Технология
|
Наибольшая
скорость передачи данных
|
Расстояние, км
|
IDSL
|
128 Кбит/с
|
12
|
HDSL
|
2 Мбит/с
|
6.5
|
MSDSL
|
144 Кбит/с - 2
Мбит/с
|
6.5
|
SDSL
|
144 Кбит/с - 2
Мбит/с
|
6
|
ADSL
|
1 Мбит/с
исходящий 8 Мбит/с входящий
|
5.5
|
VDSL
|
6.4 Мбит/с
исходящий 52 Мбит/с входящий
|
1.5
|
Наиболее перспективным в настоящее время является применение
для доступа к Интернет технологий xDSL [6]. Большинство крупных провайдеров Нижнего
Новгорода имеют точки подключения к своим магистральным сетям на городских АТС.
При этом благодаря частотному разделению та же телефонная линия может
одновременно использоваться и по прямому назначению [5].
В большинстве случаев кабельные и xDSL модемы имеют порт Ethernet для подключения к сети и
обеспечивают связь между двумя удаленными сегментами сети подобно тому, как это
делают коммутаторы для близко расположенных сегментов.
2.5 Применение маршрутизаторов для объединения
подсетей
В общем случае сеть организации включает несколько подсетей
построенных на базе различных технологий (различные локальные сети, связи
«точка-точка» для подключения к глобальным сетям). Так как в разных подсетях
используются различные стандарты канального уровня, они не могут быть
объединены непосредственно. Объединение этих подсетей выполняется средствами
сетевого уровня модели OSI на специальных узлах сети - маршрутизаторах.
Роль маршрутизаторов могут выполнять как специализированные устройства, так и
компьютеры с установленными на них серверными ОС (Linux, FreeBSD, другие варианты UNIX, Windows NT/2000, Novell NetWare).
Маршрутизаторы всегда имеют несколько сетевых интерфейсов (в
общем случае различных технологий), к которым подключаются объединяемые
подсети. Основной функцией маршрутизатора является перенаправление поступающих
пакетов в ту подсеть, где находится узел-адресат. Правила перенаправления пакетов
задаются таблицей маршрутизации [1, п. 5.3.3].
В настоящее время в большинстве сетей перенаправление пакетов
реализуется на основе протоколов стека TCP/IP, при этом для адресации
используются IP-адреса. Для работы сети Интернет необходимо обеспечить уникальность
IP-адресов во всей
глобальной сети, поэтому они выделяются централизовано. На практике при
подключении сети фирмы к Интернет IP-адреса выделяются провайдером из имеющегося у
него резерва.
Передаваемые по протоколам стека TCP/IP данные разбиваются на
пакеты, каждый из которых снабжается заголовком. В заголовок включают служебную
информацию, в том числе IP-адрес узла-источника, IP-адрес узла назначения, и
номера портов на узлах источника и назначения. Номер порта служит для
определения, какой программе, работающей на узле назначения адресован данный
пакет. Серверные программы, принимающие запросы клиентов, имеют фиксированные
номера портов, что позволяет узнать, к какой службе адресован данный пакет.
Дополнительные функции, которые могут выполнять маршрутизаторы:
- Фильтрация сетевого трафика [7, 8]. Например, можно
разрешить передачу пакетов только для определенных узлов сети; запретить узлам
внешней сети (Интернет) по собственной инициативе устанавливать соединения с
узлами внутренней подсети (то есть подключение клиентов локальной сети к
серверам Интернет допускается, а подключение клиентов из Интернет к серверам
локальной сети - нет); разрешить маршрутизацию пакетов, адресованных только
службам определенного вида (например, только электронная почта и www). Выпоняющий эту функцию
маршрутизатор называют firewall (сетевой экран, или брандмауэр).
- Учет сетевого трафика, то есть ведение статистики
обращений узлов одной подсети к узлам другой: адреса узлов, время соединения,
объем переданной информации, сетевая служба, к которой было произведено
обращение и т.п. На основе этой информации поставщик услуг доступа к сети может
выставлять счет на оплату.
Преобразование IP-адресов (маскировка IP-адресов, использование
виртуальных адресов, трансляция адресов) [9]. Назначение реальных уникальных IP-адресов компьютерам
локальной сети нежелательно по нескольким причинам: увеличение числа
компьютеров потребует увеличения числа IP-адресов, что связано с
обращением к провайдеру и дополнительными расходами; к компьютерам с реальными IP-адресами может быть
получен доступ из внешней сети, что не всегда желательно (возможность доступа
может быть предотвращена ограничением трафика на маршрутизаторе и правильной
настройкой ПО самого узла, но этих мер может оказаться недостаточно). Поэтому
компьютерам внутренней подсети может быть выделен произвольный набор адресов,
не являющийся уникальным (как правило для этого выделяются адреса из адресного
пространства подсетей 192.168.0.0/255.255.0.0 и 10.0.0.0/255.0.0.0). Если узел с
таким адресом обращается к внешней сети, то маршрутизатор «на лету»
преобразовывает заголовки пакетов, заменяя в них адрес отправителя на свой
собственный, благодаря чему осуществляется «прозрачный» для пользователя
внутренней подсети доступ к Интернет. Узлы внешней сети не могут по собственной
инициативе установить соединение с узлом внутренней подсети, так как не могут
указать IP-адрес назначения. Выполняющий функцию преобразования адресов
маршрутизатор называют NAT-шлюз.
Фильтрация сетевого трафика и преобразование IP-адресов позволяют
удовлетворить некоторым требованиям безопасности. Например, они позволяют
разрешить доступ к ресурсам узла только определенным узлам Интернет с известным
IP-адресом.
Если необходимо предотвратить доступ пользователей одной части
локальной сети к трафику в другой части, то такую сеть разделяют на подсети,
которые затем объединяют с помощью маршрутизатора с функцией фильтрации
сетевого трафика.
Следует отметить, что функции маршрутизатора и сетевого
экрана могут выполняться различными устройствами. К разделению этих функций
прибегают при особо жестких требованиях к безопасности сети.
По области применения выделяют маршрутизаторы доступа и
маршрутизаторы для локальных сетей. Маршрутизаторы доступа являются
пограничными устройствами для подключения локальных сетей к Интернет, один из
их интерфейсов служит для подключения модема (иногда модем и маршрутизатор
доступа объединяются в одном устройстве). В качестве маршрутизаторов доступа
может использоваться компьютер с несколькими сетевыми интерфейсами.
Маршрутизаторы для локальных сетей применяются для разделения
одной локальной сети на несколько подсетей, или для объединения сетей различных
технологий. В последнем случае в качестве маршрутизатора обычно используют
компьютер с несколькими сетевыми адаптерами различных технологий. Для
разделения локальной сети на подсети, как правило, используются
специализированные маршрутизаторы, называемые коммутаторами третьего уровня.
Виртуальные локальные сети (VLAN) это технология, которая
позволяет разделить подключенные к коммутатору или нескольким коммутаторам узлы
на несколько независимых невзаимодействующих друг с другом локальных сетей.
Принадлежность компьютера к одной из сетей определяется портом, к которому
подключен этот компьютер, либо его MAC-адресом. Объединение виртуальных локальных сетей
через маршрутизатор с функцией фильтрации трафика позволяет гибко управлять
политикой безопасности сети, включая компьютер в ту или иную подсеть независимо
от того, к какому физическому устройству он подключен.
При передаче кадров по сети информация о принадлежности
узла-отправителя к той или иной виртуальной сети должна быть доступна всем
коммутаторам и маршрутизаторам. Стандарт IEEE 802.1Q предусматривает передачу
между коммутаторами и маршрутизаторами дополнительной информации о номере сети
отправителя кадра. Для реализации виртуальных локальных сетей данный стандарт
должен поддерживаться коммутатором и маршрутизатором.
2.6 Виртуальные частные сети
Виртуальные частные сети (VPN) - это технология соединения
удаленных локальных сетей по каналам сетей общего доступа (Интернет). Как
правило решения для виртуальных частных сетей представляют собой совокупность
средств маршрутизации TCP/IP и шифрования трафика. Эти средства могут быть
как программами, работающими под управлением одной из серверных ОС, так и
специализированными аппаратными устройствами. Материалы для выбора средств
построения виртуальных частных сетей приведены в обзорах [10, 11, 12, 13].
Как правило технология VPN применяется для объединения
локальных сетей нескольких удаленных отделений организации и для обеспечения
доступа сотрудников нескольких отделений к единой базе данных.
2.7 Серверные приложения и службы
Описанные выше технологии обеспечивают передачу данных между
компьютерами в сети, то есть выполняют функцию транспорта. Для того, чтобы
решать задачи конечных пользователей на компьютерах сети должны работать
программы-серверы, предоставляющие доступ к ресурсам этого компьютера, и
программы-клиенты, выполняющие подключение к серверам и использующие эти
ресурсы. Рассмотрим наиболее часто встречающееся серверное программное
обеспечение.
