FULLTEXT01

Machine Translated by Google
Projekti i diplomës
Rrjet kompjuterik për një kompani

me degë të largëta
Desislav Ivanov
2010-10-19
Lënda: Sistemet dhe teknologjitë kompjuterike Niveli:
Bachelor
Kodi i kursit: 2DV00E
Shkolla e Matematikës dhe Inxhinierisë së Sistemeve

Raporte nga MSI
Rrjet kompjuterik për një kompani me degë të largëta
Desislav Pavlov Ivanov
i
Abstrakt
Qëllimi i këtij projekti ishte krijimi i një rrjeti për një kompani me degë të largëta. Autori ka interes
për arkitekturat e rrjetit dhe dëshiron të fitojë njohuri të përmirësuara për rrjetet në distancë.
Në këtë projekt është përdorur metoda krahasuese. Informacioni u mblodh, u analizua dhe u
bënë zgjedhje për të zgjedhur zgjidhjet e duhura të projektimit të rrjetit për qëllimin e këtij projekti.
Projektimi i një rrjeti të besueshëm, të shkallëzuar dhe të sigurt është një detyrë komplekse që
kërkon njohuri dhe përvojë në fushën e gjerë të rrjeteve kompjuterike, duke përfshirë
njohuri për konfigurimin e pajisjeve të rrjetit, llojet e rrjetit, protokollet e rrugëzimit, kërcënimet e
mundshme të sigurisë dhe shumë të tjera. Në këtë projekt u trajtuan qasjet kryesore në dizajnimin e
rrjetit, dhe disa prej tyre u demonstruan. Rrjeti demonstrues ishte
zhvilluar duke përdorur softuerin Graphic Network Simulator (GNS) për simulimin e pajisjeve të
rrjetit.
Fjalët kyçe: dizajni i rrjetit, rrjeti i korporatës, arkitektura e rrjetit, rrjetet në distancë, rrjeti i
degëve, dega e rrjetit të ndërmarrjeve, arkitektura e degëve, aksesi në distancë
ii
Përmbajtja
1 Prezantimi............................................................................................................................ 1
1.1 Përkufizimi i problemit......................................................................................................................1
1.2 Motivimi.................................................................................................................... 1
1.3 Metoda............................................................................................................................. 1
1.4 Kufizimet.................................................................................................................. 1
1.5
Struktura e raportit.....................................................................................................................2
2 Teori......................................................................................................3
2.1 Rrjeti kompjuterik i kompanisë me degë................................3
2.1.1 Infrastruktura dhe Arkitektura e Rrjetit.....................3
2.1.2 Shërbimet...............................................................................7
2.1.3 Komunikimi dhe integrimi...........................................................................8
2.1.4 Vërtetimi.............................................................................................................18
2.1.5 Menaxhimi.............................................................................................................19
2.1.6 Siguria....................................................................................................................22
2.1.7 Zgjidhje dhe shembuj..............................................................................................25
2.2 Aspektet metodologjike të projektimit............................................................................27
2.2.1 Qasjet e projektimit nga lart-poshtë dhe nga poshtë-lart..................................................................27
2.2.2 Dizajni modular..................................................................................................................27
2.2.3 Përgatitni, planifikoni, dizajnoni, zbatoni, operoni, optimizoni (PPDIOO) Qasja e ciklit
jetësor të rrjetit.............................................................................................................30
2.3 Përfundimi, synimet dhe qëllimet.......................................................................................32
3 Projektimi............................................................................................................................. 33
3.1 Rrjeti i kompanisë me arkitekturë, shërbime dhe degë të largëta
komunikimi....................................................................................................................... 33
3.1.1 Arkitektura.............................................................................................................33
3.1.2 Shërbimet...................................................................................................................... 38
3.1.3 Lidhja, komunikimi dhe integrimi i zyrës së degës.............................39
3.1.4 Dizajnimi i topologjisë së skajit të internetit të ndërmarrjes......................................................42
3.2 Organizimi i degëve të largëta..............................................................................45
3.3 Analiza, vlerësimi dhe testimi i zgjidhjes.........................................................46
Rezultatet............................................................................................................................................. 50
4 Diskutim mbi rezultatet..............................................................................................................51
4.1 Përfundim.................................................................................................................. 51
4.2 Rekomandime........................................................................................................ 51
4.3 Puna e ardhshme........................................................................................................................... 51
Referencat................................................................................................................................. 52
Shtojca A ................................................ ................................................ ................ 54
Dokumentet dhe vendimet e rrjetit..............................................................................................54
Shtojca B................................................................................................................................. 60
Rezultatet e testit................................................................................................................................. 60
iii
Lista e shkurtesave
• LAN – Rrjeti i zonës lokale •
MAN – Rrjeti i zonës metropolitane • WAN
– Rrjeti i zonës së gjerë • PSTN –
Rrjeti telefonik me ndërprerje publike • DHCP –
Protokolli i konfigurimit dinamik të hostit • DNS –
Sistemi i emrave të domenit •
AMANDA - Arkivi i avancuar i diskut automatik i rrjetit Maryland • ZRM – Zmanda
Recovery Manager • LRS –
Mandriva Linbox Rescue Server • VPN –
Virtual Private Network • IPsec –
Internet Protocol Security • SSL –
Secure Sockets Layer • L2TP – Layer 2
Tunneling Protocol • PPTP –
Point to Point Tunneling Protocol • OSI – Open
System Interconnection IP – Protokolli i
Internetit • IOS – Sistemi
Operativ i Internetwork • PIX – Shkëmbimi
privat i Internetit • ASA – Pajisje e Sigurisë
Adaptive • TCP – Protokolli i
Kontrollit të Transmetimit • UDP – Protokolli
i të dhënave të përdoruesit • POP –
Protokolli i Postës • SSH –
Predha e Sigurt • PAP –
Autentifikimi i fjalëkalimit Protokolli • CHAP –
Protokolli i Autentifikimit Challenge-Handshake • MS-CHAP –
Microsoft CHAP • MPPE – Kriptimi
pikë-për-pikë i Microsoft • NAT – Përkthimi i adresës së
rrjetit • PPP – Protokolli nga pikë në
pikë • GRE – Enkapsulimi i rrugës
së përgjithshme • RADIUS – Authen në
distancë Shërbimi i Përdoruesit Dial In • AAA – Autentifikimi,
Autorizimi dhe Kontabiliteti • SNMP – Protokolli i thjeshtë i
Menaxhimit të Rrjetit • DoS – Refuzimi i shërbimit
• ACL – Lista e kontrollit të

aksesit • DMZ – Zona e
çmilitarizuar • VoIP – Voice
over IP • ISP – Ofruesi i shërbimit të
internetit • PPPoE – Protokolli pikë për pikë përmes
Ethernetit • IPS – Sistemi i parandalimit
të ndërhyrjeve • NAC – Kontrolli i pranimit në rrjet
• VLAN – LAN virtual • QoS
– Cilësia e Shërbimit • ATM –
Mënyra e Transferimit Asinkron • PPDIOO
– Përgatitja, Planifikoni, Dizajnoni, Zbatoni, Veproni dhe Optimizoni • SLA –
Marrëveshja e Nivelit të Shërbimit •
ACL – Lista e Kontrollit të Aksesit
• ISR – (Cisco's) Ruteri i Shërbimeve të Integruara
iv
Lista e figurave dhe tabelave
Shifrat:
Figura 2.1 Qasja/Shpërndarja/Modeli bazë..........................................................................................3
Figura 2.2 Shembull i rrjetit të korporatës bazuar në modelin Access/Distribution/Core........................4
Figura 2.3 Degë me madhësi të ndryshme.................................................................................................5
Figura 2.4 Topologjia tipike e ndërmarrjes................................................................................................6
Figura 2.5 Arkitektura tipike e detajuar e ndërmarrjes.........................................................................7
Figura 2.6 Opsionet e lidhjes WAN...............................................................................................9
Figura 2.7 Topologjia e grumbullimit të WAN.............................................................................................9
Figura 2.8 Metrikat e performancës të lidhura me ruterët e serisë ISR...............................................13
Figura 2.9 Pajisja VPN e vendosur paralelisht me murin e zjarrit........................................................................13
Figura 2.10 Pajisja VPN e vendosur në zonën DMZ.........................................................................14
Figura 2.11 VPN e integruar dhe pajisja e murit të zjarrit..................................................................................14
Figura 2.12 Fazat IPsec në pajisjet Cisco.....................................................................................15
Figura 2.13 Lidhja SSL VPN..............................................................................................16
Figura 2.14 L2TP mbi negociatat IPsec........................................................................................17
Figura 2.15 Negociatat e Lidhjes PPTP.....................................................................................18
Figura 2.16 Menaxhimi i aksesit në një ndërmarrje që përdor RADIUS..............................................19
Figura 2.17 Mekanizmat e konfigurimit për menaxhimin e rrjetit...........................................20
Figura 2.18 Flukset e trafikut për menaxhimin brenda brezit................................................................20
Figura 2.19 Flukset e trafikut për menaxhimin jashtë brezit......................................................................21
Figura 2.20 Një kombinim i flukseve të trafikut të menaxhimit brenda dhe jashtë brezit 21
Figura 2.21 Menaxhimi hierarkik e ndan menaxhimin në funksione të dallueshme 22
Figura 2.22 Arkitektura DMZ me mur të vetëm të zjarrit..............................................................................23
Figura 2.23 Arkitektura DMZ me mur zjarri të dyfishtë....................................................................................24
Figura 2.24 Vendosja e ISR në zyrën e degës së vogël.........................................................................25
Figura 2.25 Degët e korporatës................................................................................................26
Figura 2.26 Zyra e degës në Nju Jork.................................................................................................27
Figura 2.27 Qasja e ciklit jetësor të rrjetit PPDIOO.......................................................................30
Figura 2.28 Identifikimi i Kërkesave të Klientit...........................................................................31
Figura 3.1 Infrastruktura e aksesit në distancë 3.4............................................... ......................
Figura 3.2 Vendosja e mureve të zjarrit të qasjes në distancë............................................................................34
Figura 3.3 Lidhja me internetin e ruterave kufitare...............................................................35
Figura 3.4 Shërbimet Cisco ASR 1000................................................................................................36
Figura 3.5 Pozicionimi i rrugëtimit të Cisco ASR...................................................................................36
Figura 3.6 Rrjeti i kampusit...............................................................................................................43
Figura 3.7 Rrjeti i kampusit - DMZ dhe skaji i Internetit................................................................44
Figura 3.8 Rrjeti i kampusit - Grupi i VPN me akses në distancë............................................................45
Figura 3.9 Arkitektura e zyrës së degës................................................................................................46
Figura 3.10 Mjedisi i testimit të HSRP.........................................................................................48
Figura 3.11 Fikja e ruterit aktiv HSRP BR1...........................................................................49
Figura 3.12 Topologjia e testit VPN......................................................................................................... 49
v
Tabelat:
Tabela 2.1 Kërkesat e veçorive për rolin e grumbullimit të WAN..........................................................10

Tabela 2.2 Kërkesat e veçorive për rolin e grumbullimit të WAN (vazhdim).................................................10
Tabela 2.3 Kërkesat SLA...................................................................................................................11
Tabela 2.4 Detajet për sigurimin e trafikut WAN......................................................................................11
Tabela 2.5 Përmbledhje e teknologjive VPN me akses në distancë............................................................................18
Tabela 3.1 Modelet e serisë Cisco ASR 1000................................................................................................36
Tabela 3.2 Krahasimi i modelit të serisë Cisco ASA 5500......................................................................37
Tabela 3.3 WAN privat kundrejt VPN nga faqja në sit...............................................................................40
Tabela 3.4 Krahasimi i serive Cisco ISR............................................................................................41
Tabela 3.5 Vlerësimi i performancës së ASA dhe ISR............................................................................47
vi
1 Hyrje
Rrjetet kompjuterike në ditët e sotme zënë një vend shumë domethënës në biznes. Është shumë kritike për
biznesin që të përdorë teknologjitë më të fundit të disponueshme, sepse ato ofrojnë siguri të shtuar, kapacitet
të shtuar të ruajtjes, shpejtësi të lartë të transferimit të të dhënave, zë dhe video në kohë reale dhe shumë më
tepër. Përfitime të tilla nevojiten shumë për një kompani në
rritje ose ndërmarrje të madhe. Ndërsa një kompani rritet, ajo duhet të ketë përfaqësues të autorizuar në
lokacione të ndryshme, të cilat zakonisht shpërndahen në zona të mëdha gjeografike. Zgjidhja
më e mirë është të investoni për një degë në vendet e nevojshme. Ky është skenar shumë i zakonshëm me
kompanitë që zhvillojnë zgjidhje softuerike; ato ose zgjerohen në një vendndodhje të re më afër klientëve të
mundshëm ose gllabërojnë një kompani të vogël me aktivitete të ngjashme.
Sido që të jetë, zyra e selisë ka nevojë për një lidhje të besueshme, të sigurt dhe të shpejtë me zyrat në
vende të largëta.
Projekti përqendrohet në lidhjen ndërmjet zyrës kryesore dhe zyrave të largëta - zyrat e degëve,
punonjësit e shtëpisë dhe punëtorët e lëvizshëm. Në pjesën e parë të projektit janë shqyrtuar disa opsione
të ndryshme për komunikimin ndërmjet rrjetit të korporatës dhe rrjeteve në distancë. Në pjesën e dytë,
zgjidhet një nga këto opsione.
1.1 Përkufizimi i problemit
Qëllimi përfundimtar i këtij projekti është të tregojë një dizajn të një rrjeti komunikimi kompjuterik të
korporatës me një rrjet të degëzuar të filialeve. Kërkesat që kemi për zgjidhjen tonë janë që rrjeti i
degëzuar i filialeve mund të zgjerohet rajonalisht, ndërkombëtarisht ose në mbarë botën me fokus në
zbatimin e rrjetit të degëve në distancë.
1.2 Motivimi
Motivimi i këtij projekti bazohet në disa njohuri dhe përvojë të mëparshme në lidhje me rrjetet,
protokollet e rrjetit dhe konfigurimin e pajisjeve të rrjetit Cisco. Ajo që shpresojmë të
arrijmë në fund të projektit është të përmirësojmë aftësitë tona të projektimit të rrjetit duke bërë
kërkime në atë fushë dhe duke përdorur njohuritë e mbledhura për të dizajnuar një rrjet që
do të zgjidhë problemin.
1.3 Metoda
Ne kemi përdorur metodën krahasuese në këtë projekt. Në kapitullin 2 ne mbledhim informacione rreth
ndërmarrjeve me arkitektura rrjeti të degëve të largëta dhe paraqesim të ndryshme
afrohet. Në kapitullin 3 analizojmë zgjidhjet e mbledhura, i krahasojmë ato dhe vendosim se cilën të
përdorim për qëllimin e këtij projekti.
1.4 Kufizimet
Për shkak të njohurive dhe përvojës që kemi me Cisco-n dhe për shkak se Cisco është një nga ofruesit më
të mëdhenj të zgjidhjeve në rrjet (për shembull Juniper është një tjetër ofrues i madh i zgjidhjeve të
rrjetit) dhe ofron një zonë të gjerë zgjidhjesh rrjeti (nga zyrat e vogla/shtëpia tek komplekset zgjidhjet e
korporatave) projekti bazohet në strategjitë, këshillat dhe pajisjet e
Cisco-s.
Dizajni i rrjetit në përgjithësi është një fushë shumë e gjerë dhe dizajnimi i një rrjeti korporativ me
degë është një detyrë komplekse për t'u realizuar. Për këtë projekt do të ishte praktikisht e pamundur të
analizohej në detaje çdo aspekt i dizajnit të rrjetit për kompanitë në shkallë të gjerë. Projekti fokusohet në
rrjetet e largëta si degë me detaje për funksionet, shërbimet, komunikimin, integrimin, strukturën etj., në
sfondin e një
1
rrjeti i korporatës. Nga ana e rrjetit të korporatës do të diskutohen vetëm elementët e rrjetit të
nevojshëm për funksionimin e rrjeteve të aksesit në distancë.
1.5 Struktura e raportit

Ky raport është i organizuar në katër kapituj. Në kapitullin 1 theksohen qëllimet kryesore të projektit.
Në kapitullin 2 diskutohen aspektet kryesore teorike të punës. Ai mbulon arkitekturën e rrjetit të
ndërmarrjeve, zgjidhjet e rrjetit të degëve në distancë, sigurinë, komunikimin
dhe në seksionin e fundit tregon disa topologji të rrjetit mostër.
Kapitulli 3 fokusohet në hartimin e një zgjidhjeje rrjeti për qëllimin e këtij projekti. Sugjerohet
topologjia e rrjetit të kampusit të ndërmarrjeve si dhe topologjia e zgjidhjeve për zyrat e degëve.
Kapitulli 4 është një përmbledhje e punës. Janë bërë rekomandime dhe përfundime dhe sugjerohet
puna e mundshme në të ardhmen për problemin.
2
2 Teoria
Ky kapitull mbulon njohuritë themelore teorike që do të na nevojiteshin në procesin e projektimit. Kapitulli është
i ndarë në katër seksione kryesore. Seksioni 2.1 përmban informacione për rrjetin kompjuterik të kompanisë me
degë – arkitekturë, shërbime, komunikim dhe integrim; seksioni 2.2 diskuton aspektet metodologjike të
projektimit – këshillat dhe hapat që duhet të ndjekim gjatë projektimit të një rrjeti; dhe në seksionin 2.3 janë
përfundimet, synimet dhe qëllimet.
2.1 Rrjeti kompjuterik i kompanisë me degë
2.1.1 Infrastruktura dhe Arkitektura e Rrjetit
Në zhvillimin e rrjetit tonë ka disa modele arkitekturore që mund t'i përdorim si pikënisje, qoftë si bazë e rrjetit
ose të ndërtojmë mbi rrjetin ekzistues.
Ne do të diskutojmë tre lloje të modeleve arkitekturore:
o Modele topologjike, të cilat shpesh përdoren si pikënisje në zhvillimin e një rrjeti. Këto modele
bazohen në rregullimin gjeografik ose topologjik të pajisjeve të rrjetit.
o Modele të bazuara në rrjedhën, të cilat fokusohen dhe përfitojnë nga një të veçantë
flukset e trafikut
o Modele funksionale – ka modele të bazuara në një ose më shumë funksione ose veçori
planifikuar për në rrjet.
Zakonisht rrjeti ndërtohet duke përdorur më shumë se një nga modelet arkitekturore.
Modelet topologjike
Modelet Access/Distribution/Core dhe LAN/MAN/WAN përdoren më së shpeshti. Mund t'i përdorim edhe sepse
janë të thjeshta dhe intuitive dhe bazohen në ndarjen gjeografike ose/dhe topologjike të
rrjeteve. Ato gjithashtu tregojnë shkallën e hierarkisë së planifikuar për rrjetin (treguar në Figurën 2.1).
Nëse kemi nevojë, gjithashtu nuk mund të përdorim të gjitha nivelet e modeleve ose nëse na duhen më shumë
mund t'i zgjerojmë ato për të treguar aq sa kemi nevojë. Për shembull, ne mund të përdorim të vetmin
LAN/WAN nga modeli ndërsa caktojmë kampusin, ndërtesat apo edhe katet në LAN. Megjithatë,
modeli Access/Distribution/Core fokusohet në funksion në vend të vendndodhjes.
Të dy modelet LAN/MAN/WAN dhe Access/Distribution/Core përdoren si pika fillestare në arkitekturën e
rrjetit, pasi të dyja janë intuitive dhe të lehta për t'u zbatuar. Megjithatë, ato mund të jenë kufizuese në atë që
vendosin kufij të rreptë midis zonave.
Figura 2.1 Qasja/Shpërndarja/Modeli bazë [9]
3
Figura 2.2 tregon një model të rrjetit të korporatës bazuar në këtë model topologjik. Në figurë shihen qartë shtresat
e ndryshme.
Figura 2.2 Shembull i rrjetit të korporatës bazuar në modelin Access/Distribution/Core [9]
Modele të bazuara në rrjedhën
Modelet e bazuara në rrjedhën që do të diskutojmë janë peer-to-peer, klient-server, hierarkike klient-

server, dhe informatikë e shpërndarë.
o Peer-to-peer – përdoruesit dhe aplikacionet në këtë model janë të qëndrueshme në të gjithë rrjetin, nuk ka
vendndodhje të dukshme për veçoritë arkitekturore. Kjo i shtyn funksionet, veçoritë dhe shërbimet drejt skajit
të rrjetit, pranë përdoruesve dhe pajisjeve të tyre.
o Klient-server – funksionet, veçoritë dhe shërbimet fokusohen në vendndodhjet e serverit, ndërfaqet me rrjetet
LAN të klientit dhe rrjedhat klient-server. Karakteristikat e modelit klient-server vlejnë edhe për modelin
arkitekturor hierarkik klient-server. Përveç funksioneve, veçorive dhe shërbimeve që fokusohen në
vendndodhjet e serverit dhe flukset klient-server, ato janë gjithashtu të fokusuara në flukset server-server.
o Llogaritja e shpërndarë – në këtë model, burimet e të dhënave dhe mbytet janë vende të dukshme për
veçoritë arkitekturore.
Modelet e bazuara në rrjedhën, si modelet topologjike, janë intuitive dhe mund të jenë të lehta për t'u zbatuar.
Meqenëse ato janë të lidhura me flukset, ato duhet të hartohen mirë me çdo hartë të rrjedhës që ne krijuar si pjesë e
procesit të analizës së kërkesave. Këto modele janë mjaft të përgjithshme dhe ato duhet
të modifikohen për t'iu përshtatur kërkesave specifike të një rrjeti.
Modele funksionale
Këto modele fokusohen në mbështetjen e funksioneve të veçanta në rrjet, si ofruesi i shërbimit, intraneti/ ekstraneti,
performanca me një/shumë nivele dhe modelet nga fundi në fund.
o Modeli arkitektonik i ofruesit të shërbimeve bazohet në funksionet e ofruesit të shërbimeve,
duke u fokusuar në privatësinë dhe sigurinë, ofrimin e shërbimeve për klientët (përdoruesit) dhe
4
faturimi. Shumë rrjete ndërmarrjesh po evoluojnë në këtë model, duke e aplikuar atë nëpër
organizata, departamente dhe ndërtesa.
o Modeli arkitektonik i intranetit/ekstranetit fokusohet në sigurinë dhe privatësinë, duke
përfshirë ndarjen e përdoruesve, pajisjeve dhe aplikacioneve bazuar në sigurinë akses.
o Modeli arkitektonik i performancës me një/shumë nivele fokusohet në identifikimin e rrjeteve ose pjesëve të
një rrjeti që kanë një nivel të vetëm të performancës, nivele të shumta të performancës ose që kanë
komponentë të të dyjave.
o Modeli arkitektonik nga fundi në fund fokusohet në të gjithë komponentët nga skaji në fund rruga
e një fluksi trafiku.
Modelet funksionale janë më të vështirat për t'u aplikuar në një rrjet, sepse duhet të kuptojmë se
ku do të vendoset secili funksion. Për shembull, për të aplikuar modelin nga fundi në fund, së pari duhet
të përcaktojmë se ku është nga fundi në fund për secilin grup përdoruesish, aplikacionesh ose pajisjesh që do të jenë
pjesë e end-to-end. Një avantazh i përdorimit të modeleve të tilla është se ato ka të ngjarë të jenë më të lidhura me
kërkesat për rrjetin.
Konceptet themelore të rrjeteve të aksesit në distancë

Rrjeti i aksesit në distancë kishte gjithashtu disa komponentë bazë. Nga një nivel topologjik, një rrjet aksesi në
distancë përbëhet nga tre segmente të rrjetit:
o Rrjeti i përdoruesit është pika e origjinës së kërkesave për akses. Mund të jetë një degë
rrjet zyre, ose një zyrë shtëpiake e përbërë nga një kompjuter personal (PC) i pajisur me një modem.
o Rrjeti i korporatës është destinacioni i trafikut të përdoruesit.

