Реконструкция локальной вычислительной сети

 

1. Локальные сети


Реализация предложенного проекта позволит сократить бумажный документооборот внутри компании, повысить производительность труда, сократить время на получение и обработку информации, выполнять точный и полный анализ данных, сократить время на получение любых форм отчетов по итогам работы. Как следствие, образуются дополнительные временные ресурсы для разработки и реализации новых проектов. Таким образом, решится проблема окупаемости и рентабельности внедрения компьютерной сети. Локальная вычислительная сеть должна быть реконструирована таким образом, чтобы обеспечить надлежащую степень защищенности данных.

При объединении компьютеров в сеть необходимо обеспечить их совместимость на всех уровнях взаимодействия: от физических соединителей и используемых для кодирования данных уровней электрических сигналов до способов адресации и коррекции ошибок. Такая совместимость достигается благодаря стандартизации и применению модульного подхода при проектировании сетевых протоколов. Применение модульного подхода означает, что задача взаимодействия компьютеров разбивается на несколько уровней, для каждого их которых задается свой протокол (набор правил) взаимодействия и интерфейсы взаимодействия с вышележащим и нижележащим уровнями.

В начале 80-х годов рад международных организаций по стандартизации (ISO, ITU-T, и другие) разработали модель взаимодействия открытых систем ISO/OSI, которая определяет различные уровни их взаимодействия, дает им стандартные имена и указывает, какие функции должны исполняться каждым из уровней. В модели ISO/OSI выделены семь уровней: физический, канальный, сетевой, транспортный, сеансовый, представительный и прикладной.

Многочисленные стандарты на сетевые протоколы и технологии описывают способы решения задач, выполняемых на одном или нескольких уровнях модели OSI. Совместимость сетевых средств, выпускаемых различными производителями, обеспечивается их соответствием одному из существующих стандартов. При проектировании сети в первую очередь требуется определить на основе каких стандартов будут решены задачи каждого из уровней.

В данной методической разработке систематизированы и кратко изложены методики расчета, требования и характеристики наиболее распространенных стандартов, а также даны рекомендации по их выбору.

Стандарты на технологии локальных сетей (п. 2.2. - 2.3.) и на технологии удаленного доступа (п. 2.4.) описывают протоколы физического уровня (требования к кабелям, соединителям и способам физического кодирования данных) и канального уровня (способы адресации в сети и совместного использования разделяемой среды передачи данных).

Объединение сетей, построенных на основе различных технологий (а также автономных сегментов сложных однородных сетей), производится средствами сетевого уровня, которые реализуются в маршрутизаторах. В качестве маршрутизаторов могут выступать как компьютеры с серверными операционными системами, так и специальные устройства. Особенности применения маршрутизаторов рассмотрены в п. 2.5 - 2.6.

Для того, чтобы предоставить пользователям сети доступ к ресурсам компьютера, на нем должно быть установлено серверное программное обеспечение, например серверные программы электронной почты, веб-серверы, ftp-серверы, серверы баз данных, серверы доступа к файлам и печати. Серверное программное обеспечение рассмотрено в п. 2.7.


2. Обзор современных технологий компьютерных сетей


.1 Локальные сети. Характеристики технологий локальных сетей


К локальным сетям относят сети компьютеров, сосредоточенные на небольшой территории (обычно в радиусе 1-2 км.) Построение локальных сетей проводят на основе той или иной технологии, то есть стандарта на протоколы физического и канального уровня модели OSI. Выбор технологии проводится в соответствии с требованиями к основным характеристикам сети. Рассмотрим основные характеристики локальных сетей.

-Битовая скорость передачи данных - максимальное число бит, которые могут быть переданы между двумя узлами сети в единицу времени. Битовая скорость определяется принятым в стандарте способом физического кодирования и является одинаковой для всех сетей данной технологии.

-Топология сети и максимальная длина кабельных соединений. Топологией называется схема соединений узлов сети (рисунок 1). Большинство сетевых технологий рассчитаны на организацию сети со строго определенной топологией, ряд стандартов также допускают построение сетей смешанной топологии, например соединение лучей нескольких «звезд». Ограничения на максимальную длину кабельных соединений могут обуславливаться различными причинами и подробнее рассмотрены в п. 2.

Нагрузка на сеть это объем данных, реально передаваемый по сети в единицу времени:


v=D/t, (1.а)


где D - суммарный объем данных, переданный за время t

На стадии проектирования оценить планируемую нагрузку на сеть достаточно сложно. Иногда проще задать объем данных в единицу времени, приходящийся на одну рабочую станцию vi. В этом случае нагрузка на сеть:

v=nvi,(1.б)


где n - число компьютеров в сети.

Пропускная способность vmax это максимально возможная для данной сети скорость передачи данных, которая определяется битовой скоростью и некоторыми другими ограничивающими факторами (длительность интервалов между передаваемыми блоками данных, объем передаваемой по сети служебной информации и др.). Значения пропускной способности для сетевых технологий известны и приводится в стандарте. В большинстве случаев можно принять пропускную способность равной битовой скорости.

-Коэффициент использования сети равен отношению нагрузки на сеть к пропускной способности:


h=v/vmax.(2)


Несмотря на то, что скорость передачи данных в сети определенной технологии всегда одна и та же, производительность сети уменьшается с увеличением объема передаваемых данных. Во-первых, объем передаваемых данных (трафик) делится между всеми компьютерами сети. Во-вторых, даже та доля пропускной способности разделяемого сегмента, которая должна приходится на один узел, очень часто ему не достается из-за особенностей работы механизма доступа к общей среде передачи данных. После определенного предела увеличение коэффициента использования сети приводит к резкому уменьшению реальной скорости передачи данных. Потери времени, связанные с работой механизма доступа к разделяемой среде зависят от характера обращений компьютеров к сети и не могут быть точно рассчитаны, поэтому для обеспечения достаточной производительности задается предельное значение коэффициента использования сети, при котором сеть будет быстро реагировать на обращения пользователей.

2.2 Современные технологии локальных сетей


В зависимости от размеров сети, расстояний между компьютерами и требований по производительности при проектировании сети выбирают ту или иную стандартную технологию. При этом необходимо учитывать ограничения на топологию сети, приводимые в стандартах. Как правило, эти ограничения связаны с двумя факторами.

Во-первых, из-за наличия затухания в линии связи передаваемый сигнал может стать неразличим на фоне шумов. Поэтому на длину соединительных кабелей накладываются ограничения, обеспечивающие уверенное различение сигнала на фоне помех. Если расстояние между компьютерами больше, чем максимально допустимая длина кабеля, то для усиления передаваемого сигнала могут применяться специальные устройства - активные повторители.

Во-вторых, при объединении нескольких узлов общей средой передачи данных должны быть приняты меры для того, чтобы в каждый момент времени только одна станция в сети передавала данные. В технологиях Ethernet, FastEthernet, GigabitEthernet, используется способ доступа к разделяемой среде с обнаружением коллизий CSMA/CD (Carrier Sense Multiple Access with Collision Detection), в сетях TokenRing и FDDI - способ маркерного кольца.

Участок сети, все узлы которого разделяют общую среду передачи данных называется доменом коллизий или сегментом сети.

Для правильной работы сети с обнаружением коллизий необходимо, чтобы при возникновении коллизии она была обнаружена передающей стороной перед тем, как передача окончится. Предположим, узел А передает данные узлу B, находящемуся на противоположном конце сети. Непосредственно перед тем, как распространяющийся с конечной скоростью электрический сигнал достигнет узла В, узел В сам начинает передавать информацию какому-либо узлу сети. Возникает коллизия, и искаженный сигнал от узла В передается узлу А также с конечной скоростью. Чтобы коллизия была обнаружена узлом А необходимо, чтобы его передатчик все еще работал в тот момент, когда его достигнет искаженный сигнал от узла B. Поэтому время передачи кадра минимальной длины должно быть не менее удвоенного времени распространения сигнала между двумя наиболее удаленными узлами сегмента (времени двойного оборота).

В сети Ethernet и ее модификациях (Fast Ethernet и Gigabit Ethernet) время передачи кадра минимальной длины Tmin должно быть больше PDV - времени двойного оборота сигнала в сегменте:


Tmin³PDV.(3)


PDV складывается из задержек сигналов в кабелях и задержек, вносимых повторителями (концентраторами) и сетевыми адаптерами. Методика расчета PDV и значение времени передачи кадра минимальной длины приводятся в стандартах (см. ниже). Как правило значения PDV и Tmin указываются в битовых интервалах (интервал времени, требуемый для передачи одного бита).

Ограничения, связанные с работой механизма доступа к общей среде передачи данных, могут быть преодолены путем разбиения сложной сети на несколько отдельных сегментов (доменов коллизий) (п. 3)

Для подключения компьютера к сети в него необходимо установить сетевой адаптер (сетевую карту) соответствующей сетевой технологии. Сетевой адаптер представляет собой устройство, подключаемое к системной шине ЭВМ, имеющее порт для подключения сетевого кабеля и осуществляющее прием и передачу информации в сеть.

Рассмотрим наиболее распространенные на сегодня технологии и присущие им ограничения [1, п. 3.3.4]

Стандарты 10Base-2 и 10Base-T (IEEE 802.3) описывают сети Ethernet c битовой скоростью 10 Мбит/с. Сети 10Base-2 и 10Base-T могут работать совместно, их объединение производят через концентратор, имеющий порты обеих технологий.

Общие характеристики и ограничения для всей сети Ethernet 10 Мбит/с.

Максимальное число рабочих станций в сети не более 1024.

Для кадров максимальной длины пропускная способность 9,87 Мбит/с

Время передачи кадра минимальной длины Tmin=575 битовых интервала

Стандарт 10Base-2: сеть на основе коаксиального кабеля RG-58 диаметром 0.2 дюйма. Компьютеры соединяются сегментами кабеля по топологии «общая шина» [1, рис. 3.9]. Данная технология является наиболее дешевым решением при построении очень маленьких сетей (число компьютеров до 4-х). Сети на основе коаксиального кабеля трудно обслуживать и расширять. Они были признаны устаревшими во второй половине 90-х годов.

Характеристики и ограничения для сетей стандарта 10Base-2

Максимальное число узлов, подключаемых к одному сегменту кабеля 30.

Минимальное расстояние между узлами 1 м.

Максимальная длина сегмента кабеля 185 м.

В стандарте описаны правила построения сетей с повторителями, но так как в настоящее время большие сети на основе данной технологии больше не строятся, приводить их не будем.

При построении сети из двух компьютеров можно непосредственно соединять их порты кроссовым кабелем.

Так как концентратор выполняет роль активного повторителя, для предотвращения затухания сигналов в кабеле необходимо и достаточно выполнить требования накладываемые на расстояние между узлами и концентратором.

Максимальное расстояние отрезка кабеля между двумя связанными устройствами (компьютер-концентратор или концентратор-концентратор) не более 100 м.

Максимальное число концентраторов между любыми двумя узлами в сегменте не более четырех (это требование называется ПРАВИЛОМ ЧЕТЫРЕХ ХАБОВ)

Если сеть построена только на основе технологии 10Base-T и правило четырех хабов выполняется, то в расчете PDV нет необходимости. Если же в сети имеется более четырех хабов, или сеть построена с использованием обеих технологий 10Base-2 и 10Base-T, то необходимо убедиться, что значение PDV для любых двух узлов не превышает время передачи кадра минимальной длины. Рассчет PDV проводится по формуле:


PDV= B1+B2+(n-2) B3+0.113lвп+0.1026lкоакс, n>2; (4, а)

PDV= B1+B2+0.113lвп+0.1026lкоакс, n£2 (4, б)


где B1, В2, B3 -, базовые значения PDV соответственно для левого, правого и промежуточного сегментов кабеля (табл. 1) (под левым и правым сегментами кабеля понимаются сегменты, к которым подключены узлы, под промежуточными - сегменты между повторителями (концентраторами), через которые проходит путь от одного узла к другому); lвп и lкоакс - длина кабеля витой пары и коаксиального кабеля между узлами (в метрах), n - число промежуточных сегментов.


Таблица 1. Исходные данные для расчета PDV

B1B2B310Base-211.8169.546.510Base-T15.3165.042.0

Стандарты Fast Ethernet 100Base-FX, 100Base-TX, 100Base-T4 (IEEE 802.3u) описывают усовершенствованную технологию Ethernet с битовой скоростью 100 Мбит/с.

Общие характеристики и ограничения сети Fast Ethernet:

Пропускная способность 100 Мбит/с

Время передачи кадра минимальной длины Tmin=512 битовых интервала (без учета преамбулы, в соответствии с методикой расчета PDV для сетей 100 Мбит/с).

Число концентраторов в сегменте - не более двух. (Рекомендуется - один. Использование двух концентраторов допустимо, только если длина соединительных кабелей меньше максимально допустимых, при этом обязательно требуется проверка выполнения условия (3))

Различные спецификации определяют используемые кабели и способы физического кодирования. Оборудование Fast Ethernet может иметь порты различных технологий.

Стандарт 100Base-TX: сеть на основе кабеля «неэкранированная витая пара» UTP категории 5 или STP типа 1 (STP используется очень редко). Это наиболее перспективная в настоящее время технология. Способ соединения компьютеров такой же, как и при технологии 10Base-T: узлы соединяются с концентратором, сеть имеет физическую топологию «звезда». (При соединении двух компьютеров их порты могут непосредственно соединяться кроссовым кабелем). Сетевые адаптеры 100Base-TX способны также работать в сетях 10Base-T и поддерживают функцию автопереговоров, позволяющую автоматически выбрать режим работы.

Различные модели концентраторов либо работают только по технологии Fast Ethernet, либо имеют несколько портов Fast Ethernet и несколько 10Base-T, либо имеют порты с возможностью автопереговоров. В последнем случае концентратор делит сеть на два сегмента со скоростями 10 Мбит/с и 100 Мбит/с и выполняет функции моста между этими сегментами. (см. п. 3)

Максимальное расстояние отрезка кабеля между двумя связанными устройствами (компьютер-концентратор или компьютер-компьютер) не более 100 м.