Web-сервер - это программа, которая обеспечивает
доступ к веб-сайтам, то есть отвечает на приходящие по сети запросы на выдачу
веб-страниц.
Web-сайт может включать в себя информацию в виде
статических HTML-страниц, а также программы, динамически формирующие HTML-страницы. Web-клиент
(Интернет-браузер) подключается к web-серверу и по протоколу прикладного уровня HTTP передает запрос на
получение статической HTML-страницы, либо на запуск хранящейся на сервере
программы, которая может сформировать и передать клиенту динамическую HTML-страницу. Для
формирования динамических страниц эта программа может обратиться к базе данных.
Таким образом осуществляется публикация информации из базы данных в Интернет.
Как правило Web-сервер использует для приема запросов порт номер 80.
Наиболее распространенные web-серверы: Apache (UNIX), MS IIS (Windows NT).
Почтовый сервер SMTP - программа для отправки и получения электронной
почты.
Почтовый клиент (почтовая программа, например Outlook) или другой почтовый
сервер подключаются к SMTP-серверу и передают ему электронное письмо по
протоколу SMTP, указывая адрес получателя. Адрес состоит из двух частей,
разделенных символом @ (например drobdi@mail.ru). Слева от символа @ указывается имя
пользователя, справа - имя компьютера, на котором размещается электронный
почтовый ящик. Сервер анализирует имя компьютера, и если оно совпадает с именем
этого сервера (то есть письмо адресовано пользователю, имеющему почтовый ящик
на этом компьютере), то письмо сохраняется в почтовом ящике пользователя (в
нашем примере - пользователя vasya). Если имена компьютеров не совпадают, то сервер
пытается подключиться к SMTP-серверу указанного компьютера (в нашем примере -
компьютера rambler.ru) и передать ему это письмо. SMTP сервер использует для
приема запросов на передачу писем порт номер 25.
Наиболее распространенные SMTP серверы: sendmail, qmai (UNIX), MS Exchange Server
Почтовый сервер POP3 - программа для удаленного доступа к почте,
хранящейся на сервере.
После того как SMTP сервер сохранил письмо в почтовом ящике оно
может быть прочитано адресатом. Для этого адресат в любое удобное для него
время подключается к POP3-серверу компьютера, на котором расположен его
почтовый ящик с помощью почтового клиента и посылает запрос на получение почты
по протоколу POP3. Сервер POP3 использует для приема запросов на получение
почты порт номер 110.
DNS - сервер доменных имен.
Сервер получает от клиентов DNS (к которым относятся все
сетевые программы) или других серверов DNS запрос на определение IP-адреса компьютера по его
доменному имени и выдает информацию о соответствии IP-адреса и доменного
имени. Информация о соответствии имени и адреса хранится на одном из DNS-серверов. Если имеющейся
у самого сервера информации недостаточно для ответа на запрос, он ищет в сети
сервер, располагающий такой информацией и посылает запрос к нему. [1, п.
5.2.8]. Для приема запросов использует порт 53.
Входит в состав всех серверных ОС.
FTP-сервер - программа, обеспечивающая доступ к
хранящимся на компьютере файлам. Обеспечивает авторизацию и разграничение прав
пользователей. Использует для приема запросов на поиск файлов по протоколу FTP порт 21.
Служба доступа к файлам и принтерам локальной сети -
программа, обеспечивающая доступ к файловой системе и принтерам компьютера для
клиентов локальной сети. Принимает запросы на доступ к ресурсам по протоколу SMB. Обеспечивает
авторизацию пользователей и контроль прав доступа. Входит в состав большинства
современных ОС, в том числе Windows 9x. Если в качестве транспорта для сообщений SMB используется стек TCP/IP, то для их приема
используются порты 137-139.
Служба каталогов (контроллер домена Windows NT, служба Active Directory) - программа,
обеспечивающая возможность однократной авторизации пользователя при входе в
сеть и централизованного управления правами пользователя на доступ к ресурсам
сети.
Службы автоматизации управления и документооборота -
программы, обеспечивающие хранение и обработку финансовой и аналитической
информации о компании, а также управляющие внутренним документооборотом
(например, позволяющие отследить прохождение приказа директора и контролировать
его исполнение). Как правило, такие службы включают в себя базу данных и
программы их обработки.
Прокси-сервер - серверное программное обеспечение,
принимающее запросы на доступ к ресурсам и услугам внешней сети -
веб-страницам, почтовым серверам, серверу ICQ, и т.п. Получив запрос,
прокси обращается к серверу, содержащему требуемый ресурс сам, «от своего
имени». Полученные от сервера данные пересылаются запросившему их клиенту и
сохраняются во временных файлах прокси (кэше). Если другой клиент запрашивает
тот же ресурс, то он берется из кэша, благодаря чему экономится время доступа к
ресурсу и сетевой трафик. Чтобы сетевые программы не получали доступ к ресурсам
непосредственно, а посылали запрос прокси-серверу, они должны быть
соответствующим образом настроены.
Администратор прокси-сервера может запретить выполнение
некоторых запросов, например доступ к порно-ресурсам, архивам музыки и т.п.
Также прокси-сервер может работать совместно с системой авторизации. В этом
случае пользователь при обращении к прокси-серверу должен ввести имя
пользователя и пароль. При этом администратор может ввести индивидульные
ограничения для каждого пользователя и контролировать, к каким ресурсам он
обращается. Чтобы реализовать ограничения на доступ к ресурсам с помощью
прокси-сервера необходимо, чтобы был запрещен доступ к этим ресурсам минуя прокси
сервер. Эта задача решается на маршрутизаторе, который разрешает связь с
внешней сетью только узлу, на котором установлен прокси-сервер.
Другие серверные программы. Серверной программой является
любая программа, прослушивающая определенный порт TCP/IP и принимающая внешние
подключения. Эти функции могут выполнять не только перечисленные выше, но и
любые другие программы, в том числе специально разработанные для решения
конкретной задачи - доступа к базе данных, управления компьютером и т.п.
Одной из проблем безопасности сети является
несанкционированная установка серверных программ, предоставляющих клиентам
слишком широкие полномочия на доступ к ресурсам компьютера. Эта проблема может
быть решена за счет ограничения сетевого трафика и преобразования IP-адресов. (см. п. 5)
2.8 Структурированная кабельная система
Структурированная кабельная система (СКС) - это набор
коммутационных элементов (кабелей, разъемов, коннекторов, кроссовых панелей и
шкафов). Обзор стандартов на построение СКС приведен в статье [14].
СКС планируется и строится иерархически [1, рис. 4.1], с
основной магистралью и многочисленными ответвлениями от нее. При необходимости
она позволяет легко изменить конфигурацию связей между компьютерами - добавить
или переместить компьютер, концентратор, коммутатор; удалить часть
оборудования; изменить схему соединения.
Типичная иерархическая структура СКС включает горизонтальные
подсистемы (в пределах этажа), вертикальные подсистемы (внутри здания);
подсистему кампуса (в пределах одной территории с несколькими зданиями). По
правилам построения СКС узовое оборудование (коммутаторы и концентраторы)
должны размещаються в распределительных пунктах. Распределительный пункт этажа
связывает горизонтальную подсистему с вертикальной подсистемой (магистралью здания),
в распределительном пункте здания объединяются кабели вертикальной подсистемы и
подсистемы кампуса.
Согласно стандартам на построение СКС по крайней мере один
распределительный пункт размещается на каждом этаже и на каждых 1000 м2
офисной площади. Длина кабеля между розетками и распределительным пунктом
здания не должна превышать 90 м. Узловое оборудование и кроссовые панели
размещаются в монтажных шкафах.
На практике часто отказываются от размещения в
распределительных пунктах коммутационных панелей и дорогих кроссовых шкафов
(цена одного шкафа более 200 долларов). В этом случае кабели подключаются
непосредственно к активному сетевому оборудованию. Такой подход обеспечивает
значительную экономию средств, но приводит к потере гибкости СКС.
Типы устройств Fast Ethernet.
Трансивер (Transiever) - это двухпортовое устройство, имеющее с одной
стороны, MII интерфейс, с другой - один из средозависимых физических
интерфейсов (100Base-FX, 100Base-TX или 100Base-T4). Трансиверы используются сравнительно редко, как и редко
используются сетевые карты, повторители и коммутаторы с интерфейсом MII.
