Репозиторій ЧДТУ
Репозиторій ЧДТУ зберігає і дозволяє легкий і відкритий доступ до всіх видів цифрового контенту, включаючи текст, зображення, анімовані зображення, MPEG і набори даних
Дізнатися більше
Будь ласка, використовуйте цей ідентифікатор, щоб цитувати або посилатися на цей матеріал:
https://er.chdtu.edu.ua/handle/ChSTU/9565| Назва: | Реінжиніринг корпоративної мережі університету |
| Автори: | Гавриш, Олександр Степанович Комашко, Владислав Валентинович |
| Ключові слова: | модель топології Core–Distribution–Access;стандарт Wi-Fi 6;CAPsMAN;матриця міжсегментного доступу;система відеоспостереження IP-CCTV;серверна інфраструктура |
| Дата публікації: | 2026 |
| Короткий огляд (реферат): | Метою даної кваліфікаційної роботи є розробка проєкту реінжинірингу та модернізації мережевої інфраструктури університету для підвищення її продуктивності, відмовостійкості та безпеки. |
| URI (Уніфікований ідентифікатор ресурсу): | https://er.chdtu.edu.ua/handle/ChSTU/9565 |
| Розташовується у зібраннях: | 172 Електронні комунікації та радіотехніка (Телекомунікації) |
Файли цього матеріалу:
| Файл | Опис | Розмір | Формат | |
|---|---|---|---|---|
| Б_172_ТК_Комашко_Гавриш_2026.pdf Restricted Access | 1.18 MB | Adobe PDF | Переглянути/Відкрити Запит копії |
Усі матеріали в архіві електронних ресурсів захищено авторським правом, усі права збережено.
Extracted text
МІНІСТЕРСТВО ОСВІТИ І НАУКИ УКРАЇНИ
ЧЕРКАСЬКИЙ ДЕРЖАВНИЙ ТЕХНОЛОГІЧНИЙ УНІВЕРСИТЕТ
ФАКУЛЬТЕТ ЕЛЕКТРОННИХ ТЕХНОЛОГІЙ, АВТОТРАНСПОРТУ ТА
МАШИНОБУДУВАННЯ
КАФЕДРА РОБОТОТЕХНІЧНИХ І ТЕЛЕКОМУНІКАЦІЙНИХ СИСТЕМ
ТА КІБЕРБЕЗПЕКИ
До захисту допущено
завідувач кафедри РТСК
д.т.н., професор __________ В.В. Палагін
"_____" червня 2026 року
Пояснювальна записка
до кваліфікаційної роботи
освітнього ступеня «бакалавр»
на тему: «Реінжиніринг корпоративної мережі університету»
Виконав студент 4 курсу, групи ТК-26
Спеціальність – 172 «Телекомунікації та
радіотехніка»
Освітня програма – «Телекомунікації»
Комашко Владислав Валентинович
Керівник роботи Гавриш О.С.
Рецензент Філімонов С.О.
Черкаси 2026
Форма № Н-9.01
Черкаський державний технологічний університет
(назва вузу)
Факультет електронних технологій, автотранспорту та машинобудування
Кафедра Робототехнічних і телекомунікаційних систем та кібербезпеки
Освітній ступінь бакалавр
Спеціальність 172 - Телекомунікації та радіотехніка
Освітня програма Телекомунікації
ЗАТВЕРДЖУЮ
Завідувач кафедри РТСК
д.т.н., професор Палагін В.В.
« » 2026 р.
ЗАВДАННЯ
на кваліфікаційний проєкт (роботу) здобувачу вищої освіти
Комашко Владиславу Валентиновичу
(прізвище, ім'я, по батькові)
1. Тема проєкту (роботи) Реінжиніринг корпоративної мережі університету
керівник проекту (роботи) Гавриш Олександр Степанович, к.ф.-м.н., доцент
(прізвище, ім’я, по батькові, науковий ступінь, вчене звання)
затверджена наказом по університету від « 13 » квітня 2026 р. № 94/03-03
2. Строк подання студентом проєкту (роботи) 27 травня 2026 р.
3. Вихідні дані до проекту (роботи) 1500+ хостів, wifi 6 ac+ax, пропускна здатність мережі
10 Гбіт/с, 60+ камер, 70+ точок доступу
4. Зміст розрахунково-пояснювальної записки (перелік питань, які потрібно розробити)______
Вступ. 1. Аналіз предметної області та обгрунтування вимог 2. Проєктування логнічної
структури мережі 3. Практична реалізація та інтеграція систем безпеки, 4. Забезпечення
кібербезпеки та адміністрування мережі, 5. Охорона праці, Висновки
5. Перелік графічного матеріалу (з точним зазначенням обов’язкових креслень)
14 слайдів в Power Point
6. Консультанти з проекту (роботи) із зазначенням розділів проекту, що їх стосуються
Підпис, дата
Розділ Прізвище, ініціали та посада завдання завдання
консультанта видав прийняв
Охорона праці Кожем’якін О.С., ст. викладач
кафедри геодезії, землеустрою,
будівельних конструкцій та
безпеки життєдіяльності
7. Дата видачі завдання 15 лютого 2026 р.
КАЛЕНДАРНИЙ ПЛАН
№ Назва етапів дипломного С т р о к виконання етапів П р имітка
з/п проекту (роботи) проекту (роботи)
1. Аналіз предметної області та обгрунтування вимог 17.01.2026
2 Проєктування логічної структури мережі 07.02.2026
3 Практична реалізація та інтеграція систем безпеки 22.03.2026
4 Забезпечення кібербезпеки та адміністрування 01.04.2026
мережі
5. Розробка розділу з охорони праці 01.05.2026
6. Оформлення пояснювальної записки 11.05.2026
7. Оформлення презентації 25.05.2026
Здобувач вищої освіти Владислав КОМАШКО
(підпис) (прізвище та ініціали)
Керівник проекту (роботи) Олександр ГАВРИШ
(підпис) (прізвище та ініціали)
Зміст
ЗМІСТ
ВСТУП ............................................................................................................ 3
РОЗДІЛ 1. АНАЛІЗ ПРЕДМЕТНОЇ ОБЛАСТІ ТА ОБҐРУНТУВАННЯ
НЕОБХІДНОСТІ МОДЕРНІЗАЦІЇ МЕРЕЖІ ......................................................6
1.1. Роль сучасної мережевої інфраструктури в закладах вищої освіти ...........6
1.2. Аналіз поточного стану та виявлення критичних проблем мережі
університету ............................................................................................................8
1.3. Формування технічних вимог до модернізованої мережі .........................11
1.4. Обґрунтування вибору платформи MikroTik RouterOS та обладнання
RouterBoard .......................................................................................................... 14
РОЗДІЛ 2. ФОРМУВАННЯ ВИМОГ ТА ПРОЄКТУВАННЯ ЛОГІЧНОЇ
СТРУКТУРИ МЕРЕЖІ ....................................................................................... 17
2.1. Технічні вимоги до продуктивності і відмовостійкості інфраструктури.17
2.2. Розробка топології мережі за ієрархічною моделлю Core-Distribution-
Access ................................................................................................................... 20
2.3. Проєктування схеми IP-адресації та сегментації мережі на основі
технології VLAN ................................................................................................. 23
2.4. Планування бездротової мережі Wi-Fi для умов високої щільності
користувачів ....................................................................................................... 26
РОЗДІЛ 3. ПРАКТИЧНА РЕАЛІЗАЦІЯ ТА ІНТЕГРАЦІЯ СИСТЕМ
БЕЗПЕКИ ..............................................................................................................31
3.1. Вибір та технічне обґрунтування обладнання для ядра та рівнів розподілу
.................................................................................................................................31
ТК26.026346.248 ПЗ
Змн. Арк. № докум. Підпис Дата
Розроб. Комашко В.В. Літ. Арк. Акрушів
Перевір. Гавриш О.С. Реінжиніринг 3 89
Реценз. корпоративної мережі
Н. Кон тр. Гавриш О.С. ЧДТУ
університету
Затверд. Палагін В.В.
3.2. Організація мережевих вузлів на поверхах та в навчальних аудиторіях..35
3.3. Налаштування централізованого управління Wi-Fi точками за допомогою
CAPsMAN .............................................................................................................38
3.4. Інтеграція системи відеоспостереження (IP-CCTV) у загальну
інфраструктуру .....................................................................................................42
3.5. Впровадження системи контролю та управління доступом (СКУД) з
використанням PoE-технологій ...........................................................................45
РОЗДІЛ 4. ЗАБЕЗПЕЧЕННЯ КІБЕРБЕЗПЕКИ ТА АДМІНІСТРУВАННЯ
МЕРЕЖІ .................................................................................................................49
4.1. Налаштування міжмережевого екрана (Firewall) та політик доступу в
RouterOS ................................................................................................................49
4.2. Пріоритезація трафіку (QoS) для забезпечення якості роботи навчальних
сервісів ...................................................................................................................55
4.3. Організація системи моніторингу та візуалізації топології в MikroTik The
Dude .......................................................................................................................60
4.4. Організація VPN-доступу..............................................................................65
РОЗДІЛ 5. ОХОРОНА ПРАЦІ………………………………………………….70
5.1 Аналіз небезпек та шкідливостей, які виникають під час виконання робіт
в приміщенні радіотехнічної лабораторії…........................................................70
5.2 Заходи та засоби захисту працівників від ураження електричним
струмом…………………………………………………………………………...76
ВИСНОВКИ ......................................................................................................... 88
СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ ........................................................... 89
Арк.
ТК26.026346.248 ПЗ
Змін. Арк. 2
№ докум. Підпис Дата
ВСТУП
В умовах динамічного розвитку інформаційного суспільства та
масштабної цифровізації всіх сфер людської діяльності мережева
інфраструктура вищого навчального закладу перестає бути лише допоміжним
технічним засобом, а набуває статусу стратегічного ресурсу. Сучасний
університет функціонує як складна цифрова екосистема, де безперебійна та
безпечна передача даних є однією з головних умов для реалізації освітнього
процесу, наукових досліджень та ефективного управління.
Актуальність теми кваліфікаційної роботи зумовлена наявністю в
Черкаському державному технологічному університеті (ЧДТУ) комплексу
системних проблем мережевої інфраструктури, що накопичувалися протягом
тривалого часу: застаріла активна мережева база, відсутність структурованої
кабельної системи, що відповідає вимогам, часткове покриття бездротовою
мережею Wi-Fi в аудиторіях та лабораторіях, відсутність логічної сегментації
трафіку та єдиної системи моніторингу. Ці фактори суттєво знижують якість
освітнього процесу, перешкоджають впровадженню сучасних технологій
дистанційного та змішаного навчання, а також створюють значні ризики для
кібербезпеки навчального закладу.
Реінжиніринг корпоративної мережі передбачає не просте оновлення
окремих компонентів, а комплексне переосмислення усієї інфраструктури з
нуля на основі ієрархічної моделі «Ядро–Розподіл–Доступ». Як технологічну
платформу було обрано рішення MikroTik RouterOS та обладнання серії CRS ,
що забезпечують оптимальне співвідношення функціональності та
економічної доцільності для умов вищого навчального закладу.
Метою роботи є розробка проекту реінжинірингу корпоративної мережі
ЧДТУ, який забезпечить високу продуктивність, відмовостійкість, належний
рівень кібербезпеки та можливість централізованого управління всіма
мережевими ресурсами університету. Для досягнення поставленої мети
визначено такі завдання:
Арк.
ТК26.026346.248 ПЗ
3
Змін. Арк. № докум. Підпис Дата
1. Провести аналіз стану наявної мережевої інфраструктури ЧДТУ,
виявити критичні проблеми та сформулювати технічні вимоги до
модернізованої мережі;
2. Обґрунтувати вибір платформи MikroTik RouterOS та обладнання
RouterBoard як базового рішення для побудови мережі університету;
3. Спроєктувати ієрархічну топологію мережі за моделлю Core–
Distribution–Access із визначенням конкретних моделей обладнання для
кожного рівня згідно з потребами та розрахованим навантаженням;
4. Розробити схему IP-адресації та VLAN-сегментації мережі для ізоляції
трафіку різних категорій користувачів;
5. Спланувати бездротову мережу Wi-Fi з централізованим управлінням на
базі CAPsMAN для умов високої щільності підключень;
6. Реалізувати інтеграцію систем IP-відеоспостереження (IP-CCTV) та
контролю і управління доступом (СКУД) у загальну мережеву
інфраструктуру з використанням технології PoE;
7. Налаштувати комплекс засобів кібербезпеки: міжмережевий екран
(Firewall), механізми QoS, VPN-доступ та систему моніторингу на базі
MikroTik The Dude.
Об'єкт дослідження — корпоративна мережева інфраструктура
Черкаського державного технологічного університету.
Предмет дослідження — методи, технології та засоби реінжинірингу
корпоративних мереж університету на базі платформи MikroTik RouterOS.
Методи дослідження: системний аналіз стану існуючої інфраструктури,
порівняльний аналіз технічних рішень, методи мережевого проєктування
(ієрархічне моделювання, адресне планування).
Практична цінність роботи полягає у розробці готового до
впровадження проєктного рішення з детальними конфігураційними
налаштуваннями на платформі RouterOS, що може бути безпосередньо
застосоване в умовах ЧДТУ для підвищення якості та надійності
університетської мережі.
Арк.
ТК26.026346.248 ПЗ
4
Змін. Арк. № докум. Підпис Дата
Структура роботи. Кваліфікаційна робота складається зі вступу, п'яти
розділів, висновків, списку використаних джерел. Загальний обсяг роботи
становить 90 сторінок, містить 14 таблиць, 4 рисунки та 15 джерел у списку
використаної літератури.
Арк.
ТК26.026346.248 ПЗ
Змін. Арк. 5
№ докум. Підпис Дата
РОЗДІЛ 1
АНАЛІЗ ПРЕДМЕТНОЇ ОБЛАСТІ ТА ОБҐРУНТУВАННЯ
НЕОБХІДНОСТІ МОДЕРНІЗАЦІЇ МЕРЕЖІ
1.1 Роль сучасної мережевої інфраструктури в закладах вищої
освіти
Вищий навчальний заклад є одним із найскладніших середовищ з точки
зору вимог до мережевої інфраструктури. На відміну від типового
корпоративного офісу, університет поєднує в єдиному інформаційному
просторі кілька принципово різних категорій користувачів та послуг:
викладачів, студентів, адміністративного персоналу, а також автоматизовані
системи управління, відеоспостереження та контролю доступу. Кожна з цих
категорій формує специфічні та часто взаємосуперечливі вимоги до
пропускної здатності, рівня захисту та якості обслуговування.
У сучасній науковій літературі мережева інфраструктура університету
вважається критичним компонентом цифрового кампусу (Smart Campus), який
забезпечує інтеграцію освітніх, дослідницьких та управлінських процесів [1].
Зокрема, зростання потреби змішаного та дистанційного навчання значно
підвищило вимоги до пропускної здатності та стабільності університетських
мереж. Системи управління навчанням (LMS), такі як Moodle, платформи
відеоконференцій, хмарне сховище навчальних матеріалів – усі ці сервіси
генерують значний і часом непередбачуваний мережевий трафік.
Окрему роль відіграє наукова складова діяльності університету.
Дослідницька робота передбачає обмін великими наборами даних з
установами-партнерами, доступ до міжнародних наукометричних баз даних та
використання розподілених обчислювальних ресурсів. За оцінками GÉANT
(Панєвропейської дослідницької та освітньої мережі), середнє споживання
трафіку в університетських мережах подвоюється кожні 3–4 роки, що вимагає
значного запасу продуктивності, закладеного на етапі проектування [2].
Арк.
ТК26.026346.248 ПЗ
6
Змін. Арк. № докум. Підпис Дата
Не менш важливим є адміністративний вимір. Електронний
документообіг, система управління університетом, фінансові модулі — усі
вони потребують стабільного та захищеного мережевого середовища. Будь-
який збій у роботі мережі безпосередньо паралізує адміністративні процеси та
може призвести до значних організаційних та фінансових наслідків.
З точки зору безпеки, університети є особливо привабливими цілями для
кіберзлочинців, оскільки вони поєднують велику кількість відносно
необізнаних користувачів (студентів) з цінними особистими та академічними
даними. Згідно зі звітом Verizon Data Breach Investigations Report, сектор
освіти постійно входить до п'ятірки найбільш атакованих галузей [3]. Це
робить сегментацію мережі, сегрегацію прав доступу та моніторинг трафіку не
просто бажаними, а обов'язковими вимогами для мережевої інфраструктури
університетів.
Таким чином, сучасна університетська мережа повинна відповідати
щонайменше чотирьом ключовим критеріям:
– масштабованість — здатність до нарощування продуктивності та
охоплення без кардинальної перебудови архітектури;
– відмовостійкість — забезпечення безперервності сервісів за рахунок
резервування критичних компонентів;
– безпека — багаторівневий захист від зовнішніх та внутрішніх загроз із
чітким розмежуванням мережевих сегментів;
– керованість — наявність централізованих інструментів моніторингу,
управління та автоматизованого реагування на інциденти.
Саме ці критерії стали визначальними під час формування технічних
вимог до проєкту реінжинірингу корпоративної мережі ЧДТУ, детальний
аналіз поточного стану якої розглядається в наступному підрозділі.
Арк.
ТК26.026346.248 ПЗ
Змін. Арк. 7
№ докум. Підпис Дата
1.2 Аналіз поточного стану та виявлення критичних проблем
мережі університету
Аналіз стану мережевої інфраструктури ЧДТУ здійснювався шляхом
технічного аудиту активного та пасивного обладнання, опитування системних
адміністраторів університету та безпосереднього обстеження мережевих
вузлів. За результатами аудиту виявлено чотири групи критичних проблем, що
унеможливлюють подальшу ефективну експлуатацію існуючої
інфраструктури.
Проблема 1. Відсутність документації та топологічного контролю.
