UNIVERSITATEA POLITEHNICA BUCURETI

FACULTATEA DE AUTOMATIC I CALCULATOARE

PROIECTAREA UNEI REELE DE

CALCULATOARE
CIPU ANDREI
Grupa 354 C3

Proiectul propus nu are menirea de a se impune ca cel mai bun prin soluia oferit.
n primul rnd, trebuie menionat faptul c atunci cnd avem de realizat un proiect pentru
o reea complex, unde inevitabil avem de ales ntre mai multe tehnologii, nu exist o
soluie unic, i de multe ori nu putem vorbi despre o cea mai bun soluie. Pentru
fiecare situaie concret trebuie s avem n vedere preul maxim pe care ni-l putem
permite. Astfel n funcie de ct putem investi n acea reea, trebuie gsite tehnologiile
care s ofere cel mai bun raport pre/calitate.
Proiectul i propune analiza interconectrii mai multor sedii ale unei firme din
punct de vedere tehnico-economic. Firma are sediul central n Bucureti, un sediu n Iai
i unul n Cluj. Astfel, vom propune cteva soluii de interconectare a sediilor, precum i
soluii care s ofere Internet, access VPN, VoIP, comer electronic sediilor din Bucureti,
Cluj i Iai (n acest proiect vor fi dezbtute doar lucrurile legate de o singur parte a
reelei, celelalte fiind asemntoare).
O imagine general a reelei este descris mai jos.

Sediul Central
(Bucureti)

Home
Office
Remote
Office
(Iai)

Internet
Remote
Office
(Cluj)
Clieni VPN

O structur bine realizat a reelei, din punct de vedere al uurinei administrrii,

const n propunerea unei arhitecturi ierarhice. Aceasta este format din trei niveluri:
acces, distribuie i core. La nivelul acces utilizatorii sunt conectai, se folosesc
switchuri Ethernet de nivel doi i putem aplica o parte din politicile de securitate ce pot
caracteriza o reea de calculatoare. Nivelul distribuie separ cele doua niveluri, acces i
core, la acest nivel putnd fi aplicate politici mai dure de securiate. Nivelul core

este caracterizat prin dou lucruri foarte importante redundan i vitez foarte mare de
comutare a pachetelor.
Reeaua este divizat n cteva componente : cele trei pri discutate mai sus
(acces, distribuie i core), serverele companiei (Enterprise Server Farm), partea de
management a reelei (Management Block) i partea de edge (Enterprise Edge), aceasta
fiind latura ce conecteaz reeaua de ISP (sau ISP-uri). Fiecare dintre ultimele trei au de
asemenea o structur ierarhic, cuprinznd la rndul lor nivelurile de acces si distribuie.
n imaginea de mai jos sunt prezentate dou sedii ale firmei (sediul central
Brach Office A i un sediu secundar Branch Office B). Sediul central este situat ntr-o
cldire de trei etaje, pe fiecare etaj fiind plasat cte un switch. Tot aici se afl i celelalte
dou niveluri distribuie i core. Pe fiecare etaj sunt cte 15 utilizatori, mprii pe
departamente : Marketing, Secretariat, Tehnic i HR. n departamentul de Marketing sunt
10 angajai, n departamentul Secretariat sunt 5 angajai, n cel Tehnic sunt 25 de angajai
iar n HR 5 angajai. Fiecare angajat va fi pus n switchul plasat la etajul acestuia, avnd
band garantat de 10/100MB.
Structura reelei se bazeaz pe o arhitectur de tip VLAN (Virtual LAN), pentru o
mai usoar gestionare a mutrii sau schimbrii biroului sau locaiei fizice a angajatului.
Angajaii din departamentul Marketing sunt n vlan 10, cei din Secretariat n vlan 30, cei
din Tehnic n vlan 40, iar cei din HR n vlan 50. Pentru fiecare departament exist cte un
server (sau mai multe) ce asigur servicii specifice, necesare fiecruia dintre acestea.
Serverele sunt puse n VLAN-urile fiecrui departament sau daca este nevoie unul sau
mai multe servere pot fi puse n mai multe VLAN-uri pentru a fi accesate de utilizatori ce
fac parte din VLAN-uri diferite.
VLAN-urile nu ar trebui s treac de nivelul distribuie sau/i s traverseze coreul. Nivelul distribuie va separa nivelul acces de core, protejnd nivelul acces de
anumite ntreruperi ale reelei n diferite pri sau chiar atacuri. Astfel, broadcasturile vor
fi oprite la acest nivel, acestea ne putnd ajunge n core sau n alte pri ale reelei.
n fiecare sediu exist cte un server de web (Apache) ce poate fi accesat doar de
utilizatorii locali, un server de baze de date (DB ORACLE) i un server de autentificare
(AAA). Serverul web poate fi accesat de orice angajat din orice departament iar serverul
de baze de date poate fi accesat doar de angajaii din departamentele Secretariat,
Marketing i HR. Serverul de autentificare este folosit pentru o mai bun gestionare a
resurselor locale disponibile, autentificarea facndu-se pe baza unei parole i a unui
username . Serverele vor fi situate pe legturi de uplink, dedicate de 100 Mb sau
chiar 1Gb.
Pentru nivelul acces avem nevoie de 45 de PC-uri i 3 servere dac dorim s
rulm servicii diferite pe staii diferite sau putem avea doar un singur server pe care
ruleaz toate serviciile, 48 de cabluri straight i 3 crossover categoria 5 sau 5e, 4
switchuri fiecare cu cte 24 de porturi, capabile s suporte VLAN-uri.
Pentru fiecare dintre sediile firmei mrimea nivelului acces va depinde de
numrul de angajai, mrimea locaiei, etc. n cazul considerat mai sus (sediul central)
investiia poate varia n funcie de echipamentele, tehnologia folosit. Preul switchurilor
n general variaz n funcie de mrimea backplainului, a numrului de porturi, dac au
management (STP) sau nu, sunt multilayer sau nu. Preul unui switch Cisco Catalyst
3550 poate varia ntre 2000$ 4000$. n schimb am putea folosi swithcuri Catalyst 2950

