Analiza și proiectarea rețelei optimale de comunicații securizate pentru prestatorul de servicii internet (segmentul transport de date a clienților)

Abstract

Structura lucrării: Introducere; Capitolul 1: Analiza protocoalelor utilizate în rețeaua prestatorului de servicii; Capitolul 2: Elaborarea structurii și optimizarea rețelei prestatorului de serviciu; Capitolul 3: Proiectarea și implementarea rețelei prestatorului de serviciu; Concluzii, Bibliografia; Anexa1. Scopul lucrării: Analiza și proiectarea rețelei optimale de comunicații securizate pe segmentul transport de date a clienților.

Obiectivele: Analiza protocoalelor utilizate în rețelele echipamentelor IT și tehnologiilor necesare pentru a avea posibilitate de asigura omiterii dependenței de producător; Proiectarea infrastructurii rețelei optimale cu o posibilitate de extindere; Utilizarea protocoalelor de securizare a rețelei pe nivelele 2 și 3 ale stivei OSI; Implementarea și analiza disponibilității serviciilor prestate; Implementarea sistemelor împotriva atacurilor cibernetice de tip DDoS; Implementarea sistemului centralizat de oferire a accesului pe grupuri de utilizatori.

Metodele aplicate: Conform protocolului standardizat EGP (exterior gateway protocol) s-a aplicat protocoalele BGP, OSPF, MPLS, LDP și RPVST+, tehnologiile VLAN, EtherChannel, L2VPN, L3VPN,QinQ, VRF și IPS, cât și aplicația TACACSGUI pentru a gestiona controlul utilizatorilor care accesează echipamentele de rețea.

Rezultatele obținute: Analizând toate protocoalele Open Source s-a depistat că este posibilitate de a interconecta echipamente de producători diferiți ce ne oferă o flexibilitate pentru proiectarea și optimizarea rețelei. Pentru a efectuarea proiectarea infrastructurii rețelei s-a dus cont de echipamente modulare care suportă tehnologia Stackwise ce permite extinderea rețelei. Pentru securizarea rețelei și izolarea traficului la nivelul de acces au fost aplicate diferite mecanisme de protejare, cum ar fi: limitarea numărului de MAC pe porturi, limitarea traficului excesiv de tip broadcast/multicast, BPDU GUARD, dezactivarea recepționarea și transmiterii mesajelor de către CDP, LLDP sau alte protocoale de descoperire a vecinelor. Pentru a asigura transportul de date L2 și a omiterea dependenței de numărul de Vlan-uri a fost implementat tehnologia QinQ sau/și L2VPN. Pentru transportul de date IP a fost utilizat L3VPN, din acest motiv clienții au posibilitate de a dezvălui infrastructurile proprii. Protejarea rețeaua împotriva atacurilor DDoS a fost posibila prin aplicarea tehnologiei IPS. Implementarea sistemului centralizat de oferire a accesului pe grupuri de utilizatori a fost posibilă prin instalarea aplicației TACACSGUIE.

Structure: Introduction; Chapter 1: Analysis of the protocols used in the service provider's network; Chapter 2: Development of the structure and optimization of the service provider's network; Chapter 3: Design and implementation of the service provider's network; Conclusions, Bibliography; Annex1. The purpose of the works.: Analysis and design of the optimal secure communications network on the customer data transport segment.

The objectives: Analysis of the protocols used in the networks of IT equipment and technologies necessary to have the possibility to ensure the omission of the manufacturer's dependence; Designing the optimal network infrastructure to be able to expand it; Use of network security protocols on levels 2 and 3 of the OSI stack; Implementation and analysis of the availability of services provided; Implementation of systems against DDoS cyber-attacks; Implementing the centralized system for providing access to user groups.

Applied methods: According to the standardized EGP protocol (external gateway protocol), the BGP, OSPF, MPLS, LDP and RPVST + protocols, VLAN, EtherChannel, L2VPN, L3VPN, QinQ, VRF and IPS technologies were applied, as well as the TACACSGUI application to manage the control of users accessing the equipment. network.

The results obtained are as follows: Analyzing all Open Source protocols, it was found that it is possible to interconnect equipment from different manufacturers that gives us flexibility for network design and optimization. In order to carry out the design of the network infrastructure, modular equipment was taken into account that supports the Stackwise technology that allows the extension of the network. Various protection mechanisms have been applied to secure the network and isolate traffic at the access level, such as: limiting the number of MACs on ports, limiting excessive broadcast / multicast traffic, BPDU GUARD, disabling the reception and transmission of messages by CDP, LLDP or other neighbor discovery protocols. In order to ensure the transport of L2 data and to avoid the dependence on the number of VLans, the QinQ and / or L2VPN technology was implemented. L3VPN was used for IP data transport, for this reason customers have the opportunity to disclose their own infrastructure. Protecting the network against DDoS attacks was made possible by applying IPS technology. The implementation of the centralized