Rrjeti i zonës së gjerë (WAN) i mundëson përdoruesit të hyjë në rrjetin e korporatës. WAN mbulon një zonë të
madhe gjeografike dhe mund të jetë një rrjet telefonik me komutim publik (PSTN), internet ose një rrjet privat të
dhënash. Ai siguron funksionin e komutimit dhe/ose të rrugëzimit të kërkuar për të marrë një lidhje në distancë nga
rrjeti i përdoruesit në rrjetin e korporatës.
Figura 2.3 tregon zyrat e degëve të madhësive të ndryshme ndërsa lidhen me ndërmarrjen dhe internetin.
Figura 2.3 Degë me madhësi të ndryshme [20]
5
I kemi etiketuar si të vogla, të mesme dhe të mëdha por kjo është paksa subjektive. Me rritjen e madhësisë së
një dege, rritet numri i ruterave (lidhjeve) dhe gjithashtu rritet numri i çështjeve që duhet të marrim parasysh. Por
gjithsesi, figura na jep një të dhënë të dy sfidave kryesore të zbatimit me të cilat po përballemi për hartimin e
degës.
Së pari ne duhet të ofrojmë veçori që do të nevojiteshin për ndërveprim me hostin në internetin publik, dhe së dyti
duhet të sigurojmë komunikim të sigurt me hostet e ndërmarrjes. Për kategorinë e parë duhet të kemi parasysh
detajet për aksesin në internet. Për shembull, ne duhet të bëjmë DSL, ose kabllo, ose çdo lloj lidhjeje tjetër të
funksionojë. Në kategorinë e dytë ne duhet të fokusohemi në opsionet që
lejojnë një ndërmarrje të parandalojë leximin e paketave nga sulmuesit kur ata përshkojnë internetin. Një
opsion i tillë është VPN pasi i lejon ndërmarrjes t'u besojë paketave që vijnë nga zyra e degës legjitime.
Nga ana e ndërmarrjes arkitektura mund të duket si ajo e paraqitur në Figurën 2.4. Sidoqoftë, ne mund ta
evoluonim këtë topologji duke e ndarë atë në module - qendra të dhënash, kampus dhe WAN (MAN) si pjesë
e avantazhit të ndërmarrjes. Më poshtë do të diskutojmë më në detaje këto module të cilat janë interesante për
këtë projekt.
Figura 2.4 Topologjia tipike e ndërmarrjes [21]
Moduli WAN dhe MAN i mundëson ndërmarrjes sonë të shtrihet në mënyrë efikase në distancë vendndodhjet.
QoS, marrëveshjet e nivelit të shërbimit dhe enkriptimi i përfshirë na ndihmojnë të sigurojmë sigurinë e
shërbimeve të videos, zërit dhe të dhënave me definicion të lartë. Me këtë modul ne u mundësojmë punonjësve të
punojnë në mënyrë efikase kudo që janë vendndodhja e tyre. VPN-të mbi Layer 2 dhe Layer 3 WAN, topologjitë
hub-and-spoke ose me rrjetë të plotë përdoren për të ofruar sigurinë e nevojshme.
Për modulin e degës së ndërmarrjes mund të përdorim Cisco ISR (Integrated Service Router)
si ruter kufitar në vendndodhjet e degëve. ISR ofron akses të sigurt në aplikacionet zanore dhe video, dhe të dhëna
kritike për misionin. Ai gjithashtu mbështet veçori të tilla si drejtimi i avancuar i rrjetit, lidhjet e tepërta WAN,
VPN, përpunimi i thirrjeve të telefonisë IP lokale. Ndërmarrja mbështet monitorimin, menaxhimin dhe konfigurimin
e pajisjeve të përdorura në zyrat e largëta.
Moduli i telepunëtorëve na lejon të ofrojmë në mënyrë të sigurt shërbime të dhënash në

vendet e vogla të zyrës/zyrës në shtëpi (SOHO). Kjo gjithashtu u siguron punëtorëve të ndërmarrjes një mjedis
pune fleksibël. Duke përdorur menaxhimin e centralizuar dhe sigurinë e integruar, ne do të minimizojmë
koston e mbështetjes dhe do të zbusim sfidat e sigurisë të SOHO.
6
Telepunëtorët mund të kenë akses në aplikacionet dhe shërbimet e autorizuara duke u identifikuar në një rrjet të
sigurt gjithmonë në VPN.
Figura 2.5 Arkitektura tipike e detajuar e ndërmarrjes [21]
Figura 2.5 tregon një strukturë më specifike të arkitekturës së ndërmarrjes. Ne e përdorim atë si
një referencë për një topologji tipike ndërmarrjeje në të cilën janë zbuluar disa nga zgjidhjet e zgjedhura.
Siç mund ta shohim arkitektura bazohet në topologjinë Access/Distribution/Core. Për teknologjinë WAN
është zgjedhur Frame Relay (FR). FR është një teknologji WAN me komutim të paketave, e cila është ende në përdorim
në shumë ndërmarrje. Megjithatë, në ditët e sotme, teknologjia WAN gjithnjë e më shumë e përdorur është Ndërrimi i
Etiketave Multiprotokolare (MLPS). Ofruesit e shërbimeve po e përdorin atë shumë shpesh
si teknologji ekonomike për transportimin e trafikut të rrjetit me komutim qarkor dhe me komutim të
paketave, dhe MLPS gjithashtu mund të operojë mbi infrastrukturën ekzistuese (për shembull FR, ATM, IP dhe
Ethernet). Ndërsa FR konsiderohet teknologjia e Shtresës 2, MLPS konsiderohet të jetë teknologjia e
Shtresës 2.5 sepse ndodhet midis Shtresës 2 dhe Shtresës 3.
Figura tregon gjithashtu një pjesë të pajisjeve të nevojshme për zbatimin e zyrës së degës. Në seksionin
për shembuj do të tregojmë topologjinë më të detajuar për degët.
2.1.2 Shërbimet
Shërbimet zakonisht instalohen në një ose më shumë serverë rrjeti për të ofruar burime të përbashkëta për
përdoruesit fundorë. Në seksionin e mëposhtëm kemi vënë në dukje shërbimet e rrjetit që aplikohen ndoshta në
çdo implementim të rrjetit.
Shërbimet standarde të sistemit
Në një rrjet korporate ne zakonisht përdorim shërbimet e mëposhtme: o

DHCP (Protokolli i konfigurimit dinamik të hostit)
o DNS (Sistemi i emrave të domenit)
o Ndarja e skedarëve
o Autentifikimi
7
o E-mail
o Printime
Shërbimet e postës elektronike, printimit dhe ndarjes së skedarëve kërkojnë që përdoruesit të kenë leje për të hyrë
ato – e drejta e sigurisë dhe e aksesit duhet të konfigurohet. Zakonisht bëhet lehtësisht duke përdorur
shërbimin e drejtorive, i cili është gjithashtu një shërbim rrjeti.
Gjithashtu shërbime shumë të rëndësishme të biznesit në ditët e sotme janë zëri dhe video. Ne duhet të sigurohemi
që të ndërtojmë një rrjet që mbështet zërin dhe videon me nervozizëm dhe vonesë të minimizuar.
Shërbime rezervë
Ekzistojnë gjithashtu shërbime për menaxhimin e rezervave, rikuperimin nga fatkeqësitë dhe mjetet e monitorimit. Bërja e
kopjeve rezervë është kritike për kompanitë dhe ne nuk duhet ta harrojmë atë. Ka shumë mënyra se si mund të krijojmë
kopje rezervë. Ne mund të bëjmë kopje rezervë çdo ditë, javore ose mujore. Kjo varet nga politikat e kompanisë së caktuar.
Disa nga metodat për kopje rezervë përfshijnë si më poshtë:
o Regjistrimi i të dhënave kritike të biznesit në CD/DVD, memorie flash, memorie dhe të tjera dhe ruajtja e tyre në
një vend të sigurt ruajtjeje si të sigurt me të kufizuar
akses.
o Përdorimi i një produkti të bazuar në softuer për të kryer kopjimin dhe ruajtjen e të dhënave në një zonë
me akses të kufizuar në një server skedari, server ftp ose një pajisje ruajtëse rrjeti
o Nëse rezervimi është për përdorues të largët ose për zyrë të largët të degës, ata mund ta dërgojnë gjithashtu
kopjen rezervë në rrjetin e korporatës nëpërmjet lidhjes së sigurt, ku do të ruhet në media të mbrojtura.
Nëse kostoja është më shqetësuese në zgjedhjen e zgjidhjeve rezervë, kompania jonë duhet të zbatojë
zgjidhje me burim të hapur. Një nga produktet softuerike me burim të hapur më të përdorura
për të bërë kopje rezervë është Arkivi i Diskut Automatik i Rrjetit të Avancuar të Maryland-it (AMANDA); nga
produktet softuerike me burim të hapur të rimëkëmbjes nga fatkeqësitë përdoren më shpesh Zmanda Recovery Manager
(ZRM), Mandriva Linbox Rescue Server (LRS) dhe Bacula. Secila prej tyre na ofron mundësinë
për të krijuar dhe kontrolluar kopje rezervë të krijuar dhe për të rivendosur sistemin e dëshiruar.
Sidoqoftë, ne nuk do të diskutojmë shërbimet e rrjetit të përdorura nga ndërmarrjet në to rrjetet

në detaje sepse ato nuk janë fokusi kryesor i këtij projekti.
2.1.3 Komunikimi dhe integrimi

Një rrjet kryesor i ndërmarrjes lidhet me rrjetet e degëve në distancë nëpërmjet WAN.
Ne mund të zgjedhim nga shumë opsione ekzistuese sot për ndërtimin e WAN-it privat të një ndërmarrjeje. Këto
opsione përfshijnë linja me qira, Frame Relay, MPLS VPN dhe Metro Ethernet. Pavarësisht se secili është i
ndryshëm në një farë mënyre nga të tjerët, të gjithë kanë një karakteristikë të përbashkët – ata na ofrojnë një rrugë të
natyrshme private mbi të cilën dy nga ruterat tanë të ndërmarrjes mund të komunikojnë me njëri-tjetrin.
Nëse po kërkojmë një zgjidhje më të lirë të problemit ose thjesht nuk duam të implementojmë WAN të
kushtueshëm privat, mund të zgjedhim VPN-në vend-në-sit për ndërlidhjen e rrjetit të ndërmarrjes dhe
rrjeteve të degëve në distancë. Siguria në VPN site-to-site sigurohet duke përdorur IPsec dhe GRE. Në seksionet në vijim
do të shqyrtojmë më shumë detaje WAN-et private dhe VPN-të nga faqe në faqe.
WAN privat
Ne mund të përdorim WAN private për të lidhur dhe grumbulluar të gjitha degët e korporatës në ruterin kryesor (ose
bërthamën WAN). Nga ana në renë WAN, ndërfaqet e ruterit mbështesin metoda të ndryshme të transportit fizik, siç
tregohet në figurën 2.6. Në anën e bërthamës së kampusit, zakonisht zbatohet Gigabit Ethernet (GE) ose 10 Gigabit
8
Machine Translated by
Ethernet (10 GigE) që do të përdoret për trafikun midis ndërprerësve bazë të kampusit dhe WAN.
Figura 2.6 Opsionet e lidhjes WAN [19]
Ne gjithashtu duhet të konsiderojmë Metro Ethernet si metodën kryesore për grumbullimin e vendeve të
vendosura në zonën e caktuar gjeografike. Ai gjithashtu shkallëzohet shumë mirë me Gigabit Ethernet të
parëndësishëm dhe 10 Gigabit Ethernet dhe supozohet të shkallëzohet edhe më shumë
me standardet mjaft të reja për 40 dhe 100 Gbps P802.3ba..
Figura 2.7 Topologjia e grumbullimit WAN [19]
Mënyra më e zakonshme që mund të përdorim për ndërlidhjen me renë WAN janë linjat me qira. Në ditët e
sotme Ethernet është më shpesh zgjidhja e preferuar dhe po zëvendëson linjat e kushtueshme
me qira. Zakonisht funksionet për përfundimin e tunelit IPsec dhe murin e zjarrit nuk vendosen në ruterin e skajit
WAN. Zakonisht dizajni klasik me qendër dhe fole me
9
Përdoret lidhja tradicionale e shtresës 2. Figura 2.7 tregon një topologji bazë private WAN me
grumbullimin e degëve
Për të zgjedhur një ruter që shërben si platformë e grumbullimit WAN, duhet të përshkruajmë
kërkesat bazë për veçoritë e nevojshme të mbështetura (treguar në Tabelën 2.1
dhe Tabelën 2.2). Bazuar në atë se sa i madh është përqendrimi i degës, ne mund të mendojmë për
shkallën dhe performancën për këto shërbime. Është praktikë e mirë të zgjedhësh një platformë me
kontroll të ndarë, të dhëna dhe plan hyrje/dalje.
Tabela 2.1 Kërkesat e veçorive për rolin e grumbullimit të WAN [19]
Tabela 2.2 Kërkesat e veçorive për rolin e grumbullimit të WAN (vazhdim) [19]
1
Ne gjithashtu do të duhet të instalojmë SLA (Marrëveshjet e Nivelit të Shërbimit). Tabela 2.3

përshkruan kërkesat tipike SLA për WAN të konvergjuar për zërin, videon dhe llojet e trafikut të të
dhënave që duhet të përmbushim.
Tabela 2.3 Kërkesat SLA [19]
Ne gjithashtu nuk duhet të harrojmë sigurinë WAN. WAN-et tradicionale (për shembull ato të
bazuara në Frame Relay) supozohen të jenë në thelb të sigurta, por kjo nuk është
plotësisht e vërtetë sepse SP (ofruesit e shërbimeve) përdorin infrastrukturën fizike të përbashkët për të kryer
këtë trafik.
Tabela 2.4 Detajet për Sigurimin e trafikut WAN [19]
1
Ne mund të zgjedhim të përdorim MPLS VPN në të cilin trafiku është i izoluar nga etiketat dhe instancat
Virtual Routing/Forwarding (VRF). Por MPLS ndan ende të njëjtën infrastrukturë fizike kur
kalon renë PS. Praktika e zakonshme që mund të ndjekim gjithashtu është shtimi i enkriptimit për të arritur
konfidencialitetin. Tabela 2.4 tregon teknologjitë e përdorura zakonisht për të siguruar trafikun WAN. Duhet të
theksojmë se në shumicën e rasteve mjeti transportues për lidhje të sigurt është interneti publik.
VPN nga faqe në faqe
Si alternativë ndaj infrastrukturës private WAN, ne mund të përdorim VPN nga faqe në vend për t'u lidhur me zyrat e
degëve. Për VPN-të ne vendosim të njëjtat kërkesa si për WAN - duke përfshirë besueshmërinë e lartë,
shkallëzueshmërinë, mbështetjen e protokolleve të shumta, por ne i përmbushim këto kërkesa në një mënyrë me kosto
efektive me fleksibilitet më të madh. VPN-të Site-to-Sit përdorin si teknologji transporti internetin publik ose rrjetet IP
të ofruesve të shërbimit, duke aplikuar tunelizimin dhe enkriptimin për arritjen e privatësisë së të dhënave.
Ne mund të përdorim VPN nga faqe në faqe për të zëvendësuar shërbimin e kushtueshëm WAN ose mund ta përdorim atë si
rezervë dhe rikuperim në rast fatkeqësie: o
Zëvendësimi i WAN
IPsec është në gjendje të sigurojë zëvendësim me kosto efektive për infrastrukturën WAN. Ne do të duhet të
paguajmë më pak për një lidhje IP me gjerësi bande relativisht të lartë sesa për qarqet ekzistuese ose të
përmirësuara WAN. Ne mund të përdorim IPsec VPN për të lidhur degët e largëta, telepunëtorët dhe
përdoruesit celularë me burimet kryesore në rrjetin e kampusit. VPN nga faqe
në faqe ka katër komponentë kryesorë:
• Pajisja Headend VPN – shërben si pajisje për përfundimin e kokës VPN në
kampusi qendror
• Pajisja e aksesit VPN – shërben si pajisje fundore e degës VPN në
vendndodhjet e degëve
• Tunelet IPsec dhe GRE (Generic Routing Encapsulation) - Ndërlidhni

pajisjet kryesore dhe fundore në VPN
• Shërbimet e internetit nga ISP-të – shërbejnë si medium i ndërlidhjes WAN o
Rezervimi i WAN
Ne gjithashtu mund të përdorim IPsec VPN për të kopjuar një WAN operativ. Në atë rast kur
lidhja e rrjetit primar nuk funksionon, degët tona mund të mbështeten në lidhjen e Internetit VPN ndërsa lidhja
kryesore është e rregulluar. Përdorimi i IPsec VPN mbi një lidhje ISP me shpejtësi të lartë, kabllo me brez të gjerë
ose akses DSL mund të na sigurojë lidhje dytësore me kosto efektive me zyrat e largëta. Shpejtësia maksimale me të
cilën mund të funksionojë IPsec VPN përcaktohet nga shpejtësia e përgjithshme e lidhjes së ndërfaqes fizike të
ruterave të korporatave dhe të degëve, sepse
zakonisht një lidhje IPsec VPN nuk ka gjerësi brezi të lidhur me të.
Ne mund të përdorim Cisco ISR (Ruterët e Shërbimeve të Integruara) si ruterë fundorë për sitin-në lidhje VPN e
faqes. Një ISR mbështet veçori të sigurisë me performancë të lartë, veçori të pasura VPN me mur zjarri të avancuar
dhe parandalimin e ndërhyrjeve. Ai gjithashtu ka aftësi të gjera softuerësh IOS duke përfshirë QoS, multicast,
multiprotocol dhe mbështetje të avancuar të rrugëtimit. Figura 2.8 tregon disa masa të performancës në rastin më të
mirë për veçoritë individuale të sigurisë, por numrat e performancës mund të ndryshojnë në mjedise të ndryshme
prodhimi.
12
Figura 2.8 Metrikat e performancës të lidhura me ruterat e serisë ISR [9]
Ekzistojnë disa strategji për vendosjen e pajisjeve VPN midis të cilave ne mund të zgjedhim. Ne do t'i shqyrtojmë ato me detaje për avantazhet dhe disavanta
o Ne mund të vendosim pajisjen VPN paralelisht me një mur zjarri (Treguar në figurën 2.9).
Figura 2.9 Pajisja VPN e vendosur paralelisht me një mur zjarri [9]
Përparësitë në vendosjen e pajisjes VPN paralelisht me murin e zjarrit janë:

• Vendosja është thjeshtuar sepse nuk kemi nevojë të ndryshojmë murin e zjarrit duke
adresuar
• Shkallueshmëri e lartë sepse ne mund të vendosim pajisje të shumta VPN paralelisht me
muri i zjarrit
Disavantazhet në vendosjen e pajisjes VPN paralelisht me murin e zjarrit janë:

• Trafiku i deshifruar IPsec nuk inspektohet nga muri i zjarrit. Ky është një shqetësim i madh nëse trafiku kalimtar
nuk i nënshtrohet një inspektimi shtetëror
• Nuk kemi të implementuar pikë të centralizuar të prerjeve apo përmbajtjes
inspektimit
1
o Figura 2.10 tregon se ne mund të vendosim një pajisje VPN në zonën e çmilitarizuar
(DMZ)
Figura 2.10 Pajisja VPN e vendosur në zonën DMZ [9] Përparësitë për këtë skenar të projektimit janë: •
Firewall-i mund të inspektojë në mënyrë shtetërore trafikun e deshifruar VPN. •
Ky dizajn ofron shkallëzim mesatar në të lartë duke shtuar pajisje shtesë VPN. Ne mund të migrojmë në këtë dizajn relativisht lehtë duke shtuar një n
Disavantazhet këtu janë:

Konfigurimi ka rritur kompleksitetin sepse do të na duhet konfigurim shtesë në murin e zjarrit për të mbështetur ndërfaqet shtesë. Muri i zjarrit duhet
Muri i zjarrit mund të vendosë kufizime të gjerësisë së brezit në grupet e pajisjeve VPN. o Figura 2.11 tregon skenarin nëse përdorim një pajisje VPN
Figura 2.11 VPN e integruar dhe pajisja e murit të zjarrit [9]
Nëse zgjedhim këtë dizajn, do të kemi përparësitë e mëposhtme:

• Firewall-i mund të inspektojë në mënyrë shtetërore trafikun e deshifruar VPN.
• Ne mund ta menaxhojmë lehtësisht këtë dizajn me të njëjtat ose më pak pajisje për të mbështetur.
Disavantazhet që do të kemi janë:
• Shkallueshmëria mund të jetë problem sepse një pajisje e vetme duhet të shkallëzohet për të
përmbushur kërkesat e performancës së lidhjeve të shumta
• Ne aplikojmë konfigurimet në një pajisje e cila do të rrisë
kompleksiteti i konfigurimit
VPN nga faqe në faqe ka shumë përfitime. Disa prej tyre janë: o
VPN është gjithmonë në atë që do të thotë gjithmonë i lidhur
1
o Kushton më pak se WAN privat

o Siguron lidhje të sigurt me enkriptim
VPN në vetvete ndahet në nënteknologji - IPsec, SSL VPN, L2TP, L2TP mbi IPsec, PPTP.
IPsec
IPsec është ndoshta teknologjia VPN më e përdorur. IPsec siguron integritetin e të dhënave dhe siguron që paketat
nuk janë modifikuar gjatë transmetimit, siguron vërtetimin e paketave për të verifikuar që paketat vijnë nga burimi i
vlefshëm dhe kodon të dhënat për të siguruar konfidencialitetin. Mbrojtja që ofron IPsec është në nivel IP (modeli
OSI i shtresës 3). Cisco ka zhvilluar gjithashtu zgjidhje IPsec për
qasje në distancë. Figura 2.12 tregon fazat nëpër të cilat kalon një pajisje Cisco për të vendosur lidhjen IPsec.
Figura 2.12 Fazat IPsec në pajisjet Cisco [2]
Ka dy mënyra të ndryshme se si mund të përdorim zgjidhjet IPsec në pajisjet Cisco:

