Professional Documents
Culture Documents
1 Hyrje
1.1 Përkufizimi i problemit
1.2 Motivimi
1.3 Metoda
1.4 Kufizimet
1.5 Struktura e projektit
2 Teori
2.1 Rrjeti kompjuterik i kompanisë
2.1.1 Infrastruktura dhe Arkitektura e Rrjetit
2.1.2 Shërbimet
2.1.3 Komunikimi dhe integrimi
2.1.3 Topologjitë
2.1.5 Menaxhimi
2.1.6 Siguria
2.1.7 Përshkallëzueshmëria
2.1.8 Redundanca
2.1.9 Performanca
2.1.10 Adresimi logjik
3 Projektimi
3.1 Rrjeti i kompanisë
3.2 Arkitektura
3.3 Dizenjimi i topologjisë
3.4 Shërbimet
3.5 Analiza, vlerësimi, problematikat dhe testimi i zgjidhjes
4 Rezultatet
4.1 Rekomandime
Referencat
Abstrakt
Qëllimi i këtij projekti ishte krijimi i një rrjeti për një kompani. Në këtë projekt është përdorur metoda
krahasuese. Informacioni u mblodh, u analizua dhe u bënë zgjedhje për të zgjedhur zgjidhjet e
duhura të projektimit të rrjetit për qëllimin e këtij projekti.
Projektimi i një rrjeti të besueshëm, të shkallëzuar dhe të sigurt është një detyrë komplekse që
kërkon njohuri dhe përvojë në fushën e gjerë të rrjeteve kompjuterike, duke përfshirë njohuri për
konfigurimin e pajisjeve të rrjetit, llojet e rrjetit, protokollet e rrugëzimit, kërcënimet e mundshme të
sigurisë dhe shumë të tjera. Në këtë projekt u trajtuan qasjet kryesore në dizajnimin e rrjetit, dhe
disa prej tyre u demonstruan.
Rrjeti demonstrues është zhvilluar duke përdorur softuerin Graphic Network Simulator (GNS3) për
simulimin e pajisjeve të rrjetit.
1 Hyrje
Rrjetet kompjuterike në ditët e sotme zënë një vend shumë domethënës në biznes. Është shumë
kritike për biznesin që të përdorë teknologjitë më të fundit të disponueshme, sepse ato ofrojnë
siguri, kapacitet të shtuar të ruajtjes së të dhënave, shpejtësi të lartë të transferimit të të dhënave, zë
dhe video në kohë reale dhe shumë më tepër. Përfitime të tilla nevojiten shumë për një kompani në
rritje ose ndërmarrje të madhe. Ndërsa një kompani rritet, ajo duhet të suportojë rritjen e
kapaciteteve të rrjetit pa ndikuar në performance dhe siguri.
Sido që të jetë dizenjuar rrjeti, biznesi ka nevojë për një lidhje të besueshme, të sigurt dhe të shpejtë.
Projekti përqendrohet në projektimin e një rrjeti koorporate. Në pjesën e parë të projektit janë
shqyrtuar disa opsione të ndryshme për komunikimin të rrjetit të korporatës. Në pjesën e dytë,
zgjidhet një nga këto opsione.
Qëllimi përfundimtar i këtij projekti është të tregojë një dizajn të një rrjeti komunikimi kompjuterik të
korporatës ku mund të integrohen shumë shërbime. Kërkesat që kemi për zgjidhjen tonë janë që
rrjeti mund të zgjerohet pa ndikuar në siguri, besueshmëri dhe performance.
1.2 Motivimi
Motivimi i këtij projekti bazohet në disa njohuri dhe përvojë të mëparshme në lidhje me rrjetet,
protokollet e rrjetit dhe konfigurimin e pajisjeve të rrjetit Cisco. Ajo që shpresoj të arrij në fund të
projektit është të përmirësoj aftësitë e mi të projektimit të rrjetit duke bërë kërkime në atë fushë dhe
duke përdorur njohuritë e mbledhura për të dizajnuar një rrjet koorporate sa më optimal.
1.3 Metoda
Ne kemi përdorur metodën krahasuese në këtë projekt. Në kapitullin 2 mbledhim informacione rreth
modeleve të ndryshme arkitekturore që do na dnihmojnë të përcaktojmë modelin që I përshtatet
kërkesave të rrjetit. Në kapitullin 3 analizojmë zgjidhjet e mbledhura, i krahasojmë ato dhe vendosim
se cilën të përdorim për qëllimin e këtij projekti.
1.4 Kufizimet
Për shkak të njohurive dhe përvojës që kemi me Cisco-n dhe për shkak se Cisco është një nga ofruesit
më të mëdhenj të zgjidhjeve në rrjet (për shembull HPE është një tjetër ofrues i madh i zgjidhjeve të
rrjetit) dhe ofron një zonë të gjerë zgjidhjesh rrjeti (nga zyrat e vogla/shtëpia tek komplekset zgjidhjet
e korporatave) projekti bazohet në strategjitë, këshillat dhe pajisjet e Cisco-s.
