Professional Documents
Culture Documents
El objetivo de esta seccin es presentar un diseo de red del campus que fue desarrollado usando el diseo metodologa en este libro. El ejemplo se basa en un diseo de red real. Algunos de los hechos se han modificado para preservar la privacidad del cliente el diseo, para proteger la seguridad de la red del cliente, y para que sea posible presentar un ejemplo simple y fcil de entender.
acceso. Adems, piensan que el acceso inalmbrico se debe permitir. Muchos de los estudiantes, profesores y miembros del personal estn de acuerdo.
Metas de Negocio
La universidad todava quiere atraer y retener a ms estudiantes. La Junta directiva considera que la mejor manera de seguir siendo fiscalmente, es seguir aumentando la matrcula y reducir la desercin. La administracin de la universidad y la junta directiva a identificados los objetivos de negocio: Aumentar la matrcula de 600 a 1000 estudiantes en los prximos 3 aos. Reducir la tasa de desercin de 30 a 15 por ciento en los prximos 3 aos. Mejorar la eficiencia docente y permitir a los docentes a participar en proyectos de investigacin con ms colegas de otras universidades. Mejorar la eficiencia de los estudiantes y eliminar los problemas con la presentacin de tareas. Permitir a los estudiantes acceder a la red del campus e Internet con sus computadoras porttiles. Permitir a los visitantes del campus para acceder a Internet a travs de sus computadoras porttiles. Proteger la red de los intrusos. Aprovechar la subvencin emitida por el gobierno estatal para la mejora de la red del campus. El dinero debe ser invertido por ser el final del ao fiscal.
Objetivos tcnicos
El departamento IT ha desarrollado la siguiente lista de objetivos tcnicos, con base en la investigacin sobre las causas de los problemas de red, que se cubre con ms detalle en la seccin "La red actual en WVCC": Redisear el esquema de direccionamiento IP. Aumentar el ancho de banda de la conexin a Internet para soportar nuevas aplicaciones y ampliar el uso de las aplicaciones actuales. Proporcionar una red segura, inalmbrica privada para los estudiantes para acceder a la red del campus y a Internet. Proporcionar una red inalmbrica abierta para que los visitantes del campus para acceder a Internet. Proporcionar una red que ofrece un tiempo de respuesta de aproximadamente 1/10th de un segundo o menos para aplicaciones interactivas. Proporcionar una red de campus que est disponible aproximadamente el 99,90 por ciento del tiempo y ofrecer un MTBF de 3.000 horas (alrededor de 4 meses) y un tiempo medio de reparacin de 3 horas (con un bajo nivel de desviacin de estas cifras promedio).
Proporcionar seguridad para proteger la conexin a Internet y red interna de intrusos. Utilizacin de herramientas de gestin de red que pueden aumentar la eficiencia y la efectividad del departamento IT. Proporcionar una red que puede escalar para soportar el uso futuro de aplicaciones multimedia.
Aplicaciones de red
Los estudiantes, profesores y personal utilizaran la red WVCC para los siguientes fines: Aplicacin 1, los deberes. Los estudiantes usan la red para escribir artculos y otros documentos. Ellos guardaran su trabajo en los servidores de archivos en el Centro de Computacin e imprimirn su trabajo en las impresoras, en el Centro de Computacin y otros edificios. Aplicacin 2, e-mail. Los estudiantes, profesores y personal administrativo hacen un amplio uso del correo electrnico. Aplicacin 3, investigacin de la web. Los estudiantes, profesores y personal administrativo utiliza Mozilla o Microsoft Internet Explorer para acceder a la informacin, participar en salas de chat, juegos, y utilizar otros servicios web tpicas. Aplicacin 4, Catalogo de las tarjetas de bibliotecas. Los estudiantes y la facultad tendrn acceso a la tarjeta de catlogo en lnea. Aplicacin 5, el modelado del tiempo. Estudiantes Meteorologa y profesores participan en proyectos para los patrones del clima en relacin con el modelo de otros colegios y universidades en el estado. Aplicacin 6, Monitoreo a travs de telescopios. Estudiantes de astronoma y sus facultades podrn descargar las imgenes grficas de un telescopio situado en la universidad estatal. Aplicacin 7, Subir Grficos. La subida de archivos de arte grafico de gran tamao a una tienda del campus de impresin pueda imprimir imgenes de gran escala en una impresora lser de alta velocidad. La imprenta imprime obras de arte que es el archivo a transferir a la tienda a travs de Internet. Aplicacin 8, el aprendizaje a distancia. El departamento de Ciencias de la Computacin participa en un de aprendizaje a distancia con el proyecto de la universidad estatal. La universidad estatal permite a los estudiantes WVCC inscribirse para recibir streaming de vdeo de un curso de informtica conferencia de la ciencia que se ofrece la Universidad del Estado. Los estudiantes tambin pueden participar en tiempo real "chat" mientras asista a la clase. Aplicacin 9, el sistema de gestin de la universidad. El personal de la administracin de la universidad utilizan el sistema de gestin de la universidad para realizar un seguimiento de los registros de clase y registros de los estudiantes.