al cror pre nu depete 800$ (400$-800$) i a cror funcionalitate ne este suficient

pentru nivelul acces (24 porturi, suport VLAN-uri, management, suport autentificare).
Preul cablurilor va varia i acesta n funcie de distana PC-urilor fa de locaia
switchurilor. Preul a 30 de metri de cablu UTP categoria 5 sau 5e este curpins ntre 3$12$. Atenie: PC-urile nu trebuie sa fie mai departe de 100 de metri de switchuri pentru o
funcionare eficient a reelei (conform standardului IEEE 802.3)!
Din punct de vedere al performanei putem rula diferite servicii pe staii diferite
(servere) sau putem rula toate serviciile pe un singur server central. Preul unui server
poate varia n funcie de productor ntre 500$-7000$. Pentru reeaua intern putem avea
un singur server central, din cauza numrului sczut de utilizatori i a numrului de
conexiuni simultane ce pot avea loc la un moment dat (serverele interne pot fi accesate
numai de utilizatorii din reeaua intern nu i de cei din exterior).
Nivelul distribuie poate fi format din rutere sau din switchuri multilayer, de nivel
3. Fiecare ruter (switch layer 3) ce va delimita nivelul acces al unui sediu va fi situat
(fizic) n sediul respectiv. Pe cnd ruterele (switchurile layer 3) de core vor fi situate n
sediul central i numai acolo. Pentru nivelul distribuie vom avea nevoie de rutere cu cel
puin trei interfee Ethernet (o legatur spre switchul de acces iar dou spre ruterele de
core). Sau dac dorim s conectm sediile ntre ele prin fibr optic atunci ar trebui s
avem o intefat optic att pe ruterele de distribuie ct si pe cele de core. Astfel pentru
convertirea semnalului optic n electric avem nevoie de un DWDM (Dense Wavelength
Division Multiplexing). Switchuri de nivel distribuie ce suport un trafic intens sunt
switchurile din familiile Catalyst 6500. Preul unui astfel de switch variaz ntre 500$20000$ sau putem folosi rutere Cisco 2600 al caror pre variaz ntre 100$-2000$, dar
care nu au interfete optice.
Dup cum am vzut mai sus nivelul core este caracterizat de dou lucruri foarte
importante : redundan i comutare ct mai rapid a pachetelor. ns rolul principal al
acestui nivel este de a asigura conectivitatea ntre diferitele pri (locaii) ale reelei.
Pentru reeaua de mai jos nivelul core este inut de dou rutere sau switchuri de nivel trei.
Pentru a asigura redundana am folosit dou dispozitive de core, de care am legat prin
dou legturi fiecare sediu al firmei, dar i prile de management (Management Block) i
servicii (Server Farm). Legturile pot fi de 1Gb sau chiar de 10Gb.
Preul pentru astfel de dispozitive de core este chiar spectaculos, micile companii
deinnd un astfel de echipament prin donaii sau compromisuri majore, dar o firm ce
dorete o implementare la o scar foarte larg nu va fi deranjat s arunce 10000$ pe
un astfel de echipament. Routerele Cisco din seriile 6500, 8000 sau 1010 sunt routere de
core al cror pre poate s ajung chiar pn la 20000$.
Pentru a asigura o bun securitate reelei interne (fiecrui sediu) vom folosi o arie
separat (Enterprise Server Farm) n care vor fi plasate serverele pe care utilizatorii
externi; clienii dar i utilizatorii interni (angajaii fiecarui sediu) le pot accesa. Aceast
parte a reelei este la rndul ei mprit pe cele dou niveluri (acces i distribuie).
n funcie de complexitatea acestei zone se pot folosi mai multe switchuri acces si
un singur router sau switch layer trei pentru conectivitatea cu celelalte locaii. n reeau
de mai jos am folosit un singur switch de nivel acces (Cisco Catalyst 2950) n care sunt
legate mai multe servere ce pot oferi diferite servicii (Web, Mail, DNS i FTP). Dup
cum am vzut i mai sus plasarea unui singur server ce poate oferi mai multe servicii in