При использовании в домене коллизий более одного концентратора необходим расчет PDV для проверки выполнения соотношения (3) (см. ниже).

Стандарт 100Base-FX: сеть на основе оптоволоконного кабеля. Каждый узел соединяется с концентратором двумя оптическими волокнами, используемыми для приема и передачи информации. Из-за дороговизны данная технология, как правило, используется не для подключения к сети отдельных компьютеров, а для построения магистрали сети. Достаточно широкое распространение получили конвертеры интерфейсов, имеющие один порт 100Base-FX и один порт 100Base-TX, позволяющие подключать широко распространенное TX-оборудование к оптоволоконной магистрали.

Технология 100Base-FX рассчитана на использование двух различных типов оптоволоконного кабеля - одномодового (SМ) и многомодового (ММ). Одномодовое оптоволокно является более дорогим и позволяет передавать данные на большие расстояния.

Максимальная длина отрезка оптоволоконного кабеля между портами оконечного оборудования линий связи (компьютер-компьютер, компьютер-коммутатор, коммутатор-коммутатор, см. п. 3) - не более 412 м.

Максимальная длина отрезка оптоволоконного кабеля между портами оконечного оборудования линий связи (компьютер-компьютер, компьютер-коммутатор, коммутатор-коммутатор, см. п. 3) в дуплексном режиме (см. п. 3) - не более 2 км для многомодового оптоволокна, не более 100 км для одномодового оптоволокна.

Максимальная длина отрезка оптоволоконного кабеля между портами компьютера и концентратора: если несколько портов концентратора подключены к оптоволокну - 136 м; если только один порт концентратора подключен к оптоволокну, остальные к витой паре - 160 м.

При использовании в домене коллизий более одного концентратора необходим расчет PDV для проверки выполнения соотношения (3)

Более жесткие требования к максимальной длине отрезка оптоволоконного кабеля при соединении компьютера и концентратора связаны с необходимостью выполнения условия (3), так как в этом случае наличие концентратора между оконечным оборудованием увеличивает PDV. Чтобы точнее определить требования к длине кабеля (например, сделать длину одного из сегментов кабеля больше максимально допустимой за счет уменьшения размера всех остальных сегментов) и оценить возможность использования в домене коллизий двух концентраторов, нужно рассчитать PDV и проверить выполнение соотношения (3). При этом формула для расчета PDV будет иметь следующий вид:


PDV=100+92n+1.0lопт+1.112lвп (5)


где n - число концентраторов в сегменте, lопт и lвп - длина сегментов оптоволоконного кабеля и кабеля витой пары в метрах.

Стандарт 100Base-T4: технология передачи данных по четырем парам проводов кабеля UTP категории 3. Стандартный кабель UTP имеет четыре пары, из которых в других технологиях используются только две. Применение этой технологии оправдано только в случае, если в здании уже имеется кабельная система на основе витой пары категории 3. В России данная технология практически не используется, методика расчета PDV для таких сетей приведена в [1, п. 3.6.2].

Стандарт Gigabit Ethernet 1000Base-SX и 1000Base-LX (IEEE 802.3z) описывает технологию передачи данных по оптоволоконному кабелю с битовой скоростью 1 Гбит/с. Данная технология используется, в основном, для построения магистралей локальных сетей, то есть для соединения между собой сетей этажей и отдельных зданий. Несмотря на то, что стандарт Gigabit Ethernet предусматривает подключение узлов к концентратору, такой способ построения сети практически не используется. Предпочтительным является непосредственное соединение портов оконечного оборудования - компьютеров и коммутаторов, так как в этом случае выполнение условия (3) связано с более мягкими требованиями к максимальной длине кабеля (п. 3) Общие требования к сети Gigabit Ethernet:

Пропускная способность 1 Гбит/с

Допускается не более одного концентратора в сети.

Максимальная длина отрезка оптоволоконного кабеля между портами компьютера и концентратора 100 м.

Стандарт 1000Base-SX: сеть на основе многомодового оптоволоконного кабеля одной из двух марок: 62.5/125 или 50/125.

Максимальная длина отрезка оптоволоконного кабеля между портами оконечного оборудования линий связи (компьютер-компьютер, компьютер-коммутатор, коммутатор-коммутатор, см. п. 3) в дуплексном режиме - не более 220 м для кабеля 62.5/125, не более 500 м для кабеля 50/125.

Base-LX - сеть на основе многомодового оптоволоконного кабеля 50/125 или одномодового оптоволоконного кабеля.

Максимальная длина отрезка оптоволоконного кабеля между портами оконечного оборудования линий связи (компьютер-компьютер, компьютер-коммутатор, коммутатор-коммутатор, см. п. 3) в дуплексном режиме - не более 550 м для многомодового кабеля, не более 5000 м для одномодового кабеля.

TokenRing - сеть на основе кабелей STP типа 1, или UTP категории 3. Каждый узел соединяется с концентратором (концентраторы TokenRing принято называть MSAU - multi-station access unit) двумя парами проводов по топологии «точка-точка». Внутри MSAU линии связи соединены так, что образуется сеть с топологией «кольцо». Для соединения MSAU друг с другом предусматриваются специальные порты. Битовая скорость передачи данных 4 или 16 Мбит/с. В отличии от сетей Ethernet, в этой технологии реализован более производительный способ контроля доступа к разделяемой среде, поэтому она позволяет строить сети большого размера. В настоящее время эта технология вытесняется технологией Fast Ethrenet поэтому строить новые сети на ее основе не имеет смысла.

Как правило MSAU является пассивным устройством, а усиление сигнала выполняется сетевыми картами компьютеров (активные MSAU также существуют, но используются реже).

Максимальная длина связи MSAU-рабочая станция и MSAU-MSAU - 100 м при использовании STP, 45 м при использовании UTP.

Максимальное число узлов в кольце 260 при использовании STP и 72 при использовании UTP.

Максимальная длина кольца 4000 м.

FDDI - сеть на основе оптоволоконного кабеля или кабеля UTP категории 5 с битовой скоростью 100 Мбит/с и повышенной отказоустойчивостью за счет наличия избыточных связей и специальных методов самовосстановления после отказов [1, п. 3.5], [2]. FDDI позволяет создавать локальные сети с большим расстоянием между узлами (до 2 км) и применяется в основном на ответственных участках и магистралях локальных сетей. Высокая стоимость сдерживает развитие данной технологии, в настоящее время вытесняется технологией 100Base-FX.Net - фирменный стандарт Iola (Россия) [3, 4], позволяющий строить сети с большим по сравнению с Ethernet расстоянием между рабочими станциями (до 2 км). Битовая скорость передачи данных до 25 Мбит/с. Применяется в основном как дешевое решение для соединения сетей нескольких зданий. Правила построения сетей Iola приведены в публикациях [3, 4] и на сайте производителя.


2.3 Применение коммутаторов для сегментирования сети


Использование разделяемой среды передачи данных ограничивает рост размеров сети по двум причинам. Во-первых, при увеличении трафика увеличивается вероятность коллизий (в сетях с обнаружением коллизий, в том числе Ethernet), поэтому возрастает время, которое сеть тратит на восстановление после коллизии и повторную передачу кадров. После определенного предела дальнейшее увеличение коэффициента использования сети приводит к резкому уменьшению ее производительности. Для сетей Ethernet этот предел составляет 0.4 - 0.6 и зависит от характера обращений.

Во-вторых, необходимость распознавания коллизий ограничивает максимальное расстояние между узлами сети (диаметр сети).

Для преодоления этих ограничений крупные сети разделяют на несколько доменов коллизий с помощью коммутаторов.

Коммутатор это устройство, имеющее несколько портов, к которым подключаются объединяемые сегменты сети. Они записывают все принимаемые кадры в буфер, анализируют адрес назначения и передают кадры только в тот сегмент, в котором находится узел назначения. Благодаря промежуточной буферизации каждый сегмент представляет отдельный домен коллизий [1, п. 4.3.1]. Поэтому ограничения на размеры сети, связанные с использованием разделяемой среды относятся к каждому из подключенных к коммутатору сегментов, но не ко всей сети в целом.

Ряд усовершенствованных моделей концентраторов могут иметь один порт для подключения к магистральной сети, связь которого с остальными портами осуществляется по тому же принципу, что и в коммутаторах. Если на концентраторе имеются порты технологий с различной битовой скоростью (или порты с автоматическим выбором одной из поддерживаемых технологий - например 10Base-T и 100Base-TX), то связь между сегментами, работающими на основе различных технологий также осуществляется с анализом адресов передаваемых пакетов, как в коммутаторе.

Применение коммутаторов как правило повышает производительность сети, но получаемый при этом эффект зависит от характера распределения трафика между разделяемыми сегментами. Чем меньший объем трафика выходит за пределы разделяемых коммутатором сегментов, тем больше повышение производительности.

Рассмотрим для примера сеть 10Base-T, объединяющую 2 отдела организации. Число компьютеров в каждом из отделов n1=n2=20, трафик, приходящийся на каждый из компьютеров v1i=v2i=0.2 Мбит/с, сеть каждого из отделов имеет топологию «звезда» (рисунок 3). Нагрузка на сеть составит 4 Мбит/с, то есть при пропускной способности сети 9.87 Мбит/с коэффициент использования сети согласно формуле (2) составит »0.4. (деление на 2 связано с тем, что сеть используется одновременно двумя узлами, один из которых передает, а другой принимает данные.)


(6)


Если концентраторы отделов соединить не непосредственно, а через коммутатор, то трафик в каждом из двух доменов коллизий будет складываться из внутрисегментного трафика и межсегментного трафика, идущего через коммутатор. Зададим коэффициент межсегментного трафика kвн. Это означает, что для каждого компьютера средняя скорость обмена данными с компьютерами внутри сегмента (1-kвн) vi и с компьютерами другого сегмента kвнvi. Тогда нагрузка на сеть в первом сегменте (аналогично можно записать формулу для второго сегмента).


(7)


При kвн = 0 компьютеры сетей разных отделов не взаимодействуют, поэтому трафик в каждом из сегментов и коэффициент использования сети уменьшается в два раза по сравнению с сетью без разделения на сегменты. При kвн = 0.5 половина всего трафика сети проходит через коммутатор и коэффициент нагрузки сети уменьшается в 1.33 раза. Если все обращения компьютеров одного сегмента связаны со взаимодействием с компьютерами другого сегмента, и наоборот, то применение коммутатора не дает никаких преимуществ (кроме преодоления ограничений на размер сети).

В данном примере рассмотрен простейший случай с двумя симметричными сегментами. При большем числе сегментов использование коммутатора дает выигрыш даже если весь трафик сегмента является внешним.

Как правило в сети выделяют несколько однотипных сегментов с рабочими станциями пользователей (и возможно сетевыми принтерами и файл-серверами), и несколько (или один) центральных сегментов с серверами и маршрутизатором. В этом случае для оценки нагрузки на сегменты необходимо задать коэффициенты распределения трафика:

kвнутр - доля трафика рабочей станции, приходящаяся на обращение к серверам и сетевым принтерам внутри сегмента.

kсерв - доля трафика рабочей станции, приходящаяся на обращение к серверному сегменту.

Если серверных сегментов несколько (например маршрутизатор Интернет, центральный файл-сервер и сервер баз данных подключены к отдельным портам коммутатора), то задаются коэффициенты распределения трафика рабочей станции отдельно для каждого серверного сегмента (kсерв1… kсерв M), где M - число серверных сегментов.

Так как рабочая станция обращается только к серверам и маршрутизаторам (см. примечание 1), справедливо соотношение


(8)

После задания распределения трафика вместо формулы (1) для расчета нагрузки на сеть используются следующие выражения:

для сегмента с рабочими станциями пользователей


v=nсегмvi (9)


где nсегм - число рабочих станций в сегменте;

для j-го серверного сегмента


vсерв j=nvikсерв j(10)


Микросегментация - это метод построения сети, при котором к коммутатору подключаются не сегменты сети, включающие несколько узлов, а отдельные узлы - серверы и рабочие станции. При этом каждое соединение «коммутатор-узел» является разделяемой средой только для сетевой карты компьютера и порта коммутатора. Нагрузка на сеть в таком сегменте равна трафику приходящемуся на данный узел.

Дуплексный режим работы. При микросегментации коммутатор и рабочая станция соединяются двумя парами проводов (для передачи в обе стороны), но в соответствии с технологией доступа к разделяемой среде передавать данные может только одна из сторон (то есть работа ведется в полудуплексном режиме). В стандартах на технологии 10Base-T, Fast Ethernet и Gigabit Ethernet предусмотрена возможность одновременной двунаправленной передачи по обоим парам проводов - дуплексный режим работы. Дуплексный режим может быть реализован только при непосредственном соединении портов оконечного оборудования, то есть на соединениях «коммутатор-коммутатор», «коммутатор-компьютер», «компьютер-компьютер».

При дуплексном режиме работы необходимость в обнаружении коллизий отпадает, поэтому задание требований к коэффициенту использования сети теряет смысл. Также преодолеваются ограничения на размер сети, связанные с необходимостью обнаружения коллизий. Это особенно актуально для сетей на оптоволоконном кабеле, так как низкое затухание позволяет значительно увеличить его длину при снятии ограничений, обусловленных использованием разделяемой среды.

Пропускная способность связи с дуплексным режимом работы в два раза больше, чем у обычной сети данной технологии (передача осуществляется в обе стороны одновременно).

Для организации дуплексного режима работы необходимо, чтобы он поддерживался сетевым адаптером компьютера и коммутатором (или обоими соединяемыми коммутаторами).

