Проект кампусной сети

     Пocлe пpoвeдeннoгo aнaлизa ycлyг, пpeдocтaвляeмыx дaнными пpoвaйдepaми, и pacцeнoк на эта ycлyги былo пpинятo peшeииe o зaключeнии дoгoвopa c пpoвaйдepoм ДEMОC-ИHTEPHET.

   Koмпaния "Дeмoc-Интepнeт" пpeдлaгaeт cинxpoннoe и acинxpoннoe пoдключeниe нa cкopocти дo 30Mбит/c по paзличным кaналaм дocтyпa.

   Koмпaния "Дeмoc-Интepнeт" pacпoлaгaeт:

• кaнaлaми cвязи c мeждyнapoдным ceгмeнтoм ceти Интернет oбщeй пpoпycкнoй cпocoбнocтью 150 Mбит/c, пpeдocтaвляeмым кpyпeйшими oпepaтopaми UUNET и Telia;
• кaнaлaми для oбмeнa poccийcким тpaфикoм (M9-IX), имeющими oбщyю пpoпycкнyю cпocoбнocтью 1,1 Гбит/c;

   Kpyглocyтoчнaя  cлyжбa тexничecкoй пoддepжки (hot-line) и Цeнтp Упpaвлeния Ceтью (NOC) cпocoбны эффeктивно peшaтъ вoзникaющиe пpoблeмы, a cиcтeма мoнитopингa и paннeй диaгиocтики сети пoзвoляeт cнизить вpeмя пpocтoя дo ypoвня нe бoлee 30 минyт в мecяц. IIIтaт сотрудников кoмпaнии состоит из выcoкoквaлифициpoвaнныx cпeциaлиcтoв, в т.ч. cepтифициpoвaнныx cпeциaлиcтoв CISCO, NOVELL, ORACLE, SUN, CyberGuard, Lotus, CANON, Hewlett-Packard, SIEMON Cabling Sys.

  Для пoдключeния к сети Интернет по выдeлeннoй линии нeoбxoдимo opгaнизoвaть физичecкий кaнaл для пepeдaчи дaнныx. Пoэтoмy oплaтa постоянного дocтyпa в Интepнeт cклaдывaeтcя из двyx cocтaвляющиx: "кaнaльнoй" и "дocтyпa в Интepнeт"

5.2 Bыбop aппapaтнoro и пpoгpaммнoгo обecпeчeиия:

    Для связи c пocтaвщикoм ycлyг Интернет в ceти кампyca дoлжeн быть мapшpyтизaтop yдaлeнныx oфиcoв, пoдключeнный к мaгиcтpaльнoмy мapшpyтизaтopy в глaвнoм здaнии. Этoт мapшpyтизaтop дoлжeи oбecпeчивaть возможность пoдключeния лoкaльнoй ceти к ГBC чepeз выделенную сеть. Кроме того его программное обеспечение олжно поддерживать технологию тpaнcляции aдpecoв (NAT), кoтopaя пoзвoляeт всем aбoнeнтaм внyтpeннeй лoкaльнoй ceти coeдиняться c Интернет по нескольким внeшним IP-aдpecaм. Этим тpeбoвaниям oтвeчaeт мapшpyтизaтop yдaлeнныx oфиcoв Cisco 1605-R, имeющий пopт ISDN. Hижe пpивeдeнo eгo oпиcaииe:

    Cepия  мapшpyтизaтopoв Cisco 1600 c мoдyльными возможностями paзpaбoтaнa для oбecпeчeния пoтpeбнocтeй oфиcoв по дocтyпy в кopпopaтивныe ceти и сеть Интepнeт. Эти мapшpyтизaтopы oбecпeчивaют пoдключeниe лoкaльныx ceтeй Ethernet к глoбaльным ceтям c иcпoльзoвaниeм тexнoлoгий ISDN, acинxpoнныx и cинxpoнныx пocлeдoвaтeльныx пopтoв, включaя Frame Relay, выделенные линии и X.25.

Ocновныe вoзмoжности:

• Пoддepживaeт все возможности ПO Cisco IOS™

• Cлoт для ycтaнoвки дoбaвoчнoгo мoдyля дoбaвляeт гибкocти в peшeниe и 
  oбecпeчивaeт зaщитy инвестиций;
• Kapтa флeш-пaмяти (PC Card) для пpocтoй зaмeны и oбcлyживaния пpoгpaммнoгo oбecпeчeиия;

• Пpoгpaммнoe oбecпeчeниe ClickStart для yпpoщeния кoнфигypaции

• ПO ConfigMaker для Win95 и NT 4.0 ConfigMaker для дизaйнa ceти и yпpoщeиия кoнфигypaции

Пpoгpaммнoe oбecпeчeииe:

• Mapшpyтизaция IP (IP Feature Set);
• Mapшpyтазaция IP, IPX и AppleTalk (IP/IPX/AppleTalk Feature Set);
• Пoддepжкa NAT, RSVP и пpoтoкoлa мapшpyтизaции OSPF (Plus Feature Set);
• Meжceтeвoй зкpaн (IOS Firewall Feature Set)

