Microsoft Word Dissertasiya doc
Şəkil 4. Layihədə qurulan lokal kompüter şəbəkəsi
Yüklə 296,35 Kb.
|
| Şəkil 4. Layihədə qurulan lokal kompüter şəbəkəsi
Şəkil 4-də göstərilən topologiya, iş stansiyası sviçlərinə (SW1 və SW2), “firewall”-qoruyucu divar (ASA) və giriş nöqtəsinə(Access Point) (AP) gedən bütün əlaqələri mərkəzləşdirmək üçün bir CSW sviçinin əsas keçid kimi istifadə edildiyi genişləndirilmiş bir ulduz topologiyasıdır. Genişləndirilmiş ulduz topologiyası, ehtiyac duyulduğu zaman sistemə gələcək genişlənmələr üçün zəmanət verir. Şəbəkə cihazları bir-birlərinə Cat 5 (Ekransız Twisted Pair) kabelləri və RJ-45 bağlayıcıları istifadə edərək bağlanır. Şəkil 4-ə görə, “firewall” IP trafiki hər iki istiqamətə yönəldərək xarici şəbəkəyə açılan bir divardır. “Firewall” xüsusi bir IP ünvanı ilə test şəbəkəsi vasitəsilə İnternetə qoşulur. Hər hansı bir server “firewall”a öz alt şəbəkəsi ilə bağlanır və əsasən ictimai (publik) istifadəçilərə fayl paylaşma xidmətləri təklif etməsi planlaşdırılır. “Firewall” daxili və Public_Server alt şəbəkələrinin xüsusi IP adreslərini, firewall-un xarici interfeysinin ümumi IP ünvanına və əksinə translyasiya etmək üçün istifadə olunur. Hər şeydən əvvəl, firewall-un əsas vəzifəsi daxili şəbəkənin xarici şəbəkədən gələn hücumlardan qorunması məqsədilə daxil olan və çıxan trafikləri süzgəcdən keçirmək üçün bir nəzarət nöqtəsi olmaqdır. Topologiyası “Şəkil 4” də göstərilən giriş qat sviçləri (Sw1 və Sw2) iş stansiyalarını və daxili serverini əsas keçidlə birləşdirmək üçün istifadə olunur. “Workgroup1” alt şəbəkəsi və idarəetmə alt şəbəkəsi Sw1 sviçinə, “Workgroup2” alt şəbəkəsi və Server_ Farm alt şəbəkəsi Sw2 sviçinə bağlıdır. Workgroup1 və workgroup2 alt şəbəkələri işçilərə həsr olunur və həmin alt şəbəkələrdə istifadəçilərin bir-biri ilə və xarici aləmlə İnternet vasitəsilə əlaqə qurmasına icazə verilir. İdarəetmə alt şəbəkəsi şəbəkə adminstratorları və idarəetmə məqsədləri üçün ayrılmışdır və Server_Farm alt şəbəkəsi yalnız daxili istifadəçiyə fayl paylaşma xidmətləri göstərəcək şəkildə konfiqurasiya edilmişdir.[30] Şəkil 4-də göstərilən giriş nöqtəsi (AP) birbaşa əsas sviçlə (CSW) bağlıdır və radio siqnal aralığında ziyarətçilərə və təsdiqlənmiş istifadəçilərə simsiz əlaqə təmin etmək üçün konfiqurasiya edilmişdir. IP ünvanı, IP şəbəkəsindəki şəbəkə cihazını müəyyənləşdirmək üçün istifadə edilən unikal 32 bitlik rəqəmlərdir. Hər bir IP ünvanı ana(host) və şəbəkə hissəsi adlı iki bölmədən ibarətdir. Şəbəkə ünvanı cihazın yerləşdiyi şəbəkəni və ya alt şəbəkəni müəyyənləşdirmək üçün istifadə olunur və ana ünvanda fərdi cihazı müəyyənləşdirməyə kömək edir. İmitasiya olunmuş şəbəkədə daxili şəbəkə alt şəbəkələri üçün xüsusi bir 192.168.0.0/24 IP ünvanı və “firewall”un xarici virtual interfeysi (VLAN2) üçün ümumi bir IP ünvanı 192.94.62.251/24 istifadə edilmişdir. “Firewall” (ASA) üçün VLAN konfiqurasiyası və IP ünvanı aşağıda təqdim olunur: interface_Vlan1 nameif_inside security-level_100 ip_address_192.168.1.1_255.255.255.0 ! interface_Vlan2 nameif_outside security-level_0 ip_address_10.94.62.251_255.255.255.0 ! interface_Vlan3 no_forward_interface_Vlan1 nameif_dmz security-level_70 ip_address_192.168.2.1_255.255.255.0 Yuxarıda göstərildiyi kimi, 192.168.1.1/24 IP ünvanı “firewall”un VLAN1 (VLAN içərisində) və 192.1168.2.1/24 isə “firewall”un VLAN3 (DMZ VLAN) üçün təyin edilmişdir. Bundan