Professional Documents
Culture Documents
Projekti i diplomës
Desislav Ivanov
2010-10-19
Lënda: Sistemet dhe teknologjitë kompjuterike Niveli:
Bachelor
Kodi i kursit: 2DV00E
Machine Translated by Google
i
Machine Translated by Google
Abstrakt
Qëllimi i këtij projekti ishte krijimi i një rrjeti për një kompani me degë të largëta. Autori ka interes
për arkitekturat e rrjetit dhe dëshiron të fitojë njohuri të përmirësuara për rrjetet në distancë.
Në këtë projekt është përdorur metoda krahasuese. Informacioni u mblodh, u analizua dhe u
bënë zgjedhje për të zgjedhur zgjidhjet e duhura të projektimit të rrjetit për qëllimin e këtij projekti.
Projektimi i një rrjeti të besueshëm, të shkallëzuar dhe të sigurt është një detyrë komplekse që
kërkon njohuri dhe përvojë në fushën e gjerë të rrjeteve kompjuterike, duke përfshirë
njohuri për konfigurimin e pajisjeve të rrjetit, llojet e rrjetit, protokollet e rrugëzimit, kërcënimet e
mundshme të sigurisë dhe shumë të tjera. Në këtë projekt u trajtuan qasjet kryesore në dizajnimin e
rrjetit, dhe disa prej tyre u demonstruan. Rrjeti demonstrues ishte
zhvilluar duke përdorur softuerin Graphic Network Simulator (GNS) për simulimin e pajisjeve të
rrjetit.
Fjalët kyçe: dizajni i rrjetit, rrjeti i korporatës, arkitektura e rrjetit, rrjetet në distancë, rrjeti i
degëve, dega e rrjetit të ndërmarrjeve, arkitektura e degëve, aksesi në distancë
ii
Machine Translated by Google
Përmbajtja
1 Prezantimi............................................................................................................................ 1
1.1 Përkufizimi i problemit......................................................................................................................1
1.2 Motivimi.................................................................................................................... 1
1.3 Metoda............................................................................................................................. 1
1.4 Kufizimet.................................................................................................................. 1
1.5
Struktura e raportit.....................................................................................................................2
2 Teori......................................................................................................3
2.1 Rrjeti kompjuterik i kompanisë me degë................................3
2.1.1 Infrastruktura dhe Arkitektura e Rrjetit.....................3
2.1.2 Shërbimet...............................................................................7
2.1.3 Komunikimi dhe integrimi...........................................................................8
2.1.4 Vërtetimi.............................................................................................................18
2.1.5 Menaxhimi.............................................................................................................19
2.1.6 Siguria....................................................................................................................22
2.1.7 Zgjidhje dhe shembuj..............................................................................................25
2.2 Aspektet metodologjike të projektimit............................................................................27
2.2.1 Qasjet e projektimit nga lart-poshtë dhe nga poshtë-lart..................................................................27
2.2.2 Dizajni modular..................................................................................................................27
2.2.3 Përgatitni, planifikoni, dizajnoni, zbatoni, operoni, optimizoni (PPDIOO) Qasja e ciklit
jetësor të rrjetit.............................................................................................................30
2.3 Përfundimi, synimet dhe qëllimet.......................................................................................32
3 Projektimi............................................................................................................................. 33
3.1 Rrjeti i kompanisë me arkitekturë, shërbime dhe degë të largëta
komunikimi....................................................................................................................... 33
3.1.1 Arkitektura.............................................................................................................33
3.1.2 Shërbimet...................................................................................................................... 38
3.1.3 Lidhja, komunikimi dhe integrimi i zyrës së degës.............................39
3.1.4 Dizajnimi i topologjisë së skajit të internetit të ndërmarrjes......................................................42
3.2 Organizimi i degëve të largëta..............................................................................45
3.3 Analiza, vlerësimi dhe testimi i zgjidhjes.........................................................46
Rezultatet............................................................................................................................................. 50
4 Diskutim mbi rezultatet..............................................................................................................51
4.1 Përfundim.................................................................................................................. 51
4.2 Rekomandime........................................................................................................ 51
4.3 Puna e ardhshme........................................................................................................................... 51
Referencat................................................................................................................................. 52
Shtojca A ................................................ ................................................ ................ 54
Dokumentet dhe vendimet e rrjetit..............................................................................................54
Shtojca B................................................................................................................................. 60
Rezultatet e testit................................................................................................................................. 60
iii
Machine Translated by Google
Lista e shkurtesave
• LAN – Rrjeti i zonës lokale •
MAN – Rrjeti i zonës metropolitane • WAN
– Rrjeti i zonës së gjerë • PSTN –
Rrjeti telefonik me ndërprerje publike • DHCP –
Protokolli i konfigurimit dinamik të hostit • DNS –
Sistemi i emrave të domenit •
AMANDA - Arkivi i avancuar i diskut automatik i rrjetit Maryland • ZRM – Zmanda
Recovery Manager • LRS –
Mandriva Linbox Rescue Server • VPN –
Virtual Private Network • IPsec –
Internet Protocol Security • SSL –
Secure Sockets Layer • L2TP – Layer 2
Tunneling Protocol • PPTP –
Point to Point Tunneling Protocol • OSI – Open
System Interconnection IP – Protokolli i
Internetit • IOS – Sistemi
Operativ i Internetwork • PIX – Shkëmbimi
privat i Internetit • ASA – Pajisje e Sigurisë
Adaptive • TCP – Protokolli i
Kontrollit të Transmetimit • UDP – Protokolli
i të dhënave të përdoruesit • POP –
Protokolli i Postës • SSH –
Predha e Sigurt • PAP –
Autentifikimi i fjalëkalimit Protokolli • CHAP –
Protokolli i Autentifikimit Challenge-Handshake • MS-CHAP –
Microsoft CHAP • MPPE – Kriptimi
pikë-për-pikë i Microsoft • NAT – Përkthimi i adresës së
rrjetit • PPP – Protokolli nga pikë në
pikë • GRE – Enkapsulimi i rrugës
së përgjithshme • RADIUS – Authen në
distancë Shërbimi i Përdoruesit Dial In • AAA – Autentifikimi,
Autorizimi dhe Kontabiliteti • SNMP – Protokolli i thjeshtë i
Menaxhimit të Rrjetit • DoS – Refuzimi i shërbimit
iv
Machine Translated by Google
Shifrat:
Figura 2.1 Qasja/Shpërndarja/Modeli bazë..........................................................................................3
Figura 2.2 Shembull i rrjetit të korporatës bazuar në modelin Access/Distribution/Core........................4
Figura 2.3 Degë me madhësi të ndryshme.................................................................................................5
Figura 2.4 Topologjia tipike e ndërmarrjes................................................................................................6
Figura 2.5 Arkitektura tipike e detajuar e ndërmarrjes.........................................................................7
Figura 2.6 Opsionet e lidhjes WAN...............................................................................................9
Figura 2.7 Topologjia e grumbullimit të WAN.............................................................................................9
Figura 2.8 Metrikat e performancës të lidhura me ruterët e serisë ISR...............................................13
Figura 2.9 Pajisja VPN e vendosur paralelisht me murin e zjarrit........................................................................13
Figura 2.10 Pajisja VPN e vendosur në zonën DMZ.........................................................................14
Figura 2.11 VPN e integruar dhe pajisja e murit të zjarrit..................................................................................14
Figura 2.12 Fazat IPsec në pajisjet Cisco.....................................................................................15
Figura 2.13 Lidhja SSL VPN..............................................................................................16
Figura 2.14 L2TP mbi negociatat IPsec........................................................................................17
Figura 2.15 Negociatat e Lidhjes PPTP.....................................................................................18
Figura 2.16 Menaxhimi i aksesit në një ndërmarrje që përdor RADIUS..............................................19
Figura 2.17 Mekanizmat e konfigurimit për menaxhimin e rrjetit...........................................20
Figura 2.18 Flukset e trafikut për menaxhimin brenda brezit................................................................20
Figura 2.19 Flukset e trafikut për menaxhimin jashtë brezit......................................................................21
Figura 2.20 Një kombinim i flukseve të trafikut të menaxhimit brenda dhe jashtë brezit 21
Figura 2.21 Menaxhimi hierarkik e ndan menaxhimin në funksione të dallueshme 22
Figura 2.22 Arkitektura DMZ me mur të vetëm të zjarrit..............................................................................23
Figura 2.23 Arkitektura DMZ me mur zjarri të dyfishtë....................................................................................24
Figura 2.24 Vendosja e ISR në zyrën e degës së vogël.........................................................................25
Figura 2.25 Degët e korporatës................................................................................................26
Figura 2.26 Zyra e degës në Nju Jork.................................................................................................27
Figura 2.27 Qasja e ciklit jetësor të rrjetit PPDIOO.......................................................................30
Figura 2.28 Identifikimi i Kërkesave të Klientit...........................................................................31
Figura 3.1 Infrastruktura e aksesit në distancë 3.4............................................... ......................
Figura 3.2 Vendosja e mureve të zjarrit të qasjes në distancë............................................................................34
Figura 3.3 Lidhja me internetin e ruterave kufitare...............................................................35
Figura 3.4 Shërbimet Cisco ASR 1000................................................................................................36
Figura 3.5 Pozicionimi i rrugëtimit të Cisco ASR...................................................................................36
Figura 3.6 Rrjeti i kampusit...............................................................................................................43
Figura 3.7 Rrjeti i kampusit - DMZ dhe skaji i Internetit................................................................44
Figura 3.8 Rrjeti i kampusit - Grupi i VPN me akses në distancë............................................................45
Figura 3.9 Arkitektura e zyrës së degës................................................................................................46
Figura 3.10 Mjedisi i testimit të HSRP.........................................................................................48
Figura 3.11 Fikja e ruterit aktiv HSRP BR1...........................................................................49
Figura 3.12 Topologjia e testit VPN......................................................................................................... 49
v
Machine Translated by Google
Tabelat:
vi
Machine Translated by Google
1 Hyrje
Rrjetet kompjuterike në ditët e sotme zënë një vend shumë domethënës në biznes. Është shumë kritike për
biznesin që të përdorë teknologjitë më të fundit të disponueshme, sepse ato ofrojnë siguri të shtuar, kapacitet
të shtuar të ruajtjes, shpejtësi të lartë të transferimit të të dhënave, zë dhe video në kohë reale dhe shumë më
tepër. Përfitime të tilla nevojiten shumë për një kompani në
rritje ose ndërmarrje të madhe. Ndërsa një kompani rritet, ajo duhet të ketë përfaqësues të autorizuar në
lokacione të ndryshme, të cilat zakonisht shpërndahen në zona të mëdha gjeografike. Zgjidhja
më e mirë është të investoni për një degë në vendet e nevojshme. Ky është skenar shumë i zakonshëm me
kompanitë që zhvillojnë zgjidhje softuerike; ato ose zgjerohen në një vendndodhje të re më afër klientëve të
mundshëm ose gllabërojnë një kompani të vogël me aktivitete të ngjashme.
Sido që të jetë, zyra e selisë ka nevojë për një lidhje të besueshme, të sigurt dhe të shpejtë me zyrat në
vende të largëta.
Projekti përqendrohet në lidhjen ndërmjet zyrës kryesore dhe zyrave të largëta - zyrat e degëve,
punonjësit e shtëpisë dhe punëtorët e lëvizshëm. Në pjesën e parë të projektit janë shqyrtuar disa opsione
të ndryshme për komunikimin ndërmjet rrjetit të korporatës dhe rrjeteve në distancë. Në pjesën e dytë,
zgjidhet një nga këto opsione.
Qëllimi përfundimtar i këtij projekti është të tregojë një dizajn të një rrjeti komunikimi kompjuterik të
korporatës me një rrjet të degëzuar të filialeve. Kërkesat që kemi për zgjidhjen tonë janë që rrjeti i
degëzuar i filialeve mund të zgjerohet rajonalisht, ndërkombëtarisht ose në mbarë botën me fokus në
zbatimin e rrjetit të degëve në distancë.
1.2 Motivimi
Motivimi i këtij projekti bazohet në disa njohuri dhe përvojë të mëparshme në lidhje me rrjetet,
protokollet e rrjetit dhe konfigurimin e pajisjeve të rrjetit Cisco. Ajo që shpresojmë të
arrijmë në fund të projektit është të përmirësojmë aftësitë tona të projektimit të rrjetit duke bërë
kërkime në atë fushë dhe duke përdorur njohuritë e mbledhura për të dizajnuar një rrjet që
do të zgjidhë problemin.
1.3 Metoda
Ne kemi përdorur metodën krahasuese në këtë projekt. Në kapitullin 2 ne mbledhim informacione rreth
ndërmarrjeve me arkitektura rrjeti të degëve të largëta dhe paraqesim të ndryshme
afrohet. Në kapitullin 3 analizojmë zgjidhjet e mbledhura, i krahasojmë ato dhe vendosim se cilën të
përdorim për qëllimin e këtij projekti.
1.4 Kufizimet
Për shkak të njohurive dhe përvojës që kemi me Cisco-n dhe për shkak se Cisco është një nga ofruesit më
të mëdhenj të zgjidhjeve në rrjet (për shembull Juniper është një tjetër ofrues i madh i zgjidhjeve të
rrjetit) dhe ofron një zonë të gjerë zgjidhjesh rrjeti (nga zyrat e vogla/shtëpia tek komplekset zgjidhjet e
korporatave) projekti bazohet në strategjitë, këshillat dhe pajisjet e
Cisco-s.
Dizajni i rrjetit në përgjithësi është një fushë shumë e gjerë dhe dizajnimi i një rrjeti korporativ me
degë është një detyrë komplekse për t'u realizuar. Për këtë projekt do të ishte praktikisht e pamundur të
analizohej në detaje çdo aspekt i dizajnit të rrjetit për kompanitë në shkallë të gjerë. Projekti fokusohet në
rrjetet e largëta si degë me detaje për funksionet, shërbimet, komunikimin, integrimin, strukturën etj., në
sfondin e një
1
Machine Translated by Google
rrjeti i korporatës. Nga ana e rrjetit të korporatës do të diskutohen vetëm elementët e rrjetit të
nevojshëm për funksionimin e rrjeteve të aksesit në distancë.
2
Machine Translated by Google
2 Teoria
Ky kapitull mbulon njohuritë themelore teorike që do të na nevojiteshin në procesin e projektimit. Kapitulli është
i ndarë në katër seksione kryesore. Seksioni 2.1 përmban informacione për rrjetin kompjuterik të kompanisë me
degë – arkitekturë, shërbime, komunikim dhe integrim; seksioni 2.2 diskuton aspektet metodologjike të
projektimit – këshillat dhe hapat që duhet të ndjekim gjatë projektimit të një rrjeti; dhe në seksionin 2.3 janë
përfundimet, synimet dhe qëllimet.
Në zhvillimin e rrjetit tonë ka disa modele arkitekturore që mund t'i përdorim si pikënisje, qoftë si bazë e rrjetit
ose të ndërtojmë mbi rrjetin ekzistues.
Ne do të diskutojmë tre lloje të modeleve arkitekturore:
o Modele topologjike, të cilat shpesh përdoren si pikënisje në zhvillimin e një rrjeti. Këto modele
bazohen në rregullimin gjeografik ose topologjik të pajisjeve të rrjetit.
o Modele të bazuara në rrjedhën, të cilat fokusohen dhe përfitojnë nga një të veçantë
flukset e trafikut
o Modele funksionale – ka modele të bazuara në një ose më shumë funksione ose veçori
planifikuar për në rrjet.
Zakonisht rrjeti ndërtohet duke përdorur më shumë se një nga modelet arkitekturore.
