CISCO Kábelprojekt 4. szemeszter Készítette: Hável Róbert
Tartalom 1. fejezet LAN tervezés 2. fejezet WAN tervezés 3. fejezet Modellezés
1. fejezet LAN
LAN általános követelmények I. A hálózat kialakítása Az iskolai körzetben egy vállalati jellegű hálózatot építünk ki, mely magában foglalja a következőket: Minden iskolában egy LAN. Az iskolák között pedig egy WAN, hogy biztosítsa közöttük az adatkapcsolatot. A LAN infrastruktúra Ethernet LAN kapcsoláson alapul. Minden iskolában két LAN szegmens kerül kialakításra. Az egyik a hallgatók, a tananyag számára. A másik az adminisztrációs hálózat és a tanárok céljára.
LAN általános követelmények II. Kábelezés A vízszintes kábelezés CAT 6 UTP, a gerinckábelezés üvegszálas multimódusú kábel. Az iskolában kialakításra kerül egy központi kábelrendező szoba (MDF), ahol POP található, és a hálózat elektronikus komponenseit helyezzük el. Az iskola felépítéséből következően közbülső kábelrendezők (IDF) kialakítására is szükség van. Minden tantermet lássunk 4 db CAT 6 UTP kábellel látunk el. Minden tanteremben 24 csatlakozási pont kerül kialakításra, közülük legalább egy a tanári gépeknél végződik. Minden osztályban egyetlen kábelezési pont kerül kialakításra (POP - egy zárható szekrényke).
LAN általános követelmények III. Sávszélesség A minimális sávszélességigény 1Mbps a munkaállomások és 100Mbps a szerverek esetén. Protokoll Csupán kettő OSI rétegbeli protokoll megengedett ebben a hálózatban, mégpedig a TCP/IP és a Novell IPX. Méretezhetőség Mivel a hálózati implementáció minimum 7-10 éven keresztül fog működni, ezért minden hálózati elképzelésnek biztosítania kell LAN vonatkozásban 1000%-os és WAN vonatkozásban 100%-os növekedést.
LAN specifikus követelmények A tantermek száma az adott iskolában: 40 Csatlakozási pontok száma a tantermekben: 24 Ebből hallgatói 23, tanári 1 Az egyidejűleg aktív tantermi csatlakozási pontok száma: 240 Az egyéb helységek száma: 20 A bennük lévő csatlakozási pontok: 24 Az egyidejűleg aktív egyéb csatlakozási pontok száma: 128
LAN logikai topológiája
Iskola fizikai topológiája A huzalozási központok elhelyezése Az MDF az 1. épületben kerül elhelyezésre a meglévő POP mellett. Az EIA568 szabvány előírásainak megfelelően a különálló épületek mindegyikébe elhelyezünk egy IDF-et. Az MDF a vonzáskörzete (1. épület) IDF feladatait is ellátja. A mobil tantermi épületeket megfelelő szigetelés illetve közös földpotenciálra hozás után a legközelebbi IDF-hez csatlakoztatjuk. Gerinckábelezés Az épületek (MDF – IDF-ek) közötti kapcsolatot az optikai kábelekkel megvalósított gerinckábelezés biztosítja. Az optikai kábeleket a már meglévő, földbe süllyesztett kábelcsatornákon vezetjük el az egyes épületekhez.
