IP‑проект — кратко и по пунктам.
1) План адресации
- Выделите частный блок для кампуса, например $10.0.0.0/16$.
- Разбейте на VLAN-подсети:
- администрация: $10.0.10.0/24$ - студенты: $10.0.20.0/22$ (масштабируемая зона)
- гостевая: $10.0.100.0/24$ - SVI/интерфейс управления на распределительном/коревом маршрутизаторе: используйте .1 в каждой подсети, например админ SVI $\mathrm{10.0.10.1}$.
- Маршрутизация: суммируйте внутренние сети рекламируемой маршрутной системой: например внутренняя сводная сеть $10.0.0.0/16$.
2) NAT / публичные адреса
- Административные публичные сервисы:
- Для серверов администрации лучше использовать публичные IP (статический NAT/one‑to‑one) или публиковать через DMZ/Reverse Proxy. Пример статического NAT: публичный $\mathrm{203.0.113.10}$ ↔ внутренний $\mathrm{10.0.10.10}$.
- Студенты и гости:
- Маскарадинг/PAT (массовый NAT) для интернета: все исходящие соединения студентов/гостей трансформируются в пул публичных адресов или в один адрес на границе.
- Добавьте NAT‑исключения (NAT exemption) для фильтрации/доступа к локальным административным сервисам (только для управляемых соединений).
- Лог NAT для расследования инцидентов.
3) Межсетевой экран — принципы и образец правил
- Архитектура: зона «trust» (администрация), «student», «guest», «dmz», «internet». Используйте зональную stateful firewall.
- Базовые правила (от наиболее строгого к менее строгому):
1. deny all между зонами по умолчанию.
2. Разрешить админа → студенты: только необходимые сервисы (SSH $22$, RDP $3389$, мониторинг), по списку ACL и только с управляющих IP.
3. Студенты → администрация: deny по умолчанию; разрешить только нужные прикладные порты (например, веб‑аутентификация) и только на конкретные хосты.
4. Гость → любые локальные подсети: deny полностью.
5. Любая зона → интернет: разрешать исходящие соединения с stateful tracking и IPS/URL фильтрацией (для гостей — жесткие политики).
6. DMZ (публичные сервисы) ←→ интернет: разрешить необходимые входящие порты; запретить исходящий доступ от DMZ к внутренним зонам без NAT exemption и строгой проверки.
- Примеры ACL на уровне приложений: SIP ($5060$/$5061$), RTP (динамический порт‑диапазон, задайте в применении: например $10000-20000$).
- Логирование и rate‑limit на подозрительные паттерны (сканирование, brute force).
4) Разделение трафика и безопасность L2/L3
- На уровне коммутаторов: DHCP snooping, Dynamic ARP Inspection, порт‑секьюрити, BPDU guard.
- В гостевой VLAN — private VLAN или клиент‑изоляция, DHCP‑релэи на отдельный DHCP пул.
- Разделение управления: отдельная management VLAN с доступом только по VPN/console и двумя-факторной аутентификацией.
- Используйте VRF для строгого логического разделения, если требуется разделение маршрутов между админ/учебными сетями.
5) Маршрутизация и BGP (двусторонний BGP с провайдером)
- Номенклатура: крайний маршрутизатор (PE) устанавливает eBGP с провайдером; внутренние устройства — iBGP/IGP (OSPF/EIGRP) с PE.
- Что объявлять:
- Если у вас собственный публичный префикс: объявляйте свои префиксы ($например$ $198.51.100.0/24$).
- Если провайдер даёт адреса: используйте static NAT/PAT или запрашивайте публичные префиксы у провайдера.
- Безопасность BGP: MD5 аутентификация, prefix‑lists (входящие: только префиксы провайдера; исходящие: только ваши префиксы), max‑prefix, RPKI/ROA проверка при входе.
- Управление трафиком:
- Для предпочтения маршрута используйте local‑preference (входящая политика) и AS‑path prepending для изменения inbound.
- MED для объявления предпочтений между мульти‑провайдерами (если есть $2+$ провайдеров).
- Communitites для кооперации с провайдером (blackhole, prepend, local pref).
- Настройте route‑maps и prefix‑lists для фильтрации. Пример логики:
- inbound: permit только префиксы провайдера + drop rest.
- outbound: permit только ваши публичные префиксы и распределяйте атрибуты через route‑map.
6) QoS для VoIP
- VLAN для VoIP: если есть IP‑телефоны, выделите отдельную VLAN или поместите в административную с четким профилем QoS.
- Классификация/маркировка:
- На access‑коммутаторах доверяйте DSCP от телефонов, либо помечайте трафик локально: RTP -> DSCP EF ($46$), SIP -> DSCP AF31 ($26$) или CS3.
- Политики на границе:
- На выходном интерфейсе к интернету выделите priority queue (LLQ) для EF‑трафика с гарантированным минимальным пропуском (например резерв $200kbps$ на каждую одновременную линию или глобально в зависимости от нагрузки).
- Ограничьте процент полосы для приоритета (например не более $30\%$ от интерфейса) чтобы при перегрузке не исчерпать канал.
- Shaping и policing:
- На входе полинг для защиты от злоупотреблений: гостевая/студенческая сеть — ограничение на метку EF (запретить или принудительно ремарк).
- Контроль сигнализации и RTP:
- Откройте на межсетевом экране порты SIP ($5060$/$5061$) и диапазон RTP ($10000-20000$) только между телефонными серверами и внутренними телефонами; для внешних SIP провайдеров используйте SBC (Session Border Controller) без прямой проброски RTP в гости/студенты.
- SIP/SBC:
- Внедрите SBC/IMS на границе для трансляции адресов, безопасности SIP и для контроля QoS на внешнем канале.
7) Мониторинг, тестирование, эксплуатация
- Метрики: jitter, packet loss, MOS — мониторьте в реальном времени.
- Тесты: симулируйте звонки и стресс‑тесты QoS; проверяйте BGP failover.
- Логирование: NetFlow/sFlow для анализа трафика и расследования атак.
Короткий пример конфигурационных решений (концептуально)
- Адресация: SVI админ $10.0.10.1/24$, студенты $10.0.20.1/22$, гость $10.0.100.1/24$.
- NAT: admin server static NAT $\mathrm{203.0.113.10}\leftrightarrow \mathrm{10.0.10.10}$; students/guest: PAT to public pool.
- BGP: eBGP между border and ISP, аутентификация MD5, prefix‑lists, route‑maps для local‑pref и prepend.
- QoS: match dscp EF -> priority queue, RTP ports allowed only SIP/SBC and internal phones.
Если нужно — могу дать пример ACL/iptables/IOS‑конфигурации и пример BGP route‑map по шаблону.