Мережа університету розвивалася стихійно впродовж тривалого часу за
принципом «додавання нового поверх старого». Унаслідок цього на момент
аудиту відсутні будь-які актуальні схеми підключення — ані фізична (L1), ані
логічна (L2/L3) топологія. Кожен збій у мережі вимагає фізичного обходу
кабельних трас та перевірки комутаторів, що катастрофічно збільшує середній
час відновлення після відмови (MTTR). Крім того, хаотична побудова
підвищує ймовірність виникнення петель комутації, здатних паралізувати цілі
сегменти мережі за відсутності належно налаштованого протоколу STP,
LoopGuard.
Проблема 2. Застаріла активна база та некерований парк
обладнання.
Основою активного обладнання є некеровані комутатори побутового та
нижчого корпоративного класу, значна частина яких була введена в
експлуатацію понад 10 років тому. Використання некерованих комутаторів
унеможливлює реалізацію сегментації VLAN, пріоритезації трафіку QoS,
централізованого моніторингу через SNMP або будь-яких інших засобів
управління. Пристрої підключаються методом "гірлянди", який формує
єдиний плоский широкомовний домен (Flat Network) у масштабі всього
університету. Це генерує постійний потік широкомовних пакетів (Broadcast
Арк.
ТК26.026346.248 ПЗ
8
Змін. Арк. № докум. Підпис Дата
Storm), який знижує ефективну пропускну здатність мережі навіть за
відсутності пікових навантажень.
Проблема 3. Часткове покриття бездротової мережі.
Точки доступу Wi-Fi встановлені переважно в коридорах і є або
побутовими пристроями, або застарілими корпоративними моделями
стандарту 802.11n. Більшість навчальних аудиторій та лабораторій не мають
власних точок доступу. Внаслідок цього під час проведення контрольних
заходів у системі Moodle (30–35 студентів одночасно) коридорні точки
доступу перевантажуються, та використовують 90%+ ресурсу каналу, що
призводить до критичного зростання затримок, масових розривів з'єднання та
фактичної непрацездатності платформи тестування. Відсутня будь-яка
система централізованого управління точками доступу: кожна з них
налаштована автономно, що виключає можливість балансування
навантаження, роумінгу між точками та застосування єдиної політики безпеки
бездротового доступу.
Проблема 4. Відсутність сегментації та критичні вразливості
безпеки.
Унаслідок використання плаского широкомовного домену весь трафік
університету — студентський, адміністративний, серверний, а також трафік
систем відеоспостереження — передається в одному мережевому сегменті.
Будь-який пристрій, підключений до розетки в аудиторії, або до WiFi мережі
без захисту отримує потенційний мережевий доступ до серверів бухгалтерії,
деканатів та інших чутливих адміністративних ресурсів. Відсутні будь-які
засоби міжмережевої фільтрації трафіку, автентифікації користувачів або
контролю доступу на рівні портів комутатора. Це є грубим порушенням
базових принципів інформаційної безпеки та вимог чинного законодавства
України у сфері захисту персональних даних.
Для наочності результати аудиту систематизовано в таблиці 1.1.
Арк.
ТК26.026346.248 ПЗ
9
Змін. Арк. № докум. Підпис Дата
Таблиця 1.1 — Результати аудиту мережевої інфраструктури ЧДТУ
Компонент Ступінь
Виявлена проблема
інфраструктури критичності
Кабелі Cat5/Cat5e, відсутність
Кабельна система Високий
маркування, пошкоджені конектори
Некеровані комутатори,
Активне обладнання «гірляндне» підключення, вік > 10 Критичний
років
Часткове покриття AP,
Бездротова мережа Критичний
побутові/застарілі пристрої
Flat Network, відсутність VLAN,
Мережева безпека Критичний
Firewall та контролю доступу
Відсутні фізична та логічна схеми
Документація Високий
мережі
Відсутня система моніторингу та
Моніторинг Середній
сповіщень про можливі збої роботи
Зафіксований стан інфраструктури унеможливлює подальший розвиток
цифрового середовища університету та вимагає комплексного реінжинірингу
— тобто повного перепроєктування мережі на нових архітектурних засадах, а
не часткового ремонту окремих її елементів.
Арк.
ТК26.026346.248 ПЗ
10
Змін. Арк. № докум. Підпис Дата
1.3 Формування технічних вимог до модернізованої мережі
На підставі результатів аудиту та аналізу кращих практик побудови
університетських мереж сформовано п'ять груп технічних вимог до
модернізованої інфраструктури ЧДТУ.
1. Архітектурні та структурні вимоги.
Мережа повинна бути побудована за трирівневою ієрархічною моделлю
Core–Distribution–Access, що забезпечує чітку структуру, детерміновані
маршрути трафіку та легке масштабування. Кожна одиниця активного
обладнання (комутатори, маршрутизатори, точки доступу) повинна бути
керованою та підтримувати протоколи: SSH/WinBox (керування), SNMP
(моніторинг), LLDP/CDP (автовиявлення топології). Обов'язкова наявність
актуальної фізичної та логічної схем мережі, а також маркування всіх портів і
кабелів відповідно до стандарту TIA-606.
2. Вимоги до продуктивності та відмовостійкості.
Магістральні канали між рівнями Core та Distribution повинні мати
пропускну здатність не менше 10 Гбіт/с (інтерфейси SFP+). Кінцеві порти для
підключення робочих станцій та точок доступу — не менше 1 Гбіт/с. Ядро
мережі підлягає обов'язковому резервуванню із забезпеченням автоматичного
перемикання на резервний канал у разі відмови основного (VRRP або статичне
резервування). Комутатори рівня доступу повинні підтримувати стандарти
PoE 802.3af/at для забезпечення живлення точок доступу Wi-Fi, IP-камер
відеоспостереження та контролерів СКУД без прокладання додаткової мережі
живлення [13].
3. Вимоги до бездротової мережі.
Кожна навчальна аудиторія, лабораторія та адміністративне приміщення
повинні мати власну точку доступу Wi-Fi — забезпечення 100% покриття.
Точки доступу повинні підтримувати стандарт Wi-Fi 6 (802.11ax) та
витримувати не менше 50–60 одночасних активних сесій без погіршення
якості зв'язку та критичного навантаження обладнання. Обов'язкове
Арк.
ТК26.026346.248 ПЗ
11
Змін. Арк. № докум. Підпис Дата
впровадження системи централізованого управління CAPsMAN для
автоматичної конфігурації точок, балансування навантаження між каналами
2.4 та 5 ГГц, а також забезпечення безшовного роумінгу для мобільних
пристроїв.
4. Вимоги до безпеки та логічної ізоляції.
Мережа повинна бути сегментована на основі технології VLAN (802.1Q)
з ізоляцією трафіку між такими логічними сегментами: управлінський
(Management), адміністративний, навчальний (комп'ютерні класи),
бездротовий для персоналу, бездротовий для студентів, системи безпеки (IP-
CCTV та СКУД). Між сегментами повинна бути запроваджена чітка політика
доступу на базі Firewall RouterOS. Необхідна реалізація VPN-шлюзу для
захищеного віддаленого доступу адміністраторів та викладачів.
5. Вимоги до моніторингу та адміністрування.
Система моніторингу повинна забезпечувати: побудову інтерактивної
карти мережі у реальному часі (MikroTik The Dude), автоматичне виявлення
нових пристроїв через LLDP/Neighbor Discovery, сповіщення адміністратора
про критичні події (падіння каналу, перевищення порогів завантаженості
процесора/пам'яті, перегрів) із доставкою через Telegram або e-mail. Усі
пристрої повинні мати синхронізований час (NTP) для кореляції подій у
журналах.
Зведені технічні вимоги представлено в таблиці 1.2.
Таблиця 1.2 — Зведені технічні вимоги до модернізованої мережі ЧДТУ
Група вимог Ключовий показник Значення
Продуктивність Магістральний канал 10 Гбіт/с (SFP+)
Продуктивність Порти доступу 1 Гбіт/с
Бездротова мережа Стандарт Wi-Fi 802.11ax (Wi-Fi 6)
Бездротова мережа Одночасних клієнтів на AP ≥ 50
PoE Стандарт живлення 802.3af/at
Арк.
ТК26.026346.248 ПЗ
12
Змін. Арк. № докум. Підпис Дата
Безпека Кількість VLAN-сегментів ≥ 6
VRRP / статичний
Відмовостійкість Резервування ядра
failover
Система відображення
Моніторинг MikroTik The Dude
топології
Арк.
ТК26.026346.248 ПЗ
13
Змін. Арк. № докум. Підпис Дата
1.4 Обґрунтування вибору платформи MikroTik RouterOS та
обладнання RouterBoard
Визначення технологічної платформи для реалізації проєкту є одним із
ключових рішень, що безпосередньо впливає на функціональність, вартість і
можливість довгострокової підтримки інфраструктури. На ринку
корпоративних мережевих рішень для університетів конкурують кілька
основних вендорів: Cisco Systems, Ubiquiti Networks та MikroTik. Для
обґрунтованого вибору проведено порівняльний аналіз за шістьома
критеріями, що відповідають сформованим технічним вимогам та умовам
ЧДТУ (таблиця 1.3).
Таблиця 1.3 — Порівняльний аналіз мережевих платформ для реінжинірингу
мережі ЧДТУ
Cisco MikroTik
Критерій Ubiquiti (UniFi)
(Catalyst/Meraki) (RouterOS)
Вартість обладнання Висока Середня Середня
Відсутні (вкладено
Ліцензійні витрати Щорічні Відсутні у вартість
обладнання)
Функціональність Висока Середня Висока
VLAN / QoS / Firewall Повна підтримка Обмежена Повна підтримка
Централізоване Cisco WLC /
UniFi Controller CAPsMAN
управління Wi-Fi Meraki
Підтримка PoE
Так Так Так (CRS серія)
(802.3af/at)
Спільнота та
Обмежена Середня Велика
документація
Cisco Systems є беззаперечним лідером за функціональністю та
надійністю, однак вартість обладнання та щорічні ліцензійні витрати
Арк.
ТК26.026346.248 ПЗ
14
Змін. Арк. № докум. Підпис Дата
(особливо для платформи Meraki) є неприйнятними для бюджетного
університету. Орієнтовна вартість побудови аналогічної інфраструктури на
Cisco перевищує варіант MikroTik у 4–6 разів [4].
Ubiquiti пропонує привабливий інтерфейс управління та відносно
доступне обладнання для Wi-Fi, проте обмежені можливості Firewall,
обмежена підтримка VLAN, відсутність повноцінної підтримки динамічної
маршрутизації та менш гнучкі засоби QoS роблять цю платформу не
підходящою для реалізації повного комплексу вимог даного проєкту.
MikroTik RouterOS надає весь необхідний функціональний набір:
повноцінний stateful Firewall з підтримкою Layer 7, гнучку систему QoS (HTB,
HFSC), динамічну маршрутизацію, VLAN, нативна підтримка кількох
протоколів VPN (WireGuard, L2TP/IPsec), централізоване управління Wi-Fi без
додаткових ліцензійних витрат, а також потужні засоби моніторингу,
встановлення яких не потребує додаткових витрат, до того ж вони
оптимізовані під дані комутатори (The Dude, SNMP, Syslog) [9]. При цьому
вартість рішення є принципово нижчою порівняно з конкурентами, що
відповідає реальним бюджетним можливостям державного університету.
Додатковими аргументами на користь MikroTik є наявність значної
україномовної спільноти, розгалуженої дилерської мережі та сервісних
центрів на території України, що забезпечує доступність технічної підтримки
та оперативного постачання замінних компонентів.
Таким чином, платформа MikroTik RouterOS є оптимальним вибором
для реалізації проєкту реінжинірингу корпоративної мережі ЧДТУ з
урахуванням технічних вимог, бюджетних обмежень та умов подальшої
експлуатації з довготривалою підтримкою.
Арк.
ТК26.026346.248 ПЗ
Змін. Арк. 15
№ докум. Підпис Дата
Висновки до розділу 1
У першому розділі проведено комплексний аналіз предметної області та
обґрунтовано необхідність реінжинірингу мережевої інфраструктури ЧДТУ.
Визначено роль мережі як стратегічного ресурсу сучасного університету;
виявлено чотири групи критичних проблем поточної інфраструктури:
відсутність документації, застаріле некеровуване обладнання, часткове
покриття Wi-Fi та відсутність мережевої сегментації і безпеки. Сформовано
п'ять груп технічних вимог до модернізованої мережі та проведено
порівняльний аналіз трьох мережевих платформ (Cisco, Ubiquiti, MikroTik), за
результатами якого обґрунтовано вибір MikroTik RouterOS як базової
технологічної платформи для реалізації проєкту.
Арк.
ТК26.026346.248 ПЗ
16
Змін. Арк. № докум. Підпис Дата
РОЗДІЛ 2
ФОРМУВАННЯ ВИМОГ ТА ПРОЄКТУВАННЯ ЛОГІЧНОЇ
СТРУКТУРИ МЕРЕЖІ
2.1 Технічні вимоги до продуктивності і відмовостійкості
інфраструктури
Проєктування будь-якої корпоративної мережі розпочинається з
детального визначення необхідних параметрів продуктивності та якісних
вимог до відмовостійкості. Для університетської мережі ці показники мають
особливе значення, оскільки навчальний заклад функціонує в умовах жорстко
регламентованого розкладу: збій у мережі під час іспиту чи публічного заходу
є неприйнятним із точки зору репутації та навчального процесу.
Оцінка навантаження. Для коректного розрахунку пропускної здатності
визначено профілі трафіку основних категорій користувачів ЧДТУ (табл. 2.1).
Таблиця 2.1 — Профілі трафіку категорій користувачів ЧДТУ
Пікове
Категорія Кількість Сумарний трафік
навантаження на
користувачів пристроїв (пік)
користувача
Студенти (провідна
480 10 Мбіт/с 4 800 Мбіт/с
мережа, комп. класи)
Студенти (Wi-Fi) 600 5 Мбіт/с 3 000 Мбіт/с
Викладачі та персонал
120 20 Мбіт/с 2 400 Мбіт/с
(Wi-Fi)
Адміністрація
80 15 Мбіт/с 1 200 Мбіт/с
(провідна)
IP-камери
64 4 Мбіт/с (Full HD) 256 Мбіт/с
відеоспостереження
Арк.
ТК26.026346.248 ПЗ
17
Змін. Арк. № докум. Підпис Дата
Серверна ≥ 10 000 Мбіт/с
— —
інфраструктура (10G)
Наведені оцінки отримано з урахуванням коефіцієнта одночасності (0,6–
0,7 для навчального процесу), що відповідає практиці проєктування
корпоративних мереж [5]. Отже, магістральний канал між рівнями Core та
Distribution повинен забезпечувати пропускну здатність не менше 10 Гбіт/с,
що реалізується через інтерфейси SFP+ у режимі агрегування каналів (LACP)
або через два незалежні 10G-аплінки від різних надавачів послуги доступу в
Інтернет.
Вимоги до затримок. Для сервісів, критичних до затримки (VoIP,
відеоконференцзв'язок, онлайн-тестування у Moodle), встановлено такі
граничні значення:
– затримка в межах кампусної мережі — не більше 1 мс;
– джитер для потоків VoIP — не більше 20 мс;
– втрати пакетів — не більше 0,1% для критичного трафіку.
Вимоги до відмовостійкості. Для університетської мережі визначено
такі цільові показники доступності:
– доступність ядра мережі — не менше 99,9%;
– доступність рівня розподілу — не менше 99,5%;
– час відновлення після відмови одного каналу зв’язку — не більше 30
секунд.
Для досягнення зазначених показників передбачено такі механізми
відмовостійкості:
1. Резервування маршрутизаторів ядра за протоколом VRRP (Virtual Router
Redundancy Protocol) — автоматичне перемикання шлюзу за
замовчуванням при відмові активного пристрою.
2. Резервування магістральних каналів між рівнями Core та Distribution —
два незалежні SFP+-з'єднання з агрегуванням (LACP) або Failover-
перемикання.
Арк.
ТК26.026346.248 ПЗ
Змін. 18
Арк. № докум. Підпис Дата
3. Джерела безперебійного живлення (ДБЖ) у серверній кімнаті та місцях
розміщення телекомунікаційного обладнання на поверхах — для
захисту від короткочасних відключень електроживлення.
Вимоги до масштабованості. Проєкт розраховується з 30% запасом
адресного простору та портів для підключення нових пристроїв без
перепроєктування топології. Використання ієрархічної моделі Core–
Distribution–Access дозволяє нарощувати мережу шляхом додавання нових
комутаторів доступу без змін у конфігурації ядра.
Таким чином, сформовані вимоги до продуктивності та відмовостійкості
є вихідними даними для проєктування топології, вибору обладнання та
розробки схеми адресації, що розглядаються в наступних підрозділах.
Арк.
ТК26.026346.248 ПЗ
19
Змін. Арк. № докум. Підпис Дата
2.2 Розробка топології мережі за ієрархічною моделлю Core–
Distribution–Access
Ієрархічна трирівнева модель мережі, популяризована компанією Cisco
і широко прийнята в галузі, є загальноприйнятим стандартом для побудови
мереж великих організацій [6, 14, 15]. Модель передбачає чіткий
функціональний поділ мережі на три рівні: ядро (Core), розподіл (Distribution)
та доступ (Access). Кожен рівень виконує строго визначені функції, що
забезпечує швидку маршрутизацію трафіку, спрощує виявлення та усунення
несправностей та дозволяє масштабувати окремі рівні незалежно.
Рівень ядра (Core Layer). Це найвищий рівень ієрархії, що відповідає за
швидку та надійну передачу трафіку між усіма іншими рівнями мережі та
забезпечує вихід до Інтернету. Для ЧДТУ на рівні ядра розміщується головний
маршрутизатор MikroTik CCR2116-12G-4S+, що встановлюється в
центральній серверній. На цьому пристрої реалізуються: маршрутизація між
VLAN, NAT та підключення до провайдера Інтернету, Firewall, контролер
бездротової мережі CAPsMAN, VPN-сервер, а також система моніторингу The
Dude.