1. Bazuar në softuer – Për të përdorur këtë zgjidhje ne duhet të instalojmë një klient VPN të bazuar në softuer
në stacionet e punës fundore. Nëse politikat e kompanisë nuk lejojnë instalimin e softuerit të palëve të treta, ne
duhet të përdorim L2TP mbi IPsec. Në makinën tjetër të përdorur si server VPN duhet të
instalojmë Cisco IPsec gateway. Klienti Cisco i bazuar në softuer do të jetë pa pagesë për sa kohë që ne kemi
një kontratë shërbimi të vlefshme për përdorimin e portës Cisco IPsec.
2. Bazuar në harduer – VPN e bazuar në harduer Cisco mbështetet në sa vijon

platformat:
• Ruteri Cisco IOS
• Firewall Cisco PIX
• Cisco ASA 5505 dhe versione më të reja
• Cisco VPN 3002 dhe klient hardueri më i ri
Një ruter SOHO mund të shërbejë gjithashtu si klient VPN dhe të inicojë një lidhje VNP në
emër të hostit të lidhur me të.
SSL VPN
Kjo është një teknologji VPN që vepron në shtresën e aplikimit të modelit OSI dhe provon lidhje të sigurt me
burimet e zyrës së korporatës përmes përdorimit të shfletuesit të internetit ose klientit të dedikuar. Avantazhi i
madh i SSL VPN vjen nga fakti që SSL është i implementuar dhe i disponueshëm në të gjithë shfletuesit e
internetit. Ne mund të përdorim SSL VPN nga një kioskë ose rrjete publike si kafene, aeroporte dhe shumë të
tjera. SSL VPN gjithashtu mund të personalizohet në mënyrë që të plotësojë
kërkesat e kompanisë sonë. Ai po përdor gjithashtu një metodë me kosto efektive dhe fleksibël, por ende siguron
konfidencialitet të fortë të të dhënave.
1
Figura 2.13 Lidhja SSL VPN [2]
Cisco ka përmirësuar SSL VPN kështu që mund të ofrojë shumë mënyra përdorimi, duke përfshirë sa vijon:
o Modaliteti pa klient – ne mund të lidhemi me burimet e korporatës, veçanërisht me serverët e ueb-it dhe të
postës elektronike, pa nevojën e ndonjë klienti të aplikacioneve.
o Modaliteti i klientit të hollë - ne kemi akses në shumicën e protokolleve të bazuara në TCP - SMTP,
POP, SSH dhe Telnet duke ngarkuar një aplikacion Java në stacionin e punës së klientit
o Modaliteti i plotë – ne kemi akses të plotë në burimet e korporatës sikur të ishim të lidhur drejtpërdrejt me
rrjetin. Për të përdorur këtë mënyrë, ne duhet të instalojmë klientin SSL VPN të
shkarkueshëm në mënyrë dinamike
Protokolli i tunelit të shtresës 2 - L2TP

Ky protokoll është kombinim midis protokollit Cisco Layer 2 Forwarding dhe PPTP nga Microsoft. Ai përdor
portin e regjistruar UDP 1701 si për procesin e negociatave të tunelit ashtu edhe për kapsulimin e të dhënave dhe
përdor PPP për të paketuar të dhënat. Nëse përdorim teknologjitë L2F ose PPTP, mund t'i zëvendësojmë
lehtësisht me L2TP. Ekzistojnë dy modele në të cilat L2TP është më i përhapur:
o Modeli i tunelit vullnetar – ky funksionon më shumë si PPTP

o Thirrje hyrëse e detyrueshme e tunelit – kjo funksionon më shumë si L2F
L2TP është në gjendje të përdorë disa protokolle vërtetimi si Protokolli i Autentifikimit të Fjalëkalimit
(PAP), Protokolli i Autentifikimit Challenge-Handshake (CHAP), Microsoft CHAP (MS-CHAP).
Konfidencialiteti i të dhënave mund të sigurohet duke përdorur enkriptimin 40-bit ose 128-bit Kriptim
Microsoft Point-to-Point (MPPE), por rekomandohet gjithashtu
për të shtuar enkriptimin IPsec në L2TP.
L2TP mbi IPsec
Për shkak se L2TP nuk arrin të sigurojë konfidencialitet të fortë të të dhënave, implementimet e L2TP po përdorin
IPsec për të ofruar siguri. Në L2TP mbi IPsec ka shtatë hapa në mënyrë që stacioni i punës së përdoruesit dhe
porta e zyrës të komunikojnë (treguar në Figurën 2.14).
1
Figura 2.14 L2TP mbi negociatat IPsec [2]
o Hapi i parë është opsional nëse stacioni ynë i punës është i lidhur me internetin dhe mund të
gjenerojë trafik. Përndryshe, ne duhet të krijojmë seancë PPP në ruterin e aksesit të ofruesit të shërbimit
për të marrë një adresë IP
o Në hapin e dytë ne ekzekutojmë klientin L2TP që është konfiguruar të përdorë IPsec për të
siguria e të dhënave
o Më pas stacioni ynë i punës fillon dhe negocion një seancë dhe një kanal të sigurt për shkëmbimin e
çelësave.
o Pas vendosjes me sukses të Fazës 1, ne krijojmë dy kanale të sigurta për
kriptimi dhe vërtetimi i të dhënave. Kanalet e të dhënave janë vendosur për të enkriptuar trafikun L2TP
që është i destinuar në portin UDP 1701.
o Pasi të vendoset IPsec, ne fillojmë një sesion L2TP brenda IPsec.
o Pastaj kredencialet tona të vërtetimit përdoren për të vërtetuar seancën L2TP. Çdo atribut PPP ose L2TP
negociohet pas vërtetimit të suksesshëm.
o Pasi të krijohet sesioni L2TP, stacioni ynë i punës dërgon trafikun e të dhënave që është
i kapsuluar brenda L2TP. Paketat L2TP janë të koduara nga IPsec dhe më pas dërgohen në skajin
tjetër të tunelit përmes Internetit.
Nëse kemi një mur zjarri midis klientit L2TP mbi IPsec dhe portës së shtëpisë, ne
duhet të lejojë që të kalojnë protokolli IP 50 (ESP) dhe porta UDP 500. Paketat L2TP (porta UDP 1701) janë të
kapsuluara brenda ESP. Disa shitës L2TP mbi IPsec lejojnë transparencën NAT (NAT-T) duke enkapsuluar
trafikun në portin UDP 4500.
Protokolli i tunelit pikë-për-pikë – PPTP

Serverët PPTP si protokoll rrjeti klient-server që përdoruesit në distancë mund të përdorin për të fituar akses në
burimet e rrjetit përmes internetit. PPTP përdor PPP për të përmbledhur të dhënat e paketës dhe më pas i mbështjell
të dhënat brenda paketave IP.
Për të nisur një lidhje me portën PPTP, klienti përdor portin TCP 1723. Përdoruesi
më pas kërkohet kredencialet e vërtetimit. Nëse vërtetimi është i suksesshëm, përdoruesi po negocion
më shumë parametra të nevojshëm për të vendosur lidhjen - kompresimi, enkriptimi dhe klienti përdor
GRE për të përmbledhur paketat e të dhënave dhe i transmeton ato në
1
portën përmes një lidhjeje të pasigurt. Pas inkapsulimit të paketave, porta i vendos ato në rrjetin privat. Figura
2.15 tregon këtë proces.
Figura 2.15 Negociatat e Lidhjes PPTP [2]
Por PPTP nuk përdoret gjerësisht si teknologji në distancë për shkak të mangësive të sigurisë në zbatimin e protokollit të tij.
Kur zgjedhim një teknologji të qasjes në distancë, duhet ta bëjmë atë sipas sigurisë politikën e ndërmarrjes sonë. Tabela 2.5 na jep një përmb
Tabela 2.5 Përmbledhje e teknologjive VPN me akses në distancë [2]
2.1.4 Autentifikimi
Një ndërmarrje ka nevojë gjithashtu për një shërbim vërtetimi - një ose më shumë, kështu që përdoruesit në
distancë mund të vërtetojnë veten dhe të kenë akses në burimet e nevojshme të rrjetit. RADIUS është një server i
tillë. RADIUS do të thotë "Thirrja e Autentifikimit në distancë në Shërbimin e Përdoruesit". Ai siguron menaxhim
të centralizuar të Autentifikimit, Autorizimit dhe Kontabilitetit
(AAA) për kompjuterët që të lidhen dhe të përdorin burimet e rrjetit.
RADIUS është një protokoll klient/server që funksionon në shtresën e aplikacionit. Ai përdor UDP si
protokoll transporti. Të gjitha portat që kontrollojnë aksesin në rrjet, si Serveri i Qasjes në distancë, serveri i
Rrjetit Privat Virtual, ndërprerësi i Rrjetit me vërtetim të bazuar në port dhe Serveri i
Aksesit në Rrjet, kanë instaluar komponentin RADIUS që komunikon me serverin RADIUS. Zakonisht serveri
RADIUS instalohet në një makinë me bazë UNIX ose Windows NT dhe funksionon si proces sfondi. Funksionet
kryesore të serverit RADIUS janë:
o për të vërtetuar përdoruesit ose pajisjet përpara se t'u jepni atyre akses në rrjetin tonë
o për të autorizuar këta përdorues ose pajisje për shërbime të caktuara të rrjetit
o për të marrë parasysh përdorimin e këtyre shërbimeve
Figura 2.16 tregon një skenar tipik për përdorimin e serverit RADIUS për menaxhimin e aksesit.
1
Figura 2.16 Menaxhimi i aksesit në një ndërmarrje që përdor RADIUS [3]
2.1.5 Menaxhimi
Për menaxhimin e rrjetit duhet të mendojmë për aktivitetet, metodat, procedurat dhe mjetet që kanë të bëjnë
me funksionimin, administrimin, mirëmbajtjen dhe sigurimin e rrjetit. Operacioni ka të
bëjë me mbajtjen e rrjetit dhe funksionimin pa probleme – duke përfshirë monitorimin e rrjetit, në mënyrë që
çdo dështim të zbulohet sa më shpejt të jetë e mundur dhe në mënyrë ideale të mos preket asnjë përdorues. Në
administrim, ne duhet të mbajmë gjurmët e burimeve të rrjetit dhe si janë caktuar ato. Për të mirëmbajtur
rrjetin duhet të kryejmë riparime dhe përmirësime. Një shembull është kur duhet të ndryshojmë ose të shtojmë
një ndërprerës në rrjet, ose të përmirësojmë IOS-in e një ruteri. Sigurimi ka të bëjë me konfigurimin e
burimeve për të mbështetur një shërbim të
caktuar. Një shembull i tillë është vendosja e rrjetit në mënyrë që të lejojë një klient të ri të marrë
shërbimin zanor.
Për të mbajtur rrjetin tonë siç duhet, ne duhet të mbledhim të dhëna për menaxhimin e rrjetit. Kjo
zakonisht bëhet duke përdorur disa mekanizma, duke përfshirë agjentët e instaluar në infrastrukturë,
monitorimin, regjistrat e aktivitetit dhe sniffers, dhe ndonjëherë monitorimin e përdoruesve në kohë
reale. Menaxhimi lidhet me pajisjet e rrjetit që ne përdorim në rrjetin tonë.
Ka një numër të madh metodash aksesi që mbështesin menaxhimin e rrjetit dhe pajisjeve të rrjetit. Këto
metoda të aksesit përfshijnë SNMP (Simple Network Management Protocol), Telnet dhe
CLI (Command Line Interface), CMIP, custom XML, WMI (Windows Management Instrumentation),
Transaction Language 1, CORBA (arkitektura e ndërmjetësit të kërkesës së objektit të përbashkët),
NETCONF dhe Java Zgjerimet e Menaxhimit (JMX). Ne mund të vendosim të përdorim një
ose më shumë nga këto metoda.
Menaxhimi përfshin gjithashtu konfigurimin e pajisjeve të rrjetit për të përmbushur nevojat tona,
politikat e korporatës, skema e adresimit etj. Konfigurimi është vendosja e parametrave në një pajisje rrjeti
për funksionimin dhe kontrollin e atij elementi. Për të konfiguruar pajisjet tona, ne duhet të fitojmë akses në
to, që zakonisht bëhet nga mekanizmat e hyrjes të përmendura më sipër për akses të drejtpërdrejtë dhe/ose
në distancë. Një alternativë tjetër është shkarkimi/redaktimi/ ngarkimi i skedarëve të konfigurimit nëpërmjet
FTP/TFTP. Figura 2.17 tregon këto mekanizma konfigurimi për menaxhimin e rrjetit.
1
Figura 2.17 Mekanizmat e konfigurimit për menaxhimin e rrjetit [1]
Për të mbajtur dhe funksionuar rrjetin tonë, ne duhet të përdorim mjete monitorimi.
Mjetet e monitorimit përfshijnë shërbime të tilla si ping, Traceroute dhe TCPdump, ndërsa mekanizmat e aksesit
të drejtpërdrejtë përfshijnë telnet, FTP, TFTP dhe lidhjet nëpërmjet një porti konsol.
Cili mjet monitorimi do të përdorim është i rëndësishëm, por ajo që ka më shumë rëndësi është që
njoftimet e ngjarjeve të rëndësishme të shfaqen në kohë reale. Për shembull, kur vonesa e një lidhjeje
kalon një prag të caktuar, duhet të shfaqet njoftimi i ngjarjes në kohë reale.
E fundit, por jo më pak e rëndësishme, është e rëndësishme të mblidhen të dhënat e prodhuara
nga monitorimi. Këto të dhëna quhen të dhëna të menaxhimit. Më së shpeshti të dhënat mblidhen nga një
proces sondazhi (hetimi aktiv i pajisjeve të rrjetit për të dhënat e menaxhimit). kërkimi aktiv i pajisjeve të
rrjetit për të dhënat e menaxhimit ose monitorimi që përfshin një shërbim proxy ose protokoll të menaxhimit
të rrjetit (si SNMP). Në një moment gjatë procesit të mbledhjes së të dhënave, disa ose të gjitha të dhënat
ruhen në një media ose sistem të përhershëm (ose gjysmë të përhershëm). Ne gjithashtu mund ta ndajmë këtë
pjesë të procesit në disa hapa:
o Ruajtja primare – vendos të dhënat për periudha të shkurtra kohore, të cilat mund të
kryhen në serverin e menaxhimit të rrjetit
o Ruajtja sekondare – Ne kemi mbledhur të dhëna nga shumë vende të ruajtjes parësore dhe
grumbulloni të dhënat në një server ruajtjeje për rrjetin
o Magazinimi terciar – Ky është ruajtja më e përhershme dhe më e përhershme brenda rrjetit.
Në varësi të vendndodhjes fizike të pajisjeve tona të menaxhimit, ekzistojnë disa lloje të menaxhimit
- menaxhimi brenda dhe jashtë brezit; menaxhim i centralizuar, i shpërndarë dhe hierarkik.
Menaxhimi brenda dhe jashtë brezit

Nëse zgjedhim në menaxhimin e brezit, fluksi i trafikut për menaxhimin e rrjetit do të përdorë të njëjtat rrugë
si trafiku i përdoruesve dhe aplikacionet e tyre. Kjo thjeshton arkitekturën e rrjetit sepse
të njëjtat shtigje rrjeti mund të përdoren për të dy llojet e të dhënave. Figura 2.18 tregon fluksin e
trafikut për menaxhimin brenda brezit.
Figura 2.18 Flukset e trafikut për menaxhimin brenda brezit [1]
2
Disavantazhi është se trafiku i menaxhimit mund të ndikohet nga të njëjtat probleme që ndikojnë në
trafikun e përdoruesve dhe kështu kur menaxhimi i rrjetit është më i nevojshëm, ai nuk mund të jetë i
disponueshëm.
Në menaxhimin jashtë brezit ka rrugë të ndryshme për menaxhimin e trafikut dhe për
trafiku i përdoruesve. Ky menaxhim na jep avantazhin për të vazhduar monitorimin e rrjetit edhe në rast
të dështimit të rrjetit. Figura 2.19 tregon se zakonisht menaxhimi jashtë brezit ofrohet nëpërmjet një rrjeti
tjetër, sistemit të vjetër telefonik (POTS) ose frame-relay.
Figura 2.19 Flukset e trafikut për menaxhimin jashtë brezit [1]
Një disavantazh i këtij modeli menaxhimi është se ai shton kompleksitetin dhe shpenzimet pasi ne kemi
nevojë për një rrjet tjetër për menaxhimin e rrjetit.
Ne gjithashtu mund të përdorim një kombinim të të dyjave për menaxhim optimal. Ne do të përdorim
menaxhimi brenda brezit kur rrjeti është funksional dhe jashtë brezit kur rrjeti i përdoruesit nuk është funksional.
Figura 2.20 tregon kombinimin e trafikut të menaxhimit brenda dhe jashtë brezit.
Figura 2.20 Një kombinim i flukseve të trafikut të menaxhimit brenda dhe jashtë brezit [1]
Menaxhimi i centralizuar, i shpërndarë dhe hierarkik