Dizajni i rrjetit në përgjithësi është një fushë shumë e gjerë dhe dizajnimi i një rrjeti korporativ është
një detyrë komplekse për t'u realizuar. Për këtë projekt do të ishte praktikisht e pamundur të
analizohej në detaje çdo aspekt i dizajnit të rrjetit për kompanitë në shkallë të gjerë. Projekti
fokusohet në rrjetet kampus me detaje për funksionet, shërbimet, komunikimin, integrimin,
strukturën etj., në sfondin e një rrjeti i korporatës. Nga ana e rrjetit të korporatës do të diskutohen
vetëm elementët e rrjetit të nevojshëm për funksionimin e rrjetit të brendshëm të koorporatës.
Ky raport është i organizuar në katër kapituj. Në kapitullin 1 theksohen qëllimet kryesore të projektit.
Në kapitullin 2 diskutohen aspektet kryesore teorike të punës. Ai mbulon arkitekturën e rrjetit të
ndërmarrjeve, zgjidhjet e rrjetit, sigurinë, komunikimin, performancën . Në seksionin e fundit
tregohen disa topologji të rrjetit që janë propozuar.
Kapitulli 3 fokusohet në hartimin e një zgjidhjeje rrjeti për qëllimin e këtij projekti. Sugjerohet
topologjia e rrjetit të kampusit të ndërmarrjeve. Kapitulli 4 është një përmbledhje e punës. Janë bërë
rekomandime dhe përfundime në lidhje me dizenjimin e një rrjeti kompjuterik.
2 Teoria
Në zhvillimin e rrjetit tonë ka disa modele arkitekturore që mund t'i përdorim si pikënisje, qoftë si
bazë e rrjetit ose të ndërtojmë mbi rrjetin ekzistues.
o Modele topologjike, të cilat shpesh përdoren si pikënisje në zhvillimin e një rrjeti. Këto
modele bazohen në rregullimin gjeografik ose topologjik të pajisjeve të rrjetit.
o Modele të bazuara në rrjedhën, të cilat fokusohen dhe përfitojnë nga një të veçantë
flukset e trafikut
o Modele funksionale – ka modele të bazuara në një ose më shumë funksione ose veçori
Zakonisht rrjeti ndërtohet duke përdorur më shumë se një nga modelet arkitekturore.
Modelet topologjike
rrjeteve. Ato gjithashtu tregojnë shkallën e hierarkisë së planifikuar për rrjetin (treguar në Figurën
2.1).
Nëse kemi nevojë, gjithashtu nuk mund të përdorim të gjitha nivelet e modeleve ose nëse na duhen
më shumë
mund t'i zgjerojmë ato për të treguar aq sa kemi nevojë. Për shembull, ne mund të përdorim të
vetmin LAN/wAN nga modeli ndërsa caktojmë kampusin, ndërtesat apo edhe katet në LAN.
Megjithatë, modeli Access/Distribution/Core fokusohet në funksion në vend të vendndodhjes.
Modele komunikimi
Modelet e bazuara në rrjedhën, si modelet topologjike, janë intuitive dhe mund të jenë të lehta për
t'u zbatuar. Meqenëse ato janë të lidhura me flukset e trafikut, ato duhet të hartohen mirë me çdo
hartë të rrjedhës që ne krijuar si pjesë e procesit të analizës së kërkesave. Këto modele janë mjaft të
përgjithshme dhe ato duhet të modifikohen për t'iu përshtatur kërkesave specifike të një rrjeti.
Modele funksionale
duke u fokusuar në privatësinë dhe sigurinë, ofrimin e shërbimeve për klientët (përdoruesit) dhe
faturimi. Shumë rrjete ndërmarrjesh po evoluojnë në këtë model, duke e aplikuar atë nëpër
organizata, departamente dhe ndërtesa.
o Modeli arkitektonik nga fundi në fund fokusohet në të gjithë komponentët end to end rruga
e një fluksi trafiku.
Modelet funksionale janë më të vështirat për t'u aplikuar në një rrjet, sepse duhet të kuptojmë se
ku do të vendoset secili funksion. Për shembull, për të aplikuar modelin nga fundi në fund, së pari
duhet të përcaktojmë se ku është nga fundi në fund për secilin grup përdoruesish, aplikacionesh ose
pajisjesh që do të jenë pjesë e end-to-end. Një avantazh i përdorimit të modeleve të tilla është se ato
ka të ngjarë të jenë më të lidhura me kërkesat për rrjetin.
2.1.2 Shërbimet
Shërbimet zakonisht instalohen në një ose më shumë serverë rrjeti për të ofruar burime të
përbashkëta për përdoruesit fundorë. Në seksionin e mëposhtëm kemi vënë në dukje shërbimet e
rrjetit që aplikohen ndoshta në çdo implementim të rrjetit.
o Ndarja e skedarëve
o Autentifikimi
o E-mail
o Printime
Shërbimet e postës elektronike, printimit dhe ndarjes së skedarëve kërkojnë që përdoruesit të kenë
leje për të hyrë
E drejta e sigurisë dhe e aksesit duhet të konfigurohet. Zakonisht bëhet lehtësisht duke përdorur
shërbimin e autentifikimit, i cili është gjithashtu një shërbim rrjeti.