Коммутаторы и безопасность. При использовании разделяемой среды данные передаются не только узлу назначения, но и всем узлам сети, поэтому любой пользователь сети может получить доступ ко всем передаваемым данным. При использовании коммутаторов внутренний трафик не передается за пределы сегмента, но при жестких требованиях по безопасности этого недостаточно (остается много потенциальных уязвимостей). Некоторые модели коммутаторов поддерживают специальные технологии (например VLAN - виртуальные локальные сети, см. п. 5), позволяющие более надежно разделить подключенные к ним сегменты.

Производительность коммутаторов. При большой нагрузке на сеть коммутатор может не справиться с обработкой принимаемых пакетов с той скоростью, с которой они поступают. Производительность коммутаторов характеризуется: максимальным числом кадров в секунду и пропускной способностью.

Скорость передачи данных через коммутатор рассчитывается как половина суммы скоростей передачи данных в подключенных к нему сегментах. Чтобы узнать число кадров, обрабатываемых коммутатором в секунду, нужно разделить скорость передачи данных на среднюю длину кадра. В сети Ethernet чаще всего встречаются кадры максимальной длины 1500 байт и кадры с длиной, близкой к минимальной 46 байт. Соотношение между ними зависит от особенностей работы сети. Для расчетов можно принять длину кадра равной 1000 байт. Полученное число кадров не должно превышать максимально допустимое значение для коммутатора.

Неблокирующим называется коммутатор, пропускная способность которого превышает сумму значений пропускной способности сегментов, к которым он подключен. В этом случае коммутатор обладает достаточной производительностью при любой возможной нагрузке.


2.4 Технологии удаленного доступа


Технологии удаленного доступа, как и технологии локальных сетей, представляют собой совокупность требований к кабельной системе, методам доступа к среде, физического и логического кодирования, то есть описывают физический и канальный уровни взаимодействия узлов в сети. В отличии от локальных сетей, сети доступа обеспечивают связь двух сильно удаленных друг от друга узлов по топологии «точка-точка». При этом для организации канала «точка-точка» как правило используются телефонные или иные сети с коммутацией и мультиплексированием. В зависимости от способа организации линии связи выделяют следующие технологии доступа:

Доступ по коммутируемым телефонным линиям - линия связи предоставляется сетью доступа с коммутацией каналов (телефонной сетью) по требованию абонента только на время сеанса связи. Для эффективного использования сети абоненту предоставляется узкополосный канал тональной частоты (достаточный для передачи человеческой речи и данных с небольшой скоростью), что позволяет передавать по одному кабелю данные нескольких абонентов с использованием технологии частотного или временного мультиплексирования. Узкая полоса пропускания канала тональной частоты обуславливает низкие скорости передачи данных - до 33600 бит/с (56000 бит/с для несимметричного абонентского доступа с преобладанием входящего трафика над исходящим).

Доступ по коммутируемым линиям используется для доступа к Интернет частных лиц и небольших организаций, а также для доступа сотрудников крупных компаний к корпоративной сети. В последнем случае сотрудники могут находясь дома пользоваться ресурсами корпоративной сети, не оплачивая услуги провайдеров Интернет.

Так как подключение устанавливается на непродолжительное время, данная технология не позволяет абонентам предоставлять доступ пользователям Интернет к ресурсам своей сети, таким как веб-сайты.

В настоящее время для доступа по коммутируемым линиям используются модемы V.34+ и V.90 со скоростями 33.6 кбит/с и 56 кбит/с, подключаемые к последовательным коммуникационным портам компьютера.

Доступ по выделенным телефонным линиям (нагруженная выделенная линия) - технология аналогична доступу по коммутируемым линиям, но канал связи предоставляется телефонной сетью на длительное время (месяц и более). Полоса пропускания канала также ограничена (так как при передаче сигнала через телефонную сеть проводится мультиплексирование), поэтому скорость передачи данных не более 33.6 кбит/с.

Данное решение обеспечивает постоянное подключение локальной сети организации к Интернет, поэтому позволяет публиковать на серверах локальной сети ресурсы, открытые для доступа всем пользователям Интернет. Подключение двух офисов к Интернет по выделенным линиям позволяет организовать взаимодействие их локальных сетей (виртуальную частную сеть, см. п. 6.). Тем не менее низкая скорость передачи данных ограничивает применение этой технологии.

Для работы по выделенным линиям могут использоваться те же модемы, что и для коммутируемых линий. Тем не менее чаще для этой цели используют более дорогие специализированные модемы, более стабильные и менее чувствительные к помехам.

Доступ по выделенным кабельным линиям (ненагруженная выделенная линия, физическая выделенная линия). Этот способ связи также можно отнести к «выделенным линиям», так как линия связи предоставляется абоненту на длительное время, но полоса пропускания искусственно не ограничивается: вся физическая линия связи находится в распоряжении абонента. Телефонная сеть не может предоставить такой канал для связи между двумя абонентами, поэтому данная технология применяется только по одной из двух следующих схем:

-Для соединения нескольких локальных сетей (организации и провайдера Интернет или нескольких отделений организации) между ними прокладывается медный кабель, который используется для связи. Максимальная длина такого кабеля и скорость передачи данных зависит от выбранной технологии.

-Если оборудование для подключения к магистральной сети провайдера Интернет установлено на городской АТС, то для связи с провайдером используется абонентская телефонная линия. При этом телефонная сеть не предоставляет услуг по организации канал «абонент-абонент», а только сдает в аренду одну физическую линию «абонент-АТС» [5].

Для удаленного доступа по физическим линиям могут использоваться:

-кабельные модемы

-модемы семейства технологий xDSL (табл. 2.)

технология Fast Ethernet 100Base-FX (оптоволокно) в дуплексном режиме (до 100 км)


Таблица 2 - Разновидности технологии xDSL

ТехнологияНаибольшая скорость передачи данныхРасстояние, кмIDSL128 Кбит/с12HDSL2 Мбит/с6.5MSDSL144 Кбит/с - 2 Мбит/с6.5SDSL144 Кбит/с - 2 Мбит/с6ADSL1 Мбит/с исходящий 8 Мбит/с входящий5.5VDSL6.4 Мбит/с исходящий 52 Мбит/с входящий1.5

Наиболее перспективным в настоящее время является применение для доступа к Интернет технологий xDSL [6]. Большинство крупных провайдеров Нижнего Новгорода имеют точки подключения к своим магистральным сетям на городских АТС. При этом благодаря частотному разделению та же телефонная линия может одновременно использоваться и по прямому назначению [5].

В большинстве случаев кабельные и xDSL модемы имеют порт Ethernet для подключения к сети и обеспечивают связь между двумя удаленными сегментами сети подобно тому, как это делают коммутаторы для близко расположенных сегментов.


2.5 Применение маршрутизаторов для объединения подсетей


В общем случае сеть организации включает несколько подсетей построенных на базе различных технологий (различные локальные сети, связи «точка-точка» для подключения к глобальным сетям). Так как в разных подсетях используются различные стандарты канального уровня, они не могут быть объединены непосредственно. Объединение этих подсетей выполняется средствами сетевого уровня модели OSI на специальных узлах сети - маршрутизаторах. Роль маршрутизаторов могут выполнять как специализированные устройства, так и компьютеры с установленными на них серверными ОС (Linux, FreeBSD, другие варианты UNIX, Windows NT/2000, Novell NetWare).

Маршрутизаторы всегда имеют несколько сетевых интерфейсов (в общем случае различных технологий), к которым подключаются объединяемые подсети. Основной функцией маршрутизатора является перенаправление поступающих пакетов в ту подсеть, где находится узел-адресат. Правила перенаправления пакетов задаются таблицей маршрутизации [1, п. 5.3.3].

В настоящее время в большинстве сетей перенаправление пакетов реализуется на основе протоколов стека TCP/IP, при этом для адресации используются IP-адреса. Для работы сети Интернет необходимо обеспечить уникальность IP-адресов во всей глобальной сети, поэтому они выделяются централизовано. На практике при подключении сети фирмы к Интернет IP-адреса выделяются провайдером из имеющегося у него резерва.

Передаваемые по протоколам стека TCP/IP данные разбиваются на пакеты, каждый из которых снабжается заголовком. В заголовок включают служебную информацию, в том числе IP-адрес узла-источника, IP-адрес узла назначения, и номера портов на узлах источника и назначения. Номер порта служит для определения, какой программе, работающей на узле назначения адресован данный пакет. Серверные программы, принимающие запросы клиентов, имеют фиксированные номера портов, что позволяет узнать, к какой службе адресован данный пакет.

Дополнительные функции, которые могут выполнять маршрутизаторы:

-Фильтрация сетевого трафика [7, 8]. Например, можно разрешить передачу пакетов только для определенных узлов сети; запретить узлам внешней сети (Интернет) по собственной инициативе устанавливать соединения с узлами внутренней подсети (то есть подключение клиентов локальной сети к серверам Интернет допускается, а подключение клиентов из Интернет к серверам локальной сети - нет); разрешить маршрутизацию пакетов, адресованных только службам определенного вида (например, только электронная почта и www). Выпоняющий эту функцию маршрутизатор называют firewall (сетевой экран, или брандмауэр).

-Учет сетевого трафика, то есть ведение статистики обращений узлов одной подсети к узлам другой: адреса узлов, время соединения, объем переданной информации, сетевая служба, к которой было произведено обращение и т.п. На основе этой информации поставщик услуг доступа к сети может выставлять счет на оплату.

Преобразование IP-адресов (маскировка IP-адресов, использование виртуальных адресов, трансляция адресов) [9]. Назначение реальных уникальных IP-адресов компьютерам локальной сети нежелательно по нескольким причинам: увеличение числа компьютеров потребует увеличения числа IP-адресов, что связано с обращением к провайдеру и дополнительными расходами; к компьютерам с реальными IP-адресами может быть получен доступ из внешней сети, что не всегда желательно (возможность доступа может быть предотвращена ограничением трафика на маршрутизаторе и правильной настройкой ПО самого узла, но этих мер может оказаться недостаточно). Поэтому компьютерам внутренней подсети может быть выделен произвольный набор адресов, не являющийся уникальным (как правило для этого выделяются адреса из адресного пространства подсетей 192.168.0.0/255.255.0.0 и 10.0.0.0/255.0.0.0). Если узел с таким адресом обращается к внешней сети, то маршрутизатор «на лету» преобразовывает заголовки пакетов, заменяя в них адрес отправителя на свой собственный, благодаря чему осуществляется «прозрачный» для пользователя внутренней подсети доступ к Интернет. Узлы внешней сети не могут по собственной инициативе установить соединение с узлом внутренней подсети, так как не могут указать IP-адрес назначения. Выполняющий функцию преобразования адресов маршрутизатор называют NAT-шлюз.

Фильтрация сетевого трафика и преобразование IP-адресов позволяют удовлетворить некоторым требованиям безопасности. Например, они позволяют разрешить доступ к ресурсам узла только определенным узлам Интернет с известным IP-адресом.

Если необходимо предотвратить доступ пользователей одной части локальной сети к трафику в другой части, то такую сеть разделяют на подсети, которые затем объединяют с помощью маршрутизатора с функцией фильтрации сетевого трафика.

Следует отметить, что функции маршрутизатора и сетевого экрана могут выполняться различными устройствами. К разделению этих функций прибегают при особо жестких требованиях к безопасности сети.

По области применения выделяют маршрутизаторы доступа и маршрутизаторы для локальных сетей. Маршрутизаторы доступа являются пограничными устройствами для подключения локальных сетей к Интернет, один из их интерфейсов служит для подключения модема (иногда модем и маршрутизатор доступа объединяются в одном устройстве). В качестве маршрутизаторов доступа может использоваться компьютер с несколькими сетевыми интерфейсами.

Маршрутизаторы для локальных сетей применяются для разделения одной локальной сети на несколько подсетей, или для объединения сетей различных технологий. В последнем случае в качестве маршрутизатора обычно используют компьютер с несколькими сетевыми адаптерами различных технологий. Для разделения локальной сети на подсети, как правило, используются специализированные маршрутизаторы, называемые коммутаторами третьего уровня.

Виртуальные локальные сети (VLAN) это технология, которая позволяет разделить подключенные к коммутатору или нескольким коммутаторам узлы на несколько независимых невзаимодействующих друг с другом локальных сетей. Принадлежность компьютера к одной из сетей определяется портом, к которому подключен этот компьютер, либо его MAC-адресом. Объединение виртуальных локальных сетей через маршрутизатор с функцией фильтрации трафика позволяет гибко управлять политикой безопасности сети, включая компьютер в ту или иную подсеть независимо от того, к какому физическому устройству он подключен.

При передаче кадров по сети информация о принадлежности узла-отправителя к той или иной виртуальной сети должна быть доступна всем коммутаторам и маршрутизаторам. Стандарт IEEE 802.1Q предусматривает передачу между коммутаторами и маршрутизаторами дополнительной информации о номере сети отправителя кадра. Для реализации виртуальных локальных сетей данный стандарт должен поддерживаться коммутатором и маршрутизатором.


2.6 Виртуальные частные сети


Виртуальные частные сети (VPN) - это технология соединения удаленных локальных сетей по каналам сетей общего доступа (Интернет). Как правило решения для виртуальных частных сетей представляют собой совокупность средств маршрутизации TCP/IP и шифрования трафика. Эти средства могут быть как программами, работающими под управлением одной из серверных ОС, так и специализированными аппаратными устройствами. Материалы для выбора средств построения виртуальных частных сетей приведены в обзорах [10, 11, 12, 13].

Как правило технология VPN применяется для объединения локальных сетей нескольких удаленных отделений организации и для обеспечения доступа сотрудников нескольких отделений к единой базе данных.