Në menaxhimin e centralizuar do të na duhet vetëm një makinë. Të gjitha të dhënat e menaxhimit si ping,
traceroutes, SNMP etj, do të rrezatohen nga një sistem i vetëm menaxhimi, i cili zakonisht është i madh.
Përfitimi i dukshëm është se meqenëse ne do të përdorim një sistem të vetëm që do të na kursejë koston dhe do të
thjeshtojë arkitekturën. Disavantazhi është gjithashtu i dukshëm. Ky single sistemi është një pikë e vetme
dështimi.
Menaxhimi i shpërndarë është kur ne përdorim shumë komponentë të veçantë për të menaxhuar rrjetin.
Këta komponentë vendosen në mënyrë strategjike në rrjet. Përparësitë e menaxhimit të shpërndarë janë se ai
ofron monitorim të tepërt dhe meqenëse ka më shumë pajisje menaxhimi në rrjet, trafiku i menaxhimit në të
gjithë
2
rrjeti është zvogëluar. Një pengesë është se përdorimi i më shumë pajisjeve do të rrisë
kosto.
Menaxhimi hierarkik është kur ne vendosim të ndajmë funksionet e menaxhimit dhe t'i vendosim ato në
pajisje të ndryshme. Kjo është hierarkike sepse kur i ndajmë funksionet, ne mund ta konsiderojmë secilin prej tyre
si një shtresë të veçantë që komunikon në një mënyrë të serverit të klientit. Një avantazh
është se ne përdorim këtë lloj menaxhimi është se ne mund ta bëjmë çdo komponent të tepërt, pavarësisht nga
komponentët e tjerë. Një kompromis në menaxhimin hierarkik është kostoja, kompleksiteti dhe shpenzimet e
përgjithshme të të paturit të disa komponentëve të menaxhimit në rrjetin tonë. Figura
2.21 tregon një model të menaxhimit hierarkik
strukturën.
Figura 2.21 Menaxhimi hierarkik e ndan menaxhimin në funksione të dallueshme [1]
2.1.6 Siguria
Për të hartuar një rrjet ndërmarrjesh plotësisht të sigurt është pothuajse e pamundur. Në një rrjet kaq të madh si
një rrjet ndërmarrjesh, ka shumë mënyra se si dikush mund të shkelë mbrojtjen dhe të dëmtojë rrjetin tonë. Disa
nga kërcënimet, por sigurisht jo të gjitha, janë renditur më poshtë:
o Qasje e paautorizuar në të dhëna, shërbime, softuer ose pajisje
o Zbulimi i paautorizuar i informacionit
o Refuzimi i shërbimit (DoS)
o Vjedhja e të dhënave, shërbimeve, softuerit ose harduerit
o Korrupsioni i të dhënave, shërbimeve, softuerit ose harduerit
o Viruset, krimbat, kuajt e Trojës
o Dëmtime fizike
Për t'u marrë me këto kërcënime dhe për t'i bllokuar ato, ne duhet të zbatojmë disa politika dhe procedura të
privatësisë. Ndërmarrja jonë mund të vendosë të bllokojë të gjithë trafikun nga rrjetet e brendshme drejt sajteve të
veçanta, për shembull youtube, e-mail të jashtëm, gjurmues torrent etj. Një qasje e zakonshme është të mohojë të
gjithë trafikun dhe të lejojë në mënyrë eksplicite vetëm një listë të rrugëve specifike. Kjo është nga këndvështrimi
ynë si administratorë. Pikëpamja e përdoruesve është e kundërta – lejoni gjithçka dhe mohoni rrugët specifike pas
kësaj. Duke zbatuar një politikë kaq të rreptë sigurie, ne duhet të kemi një njohuri dhe kuptim të plotë të
kërkesave të përdoruesve, aplikacioneve, pajisjeve dhe rrjetit pasi këto janë shumë specifike për t'u lejuar dhe
pranuar. Kjo mund të bëhet duke zbatuar ACL-të (lista e kontrollit të aksesit), muret e zjarrit ose ndonjë softuer
ose produkt harduerik bllokues.
Në ndërmarrjen tonë mund të zbatojmë edhe zonën e demilitarizuar (DMZ). Ideja kryesore e DMZ
është për të shtuar më shumë siguri në rrjetin e brendshëm të një organizate. Në DMZ
2
zonë ne mund t'i ekspozojmë pajisjet e jashtme të ndërmarrjes sonë ndaj një rrjeti të madh të pabesueshëm që
zakonisht është Interneti. Në këtë mënyrë çdo sulmues i mundshëm ka akses vetëm në pajisjet në zonën DMZ dhe
ai nuk ka dukshmëri dhe akses në rrjetin dhe pajisjet tona të brendshme të cenueshme. Zakonisht në një zonë DMZ
mund dhe këshillohet të vendoset çdo shërbim që përdoret
nga përdoruesit nga një rrjet i jashtëm. Shërbimet më të zakonshme janë e-mail, web, proxy, reverse proxy,
servers FTP, servers VoIP. Ndonjëherë shtimi i këtyre shërbimeve në zonën DMZ nuk është i mjaftueshëm
dhe duhet të ndërmerren hapa shtesë për të ofruar siguri:
o Web serverët – Një server në internet për të ofruar disa shërbime të specializuara mund të ketë nevojë të
komunikojë me një bazë të dhënash të brendshme. Serveri i bazës së të dhënave
përmban informacione të cenueshme dhe nuk është i aksesueshëm nga rrjetet e jashtme.
Serveri i bazës së të dhënave nuk duhet të jetë në zonën DMZ. Nuk është shumë e mençur të lejosh që
serveri i jashtëm i ueb-it të komunikojë drejtpërdrejt me serverin e bazës së të dhënave. Në vend të
kësaj, ne mund të aplikojmë dhe përdorim një mur zjarri aplikacioni i cili do të veprojë si një medium
për komunikimin midis dy serverëve. Edhe pse kjo është e
ndërlikuar, do të rrisë sigurinë tonë
o Serverët e postës elektronike – Për të shtuar serverin e postës elektronike në zonën DMZ është një ide
shumë e dobët. Email-i duhet të ruhet në serverin e brendshëm të postës elektronike i cili
do të vendoset në një zonë të fshehur brenda zonës DMZ, duke e mbrojtur atë nga aksesi i jashtëm.
Gjithashtu nuk është e mençur të vendosni serverin e postës elektronike në LAN. Së pari kjo zvogëlon
performancën dhe së dyti megjithëse serveri i postës është i mbrojtur nga sulmet e
jashtme, ai nuk mbrohet nga sulmet e brendshme si nuhatja dhe mashtrimi. Ne duhet të kemi një server
email brenda zonës DMZ dhe një server të brendshëm të postës të sigurt. Serveri i
postës nga brenda DMZ duhet t'i kalojë emailet hyrëse te serverët e brendshëm dhe serverët
e brendshëm duhet t'i kalojnë emailet dalëse te serverët e jashtëm (të vendosur në zonën DMZ).
Ka shumë mënyra për të dizajnuar një rrjet me zonat DMZ, por ka dy metoda më themelore për ta bërë këtë
- një arkitekturë e vetme e murit të zjarrit (Figura 2.22) dhe arkitekturë e dyfishtë të mureve të zjarrit (Figura
2.23).
Figura 2.22 Arkitektura DMZ me mur zjarri të vetëm [13]
2
Figura 2.23 Arkitektura DMZ me mur zjarri të dyfishtë [13]
o Në figurën 2.22 muri i zjarrit duhet të ketë tre ndërfaqe. Në ndërfaqen e parë është
formohet rrjeti i jashtëm - nga ISP në murin e zjarrit, në të dytën formohet rrjeti i brendshëm, dhe në
ndërfaqen e tretë është formuar zona DMZ. Por zbatimi i kësaj arkitekture, muri i zjarrit
bëhet një pikë e vetme dështimi.
Për më tepër, ai duhet të jetë në gjendje të trajtojë të gjithë trafikun e destinuar për në zonën DMZ dhe të
gjithë trafikun e destinuar për ISP.
o Arkitektura në Figurën 2.23 paraqet një qasje më të sigurt. Firewall-i i parë (i duhuri) do të jetë përgjegjës
për lejimin e trafikut të destinuar vetëm në zonën DMZ. Ky mur zjarri quhet gjithashtu muri i zjarrit
"front-end". Firewall-i i dytë duhet të konfigurohet që të lejojë vetëm trafikun nga
zona DMZ në rrjetin e brendshëm. Ky firewall quhet firewall "back-end". Firewall-i i parë gjithashtu
duhet të trajtojë një sasi më të madhe trafiku. Ndonjëherë rekomandohet përdorimi i
murit të zjarrit nga shitës të ndryshëm sepse nëse një sulmues në një farë mënyre depërton të parin, do të duhet
më shumë kohë për të depërtuar të dytin pasi është bërë nga një shitës tjetër. Kjo teknikë quhet "mbrojtje në
thellësi" ose "siguri përmes errësirës". Sigurisht që kjo zgjidhje është më e shtrenjtë se e para.
Në rrjetin e brendshëm është ide e mirë të zbatohet Përkthimi i Adresave të Rrjetit (NAT) pasi hapësira e
adresave private nuk përhapet përmes internetit. Kjo gjithashtu rrit sigurinë.
Nëse supozojmë se rrjeti i brendshëm është i siguruar, është koha për të siguruar edhe lidhjet e aksesit
në distancë. Ndoshta pika më kritike e aksesit në distancë është procesi i vërtetimit. Ne mund të realizojmë vërtetimin e
përdoruesve në distancë duke aplikuar një kombinim të PPP, PPPoE, CHAP. Protokollet PAP dhe RADIUS. Ekzistojnë
gjithashtu mekanizma të tjerë të vërtetimit në rrjetin e qasjes në distancë që përfshijnë argumentet, kartat inteligjente,
certifikatat dixhitale dhe kthimin e thirrjeve. VPN dhe SSL
ose tunele të tjera janë gjithashtu pjesë e rrjetit të aksesit në distancë.
SSL VPN është një pikë e mundshme hyrëse për temat e sigurisë. SSL VPN ofron shumë përfitime për
biznesin, por gjithashtu po vendos sfida shtesë të sigurisë, ndryshe nga teknologjitë e
tjera të aksesit në distancë VPN. Kjo është kështu sepse SSL VPN mbështet përdoruesit nga vende që nuk mbrohen
nga ligjet dhe politikat e korporatës. Vende si PC kioskë, internet kafe, etj. Lidhja është e sigurt, por nëse përdoruesit
e SSL VPV hyjnë nga një makinë e infektuar, me shumë mundësi do të bëhen burim për përhapjen e viruseve,
krimbave, kuajve të Trojës në rrjetin e korporatës. Në përgjithësi, nëse duam të merremi me stacione fundore të
pakontrolluara, do të përballemi me rrezik të shtuar
të sigurisë.
Kontrolli i pranimit në rrjet (NAC) - NAC është teknologji që adreson sigurinë
çështjet e zbatimit të pajtueshmërisë. Ideja themelore është të kontrolloni dhe të siguroheni që
2
pikat përfundimtare janë në përputhje me politikat e sigurisë së korporatës - të kenë softuerin e duhur
antivirus dhe nivelin e korrigjimit të Windows, përpara se pajisjet e rrjetit t'u japin përdoruesve akses në burimet e rrjetit.
2.1.7 Zgjidhje dhe shembuj
Zbatimi i një dege të vogël me Cisco ISR
Figura 2.24 paraqet një zbatim të një dege të vogël të ndërmarrjes me ruterin e shërbimit të integruar të serisë Cisco 890.
Modeli i saktë i ruterit ISR është 892. Ai kombinon aksesin në internet, shërbimet me valë dhe sigurinë e gjerë në një pajisje
të vetme që është e lehtë për t'u vendosur dhe menaxhuar.
Ky model ISR ofron gjithashtu zgjidhje për komunikime të sigurta të të dhënave dhe zërit në zyrën e degës;
“Performancë të lartë për akses të sigurt broadband dhe Metro Ethernet me shërbime të njëkohshme për degët e vogla të
ndërmarrjeve; Vazhdimësia e biznesit dhe diversiteti WAN me lidhje të tepërta WAN: Fast Ethernet,
V.92 dhe Ndërfaqja e Normës Bazë ISDN (BRI)” [22]
Figura 2.24 Vendosja e ISR në zyrën e degës së vogël [22]
Ne mund ta përdorim këtë model për VPN-të site-to-site dhe VPN-të me akses në distancë. ISR
mbështet teknologjitë VPN, si IPsec, VPN (kriptimi 3DES ose AES, të dyja mbështeten), Dynamic
Multipoint VPN (DMVPN) dhe SSL VPN. Me ndërprerësin e tij të menaxhuar me Ethernet të shpejtë
10/100 me 8 porte me mbështetje VLAN, LAN me valë (WLAN) dhe mbështetjen për Power over Ethernet (PoE) me 4
porte të disponueshme, është një zgjidhje ekonomike.
për një zyrë të vogël pasi mund të shërbejë si router, switch dhe pikë aksesi njëkohësisht.
Siç mund ta shohim në anën e rrjetit të ndërmarrjes si router headend sugjerohen dy modele - Cisco 2800 ose Cisco
3800. Ata janë të dy ruterë ISR nga klasa më e lartë që janë të përshtatshme për rrjetet e ndërmarrjeve. Cisco
rekomandon serinë 2800 për bizneset e vogla dhe të mesme, ndërsa seritë 3800 rekomandohen për ndërmarrjet dhe
degët e mesme dhe të mëdha. Më shumë informacion rreth tyre është i disponueshëm në përkatësisht për seritë 2800 në
[36] dhe rreth seritë 3800 në [37].
Edhe pse, Figura 2.24 nuk tregon ndonjë detaj në lidhje me skemën e adresimit IP ose më shumë detaje rreth
topologjisë së ndërmarrjes, ajo na jep një zgjidhje të mirë dhe me kosto efektive për një zyrë të vogël dege.
Për më shumë informacion në lidhje me seritë Cisco 892 dhe duke përfshirë çmimin është në dispozicion në referencë
[22]. Aty mund të gjejmë gjithashtu informacione për produkte të tjera të Cisco-s, si ndërprerësit
e katalizatorit, pikat e hyrjes, etj. Mund t'i referohemi gjithashtu seksionit "Ruterët e Shërbimit të Integruar" në faqen
zyrtare të Cisco-s të vendosur në [38]
2
Zbatimi i rrjetit të korporatave të vogla dhe të mesme të sigurta me degë të bazuara në

Cisco ASA, rishikuar në [23]
Figura 2.25 Degët e korporatave [23]
Figura 2.25 tregon se seritë Cisco ASA 5500 aplikohen në secilën prej zyrave të largëta.
Secila nga ASA është e lidhur me routerin Cisco IOS për të siguruar lidhje me internetin. Nga ana e
brendshme e rrjetit, ASA-të janë të lidhura me çelësat katalizatorë për lidhjen e brendshme të përdoruesit.
Për shkak të politikave të sigurisë së kompanisë, zyrat e degëve lejohen të lidhen me internetin vetëm
përmes porteve TCP 80 (www) dhe 443 (SSL). Aplikohen modelet e mëposhtme të biznesit:
o “Përdorimi i një aplikacioni të palës së tretë që përdor portat TCP 8912 dhe 8913. Makineritë e klientëve nga
përdoruesit në vendndodhje të largëta do të hyjnë në këtë server aplikacioni të palëve të treta përmes tunelit
VPN nga faqja në faqe në sitin rajonal të SecureMe në Uashington.
o Përdoruesit hyjnë në postën e tyre elektronike (Simple Mail Transfer Protocol [SMTP], Post Office
Protocol [POP] dhe Internet Message Access Protocol [IMAP]) nga një server e-mail në Uashington
mbi tunelin VPN.
o DNS lejohet për zgjidhjen e emrit.”
Administratorët në sitin qendror po përdorin një aplikacion për të kontrolluar në distancë
(përfshirë instalimin e softuerit – arnime të sistemit operativ, përditësime antivirus, etj.) stacione pune
të përdoruesve në zyrat e largëta të degëve. Ky aplikacion përdor portën TCP 7788 dhe duhet të lejohet në pajisjen
ASA. Figura 2.26 tregon topologjinë më të detajuar të zyrës së degës në Nju Jork që plotëson kërkesat e listuara
më sipër. Topologjia e degëve të tjera do të jetë e njëjtë përveç skemës së adresimit IP.
2
Figura 2.26 Zyra e degës në Nju Jork [23]
Konfigurimi i zyrës së degës në Nju Jork është renditur në Shtojcën A.1. Më shumë
informacioni rreth serisë Cisco ASA 5500 është i disponueshëm në [39].
2.2 Aspekte metodologjike të projektimit

Projektimi i një rrjeti të korporatës apo edhe i një fragmenti të vetëm prej tij (si rrjeti i skajshëm) është detyrë
komplekse. Për këtë ne duhet të ndjekim një qasje të provuar, në procesin e projektimit, e
cila do të na lehtësojë punën sa më shumë që të jetë e mundur. Tani do të shqyrtojmë
udhëzuesit e mundshëm të projektimit në mënyrë që të zgjedhim një që do të përdorim në dizajnimin e rrjetit tonë.
2.2.1 Qasjet e projektimit nga lart-poshtë dhe nga poshtë-lart

Për qasjen e projektimit nga lart-poshtë, së pari duhet të marrim parasysh kërkesat, me
aplikacionet dhe zgjidhjet e rrjetit që duam të ekzekutohen në rrjetin tonë. Kjo qasje lehtëson procesin e
projektimit duke e ndarë atë në hapa më të vegjël dhe të lehtë të menaxhueshëm.
Qasja nga lart-poshtë na ndihmon gjithashtu të qartësojmë qëllimet e projektimit dhe të fillojmë dizajnin
nga këndvështrimi i aplikacioneve dhe zgjidhjeve të kërkuara. Qasja e strukturuar
nga lart-poshtë fokusohet në ndarjen e procesit të projektimit në elementë të lidhur, më pak kompleks: o Ne
duhet të identifikojmë aplikacionet e nevojshme për të mbështetur kërkesat e përdoruesit.
o Ne duhet të identifikojmë kërkesat logjike të lidhjes së aplikacioneve, me fokus në zgjidhjet e
nevojshme të rrjetit dhe shërbimet mbështetëse të rrjetit. Shërbime të tilla infrastrukturore përfshijnë
zërin, rrjetin e përmbajtjes dhe rrjetin e ruajtjes, disponueshmërinë, menaxhimin, sigurinë dhe QoS.
o Ne duhet të ndajmë rrjetin funksionalisht për të zhvilluar infrastrukturën e rrjetit dhe
kërkesat e hierarkisë.
o Ne duhet të dizajnojmë çdo element të strukturuar veçmas por në raport me të tjerët elementet.
Infrastruktura e rrjetit dhe dizajni i shërbimeve të infrastrukturës janë të lidhura ngushtë, sepse të
dyja janë të lidhura me të njëjtat modele logjike, fizike dhe me shtresa.
Për qasjen nga poshtë-lart, fillimisht duhet të zgjedhim pajisjet, veçoritë, e kështu me radhë, dhe
më pas të përpiqemi të përshtatim aplikacionet në atë rrjet. Kjo qasje mund të na detyrojë të ridizajnojmë nëse
aplikacionet nuk akomodohen siç duhet. Mund të rezultojë gjithashtu në rritje të kostove, sepse
ne po përfshijmë veçori ose pajisje që nuk na nevojiten dhe do t'i përjashtonim pas përfundimit të analizës së
kërkesave të rrjetit.
2.2.2 Dizajn modular

Gjatë dizajnimit të arkitekturës së rrjetit, është e dobishme dhe e dobishme të ndahet rrjeti në pjesë më të vogla
të quajtura blloqe ose module. Ky është momenti kyç për të filluar sepse
2
është shumë më e lehtë të dizenjosh pjesë të vogla të rrjetit sesa të dizenjosh të gjithë rrjetin. Ky dizajn
modular ka shumë përfitime, duke përfshirë këto:
o Një pjesë më e vogël e rrjetit është më e lehtë për t'u kuptuar dhe projektuar
o Elementet më të vegjël të rrjetit lehtësojnë zgjidhjen e problemeve
o Ofron fleksibilitet sepse është më e lehtë të ndryshosh module të vetme të rrjetit sesa të ndryshosh të gjithë
rrjetin
Kur planifikoni një rrjet, ka edhe disa komponentë bazë të rrjetit që duhen
të merren parasysh. Ato janë adresimi/drejtimi, menaxhimi i rrjetit, performanca dhe siguria:
Komponenti i adresimit/drejtimit
Ky komponent ka të bëjë me teknikat e adresimit/drejtimit që duhet të përdorim në rrjetin tonë.
Këto teknika përfshijnë nënrrjetin, nënrrjetin me gjatësi të ndryshueshme, supernetizimin, adresimin publik,
adresimin dinamik, adresimin privat, LAN-et virtuale (VLAN), IPv6 dhe përkthimin e adresave të rrjetit (NAT).
Adresat e rrjetit publik përdoren për të identifikuar në mënyrë unike kompjuterët në internet.
Ne mund të marrim hapësirën e adresimit publik nga ISP-ja jonë ose mund ta marrim atë drejtpërdrejt nga
Autoriteti i Numrave të Caktuar në Internet (IANA).
Hapësira e adresimit privat përmban adresa IP të veçanta që nuk lejohen të dalin nga një rrjet privat
si LAN-i ynë i korporatës. Adresat e njohura private që janë të disponueshme për përdorim të rrjetit të
brendshëm janë:
o Klasa A - nga 10.0.0.0 në 10.255.255.255
o Klasa B - nga 172.16.0.0 në 172.31.255.255
o Klasa C - Nga 192.168.0.0 në 192.168.255.255
Këto vargje adresash janë adresat e plota. Për përdorim më optimal të adresës
diapazoni ne mund të vendosim subnetting me gjatësi të ndryshueshme ose subnet mask me
gjatësi të ndryshueshme (VLSM). Kjo teknikë na lejon të ndajmë adresat IP në nënrrjeta sipas nevojës së tyre
individuale. Për shembull për lidhjen ndërmjet dy ruterave ku praktikisht na duhen vetëm dy adresa, një për çdo
ruter. Nuk duhet të harxhojmë një nënrrjet të tërë adresash të klasës C – nënrrjetin 192.168.1.0 255.255.255.0 ku
mund të banojnë 253 hoste. Duke vepruar kështu, do të humbnim shumë hapësirë adresash. Për të shmangur këtë,
ne mund të vendosim VLSM. Në vend që të rezervojmë të gjithë nënrrjetin 192.168.1.0 vetëm për lidhjen midis dy
ruterave, ne mund t'u ndajmë adresa nga diapazoni i adresave 192.168.1.0/4, ku mund të qëndrojnë vetëm dy host
dhe kështu të ruajmë hapësirën e adresimit.
Deri tani kemi diskutuar adresat IPv4. Duhet të shqyrtojmë gjithashtu mundësinë e
vendosjes së adresave IPv6. IPv6 është versioni më i ri i protokollit IP që fillimisht kishte për qëllim
zgjidhjen e kufizimeve të hapësirës së IPv4. IPv6 gjithashtu ka përfitimet e mëposhtme mbi IPv4: “hapësirë
më e madhe adresash për arritshmërinë dhe shkallëzimin global; kokë e thjeshtuar
për efikasitetin dhe performancën e rrugëtimit; hierarki dhe politika më të thella për fleksibilitetin e arkitekturës së
rrjetit; mbështetje efikase për rutinimin dhe grumbullimin e itinerarit; konfigurim automatik pa server, rinumërim
më i lehtë, multihoming dhe mbështetje e përmirësuar e plug and play; siguria me mbështetje të detyrueshme IP
Security (IPSec) për të gjitha pajisjet IPv6; mbështetje e përmirësuar për IP-në celulare dhe pajisjet kompjuterike
celulare (rrugë e drejtpërdrejtë); mbështetje e përmirësuar multicast me adresa të shtuara dhe mekanizma efikasë”
[15] Për të vendosur IPv6 ne mund të zgjedhim nga strategji të ndryshme. Ato përfshijnë bartjen e trafikut IPv6
përmes rrjetit IPv4, dhe kështu lejojnë domenet e izoluara IPv6 të komunikojnë me njëri-tjetrin, ose të përkthehen
nga IPv4 në IPv6 duke lejuar hostin të përdorë versione të ndryshme të protokollit IP për të komunikuar me njëri-
tjetrin. Ne mund
të zgjedhim një strategji nga katër strategjitë kryesore të mëposhtme për vendosjen e IPv6:
o Vendosni IPv6 mbi tunelet IPv4

o Vendosni IPv6 mbi lidhjet e dedikuara të të dhënave
28
o Vendosja e IPv6 mbi shtyllat kurrizore MPLS

o Vendosja e IPv6 duke përdorur shtylla të dyfishta
Komponenti i menaxhimit
Ky komponent zë vend pothuajse në çdo pajisje në rrjet dhe na ndihmon duke ofruar funksione për të
kontrolluar, planifikuar, shpërndarë, shpërndarë, koordinuar dhe monitoruar burimet e rrjetit.
Komponenti i performancës
Për këtë komponent ne duhet të vendosim mekanizëm për të konfiguruar, menaxhuar dhe shpërndarë burimet tek
përdoruesit përfundimtarë, pajisjet dhe aplikacionet dhe për të siguruar karakteristikat e parashikuara të
performancës. Këto mekanizma përfshijnë si më poshtë:
o Cilësia e Shërbimit (QoS)
o Kontrolli i burimeve - prioritizimi, menaxhimi i trafikut, planifikimi dhe radha
o Marrëveshjet e nivelit të shërbimit (SLA)
o Politikat
o Kapaciteti (gjerësia e brezit) – Aftësia për të mbajtur të dhëna të një qarku ose rrjeti,
zakonisht matet në bit për sekondë (bps)
o Shfrytëzimi – Përqindja e kapacitetit total të disponueshëm në përdorim
o Shfrytëzimi optimal – Shfrytëzimi mesatar maksimal përpara se rrjeti të konsiderohet i ngopur
o Përfundimi – Sasia e të dhënave pa gabime të transferuara me sukses ndërmjet nyje për
njësi të kohës, zakonisht sekonda
o Efikasiteti – Një matje se sa përpjekje kërkohet për të prodhuar një sasi të caktuar të xhiros
së të dhënave
o Vonesa (latenca) – Koha ndërmjet gatishmërisë së një kornize për transmetim nga një nyje dhe
dorëzimit të kornizës diku tjetër në rrjet
o Ndryshimi i vonesës. Sasia e vonesës mesatare kohore ndryshon
o Koha e përgjigjes. Sasia e kohës ndërmjet një kërkese për një rrjet
shërbimi dhe një përgjigje ndaj kërkesës
Përpara se të vendosim të vendosim ndonjë mekanizëm të performancës, ne duhet të përcaktojmë nëse kemi
nevojë apo jo për mekanizmin e performancës në rrjetin tonë. Ne nuk duhet të zbatojmë një mekanizëm të tillë
vetëm sepse janë interesantë apo të rinj.
Ne gjithashtu duhet të përcaktojmë nëse zbatimi i këtyre mekanizmave është me kosto efektive.
Për shembull, a kemi ne një staf rrjeti të aftë për të konfiguruar, funksionuar dhe mirëmbajtur mekanizmat e
performancës? Nëse jo, a jemi të gatshëm të paguajmë koston për marrjen e një stafi të tillë?
Performanca është një veçori që kërkon mbështetje të vazhdueshme. Nuk duhet ta zbatojmë dhe
pas kësaj ta harrojmë. Nëse nuk duam ta ofrojmë atë mbështetje, atëherë është më mirë të mos zbatojmë asnjë
mekanizëm të performancës.
Ne mund të arrijmë njëfarë thjeshtësie në këtë komponent nëse zbatoni performancën mekanizmat vetëm në
zona të zgjedhura të rrjetit. Për shembull, ne mund t'i zbatojmë ato në rrjetet e
aksesit ose të shpërndarjes. Mënyra tjetër për të thjeshtuar këtë komponent është përdorimi i vetëm një ose disa
mekanizmave, ose mund të zgjedhim vetëm ato mekanizma që duhet të zbatohen, funksionojnë dhe mirëmbahen.
Komponenti i sigurisë
Për komponentin e sigurisë ne duhet të vendosim mekanizëm sigurie për të garantuar konfidencialitetin,
integritetin dhe disponueshmërinë e informacionit dhe burimeve fizike të përdoruesit, aplikacionit, pajisjes dhe
rrjetit. Këto mekanizma sigurie përfshijnë kërcënimin e sigurisë
29
analiza, politikat dhe procedurat e sigurisë, siguria fizike dhe ndërgjegjësimi, siguria e protokollit dhe
aplikimit, enkriptimi, siguria rreth perimetrit të rrjetit, siguria e aksesit në distancë.
Ekzistojnë gjithashtu ndërveprime ndërmjet këtyre komponentëve që nuk duhen anashkaluar. Për shembull,
rritja e sigurisë sonë do të ndikojë gjithashtu në ngadalësimin e performancës, sepse siguria kërkon më
shumë kohë për përpunimin e pyetjeve të aksesit në burimet e rrjetit. Ekzistojnë ndërveprime të tilla midis
performancës dhe sigurisë siç u përmend, midis menaxhimit dhe sigurisë, menaxhimit dhe performancës,
dhe adresimit/drejtimit dhe performancës.
2.2.3 Përgatitni, planifikoni, dizajnoni, zbatoni, operoni, optimizoni (PPDIOO) Qasjen e ciklit
jetësor të rrjetit
Cisco si kompani lider në rrjetet në mbarë botën ka zhvilluar një plan dizajni që duhet ndjekur kur
dikush është duke projektuar një rrjet për një kompani. Quhet një PPDIOO që përfaqëson një cikël
jetësor të rrjetit. PPDIOO ka gjashtë faza: përgatit, planifiko, dizenjo, zbaton, operon dhe optimizon,
prandaj vjen emri i tij (treguar në Figurën 2.27).
Figura 2.27 Qasja e ciklit jetësor të rrjetit PPDIOO [9]
Përfitimet e qasjes PPDIOO janë:

o Kostoja totale e pronësisë së rrjetit është ulur
o Disponueshmëria e rrjetit është rritur
o Shkathtësia e biznesit është përmirësuar
o Shpejtësia për të hyrë në aplikacione dhe shërbime është rritur
Metodologjia e projektimit të rrjetit nën PPDIOO