Iskola fizikai topológiája
Gerinckábelezés kialakítása
Az 1. épület (MDF) kábelezési vázlata
Egy tanterem kábelezési vázlata
Gerinckábelezés adatlapja Jel Összekötteti A kábel típusa Hossz Teljes hossz 1 MDF-IDF 1 62,5/125m optikai kábel 65m 2 MDF-IDF 2 100m Összesen 165m, ráhagyással 170m
1. épület kábelezésének adatlapja Azonosító Honnan-hova Típus Hossz Teljes hossz 101A,B,C,D 101-IDF 1 CAT6, UTP 22m 88m 102A,B,C,D 102-IDF 1 103A,B,C,D 103-IDF 1 51m 204m 104A,B,C,D 104-IDF 1 25m 100m 105A,B,C,D 105-IDF 1 80m 320m 106A,B,C,D 106-IDF 1 90m 360m 107 107-IDF 1 95m 380m Összesen 1540m, ráhagyással 1700m
Tanterem kábelezésének adatlapja Azonosító Honnan-hova Típus Hossz 1A,B 1 – POP CAT6, UTP 4m 2A,B 2 – POP 10m 3A,B 3 – POP 18m 4A,B 4 – POP 22m 5A,B 5 – POP 26m 6A,B 6 – POP 30m 7A,B 7 – POP 34m 8A,B 8 – POP 38m 9A,B 9 – POP 44m 10A,B 10 – POP 20m 11A,B 11 – POP 14m 12A,B 12 - POP T T - POP 2m Tejles hossz 272m, ráhagyással 300m
A kábelezés passzív eszközeinek adatlapja A gerinckábelezés passzív eszközeinek adatlapja Mennyiség Egységár Ár 62,5/125m multimodusú optikai kábel 170m 120Ft 20400 Ft Kábelcsatorna 200m 20 Ft 4000 Ft Gerinckábelezés anyagköltsége: 24400 Ft Egy tanterem passzív eszközeinek adatlapja CAT6, UTP kábel 272m 70 Ft 1940 Ft 24 portos patch panel 1db 5000 Ft 4 portos patch panel 2000 Ft dupla RJ45 aljzat, redőnyös 13db 50 Ft 650 Ft dekoratív kábelcsatorna 300m 6000 Ft Szekrény Egy tanterem passzív eszközeinek anyagköltsége: 19590 Ft Egy adminisztratív helyiség passzív eszközeinek adatlapja 35 m 2500 Ft 2 db 100 Ft 40 m 800 Ft Egy adminisztratív helyiség passzív eszközeinek anyagköltsége: 3400 Ft
A LAN elektronikus készülékeinek adatlapja I. Megnevezés Típus Mennyiség Portok Feladat leírása Cisco 2600 2 8 Harmadik rétegbeli eszköz. A csomagokat irányítja portjain keresztűl. Cisco Catalyst 3550 1 12 VLAN irányítására használjuk Cisco Fasthub 16 400 A tantermekbe elhelyezett HUBok segítségével osztlyuk meg a vonalat.
A körzeti és helyi címzési rendszer Az iskolakörzetben (district), tekintettel annak nagyságára (33 iskola alkotja), célszerű B osztályú címtér alkalmazása. A teljes körzet hálózati címe legyen 172.16.0.0, míg az alhálózati maszk 255.255.255.0 Minden iskolában három LAN szegmenst alakítanunk ki, az egyet a hallgatók, egyet az iskolai szerverek, egyet pedig az adminisztráció és a tanárok számára. A 172.16.0.0 című B osztályú privát hálózatot az alábbi ábrának megfelelően osztjuk alhálózatokra.
LAN IP címzés A Mountain Sky iskola központilag kap egy tanulói, egy globális szerver, valamint egy tanári + adminisztrációs alhálózati címet. Ezek legyenek: A tanári és adminisztrációs gépek, valamint az iskolai szerverek IP-címe fix, míg a hallgatói számítógépek IP-címmel történő ellátását a DHCP szerver biztosítja. Hálózat Állomás címek Tanulói 172.16.40.0/24 172.16.40.20 – 172.16.40.254 Szerver 172.16.41.0/24 172.16.40.3 – 172.16.40.254 Tanári+admin. 172.16.42.0/24 172.16.40.10 – 172.16.40.254
Szerverek Szerver tipúsa Használói IP-cím Hely E-mail Mindenki 172.16.41.3 DMZ Helyi admin. tanári+admin 172.16.42.3 MDF DNS mindenki 172.16.41.4 DHCP tanulók 172.16.40.3 Tanulói alk. 172.16.40.4-9 IDF-ek Tanári alk. 172.16.42.4 Hálózati nyomtató 172.16.42.5 Könyvtár 172.16.40.11 Web 172.16.41.5
Tantermi POP kialakítása I.
Tantermi POP kialakítása II. -Az IDF felöl érkező négy kábelt az SCC1 patch panel fogadja. - A tanterembe érkező CAT6 UTP kábelek egyike a tanári gép csatlakoztatását biztosítja (SCC2/1 panel). - A egy további UTP kábel a 24 portos hallgatói hubra vagy kapcsolóra csatlakozva biztosítja a gépenként igényelt 1 Mbps sávszélességet (SCC2/1 panel). - Két UTP kábel tartalék, a későbbi fejlesztést teszi lehetővé.