2.7 Серверные приложения и службы


Описанные выше технологии обеспечивают передачу данных между компьютерами в сети, то есть выполняют функцию транспорта. Для того, чтобы решать задачи конечных пользователей на компьютерах сети должны работать программы-серверы, предоставляющие доступ к ресурсам этого компьютера, и программы-клиенты, выполняющие подключение к серверам и использующие эти ресурсы. Рассмотрим наиболее часто встречающееся серверное программное обеспечение.

Web-сервер - это программа, которая обеспечивает доступ к веб-сайтам, то есть отвечает на приходящие по сети запросы на выдачу веб-страниц.

Web-сайт может включать в себя информацию в виде статических HTML-страниц, а также программы, динамически формирующие HTML-страницы. Web-клиент (Интернет-браузер) подключается к web-серверу и по протоколу прикладного уровня HTTP передает запрос на получение статической HTML-страницы, либо на запуск хранящейся на сервере программы, которая может сформировать и передать клиенту динамическую HTML-страницу. Для формирования динамических страниц эта программа может обратиться к базе данных. Таким образом осуществляется публикация информации из базы данных в Интернет. Как правило Web-сервер использует для приема запросов порт номер 80.

Наиболее распространенные web-серверы: Apache (UNIX), MS IIS (Windows NT).

Почтовый сервер SMTP - программа для отправки и получения электронной почты.

Почтовый клиент (почтовая программа, например Outlook) или другой почтовый сервер подключаются к SMTP-серверу и передают ему электронное письмо по протоколу SMTP, указывая адрес получателя. Адрес состоит из двух частей, разделенных символом @ (например [email protected]). Слева от символа @ указывается имя пользователя, справа - имя компьютера, на котором размещается электронный почтовый ящик. Сервер анализирует имя компьютера, и если оно совпадает с именем этого сервера (то есть письмо адресовано пользователю, имеющему почтовый ящик на этом компьютере), то письмо сохраняется в почтовом ящике пользователя (в нашем примере - пользователя vasya). Если имена компьютеров не совпадают, то сервер пытается подключиться к SMTP-серверу указанного компьютера (в нашем примере - компьютера rambler.ru) и передать ему это письмо. SMTP сервер использует для приема запросов на передачу писем порт номер 25.

Наиболее распространенные SMTP серверы: sendmail, qmai (UNIX), MS Exchange Server

Почтовый сервер POP3 - программа для удаленного доступа к почте, хранящейся на сервере.

После того как SMTP сервер сохранил письмо в почтовом ящике оно может быть прочитано адресатом. Для этого адресат в любое удобное для него время подключается к POP3-серверу компьютера, на котором расположен его почтовый ящик с помощью почтового клиента и посылает запрос на получение почты по протоколу POP3. Сервер POP3 использует для приема запросов на получение почты порт номер 110.

DNS - сервер доменных имен.

Сервер получает от клиентов DNS (к которым относятся все сетевые программы) или других серверов DNS запрос на определение IP-адреса компьютера по его доменному имени и выдает информацию о соответствии IP-адреса и доменного имени. Информация о соответствии имени и адреса хранится на одном из DNS-серверов. Если имеющейся у самого сервера информации недостаточно для ответа на запрос, он ищет в сети сервер, располагающий такой информацией и посылает запрос к нему. [1, п. 5.2.8]. Для приема запросов использует порт 53.

Входит в состав всех серверных ОС.

FTP-сервер - программа, обеспечивающая доступ к хранящимся на компьютере файлам. Обеспечивает авторизацию и разграничение прав пользователей. Использует для приема запросов на поиск файлов по протоколу FTP порт 21.

Служба доступа к файлам и принтерам локальной сети - программа, обеспечивающая доступ к файловой системе и принтерам компьютера для клиентов локальной сети. Принимает запросы на доступ к ресурсам по протоколу SMB. Обеспечивает авторизацию пользователей и контроль прав доступа. Входит в состав большинства современных ОС, в том числе Windows 9x. Если в качестве транспорта для сообщений SMB используется стек TCP/IP, то для их приема используются порты 137-139.

Служба каталогов (контроллер домена Windows NT, служба Active Directory) - программа, обеспечивающая возможность однократной авторизации пользователя при входе в сеть и централизованного управления правами пользователя на доступ к ресурсам сети.

Службы автоматизации управления и документооборота - программы, обеспечивающие хранение и обработку финансовой и аналитической информации о компании, а также управляющие внутренним документооборотом (например, позволяющие отследить прохождение приказа директора и контролировать его исполнение). Как правило, такие службы включают в себя базу данных и программы их обработки.

Прокси-сервер - серверное программное обеспечение, принимающее запросы на доступ к ресурсам и услугам внешней сети - веб-страницам, почтовым серверам, серверу ICQ, и т.п. Получив запрос, прокси обращается к серверу, содержащему требуемый ресурс сам, «от своего имени». Полученные от сервера данные пересылаются запросившему их клиенту и сохраняются во временных файлах прокси (кэше). Если другой клиент запрашивает тот же ресурс, то он берется из кэша, благодаря чему экономится время доступа к ресурсу и сетевой трафик. Чтобы сетевые программы не получали доступ к ресурсам непосредственно, а посылали запрос прокси-серверу, они должны быть соответствующим образом настроены.

Администратор прокси-сервера может запретить выполнение некоторых запросов, например доступ к порно-ресурсам, архивам музыки и т.п. Также прокси-сервер может работать совместно с системой авторизации. В этом случае пользователь при обращении к прокси-серверу должен ввести имя пользователя и пароль. При этом администратор может ввести индивидульные ограничения для каждого пользователя и контролировать, к каким ресурсам он обращается. Чтобы реализовать ограничения на доступ к ресурсам с помощью прокси-сервера необходимо, чтобы был запрещен доступ к этим ресурсам минуя прокси сервер. Эта задача решается на маршрутизаторе, который разрешает связь с внешней сетью только узлу, на котором установлен прокси-сервер.

Другие серверные программы. Серверной программой является любая программа, прослушивающая определенный порт TCP/IP и принимающая внешние подключения. Эти функции могут выполнять не только перечисленные выше, но и любые другие программы, в том числе специально разработанные для решения конкретной задачи - доступа к базе данных, управления компьютером и т.п.

Одной из проблем безопасности сети является несанкционированная установка серверных программ, предоставляющих клиентам слишком широкие полномочия на доступ к ресурсам компьютера. Эта проблема может быть решена за счет ограничения сетевого трафика и преобразования IP-адресов. (см. п. 5)


2.8 Структурированная кабельная система


Структурированная кабельная система (СКС) - это набор коммутационных элементов (кабелей, разъемов, коннекторов, кроссовых панелей и шкафов). Обзор стандартов на построение СКС приведен в статье [14].

СКС планируется и строится иерархически [1, рис. 4.1], с основной магистралью и многочисленными ответвлениями от нее. При необходимости она позволяет легко изменить конфигурацию связей между компьютерами - добавить или переместить компьютер, концентратор, коммутатор; удалить часть оборудования; изменить схему соединения.

Типичная иерархическая структура СКС включает горизонтальные подсистемы (в пределах этажа), вертикальные подсистемы (внутри здания); подсистему кампуса (в пределах одной территории с несколькими зданиями). По правилам построения СКС узовое оборудование (коммутаторы и концентраторы) должны размещаються в распределительных пунктах. Распределительный пункт этажа связывает горизонтальную подсистему с вертикальной подсистемой (магистралью здания), в распределительном пункте здания объединяются кабели вертикальной подсистемы и подсистемы кампуса.

Согласно стандартам на построение СКС по крайней мере один распределительный пункт размещается на каждом этаже и на каждых 1000 м2 офисной площади. Длина кабеля между розетками и распределительным пунктом здания не должна превышать 90 м. Узловое оборудование и кроссовые панели размещаются в монтажных шкафах.

На практике часто отказываются от размещения в распределительных пунктах коммутационных панелей и дорогих кроссовых шкафов (цена одного шкафа более 200 долларов). В этом случае кабели подключаются непосредственно к активному сетевому оборудованию. Такой подход обеспечивает значительную экономию средств, но приводит к потере гибкости СКС.

Типы устройств Fast Ethernet.

Трансивер (Transiever) - это двухпортовое устройство, имеющее с одной стороны, MII интерфейс, с другой - один из средозависимых физических интерфейсов (100Base-FX, 100Base-TX или 100Base-T4). Трансиверы используются сравнительно редко, как и редко используются сетевые карты, повторители и коммутаторы с интерфейсом MII.

Сетевая карта (Netcard). Наиболее широкое распространение получили сетевые карты с интерфейсом 100Base-TX на шину PCI. Необязательными, но крайне желательными, функциями порта RJ-45 являются автоконфигурирование 100/10 Мбит/с и поддержка дуплексного режима. Большинство современных выпускаемых карт поддерживают эти функции. В настоящее время набирает обороты выпуск сетевых карт с поддержкой 1000 Мбит/сек. Выпускаются также сетевые карты с оптическим интерфейсом 100Base-FX - с основным оптическим разъемом SC на многомодовое волокно.

Конвертер (Convertor) - это двухпортовое устройство, оба порта которого представляют средозависимые интерфейсы. Конвертеры, в отличие от повторителей, могут работать в дуплексном режиме. Распространены конвертеры 100Base-TX/100Base-FX.

Повторитель (Repeater) - многопортовое устройство, которое позволяет объединить несколько сегментов. Принимая кадр или сигнал коллизии по одному из своих портов, повторитель перенаправляет его во все остальные порты. Распространены устройства с несколькими портами на витую пару (12, 16 или 24 порта RJ-45), одним портом BNC и одним портом AUI. Повторители работают на физическом уровне модели OSI. По параметру максимальных временных задержек при ретрансляции кадров, повторители Fast Ethernet подразделяются на два класса:

Класс I. Задержка на двойном пробеге RTD не должна превышать 130 BT. В силу менее жестких требований, повторители этого класса могут иметь порты T4 и TX/FX, а также объединяться в стек.

Класс II. К повторителям этого класса предъявляются более жесткие требования по задержке на двойном пробеге: RTD < 92 BT, если порты типа TX/FX, и RTD<67 BT, если все порты типа Т4. (В силу значительных отличий в организации физических уровней возникает большая задержка кадра при ретрансляции между портами интерфейсов Т4 и TX/FX. Поэтому повторители, совмещающие в пределах одного устройства порты Т4 с TX/FX отнесены к классу I.).

Коммутатор (Switch) - одно из наиболее важных устройств при построении корпоративных сетей. Коммутатор работает на втором канальном уровне модели OSI. Главное назначение коммутатора - разгрузка сети посредством локализации трафика в пределах отдельных сегментов.

Ключевым звеном коммутатора является архитектура без блокирования (non-blocking), которая позволяет установить множественные связи Ethernet между разными парами портов одновременно, причем кадры не теряются в процессе коммутации. Сам трафик между взаимодействующими сетевыми устройствами остается локализованными. Локализация осуществляется с помощью адресных таблиц, устанавливающих связь каждого порта с адресами сетевых устройств, относящихся к сегменту этого порта. Таблица заполняется в процессе анализа коммутатором адресов станций отправителей в передаваемых ими кадрах. Кадр передается через коммутатор локально в соответствующий порт только тогда, когда адрес станции назначения, указанный в поле кадра, уже содержится в адресной таблице этого порта. В случае отсутствия в таблице адреса станции назначения, кадр рассылается во все остальные сегменты. Если коммутатор обнаруживает, что MAC-адрес станции назначения приходящего кадра находится в таблице MAC-адресов, приписанной за портом, то этот кадр сбрасывается - его непосредственно получит станция назначения, находящаяся в данном сегменте. И, наконец, если приходящий кадр является широковещательным (broadcast), т.е. если все биты поля MAC-адреса получателя в кадре задаются равными 1, то такой кадр будет размножен коммутатором (подобно концентратору), т.е. направляются во все остальные порты.

Концентратор (Hub) - это многопортовый повторитель сети с автосегментацией. Все порты концентратора равноправны. Получив сигнал от одной из подключенных к нему станций, концентратор транслирует его на все свои активные порты. При этом, если на каком-либо из портов обнаружена неисправность, то этот порт автоматически отключается (сегментируется), а после ее устранения снова делается активным. Автосегментация необходима для повышения надежности сети. Обработка коллизий и текущий контроль состояния каналов связи обычно осуществляется самим концентратором. Концентраторы можно использовать как автономные устройства или соединять друг с другом, увеличивая тем самым размер сети и создавая более сложные топологии.

Маршрутизатор (Router). Основной функцией маршрутизаторов является обеспечение соединений (маршрутов передачи данных) между узлами различных сетей, которые могут быть разделены значительным географическим расстоянием и несколькими промежуточными сетями. Маршрутизатор создает канал передачи данных, находя подходящий маршрут и инициируя первоначальное соединения по этому маршруту.

На практике маршрутизация реализуется аппаратно-программным обеспечением, работающим на сетевом уровне эталонной модели OSI. Аппаратные средства маршрутизации могут быть как внутренними, так и внешними. Внутренние маршрутизаторы представляют собой специальные платы, устанавливаемые в разъем расширенного компьютера и питающиеся от общего блока питания. Внешние маршрутизаторы - это отдельные устройства со своим собственным блоком питания.

Задача маршрутизатора состоит в поиске маршрута для передачи пакетов данных от узлов одной сети к другой и в пересылке пакетов по этому маршруту. Маршрутизаторы работают на сетевом уровне и поэтому являются протоколо-независимыми. Это связано с тем, что в пакетах различных протоколов используются разные форматы адресных полей. Например, маршрутизатор, предназначенный для использования с протоколом IP (Internet Protocol), не сможет корректно обрабатывать пакеты с адресами в формате ISO и наоборот. Большинство маршрутизаторов поддерживают несколько протоколов канального уровня. Ранние модели маршрутизаторов работали лишь с одним сетевым протоколом, а современные поддерживают одновременно несколько протоколов.