Gjithashtu shërbime shumë të rëndësishme të biznesit në ditët e sotme janë zëri dhe video. Ne
duhet të sigurohemi që të ndërtojmë një rrjet që mbështet zërin dhe videon me vonesë të
minimizuar.
2.1.2 Shërbimet
Shërbimet zakonisht instalohen në një ose më shumë serverë rrjeti për të ofruar burime të
përbashkëta për përdoruesit fundorë. Në seksionin e mëposhtëm kemi vënë në dukje shërbimet e
rrjetit që aplikohen ndoshta në çdo implementim të rrjetit.
o Ndarja e skedarëve
o Autentifikimi
o E-mail
o Printime
Shërbimet e postës elektronike, printimit dhe ndarjes së skedarëve kërkojnë që përdoruesit të kenë
leje për të hyrë, e drejta e sigurisë dhe e aksesit duhet të konfigurohet. Zakonisht bëhet lehtësisht
duke përdorur shërbimin e drejtorive, i cili është gjithashtu një shërbim rrjeti.
Gjithashtu shërbime shumë të rëndësishme të biznesit në ditët e sotme janë zëri dhe video. Ne
duhet të sigurohemi që të ndërtojmë një rrjet që mbështet zërin dhe videon me vonesë të
minimizuar.
Vendosja e daljes nga kampusi synon t'u mundësojë përdoruesve fundorë në një rrjet kampusi të
kenë akses në ËAN ose internet. Ruterat dhe fireëall zakonisht vendosen në daljen e kampusit.
Ruterat sigurojnë komunikim midis rrjeteve të brendshme dhe të jashtme, dhe fireëall ofron mbrojtje
të sigurisë kufitare
Vendosja e daljes nga kampusi ndryshon sipas shërbimeve dhe shkallës së rrjetit të kampusit. Për
rrjetet me lloje të thjeshta lidhjesh dhe rrugë daljeje, mund të vendosen fireëall si pajisje daljeje. Për
rrjetet e kampusit në shkallë të gjerë, lidhni drejtpërdrejt fireëall me ruterat. Rrugët statike, OSPF
ose BGP mund të përdoren nga pajisjet e daljes për t'u lidhur me internetin. Zgjidhja e rrugëzimit për
rrjetin e brendshëm të kampusit duhet të mundësojë komunikimin ndërmjet pajisjeve dhe
terminaleve në rrjetin e kampusit, si dhe komunikimin ndërmjet rrjetit të brendshëm dhe rrjeteve të
jashtme. Rrugët statike ose rrugët OSPF përdoren zakonisht. Rrugë statike: zbatohet për skenarët me
një numër të vogël rrugësh. Rrugët statike mund të adresojnë kërkesat e shërbimit në shumicën e
rrjeteve të kampusit.
Rruga BGP: zbatohet për skenarë me një numër të madh rrugësh. BGP rekomandohet kur janë të
disponueshme lidhje të shumta midis një ndërmarrje dhe një ofruesi të shërbimit të internetit (ISP)
për të ofruar shërbime të diferencuara të rrugëtimit.
2.1.3 Topologjitë
Krahas llojit të rrjeteve kompjuterike që kryesisht kanë të bëjnë me shtrirjen gjeografike të tyre, një
ndarje tjetër e rrjeteve kompjuterike është edhe nga aspekti topologjik i tyre e që kryesisht ka si
synim përkufizimin e formës së rrjetit kompjuterik nga këndvështrimi i rregullimit, ndërlidhjes dhe
komunikimit të pajisjeve në rrjet. Shkenca e rrjeteve kompjuterike kryesisht njeh dy lloje të
topologjive:
topologjinë logjike
Topologjia fizike, siç edhe emri tregon, paraqet renditjen, rregullimin dhe vendosjen e pjesëve fizike
të rrjetit kompjuterik siç janë kompjuterët, pajisjet periferike, kabllot për transmetimin e të dhënave
dhe pajisjet e rrjetit. Kështu, kuptojmë që topologjia fizike e rrjetit zakonisht përfaqëson strukturën
fizike të tij e cila zakonisht na paraqitet në format në vijim:
bus – është topologji fizike në të cilën kompjuterët, pajisjet periferike dhe pajisjet e rrjetit
ndërlidhen përmes magjistrales që kryesisht përbëhet nga kabllot koaksiale (shih Figurën 1).
unazë – është topologji fizike në të cilën kompjuterët, pajisjet periferike dhe pajisjet e rrjetit
formojnë një cikël të mbyllur që merr formën e unazës ku secila pajisje e rrjetit është e lidhur me
njëra tjetrën (shih Figurën 1). Në të kaluarën është përdorur kabllo koaksiale, por në ditët e sotme në
unazën e dyfishtë përdorët fibri optik.
yll – është topologji fizike në të cilën kompjuterët, pajisjet periferike dhe pajisjet e rrjetit lidhen në
mënyrë të pavarur me pajisjen qendrore (shih Figurën 1). Kryesisht përdoret kabllo e çifteve të
përdredhura.