PPDIOO ka disa hapa të thjeshtë për t'u ndjekur kur dizajnoni një rrjet:
1. Ne duhet të identifikojmë kërkesat e klientëve. Kjo ndihmon për të identifikuar fillestarin
kërkesë. Kjo ndodh në fazën e përgatitjes së PPDIOO.
2. Nëse ekziston rrjeti duhet ta karakterizojmë. Kjo do të thotë të kontrolloni plotësisht
integritetin dhe cilësinë e rrjetit ekzistues – analizohen trafiku i rrjetit, vonesa,
mbingarkimi dhe të tjera. Ky hap është zakonisht në fazën e planit PPDIOO
3
3. Projektimi i topologjisë dhe zgjidhjes aktuale të rrjetit. Duke përdorur kërkesat e klientëve ne
ndërtojmë një dizajn të detajuar të rrjetit. Këtu merren edhe vendime për rrjetin – infrastrukturën,
shërbimet dhe të tjera. Në fund duhet të shkruajmë edhe një dokument të detajuar për veprimet
që kemi kryer.
Secili prej këtyre hapave është i ndarë më tej në nënhapa:
o Identifikoni kërkesat e klientëve
1. Mblidhni informacione rreth aplikacioneve dhe shërbimeve që është rrjeti
pritet të ketë.
2. Tregoni qëllimet dhe kufizimet për kompaninë
3. Tregoni qëllimet dhe kufizimet teknike
Procesi është paraqitur edhe në figurën 2.28.
o Karakterizoni çdo rrjet ekzistues
1. Mblidhni dokumentacionin ekzistues për rrjetin dhe kërkoni nga kompania informacion
shtesë – auditimi i rrjetit, analiza e rrjetit. Është gjithashtu e mundur që dokumentacioni të jetë
i vjetëruar.
2. Shtoni detaje shtesë në përshkrimin e rrjetit pas kryerjes së një auditimi të rrjetit.
3. Shkruani një raport përfundimtar që përmban informacion përmbledhës bazuar në
informacionin e mbledhur për të përshkruar gjendjen e rrjetit
o Projektimi i topologjisë dhe zgjidhjeve të rrjetit
Megjithëse dizajnimi i një rrjeti ndërmarrjesh është një projekt i vështirë, ne mund të përdorim modelin e
projektimit nga lart-poshtë për ta thjeshtuar atë pak.
Figura 2.28 Identifikimi i Kërkesave të Klientit [9]
Ne gjithashtu duhet të vendosim nëse dizajni është për një rrjet krejtësisht të ri ose po modifikon të gjithë
rrjetin ekzistues, ose një pjesë të vetme të tij - LAN ose WAN, ose akses në distancë.
Qasja nga lart-poshtë fokusohet në ndarjen e detyrës në të vogla, të lidhura, më pak
komponentët kompleksë të rrjetit:
3
o Ne duhet të identifikojmë çdo aplikacion që do të nevojitet për të mbështetur kompaninë

kërkesë
o Ne duhet të identifikojmë kërkesat për lidhjen logjike të
aplikacione, duke u fokusuar në zgjidhjet e nevojshme të rrjetit – QoS, zëri, multicast IP,
disponueshmëria dhe të tjera
o Ne duhet të ndajmë funksionalitetin e rrjetit për të zhvilluar kërkesat për
arkitekturës dhe hierarkisë.
o Ne duhet të dizajnojmë çdo element veç e veç por në raport me tjetrin
elementet
Në fund, kur të bëhet projektimi, duhet të zhvillojmë planin e migrimit dhe zbatimit me sa më shumë detaje
që të jetë e mundur për të lehtësuar punën e inxhinierit të rrjetit.
kryerja e punës aktuale. Ne gjithashtu duhet të testojmë dhe verifikojmë dizajnin. Ne mund ta bëjmë këtë në
rrjetin ekzistues të drejtpërdrejtë (pilot), ose mund të testojmë një prototip të rrjetit.
2.3 Përfundimi, synimet dhe qëllimet

Do të ishte e dobishme nëse konsiderojmë zbatimin e tepricës për lidhjet e aksesit në distancë. Ne duhet
të implementojmë serverë kryesorë dhe rezervë AAA, ruterë kufitarë kryesorë dhe rezervë
dhe dy porta VPN në mënyrë që përdoruesit në distancë të jenë në gjendje të lidhen edhe në rast të
dështimit të pajisjeve kryesore.
Në fakt teprica është e dobishme për çdo aspekt të rrjetit, por nuk është mirë të shtohet shumë tepricë
sepse rrit kompleksitetin dhe kostot duke shtuar elementë shtesë në rrjet.
Ne kemi shqyrtuar disa qasje për dizajnimin e një rrjeti dhe mund të zgjedhim njërën
njëri prej tyre duhet ndjekur në procesin e projektimit. Megjithatë, përdorimi i një përqasjeje nga lart-
poshtë rekomandohet mbi një qasje nga poshtë-lart. Qasja nga lart-poshtë na ndihmon të vlerësojmë të
gjitha kërkesat e nevojshme për shërbimet dhe aplikacionet dhe në bazë të tyre të zgjedhim pajisje të
veçanta të rrjetit. Kjo është zgjidhje ekonomikisht efektive, sepse ne do të zgjedhim pajisje që i
përshtaten nevojave tona; ne nuk do të bëjmë pazar të verbër. Meqenëse po zhvillojmë një zgjidhje për
një rrjet ndërmarrjesh, do të ishte më mirë nëse zgjidhnim qasjen e projektimit të rrjetit PPDIOO, sepse
është një qasje komplekse e dizajnit të korporatës nga
lart-poshtë.
32
3 Projektimi
Ky kapitull përshkruan projektimin aktual dhe proceset dhe rezultatet e zgjidhjes së problemit. Kapitulli është i
ndarë në tre seksione kryesore. Seksioni 3.1 ka të bëjë me projektimin e rrjetit të kompanisë me arkitekturë,
shërbime dhe komunikim të zyrave të degëve në distancë. Ky seksion është më i fokusuar në strukturën e rrjetit
të korporatës. Seksioni 3.2 përmban dizajnin e rrjeteve të zyrave të degëve. Duke qenë se zyrat e degëve do të
jenë të strukturuara në mënyrë të ngjashme, ne do të fokusohemi në projektimin vetëm të një zyre, tipike, dege.
Seksioni 3.3 ka analizën përfundimtare, vlerësimin dhe testimin e zgjidhjes.
3.1 Rrjeti i kompanisë me arkitekturë, shërbime dhe degë të largëta

komunikimi
Pas planit të projektimit PPDIOO të përshkruar në seksion. 2.2.3 fillimisht duhet të deklarojmë kërkesat
fillestare për rrjetin tonë. Meqenëse jemi duke projektuar një rrjet për kompani fiktive, do të paraqesim disa
kërkesa të zakonshme për rrjetet e korporatave.
Kërkesat për mjedisin LAN:

o Shpejtësia e rrjetit – nuk duhet të implementojmë rrjete LAN më të ngadalta se Fast
Ethernet (100 Mbit/s);
o Ne duhet të implementojmë serverë të tepërt DHCPv4 dhe të mendojmë të ofrojmë
DHCPv6;
o Rrjeti ynë duhet të ofrojë konferenca zanore dhe video.
Kërkesat për mjedisin WAN:

o Ne duhet të ofrojmë lidhjen primare dhe rezervë për tepricë;
o Lidhja jonë kryesore duhet të ofrojë të paktën bandwidth T3/E3
o Ne mund të konfigurojmë rrugëzimin për të lejuar përdorimin e njëkohshëm të gjerësisë së brezit të të dyjave
lidhjet primare dhe rezervë;
o Ne gjithashtu duhet të përdorim dy ISP të ndryshme për lidhjen me internetin. Hapi
tjetër nga plani PPDIOO është analizimi i çdo topologjie ekzistuese të rrjetit.
Mund të supozojmë se nuk ka arkitekturë ekzistuese të rrjetit dhe ne jemi përgjegjës për projektimin e tij. Ne po
ndërtojmë vetëm arkitekturën e rrjetit të degëve në distancë, kështu që rrjeti i kampusit
të korporatës është interesant për ne për sa kohë ka të bëjë me rrjetet në distancë.
3.1.1 Arkitekturë
Në seksionin e teorisë kemi diskutuar disa arkitektura të ndërmarrjeve, siç tregohet në Figurën 2.2 deri në
Figurën 2.5. Ne do të ndërtojmë kampusin e ndërmarrjes duke
përdorur modelin Access/Distribution/Core pasi është intuitiv për t’u aplikuar dhe zakonisht përdoret si
pikënisje në dizajnimin e rrjetit.
Në seksionin e shembujve (Seksioni 2.1.7) treguam se një zyrë dege mund të lidhet me ndërmarrjen me
pajisjen ASA që shërben si pajisje terminimi VPN. Figura 3.1 tregon infrastrukturën e zakonshme të aksesit në
distancë për ndërmarrjet – me ruterë në skaj, ndërprerës të jashtëm, mure mbrojtëse kryesore, ASA të aksesit në
distancë dhe ndërprerës të brendshëm. Rekomandohet përdorimi i pajisjes së veçantë të murit të zjarrit për
ndërprerjen e klientëve të aksesit në
distancë për zbatimin e madhësisë së madhe (siç tregon Figura 3.1). Figura 3.2 tregon më në
detaje bllokun e aksesit në distancë në skajin e Internetit dhe vendosjen e ASA-ve të aksesit në distancë.
33
Figura 3.1 Infrastruktura e aksesit në distancë [35]
Figura 3.2 Vendosja e mureve të zjarrit të aksesit në distancë [35]
Figura 3.3 tregon lidhjen me ISP-të (Buza e Ofruesit të Shërbimit ose skaji SP).
BGPv4 përdoret për protokollin e rrugëtimit. Për skajin SP Cisco rekomandon të bëni sa më poshtë:
o “Përdor BGP si protokollin e rrugëtimit për të gjitha rrugëtimet dinamike – të dyja ndërmjet
ruterat kufitare dhe midis ruterave kufitare dhe PS.
o Të ketë një numër të pavarur të sistemit autonom. Kjo do të japë fleksibilitetin e
reklamimi i prefiksit të internetit për SP të ndryshme.
3
o Përdorimi i BGP në lidhje me rrugëzimin e bazuar në performancë (PfR) të Cisco-s mund të përmirësojë
performancën e përgjithshme dhe të përmirësojë përdorimin e lidhjeve për topologjitë e lidhjeve të dyfishta.
[35]
PfR rezulton të jetë shumë efikas kur punon në lidhje me protokollet e rrugëzimit. Nëse e zbatojmë atë
në skajin e Internetit, do të kemi mekanizëm inteligjent të përzgjedhjes së rrugës që ofron optimizimin e rrugës. PfR trajton
paaftësinë e BGP për të ofruar trafik të ndarjes së ngarkesës bazuar në performancën e rrjetit.
Adresat AS dhe IP të përdorura janë shembull. Ato mund të ndryshojnë në mjedise të ndryshme prodhuese.
Figura 3.3 Lidhja në internet e ruterave kufitare [35]
Internet Edge gjithashtu strehon zonën DMZ duke ofruar shërbime publike për përdoruesit e largët. Ekzistojnë dy lloje të
zonave DMZ - DMZ publike dhe DMZ private. Ato klasifikohen në bazë të grupeve të përdoruesve që përdorin shërbimet e
tyre - klientë të jashtëm për DMZ publike dhe klientë të brendshëm për DMZ private.
Shërbimet e zakonshme që ofron DMZ publike janë:
o “Aplikacionet bazë HTTP, duke ofruar publikun informacion bazë rreth

kompani;
o Shërbimet FTP, duke ofruar shitësit dhe klientët që përballen me publikun për të ndarë skedarët;
o Blog, duke ofruar aftësinë e përdoruesve publikë dhe të brendshëm për të komunikuar përmes blogje;
o Pajisjet e sigurisë me pamje nga publiku, të tilla si zjarri i aplikacionit në ueb”[35].
Shërbimet e ofruara nga DMZ private përdoren nga përdorues të brendshëm ose pajisje të brendshme.
Kryesisht këto shërbime janë:
o serverët DNS;
o Faqet e brendshme FTP;
o Shërbimet e brendshme të internetit.
Nëse zbatojmë zona të veçanta DMZ (Publike dhe Private) duhet të aplikojmë gjithashtu nivele të
ndryshme sigurie.
Në skajin e ndërmarrjes na duhen ruterë IOS për skajin e Internetit. Cisco ka ndaluar
shitjen e ruterave të serive me shumë shërbime 1700, 2600, 3600 dhe 3700 dhe rekomandon migrimin në ruterat e serive
ISR ose ASR (Aggregation Service Router). Figura 3.4 tregon përmbledhjen e veçorive të Cisco ASR 1000.
3
Figura 3.4 Shërbimet Cisco ASR 1000 [32]
Figura 3.5 Pozicionimi i rrugëtimit të Cisco ASR [32]
Figura 3.5 tregon se si Cisco rekomandon përdorimin e produkteve të ndryshme të ruterit ASR. Siç mund ta shohim, seritë
ASR 1000 dhe seritë 7200 përdoren më së shumti si rutera kryesore të degëve dhe zyrave kryesore.
Tabela 3.1 tregon krahasimin e ruterave të ndryshëm të serisë Cisco ASR 1000.
Cisco ASR 1002

Cisco ASR 1004 Cisco ASR
Madhësia: 2 njësi rafti (2RU), 1006
Shasi I shkallëzuar në 10 Gbps, dështimi i Madhësia: 6RU, e shkallëzuar në 40 Gbps,
Madhësia: 4RU, e shkallëzuar në 40 Dështimi i harduerit
softuerit
Gbps, dështim i softuerit
Një 5-Gbps Cisco ASR 1000 Një ose dy Cisco ASR 1000
Seria ESP (ESP5)
Përcjellja e Një Seri Cisco ASR 1000 Seria ESP10 (ASR1000-
ESP10 (ASR1000-ESP10),
4-8 milionë pakove për karta ESP10),
16 Mpps, përcjellje 20-
sekondë (Mpps), përcjellje 5- 1 + 1 tepricë,
Gbps
Gbps 16 Mpps, përcjellje 20-Gbps
Një ose dy Cisco ASR 1000
Një Seri Cisco ASR 1000
Seria RP1
Itinerari I integruar në shasi, Procesori i rrugës 1 (RP1)
1 + 1 tepricë, memorie
procesor 4-GB memorie Memorie 2 ose 4 GB
2 ose 4 GB
SPA
Deri në dy Cisco ASR 1000
Ndërfaqja
Ndërfaqja e Serisë SPA Deri në tre Cisco ASR 1000
Përpunues Të integruara: 3 lojëra elektronike SPA
Procesorë (SIP), 8 slot SPA Seritë SIP, 12 lojëra elektronike SPA
(SIP)
Çmimi 44 000 dollarë deri në 59
13 000 dollarë deri në 15 000 dollarë 58 000 dollarë deri në 98 000 dollarë
000 dollarë Tabela 3.1 Modele të serisë Cisco ASR 1000
3
Çmimet janë marrë nga [40]. Specifikimi i ruterit është marrë nga [41].
Disa nga veçoritë kryesore të mbështetura nga seria Cisco IOS router 7200 janë: o “Cisco
Express Forwarding
o QoS
o HSRP
o Tunelizim
• GRE
• L2TP
• L2TPv3
• 6 deri në 4
• ACL-të
• NAT
• IPSec VPN
• Multicast i sigurt
• IPv6
o Performanca
• Deri në 2 Mpps me procesor NPE-G2
• Deri në 1 Mpps me procesor NPE-G1
• Deri në 400 kpps me procesor NPE-400”[34]
Çmimet për ruterat Cisco IOS 7200 variojnë nga 1,900 dollarë në 20,425 dollarë për
modele të ndryshme dhe module të instaluara (çmimet janë marrë nga [42]). Edhe pse Tabela 3.2 tregon
krahasimin e modeleve të ndryshme të serisë Cisco ASA 5500, mund të shohim se ato
kanë karakteristika të ngjashme, bazuar në aftësitë e synuara të pajisjes së murit të zjarrit dhe seancat e
njëkohshme.
Veçoritë Cisco ASA 5005 Cisco ASA 5510 Cisco ASA 5520 Cisco ASA 5540
Firewall
Performanca Deri në 150 Mbps Deri në 300 Mbps Deri në 450 Mbps Deri në 650 Mbps
Deri në 225 Mbps me AIP SSM-10

Maksimumi Firewall dhe IPS Deri në 375 Mbps me AIP SSM-20
Deri në 150 Mbps me AIP SSM-10 Deri në 500 Mbps me AIP-SSM-20
Performanca Deri në 300 Mbps me AIP Deri në 450 Mbps me AIP SSM-40
SSM-20 Deri në 650 Mbps me AIP-SSM-40
Deri në 75 Mbps me AIP SSC-5
VPN
Deri në Sesionet
Performanca Njëkohësisht 100 MbpsIPsec
DeriVPN
në 170 Mbps Deri në 225 Mbps Deri në 325 Mbps
Moshatarët
10 000 50 000 280 000 400 000
10 250 750 5000
Çmimi 359 dollarë deri në 599 dollarë 1 849 dollarë deri në 3 599 dollarë 6 900 dollarë deri në 7 700 dollarë 7 500 dollarë deri në 12 000 dollarë
Tabela 3.2 Krahasimi i Modeleve të Serive Cisco ASA 5500 Çmimet në
tabelë janë marrë nga [43]. Specifikimi i Cisco ASA është marrë nga [39].
Për LAN-in e kampusit ne kemi nevojë për lloje të ndryshme të ndërprerësve për pjesë të ndryshme të
rrjeti – Interneti edge, çelësat bazë dhe çelësat e aksesit. Si ndërprerës të skajeve të Internetit ne do të
përdorim seritë Cisco Catalyst 3800X sepse ato rekomandohen të përdoren në atë pjesë të rrjetit. Edhe
pse janë ndërprerësit e grumbullimit të Catalyst të klasit më të ulët,
ata ofrojnë performancë dhe shërbime të mjaftueshme. Për bërthamën ne do të përdorim serinë Catalyst
4900M. Ata mbështesin ndërfaqet Ethernet 10/100/1000/10000 dhe kanë performancë të lartë deri në 320
Gbps. Për akses në një pjesë të rrjetit ne do të përdorim Cisco
3
Catalyst 2975. Ky ndërprerës ofron 48 ose 96 porte 10/100/1000 PoE. Ata gjithashtu mund të funksionojnë
në 10 Gbps me instalimin e modulit shtesë. Të gjithë çelësat mbështesin ndërfaqet Ethernet me shpejtësi të lartë prej 1 Gbps
dhe/ose 10 Gbps, të cilat do të rezultojnë në rritjen e performancës së LAN. Më shumë
informacion rreth ndërprerësve të sipërpërmendur Catalyst gjenden në faqen zyrtare të Cisco Catalyst [44].
3.1.2 Shërbimet
Shërbimet e zakonshme që një ndërmarrje ofron për degët e saj janë aksesi në qendrat e të dhënave, shërbimet rezervë, shërbimet
e sigurisë dhe transmetimi i zërit dhe videove. Performanca e shërbimeve mbi WAN ndikohet nga gjerësia e brezit dhe vonesa.
Ne mund t'i kombinojmë ato në një vlerë sasiore (të quajtur Produkti i vonesës së gjerësisë së brezit (BDP)) me anë të së cilës
mund të matim sasinë maksimale të të dhënave që mund të transferohen në WAN në një kohë të caktuar.
BDP llogaritet duke përdorur formulën:
BDP [Kbajt] = (Lidhja e gjerësisë së brezit [Kbajt/sek] * Vonesa për vajtje-ardhje [sek])
BDP mund të përdoret për të verifikuar nëse një aplikacion TCP po përdor në mënyrë optimale lidhjen WAN. Në
Komunikimi TCP, madhësia maksimale e segmentit (MSS) dërgohet midis dy pikave fundore të lidhjes. MSS përcakton sasinë
maksimale të të dhënave që mund të dërgohen dhe të mos pranohen në një moment kohe.
o Nëse MSS > BDP, aplikacioni TCP mund të përdorë gjerësinë e brezit të disponueshëm
o Nëse BDP > MSS, aplikacioni TCP nuk mund të përdorë plotësisht gjerësinë e brezit.
Ne mund t'i përdorim këto masa për një përdorim të vetëm të gjerësisë së brezit të aplikacionit TCP. Zyra jonë e degës
zakonisht do të ketë shumë aplikacione të njëkohshme TCP dhe gjerësia e brezit të disponueshëm do të përdoret në mënyrë
efikase.
Shërbime rezervë
Ka shumë strategji për rezervimin e zyrës/degës në distancë (ROBO). Një

