаление потребителите, намиращи се по-близо до базата, с която комуникират, ще
имат преимущество над тези, които са по-далеч, тъй като техните пакети ще пристигат
по-изчистени от гледна точка на наличието на грешки поради шум и смущения. Това ще
им дава приоритет над клиентите, намиращи се на по-голямо разстояние или в по-лоша
позиция от гледна точка на осъществяването на връзка.
WiMAX подхожда по съвсем различен начин към всеки потребител, свързал се с
базовата станция. Най-просто казано, станцията запазва собствен канал за всеки
потребител, който се е „закачил“ към нея, с което му осигурява сигурна връзка
независимо
от
разстоянието,
натовареността
или
метеорологичните
условия.
Благодарение на специални алгоритми точката за достъп може да понася значителни
натоварвания, без това да се отразява на качеството на връзката с отделните клиенти.
Що се отнася до последното, тези условия са от доста голямо значение при WiMAX, тъй
като за разлика от WiFi тук обхватът при определени условияможе да надхвърли дори
100 км.
В допълнение към тези разлики, стандартите WiMAX използват съвсем различни
честотни ленти – първоначално дефинираният 802.16 използва честоти в диапазона от 10
до 66 GHz. След 2004 г., стандарт 802.16а (802.16d), позволява употребата на честотни
ленти в областта от 2 до 11 GHz. Ревизия 802.16е добавя поддръжката на оrthogonal
frequency-division multiplexing (OFDM) технология, с което значително се понижава
интерференцията, улеснява се филтрацията на шум в сигнала, увеличава се енергийната
ефективност и т.н. Освен тези подобрения WiMAX превъзхожда WiFi и с някои други
свои характеристики: подобрена сигурност при комуникация, съчетана с увеличена
дистанция между тандема клиент–точка за достъп.
46
ГЛАВА III ПРОЕКТИРАНЕ И ОПТИМИЗИРАНЕ НА INTERNET МРЕЖА
ЗА ISP
Глобалната мрежа Internet има йерархична структура, т.е. тя е изградена от
подмрежи, които от своя страна също се състоят от по-малки мрежи и така докато се
стигне до всеки потребителски персонален компютър. На кратко: Internet се състои от
мрежи, които се различават по своята големина и функционално значение и които могат
да се разграничат по своите характеристики на отделни нива в структурата на Internet.
Ще започнем от най-горното ниво в йерархията на мрежата - гръбнака на Internet. Това
ниво е известно още с английското си наименование "Tier 1".
Основна характеристка на мрежите от първо ниво е, че те задължително трябва
да са свързани към всяка от другите мрежи в Tier 1 нивото, за да се осигури пълна
свързаност между потребителите на Internet от всички краища на света. Tier 1
операторите са точно 9 на брой. Това са предимно американски компании (има също
европейски и японски), които са изиграли съществена роля в първоначалното
изграждане на на континенталните и транс-континенталните оптични мрежи. Към тези
девет световни оператора се свързват други големи мрежи от Tier 2 ниво и местните
доставчици на Internet и т.н.. Tier 1 операторите имат споразумение за свързаност
помежду си (наречено "пиъринг"), което им гарантира достъп до всяка друга мрежа от
това ниво.
Фиг. 3.1. Internet Йерархия – Tier 1 , Tier 2 , Tier …
47
Доставчиците от второ ниво - Tier 2 са също големи мрежи, които обаче са
свързани с една или няколко от Tier 1 мрежите и им се налага да закупуват, т.н.
транзитен трафик, за да си осигурят свързаност с останалата част от Internet. Местните
ISP могат да се свържат директно към Tier 2 или Tier 1 мрежите. Често те също
препродават своя канал на други ISP, така че не може да се определи ясна граница
между тези нива в Internet йерархията. Описаната йерархична структура е от
пирамидален тип, започвайки с Tier 1 операторите на върха, минавайки през Tier 2 и
местните ISP, за да се стигне до всяка една потребителска локална мрежа.
1. Йерархичен мрежов модел на ISP (The Hierarchial Network model)
При изграждане на локална мрежа, която отговаря на нуждите на малкия и
средния бизнес, вашия план е по-вероятно да бъде успешен, ако за дизайн се използва
йерархичен модел. В сравнение с други мрежови проекти, йерархичната мрежа е полесна за управление и разширяване, както и проблемите се решават по-бързо.
Дизайна за йерархическият модел включва разделяне на мрежата в отделни
слойове.
Този модел се базира на модела на Cisco Systems за изграждане на глобални
(WAN) и кампус* мрежи. Състои се от 3 слоя. В йерархията “най-високо” стои опорния
слой (Core Layer), следва разпределителния (Distribution Layer) и слоя за достъп на
потребителските станции (Access Layer). Някъде може да се срещне като трислоен модел
на мрежата.
1.1. Опорен слой (Core layer)
Опорният слой (Core layer) на йерархиячния дизайн е високоскоростен Internet.
Счита се за гръбнак на мрежата. Той е връзката между Internet и Слой на разпределение
(Distribution Layer), затова скоростта там е най - бърза. Трябва да е в състояние да
изпраща много голями количества данни. Неговата цел е да се намали латентността на
време при предоставяне на пакети.
Кампус* мрежата е система от локални мрежи, свързани помежду си в произволна топология (всяка с всяка)
или в строга модулна йерархична структура.
48
1.2. Разпределитен слой (Distribution Layer)
Слоят на разпределение (Distribution Layer) събира получените данни от слой за
достъп преди да са предадени към ядрения слой и след това за крайната цел. Слоят на
разпределение контролира потока трафик използвайки политики и сканира broadcast
domains* като извършва маршутициони функции между виртуални VLANs (vitual
LANs) определени като слой за достъп. Виртуалните мрежи (VLANs) позволяват на
сегментите трафик да ги раздели на подмрежи.
1.3. Слой за достъп (Access layer)
Слоят на достъп (Access layer) включва крайните устройства, като компютри ,
принтери и IP телефони за предоставяне на достъп до останала част на мрежата. Слоят
на
достъп
може
да
включва
маршрутизатори(routers),
комутатори(switches),
мостове(bridges), хъбове(hubs), и безжични точки за достъп(wireless access points).
Основната цел на слой на достъпа е да се предвидят средства за свързване на устройства
към мрежата и контрол на устройства, които могат да общуват по мрежата.
фиг.3.2. Йерархичен мрежов модел.
*Broadcast domain е група от компютри обединeни логически в една мрежа. Характеризират се с едно и също мрежово ID
и една и съща мрежова маска.
49
1.4. Предимства на йерархичният модел
Лесна разширяемост
Дублиране на пътища
Добра производителност – връзките от по-горните нива са с по-голям капацитет.
Добра защитеност
Лесна управление – комутаторите от едно ниво имат еднакви финкции и се
конфигурират еднотипно.
Лесна подръжка
1.5. Принципи на йерархичният модел
При проектирането на оптимална йерархична мрежова топология е необходимо
да се отчетат няколко фактора и изисквания.
Диаметър на мрежата (Network diameter) – този параметър се явява мярка за
разстояние (в случая броя устройства), през които трябва да премине пакета преди да
достигне получателя. Поддържането на мрежата на малък диаметър гарантира малко и
предвидимо закъснение на пакета.
Bandwidth aggregation (сумарна честотна лента) - Всеки слой в йерархичният
модел е възможен кандидат за Bandwidth Aggregation. Bandwidth aggregation e
обединяване на трафика и проектиране на по-високоскоростни връзки към по горно
ниво. Link aggregation (обединяване на портове/връзки) позволява да се постигне по
висока скорост между комутаторите след като се обединят множество портовете.
Компанията Cisco e патентовала технологията Link Aggregation, наречена EtherChannel.
Фиг.3.3. Aggregation links, Network diameter и Redundancy links
50
Дублиране на пътища (Redundancy link) - Redundancy link e част създаване на
качествена мрежа. Осигурява се дублиране на пътищата. Дублирането на пътищата
позволява гарантиране на връзка при настъпване на повреда. Прилагането на
технологията „дублиране на пътища” (Redundancy links) би довела до оскъпяване на така
проектираната мрежа. От друга страна се дава възможност за резервен път, по който да
се предаде трафика (пакетите).
2. Топологична диаграма и основни видове топологии
Табл 3.1. Основни видове топологии
Звездообразна - характеризира се с наличие на многочислени възли,
които са свързани към централен възел (комутатор), осигуряващ
управление на потоците от данни. Позволява да се обработват големи
трафици от данни при опростено управление.
Дървовидна -явява се по същество развитие на звездообразната.
Характеризира се с йерархическо разпределение на множество централни
възли. Използва се в глобалните мрежи.
Шинна - множество възли са свързани чрез един общ канал. Намира
основно приложение в локалните мрежи и радиомрежите.
Кръгова - възли обединени в затворена система с управление
разпределено по всеки възел. Използват един общ канал. Намира
приложение в локалните мрежи.
Клетъчна - Всеки от възлите е свързан с останалите възли на мрежата.
Осигурява най-надеждния начин за предаване на данни, но е и найскъпата. Използва се в някои от транспортните мрежи (мрежи с
комутация на пакети Х25).
Интегрирана -включва мрежи с различни топологии. Типичен пример е
Интернет.
Топологическата диаграма е графично представяне на мрежовата инфрастуктура.
Топологичната диаграма показва как всички комутатори са свързани помежду си,
описвайки подробно кой портове са свързани в устройството. Топологичната диаграма
51
показва графично всички излишни пътища или обединени портове (aggregated ports),
които осигоряват гъвкавост и ефективност. Тя показва как и къде множество комутатори
се използват в мрежата, също така се определят техните конфигурации. Наличието на
топологична диаграма позволява визуално определяне на възможни затруднения на
трафика по мрежата.
Топологията на мрежата може да бъде много трудно сглобима визуално, ако това
не е направено още по време на процеса на проектиране. Мрежовите кабели изчезват в
подовете и таваните, което ги прави трудно проследими. И тъй като устройствата са
разпръснати в сградата е трудно да се разбере как всичко е свързано помежу си. И все
пак с много упоритост може да определи как всичко е свързано и тогава да
се
документира инфрастуктурата на мрежата в топологическа диаграма. Затова е добре
топологическата диаграма да се прави още по време на самия процес на проектиране или
преди да бъде започнат проекта .
Всяка фирма уважаваща себе си трябва да има топологична диаграма.
3. Междумрежови комуникации
При междумрежовите комуникации се налага съгласуване на хетерогенни мрежи
съставени от различни видове работни станции и сървари с различни операционни
системи, на които са инсталирани различни стекове от мрежови протоколи и приложни
програми.
За доставянето на пакет от един компютър до друг, пакетът преминава през
устройсва като : повторители, концентратори, модеми, мостове,
маршрутизатори,
комутатори и др.
За проектира на нашата йерархична мрежа за Internet доставчик , ще се спрем на
главно на комутатори и маршурутизатори, поради богата гама от възможности и
характеристики, които те притежават.
3.1. Комутатори (Switches)
Комутаторите се използват за свързване на няколко устройства в една мрежа в рамките
на сграда или кампус. Комутаторът е интелигентно устройство, което предоставя на
всеки мрежов компютър индивидуална
връзка с друг компютър от мрежата чрез
виртуална схема, като му осигурява определена ширина на лентата (скорост на
52
предаване). Един комутатор например може да се използва за свързване на компютри,
принтери и сървъри, създавайки мрежа със споделени ресурси. Комутаторът поддържа
списък от адреси на всички мрежови устройства - уникални числа за идентифициране на
хардуера, генерирани от мрежовия адаптер, които помагат да се разпредели трафика по
ефикасно. Така комутаторът функционира като контролер, позволяващ на различни
устройства да споделят информация и да комуникират помежду си.
Има два основни типа комутатори: с управление и без управление.
Комутаторите без управление могат да започнат работа веднага и в тях не можете
да правите промени. Домашните мрежи често включват комутатори без
управление.
Комутаторите с управление ви позволяват достъп за тяхното програмиране. Това
осигурява по-голяма гъвкавост, защото комутаторът може да се наблюдава и да се
настройва локално или дистанционно, за да контролира трафика по мрежата,
както и достъпа на потребителите до нея. Този тип комутатори осигуряват
възможност за дефиниране на виртуални локални мрежи (VLAN), при които
принадлежността на компютрите към дадената LAN не зависи от географското им
разположение.
Комутаторите се категоризират на базата на OSI (Open System Interconnection
Reference Model) слоя, на който те работят. Вече освен OSI Layer 2 и Layer 3 се срещат
OSI Layer 4-7 комутатори.
Таблица 3.2. Видове комутатори
Ниво OSI
Тип
Пояснение
Транспортно
Layer 4
Изгражда
Предназначение
база
приложенията
данни
и
на В
опорните
мрежи
за
техните определяне на качеството на
характеристики
услугите, контрол на достъп
и
разпределение
на
натоварването
Мрежово
Layer 3
Изгражда
база
данни
на Заместване
машрутизиращите протоколи
традиционните
машрутизатори
LAN-MAC
Layer 2
Изгражда база данни на MAC В локалните мрежи
адреси на базата на приеманите
пакети
53
на
Комутатори на трето ниво - улесняват администрирането и съкращават разходите
за поддържане на мрежата. При преместване и промяна на потребителите не е
необходимо да се указват портовете.
Комутатори на четвърто ниво - използват информацията от транспортния слой за
вземане на по-интелигентни решения при комутиране на 2-ри и 3-ти слой.
Комутаторите от тип Layer 3 и 4+ често се използват като синоними на рутер, но
самият термин комутатор е маркетингов термин, който няма строго техническо
определение.
Устройствата от нисък клас са почти идентични с мрежовите хъбове
(концентратори), но са малко „по-умни”, съответно и по-скъпи от последните.
Както и хъбовете, мрежовите комутатори се използват най-често в Ethernet
мрежите. Устройствата от среден клас поддържат скорости на предаване на данни 10/100
Mbit/s или 10/100/1000 Mbit/s. Големите комутатори могат да имат и 10 Gbit/s портове.
3.1.1. Основни характеристика на комутаторите
Какви са основните характеристики на комутаторите, които се използват в
йерархичните мрежи? Когато погледнем спецификациите на комутаторите, какво биха
означавали всички съкращения?
Табл.3.3. Основни характеристика на комутаторите
Характеристика
Портове
Портове за преход но
свързване
Порт за управление
RS 232 сериен порт
МАС адреси
Автоматично
определяне типа на
структурата
Гъстота на портове
Пояснение
Всички портове са с автоматично откриване на скоростта 10/100 Mbps.
Три бързи порта позволяват на кочутатора да се свързва към
два други сегмента и локален сървър, използвайки ATM,
Fast Ethernet, FDDI, Gigabit Ethernet
Поддържа конфигуриране и управление през Web браузър,
Windows конзола или SNMP (Simple Network Management
Protocol) агенти.