1. épület IDF kialakítása
MDF kialakítása
Sávszélesség számítás. A követelmények és tervek összevetése Megállapítható, hogy a LAN forgalmának csupán csekély hányada megy ki az Internetre, tehát a LAN gerinc sávszélességének jóval nagyobb, mint az iskolából kimenő WAN vonalé. A sávszélességet lentről felfelé számítjuk végig az 1. épület vonatkozásában. Az épületben 16 tanterem található, tantermenként 24 hallgatói csatlakozási ponttal. A gépek sávszélesség igénye egyenként max. 1 Mbps, ez tantermenként max. 24 Mbps. 16 tanterem esetén a max. sávszélesség igény 384 Mbps. Az épületekhez 2 optikai kábel van kihúzva (ezekből egy tartalék). A szerverek közvetlenül az IDF kapcsolóira csatlakoznak, így biztosított a 100 Mbps. Az 1. épületben közbülső kábelrendezőjében (az IDF1-ben) két hallgatói alkalmazás szervert telepítünk, így az adatforgalom jó része helyben tartható. Az IDF kapcsoló szabad portjaira szükség esetén további kiszolgálók telepíthetők.
LAN biztonság I. - A hálózati biztonság két fő összetevőből áll. Az első a jogosulatlan személyek hálózathoz való hozzáférésének megakadályozása, a második a katasztrófák utáni visszaállítás képessége. - A hálózatot a lehető legnagyobb mértékben védetté kell tenni a jogosulatlan hozzáférésekkel szemben. - Ezt biztonsági irányelvek felállításával lehet elérni, mint például minimális jelszóhossz, jelszóelévülés vagy belépési napszak kikötése. - A hálózati biztonság második része, a hálózat pontos és minden lényeges részletre kiterjedő dokumentálásán túl az adatvissza- állítás magában foglalja az adatvesztés elleni védelmet is.
LAN biztonság II. Követelmények -A hallgatói hálózatot elérhetik a hallgatók is és a tanárok is, viszont a tanári hálózatot csak a tanárok érhetik el Megoldás: hozzáférés vezérlési lista alkalmazása - A körzeten belüli többi iskola kezelése Megoldás: iskolai tűzfal megvalósítása
A hálózat előnye és hátránya Előnyök: -A iskola minden épületében (az 1.épület kivételével) külön IDF található, melyek multimódusú optikai kábelekkel csatlakoznak az MDF-hez. - Ez a kialakítás megfelel az EIA568 szabvány előírásainak. - Jó megoldást biztosít a földelési problémák kiküszöbölésére. - Ugyanakkor a LAN ilyen kialakítása biztosítja a hálózat mindegyik állomása számára az előírt sávszélességet. - Az előírásnak megfelelően a hálózat két LAN-ból épül fel, melyek egymástól jól elválaszthatóak - Gerinchálózat: optikai kábel, zavar érzéketlen. Hátrányok: - A „minden épület külön IDF” megoldás azonban a drágább megoldás is, hiszen a több IDF több LAN kapcsoló alkalmazását teszi szükségessé. - Nincs kihasználva a rendelkezésre álló IP tartomány - Gerinchálózat: optikai kábel, drága technológia.
2. fejezet WAN
WAN általános követelmények I. Az iskolakörzetben egy átfogó hálózatot kell megtervezni és megvalósítani, amely LAN-okat foglal magában minden iskolában és egy nagykiterjedésű hálózatot (WAN) az iskolai hálózatok összekötésére. Szintén lényeges pontja a megvalósításnak, hogy az Internet minden iskolából elérhető legyen. A hálózat átadása után az iskolakörzetben számos kiszolgálót fognak üzembe állítani a kerület on-line adminisztratív feladatainak automatizációjára, valamint sok tanulmányi feladat megkönnyítésére. Mivel ennek a hálózatnak legalább 7--10 évig működőképesnek kell lennie, mindenképpen legalább 100-szoros növekedésre kell számítani a LAN átbocsátó képesség, 2-szeres növekedésre a távolsági átbocsátóképesség és 10-szeres növekedésre az Internet összeköttetés átbocsátóképessége terén. A jelenlegi tervezéshez minimális követelmény, hogy a hálózat minden állomása legalább 1,0 Mbit/s sávszélességet kapjon, a kiszolgálók pedig legalább 100 Mbit/s sávszélességet kapjanak. A hálózatban csak két, 3. és 4. OSI rétegbeli protokoll használható, a TCP/IP és a Novell IPX.