Рівень розподілу (Distribution Layer). Цей рівень є посередником між
ядром і рівнем доступу. Він виконує агрегацію трафіку від комутаторів
доступу, застосування політик QoS, маршрутизацію між поверховими
сегментами та забезпечення відмовостійкого підключення до ядра. Для ЧДТУ
на рівні розподілу встановлюються керовані комутатори MikroTik CRS326-
24G-2S+RM — по одному на корпус (2, 3, 4, 10, спортзал) або на групу
поверхів. Ці пристрої підключаються до ядра через порти SFP+ (10 Гбіт/с) і
забезпечують агрегацію трафіку від комутаторів доступу через гігабітні порти.
Рівень доступу (Access Layer). Найнижчий рівень ієрархії, який
безпосередньо підключає кінцеві пристрої: комп'ютери навчальних
лабораторій, IP-телефони, точки доступу Wi-Fi, IP-камери та контролери
СКУД. На цьому рівні реалізується розподіл пристроїв за VLAN на рівні порту
Арк.
ТК26.026346.248 ПЗ
20
Змін. Арк. № докум. Підпис Дата
комутатора та живлення пристроїв через PoE. Для ЧДТУ на рівні доступу
використовуються два типи комутаторів MikroTik залежно від призначення
поверхового вузла:
– MikroTik CRS354-48G-4S+2Q+RM — для поверхів із комп'ютерними
класами (48 портів 1G, без PoE, 4× SFP+ 10G для аплінків та
міжкомутаторних з'єднань);
– MikroTik CRS328-24P-4S+RM — для поверхів, де переважають точки
доступу Wi-Fi, IP-камери та контролери СКУД (24 порти 1G з PoE
802.3af/at, бюджет PoE 500 Вт, 4× SFP+ 10G).
Фізична топологія. Фізично мережа ЧДТУ реалізується за топологією
«зірка» з ієрархічним підключенням. Центральна серверна виступає коренем
ієрархії. Від неї за допомогою оптоволоконних кабелів прокладаються
магістральні лінії до телекомунікаційних шаф на кожному поверсі. Кабельна
інфраструктура в межах поверху — кабель UTP категорії 6A (підтримка 10
Гбіт/с на відстані до 100 м), що відповідає стандарту TIA/EIA-568-C.2.
Логічна структура топології ЧДТУ відповідно до ієрархічної моделі
представлена в таблиці 2.2.
Таблиця 2.2 — Логічна структура топології мережі ЧДТУ
Підключення
Рівень Пристрій Кількість до вищого Функції
рівня
MikroTik
ISP Маршрутизація, Firewall,
Core CCR2116-12G- 1
(провайдер) CAPsMAN, VPN, The Dude
4S+
MikroTik
2× SFP+ 10G Агрегація трафіку, QoS,
Distribution CRS326-24G- 2
до Core VLAN trunk
2S+RM
MikroTik
Access 2× SFP+ 10G Підключення ПК, VLAN на
CRS354-48G- 6
(класи) до Distribution портах
4S+RM
Арк.
ТК26.026346.248 ПЗ
Змін. Арк. № докум. 21
Підпис Дата
MikroTik
Access 2× SFP+ 10G Живлення AP, камер,
CRS328-24P- 8
(PoE) до Distribution СКУД через PoE
4S+RM
Зазначена топологія забезпечує оптимальні шляхи трафіку, можливість
незалежного масштабування кожного рівня та просту локалізацію
несправностей. Відсутність горизонтальних зв'язків між комутаторами одного
рівня унеможливлює утворення петель на рівні комутаторів агрегації без
додаткового налаштування STP, хоча на комутаторах рівня доступу протокол
RSTP все одно активується як захисний механізм.
Арк.
ТК26.026346.248 ПЗ
Змін. 22
Арк. № докум. Підпис Дата
2.3 Проєктування схеми IP-адресації та сегментації мережі на
основі технології VLAN
Логічна сегментація мережі є одним із основних механізмів
забезпечення безпеки та керованості корпоративної мережі. Технологія VLAN
(IEEE 802.1Q) дозволяє розділити фізичну мережу на кілька незалежних
логічних сегментів, між якими трафік може передаватися лише через
маршрутизатор з явно дозволеними правилами доступу [11].
Для мережі ЧДТУ розроблено схему сегментації, що включає сім VLAN-
сегментів. Кожен сегмент ізолює конкретну категорію пристроїв або
користувачів, що мінімізує ризики несанкціонованого доступу та обмежує
поширення широкомовного трафіку (таблиця 2.3).
Таблиця 2.3 — Схема VLAN-сегментації мережі ЧДТУ
VLAN
Назва Підмережа Шлюз Призначення
ID
Управління мережевими
10 MGMT 10.0.10.0/24 10.0.10.1 пристроями (тільки
адміністратор)
Адміністрація: деканати,
20 ADMIN 10.0.20.0/24 10.0.20.1
бухгалтерія, кафедри
Комп'ютерні навчальні класи
30 PC-ROOM 10.0.30.0/23 10.0.30.1
(провідна мережа)
Wi-Fi для викладачів та
40 WIFI-STAFF 10.0.40.0/24 10.0.40.1
персоналу (WPA3-Enterprise)
Wi-Fi для студентів (Hotspot/
50 WIFI-STD 10.0.50.0/22 10.0.50.1
WPA2, ізоляція клієнтів)
60 CCTV 10.0.60.0/24 10.0.60.1 IP-камери відеоспостереження
Система контролю та управління
70 ACS 10.0.70.0/24 10.0.70.1
доступом (СКУД)
Арк.
ТК26.026346.248 ПЗ
Змін. Арк. 23
№ докум. Підпис Дата
Обґрунтування розмірів підмереж. Розміри підмереж визначено з
урахуванням поточної та перспективної кількості пристроїв у кожному
сегменті з 30% запасом адресного простору:
– VLAN 10 (MGMT, /24): до 254 адресуємих пристроїв — достатньо для
всього активного мережевого обладнання університету з великим
запасом;
– VLAN 20 (ADMIN, /24): до 254 адрес — покриває всі адміністративні
робочі станції та принтери;
– VLAN 30 (PC-ROOM, /23): до 510 адрес — враховує до 16 комп'ютерних
класів по 30 ПК;
– VLAN 40 (WIFI-STAFF, /24): до 254 адрес — достатньо для всіх
викладачів та адміністративного персоналу;
– VLAN 50 (WIFI-STD, /22): до 1022 адрес — забезпечує одночасне
підключення студентів із запасом;
– VLAN 60 (CCTV, /24): до 254 адрес — покриває поточні 64 камери та
можливе розширення;
– VLAN 70 (ACS, /24): до 254 адрес — покриває всі контролери СКУД.
Схема адресації побудована в межах сірого діапазону IP 10.0.0.0/8, що
є стандартною практикою для корпоративних мереж. Використання блоку
10.0.0.0/8 дозволяє зберігати прозору структуру адресації: другий октет
ідентифікує VLAN, що суттєво спрощує адміністрування, діагностику,
налаштування обладнання.
Реалізація VLAN у RouterOS MikroTik. На маршрутизаторі ядра
CCR2116 міжмережева маршрутизація між VLAN реалізується через
субінтерфейси (VLAN-інтерфейси), прив'язані до транкового порту SFP+.
Приклад конфігурації VLAN-інтерфейсу для сегменту ADMIN (VLAN 20) в
RouterOS:
/interface vlan
add name=vlan20-admin vlan-id=20 interface=sfp-sfpplus1
comment="Administration"
Арк.
ТК26.026346.248 ПЗ
24
Змін. Арк. № докум. Підпис Дата
/ip address
add address=10.0.20.1/24 interface=vlan20-admin
На комутаторах рівня розподілу та доступу налаштовуються транкові
(trunk) порти у напрямку до ядра та рівня вище, а також порти доступу (access)
для підключення кінцевих пристроїв з прив'язкою до конкретного VLAN.
Матриця доступу між VLAN. Правила міжмережевого доступу між
сегментами визначаються в Firewall RouterOS і детально розглядаються у
розділі 4. Загальна матриця дозволених взаємодій між сегментами
представлена в таблиці 2.4.
Таблиця 2.4 — Матриця міжсегментного доступу (✓ — дозволено, ✗ —
заборонено)
Джерело \ PC- WIFI- WIFI-
MGMT ADMIN CCTV ACS Інтернет
Призначення ROOM STAFF STD
MGMT ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓
ADMIN ✗ ✓ ✗ ✗ ✗ ✓ ✓ ✓
PC-ROOM ✗ ✗ ✓ ✗ ✗ ✗ ✗ ✓
WIFI-STAFF ✗ ✓ ✗ ✓ ✗ ✗ ✗ ✓
WIFI-STD ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✓
CCTV ✗ ✗ ✗ ✗ ✗ ✓ ✗ ✗
ACS ✗ ✗ ✗ ✗ ✗ ✗ ✓ ✗
Зазначена матриця реалізує принцип найменших привілеїв: кожен
сегмент має доступ лише до тих ресурсів, які необхідні для виконання його
функцій. Студентський сегмент (WIFI-STD) ізольований від усіх внутрішніх
ресурсів і має доступ виключно до Інтернету. Сегменти відеоспостереження
та СКУД замкнені самі в собі та не мають виходу до Інтернету задля
унеможливлення кібератак на мережу за допомогою «бекдорів» та проблем
конфіденційності даних девайсів, що є характерною та поширеною
проблемою.
Арк.
ТК26.026346.248 ПЗ
25
Змін. Арк. № докум. Підпис Дата
2.4 Планування бездротової мережі Wi-Fi для умов високої
щільності користувачів
Проєктування бездротової мережі для університету є одним із
найскладніших завдань у корпоративному мережевому проєктуванні.
Університетське середовище характеризується умовами надвисокої щільності
підключень: від 30 до 60 студентів одночасно активно використовують одну
Wi-Fi точку доступу для роботи з навчальними платформами, що принципово
відрізняється від офісного або домашнього сценарію використання.
Вибір стандарту Wi-Fi. Для реалізації проєкту обрано стандарт IEEE
802.11ax (Wi-Fi 6), що є оптимальним рішенням для умов високої щільності
користувачів [7, 12]. Ключові переваги Wi-Fi 6 порівняно з попереднім
стандартом 802.11ac (Wi-Fi 5) наведено в таблиці 2.5.
Таблиця 2.5 — Порівняння Wi-Fi 5 та Wi-Fi 6 для умов університету
Wi-Fi 5 Wi-Fi 6
Параметр Значення для університету
(802.11ac) (802.11ax)
Більший запас пропускної
Макс. швидкість 3,5 Гбіт/с 9,6 Гбіт/с
здатності
Одночасне обслуговування
Технологія доступу OFDM OFDMA
кількох клієнтів
4×4 (тільки 8×8 (uplink + Підвищена ємність при 30+
MU-MIMO
downlink) downlink) клієнтів
Зниження взаємних завад між
BSS Coloring Відсутній Присутній
AP
TWT (Target Wake Зниження споживання енергії
Відсутній Присутній
Time) IoT-пристроїв
Ефективність у
щільному Низька Висока Критично для аудиторій
середовищі
Арк.
ТК26.026346.248 ПЗ
26
Змін. Арк. № докум. Підпис Дата
Ключовою технологією Wi-Fi 6 для університетського застосування є
OFDMA (Orthogonal Frequency Division Multiple Access), що дозволяє
одночасно обслуговувати кілька клієнтів у межах одного каналу, ділячи
частотний ресурс. Це принципово відрізняється від Wi-Fi 5, де клієнти
обслуговуються почергово, що призводить до просідання продуктивності при
збільшенні кількості підключень [7, 12].
Вибір точок доступу. Для реалізації проєкту обрано точки доступу
MikroTik cAP ax (RBcAPGi-5acD2nD), що підтримують Wi-Fi 6 у діапазонах
2.4 та 5 ГГц, мають вбудовану підтримку CAPsMAN v2 і живляться через PoE
802.3at (19,5 Вт). Для коридорів та зон з меншою щільністю користувачів
використовуються MikroTik cAP ac, що підтримують Wi-Fi 5 і є більш
економічно доцільними для цих зон.
Планування частотних каналів. Для діапазону 2.4 ГГц можливі лише три
неперекриваючихся канали (1, 6, 11), тому основне навантаження
переноситься на діапазон 5 ГГц, де доступно значно більше
неперекриваючихся каналів. Розподіл каналів реалізується автоматично через
механізм AutoChannel у CAPsMAN, який аналізує радіооточення та призначає
оптимальний канал кожній точці доступу при її підключенні до контролера.
Розміщення точок доступу. Точки доступу розміщуються по одній у
кожній навчальній аудиторії та лабораторії. Монтаж здійснюється на стелі в
геометричному центрі приміщення для максимально рівномірного покриття.
У довгих коридорах встановлюються три точки MikroTik cAP ac з кроком
близько 20–25 м для забезпечення перекриття зон покриття та безшовного
роумінгу.
Система CAPsMAN. Централізоване управління всіма точками доступу
реалізується через вбудований в RouterOS 7 контролер CAPsMAN, що
активується безпосередньо на маршрутизаторі ядра CCR2116. Така
архітектура виключає потребу в окремому фізичному або хмарному
контролері, знижуючи загальну вартість рішення. CAPsMAN забезпечує:
Арк.
ТК26.026346.248 ПЗ
27
Змін. Арк. № докум. Підпис Дата
– автоматичну конфігурацію нових точок доступу при їх підключенні до
мережі;
– централізоване управління SSID, параметрами безпеки та частотними
профілями;
– балансування навантаження між точками доступу (Band Steering —
примусове переведення клієнтів на 5 ГГц);
– роумінг між точками доступу без розриву активних сесій (Layer 2
Roaming у межах одного VLAN);
– збір статистики підключень та централізований журнал подій.
Для навчальних аудиторій у CAPsMAN налаштовуються два профілі
SSID:
– CHSTU-Staff (VLAN 40) — захищена мережа для персоналу з
автентифікацією WPA3-Enterprise через RADIUS-сервер;
– CHSTU-Students (VLAN 50) — мережа для студентів з авторизацією
через Hotspot-портал RouterOS та ізоляцією клієнтів (AP Isolation), що
унеможливлює прямий зв'язок між пристроями студентів.
Обмеження швидкості. Для студентського сегменту WIFI-STD у
RouterOS налаштовується профіль обмеження швидкості через Simple Queue
або PCQ (Per Connection Queue): не більше 20 Мбіт/с на одного клієнта та не
більше 200 Мбіт/с на всю точку доступу. Це запобігає ситуації, коли один або
кілька користувачів використовують весь ресурс каналу завдяки фоновим
завантаженням.
Кількість точок доступу. На підставі аналізу планів поверхів
університету та кількості навчальних приміщень визначено загальну потребу
в точках доступу (таблиця 2.6).
Таблиця 2.6 — Розрахунок кількості точок доступу Wi-Fi для ЧДТУ
Кількість AP на
Тип приміщення Модель AP Разом AP
приміщень приміщення
Навчальні аудиторії 24 1 MikroTik cAP ax 24
Арк.
ТК26.026346.248 ПЗ
28
Змін. Арк. № докум. Підпис Дата
Комп'ютерні класи 8 1 MikroTik cAP ax 8
Лабораторії 12 1 MikroTik cAP ax 12
Адміністративні 1 на 2
16 MikroTik cAP ax 8
кабінети кабінети
Коридори (6
12 секцій 2 на секцію MikroTik cAP ac 24
поверхів, 2 крила)
РАЗОМ — — — 76
Разом планується встановлення 76 точок доступу, з яких 52 — MikroTik
cAP ax (Wi-Fi 6) у навчальних та адміністративних приміщеннях і 24 —
MikroTik cAP ac (Wi-Fi 5) у коридорах. Таке рішення забезпечує 100%
покриття навчальних приміщень та одночасну підтримку щонайменше 1 560
бездротових клієнтів без деградації якості обслуговування.
Арк.
ТК26.026346.248 ПЗ
Змін. Арк. № докум. Підпис 29
Дата
Висновки до розділу 2
У другому розділі виконано повне проєктування логічної структури
модернізованої мережі ЧДТУ. Визначено кількісні вимоги до продуктивності
(магістральні канали 10 Гбіт/с, порти доступу 1 Гбіт/с) та відмовостійкості
(доступність ядра 99,9%, RTO ≤ 30 с). Розроблено ієрархічну топологію за
моделлю Core–Distribution–Access із конкретним визначенням обладнання
MikroTik для кожного рівня. Спроєктовано схему IP-адресації на базі
приватного простору 10.0.0.0/8 із сегментацією на сім VLAN-сегментів та
матрицею міжсегментного доступу за принципом найменших привілеїв.
Розроблено план бездротової мережі на основі стандарту Wi-Fi 6 (802.11ax) з
централізованим управлінням через CAPsMAN, що передбачає встановлення
78 точок доступу та забезпечення 100% покриття навчальних приміщень
університету.
Арк.
ТК26.026346.248 ПЗ
30
Змін. Арк. № докум. Підпис Дата
РОЗДІЛ 3
ПРАКТИЧНА РЕАЛІЗАЦІЯ ТА ІНТЕГРАЦІЯ СИСТЕМ БЕЗПЕКИ
3.1 Вибір та технічне обґрунтування обладнання для ядра та рівнів
розподілу
Правильний вибір апаратного забезпечення є визначальним чинником
для довгострокової ефективності мережевої інфраструктури. Обладнання
повинно не лише відповідати поточним технічним вимогам, сформованим у
розділі 2, а й мати достатній запас продуктивності для забезпечення роботи
протягом щонайменше 7–10 років без необхідності кардинальної заміни.
Обладнання рівня ядра. Для рівня Core обрано маршрутизатор MikroTik
CCR2116-12G-4S+. Технічні характеристики пристрою наведено в таблиці 3.1.