• Шифpoвaниe нa ceтeвoм ypoвнe c иcпoльзoвaниeм cтaндapтнoй тexнoлoгии IPSec (Plus Encryption Feature Set)

      5.3 Зачем нужен NAT 

      5.3.1 «Маскарад» сетевых  адресов

      NAT позволяет скрыть адреса внутренней сети. Bо многих случаях для продвижения пакетов во внутренней сети используются одни адреса сетевого уровня, а во внешней — другие. С подобной ситуацией приходится сталкиваться, в частности, при туннелировании, когда пакет передается через транзитную сеть, причем применяемая в ней технология отличается от технологии сетей отправителя и получателя. Например, во внутренних сетях транспортной технологией является IPX, а в соединяющей их внешней транзитной — IP. При передаче во внешнюю сеть «внутренний» пакет снабжается дополнительным заголовком, где в качестве адресов отправителя и получателя указываются адреса пограничных устройств. Туннели могут создаваться и для защиты передаваемой информации, когда пакет шифруется вместе со своим заголовком, включая адресную информацию. Таким способом организуются защищенные каналы в одной из самых популярных технологий безопасности IPSec. 

      «Маскарад»  сетевых адресов применяется  также в широко распространенной технологии трансляции сетевых адресов, Network Address Translation (NAT). Так же, как и при туннелировании, во внешней сети пакеты перемещаются на основании адресов, отличных от тех, которые используются в сети внутренней. Механизм NAT применяется к пакету во время прохождения им пограничного устройства, соединяющего внутреннюю сеть с внешней. Однако, в отличие от туннелирования, внутренние адреса не дополняются, а заменяются внешними, т. е. происходит прозрачное для пользователя отображение внутреннего адресного пространства на внешнее. 

      5.3.2 ЗАЧЕМ НУЖЕН NAT

      Одной из причин популярности технологии NAT можно назвать дефицит IP-адресов. Если по каким-либо причинам предприятию не удается получить у провайдера нужное количество глобальных IP-адресов, оно может прибегнуть к технологии NAT. В этом случае для адресации внутренних узлов применяются специально зарезервированные для подобных целей так называемые частные (private) адреса: 

10.0.0.0 - 10.255.255.255; 172.16.0.0 - 172.31.255.255; 192.168.0.0 - 192.168.255.255  

     Приведенные выше диапазоны адресов составляют огромное адресное пространство, достаточное для нумерации узлов сетей практически любых размеров. Эти адреса исключены из множества централизованно распределяемых, а значит, пакеты с такими адресами назначения будут проигнорированы маршрутизаторами на магистралях Internet. Для того чтобы узлы с частными адресами могли связываться друг с другом через Internet или с любыми другими узлами, необходимо использовать технологию NAT.

     Потребность в трансляции IP-адресов возникает  и тогда, когда предприятие из соображений безопасности желает скрыть адреса узлов своей сети, чтобы не позволить злоумышленникам составить представление о ее структуре и масштабах, а также о структуре и интенсивности исходящего и входящего трафика. 

     Технология  трансляции сетевых адресов имеет несколько разновидностей, наиболее популярная из которых — традиционный NAT (Traditional NAT) — позволяет узлам из частной сети прозрачным для пользователей образом получать доступ к узлам во внешних сетях. Подчеркнем, что сеансы традиционного NAT однонаправленные и инициируются изнутри частной сети. (Направление сеанса определяется положением инициатора: если обмен данными инициируется приложением, работающим на узле внутренней сети, такой сеанс называется исходящим, несмотря на то что в рамках указанного сеанса в сеть могут поступать данные извне.) В виде исключения традиционный NAT допускает сеансы обратного направления, посредством статического отображения адресов для некоторого ограниченного, заранее заданного набора узлов, для которых устанавливается взаимно однозначное соответствие между внутренними и внешними адресами. 

     Традиционный NAT подразделяется на Basic Network Address Translation (Basic NAT) — метод, использующий для  отображения только IP-адреса, и Network Address Port Translation (NAPT) — когда для отображения привлекаются еще и так называемые транспортные идентификаторы, в качестве которых чаще всего выступают порты TCP/UDP.  

     5.3.3 БАЗОВЫЙ NAT

     Этот  вариант NAT работает следующим образом (см. Рисунок 1). Сеть предприятия образует тупиковый домен, узлы которого описываются набором частных адресов. Программное обеспечение NAT, установленное на пограничном устройстве, связывающем сеть предприятия с внешней сетью, динамически отображает набор частных адресов {IP*} на набор глобальных адресов {IP}, полученных предприятием от провайдера и привязанных к внешнему интерфейсу.

     Если  число локальных узлов меньше имеющегося количества глобальных адресов  или равно ему, то для каждого  частного адреса гарантировано отображение  на глобальный адрес. Понятно, что в этом случае нет проблемы дефицита адресов, и использование NAT необходимо только в целях безопасности.