Modelet topologjike
Modelet Access/Distribution/Core dhe LAN/MAN/WAN përdoren më së shpeshti. Mund t'i përdorim edhe sepse
janë të thjeshta dhe intuitive dhe bazohen në ndarjen gjeografike ose/dhe topologjike të
rrjeteve. Ato gjithashtu tregojnë shkallën e hierarkisë së planifikuar për rrjetin (treguar në Figurën 2.1).
Nëse kemi nevojë, gjithashtu nuk mund të përdorim të gjitha nivelet e modeleve ose nëse na duhen më shumë
mund t'i zgjerojmë ato për të treguar aq sa kemi nevojë. Për shembull, ne mund të përdorim të vetmin
LAN/WAN nga modeli ndërsa caktojmë kampusin, ndërtesat apo edhe katet në LAN. Megjithatë,
modeli Access/Distribution/Core fokusohet në funksion në vend të vendndodhjes.
Të dy modelet LAN/MAN/WAN dhe Access/Distribution/Core përdoren si pika fillestare në arkitekturën e
rrjetit, pasi të dyja janë intuitive dhe të lehta për t'u zbatuar. Megjithatë, ato mund të jenë kufizuese në atë që
vendosin kufij të rreptë midis zonave.
3
Machine Translated by Google
Figura 2.2 tregon një model të rrjetit të korporatës bazuar në këtë model topologjik. Në figurë shihen qartë shtresat
e ndryshme.
o Klient-server – funksionet, veçoritë dhe shërbimet fokusohen në vendndodhjet e serverit, ndërfaqet me rrjetet
LAN të klientit dhe rrjedhat klient-server. Karakteristikat e modelit klient-server vlejnë edhe për modelin
arkitekturor hierarkik klient-server. Përveç funksioneve, veçorive dhe shërbimeve që fokusohen në
vendndodhjet e serverit dhe flukset klient-server, ato janë gjithashtu të fokusuara në flukset server-server.
o Llogaritja e shpërndarë – në këtë model, burimet e të dhënave dhe mbytet janë vende të dukshme për
veçoritë arkitekturore.
Modelet e bazuara në rrjedhën, si modelet topologjike, janë intuitive dhe mund të jenë të lehta për t'u zbatuar.
Meqenëse ato janë të lidhura me flukset, ato duhet të hartohen mirë me çdo hartë të rrjedhës që ne krijuar si pjesë e
procesit të analizës së kërkesave. Këto modele janë mjaft të përgjithshme dhe ato duhet
të modifikohen për t'iu përshtatur kërkesave specifike të një rrjeti.
Modele funksionale
Këto modele fokusohen në mbështetjen e funksioneve të veçanta në rrjet, si ofruesi i shërbimit, intraneti/ ekstraneti,
performanca me një/shumë nivele dhe modelet nga fundi në fund.
o Modeli arkitektonik i ofruesit të shërbimeve bazohet në funksionet e ofruesit të shërbimeve,
duke u fokusuar në privatësinë dhe sigurinë, ofrimin e shërbimeve për klientët (përdoruesit) dhe
4
Machine Translated by Google
faturimi. Shumë rrjete ndërmarrjesh po evoluojnë në këtë model, duke e aplikuar atë nëpër
organizata, departamente dhe ndërtesa.
o Modeli arkitektonik i intranetit/ekstranetit fokusohet në sigurinë dhe privatësinë, duke
përfshirë ndarjen e përdoruesve, pajisjeve dhe aplikacioneve bazuar në sigurinë akses.
o Modeli arkitektonik i performancës me një/shumë nivele fokusohet në identifikimin e rrjeteve ose pjesëve të
një rrjeti që kanë një nivel të vetëm të performancës, nivele të shumta të performancës ose që kanë
komponentë të të dyjave.
o Modeli arkitektonik nga fundi në fund fokusohet në të gjithë komponentët nga skaji në fund rruga
e një fluksi trafiku.
Modelet funksionale janë më të vështirat për t'u aplikuar në një rrjet, sepse duhet të kuptojmë se
ku do të vendoset secili funksion. Për shembull, për të aplikuar modelin nga fundi në fund, së pari duhet
të përcaktojmë se ku është nga fundi në fund për secilin grup përdoruesish, aplikacionesh ose pajisjesh që do të jenë
pjesë e end-to-end. Një avantazh i përdorimit të modeleve të tilla është se ato ka të ngjarë të jenë më të lidhura me
kërkesat për rrjetin.
Figura 2.3 tregon zyrat e degëve të madhësive të ndryshme ndërsa lidhen me ndërmarrjen dhe internetin.
5
Machine Translated by Google
I kemi etiketuar si të vogla, të mesme dhe të mëdha por kjo është paksa subjektive. Me rritjen e madhësisë së
një dege, rritet numri i ruterave (lidhjeve) dhe gjithashtu rritet numri i çështjeve që duhet të marrim parasysh. Por
gjithsesi, figura na jep një të dhënë të dy sfidave kryesore të zbatimit me të cilat po përballemi për hartimin e
degës.
Së pari ne duhet të ofrojmë veçori që do të nevojiteshin për ndërveprim me hostin në internetin publik, dhe së dyti
duhet të sigurojmë komunikim të sigurt me hostet e ndërmarrjes. Për kategorinë e parë duhet të kemi parasysh
detajet për aksesin në internet. Për shembull, ne duhet të bëjmë DSL, ose kabllo, ose çdo lloj lidhjeje tjetër të
funksionojë. Në kategorinë e dytë ne duhet të fokusohemi në opsionet që
lejojnë një ndërmarrje të parandalojë leximin e paketave nga sulmuesit kur ata përshkojnë internetin. Një
opsion i tillë është VPN pasi i lejon ndërmarrjes t'u besojë paketave që vijnë nga zyra e degës legjitime.
Nga ana e ndërmarrjes arkitektura mund të duket si ajo e paraqitur në Figurën 2.4. Sidoqoftë, ne mund ta
evoluonim këtë topologji duke e ndarë atë në module - qendra të dhënash, kampus dhe WAN (MAN) si pjesë
e avantazhit të ndërmarrjes. Më poshtë do të diskutojmë më në detaje këto module të cilat janë interesante për
këtë projekt.
Moduli WAN dhe MAN i mundëson ndërmarrjes sonë të shtrihet në mënyrë efikase në distancë vendndodhjet.
QoS, marrëveshjet e nivelit të shërbimit dhe enkriptimi i përfshirë na ndihmojnë të sigurojmë sigurinë e
shërbimeve të videos, zërit dhe të dhënave me definicion të lartë. Me këtë modul ne u mundësojmë punonjësve të
punojnë në mënyrë efikase kudo që janë vendndodhja e tyre. VPN-të mbi Layer 2 dhe Layer 3 WAN, topologjitë
hub-and-spoke ose me rrjetë të plotë përdoren për të ofruar sigurinë e nevojshme.
Për modulin e degës së ndërmarrjes mund të përdorim Cisco ISR (Integrated Service Router)
si ruter kufitar në vendndodhjet e degëve. ISR ofron akses të sigurt në aplikacionet zanore dhe video, dhe të dhëna
kritike për misionin. Ai gjithashtu mbështet veçori të tilla si drejtimi i avancuar i rrjetit, lidhjet e tepërta WAN,
VPN, përpunimi i thirrjeve të telefonisë IP lokale. Ndërmarrja mbështet monitorimin, menaxhimin dhe konfigurimin
e pajisjeve të përdorura në zyrat e largëta.
6
Machine Translated by Google
Telepunëtorët mund të kenë akses në aplikacionet dhe shërbimet e autorizuara duke u identifikuar në një rrjet të
sigurt gjithmonë në VPN.
Figura 2.5 tregon një strukturë më specifike të arkitekturës së ndërmarrjes. Ne e përdorim atë si
një referencë për një topologji tipike ndërmarrjeje në të cilën janë zbuluar disa nga zgjidhjet e zgjedhura.
Siç mund ta shohim arkitektura bazohet në topologjinë Access/Distribution/Core. Për teknologjinë WAN
është zgjedhur Frame Relay (FR). FR është një teknologji WAN me komutim të paketave, e cila është ende në përdorim
në shumë ndërmarrje. Megjithatë, në ditët e sotme, teknologjia WAN gjithnjë e më shumë e përdorur është Ndërrimi i
Etiketave Multiprotokolare (MLPS). Ofruesit e shërbimeve po e përdorin atë shumë shpesh
si teknologji ekonomike për transportimin e trafikut të rrjetit me komutim qarkor dhe me komutim të
paketave, dhe MLPS gjithashtu mund të operojë mbi infrastrukturën ekzistuese (për shembull FR, ATM, IP dhe
Ethernet). Ndërsa FR konsiderohet teknologjia e Shtresës 2, MLPS konsiderohet të jetë teknologjia e
Shtresës 2.5 sepse ndodhet midis Shtresës 2 dhe Shtresës 3.
Figura tregon gjithashtu një pjesë të pajisjeve të nevojshme për zbatimin e zyrës së degës. Në seksionin
për shembuj do të tregojmë topologjinë më të detajuar për degët.
2.1.2 Shërbimet
Shërbimet zakonisht instalohen në një ose më shumë serverë rrjeti për të ofruar burime të përbashkëta për
përdoruesit fundorë. Në seksionin e mëposhtëm kemi vënë në dukje shërbimet e rrjetit që aplikohen ndoshta në
çdo implementim të rrjetit.
7
Machine Translated by Google
o E-mail
o Printime
Shërbimet e postës elektronike, printimit dhe ndarjes së skedarëve kërkojnë që përdoruesit të kenë leje për të hyrë
ato – e drejta e sigurisë dhe e aksesit duhet të konfigurohet. Zakonisht bëhet lehtësisht duke përdorur
shërbimin e drejtorive, i cili është gjithashtu një shërbim rrjeti.
Gjithashtu shërbime shumë të rëndësishme të biznesit në ditët e sotme janë zëri dhe video. Ne duhet të sigurohemi
që të ndërtojmë një rrjet që mbështet zërin dhe videon me nervozizëm dhe vonesë të minimizuar.
Shërbime rezervë
Ekzistojnë gjithashtu shërbime për menaxhimin e rezervave, rikuperimin nga fatkeqësitë dhe mjetet e monitorimit. Bërja e
kopjeve rezervë është kritike për kompanitë dhe ne nuk duhet ta harrojmë atë. Ka shumë mënyra se si mund të krijojmë
kopje rezervë. Ne mund të bëjmë kopje rezervë çdo ditë, javore ose mujore. Kjo varet nga politikat e kompanisë së caktuar.
Disa nga metodat për kopje rezervë përfshijnë si më poshtë:
o Regjistrimi i të dhënave kritike të biznesit në CD/DVD, memorie flash, memorie dhe të tjera dhe ruajtja e tyre në
një vend të sigurt ruajtjeje si të sigurt me të kufizuar
akses.
o Përdorimi i një produkti të bazuar në softuer për të kryer kopjimin dhe ruajtjen e të dhënave në një zonë
me akses të kufizuar në një server skedari, server ftp ose një pajisje ruajtëse rrjeti
o Nëse rezervimi është për përdorues të largët ose për zyrë të largët të degës, ata mund ta dërgojnë gjithashtu
kopjen rezervë në rrjetin e korporatës nëpërmjet lidhjes së sigurt, ku do të ruhet në media të mbrojtura.
Nëse kostoja është më shqetësuese në zgjedhjen e zgjidhjeve rezervë, kompania jonë duhet të zbatojë
zgjidhje me burim të hapur. Një nga produktet softuerike me burim të hapur më të përdorura
për të bërë kopje rezervë është Arkivi i Diskut Automatik i Rrjetit të Avancuar të Maryland-it (AMANDA); nga
produktet softuerike me burim të hapur të rimëkëmbjes nga fatkeqësitë përdoren më shpesh Zmanda Recovery Manager
(ZRM), Mandriva Linbox Rescue Server (LRS) dhe Bacula. Secila prej tyre na ofron mundësinë
për të krijuar dhe kontrolluar kopje rezervë të krijuar dhe për të rivendosur sistemin e dëshiruar.
WAN privat
Ne mund të përdorim WAN private për të lidhur dhe grumbulluar të gjitha degët e korporatës në ruterin kryesor (ose
bërthamën WAN). Nga ana në renë WAN, ndërfaqet e ruterit mbështesin metoda të ndryshme të transportit fizik, siç
tregohet në figurën 2.6. Në anën e bërthamës së kampusit, zakonisht zbatohet Gigabit Ethernet (GE) ose 10 Gigabit
8
Machine Translated by
Ethernet (10 GigE) që do të përdoret për trafikun midis ndërprerësve bazë të kampusit dhe WAN.
Ne gjithashtu duhet të konsiderojmë Metro Ethernet si metodën kryesore për grumbullimin e vendeve të
vendosura në zonën e caktuar gjeografike. Ai gjithashtu shkallëzohet shumë mirë me Gigabit Ethernet të
parëndësishëm dhe 10 Gigabit Ethernet dhe supozohet të shkallëzohet edhe më shumë
me standardet mjaft të reja për 40 dhe 100 Gbps P802.3ba..
Mënyra më e zakonshme që mund të përdorim për ndërlidhjen me renë WAN janë linjat me qira. Në ditët e
sotme Ethernet është më shpesh zgjidhja e preferuar dhe po zëvendëson linjat e kushtueshme
me qira. Zakonisht funksionet për përfundimin e tunelit IPsec dhe murin e zjarrit nuk vendosen në ruterin e skajit
WAN. Zakonisht dizajni klasik me qendër dhe fole me
9
Machine Translated by
Përdoret lidhja tradicionale e shtresës 2. Figura 2.7 tregon një topologji bazë private WAN me
grumbullimin e degëve
Për të zgjedhur një ruter që shërben si platformë e grumbullimit WAN, duhet të përshkruajmë
kërkesat bazë për veçoritë e nevojshme të mbështetura (treguar në Tabelën 2.1
dhe Tabelën 2.2). Bazuar në atë se sa i madh është përqendrimi i degës, ne mund të mendojmë për
shkallën dhe performancën për këto shërbime. Është praktikë e mirë të zgjedhësh një platformë me
kontroll të ndarë, të dhëna dhe plan hyrje/dalje.
Tabela 2.2 Kërkesat e veçorive për rolin e grumbullimit të WAN (vazhdim) [19]
1
Machine Translated by
Ne gjithashtu nuk duhet të harrojmë sigurinë WAN. WAN-et tradicionale (për shembull ato të
bazuara në Frame Relay) supozohen të jenë në thelb të sigurta, por kjo nuk është
plotësisht e vërtetë sepse SP (ofruesit e shërbimeve) përdorin infrastrukturën fizike të përbashkët për të kryer
këtë trafik.
1
Machine Translated by Google
Ne mund të zgjedhim të përdorim MPLS VPN në të cilin trafiku është i izoluar nga etiketat dhe instancat
Virtual Routing/Forwarding (VRF). Por MPLS ndan ende të njëjtën infrastrukturë fizike kur
kalon renë PS. Praktika e zakonshme që mund të ndjekim gjithashtu është shtimi i enkriptimit për të arritur
konfidencialitetin. Tabela 2.4 tregon teknologjitë e përdorura zakonisht për të siguruar trafikun WAN. Duhet të
theksojmë se në shumicën e rasteve mjeti transportues për lidhje të sigurt është interneti publik.
Si alternativë ndaj infrastrukturës private WAN, ne mund të përdorim VPN nga faqe në vend për t'u lidhur me zyrat e
degëve. Për VPN-të ne vendosim të njëjtat kërkesa si për WAN - duke përfshirë besueshmërinë e lartë,
shkallëzueshmërinë, mbështetjen e protokolleve të shumta, por ne i përmbushim këto kërkesa në një mënyrë me kosto
efektive me fleksibilitet më të madh. VPN-të Site-to-Sit përdorin si teknologji transporti internetin publik ose rrjetet IP
të ofruesve të shërbimit, duke aplikuar tunelizimin dhe enkriptimin për arritjen e privatësisë së të dhënave.