Comunidades de Usuarios
Tabla 10-7 muestra las comunidades de usuarios en WVCC. El crecimiento esperado de las comunidades tambin incluido. El crecimiento se espera por dos razones: Las nuevas PCs y Macintosh se pueden comprar. Acceso inalmbrico permitir que ms estudiantes y visitantes puedan acceder a la red con su computadoras personales porttiles.
15, crecer a 30
Stano de biblioteca
crecer a 30
15, crecer a 30
15, crecer a 25
25, crecer a 50
25, crecer a 50
PC de Administracin
25, crecer a 50
administracin edificio
10, crecer a 25
Usuarios de afuera
Muchos
Internet
modelos, el telescopio seguimiento, la distancia aprendizaje E-mail, red de investigacin, Catlogo de la Biblioteca de tarjetas, gestin universitaria sistema Web de la investigacin, la biblioteca catlogo de tarjetas, email Navegar por el sitio web de la WVCC
Centro de computacin sitio del servidores Centro informtico sitio del servidor
Servidor de Archivos impresin de Windows Servidor Web de Windows Seridor de correo de Windows
Centro Computacional Sitio del servidor Centro Informtico sitio del servidor Centro informtico sitio del servidor
Los usuarios de Mac en el Centro de Computacin Artes y Humanidades del edificio Los usuarios de pc en todos los edificios Todo Todos los usuarios excepto los visitantes(que utilizan sus propios servidores) Administracin Todo Administracin
Sistema del servidor novel en el colegio Servidor DHCP de Windows Servidor de gestin de Windows
Centro de computacin sitio de servidores Centro de computacin sitio de servidores Centro de computacin sitio de servidores
Nombrar
Todo
El diseo de la red del campus tiene las siguientes caractersticas: La red utiliza switch Ethernet. Un switch de alta gama en cada edificio es redundante conectado a dos conmutadores de gama alta en el Centro de Computacin. La figura 10.5 muestra estos switch. Dentro de cada edificio se encuentra un switch Ethernet de 24 o 48 puertos en cada planta se conecta el usuario final del sistema. La Figura 10-6 muestra la arquitectura de red del edificio.
Los switch ejecutan el protocolo IEEE 802.1D Spanning Tree Protocol. Los switches soportan SNMP y RMON. Una red basada en Windows del software de gestin de paquetes de seguimiento de los switch. El software se ejecuta en un modulo del servidor del diseo de la red. Todos los dispositivos son parte del mismo dominio de broadcast. Todos los dispositivos (con excepcin de dos servidores pblicos) son parte de la subred 192.168.1.0 con una mscara de subred 255.255.255.0. Las direcciones de PC de los usuarios finales y Macintosh se llevan a cabo con DHCP. Un servidor de Windows ubicado en un modulo del centro de computacin de servidores que acta como el servidor DHCP. El e-mail y el servidor web utiliza direcciones pblicas a la comunidad estatal de universidades asign a la universidad. El sistema tambin proporciona un servidor DNS que utiliza la universidad. El Router acta como un servidor de seguridad mediante el filtrado de paquetes. El router tambin implementa NAT. La Router tiene una ruta predeterminada a Internet y no se ejecuta un protocolo de enrutamiento. El enlace WAN a Internet es un enlace T1 de 1,544 Mbps.