Особенности работы маршрутизатора позволяют использовать его в качестве пакетного фильтра. Независимость от протоколов канального уровня позволяет использовать маршрутизаторы для объединения сетей с различными архитектурами - например, соединения сетей Ethernet и Token Ring или Ethernet и FDDI.

Мост (bridge) - устройство, предназначенное для передачи пакетов данных из одной сети в другую. С функциональной течки зрения, мосты относятся к канальному уровню эталонной модели OSI. Мосты позволяют программам и протоколам, работающим на более высоких уровнях, рассматривать объединение нескольких сетей, как одно целое. Наряду с передачей данных, мосты могут, также, выполнять их фильтрацию. Это означает, что в сеть N2 будут попадать только те пакеты, которые предназначены для узлов этой сети. А пакеты, предназначенные для узлов сети N1, из которой они поступают, будут возвращаться обратно. Значения терминов «мост» и «маршрутизатор» во многом сходно. Основное отличие от мостов состоит в том, что маршрутизаторы работают на сетевом уровне эталонной модели OSI.

Канал (Channel) Каналом называется физический или логический путь для передачи сигналов. В контексте компьютерных сетей чаще всего встречаются упоминания каналов двух типов: коммуникационных и дисковых. Коммуникационным каналом называется маршрут, по которому происходит передача данных, речи или видеоизображения. Современные технологии передачи данных позволяют организовывать несколько коммуникационных каналов внутри одного физического кабеля.

Дисковым каналом, в конфигурации с жестким диском, называются компоненты, посредством которых осуществляется взаимодействие операционной системы с накопителем на жестком диске. Функциональное соответствие видов коммуникационного оборудования уровням модели OSI.

Повторитель, который регенерирует сигналы, за счет чего позволяет увеличивать длину сети, работает на физическом уровне.

Сетевой адаптер работает на физическом и канальном уровнях. К физическому уровню относится та часть функций сетевого адаптера, которая связана с приемом и передачей сигналов по линии связи, а получение доступа к разделяемой среде передачи, распознавание МАС-адреса компьютера - это уже функция канального уровня.

Мосты выполняют большую часть своей работы на канальном уровне. Для них сеть представляется набором МАС-адресов устройств. Они извлекают эти адреса из заголовков, добавленных к пакетам на канальном уровне, и используют их во время обработки пакетов для принятия решения о том, на какой порт отправить тот или иной пакет. Мосты не имеют доступа к информации об адресах сетей, относящейся к более высокому уровню. Поэтому они ограничены в принятии решений о возможных путях или маршрутах перемещения пакетов по сети.

Маршрутизаторы работают на сетевом уровне модели OSI. Для маршрутизаторов сеть - это набор сетевых адресов устройств и множество сетевых путей. Маршрутизаторы анализируют все возможные пути между любыми двумя узлами сети и выбирают самый короткий из них. При выборе могут приниматься во внимание и другие факторы, например, состояние промежуточных узлов и линий связи, пропускная способность линий или стоимость передачи данных.

Для того, чтобы маршрутизатор мог выполнять возложенные на него функции ему должна быть доступна более развернутая информация о сети, нежели та, которая доступна мосту. В заголовке пакета сетевого уровня кроме сетевого адреса имеются данные, например, о критерии, который должен быть использован при выборе маршрута, о времени жизни пакета в сети, о том, какому протоколу верхнего уровня принадлежит пакет.

Благодаря использованию дополнительной информации, маршрутизатор может осуществлять больше операций с пакетами, чем мост / коммутатор. Поэтому программное обеспечение, необходимое для работы маршрутизатора, является более сложным.

На рисунке показан еще один тип коммуникационных устройств - шлюз, который может работать на любом уровне модели OSI. Шлюз (gateway) - это устройство, выполняющее трансляцию протоколов. Шлюз размещается между взаимодействующими сетями и служит посредником, переводящим сообщения, поступающие из одной сети, в формат другой сети. Шлюз может быть реализован как чисто программными средствами, установленными на обычном компьютере, так и на базе специализированного компьютера. Трансляция одного стека протоколов в другой представляет собой сложную интеллектуальную задачу, требующую максимально полной информации о сети, поэтому шлюз использует заголовки всех транслируемых протоколов.


3. Характеристика существующей компьютерной сети и обоснование необходимости реконструкции


Структура существующей локальной вычислительной сети отдела вневедомственной охраны при ОВД г. Лангепаса, представленная на рисунке 6, базируется, на концентраторах Ethernet 10 Base-T.

Особенностью компьютерной сети предприятия является то, что она развивалась достаточно хаотично, без какого-либо общего плана развития по мере поступления финансирования. Это привело к тому, что сеть являются по сути неуправляемой, и вопросы безопасности, надежности и эффективности в такой сети стоит наиболее остро. Очень часто на поддержание функционирования сети требуется неоправданно большие средства, т. к. из ее неэффективной структуры следует большой объем работ по текущему администрированию, что требует наличие штата собственных администраторов даже в небольших подразделениях либо выполнения функций по текущему администрированию самими пользователями. Это не только снижает качество администрирования, но и влияет на продуктивность основной работы пользователя. Из-за нецелевого использования сети падает качество ее работы и снижается эффективность работы всех пользователей. Из-за отсутствия ограничений на доступ к ресурсам сети и данным сети во время хранения или передачи возможна утечка конфиденциальной информации. При этом отсутствие надлежащего финансирования не дает возможности решить эти проблемы разом, требуется поэтапный подход и минимизация финансовых затрат.

Необходимые работы и затраты

На начальном этапе работ требуется провести анализ сети: определить назначение сети: т.е. для каких целей должна использоваться сеть и какие задачи сети являются наиболее приоритетными. К каким сетевым услугам пользователи должны иметь постоянный доступ и чем можно пожертвовать ради обеспечения безопасности и большей эффективности использования. Выявить места хранения конфиденциальной информации, информационные потоки, информацию и ресурсы, к которым необходим внешний доступ и внешнюю информацию и ресурсы, к которым необходим доступ пользователей. На основании этих данных создается структура «идеальной» сети, разрабатываются правила доступа к сети для пользователей и правила админи-стрирования сети. Модель «идеальной» сети сравнивается с существующей сетью, оценивается необходимый объем работ и зоны ответственности различных подразделений. Намечается план работ, в соответствии с которым производятся все дальнейшие изменения в структуре сети. Так же должны быть выработаны правила закупки оборудования и программного обеспечения (например стандартизировать используемые операционные системы, которые могут быть установлены на клиентские компьютеры, что облегчит последующее поддержание сети, а так же может быть необходимым на втором и третьем этапе)

Основные затраты первого этапа - это трудозатраты, т. к. для работы над первым этапом должны быть привлечены сотрудники и по возможности руководители всех подразделений. Все документы разработанные на первом этапе должны утверждаться на максимально высоком уровне т. к. их исполнение должно быть обязательным для всех пользователей сети.

Задача второго этапа - централизация управления сетью и внешних потоков данных. На этом этапе отдельные компьютеры и группы компьютеров зародившиеся в «хаотической» сети должны быть объединены в единую логическую сеть учреждения, с централизованной политикой управления пользователями и ресурсами. При этом может быть реализованная либо полностью централизованная система либо (чтоб более приемле-мо для большинства крупных учреждений) древообразная система с единым корнем. Все внешние потоки информации в обоих направлениях должны быть сведены в единый узел, что даст возможность контроля всех проходящих данных в одной точке. В этой точке реализуются ограничения доступа снаружи к ресурсам внутренней сети (все такие ресурсы должны быть вынесены в т.н. «демилитаризованную» зону) и доступа изнутри организации ко внешним ресурсам. При необходимости, в этой точке производится и анализ передаваемой информации (например проверка на вирусы почтовой корреспонденции) и т.д.

На втором этапе появляются затраты на приобретение серверов (серверов авторизации, брандмауэров, антивирусных серверов, прокси серверов и т.д. в зависимости от выбранной структуры сети) и серверного программного обеспечения.

Задача третьего этапа - организация ограничений доступа и безопасности потоков информации внутри сети. Это касается в первую очередь конфиденциальной информации. Вся конфиденциальная информация должна быть защищена за счет разрешений на доступ. Желательно шифрование конфиденциальной информации при ее передаче. На этом же этапе формируется антивирусная сеть с централизованным администрированием.

В зависимости от используемого программного обеспечения затраты на этом этапе могут достигать достаточно существенных объемов, т. к. могут потребовать, например, замены операционных систем на компьютерах хранящих и производящих доступ к конфиденциальной информации.


4. Структура проектируемой сети


.1 Анализ требований


Основные требования к компьютерной сети изложены в «Комплексной програмой развития региональной автоматизированной информационной системы органов внутренних дел Ханты-Мансийского автономного округа на 2002-2006 годы», утвержденной приказом УВД округа 1125 от 31.12.2002 г.


.1.1 Общие требования к сети

Новый вариант построения локальной вычислительной сети отдела вневедомственной охраны при ОВД г. Лангепаса представляет собой:

Замена серверов на более надежные;

Переход на более скоростную, чем Ethernet, технологию Fast Ethernet 100 Мбит/с;

Замена концентраторов коммутаторами второго уровня;

Организацию Виртуальных сетей (VLAN), трафик которых на канальном уровне полностью изолирован от других узлов сети;

Осуществление Агрегирования каналов (Транкинга) используя несколько активных параллельных каналов одновременно для повышения пропускной способности и надежности сети.


.1.2 Требования к структурированной кабельной системе

СКС должна быть выполнена в соответствии с международным стандартом ISO/IEC 11801 на кабельные системы и состоять из горизонтальной подсистемы:

Горизонтальная подсистема должна быть организована на основе 4-парного медного кабеля неэкранированная витая пара категории 5е (проводка для ЛВС и телефонной системы).

Кабель должен прокладываться: по коридорам - в металлических лотках за фальшпотолком; внутри комнат - в декоративном пластиковом коробе сечением 200х100 мм.

На рабочем месте необходимо установить информационную розетку с двумя модулями RJ45 для подключения компьютера, телефонного аппарата, факсимильного аппарата или модема, две силовые розетки, подключенные к сети гарантированного электроснабжения и одну силовую розетку, подключенная к сети бытового электроснабжения.

Коммутационное оборудование должно устанавливаться в 19-дюймовые монтажные шкафы глубиной не менее 60 см.


.1.3 Требования к активному оборудованию ЛВС

В состав активного оборудования ЛВС должны входить три коммутатора с поддержкой технологий виртуальных сетей и сетевого управления, а также маршрутизатор с технологией межсетевого экрана(firewall).

Активное оборудование должно быть произведено компаниями Cisco и D-Link.


4.1.4 Требования к серверам

В качестве серверов для:

управления корпоративной базой данных, центрального файлового сервера, файлового сервера рабочих групп, сервера электронной почты, web-сервера и сервера резервного копирования должны быть использованы компьютеры с характеристиками не ниже, чем следующие:

не менее 2-х процессоров с параметрами не ниже: Рentium-IV 2400 MHz, c объёмом L2-cache не менее 1 MB);

оперативная память не менее 1 GB;

объём дискового пространства не менее 160 GB;

интерфейс дисков - не ниже Ultra-3 Wide SCSI;

дисковод CD-ROM;

сетевая карта 1000Base-TX.

серверы должен быть установлены в серверной.

Уточнение марки серверов должно быть произведено на стадии «Технического проекта».

Серверы должны быть изготовлены компанией Hewlett-Packard.


4.1.5 Требования к сетевой операционной системе

В качестве сетевой операционной системы должна использоваться MS Windows Server 2003.


4.1.6 Требования к рабочим станциям

Типовые вновь приобретаемые рабочие станции должны иметь следующие характеристики:

процессор не ниже Рentium-IV 2000 MHz, c объёмом L2-cache не менее 256 KB);

оперативная память не менее 512 MB;

объём дискового пространства не менее 40 GB;

интерфейс дисков - не ниже Ultra-ATA/100

видеоадаптер не ниже AGP 4x c видео-памятью не менее 32 МБ

дисковод CD-ROM;

сетевая карта 100Base-TX.

монитор TFT не менее 17».

предустановленная операционная система MS Windows XP SP2.


4.1.6 Требования к системе бесперебойного питания основного оборудования ЛВС

Система бесперебойного питания основного оборудования ЛВС должна обеспечить выполнение следующих функции:

обеспечение электропитания центрального (основного) оборудования ЛВС при отсутствии внешнего питания;

защита активного от импульсных помех внешней электросети;

поддержка питания в пределах номинальных значений.

Система бесперебойного питания основного оборудования ЛВС должна строиться на локальных ИБП необходимой мощности.

ИБП должны поддерживать управление по сети с использованием SNMP-протокола с помощью ПО управления под Windows XP.

ИБП должны устанавливаться в 19-дюймовые монтажные шкафы.

ИБП должны быть изготовлены компанией APC.


4.2 Выбор оборудования


.2.1 Выбор структурированной кабельной системы

На рубеже 2000 года началась очередная смена поколений кабельных систем локальных сетей. Действующие стандарты морально устарели, приняты новые категории, требующие частичной замены установленных линий, разрабатываются новые стандарты. В таких условиях выбор систем на длительный срок эксплуатации, оказывается непростой задачей. Для ее решения нужна многоплановая информация, в том числе, о тенденциях развития кабельных систем. Именно она позволяет находить оригинальные решения и создавать открытые системы с реальными гарантиями будущего.

Принятие в 1991 году стандарта категории 3 имело далеко идущие последствия. Шестнадцатикратное расширение частотного диапазона витой пары по сравнению с категорией 2 (1 МГц) явилось впечатляющим шагом вперед. В результате изменились представления о витой паре, как о среде передачи только для речевых приложений. Была опубликована первая версия стандартов СКС. Витая пара начала вытеснять коаксиальный кабель.