Използва се за диагностициране проблеми в хардуера.
Поддържа 1024 МАС адреса. МАС адресът е уникален
номер за идентификация на хардуера, който съответства на
всяко устройство в мрежата.
Независимо от използваната топология, комутаторът
автоматично определя вида на пакета.
Под гъстота на портове се разбира броят на портове в един
54
(Density ports)
Капацитет на
портовете (Forwarding
rates)
Обединяване на
портове/връзки (Link
Aggregation)
Захранване по Етернет
интерфейсен кабел
(Power over Ethernet,
PoE )Светодиодни
индикатори
комутатор.
Forwarding rates е капацитетът на всички портове взети
заедно. Например един комутатор ако има 24 порта по 1
Gb/s , то капацитетъ на комутатора ще е 24 Gb/s.
Link aggregation позволява да се постигне по висока скорост
между комутаторите след като се обединят множество
портовете. Cisco e патентовала технологията Link Aggregation, наречена EtherChannel.
PoE комутаторите могат да захранват PoE съвместими
устройства (безжични комутатори, IP телефони) през
интерфейсния кабел, като елиминират нуждата от
допълнително електрическо окабеляване.
Дават информация за трафика през мрежата, и състоянието
на портовете.
3.2. Mаршурутизатори
Маршрутизаторите (рутери) са устройства, които анализират информацията,
съдържаща се във всеки пакет и го изпращат по възможно най-късия път до неговото
местоназначение. Те свързват мрежи с различни протоколи и архитектури.
3.2.1. Основни принципи
Маршрутизаторите работят в мрежовия слой на OSI модела и могат да
маршрутизират пакета през много мрежи. Те правят това, като обменят
информация на ниво протоколи между различните мрежи.
Желателно е маршрутизаторите да се свързват само с други маршрутизиращи
устройсва.
Когато маршрутизаторите получат пакети, предназначени за отдалечена мрежа, те
ги изпращат към маршрутизатора, който обслужва тази мрежа.
Поддържат маршрутизираща таблица с адреси на мрежи. Таблицата съдържа
следната информация:
o
Всички известни адреси на мрежи.
o
Начина за организиране на връзка с другите мрежи.
o
Възможни пътища за до всяка от мрежите.
o
Цената на изпращане на данните по тези пътища.
55
Маршрутизаторът пропуска информация само, ако адресът на мрежата му е
известен. По този начин се намалява трафикът между мрежите.
Маршрутизаторът може да прослушва мрежата и да установява кои нейни части
са най-заети. Тази информация се използва, за да се определи по кой път да се
изпрати информацията.
Две мрежи, съединени с маршрутизатор, остават и физически, и логически
отделни мрежи. Протоколите от мрежовия слой имат собствена схема за адресиране,
различна от тази на протоколите от каналния слой. Всяка мрежа, свързана към
маршрутизатор, трябва да има логически идентификатор (мрежов адрес), различен от
индентификаторите на другите мрежи. Маршрутизаторите се делят на устройства от
висок, среден и нисък клас.
Маршрутизатори от висок клас- служат за обединяване на сложни
корпоративни мрежи. Те поддържат множество протоколи и интерфейси. Притежават
до 50 порта за локални или глобални мрежи..
Маршрутизатори от среден клас – формират по-малки мрежи – от мащабите на
предприятие. Стандартната конфигурация включва два-три порта за локална мрежа и от
четири до осем порта за глобални мрежи. Такива маршрутизатори поддържат найразпространените протоколи за маршрутизация и транспортни протоколи.
Маршрутизатори от нисък клас- предназначени са за локални мрежи на
подразделения. Обикновено включват един порт за локалната мрежа и два порта за
глобална мрежа(ниско скоростни арендовани линии или комутируеми съединения).
В зависимост от бизнеса и мрежовите планове, може да се изберат
маршрутизатори с различни възможности. Те могат да включват функции като:
Защитна стена: специализиран софтуер, който контролира входящите данни и
предпазва бизнес мрежата от атаки
Виртуална частна мрежа (VPN): осигуряват сигурен отдалечен достъп до мрежата
на служители.
Мрежа с IP телефони – осигурява съвместна работа на компютърната и
телефонната мрежа на фирмата, като се използват технологии за пренос на глас и
конферентни разговори
3.2.1. Основни характеристика на маршрутизатори
56
В табл. 3.4. са дадени основните характеристики на маршрутизатори, използвани
в йерархични мрежи .
Табл.3.4. Основни характеристика на маршрутизатори
Характеристика
Пояснение
WAN интерфейс
Притежава модулен слот за различни мрежови варианти - ISDN,
Frame Relay, Х25, комутируем модем 56 Кbps
Поддръжка на
множество
Като минимум маршрутизаторът поддържа ІРХ и ТСР/ІР. При
желание могат да се добавят и други протоколи.
протоколи
Сигурност
За гарантиране на сигурността се използват CHAP, PAP, RADIUS,
филтриране на адресите и обратно повикване.
флаш памет
Flash се използва за постоянно съхранение на операционната
(Flash memory)
система Cisco IOS. Може да бъдет изтривана и добавяна по нова или
стара версия.
SDRAM
Използва се съхранение на конфигурациите, рутиращите таблици и
други динамични структури.
Компресия
Поддържа схемите за компресиране на Ascend, Hi/fn, Microsoft
* IPX - Internetwork Packet Exchange; CHAP - Challenge-Handshake Authentication Protocol ; RADIUS - Remote Authentication Dial In User Service
3.3. Видове комутатори и маршрутизатори
Комутатори/маршрутизатори
Configuration
Switches/Router)
с
фиксирана
конфигурация
–Комутаторите/маршрутизатори
с
(Fixed
фиксирана
конфигурация, както и логично би следвало да е са с фиксирани хардуерни елементи.
Това означава, че не може да се добавят характеристики или опции освен тези които са
дошли първоначално с комутатора/маршрутизатори. Например ако се използва 24портов gigabit фиксиран комутатор, не могат да бъдат добавени допълнителни портове.
Обикновено са различни конфигурации и изборът варира от това колко и какви какви
видове портове има един комутатор.
Модулни
комутатори/маршрутизатори
(Modular
Switches/Router)
-
Модулните комутатори/маршрутизатори предлагат по голява гъвкавост в тяхната
конфигурация. Модулните комутатори/маршрутизатори обикновено са с различни
57
размери шаси (chassis), което дава възможност да се инсталират различни брой модулни
линейни карти(line cards). Линейните карти всъщност съдържа портове. Линейните карти
се слагат в комутаторините/маршрутизатори шаси, така както се слагат картите за
разширение (expansion cards) на компютъра. Колкото по голяма е една шаса, толкова
повече модули може да поддържа.
Свързване на комутатори в масив (Stackable Switches) –технологията се
изполозва само от комутатори. Stackable Switches могат да се свързват през специални
интерфейси посредством специални високоскоростни кабели (backplane) и да работят
като един комутатор. Cisco са разработили специална технология – CiscoWise, която
позволява стеково свързване на до 9 комутатора. Стековото свързване позволява на
комутаторите да работят като един голям комутатор. Така, например, 4 отделни 24портови комутатора могат да бъдат управлявани като един комутатор с 96 порта. Това
позволява да се опрости управлението и да се оптимизира информационният поток.
Свързване на комутатори в масив е хубаво да се използва, ако модулните комутатори са
прекалено скъпи.
3.4. Избор на комутатор/маршрутизатори за опорен слой и слой на
разпределение
Табл. 3.5. Избор на комутатор за опорен слой и разпределителен слой
Слой
Опорен слой
Слой на разпределение
Име на продукта
WS-C6503-E
WS-C4507R-E
Спецификации
Вид
Модулен
Модулен
Топология
Ethernet
Ethernet
Максимална гъстота на
10 GbE: 34
10GE
портовете
GbE: 104
GE (copper and SFP)
(Max.Port density)
10/100/1000: 97
244;
10/100: 192
58
Модули/Разширителни
3
7
Архитектура
Layer 2-7
Layer 2-4
DRAM (Динамична памет)
до 1GB
до 1GB
слотове
DHCP
да
да
Сигурност на портовете
да
да
Динамични VLANs
да
да
Частни VLANs
да
да
Списъците за контрол на
да
да
Kerberos
да
да
TACACS+
да
да
RADIUS
да
да
достъпа (L2-L4)
Поддържане на WAN
да
няма
интерфейси
Пропускателна способност 410 Mpps
210 Mpps
(Throughput)
Капацитет на портовете
720 Gbps
280 Gbps
Брой на VLANs
4096
4096
Гласови услуги
да
да
Поддържа IPv6
да
да
* DHCP -Dynamic Host Configuration Protocol; TACACS+ - Terminal Access Controller Access-Control System
Plus
3.6. Избор на комутатор/маршрутизатори за слой на достъп
Както при комутаторите Cisco предлага голяма гама от маршрутизатори за трите
слоя.
59
Предвид на притежаваните характеристики на комутатори и маршутизатори,
приложими в слой на достъп от йерархичния модел, са избрани за ползване серия
машрутизатори Cisco3800, Cisco 2800 и Cisco 1800.
Табл.3.6. Избор на маршрутизатори за слой на достъп
За Кабелна и VoIP
Продукти
мрежа
Име на продукта
За VPN мрежа
За безжична мрежа
CISCO2811
CISCO1801W
Cisco3825
Характеристики
Integrated Routed/WAN 2 10/100/1000
2 10/100
1 10/100 (18011803), 2 10/100
Ethernet
(1811, 1812)
8, до 88
до 32
8
високоскоростни
По избор ADSL и
По избор ADSL и
ADSL Annex A and
WAN интерфейсни
G.SHDSL HWICs,
G.SHDSL HWICs,
ADSL over POTS
карти
DOCSIS 2.0 HWICs, и DOCSIS 2.0 HWICs, и 3G (1801), ADSL Annex
10/100 Ethernet Switch
Ports
3G HWIC
HWIC
B (1802), G.SHDSL
(1803), and cable
ISDN Ports
BRI or PRI (По избор) BRI or PRI (По избор)
1 BRI (1801, 1802,
1803,1812)
Портове за аналогов
WIC or Network
WIC or Network Module
модем
Module (По избор)
(По избор)
Interface Card Slots
4
4 HWIC/WIC/VIC/VWIC
--
1 (1811)
HWIC/WIC/VIC/VWIC
Default/Max Flash
64/512 MB
64/256 MB
32/128 MB
Default/Max SDRAM
256/1024 MB
256/768 MB
128/384 MB
Gigabit Ethernet, SFP
1
По избор (HWIC)
-няма-
Да
Да,
Да
Port
Сигурност
IPSec and SSL VPN
60
VPN Technologies
Филтриране на URL
DM-VPN, GET VPN,
DM-VPN, GET VPN,
DM-VPN, GET VPN,
V3PN, с GRE, Easy
V3PN,с GRE, Easy VPN, и V3PN, с GRE, Easy
VPN, и Cisco IOS SSL Cisco IOS SSL VPN
VPN, и Cisco IOS
VPN
SSL VPN
Да
Да
Да
Поддържане на глас
Цифров глас
Да, до 480 обаждания Да, до 80 обаждания
----
Безжичен интернет (WLAN)
Интегриран 802.11
HWIC (По избор)
HWIC (По избор)
Да 1800W
Да
Да
Да
Да
Да, 160W
Да, 80W
a/b/g Access Point
RP-TNC Connectors for Да
Field-replaceable
Optional High-gain
Antennas
Разновидност от
Да
антени
Integrated Switching
Поддържане на PoE и Да, 360W
необходими W
*SFP Port SMP - Small Form-factor Pluggable Port ; V3PN - Voice and Video Virtual Private Network; IOS originally Internetwork Operating System ; HWIC - High-Speed WAN Interface Card ; WIC - WAN interface
card ; VIC- Voice Interface Card ; VWIC - Voice/WAN Interface Card
4. Защитна стена (Firewalls)
Сигурността и защитата на информационната мрежа вече е не само нова
технология, а и основен компонент от проектирането на компютърната мрежа.
Осигуряването на мощна среда за защита на комуникациите се превръща в бизнес
стандарт.
За да се осигури целостта на компютърната мрежа е нужно средствата за защита
да се вградят в нейната инфраструктура. Защитнисте стени се поставят между
устройства на опорният слой и Internet.
61
Фиг.3.4. Защитна стена PIX
Повечето мрежи са с оборудване от Cisco, което гарантира сигурност на мрежите
още в самото начало, а именно - при тяхното изграждане. Решенията на Cisco за защита
на компютърни системи и мрежи покриват всички изисквания, предявени към една
защитна стена (елементи на информационната сигурност) - идентификация, защита на
периметъра на мрежата, защита на връзките, следене на сигурността и управление на
политиката за сигурност.
Таблица 3.7. Кога да изберем Cisco PIX Firewall ?
Изисквания
Предимство на Cisco PIX Firewall
Специализирано
Предлага специализирано устройство за защита със собствен
устройство за защита
хардуер
и
операционна
система,
оптимизирани
за
функционалността на защитна стена
Масово приложение
Идеално решение за широко приложение с възможности за
избор на варианти - 506, 515, 525 и 535
Висока
Internet
активност
- четвърт милион едновременни връзки
- 1 Gbps пропускателна способност.
- мултимедийни протоколи
- криптиране
- голям брой потребители.
Автентикация
и Интегрира се с аутентикационни схеми TACACS+ и RADIUS
оторизация
чрез бързо прокси.
URL филтриране
В съчетание със софтуера WebSENSE на NetPartner може да
филтрира иуправлява достъпа до Internet сайтове
Фамилията защитни стени на Cisco включва Cisco PIX(Private Internet eXchange)
Firewall Series и Cisco IOS Firewall Feature Set. Тя осигурява не само централизирана
защита на мрежовия периметър, но превръща реализацията на политиката за сигурност в
неизменен компонент на самата мрежа.
62
4.1. Избор на защитна стена Cisco PIX (Private Internet eXchange)
Таблица 3.8. Избор на защитна стена Cisco PIX (Private Internet eXchange)
Модел
PIX 515е
PIX 525
PIX 535
Въведен през
2002
2000
2000
Процесор
Intel
Celeron Intel
Pentium
III IntelPentium
(Mendocino SL3BA)]
(Coppermine)
(Coppermine)
Скорост на процесора
433 MHz
600 MHz
1 GHz
RAM
64 (128) MB
128 (256) MB
512 (1024) MB
Boot flash device
Onboard
Onboard
ISA card & Onboard
Default flash
16 MB
16 MB
16 MB
5.2(x)
5.3(x)
8.x
8.x
6(10)
8(14)
10/100baseT
Няма
Минимална PIX ОС 5.1(x)
III
версия
Максимална PIX ОС 8.x
версия
Максимално
3(6)
интерфейси
Фиксирани вътрешни 10/100baseT
интерфейси
Фиксирани
външни 10/100baseT
10/100baseT
интерфейси
2
3
9
карти 1 port FE,
1 port FE,
1 port FE,
4 port FE,
4 port FE,
4 port FE,
1 port 1000baseSX
1port1000baseSX
1 port 1000baseSX
SSL не
не
Не
Поддържане на VPN да
да
Да
PCI slots
Разширителни
поддържат
Поддържане
на
VPN
ускурутел
5. Проектиране на ISP и въвеждането на устройствата в топологична
диаграма
Описание : Както беше споменато в III.2, докато мрежата е в процес на
проектиране или преди започване на проектирането е хубаво да се документира в
топологична диаграма. Тази диаграма ще бъде израдена в самото начало. За целата е
63
необходимо да се знае какви устройства, каква преносна среда ще се използва и какви
типове достъп ще реализира проектирания Internet доставчик на потребителите.