Сетевая карта (Netcard). Наиболее широкое распространение получили
сетевые карты с интерфейсом 100Base-TX на шину PCI. Необязательными, но
крайне желательными, функциями порта RJ-45 являются автоконфигурирование 100/10 Мбит/с и
поддержка дуплексного режима. Большинство современных выпускаемых карт
поддерживают эти функции. В настоящее время набирает обороты выпуск сетевых
карт с поддержкой 1000 Мбит/сек. Выпускаются также сетевые карты с оптическим
интерфейсом 100Base-FX - с основным оптическим разъемом SC на многомодовое волокно.
Конвертер (Convertor) - это двухпортовое устройство, оба порта
которого представляют средозависимые интерфейсы. Конвертеры, в отличие от
повторителей, могут работать в дуплексном режиме. Распространены конвертеры 100Base-TX/100Base-FX.
Повторитель (Repeater) - многопортовое устройство, которое позволяет
объединить несколько сегментов. Принимая кадр или сигнал коллизии по одному из
своих портов, повторитель перенаправляет его во все остальные порты.
Распространены устройства с несколькими портами на витую пару (12, 16 или 24
порта RJ-45), одним портом BNC и одним портом AUI. Повторители работают на
физическом уровне модели OSI. По параметру максимальных временных задержек
при ретрансляции кадров, повторители Fast Ethernet подразделяются на два
класса:
Класс I. Задержка на двойном пробеге RTD не должна превышать 130 BT. В силу менее жестких
требований, повторители этого класса могут иметь порты T4 и TX/FX, а также объединяться в
стек.
Класс II. К повторителям этого класса предъявляются более
жесткие требования по задержке на двойном пробеге: RTD < 92 BT, если порты типа TX/FX, и RTD<67 BT, если все порты типа Т4.
(В силу значительных отличий в организации физических уровней возникает большая
задержка кадра при ретрансляции между портами интерфейсов Т4 и TX/FX. Поэтому повторители,
совмещающие в пределах одного устройства порты Т4 с TX/FX отнесены к классу I.).
Коммутатор (Switch) - одно из наиболее важных устройств при
построении корпоративных сетей. Коммутатор работает на втором канальном уровне
модели OSI. Главное назначение коммутатора - разгрузка сети посредством
локализации трафика в пределах отдельных сегментов.
Ключевым звеном коммутатора является архитектура без
блокирования (non-blocking), которая позволяет установить множественные связи Ethernet между разными парами
портов одновременно, причем кадры не теряются в процессе коммутации. Сам трафик
между взаимодействующими сетевыми устройствами остается локализованными.
Локализация осуществляется с помощью адресных таблиц, устанавливающих связь
каждого порта с адресами сетевых устройств, относящихся к сегменту этого порта.
Таблица заполняется в процессе анализа коммутатором адресов станций
отправителей в передаваемых ими кадрах. Кадр передается через коммутатор
локально в соответствующий порт только тогда, когда адрес станции назначения,
указанный в поле кадра, уже содержится в адресной таблице этого порта. В случае
отсутствия в таблице адреса станции назначения, кадр рассылается во все
остальные сегменты. Если коммутатор обнаруживает, что MAC-адрес станции назначения
приходящего кадра находится в таблице MAC-адресов, приписанной за портом, то этот кадр
сбрасывается - его непосредственно получит станция назначения, находящаяся в
данном сегменте. И, наконец, если приходящий кадр является широковещательным (broadcast), т.е. если все биты
поля MAC-адреса получателя в кадре задаются равными 1, то такой кадр будет
размножен коммутатором (подобно концентратору), т.е. направляются во все
остальные порты.
Концентратор (Hub) - это многопортовый повторитель сети с
автосегментацией. Все порты концентратора равноправны. Получив сигнал от одной
из подключенных к нему станций, концентратор транслирует его на все свои активные
порты. При этом, если на каком-либо из портов обнаружена неисправность, то этот
порт автоматически отключается (сегментируется), а после ее устранения снова
делается активным. Автосегментация необходима для повышения надежности сети.
Обработка коллизий и текущий контроль состояния каналов связи обычно
осуществляется самим концентратором. Концентраторы можно использовать как
автономные устройства или соединять друг с другом, увеличивая тем самым размер
сети и создавая более сложные топологии.
Маршрутизатор (Router). Основной функцией маршрутизаторов является
обеспечение соединений (маршрутов передачи данных) между узлами различных
сетей, которые могут быть разделены значительным географическим расстоянием и
несколькими промежуточными сетями. Маршрутизатор создает канал передачи данных,
находя подходящий маршрут и инициируя первоначальное соединения по этому
маршруту.
На практике маршрутизация реализуется аппаратно-программным
обеспечением, работающим на сетевом уровне эталонной модели OSI. Аппаратные
средства маршрутизации могут быть как внутренними, так и внешними. Внутренние
маршрутизаторы представляют собой специальные платы, устанавливаемые в разъем
расширенного компьютера и питающиеся от общего блока питания. Внешние
маршрутизаторы - это отдельные устройства со своим собственным блоком питания.
Задача маршрутизатора состоит в поиске маршрута для передачи
пакетов данных от узлов одной сети к другой и в пересылке пакетов по этому
маршруту. Маршрутизаторы работают на сетевом уровне и поэтому являются протоколо-независимыми.
Это связано с тем, что в пакетах различных протоколов используются разные
форматы адресных полей. Например, маршрутизатор, предназначенный для
использования с протоколом IP (Internet Protocol), не сможет корректно
обрабатывать пакеты с адресами в формате ISO и наоборот. Большинство
маршрутизаторов поддерживают несколько протоколов канального уровня. Ранние
модели маршрутизаторов работали лишь с одним сетевым протоколом, а современные
поддерживают одновременно несколько протоколов.
Особенности работы маршрутизатора позволяют использовать его
в качестве пакетного фильтра. Независимость от протоколов канального уровня
позволяет использовать маршрутизаторы для объединения сетей с различными
архитектурами - например, соединения сетей Ethernet и Token Ring или Ethernet и
FDDI.
Мост (bridge) - устройство, предназначенное для передачи
пакетов данных из одной сети в другую. С функциональной течки зрения, мосты
относятся к канальному уровню эталонной модели OSI. Мосты позволяют программам
и протоколам, работающим на более высоких уровнях, рассматривать объединение
нескольких сетей, как одно целое. Наряду с передачей данных, мосты могут,
также, выполнять их фильтрацию. Это означает, что в сеть N2 будут попадать
только те пакеты, которые предназначены для узлов этой сети. А пакеты,
предназначенные для узлов сети N1, из которой они поступают, будут возвращаться
обратно. Значения терминов «мост» и «маршрутизатор» во многом сходно. Основное
отличие от мостов состоит в том, что маршрутизаторы работают на сетевом уровне
эталонной модели OSI.
Канал (Channel) Каналом называется физический или логический
путь для передачи сигналов. В контексте компьютерных сетей чаще всего
встречаются упоминания каналов двух типов: коммуникационных и дисковых.
Коммуникационным каналом называется маршрут, по которому происходит передача
данных, речи или видеоизображения. Современные технологии передачи данных
позволяют организовывать несколько коммуникационных каналов внутри одного
физического кабеля.
Дисковым каналом, в конфигурации с жестким диском, называются
компоненты, посредством которых осуществляется взаимодействие операционной
системы с накопителем на жестком диске. Функциональное соответствие видов
коммуникационного оборудования уровням модели OSI.
Повторитель, который регенерирует сигналы, за счет чего
позволяет увеличивать длину сети, работает на физическом уровне.
Сетевой адаптер работает на физическом и канальном уровнях. К
физическому уровню относится та часть функций сетевого адаптера, которая
связана с приемом и передачей сигналов по линии связи, а получение доступа к
разделяемой среде передачи, распознавание МАС-адреса компьютера - это уже
функция канального уровня.
Мосты выполняют большую часть своей работы на канальном
уровне. Для них сеть представляется набором МАС-адресов устройств. Они
извлекают эти адреса из заголовков, добавленных к пакетам на канальном уровне,
и используют их во время обработки пакетов для принятия решения о том, на какой
порт отправить тот или иной пакет. Мосты не имеют доступа к информации об
адресах сетей, относящейся к более высокому уровню. Поэтому они ограничены в
принятии решений о возможных путях или маршрутах перемещения пакетов по сети.
Маршрутизаторы работают на сетевом уровне модели OSI. Для маршрутизаторов
сеть - это набор сетевых адресов устройств и множество сетевых путей.
Маршрутизаторы анализируют все возможные пути между любыми двумя узлами сети и
выбирают самый короткий из них. При выборе могут приниматься во внимание и
другие факторы, например, состояние промежуточных узлов и линий связи,
пропускная способность линий или стоимость передачи данных.