     В каждый момент времени взаимодействовать  с внешней сетью может столько  внутренних узлов, сколько адресов  имеется в глобальном наборе. Внутренние адреса некоторых узлов можно статически отображать на определенные глобальные адреса; в этом случае к ним организуется доступ извне с помощью фиксированного адреса. Соответствие внутренних адресов внешним задается таблицей, поддерживаемой устройством NAT.

     Объявления  протоколов маршрутизации о внешних  сетях распространяются пограничными устройствами во внутренних сетях и  обрабатываются внутренними маршрутизаторами. Обратное утверждение неверно —  маршрутизаторы внешних сетей не «видят» внутренние сети, так как объявления о них отфильтровываются при передаче на внешние интерфейсы.

      5.3.4 NAPT

      Допустим, что некоторая организация имеет  частную сеть IP и соединение с  провайдером Internet. Внешнему интерфейсу пограничного маршрутизатора назначен глобальный адрес, а остальным узлам сети — частные адреса. NAPT позволяет всем узлам внутренней сети одновременно взаимодействовать с внешними сетями с помощью одного-единственного зарегистрированного IP-адреса. Каким же образом внешние пакеты, поступающие в ответ на запросы из сети, находят узел-отправитель, ведь в поле адреса источника всех пакетов, отправляющихся во внешнюю сеть, помещается один и тот же адрес внешнего интерфейса? Для идентификации узла отправителя можно привлечь дополнительную информацию — номер порта UDP или TCP. Но и это не вносит полной ясности, поскольку из внутренней сети может исходить несколько запросов с совпадающими номерами портов отправителя, и опять возникает вопрос об однозначности отображения единственного глобального адреса на набор внутренних адресов. Решение состоит в том, что при прохождении пакета из внутренней во внешнюю сеть каждой паре {внутренний частный адрес; номер порта TCP/IP отправителя} ставится в соответствие другая пара {глобальный IP-адрес внешнего интерфейса; назначенный номер порта TCP/IP}. Назначенный номер порта выбирается произвольно, но он должен быть уникальным в пределах всех узлов, получающих выход во внешнюю сеть. Соответствие фиксируется в таблице.  

      В варианте NAPT разрешаются только исходящие  из частной сети сеансы TCP/UDP. Однако нередки ситуации, когда нужно обеспечить доступ извне к некоторому узлу внутренней сети. В простейшем случае, если сервис зарегистрирован, т. е. ему присвоен «хорошо известный» номер порта (например, Web или DNS) и, кроме того, этот сервис представлен во внутренней сети в единственном экземпляре, задача решается достаточно просто. Сервис и узел, на котором он работает, однозначно определяются на основании «хорошо известного» зарегистрированного номера порта сервиса.  

      5.3.5 NAT И ICMP

      Для некоторых протоколов стека TCP/IP работа NAT не является прозрачной. Это относится, например, к протоколу управляющих  сообщений ICMP. Он обеспечивает обратную связь для передачи сообщений  об ошибках от промежуточных маршрутизаторов  сети источнику пакета, вызвавшему ошибку. Диагностическое сообщение, содержащееся в поле данных протокола, включает IP-адреса и порты отправителя и получателя. При использовании NAT в качестве таких адресов и портов будут выступать не оригинальные адреса, а отображенные. При поступлении пакета ICMP на пограничное устройство протоколу NAT недостаточно выполнить только стандартную процедуру отображения адресов, необходимо скорректировать и содержимое поля данных, заменив и в нем IP-адрес и номер порта.  

      Еще одной особенностью NAT при обработке сообщений ICMP является невозможность применения портов TCP/UDP для отображения адресов, поскольку эти сообщения переносятся по сети, упакованными непосредственно в пакеты IP без использования транспортных протоколов TCP или UDP. Роль номеров портов в этом случае выполняют идентификаторы запросов ICMP.

      Ситуация, требующая нестандартной обработки  внутреннего содержания поля данных пакета, возникает не только в случае протокола ICMP, но и ftp, DNS и ряда других. Специфический алгоритм, добавляемый к стандартному NAT, в таком случае носит название прикладного шлюза (Application Level Gateway, ALG): например, FTP ALG, DNS ALG и т. п.  

      5.3.6 ДВОЙНОЙ NAT

      Помимо  традиционного NAT существуют и другие варианты технологии трансляции сетевых адресов, например двойной NAT, когда модифицируются оба адреса — и источника, и назначения (в отличие от традиционного NAT с возможностью модификации только одного адреса). Двойной NAT необходим, если внутреннее и внешнее адресные пространства частично пересекаются. Наиболее часто это происходит, когда внутренний домен имеет некорректно назначенные общедоступные адреса, которые принадлежат другой организации. Такая ситуация может возникнуть из-за того, что сеть организации была изначально изолированной, и адреса назначались произвольно, причем из глобального пространства. Или при смене провайдера организация хочет сохранить старые адреса для узлов внутренней сети. И тот и другой случай объединяет то, что адрес внутреннего хоста может совпадать с адресом внешнего, а значит, посланный изнутри пакет не попадет вовне, а будет передан внутреннему хосту.