Введение. Актуальность и постановка задачи дипломного проекта

В современной экономике корпоративные информационные сети являются цифровым сердцем любого бизнеса, особенно для компаний с географически распределенной структурой. Эффективность бизнес-процессов, от документооборота до оперативного управления, напрямую зависит от надежности и производительности сетевой инфраструктуры. Актуальность данной дипломной работы обусловлена растущей потребностью бизнеса в обеспечении безопасной, стабильной и быстрой связи между центральным офисом и удаленными филиалами, а также в поддержке современных сервисов, таких как IP-телефония (VoIP) и видеоконференцсвязь.

Построение таких сетей требует серьезной технической проработки, поскольку необходимо объединить различные технологии и обеспечить унифицированную доставку информации с высоким уровнем сервиса и безопасности. Это ставит перед инженерами сложные, но интересные задачи.

Цель дипломного проекта — спроектировать надежную, масштабируемую и безопасную корпоративную сеть для условной компании с центральным офисом и несколькими удаленными филиалами, реализовав в ней поддержку защищенного удаленного доступа через VPN и качественной IP-телефонии.

Для достижения поставленной цели необходимо решить следующие задачи:

  1. Провести анализ требований к сети на основе бизнес-процессов компании.
  2. Выбрать оптимальную топологию и спроектировать логическую структуру сети.
  3. Подобрать необходимое сетевое оборудование и программное обеспечение.
  4. Разработать иерархическую схему IP-адресации и сегментации сети (VLAN).
  5. Спроектировать подсистему безопасности на основе технологии VPN.
  6. Разработать решение для IP-телефонии с механизмами обеспечения качества обслуживания (QoS).
  7. Рассчитать предварительную экономическую эффективность проекта.

Глава 1. Аналитический обзор и формирование технических требований

1.1. Анализ объекта автоматизации и существующих бизнес-процессов

На первом этапе любого проекта необходимо провести детальное обследование организации, чтобы проанализировать ее инфраструктуру и потребности. В качестве объекта автоматизации выступает вымышленная компания «ООО «Инновация»», занимающаяся разработкой программного обеспечения. Структура компании включает центральный офис в Москве (150 сотрудников) и два филиала в Санкт-Петербурге и Новосибирске (по 50 сотрудников в каждом).

Ключевые бизнес-процессы, требующие интенсивного сетевого взаимодействия:

  • Совместная разработка: доступ к общим репозиториям кода, системам управления проектами и базам данных, расположенным в ЦОД центрального офиса.
  • Внутренние коммуникации: ежедневные видеоконференции (stand-up митинги), корпоративный мессенджер и IP-телефония для связи между отделами и филиалами.
  • Электронный документооборот: работа с единой системой для обмена договорами, счетами и внутренней документацией.
  • Удаленная работа: необходимость предоставления безопасного доступа к корпоративным ресурсам для сотрудников, работающих из дома.

Текущая IT-инфраструктура в филиалах развивалась хаотично. Используются разрозненные бытовые роутеры, отсутствует централизованное управление, а для связи между офисами применяются небезопасные и нестабильные решения. Это приводит к низкой скорости доступа, частым сбоям и, что самое критичное, полному отсутствию защиты корпоративных данных, передаваемых между площадками. Существующее положение дел является узким местом для дальнейшего роста компании и требует кардинального пересмотра.

1.2. Определение требований к производительности, безопасности и надежности сети

На основе анализа бизнес-процессов и недостатков текущей инфраструктуры были сформулированы четкие технические требования к будущей корпоративной сети.

Требования к производительности:

  • Пропускная способность: для центрального офиса требуется симметричный интернет-канал не менее 1 Гбит/с. Для филиалов — не менее 100 Мбит/с.
  • Качество голосовой связи (VoIP): для каждого одновременного голосового вызова необходимо гарантировать полосу пропускания не менее 100 кбит/с. Задержка (latency) в канале не должна превышать 150 мс, джиттер — не более 30 мс, а процент потерь пакетов — менее 1%.