Для того, чтобы маршрутизатор мог выполнять возложенные на
него функции ему должна быть доступна более развернутая информация о сети,
нежели та, которая доступна мосту. В заголовке пакета сетевого уровня кроме
сетевого адреса имеются данные, например, о критерии, который должен быть
использован при выборе маршрута, о времени жизни пакета в сети, о том, какому
протоколу верхнего уровня принадлежит пакет.
Благодаря использованию дополнительной информации,
маршрутизатор может осуществлять больше операций с пакетами, чем мост /
коммутатор. Поэтому программное обеспечение, необходимое для работы
маршрутизатора, является более сложным.
На рисунке показан еще один тип коммуникационных устройств -
шлюз, который может работать на любом уровне модели OSI. Шлюз (gateway) - это устройство,
выполняющее трансляцию протоколов. Шлюз размещается между взаимодействующими
сетями и служит посредником, переводящим сообщения, поступающие из одной сети,
в формат другой сети. Шлюз может быть реализован как чисто программными
средствами, установленными на обычном компьютере, так и на базе
специализированного компьютера. Трансляция одного стека протоколов в другой
представляет собой сложную интеллектуальную задачу, требующую максимально
полной информации о сети, поэтому шлюз использует заголовки всех транслируемых
протоколов.
3. Характеристика существующей компьютерной сети
и обоснование необходимости реконструкции
Структура существующей локальной вычислительной сети отдела
вневедомственной охраны при ОВД г. Лангепаса, представленная на рисунке 6,
базируется, на концентраторах Ethernet 10 Base-T.
Особенностью компьютерной сети предприятия является то, что
она развивалась достаточно хаотично, без какого-либо общего плана развития по
мере поступления финансирования. Это привело к тому, что сеть являются по сути
неуправляемой, и вопросы безопасности, надежности и эффективности в такой сети
стоит наиболее остро. Очень часто на поддержание функционирования сети требуется
неоправданно большие средства, т. к. из ее неэффективной структуры следует
большой объем работ по текущему администрированию, что требует наличие штата
собственных администраторов даже в небольших подразделениях либо выполнения
функций по текущему администрированию самими пользователями. Это не только
снижает качество администрирования, но и влияет на продуктивность основной
работы пользователя. Из-за нецелевого использования сети падает качество ее
работы и снижается эффективность работы всех пользователей. Из-за отсутствия
ограничений на доступ к ресурсам сети и данным сети во время хранения или
передачи возможна утечка конфиденциальной информации. При этом отсутствие
надлежащего финансирования не дает возможности решить эти проблемы разом,
требуется поэтапный подход и минимизация финансовых затрат.
Необходимые работы и затраты
На начальном этапе работ требуется провести анализ сети:
определить назначение сети: т.е. для каких целей должна использоваться сеть и
какие задачи сети являются наиболее приоритетными. К каким сетевым услугам
пользователи должны иметь постоянный доступ и чем можно пожертвовать ради
обеспечения безопасности и большей эффективности использования. Выявить места
хранения конфиденциальной информации, информационные потоки, информацию и
ресурсы, к которым необходим внешний доступ и внешнюю информацию и ресурсы, к
которым необходим доступ пользователей. На основании этих данных создается
структура «идеальной» сети, разрабатываются правила доступа к сети для
пользователей и правила админи-стрирования сети. Модель «идеальной» сети
сравнивается с существующей сетью, оценивается необходимый объем работ и зоны
ответственности различных подразделений. Намечается план работ, в соответствии
с которым производятся все дальнейшие изменения в структуре сети. Так же должны
быть выработаны правила закупки оборудования и программного обеспечения
(например стандартизировать используемые операционные системы, которые могут
быть установлены на клиентские компьютеры, что облегчит последующее поддержание
сети, а так же может быть необходимым на втором и третьем этапе)
Основные затраты первого этапа - это трудозатраты, т. к. для
работы над первым этапом должны быть привлечены сотрудники и по возможности
руководители всех подразделений. Все документы разработанные на первом этапе
должны утверждаться на максимально высоком уровне т. к. их исполнение должно
быть обязательным для всех пользователей сети.
Задача второго этапа - централизация управления сетью и
внешних потоков данных. На этом этапе отдельные компьютеры и группы компьютеров
зародившиеся в «хаотической» сети должны быть объединены в единую логическую
сеть учреждения, с централизованной политикой управления пользователями и
ресурсами. При этом может быть реализованная либо полностью централизованная система
либо (чтоб более приемле-мо для большинства крупных учреждений) древообразная
система с единым корнем. Все внешние потоки информации в обоих направлениях
должны быть сведены в единый узел, что даст возможность контроля всех
проходящих данных в одной точке. В этой точке реализуются ограничения доступа
снаружи к ресурсам внутренней сети (все такие ресурсы должны быть вынесены в
т.н. «демилитаризованную» зону) и доступа изнутри организации ко внешним
ресурсам. При необходимости, в этой точке производится и анализ передаваемой
информации (например проверка на вирусы почтовой корреспонденции) и т.д.
На втором этапе появляются затраты на приобретение серверов
(серверов авторизации, брандмауэров, антивирусных серверов, прокси серверов и
т.д. в зависимости от выбранной структуры сети) и серверного программного
обеспечения.
Задача третьего этапа - организация ограничений доступа и
безопасности потоков информации внутри сети. Это касается в первую очередь
конфиденциальной информации. Вся конфиденциальная информация должна быть
защищена за счет разрешений на доступ. Желательно шифрование конфиденциальной
информации при ее передаче. На этом же этапе формируется антивирусная сеть с
централизованным администрированием.
В зависимости от используемого программного обеспечения
затраты на этом этапе могут достигать достаточно существенных объемов, т. к.
могут потребовать, например, замены операционных систем на компьютерах хранящих
и производящих доступ к конфиденциальной информации.
4. Структура проектируемой сети
.1 Анализ требований
Основные требования к компьютерной сети изложены в
«Комплексной програмой развития региональной автоматизированной информационной
системы органов внутренних дел Ханты-Мансийского автономного округа на
2002-2006 годы», утвержденной приказом УВД округа 1125 от 31.12.2002 г.
.1.1 Общие требования к сети
Новый вариант построения локальной вычислительной сети отдела
вневедомственной охраны при ОВД г. Лангепаса представляет собой:
• Замена серверов на более надежные;
• Переход на более скоростную, чем Ethernet, технологию Fast
Ethernet 100 Мбит/с;
• Замена концентраторов коммутаторами второго уровня;
• Организацию Виртуальных сетей (VLAN), трафик которых на
канальном уровне полностью изолирован от других узлов сети;
• Осуществление Агрегирования каналов (Транкинга) используя
несколько активных параллельных каналов одновременно для повышения пропускной
способности и надежности сети.
.1.2 Требования к структурированной кабельной
системе
СКС должна быть выполнена в соответствии с международным
стандартом ISO/IEC 11801 на кабельные системы и состоять из горизонтальной
подсистемы:
Горизонтальная подсистема должна быть организована на основе
4-парного медного кабеля неэкранированная витая пара категории 5е (проводка для
ЛВС и телефонной системы).
Кабель должен прокладываться: по коридорам - в металлических
лотках за фальшпотолком; внутри комнат - в декоративном пластиковом коробе
сечением 200х100 мм.
На рабочем месте необходимо установить информационную розетку
с двумя модулями RJ45 для подключения компьютера, телефонного аппарата,
факсимильного аппарата или модема, две силовые розетки, подключенные к сети
гарантированного электроснабжения и одну силовую розетку, подключенная к сети
бытового электроснабжения.
Коммутационное оборудование должно устанавливаться в
19-дюймовые монтажные шкафы глубиной не менее 60 см.
.1.3 Требования к активному оборудованию ЛВС
В состав активного оборудования ЛВС должны входить три
коммутатора с поддержкой технологий виртуальных сетей и сетевого управления, а
также маршрутизатор с технологией межсетевого экрана(firewall).
Активное оборудование должно быть произведено компаниями
Cisco и D-Link.
4.1.4 Требования к серверам
В качестве серверов для:
управления корпоративной базой данных, центрального файлового
сервера, файлового сервера рабочих групп, сервера электронной почты,
web-сервера и сервера резервного копирования должны быть использованы
компьютеры с характеристиками не ниже, чем следующие:
не менее 2-х процессоров с параметрами не ниже: Рentium-IV 2400 MHz, c объёмом L2-cache
не менее 1 MB);
оперативная память не менее 1 GB;
объём дискового пространства не менее 160 GB;
интерфейс дисков - не ниже Ultra-3 Wide SCSI;
дисковод CD-ROM;
сетевая карта 1000Base-TX.
серверы должен быть установлены в серверной.
Уточнение марки серверов должно быть произведено на стадии
«Технического проекта».
Серверы должны быть изготовлены компанией Hewlett-Packard.
4.1.5 Требования к сетевой операционной системе
В качестве сетевой операционной системы должна использоваться
MS Windows Server 2003.