detrimentul a mai multor servere ine de performanele dorite i nu n ultimul rnd de

preul pe care suntem gata s-l oferim.
Routerul de nivel distribuie este conectat la ambele routere de core, fapt dorit
pentru a asigura redundan. Nu am dori ca aceast parte a reeleii sa fie down
aproape nicodat, dac este posibil. Aici primim conexiuni att din interior : angajaii
doresc s-i citeasc mailul, s navigheze, s foloseasc serviciul de FTP, ct i conexiuni
din exterior : clienii doresc anumite pagini de web, doresc transfer prin FTP.
Management Block reprezint partea de reea de unde putem face
managementul (troubleshooting) reelei. Adesea actiunile i traficul din reea trebuie
monitorizate aproape constant, folosind tooluri de network management, pentru ca
performana reelei i tolerana la defecte s fie msurate, iar defectele s fie detectate din
timp. Aceste tooluri de management trebuie s fie puse separat deoarece nu sunt accesate
de majoritatea utilizatorilor, ci numai de administratorii de sistem.
De obicei acest segment de reea are prorpiul nivel de distribuie asigurat printr-un
ruter Cisco 2600 modular, ce l conecteaz la core. Deoarece toolurile folosite aici ajut
la monitorizarea echipamentelor i a conectivitii, timpul de rspuns este foarte
important. Ar trebui folosite legturi redundante i switchuri multiple.
Din punct de vedere al serviciilor aici putem avea servere i aplicaii de
monitorizare (Syslog), servere de autentificare (AAA), remote acces, IDS (Intrusion
Detection System). n reeaua descris am folosit un switch Catalyst 2950 n care este
legat un server de Syslog i dou sisteme de detecie a intruziunilor, ce pot fi privite ca
module separate, ce putem s le introducem n ruterul 2600 (de aceea avem nevoie de un
model modular). Preul unui astfel de ruter modular poate varia ntre 250$-2500$ iar
licena pentru o aplicaie de prevenire a intruziunilor poate varia intre 400$-1500$.
Enterprise Edge reprezint legtura reelei cu exteriorul, mai precis cu un
provider de Internet (ISP). Acest segment poate oferi mai multe tipuri de servicii : acces
la Internet, conectare prin VPN pentru clienii externi, VoIP, comer virtual.
Pentru redundan am folosit dou rutere (Cisco 2600) conectate la ruterele de
core pentru acces la Internet, un VPN concentrator pentru conexiunile prin VPN i un
PIX 515E pentru comerul electronic. Preul unui VPN concentrator poate varia ntre
1000$-20000$ iar preul unui PIX 515E poate varia ntre 1700$-5000$.
Cum firma are mai multe sedii dou n afara oraului Iai i Cluj ) trebuie s
alegem o soluie de interconectare a acestora i nu n ultimul rnd o soluie de conectare
la Internet.
Pentru legtura Bucureti - Cluj /Iai
n general, pentru realizarea unei legturi avem 2 variante: instalm legtura
fizic, sau apelm la un furnizor de servicii de acest gen. Deoarece aceast legtur este
la distan mare, nu se vor justifica costurile unei legturi dedicate. De aceea vom ncerca
s cutm soluii printre cele oferite de ISP-uri.
O variant ar fi gsirea unui ISP cu acoperire geografic terestr mare (care s
aib acoperire i n Bucureti i n Cluj/Iai) care s permit conectarea la el n fiecare din
aceste orae la un raport ct mai bun lime de band / pre. Avantajul la a fi la acelai
ISP este legtura rapid ntre cele dou sedii din cele dou orae, mult mai rapid dect
dac am apela la dou ISP-uri separate.
n cazul n care nu am gsit un astfel de ISP, putem ncerca s apelm la dou
ISP-uri diferite, ns trebuie testat n prealabil ct de rapid va fi noua conexiune ntre

cele dou sedii i, nu n ultimul rnd, costul. Pentru c n general fiecare ISP are alte
tarife pentru comunicaiile n cadrul reelei lui fa de comunicaiile n reelele altor ISPuri.
n cazul n care a doua variant nu ne mulumete sau nu exist posibilitatea
conectrii prin cablu, putem ncerca conectarea radio a celor dou sedii prin intermediul
unui furnizor care ofer astfel de servicii la nivel naional.
Dac avem nevoie de o legtur de mare capacitate garantat ntre Cluj/Iai i
Bucureti putem opta pentru o linie dedicat (de exemplu Frame Relay de 2Mbps de la un
provider care ofer Frame Relay), urmnd ca accesul la Internet din Cluj/Iai s se fac
prin Bucureti, sau direct din Cluj/Iai printr-o legtur separat pentru Internet.
Multe alte soluii se pot gsi ce ar putea fi folosite n funcie de diferitele situaii
practice. Dar s nu uitm s lum n considerare necesitatea real a serviciilor obinute i
raportul performan/cost.

Branch
Office B

Branch
Office A

Nivel
Distribuie

Nivel
Core

Management
Block

Enterprise
Server
Farm

Enterprise Edge

ISP

ISP