po përdor rezervë dhe rikuperim të centralizuar; një tjetër po përdor shërbimet e rezervimit të cloud.
Zgjidhja e centralizuar do të thotë që ne vendosim proceset e kopjimit dhe rikuperimit brenda qendrës së të
dhënave. Ka dy mënyra se si mund ta bëjmë këtë. Ne mund të centralizojmë të gjithë ruajtjen në qendrën kryesore të të
dhënave dhe kështu të eliminojmë nevojën për kopje rezervë dhe rikuperim në distancë sepse të gjitha të dhënat janë të
vendosura në qendrën e të dhënave dhe përdorin rezervimin e qendrës së të dhënave. Por kjo mund të ketë reduktuar
produktivitetin për shkak të vonesës së TCP dhe humbjes së paketave WAN. Për të hequr këto efekte anësore, ne mund
të përdorim kontrollues/pajisje të
optimizimit WAN ose ekuivalente virtuale, por kjo shton koston. Rezervimi i një numri të madh ROBO mund të jetë shumë i
shtrenjtë. Opsioni tjetër që mund të përdorim për të centralizuar ruajtjen është përdorimi i softuerit rezervë që është në gjendje
të centralizojë dhe kontrollojë të gjitha procedurat e rezervimit nga qendra kryesore e
të dhënave. Disa produkte softuerësh që ofrojnë shërbime të tilla janë Asigra Inc. Cloud, CommVault Simpana, produkte
nga FalconStor Software dhe Symantec Corp. NetBackup[29].
Rezervimi i cloud përdor një server jashtë sajtit në të cilin kopjohen të dhënat. Ky server jashtë sajtit zakonisht
mbahet nga një ofrues shërbimi i palës së tretë i cili tarifon bazuar në kapacitetin, gjerësinë e brezit ose numrin e
përdoruesve. Kjo strategji rezervë po fiton popullaritet në SOHO pasi nuk kërkohet asnjë kosto për pajisje shtesë dhe
kopjet rezervë mund të ekzekutohen automatikisht pa ndërhyrje manuale. Për ndërmarrjen duhet të përdorim kopje
rezervë të cloud vetëm për të dhëna jo kritike të misionit. Më shumë informacion rreth këtyre strategjive rezervë mund
të gjenden në [29] dhe [30].
Shërbimet e sigurisë
Qëllimi i sigurisë është të sigurojë që çdo aspekt i rrjetit të mbrohet nga pajisjet (dhe politikat përkatëse) të lidhura
me rrjetin që sigurojnë dhe mbrojnë nga vjedhja e të dhënave. Shërbimet kryesore që duhet të aplikojmë janë [31]:
38
o Mbrojtja e infrastrukturës;
o Lidhje e sigurt;
o Zbulimi dhe zbutja e mbrojtjes nga kërcënimet.
Për të mbrojtur infrastrukturën, ne duhet të sigurojmë masa për të mbrojtur pajisjet tona të infrastrukturës (ruterat
Cisco IOS, çelësat, pajisjet) nga sulmet e drejtpërdrejta. Këtë mund ta arrijmë duke përdorur sa vijon:
o Çaktivizimi i shërbimeve të panevojshme – ne duhet të çaktivizojmë të gjitha shërbimet e njohura, potencialisht të

rrezikshme dhe të papërdorura në rrjetin tonë. Këto shërbime janë (por jo kufizuar në) - "transmetimet e drejtuara,
ridrejtimet IP, IP proxy-ARP, gishti, CDP, shërbimet e vogla dhe demoni global i integruar HTTP në Cisco IOS
Software."[31];
o Aktivizimi i regjistrave të pajisjes;
o Përdorimi i SSH në vend të Telnet për Administrim në distancë;
o Aktivizimi i serverit HTTPS të ndërtuar në pajisjet Cisco IOS;
o Kufizimi i lidhjeve të pranuara në linjat VTY dhe Console;
o Menaxhimi i fjalëkalimeve me AAA në të gjitha pajisjet.
Komandat e konfigurimit të pajisjeve për të gjitha forcimet e mësipërme të sigurisë tregohen në Shtojcën A.2.
Lidhja e sigurt do të na ndihmojë të mbrojmë rrjetin kundër vjedhjes dhe ndryshimit të të dhënave
të dhënat e përdoruesit fundor të dërguara përmes lidhjeve të pabesueshme. Ne mund ta bëjmë këtë duke aplikuar
enkriptimin e të dhënave për privatësinë e të dhënave. Mekanizmat për izolimin e të dhënave do të na ndihmojnë gjithashtu të ofrojmë lidhje e
sigurt mes kampusit dhe degës. Ne mund të përdorim protokollin e tunelit si GRE për izolimin e të dhënave dhe protokollin
e kriptimit si IPsec për enkriptimin e të dhënave.
Për të zbuluar dhe zbutur kërcënimet e mbrojtjes, ne duhet të përdorim mekanizma për të zbuluar, zbutur,
dhe mbrojnë pajisjet e rrjetit nga shkeljet dhe ngjarjet e paautorizuara. Ne mund t'i aplikojmë këto
mekanizma për ruterat, çelsat dhe pajisjet e sigurisë, siç thuhet në [31]:
"Ruterët dhe pajisjet e sigurisë përdorin mure zjarri inline dhe sisteme të mbrojtjes nga ndërhyrjet (IPS). Ndërprerësit
katalizator përdorin Port Security, DHCP Snooping, Dynamic ARP Inspection (DAI) dhe IP Source Guard.
3.1.3 Lidhja, komunikimi dhe integrimi i degëve

Ne përshkruajmë zgjidhjen e tre çështjeve kritike në lidhje me komunikimin midis zyrave të degëve dhe selisë.
o Zgjedhja e WAN-it privat ose VPN-së nga faqe në vend, dhe pasi ne do të motivojmë zgjedhjen e opsionit të dytë, o
Cilin lloj të
zbatimit të mundshëm VPN-je nga faqe në vend për të zgjedhur
o Cilin router Cisco ISR për cilin lloj dege të zgjidhni (krahasim dhe rekomandime)
Në seksionin 2.1.3 të kapitullit 1 kemi diskutuar zgjidhjet e mundshme të WAN të ndërmarrjeve -

WAN private dhe VPN nga faqe në vend. Tabela 3.3 tregon një përmbledhje të veçorive të të dyja teknologjive bazuar në
informacionin në seksionin 2.1.3.
Në tabelën “xx” do të thotë se fleksibiliteti i VPN nga faqe në faqe është më i madh se fleksibiliteti i WAN privat.
“$$$” do të thotë se kostoja e WAN-it privat është shumë më e madhe se kostoja e VPN-së nga faqe në faqe. Për
sigurimin e WAN-it ne duhet të implementojmë mekanizma si IPsec dhe/ose GRE ndërsa
VPN-ja nga faqe në faqe bazohet zakonisht në IPsec dhe ka siguri të fortë.
Të dyja teknologjitë mbështesin protokolle të shumta, shkallëzueshmëri dhe besueshmëri të lartë dhe sipas
këtyre kritereve ato nuk ndryshojnë nga njëra-tjetra. Ato ndryshojnë në mbështetjen QoS –
WAN-i privat është nën menaxhimin e stafit të IT-së së ndërmarrjes, ndërsa VPN-ja nga faqja në faqe varet nga QoS
e ISP-së dhe SLA-ja efektive. Bazuar në përmbledhjen e mësipërme, ne zgjedhim të përdorim teknologjinë VPN site-
to-site ndërmjet rrjetit të ndërmarrjes dhe zyrave të degëve.
39
WAN VPN nga faqe në faqe

x x x xx
Besueshmëri e lartë x
x
Shkallëzueshmëria
Mbështetje e shumë protokolleve x
Fleksibiliteti
x
Kërkohen mekanizma shtesë

Siguria
Bazuar në mekanizma të sigurt
(IPsec) Mbështetet në QoS të ISP-së
QoSMenaxhohet nga ndërmarrja IT $$$ $
Kostoja
Tabela 3.3 WAN privat kundrejt VPN nga faqe në vend
Në seksionin 2.1.3 ne diskutuam gjithashtu disa lloje të VPN-ve. Tabela 2.5 përmban një përmbledhje nga këto
teknologji VPN. Bazuar në figurën dhe karakteristikat e listuara IPsec
më poshtë, ne zgjedhim IPsec VPN. Përfitimet që ndikuan në zgjedhjen tonë janë:
o IPsec ka siguri të fortë që mund ta përdorim në të gjithë trafikun;
o Është transparent ndaj aplikacioneve;
o Nuk ka nevojë për softuer shtesë në sistemet fundore për sa kohë që IPsec zbatohet në një ruter ose mur zjarri;
o Përdoruesit nuk kanë nevojë të njohin mekanizmin e sigurisë;
o Për shkak se është një protokoll tuneli, ai është i disponueshëm për të gjitha shërbimet e rrjetit;
o Nëse e implementojmë IPsec siç duhet, ai siguron një kanal privat për dërgimin dhe
shkëmbimi i të dhënave të cenueshme dhe të rëndësishme - email, trafik ftp ose ndonjë trafik i bazuar në TCP/ IP.
Në seksionin 2.1.7 ne treguam mënyrat e mundshme të komunikimit të qendrës së ndërmarrjes

zyrë me zyra të largëta. Shembulli me serinë Cisco ISR 890 (treguar në Figurën 2.24) është i mirë pasi është me kosto
efektive dhe ende ofron mbështetje për shërbimet e nevojshme –
muri i zjarrit, zëri, video, VPN nga faqe në faqe dhe të tjera. Megjithatë, teprica dhe dështimi janë një problem sepse kjo është
pajisje gjithëpërfshirëse që nuk është menduar për modalitetet e tepricës dhe të dështimit. Kjo e bën të përshtatshme
akomodimin e përdoruesve në degë të vogla dhe të mesme në varësi të aftësive të veçanta të modelit ISR.
Shembulli tjetër është me serinë Cisco ASA (shih Figurën 2.25). Cisco ASA 5510 ka aftësi më të zgjeruara se ruteri ISR 890.
Dhe me Cisco ASA ne do të kemi ende nevojë për pajisje shtesë për t'u lidhur me internetin, si router Cisco. Kjo rrit koston e
degës pasi në çdo degë duhet të marrim një duet të pajisjes Cisco ASA dhe Cisco router.
Tabela 3.4 tregon krahasimin e gjeneratës 1 të ruterave Cisco ISR. Ashtu si me serinë Cisco ASA, ruterat Cisco ISR
ndryshojnë në ndërfaqet e mbështetura WAN, modulet e ndërrimit dhe performancën. Çmimet në tabelë janë marrë nga [40]. Për
Cisco ISR 2800 dhe 3800 çmimet janë marrë nga [42]. Specifikimi i ruterit është marrë nga [41].
4
Cisco ISR
Veçoritë Seria 3800 Seria 2800 Seria 1800 Seria 890
Tunelet VPN Deri në 2500 Deri në 1500 Deri në 800 Deri në 50
Deri në dy 1x 1000 BAZË-T

WAN Deri në 2 10/100/1000 Deri në 2 10/100/1000
10/100/1000 Mbps i Gigabit Ethernet 1x
Ndërfaqja Mbps portet e integruara të Mbps portet e integruara të 10/100 BASE-T Fast
integruar i drejtuar
drejtuara drejtuara Ethernet
portet
Një 8 porte 10/100 e shpejtë
Ndërprerësi i menaxhuar
Deri në 112 10/100 Deri në 64 10/100
me Ethernet
Ndërro Portat e ndërrimit Portat e ndërrimit 8-Port i menaxhuar
me mbështetje VLAN
Moduli Mbps me Fuqi opsionale Mbps me Fuqi opsionale Ndërro
dhe mbështetje me 4
mbi Ethernet (PoE) mbi Ethernet (PoE) porte për Power over
Ethernet (PoE) (opsionale)
Firewall
Deri në 1,1 Gbps Deri në 530 Mbps Deri në 125 Mbps Deri në 90 Mbps
xhiro VPN
Deri
në 185 Mbps IPS Deri në 145 Mbps Deri në 95 Mbps Deri në 75 Mbps
Shpejtësia deri në Deri në 145 Mbps Deri në 125 Mbps Deri në 90 Mbps
425 Mbps
Qasje në distancë nga faqja
në faqe dhe dinamike
MERR VPN, VPN Grupi i koduar
Siguria IP (IPSec) VPN Shërbimet VPN: IP
dinamike me shumë pika Transporti Virtual
(Triple Data Standardi i Siguria (IPsec)
(DMVPN), shërbime VPN Rrjetet private,
Telekomanda Enkriptimit VPN, grup
me qasje në distancë Qasje në distancë nga
akses [3DES] ose i avancuar Transport i koduar
Standardi i Enkriptimit dhe dinamike nga faqja në faqef:aqja në faqe dhe dinamike VPN [MERRNI VPN] me
Siguria IP (IPsec) Shërbimet VPN: IP
[AES]) përshpejtim në bord dhe
VPN
Siguria (IPsec) VPN priza të sigurta
Shtresa [SSLVPN]
përmbajtja
po po po po
Filtrimi
Çmimi 4 275 $ - 9 973 $ 898 $ - 7 000 $ 475 $ - 2 998 $ Tabela 3.4 Krahasimi i serive 360 dollarë deri në 832 dollarë
Cisco ISR
Ruterat e serisë 890 janë ruterat ISR të klasit më të ulët. Ato janë të përshtatshme për të vogla
degët. Keni performancë të mjaftueshme të murit të zjarrit dhe IPS dhe mbështesni ndërfaqen Gigabit WAN.
Seritë ISR 1800 kanë performancë të përmirësuar në krahasim me seritë 890. Ato ofrojnë
performancë dhe mbështetje më të shpejtë për më shumë tunele VPN. Ruterat e serisë 1800 janë zgjidhja
optimale për degët e vogla dhe të mesme.
Seritë ISR 2800 kanë performancë edhe më të madhe. Rrjedha e xhiros së murit të zjarrit kërcen pothuajse
katër herë më shumë se xhiroja e serive 1800 dhe gjashtë herë performanca e serive 890. Moduli switch i ruterave
të serisë 2800 ofron 64 porte PoE. Çmimi është gjithashtu i pranueshëm. Ne mund të blejmë ruterin e serisë ISR
2800 me vetëm dyfishin e çmimit të serisë 1800, ose edhe më pak. ISR 2800 janë zgjidhja optimale për degët e
mesme.
Të fundit janë seritë ISR 3800. Ato janë ISR-të e klasit më të lartë dhe kanë performancën
dhe veçoritë më të mira. Rrjedha e zjarrit është dy herë më e madhe se një mur zjarri i serisë 2800. Rrjedha e IPS
është tre herë më e madhe se xhiroja IPS e serive 2800. Kjo është arsyeja pse seritë ISR 3800 janë më të mira për t'u
përdorur për zbatime të zyrave të degëve të mesme dhe të mëdha.
4
Për zbatimin e zyrës sonë të degës ne do të përdorim serinë 2800. Ne i zgjedhim ato sepse
ato ofrojnë performancë të lartë me çmime të arsyeshme.
3.1.4 Projektimi i topologjisë së skajit të internetit të ndërmarrjes

Për krijimin e një pjese të rrjetit të kampusit të ndërmarrjeve që lidhet me rrjetet e aksesit në distancë ka
skenarë të ndryshëm. Në seksionin 2.1.7 të kapitullit të mëparshëm ne treguam qasje të
ndryshme – së pari me Cisco ISR; e dyta me serinë ASA. Një zgjidhje tjetër është përdorimi i VPN, muret e zjarrit
dhe shërbimet e rrugëzimit në pajisje të veçanta fizike.
Skenari i parë me Cisco ISR ofron rrjete me kosto efektive me të gjitha-në-një
ruterat (treguar në figurën 2.24). Ekzistojnë modele të ruterave ISR për degë të madhësive të ndryshme - të
vogla, të mesme dhe të mëdha. Me këtë lloj pajisjeje fitojmë performancë të lartë rrjeti duke pasur vetëm një
pajisje fizike. Kjo zgjidhje duket joshëse, por ka edhe të meta. Të kesh një ruter për të kryer të gjitha
shërbimet e nevojshme do të thotë që ky ruter do të përdoret shumë dhe performanca dhe besueshmëria e tij do
të jenë kritike. Ne po aplikojmë gjithashtu konfigurimin në një pajisje që rrit kompleksitetin e konfigurimit.
Shembulli i dytë i paraqitur është me serinë Cisco ASA (PIX) që menaxhon lidhjen VPN site-to-site (treguar
në Figurën 2.25). Ai përdor murin e integruar të zjarrit dhe dizajnin e pajisjes VPN siç tregon Figura 2.11. Për
këtë topologji të projektimit do të na duhet gjithashtu një ruter për të ofruar lidhje interneti. Ky dizajn nuk është
aq i vështirë për t'u menaxhuar, por ofron siguri sepse muri i zjarrit mund të inspektojë në mënyrë shtetërore
trafikun e deshifruar VPN. Dhe si e mëparshmja, ajo përballet me të njëjtin pengesë - një pajisje duhet të
shkallëzohet për të përmbushur kërkesat e performancës
së lidhjeve të shumta dhe kompleksitetin e rritur të konfigurimit.
Opsioni i fundit që do të diskutojmë është përdorimi i pajisjeve të veçanta. Ne treguam topologji të

tilla në Figurën 2.9 dhe Figura 2.10. Topologjia në figurën 2.9 është thjeshtuar për t'u vendosur dhe
lehtësisht e shkallëzueshme për të shtuar pajisje të reja VPN pa ndryshuar adresat e murit të zjarrit. Por ai
ka një disavantazh të madh – trafiku i deshifruar VPN nuk
inspektohet nga muri i zjarrit. Është më mirë të vendosni pajisjet VPN në zonën DMZ. Me këtë topologji, trafiku
VPN i deshifruar inspektohet në mënyrë shtetërore dhe ne ende ofrojmë shkallëzim të
moderuar në të lartë. E meta e vendosjes së pajisjeve VPN në zonën DMZ është se konfigurimi ka rritur
kompleksitetin sepse do të na duhet konfigurim shtesë në murin e zjarrit për të mbështetur
ndërfaqet shtesë, dhe muri i zjarrit duhet të mbështesë drejtimin e politikave për të dalluar trafikun VPN nga ai
jo-VPN.
Pas shqyrtimit të pajisjeve të mundshme të rrjetit, ne zgjedhim të vendosim serinë Cisco ASA për
menaxhimin e lidhjes në distancë. Ne përdorim skenarin me firewall të integruar dhe pajisje VPN; ende do të na
duhet router Cisco për lidhjen me internetin. Ne po e zgjedhim këtë skenar për thjeshtësinë e tij mesatare dhe për
shkak se trafiku i deshifruar VPN do të inspektohet në mënyrë shtetërore.
Megjithëse konfigurimi do të jetë i komplikuar, ne mund të përdorim softuerin Cisco ASDM dhe/ose SMD për ta
thjeshtuar atë. Ne do të aplikojmë një router Cisco dhe një pajisje me mur zjarri në secilën prej vendndodhjeve të
largëta. Ruteri Cisco 7201 përdoret si ruter kufitar për performancën e tij të lartë dhe shërbimet e mbështetura -
përdor motorin e përpunimit të rrjetit NPE-G2 që grumbullon shërbimet në 2 Mpps; mbështet Fast Ethernet,
Gigabit Ethernet dhe Packet mbi SONET; integrimi i zërit, videove dhe të dhënave.
Në seksionin 2.1.5 kemi shqyrtuar llojet e mundshme të menaxhimit. Në rrjetin tonë ne do
përdorni menaxhimin brenda brezit. Përfitimet që ndikuan në zgjedhjen tonë janë se ky
menaxhim thjeshton arkitekturën e rrjetit sepse të njëjtat shtigje rrjeti përdoren për të dhënat e përdoruesit dhe të
dhënat e menaxhimit.
42
Figura 3.6 Rrjeti i kampusit
Figura 3.6 tregon këtë topologji rrjeti. Adresimi i rrjetit nuk është shfaqur ende. Ne do ta
diskutojmë më në detaje më vonë. Figura tregon se rrjeti i kampusit është i ndarë në disa nënzona -
zona DMZ, zona për grupin VPN të aksesit në distancë dhe zona për stacionet e punës të përdoruesve.
Ne përdorim dy rutera Cisco për lidhjen me internetin për të siguruar tepricë - është më mirë të
kemi lidhje interneti të ofruar nga dy ISP, kështu që kur njëri ISP ka probleme me lidhjen, ne mund
të kemi lidhje me internetin përmes tjetrit.
Dy Cisco ASA 5540 përdoren në modalitetin e dështimit me modulin AIP-SSM të
instaluar në të dyja për të ofruar funksione IPS. Ata u japin përdoruesve të degës akses për
shërbimet publike në zonën DMZ dhe filtron trafikun hyrës dhe dalës.
Figura 3.7 tregon detaje rreth zonës DMZ në skajin e Internetit. Ne përdorim dy
Cisco ASA 5540s (5540-1 dhe 5540-2). Ato janë konfiguruar në modalitetin e dështimit dhe në
ndërfaqet e tyre publike janë të lidhura me ndërprerësat Cisco Catalyst. Çelësat
janë të lidhur me ruterat Cisco (Border Router (BR) 1 dhe BR2) të lidhur me ISP-në që
ofron lidhje interneti. BR1 dhe BR2 janë konfiguruar me Hot Standby Routing Protocol (HSRP) për të
ofruar tepricë të lidhjes në internet. Adresa IP e ruterit virtual për grupin HSRP
është 172.30.201.5/27
4
Figura 3.7 Rrjeti i kampusit - DMZ dhe skaji i Internetit
Ruteri dhe dy Cisco ASA 5540 janë të lidhur së bashku në nënrrjetin 172.30.201.0/27.
Porta e paracaktuar e secilit prej Cisco ASA 5540 është vendosur në adresën e ruterit virtual
HSRP 172.30.201.5/27.
Në segmentin DMZ ka dy serverë me adresë IP 192.168.232.100 dhe 192.168.232.101.
Nga Interneti vetëm trafiku HTTP dhe HTTPS lejohet në këta serverë. Ata po komunikojnë me një
server të brendshëm MySQL të vendosur në adresën 10.20.4.50 (i vendosur në
qendrën e të dhënave, nuk tregohet në figura) për të marrë informacion.
Për të komunikuar me serverin e brendshëm të bazës së të dhënave, serveri në internet përdor
portin TCP 3306 (ky është porti i përdorur nga serveri i bazës së të
dhënave MySQL). Ne do të lejojmë vetëm këtë komunikim nga serveri në internet në rrjetin e
brendshëm. Kjo bëhet për arsye sigurie dhe asnjë trafik tjetër nuk do të lejohet nga zona publike DMZ në
rrjetin e brishtë të brendshëm. Për serverin e postës, ne duhet të lejojmë SMTP të lejojë emailet dalëse
dhe IMAP të lejojë emailet hyrëse. IMAP përdor portën TCP 143. Ka versione të sigurta të këtyre
protokolleve që duhet t'i përdorim - SMTP e sigurt (SSMTP)
përdor portën 465, IMAP e sigurt (IMAP4-SSL) përdor portën 585, IMAP4 mbi SSL (IMAPS) përdor portën 993.
4
Figura 3.8 Rrjeti i kampusit - Cluster VPN me akses në distancë
Ne po përdorim dy Cisco ASA 5520 të kombinuara së bashku për të mbështetur aksesin në

distancë VPN. Ato janë etiketuar VPN-5520-1 dhe VPN-5520-2. Ne kemi dy Cisco ASA
5520 për tepricë të aksesit në distancë. VPN-5520-1 do të konfigurohet si master i grupit (përparësia e caktuar
prej 20) dhe VPN-5520-2 do të veprojë si grup dytësor (përparësia e caktuar prej
10). VPN-5520-1 dhe VPN-5520-2 kanë lidhje komunikimi të balancimit të ngarkesës ndërmjet njëri- tjetrit.
Kjo lidhje komunikimi duhet të jetë e koduar.
Ne do të konfigurojmë VPN-5520-1 (mjeshtri i grupit VPN) për të caktuar adresat IP tek klientë
nga një grup adresash në rangun 10.60.0.0/16. Në grupin dytësor VPN (VPN-5520-2) ne aplikojmë
diapazon të ndryshëm të grupeve - 10.70.0.0/16.
Në skajet e internetit Cisco ASA ne shtojmë Protokollin e transmetimit në kohë reale (RTSP)
inspektimi në mënyrë që të lejojë përdoruesit të përdorin video streaming me aplikacione si Apple
QuickTime, Cisco IP/TV dhe RealPlayer.
3.2 Organizimi i degëve të largëta