Таблиця 3.1 — Технічні характеристики MikroTik CCR2116-12G-4S+
Характеристика Значення
Процесор Annapurna Labs AL32400 (16 ядер, 2.0 ГГц)
Оперативна пам'ять 16 ГБ DDR4 ECC
Флеш-пам'ять 128 МБ NAND
Портів Gigabit Ethernet 12 × 1G RJ45
Портів SFP+ (10G) 4 × SFP+ (10 Гбіт/с)
Продуктивність маршрутизації (IPv4) ~23 Мпакетів/с (без FastTrack)
Продуктивність з FastTrack ~35 Мпакетів/с
Максимальне споживання 60 Вт
Форм-фактор 1U Rack
Операційна система RouterOS v7 (License Level 6)
Арк.
ТК26.026346.248 ПЗ
31
Змін. Арк. № докум. Підпис Дата
Обґрунтування вибору CCR2116. 16-ядерний процесор Annapurna Labs
забезпечує апаратне прискорення обробки пакетів, що є критичним для
одночасного виконання всіх функцій ядра: міжвланової маршрутизації, роботи
Firewall із глибокою інспекцією пакетів (DPI/Layer 7), криптографічних
операцій VPN (WireGuard, IPsec), а також роботи контролера CAPsMAN для
78 точок доступу. 16 ГБ оперативної пам'яті з підтримкою ECC (Error-
Correcting Code) забезпечують надійну роботу без збоїв через апаратні
помилки пам'яті. Наявність 4 портів SFP+ дозволяє підключити два
комутатори рівня розподілу через 10-гігабітні лінки з можливістю агрегування
каналів (LACP).
Обладнання рівня розподілу. Для рівня Distribution обрано комутатори
MikroTik CRS326-24G-2S+RM. Технічні характеристики наведено в таблиці
3.2.
Таблиця 3.2 — Технічні характеристики MikroTik CRS326-24G-2S+RM
Характеристика Значення
Комутаційна матриця 98 Гбіт/с (non-blocking)
Портів Gigabit Ethernet 24 × 1G RJ45
Портів SFP+ (10G) 2 × SFP+ (10 Гбіт/с)
Підтримка VLAN (802.1Q) Так, до 4094 VLAN
Підтримка RSTP/MSTP Так
Підтримка LACP (802.3ad) Так
Підтримка SNMP v2/v3 Так
Підтримка PoE (живлення) Ні (тільки пасивне PoE in)
Максимальне споживання 13 Вт
Форм-фактор 1U Rack
Операційна система RouterOS v7 + SwOS
Арк.
ТК26.026346.248 ПЗ
32
Змін. Арк. № докум. Підпис Дата
Комутатор CRS326 побудований на комутаційному чіпі Marvell
98DX3236, що забезпечує апаратну обробку всіх операцій комутації на рівні
L2/L3 без участі центрального процесора. Це гарантує стабільну затримку
передачі пакетів незалежно від навантаження. Два порти SFP+
використовуються для підключення до ядра (аплінк), тоді як 24 порти Gigabit
Ethernet розподіляються між комутаторами рівня доступу.
Схема підключення обладнання ядра та розподілу. Між рівнями Core та
Distribution використовується пара оптичних трансиверів SFP+ з
багатомодовим оптичним кабелем OM3 (хвильова довжина 850 нм, підтримка
10G на відстані до 300 м). Для забезпечення відмовостійкості кожен комутатор
Distribution підключається до ядра двома окремими SFP+-лінками з
налаштованим агрегуванням каналів LACP (802.3ad), що одночасно подвоює
пропускну здатність до 20 Гбіт/с та забезпечує автоматичне перемикання у разі
відмови одного з портів.
На маршрутизаторі ядра CCR2116 налаштовується протокол VRRP
(Virtual Router Redundancy Protocol) для резервування шлюзу за
замовчуванням [9]. У поточній конфігурації з одним пристроєм ядра VRRP
готується до можливого додавання другого CCR2116 у майбутньому без
перепроєктування адресної схеми.
Налаштування агрегування каналів (LACP) на CCR2116 у RouterOS:
# Створення bond-інтерфейсу до Distribution SW1
/interface bonding
add name=bond-dist1 mode=802.3ad \
slaves=sfp-sfpplus1,sfp-sfpplus2 \
lacp-rate=fast \
transmit-hash-policy=layer-2-and-3 \
comment="Uplink to Distribution SW1 (LACP)"
# Аналогічно для Distribution SW2
add name=bond-dist2 mode=802.3ad \
slaves=sfp-sfpplus3,sfp-sfpplus4 \
lacp-rate=fast \
transmit-hash-policy=layer-2-and-3 \
Арк.
ТК26.026346.248 ПЗ
33
Змін. Арк. № докум. Підпис Дата
comment="Uplink to Distribution SW2 (LACP)"
Зведена специфікація обладнання ядра та рівня розподілу наведена в
таблиці 3.3.
Таблиця 3.3 — Специфікація обладнання Core та Distribution рівнів
Рівень Модель Кількість Призначення Розміщення
Маршрутизація,
MikroTik CCR2116- Центральна
Core 1 Firewall,
12G-4S+ серверна
CAPsMAN, VPN
Агрегація
MikroTik CRS326- Серверна корп.
Distribution 2 трафіку, VLAN
24G-2S+RM A та B
trunk
Core → SFP+ трансивери 10G Оптичні аплінки У відповідних
8
Distribution MM (по 4 на SW) пристроях
Core → Патч-корд OM3 LC-
4 Оптичні з'єднання Кабельні лотки
Distribution LC
Арк.
ТК26.026346.248 ПЗ
Змін. Арк. 34
№ докум. Підпис Дата
3.2 Організація мережевих вузлів на поверхах та в навчальних
аудиторіях
Організація поверхових мережевих вузлів є ключовим елементом
фізичної реалізації мережі. Кожен поверховий вузол являє собою
телекомунікаційну шафу (19", 12U або 18U залежно від кількості обладнання),
що розміщується в спеціально відведеному приміщенні або настінній ніші на
кожному поверсі університету.
Склад поверхового вузла. Залежно від функціонального призначення
поверху визначено два типові склади поверхового вузла (таблиця 3.4).
Таблиця 3.4 — Типові склади поверхових мережевих вузлів ЧДТУ
Тип А (поверх з комп. Тип Б (поверх з
Компонент
класами) аудиторіями/PoE)
CRS354-48G-4S+2Q+RM
Комутатор Access CRS328-24P-4S+RM (×1)
(×2)
Патч-панель 24 порти
2 шт. 1 шт.
Cat6A
Органайзер кабелів 1U 2 шт. 1 шт.
ДБЖ (UPS) 1000 ВА 1 шт. 1 шт.
Шафа настінна/підлогова 18U підлогова 12U настінна
Вентиляційна панель 1 шт. 1 шт.
Комутатор рівня доступу для комп'ютерних класів. Для поверхів із
комп'ютерними класами використовується MikroTik CRS354-48G-
4S+2Q+RM. Пристрій має 48 портів Gigabit Ethernet для підключення робочих
станцій, 4 порти SFP+ 10G та 2 порти QSFP+ 40G для аплінків. Відсутність
PoE є прийнятною, оскільки на цих поверхах живлення точок доступу не
потрібне або забезпечується окремим PoE-інжектором.
Арк.
ТК26.026346.248 ПЗ
35
Змін. Арк. № докум. Підпис Дата
Комутатор рівня доступу з PoE. Для поверхів, де необхідне живлення
точок доступу, IP-камер та контролерів СКУД через PoE, використовується
MikroTik CRS328-24P-4S+RM. Пристрій забезпечує бюджет PoE до 500 Вт, що
дозволяє живити одночасно до 24 пристроїв стандарту 802.3af (до 15,4 Вт) або
802.3at (до 30 Вт). Розрахунок бюджету PoE для типового поверху наведено в
таблиці 3.5.
Таблиця 3.5 — Розрахунок бюджету PoE для типового поверху (тип Б)
Пристрій Кількість Споживання PoE Разом, Вт
MikroTik cAP ax (AP Wi-
6 19,5 Вт (802.3at) 117
Fi 6)
IP-камера Full HD (H.265) 8 12,5 Вт (802.3af) 100
Контролер СКУД 4 10,0 Вт (802.3af) 40
Резерв (20%) — — 51
18 308 Вт (з 500 Вт
РАЗОМ —
пристроїв бюджету)
Розрахунок підтверджує, що бюджет PoE комутатора CRS328-24P (500
Вт) є достатнім для живлення всіх пристроїв типового поверху із запасом
близько 40%.
Налаштування комутатора доступу. Конфігурація комутатора рівня
доступу передбачає: призначення VLAN кожному порту відповідно до типу
підключеного пристрою, налаштування транкового порту для аплінку до
Distribution, а також увімкнення RSTP для захисту від петель. Нижче наведено
фрагмент типової конфігурації RouterOS для комутатора CRS328 на поверсі:
# Налаштування bridge та VLAN-фільтрації
/interface bridge
add name=bridge1 vlan-filtering=yes pvid=1 \
comment="Main bridge with VLAN filtering"
# Додавання всіх портів до bridge
Арк.
ТК26.026346.248 ПЗ
36
Змін. Арк. № докум. Підпис Дата
/interface bridge port
add bridge=bridge1 interface=ether1 pvid=50 comment="AP Wi-Fi
Students"
add bridge=bridge1 interface=ether2 pvid=50 comment="AP Wi-Fi
Students"
add bridge=bridge1 interface=ether3 pvid=40 comment="AP Wi-Fi Staff"
add bridge=bridge1 interface=ether4 pvid=40 comment="AP Wi-Fi Staff"
add bridge=bridge1 interface=ether5 pvid=60 comment="IP Camera"
add bridge=bridge1 interface=ether6 pvid=60 comment="IP Camera"
add bridge=bridge1 interface=ether7 pvid=70 comment="ACS Controller"
add bridge=bridge1 interface=sfp-sfpplus1 pvid=1 comment="Uplink to
Distribution"
# VLAN таблиця: trunk-порт дозволяє всі VLAN
/interface bridge vlan
add bridge=bridge1 tagged=sfp-sfpplus1 vlan-ids=10,20,30,40,50,60,70
add bridge=bridge1 untagged=ether1,ether2 vlan-ids=50
add bridge=bridge1 untagged=ether3,ether4 vlan-ids=40
add bridge=bridge1 untagged=ether5,ether6 vlan-ids=60
add bridge=bridge1 untagged=ether7 vlan-ids=70
Кабельна інфраструктура аудиторій. У кожній навчальній аудиторії
передбачено встановлення інформаційних розеток категорії 6A у кількості, що
відповідає кількості робочих місць плюс одна розетка для точки доступу Wi-
Fi. Кабелі UTP Cat6A прокладаються у пластикових кабельних коробах уздовж
плінтусів до розподільної коробки в коридорі, звідки вертикальними
кабельними лотками піднімаються до телекомунікаційної шафи поверхового
вузла. Маркування кабелів здійснюється відповідно до стандарту TIA-606-B:
кожен кабель отримує унікальний ідентифікатор формату «[Корпус]-
[Поверх]-[Аудиторія]-[Порт]» (наприклад, A-02-214-P03).
Арк.
ТК26.026346.248 ПЗ
37
Змін. Арк. № докум. Підпис Дата
3.3 Налаштування централізованого управління Wi-Fi точками за
допомогою CAPsMAN
CAPsMAN (Controlled Access Point system Manager) — вбудований у
RouterOS контролер бездротової мережі, що дозволяє централізовано
управляти необмеженою кількістю точок доступу MikroTik без додаткових
ліцензій або окремого апаратного контролера [9, 10]. Контролер CAPsMAN
активується безпосередньо на маршрутизаторі ядра CCR2116, а точки доступу
(Controlled Access Points, CAPs) отримують усі налаштування від нього
автоматично при підключенні до мережі.
Архітектура CAPsMAN для ЧДТУ. Усі 78 точок доступу отримують
конфігурацію від єдиного контролера на CCR2116. Точки доступу
підключаються до комутаторів рівня доступу через порти VLAN 10 (MGMT)
для управлінського трафіку, тоді як клієнтський трафік передається у
відповідних VLAN (40 або 50) через тегований транковий аплінк. Така
архітектура, відома як «Local Forwarding», дозволяє клієнтському трафіку
передаватися безпосередньо через комутатори без потреби у тунелюванні до
контролера, що знижує навантаження на ядро мережі [9, 10].
Конфігурація CAPsMAN на CCR2116. Нижче наведено повний
фрагмент конфігурації контролера:
# ── Крок 1: Активація CAPsMAN ──────────────────────────────
/caps-man manager
set enabled=yes \
interface=vlan10-mgmt \
require-peer-certificate=no \
upgrade-policy=require-same-version
# ── Крок 2: Канальні профілі (радіо-конфігурації) ──────────
/caps-man channel
# Профіль для діапазону 5 GHz (основний — Wi-Fi 6)
add name=ch-5ghz-ax \
band=5ghz-ax \
width=80 \
Арк.
ТК26.026346.248 ПЗ
Змін. 38
Арк. № докум. Підпис Дата
tx-power=17 \
comment="5GHz 80MHz Wi-Fi6 channel profile"
# Профіль для діапазону 2.4 GHz (резервний)
add name=ch-24ghz-n \
band=2ghz-g/n \
width=20 \
tx-power=15 \
comment="2.4GHz 20MHz fallback profile"
# ── Крок 3: Профілі безпеки ─────────────────────────────────
/caps-man security
# WPA3-Enterprise для персоналу (RADIUS)
add name=sec-staff \
authentication-types=wpa3-eap \
group-encryption=ccmp \
eap-methods=passthrough \
comment="WPA3-Enterprise for staff (RADIUS passthrough)"
# WPA2-PSK для студентів (Hotspot)
add name=sec-students \
authentication-types=wpa2-psk \
passphrase=CHSTUwifi2024 \
group-encryption=ccmp \
comment="WPA2 for students, auth via Hotspot portal"
# ── Крок 4: Конфігурації (configs) ─────────────────────────
/caps-man configuration
# Конфігурація для персоналу
add name=cfg-staff \
ssid=CHSTU-Staff \
channel=ch-5ghz-ax \
security=sec-staff \
datapath.bridge=bridge1 \
datapath.vlan-id=40 \
datapath.vlan-mode=use-tag \
datapath.local-forwarding=yes \
multicast-helper=full \
comment="Staff SSID -> VLAN40"
Арк.
ТК26.026346.248 ПЗ
39
Змін. Арк. № докум. Підпис Дата
# Конфігурація для студентів
add name=cfg-students \
ssid=CHSTU-Students \
channel=ch-5ghz-ax \
security=sec-students \
datapath.bridge=bridge1 \
datapath.vlan-id=50 \
datapath.vlan-mode=use-tag \
datapath.local-forwarding=yes \
datapath.client-to-client-forwarding=no \
comment="Students SSID -> VLAN50, AP isolation ON"
# ── Крок 5: Provisioning (автоматичне призначення CAPs) ────
/caps-man provisioning
add hw-supported-modes=ax \
action=create-dynamic-enabled \
master-configuration=cfg-staff \
slave-configurations=cfg-students \
name-prefix=cap-ax \
comment="Wi-Fi6 APs: dual SSID Staff+Students"
add hw-supported-modes=ac \
action=create-dynamic-enabled \
master-configuration=cfg-staff \
slave-configurations=cfg-students \
name-prefix=cap-ac \
comment="Wi-Fi5 APs (corridors): dual SSID"
Налаштування RADIUS-сервера для WPA3-Enterprise. Для
автентифікації персоналу через WPA3-Enterprise на CCR2116 налаштовується
вбудований RADIUS-сервер RouterOS або зовнішній FreeRADIUS. У поточній
конфігурації використовується вбудований сервер для спрощення
адміністрування:
# Налаштування вбудованого RADIUS-клієнта (для CAPsMAN)
/radius
add service=wireless \
address=127.0.0.1 \
secret=radius_secret_2024 \
Арк.
ТК26.026346.248 ПЗ
40
Змін. Арк. № докум. Підпис Дата
comment="Local RADIUS for WPA3-Enterprise"
# Додавання облікових записів персоналу
/radius incoming
set accept=yes port=3799
Налаштування роумінгу. Для забезпечення безшовного переходу
клієнта між точками доступу без розриву активних сесій у CAPsMAN
налаштовується протокол 802.11r (Fast BSS Transition). Це критично для
сценаріїв переміщення студентів між аудиторіями під час активного
підключення до Moodle. Додатково активується Band Steering — механізм, що
примусово переводить клієнтів з підтримкою Wi-Fi 6 на діапазон 5 ГГц,
залишаючи 2.4 ГГц для старих пристроїв без підтримки нового стандарту.
Обмеження швидкості для студентів. Для запобігання монополізації
каналу окремими користувачами у VLAN 50 налаштовується черга PCQ (Per
Connection Queue) з індивідуальними лімітами:
# PCQ-черга для обмеження швидкості студентів
/queue type
add name=pcq-students-down \
kind=pcq \
pcq-rate=20M \
pcq-classifier=dst-address \
comment="Max 20 Mbps download per student"
add name=pcq-students-up \
kind=pcq \
pcq-rate=10M \
pcq-classifier=src-address \
comment="Max 10 Mbps upload per student"
/queue simple
add name=limit-wifi-students \
interface=vlan50-wifi-std \
queue=pcq-students-down/pcq-students-up \
comment="Per-client rate limit for student VLAN"
Арк.
ТК26.026346.248 ПЗ
41
Змін. Арк. № докум. Підпис Дата
3.4 Інтеграція системи відеоспостереження (IP-CCTV) у загальну
інфраструктуру
Система IP-відеоспостереження (IP-CCTV) університету є важливим
елементом фізичної безпеки, що потребує надійного мережевого підключення,
гарантованого живлення та чіткої ізоляції від загальнокористувацького
трафіку. Інтеграція CCTV у загальну мережеву інфраструктуру на базі
MikroTik дозволяє відмовитися від окремої фізичної мережі
відеоспостереження, знизивши загальну вартість та складність
інфраструктури.
Архітектура системи CCTV. Система відеоспостереження ЧДТУ
включає 64 IP-камери з роздільною здатністю Full HD (1080p), підключені до
мережі через PoE-порти комутаторів рівня доступу (CRS328-24P) [13].
