Ім'я файлу: Турега М.Л., К.П..docx
Розширення: docx
Розмір: 1145кб.
Дата: 31.10.2022
скачати
Пов'язані файли:
История болезни гинекология.docx
ЛР1.docx
Тренінг подолання стресових ситуацій.docx
Використання радіоактивних ізотопів, як індикаторів у тваринницт
Розширення: docx
Розмір: 1145кб.
Дата: 31.10.2022
скачати
Пов'язані файли:
История болезни гинекология.docx
ЛР1.docx
Тренінг подолання стресових ситуацій.docx
Використання радіоактивних ізотопів, як індикаторів у тваринницт
1.6.3 Недоліки DHCP:
В мережі, де IP-адреси назначаються динамічно, не можна бути упевненим в IP-адресі, яку в даний момент має той або інший вузол. І така непостійність IP-адрес спричиняє за собою деякі проблеми.
По-перше, виникають складнощі при перетворенні символьного доменного імені в IP-адреси. Дійсно, функціонування системи DNS, яка повинна підтримувати таблиці відповідності символьних імен IP-адресам в умовах, коли останні міняються кожні дві години, ускладнено. Враховуючи цю обставину, для серверів, до яких користувачі часто звертаються по символьному імені, назначають статичні IP-адреси, ставлячи динамічні тільки для клієнтських комп’ютерів. Проте в деяких мережах кількість серверів настільки велика, що їх ручна конфігурація стає занадто обтяжливою. Це привело до розробки вдосконаленої версії DNS (динамічної системи DNS), в основі якої лежить узгодження інформаційної адресної бази в службах DHCP і DNS.
По-друге, важко здійснювати віддалене управління і автоматичний моніторинг інтерфейсу (наприклад, збір статистики), якщо його ідентифікатором виступає динамічно змінювана IP-адреса.
По-третє, для забезпечення безпеки мережі багато мережевих пристроїв можуть блокувати (фільтрувати) пакети, певні поля яких мають деякі заздалегідь задані значення. Іншими словами, при динамічному призначенні адрес ускладняється фільтрація пакетів за IP-адресами.
Останні дві проблеми найпростіше вирішуються відмовою від динамічного призначення адрес для інтерфейсів, що фігурують в системах моніторингу і безпеки.
1.7 Служба доменних імен (DNS)
Система доменних імен — це розподілений ієрархічний каталог доменних імен, які збігаються з однією або кількома IP-адресами. Подібно до телефонної книги або списку контактів, у яких імена людей збігаються з номерами телефонів та адресами електронної пошти. DNS – це телефонна книга Інтернету, яка з’єднує веб-браузери з веб-сайтами. Це фундаментальна частина Інтернету, яка дозволяє підключатися до веб-сайтів, узгоджуючи читані людиною доменні імена (www.ukraine.com.ua) з унікальним ідентифікатором сервера, на якому зберігається веб-сайт.
Не можна легко використовувати Інтернет та отримувати доступ до веб-сайтів, не маючи DNS. До одного веб-сайту може бути прив’язано багато IP-адрес, але лише одна потрібна для перегляду інформації, яку шукає користувач. Без DNS довелося б запам’ятовувати всі ці IP-адреси, що створювало б дійсно велику телефонну книгу. Набагато простіше запам’ятати ці веб-сайти в більш зрозумілому для людини форматі, або в пошуковій системі шукати ключові слова та повертати зрозумілі нам адреси веб-сайтів, а не їх IP-адресу.
Чотири основних типи DNS-серверів:
Рекурсивний DNS-сервер
Кореневий сервер імен
Сервер доменних імен верхнього рівня (TLD)
Авторитетний сервер імен
Як працює DNS?
Все починається із запиту. Під час доступу до веб-сторінки вводиться URL-адреса або назва веб-сайту у вікно браузера. Якщо веб-сайт відвідувався користувачем раніше, решта цього процесу пропускається, і локальний кеш DNS користувача поверне відповідь. Якщо доступ до веб-сайту раніше не отримувався, цей запит спочатку надходить до сервера рекурсивного розпізнавання DNS, яким зазвичай керує постачальник послуг Інтернету (ISP) або інша третя сторона. Цей сервер перевіряє, чи має він якусь кешовану інформацію про запитуваний веб-сайт, і якщо ні, запит надсилається на кореневий сервер імен. Кореневий сервер імен є другим сервером для визначення місця розташування запису DNS. Далі йде відповідь на запит, та повернення списоку авторитетних серверів імен для відповідного домену верхнього рівня, потім здійснюється фільтрація, доки не буде знайдено відповідну IP-адресу для запиту веб-сайту. Результат повертається користувачу у формі веб-сайту.