Ne mund të përdorim VPN nga faqe në faqe për të zëvendësuar shërbimin e kushtueshëm WAN ose mund ta përdorim atë si
rezervë dhe rikuperim në rast fatkeqësie: o
Zëvendësimi i WAN
IPsec është në gjendje të sigurojë zëvendësim me kosto efektive për infrastrukturën WAN. Ne do të duhet të
paguajmë më pak për një lidhje IP me gjerësi bande relativisht të lartë sesa për qarqet ekzistuese ose të
përmirësuara WAN. Ne mund të përdorim IPsec VPN për të lidhur degët e largëta, telepunëtorët dhe
përdoruesit celularë me burimet kryesore në rrjetin e kampusit. VPN nga faqe
në faqe ka katër komponentë kryesorë:
• Pajisja Headend VPN – shërben si pajisje për përfundimin e kokës VPN në
kampusi qendror
• Pajisja e aksesit VPN – shërben si pajisje fundore e degës VPN në
vendndodhjet e degëve
Ne mund të përdorim Cisco ISR (Ruterët e Shërbimeve të Integruara) si ruterë fundorë për sitin-në lidhje VPN e
faqes. Një ISR mbështet veçori të sigurisë me performancë të lartë, veçori të pasura VPN me mur zjarri të avancuar
dhe parandalimin e ndërhyrjeve. Ai gjithashtu ka aftësi të gjera softuerësh IOS duke përfshirë QoS, multicast,
multiprotocol dhe mbështetje të avancuar të rrugëtimit. Figura 2.8 tregon disa masa të performancës në rastin më të
mirë për veçoritë individuale të sigurisë, por numrat e performancës mund të ndryshojnë në mjedise të ndryshme
prodhimi.
12
Machine Translated by
Ekzistojnë disa strategji për vendosjen e pajisjeve VPN midis të cilave ne mund të zgjedhim. Ne do t'i shqyrtojmë ato me detaje për avantazhet dhe disavanta
o Ne mund të vendosim pajisjen VPN paralelisht me një mur zjarri (Treguar në figurën 2.9).
Figura 2.9 Pajisja VPN e vendosur paralelisht me një mur zjarri [9]
1
Machine Translated by
o Figura 2.10 tregon se ne mund të vendosim një pajisje VPN në zonën e çmilitarizuar
(DMZ)
Figura 2.10 Pajisja VPN e vendosur në zonën DMZ [9] Përparësitë për këtë skenar të projektimit janë: •
Firewall-i mund të inspektojë në mënyrë shtetërore trafikun e deshifruar VPN. •
Ky dizajn ofron shkallëzim mesatar në të lartë duke shtuar pajisje shtesë VPN. Ne mund të migrojmë në këtë dizajn relativisht lehtë duke shtuar një n
Muri i zjarrit mund të vendosë kufizime të gjerësisë së brezit në grupet e pajisjeve VPN. o Figura 2.11 tregon skenarin nëse përdorim një pajisje VPN
1
Machine Translated by
IPsec
IPsec është ndoshta teknologjia VPN më e përdorur. IPsec siguron integritetin e të dhënave dhe siguron që paketat
nuk janë modifikuar gjatë transmetimit, siguron vërtetimin e paketave për të verifikuar që paketat vijnë nga burimi i
vlefshëm dhe kodon të dhënat për të siguruar konfidencialitetin. Mbrojtja që ofron IPsec është në nivel IP (modeli
OSI i shtresës 3). Cisco ka zhvilluar gjithashtu zgjidhje IPsec për
qasje në distancë. Figura 2.12 tregon fazat nëpër të cilat kalon një pajisje Cisco për të vendosur lidhjen IPsec.
SSL VPN
Kjo është një teknologji VPN që vepron në shtresën e aplikimit të modelit OSI dhe provon lidhje të sigurt me
burimet e zyrës së korporatës përmes përdorimit të shfletuesit të internetit ose klientit të dedikuar. Avantazhi i
madh i SSL VPN vjen nga fakti që SSL është i implementuar dhe i disponueshëm në të gjithë shfletuesit e
internetit. Ne mund të përdorim SSL VPN nga një kioskë ose rrjete publike si kafene, aeroporte dhe shumë të
tjera. SSL VPN gjithashtu mund të personalizohet në mënyrë që të plotësojë
kërkesat e kompanisë sonë. Ai po përdor gjithashtu një metodë me kosto efektive dhe fleksibël, por ende siguron
konfidencialitet të fortë të të dhënave.
1
Machine Translated by
Cisco ka përmirësuar SSL VPN kështu që mund të ofrojë shumë mënyra përdorimi, duke përfshirë sa vijon:
o Modaliteti pa klient – ne mund të lidhemi me burimet e korporatës, veçanërisht me serverët e ueb-it dhe të
postës elektronike, pa nevojën e ndonjë klienti të aplikacioneve.
o Modaliteti i klientit të hollë - ne kemi akses në shumicën e protokolleve të bazuara në TCP - SMTP,
POP, SSH dhe Telnet duke ngarkuar një aplikacion Java në stacionin e punës së klientit
o Modaliteti i plotë – ne kemi akses të plotë në burimet e korporatës sikur të ishim të lidhur drejtpërdrejt me
rrjetin. Për të përdorur këtë mënyrë, ne duhet të instalojmë klientin SSL VPN të
shkarkueshëm në mënyrë dinamike
Për shkak se L2TP nuk arrin të sigurojë konfidencialitet të fortë të të dhënave, implementimet e L2TP po përdorin
IPsec për të ofruar siguri. Në L2TP mbi IPsec ka shtatë hapa në mënyrë që stacioni i punës së përdoruesit dhe
porta e zyrës të komunikojnë (treguar në Figurën 2.14).
1
Machine Translated by
o Hapi i parë është opsional nëse stacioni ynë i punës është i lidhur me internetin dhe mund të
gjenerojë trafik. Përndryshe, ne duhet të krijojmë seancë PPP në ruterin e aksesit të ofruesit të shërbimit
për të marrë një adresë IP
o Në hapin e dytë ne ekzekutojmë klientin L2TP që është konfiguruar të përdorë IPsec për të
siguria e të dhënave
o Më pas stacioni ynë i punës fillon dhe negocion një seancë dhe një kanal të sigurt për shkëmbimin e
çelësave.
o Pas vendosjes me sukses të Fazës 1, ne krijojmë dy kanale të sigurta për
kriptimi dhe vërtetimi i të dhënave. Kanalet e të dhënave janë vendosur për të enkriptuar trafikun L2TP
që është i destinuar në portin UDP 1701.
o Pasi të vendoset IPsec, ne fillojmë një sesion L2TP brenda IPsec.
o Pastaj kredencialet tona të vërtetimit përdoren për të vërtetuar seancën L2TP. Çdo atribut PPP ose L2TP
negociohet pas vërtetimit të suksesshëm.
o Pasi të krijohet sesioni L2TP, stacioni ynë i punës dërgon trafikun e të dhënave që është
i kapsuluar brenda L2TP. Paketat L2TP janë të koduara nga IPsec dhe më pas dërgohen në skajin
tjetër të tunelit përmes Internetit.
Nëse kemi një mur zjarri midis klientit L2TP mbi IPsec dhe portës së shtëpisë, ne
duhet të lejojë që të kalojnë protokolli IP 50 (ESP) dhe porta UDP 500. Paketat L2TP (porta UDP 1701) janë të
kapsuluara brenda ESP. Disa shitës L2TP mbi IPsec lejojnë transparencën NAT (NAT-T) duke enkapsuluar
trafikun në portin UDP 4500.
1
Machine Translated by
portën përmes një lidhjeje të pasigurt. Pas inkapsulimit të paketave, porta i vendos ato në rrjetin privat. Figura
2.15 tregon këtë proces.
Por PPTP nuk përdoret gjerësisht si teknologji në distancë për shkak të mangësive të sigurisë në zbatimin e protokollit të tij.
Kur zgjedhim një teknologji të qasjes në distancë, duhet ta bëjmë atë sipas sigurisë politikën e ndërmarrjes sonë. Tabela 2.5 na jep një përmb
2.1.4 Autentifikimi
Një ndërmarrje ka nevojë gjithashtu për një shërbim vërtetimi - një ose më shumë, kështu që përdoruesit në
distancë mund të vërtetojnë veten dhe të kenë akses në burimet e nevojshme të rrjetit. RADIUS është një server i
tillë. RADIUS do të thotë "Thirrja e Autentifikimit në distancë në Shërbimin e Përdoruesit". Ai siguron menaxhim
të centralizuar të Autentifikimit, Autorizimit dhe Kontabilitetit
(AAA) për kompjuterët që të lidhen dhe të përdorin burimet e rrjetit.
RADIUS është një protokoll klient/server që funksionon në shtresën e aplikacionit. Ai përdor UDP si
protokoll transporti. Të gjitha portat që kontrollojnë aksesin në rrjet, si Serveri i Qasjes në distancë, serveri i
Rrjetit Privat Virtual, ndërprerësi i Rrjetit me vërtetim të bazuar në port dhe Serveri i
Aksesit në Rrjet, kanë instaluar komponentin RADIUS që komunikon me serverin RADIUS. Zakonisht serveri
RADIUS instalohet në një makinë me bazë UNIX ose Windows NT dhe funksionon si proces sfondi. Funksionet
kryesore të serverit RADIUS janë:
o për të vërtetuar përdoruesit ose pajisjet përpara se t'u jepni atyre akses në rrjetin tonë
o për të autorizuar këta përdorues ose pajisje për shërbime të caktuara të rrjetit
o për të marrë parasysh përdorimin e këtyre shërbimeve
Figura 2.16 tregon një skenar tipik për përdorimin e serverit RADIUS për menaxhimin e aksesit.
1
Machine Translated by
2.1.5 Menaxhimi
Për menaxhimin e rrjetit duhet të mendojmë për aktivitetet, metodat, procedurat dhe mjetet që kanë të bëjnë
me funksionimin, administrimin, mirëmbajtjen dhe sigurimin e rrjetit. Operacioni ka të
bëjë me mbajtjen e rrjetit dhe funksionimin pa probleme – duke përfshirë monitorimin e rrjetit, në mënyrë që
çdo dështim të zbulohet sa më shpejt të jetë e mundur dhe në mënyrë ideale të mos preket asnjë përdorues. Në
administrim, ne duhet të mbajmë gjurmët e burimeve të rrjetit dhe si janë caktuar ato. Për të mirëmbajtur
rrjetin duhet të kryejmë riparime dhe përmirësime. Një shembull është kur duhet të ndryshojmë ose të shtojmë
një ndërprerës në rrjet, ose të përmirësojmë IOS-in e një ruteri. Sigurimi ka të bëjë me konfigurimin e
burimeve për të mbështetur një shërbim të
caktuar. Një shembull i tillë është vendosja e rrjetit në mënyrë që të lejojë një klient të ri të marrë
shërbimin zanor.
Për të mbajtur rrjetin tonë siç duhet, ne duhet të mbledhim të dhëna për menaxhimin e rrjetit. Kjo
zakonisht bëhet duke përdorur disa mekanizma, duke përfshirë agjentët e instaluar në infrastrukturë,
monitorimin, regjistrat e aktivitetit dhe sniffers, dhe ndonjëherë monitorimin e përdoruesve në kohë
reale. Menaxhimi lidhet me pajisjet e rrjetit që ne përdorim në rrjetin tonë.
Ka një numër të madh metodash aksesi që mbështesin menaxhimin e rrjetit dhe pajisjeve të rrjetit. Këto
metoda të aksesit përfshijnë SNMP (Simple Network Management Protocol), Telnet dhe
CLI (Command Line Interface), CMIP, custom XML, WMI (Windows Management Instrumentation),
Transaction Language 1, CORBA (arkitektura e ndërmjetësit të kërkesës së objektit të përbashkët),
NETCONF dhe Java Zgjerimet e Menaxhimit (JMX). Ne mund të vendosim të përdorim një
ose më shumë nga këto metoda.
Menaxhimi përfshin gjithashtu konfigurimin e pajisjeve të rrjetit për të përmbushur nevojat tona,
politikat e korporatës, skema e adresimit etj. Konfigurimi është vendosja e parametrave në një pajisje rrjeti
për funksionimin dhe kontrollin e atij elementi. Për të konfiguruar pajisjet tona, ne duhet të fitojmë akses në
to, që zakonisht bëhet nga mekanizmat e hyrjes të përmendura më sipër për akses të drejtpërdrejtë dhe/ose
në distancë. Një alternativë tjetër është shkarkimi/redaktimi/ ngarkimi i skedarëve të konfigurimit nëpërmjet
FTP/TFTP. Figura 2.17 tregon këto mekanizma konfigurimi për menaxhimin e rrjetit.
1
Machine Translated by
Për të mbajtur dhe funksionuar rrjetin tonë, ne duhet të përdorim mjete monitorimi.
Mjetet e monitorimit përfshijnë shërbime të tilla si ping, Traceroute dhe TCPdump, ndërsa mekanizmat e aksesit
të drejtpërdrejtë përfshijnë telnet, FTP, TFTP dhe lidhjet nëpërmjet një porti konsol.
Cili mjet monitorimi do të përdorim është i rëndësishëm, por ajo që ka më shumë rëndësi është që
njoftimet e ngjarjeve të rëndësishme të shfaqen në kohë reale. Për shembull, kur vonesa e një lidhjeje
kalon një prag të caktuar, duhet të shfaqet njoftimi i ngjarjes në kohë reale.
E fundit, por jo më pak e rëndësishme, është e rëndësishme të mblidhen të dhënat e prodhuara
nga monitorimi. Këto të dhëna quhen të dhëna të menaxhimit. Më së shpeshti të dhënat mblidhen nga një
proces sondazhi (hetimi aktiv i pajisjeve të rrjetit për të dhënat e menaxhimit). kërkimi aktiv i pajisjeve të
rrjetit për të dhënat e menaxhimit ose monitorimi që përfshin një shërbim proxy ose protokoll të menaxhimit
të rrjetit (si SNMP). Në një moment gjatë procesit të mbledhjes së të dhënave, disa ose të gjitha të dhënat
ruhen në një media ose sistem të përhershëm (ose gjysmë të përhershëm). Ne gjithashtu mund ta ndajmë këtë
pjesë të procesit në disa hapa:
o Ruajtja primare – vendos të dhënat për periudha të shkurtra kohore, të cilat mund të
kryhen në serverin e menaxhimit të rrjetit
o Ruajtja sekondare – Ne kemi mbledhur të dhëna nga shumë vende të ruajtjes parësore dhe
grumbulloni të dhënat në një server ruajtjeje për rrjetin
o Magazinimi terciar – Ky është ruajtja më e përhershme dhe më e përhershme brenda rrjetit.
Në varësi të vendndodhjes fizike të pajisjeve tona të menaxhimit, ekzistojnë disa lloje të menaxhimit
- menaxhimi brenda dhe jashtë brezit; menaxhim i centralizuar, i shpërndarë dhe hierarkik.
2
Machine Translated by
Disavantazhi është se trafiku i menaxhimit mund të ndikohet nga të njëjtat probleme që ndikojnë në
trafikun e përdoruesve dhe kështu kur menaxhimi i rrjetit është më i nevojshëm, ai nuk mund të jetë i
disponueshëm.
Në menaxhimin jashtë brezit ka rrugë të ndryshme për menaxhimin e trafikut dhe për
trafiku i përdoruesve. Ky menaxhim na jep avantazhin për të vazhduar monitorimin e rrjetit edhe në rast
të dështimit të rrjetit. Figura 2.19 tregon se zakonisht menaxhimi jashtë brezit ofrohet nëpërmjet një rrjeti
tjetër, sistemit të vjetër telefonik (POTS) ose frame-relay.