yll i zgjeruar – ose topologjia hibride është topologji fizike në të cilën kompjuterët, pajisjet
periferike dhe pajisjet e rrjetit lidhen në dy apo më shumë topologji fizike në formë të yllit e të cilat
pastaj ndërlidhen përmes magjistraleve. Në dukje, kjo topologji kombinon topologjitë yll dhe
magjistrale (shih Figurën 1). Kryesisht përdoret kabllo e çifteve të përdredhura për topologjitë e
formës së yllit ndërsa për ndërlidhjen (magjistralet) e tyre shpesh përdoret edhe fibri optik.
hierarkike – ose topologjia e pemës paraqet një kombinim të përbërë të topologjive yll dhe
magjistrale. Kjo topologji duhet të ketë së paku tre nivele të hierarkisë në të cilën topologjitë yll
ndërlidhin një apo më shumë nyje të vetme për nyjën kryesore ashtu që të gjitha këto së bashku
ndërlidhen me trungun kryesor të pemës (shih Figurën 1). Si në rastin e topologjisë së yllit të zgjeruar
edhe në këtë topologji përdoret kombinimi i çifteve të përdredhura me fibrin optik.
rrjetë – është topologji fizike në të cilën rrjetet kompjuterike të hapësirave lokale (LAN) ndërlidhen
njëra me tjetrën në formë të rrjetës (shih Figurën 1). Kryesisht përdoren teknologjitë për komunikim
të rrjeteve kompjuterike të hapësirave të gjera (WAN) për të ndërlidhur këto rrjete të hapësirave
lokale (LAN).
Topologjia logjike, për dallim nga topologjia fizike, përfaqëson aspektin logjik të rrjetit kompjuterik.
Në topologjinë logjike janë rrugët logjike të cilat përdoren për të bartur sinjalet elektrike apo të dritës
nga një kompjuter tek tjetri apo nga një nyje e rrjetit tek tjetra. Kështu, kjo topologji paraqet
mënyrën sesi e dhëna e qasë mediumin e rrjetit dhe i transmeton pakot nëpër të. Në figurën 2 është
paraqitur topologjia logjike me elementët logjik të saj si: emrat e kompjuterëve, emrat e serverëve,
teknologjia e komunikimit në rrjet si dhe adresat IP.
2.1.3 Menaxhimi
Menaxhimi i shpërndarë është kur ne përdorim shumë komponentë të veçantë për të menaxhuar
rrjetin. Këta komponentë vendosen në mënyrë strategjike në rrjet. Përparësitë e menaxhimit të
shpërndarë janë se ai ofron monitorim të tepërt dhe meqenëse ka më shumë pajisje menaxhimi në
rrjet, trafiku i menaxhimit në të gjithë rrjeti është zvogëluar. Një pengesë është se përdorimi i më
shumë pajisjeve do të rrisë kosto.
Menaxhimi hierarkik është kur ne vendosim të ndajmë funksionet e menaxhimit dhe t'i vendosim ato
në pajisje të ndryshme. Kjo është hierarkike sepse kur i ndajmë funksionet, ne mund ta konsiderojmë
secilin prej tyre si një shtresë të veçantë që komunikon në një mënyrë të serverit të klientit. Një
avantazh është se ne përdorim këtë lloj menaxhimi është se ne mund ta bëjmë çdo komponent të
tepërt, pavarësisht nga komponentët e tjerë. Një kompromis në menaxhimin hierarkik është kostoja,
kompleksiteti dhe shpenzimet e përgjithshme të të paturit të disa komponentëve të menaxhimit në
rrjetin tonë
2.1.6 Siguria
Për të hartuar një rrjet ndërmarrjesh plotësisht të sigurt është pothuajse e pamundur. Në një rrjet
kaq të madh si një rrjet ndërmarrjesh, ka shumë mënyra se si dikush mund të shkelë mbrojtjen dhe
të dëmtojë rrjetin tonë. Disa nga kërcënimet, por sigurisht jo të gjitha, janë renditur më poshtë:
o Dëmtime fizike
Për t'u marrë me këto kërcënime dhe për t'i bllokuar ato, ne duhet të zbatojmë disa politika dhe
procedura të privatësisë. Ndërmarrja jonë mund të vendosë të bllokojë të gjithë trafikun nga rrjetet e
brendshme drejt sajteve të veçanta, për shembull youtube, e-mail të jashtëm, gjurmues torrent etj.
Një qasje e zakonshme është të mohojë të gjithë trafikun dhe të lejojë në mënyrë eksplicite vetëm
një listë të rrugëve specifike. Kjo është nga këndvështrimi ynë si administratorë. Pikëpamja e
përdoruesve është e kundërta – lejoni gjithçka dhe mohoni rrugët specifike pas kësaj. Duke zbatuar
një politikë kaq të rreptë sigurie, ne duhet të kemi një njohuri dhe kuptim të plotë të kërkesave të
përdoruesve, aplikacioneve, pajisjeve dhe rrjetit pasi këto janë shumë specifike për t'u lejuar dhe
pranuar. Kjo mund të bëhet duke zbatuar ACL-të (lista e kontrollit të aksesit), muret e zjarrit ose
ndonjë softuer ose produkt harduerik bllokues.