əlavə, növbəti bölmədə bəhs edəcəyimiz əsasən simsiz şəbəkəyə 192.168.30.0/24 alt şəbəkəsi və 192.168.40.0/24 alt şəbəkəsi, 192.168.50.0/24 və 192.168.60.0/24 alt şəbəkəsi VLAN40 və VLAN50-ə (workgroup1 və workgroup2 VLAN), VLAN100 (idarəetmə VLAN) -na təyin edilmiş 192.168.100.0/24 alt şəbəkəsi və 192.168.70.0/24 və 172.16.10.8/28 alt şəbəkələri sırasıyla VLAN70 (Server_Farm VLAN) və uzaqdan işləyə bilən istifadəçilərə təyin edilmişdir. “Firewall” (ASA), İnternet üzərindən bir VPN bağlantısı istəyən uzaqdan işləmək istəyən istifadəçilərə dinamik bir IP ünvanı təyin etmək üçün də qurulmuşdur. Təhlükəsizlik divarındakı DHCP ünvanları aşağıdakı kimi konfiqurasiya edilmişdir: ip_local_pool_remote-access_172.16.10.10-172.16.10.15_mask_255.255.255.128 Yuxarıda göstərilən konfiqurasiyaya əsasən, beş IP ünvanı var və “firewall” (uzaq müştərilər üçün bir DHCP serveridir), eyni anda uzaq bir cihaza beşə qədər IP ünvanı təyin edə bilər. Qalan konfiqurasiya “Əlavə 1”-də verilmişdir. Bundan əlavə, əsas sviç (CSW) DHCP serverinin simsiz istifadəçilərə dinamik olaraq IP ünvanları təyin etməsi üçün konfiqurasiya edilmişdir. Ünvanlar üçün konfiqurasiya və əsas sviçdəki (CSW) standart slüzlər aşağıda təqdim olunur: ip_dhcp_excluded-address_192.168.30.1 ip_dhcp_excluded-address_192.168.40.1 ! ip_dhcp_pool_AP_pool_Guest network_192.168.30.0_255.255.255.0 default-router_192.168.30.1 ! ip_dhcp_pool_AP_pool_Worker network_192.168.40.0_255.255.255.0 default-router_192.168.40.1 Yuxarıdakı konfiqurasiya AP_pool_Guest və AP_pool_Worker adlı iki IP ünvanlarını yaratmaq üçündür. AP_pool_Guest, Qonaq VLAN-a (VLAN30) təyin edilmiş 192.168.30.0/24 alt şəbəkəsinin IP adresləri toplusudur və AP_pool_Worker, İşçi VLAN-a (VLAN40) aid olan 192.168.40.0/24 alt şəbəkəsinin IP ünvan toplusudur. . Varsayılan şlüzlər (192.168.30.1 və 192.168.40.1) ünvan üst-üstə düşməməsi üçün xaric edilir. Qalan konfiqurasiya “Əlavə 2” və “Əlavə 4”-də təqdim olunur. Daxili şəbəkə bir şəbəkə cihazı ilə yanaşı şəbəkəni də müəyyən etmək üçün xüsusi IP ünvanlarını istifadə edir. İntranet bağlantısı üçün xüsusi IP adresləri istifadə olunur və onlar keçid üzərində yönləndirilmir. Xüsusi IP ünvanlarını yönləndirilə bilmək üçün NAT texnologiyasından istifadə etmək lazımdır. Əsasən, NAT bir cihazın həqiqi ünvanının (xüsusi ünvanının) şəbəkələr üzərindən yönləndirilə biləcəyi bir uyğunlaşdırılmış adresə (ümumi ünvana) çevrilməsi üçün istifadə olunur. İmitasiya olunmuş şəbəkə layihəsində, ASA “firewall” bir NAT server olaraq konfiqurasiya edilmişdir və bəzi konfiqurasiyalar aşağıda göstərilmişdir: object_network_inside-outside subnet_192.168.0.0_255.255.0.0 nat_(inside,outside)_dynamic_interface Qeyd etmək vacibdir ki, Cisco ASA (Adaptive Security Appliance) 5505 versiyası 8.3 və sonrasında, NAT konfiqurasiyası bir ana və ya alt şəbəkə üçün xüsusi bir IP ünvanı olan və yerinə yetiriləcək NAT qaydasını təyin edən bir şəbəkə obyekti yaratmağı tələb edir. Yuxarıda göstərilən NAT konfiqurasiyasında, xaricdən bir obyekt daxili alt şəbəkə 192.168.0.0/16 və ASA xaricində interfeys IP ünvanını (10.94.62.251/24) dinamik olaraq daxili alt şəbəkəyə təyin edən bir NAT qaydası ilə müəyyən edilir. “Əlavə 1”də təqdim olunan bu və digər konfiqurasiya internetə işləyən bir əlaqə yaratmağa kömək edir. Aşağıdakı “Nümunə 1”də NAT translyasiyalarının nəticəsi göstərilmişdir. Yüklə 296,35 Kb. Dostları ilə paylaş:
|