WAN általános követelményei II. A WAN feladata a Washington körzet iskoláinak összekapcsolása adattovábbítás céljából. A hálózat kialakítása - A WAN-t kétrétegű hierarchikus modell alapján kell kialakítani. - Három regionális elosztó központot kell kialakítani (egyet-egyet a District Office/Data Center-ben, a Service Center-ben, illetve a Shaw Butte iskolában). - Az egyes iskolákat a legközelebbi regionális WAN központhoz kell csatlakoztatni. - A három regionális központ között 4 - 4 db T1 adatvonal biztosít pont-pont összeköttetést. - A regionális központok és a hozzájuk csatlakoztatott iskolák között egy T1 adatvonal biztosít pont-pont összeköttetést.
WAN speciális követelményei Elhelyezkedés: Washington Iskolai Körzet Phoenix észak-nyugati részén Területe: 44 négyzetmérföld Az iskolák száma: 33 A felvett diákok száma: 25,000 A napi átlagos diáklétszám: 23,500 Az alkalmazottak száma: 2600 A tanárok száma: 1430 A kiszolgáló személyzet létszáma: 1075 Az adminisztratív személyzet létszáma : 97
WAN logikai topológia I. MT SKY
WAN logikai topológia II. A WAN logikai topológiájának főbb jellemzői: - Internet hozzáférés a District Office-n keresztül Frame Relay szolgáltatás használatával - 3 regonális központ: District Office, Service Center, Shaw Butte iskola - nagysebességű WAN központi gyűrű: a regionális központokat 4 x T1 adatvonal köti össze - iskolák a legközelebbi reginális központhoz csatlakoznak T1 adatvonallal, így pl. a Royal Palm a Shaw Butte iskolához
A körzeti szerverek listája, demilitarizált zóna és belső hálózat A demilitarizált zóna (DMZ) szerverei A belső hálózat szerverei
A körzeti viszonyok becslése I.
A körzeti viszonyok becslése II. Az előző ábra néhány jellegzetes forgalmi helyzetet ábrázol. A hálózat működtetésének fontos feladata, hogy a felhasználótól kiinduló, illetve odatartó adatot a többrétegű hiararchikus modell minnél alacsonyabb szintjén kell tartani.Ennek feltétele többek között, hogy az iskolai tanulmányi, illetve oktatási és adminisztrációs célokra szolgáló szervereket a LAN-okban a felhasználókhoz legközelebb huzalozási központokban helyezzük el. A körzeti szerverek a District Office/Data Center központban kerülnek elhelyezésre. Az iskolai hálózatból kiinduló Internet forgalmat egyes protokollok tiltásával kívánjuk korlátozni (pl. FTP). Ezekkel az irányelvekkel biztosítható, hogy az iskolai forgalomnak csak kis hányada kerül ki a WAN mag gerincére, még kisebb része az Internet forgalom. 100 Mbps belső LAN forgalom esetén az iskolai hálózatot a regionális központhoz kapcsoló T1 vonal sávszélessége elegendő. Az iskolák nagy száma azonban a késöbbiekben szükségessé teheti a WAN mag sávszélességének növelését.
IP címzési rendszer Az iskolakörzetben (district), tekintettel annak nagyságára (33 iskola alkotja), célszerű B osztályú címtér alkalmazása. A teljes körzet hálózati címe legyen 172.16.0.0, míg az alhálózati maszk 255.255.255.0 Minden iskolában három LAN szegmenst alakítanunk ki, az egyet a hallgatók, egyet az iskolai szerverek, egyet pedig az adminisztráció és a tanárok számára. A 172.16.0.0 című B osztályú privát hálózatot az alábbi ábrának megfelelően osztjuk alhálózatokra.