1.8 Служба трансляції адрес (NAT)
NAT (перетворення мережевих адрес) – це механізм в мережах TCP/IP, що дозволяє перетворювати IP-адреси транзитних пакетів. Перетворення ІР-адрес методом NAT може проводитися майже будь-яким маршрутизуючим пристроєм, сервером доступу, фаєрволом.
1.8.1 Принцип роботи NAT:
Пристрій NAT (з «внутрішньою» ІР: 192.168.0.1 та «зовнішньою» ІР: 120.3.2.5) отримує пакет і робить запис у таблиці відстеження з’єднань (таблиця NAT), яка управляє перетворенням адрес. Потім підміняє адресу джерела пакету власною зовнішньою загальнодоступною IP-адресою і надсилає пакет за місцем призначення в Інтернет.Вузол призначення отримує пакет і передає відповідь назад пристрою NAT. Пристрій NAT, в свою чергу, отримавши цей пакет, відшукує відправника вихідного пакету в таблиці відстеження з’єднань, замінює IP-адресу призначення на відповідну приватну IP-адресу і передає пакет на вихідний комп’ютер.
1.8.2 Способи перетворення мережевих адрес:
1.8.2.1 Статична (Static NAT) – відображає локальні IP-адреси на конкретні публічні адреси на підставі один до одного. Застосовується, коли локальний хост повинен бути доступний ззовні з використанням фіксованих адрес.
1.8.2.2 Динамічна (Dynamic NAT) – використовується майже так само, як SNAT, але з тим винятком, що внутрішні сервери не видно зі зовнішньої мережі, але самим серверам вихід в зовнішню мережу доступний.
Тобто, як тільки сервер або комп'ютер захотів вийти в зовнішню мережу, роутер дивиться на свій список зовнішніх адрес, виданих провайдером, і видає одну адресу з цього списку, при цьому позначає, що він видав таку зовнішню адресу такому серверу або комп'ютеру (таблиця NAT).
При цьому термін життя такого запису триває дуже короткий час і як тільки сервер/комп'ютер перестав вимагати доступу до інтернету, ця адреса видаляється з таблиці NAT роутера. Якщо число локальних хостів не перевищує число наявних публічних адрес, кожній локальній адресі буде гарантовано відповідність публічної адреси. В іншому випадку, число хостів, які можуть одночасно отримати доступ в зовнішні мережі, буде обмежено кількістю публічних адрес.
1.8.2.3 Маскарадна (NAT Overload, PAT) – форма динамічного NAT, який відображає кілька приватних адрес в єдину публічну надану провайдером IP-адресу, використовуючи різні порти.
1.8.3 Важливі функції NAT:
1.8.3.1 Дозволяє заощаджувати IP-адреси (тільки у разі використання NAT у режимі PAT), транслюючи декілька внутрішніх IP-адрес в одну зовнішню публічну IP-адресу, або у декілька, але все ж в меншу кількість, ніж внутрішніх.
1.8.3.2 Дозволяє запобігти або обмежити обіг ззовні до внутрішніх хостів, залишаючи можливість обігу зсередини назовні. При ініціації з'єднання зсередини мережі створюється трансляція. Відповідні пакунки, які надходять зовні, відповідають створеної трансляції і тому пропускаються. Якщо для пакунків, які надходять ззовні, відповідної трансляції не існує, то вони не пропускаються.
1.8.3.3 Дозволяє приховати визначені внутрішні сервіси хостів/серверів. По суті, виконується вказана вище, трансляція на визначений порт, але можна підмінити внутрішній порт офіційно зареєстрованої служби (80-й порт TCP (HTTP-сервер) на зовнішній 54055-й). Тим самим, на зовнішній IP-адресі після трансляції адрес на сайт відвідувачі зможуть потрапити за адресою http://example.org:54055, але на внутрішньому сервері, який знаходиться за NAT, він буде працювати на звичайному 80-му порту. Це забезпечує підвищення безпеки і приховування «непублічних» ресурсів.
1.8.4 Недоліки технології NAT:
1.8.4.1 Не всі протоколи можуть "подолати" NAT. Деякі не в змозі працювати, якщо на шляху між взаємодіючими хостами є трансляція адрес. Деякі міжмережеві екрани, які здійснюють трансляцію IP-адрес, можуть виправити цей недолік, відповідним чином замінюючи IP-адресу не тільки в заголовках IP, але і на більш високих рівнях, наприклад, в командах протоколу FTP).
1.8.4.2 Якщо NAT використовується для підключення багатьох користувачів до одного і того ж сервісу, це може викликати ілюзію DoS-атаки на сервіс (безліч успішних і неуспішних спроб). Наприклад, надмірна кількість користувачів ICQ за NAT призводить до проблеми з підключенням до сервера деяких користувачів через перевищення допустимої частоти підключень.