Los edificios se conectan a travs de dplex completo 100BASE-FX Ethernet. Dentro de los edificios, se utilizan de switches Ethernet de 10 Mbps. Cada edificio cuenta con un cableado estructura de categora 5e en las oficinas, aulas de clase y laboratorios El router en el Centro de Informtica es compatible con dos 100BASE-TX y un puerto con T1 con una unidad integrada CSU / DSU. El router tiene una fuente de alimentacin redundante.
Una topologa fsica centralizada(estrella) es usada en el cableado del compus. Cables subterrneos en conductos tienen cableado de fibra ptica multimodo. El cableado est fuera de la plataforma de cableado que se compone de 30 hilos de fibra con un ncleo 62,5 micrones y el revestimiento 125-micra, protegido por una funda de plstico adecuado para uso al aire libre de uso normal. Figura 10-7 muestra el diseo de cableado del campus.
Figure 10-7. The Campus Cabling Design for WVCC
Los estudiantes determinaron que la tarea, e-mail, red de investigacin, catlogo de tarjeta de la biblioteca, y aplicaciones de sistemas de gestin de la universidad tienen requisitos de ancho de banda nominal y no son sensibles el retraso . Las otras aplicaciones, sin embargo, utiliza una cantidad significativa de ancho de banda, en particular un alto porcentaje del ancho de banda WAN a Internet. La aplicacin de aprendizaje a distancia es tambin sensible a los retrasos. Los usuarios de las aplicaciones de modelado el clima y el telescopio de vigilancia, quieren ampliar su uso de estas aplicaciones, pero actualmente se ve obstaculizada por la cantidad de ancho de banda disponible para el Internet. Los usuarios de aplicacin de subida de grficos tambin se impidi el envo de archivos de gran tamao oportunamente por la escasez de ancho de banda a Internet. La aplicacin de aprendizaje a distancia es una asimtrica (solo ida) streaming-video de la aplicacin. La Universidad del Estado utiliza equipos de vdeo digital para grabar las conferencias de clase en tiempo real y enviar la transmisin de vdeo a travs de Internet, utilizando el RealTime Streaming Protocol (RTSP) y el tiempo real- Protocolo (RTP). Los estudiantes a distancia no envan datos de audio o video, sino que simplemente tienen la posibilidad de enviar preguntas de texto, mientras que la clase que est ocurriendo, utilizando una pgina web sala de chat. Un usuario se suscribe a la clase de aprendizaje a distancia mediante el acceso a un servidor web en la universidad estatal, entrar en un nombre de usuario y contrasea, y especificar cunto ancho de banda que el usuario tiene disponible. La pgina web en la actualidad no permite que un usuario especifique ms de 56 Kbps de ancho de banda disponible. En este momento, el servicio de aprendizaje a distancia es un sistema de punto a punto. Cada usuario recibe un nico flujo de 56 Kbps de vdeo del sistema de vdeo en la universidad estatal. Por esta razn, WVCC limita el nmero de usuarios que pueden acceder al sistema de educacin a distancia a los 10 estudiantes que se encuentran en el edificio de Matemticas y Ciencias. En el futuro, el sistema de educacin a distancia apoyar tecnologas de multidifusin IP. En el entretanto, Sin embargo, los estudiantes y el personal del departamento IT estn de acuerdo en que se debe encontrar una solucin para permitir que ms de 10 estudiantes puedan utilizar el sistema de educacin a distancia en un tiempo.
Adems de los flujos de trfico del campus transversal, los estudiantes documentado los flujos de trfico dentro de la biblioteca y Centro de Informtica y los flujos de trfico hacia y desde Internet. Dentro de la biblioteca y Centro de Computacin, el trfico viaja desde y hacia los distintos servidores en alrededor de los siguientes tipos:
Total
2300 Kbps
En lugar de confiar en la capa 2 Spanning Tree Protocol para evitar bucle, los diseadores eligieron una protocolo de enrutamiento de capa 3. Eligieron Open Shortest Path First (OSPF), ya que no es propietario y se ejecuta en los routers de proveedores de muchos, converge rpidamente, apoya el intercambio de carga, y es moderadamente fcil de configurar y solucionar problemas.