Ip címzési rendszer
A WAN mag IP-címzési terve
A WAN redundanciák áttekintése Modemes összeköttetés a District Office és az iskolai forgalomirányítók AUX portja között a távoli felügyelet és hibaelhárítás céljából - ISDN kapcsolat az egyes iskolák és a központok között - Négyszeres T1 kapcsolat a regionális központok között már maga is redundanciát jelent - Háló: a regionális központok hálót alkotnak - Frame Relay az Internet csatlakoztatásához - kis sebességű tartalék lehet az ISDN - esetleg egy lassabb Frame Relay kapcsolat (56kbps vagy többszörös) - frakcionált T1 - az elsődleges Frame Relay költségétől és megbízhatóságától függően
A WAN összeköttetések sebessége és fejlesztési lehetőségei Internet kapcsolat: T1 Frame Relay Flexibilis - CIR tűlléphető (többletlöket), mikor a szolgáltató kapacitása lehetővé teszi Skálázható - többszörös PVC használatával, vagy a CIR növelésével Központi mag összeköttetések: 4 db T1 bérelt vonal a regionáis hubok között T1 bérelt vonal - magas megbízhatóságú, dedikált sávszélességet biztosít - költsége alacsonyabb, mint más T1 sebességű altarnatíváé a későbbiekben T3 adatvonalra lecserélhetők (T1 és T3 vagy E1 és E3 valamilyen kombinációja is szóba jöhet) Összeköttetés a regionális központok és az iskolák között: T1 vona a későbbiekben T3 (vagy E3) adatvonalra lecserélhetők ISDN backup ISDN BRI hub használatát igényli a regionális központban, az összes iskolát kiszolgálni
A WAN biztonság 1. Általános szűrők saját belső címek és privát címek alapján), a forgalom- irányítás statikus 2. Szűrés kifelé mindent lehet, befelé csak web, mail, dns 3. Szűrés a kimeneti forgalmat a körzeti szabályoknak megfelelően engedélyezi, befelé csak web, mail, dns
A WAN elektronikus készülékeinek adatlapja Megnevezés Típus Mennyiség Portok Feladat leírása Router Cisco 7513 3 16 T1 soros, 2 100Mbps Regionális hub, a WAN gyűrű kialakításához és az iskolák csatlakoztatására Cisco 7622 1 1 soros 2 100Mbps District Office tűzfal forgalomírányító Switch Catalyst 4000 2 12 100 Mbps DMZ-LAN, illetve a District Office LAN kialakítására
A PPP alkalmazás ismertetése és értékelése - A központi routerek között, a központi routerek és a csatlakoztatott iskolák között, illetve az ISDN backup vonalakon a keretbeágyazás PPP - A választott authentikációs protokoll: CHAP Bár a Washington iskolai projektnél Cisco forgalomirányítókat alkalmazunk, melyeknél az alapértelmezett soros vonali beágyazás a HDLC, választásunk a robosztus PPP-re esett. A PPP alkalmazásának előnyei: - kapcsolat-felépítés közben alkalmas az összeköttetés minőségének vizsgálatára, a megállapított megbízhatóság a WAN-nál alkalmazott irányító protokoll egyik mértéke másik fontos alkalmazási szempont, hogy a PPP támogatja kérdés felelet hitelesítési protokollal végzett jelszó hitelesítést
Az ISDN alkalmazás ismertetése és értékelése Az ISDN alkalmazás elsősorban biztonsági okok miatt került kiépítésre, más szolgáltatón át nyílik lehetőség betárcsázásra a legközelebbi regionális központba, ha az iskolát csatlakoztató T1 vonal műszaki okok miatt nem képes a hálózati forgalom továbbítására - A District Office központba történő közvetlen betárcsázás célszerűbb volna, ezt a megoldást a magasabb költségek miatt nem választottuk - A magas költség szempontjából csak indokolt kommunikációra használható - Dial-on-Demand irányítás (DDR) - Statikus címek a végpontok között Az ISDN backup feltételei többek között: - Szolgáltatói szeződés - A technikai feltételek megléte mind az iskolákban, mind a regionális központokban, ahová az iskolák csatlakoznak - Hívószámok: a szolgáltató adja meg
A Frame Relay alkalmazás ismertetése és értékelése Az Internethez a District Office regionális központon keresztül lehet csatlakozni, Frame Relay összeköttetés használatával. A Frame Relay csomagkapcsolt adatátviteli technika, mely központilag konfigurált és felügyelt állandó virtuális áramköröket használ. A Frame Relay technológia költséghatékony megoldást kínál a WAN Internet kapcsolatához. A szolgáltató által garantált adatátviteli sebességet a szolgáltatási szerződésben rögzítik. Példa konfiguráció: bastion(config)# interface serial 0 bastion(config-if)# ip address isp_ip_address 255.255.255.0 bastion(config-if)# encapsulation frame-relay bastion(config-if)# frame-relay inverse-arp ip (A District Office forgalomirányító Internet kapcsolatához szükséges DLCI-t a szolgáltató adja meg.) Hátrány: mivel a Frame Relay nem végez komolyabb hibaellenőrzést, használata jó minőségű digitális adatátviteli vonalat igényel.