Një disavantazh i këtij modeli menaxhimi është se ai shton kompleksitetin dhe shpenzimet pasi ne kemi
nevojë për një rrjet tjetër për menaxhimin e rrjetit.
Ne gjithashtu mund të përdorim një kombinim të të dyjave për menaxhim optimal. Ne do të përdorim
menaxhimi brenda brezit kur rrjeti është funksional dhe jashtë brezit kur rrjeti i përdoruesit nuk është funksional.
Figura 2.20 tregon kombinimin e trafikut të menaxhimit brenda dhe jashtë brezit.
Figura 2.20 Një kombinim i flukseve të trafikut të menaxhimit brenda dhe jashtë brezit [1]
2
Machine Translated by
rrjeti është zvogëluar. Një pengesë është se përdorimi i më shumë pajisjeve do të rrisë
kosto.
Menaxhimi hierarkik është kur ne vendosim të ndajmë funksionet e menaxhimit dhe t'i vendosim ato në
pajisje të ndryshme. Kjo është hierarkike sepse kur i ndajmë funksionet, ne mund ta konsiderojmë secilin prej tyre
si një shtresë të veçantë që komunikon në një mënyrë të serverit të klientit. Një avantazh
është se ne përdorim këtë lloj menaxhimi është se ne mund ta bëjmë çdo komponent të tepërt, pavarësisht nga
komponentët e tjerë. Një kompromis në menaxhimin hierarkik është kostoja, kompleksiteti dhe shpenzimet e
përgjithshme të të paturit të disa komponentëve të menaxhimit në rrjetin tonë. Figura
2.21 tregon një model të menaxhimit hierarkik
strukturën.
2.1.6 Siguria
Për të hartuar një rrjet ndërmarrjesh plotësisht të sigurt është pothuajse e pamundur. Në një rrjet kaq të madh si
një rrjet ndërmarrjesh, ka shumë mënyra se si dikush mund të shkelë mbrojtjen dhe të dëmtojë rrjetin tonë. Disa
nga kërcënimet, por sigurisht jo të gjitha, janë renditur më poshtë:
o Qasje e paautorizuar në të dhëna, shërbime, softuer ose pajisje
o Zbulimi i paautorizuar i informacionit
o Refuzimi i shërbimit (DoS)
o Vjedhja e të dhënave, shërbimeve, softuerit ose harduerit
o Korrupsioni i të dhënave, shërbimeve, softuerit ose harduerit
o Viruset, krimbat, kuajt e Trojës
o Dëmtime fizike
Për t'u marrë me këto kërcënime dhe për t'i bllokuar ato, ne duhet të zbatojmë disa politika dhe procedura të
privatësisë. Ndërmarrja jonë mund të vendosë të bllokojë të gjithë trafikun nga rrjetet e brendshme drejt sajteve të
veçanta, për shembull youtube, e-mail të jashtëm, gjurmues torrent etj. Një qasje e zakonshme është të mohojë të
gjithë trafikun dhe të lejojë në mënyrë eksplicite vetëm një listë të rrugëve specifike. Kjo është nga këndvështrimi
ynë si administratorë. Pikëpamja e përdoruesve është e kundërta – lejoni gjithçka dhe mohoni rrugët specifike pas
kësaj. Duke zbatuar një politikë kaq të rreptë sigurie, ne duhet të kemi një njohuri dhe kuptim të plotë të
kërkesave të përdoruesve, aplikacioneve, pajisjeve dhe rrjetit pasi këto janë shumë specifike për t'u lejuar dhe
pranuar. Kjo mund të bëhet duke zbatuar ACL-të (lista e kontrollit të aksesit), muret e zjarrit ose ndonjë softuer
ose produkt harduerik bllokues.
Në ndërmarrjen tonë mund të zbatojmë edhe zonën e demilitarizuar (DMZ). Ideja kryesore e DMZ
është për të shtuar më shumë siguri në rrjetin e brendshëm të një organizate. Në DMZ
2
Machine Translated by
zonë ne mund t'i ekspozojmë pajisjet e jashtme të ndërmarrjes sonë ndaj një rrjeti të madh të pabesueshëm që
zakonisht është Interneti. Në këtë mënyrë çdo sulmues i mundshëm ka akses vetëm në pajisjet në zonën DMZ dhe
ai nuk ka dukshmëri dhe akses në rrjetin dhe pajisjet tona të brendshme të cenueshme. Zakonisht në një zonë DMZ
mund dhe këshillohet të vendoset çdo shërbim që përdoret
nga përdoruesit nga një rrjet i jashtëm. Shërbimet më të zakonshme janë e-mail, web, proxy, reverse proxy,
servers FTP, servers VoIP. Ndonjëherë shtimi i këtyre shërbimeve në zonën DMZ nuk është i mjaftueshëm
dhe duhet të ndërmerren hapa shtesë për të ofruar siguri:
o Web serverët – Një server në internet për të ofruar disa shërbime të specializuara mund të ketë nevojë të
komunikojë me një bazë të dhënash të brendshme. Serveri i bazës së të dhënave
përmban informacione të cenueshme dhe nuk është i aksesueshëm nga rrjetet e jashtme.
Serveri i bazës së të dhënave nuk duhet të jetë në zonën DMZ. Nuk është shumë e mençur të lejosh që
serveri i jashtëm i ueb-it të komunikojë drejtpërdrejt me serverin e bazës së të dhënave. Në vend të
kësaj, ne mund të aplikojmë dhe përdorim një mur zjarri aplikacioni i cili do të veprojë si një medium
për komunikimin midis dy serverëve. Edhe pse kjo është e
ndërlikuar, do të rrisë sigurinë tonë
o Serverët e postës elektronike – Për të shtuar serverin e postës elektronike në zonën DMZ është një ide
shumë e dobët. Email-i duhet të ruhet në serverin e brendshëm të postës elektronike i cili
do të vendoset në një zonë të fshehur brenda zonës DMZ, duke e mbrojtur atë nga aksesi i jashtëm.
Gjithashtu nuk është e mençur të vendosni serverin e postës elektronike në LAN. Së pari kjo zvogëlon
performancën dhe së dyti megjithëse serveri i postës është i mbrojtur nga sulmet e
jashtme, ai nuk mbrohet nga sulmet e brendshme si nuhatja dhe mashtrimi. Ne duhet të kemi një server
email brenda zonës DMZ dhe një server të brendshëm të postës të sigurt. Serveri i
postës nga brenda DMZ duhet t'i kalojë emailet hyrëse te serverët e brendshëm dhe serverët
e brendshëm duhet t'i kalojnë emailet dalëse te serverët e jashtëm (të vendosur në zonën DMZ).
Ka shumë mënyra për të dizajnuar një rrjet me zonat DMZ, por ka dy metoda më themelore për ta bërë këtë
- një arkitekturë e vetme e murit të zjarrit (Figura 2.22) dhe arkitekturë e dyfishtë të mureve të zjarrit (Figura
2.23).
2
Machine Translated by
o Në figurën 2.22 muri i zjarrit duhet të ketë tre ndërfaqe. Në ndërfaqen e parë është
formohet rrjeti i jashtëm - nga ISP në murin e zjarrit, në të dytën formohet rrjeti i brendshëm, dhe në
ndërfaqen e tretë është formuar zona DMZ. Por zbatimi i kësaj arkitekture, muri i zjarrit
bëhet një pikë e vetme dështimi.
Për më tepër, ai duhet të jetë në gjendje të trajtojë të gjithë trafikun e destinuar për në zonën DMZ dhe të
gjithë trafikun e destinuar për ISP.
o Arkitektura në Figurën 2.23 paraqet një qasje më të sigurt. Firewall-i i parë (i duhuri) do të jetë përgjegjës
për lejimin e trafikut të destinuar vetëm në zonën DMZ. Ky mur zjarri quhet gjithashtu muri i zjarrit
"front-end". Firewall-i i dytë duhet të konfigurohet që të lejojë vetëm trafikun nga
zona DMZ në rrjetin e brendshëm. Ky firewall quhet firewall "back-end". Firewall-i i parë gjithashtu
duhet të trajtojë një sasi më të madhe trafiku. Ndonjëherë rekomandohet përdorimi i
murit të zjarrit nga shitës të ndryshëm sepse nëse një sulmues në një farë mënyre depërton të parin, do të duhet
më shumë kohë për të depërtuar të dytin pasi është bërë nga një shitës tjetër. Kjo teknikë quhet "mbrojtje në
thellësi" ose "siguri përmes errësirës". Sigurisht që kjo zgjidhje është më e shtrenjtë se e para.
Në rrjetin e brendshëm është ide e mirë të zbatohet Përkthimi i Adresave të Rrjetit (NAT) pasi hapësira e
adresave private nuk përhapet përmes internetit. Kjo gjithashtu rrit sigurinë.
Nëse supozojmë se rrjeti i brendshëm është i siguruar, është koha për të siguruar edhe lidhjet e aksesit
në distancë. Ndoshta pika më kritike e aksesit në distancë është procesi i vërtetimit. Ne mund të realizojmë vërtetimin e
përdoruesve në distancë duke aplikuar një kombinim të PPP, PPPoE, CHAP. Protokollet PAP dhe RADIUS. Ekzistojnë
gjithashtu mekanizma të tjerë të vërtetimit në rrjetin e qasjes në distancë që përfshijnë argumentet, kartat inteligjente,
certifikatat dixhitale dhe kthimin e thirrjeve. VPN dhe SSL
ose tunele të tjera janë gjithashtu pjesë e rrjetit të aksesit në distancë.
SSL VPN është një pikë e mundshme hyrëse për temat e sigurisë. SSL VPN ofron shumë përfitime për
biznesin, por gjithashtu po vendos sfida shtesë të sigurisë, ndryshe nga teknologjitë e
tjera të aksesit në distancë VPN. Kjo është kështu sepse SSL VPN mbështet përdoruesit nga vende që nuk mbrohen
nga ligjet dhe politikat e korporatës. Vende si PC kioskë, internet kafe, etj. Lidhja është e sigurt, por nëse përdoruesit
e SSL VPV hyjnë nga një makinë e infektuar, me shumë mundësi do të bëhen burim për përhapjen e viruseve,
krimbave, kuajve të Trojës në rrjetin e korporatës. Në përgjithësi, nëse duam të merremi me stacione fundore të
pakontrolluara, do të përballemi me rrezik të shtuar
të sigurisë.
Kontrolli i pranimit në rrjet (NAC) - NAC është teknologji që adreson sigurinë
çështjet e zbatimit të pajtueshmërisë. Ideja themelore është të kontrolloni dhe të siguroheni që
2
Machine Translated by
pikat përfundimtare janë në përputhje me politikat e sigurisë së korporatës - të kenë softuerin e duhur
antivirus dhe nivelin e korrigjimit të Windows, përpara se pajisjet e rrjetit t'u japin përdoruesve akses në burimet e rrjetit.
Figura 2.24 paraqet një zbatim të një dege të vogël të ndërmarrjes me ruterin e shërbimit të integruar të serisë Cisco 890.
Modeli i saktë i ruterit ISR është 892. Ai kombinon aksesin në internet, shërbimet me valë dhe sigurinë e gjerë në një pajisje
të vetme që është e lehtë për t'u vendosur dhe menaxhuar.
Ky model ISR ofron gjithashtu zgjidhje për komunikime të sigurta të të dhënave dhe zërit në zyrën e degës;
“Performancë të lartë për akses të sigurt broadband dhe Metro Ethernet me shërbime të njëkohshme për degët e vogla të
ndërmarrjeve; Vazhdimësia e biznesit dhe diversiteti WAN me lidhje të tepërta WAN: Fast Ethernet,
V.92 dhe Ndërfaqja e Normës Bazë ISDN (BRI)” [22]
Ne mund ta përdorim këtë model për VPN-të site-to-site dhe VPN-të me akses në distancë. ISR
mbështet teknologjitë VPN, si IPsec, VPN (kriptimi 3DES ose AES, të dyja mbështeten), Dynamic
Multipoint VPN (DMVPN) dhe SSL VPN. Me ndërprerësin e tij të menaxhuar me Ethernet të shpejtë
10/100 me 8 porte me mbështetje VLAN, LAN me valë (WLAN) dhe mbështetjen për Power over Ethernet (PoE) me 4
porte të disponueshme, është një zgjidhje ekonomike.
për një zyrë të vogël pasi mund të shërbejë si router, switch dhe pikë aksesi njëkohësisht.
Siç mund ta shohim në anën e rrjetit të ndërmarrjes si router headend sugjerohen dy modele - Cisco 2800 ose Cisco
3800. Ata janë të dy ruterë ISR nga klasa më e lartë që janë të përshtatshme për rrjetet e ndërmarrjeve. Cisco
rekomandon serinë 2800 për bizneset e vogla dhe të mesme, ndërsa seritë 3800 rekomandohen për ndërmarrjet dhe
degët e mesme dhe të mëdha. Më shumë informacion rreth tyre është i disponueshëm në përkatësisht për seritë 2800 në
[36] dhe rreth seritë 3800 në [37].
Edhe pse, Figura 2.24 nuk tregon ndonjë detaj në lidhje me skemën e adresimit IP ose më shumë detaje rreth
topologjisë së ndërmarrjes, ajo na jep një zgjidhje të mirë dhe me kosto efektive për një zyrë të vogël dege.
Për më shumë informacion në lidhje me seritë Cisco 892 dhe duke përfshirë çmimin është në dispozicion në referencë
[22]. Aty mund të gjejmë gjithashtu informacione për produkte të tjera të Cisco-s, si ndërprerësit
e katalizatorit, pikat e hyrjes, etj. Mund t'i referohemi gjithashtu seksionit "Ruterët e Shërbimit të Integruar" në faqen
zyrtare të Cisco-s të vendosur në [38]
2
Machine Translated by
Figura 2.25 tregon se seritë Cisco ASA 5500 aplikohen në secilën prej zyrave të largëta.
Secila nga ASA është e lidhur me routerin Cisco IOS për të siguruar lidhje me internetin. Nga ana e
brendshme e rrjetit, ASA-të janë të lidhura me çelësat katalizatorë për lidhjen e brendshme të përdoruesit.
Për shkak të politikave të sigurisë së kompanisë, zyrat e degëve lejohen të lidhen me internetin vetëm
përmes porteve TCP 80 (www) dhe 443 (SSL). Aplikohen modelet e mëposhtme të biznesit:
o “Përdorimi i një aplikacioni të palës së tretë që përdor portat TCP 8912 dhe 8913. Makineritë e klientëve nga
përdoruesit në vendndodhje të largëta do të hyjnë në këtë server aplikacioni të palëve të treta përmes tunelit
VPN nga faqja në faqe në sitin rajonal të SecureMe në Uashington.
o Përdoruesit hyjnë në postën e tyre elektronike (Simple Mail Transfer Protocol [SMTP], Post Office
Protocol [POP] dhe Internet Message Access Protocol [IMAP]) nga një server e-mail në Uashington
mbi tunelin VPN.
o DNS lejohet për zgjidhjen e emrit.”
Administratorët në sitin qendror po përdorin një aplikacion për të kontrolluar në distancë
(përfshirë instalimin e softuerit – arnime të sistemit operativ, përditësime antivirus, etj.) stacione pune
të përdoruesve në zyrat e largëta të degëve. Ky aplikacion përdor portën TCP 7788 dhe duhet të lejohet në pajisjen
ASA. Figura 2.26 tregon topologjinë më të detajuar të zyrës së degës në Nju Jork që plotëson kërkesat e listuara
më sipër. Topologjia e degëve të tjera do të jetë e njëjtë përveç skemës së adresimit IP.