4.1.6 Требования к рабочим станциям
Типовые вновь приобретаемые рабочие станции должны иметь
следующие характеристики:
процессор не ниже Рentium-IV 2000 MHz, c объёмом L2-cache не
менее 256 KB);
оперативная память не менее 512 MB;
объём дискового пространства не менее 40 GB;
интерфейс дисков - не ниже Ultra-ATA/100
видеоадаптер не ниже AGP 4x c видео-памятью не менее 32 МБ
дисковод CD-ROM;
сетевая карта 100Base-TX.
монитор TFT не менее 17».
предустановленная операционная система MS Windows XP SP2.
4.1.6 Требования к системе бесперебойного питания
основного оборудования ЛВС
Система бесперебойного питания основного оборудования ЛВС
должна обеспечить выполнение следующих функции:
обеспечение электропитания центрального (основного)
оборудования ЛВС при отсутствии внешнего питания;
защита активного от импульсных помех внешней электросети;
поддержка питания в пределах номинальных значений.
Система бесперебойного питания основного оборудования ЛВС
должна строиться на локальных ИБП необходимой мощности.
ИБП должны поддерживать управление по сети с использованием
SNMP-протокола с помощью ПО управления под Windows XP.
ИБП должны устанавливаться в 19-дюймовые монтажные шкафы.
ИБП должны быть изготовлены компанией APC.
4.2 Выбор оборудования
.2.1 Выбор структурированной кабельной системы
На рубеже 2000 года началась очередная смена поколений
кабельных систем локальных сетей. Действующие стандарты морально устарели,
приняты новые категории, требующие частичной замены установленных линий,
разрабатываются новые стандарты. В таких условиях выбор систем на длительный
срок эксплуатации, оказывается непростой задачей. Для ее решения нужна
многоплановая информация, в том числе, о тенденциях развития кабельных систем.
Именно она позволяет находить оригинальные решения и создавать открытые системы
с реальными гарантиями будущего.
Принятие в 1991 году стандарта категории 3 имело далеко
идущие последствия. Шестнадцатикратное расширение частотного диапазона витой
пары по сравнению с категорией 2 (1 МГц) явилось впечатляющим шагом вперед. В
результате изменились представления о витой паре, как о среде передачи только
для речевых приложений. Была опубликована первая версия стандартов СКС. Витая
пара начала вытеснять коаксиальный кабель.
В 1997 года в организациях стандартизации разного уровня была
начата работа по спецификации параметров категорий 6 и 7, вновь расширяющих
диапазон витой пары в два и шесть раз соответственно. В июне 1999 году
Ассоциация стандартов Института инженеров электроники и электротехники приняла
стандарт протокола витой пары Gigabit Ethernet IEEE Std 802.3a. В конце того же
года Ассоциация телекоммуникационной промышленности совместно с Ассоциацией
электронной промышленности утвердили Приложение ANSI/TIA-568-A-5 «Спецификации
параметров передачи 4-парных 100-омных кабельных систем категории 5е». В
сентябре 2000 года вступили в действие стандарты класса D (аналогичные
категории 5е), принятые международной и европейской организациями
стандартизации. В 2002 году принята вторая редакция стандарта ISO/IEC 11801,
включающая спецификацию параметров кабелей и разъемов категорий 1 - 7 и линий /
каналов классов C, D, E и F.
Таблица 2. Хронологическая таблица принятия категорий СКС
Категория
СКС
|
Диапазон
частот
|
Приложения,
под которые разрабатывались категории
|
Год принятия
стандарта
|
Категория 3
|
16 МГц
|
Ethernet,
10Base-T
|
1991
|
Категория 4
|
20 МГц
|
Token Ring
16Мбит/с
|
1993
|
Категория 5
|
100 МГц
|
100Base-TX
(Fast Ethernet) АТМ 155
|
1995
|
Категория 5E
|
100 МГц
|
100Base-TX
(Fast Ethernet) 1000Base-T (Gigabit Ethernet)
|
1999
|
Категория 6 Категория
7
|
200 МГц 600 МГц
|
Gigabit
Ethernet 1000Base-TX
Предложений нет
|
2002
|
Как видно из приведенной таблицы, выбор категории СКС под
текущие приложения обеспечивает срок службы не более двух - трех лет.
Исключение составляет категория 5, которая продержалась без изменений четыре
года.
Следует отметить, что за десять лет меняется не менее семи
поколений компьютеров и три поколения сетевых устройств. Тенденция развития
информационных технологий на рубеже 2000 годов показывает, что темпы увеличения
объема передаваемых данных в локальных сетях не уменьшаются, а возрастают. СКС
призвана обеспечить десятилетний срок службы без замены кабелей горизонтальной
подсистемы.
4.2.2 Выбор способа управления сетью
Каждая организация формулирует собственные требования к
конфигурации сети, определяемые характером решаемых задач. В первую очередь
необходимо определить, сколько человек будут работать в сети. От этого решения
будут зависеть многие этапы создания сети.
Количество рабочих станций напрямую зависит от предполагаемого
числа сотрудников. В нашем случае это 55 сотрудников, и соответственно 55
рабочих станций. Другим фактором является иерархия компании. Для фирмы с
горизонтальной структурой, где все сотрудники должны иметь доступ к данным друг
друга, оптимальным решением является простая одноранговая сеть. Фирме,
построенной по принципу вертикальной структуры, в которой точно известно, какой
сотрудник и к какой информации должен иметь доступ, следует ориентироваться на
более дорогой вариант сети - с выделенным сервером. Только в такой сети
существует возможность администрирования прав доступа.
В нашем проекте на предприятии имеется 55 рабочих станции,
которые требуется объединить в корпоративную сеть. Следуя из схемы выбора типа
сети, решаем, что в нашем случае требуется установка сервера, так как во-первых
мы должны обеспечить вертикальную структуру (то есть разграниченный доступ к
информации) и во-вторых количество рабочих станций предполагает управление
сетью с выделенным сервером.
4.2.3 Выбор комплектующих
Активное сетевое оборудование
В качестве активного сетевого оборудования предлагается
использовать оборудование фирм D-link или Cisco, которые зарекомендовали себя с самой лучшей стороны и являются
одними из наиболее качественных продуктов на мировом рынке.
Коммутация зарекомендовала себя как наиболее экономичная и
гибкая технология, обеспечивающая увеличение полосы пропускания и повышение
управляемости сети на всех уровнях; к тому же ее внедрение сопряжено с
минимальными перестройками в сети.
В качестве коммутаторов предлагается использовать коммутаторы
D-link модели DES-3223S.
DES-3226 - это высокопроизводительный управляемый
коммутатор уровня 2, представляющий собой идеальное решение для небольших
рабочих групп. Коммутатор имеет 24 порта 10/100Mbps Fast Ethernet и дополнительно мо-жет
быть укомплектован модулями 100FX или Gigabit Ethernet, необходимыми для
подключения высокоскоростного оборудования и обеспечивающими дополнительную
гибкость коммутатору.
Широкая поддержка IEEE спецификаций позволяет данному коммутатору
успешно использовать spanning tree (802.1d) - позволяет предотвращать петли за счет
установки обратного соединения, VLANs (802.1q), сетевое управ-ление SNMP/ RMON/BOOTP/ Telnet/Web), Quality of Service (802.1p) - позволяет
приоритизировать трафик, IGMP - контролировать широковещательный трафик.
Характеристики Стандарты
• IEEE802.3 10BASE-T Ethernet (медь-витая пара)
• IEEE802.3u 100BASE-TX Fast Ethernet
(медь-витая пара)
• IEEE802.3u 100BASE-FX Fast Ethernet
(оптика)
• IEEE802.3z 1000BASE-SX Gigabit Ethernet
(оптика)
• IEEE802.3ab 1000BASE-T Gigabit Ethernet
(медь-витая пара)
• ANSI/IEEE802.3 автоопределение скорости
• IEEE802.3x Flow Control
• IEEE802.1p Приоритезация трафика
• IEEE802.1q VLAN - виртуальные сети
• IEEE802.1d Spanning Tree
Скорость подключения
• Ethernet:
Mbps (полу-дуплекс)
Mbps (полный дуплекс)
• Fast Ethernet:
100 Mbps (полу-дуплекс)
Mbps (полный дуплекс)
• Gigabit Ethernet:
2000Mbps (полный дуплекс)
Коррекция полярности подключения RX - автоматически
Производительность
• Пропускная способность 8,8 Gb
• Метод передачи - запомнить-и-передать (store&forward)
• Таблица MAC-адресов 8К
• Размер буфера - 8Mb
Обучаемость - динамическое и статическое (пользователем)
обновление таблицы MAC-адресов
Управление
• Поддержка управления по SNMP, Web, RMON, Telnet
• RMON-группы 1, 2, 3, 9 (Alarm,
Statistics, History, Event)
• MIB - MIB-II (RFC 1213), Bridge MIB (RFC
1493), RMON MIB (RFC 1757), VLAN MIB (RFC 2674), IGMP MIB, En-tity MIB (RFC
2737), IF MIB (RFC 2233), Ethernet-like MIB(RFC2358), D-Link enterprise MIB
• 1 порт для подключения консоли RS-232
Размеры и питание
• Питание - 100-240VAC, 50/60Hz
• Потребляемая мощность - 30-42 Watts (max.)