Требования к безопасности:

  • Защита периметра: на границе сети каждого офиса должен быть установлен межсетевой экран (Firewall) для фильтрации трафика.
  • Сегментация сети: необходимо логически изолировать различные сегменты сети (серверы, пользователи, гостевой Wi-Fi, IP-телефония) друг от друга для ограничения распространения потенциальных угроз.
  • Безопасный удаленный доступ: связь между центральным офисом и филиалами, а также подключение мобильных сотрудников должны осуществляться исключительно через зашифрованные VPN-туннели.

Требования к надежности:

  • Отказоустойчивость: для минимизации простоев в работе рекомендуется предусмотреть резервирование критически важных компонентов. В центральном офисе необходимо использовать двух интернет-провайдеров и резервирование ключевых маршрутизаторов и коммутаторов.

Этот комплекс требований является фундаментом для всех дальнейших проектных решений, от выбора топологии до настройки конкретных протоколов.

Глава 2. Разработка проекта корпоративной сети

2.1. Выбор топологии и проектирование логической структуры сети

При построении сети для организации с центральным офисом и удаленными филиалами ключевым решением является выбор правильной топологии. После сравнения различных вариантов (шина, кольцо, смешанная) для нашего проекта была выбрана иерархическая звезда (star-of-stars). В этой топологии все филиалы подключаются напрямую к центральному узлу (офису), что обеспечивает простоту управления, масштабируемость и централизованный контроль безопасности.

Логическая структура сети будет построена по классической трехуровневой модели Cisco:

  1. Уровень ядра (Core Layer): находится в центральном офисе. Его задача — максимально быстрая коммутация и маршрутизация пакетов между различными сегментами сети и филиалами. Здесь размещаются самые производительные коммутаторы и главный маршрутизатор.
  2. Уровень распределения (Distribution Layer): реализуется на уровне каждого офиса (и центрального, и филиалов). Этот уровень агрегирует трафик с уровня доступа, применяет политики безопасности (ACL), обеспечивает маршрутизацию между VLAN и является точкой терминации VPN-туннелей.
  3. Уровень доступа (Access Layer): обеспечивает непосредственное подключение конечных устройств пользователей — компьютеров, IP-телефонов, точек доступа Wi-Fi, принтеров. Основные функции этого уровня — коммутация внутри одного сегмента и применение базовых политик безопасности портов.

Филиалы будут подключаться к центральному офису через зашифрованные VPN-туннели, построенные поверх публичных интернет-каналов. Это создает единое и безопасное информационное пространство, как будто все сотрудники находятся в одной большой локальной сети.

2.2. Подбор и обоснование выбора сетевого оборудования и программного обеспечения

Выбор оборудования — это компромисс между производительностью, функциональностью и стоимостью. Для нашего проекта мы будем ориентироваться на продукцию компании Cisco, так как она предлагает надежные и масштабируемые решения для корпоративного сектора с широкими возможностями по настройке безопасности и QoS.

Ниже представлена рекомендуемая спецификация оборудования:

  • Маршрутизаторы:
    • Центральный офис: Модульный маршрутизатор серии Cisco ISR 4400. Выбор обоснован высокой производительностью, поддержкой аппаратного шифрования IPsec для VPN и продвинутых функций QoS, необходимых для IP-телефонии.
    • Филиалы: Маршрутизаторы серии Cisco ISR 1900. Они обеспечивают достаточную производительность для филиала, поддерживают VPN и QoS, являясь экономически эффективным решением.
  • Коммутаторы:
    • Уровень ядра (ЦО): Два (для резервирования) коммутатора 3-го уровня Cisco Catalyst 9300. Они обеспечивают высокоскоростную маршрутизацию между VLAN.
    • Уровень доступа (все офисы): Коммутаторы 2-го уровня серии Cisco Catalyst 9200 с поддержкой PoE+ (Power over Ethernet) для питания IP-телефонов и точек доступа Wi-Fi напрямую через Ethernet-кабель.
  • Межсетевой экран (Firewall): В качестве межсетевого экрана будет использоваться функционал, встроенный в маршрутизаторы Cisco ISR, что позволяет избежать покупки отдельного устройства, но при этом обеспечить надежную защиту периметра.
  • Точки доступа Wi-Fi: Модели серии Cisco Aironet стандарта IEEE 802.11ac/ax для обеспечения быстрого и надежного беспроводного покрытия.