Відеопотоки з усіх камер передаються через виділений VLAN 60 (CCTV,
підмережа 10.0.60.0/24) до центрального відеореєстратора (NVR — Network
Video Recorder), що розміщується в центральній серверній. Вибір IP-камер з
підтримкою кодека H.265 (HEVC) дозволяє знизити потребу в смузі
пропускання вдвічі порівняно з H.264 за аналогічної якості зображення.
Розрахунок мережевого навантаження від CCTV. Кожна IP-камера Full
HD з кодеком H.265 генерує відеопотік зі швидкістю приблизно 2–4 Мбіт/с у
режимі постійного запису (основний потік) та 512 Кбіт/с для потоку
моніторингу (субпотік). Загальне навантаження від 64 камер наведено в
таблиці 3.6.
Таблиця 3.6 — Розрахунок мережевого навантаження системи CCTV
Параметр Значення
Кількість камер 64
Кодек H.265 (HEVC)
Бітрейт основного потоку (на камеру) 3 Мбіт/с
Арк.
ТК26.026346.248 ПЗ
42
Змін. Арк. № докум. Підпис Дата
Бітрейт субпотоку (на камеру) 512 Кбіт/с
Сумарний трафік (основний потік) 192 Мбіт/с
Сумарний трафік (субпотік) 32 Мбіт/с
Загальний мережевий трафік CCTV ~224 Мбіт/с
Необхідна ємність диску NVR (30 діб) ~69 ТБ (при 192 Мбіт/с)
Сумарний трафік CCTV (~224 Мбіт/с) є відносно незначним порівняно
з 10-гігабітними магістральними каналами мережі та не створює суттєвого
навантаження на інфраструктуру. Водночас ізоляція CCTV у виділеному
VLAN 60 запобігає будь-якому несанкціонованому доступу до відеопотоків з
інших сегментів мережі.
Гарантія якості обслуговування для CCTV. Для забезпечення
стабільності відеопотоків без втрат кадрів у RouterOS налаштовується QoS із
пріоритизацією трафіку VLAN 60. Детальна конфігурація QoS розглядається
в підрозділі 4.2, однак ключовий принцип полягає в маркуванні CCTV-трафіку
DSCP-міткою CS3 та обробці його в черзі з гарантованою смугою
пропускання.
Налаштування VLAN та DHCP для CCTV. На маршрутизаторі ядра
CCR2116 для сегменту CCTV виконуються такі конфігурації:
# VLAN-інтерфейс для CCTV
/interface vlan
add name=vlan60-cctv \
vlan-id=60 \
interface=bond-dist1 \
comment="CCTV Network VLAN60"
# IP-адреса шлюзу для CCTV
/ip address
add address=10.0.60.1/24 interface=vlan60-cctv
# DHCP-сервер для IP-камер
Арк.
ТК26.026346.248 ПЗ
43
Змін. Арк. № докум. Підпис Дата
/ip pool
add name=pool-cctv ranges=10.0.60.10-10.0.60.100
/ip dhcp-server
add name=dhcp-cctv \
interface=vlan60-cctv \
address-pool=pool-cctv \
lease-time=1d \
comment="DHCP for IP cameras"
/ip dhcp-server network
add address=10.0.60.0/24 \
gateway=10.0.60.1 \
dns-server=10.0.60.1 \
comment="CCTV network"
# NVR отримує статичну адресу
/ip dhcp-server lease
add address=10.0.60.2 \
mac-address=AA:BB:CC:DD:EE:FF \
server=dhcp-cctv \
comment="NVR Server static lease"
Доступ до системи відеоспостереження. Відповідно до матриці доступу
(таблиця 2.4), трафік до VLAN 60 дозволено лише з VLAN 10 (MGMT) та
VLAN 20 (ADMIN). Це означає, що переглядати відеозапис зі свого робочого
місця можуть лише авторизовані співробітники адміністрації, тоді як
студентський та викладацький сегменти повністю ізольовані від камер.
Адміністратор мережі має доступ до NVR через захищений управлінський
VLAN.
Арк.
ТК26.026346.248 ПЗ
44
Змін. Арк. № докум. Підпис Дата
3.5 Впровадження системи контролю та управління доступом
(СКУД) з використанням PoE-технологій
Система контролю та управління доступом (СКУД) забезпечує
обмеження фізичного доступу до приміщень університету: лабораторій,
серверних кімнат, адміністративних кабінетів та інших зон з обмеженим
доступом. Інтеграція СКУД у загальну IP-мережу та використання PoE-
живлення від мережевої інфраструктури дозволяє суттєво знизити вартість
монтажу, відмовившись від прокладання окремих ліній живлення до кожного
контролера.
Архітектура СКУД. Система побудована на основі мережевих
контролерів доступу, що керують електромагнітними замками або
електрозасувками дверей. Кожен контролер підключається до мережі через
PoE-порт комутатора CRS328-24P та отримує IP-адресу з пулу VLAN 70 (ACS,
підмережа 10.0.70.0/24). Зчитувачі карток (RFID, Mifare) підключаються до
контролерів за інтерфейсом Wiegand-26/34. Усі контролери взаємодіють із
центральним сервером управління СКУД (програмне забезпечення), що
розміщується у серверній та має статичну IP-адресу в сегменті VLAN 20
(ADMIN).
Схема підключення контролера СКУД. Типова схема підключення
одного дверного вузла СКУД включає такі компоненти та з'єднання, що
наведені в таблиці 3.7.
Таблиця 3.7 — Компоненти дверного вузла СКУД
Компонент Підключення Живлення Призначення
UTP Cat6A до
Мережевий PoE 802.3af (10 Управління замком та
PoE-порту
контролер СКУД Вт) зчитувачем
комутатора
RFID-зчитувач Wiegand-26 до Від контролера Зчитування
(зовнішній) контролера (12В) карток/брелоків
Арк.
ТК26.026346.248 ПЗ
45
Змін. Арк. № докум. Підпис Дата
RFID-зчитувач Wiegand-26 до Від контролера
Вихід з приміщення
(внутрішній) контролера (12В)
Електромагнітний Релейний вихід Від контролера Утримання дверей
замок контролера або окремий БП зачиненими
Вхід кнопки Аварійний вихід без
Кнопка виходу (NO) Від контролера
контролера картки
Вхід датчика Моніторинг відчинення
Датчик стану дверей Від контролера
контролера дверей
Живлення через PoE. Використання PoE 802.3af (15,4 Вт) для живлення
контролерів СКУД має ряд суттєвих переваг: відсутність необхідності у
прокладанні окремої проводки живлення 220В до кожного дверного вузлу,
централізований захист від перенапруги та короткого замикання через PoE-
комутатор, а також можливість дистанційного перезавантаження контролера
через відключення живлення PoE-порту командою в RouterOS. Слід зазначити,
що для електромагнітних замків із споживанням більше 5 Вт рекомендується
використовувати окремий блок живлення з резервним акумулятором (BBU)
для забезпечення роботи під час відключення електроенергії.
Налаштування VLAN для СКУД. Аналогічно до CCTV, для сегменту
СКУД на маршрутизаторі ядра виконується конфігурація VLAN-інтерфейсу та
DHCP-сервера:
# VLAN-інтерфейс для СКУД
/interface vlan
add name=vlan70-acs \
vlan-id=70 \
interface=bond-dist1 \
comment="ACS Network VLAN70"
/ip address
add address=10.0.70.1/24 interface=vlan70-acs
# DHCP для контролерів СКУД
/ip pool
Арк.
ТК26.026346.248 ПЗ
Змін. Арк. № докум. 46
Підпис Дата
add name=pool-acs ranges=10.0.70.10-10.0.70.80
/ip dhcp-server
add name=dhcp-acs \
interface=vlan70-acs \
address-pool=pool-acs \
lease-time=12h \
comment="DHCP for ACS controllers"
/ip dhcp-server network
add address=10.0.70.0/24 \
gateway=10.0.70.1 \
comment="ACS network"
# Статична адреса сервера управління СКУД
# (сервер знаходиться в VLAN20-ADMIN)
# Правило Firewall для доступу ACS -> ADMIN (тільки до сервера СКУД)
/ip firewall filter
add chain=forward \
src-address=10.0.70.0/24 \
dst-address=10.0.20.50 \
action=accept \
comment="Allow ACS controllers -> ACS Server only"
Резервне живлення СКУД. Для забезпечення безперервної роботи СКУД
під час відключення електроенергії PoE-комутатори поверхових вузлів
підключаються до ДБЖ (UPS) з акумуляторним резервом на 2–4 години. Це
гарантує, що контролери СКУД продовжуватимуть роботу і не
переходитимуть у режим «відкритих дверей» (Fail Open), що є стандартним
режимом більшості контролерів при відсутності живлення.
Моніторинг СКУД. Усі контролери СКУД підтримують SNMP v2c для
моніторингу їхнього стану в системі MikroTik The Dude. Додатково
контролери надсилають syslog-повідомлення на центральний сервер
логування для аудиту подій: час прикладання картки, ідентифікатор
користувача, стан замку (відчинено/зачинено). Це є важливою вимогою для
внутрішньої безпеки університету та можливих розслідувань інцидентів.
Арк.
ТК26.026346.248 ПЗ
Змін. Арк. 47
№ докум. Підпис Дата
Висновки до розділу 3
У третьому розділі виконано практичну реалізацію всіх ключових
підсистем мережевої інфраструктури ЧДТУ. Обґрунтовано вибір та наведено
технічні характеристики обладнання рівнів Core (CCR2116-12G-4S+) та
Distribution (CRS326-24G-2S+RM) з детальним описом схеми їх підключення
та конфігурації агрегування каналів LACP. Розроблено типові склади
поверхових мережевих вузлів двох типів із розрахунком бюджету PoE. Надано
повну конфігурацію контролера CAPsMAN для централізованого управління
78 точками доступу з підтримкою двох SSID, WPA3-Enterprise для персоналу
та безшовного роумінгу. Описано інтеграцію системи IP-CCTV (64 камери,
VLAN 60, H.265) та СКУД (PoE-контролери, VLAN 70) в єдину мережеву
інфраструктуру з повною ізоляцією цих систем від загальнокористувацьких
сегментів.
Арк.
ТК26.026346.248 ПЗ
48
Змін. Арк. № докум. Підпис Дата
РОЗДІЛ 4
ЗАБЕЗПЕЧЕННЯ КІБЕРБЕЗПЕКИ ТА АДМІНІСТРУВАННЯ МЕРЕЖІ
4.1 Налаштування міжмережевого екрана (Firewall) та політик
доступу в RouterOS
Міжмережевий екран (Firewall) RouterOS є одним із найбільш
функціональних та гнучких інструментів захисту серед доступних у
платформах класу SMB та Mid-Enterprise. Він реалізований на базі механізму
Netfilter ядра Linux і підтримує stateful-інспекцію пакетів, фільтрацію за Layer
3/Layer 4 параметрами, глибоку інспекцію за вмістом (Layer 7) та Address List
— динамічні чорні/білі списки IP-адрес [9].
Принципи організації Firewall для ЧДТУ. Розробка політик Firewall
ґрунтується на концепції «Default Deny» — забороняти все, що явно не
дозволено [9, 15]. Правила організовані в три ланцюжки обробки пакетів
RouterOS:
– Input — трафік, адресований безпосередньо маршрутизатору
(управління, DNS, NTP);
– Forward — транзитний трафік між мережевими сегментами (між VLAN);
– Output — трафік, що генерується самим маршрутизатором.
Оптимізація продуктивності Firewall. Перш ніж застосовувати детальні
правила фільтрації, налаштовується механізм FastTrack — апаратне
прискорення для встановлених (established) та пов'язаних (related) з'єднань. Це
знімає навантаження з процесора маршрутизатора для вже перевіреного
трафіку та дозволяє правилам Firewall обробляти лише нові з'єднання:
# ── Базові правила Input chain ────────────────────────────────────
/ip firewall filter
# [1] FastTrack для встановлених з'єднань (апаратне прискорення)
add chain=forward action=fasttrack-connection \
Арк.
ТК26.026346.248 ПЗ
49
Змін. Арк. № докум. Підпис Дата
connection-state=established,related \
hw-offload=yes \
comment="[FASTTRACK] Established/Related forward"
# [2] Дозволити встановлені та пов'язані з'єднання
add chain=input action=accept \
connection-state=established,related \
comment="[INPUT] Accept established/related"
add chain=forward action=accept \
connection-state=established,related \
comment="[FORWARD] Accept established/related"
# [3] Відкинути пошкоджені пакети
add chain=input action=drop \
connection-state=invalid \
comment="[INPUT] Drop invalid packets"
add chain=forward action=drop \
connection-state=invalid \
comment="[FORWARD] Drop invalid packets"
Захист управлінського інтерфейсу (Input Chain). Доступ до управління
маршрутизатором (WinBox порт 8291, SSH порт 22, API порт 8728) дозволено
виключно з VLAN 10 (Management). Будь-які спроби підключення з інших
сегментів автоматично відхиляються та журналюються:
# ── Input chain: захист управління маршрутизатором ───────────────
# [4] Дозволити ICMP (ping) тільки з Management
add chain=input action=accept \
protocol=icmp \
in-interface=vlan10-mgmt \
comment="[INPUT] ICMP from MGMT only"
# [5] Дозволити WinBox, SSH, API тільки з Management VLAN
add chain=input action=accept \
in-interface=vlan10-mgmt \
dst-port=22,8291,8728,8729 \
Арк.
ТК26.026346.248 ПЗ
50
Змін. Арк. № докум. Підпис Дата
protocol=tcp \
comment="[INPUT] WinBox/SSH/API from MGMT only"
# [6] Дозволити DNS та NTP від локальних сегментів
add chain=input action=accept \
dst-port=53 protocol=udp \
in-interface-list=LAN-ALL \
comment="[INPUT] DNS queries from all LAN"
add chain=input action=accept \
dst-port=123 protocol=udp \
in-interface-list=LAN-ALL \
comment="[INPUT] NTP from all LAN"
# [7] Заборонити все інше на Input (Default Deny)
add chain=input action=drop \
comment="[INPUT] Default DENY — log all"
Правила міжсегментної фільтрації (Forward Chain). Найбільш
відповідальна частина Firewall — правила Forward Chain, що реалізують
матрицю доступу між VLAN (таблиця 2.4). Наведено ключові правила
міжсегментної взаємодії:
# ── Forward chain: міжсегментна фільтрація ───────────────────────
# [8] Management має повний доступ до всіх сегментів
add chain=forward action=accept \
in-interface=vlan10-mgmt \
comment="[FWD] MGMT -> ALL: full access"
# [9] Адміністрація -> Інтернет та сервери
add chain=forward action=accept \
in-interface=vlan20-admin \
out-interface=ether1-wan \
comment="[FWD] ADMIN -> Internet"
add chain=forward action=accept \
in-interface=vlan20-admin \
out-interface=vlan60-cctv \
Арк.
ТК26.026346.248 ПЗ
51
Змін. Арк. № докум. Підпис Дата
comment="[FWD] ADMIN -> CCTV view"
add chain=forward action=accept \
in-interface=vlan20-admin \
out-interface=vlan70-acs \
comment="[FWD] ADMIN -> ACS management"
# [10] Комп'ютерні класи -> тільки Інтернет
add chain=forward action=accept \
in-interface=vlan30-pcroom \
out-interface=ether1-wan \
comment="[FWD] PC-ROOM -> Internet only"
# [11] Персонал (Wi-Fi) -> Інтернет та адміністративні ресурси
add chain=forward action=accept \
in-interface=vlan40-staff \
out-interface=vlan20-admin \
comment="[FWD] WIFI-STAFF -> ADMIN resources"
add chain=forward action=accept \
in-interface=vlan40-staff \
out-interface=ether1-wan \
comment="[FWD] WIFI-STAFF -> Internet"
# [12] Студенти -> тільки Інтернет, ізоляція клієнтів
add chain=forward action=accept \
in-interface=vlan50-students \
out-interface=ether1-wan \
comment="[FWD] WIFI-STD -> Internet only"
# [13] Заборонити студентам доступ до будь-яких внутрішніх ресурсів
add chain=forward action=drop \
in-interface=vlan50-students \
dst-address=10.0.0.0/8 \
comment="[FWD] WIFI-STD -> LAN: DENY ALL"
# [14] CCTV -> тільки NVR (замкнений сегмент)
add chain=forward action=drop \
Арк.
ТК26.026346.248 ПЗ
52
Змін. Арк. № докум. Підпис Дата
in-interface=vlan60-cctv \
out-interface=ether1-wan \
comment="[FWD] CCTV -> Internet: DENY"
# [15] Default Forward DENY
add chain=forward action=drop \
comment="[FWD] Default DENY all inter-VLAN"
Захист від мережевих атак. Додатково налаштовується захист від
найбільш поширених мережевих атак: сканування портів, SYN-flood та
брутфорс. Механізм Address List дозволяє автоматично блокувати IP-адреси,
що демонструють підозрілу активність:
# ── Захист від сканування портів та брутфорсу ────────────────────
# Додавати до чорного списку адреси, що сканують порти
add chain=input action=add-src-to-address-list \
address-list=blacklist \
address-list-timeout=1d \
protocol=tcp \
psd=21,3s,3,1 \
comment="[PROTECT] Port scan -> blacklist 24h"
# Захист SSH від брутфорсу (>4 спроб за 30 сек -> бан на 10 хв)
add chain=input action=add-src-to-address-list \
address-list=ssh-brute \
address-list-timeout=10m \
connection-limit=4,32 \
dst-port=22 protocol=tcp \
comment="[PROTECT] SSH bruteforce detection"
add chain=input action=drop \
src-address-list=blacklist \
comment="[PROTECT] Drop blacklisted IPs"
add chain=input action=drop \
src-address-list=ssh-brute \
comment="[PROTECT] Drop SSH bruteforce IPs"
Зведена таблиця правил Firewall з пріоритетами наведена в таблиці 4.1.
Арк.