Në ndërmarrjen tonë mund të zbatojmë edhe zonën e demilitarizuar (DMZ). Ideja kryesore e DMZ
është për të shtuar më shumë siguri në rrjetin e brendshëm të një organizate. Në DMZ zonë ne mund
t'i ekspozojmë pajisjet e jashtme të ndërmarrjes sonë ndaj një rrjeti të madh të pabesueshëm që
zakonisht është Interneti. Në këtë mënyrë çdo sulmues i mundshëm ka akses vetëm në pajisjet në
zonën DMZ dhe ai nuk ka dukshmëri dhe akses në rrjetin dhe pajisjet tona të brendshme të
cenueshme. Zakonisht në një zonë DMZ mund dhe këshillohet të vendoset çdo shërbim që përdoret
nga përdoruesit nga një rrjet i jashtëm.
2.1.7 Përshkallëzueshmëria
Kërkesat funksionale që çojnë në vendosjen e një modeli hierarkik me tre shtresa të Cisco-s janë si
më poshtë
Lehtësia e menaxhimit dhe zgjidhja e problemeve - Menaxhimi efikas dhe i thjeshtë në izolim të
shkakut të dështimit.
Filtrim më i thjeshtë dhe i strukturuar dhe zbatimi i politikave – Më e thjeshtë për të krijuar
filtër/politikë dhe për të zbatuar në rrjet.
Elasticiteti – Rrjeti duhet të tolerojë defektet/kohën e mosfunksionimit të pajisjes dhe të vazhdojë të
ofrojë shërbime me të njëjtën performancë kur pajisja kryesore dështon.
Performancë e lartë – Arkitektura hierarkike për të mbështetur xhiros dhe performancë të lartë në
themel të Infrastrukturës Aktive.
Modulariteti – Lejon fleksibilitet në dizajnimin e rrjetit dhe lehtëson zbatimin dhe zgjidhjen e
problemeve të thjeshta
2.1.8 Redundanca
Për të optimizuar rrjetin tonë, ne duhet të dizajnojmë rrjetin tonë me lidhje të shumëfishta në Layer
3 HSRP dhe Layer 2 STP. Si parazgjedhje, STP është aktivizuar në shumicën e sëitcheve të ndërlidhur.
Kur kemi vlane të lrijuar përdoret nje version I STP më I avancuar për të konvergjuar më shp[ejt si
RAPID PVSTP.
HSRP, nga ana tjetër, do të caktojë ruterin aktiv dhe atë të gatishmërisë bazuar në përparësi. Prioriteti
më i lartë do të jetë ruteri aktiv HSRP midis grupit HSRP. Të gjithë ruterët brenda grupit do të kenë të
njëjtën adresë IP virtuale dhe adresë virtuale mac. Ka dy rutera në gjendje aktive dhe në gatishmëri.
Nëse ruteri aktiv HSRP dështon, ruteri lokal i gatishmërisë do të jetë ruteri i ri aktiv. Adresa IP e
gatishmërisë dhe adresa IP aktive do të jenë të njëjta për të gjithë ruterat brenda grupit HSRP. Adresa
virtuale MAC lokale është gjithashtu e njëjtë dhe gjenerohet automatikisht nga ruteri.
2.1.9 Performanca
Komponenti i performancës
Për këtë komponent ne duhet të vendosim mekanizëm për të konfiguruar, menaxhuar dhe
shpërndarë burimet tek përdoruesit përfundimtarë, pajisjet dhe aplikacionet dhe për të siguruar
karakteristikat e parashikuara të performancës. Këto mekanizma përfshijnë si më poshtë:
o Politikat
o Kapaciteti (gjerësia e brezit) – Aftësia për të mbajtur të dhëna të një qarku ose rrjeti,
zakonisht matet në bit për sekondë (bps)
o Përfundimi – Sasia e të dhënave pa gabime të transferuara me sukses ndërmjet nyje për njësi
të kohës, zakonisht sekonda
o Efikasiteti – Një matje se sa përpjekje kërkohet për të prodhuar një sasi të caktuar të xhiros
së të dhënave
o Vonesa (latenca) – Koha ndërmjet gatishmërisë së një kornize për transmetim nga një nyje
dhe dorëzimit të kornizës diku tjetër në rrjet
o Koha e përgjigjes. Sasia e kohës ndërmjet një kërkese për një rrjet shërbimi dhe një përgjigje
ndaj kërkesës
Adresat e rrjetit publik përdoren për të identifikuar në mënyrë unike kompjuterët në internet. Ne
mund të marrim hapësirën e adresimit publik nga ISP-ja jonë ose mund ta marrim atë drejtpërdrejt
nga Autoriteti i Numrave të Caktuar në Internet (IANA). Hapësira e adresimit privat përmban adresa
IP të veçanta që nuk lejohen të dalin nga një rrjet privat si LAN-i ynë i korporatës. Adresat e njohura
private që janë të disponueshme për përdorim të rrjetit të brendshëm janë:
Këto vargje adresash janë adresat e plota. Për përdorim më optimal të adresës diapazoni ne mund të
vendosim subnetting me gjatësi të ndryshueshme ose subnet mask me gjatësi të ndryshueshme
(VLSM). Kjo teknikë na lejon të ndajmë adresat IP në nënrrjeta sipas nevojës së tyre individuale. Duke
vepruar kështu, do të humbnim shumë hapësirë adresash. Për të shmangur këtë, ne mund të
vendosim VLSM. Në vend që të rezervojmë të gjithë nënrrjetin 192.168.1.0/24 vetëm për lidhjen
midis dy ruterave, ne mund t'u ndajmë adresa nga diapazoni i adresave 192.168.1.0/4, ku mund të
qëndrojnë vetëm dy host dhe kështu të ruajmë hapësirën e adresimit.