Этот набор оборудования полностью покрывает технические требования проекта, обеспечивая производительность, безопасность и возможность дальнейшего масштабирования сети.

2.3. Разработка схемы IP-адресации и сетевой сегментации

Грамотное планирование IP-адресации является основой управляемой и безопасной сети. Для проекта выбирается частный диапазон адресов 10.0.0.0/8, который предоставляет огромное пространство для гибкого распределения адресов.

Применяется иерархический подход. Все адресное пространство делится на крупные блоки для каждой площадки:

  • Центральный офис: 10.10.0.0/16
  • Филиал в Санкт-Петербурге: 10.20.0.0/16
  • Филиал в Новосибирске: 10.30.0.0/16

Ключевым элементом повышения безопасности и управляемости является дальнейшая сегментация сети с помощью технологии VLAN (Virtual LAN). Внутри каждой площадки сеть логически разделяется на изолированные сегменты. Это позволяет сгруппировать пользователей и устройства по функциям и применить к каждому сегменту свои правила доступа, а также ограничить широковещательный трафик.

Ниже представлена примерная таблица распределения VLAN для центрального офиса:

План VLAN и IP-адресации для Центрального Офиса
Назначение VLAN VLAN ID Подсеть Описание
Серверы 10 10.10.10.0/24 Критически важный сегмент с корпоративными данными и сервисами.
Рабочие станции 20 10.10.20.0/23 Основная сеть для компьютеров сотрудников.
IP-телефония (Voice) 30 10.10.30.0/24 Выделенный сегмент для голосового трафика с высоким приоритетом.
Гостевой Wi-Fi 40 10.10.40.0/24 Изолированный сегмент с доступом только в Интернет, без доступа к ресурсам компании.

Аналогичная схема с другими префиксами (10.20.x.x и 10.30.x.x) применяется и в филиалах. Такой подход значительно повышает уровень безопасности и упрощает администрирование сети.

2.4. Проектирование подсистемы безопасности и удаленного доступа на основе VPN

Для распределенной компании, передающей данные через публичные сети, технология VPN (Virtual Private Network) является абсолютно критичной. Она создает зашифрованные «туннели» поверх интернета, обеспечивая конфиденциальность и целостность данных.

В проекте используется комбинированный подход с двумя типами VPN:

  1. Site-to-Site VPN: Для организации постоянной и безопасной связи между центральным офисом и филиалами выбрана технология IPsec (IKEv2). Это отраслевой стандарт, обеспечивающий надежное шифрование и аутентификацию. Туннели будут настроены между маршрутизаторами Cisco ISR каждой площадки.

    Основные параметры IPsec-туннеля:
    Протокол обмена ключами: IKEv2 (более современный и гибкий, чем IKEv1).
    Алгоритм шифрования: AES-256 (стандарт надежного шифрования).
    Алгоритм аутентификации: SHA256 (для проверки целостности данных).
    Аутентификация сторон: Pre-Shared Keys (общие секретные ключи).

  2. Remote Access VPN: Для безопасного подключения удаленных сотрудников, работающих из дома или в командировках, будет использоваться технология OpenVPN. Она известна своей стабильностью, гибкостью в настройке и способностью работать через большинство межсетевых экранов. Аутентификация пользователей будет производиться по паре логин/пароль с дополнительным использованием клиентских сертификатов для повышения уровня безопасности.

Такая двухуровневая система VPN полностью закрывает потребности компании в безопасной передаче данных как между офисами, так и для мобильных пользователей.