ТК26.026346.248 ПЗ
53
Змін. Арк. № докум. Підпис Дата
Таблиця 4.1 — Зведені правила Firewall для мережі ЧДТУ
№ Chain Джерело Призначення Дія Коментар
1–
Input/Forward Будь-яке Established/Related Accept FastTrack
2
Відкинути
3 Input/Forward Будь-яке Invalid state Drop
пошкоджені
4– VLAN10
Input Маршрутизатор Accept SSH, WinBox, API
5 (MGMT)
6– DNS (53), NTP
Input Усі LAN Маршрутизатор Accept
7 (123)
VLAN10 Повний доступ
8 Forward Будь-яке Accept
(MGMT) MGMT
VLAN20 WAN, CCTV,
9 Forward Accept Адміністрація
(ADMIN) ACS
VLAN30
10 Forward WAN Accept Тільки Інтернет
(PC-ROOM)
VLAN40
11 Forward WAN, ADMIN Accept Персонал
(STAFF)
VLAN50
12 Forward WAN Accept Тільки Інтернет
(STD)
VLAN50
13 Forward 10.0.0.0/8 Drop Ізоляція студентів
(STD)
VLAN60 CCTV без
14 Forward WAN Drop
(CCTV) Інтернету
15 Forward Будь-яке Будь-яке Drop Default Deny
Арк.
ТК26.026346.248 ПЗ
Змін. Арк. 54
№ докум. Підпис Дата
4.2 Пріоритезація трафіку (QoS) для забезпечення якості роботи
навчальних сервісів
Якість обслуговування (Quality of Service, QoS) — це механізм
управління мережевим трафіком, що забезпечує пріоритетну обробку
критично важливого трафіку в умовах перевантаження каналів [14]. Для
університетської мережі QoS є особливо актуальним, оскільки різні категорії
трафіку мають принципово різні вимоги до затримки та смуги пропускання:
відеоконференції вимагають низької затримки та стабільного бітрейту, тоді як
фонове оновлення програмного забезпечення може отримати мінімальний
пріоритет без відчутного впливу на користувача.
Модель QoS для ЧДТУ. Реалізація QoS у RouterOS виконується через
механізм Mangle (маркування пакетів) та черги (Queues). Для ЧДТУ обрано
ієрархічну модель черг HTB (Hierarchical Token Bucket), яка дозволяє:
– гарантувати мінімальну смугу пропускання для критичних сервісів
(Guaranteed Rate);
– встановлювати максимальну смугу для некритичних категорій трафіку
(Max Rate);
– перерозподіляти невикористану смугу між черговами (Burst).
Класифікація трафіку. Першим кроком є маркування пакетів різних
категорій трафіку за допомогою ланцюжка Mangle:
# ── Mangle: маркування пакетів за категоріями ────────────────────
/ip firewall mangle
# [P1] Критичний: відеоконференції та VoIP (DSCP EF)
add chain=prerouting action=mark-packet \
new-packet-mark=pkt-voip \
passthrough=yes \
dscp=46 \
comment="[QoS] VoIP/VideoConf DSCP EF -> mark P1"
# [P1] Критичний: CCTV відеопотоки
Арк.
ТК26.026346.248 ПЗ
Змін. 55
Арк. № докум. Підпис Дата
add chain=prerouting action=mark-packet \
new-packet-mark=pkt-cctv \
passthrough=yes \
src-address=10.0.60.0/24 \
comment="[QoS] CCTV traffic -> mark P1"
# [P2] Важливий: навчальні платформи (Moodle, LMS)
add chain=prerouting action=mark-packet \
new-packet-mark=pkt-learning \
passthrough=yes \
dst-address-list=learning-servers \
comment="[QoS] Moodle/LMS -> mark P2"
# [P2] Важливий: адміністративний трафік
add chain=prerouting action=mark-packet \
new-packet-mark=pkt-admin \
passthrough=yes \
src-address=10.0.20.0/24 \
comment="[QoS] Admin VLAN -> mark P2"
# [P3] Стандартний: загальний веб-трафік
add chain=prerouting action=mark-packet \
new-packet-mark=pkt-web \
passthrough=yes \
dst-port=80,443 protocol=tcp \
comment="[QoS] HTTP/HTTPS -> mark P3"
# [P4] Низький: оновлення ПЗ, торенти, фонові завантаження
add chain=prerouting action=mark-packet \
new-packet-mark=pkt-bulk \
passthrough=yes \
p2p=all-p2p \
comment="[QoS] P2P/Bulk -> mark P4 (lowest)"
Ієрархічна черга HTB. Після маркування пакетів налаштовується
ієрархічна черга на вихідному інтерфейсі WAN. Припускаємо, що канал до
провайдера становить 1 Гбіт/с симетрично:
# ── HTB Queue Tree: ієрархічна пріоритезація трафіку ─────────────
Арк.
ТК26.026346.248 ПЗ
56
Змін. Арк. № докум. Підпис Дата
/queue tree
# Корінь ієрархії (загальна смуга каналу)
add name=root-wan \
parent=ether1-wan \
max-limit=1000M \
comment="[QoS] Root queue 1Gbps WAN"
# P1: VoIP та відеоконференції (гарантовано 200 Мбіт/с, пріоритет 1)
add name=q-voip \
parent=root-wan \
packet-mark=pkt-voip \
priority=1 \
limit-at=200M max-limit=400M \
comment="[QoS] P1 VoIP/Video guaranteed 200M"
# P1: CCTV (гарантовано 300 Мбіт/с)
add name=q-cctv \
parent=root-wan \
packet-mark=pkt-cctv \
priority=1 \
limit-at=300M max-limit=300M \
comment="[QoS] P1 CCTV guaranteed 300M"
# P2: Навчальні платформи Moodle (гарантовано 200 Мбіт/с)
add name=q-learning \
parent=root-wan \
packet-mark=pkt-learning \
priority=2 \
limit-at=200M max-limit=500M \
comment="[QoS] P2 Moodle/LMS guaranteed 200M"
# P2: Адміністративний трафік (гарантовано 100 Мбіт/с)
add name=q-admin \
parent=root-wan \
packet-mark=pkt-admin \
priority=2 \
limit-at=100M max-limit=300M \
comment="[QoS] P2 Admin traffic guaranteed 100M"
Арк.
ТК26.026346.248 ПЗ
57
Змін. Арк. № докум. Підпис Дата
# P3: Загальний веб (гарантовано 100 Мбіт/с)
add name=q-web \
parent=root-wan \
packet-mark=pkt-web \
priority=3 \
limit-at=100M max-limit=700M \
comment="[QoS] P3 General web"
# P4: Фоновий трафік (без гарантії, тільки залишок)
add name=q-bulk \
parent=root-wan \
packet-mark=pkt-bulk \
priority=8 \
limit-at=1M max-limit=200M \
comment="[QoS] P4 Bulk/P2P lowest priority"
Зведена таблиця пріоритетів QoS для мережі ЧДТУ наведена в таблиці
4.2.
Таблиця 4.2 — Таблиця пріоритетів QoS для мережі ЧДТУ
Гарантована Макс.
Клас Пріоритет Тип трафіку DSCP
смуга смуга
1 VoIP,
P1 200 Мбіт/с 400 Мбіт/с EF (46)
(найвищий) відеоконференції
IP-CCTV
P1 1 300 Мбіт/с 300 Мбіт/с CS3 (24)
відеопотоки
Moodle, LMS,
P2 2 200 Мбіт/с 500 Мбіт/с AF21 (18)
навчання
Адміністративний
P2 2 100 Мбіт/с 300 Мбіт/с AF11 (10)
трафік
HTTP/HTTPS
P3 3 100 Мбіт/с 700 Мбіт/с BE (0)
загальний
8 P2P, оновлення,
P4 1 Мбіт/с 200 Мбіт/с CS1 (8)
(найнижчий) фон
Арк.
ТК26.026346.248 ПЗ
58
Змін. Арк. № докум. Підпис Дата
Наведена модель QoS гарантує, що навіть у години пікового
навантаження (під час масових іспитів у Moodle) платформа дистанційного
навчання матиме зарезервовану смугу 200 Мбіт/с та найвищий пріоритет
обробки, що унеможливлює деградацію сервісу через активність студентів у
соціальних мережах або завантаження файлів.
Арк.
ТК26.026346.248 ПЗ
59
Змін. Арк. № докум. Підпис Дата
4.3 Організація системи моніторингу та візуалізації топології в
MikroTik The Dude
MikroTik The Dude — безкоштовний мережевий моніторинговий
додаток від MikroTik, який може функціонувати як окремий клієнт під
Windows, так і як сервіс безпосередньо на RouterOS (пакет dude). Для ЧДТУ
сервер The Dude розгортається на маршрутизаторі CCR2116, що виключає
потребу у виділеному сервері моніторингу та знижує загальну вартість
рішення [9].
Функціональні можливості The Dude для ЧДТУ. The Dude забезпечує
такі ключові функції мережевого моніторингу:
– автоматичне виявлення мережевих пристроїв через SNMP, ICMP та
Neighbor Discovery — формування актуальної топологічної карти після
першого запуску;
– безперервний моніторинг доступності всіх пристроїв із частотою
перевірки від 10 до 60 секунд;
– графіки завантаженості портів, процесора, пам'яті та температури для
кожного пристрою MikroTik;
– автоматичне надсилання сповіщень через Telegram або e-mail при
відмові будь-якого пристрою або перевищенні порогових значень;
– відображення топологічної карти у реальному часі з кольоровою
індикацією стану пристроїв (зелений — норма, жовтий —
попередження, червоний — відмова).
Встановлення та активація The Dude на RouterOS. Для розгортання
серверної частини The Dude на CCR2116 виконуються такі кроки:
# ── Встановлення The Dude Server на RouterOS ─────────────────────
# Крок 1: Завантажити пакет dude через WinBox:
# System -> Packages -> Check For Updates -> Download "dude"
# Після перезавантаження пакет активується автоматично
Арк.
ТК26.026346.248 ПЗ
60
Змін. Арк. № докум. Підпис Дата
# Крок 2: Налаштування сервера The Dude
/dude
set enabled=yes \
data-directory=dude \
status=running
# Крок 3: Налаштування SNMP на всіх пристроях для моніторингу
/snmp
set enabled=yes \
contact="[email protected]" \
location="CHSTU Network" \
trap-version=2
/snmp community
set [ find default=yes ] name=chstu-monitor \
addresses=10.0.10.0/24 \
read-access=yes \
write-access=no \
comment="SNMP community for The Dude monitoring"
Налаштування Telegram-сповіщень. Для оперативного інформування
адміністратора мережі про критичні події налаштовується інтеграція RouterOS
зі службою Telegram через API-бота. При відмові будь-якого пристрою або
каналу зв'язку адміністратор миттєво отримує push-повідомлення на
смартфон:
# ── Telegram-сповіщення через скрипт RouterOS ────────────────────
# Глобальні змінні для Telegram API
/system script
add name=telegram-notify \
source={
:local botToken "7012345678:AAHxxx_your_bot_token_here";
:local chatId "-100123456789";
:local message $1;
/tool fetch url=("https://api.telegram.org/bot" . $botToken . \
"/sendMessage?chat_id=" . $chatId . \
Арк.
ТК26.026346.248 ПЗ
Змін. Арк. № докум. Підпис 61
Дата
"&text=" . [/tool url-encode message=$message] . \
"&parse_mode=HTML") \
keep-result=no;
} \
comment="Send Telegram notification (arg: message text)"
# Скрипт сповіщення при падінні лінку
add name=alert-link-down \
source={
:local iface $1;
:local msg ("<b>CHSTU ALERT</b>%0A");
:set msg ($msg . "Interface DOWN: <code>" . $iface .
"</code>%0A");
:set msg ($msg . "Time: " . [/system clock get time] . " " . \
[/system clock get date]);
/system script run telegram-notify value-name=msg;
} \
comment="Alert: network interface went down"
# Прив'язка до події падіння інтерфейсу
/system scheduler
add name=check-links \
interval=1m \
on-event="/interface monitor-traffic [find running=no] once" \
comment="Check link states every minute"
Порогові значення моніторингу. У The Dude налаштовуються порогові
значення для автоматичного формування попереджень (таблиця 4.3).
Перевищення порогу фіксується в журналі подій та надсилається Telegram-
сповіщення адміністратору.
Таблиця 4.3 — Порогові значення моніторингу для пристроїв ЧДТУ
Попередження Критично
Параметр Дія
(Warning) (Critical)
Завантаженість CPU > 70% > 90% Telegram + лог
Використання RAM > 75% > 90% Telegram + лог
Арк.
ТК26.026346.248 ПЗ
62
Змін. Арк. № докум. Підпис Дата
Температура
> 55°C > 70°C Telegram + лог
пристрою
Завантаженість
> 80% > 95% Telegram + лог
каналу
Втрати пакетів
> 1% > 5% Telegram + лог
(ICMP)
Доступність Немає Немає
Telegram ТЕРМІНОВО
пристрою відповіді 30 с відповіді 60 с
Вільний простір
< 20% < 10% Telegram + лог
диску
Організація журналювання (Syslog). Для централізованого збору
журналів подій з усіх мережевих пристроїв налаштовується Syslog-сервер.
RouterOS CCR2116 приймає Syslog-повідомлення від усіх комутаторів та
точок доступу та зберігає їх у локальному файлі або передає на зовнішній
сервер (у разі розгортання ELK Stack або Graylog):
# ── Налаштування Syslog на RouterOS ─────────────────────────────
# Відправка логів на зовнішній Syslog-сервер
/system logging action
add name=remote-syslog \
target=remote \
remote=10.0.10.50 \
remote-port=514 \
src-address=10.0.10.1 \
bsd-syslog=yes \
comment="Remote Syslog server"
# Надсилати всі критичні події на Syslog
/system logging
add action=remote-syslog topics=critical comment="Critical events to
Syslog"
add action=remote-syslog topics=firewall comment="Firewall events to
Syslog"
Арк.
ТК26.026346.248 ПЗ
63
Змін. Арк. № докум. Підпис Дата
add action=remote-syslog topics=account comment="Login events to
Syslog"
# Локальний лог для firewall подій
/system logging
add action=memory topics=firewall comment="Firewall log in memory"
Арк.
ТК26.026346.248 ПЗ
Змін. Арк. 64
№ докум. Підпис Дата
4.4 Організація VPN-доступу та захищених тунелів для віддаленої
роботи
VPN (Virtual Private Network) — технологія створення захищеного
зашифрованого каналу зв'язку поверх відкритої мережі Інтернет [14]. Для
ЧДТУ VPN-шлюз забезпечує два ключові сценарії використання: безпечний
віддалений доступ адміністраторів мережі до управлінського VLAN для
дистанційного обслуговування інфраструктури, а також захищений доступ
викладачів до внутрішніх навчальних ресурсів університету (бібліотека,
файловий сервер) поза кампусом.
Вибір протоколу VPN. RouterOS v7 підтримує кілька VPN-протоколів:
WireGuard, L2TP/IPsec, SSTP та OpenVPN. Для ЧДТУ обрано WireGuard як
основний протокол з таких причин (таблиця 4.4):
Таблиця 4.4 — Порівняння VPN-протоколів у RouterOS
Продукти Налашту NAT Рекомендац
Протокол Шифрування
вність вання Traversal ія
Висока
WireGuard ChaCha20/Poly1305 Просте Так (UDP) ✓ Обрано
(апаратна)
L2TP/IPsec AES-256 Середня Складне Частково Резервний
Так (TCP Для корп.
SSTP TLS 1.2/1.3 Середня Середнє
443) мереж
Не
OpenVPN TLS/AES Низька Складне Так рекомендова
но
WireGuard є найсучаснішим та найпродуктивнішим VPN-протоколом:
його кодова база налічує лише ~4000 рядків (порівняно з ~400000 у OpenVPN),
що суттєво знижує поверхню атаки. Протокол використовує виключно сучасні
Арк.
ТК26.026346.248 ПЗ
65
Змін. Арк. № докум. Підпис Дата
криптографічні алгоритми (ChaCha20, Poly1305, Curve25519, BLAKE2s) та
підтримує апаратне прискорення на процесорі CCR2116 [9].
Налаштування WireGuard-сервера на CCR2116. Конфігурація VPN-
шлюзу для двох сценаріїв використання (адміністратори та викладачі):
# ── WireGuard VPN Server на CCR2116 ──────────────────────────────
# Крок 1: Створення WireGuard-інтерфейсу
/interface wireguard
add name=wg-vpn \
listen-port=13231 \
mtu=1420 \
comment="WireGuard VPN Gateway CHSTU"
# Переглянути згенерований публічний ключ сервера:
# /interface wireguard print -> public-key = "xxxx..."
# Крок 2: IP-адреса VPN-інтерфейсу
/ip address
add address=172.16.0.1/24 \
interface=wg-vpn \
comment="WireGuard VPN subnet 172.16.0.0/24"
# Крок 3: Додавання peer (клієнт-адміністратор)
/interface wireguard peers
add interface=wg-vpn \
name=admin-laptop \
public-key="CLIENT_PUBLIC_KEY_HERE" \
allowed-address=172.16.0.2/32 \
persistent-keepalive=25s \
comment="Network admin remote access"
# Додавання peer (викладач)
add interface=wg-vpn \
name=teacher-001 \
public-key="TEACHER_PUBLIC_KEY_HERE" \
allowed-address=172.16.0.10/32 \
persistent-keepalive=25s \
comment="Teacher remote access"
Арк.