3 Projektimi
o Shpejtësia e rrjetit – nuk duhet të implementojmë rrjete LAN më të ngadalta se Fast Ethernet
(100 Mbit/s);
o Ne duhet të implementojmë DHCPv4 për pajisjert fundore ndërsa për servera IP statike.
•Shtresa e Aksesit
• Shtresa e Shpërndarjes
•Shtresa e Bërthamës
Shtresa e aksesit
• Krijimi I VLAN-eve për të zvogëluar broadcast storm, rritur sigurinë dhe manxhim më të mië të
rrjetit.
•Nëse kërkohet STP, përdoret Rapid PVST+
Rapid PVST+ do të rrisë konvergjencën për të llogaritur parandalimin e loopeve në sajë të procesit të
kalkulimit të STP.
Në lidhjet trunk deklarohen vetëm vlane-et që do gjenerojnë trafik. Për trafik të pataguar do të
përdoret nje vlan native. Për të garantuar sigurinë do të caktivizohet DTP që lejon trunk në mënyrë
dinamke. Në ligjet trunk do të konfigurohen siguri në layer 2 si ARP Inspection dhe DHCP snooping si
porta trust.
•Konfigurimi I sigurisë së portave në sëitch për te lejuar vetëm disa MAC Adresa që të lidhen në
rrjet.
•Konfigurimi I portave të sëitch për të garantuar cilësinë e shërbimit për aplikacionet multimediale.
Shtresave e shpërndarjes
Për të shmangur loopet komunikimi me shtresën e core duhet te bazohet në lidhje layer 3 pasi në
lidhje layër 3 nuk ka përhapje të broadcasteve dhe kështu optimizohet rrjeti. Protokolli dinamik në
layer 3 do jetë OSPF.
•Lidhjet e shumëfishta me shtresën e aksesit janë lidhje layer 2 trunk. Përdoret protokolli Rapid
PVSTP+ për te shmangur loop në layer 2 dhe rritur konvergjencën.
•Për Sëitchet layer 3 do të përdoren si gateëay për vlanet. Një kohësisht do të kemi perdorimin e
HSRP për te garantuar redunacën e pajisjeve në shtresën e shpërndarjes pa ndikuar në humbjen e
shërbimit. Sëitchet layer 3 do të përdoren për të shpërndarë në mënyrë të barabartë trafikun e
vlaneve.
•Balancimin e ngarkesës së kanalit EtherChannel dhe CEF për të siguruar përdorimin optimal të
lidhjeve të tepërta dhe me kosto të barabartë.
•Sëitch layer 3 do të shërbejnë si gateëay për vlan-et dhe do tu alokojnë pajisjeve fundore ip në
mënyrë dinamike duke përdorur protokollin DHCP.
Shtresave e bërthamës
Ruteri EDGE Rutim statik kundrejt ISP dhe deklarimi I rrruges statike në procesin e OSPF me shtresën
e bërthamës. Implementimi I NAT statik dhe PAT në ruterin EDGE në lidhjen me ISP.
Me poshtë do të jepen specifikimet teknike për pajisjet e cdo proshuesi në secalin shtreësë të
modelit të propozuar.
Duke qenë se eksperienca bazohet më së shumti në pajisjet CISCO dhe ky është prodhuesi më I madh
I pajisjeve të rrjetit duke ogrtuar siguri, performancë dhe besueshmëri, është zzgjedhur pikërisht ky
prodhues per të ndërtuar rrjetin. Pajijset që do të përdoren jane Cisco 2960X, Cisco 6807-XL dhe
Cisco 1000 Series Aggregation Services Routers.
Skema e dizenjuar e rrjettit të kompanisë do të jetë si më poshtë ku paraqitet topologjia fizike dhe
logjike:
3.4 Shërbimet
Shërbimet e zakonshme që një ndërmarrje ofron për degët e saj janë aksesi në qendrat e të dhënave,
shërbimet rezervë, shërbimet e sigurisë dhe transmetimi i zërit dhe videove. Performanca e
shërbimeve mbi ËAN ndikohet nga gjerësia e brezit dhe vonesa. Ne mund t'i kombinojmë ato në një
vlerë sasiore (të quajtur Produkti i vonesës së gjerësisë së brezit (BDP)) me anë të së cilës mund të
matim sasinë maksimale të të dhënave që mund të transferohen në ËAN në një kohë të caktuar.