La red inalmbrica
Los accesorios inalmbricos a la red representa el mayor desafo debido a los prejuicios y otra capa 8 (los temas no tcnicos). El departamento de TI prefieren una solucin nica que se extremadamente seguro. Muchos de los estudiantes y profesores queran un acceso seguro a la red del campus y en apoyo a los visitantes que utilizan la red inalmbrica para acceder a Internet. La solucin era ofrecer dos puntos de acceso en cada edificio, con las polticas de seguridad diferentes aplicado sobre ellos. Un punto de acceso abierto en cada edificio dispone de acceso para los visitantes, mientras que un punto de acceso seguro en cada edificio proporciona un
acceso seguro para los estudiantes, profesores y empleados. La puntos de acceso abierto son en un canal diferente de los otros puntos de acceso para evitar interferencias y aumentar el rendimiento. El acceso a los puntos de apoyo IEEE 802.11b y cada uno proporciona un valor nominal de ancho de banda de 11 Mbps. El departamento de TI eligi Cisco Aironet puntos de acceso de la serie debido a su apoyo a la seguridad caractersticas y la interoperabilidad con herramientas de Cisco para la autenticacin y gestin de la red inalmbrica. El departamento de TI solicit a la librera de la universidad en el stock del cliente Cisco Aironet serie de LAN inalmbrica adaptadores y adaptadores compatibles para los estudiantes de la compra. Desde el punto de vista de direccionamiento IP, dos subredes diferentes han servido, como se mencion en el "IP Direccionamiento y enrutamiento optimizado para el backbone de campus" seccin-una para el seguro, privada LAN inalmbrica (WLAN) y otro para el pblico y abierto de WLAN. Cada una de estas subredes es una en todo el campus de subred. Con esta solucin, un usuario inalmbrico puede vagar por todo el campus y nunca requiere el contrato de arrendamiento de una nueva direccin del servidor DHCP. En cada edificio, un puerto del switch en el conmutador de enrutamiento se conecta el punto de acceso que soporta el abrir la red. Un puerto de switch distinto conecta el punto de acceso compatible con el privado y seguro, red. Cada uno de estos puertos de conmutacin est en su propia VLAN. Otro VLAN se utiliza para los puertos que conectar los interruptores con cable y los usuarios dentro del edificio. Los puntos de acceso abiertos no estn configurados para WEP o autenticacin de direccin MAC, y es el SSID anunci en tramas de sealizacin para que los usuarios puedan asociar fcilmente con la WLAN. Para proteger el red del campus de los usuarios de la red WLAN abierta, los conmutadores de enrutamiento se configura con listas de acceso que hacia adelante slo unos pocos protocolos. Los paquetes enviados por los usuarios de la WLAN abierta a los puertos TCP 80 (HTTP), 25 (SMTP) y 110 (POP), y los puertos UDP 53 (DNS) y 67 (DHCP) estn permitidos. Todo el resto del trfico denegado. Algunos estudiantes y profesores queran soportar ms protocolos, pero el el departamento insisti en que, al menos por ahora, estos son los protocolos slo se admiten. Esto protege al de red de los problemas de seguridad y evita a los visitantes que utilizan demasiado ancho de banda para otros aplicaciones. Los puntos de acceso privados implementar caractersticas de seguridad mucho ms. El SSID es oculta y no anunci en tramas de sealizacin. A pesar de un usuario determinado todava poda descubrir el SSID, la eliminacin de los paquetes de baliza oculta para el usuario casual y evita confundir a los visitantes, quienes slo ven el SSID pblica. Los estudiantes, profesores y empleados que quieren utilizar la WLAN privada deben conocer el sector privado SSID y escriba en la herramienta de configuracin para los adaptadores inalmbricos.