ТК26.026346.248 ПЗ
66
Змін. Арк. № докум. Підпис Дата
# Крок 4: Firewall — дозволити WireGuard-підключення ззовні
/ip firewall filter
add chain=input action=accept \
protocol=udp dst-port=13231 \
comment="[VPN] Allow WireGuard incoming UDP"
# Крок 5: Маршрутизація для VPN-клієнтів
# Адміністратор -> повний доступ до MGMT VLAN
/ip firewall filter
add chain=forward action=accept \
src-address=172.16.0.2/32 \
dst-address=10.0.10.0/24 \
comment="[VPN] Admin -> MGMT VLAN full access"
# Викладач -> доступ тільки до навчальних ресурсів
add chain=forward action=accept \
src-address=172.16.0.10/32 \
dst-address=10.0.20.100/32 \
comment="[VPN] Teacher -> LMS server only"
Конфігурація клієнта WireGuard. Для підключення до VPN-шлюзу
ЧДТУ адміністратор або викладач використовує офіційний клієнт WireGuard
(доступний для Windows, macOS, Linux, Android, iOS). Типовий
конфігураційний файл клієнта:
# ── Конфігурація клієнта WireGuard (файл chstu-vpn.conf) ─────────
[Interface]
PrivateKey = CLIENT_PRIVATE_KEY_HERE
Address = 172.16.0.2/24
DNS = 10.0.10.1
[Peer]
PublicKey = SERVER_PUBLIC_KEY_HERE
Endpoint = vpn.chstu.edu.ua:13231
AllowedIPs = 10.0.0.0/8, 172.16.0.0/24
PersistentKeepalive = 25
Арк.
ТК26.026346.248 ПЗ
Змін. Арк. № докум. Підпис 67
Дата
Параметр AllowedIPs визначає, який трафік буде маршрутизуватися
через VPN-тунель. Значення 10.0.0.0/8 означає, що весь трафік до внутрішніх
ресурсів університету передаватиметься через зашифрований тунель, тоді як
решта Інтернет-трафіку клієнта йтиме напряму (Split Tunneling). Це знижує
навантаження на VPN-шлюз університету та забезпечує комфортну роботу
користувача.
Безпека VPN-інфраструктури. Для додаткового захисту VPN-шлюзу
налаштовується обмеження кількості невдалих спроб підключення та
динамічне блокування підозрілих IP-адрес засобами Firewall Address List
(аналогічно до захисту SSH, описаного в підрозділі 4.1). Усі події підключення
до VPN журналюються та надсилаються на Syslog-сервер для аудиту.
Арк.
ТК26.026346.248 ПЗ
68
Змін. Арк. № докум. Підпис Дата
Висновки до розділу 4
У четвертому розділі розроблено та описано повний комплекс засобів
кібербезпеки та адміністрування мережі ЧДТУ. Реалізовано багаторівневу
систему Firewall RouterOS на основі концепції Default Deny з 15 правилами
фільтрації, що забезпечують міжсегментну ізоляцію відповідно до матриці
доступу, захист управлінського інтерфейсу та автоматичне блокування атак
методом брутфорсу та сканування портів. Розроблено шестирівневу модель
QoS на базі HTB із гарантованими смугами для критичних сервісів (VoIP,
CCTV, Moodle). Налаштовано систему моніторингу MikroTik The Dude із
порогами сповіщень та інтеграцією Telegram-бота для оперативного
інформування адміністратора. Реалізовано VPN-шлюз на базі протоколу
WireGuard для захищеного віддаленого доступу адміністраторів та викладачів
із підтримкою Split Tunneling та посиленим захистом периметру.
Арк.
ТК26.026346.248 ПЗ
Змін. 69
Арк. № докум. Підпис Дата
РОЗДІЛ 5
ОХОРОНА ПРАЦІ
5.1 Аналіз небезпек та шкідливостей, які виникають під час
виконання робіт в приміщенні радіотехнічної лабораторії
Проєктування та моделювання комп’ютерних мереж, що виконується в
даній роботі, проводиться в спеціалізованій радіотехнічній лабораторії.
Призначення цієї лабораторії полягає також в ремонті та наладці
різноманітних пристроїв, для чого працівники лабораторії застосовують деякі
вимірювальні радіоелектронні пристрої. Саме тому в цьому розділі буде
проведено аналіз і оцінку впливу на працюючих різноманітних факторів під
час роботи з обладнанням в лабораторії.
За рівнем фізичних навантажень робота працівників лабораторії
відноситься до категорії I б, оскільки потребує деякого фізичного
навантаження при роботі з електрифікованим інструментом.
Радіотехнічна лабораторія являє собою мебльоване просторе
приміщення світлого забарвлення з можливістю вільного пересування
працівників між робочими місцями. Робоче місце співробітника є постійним і
складається зі столу (для вільного переміщення інженера за столом
встановлено рухоме крісло, яке повторює анатомію тіла людини), в лівій і
правій частині якого встановлені електровимірювальні та інші прилади:
осцилограф, мілівольтметр, блок живлення та персональний комп'ютер.
Монітори комп'ютерів розміщені так, щоб відстань від очей користувача до
екрану складала не менше 70 cм, кут зору 30о, для мінімізації впливу
випромінювання на зір.
Розміри лабораторії становлять: ширина – 4,5 м, довжина – 8 м, висота
стелі – 3 м, площа приміщення становить 36 м2. Лабораторія розрахована на
максимальну кількість працюючих 4 особи. Звідси площа, яка припадає на
одну людину, дорівнює: 9 м2. Об’єм приміщення складає: 108 м3. Звідси об'єм,
Арк.
ТК26.026346.248 ПЗ
70
Змін. Арк. № докум. Підпис Дата
який припадає на одну людину, дорівнює 27 м3, що відповідає вимогам
нормативних документів.
Фактори мікроклімату в приміщенні лабораторії мають дуже важливе
значення, оскільки вони безпосередньо впливають на здоров’я та самопочуття
співробітника. Згідно з ДСН 3.3.6.042-99 нормативні значення основних
факторів мікроклімату наступні:
1. Температури повітря:
− В теплий період року – 23 - 25 °С (допустима – 20 - 28 °С). ;
− В холодний період року – 22 - 24 °С (допустима – 21 - 25 °С).
2. Вологість повітря:
− В теплий період року – 40 - 60 %;
− В холодний період року – 40 - 60 %.
3. Швидкість руху повітря:
− В теплий період року – 0,1 м/с (допустима – 0,1...0,2 м/с) ;
− В холодний період року – 0,1 м/с (допустима – менше 0,1 м/с) .
Фактичні значення даних параметрів становлять відповідно:
1. Температури повітря:
– В теплий період року – 23-24 °С ;
– В холодний період року –21-22 °С .
2. Вологість повітря:
− В теплий період року – 52-53 %;
− В холодний період року – 54-56 %.
3. Швидкість руху повітря:
− В теплий період року – 0,1 м/с;
− В холодний період року – 0,1м/с.
В лабораторії в холодний період року функціонує система
централізованого водяного опалення, яка відповідає ДБН В.2.5.67-2025 та
складається з п’яти сучасних радіаторів, що встановлені безпосередньо під
вікнами. Фактичні параметри мікроклімату повністю відповідають
нормативним вимогам згідно з ДСН 3.3.6.042-99.
Арк.
ТК26.026346.248 ПЗ
Змін. Арк. № докум. 71
Підпис Дата
Радіотехнічна лабораторія являє собою приміщення з однобічним
природним освітленням, північно-східною орієнтацією віконних отворів.
Природне освітлення забезпечується крізь вікна. Розміри п’ятьох вікон
приміщення однакові і становлять 1,21,4 м.
Згідно з ДБН В.2.5-28-2018 нормування природного освітлення
проводиться за допомогою коефіцієнта природного освітлення (КПО), розряд
зорової праці – II в, найменший об’єкт розрізнення – 0,25 мм, що відповідає
дуже високому ступеню точності зорової праці. Контрастність найменшого
об’єкту розрізнення та фонів: між текстом на моніторі та фоном, між текстом
на аркуші паперу та аркушем, букв на клавіатурі, між платою та деталями є
середньою. Фактичне значення КПО становить 14-25 %, що відповідає
вимогам ДБН В.2.5-28-2018.
Для темного часу доби передбачене штучне освітлення. При штучному
освітленні нормується величина освітленості в люксах (Лк), яка вибирається в
залежності від характеристик зорової праці з урахуванням найменшого
розміру об'єкта розрізнення, фону, контрасту об'єкта розрізнення з фоном.
Лабораторія обладнана чотирма світильниками ЛСП 02В - 2×40, кожний
з яких має дві люмінесцентні лампи. Фактичний рівень штучного освітлення
складає 150-180 лк. Отже, рівень штучного освітлення на робочому місці не
відповідає ДБН В.2.5-28-2018, тому система загального штучного освітлення
потребує модернізації.
Головним джерелом шуму в приміщенні лабораторії є вентилятор
охолодження в системному блоці комп’ютера, осцилографа та принтер. Згідно
з ДСН 3.3.6.037-99 «Санітарні норми рівнів шуму на робочих місцях»
нормативне значення еквівалентного рівня шуму при даному видові діяльності
та типу робочого місця складає 50 дБА, а рівень фактичного шуму становить
35-42 дБА, що відповідає нормативному.
На робочому місці величина напруженості електромагнітного поля не
перевищує нормативне значення, визначене в ДСН 3.3.6.096-2002.
Арк.
ТК26.026346.248 ПЗ
72
Змін. Арк. № докум. Підпис Дата
Умови праці наладчиків при роботі з обладнанням крім стану параметрів
виробничого середовища, визначаються також характеристиками
устаткування, якістю робочих матеріалів у робочій зоні, конструкцією
робочих меблів та її розмірними характеристиками. Тип робочого крісла
обирається у відповідності ДСТУ 8604:2015 та в залежності від тривалості
роботи: при тривалій - масивне, при короткочасній - крісло легкої конструкції,
в якому легко пересуватися. Ширина столу 0,9 м, усі предмети, що знаходяться
на ньому розташовані на відстані не більш 75 см від працівника, отже вони
знаходяться в робочій зоні.
Обладнання, встановлене на робочих столах в лабораторії живиться від
мережі змінного струму напругою 230 В і споживає потужність менше ніж
3000 Вт. Електропроводка цієї мережі прихованого типу, знаходиться під
шаром штукатурки. Приміщення лабораторії відноситься до 2 класу
приміщень: приміщення з підвищеною небезпекою ураження людини
електричним струмом (оскільки в приміщенні струмопровідна залізобетонна
підлога). Деяке обладнання, зокрема осцилограф, мілівольтметр, системний
блок ПК, має металевий корпус, тому згідно ДСТУ Б В.2.5-82:2016 в
лабораторії повинна бути передбачені заходи, щодо захисту працівників від
ураження електричним струмом.
Під час роботи з електрообладнанням працівник зобов'язаний
виконувати ряд правил, а саме:
- при раптовому припиненні подачі електроструму потрібно негайно
вимкнути електрообладнання;
- категорично забороняється ремонтувати електрообладнання, вмикати
та вимикати його, якщо це не передбачено в ході роботи;
- категорично забороняється проводити будь-які перемикання на
головному розподільному щиті;
- не знімати запобіжні кожухи;
- у випадку виявлення неполагодженого електрообладнання,
вимірювальних приладів і дротів, терміново вимкнути напругу;
Арк.
ТК26.026346.248 ПЗ
73
Змін. Арк. № докум. Підпис Дата
- прилади керування та вимірювальні прилади слід розміщувати таким
чином, щоб було зручно проводити вимірювання, не перегинаючись через
прилади та провідники;
- у випадку враження електричним струмом слід терміново
звільнити потерпілого від дії струму і прийняти міри по наданню першої
допомоги, при необхідності викликати лікаря.
Лабораторія відноситься до приміщень з категорією
вибухопожежонебезпеки типу В, згідно з ДСТУ Б В.1.1-36:2016 (горючі та
важкогорючі рідини, тверді горючі та важкогорючі речовини, а також
речовини, здатні горіти тільки при взаємодії з водою, киснем повітря або один
з одним.). В даному приміщенні забезпечуються необхідні заходи щодо
протидії виникнення пожежонебезпечних ситуацій згідно з НАПБ А.01.001-
2014 «Правила пожежної безпеки України». План евакуації розміщений на
стіні з вільним доступом до неї. Для попередження пожеж в ній
використовується електрична пожежна сигналізація променевого типу та
теплові датчики типу (ИП-105-2) у кількості 4 шт відповідно ДБН В.2.5.56-
2014. Приміщення обладнане порошковим вогнегасником ВП-5У, який
закріплений у підставці на стіні поряд з дверима.
З усіма працівниками перед допуском до роботи проводять вступний та
первинний інструктажі згідно типового положення про навчання з питань
охорони праці (ДНАОП 0.00-4.12-05). Допуск до роботи відбувається після
проведення перевірки знань із вступного та первинного інструктажів.
Перевірка здійснюється згідно затвердженого переліку запитань.
Вступний інструктаж з питань охорони праці проводиться з усіма
працівниками, які щойно прийняті на роботу (постійну або тимчасову)
незалежно від їх освіти, стажу роботи за цією професією або посади.
Первинний інструктаж проводиться з працівниками та студентами на
робочому місці до початку роботи. Запис про проведення інструктажу
робиться у спеціальному журналі.
Арк.
ТК26.026346.248 ПЗ
Змін. 74
Арк. № докум. Підпис Дата
Повторний інструктаж проводиться на робочому місці з усіма
працівниками та студентами: на роботах з підвищеною небезпекою – 1 раз у
квартал, на інших роботах – 1 раз на півріччя.
В результаті проведеного аналізу можливо зробити висновок про те, що
найбільш важливим чинником, що впливає на безпеку праці наладчика, є
можливість його ураження електричним струмом при роботі з обладнанням у
випадку аварії. Тому необхідно розробити заходи захисту працівників від
ураження електричним струмом.
Арк.
ТК26.026346.248 ПЗ
75
Змін. Арк. № докум. Підпис Дата
5.2 Заходи та засоби захисту працівників від ураження
електричним струмом
Для забезпечення захисту від ураження електричним струмом в
електроустановках повинні застосовуватися технічні засоби захисту.
Вибір того або іншого засобу захисту (або їх поєднань) в конкретній
електроустановці і ефективність його застосування залежать від цілого ряду
чинників, зокрема від: номінальної напруги; роду, форми і частоти струму
електроустановки; способу електропостачання (від стаціонарної мережі, від
автономного джерела живлення електроенергією); режиму нейтралі джерела
трифазного струму (середньої точки джерела постійного струму) - ізольована
нейтраль, заземлена нейтраль; виду виконання (стаціонарні, пересувні,
переносні); умов зовнішнього середовища; схеми можливого включення
людини в ланцюг протікання струму (прямий однофазний, прямий двофазний
дотик; включення під напругу кроку); виду робіт (монтаж, наладка,
випробування) і ін.
Крім того, за принципом дії, всі технічні способи захисту від ураження
електричним струмом поділяються на такі:
- що знижують до допустимих значень напруги дотику і кроку;
- що обмежують час дії струму на людину;
- що запобігають прямому дотику до струмопровідних частин.
Класифікація технічних засобів захисту від ураження електричним
струмом в електроустановках наведена на рисунку 7.1.
Основними технічними засобами захисту є:
- захисне заземлення;
- автоматичне відключення живлення (занулення);
- пристрої захисного відключення.
Заземлення знижує до безпечної величини напругу відносно землі
металевих частин електроустановки, які опинилися під напругою при
пошкодженні ізоляції.
Арк.
ТК26.026346.248 ПЗ
Змін. Арк. 76
№ докум. Підпис Дата
Захисне заземлення – навмисне електричне з'єднання із землею або її
еквівалентом неструмопровідних частин електроустановки, які можуть
опинитися під напругою унаслідок замикання на корпус або з інших причин
(індуктивний вплив сусідніх струмопровідних частин, винесення потенціалу,
розряд блискавки і т. ін.). Електричний опір такого з'єднання має бути
мінімальним (не більше 4 Ом для мереж з напругою до 1000 В і не більше 10
Ом для інших). При цьому корпус електроустановки і обслуговуючий її
персонал знаходитимуться під рівними, близькими до нуля, потенціалами
навіть при пробої ізоляції і замиканні фаз на корпус.
Призначення захисного заземлення - усунення небезпеки ураження
струмом у разі дотику до корпусу електроустановки і іншим
неструмопровідним металевим частинам, що опинилися під напругою
унаслідок замикання на корпус і з інших причин.
Розрізнюють два типи заземлення: виносне і контурне.
Виносне заземлення характеризується тим, що заземлювач (елемент
заземлюючого пристрою, що безпосередньо контактує із землею) винесений
за межі майданчика, на якому встановлено устаткування. Такий спосіб
використовується для заземлення устаткування механічних і складальних
цехів. Виносне заземлення називають також зосередженим.
Арк.
ТК26.026346.248 ПЗ
77
Змін. Арк. № докум. Підпис Дата
Рисунок 5.1 - Класифікація технічних способів і засобів захисту від ураження
електричним струмом в електроустановках
Суттєвий недолік виносного заземлення – віддаленість заземлювача від
устаткування, що захищається, тому заземлюючі пристрої цього типу
застосовуються лише при малих струмах замикання на землю, зокрема в
установках до 1 кВ, де потенціал заземлювача не перевищує значень
допустимої напруги дотику.
Перевагою виносного заземлення є можливість вибору місця
розміщення електродів заземлювача з найменшим опором ґрунту (сирий,
глинистий, в низинах і т. ін.).
Арк.
ТК26.026346.248 ПЗ
78
Змін. Арк. № докум. Підпис Дата
Необхідність у влаштуванні виносного заземлення може виникнути в
наступних випадках:
- при неможливості за яких-небудь причин розмістити заземлювач на
території, що захищається;
- при високому опорі землі на даній території (наприклад, піщаний або
скелястий грунт) і наявності поза цією територією місць із значно кращою
провідністю землі;
- при розосередженому розташуванні устаткування (наприклад, в
гірських виробках), що заземлюється.
Контурне заземлення складається з декількох з′єднаних заземлювачів,
розміщених по контуру (периметру) майданчика, на якому знаходиться
устаткування, що заземлюється, а також усередині цього майданчика. Такий
тип заземлення застосовують в установках вище 1 кВ. Контурне заземлення
називається також розподіленим. Принцип дії захисного заземлення –
зниження до безпечних значень напруги дотику і кроку, обумовлених
замиканням на корпус та іншими причинами. Це досягається шляхом
зменшення потенціалу заземленого устаткування (зменшенням опору
заземлювача), а також шляхом вирівнювання потенціалів опори, на якій
знаходиться людина, і заземленого устаткування (підйомом потенціалу опори,
на якій знаходиться людина, до значень, близьких до значення потенціалу
заземленого устаткування).