Розділ 2. Розробка та опис корпоративної комп’ютерної мережі
2.1 Опис загальної структури ККМ
Корпоративна комп'ютерна мережа складається з головного підрозділу і двох філій(1000 і 4000 хостів). Головний підрозділ складається з центрального будинку для якого взяли мережу з більшим числом підмереж (8 підмереж, 1 DNS-сервер, 1 VLAN) та кампусу (4 підмережі). Мережі головного підрозділу та філії мають забезпечити зв'язок між собою, доступ клієнтів до розподілених інформаційних, програмних та технічних ресурсів ККМ. Вихід у мережу Internet, використання корпоративних та публічних серверів та захист мережевим екраном від несанкціонованого доступу з сторони публічної мережі.
Виконуючи завдання замовника була спроектована мережа, структура якої зображена на Додатку 1. Топологія спроектованої мережі "Ієрархічна зірка". Дана мережа використовує поширену мережеву операційну систему Windows. В якості стеку комунікаційних протоколів, було обрано ТСР/ІР, який є стандартним набором правил, призначений для організації роботи в об’єднаних мережах, був вибраний, оскільки вважається найбільш досконалим і розповсюдженим набором комунікаційних протоколів, також здійснюється його підтримка усіма сучасними операційні системи.
В мережі використовується технологія IЕЕЕ 802.3u (Fast Ethernet), оскільки вона має підвищену продуктивність та зберігає особливості технології Ethernet. Використовується специфікація 100Base-TX (дві виті пари екранована/неекранована), що забезпечує швидкість передачі даних 10/100 Мбіт/с в залежності від результату автоперемовин.
У всіх комунікаційних пристроях встановлений мережевий модуль типу NM-1CFE, що пропонує один інтерфейс Fast-Ethernet для підключення мідного кабелю. Був вибраний, тому що ідеально підходить для широкого спектру додатків у LAN, та підтримує безліч функцій та стандартів міжмережевої взаємодії. Однопортовий мережевий модуль забезпечує автовибір 10/100BaseTX або 100BaseFX Ethernet. TX-версія (мідна) підтримує розгортання віртуальних мереж (VLAN), що необхідно для виконання однієї з поставлених задач.
У ККМ використовуються комутатори Switch-PT, що об'єднують комп'ютери однієї підмережі, та на основі одного з яких створено віртуальну локальну мережу, також використовуються маршрутизатори Router-PT, що об'єднують підмережі центрального будинку, кампусу та філій. Маршрутизатори працюють в режимі динамічної маршрутизації у головному підрозділі та в режимі статичної маршрутизації для вузлів філій. DNS-сервер реалізований та розміщений у центральному будинку з метою підвищення ефективності обміну даними.
У демілітаризованій зоні розміщенні два сервери, що використовуються користувачами як внутрішньої так і зовнішньої мережі. Доступ до цих серверів обмежений, через використання мережевого екрану, який був реалізований на основі маршрутизатора, з метою підвищення безпеки серверів розміщених в DMZ, оскільки на цих серверах повинні виконуватися лише необхідні програми. Основою всіх серверів є комунікаційний пристрій Server-PT.
На основі маршрутизатора реалізована технологія NAT (PAT), вона відображає кілька приватних адрес в єдину публічну адресу. Була використана, оскільки дозволяє заощадити IP-адреси та дозволяє приховати визначені внутрішні адреси, що забезпечує підвищення безпеки і приховання "непублічних ресурсів".
2.2 Розробка корпоративної комп’ютерної мережі
2.2.1 Центральний будинок
Мережа центрального будинку складається з 8 підмереж. Перші 4 підмережі використовують доменні імена, відповідність IP-адресам яких задана в DNS-сервері, що розміщений у першій підмережі головного будинку.
Оскільки ці підмережі використовують доменні імена, вони не використовують динамічну конфігурацію хоста, оскільки це може спричинити некоректне функціонування мережі.
5 підмережа функціонує як домен широкомовного трафіку VLAN, тому комутатор К_5.1 було налаштовано відповідним чином:
Switch>en
Switch#config t
Switch(config)#vlan 10
Switch(config-vlan)#name group1
Switch(config-vlan)#exit
Switch(config)#int Fa1/1
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 10
Switch(config-if)#exit
Switch(config)#int Fa2/1
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 10
Switch(config-if)#exit
Switch(config)#int Fa0/1
Switch(config-if)#switchport mode trunk
Switch(config-if)#switchport trunk allowed vlan 10
Switch(config-if)#exit
Switch(config)#end
Наступні 3 підмережі головного будинку використовують динамічну конфігурацію хоста та не мають доменних імен. Як ми знаємо пошук хостом DHCP-сервера починається із відправлення широкомовного трафіку, який не проходить через маршрутизатор, тому в командному рядку була прописана команда «ip helper-address 199.24.8.3» відповідно для портів маршрутизатора Fa5/0, Fa6/0, Fa7/0, що забезпечить правильну конфігурацію хоста, тобто надання DHCP-сервером IP-адреси хоста, маски підмережі, IP-адреси шлюзу за замовчуванням та IP-адреси DNS-сервера.