2.5. Разработка решения для IP-телефонии с гарантией качества обслуживания (QoS)

Переход на IP-телефонию (VoIP) позволяет значительно сократить расходы на связь и получить доступ к современным функциям, таким как голосовая почта, конференции и интеграция с CRM. Однако голосовой трафик чрезвычайно чувствителен к задержкам, джиттеру (вариации задержки) и потерям пакетов. Без специальных мер качество связи может серьезно пострадать, особенно в моменты пиковой нагрузки на сеть.

Для решения этой проблемы применяется технология QoS (Quality of Service) — комплекс мер по приоритизации трафика. Архитектура решения будет следующей: в центральном офисе устанавливается централизованная IP-АТС, а IP-телефоны в филиалах регистрируются на ней через защищенные VPN-туннели.

Модель QoS для нашей сети будет включать следующие шаги:

  1. Классификация и маркировка трафика: На коммутаторах уровня доступа весь трафик, поступающий из голосового VLAN (Voice VLAN), будет идентифицироваться и маркироваться специальным значением DSCP EF (Expedited Forwarding). Эта метка сообщает сетевым устройствам, что данный трафик является критически важным и требует немедленной обработки.
  2. Создание очередей и приоритизация: На маршрутизаторах будет настроен механизм LLQ (Low Latency Queuing). Этот механизм создает специальную приоритетную очередь, в которую помещается весь маркированный голосовой трафик. Пакеты из этой очереди всегда обрабатываются первыми, вне зависимости от общей загрузки канала, что гарантирует минимальные задержки и высокое качество связи.

Благодаря такому подходу мы сможем гарантировать, что телефонный разговор всегда будет иметь наивысший приоритет, даже если другие сотрудники в это время загружают большие файлы или смотрят видео.

Заключение. Оценка результатов и выводы по дипломному проекту

В ходе выполнения дипломного проекта была успешно решена поставленная задача: спроектирована комплексная, безопасная и масштабируемая корпоративная сеть для компании «ООО «Инновация»» с удаленными филиалами.

В результате проделанной работы были достигнуты следующие ключевые результаты:

  • Проведен анализ требований и на их основе выбрана оптимальная сетевая топология «иерархическая звезда», обеспечивающая централизованное управление и легкую масштабируемость.
  • Подобрана линейка сетевого оборудования Cisco, полностью соответствующая требованиям производительности и функциональности.
  • Разработана детальная схема IP-адресации и сегментации сети с помощью VLAN, что значительно повышает безопасность и управляемость инфраструктуры.
  • Спроектировано комплексное решение по безопасности, включающее Site-to-Site IPsec VPN для связи между офисами и Remote Access VPN для мобильных сотрудников.
  • Разработано решение для внедрения IP-телефонии с механизмами QoS (маркировка DSCP и очереди LLQ), гарантирующее высокое качество голосовой связи.

Главный вывод заключается в том, что разработанный проект полностью соответствует исходным техническим требованиям и представляет собой надежное и современное решение. Он обеспечивает безопасную среду для ключевых бизнес-процессов компании, объединяя все филиалы в единое информационное пространство.

В качестве возможных путей дальнейшего развития проекта можно рассмотреть внедрение систем централизованного мониторинга сети (с использованием протоколов SNMP, NetFlow) и систем предотвращения вторжений (IPS) для проактивной защиты от киберугроз.