BDP [Kbajt] = (Lidhja e gjerësisë së brezit [Kbajt/sek] * Vonesa për vajtje-ardhje [sek])
BDP mund të përdoret për të verifikuar nëse një aplikacion TCP po përdor në mënyrë optimale
lidhjen ËAN. Në Komunikimi TCP, madhësia maksimale e segmentit (MSS) dërgohet midis dy pikave
fundore të lidhjes. MSS përcakton sasinë maksimale të të dhënave që mund të dërgohen dhe të mos
pranohen në një moment kohe.
o Nëse MSS > BDP, aplikacioni TCP mund të përdorë gjerësinë e brezit të disponueshëm
o Nëse BDP > MSS, aplikacioni TCP nuk mund të përdorë plotësisht gjerësinë e brezit.
Ne mund t'i përdorim këto masa për një përdorim të vetëm të gjerësisë së brezit të aplikacionit TCP.
Zyra jonë e degës zakonisht do të ketë shumë aplikacione të njëkohshme TCP dhe gjerësia e brezit të
disponueshëm do të përdoret në mënyrë efikase.
Shërbimet e sigurisë
Qëllimi i sigurisë është të sigurojë që çdo aspekt i rrjetit të mbrohet nga pajisjet (dhe politikat
përkatëse) të lidhura me rrjetin që sigurojnë dhe mbrojnë nga vjedhja e të dhënave. Shërbimet
kryesore që duhet të aplikojmë janë
o Mbrojtja e infrastrukturës
o Lidhje e sigurtë
Për të mbrojtur infrastrukturën, ne duhet të sigurojmë masa për të mbrojtur pajisjet tona të
infrastrukturës (ruterat Cisco IOS, çelësat, pajisjet) nga sulmet e drejtpërdrejta. Këtë mund ta arrijmë
duke përdorur sa vijon:
Lidhja e sigurt do të na ndihmojë të mbrojmë rrjetin kundër vjedhjes dhe ndryshimit të të dhënave.
Ne mund ta bëjmë këtë duke aplikuar enkriptimin e të dhënave për privatësinë e të dhënave.
Mekanizmat për izolimin e të dhënave do të na ndihmojnë gjithashtu të ofrojmë lidhje e sigurt mes
kampusit dhe internetit.
Për të zbuluar dhe zbutur kërcënimet e mbrojtjes, ne duhet të përdorim mekanizma për të zbuluar,
zbutur,dhe mbrojnë pajisjet e rrjetit nga shkeljet dhe ngjarjet e paautorizuara. Ne mund t'i aplikojmë
këto mekanizma për ruterat, çelsat dhe pajisjet e sigurisë.
"Ruterët dhe pajisjet e sigurisë përdorin fireëall dhe sisteme të mbrojtjes nga ndërhyrjet (IPS).
Ndërprerësit katalizator përdorin Port Security, DHCP Snooping, Dynamic ARP Inspection (DAI) dhe IP
Source Guard, STP BPDUGuard.
Nisur nga konfigurimet që u kryen dua të përmbledh punën e realizuar. Cdo pajiisje ka një adrese IP
dhe nje hostname. Ne cdo pajisje rrjeti është konfiguruar protokolli SSH I sigurtë për aksesim remote.
Vlanet jane krijuar ne pajisjet e aksesit dhe ne pajisjet e shpërndarjes. Vlanet përfshijnë ato data,
menaxhimi, native dhe të papërdorura. Në sëitchet e aksesit portat e aksesit janë konfiguruar me
port-security duke lejuar vetëm 4 mac adresa. Portat e aksesit jane gjithashtu konfiguruar për tu
mborjtur nga sulmet layer 2 si STP, DHCP dhe ARP. Në këto sëitche është konfiguruar protokolli RAPID
PVSTP+ për të konvergjuar më shpejt ne kalkulimin e parandalimit të loops. Portat trunk ne lidhjet
me sëitchet e shpërndarjes kanë trunk të konfiguruar manualisht duke lejuar trafikun e vetëm të
vlaneve që kërkohen duke caktivizuar dhe DTP.
Në sëitchet e shpërndarjes bëhet ndarja midis layer 2 dhe 3. Me sëitchet e aksesit kanë komunikim
layer 2 ndëersa me sëitchet core komunikim layer 3 duke përdorur protokollin e rutimit OSPF.
Sëitchet layer 3 shërbejnë si gateëay për vlanet. Ato japin IP dinamike me DHCP pajisjeve që ndodhen
ne vlane data. Për të garantuar disponueshmërine këto sëitche jane lidhur me nje lidhje
etherchannel duke përdorur protokollin LACP. Për të bërë shpërndarje te barabartë të trafikut të
vlaneve është implementuar HSRP ne këto sëitche ku jane në status active dhe stanby për vlane
specifike.