Az irányítási protokoll kiválasztása és értékelése Iskolán belül Iskolán belül statikus vagy dinamikus (pl. IGRP) irányítást egyránt alkalmazhatunk Iskolák és a regionális központ között Az iskolák és a regionális hubok között a statikus irányítás alkalmazása a célszerű, hogy a külvilág felé ne mutassuk meg az iskolai LAN-ok topológiáját Regionális központok között A központok között EIGRP protokoll alkalmazása jöhet számításba, ez az irányító protokoll képes irányítani a különböző hosszúságú alhálózati maszkokkal rendelkező hálózatok között District Office és az Internet között Statikus címzést használó kapcsolat, az iskolai hálózat védelme a külső behatolókkal szemben
A WAN alkalmazott megoldásainak előnyei, hátrányai Előnyök: - Kielégítő sávszélesség a központi routerek között, illetve a Shaw Butte regionális központ és a Royal Palm iskola között - Töbszörösen redundáns kapcsolatok, amelyek magasfokú biztonságot eredményeznek - Állandó szolgáltatás Hátrányok: - Magas üzemeltetési költség a szolgáltatóktól bérelt T1 illetve ISDN vonalak miatt
3. fejezet Modell
Modell
Számítógépek IP cím kiosztása Az alhálózati maszk minden esetben 255.255.255.240! Munkaállomás Megnevezés IP-cím Átjáró H1 Tanári gép (1. Tanterem) 172.16.0.18 172.16.0. 17 H2 Hallgatói gép (1. Tanterem) 172.16.0. 41 172.16.0. 33(dinamikus) H3 172.16.0. 40 172.16.0. 33 (dinamikus) H4 Tanári gép (n. tanterem) 172.16.0. 19 H5 Hallgatói gép (n. Tanterem) 172.16.0. 43 H6 172.16.0. 42 H7 Hallgatói alkalmazás szerver 172.16.0. 38 172.16.0. 33 H8 Tanári alkalmazás szerver 172.16.0. 20 H9 DHCP szerver 172.16.0. 39 H10 Iskolai WEB szerver 172.16.10.2 172.16.10.1 H11 Körzeti WEB szerver 10.1.0.2 10.1.0.1
Frame Relay – LAB-B beállítások Port beállítások: FastEthernet 0/0 - 0/0: 172.16.82.0 255.255.255.0 - duplex auto - speed auto Serial 0/0: - 172.16.82.6 255.255.255.0 - encapsulation frame-relay - no fair-queue FastEtherne: 0/1: - N/A Serial 0/1: - N/A - no ip address - shutdown
Frame Relay – LAB-C beállítások Port beállítások: FastEthernet 0/0 - no ip address - shutdown - duplex auto - speed auto Serial 0/0: - no ip address - encapsulation frame-relay - clockrate 56000 - frame-relay intf-type dce - frame-relay route 21 interface Serial0/1 20 FastEtherne: 0/1: - N/A Serial 0/1: - no ip address - frame-relay route 20 interface Serial0/0 21
Frame Relay – LAB-D beállítások Port beállítások: FastEthernet 0/0: - ip address 210.93.105.1 255.255.255.0 - duplex auto - speed auto Serial 0/0: - no ip address - shutdown - no fair-queue FastEtherne: 0/1: - N/A Serial 0/1: - ip address 204.204.7.2 255.255.255.0 - encapsulation frame-relay
VÉGE