У мережах змінного струму із заземленою нейтраллю напругою до 1 кВ
захисне заземлення як основний захист від ураження електричним струмом
при непрямому дотику не застосовується, оскільки воно не ефективне.
Сфера застосування захисного заземлення:
- електроустановки напругою до 1 кВ в трифазних трипровідних
мережах змінного струму з ізольованою нейтраллю (система IT);
- електроустановки напругою до 1 кВ в однофазних двопровідних
мережах змінного струму ізольованих від землі;
Арк.
ТК26.026346.248 ПЗ
79
Змін. Арк. № докум. Підпис Дата
- електроустановки напругою до 1 кВ в двопровідних мережах
постійного струму з ізольованою середньою точкою обмоток джерела струму
(система IT);
- електроустановки в мережах напругою вище 1 кВ змінного і постійного
струму з будь-яким режимом нейтралі або середньої точки обмоток джерел
струму.
Заземлення електроприладів. Металеві корпуси електроустановок і
приладів обов'язково мають бути заземлені шляхом з'єднання з нульовим
дротом електромережі. Використання металевих труб і інших деталей
водопроводу, опалювальній або каналізаційній мережі для заземлення
(занулення) заборонено.
Занулення - навмисне електричне з'єднання з глухо заземленою
нейтраллю трансформатора в трифазних мережах металевих
неструмопровідних частин, які можуть опинитися під напругою. В мережах
однофазного струму частини електроустановки з'єднуються з
глухозаземленим виводом джерела струму, а мережах постійного струму – із
заземленою точкою джерела. При зануленні нейтраль заземлюється у джерела
живлення. Ця система має найбільше розповсюдження. Воно вважається за
основний засіб забезпечення електробезпеки в трифазних мережах із
заземленою нейтраллю напругою до 1000 В.
В мережі із зануленням слід розрізняти нульові захисний і робочий
провідники. Для з'єднання відкритих провідних частин споживача
електроенергії з глухозаземленою нейтральною точкою джерела
використовується нульовий захисний провідник. Нульовим захисним
провідником називається провідник, що сполучає зануляємі частини
споживачів (приймачів) електричної енергії із заземленою нейтраллю джерела
струму. Нульовий робочий провідник використовують для живлення струмом
електроприймачів і теж сполучають із заземленою нейтраллю, але через
запобіжник.
Арк.
ТК26.026346.248 ПЗ
80
Змін. Арк. № докум. Підпис Дата
Використовувати нульовий робочий дріт як нульовий захисний не
можна, оскільки при перегоранні запобіжника всі приєднані до нього корпуси
можуть опинитися під фазною напругою! Занулення необхідно для
забезпечення захисту від ураження електричним струмом при непрямому
дотику за рахунок зниження напруги корпусу до землі і швидкого відключення
електроустановки від мережі.
Сфера застосування занулення:
- електроустановки напругою до 1 кВ в трифазних мережах змінного
струму із заземленою нейтраллю (система TN – S; звичайно це мережі 220/127,
380/220, 660/380 В);
- електроустановки напругою до 1 кВ в однофазних мережах змінного
струму із заземленим виводом;
- електроустановки напругою до 1 кВ в мережах постійного струму із
заземленою середньою точкою джерела.
Принцип дії занулення. При замиканні фазного дроту на занулений
корпус електроспоживача утворюється ланцюг струму однофазного короткого
замикання (тобто замикання між фазним і нульовим захисним провідниками).
Струм однофазного короткого замикання викликає спрацьовування
максимального струмового захисту, внаслідок чого відбувається відключення
пошкодженої електроустановки від живлячої мережі. Крім того, до
спрацьовування максимального струмового захисту відбувається зниження
напруги пошкодженого корпусу щодо землі, що пов'язане із захисною дією
повторного заземлення нульового захисного провідника і перерозподілом
напруги в мережі при протіканні струму короткого замикання. Тому,
занулення забезпечує захист від ураження електричним струмом при
замиканні на корпус за рахунок обмеження часу проходження струму через
тіло людини і за рахунок зниження напруги дотику.
Надійність занулення визначається в основному надійністю нульового
захисного провідника. У зв'язку з цим потрібна ретельна прокладка нульового
захисного провідника, щоб унеможливити його обрив. Крім того, в нульовому
Арк.
ТК26.026346.248 ПЗ
81
Змін. Арк. № докум. Підпис Дата
захисному провіднику забороняється ставити вимикачі, запобіжники і інші
пристрої, здатні порушити його цілісність. При з'єднанні нульових захисних
провідників між собою повинен забезпечуватися надійний контакт.
Приєднання нульових захисних провідників до частин електроустановок, що
підлягають зануленню, здійснюється зваркою або болтовим з'єднанням,
причому, значення опору між зануляющим болтом і кожною доступною
дотику металевою неструмопровідною частиною електроустановки, яка може
опинитися під напругою, не повинно перевищувати 0,1 Ом. Приєднання має
бути доступне для огляду. Нульові захисні дроти і відкрито прокладені нульові
захисні провідники повинні мати відмітне забарвлення: по зеленому фону
жовті смуги.
В процесі експлуатації занулення опір петлі “фаза-нуль” може мінятися,
отже, необхідно періодично контролювати значення цього опору.
Вимірювання опору петлі “фаза-нуль” проводять як після закінчення
монтажних робіт, тобто при приймально-здавальних випробуваннях, так і в
процесі експлуатації в терміни, встановлені в нормативно технічній
документації, а також при проведенні капітальних ремонтів і реконструкцій
мережі.
Розрахунок занулення має на меті визначити умови, при яких воно
надійно виконує покладені на нього завдання, - швидко відключає
пошкоджену установку від мережі і в той же час забезпечує безпеку дотику
людини до зануленого корпусу в аварійний період.
Захисним відключенням називається автоматичне відключення
електроустановок при однофазному дотику до частин, що знаходяться під
напругою, неприпустимою для людини, і (або) при виникненні в
електроустановці струму витоку (замикання), що перевищує задані значення.
Призначення захисного відключення – забезпечення електробезпеки, що
досягається за рахунок обмеження часу дії небезпечного струму на людину.
Захист здійснюється спеціальним пристроєм захисного відключення (ПЗВ),
який забезпечує електробезпеку при дотику людини до струмопровідних
Арк.
ТК26.026346.248 ПЗ
82
Змін. Арк. № докум. Підпис Дата
частин устаткування, дозволяє здійснювати постійний контроль ізоляції,
відключає установку при замиканні струмопровідних частин на землю. Для
захисту людей від ураження електричним струмом застосовуються ПЗВ із
струмом спрацьовування не більше 30 мА.
Сфера застосування захисного відключення: електроустановки в
мережах з будь-якою напругою і будь-яким режимом нейтралі. Найбільше
поширення захисне відключення набуло в електроустановках,
використовуваних в мережах напругою до 1 кВ із заземленою або ізольованою
нейтраллю.
Принцип роботи ПЗВ полягає в тому, що він постійно контролює
вхідний сигнал і порівнює його із заданою величиною. Якщо вхідний сигнал
перевищує цю величину, то пристрій відключає захищену електроустановку
від мережі. Як вхідні сигнали пристроїв захисного відключення
використовують різні параметри електричних мереж, які несуть в собі
інформацію про умови ураження людини електричним струмом. ПЗВ реагує
на «струм витоку» і протягом сотих доль секунди відключає електрику,
захищаючи людину від ураження електричним струмом, воно уловлює
щонайменший витік струму і розмикає контакти.
Конструктивно ПЗВ бувають двох видів:
- електронні, залежні від напруги живлення, їх механізм для виконання
операції відключення потребує енергії, що отримується або від
контрольованої мережі, або від зовнішнього джерела;
- електромеханічні, незалежні від напруги живлення, вони дорожче
електронних ПЗВ, але мають більшу чутливість. Джерелом енергії, необхідної
для функціонування таких ПЗВ є сам вхідний сигнал – диференціальний
струм, на який воно реагує.
Арк.
ТК26.026346.248 ПЗ
83
Змін. Арк. № докум. Підпис Дата
Рисунок 5.2 - Схема пристрою захисного вимкнення
Всі ПЗВ за вхідним сигналом класифікують на декілька типів:
- що реагує на напругу корпусу щодо землі;
- що реагує на диференціальний (залишковий) струм;
- що реагує на комбінований вхідний сигнал;
- що реагує на струм замикання на землю;
- що реагує на оперативний струм (постійний; змінний 50 Гц);
- що реагує на напругу нульової послідовності.
Застосування ПЗВ повинне здійснюватися відповідно до Правил
улаштування електроустановок (ПУЕ).
ПЗВ вибираються за двома параметрами: чутливість (номінальний
вимикаючий диференційний струм) і номінальний струм. Для захисту людини
від ураження струмом пропонується ПЗВ-2002 4р / 80А / 30 мА чутливістю 30
мА. Для захисту від виникнення пожежі із-за зносу або пошкодження ізоляції
використовують ПЗВ чутливістю 30 мА (для простих схем) та 100 або 300 мА
Арк.
ТК26.026346.248 ПЗ
Змін. 84
Арк. № докум. Підпис Дата
(для каскадних складних схем). Номінальний струм навантаження ПЗВ
повинен бути вище або дорівнювати струму пристрою захисту.
Рисунок 5.3 - Пристрій захисного відключення ПЗВ-2002 4р/ 80А /30мА
Технічні характеристики пристрою захисного відключення ПЗВ-2002 4р
/ 80А / 30 мА:
- Виробник: Аско (Україна)
- Номінальна робоча напруга: 220/380 В
- Частота, Гц: 50
- Номінальний робочий струм: 80 А
- Струм витоку: 0,3 А
- Номінальна відключає здатність, кА: 3,5
- Кількість полюсів: 3 + N
- Час спрацювання, мсек: 2-3
- Ступінь захисту: IP 20
- Максимальний перетин провідників, мм2: 35
- Механічна зносостійкість, цикли: 10000
- Габаритні розміри, мм: 91х70х68
- Гарантія, міс: 12
Пристрої захисного відключення застосовуються в низьковольтних
електричних ланцюгах промислового і побутового призначення для
Арк.
ТК26.026346.248 ПЗ
85
Змін. Арк. № докум. Підпис Дата
підвищення рівня електробезпеки людей, електроустановок, а також захисту
від потенційної можливості виникнення пожеж, викликаних несправністю
електромережі. До перелічених достоїнств, слід додати - можливість
виключення деяких видів розкрадання електроенергії.
Диференціальний вимикач представляє собою комбінацію двох
електротехнічних пристроїв: пристрої захисного відключення і автоматичного
вимикача.
Диференційний вимикач реалізує:
- захист ланцюгів від пошкоджень ізоляції;
- захист людей від ураження електричним струмом при прямих або непрямих
контактах із струмопровідними частинами;
- захист електроустановки від спалаху;
- селективність захисту при каскадному з'єднанні апаратів на струми витоку
30 і 300 мА.
Рисунок 5.4 - Диференціальний вимикач Аско ДВ-2002 32А 30мА
Технічні характеристики диференціального вимикача Аско ДВ-2002 32А:
- Виробник: Аско (Україна):
- Тип: Дифавтомати:
- Номінальна робоча напруга: 220 В;
- Частота, Гц: 50;
- Номінальний робочий струм: 32 А;
Арк.
ТК26.026346.248 ПЗ
86
Змін. Арк. № докум. Підпис Дата
- Струм витоку: 0,03 А;
- Номінальна відключає здатність, кА: 4,5;
- Кількість полюсів: 1 + N;
- Час спрацювання, мсек: ≤2;
- Ступінь захисту: IP 20;
- Максимальний перетин провідників, мм2: 25;
- Механічна зносостійкість, цикли: 6000;
- Габаритні розміри: 78х36х73;
- Гарантія, міс: 12.
Арк.
ТК26.026346.248 ПЗ
87
Змін. Арк. № докум. Підпис Дата
ВИСНОВКИ
У процесі виконання дипломної роботи було проведено дослідження та
варіант реалізації мережевої інфраструктури Корпусу №1 ЧДТУ.
1. Проведено аудит існуючої мережевої інфраструктури ЧДТУ, за
результатами якого виявлено 4 групи критичних проблем: застаріле
обладнання, відсутність сегментації мережі, недостатній рівень захисту та
відсутність управління трафіком. На основі виявлених недоліків сформовано
повний перелік технічних вимог до нової інфраструктури для подальшого
проєктування.
2. Обґрунтовано вибір платформи MikroTik RouterOS як оптимального
рішення для умов закладу вищої освіти. Порівняльний аналіз альтернативних
платформ підтвердив, що MikroTik забезпечує необхідний рівень
функціональності — маршрутизацію, VPN, QoS, централізоване управління
бездротовою мережею — при значно менших витратах, що є критично
важливим з огляду на бюджетні обмеження ЗВО.
3. Спроєктовано ієрархічну топологію мережі за моделлю Core–
Distribution–Access, яка забезпечує масштабованість, відмовостійкість та
зручність адміністрування. Розроблено схему логічної сегментації з 7 VLAN-
сегментів, що розмежовують трафік адміністрації, викладачів, студентів,
систем відеоспостереження, СКУД, серверної інфраструктури та гостьового
доступу.
4. Розроблено детальний план бездротової мережі Wi-Fi, що передбачає
розгортання понад 70 точок доступу стандарту Wi-Fi 6 з централізованим
управлінням через CAPsMAN. Запропонована архітектура гарантує 100%
покриття навчальних аудиторій, коридорів та адміністративних приміщень із
забезпеченням необхідної пропускної здатності для одночасної роботи великої
кількості користувачів.
5. Реалізовано інтеграцію системи відеоспостереження IP-CCTV (64
камери) та системи контролю і управління доступом (СКУД) у єдину
Арк.
ТК26.026346.248 ПЗ
88
Змін. Арк. № докум. Підпис Дата
мережеву інфраструктуру університету. Інтеграція виконана з використанням
технології PoE для живлення обладнання через мережевий кабель та виділених
VLAN-сегментів для ізоляції трафіку систем безпеки від загального
мережевого середовища.
6. Реалізовано комплексну систему кібербезпеки, що включає Firewall із
політикою Default Deny, систему QoS на базі алгоритму HTB для пріоритизації
критичного трафіку, а також захищений тунель WireGuard VPN для
віддаленого адміністрування та безпечного підключення до ресурсів
університету.
7. Налаштовано комплексну систему моніторингу мережевої
інфраструктури на базі The Dude з автоматичними сповіщеннями через
Telegram-бот у разі виникнення збоїв або нештатних ситуацій.
Централізований збір системних журналів через Syslog забезпечує можливість
аудиту подій, оперативного виявлення інцидентів та аналізу роботи мережі.
Таким чином, у дипломній роботі вирішено актуальне науково-практичне
завдання — розроблено та обґрунтовано архітектуру сучасної захищеної
мережевої інфраструктури університету, що відповідає вимогам надійності,
безпеки, масштабованості та економічної доцільності.
Арк.
ТК26.026346.248 ПЗ
89
Змін. Арк. № докум. Підпис Дата
СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ
1. Shanmugam T., Malarkodi B. Analysis of campus network management
challenges and solutions // Proceedings of International Conference on
Intelligent Computing and Control Problems. — IEEE, 2019. — P. 312–316.
2. GÉANT Association. GÉANT Compendium of National Research and
Education Networks in Europe. — GÉANT, 2023. URL:
https://www.geant.org/compendium.
3. Verizon Business. 2024 Data Breach Investigations Report. — Verizon, 2024.
URL: https://www.verizon.com/business/resources/reports/dbir (дата
звернення: 10.03.2025).
4. Cisco Systems. Campus LAN and Wireless LAN Solution Design Guide. —
Cisco, 2020. URL:
https://www.cisco.com/c/en/us/td/docs/solutions/CVD/Campus/cisco_campu
s-lan-wlan-design-guide.html (дата звернення: 15.03.2025).
5. Cisco Systems. Cisco Enterprise Architecture Design Guide. — Cisco, 2021.
URL: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-
campus/index.html (дата звернення: 15.03.2025).
6. Cisco Systems. Cisco Enterprise Architecture Design Guide. — Cisco, 2021.
URL: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-
campus/index.html (дата звернення: 15.03.2025).
7. Galati Giordanino L. et al. A Survey of Wi-Fi 6: Technologies, Advances, and
Challenges // Future Internet. — MDPI, 2022. — Vol. 14, No. 10. — P. 293.
DOI: 10.3390/fi14100293.
8. Khorov E., Kiryanov A., Lyakhov A., Bianchi G. A Tutorial on IEEE
802.11ax High Efficiency WLANs // IEEE Communications Surveys &
Tutorials. — 2019. — Vol. 21, No. 1. — P. 197–216.
9. MikroTik. RouterOS v7 Documentation. — MikroTik, 2024. URL:
https://help.mikrotik.com/docs/ (дата звернення: 20.03.2025).
Арк.
ТК26.026346.248 ПЗ
Змін. Арк. 90
№ докум. Підпис Дата
10. MikroTik. CAPsMAN v2 Configuration Guide. — MikroTik, 2023. URL:
https://help.mikrotik.com/docs/display/ROS/CAPsMAN (дата звернення:
20.03.2025).
11. IEEE Std 802.1Q-2022. IEEE Standard for Local and Metropolitan Area
Networks — Bridges and Bridged Networks. — IEEE, 2022.
12. IEEE Std 802.11ax-2021. IEEE Standard for Information Technology —
Enhancements for High-Efficiency WLAN. — IEEE, 2021.
13. IEEE Std 802.3at-2009. IEEE Standard for Information Technology — Power
over Ethernet Plus. — IEEE, 2009.
14. Tanenbaum A. S., Wetherall D. Computer Networks. 5th ed. — Pearson,
2011. — 960 p.
15. Lammle T. CompTIA Network+ Study Guide. 4th ed. — Sybex, 2021. —
1008 p.
Арк.
ТК26.026346.248 ПЗ
91
Змін. Арк. № докум. Підпис Дата