Para proteger la privacidad de los datos que viaja a travs de la WLAN privadas, las mejoras se utilizan WEP en los puntos de acceso y clientes. Por ahora, los puntos de acceso y los clientes utilizan Wi-Fi Protected Access (WPA) las mejoras requeridas por la Alianza Wi-Fi, tales como el Protocolo de Integridad de Clave Temporal (TKIP). En el futuro, despus de IEEE 802.11i, ha sido ratificado, los mtodos ms rigurosos para el cifrado, como el Advanced Encryption Standard (AES), se puede utilizar. Vase el Captulo 8 para obtener ms informacin sobre opciones de seguridad inalmbrica. Los puntos de acceso privados tambin estn configurados para utilizar 801.1x extensible y ligero Protocolo de autenticacin (LEAP). Los usuarios de la WLAN privada debe tener un ID de usuario vlido y contrasea. Para llevar a cabo la autenticacin del usuario, el departamento compr un acceso seguro de Cisco Servidor de Control de la solucin del motor, que es un dedicado una unidad de rack (RU-un) dispositivo reforzado que opera como una autenticacin remota centralizada Dial-In User Service (RADIUS) para el usuario autenticacin. Ellos eligieron un aparato en vez de software para una plataforma de PC genrico para evitar la las vulnerabilidades de seguridad se encuentra en los tpicos sistemas operativos estndar de la industria. Adems el aparato es fiable y fcil de configurar y solucionar problemas. El departamento de TI tambin opt por un dispositivo de hardware dedicado para la gestin de la red inalmbrica. El departamento de CiscoWorks Wireless coloca una LAN Solution Engine (WLSE) en el centro de informtica. El motor permite a los administradores administrar de forma remota los puntos de acceso. El WLSE tambin es compatible con el descubrimiento de los puntos de acceso que los estudiantes o los profesores pueden instalar sin el permiso del departamento de TI. Puntos de acceso Aironet de Cisco y el cliente compatible con dispositivos se pueden degustar cada pocos segundos en un canal por canal para tramas de sealizacin compatible con ad-hoc de pcaros y de radio frecuencia (RF) las firmas que indican la presencia de camuflado los pcaros. El punto de acceso local recopila datos acerca de estas muestras y lo sube a la WLSE aparato. El software CiscoWorks WLSE compara los datos de la muestra con direcciones MAC vlidas para los conocidos puntos de acceso, y los informes de los posibles dispositivos no autorizados o de otro tipo (de 2,4 GHz interferencias en la red) y la localizacin aproximada del dispositivo (calculado por triangulacin) para el personal de TI.
TI eligi un servidor de seguridad PIX, debido a su factor de forma de dispositivo, su operativo reforzado sistema, y su apoyo a OSPF, NAT, filtrado de URL y filtrado de contenidos. El departamento IT tambin reconoci la importancia de la certificacin de la industria. El PIX Firewall tiene Comn Criterios de Evaluacin de Seguridad de Nivel 4 y el estado de Firewall de ICSA Labs y la certificacin IPSec. El departamento debe elegir un modelo de PIX Firewall que soporta mltiples interfaces Ethernet 10/100-Mbps. Por ahora, cuatro interfaces se utilizarn. La interfaz externa se conectar el router de Internet, dos dentro de las interfaces se conectar la red del campus, y la zona desmilitarizada (DMZ) de la interfaz se conectar el e-mail y servidor web. Para solucionar el problema de la utilizacin de alta en el enlace WAN a Internet y la alta incidencia de lanzamiento de paquetes, el enlace WAN fue remplazado con un enlace de 10 Mbps Metro Ethernet. El departamento descubri que algunos proveedores de servicios en el rea estaban dispuestos a traer a un enlace Ethernet de fibra monomodo en lugar de un protocolo WAN. El departamento de IT orden una interfaz de 10/100BASE-FX para el router y elegir un proveedor de servicios que ofrece una razonable cuota mensual y tiene una buena reputacin por su fiabilidad. Adems, el proveedor hace que sea fcil para sus clientes actualizar el ancho de banda. Por ejemplo, si la universidad decide que necesita un 100 -Mbps de enlace Ethernet, la universidad puede hacer una sola llamada telefnica al proveedor y el proveedor garantiza para hacer el cambio de ese da. El departamento de TI tambin tenerse en cuenta en la eleccin del proveedor el nivel de experiencia y el conocimiento de la instalacin y el personal de apoyo. En particular, los ingenieros de la red del proveedor tena muchas ideas prcticas para hacer frente a estos despidos para los diseos futuros de la red. La figura 9.10 muestra el nuevo diseo de la red del campus WVCC.
Figure 10-9. The Enhanced Network for WVCC