2
Machine Translated by
Konfigurimi i zyrës së degës në Nju Jork është renditur në Shtojcën A.1. Më shumë
informacioni rreth serisë Cisco ASA 5500 është i disponueshëm në [39].
Për qasjen nga poshtë-lart, fillimisht duhet të zgjedhim pajisjet, veçoritë, e kështu me radhë, dhe
më pas të përpiqemi të përshtatim aplikacionet në atë rrjet. Kjo qasje mund të na detyrojë të ridizajnojmë nëse
aplikacionet nuk akomodohen siç duhet. Mund të rezultojë gjithashtu në rritje të kostove, sepse
ne po përfshijmë veçori ose pajisje që nuk na nevojiten dhe do t'i përjashtonim pas përfundimit të analizës së
kërkesave të rrjetit.
2
Machine Translated by Google
është shumë më e lehtë të dizenjosh pjesë të vogla të rrjetit sesa të dizenjosh të gjithë rrjetin. Ky dizajn
modular ka shumë përfitime, duke përfshirë këto:
o Një pjesë më e vogël e rrjetit është më e lehtë për t'u kuptuar dhe projektuar
o Elementet më të vegjël të rrjetit lehtësojnë zgjidhjen e problemeve
o Ofron fleksibilitet sepse është më e lehtë të ndryshosh module të vetme të rrjetit sesa të ndryshosh të gjithë
rrjetin
Kur planifikoni një rrjet, ka edhe disa komponentë bazë të rrjetit që duhen
të merren parasysh. Ato janë adresimi/drejtimi, menaxhimi i rrjetit, performanca dhe siguria:
Komponenti i adresimit/drejtimit
Ky komponent ka të bëjë me teknikat e adresimit/drejtimit që duhet të përdorim në rrjetin tonë.
Këto teknika përfshijnë nënrrjetin, nënrrjetin me gjatësi të ndryshueshme, supernetizimin, adresimin publik,
adresimin dinamik, adresimin privat, LAN-et virtuale (VLAN), IPv6 dhe përkthimin e adresave të rrjetit (NAT).
Adresat e rrjetit publik përdoren për të identifikuar në mënyrë unike kompjuterët në internet.
Ne mund të marrim hapësirën e adresimit publik nga ISP-ja jonë ose mund ta marrim atë drejtpërdrejt nga
Autoriteti i Numrave të Caktuar në Internet (IANA).
Hapësira e adresimit privat përmban adresa IP të veçanta që nuk lejohen të dalin nga një rrjet privat
si LAN-i ynë i korporatës. Adresat e njohura private që janë të disponueshme për përdorim të rrjetit të
brendshëm janë:
o Klasa A - nga 10.0.0.0 në 10.255.255.255
o Klasa B - nga 172.16.0.0 në 172.31.255.255
o Klasa C - Nga 192.168.0.0 në 192.168.255.255
Këto vargje adresash janë adresat e plota. Për përdorim më optimal të adresës
diapazoni ne mund të vendosim subnetting me gjatësi të ndryshueshme ose subnet mask me
gjatësi të ndryshueshme (VLSM). Kjo teknikë na lejon të ndajmë adresat IP në nënrrjeta sipas nevojës së tyre
individuale. Për shembull për lidhjen ndërmjet dy ruterave ku praktikisht na duhen vetëm dy adresa, një për çdo
ruter. Nuk duhet të harxhojmë një nënrrjet të tërë adresash të klasës C – nënrrjetin 192.168.1.0 255.255.255.0 ku
mund të banojnë 253 hoste. Duke vepruar kështu, do të humbnim shumë hapësirë adresash. Për të shmangur këtë,
ne mund të vendosim VLSM. Në vend që të rezervojmë të gjithë nënrrjetin 192.168.1.0 vetëm për lidhjen midis dy
ruterave, ne mund t'u ndajmë adresa nga diapazoni i adresave 192.168.1.0/4, ku mund të qëndrojnë vetëm dy host
dhe kështu të ruajmë hapësirën e adresimit.
Deri tani kemi diskutuar adresat IPv4. Duhet të shqyrtojmë gjithashtu mundësinë e
vendosjes së adresave IPv6. IPv6 është versioni më i ri i protokollit IP që fillimisht kishte për qëllim
zgjidhjen e kufizimeve të hapësirës së IPv4. IPv6 gjithashtu ka përfitimet e mëposhtme mbi IPv4: “hapësirë
më e madhe adresash për arritshmërinë dhe shkallëzimin global; kokë e thjeshtuar
për efikasitetin dhe performancën e rrugëtimit; hierarki dhe politika më të thella për fleksibilitetin e arkitekturës së
rrjetit; mbështetje efikase për rutinimin dhe grumbullimin e itinerarit; konfigurim automatik pa server, rinumërim
më i lehtë, multihoming dhe mbështetje e përmirësuar e plug and play; siguria me mbështetje të detyrueshme IP
Security (IPSec) për të gjitha pajisjet IPv6; mbështetje e përmirësuar për IP-në celulare dhe pajisjet kompjuterike
celulare (rrugë e drejtpërdrejtë); mbështetje e përmirësuar multicast me adresa të shtuara dhe mekanizma efikasë”
[15] Për të vendosur IPv6 ne mund të zgjedhim nga strategji të ndryshme. Ato përfshijnë bartjen e trafikut IPv6
përmes rrjetit IPv4, dhe kështu lejojnë domenet e izoluara IPv6 të komunikojnë me njëri-tjetrin, ose të përkthehen
nga IPv4 në IPv6 duke lejuar hostin të përdorë versione të ndryshme të protokollit IP për të komunikuar me njëri-
tjetrin. Ne mund
të zgjedhim një strategji nga katër strategjitë kryesore të mëposhtme për vendosjen e IPv6:
28
Machine Translated by Google
Komponenti i menaxhimit
Ky komponent zë vend pothuajse në çdo pajisje në rrjet dhe na ndihmon duke ofruar funksione për të
kontrolluar, planifikuar, shpërndarë, shpërndarë, koordinuar dhe monitoruar burimet e rrjetit.
Komponenti i performancës
Për këtë komponent ne duhet të vendosim mekanizëm për të konfiguruar, menaxhuar dhe shpërndarë burimet tek
përdoruesit përfundimtarë, pajisjet dhe aplikacionet dhe për të siguruar karakteristikat e parashikuara të
performancës. Këto mekanizma përfshijnë si më poshtë:
o Cilësia e Shërbimit (QoS)
o Kontrolli i burimeve - prioritizimi, menaxhimi i trafikut, planifikimi dhe radha
o Marrëveshjet e nivelit të shërbimit (SLA)
o Politikat
o Kapaciteti (gjerësia e brezit) – Aftësia për të mbajtur të dhëna të një qarku ose rrjeti,
zakonisht matet në bit për sekondë (bps)
o Shfrytëzimi – Përqindja e kapacitetit total të disponueshëm në përdorim
o Shfrytëzimi optimal – Shfrytëzimi mesatar maksimal përpara se rrjeti të konsiderohet i ngopur
o Përfundimi – Sasia e të dhënave pa gabime të transferuara me sukses ndërmjet nyje për
njësi të kohës, zakonisht sekonda
o Efikasiteti – Një matje se sa përpjekje kërkohet për të prodhuar një sasi të caktuar të xhiros
së të dhënave
o Vonesa (latenca) – Koha ndërmjet gatishmërisë së një kornize për transmetim nga një nyje dhe
dorëzimit të kornizës diku tjetër në rrjet
o Ndryshimi i vonesës. Sasia e vonesës mesatare kohore ndryshon
o Koha e përgjigjes. Sasia e kohës ndërmjet një kërkese për një rrjet
shërbimi dhe një përgjigje ndaj kërkesës
Përpara se të vendosim të vendosim ndonjë mekanizëm të performancës, ne duhet të përcaktojmë nëse kemi
nevojë apo jo për mekanizmin e performancës në rrjetin tonë. Ne nuk duhet të zbatojmë një mekanizëm të tillë
vetëm sepse janë interesantë apo të rinj.
Ne gjithashtu duhet të përcaktojmë nëse zbatimi i këtyre mekanizmave është me kosto efektive.
Për shembull, a kemi ne një staf rrjeti të aftë për të konfiguruar, funksionuar dhe mirëmbajtur mekanizmat e
performancës? Nëse jo, a jemi të gatshëm të paguajmë koston për marrjen e një stafi të tillë?
Performanca është një veçori që kërkon mbështetje të vazhdueshme. Nuk duhet ta zbatojmë dhe
pas kësaj ta harrojmë. Nëse nuk duam ta ofrojmë atë mbështetje, atëherë është më mirë të mos zbatojmë asnjë
mekanizëm të performancës.
Ne mund të arrijmë njëfarë thjeshtësie në këtë komponent nëse zbatoni performancën mekanizmat vetëm në
zona të zgjedhura të rrjetit. Për shembull, ne mund t'i zbatojmë ato në rrjetet e
aksesit ose të shpërndarjes. Mënyra tjetër për të thjeshtuar këtë komponent është përdorimi i vetëm një ose disa
mekanizmave, ose mund të zgjedhim vetëm ato mekanizma që duhet të zbatohen, funksionojnë dhe mirëmbahen.
Komponenti i sigurisë
Për komponentin e sigurisë ne duhet të vendosim mekanizëm sigurie për të garantuar konfidencialitetin,
integritetin dhe disponueshmërinë e informacionit dhe burimeve fizike të përdoruesit, aplikacionit, pajisjes dhe
rrjetit. Këto mekanizma sigurie përfshijnë kërcënimin e sigurisë
29
Machine Translated by
analiza, politikat dhe procedurat e sigurisë, siguria fizike dhe ndërgjegjësimi, siguria e protokollit dhe
aplikimit, enkriptimi, siguria rreth perimetrit të rrjetit, siguria e aksesit në distancë.
Ekzistojnë gjithashtu ndërveprime ndërmjet këtyre komponentëve që nuk duhen anashkaluar. Për shembull,
rritja e sigurisë sonë do të ndikojë gjithashtu në ngadalësimin e performancës, sepse siguria kërkon më
shumë kohë për përpunimin e pyetjeve të aksesit në burimet e rrjetit. Ekzistojnë ndërveprime të tilla midis
performancës dhe sigurisë siç u përmend, midis menaxhimit dhe sigurisë, menaxhimit dhe performancës,
dhe adresimit/drejtimit dhe performancës.
2.2.3 Përgatitni, planifikoni, dizajnoni, zbatoni, operoni, optimizoni (PPDIOO) Qasjen e ciklit
jetësor të rrjetit
Cisco si kompani lider në rrjetet në mbarë botën ka zhvilluar një plan dizajni që duhet ndjekur kur
dikush është duke projektuar një rrjet për një kompani. Quhet një PPDIOO që përfaqëson një cikël
jetësor të rrjetit. PPDIOO ka gjashtë faza: përgatit, planifiko, dizenjo, zbaton, operon dhe optimizon,
prandaj vjen emri i tij (treguar në Figurën 2.27).
3
Machine Translated by
3. Projektimi i topologjisë dhe zgjidhjes aktuale të rrjetit. Duke përdorur kërkesat e klientëve ne
ndërtojmë një dizajn të detajuar të rrjetit. Këtu merren edhe vendime për rrjetin – infrastrukturën,
shërbimet dhe të tjera. Në fund duhet të shkruajmë edhe një dokument të detajuar për veprimet
që kemi kryer.
Secili prej këtyre hapave është i ndarë më tej në nënhapa:
o Identifikoni kërkesat e klientëve
1. Mblidhni informacione rreth aplikacioneve dhe shërbimeve që është rrjeti
pritet të ketë.
2. Tregoni qëllimet dhe kufizimet për kompaninë
3. Tregoni qëllimet dhe kufizimet teknike
Procesi është paraqitur edhe në figurën 2.28.
o Karakterizoni çdo rrjet ekzistues
1. Mblidhni dokumentacionin ekzistues për rrjetin dhe kërkoni nga kompania informacion
shtesë – auditimi i rrjetit, analiza e rrjetit. Është gjithashtu e mundur që dokumentacioni të jetë
i vjetëruar.
2. Shtoni detaje shtesë në përshkrimin e rrjetit pas kryerjes së një auditimi të rrjetit.
3. Shkruani një raport përfundimtar që përmban informacion përmbledhës bazuar në
informacionin e mbledhur për të përshkruar gjendjen e rrjetit
o Projektimi i topologjisë dhe zgjidhjeve të rrjetit
Megjithëse dizajnimi i një rrjeti ndërmarrjesh është një projekt i vështirë, ne mund të përdorim modelin e
projektimit nga lart-poshtë për ta thjeshtuar atë pak.
Ne gjithashtu duhet të vendosim nëse dizajni është për një rrjet krejtësisht të ri ose po modifikon të gjithë
rrjetin ekzistues, ose një pjesë të vetme të tij - LAN ose WAN, ose akses në distancë.
Qasja nga lart-poshtë fokusohet në ndarjen e detyrës në të vogla, të lidhura, më pak
komponentët kompleksë të rrjetit:
3
Machine Translated by Google
Ne kemi shqyrtuar disa qasje për dizajnimin e një rrjeti dhe mund të zgjedhim njërën
njëri prej tyre duhet ndjekur në procesin e projektimit. Megjithatë, përdorimi i një përqasjeje nga lart-
poshtë rekomandohet mbi një qasje nga poshtë-lart. Qasja nga lart-poshtë na ndihmon të vlerësojmë të
gjitha kërkesat e nevojshme për shërbimet dhe aplikacionet dhe në bazë të tyre të zgjedhim pajisje të
veçanta të rrjetit. Kjo është zgjidhje ekonomikisht efektive, sepse ne do të zgjedhim pajisje që i
përshtaten nevojave tona; ne nuk do të bëjmë pazar të verbër. Meqenëse po zhvillojmë një zgjidhje për
një rrjet ndërmarrjesh, do të ishte më mirë nëse zgjidhnim qasjen e projektimit të rrjetit PPDIOO, sepse
është një qasje komplekse e dizajnit të korporatës nga
lart-poshtë.
32
Machine Translated by Google
3 Projektimi
Ky kapitull përshkruan projektimin aktual dhe proceset dhe rezultatet e zgjidhjes së problemit. Kapitulli është i
ndarë në tre seksione kryesore. Seksioni 3.1 ka të bëjë me projektimin e rrjetit të kompanisë me arkitekturë,
shërbime dhe komunikim të zyrave të degëve në distancë. Ky seksion është më i fokusuar në strukturën e rrjetit
të korporatës. Seksioni 3.2 përmban dizajnin e rrjeteve të zyrave të degëve. Duke qenë se zyrat e degëve do të
jenë të strukturuara në mënyrë të ngjashme, ne do të fokusohemi në projektimin vetëm të një zyre, tipike, dege.
Seksioni 3.3 ka analizën përfundimtare, vlerësimin dhe testimin e zgjidhjes.
Pas planit të projektimit PPDIOO të përshkruar në seksion. 2.2.3 fillimisht duhet të deklarojmë kërkesat
fillestare për rrjetin tonë. Meqenëse jemi duke projektuar një rrjet për kompani fiktive, do të paraqesim disa
kërkesa të zakonshme për rrjetet e korporatave.
3.1.1 Arkitekturë
Në seksionin e teorisë kemi diskutuar disa arkitektura të ndërmarrjeve, siç tregohet në Figurën 2.2 deri në
Figurën 2.5. Ne do të ndërtojmë kampusin e ndërmarrjes duke
përdorur modelin Access/Distribution/Core pasi është intuitiv për t’u aplikuar dhe zakonisht përdoret si
pikënisje në dizajnimin e rrjetit.