Може да се каже, че за изграждането на нашият Internet доставчик е използвана
хибридна топология, която включва топология дърво, топология звезда и топология
частично-свързан хиперкуб
Един Internet доставчик, трябва да си осигури Internet от минимум два Internet
доставчика от по горно ниво. Това се прави с цел за резервираност на връзката към
Интернет общността.
За изграждането на мрежате са избрани устройства от Таблица 3.5.,3.6.и 3.8.
Ще бъдат уточнени по колко устройства са необходимо за защитна стена, за
опорен слой , за слой на разпределение и за слой на достъп.
За защитна стена се използват две устойства PIX 535 (PIX-first, PIX-second).
В Опорен слой са заложени две устройства серия комутатори Cisco Catalyst 6500
модел WS-C6503-Е (6500-1 , 6500-2).
Разпределителният слой включва 4 устройства серия комутатори Cisco Catalyst
4500 модел WS-C4507R-E. Съответно 4500-1, 4500-2, 4500-3 и 4500-4.
Фиг. 3.5. Топологична диаграма на нашият Internet Доставчик
64
Изборът на два еднакви модела комутатори за опорен слой, НЕ означава, че
там може да има комутатори само от един модел. Това е направено с цел улеснение.
Същото важи за слой на разпределение и защитните стени.
Устойствата от слой на достъп са от серия маршрутизатори Cisco 3800, 2800 и 1800
(Модели 3825,2811,1801W). Маршрутизаторът Cisco 1801W (Wi-Fi) дава достъп до
инфраструктурата на доставчика за безжични потребители. Означенията Cable и VoIP
съответстват на маршрутизатори Cisco 3825, които реалзират дотъпа на потребители от
кабелата структура на доставчика и услугата предаване на глас по IP мрежа.
Маршрутизатор Cisco 28100 (VPN) ще подсигурява виртуалните частни мрежи.
За да се изгради тази мрежа трябва да се използва преносна среда на оптични
кабели, медни кабели и безжична връзка. Мрежата е разделена на 5 VLANs (Virtual
LAN) мрежи – office, wifi , cable, vpn и voice.
VLAN е логическо групиране на мрежови устройства или потребители.
Устройствата/потребителите могат да бъдат групирани по функция, отдел, приложение и
всичко останало, без значение от местоположението им. VLAN създава единичен
broadcast domain (виж. стр. 47), който не е ограничен чрез физическа сегментация, а поскоро прилича на подмрежа.
Използвани са 2 RADIUS сървъра за aвтентикация на потребителите.
Задължително е да има DNS сървър, но в нашият случай няма да го разглеждаме и
затова не е изобразен.
На изображението е показанo dmz зона, която също не се разглежда в дипломната
работа, но даден ISP, ако реши да слага сървъри, които да са достъпни за външните и
вътрешните потребители – точно там е мястото.
6. Aвтентификация, оторизация и осчетоводяване
(AAA - Authentication, Authorization, and Accounting)
Използването на сигурността на ниво потребител става все по популярно. Рядко
компютърните мрежи са предназначени да бъдат отворени за всички хора. В повечето
случаи се предоставя достъп само на някои (група) хора, а на други не. Например на
един сървър се стопанисва информация относно заплатата на работниците и тя трябва
да бъде достъпна само за отдел „ Човешки ресурси” и никой друг . Как да потвърдим, че
човек който има достъп до даните е упълномощен
65
за това? Това ниво на
администацията въз основа на потребителите или име на група е възможно чрез
автентификация, оторизация и осчетоводяване (AAA –анг.) .
Автентикацията (Кой си ? – authentication ) е проверка на идентичността, която
даден потребител, процес или машина твърдят, че имат. Следващите нива при контрола
на достъпа зависят от автентикацията. На базата на нея се извършва оторизацията, т.е
дават се права на точно дадената идентичност. Отчетността също няма да работи, без да
я има автентикацията. Нивото на автентикация, изисквано за дадена система, зависи от
изискванията засигурност, идващи от самата нея. Например публично достъпните уеб
сървъри могатда позволяват анонимен достъп, както и достъп за гости. Финансовите
транзакциитрябва да изискват много силна автентикация. Пример за слаба форма
наавтентикация е използването на IP адрес за определянето на идентичност Подмяната
или нелегалното използване на IP адреса може лесно да излъже този механизъм. Силната
форма на автентикация изисква поне два фактора за доказване на идентичността.
Оторизацията (Какви права имаш ? – authorization) е привилегията да се
разрешава достъпа до услуги или информация само за определени групи или личности.
За системи, които трябва да поддържат високо ниво на сигурност, нивото на достъп по
принцип трябва да бъде забранено за всички, като изключенията се добавят
допълнително. Дори и добавени допълнително, правилата за достъп трябва да са на
принципа на най-малкото, което е нужно на даден човек. За публични системи
оторизация може да се даде и на гости или анонимни потребители. Нужно е да се
определят изискванията ни за сигурност, за да се определят подходящите граници на
оторизация.
Отчетността(Kакво правиш ? – accounting) е записването на цялата мрежова
дейност и всички опити-успешни и неуспешни за достъп до мрежовите ресурси. Въпреки
че тази информация може да се използва за сметки и фактуриране, от гледна точка на
сигурността тя е най-важна за засичане, анализиране и реагиране на инциденти със
сигурността в мрежата. Системни логове, периодични прегледи и оценки на състоянието
на компонентите на мрежата, както и различните софтуери заедно могат да се използват
за следене какво се случва когато даден потребител се логне в системата.
Защитната стена PIX може да действа като ААА клиент. Такава защитна стена
(PIX) може да осигури AAA функционалност за административен достъп до самата
стена, както и за трафика преминаващ през защитната стена.
Съществуват много системи за мрежова автентикация. TACACS+ (Terminal
Access Controller Access System), Kerberos и RADIUS (Remote Access Dial In User Service)
66
са протоколи за автентикация, поддържани от Сиско. Тези системи за автентикация
могат да бъдат конфигурирани да изпозват много от примерите за установяване на
идентичността, посочени по-горе.
Основните протоколи които осигуряват стабилност, сигурна аутентификация и
гъвкавост на този метод са: TACACS+, RADIUS и Kerberos.
• Terminal Access Controller Access System Plus (TACACS+) – Процесите на
автентификация, оторизация и използване на определен акаунт са разделени в три
отделни функции. Тези услуги могат да бъдат независими една от друга или да
работят заедно. На пример Kerberos може да се използва за автентификация, а
TACACS+ оторизация и използване на определен акаунт.
• Remote Dial-In User Service (RADIUS) - RADIUS е отворен стандарт и е
имплементиран от много производители. Той може да бъде полезен във
хетерогенна мрежова среда заради
поддръжката,
която има от
много
производители
• Kerberos – може да се използва за мрежова автентификация и автентификация на
определен хост. Kerberos използва криптиране със симетричен кляч и съхранява
такъв ключ за всеки потребител от мрежата. Всеки потребител и мрежови ресурс
трябва да има Kerberos акаунт, използвайки всеки своя ключ за да гарантира
идентичността си. Паролите се съхраняват в отделен самостоятелен системен
ключ. Ако този ключ бъде по някакъв начин компроментиран всички пароли се
създават на ново.
67
ГЛАВА 4 АДМИНИСТРИРАНЕ НА МРЕЖА ЗА INTERNET ДОСТАВЧИК
1. Администиране на компютърна мрежа
Нормалното функциониране на компютърните мрежи (КМ) е пряко свързано с
процеса на тяхното администриране. Администрирането включва следните основни
дейности:
поддръжка
на
апаратно
и
програмно
осигуряване
на
сървъри
и
комуникационно оборудване, поддръжка на кабелната система на мрежата, контрол за
спазване правата на достъп до общи ресурси,
анализ на протоколирани събития в
мрежата, контрол поведението на отделни потребители, отстраняване на проблеми с
нормалното функциониране, подобряване работата на мрежата, нейното разширяване и
други.
Сложността и обемът на действията по администрирането се увеличават с
увеличаване броят на абонатите на КМ. Логическата структура на КМ също влияе
съществено на процеса на администрирането. При увеличаване броят на абонатите в КМ
с неподходяща логическа структура е възможно да се достигне до неизпълнение на
дейностите по администрирането, а оттам и до нарушаване работата на мрежата като
цяло. В международния стандат ISO са препоръчни следните видове администриране на
компютърните мрежи :
Администриране на локализирането, коригирането и възстановяване на грешките;
Администриране на ресурсите на мрежата
Администриране на конфигурирането на мрежата и потребителските акаунти;
Администриране на ефективността на мрежата
Администриране на защитата на информацията
2. Конфигуриране на рутиращи устройства
2.1. CISCO IOS (Internetwork Operating System)
Повечето устройства на Cisco System,
независимо от размера и вида на
устройството използват специализирана операционна система Cisco Internetwork
Operating System (IOS).
68
Операционната система на устройствата е от голямо значение за сигурността на
цялата мрежова инфраструктура. От версията на Cisco IOS зависи както възможностите
и услугите, които мрежовото устройство предлага, така и сигурността на цялата мрежа.
Колкото по-стара е операционната система по принцип, толкова повече открити
уязвимости и проблеми има в нея. Затова е важно винаги да се използва последната
излязла стабилна такава, на която да са приложени съответните „кръпки” по сигурността
(security patches).
Услугите предоставяни от Cisco IOS обикновено са достъпни с помощта на
команден интерфейс (CLI, Command line Interface) и за някои устройства с графичен
интерфейс (GUI,).
2.2. Конфигурациони файлове.
Конфигурационите параметри, с които работи рутиращото устройсво се зареждат
в RAM паметта и се съхраняват в текущ конфигурационен файл. Конфигурационите
параметри могат да се заредят от конфигурационен файл, който е записан в
енергонезависима памет на рутера (NVRAM), мрежов FTP (TFTP) сървър или от
командният интерфейс.
За да се съхранят в енергонезависима памет промените на
конфигурационните параметри е необходимо да се направи копие на текущата
конфигурация (running config) в т.н. стартираща конфигурация (startup config).
2.3. Режими на достъп на Cisco IOS
Операционната система на Cisco предлага няколко режима на работа:
Потребителски режим (User Executive Mode)
Привилeгирован режим ( Privileged EXEC Mode)
Глобален конфигурационен режим (Global configuration mode)
Специфични конфигурационни режими (Other specific configuration modes)
ROM Monitor
Потребителски режим –
чрез него могар да бъдат наблюдавани основните
функции на устройството, без да може да се променят конфигурациите му. Промптът,
който индицира този режим е „ > „ .
69
Привилегирован режим – Това е администраторски режим и e желателно да има
парола преди влизането в него. В този режим влизат само администраторите на
устройството. От този режим може да се копира работещата конфигурация в NVRAM
или обратно, може да се копира работещата конфигурация на TFTP сървър или да се
зареди конфигурация от TFTP сървър. Промптът, който индицира този режим е „ # ”
Фиг 4.1. Режими на достъп на Cisco IOS. Режимите са същите и за комутатори.
Глобален конфигурационен режим – Това е режим, в който администратора
може да конфигурира устройството. В този режим може да се настройват интерфейси,
задаване на маршутизиращи и маршрутизирани протоколи, създаване на списъци за
достъп и др. Промпта в този режим е “ (config) # “.
Специфични конфигурационни режими – той е допълнение на глобалният
режим, само че чрез него се конфигурират специфични области устройството. Промптът,
който индицира този режим е „ (config-*****) # „ , като символите „*” могат да заместят
различни думи if, subif, controller, map-list, map-class, line и др.
Един специфичен режим на работа се явява режима ROM monitor. Това е режим
на ниско ниво. Командите от този режим осигуряват възможността да се направи
диагностика на системата на ниско ниво. Също така може да се направи операция по
смяна на паролата, ако тя е забравена. Промптът, който индицира този режим е „ > „ .
като Потребителският режим.