В 1997 года в организациях стандартизации разного уровня была начата работа по спецификации параметров категорий 6 и 7, вновь расширяющих диапазон витой пары в два и шесть раз соответственно. В июне 1999 году Ассоциация стандартов Института инженеров электроники и электротехники приняла стандарт протокола витой пары Gigabit Ethernet IEEE Std 802.3a. В конце того же года Ассоциация телекоммуникационной промышленности совместно с Ассоциацией электронной промышленности утвердили Приложение ANSI/TIA-568-A-5 «Спецификации параметров передачи 4-парных 100-омных кабельных систем категории 5е». В сентябре 2000 года вступили в действие стандарты класса D (аналогичные категории 5е), принятые международной и европейской организациями стандартизации. В 2002 году принята вторая редакция стандарта ISO/IEC 11801, включающая спецификацию параметров кабелей и разъемов категорий 1 - 7 и линий / каналов классов C, D, E и F.


Таблица 2. Хронологическая таблица принятия категорий СКС

Категория СКСДиапазон частотПриложения, под которые разрабатывались категорииГод принятия стандартаКатегория 316 МГцEthernet, 10Base-T1991Категория 420 МГцToken Ring 16Мбит/с1993Категория 5100 МГц100Base-TX (Fast Ethernet) АТМ 1551995Категория 5E100 МГц100Base-TX (Fast Ethernet) 1000Base-T (Gigabit Ethernet)1999Категория 6 Категория 7200 МГц 600 МГцGigabit Ethernet 1000Base-TX Предложений нет2002

Как видно из приведенной таблицы, выбор категории СКС под текущие приложения обеспечивает срок службы не более двух - трех лет. Исключение составляет категория 5, которая продержалась без изменений четыре года.

Следует отметить, что за десять лет меняется не менее семи поколений компьютеров и три поколения сетевых устройств. Тенденция развития информационных технологий на рубеже 2000 годов показывает, что темпы увеличения объема передаваемых данных в локальных сетях не уменьшаются, а возрастают. СКС призвана обеспечить десятилетний срок службы без замены кабелей горизонтальной подсистемы.


4.2.2 Выбор способа управления сетью

Каждая организация формулирует собственные требования к конфигурации сети, определяемые характером решаемых задач. В первую очередь необходимо определить, сколько человек будут работать в сети. От этого решения будут зависеть многие этапы создания сети.

Количество рабочих станций напрямую зависит от предполагаемого числа сотрудников. В нашем случае это 55 сотрудников, и соответственно 55 рабочих станций. Другим фактором является иерархия компании. Для фирмы с горизонтальной структурой, где все сотрудники должны иметь доступ к данным друг друга, оптимальным решением является простая одноранговая сеть. Фирме, построенной по принципу вертикальной структуры, в которой точно известно, какой сотрудник и к какой информации должен иметь доступ, следует ориентироваться на более дорогой вариант сети - с выделенным сервером. Только в такой сети существует возможность администрирования прав доступа.

В нашем проекте на предприятии имеется 55 рабочих станции, которые требуется объединить в корпоративную сеть. Следуя из схемы выбора типа сети, решаем, что в нашем случае требуется установка сервера, так как во-первых мы должны обеспечить вертикальную структуру (то есть разграниченный доступ к информации) и во-вторых количество рабочих станций предполагает управление сетью с выделенным сервером.


4.2.3 Выбор комплектующих

Активное сетевое оборудование

В качестве активного сетевого оборудования предлагается использовать оборудование фирм D-link или Cisco, которые зарекомендовали себя с самой лучшей стороны и являются одними из наиболее качественных продуктов на мировом рынке.

Коммутация зарекомендовала себя как наиболее экономичная и гибкая технология, обеспечивающая увеличение полосы пропускания и повышение управляемости сети на всех уровнях; к тому же ее внедрение сопряжено с минимальными перестройками в сети.

В качестве коммутаторов предлагается использовать коммутаторы D-link модели DES-3223S.

DES-3226 - это высокопроизводительный управляемый коммутатор уровня 2, представляющий собой идеальное решение для небольших рабочих групп. Коммутатор имеет 24 порта 10/100Mbps Fast Ethernet и дополнительно мо-жет быть укомплектован модулями 100FX или Gigabit Ethernet, необходимыми для подключения высокоскоростного оборудования и обеспечивающими дополнительную гибкость коммутатору.

DES-3226 поддерживает стандартные сетевые протоколы управления, что позволяет легко интегрировать его сети с программами управления HP OpenView или CiscoWorks.

Широкая поддержка IEEE спецификаций позволяет данному коммутатору успешно использовать spanning tree (802.1d) - позволяет предотвращать петли за счет установки обратного соединения, VLANs (802.1q), сетевое управ-ление SNMP/ RMON/BOOTP/ Telnet/Web), Quality of Service (802.1p) - позволяет приоритизировать трафик, IGMP - контролировать широковещательный трафик.

Характеристики Стандарты

IEEE802.3 10BASE-T Ethernet (медь-витая пара)

IEEE802.3u 100BASE-TX Fast Ethernet (медь-витая пара)

IEEE802.3u 100BASE-FX Fast Ethernet (оптика)

IEEE802.3z 1000BASE-SX Gigabit Ethernet (оптика)

IEEE802.3ab 1000BASE-T Gigabit Ethernet (медь-витая пара)

ANSI/IEEE802.3 автоопределение скорости

IEEE802.3x Flow Control

IEEE802.1p Приоритезация трафика

IEEE802.1q VLAN - виртуальные сети

IEEE802.1d Spanning Tree

Скорость подключения

Ethernet:

Mbps (полу-дуплекс)

Mbps (полный дуплекс)

Fast Ethernet:

100 Mbps (полу-дуплекс)

Mbps (полный дуплекс)

Gigabit Ethernet:

2000Mbps (полный дуплекс)

Коррекция полярности подключения RX - автоматически

Производительность

Пропускная способность 8,8 Gb

Метод передачи - запомнить-и-передать (store&forward)

Таблица MAC-адресов 8К

Размер буфера - 8Mb

Обучаемость - динамическое и статическое (пользователем) обновление таблицы MAC-адресов

Управление

Поддержка управления по SNMP, Web, RMON, Telnet

RMON-группы 1, 2, 3, 9 (Alarm, Statistics, History, Event)

MIB - MIB-II (RFC 1213), Bridge MIB (RFC 1493), RMON MIB (RFC 1757), VLAN MIB (RFC 2674), IGMP MIB, En-tity MIB (RFC 2737), IF MIB (RFC 2233), Ethernet-like MIB(RFC2358), D-Link enterprise MIB

1 порт для подключения консоли RS-232

Размеры и питание

Питание - 100-240VAC, 50/60Hz

Потребляемая мощность - 30-42 Watts (max.)

Габаритные размеры - 441 x 207 x 44 mm 19» - для установки в шкаф, 1U высота вес 2.8 kg

Сервера.

В качестве серверного оборудования (серверов) предлагается использовать оборудование фирмы Hewlett Packard семейства ProLiant DL.

Эти компактные стоечные серверы, оптимизированные для создания кластеров, обладают высокой гибкостью и управляемостью и идеально подходят для сред с большим количеством серверов и внешними системами хранения данных, информационных центров и эффективных кластерных приложений, что позволяет заказчику подобрать модели, максимально соответствующие его требованиям. Благодаря свободному доступу к компонентам и оптимизированной разводке кабелей они очень просты в развертывании и обслуживании.

Для обеспечения разрабатываемой сети требуется один сервер HP ProLiant DL380 G3.

Это недорогой, но мощный двухпроцессорный сeрвeр приложений высотой 2U, прeдназначeнный для монтажа в стойку. Сфера его использования - от небольших компаний до центров обработки данных, предъявляющих высокие требования к производительности и надежности сeрвeра.

В этой модели стоечного сeрвeра срeднeго класса используется новый высокопроизводительный чипсeт, обeспeчивающий ускоренный обмен данными с памятью и болee высокую производительность подсистемы ввода-вывода по сравнению с аналогичными сeрвeрами прeдыдущeго поколeния.

Средства повышения надежности, включающиe в сeбя наличиe рeзeрвных вентиляторов с возможностью «горячeй» замeны, «горячee» рeзeрвированиe модулей памяти, интегрированный RAUD, а такжe возможность «горячeй» замeны дисков и PCI-плат дают возможность использования этого сeрвeра на самых критических участках работы прeдприятия.

Источники бесперебойного питания.

В качестве оборудования бесперебойного питания предлагается использовать оборудование фирмы APC семейства Smart-UPS RM.

Продукты этого семейства отличаются выдающейся производительностью и легендарной надежностью, а также оснащаются портом USB, передней панелью стандартного белого цвета и обладают немного повышенной выходной мощностью по сравнению со своими предшественниками - моделями мощностью 700 и 1400 ВА. Высокопроизводительные ИБП с гибкими возможностями монтажа для защиты электропитания серверов и корпоративных сетей. ИБП высотой 2U продолжают оставаться основным продуктом для большинства приложений, включая приложения с жесткими требованиями к стоимости оборудования. Модели высотой 2U предназначены для эксплуатации в оптимизированных по плотности средах с глубокими стойками (800, 1000, 1100 мм), где основным преимуществом устройства является минимальная высота.

Для обеспечения разрабатываемой сети требуется два ИБП Smart-UPS RM 2U.

Пассивное оборудование.

Из пассивного сетевого оборудования предлагается использовать телекоммуникационные шкафы (стойки) 19»

Телекоммуникационные шкафы служат для размещения оптического и электротехнического оборудования различных стандартов. Наиболее широкие возможности по функциональному применению представляет серия телекоммуникационных шкафов, предназначенных для размещения различного оборудования вплоть до компьютеров промышленного назначения. Оборудование располагается на вертикальном перфорированном профиле или на 19» полках. Перфорация соответствует стандарту DIN 41494, Part1. В перфорированный профиль устанавливаются любые стандартные устройства 19». Глубина постановки профиля может изменяться в зависимости от устанавливаемого оборудования. Доступны различные варианты исполнения по глубине, классу защищенности и конструкции дверей. Несколько отдельных шкафов, объединенных механически в жесткую конструкцию, могут составить единый комплекс. Максимально возможное количество установочных мест (Unit) увеличено до 45 U (высота шкафа 2200 мм).

Мною выбран напольный вариант 45U. Конструкция шкафа каркасная. Передняя и задняя двери взаимозаменяемы. Доступ к оборудованию, установленному в шкафу, может осуществляться с четырех сторон. Двери имеют как левую, так и правую навеску. Шкаф устанавливается на регулируемых по высоте ножках или колесах. Ввод кабеля производится через основание шкафа. Предусмотрена возможность ввода кабеля через верхнюю крышку. Имеется встроенная система вентиляции.

Для обеспечения разрабатываемой сети требуется два телекоммуникационных шкафа 19» 45U.


.2.4 Выбор программного обеспечения

Обзор операционных систем.

Практически все современные ОС поддерживают работу в сети. Однако в качестве ОС для сервера чаще всего используются Nowell NetWare, Unix, Linux и Windows 2000 Server.NetWare.

Одна из первых коммерческих сетевых ОС, позволивших строить сети произвольной топологии, состоящих из разнородных компьютеров. Если раньше сетевые ОС сильно зависели от конкретной конфигурации сети, то ОС Nowell NetWare стала первой универсальной сетевой ОС. Любая сетевая карта, имеющая драйвер ODI (Open Datalink Interface) может использоваться в сетях Nowell. Благодаря такой универсальности ОС быстро завоевала рынок, и долгое время оставалась основной ОС для локальных сетей. С 1990 года даже фирма IBM стала перепродавать NetWare, и по сегодняшний день эта ОС используется достаточно широко.

Текущей версией ОС является NetWare 6.x. Помимо удобного графического интерфейса, эта версия NetWare имеет ряд других характерных особенностей:

) NetWare 6.0 использует в качестве основного сетевого протокола TCP/IP (протокол, используемый в сети Internet). Если предыдущие версии NetWare работали на собственном протоколе фирмы Novell - протоколе IPX/SPX, а протокол ТСР/IР мог использоваться только поверх IPX/SPX (также эмулировался NetBIOS), то теперь NetWare 5.0 предлагает следующие варианты:

·только протокол TCP/IP

·протокол TCP/IP в режиме «совместимости» (может использоваться IPX/SPX поверх ТСР/IР)

·совместное использование протоколов TCP/IP и IPX/SPX (оба протокола работают параллельно и независимо)

·только протокол IPX/SPX.

) В NetWare используется служба каталога NDS (Nowell Directory Service), которая представляет собой единую распределенную базу данных в виде дерева каталогов, в которой описываются все объекты сети (пользователи, группы пользователей, принтеры и т.д.), с указаниями прав доступа. База данных NDS является общей для всей сети. Если в предыдущих версиях NetWare 3.x и 2.x необходимо было создавать учетную запись пользователя (имя и пароль) на каждом сервере сети, то в NetWare 6.0 достаточно один раз зарегистрировать пользователя в NDS и он получит доступ ко всем серверам сети.

) В NetWare используется мощная и гибкая модель разграничения доступа. Система безопасности подключения к сети включает в себя: ограничения на срок действия и частоту смены пароля, запрет на повторное использование старых паролей, ограничение времени суток и адресов компьютеров, с которых пользователь может подключаться к сети, запрет одному и тому же пользователю на подключение к сети с нескольких машин одновременно. Система безопасности файловой системы позволяет для каждого файла и каталога назначить различным пользователям любую комбинацию следующих прав доступа: чтение, запись, создание, удаление, модификация (имени файла и его атрибутов), просмотр (содержимого каталога), изменение прав доступа, супервизор (полный набор всех прав). Аналогично регулируется доступ и к любым другим объектам NDS (права на просмотр, создание, удаление, переименование объектов, чтение, запись, сравнение и добавление их свойств, права супервизора). NetWare имеет также двухстороннюю систему аудита: внешние независимые аудиторы могут анализировать события в сети, не имея доступа к секретным данным, в то же время, администраторы сети не имеют доступа к данным аудита.