Në seksionin e shembujve (Seksioni 2.1.7) treguam se një zyrë dege mund të lidhet me ndërmarrjen me
pajisjen ASA që shërben si pajisje terminimi VPN. Figura 3.1 tregon infrastrukturën e zakonshme të aksesit në
distancë për ndërmarrjet – me ruterë në skaj, ndërprerës të jashtëm, mure mbrojtëse kryesore, ASA të aksesit në
distancë dhe ndërprerës të brendshëm. Rekomandohet përdorimi i pajisjes së veçantë të murit të zjarrit për
ndërprerjen e klientëve të aksesit në
distancë për zbatimin e madhësisë së madhe (siç tregon Figura 3.1). Figura 3.2 tregon më në
detaje bllokun e aksesit në distancë në skajin e Internetit dhe vendosjen e ASA-ve të aksesit në distancë.
33
Machine Translated by
Figura 3.3 tregon lidhjen me ISP-të (Buza e Ofruesit të Shërbimit ose skaji SP).
BGPv4 përdoret për protokollin e rrugëtimit. Për skajin SP Cisco rekomandon të bëni sa më poshtë:
o “Përdor BGP si protokollin e rrugëtimit për të gjitha rrugëtimet dinamike – të dyja ndërmjet
ruterat kufitare dhe midis ruterave kufitare dhe PS.
o Të ketë një numër të pavarur të sistemit autonom. Kjo do të japë fleksibilitetin e
reklamimi i prefiksit të internetit për SP të ndryshme.
3
Machine Translated by
o Përdorimi i BGP në lidhje me rrugëzimin e bazuar në performancë (PfR) të Cisco-s mund të përmirësojë
performancën e përgjithshme dhe të përmirësojë përdorimin e lidhjeve për topologjitë e lidhjeve të dyfishta.
[35]
PfR rezulton të jetë shumë efikas kur punon në lidhje me protokollet e rrugëzimit. Nëse e zbatojmë atë
në skajin e Internetit, do të kemi mekanizëm inteligjent të përzgjedhjes së rrugës që ofron optimizimin e rrugës. PfR trajton
paaftësinë e BGP për të ofruar trafik të ndarjes së ngarkesës bazuar në performancën e rrjetit.
Adresat AS dhe IP të përdorura janë shembull. Ato mund të ndryshojnë në mjedise të ndryshme prodhuese.
Internet Edge gjithashtu strehon zonën DMZ duke ofruar shërbime publike për përdoruesit e largët. Ekzistojnë dy lloje të
zonave DMZ - DMZ publike dhe DMZ private. Ato klasifikohen në bazë të grupeve të përdoruesve që përdorin shërbimet e
tyre - klientë të jashtëm për DMZ publike dhe klientë të brendshëm për DMZ private.
Shërbimet e zakonshme që ofron DMZ publike janë:
Nëse zbatojmë zona të veçanta DMZ (Publike dhe Private) duhet të aplikojmë gjithashtu nivele të
ndryshme sigurie.
Në skajin e ndërmarrjes na duhen ruterë IOS për skajin e Internetit. Cisco ka ndaluar
shitjen e ruterave të serive me shumë shërbime 1700, 2600, 3600 dhe 3700 dhe rekomandon migrimin në ruterat e serive
ISR ose ASR (Aggregation Service Router). Figura 3.4 tregon përmbledhjen e veçorive të Cisco ASR 1000.
3
Machine Translated by
Figura 3.5 tregon se si Cisco rekomandon përdorimin e produkteve të ndryshme të ruterit ASR. Siç mund ta shohim, seritë
ASR 1000 dhe seritë 7200 përdoren më së shumti si rutera kryesore të degëve dhe zyrave kryesore.
Tabela 3.1 tregon krahasimin e ruterave të ndryshëm të serisë Cisco ASR 1000.
SPA
Deri në dy Cisco ASR 1000
Ndërfaqja
Ndërfaqja e Serisë SPA Deri në tre Cisco ASR 1000
Përpunues Të integruara: 3 lojëra elektronike SPA
Procesorë (SIP), 8 slot SPA Seritë SIP, 12 lojëra elektronike SPA
(SIP)
Çmimi 44 000 dollarë deri në 59
13 000 dollarë deri në 15 000 dollarë 58 000 dollarë deri në 98 000 dollarë
000 dollarë Tabela 3.1 Modele të serisë Cisco ASR 1000
3
Machine Translated by
Çmimet janë marrë nga [40]. Specifikimi i ruterit është marrë nga [41].
Disa nga veçoritë kryesore të mbështetura nga seria Cisco IOS router 7200 janë: o “Cisco
Express Forwarding
o QoS
o HSRP
o Tunelizim
• GRE
• L2TP
• L2TPv3
• 6 deri në 4
• ACL-të
• NAT
• IPSec VPN
• Multicast i sigurt
• IPv6
o Performanca
• Deri në 2 Mpps me procesor NPE-G2
• Deri në 1 Mpps me procesor NPE-G1
• Deri në 400 kpps me procesor NPE-400”[34]
Çmimet për ruterat Cisco IOS 7200 variojnë nga 1,900 dollarë në 20,425 dollarë për
modele të ndryshme dhe module të instaluara (çmimet janë marrë nga [42]). Edhe pse Tabela 3.2 tregon
krahasimin e modeleve të ndryshme të serisë Cisco ASA 5500, mund të shohim se ato
kanë karakteristika të ngjashme, bazuar në aftësitë e synuara të pajisjes së murit të zjarrit dhe seancat e
njëkohshme.
Veçoritë Cisco ASA 5005 Cisco ASA 5510 Cisco ASA 5520 Cisco ASA 5540
Firewall
Performanca Deri në 150 Mbps Deri në 300 Mbps Deri në 450 Mbps Deri në 650 Mbps
VPN
Deri në Sesionet
Performanca Njëkohësisht 100 MbpsIPsec
DeriVPN
në 170 Mbps Deri në 225 Mbps Deri në 325 Mbps
Moshatarët
Çmimi 359 dollarë deri në 599 dollarë 1 849 dollarë deri në 3 599 dollarë 6 900 dollarë deri në 7 700 dollarë 7 500 dollarë deri në 12 000 dollarë
tabelë janë marrë nga [43]. Specifikimi i Cisco ASA është marrë nga [39].
Për LAN-in e kampusit ne kemi nevojë për lloje të ndryshme të ndërprerësve për pjesë të ndryshme të
rrjeti – Interneti edge, çelësat bazë dhe çelësat e aksesit. Si ndërprerës të skajeve të Internetit ne do të
përdorim seritë Cisco Catalyst 3800X sepse ato rekomandohen të përdoren në atë pjesë të rrjetit. Edhe
pse janë ndërprerësit e grumbullimit të Catalyst të klasit më të ulët,
ata ofrojnë performancë dhe shërbime të mjaftueshme. Për bërthamën ne do të përdorim serinë Catalyst
4900M. Ata mbështesin ndërfaqet Ethernet 10/100/1000/10000 dhe kanë performancë të lartë deri në 320
Gbps. Për akses në një pjesë të rrjetit ne do të përdorim Cisco
3
Machine Translated by Google
Catalyst 2975. Ky ndërprerës ofron 48 ose 96 porte 10/100/1000 PoE. Ata gjithashtu mund të funksionojnë
në 10 Gbps me instalimin e modulit shtesë. Të gjithë çelësat mbështesin ndërfaqet Ethernet me shpejtësi të lartë prej 1 Gbps
dhe/ose 10 Gbps, të cilat do të rezultojnë në rritjen e performancës së LAN. Më shumë
informacion rreth ndërprerësve të sipërpërmendur Catalyst gjenden në faqen zyrtare të Cisco Catalyst [44].
3.1.2 Shërbimet
Shërbimet e zakonshme që një ndërmarrje ofron për degët e saj janë aksesi në qendrat e të dhënave, shërbimet rezervë, shërbimet
e sigurisë dhe transmetimi i zërit dhe videove. Performanca e shërbimeve mbi WAN ndikohet nga gjerësia e brezit dhe vonesa.
Ne mund t'i kombinojmë ato në një vlerë sasiore (të quajtur Produkti i vonesës së gjerësisë së brezit (BDP)) me anë të së cilës
mund të matim sasinë maksimale të të dhënave që mund të transferohen në WAN në një kohë të caktuar.
BDP llogaritet duke përdorur formulën:
BDP [Kbajt] = (Lidhja e gjerësisë së brezit [Kbajt/sek] * Vonesa për vajtje-ardhje [sek])
BDP mund të përdoret për të verifikuar nëse një aplikacion TCP po përdor në mënyrë optimale lidhjen WAN. Në
Komunikimi TCP, madhësia maksimale e segmentit (MSS) dërgohet midis dy pikave fundore të lidhjes. MSS përcakton sasinë
maksimale të të dhënave që mund të dërgohen dhe të mos pranohen në një moment kohe.
o Nëse MSS > BDP, aplikacioni TCP mund të përdorë gjerësinë e brezit të disponueshëm
o Nëse BDP > MSS, aplikacioni TCP nuk mund të përdorë plotësisht gjerësinë e brezit.
Ne mund t'i përdorim këto masa për një përdorim të vetëm të gjerësisë së brezit të aplikacionit TCP. Zyra jonë e degës
zakonisht do të ketë shumë aplikacione të njëkohshme TCP dhe gjerësia e brezit të disponueshëm do të përdoret në mënyrë
efikase.
Shërbime rezervë
Rezervimi i cloud përdor një server jashtë sajtit në të cilin kopjohen të dhënat. Ky server jashtë sajtit zakonisht
mbahet nga një ofrues shërbimi i palës së tretë i cili tarifon bazuar në kapacitetin, gjerësinë e brezit ose numrin e
përdoruesve. Kjo strategji rezervë po fiton popullaritet në SOHO pasi nuk kërkohet asnjë kosto për pajisje shtesë dhe
kopjet rezervë mund të ekzekutohen automatikisht pa ndërhyrje manuale. Për ndërmarrjen duhet të përdorim kopje
rezervë të cloud vetëm për të dhëna jo kritike të misionit. Më shumë informacion rreth këtyre strategjive rezervë mund
të gjenden në [29] dhe [30].
Shërbimet e sigurisë
Qëllimi i sigurisë është të sigurojë që çdo aspekt i rrjetit të mbrohet nga pajisjet (dhe politikat përkatëse) të lidhura
me rrjetin që sigurojnë dhe mbrojnë nga vjedhja e të dhënave. Shërbimet kryesore që duhet të aplikojmë janë [31]:
38
Machine Translated by Google
o Mbrojtja e infrastrukturës;
o Lidhje e sigurt;
o Zbulimi dhe zbutja e mbrojtjes nga kërcënimet.
Për të mbrojtur infrastrukturën, ne duhet të sigurojmë masa për të mbrojtur pajisjet tona të infrastrukturës (ruterat
Cisco IOS, çelësat, pajisjet) nga sulmet e drejtpërdrejta. Këtë mund ta arrijmë duke përdorur sa vijon:
enkriptimin e të dhënave për privatësinë e të dhënave. Mekanizmat për izolimin e të dhënave do të na ndihmojnë gjithashtu të ofrojmë lidhje e
sigurt mes kampusit dhe degës. Ne mund të përdorim protokollin e tunelit si GRE për izolimin e të dhënave dhe protokollin
e kriptimit si IPsec për enkriptimin e të dhënave.
Për të zbuluar dhe zbutur kërcënimet e mbrojtjes, ne duhet të përdorim mekanizma për të zbuluar, zbutur,
dhe mbrojnë pajisjet e rrjetit nga shkeljet dhe ngjarjet e paautorizuara. Ne mund t'i aplikojmë këto
mekanizma për ruterat, çelsat dhe pajisjet e sigurisë, siç thuhet në [31]:
"Ruterët dhe pajisjet e sigurisë përdorin mure zjarri inline dhe sisteme të mbrojtjes nga ndërhyrjet (IPS). Ndërprerësit
katalizator përdorin Port Security, DHCP Snooping, Dynamic ARP Inspection (DAI) dhe IP Source Guard.
o Zgjedhja e WAN-it privat ose VPN-së nga faqe në vend, dhe pasi ne do të motivojmë zgjedhjen e opsionit të dytë, o
Cilin lloj të
zbatimit të mundshëm VPN-je nga faqe në vend për të zgjedhur
o Cilin router Cisco ISR për cilin lloj dege të zgjidhni (krahasim dhe rekomandime)
39
Machine Translated by
Në seksionin 2.1.3 ne diskutuam gjithashtu disa lloje të VPN-ve. Tabela 2.5 përmban një përmbledhje nga këto
teknologji VPN. Bazuar në figurën dhe karakteristikat e listuara IPsec
më poshtë, ne zgjedhim IPsec VPN. Përfitimet që ndikuan në zgjedhjen tonë janë:
o IPsec ka siguri të fortë që mund ta përdorim në të gjithë trafikun;
o Është transparent ndaj aplikacioneve;
o Nuk ka nevojë për softuer shtesë në sistemet fundore për sa kohë që IPsec zbatohet në një ruter ose mur zjarri;
o Përdoruesit nuk kanë nevojë të njohin mekanizmin e sigurisë;
o Për shkak se është një protokoll tuneli, ai është i disponueshëm për të gjitha shërbimet e rrjetit;
o Nëse e implementojmë IPsec siç duhet, ai siguron një kanal privat për dërgimin dhe
shkëmbimi i të dhënave të cenueshme dhe të rëndësishme - email, trafik ftp ose ndonjë trafik i bazuar në TCP/ IP.
Tabela 3.4 tregon krahasimin e gjeneratës 1 të ruterave Cisco ISR. Ashtu si me serinë Cisco ASA, ruterat Cisco ISR
ndryshojnë në ndërfaqet e mbështetura WAN, modulet e ndërrimit dhe performancën. Çmimet në tabelë janë marrë nga [40]. Për
Cisco ISR 2800 dhe 3800 çmimet janë marrë nga [42]. Specifikimi i ruterit është marrë nga [41].
4
Machine Translated by
Cisco ISR
Veçoritë Seria 3800 Seria 2800 Seria 1800 Seria 890
Shpejtësia deri në Deri në 145 Mbps Deri në 125 Mbps Deri në 90 Mbps
425 Mbps
Qasje në distancë nga faqja
në faqe dhe dinamike
MERR VPN, VPN Grupi i koduar
Siguria IP (IPSec) VPN Shërbimet VPN: IP
dinamike me shumë pika Transporti Virtual
(Triple Data Standardi i Siguria (IPsec)
(DMVPN), shërbime VPN Rrjetet private,
Telekomanda Enkriptimit VPN, grup
me qasje në distancë Qasje në distancë nga
akses [3DES] ose i avancuar Transport i koduar
Standardi i Enkriptimit dhe dinamike nga faqja në faqef:aqja në faqe dhe dinamike VPN [MERRNI VPN] me
Siguria IP (IPsec) Shërbimet VPN: IP
[AES]) përshpejtim në bord dhe
VPN
Siguria (IPsec) VPN priza të sigurta
Shtresa [SSLVPN]
përmbajtja
po po po po
Filtrimi
Çmimi 4 275 $ - 9 973 $ 898 $ - 7 000 $ 475 $ - 2 998 $ Tabela 3.4 Krahasimi i serive 360 dollarë deri në 832 dollarë
Cisco ISR
Ruterat e serisë 890 janë ruterat ISR të klasit më të ulët. Ato janë të përshtatshme për të vogla
degët. Keni performancë të mjaftueshme të murit të zjarrit dhe IPS dhe mbështesni ndërfaqen Gigabit WAN.
Seritë ISR 1800 kanë performancë të përmirësuar në krahasim me seritë 890. Ato ofrojnë
performancë dhe mbështetje më të shpejtë për më shumë tunele VPN. Ruterat e serisë 1800 janë zgjidhja
optimale për degët e vogla dhe të mesme.