• Габаритные размеры - 441 x 207 x 44 mm 19» - для установки в
шкаф, 1U
высота вес 2.8 kg
Сервера.
В качестве серверного оборудования (серверов) предлагается
использовать оборудование фирмы Hewlett Packard семейства ProLiant DL.
Эти компактные стоечные серверы, оптимизированные для
создания кластеров, обладают высокой гибкостью и управляемостью и идеально
подходят для сред с большим количеством серверов и внешними системами хранения
данных, информационных центров и эффективных кластерных приложений, что
позволяет заказчику подобрать модели, максимально соответствующие его
требованиям. Благодаря свободному доступу к компонентам и оптимизированной
разводке кабелей они очень просты в развертывании и обслуживании.
Для обеспечения разрабатываемой сети требуется один сервер HP
ProLiant DL380 G3.
Это недорогой, но мощный двухпроцессорный сeрвeр приложений
высотой 2U, прeдназначeнный для монтажа в стойку. Сфера его использования - от
небольших компаний до центров обработки данных, предъявляющих высокие
требования к производительности и надежности сeрвeра.
В этой модели стоечного сeрвeра срeднeго класса используется
новый высокопроизводительный чипсeт, обeспeчивающий ускоренный обмен данными с
памятью и болee высокую производительность подсистемы ввода-вывода по сравнению
с аналогичными сeрвeрами прeдыдущeго поколeния.
Средства повышения надежности, включающиe в сeбя наличиe
рeзeрвных вентиляторов с возможностью «горячeй» замeны, «горячee»
рeзeрвированиe модулей памяти, интегрированный RAUD, а такжe возможность
«горячeй» замeны дисков и PCI-плат дают возможность использования этого сeрвeра
на самых критических участках работы прeдприятия.
Источники бесперебойного питания.
В качестве оборудования бесперебойного питания предлагается
использовать оборудование фирмы APC семейства Smart-UPS RM.
Продукты этого семейства отличаются выдающейся
производительностью и легендарной надежностью, а также оснащаются портом USB,
передней панелью стандартного белого цвета и обладают немного повышенной
выходной мощностью по сравнению со своими предшественниками - моделями
мощностью 700 и 1400 ВА. Высокопроизводительные ИБП с гибкими возможностями
монтажа для защиты электропитания серверов и корпоративных сетей. ИБП высотой 2U
продолжают оставаться основным продуктом для большинства приложений, включая
приложения с жесткими требованиями к стоимости оборудования. Модели высотой 2U
предназначены для эксплуатации в оптимизированных по плотности средах с
глубокими стойками (800, 1000, 1100 мм), где основным преимуществом устройства
является минимальная высота.
Для обеспечения разрабатываемой сети требуется два ИБП
Smart-UPS RM 2U.
Пассивное оборудование.
Из пассивного сетевого оборудования предлагается использовать
телекоммуникационные шкафы (стойки) 19»
Телекоммуникационные шкафы служат для размещения оптического
и электротехнического оборудования различных стандартов. Наиболее широкие
возможности по функциональному применению представляет серия
телекоммуникационных шкафов, предназначенных для размещения различного
оборудования вплоть до компьютеров промышленного назначения. Оборудование
располагается на вертикальном перфорированном профиле или на 19» полках.
Перфорация соответствует стандарту DIN 41494, Part1. В перфорированный профиль
устанавливаются любые стандартные устройства 19». Глубина постановки профиля
может изменяться в зависимости от устанавливаемого оборудования. Доступны
различные варианты исполнения по глубине, классу защищенности и конструкции
дверей. Несколько отдельных шкафов, объединенных механически в жесткую
конструкцию, могут составить единый комплекс. Максимально возможное количество
установочных мест (Unit) увеличено до 45 U (высота шкафа 2200 мм).
Мною выбран напольный вариант 45U. Конструкция шкафа
каркасная. Передняя и задняя двери взаимозаменяемы. Доступ к оборудованию,
установленному в шкафу, может осуществляться с четырех сторон. Двери имеют как
левую, так и правую навеску. Шкаф устанавливается на регулируемых по высоте
ножках или колесах. Ввод кабеля производится через основание шкафа.
Предусмотрена возможность ввода кабеля через верхнюю крышку. Имеется встроенная
система вентиляции.
Для обеспечения разрабатываемой сети требуется два
телекоммуникационных шкафа 19» 45U.
.2.4 Выбор программного обеспечения
Обзор операционных систем.
Практически все современные ОС поддерживают работу в сети.
Однако в качестве ОС для сервера чаще всего используются Nowell NetWare, Unix,
Linux и Windows 2000 Server.NetWare.
Одна из первых коммерческих сетевых ОС, позволивших строить
сети произвольной топологии, состоящих из разнородных компьютеров. Если раньше
сетевые ОС сильно зависели от конкретной конфигурации сети, то ОС Nowell
NetWare стала первой универсальной сетевой ОС. Любая сетевая карта, имеющая
драйвер ODI (Open Datalink Interface) может использоваться в сетях Nowell.
Благодаря такой универсальности ОС быстро завоевала рынок, и долгое время
оставалась основной ОС для локальных сетей. С 1990 года даже фирма IBM стала
перепродавать NetWare, и по сегодняшний день эта ОС используется достаточно
широко.
Текущей версией ОС является NetWare 6.x. Помимо удобного
графического интерфейса, эта версия NetWare имеет ряд других характерных
особенностей:
) NetWare 6.0 использует в качестве основного сетевого
протокола TCP/IP (протокол, используемый в сети Internet). Если предыдущие
версии NetWare работали на собственном протоколе фирмы Novell - протоколе
IPX/SPX, а протокол ТСР/IР мог использоваться только поверх IPX/SPX (также
эмулировался NetBIOS), то теперь NetWare 5.0 предлагает следующие варианты:
· только протокол TCP/IP
· протокол TCP/IP в режиме «совместимости»
(может использоваться IPX/SPX поверх ТСР/IР)
· совместное использование протоколов TCP/IP
и IPX/SPX (оба протокола работают
параллельно и независимо)
· только протокол IPX/SPX.
) В NetWare используется служба каталога NDS (Nowell
Directory Service), которая представляет собой единую распределенную базу
данных в виде дерева каталогов, в которой описываются все объекты сети
(пользователи, группы пользователей, принтеры и т.д.), с указаниями прав
доступа. База данных NDS является общей для всей сети. Если в предыдущих
версиях NetWare 3.x и 2.x необходимо было создавать учетную запись пользователя
(имя и пароль) на каждом сервере сети, то в NetWare 6.0 достаточно один раз зарегистрировать
пользователя в NDS и он получит доступ ко всем серверам сети.
) В NetWare используется мощная и гибкая модель разграничения
доступа. Система безопасности подключения к сети включает в себя: ограничения
на срок действия и частоту смены пароля, запрет на повторное использование
старых паролей, ограничение времени суток и адресов компьютеров, с которых
пользователь может подключаться к сети, запрет одному и тому же пользователю на
подключение к сети с нескольких машин одновременно. Система безопасности
файловой системы позволяет для каждого файла и каталога назначить различным
пользователям любую комбинацию следующих прав доступа: чтение, запись,
создание, удаление, модификация (имени файла и его атрибутов), просмотр
(содержимого каталога), изменение прав доступа, супервизор (полный набор всех
прав). Аналогично регулируется доступ и к любым другим объектам NDS (права на
просмотр, создание, удаление, переименование объектов, чтение, запись,
сравнение и добавление их свойств, права супервизора). NetWare имеет также
двухстороннюю систему аудита: внешние независимые аудиторы могут анализировать
события в сети, не имея доступа к секретным данным, в то же время,
администраторы сети не имеют доступа к данным аудита.
) В NetWare 6.0 поддерживаются как традиционные тома (аналог
логических дисков), так и тома NSS (Novell Storage Services). Традиционные тома
обеспечивают надежную файловую систему, основанную на обработке транзакций (при
сбое, файлы восстанавливаются в состояние «до сбоя»), сжатие файлов и систему
зеркального отражения дисков (данные параллельно пишутся на два различных
винчестера: при повреждении одного, информация будет считана с другого). Тома
NSS могут иметь размер до 8 терабайт и хранить до 8 триллионов файлов. Доступ к
томам NSS происходит гораздо быстрее, чем к традиционным томам. В качестве тома
NSS может монтироваться CD-ROM и разделы DOS.