70
3.Конфигуриране на нашата мрежа от фиг.3.5. в глава III точка 5
Таблица 4.1.Адресна таблица
Име на
устройство
Интерфейс
PIX-first
e0
e1
PIX-second
e2
e0
e1
6500-1
6500-2
4500-1
4500-2
4500-3
4500-4
Office1
Office2
wi-fi
cable
vpn
voice
RADIUS 1
RADIUS 2
e2
VLAN 33
VLAN 33
VLAN 33
VLAN 33
VLAN 33
VLAN 33
VLAN 33
VLAN 33
Fa0/0
Fa0/0
Fa0/0
Fa0/0
Fa0/21
Fa0/22
IP адрес
Маска
209.165.20.2
255.255.255.248
ВИЖ ТАБЛИЦА 11
ПОДИНТЕРФЕЙСИ
192.168.2.1
255.255.255.0
ВИЖ ТАБЛИЦА 11
ПОДИНТЕРФЕЙСИ
192.168.2.2
255.255.255.0
83.222.160.11
255.255.255.0
83.222.160.12
255.255.255.0
83.222.160.13
255.255.255.0
83.222.160.14
255.255.255.0
83.222.160.15
255.255.255.0
83.222.160.16
255.255.255.0
83.222.160.17
255.255.255.0
83.222.160.18
255.255.255.0
83.222.161.2
255.255.255.0
83.222.162.2
255.255.255.0
83.222.163.2
255.255.255.0
83.222.164.33
255.255.255.0
83.222.160.253
255.255.255.0
83.222.160.254
255.255.255.0
dmz
server
Uoffice66
Uoffice67
NIC
NIC
NIC
192.168.2.254
83.222.160.66
83.222.160.67
255.255.255.0
255.255.255.0
255.255.255.0
Шлюз
209.165.20.1
Няма
няма
няма
няма
83.222.160.1
83.222.160.1
83.222.160.1
83.222.160.1
83.222.160.1
83.222.160.1
83.222.160.1
83.222.160.1
83.222.161.1
83.222.162.1
83.222.163.1
83.222.164.1
83.222.160.1
83.222.160.1
192.168.2.1
192.168.2.1
192.168.2.1
192.168.2.1
83.222.160.1
83.222.160.1
Таблица 4.2. ПОДИНТЕРФЕЙСИ – PIX-first , PIX - second
Име на
устройство
Подинтерфейс
Назначение
Име на VLAN
IP адрес
PIX-first
e1.33
e1.10
e1.20
e1.30
e1.40
VLAN 33
VLAN 10
VLAN 20
VLAN 30
VLAN 40
Office
Wifi
Cable
Vpn
Voice
83.222.160.1/24
83.222.161.1/24
83.222.162.1/24
83.222.163.1/24
83.222.164.1/24
PIX-second
e1.33
e1.10
e1.20
e1.30
e1.40
VLAN 33
VLAN 10
VLAN 20
VLAN 30
VLAN 40
Office
Wifi
Cable
Vpn
Voice
83.222.160.*/24
83.222.161.*/24
83.222.162.*/24
83.222.163.*/24
83.222.164.*/24
71
Таблица 4.3.Интерфейси на устройствата от опорен, разпределитен и слой на достъп
Име на
Устройств
о
6500-1
6500-2
4500-1
4500-2
4500-3
4500-4
Портове
Група
Назначение
Мрежа
Gig0/1
Gig0/2
Fa0/6
Fa0/7
Fa0/8
няма
няма
1
1
1
802.1q trunk(native VLAN 33)
802.1q trunk(native VLAN 33)
802.1q trunk(native VLAN 33)
802.1q trunk(native VLAN 33)
802.1q trunk(native VLAN 33)
83.222.160.0/24
83.222.160.0/24
83.222.160.0/24
83.222.160.0/24
83.222.160.0/24
Fa0/2
2
802.1q trunk(native VLAN 33)
83.222.160.0/24
Fa0/3
2
802.1q trunk(native VLAN 33)
83.222.160.0/24
Gig0/1
Gig0/2
Fa0/6
Fa0/7
Fa0/8
Fa0/2
Fa0/3
Gig0/2
Fa0/6
Fa0/7
Fa0/8
Fa0/11
Fa0/12
Fa0/4
Gig0/2
Fa0/6
Fa0/7
Fa0/8
Fa0/2
Fa0/3
Fa0/11
Fa0/12
Gig0/2
Fa0/6
Fa0/7
Fa0/8
Fa0/2
Fa0/3
Fa0/4
Fa-/5
Gig0/2
Fa0/6
Fa0/7
Fa0/8
Fa0/2
Fa0/3
Fa0/4
Fa0/20
Fa0/1
няма
няма
1
1
1
2
2
няма
1
1
1
няма
няма
Няма
няма
1
1
1
2
2
няма
няма
няма
1
1
1
няма
няма
няма
няма
няма
1
1
1
2
2
няма
няма
няма
802.1q trunk(native VLAN 33)
802.1q trunk(native VLAN 33)
802.1q trunk(native VLAN 33)
802.1q trunk(native VLAN 33)
802.1q trunk(native VLAN 33)
802.1q trunk(native VLAN 33)
802.1q trunk(native VLAN 33)
802.1q trunk(native VLAN 33)
802.1q trunk(native VLAN 33)
802.1q trunk(native VLAN 33)
802.1q trunk(native VLAN 33)
802.1q trunk(native VLAN 33)
802.1q trunk(native VLAN 33)
VLAN 40 – voice
802.1q trunk(native VLAN 33)
802.1q trunk(native VLAN 33)
802.1q trunk(native VLAN 33)
802.1q trunk(native VLAN 33)
802.1q trunk(native VLAN 33)
802.1q trunk(native VLAN 33)
802.1q trunk(native VLAN 33)
802.1q trunk(native VLAN 33)
802.1q trunk(native VLAN 33)
802.1q trunk(native VLAN 33)
802.1q trunk(native VLAN 33)
802.1q trunk(native VLAN 33)
VLAN 10 – wifi
VLAN 20 – cable
VLAN 30 – vpn
VLAN 40 - voice
802.1q trunk(native VLAN 33)
802.1q trunk(native VLAN 33)
802.1q trunk(native VLAN 33)
802.1q trunk(native VLAN 33)
802.1q trunk(native VLAN 33)
802.1q trunk(native VLAN 33)
VLAN 20 - cable
VLAN 33 - office
802.1q trunk(native VLAN 33)
83.222.160.0/24
83.222.160.0/24
83.222.160.0/24
83.222.160.0/24
83.222.160.0/24
83.222.160.0/24
83.222.160.0/24
83.222.160.0/24
83.222.160.0/24
83.222.160.0/24
83.222.160.0/24
83.222.160.0/24
83.222.160.0/24
83.222.164.0/24
83.222.160.0/24
83.222.160.0/24
83.222.160.0/24
83.222.160.0/24
83.222.160.0/24
83.222.160.0/24
83.222.160.0/24
83.222.160.0/24
83.222.160.0/24
83.222.160.0/24
83.222.160.0/24
83.222.160.0/24
83.222.161.0/24
83.222.162.0/24
83.222.163.0/24
83.222.164.0/24
83.222.160.0/24
83.222.160.0/24
83.222.160.0/24
83.222.160.0/24
83.222.160.0/24
83.222.160.0/24
83.222.162.0/24
83.222.160.0/24
83.222.160.0/24
72
office1
оffice2
Fa1/1
Fa6/1
Fa7/1
Fa2/1
Fa8/1
Fa0/1
Fa1/1
Fa6/1
Fa7/1
Fa2/1
няма
1
1
няма
няма
няма
няма
1
1
няма
802.1q trunk(native VLAN 33)
802.1q trunk(native VLAN 33)
802.1q trunk(native VLAN 33)
VLAN 33 - office
VLAN 40 - voice
802.1q trunk(native VLAN 33)
802.1q trunk(native VLAN 33)
802.1q trunk(native VLAN 33)
802.1q trunk(native VLAN 33)
VLAN 33 - office
83.222.160.0/24
83.222.160.0/24
83.222.160.0/24
83.222.160.0/24
83.222.164.0/24
83.222.160.0/24
83.222.160.0/24
83.222.160.0/24
83.222.160.0/24
83.222.160.0/24
Таблица 4.4. VTP конфигурация
Име на устройство
6500-1
6500-2
4500-1
4500-2
4500-3
4500-4
office-1
office-2
VTP режим
Server
Client
Client
Client
Client
Client
Client
Client
VTP домейн
ISP
ISP
ISP
ISP
ISP
ISP
ISP
ISP
VTP парола
isp
isp
isp
isp
isp
isp
isp
isp
PIX (Private Internet eXchange)
НИВО НА СИГУРНОСТ (PIX)
Нивото на сигурност определя дали интерфейса е вътрешен (доверен) или е
външен (ненадежден) в сравнение с друг интерфейс. Интерфейс се счита за вътрешен
във връзка с друг интерфейс , ако неговото ниво на сигурност е най-високо от нивото на
сигурност на останалите интерфейси и се смята извън, ако има най-ниско ниво на
сигурност сравнение с другите интерфейси.
Основно правило за защитните нива е, че интерфейс с по високо ниво
на
сигурност имат достъп до интерфес с по-ниско ниво на сигурност. От друга страна,
един интерфейс с по-ниско ниво няма достъп до интерфейс с по–високо ниво на
сигурност без канал. Нивата на сигурност варират от 0 до 100:
Ниво на сигурност 100 е най-високото ниво на сигурност за вътрешният
интерфейс на защитната стена PIX. Това е настройка по подразбриране на PIX защитната
стена и не може да се промени. Тъй като 100 е най-доверен интерфейсно ниво за
сигурност, желаната корпоративна мрежа би следвало да се създаде зад този интерфейс.
Това е така, защото никой друг да не можа да го достигнем, освен ако не се даде
специално разрешение и така, че всяко устойство зад този интерфейс да има достъп
извън корпоративната мрежа.
73
Ниво на сигурност 0 е най-ниското ниво за сигурност за външният интерфейс на
защитната стена PIX. Това е настройка по подразбиране за PIX защитна стена и не може
да се промени. Тъй като 0 е най-ненадеждното интерфейсно ниво за сигурност, трябва
да се зададе най-ненадеждната мрежа зад този интерфейс. Този интерфейс обикновено се
използва за връзка с Интернет.
Сигуност на нива от 1-99 са нива за сигурност, които могат да се присвояват на
останлите интерфейси. Вие определяте нивото на сигурност в зависимост от вида на
достъп които искате всяко устройсто да има .
Демилитаризирана зона (demilitarized zone, DMZ) -
В тази зона се намират
сървъри, съдържащи информация, която е достъпна и за външните Компютърни мрежи.
Удачно е изграждането на локален Firewall за демилитаризираната зона, с което да се
постигне защитеност на намиращите се в нея ресурси. От практическа гледна точка в
защитената демилитаризирана зона най-често се разполагат публични WEB и FTP
сървъри, а локалния Firewall разрешава достъп единствено по http и ftp протоколи и/или
връзки по портове с номера 21 (ftp) и 80 (за http).
//Разрешаване на комуникацията между еднакви нива на сигурност (PIX)
По подразбиране 2 нива на сигурност с еднакво ниво на сигурно не могат да
комуникират. Ако искаме да комуникарт по между си, трябва да се въведе командата :
hostname(config)# same-security-traffic permit inter-interface
Конфигуриране на PIX-first (IOS Version 7.2)
//Смяна на името
pixfirewall#configure terminal
pixfirewall(config)#hostname PIX-first
//Конфигуриране на външен интерфейс е0
PIX-first (config)# interface ethernet0
PIX-first (config-if)# nameif outside
PIX-first (config-if)# security-level 0
PIX-first config-if)# ip address 209.165.20.2 255.255.255.248
PIX-first config-if)#no shutdown
//Конфигуриране на вътрешен интерфейс е1.33 за VLAN office
PIX-first (config)# interface ethernet1.33
PIX-first (config-if)#vlan 33
PIX-first (config-if)#nameif office
74
PIX-first (config-if)#security-level 100
PIX-first (config-if)#ip address 83.222.160.1 255.255.255.0
PIX-first (config-if)#no shutdown
//Конфигуриране на вътрешен интерфейс е1.10 за VLAN wifi
PIX-first (config)# interface ethernet1.10
PIX-first (config-if)#vlan 10
PIX-first (config-if)#nameif wifi
PIX-first (config-if)#security-level 100
PIX-first (config-if)#ip address 83.222.161.1 255.255.255.0
PIX-first (config-if)#no shutdown
//Конфигуриране на вътрешен интерфейс е1.20 за VLAN cable
PIX-first (config)# interface ethernet1.20
PIX-first (config-if)#vlan 10
PIX-first (config-if)#nameif cable
PIX-first (config-if)#security-level 100
PIX-first (config-if)#ip address 83.222.162.1 255.255.255.0
PIX-first (config-if)#no shutdown
//Конфигуриране на вътрешен интерфейс е1.30 за VLAN vpn
PIX-first (config)# interface ethernet1.30
PIX-first (config-if)#vlan 30
PIX-first (config-if)#nameif vpn
PIX-first (config-if)#security-level 100
PIX-first (config-if)#ip address 83.222.163.1 255.255.255.0
PIX-first (config-if)#no shutdown
//Конфигуриране на вътрешен интерфейс е1.40 за VLAN voice
PIX-first (config)# interface ethernet1.40
PIX-first (config-if)#vlan 40
PIX-first (config-if)#nameif voice
PIX-first (config-if)#security-level 100
PIX-first (config-if)#ip address 83.222.164.1 255.255.255.0
PIX-first (config-if)#no shutdown
//Конфигуриране на интерфейс е2- демилитаризирана зона
PIX-first (config)# interface ethernet2
PIX-first (config-if)# nameif dmz
PIX-first (config-if)# security-level 50
75
PIX-first (config-if)# ip address 192.168.2.1 255.255.255.0
PIX-first (config-if)#no shutdown
//Конфигуриране на SSH(Secure Shell) достъп
Стъпка 1 - За да се генерира двойка RSA ключ, който е необходим за SSH, се въвежда
следната команда :
hostname(config)# crypto key generate rsa modulus modulus_size
Пример : hostname(config)# crypto key generate rsa modulus 1024
modul_size (в битове) е 512,768, 1024 и 2048.
Стъпка 2 – За да се запише RSA ключ на флаш паметта, се използва следната команда
hostname(config)# write mem (за PIX)
Стъпка 3 – За да се идентифицира IP адреса, от който устойството за сигурност приема
конекциите , се въвежда следната команда
hostname(config)# ssh source_IP_address mask source_interface
Пример : hostname(config)# ssh 192.168.3.0 255.255.255.0 inside
Устройството за сигурност приема SSH конекции от всички интерфейси , включително
и с най ниско ниво на сигурност.
Стъпка 4 – За да се зададе продължителността на една SSH сесия се използва следната
команда :
PIX-first#configure terminal
PIX-first(config)# crypto key generate rsa modulus 1024
PIX-first(config)#ssh 83.222.160.0 255.255.255.0 office
PIX-first(config)#ssh 12.34.56.78 255.255.255.255 outside
PIX-first(config)#ssh timeout 34
По подразбиране SSH позволява и двете версии 1 и 2. Изборът на желаната версия се
задава чрез следната команда.
#ssh version version_number
Version_number може да бъде 1 или 2.
Преглеждането на получения резултат се извършва чрез:
PIX-first#show ssh
//Определяне на дата и час (Setting the Date and Time Manually)
Настройката на времето и датата ръчно се извършва чрез следната команда .
hostname# clock set hh:mm:ss {month day | day month} year ,
където hh:mm:ss определят час, минута и секунда.
PIX-first(config)#clock set 17:02:00 1 april 2010
76
PIX-first(config)#clock timezone UTC +2
По подразбиране часовата зонa е UTC(Coordinated Universal Time). Ако се промени
часовата зона след като е въведена командата clock set използвайки командата clock
timezone, времето автоматично се настройва към новата часова зона.
//Enable Password
Enable password позволява влизането в привиленгирован режим (privileged EXEC
Mode). По подразбиране enable password е празна. За да се смени enable password се
прилага следната команда :
PIX-first(config)# enable password Shumen
Паролата е чуствителна на малки и големи букви и може да съдържа до 16
символа. Символите могат да бъдат букви, цифри и специални симовили. Може да се
използва всеки знак в паролите с изключение на въпросителен знак и интервал .
//Смяна на входна парола (Changing the Login Password)
Паролата за вход(login)се изпозлва за Telnet и SSH конекции.
За смяна на паролата се използва следната команда :
PIX-first(config)# passwd shumen1
Може да се въведе командата passwd или password. Паролата е чуствителна на
малки и големи букви и може да съдържа до 16 символа.