Sëitchet e bërthamës mbartin trafikun më të madh. Ato kane komunikime veëtëm layer 3 duke
përdorur OSPF.
Ruteri Edge bën lidhjen me ISP. Bën procesin e NAT dhe PAT. Vlane data përdorin PAT, ndërsa vlane ku
ndodhen servera si ëeb dhe email përdorin NAT statik. Ka një rruge default statike kundrejt ISP e cila
është deklaruar dhe në procesin e OSPF për të lajmëruar ruterat e brendshem për ldihjen statike qe
ka me ISP.
Pas implementimit u vunë re disa problematika, të cilat u zgjidhen duke bërë process troubleshoot
me komandat ndihmëse.
Problemi I pare
U vu re se adresa e netëork ne bashkësineë e dhcp për vlan 10 nuk ihste deklaruar korrekte.U
aksesua pool serish dhe u ndryshua adresa e network per vlan 10.
Problemi I dyte.
Vlanet e serverave nuk kishin komunikim me ruterin EDGE. U perdor komanda ping dhe traceroute
për ta identifikuar. Ne njërin nga switchet e shpërndarjes në procesin e opsf nuk ishte deklauar
korektësisht adresa e rrjetit të vlan të serverave. Komandat ndihmëse:
U aksesua në sëitch e shpërndarjes dhe u korigjua adresa e network ne procesin e OSPF për vlan
servers.
Problemi I trete
Komandat ndihmëse:
Problemi I katërt
Ip private nuk përkthehej në ip publike. Nuk ishtë bërë lidhja e saktë midis ip private ë serverit të
web me ip publike të përcaktuar nga ISP. U rikonfigurua NAT statik te ruteri EDGE sërish.
Problemi I pestë
S4#shoëw startup-config
U vu re qe portat e aksesit ishin konfiguruar per vlan 10. U bene ndryshimet qe te kalonin portat e
aksesit ne vlan 20 dhe kompjuterat e vlan 20 more IP dinamike me DHCP nga vlan 20.
Në fund u bë testimi me komanda ping ndermjet vlaneve dhe aksesi në internet kundrejt nderfaqes
loopback 8.8.8.8 qe simulonte internetit te ruteri I ISP. Testimi rezultoi në rregull.
4 Përfundimi
Projekti i jep zgjidhje problemit. Rrjeti i projektuar i komunikimit kompjuterik me një model rrjeti
hierarkik mund të mbështesë një koorporatë. Zgjidhja u analizua, u vlerësua dhe u testua. Ky model
ofron siguri, performancë, përshkallëzueshmëri, menaxhim të centralizuar dhe shpejtësi të lartë
komunikimi. Modeli I zgjedhur rekomandohe të zbatohet në ato koorporata të madhe ku kërkojnë që
të plotësojnë të gjitha atributet e rrjetit.
4.1 Rekomandime
Për ato koorporata të cilat nuk kane fuqi ekonomike që të investojne në një inmfrastrukturë të tille
mund të zgjedhin të përdorin modelin hierarkik me 2 shtresa, në të cilën shtresa e shpërndarjes dhe
e bërthamës është një e vetme. Edhe ky model I suporton të gjitha atributet e rrjetit si shpejtësia,
siguria, performanca. Ky model redukton pajisjet e rrejtit por nuk pengon zbatimin e atributeve.
Referenca
(Order from amazon, order from Barnes and Noble, compare at bigwords, compare at
CampusBooks4Less, order from Chegg, or search eFollett)
Kurose, J.F. and K.W. Ross (2003) Computer Networking: A Top Down Approach Featuring the
Internet, Addison Wesley.
(Order from amazon, order from Barnes and Noble, compare at bigwords, compare at
CampusBooks4Less, order from Chegg, or search eFollett)
(Order from amazon, order from Barnes and Noble, compare at bigwords, compare at
CampusBooks4Less, order from Chegg, or search eFollett)
Ogletree, T.W. and M.E. Soper (2006) Upgrading and Repairing Networks, Que.
(Order from amazon, order from Barnes and Noble, compare at bigwords, compare at
CampusBooks4Less, order from Chegg, or search eFollett)
Spurgeon, Charles E. (2000) Ethernet: The Definitive Guide, O'Reilly Media, Inc..
(Order from amazon, order from Barnes and Noble, compare at bigwords, compare at
CampusBooks4Less, order from Chegg, or search eFollett)
(Order from amazon, order from Barnes and Noble, compare at bigwords, compare at
CampusBooks4Less, order from Chegg, or search eFollett)
http://www.cisco.com/en/US/docs/solutions/Enterprise/Branch/WAASBr11.html
http://searchdatabackup.techtarget.com/tip/0,289483,sid187_gci1516980,00.html
http://searchdatabackup.techtarget.com/sDefinition/0,,sid187_gci1378343,00.html
http://www.cisco.com/application/pdf/en/us/guest/netsol/ns171/c649/ccmigration_
http://www.cisco.com/en/US/prod/collateral/routers/ps9343/at_a_glance_c45-457081_v7.pdf