) В NetWare 6.0 реализована распределенная система печати
NDPS (Novell Distributed Print Services), которая была разработана совместно с
компаниями Hewlett-Packard и Xerox и позволяет реализовать:
двухсторонний обмен данными (компьютер имеет возможность
передавать данные на принтер, и принтер имеет возможность передавать данные в
компьютер).
оповещение о событиях (принтер по сети имеет возможность
оповестить технический персонал, например о том, что кончился тонер).
автоматическая загрузка драйверов принтера, шрифтов и др.
ресурсов на компьютеры, которым требуется производить распечатку документов.
) В комплект поставки NetWare 6.0 входит мощный и простой в
использовании Web-сервер FastTrack Server for NetWare, тесно интегрированный с
NDS и поддерживающий большинство языков разработки приложений для Web.
FastTrack Server призван заменить собой Novell Web Server, использовавшийся в
предыдущих версиях NetWare.
) В состав сервера NetWare 6.0 входит виртуальная машина
Java, что позволяет запускать приложения и апплеты Java на сервере. Например,
графическая утилита управления сервером ConsoleOne написана на языке Java.
Семейство ОС Windows 2000.2000 Server
Включает основанные на открытых стандартах службы каталогов,
Web, приложений, коммуникаций, файлов и печати, отличается высокой надежностью
и простотой управления, поддерживает новейшее сетевое оборудование для
интеграции с Интернетом. В Windows 2000 Server реализованы:
· службы Internet Information
Services 5.0 (IIS)
· среда программирования Active Server
Pages (ASP)
· XML-интерпретатор
· архитектура DNA
· модель СОМ +
· мультимедийные возможности
· поддержка приложений, взаимодействующих со
службой каталогов
· Web-папки
· печать через Интернет
Минимальные аппаратные требования Windows 2000
Server:совместимый процессор с тактовой частотой не ниже 133 МГц - Windows 2000
Server поддерживает до 4 процессоров:
Мб ОЗУ (рекомендуется 256 Мб). Большее количество памяти значительно
увеличивает быстродействие системы. Windows 2000 Server поддерживает ОЗУ
объемом до 4 Гб;
Гб свободного дискового пространства - для установки Windows
2000 Server требуется около 1 Гб. Дополнительное место на диске необходимо для
установки сетевых компонентов.2000 Advanced Server
Эта ОС, по сути, представляет собой новую версию Windows NT
Server 4.0 Enterprise Edition. Windows 2000 Advanced Server - идеальная система для работы с
требовательными к ресурсам научными приложениями и приложениями электронной
коммерции, где очень важны масштабируемость и высокая производительность[1].
Аппаратные требования для Windows 2000 Advanced Server не отличаются от
требований для Windows 2000 Server, однако эта более мощная ОС включает
дополнительные возможности:
· балансировку сетевой нагрузки;
· поддерживает ОЗУ объемом до 8 Гб на
системах с Intel Page Address Extension (РАЕ);
· поддерживает до 8 процессоров.
Windows 2000 Datacenter Server
Это серверная ОС, еще больше расширяющая возможности Windows
2000 Advanced Server. Поддерживает до 32 процессоров и больший объем ОЗУ, чем
любая другая ОС Windows 2000:
· до 32 Гб для компьютеров с процессорами Alpha;
· до 64 Гб для компьютеров с процессорами Intel.
Вопрос об установке Windows 2000 Datacenter Server следует
рассматривать только в том случае, если вам требуется поддерживать системы
оперативной обработки транзакций (online transaction processing, OLTP), крупные
хранилища данных или предоставлять услуги Интернета.
ОС
Unix, Linux.
ОС Unix является старейшей сетевой операционной системой
(создана в 1969 г.) и по сегодняшний день использующейся в Internet. Существует
множество клонов Unix - практически ничем не отличающихся друг от друга
операционных систем разных производителей: FreeBSD, BSD Unix (университет
Berkley), SunOS, Solaris (фирма Sun Microsystems), AIX (фирма IBM), HP-UX
(фирмы Hewlet Packard), SCO (фирмы SCO) и др. Самым популярным клоном Unix
пожалуй является FreeBSD, в основном из-за того, что ее исходные тексты
распространяются свободно, что позволяет произвольно переделывать ОС «под
себя», а также тестировать систему на отсутствие ошибок и «черного хода». В
связи с этим, FreeBSD содержит гораздо меньше ошибок, чем коммерческие варианты
Unix, т. к. отладкой и устранением ошибок занималась не одна компания, а все
программистское сообщество.
К клонам Unix можно отнести и Linux, однако в последнее время
он выделился в самостоятельную операционную систему и продолжает бурно
развиваться. Существует множество дистрибутивов (пакетов установки) Linux
различных фирм. Самые популярные из них - это Red Hat Linux (США) и Mandrake
(Европа). Существуют также Slackware Linux, Corel Linux, Caldera OpenLinux,
Debian Linux, SuSE Linux, Black Cat Linux, Connectiva Linux и др. Структура
файловой системы, система разграничения доступа и основные команды в Linux и
Unix сходны. С точки зрения пользователя, основным отличаем Linux от ранних
версий Unix является удобный графический интерфейс, во многом сходный с
интерфейсом Windows (особенно у графической рабочей среды Gnome), а основным
преимуществом, по сравнению с Windows, - большая надежность и скорость работы,
большая защищенность файловой системы (в том числе и от вирусов) и более
профессиональные средства работы с локальной сетью и Internet. Для Linux существует
и разрабатывается большое количество программного обеспечения: от офисного
пакета Star Office и графического редактора Corel Draw, до мощных СУБД (DB2
фирмы IBM) и систем разработки программ на C++, Perl, Java и др. И хотя пока
еще рано рекомендовать неопытному пользователю переходить на Linux (в основном
из-за проблем с использованием русских шрифтов в приложениях - отсутствует
единая прозрачная схема настройки), тем не менее, в будущем, Linux возможно
займет значительное место в нише ОС для домашних компьютеров.
5. Информационная безопасность сети
В этом разделе рассматриваются вопросы обеспечения
безопасности локальной сети. Так же уделено внимание выбору средств реализации
информационной безопасности и проблемы защиты сети от возможного разрушения.
Внешние угрозы.
В настоящее время проблема внешних угроз безопасности
локальных сетей крайне обострилась. Простота доступа в Интернет, как оказалось,
имеет обратную «темную» сторону. По сути, сеть, подключенная к Интернет,
доступна любому достаточно опытному пользователю, «вооруженному»
соответствующим инструментарием (разумеется, в том случае, если не разработана
четкая иерархия мер соблюдения безопасности, которая планомерно внедряется на
всех уровнях сети - от отдельной рабочей станции до выделенного сервера). Ниже
перечислены возможные опасности, связанные с внешним вторжением:
несанкционированный доступ посторонних лиц к ключам и паролям
вашей сети;
атаки DoS (Denial of Service, отказ в обслуживании);
имитация IP-адреса;
компьютерные вирусы и черви;
активные действия хакеров;
программы троянских коней;
возможные сценарии «взлома» локальных серей;
возможные угрозы при эксплуатации беспроводных сетей.
Внутренние угрозы.
Источником внутренних угроз являются, как правило, сами
пользователи. Нередка ситуация, когда сами работники той или иной компании
воруют ценные сведения или даже присваивают деньги фирмы, воспользовавшись
информацией, которая циркулирует во внутренних сетях компании. Поэтому
вопросам, связанным с внутренними угрозами следует уделить самое пристальное
внимание.
В следующем перечне указаны некоторые источники внутренних
угроз:
внутренние противоречия в компании;
недовольные работники (бывшие или ещё работающие);
промышленный шпионаж;
случайные сбои и нарушения.2000 Advanced Server имеет средства
обеспечения безопасности, встроенные в операционную систему. Это множество
инструментальных средств для слежения за сетевой деятельностью и использованием
сети. ОС позволяет просмотреть сервер и увидеть, какие ресурсы он использует;
увидеть пользователей, подключенных к настоящему времени к серверу и увидеть,
какие файлы у них открыты; проверить данные в журнале безопасности; записи в
журнале событий; и указать, о каких ошибках администратор должен быть
предупрежден, если они произойдут.
Windows 2000 обладает развитыми средствами шифрования
(криптографии) данных с открытым ключом (ассиметричное шифрование). Это
интегрированный набор служб и инструментов администрирования, предназначенных
для создания, реализации и управления приложениями, использующими алгоритмы
шифрования с открытым ключом.