Seritë ISR 2800 kanë performancë edhe më të madhe. Rrjedha e xhiros së murit të zjarrit kërcen pothuajse
katër herë më shumë se xhiroja e serive 1800 dhe gjashtë herë performanca e serive 890. Moduli switch i ruterave
të serisë 2800 ofron 64 porte PoE. Çmimi është gjithashtu i pranueshëm. Ne mund të blejmë ruterin e serisë ISR
2800 me vetëm dyfishin e çmimit të serisë 1800, ose edhe më pak. ISR 2800 janë zgjidhja optimale për degët e
mesme.
Të fundit janë seritë ISR 3800. Ato janë ISR-të e klasit më të lartë dhe kanë performancën
dhe veçoritë më të mira. Rrjedha e zjarrit është dy herë më e madhe se një mur zjarri i serisë 2800. Rrjedha e IPS
është tre herë më e madhe se xhiroja IPS e serive 2800. Kjo është arsyeja pse seritë ISR 3800 janë më të mira për t'u
përdorur për zbatime të zyrave të degëve të mesme dhe të mëdha.
4
Machine Translated by Google
Për zbatimin e zyrës sonë të degës ne do të përdorim serinë 2800. Ne i zgjedhim ato sepse
ato ofrojnë performancë të lartë me çmime të arsyeshme.
Shembulli i dytë i paraqitur është me serinë Cisco ASA (PIX) që menaxhon lidhjen VPN site-to-site (treguar
në Figurën 2.25). Ai përdor murin e integruar të zjarrit dhe dizajnin e pajisjes VPN siç tregon Figura 2.11. Për
këtë topologji të projektimit do të na duhet gjithashtu një ruter për të ofruar lidhje interneti. Ky dizajn nuk është
aq i vështirë për t'u menaxhuar, por ofron siguri sepse muri i zjarrit mund të inspektojë në mënyrë shtetërore
trafikun e deshifruar VPN. Dhe si e mëparshmja, ajo përballet me të njëjtin pengesë - një pajisje duhet të
shkallëzohet për të përmbushur kërkesat e performancës
së lidhjeve të shumta dhe kompleksitetin e rritur të konfigurimit.
42
Machine Translated by
Figura 3.6 tregon këtë topologji rrjeti. Adresimi i rrjetit nuk është shfaqur ende. Ne do ta
diskutojmë më në detaje më vonë. Figura tregon se rrjeti i kampusit është i ndarë në disa nënzona -
zona DMZ, zona për grupin VPN të aksesit në distancë dhe zona për stacionet e punës të përdoruesve.
Ne përdorim dy rutera Cisco për lidhjen me internetin për të siguruar tepricë - është më mirë të
kemi lidhje interneti të ofruar nga dy ISP, kështu që kur njëri ISP ka probleme me lidhjen, ne mund
të kemi lidhje me internetin përmes tjetrit.
Dy Cisco ASA 5540 përdoren në modalitetin e dështimit me modulin AIP-SSM të
instaluar në të dyja për të ofruar funksione IPS. Ata u japin përdoruesve të degës akses për
shërbimet publike në zonën DMZ dhe filtron trafikun hyrës dhe dalës.
Figura 3.7 tregon detaje rreth zonës DMZ në skajin e Internetit. Ne përdorim dy
Cisco ASA 5540s (5540-1 dhe 5540-2). Ato janë konfiguruar në modalitetin e dështimit dhe në
ndërfaqet e tyre publike janë të lidhura me ndërprerësat Cisco Catalyst. Çelësat
janë të lidhur me ruterat Cisco (Border Router (BR) 1 dhe BR2) të lidhur me ISP-në që
ofron lidhje interneti. BR1 dhe BR2 janë konfiguruar me Hot Standby Routing Protocol (HSRP) për të
ofruar tepricë të lidhjes në internet. Adresa IP e ruterit virtual për grupin HSRP
është 172.30.201.5/27
4
Machine Translated by
Ruteri dhe dy Cisco ASA 5540 janë të lidhur së bashku në nënrrjetin 172.30.201.0/27.
Porta e paracaktuar e secilit prej Cisco ASA 5540 është vendosur në adresën e ruterit virtual
HSRP 172.30.201.5/27.
Në segmentin DMZ ka dy serverë me adresë IP 192.168.232.100 dhe 192.168.232.101.
Nga Interneti vetëm trafiku HTTP dhe HTTPS lejohet në këta serverë. Ata po komunikojnë me një
server të brendshëm MySQL të vendosur në adresën 10.20.4.50 (i vendosur në
qendrën e të dhënave, nuk tregohet në figura) për të marrë informacion.
Për të komunikuar me serverin e brendshëm të bazës së të dhënave, serveri në internet përdor
portin TCP 3306 (ky është porti i përdorur nga serveri i bazës së të
dhënave MySQL). Ne do të lejojmë vetëm këtë komunikim nga serveri në internet në rrjetin e
brendshëm. Kjo bëhet për arsye sigurie dhe asnjë trafik tjetër nuk do të lejohet nga zona publike DMZ në
rrjetin e brishtë të brendshëm. Për serverin e postës, ne duhet të lejojmë SMTP të lejojë emailet dalëse
dhe IMAP të lejojë emailet hyrëse. IMAP përdor portën TCP 143. Ka versione të sigurta të këtyre
protokolleve që duhet t'i përdorim - SMTP e sigurt (SSMTP)
përdor portën 465, IMAP e sigurt (IMAP4-SSL) përdor portën 585, IMAP4 mbi SSL (IMAPS) përdor portën 993.
4
Machine Translated by
4
Machine Translated by
Ne zgjedhim Cisco ISR 2821 si pajisje fundore VPN site-to-site në zyrën e degës. Cisco ISR 2821 i
përshtatet më së miri nevojave të një zyre dege të vogël dhe të mesme.
Tabela 3.4 ofron një përmbledhje të veçorive të Cisco ISR që ndikuan në zgjedhjen tonë. Disa prej tyre janë:
o Mbështetje me zë dhe video;
o Ndërfaqja WAN 1000 Mbps;
o Mbështetje për Power over Ethernet (PoE);
o Performanca e mirë/norma e çmimit.
Skema e adresimit IP është paraqitur në figurë. Adresimi IP statik zbatohet për të gjithë
pajisjet që janë më mirë të kenë adresën IP të konfiguruar manualisht - serverët, printerët dhe ruterët. Të gjithë
hostet e tjerë në rrjet përdorin ruterin ISR si server DHCP. Gama e grupit DHCP është nga
172.20.100.31 në 172.20.100.254. Adresat nga 172.20.100.1 deri në 172.20.100.30 janë të rezervuara për çdo
server, ruter ose pajisje të tjera.
Zyra e degës kërkon përfundimisht një server printimi për të trajtuar pyetjet e printimit. Serverët e ndërmarrjes
ofrojnë të gjitha shërbimet e tjera të nevojshme për zyrën e degës. Përdoruesit e degëve aksesojnë shërbimet në
qendrën e centralizuar të të dhënave të ndërmarrjes përmes lidhjes VPN nga faqe në vend. Kjo mund të shtojë disa
probleme me vonesat dhe gjerësinë e brezit, por heq nevojën për të pasur pajisje shtesë në LAN të degës për të
adresuar nevojat e përdoruesve. Gjithashtu heq nevojën
për t'u shqetësuar për ruajtjen dhe rezervimin e të dhënave në këta serverë. Kjo është arsyeja pse ne zgjedhim
zgjidhjen e qendrës së të dhënave të centralizuar.
Funksioni i tunelit të VPN Split është i çaktivizuar, sepse në këtë mënyrë ndërmarrja ka kontroll mbi
përdoruesit e degës Aktiviteti i internetit. Gjithashtu, siç u diskutua në seksionin e sigurisë
(Seksioni 2.1.6) tuneli i ndarë mund të çojë në komprometimin e kompjuterëve të përdoruesve në degë dhe t'i
japë sulmuesit akses në të dhënat e cenueshme të ndërmarrjes.
4
Machine Translated by
tepricë dhe dështim. Kjo e bën këtë zgjidhje të degës më të përshtatshme për degët e ndërmarrjeve të
vogla dhe të mesme.
Ekzistojnë vlerësime të ndryshme në lidhje me aspekte të ndryshme të zgjidhjes së ofruar. Rrjetet e
projektuara vlerësohen për kriteret e mëposhtme - sigurinë, lehtësinë e vendosjes, disponueshmërinë dhe
performancën.
o Siguria
Për sigurimin e skajit të internetit të ndërmarrjes janë përdorur ASA 5540s. Për menaxhimin e lidhjes
së degës janë përdorur ASA 5520s. Të dy modelet ASA ofrojnë filtrim të gjendjes së paketave,
Sistemi i Parandalimit të Ndërhyrjeve dhe filtrim i përmbajtjes; ASA 5520-të janë përgjegjëse për
VPN-në faqe-në-faqe nëpërmjet lidhjeve IPsec. Në këtë mënyrë
lidhjet e zyrave në distancë janë të sigurta dhe trafiku i deshifruar VPN kontrollohet në
mënyrë shtetërore. Zgjidhja ofron një rrjet shumë të sigurt dhe elastik në avantazh të ndërmarrjes dhe
rrjet të zyrave të largëta të degëve.
o Lehtësia e vendosjes
Rrjeti i zyrave të degëve është i thjeshtë - përdoret një ruter ISR. Konfigurimi i atij ruteri është
sfidë sepse duhet të konfigurohet për shumë shërbime. Rrjeti i internetit i ndërmarrjes është i
vështirë - ai ka dy ruterë kufitarë, ndërprerës, dy mure zjarri ASA që përcjellin trafikun drejt dhe
nga një zonë DMZ, dy mure zjarri ASA që përfundojnë lidhjen me zyrat e degëve. Konfigurimi i
këtyre pajisjeve është një detyrë komplekse.
Vështirësia e vendosjes së zgjidhjes është e lartë. o Disponueshmëria
Zgjidhja e ndërmarrjes Internet Edge ofron disponueshmëri të lartë për përdoruesit e ndërmarrjeve, si
dhe përdoruesit e zyrave të degëve. Në topologji ka dy ruterë kufitarë të grupuar në një ruter virtual
me HSRP (nëse ruteri primar dështon, sekondari fillon të drejtojë trafikun pa asnjë shqetësim për
përdoruesit) për të siguruar lidhje të tepërt me
internetin. Për ndërprerjen e VPN-së site-to-site në zyrat e degëve përdoren dy ASA të kombinuara në
grup – në këtë mënyrë përdoruesit e zyrës së degës shohin vetëm një pajisje. Ne kemi një rrjet mjaft të
disponueshëm në Internet edge për ndërmarrje. Në zyrën e degës ka vetëm një ruter ISR përgjegjës për
rrugëtimin, filtrimin e paketave dhe të tjera. Kjo e
bën disponueshmërinë sfiduese sepse nëse ky ruter dështon, nuk ka
pajisje tjetër për të marrë përsipër. Disponueshmëria e zyrës së degës është e ulët.
o Performanca
Ne vlerësojmë performancën si vlerë mesatare midis xhiros së Firewall, IPS dhe VPN në
krahasim me xhiron prej 1 Gbps. Formula është P = ((FW + IPS +
VPN)/3)/100
"P" është vlera e llogaritur për performancën e veçantë të pajisjes. Për "FW", "IPS" dhe VPN
përdoren vlerat për xhiron e murit të zjarrit, IPS dhe VPN. E ndajmë me 3, marrim
performancën mesatare dhe më pas e krahasojmë me performancën bazë prej
100 Mbps. Ne zgjedhim 100 Mbps si xhiro bazë në formulë sepse 100 Mbps është xhiroja më e
ulët që duhet të ketë një pajisje në një rrjet ndërmarrjesh. Vlerat e performancës nën 1 do të thotë
që performanca është shumë e ulët.
FW VPNIPS AVG P=AVG/100
Tabela 3.5 tregon rezultatet e vlerësimit të ASA-ve dhe ruterit ISR të përdorur (AVG qëndron për
vlerën mesatare të FW, IPS dhe VPN). Vetëm ASA dhe ISR janë përdorur në vlerësim, sepse ato kanë
karakteristika të përbashkëta që munden
4
Machine Translated by
të krahasohen. Siç tregon tabela, performanca e pajisjeve është e mjaftueshme. Performanca e ruterave
kufitare 7201s është 2 Mpps (Miliona Pako për Sekondë) me motorin e zgjedhur NPE-G2, që do të
thotë se ruterat kufitarë kanë performancë të lartë.
Figura 3.10 tregon mjedisin e testimit që krijuam në GNS3. Ne simulojmë vetëm këtë segment të
vogël të ruterit të skajit të internetit të ndërmarrjes, sepse ne po testojmë vetëm tepricën e ofruar nga
HSRP. “Laptop” përfaqëson kompjuterin që kemi lidhur logjikisht me
mjedisin e simuluar në të cilin IP Virtuale HSRP është vendosur si porta e paracaktuar. "BR1" dhe
"BR2" janë ruterat kufitarë nga topologjia e skajit të internetit të ndërmarrjes. Konfigurimi i
ruterave për HSRP tregohet në Shtojcën B1.
HSRP funksionon në atë mënyrë që përdoruesi përfundimtar (në figurë ky është "Laptop",
por në topologjinë e projektuar përdoruesit janë të dy ASA 5540) të mos i shohin dy ruterët si porta
të veçanta, por të shohin ruterin virtual të krijuar nga HSRP dhe përpara. trafiku në adresën e ruterit virtual.
Ne kemi zgjedhur BR1 të jetë ruteri "Aktiv" dhe trafiku i ruterit të destinuar për ruterin
virtual dhe BR2 të jetë ruteri "Standby" ose rezervë nëse BR1 nuk funksionon.
Nëse lëshojmë komandën "ping" nga "Laptop" për të verifikuar lidhjen me gateway, ne do të
shohë përgjigjet që vijnë nga pajisja me IP 10.1.1.103. Kjo tregohet në Shtojcën B2.
Tani në topologji ne fikim ruterin aktiv HSRP BR1 për të testuar se cili do të jetë ndikimi në lidhjen e
portës së përdoruesit. Figura 3.11 tregon topologjinë pas fikjes së BR1. Ping-u në portën e paracaktuar
është i suksesshëm. Për të vërtetuar se BR1 nuk po përgjigjet, ne
lëshuam një ping për të, i cili ishte i pasuksesshëm. Megjithatë, ping në BR2 IP 10.1.1.101 janë të
suksesshme. Rezultati nga ky ping tregon se ruteri i gatishmërisë BR2 është bërë ruter aktiv për grupin
HSRP. Shtojca B.3 tregon rezultatet e ping.
4
Machine Translated by
Pasi të ndezim përsëri BR1 kemi të njëjtën topologji siç tregon Figura 3.10.
Nëse kontrollojmë tastierën e BR1 dhe BR2, do të shohim njoftimet e ngjarjeve që BR1 bëhet përsëri
ruteri aktiv HSRP dhe BR2 kalon nga Active në Standby.
Kjo arrihet me komandën “standby 1 preempt” në BR1. Shtojca B.4 tregon këto mesazhe njoftimi. Tani
ne lëshojmë përsëri ping në portën e paracaktuar për të kontrolluar lidhjen. Ping ishte i suksesshëm. Ne
lëshojmë gjithashtu ping për BR1 dhe BR2 për të verifikuar që ato janë në funksion. Shtojca B.5 tregon
rezultatin e këtyre ping.
Si përmbledhje mund të themi se nëse nuk do të kishim lëshuar në mënyrë eksplicite ping për BR1 dhe BR2 ne nuk do ta
kuptoja që njëra nga portat është poshtë. Ruteri rezervë kalon nga modaliteti i gatishmërisë në modalitetin
aktiv dhe fillon të përcjellë trafikun, si rezultat përdoruesi përfundimtar nuk përjeton shqetësime të lidhjes.