Маршрутизатор М2, що об’єднує всі підмережі центрального будинку, було налаштовано відповідним чином:
Router>enable
Router#config t
Router(config)#int Fa8/0
Router(config-if)#ip address 172.26.16.1 255.255.240.0
Router(config-if)#no shutdown
Router(config-if)#exit
Router(config)#int Fa1/0
Router(config-if)#ip address 172.26.32.1 255.255.240.0
Router(config-if)#no shutdown
Router(config-if)#exit
Router(config)#int Fa2/0
Router(config-if)#ip address 172.26.48.1 255.255.240.0
Router(config-if)#no shutdown
Router(config-if)#exit
Router(config)#int Fa3/0
Router(config-if)#ip address 172.26.64.1 255.255.240.0
Router(config-if)#no shutdown
Router(config-if)#exit
Router(config)#int Fa4/0
Router(config-if)#ip address 172.26.80.1 255.255.240.0
Router(config-if)#no shutdown
Router(config-if)#ip helper-address 199.24.8.3
Router(config-if)#exit
Router(config)#int Fa5/0
Router(config-if)#ip address 172.26.96.1 255.255.240.0
Router(config-if)#no shutdown
Router(config-if)#ip helper-address 199.24.8.3
Router(config-if)#exit
Router(config)#int Fa6/0
Router(config-if)#ip address 172.26.112.1 255.255.240.0
Router(config-if)#no shutdown
Router(config-if)#ip helper-address 199.24.8.3
Router(config-if)#exit
Router(config)#int Fa7/0
Router(config-if)#ip address 172.26.0.1 255.255.240.0
Router(config-if)#no shutdown
Router(config-if)#ip helper-address 199.24.8.3
Router(config-if)#exit
Router(config)#int Fa0/0
Router(config-if)#ip address 192.168.110.162 255.255.255.224
Router(config-if)#no shutdown
Router(config-if)#exit
Router(config)#router rip
Router(config-router)#network 199.24.8.0
Router(config-router)#network 201.134.154.0
Router(config-router)#network 192.168.110.0
Router(config-router)#network 172.26.0.0
Router(config-router)#exit
Router(config)#ip route 192.168.0.0 255.255.240.0 192.168.110.161
Router(config)#ip route 192.168.16.0 255.255.252.0 192.168.110.161
Router(config)#end
2.2.2 Кампус
Мережа кампусу складається з 4 підмереж. Перші 2 підмережі використовують доменні імена, наступні дві підмережі кампусу використовують динамічну конфігурацію хоста, тому в командному рядку маршрутизатора М1 була прописана команда «ip helper-address 199.24.8.3» відповідно для портів маршрутизатора Fa3/0, Fa4/0.
Маршрутизатор М1, що об’єднує всі підмережі кампусу, було налаштовано відповідним чином:
Router>en
Router#config t
Router(config)#int Fa1/0
Router(config-if)#ip address 192.168.110.1 255.255.255.224
Router(config-if)#no shutdown
Router(config-if)#exit
Router(config)#int Fa2/0
Router(config-if)#ip address 192.168.110.33 255.255.255.224
Router(config-if)#no shutdown
Router(config-if)#exit
Router(config)#int Fa3/0
Router(config-if)#ip address 192.168.110.65 255.255.255.224
Router(config-if)#no shutdown
Router(config-if)#ip helper-address 199.24.8.3
Router(config-if)#exit
Router(config)#int Fa4/0
Router(config-if)#ip address 192.168.110.97 255.255.255.224
Router(config-if)#no shutdown
Router(config-if)#ip helper-address 199.24.8.3
Router(config-if)#exit
Router(config)#int Fa0/0
Router(config-if)#ip address 192.168.110.130 255.255.255.224
Router(config-if)#no shutdown
Router(config-if)#exit
Router(config)#router rip
Router(config-router)#network 199.24.8.0
Router(config-router)#network 201.134.154.0
Router(config-router)#network 192.168.110.0
Router(config-router)#network 172.26.0.0
Router(config-router)#exit
Router(config)#ip route 192.168.0.0 255.255.240.0 192.168.110.129
Router(config)#ip route 192.168.16.0 255.255.252.0 192.168.110.129
Router(config)#end
1 2 3 4 5 6 7