Kompania mund të ketë disa deri në dhjetëra degë. Figura 3.9 tregon mostrën e topologjisë së rrjetit të
vendosur në zyrat e degëve.
4
Figura 3.9 Arkitektura e Degës
Ne zgjedhim Cisco ISR 2821 si pajisje fundore VPN site-to-site në zyrën e degës. Cisco ISR 2821 i
përshtatet më së miri nevojave të një zyre dege të vogël dhe të mesme.
Tabela 3.4 ofron një përmbledhje të veçorive të Cisco ISR që ndikuan në zgjedhjen tonë. Disa prej tyre janë:
o Mbështetje me zë dhe video;
o Ndërfaqja WAN 1000 Mbps;
o Mbështetje për Power over Ethernet (PoE);
o Performanca e mirë/norma e çmimit.
Skema e adresimit IP është paraqitur në figurë. Adresimi IP statik zbatohet për të gjithë
pajisjet që janë më mirë të kenë adresën IP të konfiguruar manualisht - serverët, printerët dhe ruterët. Të gjithë
hostet e tjerë në rrjet përdorin ruterin ISR si server DHCP. Gama e grupit DHCP është nga
172.20.100.31 në 172.20.100.254. Adresat nga 172.20.100.1 deri në 172.20.100.30 janë të rezervuara për çdo
server, ruter ose pajisje të tjera.
Zyra e degës kërkon përfundimisht një server printimi për të trajtuar pyetjet e printimit. Serverët e ndërmarrjes
ofrojnë të gjitha shërbimet e tjera të nevojshme për zyrën e degës. Përdoruesit e degëve aksesojnë shërbimet në
qendrën e centralizuar të të dhënave të ndërmarrjes përmes lidhjes VPN nga faqe në vend. Kjo mund të shtojë disa
probleme me vonesat dhe gjerësinë e brezit, por heq nevojën për të pasur pajisje shtesë në LAN të degës për të
adresuar nevojat e përdoruesve. Gjithashtu heq nevojën
për t'u shqetësuar për ruajtjen dhe rezervimin e të dhënave në këta serverë. Kjo është arsyeja pse ne zgjedhim
zgjidhjen e qendrës së të dhënave të centralizuar.
Funksioni i tunelit të VPN Split është i çaktivizuar, sepse në këtë mënyrë ndërmarrja ka kontroll mbi
përdoruesit e degës Aktiviteti i internetit. Gjithashtu, siç u diskutua në seksionin e sigurisë
(Seksioni 2.1.6) tuneli i ndarë mund të çojë në komprometimin e kompjuterëve të përdoruesve në degë dhe t'i
japë sulmuesit akses në të dhënat e cenueshme të ndërmarrjes.
3.3 Analiza, vlerësimi dhe testimi i zgjidhjes

Zgjidhja e internetit të ndërmarrjeve është e përshtatshme për ndërmarrjet e mesme dhe të mëdha. Ofron
performancë të konsiderueshme me kosto mesatare të lartë për të përmbushur kërkesat e një ndërmarrje për
disponueshmëri të lartë, politika sigurie dhe lidhje me shpejtësi të lartë. Zgjidhja e
rrjetit të zyrave të degëve ofron siguri përmes firewall-it, IPS-së dhe filtrimit të përmbajtjes; lidhje WAN me
shpejtësi të lartë prej 1000 Mbps; mbështet si transmetimin e zërit ashtu edhe videon, por mungon
4
tepricë dhe dështim. Kjo e bën këtë zgjidhje të degës më të përshtatshme për degët e ndërmarrjeve të
vogla dhe të mesme.
Ekzistojnë vlerësime të ndryshme në lidhje me aspekte të ndryshme të zgjidhjes së ofruar. Rrjetet e
projektuara vlerësohen për kriteret e mëposhtme - sigurinë, lehtësinë e vendosjes, disponueshmërinë dhe
performancën.
o Siguria
Për sigurimin e skajit të internetit të ndërmarrjes janë përdorur ASA 5540s. Për menaxhimin e lidhjes
së degës janë përdorur ASA 5520s. Të dy modelet ASA ofrojnë filtrim të gjendjes së paketave,
Sistemi i Parandalimit të Ndërhyrjeve dhe filtrim i përmbajtjes; ASA 5520-të janë përgjegjëse për
VPN-në faqe-në-faqe nëpërmjet lidhjeve IPsec. Në këtë mënyrë
lidhjet e zyrave në distancë janë të sigurta dhe trafiku i deshifruar VPN kontrollohet në
mënyrë shtetërore. Zgjidhja ofron një rrjet shumë të sigurt dhe elastik në avantazh të ndërmarrjes dhe
rrjet të zyrave të largëta të degëve.
o Lehtësia e vendosjes
Rrjeti i zyrave të degëve është i thjeshtë - përdoret një ruter ISR. Konfigurimi i atij ruteri është
sfidë sepse duhet të konfigurohet për shumë shërbime. Rrjeti i internetit i ndërmarrjes është i
vështirë - ai ka dy ruterë kufitarë, ndërprerës, dy mure zjarri ASA që përcjellin trafikun drejt dhe
nga një zonë DMZ, dy mure zjarri ASA që përfundojnë lidhjen me zyrat e degëve. Konfigurimi i
këtyre pajisjeve është një detyrë komplekse.
Vështirësia e vendosjes së zgjidhjes është e lartë. o Disponueshmëria
Zgjidhja e ndërmarrjes Internet Edge ofron disponueshmëri të lartë për përdoruesit e ndërmarrjeve, si
dhe përdoruesit e zyrave të degëve. Në topologji ka dy ruterë kufitarë të grupuar në një ruter virtual
me HSRP (nëse ruteri primar dështon, sekondari fillon të drejtojë trafikun pa asnjë shqetësim për
përdoruesit) për të siguruar lidhje të tepërt me
internetin. Për ndërprerjen e VPN-së site-to-site në zyrat e degëve përdoren dy ASA të kombinuara në
grup – në këtë mënyrë përdoruesit e zyrës së degës shohin vetëm një pajisje. Ne kemi një rrjet mjaft të
disponueshëm në Internet edge për ndërmarrje. Në zyrën e degës ka vetëm një ruter ISR përgjegjës për
rrugëtimin, filtrimin e paketave dhe të tjera. Kjo e
bën disponueshmërinë sfiduese sepse nëse ky ruter dështon, nuk ka
pajisje tjetër për të marrë përsipër. Disponueshmëria e zyrës së degës është e ulët.
o Performanca
Ne vlerësojmë performancën si vlerë mesatare midis xhiros së Firewall, IPS dhe VPN në
krahasim me xhiron prej 1 Gbps. Formula është P = ((FW + IPS +
VPN)/3)/100
"P" është vlera e llogaritur për performancën e veçantë të pajisjes. Për "FW", "IPS" dhe VPN
përdoren vlerat për xhiron e murit të zjarrit, IPS dhe VPN. E ndajmë me 3, marrim
performancën mesatare dhe më pas e krahasojmë me performancën bazë prej
100 Mbps. Ne zgjedhim 100 Mbps si xhiro bazë në formulë sepse 100 Mbps është xhiroja më e
ulët që duhet të ketë një pajisje në një rrjet ndërmarrjesh. Vlerat e performancës nën 1 do të thotë
që performanca është shumë e ulët.
FW VPNIPS AVG P=AVG/100
ASA 5520 420 375 225 340 3.4
ASA 5540 650 500 325 492 4.92
ISR 2801 530 145 145 273 2.73
Tabela 3.5 Vlerësimi i performancës ASA dhe ISR
Tabela 3.5 tregon rezultatet e vlerësimit të ASA-ve dhe ruterit ISR të përdorur (AVG qëndron për
vlerën mesatare të FW, IPS dhe VPN). Vetëm ASA dhe ISR janë përdorur në vlerësim, sepse ato kanë
karakteristika të përbashkëta që munden
4
të krahasohen. Siç tregon tabela, performanca e pajisjeve është e mjaftueshme. Performanca e ruterave
kufitare 7201s është 2 Mpps (Miliona Pako për Sekondë) me motorin e zgjedhur NPE-G2, që do të
thotë se ruterat kufitarë kanë performancë të lartë.
Vlerësimi i përgjithshëm i zgjidhjes është i lartë, topologjitë e rrjetit të sugjeruara janë

mesatarisht e vështirë për t'u zbatuar, por ofron siguri të lartë me performancë mesatare deri në të
lartë.
Ne do të testojmë disponueshmërinë e ruterëve kufitarë 7200 seri. Të dy ruterat janë konfiguruar me
HSRP për të siguruar lidhje të tepërt me internetin. Për mjedisin e testimit ne përdorim GNS3 (Graphic
Network Simulator) sepse na jep mundësinë për të konfiguruar, testuar dhe zgjidhur ruterat që punojnë me
IOS të vërteta.
Figura 3.10 Mjedisi i Testimit të HSRP
Figura 3.10 tregon mjedisin e testimit që krijuam në GNS3. Ne simulojmë vetëm këtë segment të
vogël të ruterit të skajit të internetit të ndërmarrjes, sepse ne po testojmë vetëm tepricën e ofruar nga
HSRP. “Laptop” përfaqëson kompjuterin që kemi lidhur logjikisht me
mjedisin e simuluar në të cilin IP Virtuale HSRP është vendosur si porta e paracaktuar. "BR1" dhe
"BR2" janë ruterat kufitarë nga topologjia e skajit të internetit të ndërmarrjes. Konfigurimi i
ruterave për HSRP tregohet në Shtojcën B1.
HSRP funksionon në atë mënyrë që përdoruesi përfundimtar (në figurë ky është "Laptop",
por në topologjinë e projektuar përdoruesit janë të dy ASA 5540) të mos i shohin dy ruterët si porta
të veçanta, por të shohin ruterin virtual të krijuar nga HSRP dhe përpara. trafiku në adresën e ruterit virtual.
Ne kemi zgjedhur BR1 të jetë ruteri "Aktiv" dhe trafiku i ruterit të destinuar për ruterin
virtual dhe BR2 të jetë ruteri "Standby" ose rezervë nëse BR1 nuk funksionon.
Nëse lëshojmë komandën "ping" nga "Laptop" për të verifikuar lidhjen me gateway, ne do të
shohë përgjigjet që vijnë nga pajisja me IP 10.1.1.103. Kjo tregohet në Shtojcën B2.
Tani në topologji ne fikim ruterin aktiv HSRP BR1 për të testuar se cili do të jetë ndikimi në lidhjen e
portës së përdoruesit. Figura 3.11 tregon topologjinë pas fikjes së BR1. Ping-u në portën e paracaktuar
është i suksesshëm. Për të vërtetuar se BR1 nuk po përgjigjet, ne
lëshuam një ping për të, i cili ishte i pasuksesshëm. Megjithatë, ping në BR2 IP 10.1.1.101 janë të
suksesshme. Rezultati nga ky ping tregon se ruteri i gatishmërisë BR2 është bërë ruter aktiv për grupin
HSRP. Shtojca B.3 tregon rezultatet e ping.
4
Figura 3.11 Fikja e ruterit aktiv HSRP BR1
Pasi të ndezim përsëri BR1 kemi të njëjtën topologji siç tregon Figura 3.10.
Nëse kontrollojmë tastierën e BR1 dhe BR2, do të shohim njoftimet e ngjarjeve që BR1 bëhet përsëri
ruteri aktiv HSRP dhe BR2 kalon nga Active në Standby.
Kjo arrihet me komandën “standby 1 preempt” në BR1. Shtojca B.4 tregon këto mesazhe njoftimi. Tani
ne lëshojmë përsëri ping në portën e paracaktuar për të kontrolluar lidhjen. Ping ishte i suksesshëm. Ne
lëshojmë gjithashtu ping për BR1 dhe BR2 për të verifikuar që ato janë në funksion. Shtojca B.5 tregon
rezultatin e këtyre ping.
Si përmbledhje mund të themi se nëse nuk do të kishim lëshuar në mënyrë eksplicite ping për BR1 dhe BR2 ne nuk do ta
kuptoja që njëra nga portat është poshtë. Ruteri rezervë kalon nga modaliteti i gatishmërisë në modalitetin
aktiv dhe fillon të përcjellë trafikun, si rezultat përdoruesi përfundimtar nuk përjeton shqetësime të lidhjes.
Një test tjetër që do të bëjmë është të testojmë sigurinë e lidhjes VPN midis ndërmarrjes dhe një
dege. Figura 3.12 tregon topologjinë që ne përdorim është për testim, si dhe skemën e adresimit IP dhe
pajisjet e përdorura.
Figura 3.12 Topologjia e testit VPN
Ruteri “Branch1” është ruteri kufitar i një zyre dege. Ruteri "ISP" përfaqëson internetin. Në rrjetin e
ndërmarrjes ne përdorim vetëm një ruter dhe mur zjarri, sepse për testim nuk kemi nevojë për tepricë.
4
Tani për të testuar sigurinë e lidhjes VPN, duhet të dërgojmë të dhëna nga ruteri i zyrës së degës në
ruterin kufitar të ndërmarrjes dhe t'i ekzaminojmë ato me analizues protokolli si Wireshark. Për të simuluar
kalimin e të dhënave ne do të përdorim komandën ping nga routeri Branch1 në rrjetin e brendshëm të
ndërmarrjes: ping 10.10.0.1 burimi 10.10.1.1 përsërit 300. Ne përdorim ndërfaqen loopback të
routerit Branch1 për burimin e ping-ut sepse në këtë mënyrë simulojmë rrjetin LAN të zyrës së degës.
Shtojca B.6 tregon rezultatin e komandës ping të lëshuar. Siç mund të shihet, paketat e kërkesës ping dhe
të përgjigjes kanë ndryshuar adresën IP të burimit dhe të destinacionit. Kjo është kështu sepse trafiku ishte
i koduar përpara se ta kapnim atë me Wireshark. Nëse trafiku nuk do të ishte i koduar, ne do ta shihnim
atë në tekst të qartë me adresat e burimit dhe të destinacionit që përdorëm në komandën ping (Shtojca
B.7 tregon atë rezultat).
Si përfundim nga testi mund të themi se trafiku ndërmjet ndërmarrjeve dhe rrjeteve të degëve është
i sigurt. Lidhja VPN site-to-site mbi IPsec ofron siguri të fortë dhe privatësi të të dhënave.
Rezultatet
Në kapitullin e Teorisë ne shqyrtuam dy opsione komunikimi midis ndërmarrjes dhe rrjeteve të degëve
të largëta – WAN privat dhe VPN nga faqe në vend. Janë shqyrtuar llojet e mundshme
të WAN private - Frame Relay, ATM, linja me qira dhe të tjera. Llojet e mundshme të zbatimeve të VPN-së
ne shqyrtuam gjithashtu. Këto lloje përfshijnë, por nuk kufizohen në PPTP, IPsec dhe
SSL VPN. U diskutua gjithashtu për sigurinë, menaxhimin dhe shërbimet për rrjetin e ndërmarrjeve me degë
të largëta.
Në kapitullin e Teorisë ne shqyrtuam llojet e mundshme të menaxhimit - brenda dhe jashtë
menaxhimi i bandës; menaxhim i centralizuar, i shpërndarë dhe hierarkik. Ne rishikuam gjithashtu
mënyrat e mundshme të ruajtjes së të dhënave të menaxhimit - në një media
ose sistem të përhershëm (ose gjysmë të përhershëm). U shpjeguan edhe pjesët e procesit të ruajtjes
së të dhënave - ruajtja parësore, ruajtja sekondare dhe ruajtja terciare
Për projektimin ne zgjodhëm modelin VPN site-to-site si lidhje primare ndërmjet ndërmarrjes dhe
degëve. Zgjidhja e problemit që ne ofruam bazohet në atë model. Ne diskutuam faqe më faqe në më shumë
detaje dhe zgjodhëm IPsec si llojin e mundshëm të zbatimit. Ne rishikuam gjithashtu me kujdes llojet e
pajisjeve që do të përdoren në rrjet. Për çdo vendndodhje të veçantë ne zgjodhëm pajisjet më të
përshtatshme.
Zgjidhja u analizua, u vlerësua dhe u testua pjesërisht. Rezultatet tregojnë se zgjidhja e
rrjetit të ndërmarrjeve është e përshtatshme për ndërmarrjet e mesme dhe të mëdha. Ofron siguri të lartë,
disponueshmëri, tepricë dhe lidhje me shpejtësi të lartë. Zgjidhja e zyrës së degës
është e përshtatshme për zbatime të zyrave të degëve të vogla dhe të mesme. Ofron siguri të lartë,
disponueshmëri të ulët, asnjë tepricë dhe lidhje me shpejtësi të lartë.
50
4 Diskutim mbi rezultatet