) В NetWare 6.0 поддерживаются как традиционные тома (аналог логических дисков), так и тома NSS (Novell Storage Services). Традиционные тома обеспечивают надежную файловую систему, основанную на обработке транзакций (при сбое, файлы восстанавливаются в состояние «до сбоя»), сжатие файлов и систему зеркального отражения дисков (данные параллельно пишутся на два различных винчестера: при повреждении одного, информация будет считана с другого). Тома NSS могут иметь размер до 8 терабайт и хранить до 8 триллионов файлов. Доступ к томам NSS происходит гораздо быстрее, чем к традиционным томам. В качестве тома NSS может монтироваться CD-ROM и разделы DOS.

) В NetWare 6.0 реализована распределенная система печати NDPS (Novell Distributed Print Services), которая была разработана совместно с компаниями Hewlett-Packard и Xerox и позволяет реализовать:

двухсторонний обмен данными (компьютер имеет возможность передавать данные на принтер, и принтер имеет возможность передавать данные в компьютер).

оповещение о событиях (принтер по сети имеет возможность оповестить технический персонал, например о том, что кончился тонер).

автоматическая загрузка драйверов принтера, шрифтов и др. ресурсов на компьютеры, которым требуется производить распечатку документов.

) В комплект поставки NetWare 6.0 входит мощный и простой в использовании Web-сервер FastTrack Server for NetWare, тесно интегрированный с NDS и поддерживающий большинство языков разработки приложений для Web. FastTrack Server призван заменить собой Novell Web Server, использовавшийся в предыдущих версиях NetWare.

) В состав сервера NetWare 6.0 входит виртуальная машина Java, что позволяет запускать приложения и апплеты Java на сервере. Например, графическая утилита управления сервером ConsoleOne написана на языке Java.

Семейство ОС Windows 2000.2000 Server

Включает основанные на открытых стандартах службы каталогов, Web, приложений, коммуникаций, файлов и печати, отличается высокой надежностью и простотой управления, поддерживает новейшее сетевое оборудование для интеграции с Интернетом. В Windows 2000 Server реализованы:

·службы Internet Information Services 5.0 (IIS)

·среда программирования Active Server Pages (ASP)

·XML-интерпретатор

·архитектура DNA

·модель СОМ +

·мультимедийные возможности

·поддержка приложений, взаимодействующих со службой каталогов

·Web-папки

·печать через Интернет

Минимальные аппаратные требования Windows 2000 Server:совместимый процессор с тактовой частотой не ниже 133 МГц - Windows 2000 Server поддерживает до 4 процессоров:

Мб ОЗУ (рекомендуется 256 Мб). Большее количество памяти значительно увеличивает быстродействие системы. Windows 2000 Server поддерживает ОЗУ объемом до 4 Гб;

Гб свободного дискового пространства - для установки Windows 2000 Server требуется около 1 Гб. Дополнительное место на диске необходимо для установки сетевых компонентов.2000 Advanced Server

Эта ОС, по сути, представляет собой новую версию Windows NT Server 4.0 Enterprise Edition. Windows 2000 Advanced Server - идеальная система для работы с требовательными к ресурсам научными приложениями и приложениями электронной коммерции, где очень важны масштабируемость и высокая производительность[1]. Аппаратные требования для Windows 2000 Advanced Server не отличаются от требований для Windows 2000 Server, однако эта более мощная ОС включает дополнительные возможности:

·балансировку сетевой нагрузки;

·поддерживает ОЗУ объемом до 8 Гб на системах с Intel Page Address Extension (РАЕ);

·поддерживает до 8 процессоров.

Windows 2000 Datacenter Server

Это серверная ОС, еще больше расширяющая возможности Windows 2000 Advanced Server. Поддерживает до 32 процессоров и больший объем ОЗУ, чем любая другая ОС Windows 2000:

·до 32 Гб для компьютеров с процессорами Alpha;

·до 64 Гб для компьютеров с процессорами Intel.

Вопрос об установке Windows 2000 Datacenter Server следует рассматривать только в том случае, если вам требуется поддерживать системы оперативной обработки транзакций (online transaction processing, OLTP), крупные хранилища данных или предоставлять услуги Интернета.

ОС Unix, Linux.

ОС Unix является старейшей сетевой операционной системой (создана в 1969 г.) и по сегодняшний день использующейся в Internet. Существует множество клонов Unix - практически ничем не отличающихся друг от друга операционных систем разных производителей: FreeBSD, BSD Unix (университет Berkley), SunOS, Solaris (фирма Sun Microsystems), AIX (фирма IBM), HP-UX (фирмы Hewlet Packard), SCO (фирмы SCO) и др. Самым популярным клоном Unix пожалуй является FreeBSD, в основном из-за того, что ее исходные тексты распространяются свободно, что позволяет произвольно переделывать ОС «под себя», а также тестировать систему на отсутствие ошибок и «черного хода». В связи с этим, FreeBSD содержит гораздо меньше ошибок, чем коммерческие варианты Unix, т. к. отладкой и устранением ошибок занималась не одна компания, а все программистское сообщество.

К клонам Unix можно отнести и Linux, однако в последнее время он выделился в самостоятельную операционную систему и продолжает бурно развиваться. Существует множество дистрибутивов (пакетов установки) Linux различных фирм. Самые популярные из них - это Red Hat Linux (США) и Mandrake (Европа). Существуют также Slackware Linux, Corel Linux, Caldera OpenLinux, Debian Linux, SuSE Linux, Black Cat Linux, Connectiva Linux и др. Структура файловой системы, система разграничения доступа и основные команды в Linux и Unix сходны. С точки зрения пользователя, основным отличаем Linux от ранних версий Unix является удобный графический интерфейс, во многом сходный с интерфейсом Windows (особенно у графической рабочей среды Gnome), а основным преимуществом, по сравнению с Windows, - большая надежность и скорость работы, большая защищенность файловой системы (в том числе и от вирусов) и более профессиональные средства работы с локальной сетью и Internet. Для Linux существует и разрабатывается большое количество программного обеспечения: от офисного пакета Star Office и графического редактора Corel Draw, до мощных СУБД (DB2 фирмы IBM) и систем разработки программ на C++, Perl, Java и др. И хотя пока еще рано рекомендовать неопытному пользователю переходить на Linux (в основном из-за проблем с использованием русских шрифтов в приложениях - отсутствует единая прозрачная схема настройки), тем не менее, в будущем, Linux возможно займет значительное место в нише ОС для домашних компьютеров.


5. Информационная безопасность сети


В этом разделе рассматриваются вопросы обеспечения безопасности локальной сети. Так же уделено внимание выбору средств реализации информационной безопасности и проблемы защиты сети от возможного разрушения.

Внешние угрозы.

В настоящее время проблема внешних угроз безопасности локальных сетей крайне обострилась. Простота доступа в Интернет, как оказалось, имеет обратную «темную» сторону. По сути, сеть, подключенная к Интернет, доступна любому достаточно опытному пользователю, «вооруженному» соответствующим инструментарием (разумеется, в том случае, если не разработана четкая иерархия мер соблюдения безопасности, которая планомерно внедряется на всех уровнях сети - от отдельной рабочей станции до выделенного сервера). Ниже перечислены возможные опасности, связанные с внешним вторжением:

несанкционированный доступ посторонних лиц к ключам и паролям вашей сети;

атаки DoS (Denial of Service, отказ в обслуживании);

имитация IP-адреса;

компьютерные вирусы и черви;

активные действия хакеров;

программы троянских коней;

возможные сценарии «взлома» локальных серей;

возможные угрозы при эксплуатации беспроводных сетей.

Внутренние угрозы.

Источником внутренних угроз являются, как правило, сами пользователи. Нередка ситуация, когда сами работники той или иной компании воруют ценные сведения или даже присваивают деньги фирмы, воспользовавшись информацией, которая циркулирует во внутренних сетях компании. Поэтому вопросам, связанным с внутренними угрозами следует уделить самое пристальное внимание.

В следующем перечне указаны некоторые источники внутренних угроз:

внутренние противоречия в компании;

недовольные работники (бывшие или ещё работающие);

промышленный шпионаж;

случайные сбои и нарушения.2000 Advanced Server имеет средства обеспечения безопасности, встроенные в операционную систему. Это множество инструментальных средств для слежения за сетевой деятельностью и использованием сети. ОС позволяет просмотреть сервер и увидеть, какие ресурсы он использует; увидеть пользователей, подключенных к настоящему времени к серверу и увидеть, какие файлы у них открыты; проверить данные в журнале безопасности; записи в журнале событий; и указать, о каких ошибках администратор должен быть предупрежден, если они произойдут.

Windows 2000 обладает развитыми средствами шифрования (криптографии) данных с открытым ключом (ассиметричное шифрование). Это интегрированный набор служб и инструментов администрирования, предназначенных для создания, реализации и управления приложениями, использующими алгоритмы шифрования с открытым ключом.

Шифрование с открытым ключом отличается от традиционного шифрования с секретным ключом тем, что в последнем стороны обменивающиеся зашифрованными данными должны были знать общий секретный ключ (т.е. зашифровывающий и расшифровывающий ключ совпадали), а в шифровании с открытым ключом зашифровывающий и расшифровывающий ключ не совпадают. Шифрование информации является одностороннем процессом: открытые данные шифруются с помощью зашифровывающего ключа, однако с помощью того же ключа нельзя осуществить обратное преобразование и получить открытые данные. Для этого необходим расшифровывающий ключ, который связан с зашифровывающим ключом, но не совпадает с ним. Подобная технология шифрования предполагает, что каждый пользователь имеет в своем распоряжении пару ключей - открытый ключ (public key) и личный (или закрытый private key) ключ. Свободно распространяя открытый ключ, вы даете возможность другим пользователям посылать вам зашифрованные данные, которые могут быть расшифрованы с помощью известного только вам ключа. Наиболее яркими проявлениями преимуществ шифрования с открытым ключом являются такие технологии, как цифровые или электронные подписи, сертификаты подлинности, доменные политики безопасности и т.д.

Также Windows 2000 предоставляет возможность еще больше защитить зашифрованные файлы и папки на томах NTFS благодаря использованию шифрованной файловой системы EFS (Encrypting File System). При работе в среде Windows 2000 можно работать только с теми томами, на которые есть права доступа. При использовании шифрованной файловой системы EFS файлы и папки будут зашифрованы с помощью пары ключей. Любой пользователь, который захочет получить доступ к определенному файлу, должен обладать личным ключом, с помощью которого данные файла будут расшифровываться.

Исходя из всего вышеперечисленного, мы видим, что встроенные программные средства безопасности и аудита Windows 2000 являются наиболее оптимальным решением для обеспечения необходимого уровня безопасности данных внутри сети, как с технической, так и с экономической сторон.

Для обеспечения безопасности сети от попыток проникновения извне в нашем проекте будет использован аппаратный комплекс межсетевого экран (IOS Firewall Feature Set) на базе устройства Cisco 2621 с использованием стандарта DES.

Стандарт шифрования данных DES (Data Encrypting Standard), который ANSI называет Алгоритмом шифрования данных DEA (Data Encrypting Algorithm), а ISO - DEA-1, за 20 лет стал мировым стандартом. За годы своего существования он выдержал натиск различных атак и при известных ограничениях все еще считается криптостойким.

DES представляет собой блочный шифр, шифрующий данный 64-битовыми блоками. С одного конца алгоритма вводиться 64-битовый блок открытого текста, а с другого конца выходит 64-битный блок шифротекста.

DES является симметричным алгоритмом: для шифрования и дешифрования используется одинаковые алгоритм и ключ (за исключением небольших различий в использовании ключа). Длина ключа равна 56 битам. (Ключ обычно представляется 64-битным числом, но каждый восьмой бит используется для проверки четности и игнорируется.) Ключ, который может быть любым 56-битовым числом, можно изменить в любой момент времени. Криптостойкость полностью определяется ключом. Фундаментальным строительным блоком DES является комбинация подстановок и перестановок. DES состоит из 16 циклов.является шифром Фейстеля и сконструирован так, чтобы выполнялось полезное свойство: для шифрования и дешифрования используется один и тот же алгоритм. Единственное отличие состоит в том, что ключи должны использоваться а обратном порядке.

То есть если при шифровании использовались ключи K1, K2, …, K16, то ключами дешифрования будут K16, K15, …, K1. Алгоритм использует только стандартную арифметику 64-битовых чисел и логические операции, поэтому легко реализуется на аппаратном уровне.

DES работает с 64-битовыми блоками открытого текста. После первоначальной перестановки блок разбивается на правую и левую половины длиной по 32 бита. Затем выполняются 16 преобразований (функция f), в которых данные объединяются с ключом. После шестнадцатого цикла правая и левая половины объединяются, и алгоритм завершается заключительной перестановкой (обратной по отношению к первоначальной). На каждом цикле биты ключа сдвигаются, и затем из 56 битов ключа выбираются 48 битов. Правая половина данных увеличивается до 48 битов с помощью перестановки с расширением, объединяется посредством XOR с 48 битами смещенного и перестановленного ключа, проходит через S-блоков, образуя 32 новых бита, и переставляются снова. Эти четыре операции и выполняются функцией f.

Затем результат функции f объединяется с левой половиной с помощью другого XOR. В итоге этих действий появляется новая правая половина, а старая становится новой левой половиной. Эти действия повторяются 16 раз, образуя 16 циклов DES.

Исходя из всего вышеперечисленного, я пришел к выводу, что встроенные аппаратные средства безопасности и шифрования на базе устройства D-link DFL-600 с использованием стандарта DES отвечают мировым стандартам в области защиты информации, и соответственно являются прекрасным решением как для обеспечения безопасности ЛВС от попыток проникнуть извне, так и для обмена зашифрованной информацией между сетями.