Një test tjetër që do të bëjmë është të testojmë sigurinë e lidhjes VPN midis ndërmarrjes dhe një
dege. Figura 3.12 tregon topologjinë që ne përdorim është për testim, si dhe skemën e adresimit IP dhe
pajisjet e përdorura.
Ruteri “Branch1” është ruteri kufitar i një zyre dege. Ruteri "ISP" përfaqëson internetin. Në rrjetin e
ndërmarrjes ne përdorim vetëm një ruter dhe mur zjarri, sepse për testim nuk kemi nevojë për tepricë.
4
Machine Translated by Google
Tani për të testuar sigurinë e lidhjes VPN, duhet të dërgojmë të dhëna nga ruteri i zyrës së degës në
ruterin kufitar të ndërmarrjes dhe t'i ekzaminojmë ato me analizues protokolli si Wireshark. Për të simuluar
kalimin e të dhënave ne do të përdorim komandën ping nga routeri Branch1 në rrjetin e brendshëm të
ndërmarrjes: ping 10.10.0.1 burimi 10.10.1.1 përsërit 300. Ne përdorim ndërfaqen loopback të
routerit Branch1 për burimin e ping-ut sepse në këtë mënyrë simulojmë rrjetin LAN të zyrës së degës.
Shtojca B.6 tregon rezultatin e komandës ping të lëshuar. Siç mund të shihet, paketat e kërkesës ping dhe
të përgjigjes kanë ndryshuar adresën IP të burimit dhe të destinacionit. Kjo është kështu sepse trafiku ishte
i koduar përpara se ta kapnim atë me Wireshark. Nëse trafiku nuk do të ishte i koduar, ne do ta shihnim
atë në tekst të qartë me adresat e burimit dhe të destinacionit që përdorëm në komandën ping (Shtojca
B.7 tregon atë rezultat).
Si përfundim nga testi mund të themi se trafiku ndërmjet ndërmarrjeve dhe rrjeteve të degëve është
i sigurt. Lidhja VPN site-to-site mbi IPsec ofron siguri të fortë dhe privatësi të të dhënave.
Rezultatet
Në kapitullin e Teorisë ne shqyrtuam dy opsione komunikimi midis ndërmarrjes dhe rrjeteve të degëve
të largëta – WAN privat dhe VPN nga faqe në vend. Janë shqyrtuar llojet e mundshme
të WAN private - Frame Relay, ATM, linja me qira dhe të tjera. Llojet e mundshme të zbatimeve të VPN-së
ne shqyrtuam gjithashtu. Këto lloje përfshijnë, por nuk kufizohen në PPTP, IPsec dhe
SSL VPN. U diskutua gjithashtu për sigurinë, menaxhimin dhe shërbimet për rrjetin e ndërmarrjeve me degë
të largëta.
Në kapitullin e Teorisë ne shqyrtuam llojet e mundshme të menaxhimit - brenda dhe jashtë
menaxhimi i bandës; menaxhim i centralizuar, i shpërndarë dhe hierarkik. Ne rishikuam gjithashtu
mënyrat e mundshme të ruajtjes së të dhënave të menaxhimit - në një media
ose sistem të përhershëm (ose gjysmë të përhershëm). U shpjeguan edhe pjesët e procesit të ruajtjes
së të dhënave - ruajtja parësore, ruajtja sekondare dhe ruajtja terciare
Për projektimin ne zgjodhëm modelin VPN site-to-site si lidhje primare ndërmjet ndërmarrjes dhe
degëve. Zgjidhja e problemit që ne ofruam bazohet në atë model. Ne diskutuam faqe më faqe në më shumë
detaje dhe zgjodhëm IPsec si llojin e mundshëm të zbatimit. Ne rishikuam gjithashtu me kujdes llojet e
pajisjeve që do të përdoren në rrjet. Për çdo vendndodhje të veçantë ne zgjodhëm pajisjet më të
përshtatshme.
Zgjidhja u analizua, u vlerësua dhe u testua pjesërisht. Rezultatet tregojnë se zgjidhja e
rrjetit të ndërmarrjeve është e përshtatshme për ndërmarrjet e mesme dhe të mëdha. Ofron siguri të lartë,
disponueshmëri, tepricë dhe lidhje me shpejtësi të lartë. Zgjidhja e zyrës së degës
është e përshtatshme për zbatime të zyrave të degëve të vogla dhe të mesme. Ofron siguri të lartë,
disponueshmëri të ulët, asnjë tepricë dhe lidhje me shpejtësi të lartë.
50
Machine Translated by Google
4.1 Përfundim
Projekti i jep zgjidhje problemit. Rrjeti i projektuar i komunikimit kompjuterik i ndërmarrjes me një rrjet
të degëzuar filialesh (përshkruar në seksionin 3.1.4) mund të mbështesë zyrat e degëve të zgjeruara
rajonale, ndërkombëtare ose të shtrira në mbarë botën. Zyrat e degëve (shpjeguar në seksionin 3.2) kanë
nevojë për lidhje interneti dhe pajisje që mbështesin VPN nga faqe në faqe të bazuara në IPsec.
4.2 Rekomandime
Duhet të zbatohet teprica e rrjetit të degëve. Pa tepricë nëse ruteri ISR nuk funksionon, e gjithë zyra e
degës humbet. Një tjetër ruter ISR mund të vendoset për të ofruar rrjet të tepërt.
Rrjeti i projektuar i zyrave të degëve u përshtatet më së miri nevojave të një dege të vogël dhe të mesme zyrë. Për
madhësi të tjera të degëve duhet të përdoren pajisje të tjera.
Modelet e përdorura të ruterit (7201) në Internet Edge kanë performancë të lartë dhe një gamë të gjerë
funksionesh të mbështetura. Megjithatë, nëse ndërmarrja kërkon performancë edhe më të lartë në të ardhmen,
duhet të merret parasysh një migrim në serinë ASR 1000.
Ndërmarrja komunikon me degët nëpërmjet lidhjes VPN site-to-site bazuar në IPsec. Por nëse
kjo lidhje është e ndërprerë, ndërmarrja nuk ka asnjë lidhje rezervë me degët. Lidhja dytësore ndërmjet të dy
lokacioneve mund të zbatohet në të ardhmen.
Zbatimi i IPv6 duhet të konsiderohet gjithashtu në të ardhmen. IPv6 ka shumë përfitime mbi IPv4 - kokë e
thjeshtuar për efikasitetin dhe performancën e rrugëtimit; hierarki dhe politika më të thella për fleksibilitetin e
arkitekturës së rrjetit; mbështetje efikase për rutinimin dhe grumbullimin e itinerarit; siguri me mbështetje të
detyrueshme IP Security (IPSec) për të gjitha pajisjet IPv6
dhe të tjerët. Ekzistojnë gjithashtu strategji të migracionit që mund të përdoren për të lehtësuar
procesin e migrimit.
Projekti ofron testimin e funksionalitetit të HSRP. Në të ardhmen më shumë veçori të
rrjeti i projektuar mund të testohet për të mbështetur deklaratat e teorisë me rezultatet e testimit.
Këto veçori përfshijnë, por nuk kufizohen në aksesin e serverëve nga zyrat e degëve; funksionimi i grupit VPN;
filtrimi i paketave të murit të zjarrit; dhe shfrytëzimi i gjerësisë së brezit të lidhjes VPN.
51
Machine Translated by
Referencat
[1]. James McCabe (2007). Analiza, Arkitektura dhe Dizajni i Rrjetit Botimi i 3-të [2].
Jazib Frahim, Qiang Huang (2008). Cisco Press SSL Remote Access VPN [3].
http://en.wikipedia.org/wiki/RADIUS (vizituar 180410) [4].
http://www.networkcomputing.com/netdesign/soho1.html (vizituar 030510) [5].
http://www.pro-100.org/?oblast=0&sort=economy# (vizituar 060510)
[6]. Diane Teare, Catherine Paquet (2005). Bazat e projektimit të rrjetit të kampusit
[7]. Richard Deal (2006). Udhëzuesi i plotë i konfigurimit të Cisco VPN
[8]. http://www.ibm.com/developerworks/ru/library/l-Backup_1/?S_TACT=105AGX99&S_CMP=GR01
(vizituar 110610)
[9]. Keith Hutton, Mark Schofield (2009). Dizajnimi i Arkitekturave të Shërbimit të Rrjetit Cisco Edicioni i
2-të [10]. http://www.edrivium.com/ (vizituar
120610) [11]. http://www.juniper.net/ (vizituar
120610) [12]. http://en.wikipedia.org/wiki/DMZ_%28computing%29 (vizituar
130610) [13]. http://campustechnology.com/Articles/2010/03/12/Machine-Hunt-User-Forensics- at-
Salt-Lake Community-College.aspx?Page=2 (vizituar
220610) [14]. http://www.etelemetry.com/
(vizituar 230610) [15] http://www.cisco.com/en/US/docs/ios/solutions_docs/ipv6/IPv6dswp.html
(vizituar 080710) [16] http://www.groupstudy.com/bookstore/samples/Oppenheimer/index.html (vizituar 110710)
[17] Priscilla Oppenheimer (2004). Dizajni i rrjetit Cisco Press Top-Down Botimi i Dytë [18]
Mark Lewis (2006). Cisco Press Krahasimi, Dizajnimi dhe Vendosja e VPN-ve [19]
http://www.networkworld.com/subnets/cisco/092509-ch1-intro-to-wan-architectures.html (vizituar 140710)
[20] Wendell Odom (2010), CCNP ROUTE 642-902 Udhëzues zyrtar i certifikimit
[21] Bob Vachon, Rick Graziani (2008). Qasja në WAN CCNA Exploration Companion [22]
http://www.ciscoguard.com/CISCO892W.asp (vizituar 170710) [23]
http://secret-epedemiology-statistic.org.ua/1587052091/ch22lev1sec1.html (vizituar 180710) [24]
http://iaoc.ietf.org/network_requirements.html (vizituar 240710) [25]
http://www.archicadwiki.com/Teamwork/NetworkSpecification (vizituar 270710) [26]
http://www.networkworld.com/newsletters/wireless/2009/052509wireless2.html (vizituar 040810) [27]
http://www.cisco.com/en/US/prod/collateral/routers/ps9343/white_paper_c11-
451583_ns592_Networking_Solutions_White_Paper.html (vizituar 050810)
[28] http://www.cisco.com/en/US/docs/solutions/Enterprise/Branch/WAASBr11.html (vizituar 260810)
[29] http://searchdatabackup.techtarget.com/tip/0,289483,sid187_gci1516980,00.html (vizituar 280810)
[30] http://searchdatabackup.techtarget.com/sDefinition/0,,sid187_gci1378343,00.html (vizituar 280810) [31]
http://www.cisco.com/application/pdf/en/us/guest/netsol/ns171/c649/ccmigration_09186a00807593b6.pd f
(vizituar 300810)
[32] http://www.cisco.com/en/US/prod/collateral/routers/ps9343/at_a_glance_c45-457081_v7.pdf (vizituar në
5
Machine Translated by
[39]
(vizituar 280810)
(vizituar 300810)
(vizituar 300810)
(vizituar 010910)
(vizituar 010910)
(vizituar 010910)
5
Machine Translated by Google
Shtojca A
Dokumentet dhe vendimet e rrjetit
hostit NewYork!
54
Machine Translated by Google
!
!Hyrjet e mëposhtme të listës së kontrollit të aksesit përdoren për të përcaktuar se
çfarë trafiku duhet të !enkriptohet mbi tunelin IPSec site-to-site për në
Uashington. lista e aksesit encryptACL leje e zgjatur ip 10.165.200.0 255.255.255.0 10.20.4.0
255.255.255.0
lista e aksesit encryptACL leje e zgjatur ip 10.165.200.0 255.255.255.0 10.20.1.0
255.255.255.0
lista e aksesit encryptACL leje e zgjatur ip 10.165.200.0 255.255.255.0 10.10.220.0
255.255.255.0
!
!Hyrjet e mëposhtme të listës së kontrollit të aksesit i lejojnë ASA të anashkalojë NAT për
trafikun e tunelit
IPSec. lista e aksesit jo në lejen e zgjatur ip 10.165.200.0 255.255.255.0 10.20.4.0
255.255.255.0
lista e aksesit jo në lejen e zgjatur ip 10.165.200.0 255.255.255.0 10.20.1.0
255.255.255.0
access-list nonat zgjatur leje ip 10.165.200.0 255.255.255.0 10.10.220.0
255.255.255.0 !
55
Machine Translated by Google
Komanda e lidhjes sysopt permit-ipsec nuk përdoret në konfigurimin e figurës 2.25. "Kjo
është bërë me qëllim për të siguruar që trafiku i deshifruar VPN të kalojë përmes ndërfaqes
ACL të aplikuar në ndërfaqen e jashtme." [23]
! nuk ka rrugë-burim ip
nuk ka server bootp ip
nuk ka kërkim të domenit IP
!
ndërfaqja XXX
pa ridrejtime ip
pa ip të
paarritshme pa ip
proxy-arp
!
nuk ka server ip http
ose ndërprerës Cisco Catalyst
asnjë bllok shërbimi
!
nuk ka kërkim të domenit ip
!
nuk ka server ip http
o Cisco ASA Appliance – Këto veçori nuk janë të aktivizuara në një ASA, kështu që asnjë veprim nuk është
kërkohet.
Aktivizimi i regjistrimit
o Ruteri i aksesit Cisco
vulat kohore të shërbimit korrigjojnë datatime msec
vulat kohore të shërbimit log datatime kohë lokale
!
numërimi i prerjeve
logging buffered 8192 debugging
kufizimi i shpejtësisë së
regjistrimit 5 o Ndërprerës Cisco Catalyst
kohëzgjatja e korrigjimit të vulave kohore të shërbimit
56
Machine Translated by Google
GigabitEthernet0/1 !
linjë vty0 15 Hyrja e
transportit ssh o Cisco
Catalyst switch emri i hostit
authentication-
riprovon 2 ip
ssh
source-interface Vlan193! !
linjë vty 0 15 Hyrja e
transportit ssh o Cisco ASA Emri
pajisjes ese.cisco.com ! Cry key gjeneroni modulin RSA 1024! skadimi i ssh 5
server key 7
13061E010803557878 ! o
shërbimi Cisco Catalyst switch
versioni 12.2, kodimi me fjalëkalim aktivizimi i
fjalëkalimit 7 110A1016141D aaa identifikimi
identifikimi
ssh_users grup tacacs+ aaa kontabiliteti dërgoni ndalimin
e regjistrimit dështim autentifikimi aaa kontabiliteti
59
Machine Translated by
Shtojca B
Rezultatet e testit
Shtojca B.1 o
Konfigurimi i BR1 ! ndërfaqja
FastEthernet0/0 adresa ip
10.1.1.100 255.255.255.0 nuk ka ridrejtime
ip shpejtësi
automatike
dyfishe
gatishmëri automatike 1 ip
10.1.1.103 gatishmëri 1
prioritet 150 gatishmëri
1 parandalim ! ndërfaqja
FastEthernet0/1 adresa ip 20.20.20.1
255.255.255.252 shpejtësi
automatike dupleks
automatike ! o Konfigurimi i BR2 ! ndërfaqja
FastEthernet0/0
Adresa ip
10.1.1.101
255.255.255.0 nuk ka
ridrejtime ip me shpejtësi
automatike të dyfishtë gatishmëri automatike
1 ip
10.1.1.103 !
ndërfaqja FastEthernet0/1
adresa ip 20.20.20.2 255.255.255.252 shpejtësi automatike duplex auto ! ip përpara-protokolli nd !
Shtojca B.2
6
Machine Translated by
Shtojca B.3
Shtojca B.4
6
Machine Translated by
Shtojca B.5
Shtojca B.6
Shtojca B.7
6
Machine Translated by