//Въвеждане на потребителкса парола и Привиленгировото ниво( Setting a User
Password and Privilege Level)
Въвежда се командата username, за да зададате парола и ниво на привилегия за
потребителя:
Синтаксис :
hostname(config)# username name {nopassword | password password [encrypted]}
[privilege priv_level]
PIX-first(config)# username altansadak password cisco privilege 12
На мястото на запазената дума privilege можете да се зададе ниво на привилегия
за даден потребител. Привилегированите нива варират от 0(най нискаото) до 15(найвисокото). Системният администратор по принцип има най- високо ниво на привилегия.
По подразбиране нивото е 2.
//Конфигуриране на подразбиращ се маршрут (Configuring a Default Route)
77
При статичното маршрутизиране всички маршрути се задават от мрежовия
администратор. Този тип маршрутизиране се използва най–вече в малките мрежи, тъй
като всяка промяна в мрежата изисква ръчно модифициране на статичните маршрутни
таблици. Също така много често се използва за връзка между два Internet доставчика.
Синтаксис на комадата :
Firewall(config)# route if_name ip_address netmask gateway_ip [metric]
PIX-first(config)#route outside 0.0.0.0 0.0.0.0 209.165.20.1 1
Може да се напише и така :
PIX-first(config)#route outside 0 0 209.165.20.1 1
//Разрешаване на комуникацията между еднакви нива на сигурност
PIX-first(confgi)# same-security-traffic permit inter-interface
//Адресни транслации(Address Translation) и Контрол на достъпа(Access Control) за
PIX защитна стена за идващият трафик
NAT(Network Address Translation)
NAT се използват за скриване на вътрешните мрежови адреси. Външните мрежи
виждат само външния IP адрес на маршрутизатора. NAT е ефикасно средство за защита,
понеже силно затруднява атаките срещу защитаваните хостове.
Синтаксис на командата :
Firewall(config)# static (real_ifc,mapped_ifc) {mapped_ip | interface} {real_ip
[netmask mask]} [dns] [norandomseq] [[tcp] max_conns [emb_limit]] [udp
udp_max_conns]
PAT (Port Address Translation)
Преобразуването на номерата на портовете (Port address translation) е сходно с NAT.
При него във всички пакети от изходящия трафик реалният номер на порта е заменен с
друг номер. Идеята е да се елиминират външните атаки, извършвани по определен номер
на порт.
Синтаксис на командата :
Firewall(config)# static (real_ifc,mapped_ifc) {tcp | udp} {mapped_ip | interface}
mapped_port {real_ip real_port [netmask mask]} [dns] [norandomseq] [tcp
max_conns [emb_limit]] [udp udp_max_conns]
Контролен списък на достъпа (Access Control List ,ACL)
78
Стандартни списъци (Standart ACLs) –Стандартният достъп само ви
позволява да разрешите(permit) или да откажете(deny) трафик от определени
адреси. Предназначението на пакетите и портовете не са от значение .
Синтаксис на командата:
hostname(config)# access-list name standard [permit | deny] ip_addr mask
Разширени списъци (Extended ACLs) – Разширените IP ACL-и осигуряват
далеч по голяма гъвкавост при определяне на това, което трябва да бъде
филтрирано.
Синтаксис на командата :
hostname(config)# access-list name extended [permit | deny] protocol src_ip_addr
src_mask dst_ip_addr dst_mask
Прилагане на Контролен списък (Аccess List) за интерфейс
За прилагане на разширени контролни списъци за входящия или изходящия
посоки на трафика за даден интерфейс, се използва следната команда
:
hostname(config)# access-group access_list_name {in | out} interface interface_name [peruser-override]
Конфигуриране :
//outside -- dmz (трафика от outside към dmz трафик)
PIX-first(config)#static (dmz,outside) 209.165.20.3 192.168.2.254 netmask 255.255.255.255 0 0
PIX-first(config)#access-list outside2dmz_in permit tcp any host 209.165.20.3 eq www
PIX-first(config)#access-list outside2dmz_in permit tcp any host 209.165.20.3 eq ftp
//outside -- office(66,67,68 addresses),cable,wifi, vpn (трафика от outside към .... трафик)
PIX-first(config)# access-list outside2dmz_in extended deny ip 83.222.166.66
255.255.255.255 any
PIX-first(config)# access-list outside2dmz_in extended deny ip 83.222.166.67
255.255.255.255 any
PIX-first(config)# access-list outside2dmz_in extended deny ip 83.222.166.68
255.255.255.255 any
PIX-first(config)# access-list outside2 dmz_in extended permit ip any any
PIX-first(config)# access-group outside2dmz_in in interface outside
dmz-- office,cable,wifi,vpn (трафика от dmz към office,cable,wifi,vpn трафик)
PIX-first(config)#static (office,dmz) 83.222.160.0 83.222.160.0 netmask 255.255.255.0 0 0
PIX-first(config)#static(wifi,dmz) 83.222.161.0 83.222.161.0 netmask 255.255.255.0 0 0
79
PIX-first(config)#static (cable,dmz) 83.222.162.0 83.222.162.0 netmask 255.255.255.0 0 0
PIX-first(config)#static (vpn,dmz) 83.222.163.0 83.222.163.0 netmask 255.255.255.0 0 0
PIX-first(config)#static (voice,dmz) 83.222.164.0 83.222.164.0 netmask 255.255.255.0 0 0
PIX-first(config)#access-list dmz2in extended permit ip 192.168.2.0 255.255.255.0
83.222.160.0 255.255.255.0
PIX-first(config)#access-list dmz2in extended permit ip 192.168.2.0 255.255.255.0
83.222.161.0 255.255.255.0
PIX-first(config)#access-list dmz2in extended permit ip 192.168.2.0 255.255.255.0
83.222.162.0 255.255.255.0
PIX-first(config)#access-list dmz2in extended permit ip 192.168.2.0 255.255.255.0
83.222.163.0 255.255.255.0
PIX-first(config)#access-list dmz2in extended permit ip 192.168.2.0 255.255.255.0
83.222.164.0 255.255.255.0
PIX-first(config)#access-group dmz2in in interface dmz
dmz outside (трафика от dmz към outside трафик)
PIX-first(config)#nat (dmz) 1 192.168.2.0 255.255.255.0
PIX-first(config)#global (outside) 1 209.165.20.1-209.165.20.6
PIX-first(config)#global (outside) 1 209.165.20.7
Конфигуриране на PIX-second (IOS Version 7.2)
PIX-second се конфигурира по идентичен начин като PIX-first, само някъде някои
адреси трябва да се сменят
…
…
Конфигуриране на устройствата от опорен, разпределитен и слой на
достъп
//Основна конфигурация
Switch(config)#hostname 6500-1
6500-1(config)#enable secret ispshumen
6500-1(config)#line console 0
6500-1(config-line)#password ispshumen
6500-1(config-line)#login
6500-1(config-line)#line vty 0 10
6500-1(config-line)#password ispshumen
6500-1(config-line)#login
6500-1(config-line)#end
80
6500-1 (config)#ip default-gateway 83.222.160.1
По същият начин командата се въвежда на всички устройтва от йерархията, като
се различават името и паролите за достъп.
Конфигуриране на VLAN на устройствата от опорен, разпределителн и слой на достъп
//След като е активиран VTP протокола е нужно само на едно устройство да се
//дефинират VLAN-овете, Въвежда се име номер и име на VLAN
6500-1(config)#vlan 10
6500-1(config-vlan)#name wifi
6500-1(config-vlan)#exit
6500-1(config)#vlan 20
6500-1(config-vlan)#name cable
6500-1(config-vlan)#vlan 30
6500-1(config-vlan)#name vpn
6500-1(config-vlan)#vlan 33
6500-1(config-vlan)#name office
6500-1(config-vlan)#vlan 40
6500-1(config-vlan)#name voice
6500-1(config-vlan)#exit
Конфигуране на интерфейсите на устройство 6500-1
Native VLAN (роден VLAN) – Native VLAN се възлага на 802.1Q trunk
port(канален порт). 802.1Q trunk port поддържа трафик от много VLANs (маркиран
трафик) , както и трафик, който не идва от VLAN(немаркиран трафик). 802.1Q trunk port
слага немаркираният трафик във родния (native) VLAN. Немаркиран трафик се нарича
трафик без VLAN ID. Примери за немаркиран трафик са Cisco Discovery Protocol(CDP),VLAN Trunking Protocol (VTP) и определени типове гласов трафик
Какво е trunk(канал) ?
Трудно е да се опишат VLANs без да се спомени за VLAN канали.. Trunk е pointto- point връзка между един или повече Ethernet интерфейса на комутатора с други
мрежови устройсва, като например маршрутизатор, комутатор, дори и сървъри. Ethernet
trunk носи трафика на няколко VLANs по eдна връзка. Тази функция позволява
обединяване на няколко физически порта в един лигически.
81
Фигура 4.2. 802.1Q Trunk ( канал)
//Конфигуриране на gigabitEthernet 0/1, Конфигуриране на 802.1Q Trunk ( канал)
6500-1(config)#interface gigabitEthernet 0/1
6500-1(config-if)#switchport mode trunk
6500-1(config-if)#switchport trunk native vlan 33
6500-1(config-if)#exit
//Конфигуриране на gigabitEthernet 0/2, Конфигуриране на 802.1Q Trunk ( канал)
6500-1(config)#interface gigabitEthernet 0/2
6500-1(config-if)#switchport mode trunk
6500-1(config-if)#switchport trunk native vlan 33
6500-1(config-if)#exit
//Конфигуриране на EtherChannel (Aggregation links, Обединяване на портове) – Група
//1. Конфигуриране на trunking port и посочване на native VLAN
6500-1(config)#interface port-channel 1
6500-1(config-if)#exit
6500-1(config)#interface fastEthernet 0/6
6500-1(config-if)#channel-group 1 mode on
6500-1(config-if)#exit
6500-1(config)#interface fastEthernet 0/7
6500-1(config-if)#channel-group 1 mode on
6500-1(config-if)#exit
6500-1(config)#interface fastEthernet 0/8
6500-1(config-if)#channel-group 1 mode on
6500-1(config-if)#exit
6500-1(config)#interface port-channel 1
6500-1(config-if)#switchport mode trunk
6500-1(config-if)#switchport trunk native vlan 33
6500-1(config-if)#exit
//Конфигуриране на EtherChannel (Aggregation links, Обединяване на портове) – Група
//Конфигуриране на trunking port и посочване на native VLAN
6500-1(config)#interface port-channel 2
6500-1(config-if)#exit
6500-1(config)#interface fastEthernet 0/2
6500-1(config-if)#channel-group 2 mode on
6500-1(config)#interface fastEthernet 0/3
6500-1(config-if)#channel-group 2 mode on
6500-1(config)#interface port-channel 2
6500-1(config-if)#switchport mode trunk
6500-1(config-if)#switchport trunk native vlan 33
82
6500-1(config-if)#exit
//Посочване на native VLAN
6500-1(config)#interface fastEthernet 0/2
6500-1(config-if)#switchport trunk native vlan 33
6500-1(config-if)#interface fastEthernet 0/3
6500-1(config-if)#switchport trunk native vlan 33
6500-1(config-if)#interface fastEthernet 0/6
6500-1(config-if)#switchport trunk native vlan 33
6500-1(config-if)#interface fastEthernet 0/7
6500-1(config-if)#switchport trunk native vlan 33
6500-1(config-if)#interface fastEthernet 0/8
6500-1(config-if)#switchport trunk native vlan 33
6500-1(config-if)#exit
Конфигурирането на Trunk, EtherChannel и native портове на другите
устройства, т.е. 6500-1, 4500-1, 4500-2, 4500-3, 4500-4, оffice1, office2 става по
идентичен начин. Само някъде може да има разлика в някой интерфейс….
//Определяне на портове за VLANs на устройство 4500-3
4500-3(config)#interface fastEthernet 0/2
4500-3(config-if)#switchport mode access
4500-3(config-if)#switchport access vlan 10
4500-3(config-if)#exit
4500-3(config)#interface fastEthernet 0/3
4500-3(config-if)#switchport mode access
4500-3(config-if)#switchport access vlan 20
4500-3(config-if)#exit
4500-3(config)#interface fastEthernet 0/4
4500-3(config-if)#switchport mode access
4500-3(config-if)#switchport access vlan 30
4500-3(config-if)#exit
//Определяне на портове за VLANs на устройство office1
office1(config)#interface fastethernet 2/1
office1(config-if)#switchport mode access
office1(config-if)#switchport access vlan 33
office1(config-if)#exit
office1(config)#interface fastethernet 3/1
office1(config-if)#switchport mode access
office1(config-if)#switchport access vlan 33
office1(config-if)#exit
По идентичен начин се дефинират VLANs и за другите устройство office2или ако ще
се добавят още …
Конфигуриране на VOICE VLAN
4500-3(config)#interface fastEthernet 0/5
4500-3(config-if)#switchport voice vlan 40
4500-3(config-if)#mls qos trust cos
4500-3(config-if)#mls qos trust device cisco-phone
83
4500-3(config-if)#spanning-tree portfast
4500-3(config-if)#exit
По индентичен начин се дефинира и на устройство 4500-1 и устройство office1
само трябва да е на различен интерфейс
VTP и STP
VTP (VLAN Trunking Protocol) е управляващ протокол, чиято цел е да намали
повторението при конфигурирането на големи мрежи. Той служи за синхронизация на
броя и имената на VLAN-те в дадена мрежа. Идеята е тези параметри да бъдат въведени
само на един комутатор и те автоматично през този протокол да се появят в
конфигурациите на всички комутатори в мрежата (VTP domain).
STP (Spanning Tree Protocol ) протоколът е задължителен във всяка мрежа с
резервирани връзки. STP създава топология на слой 2 от OSI модела, в която да няма
цикли. Той прекъсва безкрайните зацикляния на пакети при резервирани (с повече от
едно трасе до различни точки) мрежи, като блокира определени портове. Такъв подход
за изграждане на мрежите е абсолютно задължителен в съвременните комуникации,
където бизнесът не търпи да има прекъсвания.
STP Стандарти/Видове
Таблица 4.5. STP Варианти
Собственост на CISCO
PVST (Per-VLAN spanning tree protocol)
PVST+ ( Per-VLAN spanning tree protocol plus)
Rapid-PVST+
IEEE - стандарти
RSTP (Rapid Spanning Tree Protocol)
MSTP (Multiple STP)
Конфигуриране : За да се използва протокола RSTP трябва да се въведе само командата
на всички устройсва :
******(config)#spanning-tree mode rapid-pvst
VTP Режими (Modes) – Комутатор може да бъде конфигуриран в един от следните 3
режима : server,client или transparent.
VTP Сървър (Server) – Снабдява другите комутатори във VTP домейна с
информация за VLAN. Върху него могат да се създават, премахват или
преименуват VLAN-ите в домейна.