Ky kapitull përmban diskutime mbi rezultatet e projektimit. Këtu do të nxjerrim përfundimin përfundimtar, do të
rendisim rekomandimet dhe do të japim këshilla për punën e ardhshme. Secila prej tyre do të mbulohet në seksione
të veçanta si përfundimet e mëposhtme në seksionin 4.1, rekomandimet në
seksionin 4.2 dhe puna e ardhshme në seksionin 4.3.
4.1 Përfundim
Projekti i jep zgjidhje problemit. Rrjeti i projektuar i komunikimit kompjuterik i ndërmarrjes me një rrjet
të degëzuar filialesh (përshkruar në seksionin 3.1.4) mund të mbështesë zyrat e degëve të zgjeruara
rajonale, ndërkombëtare ose të shtrira në mbarë botën. Zyrat e degëve (shpjeguar në seksionin 3.2) kanë
nevojë për lidhje interneti dhe pajisje që mbështesin VPN nga faqe në faqe të bazuara në IPsec.
4.2 Rekomandime
Duhet të zbatohet teprica e rrjetit të degëve. Pa tepricë nëse ruteri ISR nuk funksionon, e gjithë zyra e
degës humbet. Një tjetër ruter ISR mund të vendoset për të ofruar rrjet të tepërt.
Rrjeti i projektuar i zyrave të degëve u përshtatet më së miri nevojave të një dege të vogël dhe të mesme zyrë. Për
madhësi të tjera të degëve duhet të përdoren pajisje të tjera.
4.3 Puna e ardhshme
Modelet e përdorura të ruterit (7201) në Internet Edge kanë performancë të lartë dhe një gamë të gjerë
funksionesh të mbështetura. Megjithatë, nëse ndërmarrja kërkon performancë edhe më të lartë në të ardhmen,
duhet të merret parasysh një migrim në serinë ASR 1000.
Ndërmarrja komunikon me degët nëpërmjet lidhjes VPN site-to-site bazuar në IPsec. Por nëse
kjo lidhje është e ndërprerë, ndërmarrja nuk ka asnjë lidhje rezervë me degët. Lidhja dytësore ndërmjet të dy
lokacioneve mund të zbatohet në të ardhmen.
Zbatimi i IPv6 duhet të konsiderohet gjithashtu në të ardhmen. IPv6 ka shumë përfitime mbi IPv4 - kokë e
thjeshtuar për efikasitetin dhe performancën e rrugëtimit; hierarki dhe politika më të thella për fleksibilitetin e
arkitekturës së rrjetit; mbështetje efikase për rutinimin dhe grumbullimin e itinerarit; siguri me mbështetje të
detyrueshme IP Security (IPSec) për të gjitha pajisjet IPv6
dhe të tjerët. Ekzistojnë gjithashtu strategji të migracionit që mund të përdoren për të lehtësuar
procesin e migrimit.
Projekti ofron testimin e funksionalitetit të HSRP. Në të ardhmen më shumë veçori të
rrjeti i projektuar mund të testohet për të mbështetur deklaratat e teorisë me rezultatet e testimit.
Këto veçori përfshijnë, por nuk kufizohen në aksesin e serverëve nga zyrat e degëve; funksionimi i grupit VPN;
filtrimi i paketave të murit të zjarrit; dhe shfrytëzimi i gjerësisë së brezit të lidhjes VPN.
51
Referencat
[1]. James McCabe (2007). Analiza, Arkitektura dhe Dizajni i Rrjetit Botimi i 3-të [2].
Jazib Frahim, Qiang Huang (2008). Cisco Press SSL Remote Access VPN [3].
http://en.wikipedia.org/wiki/RADIUS (vizituar 180410) [4].
http://www.networkcomputing.com/netdesign/soho1.html (vizituar 030510) [5].
http://www.pro-100.org/?oblast=0&sort=economy# (vizituar 060510)
[6]. Diane Teare, Catherine Paquet (2005). Bazat e projektimit të rrjetit të kampusit
[7]. Richard Deal (2006). Udhëzuesi i plotë i konfigurimit të Cisco VPN
[8]. http://www.ibm.com/developerworks/ru/library/l-Backup_1/?S_TACT=105AGX99&S_CMP=GR01
(vizituar 110610)
[9]. Keith Hutton, Mark Schofield (2009). Dizajnimi i Arkitekturave të Shërbimit të Rrjetit Cisco Edicioni i
2-të [10]. http://www.edrivium.com/ (vizituar
120610) [11]. http://www.juniper.net/ (vizituar
120610) [12]. http://en.wikipedia.org/wiki/DMZ_%28computing%29 (vizituar
130610) [13]. http://campustechnology.com/Articles/2010/03/12/Machine-Hunt-User-Forensics- at-
Salt-Lake Community-College.aspx?Page=2 (vizituar
220610) [14]. http://www.etelemetry.com/
(vizituar 230610) [15] http://www.cisco.com/en/US/docs/ios/solutions_docs/ipv6/IPv6dswp.html
(vizituar 080710) [16] http://www.groupstudy.com/bookstore/samples/Oppenheimer/index.html (vizituar 110710)
[17] Priscilla Oppenheimer (2004). Dizajni i rrjetit Cisco Press Top-Down Botimi i Dytë [18]
Mark Lewis (2006). Cisco Press Krahasimi, Dizajnimi dhe Vendosja e VPN-ve [19]
http://www.networkworld.com/subnets/cisco/092509-ch1-intro-to-wan-architectures.html (vizituar 140710)
[20] Wendell Odom (2010), CCNP ROUTE 642-902 Udhëzues zyrtar i certifikimit
[21] Bob Vachon, Rick Graziani (2008). Qasja në WAN CCNA Exploration Companion [22]
http://www.ciscoguard.com/CISCO892W.asp (vizituar 170710) [23]
http://secret-epedemiology-statistic.org.ua/1587052091/ch22lev1sec1.html (vizituar 180710) [24]
http://iaoc.ietf.org/network_requirements.html (vizituar 240710) [25]
http://www.archicadwiki.com/Teamwork/NetworkSpecification (vizituar 270710) [26]
http://www.networkworld.com/newsletters/wireless/2009/052509wireless2.html (vizituar 040810) [27]
http://www.cisco.com/en/US/prod/collateral/routers/ps9343/white_paper_c11-
451583_ns592_Networking_Solutions_White_Paper.html (vizituar 050810)
[28] http://www.cisco.com/en/US/docs/solutions/Enterprise/Branch/WAASBr11.html (vizituar 260810)
[29] http://searchdatabackup.techtarget.com/tip/0,289483,sid187_gci1516980,00.html (vizituar 280810)
[30] http://searchdatabackup.techtarget.com/sDefinition/0,,sid187_gci1378343,00.html (vizituar 280810) [31]
http://www.cisco.com/application/pdf/en/us/guest/netsol/ns171/c649/ccmigration_09186a00807593b6.pd f
(vizituar 300810)
[32] http://www.cisco.com/en/US/prod/collateral/routers/ps9343/at_a_glance_c45-457081_v7.pdf (vizituar në
010910) [34] http://www.cisco.com/en/US/prod/collateral/routers/ps341/
product_data_sheet09186a008008872b.html (vizituar 020910) [35] http://www.cisco.com/en/US/ docs/

solutions/Enterprise/Security/IE_DG.html#wp42019 (vizituar 020910) [36] http://
www.cisco.com/en/US/products/ps5882/index.html (vizituar 260810) [37] http://
www.cisco.com/en/US/products/ps5855/index.html (vizituar 270810) [38] http://www.cisco.com/en/US/

prod/routers/networking_solutions_products_genericcontent0900aecd806ca b99.html (vizituar 270810)
5
[39]
(vizituar 280810)
(vizituar 300810)
(vizituar 300810)
(vizituar 010910)
(vizituar 010910)
(vizituar 010910)
5
Shtojca A
Dokumentet dhe vendimet e rrjetit
Shtojca A.1 Konfigurimi i zyrës së degës në Nju Jork ! Ndërfaqja

publike e jashtme e ndërfaqes
GigabitEthernet0/0 emri
jashtë nivelit të sigurisë
0 adresa IP
209.165.200.231 255.255.255.224 !
! Ndërfaqja private e brendshme e

ndërfaqes GigabitEthernet0/1
emri brenda adresës
IP të nivelit 100 të
sigurisë 10.165.200.231 255.255.255.0 ! ! emri i
hostit NewYork!
!Hyrjet e mëposhtme të listës së kontrollit të aksesit i kufizojnë përdoruesit e brendshëm që

të jenë në gjendje të !dërgojnë trafikun HTTP, HTTPS dhe DNS
në listën e aksesit në internet brendaACL leje të zgjeruar tcp 10.165.200.0 255.255.255.0 çdo
eq www access-listë brendaACL zgjatur leje tcp 10.165.200.0 255.255.255.0 çdo eq https hyrje-
listë brendaACL leje e zgjatur udp 10.165.200.0 255.255.255.0 çdo domen eq !
!Hyrjet e mëposhtme të listës së kontrollit të aksesit i kufizojnë përdoruesit e brendshëm që të

mund të !dërgojnë trafikun e portit TCP 8912 dhe 8913 te serveri 10.20.1.60 në Uashington, i cili pret !
aplikacionin e palës së tretë të përmendur më parë. lista e

aksesit brendaACL leje e zgjatur tcp 10.165.200.0 255.255.255.0 host 10.20.1.60 eq 8912 lista e
aksesit brendaACL leje e zgjatur tcp 10.165.200.0 255.2201.89.205!
!Hyrjet e mëposhtme të listës së kontrollit të aksesit i kufizojnë përdoruesit e brendshëm që të

mund të !dërgojnë trafikun SMTP, POP3 dhe IMAP4 te serveri i postës 10.20.4.50 në
Uashington.
Lista e aksesit brendaACL leje e zgjatur tcp 10.165.200.0 255.255.255.0 hosti pop 10.20.4.50 eq
smtp lista e
aksesit brendaACL leje e zgjeruar tcp 10.165.200.0 255.250.250. leje ed tcp 10.165.200.0 255.255.
255.0
host 10.20.4.50 eq imap4 !
!Hyrja e mëposhtme e listës së kontrollit të aksesit lejon që segmenti i menaxhimit

10.10.220.0/24 në !
Washington të jetë në gjendje të nisë një sesion të telekomandës te përdoruesi i
brendshëm stacionet e
punës !
në NY. lista e aksesit jashtëACL leje e zgjatur tcp 10.10.220.0 255.255.255.0
10.165.200.0 255.255.255.0 eq 7788
54
!
!Hyrjet e mëposhtme të listës së kontrollit të aksesit përdoren për të përcaktuar se
çfarë trafiku duhet të !enkriptohet mbi tunelin IPSec site-to-site për në
Uashington. lista e aksesit encryptACL leje e zgjatur ip 10.165.200.0 255.255.255.0 10.20.4.0
255.255.255.0
lista e aksesit encryptACL leje e zgjatur ip 10.165.200.0 255.255.255.0 10.20.1.0
255.255.255.0
lista e aksesit encryptACL leje e zgjatur ip 10.165.200.0 255.255.255.0 10.10.220.0
255.255.255.0
!
!Hyrjet e mëposhtme të listës së kontrollit të aksesit i lejojnë ASA të anashkalojë NAT për
trafikun e tunelit
IPSec. lista e aksesit jo në lejen e zgjatur ip 10.165.200.0 255.255.255.0 10.20.4.0
255.255.255.0
lista e aksesit jo në lejen e zgjatur ip 10.165.200.0 255.255.255.0 10.20.1.0
255.255.255.0
access-list nonat zgjatur leje ip 10.165.200.0 255.255.255.0 10.10.220.0
255.255.255.0 !
!Konfigurimi i mëposhtëm NAT lejon që të gjitha pajisjet e brendshme brenda

rrjetit !10.165.200.0/24 të jenë adresa e portit të përkthyer në adresën e jashtme
të
ndërfaqes !përveç trafikut
VPN. globale (jashtë) 1
ndërfaqe nat (brenda) 0 akses-
listë nonat nat (brenda) 1 10.165.200.0
255.255.255.0 !
!Listat e aksesit aplikohen në grupin përkatës të aksesit
brendaACL në ndërfaqen brenda grupit të
aksesit jashtëACL në ndërfaqen jashtë!
! Porta e parazgjedhur që tregon rrugën e adresës IP të ruterit

të jashtëm jashtë 0.0.0.0 0.0.0.0 209.165.200.232 1 !
!Në vijim është konfigurimi i tunelit vend-për-vend IPSec në Washington ASA !

209.165.201.1.
kripto ipsec transform-set myset esp-aes-256 esp-sha-hmac
kripto harta IPSec_map 10 set peer 209.165.201.1
kripto harta IPSec_map 10 set transform-set myset
kripto harta IPSec_map 10 adresa e jashtme e
përputhjes encryptACPeckmp encryptACL
politika 10 autentifikimi
para-shpërndaj politika isakmp 10 enkriptim
aes-256 politika isakmp 10 hash sha
isakmp politika 10 grupi 2
politika isakmp 10
jetëgjatësi 86400 tunnel-grup
209.165.201.1 tip ipsec-l2l520psec-group.
e kuqe -çelësi 1qaz@WSX
55
Komanda e lidhjes sysopt permit-ipsec nuk përdoret në konfigurimin e figurës 2.25. "Kjo
është bërë me qëllim për të siguruar që trafiku i deshifruar VPN të kalojë përmes ndërfaqes
ACL të aplikuar në ndërfaqen e jashtme." [23]
Shtojca A.2 Komandat e konfigurimit që rrisin sigurinë e pajisjeve të rrjetit
Çaktivizimi i shërbimeve të panevojshme

o Ruteri i aksesit Cisco
asnjë bllok shërbimi
! nuk ka rrugë-burim ip
nuk ka server bootp ip
nuk ka kërkim të domenit IP
!
ndërfaqja XXX
pa ridrejtime ip
pa ip të
paarritshme pa ip
proxy-arp
!
nuk ka server ip http
ose ndërprerës Cisco Catalyst
asnjë bllok shërbimi
!
nuk ka kërkim të domenit ip
!
nuk ka server ip http
o Cisco ASA Appliance – Këto veçori nuk janë të aktivizuara në një ASA, kështu që asnjë veprim nuk është
kërkohet.
Aktivizimi i regjistrimit
vulat kohore të shërbimit korrigjojnë datatime msec
vulat kohore të shërbimit log datatime kohë lokale
!
numërimi i prerjeve
logging buffered 8192 debugging
kufizimi i shpejtësisë së
regjistrimit 5 o Ndërprerës Cisco Catalyst
kohëzgjatja e korrigjimit të vulave kohore të shërbimit
koha e regjistrimit të vulave kohore të shërbimit

!
numërimi i prerjeve
logging buffered 8192 debugging
kufiri i normës së
prerjeve 5 o Cisco ASA Appliance
aktivizoni regjistrimin
regjistrimi i emergjencave të buferuara
Regjistrimi asdm informativ
56
Përdorimi i SSH në vend të Telnet për Administrim në distancë

o Emri i hostit të ruterit të
aksesit Cisco, emri i
domenit
të ip-së së ruterit, ese.cisco.com !
Cry key gjeneroni modul rsa të çelësave të
përgjithshëm 1024! ip ssh

version 2 ip ssh time
out 60 ip ssh authentication-
riprovon 2 ip ssh source-
interface
GigabitEthernet0/1 !
linjë vty0 15 Hyrja e
transportit ssh o Cisco
Catalyst switch emri i hostit
katalizator-ndërprerës ip emri i domenit ese.cisco.com !
Cry key gjeneroni

modul rsa të
çelësave
të përgjithshëm 1024! ip ssh
version 2 ip ssh time out 60 ip
ssh
authentication-
riprovon 2 ip
ssh
source-interface Vlan193! !
linjë vty 0 15 Hyrja e
transportit ssh o Cisco ASA Emri
i hostit të pajisjes asa-emri i domenit të
pajisjes ese.cisco.com ! Cry key gjeneroni modulin RSA 1024! skadimi i ssh 5
Aktivizimi i serverit HTTPS të ndërtuar në pajisjet Cisco

o Cisco qasje router
ip http sigurt-server !
o
Cisco Catalyst switch IP

http server-sigurt! o Cisco
ASA Appliance http

server aktivizoni http
172.16.1.0 255.255.255.0 menaxhim http
34.100.0.0 255.255.0.0
57
Kufizimi i lidhjeve të pranuara në linjat VTY dhe Console

linjë con 0
dalje transporti të gjitha
!
linjë aux 0
prodhimi i transportit të gjitha
!
rreshti vty 0 4
fjalëkalimi 7 1511021F0725
vula kohore e shpejtë e
ekzekutimit, hyrja e transportit
ssh
prodhimi i transportit të
gjitha o Ndërprerësi Cisco Catalyst
linja kon 0
prodhimi i transportit të gjitha
!
linjë vty 0
4 exec-timeout 60
0 fjalëkalimi 7 02050D480809
vula kohore e shpejtë e
ekzekutimit të hyrjes së transportit
ssh
!
rreshti vty 5 15
fjalëkalimi 7 02050D480809
hyrjet e transportit të vulës
kohore të shpejtë
ekzekutivesh o Cisco ASA Appliance
ssh 10.10.10.0 255.0.0.0 dmz 1
ssh 20.0.0.0 255.255.0.0 brenda
ssh scopy aktivizoni
(fut një rresht për çdo nënrrjet që lejohet qasja SSH)
!
skadimi i ssh 5
skadimi i konsolës 0
Menaxhimi i fjalëkalimeve me AAA në të gjitha pajisjet

kodimi i fjalëkalimit të shërbimit
aktivizo sekretin 5 $1$1ZoH$eUqctzD0NrObry5sgk/ jz0
!
aaa model i ri
!
aaa identifikimi i identifikimit ssh_users grupi tacacs+
aaa kontabiliteti dërgoni dështimin e vërtetimit të regjistrimit të ndalimit
aaa accounting exec ssh_users grupi start-stop tacacs+
aaa komandat e kontabilitetit 7 ssh_users start-stop grup tacacs
!
aaa sesion-id i zakonshëm
!
58
bllok identifikimi-për 30 përpjekje 3 brenda

200 vonesës
së hyrjes 2 ! emri i përdoruesit fjalëkalimi
cisco 7 121A0C041104 ! ip tacacs
burim-ndërfaqja Loopback0 ! tacacs-server host

10.59.138.11 me një lidhje
tacacs-server i drejtuar-kërkesa tacacs-
server key 7
13061E010803557878 ! o
shërbimi Cisco Catalyst switch
versioni 12.2, kodimi me fjalëkalim aktivizimi i
fjalëkalimit 7 110A1016141D aaa identifikimi
identifikimi
ssh_users grup tacacs+ aaa kontabiliteti dërgoni ndalimin
e regjistrimit dështim autentifikimi aaa kontabiliteti
ekzekutimi ssh_users start-stop
grupi tacaa cs ! aaa sesion-id i

zakonshëm !
bllok identifikimi-për 30 përpjekje 3 brenda
200 vonesës së hyrjes 2 ! emri i
përdoruesit fjalëkalimi cisco 7 121A0C041104 ! ip

tacacs burim-ndërfaqja
Loopback0 ! tacacs-server host 10.59.138.11

me një lidhje tacacs-
server drejtuar-kërkesa ! tacacs-çelësi i
serverit 7 13061E010803557878 o Kalimi i

pajisjes Cisco ASA wd 2KFQnbNIdI.2KYOU i koduar
! aaa-server tacacs-protokolli i grupit
tacacs+ aaa-server tacacs-group host 10.59.138.11 kyç

Cisco aaa-server TACACS+ protokoll tacacs+ ! aaa
authentication aktivizimi i konsolës tacacs-grupi LOKALE
aaa autentifikimi ssh konsol tacacs-grupi LOKALE aaa
vërtetimi telnet konsol tacacs-grupi LOKALE ! aaa
konsolë seriale të vërtetimit tacacs-grup

LOKALE ! aaa komanda e autorizimit
tacacs-grupi LOKALE ! konsol aaa kontabilitet telnet tacacs-grup aaa kontabilitet ssh konsol tacacs-grup a
59
Shtojca B
Rezultatet e testit
Shtojca B.1 o
Konfigurimi i BR1 ! ndërfaqja
FastEthernet0/0 adresa ip
10.1.1.100 255.255.255.0 nuk ka ridrejtime
ip shpejtësi
automatike
dyfishe
gatishmëri automatike 1 ip
10.1.1.103 gatishmëri 1
prioritet 150 gatishmëri
1 parandalim ! ndërfaqja
FastEthernet0/1 adresa ip 20.20.20.1
255.255.255.252 shpejtësi
automatike dupleks
automatike ! o Konfigurimi i BR2 ! ndërfaqja
FastEthernet0/0
Adresa ip
10.1.1.101
255.255.255.0 nuk ka
ridrejtime ip me shpejtësi
automatike të dyfishtë gatishmëri automatike
1 ip
10.1.1.103 !
ndërfaqja FastEthernet0/1
adresa ip 20.20.20.2 255.255.255.252 shpejtësi automatike duplex auto ! ip përpara-protokolli nd !
Shtojca B.2
6
Shtojca B.3
Shtojca B.4
6
Shtojca B.5
Shtojca B.6
Shtojca B.7
6
SE-351 95 Växjö / SE-391 82 Kalmar Tel +46-772-28 80 00

Lnu.se

FULLTEXT01

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

FULLTEXT01

Uploaded by

Copyright:

Available Formats

Machine Translated by Google

Rrjet kompjuterik për një kompani

Shkolla e Matematikës dhe Inxhinierisë së Sistemeve

Rrjet kompjuterik për një kompani me degë të largëta

Desislav Pavlov Ivanov

• ACL – Lista e kontrollit të

Lista e figurave dhe tabelave

Tabela 2.1 Kërkesat e veçorive për rolin e grumbullimit të WAN..........................................................10

1.1 Përkufizimi i problemit

1.5 Struktura e raportit

2.1 Rrjeti kompjuterik i kompanisë me degë

2.1.1 Infrastruktura dhe Arkitektura e Rrjetit

Figura 2.1 Qasja/Shpërndarja/Modeli bazë [9]

Figura 2.2 Shembull i rrjetit të korporatës bazuar në modelin Access/Distribution/Core [9]

Modele të bazuara në rrjedhën

Modelet e bazuara në rrjedhën që do të diskutojmë janë peer-to-peer, klient-server, hierarkike klient-

Konceptet themelore të rrjeteve të aksesit në distancë

o Rrjeti i korporatës është destinacioni i trafikut të përdoruesit.

Figura 2.3 Degë me madhësi të ndryshme [20]

Figura 2.4 Topologjia tipike e ndërmarrjes [21]

Moduli i telepunëtorëve na lejon të ofrojmë në mënyrë të sigurt shërbime të dhënash në

Figura 2.5 Arkitektura tipike e detajuar e ndërmarrjes [21]

Shërbimet standarde të sistemit

Në një rrjet korporate ne zakonisht përdorim shërbimet e mëposhtme: o

Sidoqoftë, ne nuk do të diskutojmë shërbimet e rrjetit të përdorura nga ndërmarrjet në to rrjetet

2.1.3 Komunikimi dhe integrimi

Figura 2.6 Opsionet e lidhjes WAN [19]

Figura 2.7 Topologjia e grumbullimit WAN [19]

Tabela 2.1 Kërkesat e veçorive për rolin e grumbullimit të WAN [19]

Ne gjithashtu do të duhet të instalojmë SLA (Marrëveshjet e Nivelit të Shërbimit). Tabela 2.3

Tabela 2.3 Kërkesat SLA [19]

Tabela 2.4 Detajet për Sigurimin e trafikut WAN [19]

VPN nga faqe në faqe

• Tunelet IPsec dhe GRE (Generic Routing Encapsulation) - Ndërlidhni

Figura 2.8 Metrikat e performancës të lidhura me ruterat e serisë ISR [9]

Përparësitë në vendosjen e pajisjes VPN paralelisht me murin e zjarrit janë:

Disavantazhet në vendosjen e pajisjes VPN paralelisht me murin e zjarrit janë:

Disavantazhet këtu janë:

Figura 2.11 VPN e integruar dhe pajisja e murit të zjarrit [9]

Nëse zgjedhim këtë dizajn, do të kemi përparësitë e mëposhtme:

o Kushton më pak se WAN privat

Figura 2.12 Fazat IPsec në pajisjet Cisco [2]

Ka dy mënyra të ndryshme se si mund të përdorim zgjidhjet IPsec në pajisjet Cisco:

2. Bazuar në harduer – VPN e bazuar në harduer Cisco mbështetet në sa vijon

Figura 2.13 Lidhja SSL VPN [2]

Protokolli i tunelit të shtresës 2 - L2TP

o Modeli i tunelit vullnetar – ky funksionon më shumë si PPTP

L2TP mbi IPsec

Figura 2.14 L2TP mbi negociatat IPsec [2]

Protokolli i tunelit pikë-për-pikë – PPTP

Figura 2.15 Negociatat e Lidhjes PPTP [2]

Tabela 2.5 Përmbledhje e teknologjive VPN me akses në distancë [2]

Figura 2.16 Menaxhimi i aksesit në një ndërmarrje që përdor RADIUS [3]

Figura 2.17 Mekanizmat e konfigurimit për menaxhimin e rrjetit [1]

Menaxhimi brenda dhe jashtë brezit

Figura 2.18 Flukset e trafikut për menaxhimin brenda brezit [1]

Figura 2.19 Flukset e trafikut për menaxhimin jashtë brezit [1]

Menaxhimi i centralizuar, i shpërndarë dhe hierarkik

Figura 2.21 Menaxhimi hierarkik e ndan menaxhimin në funksione të dallueshme [1]

Figura 2.22 Arkitektura DMZ me mur zjarri të vetëm [13]

Figura 2.23 Arkitektura DMZ me mur zjarri të dyfishtë [13]

2.1.7 Zgjidhje dhe shembuj

Zbatimi i një dege të vogël me Cisco ISR