Общие характеристики DFL-600.

D-Link DFL-600 легко развертываемый, аппаратный межсетевой экран с поддержкой VPN, разработанный для сетей малых предприятий, рабочих групп и отделов, требующих наилучшего соотношения цена / производительность. Это устройство является мощным решением по обеспечению безопасности, которое предоставляет интегрированные функции NAT, межсетевого экрана, защиту от атак DoS и поддержку VPN. Внутри компактного, легко размещающегося корпуса, межсетевой экран VPN DFL-600 имеет 1 порт WAN, 4 порта LAN, которые исключают необходимость в использовании внешнего концентратора или коммутатора и порт DMZ для поддержки локальных почтовых, Web и FTP серверов. Благодаря интуитивно понятному Web-интерфейсу управления и простоте процесса, мастер установки D-Link позволит пользователям выполнить настройку устройства за несколько минут.

Многофункциональное устройство обеспечения безопасности DFL-600 является эффективным межсетевым экраном с поддержкой VPN для малого и среднего бизнеса, т.к. обеспечивает поддержку технологии Stateful Packet Inspection (SPI), обнаружения и блокировки вторгающихся пакетов, VPN, физического порта DMZ, multiple-mapped Ips и множества виртуальных серверов, т.е. всего, что обычно можно найти в межсетевых экранах уровня предприятия. DFL-600 легко подключает ваш офис к кабельному или DSL модему, через порт 10/100BASE-TX WAN.

Надежная защита от атак хакеров

DFL-600 имеет расширенные функции обеспечения безопасности, которые обычно отсутствуют в резидентных шлюзах. Он защищает сеть от атак Denial of Service (DoS) и обеспечивает стабильность работы сети посредством анализа содержимого пакетов (Stateful Packet Inspection). Устройство может обнаруживать атаки хакеров и отбрасывать вторгающиеся пакеты, предотвращая их проникновение в сеть.

DFL-600 защищает сеть от таких атак как SYN Flood, Ping of Death, Spoof, Tear Drop, ICMP Flood, UDP Flood и т.д. Его можно настроить на протоколирование этих атак, определение IP адреса, с которого велась атака и посылку предупреждений об атаках в виде отчета по электронной почте, также можно задать правила ограничения потока данных с указанных IP адресов.

Поддержка высокопроизводительных VPN туннелей на основе IPSec DFL-600 имеет встроенную поддержку VPN, что позволяет создавать множество туннелей IPSec для удаленных офисов. Реализация IPSec в DFL-600 использует шифрование DES, 3DES и управление ключами Automated Key Management согласно спецификации IKE/ISAKMP. Туннель VPN может быть активирован с DFL-600 к удаленному офису для целостной передачи потока данных между двух точек для мобильных пользователей использующих шифрование triple DES. Это позволяет пользователям конфиденциально получать доступ и передавать важную информацию. Множество туннелей VPN могут быть легко созданы без необходимости определения правил протокола обмена ключами (Internet Key Exchange - IKE).

Списки управления доступом (ACL)

Блокирование URL - это одна из основных функций, поддерживаемых DFL-600. Она позволяет ограничивать доступ к нежелательным ресурсам Интернет. Лог-файлы Интернет трафика, предупреждения об атаках из Интернет и уведомления об использовании ресурсов Интернет сохраняются и могут быть отправлены в виде отчета по электронной почте.

DFL-600 поддерживает аутентификацию Radius. Таким образом, можно использовать существующий сервер Radius и информацию о пользователях. Он также поддерживает аутентификацию на основе сертификатов X.509, используя набор PKIX-совместимых сертификатов и стандартов проверки полномочий.

Функция X.509 будет доступна в следующей версии ПО.

Уведомление по электронной почте

Сетевые администраторы могут задать набор почтовых адресов (e-mail) для получения предупреждающих сообщений от DFL-600. При обнаружении попытки вторжения, DFL-600 запротоколирует ее и отправит предупреждающее сообщение на адрес электронной почты. Администратор может проверить лог-файл на маршрутизаторе, чтобы выяснить, что произошло.

Выделенный порт DMZ и встроенный 3-х портовый коммутатор Fast Ethernet DFL-600 имеет 3 10/100BASE-TX порта LAN с автоопределением, которые подключаются к внутренней сети офиса и выделенный порт DMZ, позволяющий организовать доступ к почтовому, Web или FTP серверу компании непосредственно из Интернет. На DFL-600 можно создать дополнительный порт DMZ, назначив любой из 3-х портов LAN портом DMZ. Функция DMZ очень полезна, т. к. уменьшает количество трафика от сервера во внутренней сети и защищает ее компьютеры от атак из Интернет, скрывая их за межсетевым экраном.

Простота установки DFL-600 имеет удобный Web- интерфейс управления с защитой паролем, доступ к которому можно получить с любого компьютера с браузером. Более того, правила работы с входящим и выходящим потоком данных межсетевого экрана наряду с другими параметрами конфигурации устройства полностью задаются средствами Web - интерфейса.

Общие характеристики DFL-600:

Порт WAN

/100BASE-TX порт

Поддержка автосогласования NWay

Порты LAN:

3 10/100BASE-TX LAN порта

10/100BASE-TX DMZ порт

Авто MDI/MDIX, автосогласование NWay для всех портов

Кнопка сброса

Сброс установок к настройкам по умолчанию

Память:: 32Mбайт: 8Mбайт

ПоддержкаVPN

L2TP/PPTP/IPSec tunnelingTP/PPTP/IPSec pass-through

Алгоритмы хешированияMD5/AH-MD5SHA1/AH-SHA1

Алгоритмы шифрования/3DES

Управление ключами

Вручную

Internet Key Exchange (IKE)Security Association и Key Management Protocol (ISAKMP)

Механизмы аутентификации/PKI *

Поддержка аутентификации RADIUS (RADIUS клиент)

Поддержка аутентификации на основе сертификатов X.509

X.509 Public Key Infrastructure Certificate и CRL Profile (RFC 2489).509 Public Key Infrastructure Certificate Management Protocols (RFC 2510).509 Certificate Request Message Format (RFC 2511).509 Public Key Infrastructure Online Certificate Status Protocol (OCSP) (RFC 2560)Management Messages over CMS (RFC 2797Функции и протоколы

Статическая маршрутизация

Динамическая маршрутизация *, RIP-2 *Multicast *, TCP, ICMP, AR* Динамическая маршрутизация (RIP-1, RIP-2, IP multicast) будет доступна в следующей версии ПО.

Функции межсетевого экрана

На основе Интернет-шлюза/NAPTALG

Стек протокола H.323

File Transfer Protocol (FTP)Initiation Protocol (SIP) *Description Protocol (SDP)Time Transport Protocol (RTP)Relay Chat (IRC)Gaming Protocol3/ 2.0 Video/Audio receive/send: Chat and File SendPacket Inspection (SPI)адрес и номер порта

Счетчик пакетов и байтов

Номер последовательности и подтверждения

Временной штамп

История изменения нагрузки

Динамическое связывание

Количество политик (Policy)Filter Rules: 60Range Filter: 20Filter Rules: 16Filter Rules: 30of Service (DOS)FloodingHijackingAttack/OOBNukeTree SYN/FIN (Jackal)/ FIN (zero-sized DNS zone payload)(UDP 31337)DropFloodingHorseFlooding

UDP Scan

ARP Attack

Блокировка пользователей

(Default blocking port number for each server)

NNTP сервер - TCP Порт(ы): 119сервер - TCP Порт(ы) - 25сервер - TCP Порт(ы): 110, 9953 сервер - UDP Порт(ы): 27960сервер - TCP Порт(ы): 143, 220, 585, 993сервер (только активный режим) - TCP Порт(ы): 20, 21сервер - TCP Порт(ы): 22серверсервер

Настройка и управлениеуправлениесервер / клиентдля DSL*

Система

Системные лог-файлы

Резервное копирование ПО

Уведомление по E-mail *

Удаленное управление через порт WAN

Simple Network Time Protocol (SNTP)

* Функция будет доступна в следующей версии ПО

Интерфейсы конфигурированияинтерфейс управления (через web браузер)

Обновление ПО через Web

Физические параметры и условия эксплуатации:

Индикаторы диагностики(на устройство)/Act (порт WAN)/Act (на внутренний порт LAN)

Размер:

(W) x 161 (D) x 35 (H) мм

Вес:

г.

Питание:

В переменного тока 2.5A

Через внешний адаптер питания

Рабочая температура:

до 45 C

Температура хранения:

до 55 C

Влажность хранения:

От 10% до 90% без образования конденсата

Рабочая влажность:

От 10% до 95% без образования конденсата


6. Расчет пропускной способности сети


Следует различать полезную и полную пропускную способность. Под полезной пропускной способностью понимается скорость передачи полезной информации, объем которой всегда несколько меньше полной передаваемой информации, так как каждый передаваемый кадр содержит служебную информацию, гарантирующую его правильную доставку адресату.

Рассчитаем теоретическую полезную пропускную способность Fast Ethernet без учета коллизий и задержек сигнала в сетевом оборудовании.

Отличие полезной пропускной способности от полной пропускной способности зависит от длины кадра. Так как доля служебной информации всегда одна и та же, то, чем меньше общий размер кадра, тем выше «накладные расходы». Служебная информация в кадрах Ethernet составляет 18 байт (без преамбулы и стартового байта), а размер поля данных кадра меняется от 46 до 1500 байт. Сам размер кадра меняется от 46 + 18 = 64 байт до 1500 + 18 = 1518 байт. Поэтому для кадра минимальной длины полезная информация составляет всего лишь 46 / 64 ? 0,72 от общей передаваемой информации, а для кадра максимальной длины 1500 / 1518 ? 0,99 от общей информации.

Чтобы рассчитать полезную пропускную способность сети для кадров максимального и минимального размера, необходимо учесть различную частоту следования кадров. Естественно, что, чем меньше размер кадров, тем больше таких кадров будет проходить по сети за единицу времени, перенося с собой большее количество служебной информации.

Так, для передачи кадра минимального размера, который вместе с преамбулой имеет длину 72 байта, или 576 бит, потребуется время, равное 576 bt, а если учесть межкадровый интервал в 96 bt то получим, что период следования кадров составит 672 bt. При скорости передачи в 100 Мбит/с это соответствует времени 6,72 мкс. Тогда частота следования кадров, то есть количество кадров, проходящих по сети за 1 секунду, составит 1/6,72 мкс ? 148810 кадр/с.

При передаче кадра максимального размера, который вместе с преамбулой имеет длину 1526 байт или 12208 бит, период следования составляет 12 208 bt + 96 bt = 12 304 bt, а частота кадров при скорости передачи 100 Мбит/с составит 1 / 123,04 мкс = 8127 кадр/с.

Зная частоту следования кадров f и размер полезной информации Vп в байтах, переносимой каждым кадром, нетрудно рассчитать полезную пропускную способность сети: Пп (бит/с) = Vп · 8 · f.

Для кадра минимальной длины (46 байт) теоретическая полезная пропускная способность равна

Ппт1 = 148 810 кадр/с = 54,76 Мбит/с,

что составляет лишь немногим больше половины от общей максимальной пропускной способности сети.

Для кадра максимального размера (1500 байт) полезная пропускная способность сети равна

Ппт2 = 8127 кадр/с = 97,52 Мбит/с.

Таким образом, в сети Fast Ethernet полезная пропускная способность может меняться в зависимости от размера передаваемых кадров от 54,76 до 97,52 Мбит/с.


Заключение


В данном дипломном проекте рассмотрены варианты реконструкции компьютерной сети отдела Вневедомственной охраны при ОВД г. Лангепаса, состоящего из административного здания и пульта централизованной охраны. В дипломе произведен выбор необходимой аппаратуры и программного обеспечения, решены вопросы информационной безопасности, так же решена проблема объединения компьютерной сети пульта централизованной охраны с сетью административного здания. Это позволит инженерам ПЦО и администратору сети более оперативно вносить изменения в базы данных ПЦО и получать отчеты о работе ПЦО, постоянно контролировать состояние серверов. Так же в диплома проведены необходимые расчеты, построена структурная схема.


Библиография

локальный кабельный сеть безопасность

  1. Олифер В.Г., Олифер Н.А. Компьютерные сети. Принципы, технологии, протоколы. - СПб.: Издательстьво «Питер», 2000. - 672 с.: ил.
  2. Олифер В.Г., Олифер Н.А. Высокоскоростные технологии ЛВС. - #"justify">Сетевое оборудование IOLANET. - #"justify">IOLA: решение для сетей. - #"justify">Типовые схемы организации связи с применением модемов xDSL. - #"justify">Технологии DSL. - #"justify">Брандмауэры, или запирайте вашу дверь. // Сети, №2, 1997, С. 88-99. - #"justify">Вэк Д. Карнахан Л. Содержание сети вашей организации в безопасности при работе с Интернетом (Введение в межсетевые экраны (брандмауэры)). - #"justify">Лошин П. Преобразование сетевых адресов (NAT). // Computerworld, №10, 2001, С. 33-41. - #"justify">Снайдер Дж. Как построить VPN. // Сети, №3, 1998, С. 106-111. - #"justify">Лукин В. Обзор устройств VPN начального уровня. - #"justify">Лукин В. Гигабитные шлюзы VPN - краткий обзор. - #"justify">Снайдер Дж. VPN: поделенный рынок. // Сети, №11, 1999., С. 18-30. - http://www.osp.ru/nets/1999/11/18.htm


1. Локальные сети Реализация предложенного проекта позволит сократить бумажный документооборот внутри компании, повысить производительность труда, сократ

Больше работ по теме:

КОНТАКТНЫЙ EMAIL: [email protected]

Скачать реферат © 2017 | Пользовательское соглашение

Скачать      Реферат

ПРОФЕССИОНАЛЬНАЯ ПОМОЩЬ СТУДЕНТАМ