84
VTP Клиент (Client) – VTP Client функционира по същият начин като VTP
Server, обаче не можете да се създават, премахват или преименуват VLAN-и. VTP
Client само съхранява VLAN информацията за целия домейн докато комутаторът
е включен. Рестартирането на комутатора изтрива VLAN информацията. Тогава
трябва пак да се конфигурира режим VTP clent на комутатора .
VTP Прозрачност(Transperent) – Пропуска VTP съобщенията, но не ги чете.
Работи само с локално конфигурираните VLAN-и.
//Конфигуриране на VTP на устройство 6500-1
6500-1(config)# vtp mode server
6500-1(config)#vtp domain ISP
6500-1(config)#vtp password isp
//Конфигуриране на VTP на устройствa 6500-2, 4500-[1,2,3,4],office[1,2]
******(config)# vtp mode client
******(config)#vtp password isp
//Конфигуриране на STP на устройсвo 6500-1
6500-1 (config)#spanning-tree mode rapid-pvst
6500-1 (config)#spanning-tree vlan 10,20,30,33,40,1001-1005 priority 4096
//Конфигуриране на STP на всички останали устройсва
****** (config)#spanning-tree mode rapid-pvst
//Конфигуриране на AAA на устройствата от РАЗПРЕДЕЛИТЕН слой (виж гл.III
т.8)
****** (config)#aaa new-model
****** (config)#aaa authentication login USERS group radius none
****** (config) #radius-server host 83.222.160.253 auth-port 1645 acct-port 1646
****** (config) #radius-server host 83.222.160.254 auth-port 1645 acct-port 1646
****** (config) #radius-server key ispshumen
****** (config)#aaa group server radius GR1
******
(config-sg radius)# server 83.222.160.253
******
(config-sg radius)# server 83.222.160.254
****** (config) #line vty 0 12
******(config-line) #login authentication USERS
Конфигуриране на политика(policy_shaping) с цел оптимизация на трафика
Командите за оптимизация на трафика се прилагат на всички устройства
от РАЗПРЕДЕЛИТЕЛЕН СЛОЙ.
85
Фиг. 4.3. Policy shaping
//Дефиниране на два time – range - за деня и за нощта
#time-range day
# periodic weekdays 7:00 to 20:00
#periodic weekends 7:00 to 20:00
#time-range night
# periodic weekdays 20:00 to 23:59
# periodic weekdays 00:00 to 7:00
#periodic weekend 20:00 to 23:59
#periodic weekend 00:00 to 7:00
Оптимизиране на HTTP и HTTPS трафика за всички VLANs
//дефиниране на трафик за ограничаване по скорост за през деня трафика е http //port 80 и 443 (VLAN office)
#ip access-list extended http_vlan_office_day_acl
#permit tcp any 83.222.160.0 0.0.0.255 eq www time-range day
#permit tcp any 83.222.160.0 0.0.0.255 eq 443 time-range day
#ip access-list extended http_vlan_office_night_acl
#permit tcp any 83.222.160.0 0.0.0.255 eq www time-range night
#permit tcp any 83.222.160.0 0.0.0.255 eq 443 time-range night
//дефиниране на клас за този тип трафик (през деня)
#class-map match-all http_vlan_office_day
#match access-group name http_vlan_office_day_acl
//дефиниране на клас за този тип трафик (през нощта)
#class-map match-all http_vlan_office_night
#match access-group name http_vlan_office_night_acl
//дефиниране на трафик за ограничаване по скорост за през деня трафика е http //port 80 и 443(VLAN wifi)
#ip access-list extended http_vlan_wifi_day_acl
#permit tcp any 83.222.161.0 0.0.0.255 eq www time-range day
#permit tcp any 83.222.161.0 0.0.0.255 eq 443 time-range day
#ip access-list extended http_vlan_wifi_night_acl
#permit tcp any 83.222.161.0 0.0.0.255 eq www time-range night
#permit tcp any 83.222.161.0 0.0.0.255 eq 443 time-range night
//дефиниране на клас за този тип трафик (през деня)
86
#class-map match-all http_vlan_wifi_day
#match access-group name http_vlan_wifi_day_acl
//дефиниране на клас за този тип трафик (през нощта)
#class-map match-all http_vlan_wifi_night
# match access-group name http_vlan_wifi_night_acl
//дефиниране на трафик за ограничаване по скорост за през деня трафика е http //port 80 и 443 (VLAN cable)
#ip access-list extended http_vlan_cable_day_acl
#permit tcp any 83.222.162.0 0.0.0.255 eq www time-range day
#permit tcp any 83.222.162.0 0.0.0.255 eq 443 time-range day
#ip access-list extended http_vlan_cable_night_acl
#permit tcp any 83.222.162.0 0.0.0.255 eq www time-range night
//дефиниране на клас за този тип трафик (през деня)
#class-map match-all http_vlan_cable_day
#match access-group name http_vlan_cable_day_acl
//дефиниране на клас за този тип трафик (през нощта)
#class-map match-all http_vlan_cable_night
#match access-group name http_vlan_cable_night_acl
//дефиниране на трафик за ограничаване по скорост за през деня трафика е http //port 80 и 443 (VLAN vpn)
#ip access-list extended http_vlan_vpn_day_acl
#permit tcp any 83.222.163.0 0.0.0.255 eq www time-range day
#permit tcp any 83.222.163.0 0.0.0.255 eq 443 time-range day
#ip access-list extended http_vlan_ vpn _night_acl
#permit tcp any 83.222.163.0 0.0.0.255 eq www time-range night
#permit tcp any 83.222.163.0 0.0.0.255 eq 443 time-range night
//дефиниране на клас за този тип трафик (през деня)
#class-map match-all http_vlan_vpn _day
# match access-group name http_vlan_vpn_day_acl
//дефиниране на клас за този тип трафик (през нощта)
#class-map match-all http_vlan_vpn_night
# match access-group name http_vlan_vpn_night_acl
//дефиниране на трафик за ограничаване по скорост за през деня трафика е http //port 80 и 433(VLAN voice)
#ip access-list extended http_vlan_voice_day_acl
#permit tcp any 83.222.164.0 0.0.0.255 eq www time-range day
#permit tcp any 83.222.164.0 0.0.0.255 eq 443 time-range day
#ip access-list extended http_vlan_voice _night_acl
#permit tcp any 83.222.164.0 0.0.0.255 eq www time-range night
#permit tcp any 83.222.164.0 0.0.0.255 eq 443 time-range night
//дефиниране на клас за този тип трафик (през деня)
#class-map match-all http_vlan_voice_day
# match access-group name http_vlan_voice_day_acl
//дефиниране на клас за този тип трафик (през нощта)
#class-map match-all http_vlan_voice_night
#match access-group name http_vlan_voice_night_acl
//дефиниране на политика за създадения клас трафик
#policy-map http_vlans_day
#class http_vlan_office_day
#bandwidth percent 5
87
#class http_vlan_wifi_day
#bandwidth percent 30
#class http_vlan_cable_day
# bandwidth percent 30
#class http_vlan_vpn_day
# bandwidth percent 10
#class http_vlan_voice_day
# bandwidth percent 15
==============================
#policy-map http_vlans_night
#class http_vlan_office_night
# bandwidth percent 2
# class http_vlan_wifi_night
# bandwidth percent 30
#class http_vlan_cable_night
#bandwidth percent 40
# class http_vlan_vpn_night
# bandwidth percent 8
#class http_vlan_voice_night
#bandwidth percent 10
Оптимизиране на FTPтрафика за всички VLANs
//дефиниране на трафик за ограничаване по скорост за през деня трафика е ftp - port
//21(VLAN office)
#ip access-list extended ftp_vlan_office_day_acl
#permit tcp any 83.222.160.0 0.0.0.255 eq ftp time-range day
#ip access-list extended ftp_vlan_office_night_acl
#permit tcp any 83.222.160.0 0.0.0.255 eq ftp time-range night
//дефиниране на клас за този тип трафик (през деня)
#class-map match-all ftp_vlan_office_day
#match access-group name ftp_vlan_office_day_acl
//дефиниране на клас за този тип трафик (през нощта)
#class-map match-all ftp_vlan_office_night
# match access-group name ftp_vlan_office_night_acl
//дефиниране на трафик за ограничаване по скорост за през деня трафика е ftp - port
//21(VLAN wifi)
#ip access-list extended ftp_vlan_wifi_day_acl
#permit tcp any 83.222.161.0 0.0.0.255 eq ftp time-range day
#ip access-list extended ftp_vlan_wifi_night_acl
#permit tcp any 83.222.161.0 0.0.0.255 eq ftp time-range night
//дефиниране на клас за този тип трафик (през деня)
#class-map match-all ftp_vlan_wifi_day
# match access-group name ftp_vlan_wifi_day_acl
//дефиниране на клас за този тип трафик (през нощта)
#class-map match-all ftp_vlan_wifi_night
#match access-group name ftp_vlan_wifi_night_acl
//дефиниране на трафик за ограничаване по скорост за през деня трафика е ftp - port
//21(VLAN cable)
#ip access-list extended ftp_vlan_cable_day_acl
#permit tcp any 83.222.162.0 0.0.0.255 eq ftp time-range day
88
#ip access-list extended ftp_vlan_cable_night_acl
#permit tcp any 83.222.162.0 0.0.0.255 eq ftp time-range night
//дефиниране на клас за този тип трафик (през деня)
#class-map match-all ftp_vlan_cable_day
#match access-group name ftp_vlan_cable_day_acl
//дефиниране на клас за този тип трафик (през нощта)
#class-map match-all ftp_vlan_cable_night
# match access-group name ftp_vlan_cable_night_acl
//дефиниране на трафик за ограничаване по скорост за през деня трафика е ftp - port
//21(VLAN vpn)
#ip access-list extended ftp_vlan_vpn_day_acl
#permit tcp any 83.222.163.0 0.0.0.255 eq ftp time-range day
#ip access-list extended ftp_vlan_ vpn _night_acl
#permit tcp any 83.222.163.0 0.0.0.255 eq ftp time-range night
//дефиниране на клас за този тип трафик (през деня)
#class-map match-all ftp_vlan_vpn _day
#match access-group name ftp_vlan_vpn_day_acl
//дефиниране на клас за този тип трафик (през нощта)
#class-map match-all ftp_vlan_vpn_night
# match access-group name ftp_vlan_vpn_night_acl
//дефиниране на трафик за ограничаване по скорост за през деня трафика е ftp - port
//21(VLAN voice)
#ip access-list extended ftp_vlan_voice_day_acl
#permit tcp any 83.222.164.0 0.0.0.255 eq ftp time-range day
#ip access-list extended ftp_vlan_voice _night_acl
#permit tcp any 83.222.164.0 0.0.0.255 eq ftp time-range night
//дефиниране на клас за този тип трафик (през деня)
#class-map match-all ftp_vlan_voice_day
# match access-group name ftp_vlan_voice_day_acl
//дефиниране на клас за този тип трафик (през нощта)
#class-map match-all ftp_vlan_voice_night
#match access-group name ftp_vlan_voice_night_acl
//дефиниране на политика за създадения клас трафик
#policy-map ftp_vlans_day
#class ftp_vlan_office_day
#bandwidth percent 15
#class ftp_vlan_wifi_day
#bandwidth percent 20
#class ftp_vlan_cable_day
# bandwidth percent 25
#class ftp_vlan_vpn_day
# bandwidth percent 20
#class ftp_vlan_voice_day
# bandwidth percent 10
==============================
#policy-map ftp_vlans_night
#class ftp_vlan_office_night
#bandwidth percent 20
# class ftp_vlan_wifi_night
#bandwidth percent 10
89
# class ftp_vlan_cable_night
#bandwidth percent 30
#class ftp_vlan_vpn_night
# bandwidth percent 25
#class ftp_vlan_voice_night
#bandwidth percent 5
Оптимизиране на email трафика за всички VLANs
//дефиниране на трафик за ограничаване по скорост за през деня трафика е email //port 25, 110, 143, 465, 993, 995(VLAN office)
#ip access-list extended email_vlan_office_day_acl
#permit tcp any 83.222.160.0 0.0.0.255 eq 25 time-range day
#permit tcp any 83.222.160.0 0.0.0.255 eq 110 time-range day
#permit tcp any 83.222.160.0 0.0.0.255 eq 143 time-range day
#permit tcp any 83.222.160.0 0.0.0.255 eq 465 time-range day
#permit tcp any 83.222.160.0 0.0.0.255 eq 993 time-range day
#permit tcp any 83.222.160.0 0.0.0.255 eq 995 time-range day
#ip access-list extended email_vlan_office_night_acl
#permit tcp any 83.222.160.0 0.0.0.255 eq 25 time-range night
#permit tcp any 83.222.160.0 0.0.0.255 eq 110 time-range night
#permit tcp any 83.222.160.0 0.0.0.255 eq 143 time-range night
#permit tcp any 83.222.160.0 0.0.0.255 eq 465 time-range night
#permit tcp any 83.222.160.0 0.0.0.255 eq 993 time-range night
#permit tcp any 83.222.160.0 0.0.0.255 eq 995 time-range night
//дефиниране на клас за този тип трафик (през деня)
#class-map match-all email_vlan_office_day
# match access-group name email_vlan_office_day_acl
//дефиниране на клас за този тип трафик (през нощта)
#class-map match-all email_vlan_office_night
#match access-group name email_vlan_office_night_acl
//дефиниране на трафик за ограничаване по скорост за през деня трафика е email //port 25, 110, 143, 465, 993, 995(VLAN wifi)
#ip access-list extended email_vlan_wifi_day_acl
#permit tcp any 83.222.161.0 0.0.0.255 eq 25 time-range day
#permit tcp any 83.222.161.0 0.0.0.255 eq 110 time-range day
#permit tcp any 83.222.161.0 0.0.0.255 eq 143 time-range day
#permit tcp any 83.222.161.0 0.0.0.255 eq 465 time-range day
#permit tcp any 83.222.161.0 0.0.0.255 eq 993 time-range day
#permit tcp any 83.222.161.0 0.0.0.255 eq 995 time-range day
#ip access-list extended email_vlan_wifi_night_acl
#permit tcp any 83.222.161.0 0.0.0.255 eq 25 time-range night
#permit tcp any 83.222.161.0 0.0.0.255 eq 110 time-range night
#permit tcp any 83.222.161.0 0.0.0.255 eq 143 time-range night
#permit tcp any 83.222.161.0 0.0.0.255 eq 465 time-range night
#permit tcp any 83.222.161.0 0.0.0.255 eq 993 time-range night
#permit tcp any 83.222.161.0 0.0.0.255 eq 995 time-range night
//дефиниране на клас за този тип трафик (през деня)
#class-map match-all email_vlan_wifi_day
# match access-group name email_vlan_wifi_day_acl
//дефиниране на клас за този тип трафик (през нощта)
90
#class-map match-all email_vlan_wifi_night
# match access-group name email_vlan_wifi_night_acl
//дефиниране на трафик за ограничаване по скорост за през деня трафика е email //port 25, 110, 143, 465, 993, 995(VLAN cable)