Список использвоанных источников

  1. Сети VPN и MPLS – технологии. [Электронный ресурс]. Режим доступа: http://www.lessons-tva.info/archive/nov030.html
  2. VPN-маршрутизаторы. [Электронный ресурс]. Режим доступа: http://www.tp-linkru.com/products/biz-list-4909.html
  3. Бройдо В. Л., Ильина О. П. Вычислительные системы, сети и телекоммуникации. – М.: Радио и связь, 2011. — 560 c.
  4. Ги, К. Введение в локальные вычислительные сети; М.: Радио и связь — Москва, 2011. — 176 c.
  5. Гольдштейн Б. С. Протоколы сети доступа. Том 2; СПб.: БХВ-Петербург, 2009. — 288 c.
  6. Епанешников А. М., Епанешников В. А. Локальные вычислительные сети; М.: Диалог-МИФИ, 2013. — 224 c.
  7. Колбин Р. В. Глобальные и локальные сети. Создание, настройка и использование. М.: Бином. Лаборатория знаний, 2011. — 815 c.
  8. Колбин Р. В. Глобальные и локальные сети. Создание, настройка и использование (+ CD). М.: Бином. Лаборатория знаний, 2012. — 224 c.
  9. Ларионов А.М.; Майоров С.А.; Новиков, Г.И. Вычислительные комплексы, системы и сети. М.: Энергоатомиздат, 2014. — 288 c.
  10. Мелехин В. Ф., Павловский Е. Г. Вычислительные машины, системы и сети. М.: Академия, 2010. — 560 c.
  11. Мелехин В. Ф., Павловский Е. Г. Вычислительные системы и сети. М.:Академия, 2013. — 208 c.
  12. Олифер В., Олифер Н. Компьютерные сети. Принципы, технологии, протоколы; СПб.: Питер, 2013. — 944 c.
  13. Поляк-Брагинский А. Локальные сети. Модернизация и поиск неисправностей. СПб.: БХВ-Петербург, 2012. — 832 c.
  14. Ботт Эд, Зихерт Карл Локальные сети и безопасность Microsoft Windows XP. Inside Out (+ CD-ROM). – М.: Эком, 2010. — 944 c.
  15. Прончев Г. Б., Бухтиярова И. Н., Брутов В. В., Фесенко В. В. Компьютерные коммуникации. Простейшие вычислительные сети. М.: КДУ, 2009. — 332 c.
  16. Пятибратов А. П., Гудыно Л. П., Кириченко А. А. Вычислительные системы, сети и телекоммуникации. М.: Инфра-М, 2014. — 736 c.
  17. Расстригин Л.А. Вычислительные машины, системы, сети. М.: Наука, 2011. — 224 c.
  18. Столлингс Вильям Компьютерные сети, протоколы и технологии Интернета; СПб.: БХВ-Петербург, 2011. — 832 c.
  19. Флинт Д. Локальные сети ЭВМ: архитектура, принципы построения, реализация; М.: Финансы и статистика, 2013. — 359 c.
  20. Фролов А.В.; Фролов, Г.В. Локальные сети персональных компьютеров. Использование протоколов IPX, SPX, NETBIOS; М.: Диалог-Мифи, 2013 — 160 c.
  21. Хандадашева Л. Н., Истомина И. Г. Программное обеспечение. Вычислительные сети. М.:МарТ, 2009 — 320 c.
  22. Чекмарев Ю. В. Вычислительные системы, сети и коммуникации. М.: ДМК Пресс, 2009. — 184 c.
  23. Чекмарев Ю. В. Локальные вычислительные сети. М.:ДМК Пресс, 2009. — 200 c.
  24. Хорев П.Б. Программно-аппаратная защита информации. – М.: Форум, 2011. – 352 с.
  25. Шаньгин В.Ф. Комплексная защита информации в корпоративных системах. – М.: Форум, Инфра-М, 2010. – 592 с.
  26. Гашков С.Б.: Криптографические методы защиты информации. — М.: Академия, 2010
  27. Корнеев И.К.: Защита информации в офисе. — М.: Проспект, 2010
  28. Бабенко Л.К. Защита данных геоинформационных систем. — М.: Гелиос АРВ, 2010
  29. Степанова Е.Е.: Информационное обеспечение управленческой деятельности. — М.: ФОРУМ, 2010
  30. Фуфаев Д.Э.: Разработка и эксплуатация автоматизированных информационных систем. — М.: Академия, 2010
  31. Герасименко В.А., Малюк А.А. Основы защиты информации. – СПб.: Питер, 2010. – 320с

Похожие записи