#ip access-list extended email_vlan_cable_day_acl
#permit tcp any 83.222.162.0 0.0.0.255 eq 25 time-range day
#permit tcp any 83.222.162.0 0.0.0.255 eq 110 time-range day
#permit tcp any 83.222.162.0 0.0.0.255 eq 143 time-range day
#permit tcp any 83.222.162.0 0.0.0.255 eq 465 time-range day
#permit tcp any 83.222.162.0 0.0.0.255 eq 993 time-range day
#permit tcp any 83.222.162.0 0.0.0.255 eq 995 time-range day
#ip access-list extended email_vlan_cable_night_acl
#permit tcp any 83.222.162.0 0.0.0.255 eq 25 time-range night
#permit tcp any 83.222.162.0 0.0.0.255 eq 110 time-range night
#permit tcp any 83.222.162.0 0.0.0.255 eq 143 time-range night
#permit tcp any 83.222.162.0 0.0.0.255 eq 465 time-range night
#permit tcp any 83.222.162.0 0.0.0.255 eq 993 time-range night
#permit tcp any 83.222.162.0 0.0.0.255 eq 995 time-range night
//дефиниране на клас за този тип трафик (през деня)
#class-map match-all email_vlan_cable_day
# match access-group name email_vlan_cable_day_acl
//дефиниране на клас за този тип трафик (през нощта)
#class-map match-all email_vlan_cable_night
# match access-group name email_vlan_cable_night_acl
//дефиниране на трафик за ограничаване по скорост за през деня трафика е email //port 25, 110, 143, 465, 993, 995(VLAN vpn)
#ip access-list extended email_vlan_vpn_day_acl
#permit tcp any 83.222.163.0 0.0.0.255 eq 25 time-range day
#permit tcp any 83.222.163.0 0.0.0.255 eq 110 time-range day
#permit tcp any 83.222.163.0 0.0.0.255 eq 143 time-range day
#permit tcp any 83.222.163.0 0.0.0.255 eq 465 time-range day
#permit tcp any 83.222.163.0 0.0.0.255 eq 993 time-range day
#permit tcp any 83.222.163.0 0.0.0.255 eq 995 time-range day
#ip access-list extended email_vlan_ vpn _night_acl
#permit tcp any 83.222.163.0 0.0.0.255 eq 25 time-range night
#permit tcp any 83.222.163.0 0.0.0.255 eq 110 time-range night
#permit tcp any 83.222.163.0 0.0.0.255 eq 143 time-range night
#permit tcp any 83.222.163.0 0.0.0.255 eq 465 time-range night
#permit tcp any 83.222.163.0 0.0.0.255 eq 993 time-range night
#permit tcp any 83.222.163.0 0.0.0.255 eq 995 time-range night
//дефиниране на клас за този тип трафик (през деня)
#class-map match-all email_vlan_vpn _day
# match access-group name email_vlan_vpn_day_acl
//дефиниране на клас за този тип трафик (през нощта)
#class-map match-all email_vlan_vpn_night
#match access-group name email_vlan_vpn_night_acl
//дефиниране на трафик за ограничаване по скорост за през деня трафика е email //port 25, 110, 143, 465, 993, 995(VLAN voice)
#ip access-list extended email_vlan_voice_day_acl
#permit tcp any 83.222.164.0 0.0.0.255 eq 25 time-range day
91
#permit tcp any 83.222.164.0 0.0.0.255 eq 110 time-range day
#permit tcp any 83.222.164.0 0.0.0.255 eq 143 time-range day
#permit tcp any 83.222.164.0 0.0.0.255 eq 465 time-range day
#permit tcp any 83.222.164.0 0.0.0.255 eq 993 time-range day
#permit tcp any 83.222.164.0 0.0.0.255 eq 995 time-range day
#ip access-list extended email_vlan_voice _night_acl
#permit tcp any 83.222.164.0 0.0.0.255 eq 25 time-range night
#permit tcp any 83.222.164.0 0.0.0.255 eq 110 time-range night
#permit tcp any 83.222.164.0 0.0.0.255 eq 143 time-range night
#permit tcp any 83.222.164.0 0.0.0.255 eq 465 time-range night
#permit tcp any 83.222.164.0 0.0.0.255 eq 993 time-range night
#permit tcp any 83.222.164.0 0.0.0.255 eq 995 time-range night
//дефиниране на клас за този тип трафик (през деня)
#class-map match-all email_vlan_voice_day
# match access-group name email_vlan_voice_day_acl
//дефиниране на клас за този тип трафик (през нощта)
#class-map match-all email_vlan_voice_night
#match access-group name email_vlan_voice_night_acl
//дефиниране на политика за създадения клас трафик
#policy-map email_vlans_day
#class email_vlan_office_day
#bandwidth percent 10
# class email_vlan_wifi_day
# bandwidth percent 20
#class email_vlan_cable_day
# bandwidth percent 20
#class email_vlan_vpn_day
#bandwidth percent 30
#class email_vlan_voice_day
# bandwidth percent 10
==============================
#policy-map email_vlans_night
#class email_vlan_office_night
# bandwidth percent 5
# class email_vlan_wifi_night
# bandwidth percent 15
# class email_vlan_cable_night
#bandwidth percent 25
#class email_vlan_vpn_night
#bandwidth percent 35
# class email_vlan_voice_night
# bandwidth percent 15
Оптимизиране на MySQL трафика за всички VLANs
//дефиниране на трафик за ограничаване по скорост за през деня трафика е mysql //port 3306(VLAN office)
#ip access-list extended mysql_vlan_office_day_acl
#permit tcp any 83.222.160.0 0.0.0.255 eq 3306 time-range day
#ip access-list extended mysql_vlan_office_night_acl
#permit tcp any 83.222.160.0 0.0.0.255 eq 3306 time-range night
//дефиниране на клас за този тип трафик (през деня)
92
#class-map match-all mysql_vlan_office_day
#match access-group name mysql_vlan_office_day_acl
//дефиниране на клас за този тип трафик (през нощта)
#class-map match-all mysql_vlan_office_night
# match access-group name mysql_vlan_office_night_acl
//дефиниране на трафик за ограничаване по скорост за през деня трафика е mysql //port 3306 (VLAN wifi)
#ip access-list extended mysql_vlan_wifi_day_acl
#permit tcp any 83.222.161.0 0.0.0.255 eq 3306 time-range day
#ip access-list extended mysql_vlan_wifi_night_acl
#permit tcp any 83.222.161.0 0.0.0.255 eq 3306 time-range night
//дефиниране на клас за този тип трафик (през деня)
#class-map match-all mysql_vlan_wifi_day
#match access-group name mysql_vlan_wifi_day_acl
//дефиниране на клас за този тип трафик (през нощта)
#class-map match-all mysql_vlan_wifi_night
#match access-group name mysql_vlan_wifi_night_acl
//дефиниране на трафик за ограничаване по скорост за през деня трафика е mysql //port 3306(cable)
#ip access-list extended mysql_vlan_cable_day_acl
#permit tcp any 83.222.162.0 0.0.0.255 eq 3306 time-range day
#ip access-list extended mysql_vlan_cable_night_acl
#permit tcp any 83.222.162.0 0.0.0.255 eq 3306 time-range night
//дефиниране на клас за този тип трафик (през деня)
#class-map match-all mysql_vlan_cable_day
# match access-group name mysql_vlan_cable_day_acl
//дефиниране на клас за този тип трафик (през нощта)
#class-map match-all mysql_vlan_cable_night
#match access-group name mysql_vlan_cable_night_acl
//дефиниране на трафик за ограничаване по скорост за през деня трафика е mysql port 3306 (VLAN vpn)
#ip access-list extended mysql_vlan_vpn_day_acl
#permit tcp any 83.222.163.0 0.0.0.255 eq 3306 time-range day
#ip access-list extended mysql_vlan_ vpn _night_acl
#permit tcp any 83.222.163.0 0.0.0.255 eq 3306 time-range night
//дефиниране на клас за този тип трафик (през деня)
#class-map match-all mysql_vlan_vpn _day
# match access-group name mysql_vlan_vpn_day_acl
//дефиниране на клас за този тип трафик (през нощта)
#class-map match-all mysql_vlan_vpn_night
# match access-group name mysql_vlan_vpn_night_acl
//дефиниране на трафик за ограничаване по скорост за през деня трафика е mysql //port 3306 (VLAN voice)
#ip access-list extended mysql_vlan_voice_day_acl
#permit tcp any 83.222.164.0 0.0.0.255 eq 3306 time-range day
#ip access-list extended mysql_vlan_voice _night_acl
#permit tcp any 83.222.164.0 0.0.0.255 eq 3306 time-range night
//дефиниране на клас за този тип трафик (през деня)
#class-map match-all mysql_vlan_voice_day
# match access-group name mysql_vlan_voice_day_acl
93
//дефиниране на клас за този тип трафик (през нощта)
#class-map match-all mysql_vlan_voice_night
# match access-group name mysql_vlan_voice_night_acl
//дефиниране на политика за създадения клас трафик
#policy-map mysql_vlans_day
#class mysql_vlan_office_day
# bandwidth percent 5
#class mysql_vlan_wifi_day
#bandwidth percent 15
#class mysql_vlan_cable_day
# bandwidth percent 25
#class mysql_vlan_vpn_day
#bandwidth percent 30
#class mysql_vlan_voice_day
#bandwidth percent 15
==============================
#policy-map mysql_vlans_night
#class mysql_vlan_office_night
# bandwidth percent 2
#class mysql_vlan_wifi_night
# bandwidth percent 15
#class mysql_vlan_cable_night
#bandwidth percent 30
#class mysql_vlan_vpn_night
#bandwidth percent 33
#class mysql_vlan_voice_night
#bandwidth percent 10
//Винаги трябва да има един клас по подразбиране, по който ще се обработват
//останалите типове трафик
#policy-map net_default
# class class-default
#fair-queue 64
// дефиниране на скоростта, която ще бъде валидна за така дефинирания трафик :
//a) http – 2Мb/s ; b) ftp – 500Kb/s ; c) e-mail – 200Kb/s d) MySQL – 1Mb/s
#policy-map vlans_policy
#class http_vlans_day_policy
#shape average 2 097 152
#service-policy http_vlans_day
#class http_vlans_night_policy
#shape average 2 097 152
#service-policy http_vlans_night
#class ftp_vlans_day_policy
#shape average 512 000
#service-policy ftp_vlans_day
#class ftp_vlans_night_policy
#shape average 512 000
#service-policy ftp_vlans_night
#class email_vlans_day_policy
#shape average 204 800
#service-policy http_vlans_day
94
#class email_vlans_night_policy
#shape average 204 800
#service-policy http_vlans_night
#class mysql_vlans_day_policy
#shape average 1 048 576
#service-policy http_vlans_day
#class mysql_vlans_night_policy
#shape average 1 048 576
#service-policy http_vlans_night
#class class-default
#shape average 2 097 152
#service-policy net_default
//Прилагането на политиката се извършва като в дадения
//интерфейс/подинтерфейс се въведе команда
#service-policy out vlans_policy
//С цел синхронизация на времето е необходимо да се укаже сървър за време, към
//който периодично рутера да се „обръща”
#scheduler allocate 20000 1000
#ntp clock-period 17180010
#ntp server 83.222.160.55 (не е изобразен на топологията)
Конфигурация на IPSec VPN
Фигура 4.4. IPSec VPN схема
Configuration for Cisco vpn – така трябва да изглежда конфигурацията на рутера vpn
след конфигурирането му. По подобен начин трябва да се конфигурира и vpn-remote
vpn#show run //показване на конфигурацията
Building configuration…
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname vpn
95
!
boot-start-marker
boot-end-marker
!
!
!
ip audit po max-events 100
no ip domain lookup
no ftp-server write-enable
!
!— Дефиниране на Internet Key Exchange (IKE) политика.
crypto isakmp policy 10
!— Уточняване се 256-bit AES като
!— алгоритъм за криптиране в IKE политиката.
encr aes 256
!— Уточнява се , че се използва pre-shared key authentication.
authentication pre-share
!— Уточнава се споделена тайна (Specify the shared secret.)
crypto isakmp key testkey1234 address 100.0.0.1
!
!
!— Дефинира се IPSec transform set.
crypto ipsec transform-set aes-sha-transform esp-aes 256 esp-sha-hmac
!
!— Дефинира се криптирана карта ( crypto map ) с име “aesmap” което ще използва
!— IKE за установяване на security associations (SA).
crypto map aesmap 10 ipsec-isakmp
!— Посочва се отдалечен remote IPSec парнтьор (peer).
set peer 100.0.0.1
!— Посочва се кои transform sets
!— да се приложи за вход на crypto map .
set transform-set aes-sha-transform
!— Името на контролният списък , който определя кой трафик
!— може да бъде защитен с IPSec.
match address acl_vpn
!
interface FastEthernet0/0
96
ip address 83.222.160.2 255.255.255.0
ip nat outside
!— Потвърждаване на crypto map на външният интерфейс.
crypto map aesmap
!
interface FastEthernet 0/1
ip address 192.168.2.254 255.255.255.0
ip nat inside
ip nat inside source list acl_nat interface FastEthernet0/0 overload
ip classless
ip route 0.0.0.0 0.0.0.0 83.222.163.1
no ip http server
no ip http secure-server
!
ip access-list extended acl_nat
!— Exclude protected traffic from being NAT’ed.
deny ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
permit ip 192.168.2.0 0.0.0.255 any
!— Access list който определя защитеният трафик с IPSec.
ip access-list extended acl_vpn
permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
!
!
line con 0
exec-timeout 0 0
line aux 0
line vty 0 4
!
end
97
ЗАКЛЮЧЕНИЕ
За човека, който днес за първи път е в мрежата Интернет представлява едно чудно
– място, където има всякаква информация, забавления, игри, текстове, изпълнени с
картинки, звук и анимация. Само преди 15-20 години на места се виждаха видео
конферентни разговори, а днес вече са реалност в почти всеки дом по света.
Достъпът до високоскоростен интернет посредством широколентова свързаност
открива сериозни възможности за икономически растеж. В тази връзка много държавичленки на ЕС насочват вниманието си към подкрепата за широколентови мрежи, които
могат да доставят услуги с висока скорост и поддържат множество иновативни услуги.
Тези мрежи за достъп от следващо поколение са предимно оптични кабелни
мрежи или модерни кабелни мрежи с обновени характеристики, които са предназначени
да заменят изцяло или в голяма степен съществуващите обществени комутируеми
далекосъобщителни мрежи (PSTN), предоставящи широколентови услуги посредством
усукана медна двойка или кабелни мрежи (CATV).
По отношение съотнасянето
на мрежите от
следващо поколение към
класификацията от Насоките на ЕК трябва да бъде отчетена спецификата на тези мрежи,
а именно:
полагане на оптичен кабел в съществуващи улични разпределителни
шкафове с предлагане на възможности за скорост от минимум 40 Mbps на
входящия трафик и 15 Mbps на изходящия трафик (в сравнение с настоящите
скорости за входящ трафик от максимум 8 и 24 Mbps съответно за
технологии за достъп ADSL и ADSL2+);
модернизиране на съществуващите в момента кабелни мрежи за постигане на
скорости до и над 50 Mbps в сравнение с предишната максимална скорост от
20 Mbps чрез използване на новия стандарт за кабелни модеми „DOCSIS 3.0“
или
свързване на новопостроени домове и офиси с оптични кабелни връзки,
предлагащи услуги със скорост до и над 100 Mbps.
В момента нашата ISP мрежата е изградено предимно с UTP кабели, но заменката
им с оптични не би била толкова сложна задача. Само ще трябва да се добавят
необходимите шаси на някои от устройствата.
Мрежовата топология е реализирана много ефективно, като се има в предвид
защитите, алтернативните пътища за достъп и висока пропускателна способност.
98
Избраните устройсва за Internet доставчика са едни от най – новите модели на CISCO.
Устройствата са подредени в йерархичен мрежов модел, който е по-лесен за управление
и разширяване, както и проблемите се решават по-бързо.
Цялата мрежа на ISP е разделена на 5 VLANs(office, wifi, cable, vpn, voice) за по
лесен контрол на потребителите и по лесно администриране. В изградената йерархия са
използвани протоколите VTP и STP с цял да са намали повторението на конфигурацията
и да се предвиждят съкращенията на пътищата, като се предотвратят нежелани
зацикляния. Осигурява се свързването на безжични клиенти. Осигурява се възможността
да се предава глас по мрежата (VoIP). Два RADIUS сървъра осигуряват въможността
потребителите да се автентикират. Оптимизирана е скоростта за определни видове
трафик – HTTP, FTP, e-mail и MySQL. Осигурена е възможността на IPSec VPN връзка.
Мрежата на нашият ISP e изградена с IPv4 (Internet Protocol version 4) адреси, но
вече има ограничен брой оставащи адреси, които ще стигнат само до края на 2010-2011
година. Обединението на технологии и нарастващият брой устройства в Интернет също
така се нуждаят от пространство с нови адреси. За страни като България, която се
присъедини в последните етапи от разпределението на адресите в IPv4, възприемането
на IPv6 представлява възможност за по-бързо преодоляване на недостига и за посрещане
на бъдещето на Интернет. Затова светът вече се подготвя за възприемането на Internet
Protocol от ново поколение и обучението по IPv6 става все по важно. IPv6 използва 128
битово адресно пространство. Това ще даде 3.438 IP адреса. С други думи ще има 3 911
873 538 269 506 102 адреса на всеки квадратен метър от повърхността на земята.
Лично според мене, а и много учени следващото поколение мрежи ще са свързани
с изграждането на оптични мрежи, където ISP йерархията и йерархията в ISP
(йерархичният модел) ще се запази, само скоростите на пренесените данни ще са в пъти
по големи. Също така клетачните мрежи на GSM операторите ще са много силно
разпространени,, но оптичните мрежи ще са за препоръчване, заради по високата
скорост, която предоставят, за това , че не могат да бъдат подслушвани и заради това, че
оптическите кабелите не се влияят от електрически смущения.
Таблица 15 : ЕВОЛЮЦИЯ
Онлайн активност
2000год. Download
Time
2010год. Download
Time
2020 год. Download
time
Сваляне на филм с DVD- качество
(4 GB)
3 дни
2 часа
?????
Сваляне на MP3 (3 MB)
4 минути
5 секунди
?????
99
ИЗПОЛЗВАНИ СЪКРАЩЕНИЯ
10GEPON - 10 Gigabit Ethernet PON
AAA - authentication, authorization and accounting
ADSL - Asymmetric Digital Subscriber Line
APON - ATM Passive Optical Network
ASA - Adaptive Security Appliance
ATM - Asynchronous Transfer Mode
AUX - Auxialiry
BNC - British Naval Connector
BPON - Broadband PON
CaTV - Community Antenna Television
CDDI - Copper-Distributed Data Interface
CHAP - Challenge-Handshake Authentication Protocol
CLI - Command line Interface
DHCP -Dynamic Host Configuration Protocol
DMZ - DeMilitarized Zone
DNS - Domain Name System
DOCSIS — Data Over Cable System Interface Specification
DSL - Digital Subscriber Line
DSSS - Direct-Sequence Spread Spectrum
FTP - File Transport Protocol
FTTH - Fiber To The Home
FWSM - FireWall Services Module
GEPON - Ethernet PON
GPON - Gigabit PON
GRE - generic routing encapsulation
GUI - Graphical User Interface
HDSL - High Data Rate DSL
HDSL2 - High Data Rate DSL2
HTML - Hypertext Markup Language
HTTP - Hypertext Transfer Protocol
HWIC - High-Speed WAN Interface Card
IDSL - ISDN Digital Subscriber Line
IEEE - Institute of Electrical and Electronic Engineers
IETF - Internet Engineering Task Force
IIS - Internet Information Server
IMAP -Internet Message Access Protocol
IMTC - International Multimedia Teleconferencing Consortium
IOS - Internetwork Operating System
IP - Internet Protocol
IPSEC - IP security protocol
IPTV - Internet Protocol TV
IPv4 - Internet Protocol version 4
100
IPv6 - Internet Protocol version 6
IPX - Internetwork Packet Exchange
IRC - Internet Relay Chat)
ISDN - Integrated Services Digital Network
ISO - International Organization for Standardization
ISP - Internet Service Provider
ITU - International Telecommunication Union
L2F - layer-2 forwarding
L2TP - layer-2 tunneling protocol
LAN - Local Area Network
MAC - Media Access Control
MAN - Metropolitan Area Network
MIMO - Multiple Input and Multiple Output OFDM - Orthogonal Frequency Division Multiplexing
OSI - Open System Interconnection Reference Model
PC - Personal Computer
PIX - Private Internet eXchange
PoE - Power over Ethernet
PON - Passive Optical Network
POP - Post Office Protocol
PPTP - point-to-point tunneling protocol
PSTN- Public Switched Telephone Network
QoS - Quality of Service
RADIUS - Remote Authentication Dial In User Service
RADSL – Rate Adaptive Digital Subscriber Line
RFC - Request for Comments
SDSL - Symmetrical DSL
SFP - small form-factor pluggable
SNMP - Simple Network Management Protocol
SSH - Secure Shell
STP - shielded twisted-pair
STP - Spanning Tree Protocol
TACACS+ - Terminal Access Controller Access-Control System
Plus
TCP - Transmission Control Protocol
TCP/IP -Transmission Control Protocol / Internet Protocol
TFTP - Trivial File Transfer Protocol
UTP - unshielded twisted-pair
V3PN - Voice and Video Virtual Private Network
VDSL - Very High Bitrate DSL
VIC- Voice Interface Card
VLAN - vitual LAN
VoIP Voice over Internet Protocol
VPDN - Virtual Privet dial-up network
101
VPN - Virtual Private Network
VRML - Virtual Reality Modular Language
VTP - VLAN Trunking Protocol
VWIC - Voice/WAN Interface Card
WAN - Wide Area Networks
WDM - Wave Division Multiplexing
WIC - WAN interface card
Wi-Max - Worldwide Interoperability for Microwave Access
WLAN - Wireless Local Area Network
102
Използвана литература:
1. CCNA Network Exploration – www.cisco.com
2. CCNA Network Discovery – www.cisco.com
3. Cisco Security Specialist 27s Guide to PIX - Syngress
4. Cisco IPSec VPN Design - Cisco Press
5. Computer Networking Essentials –Cisco Press
6. Cisco Access Control Security: AAA Administrative Services – Cisco Press
7.Компютърни мрежи и комуникации, Университетско издателство
„Епископ Константин Преславски ”
8. www.cisco.com
103
Съдържание
Увод.........................................................................................................................................1
Глава I Услуги предоставяни от INTERNET………………………………………..
1. Internet………………………………………………………………………………….....2
2. World Wide Web (WWW)……………………………………………………………......3
2.1.HTTP (HyperText Transfer Protocol)…………………………………………………...3
2.2.HTML(HyperText Markup Language)………………………………………………..4
2.3.Web Сървъри…………………………………………………………………………....4
2.4.Системата за имена на домейни (DNS, Domain Name System)…………………..5
2.5.Web клиенти…………………………………………………………………………..6
3. Какво има в мрежата?.......................................................................................................6
3.1 Кой използва Мрежата?......................................................................................6
3.2 Машини за търсене…………………………………………………………………......7
3.3 Web портали………………………………………………………………………….....8
3.4 Други Web услуги……………………………………………………………………....8
4. Електронна поща и пощенски списъци…………………………………………….. 9
4.1.Основни функции на програмите за e-mail………………………………………….. 9
4.2.Електронниадреси………………………………………………………………….…10
4.3. Пощенски списъци (mailing lists) …………………………………………………... 10
5.Нюзгрупи…………………………………………………………………………..…. .11
5.1.Софтуер за нюзгрупи………………………………………………………….….... 11
6 Трансфер на файлове (FTP, File Transfer Protocol).............................................. 12
7 Telnet………………………………………………………………………….……….. 12
8 Поточна медия …………………………………………………………………………..12
9 Чат на живо, IRC (Internet Relay Chat) и Web-базирани чат стаи…………………13
10 Моментални съобщения………………………………………………..…………….14
11 Аудио/видео конференции…………………………………………..………………14
12 Интернет телефония ………………………………………………..………………..15
13. IPTV (Internet Protocol Televison) …………………………………………………….15
14. Пазаруване в Интернет ……………………………………………………………….16
ГЛАВА II Достъп, осигуряван от INTERNET доставчик. Мрежови преносни среди
1.Dial –Up Internet достъп ...................................................................................................18
1.1. Обикновен Dial-Up ....................................................................................................19
104
1.2. Цифрова мрежа за интегрирани услуги (ISDN)…………………………………..19
1.3. DSL или xDSL ………………………………………………………………………20
1.3.1. Асиметрични xDSL технологии …………………………………………………20
1.3.2.Симетрични xDSL технологии …………………………………………………...21
2. Наетата линия ………………………………………………………………………....22
2.1. LAN мрежите………………………………………………………………………...22
2.2. CaTV (Community Antenna Television) …………………………………………….24
2.2.1. Предлагани услуги от CaTV: ……………………………………………………..25
2.3. Оптични мрежи (FDDH , FDDI)…………………………………………...………..26
3. Безжичен Internet ……………………………………………………………………...28
3.1. Безжичен Internet (Wi-Fi) …………………………………………………………...28
3.2. Безжичен Internet Wi-Max (Worldwide Interoperability for Microwave Access)…..30
4. VPN (Virtual Private Network) ……………………………………………………...…31
4.1. Carrier ………………………………………………………………………………...31
4.2. Enterprise……………………………………………………………………………...32
4.3. Видове VPN ………………………………………………………………………....32
4.4. Методи за защита на VPN мрежи ………………………………………………….32
4.5. Предимства и недостатъци на VPN мрежите: …………………………………….34
5. МРЕЖОВА ПРЕНОСНА СРЕДА ……………………………………………………34
6. Основни видове кабели ………………………………………………………………..34
6.1.Коаксиален кабел …………………………………………………………………....35
6.2.Кабелът с усукана двойка проводници (twisted-pair) …………………………………36
6.2.1. Неекранирани усукана двойка проводници (unshielded twisted-pair - UTP) ……..36
6.2.2 Екраниран кабел с усукана двойка проводници (shielded twisted-pair STP) ……...37
6.3.Кабел с оптична нишка/влакно (fiber-optic cable) …………………………………....38
6.3.1. Многолъчев (multimode) оптичен кабел ………………………………………...39
6.3.2. Eднолъчев (single-mode) опитчен кабел ………………………………………...39
6.3.3. Конектори за оптични влакна ……………………………………………………....39
7.1.FDDI оптични влакна ………………………………………………………….……40
8. WiFi vs WiMax……………………………………………………………………...…..40
8.1. Какво се крие зад името Wi-Fi? …………………………………………….…......41
8.1.1 WiFi 802.11n ………………………………………………………………….….…42
8.1.2 Антени за WLAN (Wireless local area network) …………………………………..43
8.2 Worldwide Interoperability for Microwave Access – WiMAX. ………………….…44
105
ГЛАВА III ПРОЕКТИРАНЕ И ОПТИМИЗИРАНЕ НА INTERNET МРЕЖА ЗА ISP
1. Йерархичен мрежов модел на ISP (The Hierarchial Network model) …………….....47
1.1. Опорен слой (Core layer) ………………………………………………………..…..47
1.2. Разпределитен слой (Distribution Layer) ………………………………………..….48
1.3. Слой за достъп (Access layer) …………………………………………………..…..48
1.4. Предимства на йерархичният модел …………………………………………..…..49
1.5. Принципи на йерархичният модел …………………………………………..…….49
2. Топологична диаграма и основни видове топологии ……………………….…..….50
3. Междумрежови комуникации …………………………………………………..……51
3.1. Комутатори (Switches) ………………………………………………………….…..51
3.1.1 Основни характеристика на комутаторите ………………………………..……..53
3.2 Mаршурутизатори ……………………………………………………………..…….54
3.2.1. Основни принципи ………………………………………………………..……54
3.2.2. Основни характеристика на маршрутизатори ……………………………..…....55
3.3 Видове комутатори и маршрутизатори ………………………………………….…56
3.4 Избор на комутатор/маршрутизатори за опорен слой и слой на разпределение ..57
3.6 Избор на комутатор/маршрутизатори за слой на достъп ……………………….....58
4. Защитна стена (Firewalls) …………………………………………………………......60
4.1 Избор на защитна стена Cisco PIX (Private Internet eXchange) …………………....62
5 Проектиране на ISP и въвеждането на устройствата в топологична диаграма …….62
6. Aвтентификация, оторизация и осчетоводяване (AAA - Authentication, Authorization,
and Accounting) ………………………………………………………………………..….64
ГЛАВА 4 АДМИНИСТРИРАНЕ НА МРЕЖА ЗА INTERNET ДОСТАВЧИК ….
1 Администиране на компютърна мрежа …………………………………………….67
2. Конфигуриране на рутиращи устройства ………………………………………….67
2.1 CISCO IOS (Internetwork Operating System) ……………………………………..67
2.2. Конфигурациони файлове. ………………………………………………………..68
2.3. Режими на достъп на Cisco IOS …………………………………………………..68
3.Конфигуриране на нашата мрежа от фиг.11 в глава III точка 7 ………………….70
106