Шифрование с открытым ключом отличается от традиционного
шифрования с секретным ключом тем, что в последнем стороны обменивающиеся
зашифрованными данными должны были знать общий секретный ключ (т.е.
зашифровывающий и расшифровывающий ключ совпадали), а в шифровании с открытым
ключом зашифровывающий и расшифровывающий ключ не совпадают. Шифрование
информации является одностороннем процессом: открытые данные шифруются с
помощью зашифровывающего ключа, однако с помощью того же ключа нельзя
осуществить обратное преобразование и получить открытые данные. Для этого
необходим расшифровывающий ключ, который связан с зашифровывающим ключом, но не
совпадает с ним. Подобная технология шифрования предполагает, что каждый пользователь
имеет в своем распоряжении пару ключей - открытый ключ (public key) и личный (или закрытый private key) ключ. Свободно
распространяя открытый ключ, вы даете возможность другим пользователям посылать
вам зашифрованные данные, которые могут быть расшифрованы с помощью известного
только вам ключа. Наиболее яркими проявлениями преимуществ шифрования с
открытым ключом являются такие технологии, как цифровые или электронные
подписи, сертификаты подлинности, доменные политики безопасности и т.д.
Также Windows 2000 предоставляет возможность еще больше
защитить зашифрованные файлы и папки на томах NTFS благодаря использованию
шифрованной файловой системы EFS (Encrypting File System). При работе в среде Windows 2000 можно работать
только с теми томами, на которые есть права доступа. При использовании
шифрованной файловой системы EFS файлы и папки будут зашифрованы с помощью пары
ключей. Любой пользователь, который захочет получить доступ к определенному
файлу, должен обладать личным ключом, с помощью которого данные файла будут
расшифровываться.
Исходя из всего вышеперечисленного, мы видим, что встроенные
программные средства безопасности и аудита Windows 2000 являются наиболее
оптимальным решением для обеспечения необходимого уровня безопасности данных
внутри сети, как с технической, так и с экономической сторон.
Для обеспечения безопасности сети от попыток проникновения
извне в нашем проекте будет использован аппаратный комплекс межсетевого экран
(IOS Firewall Feature Set) на базе устройства Cisco 2621 с использованием
стандарта DES.
Стандарт шифрования данных DES (Data Encrypting Standard), который ANSI называет Алгоритмом
шифрования данных DEA (Data Encrypting Algorithm), а ISO - DEA-1, за 20 лет стал
мировым стандартом. За годы своего существования он выдержал натиск различных
атак и при известных ограничениях все еще считается криптостойким.
DES представляет собой блочный шифр, шифрующий
данный 64-битовыми блоками. С одного конца алгоритма вводиться 64-битовый блок
открытого текста, а с другого конца выходит 64-битный блок шифротекста.
DES является симметричным алгоритмом: для шифрования
и дешифрования используется одинаковые алгоритм и ключ (за исключением
небольших различий в использовании ключа). Длина ключа равна 56 битам. (Ключ
обычно представляется 64-битным числом, но каждый восьмой бит используется для
проверки четности и игнорируется.) Ключ, который может быть любым 56-битовым
числом, можно изменить в любой момент времени. Криптостойкость полностью
определяется ключом. Фундаментальным строительным блоком DES является
комбинация подстановок и перестановок. DES состоит из 16
циклов.является шифром Фейстеля и сконструирован так, чтобы выполнялось
полезное свойство: для шифрования и дешифрования используется один и тот же
алгоритм. Единственное отличие состоит в том, что ключи должны использоваться а
обратном порядке.
То есть если при шифровании использовались ключи K1,
K2, …, K16, то ключами дешифрования
будут K16, K15, …, K1. Алгоритм использует только стандартную
арифметику 64-битовых чисел и логические операции, поэтому легко реализуется на
аппаратном уровне.
DES работает с 64-битовыми блоками открытого текста.
После первоначальной перестановки блок разбивается на правую и левую половины
длиной по 32 бита. Затем выполняются 16 преобразований (функция f), в которых данные
объединяются с ключом. После шестнадцатого цикла правая и левая половины
объединяются, и алгоритм завершается заключительной перестановкой (обратной по
отношению к первоначальной). На каждом цикле биты ключа сдвигаются, и затем из
56 битов ключа выбираются 48 битов. Правая половина данных увеличивается до 48
битов с помощью перестановки с расширением, объединяется посредством XOR с 48
битами смещенного и перестановленного ключа, проходит через S-блоков, образуя
32 новых бита, и переставляются снова. Эти четыре операции и выполняются
функцией f.
Затем результат функции f объединяется с левой
половиной с помощью другого XOR. В итоге этих действий появляется новая правая
половина, а старая становится новой левой половиной. Эти действия повторяются
16 раз, образуя 16 циклов DES.
Исходя из всего вышеперечисленного, я пришел к выводу, что
встроенные аппаратные средства безопасности и шифрования на базе устройства D-link DFL-600 с использованием
стандарта DES отвечают мировым стандартам в области защиты информации, и
соответственно являются прекрасным решением как для обеспечения безопасности
ЛВС от попыток проникнуть извне, так и для обмена зашифрованной информацией
между сетями.
Общие характеристики DFL-600.
D-Link DFL-600 легко развертываемый, аппаратный межсетевой
экран с поддержкой VPN, разработанный для сетей малых предприятий, рабочих групп и
отделов, требующих наилучшего соотношения цена / производительность. Это
устройство является мощным решением по обеспечению безопасности, которое
предоставляет интегрированные функции NAT, межсетевого экрана, защиту от атак DoS и поддержку VPN. Внутри компактного,
легко размещающегося корпуса, межсетевой экран VPN DFL-600 имеет 1 порт WAN, 4 порта LAN, которые исключают
необходимость в использовании внешнего концентратора или коммутатора и порт DMZ для поддержки локальных
почтовых, Web и FTP серверов. Благодаря интуитивно понятному Web-интерфейсу управления и
простоте процесса, мастер установки D-Link позволит пользователям выполнить настройку
устройства за несколько минут.
Многофункциональное устройство обеспечения безопасности DFL-600 является эффективным
межсетевым экраном с поддержкой VPN для малого и среднего бизнеса, т.к. обеспечивает
поддержку технологии Stateful Packet Inspection (SPI), обнаружения и блокировки
вторгающихся пакетов, VPN, физического порта DMZ, multiple-mapped Ips и множества виртуальных
серверов, т.е. всего, что обычно можно найти в межсетевых экранах уровня
предприятия. DFL-600 легко подключает ваш офис к кабельному или DSL модему, через порт
10/100BASE-TX WAN.
Надежная защита от атак хакеров
DFL-600 имеет расширенные функции обеспечения
безопасности, которые обычно отсутствуют в резидентных шлюзах. Он защищает сеть
от атак Denial of Service (DoS) и обеспечивает стабильность работы сети посредством анализа
содержимого пакетов (Stateful Packet Inspection). Устройство может
обнаруживать атаки хакеров и отбрасывать вторгающиеся пакеты, предотвращая их
проникновение в сеть.
DFL-600 защищает сеть от таких атак как SYN Flood, Ping of Death, Spoof, Tear Drop, ICMP Flood, UDP Flood и т.д. Его можно
настроить на протоколирование этих атак, определение IP адреса, с которого
велась атака и посылку предупреждений об атаках в виде отчета по электронной
почте, также можно задать правила ограничения потока данных с указанных IP адресов.
Поддержка высокопроизводительных VPN туннелей на основе IPSec DFL-600 имеет встроенную
поддержку VPN, что позволяет создавать множество туннелей IPSec для удаленных офисов.
Реализация IPSec в DFL-600 использует шифрование DES, 3DES и управление ключами Automated Key Management согласно спецификации IKE/ISAKMP. Туннель VPN может быть активирован с
DFL-600 к удаленному офису
для целостной передачи потока данных между двух точек для мобильных
пользователей использующих шифрование triple DES. Это позволяет
пользователям конфиденциально получать доступ и передавать важную информацию.
Множество туннелей VPN могут быть легко созданы без необходимости определения правил
протокола обмена ключами (Internet Key Exchange - IKE).
Списки управления доступом (ACL)
Блокирование URL - это одна из основных функций, поддерживаемых DFL-600. Она позволяет
ограничивать доступ к нежелательным ресурсам Интернет. Лог-файлы Интернет
трафика, предупреждения об атаках из Интернет и уведомления об использовании
ресурсов Интернет сохраняются и могут быть отправлены в виде отчета по
электронной почте.
DFL-600 поддерживает аутентификацию Radius. Таким образом, можно
использовать существующий сервер Radius и информацию о пользователях. Он также
поддерживает аутентификацию на основе сертификатов X.509, используя набор PKIX-совместимых сертификатов
и стандартов проверки полномочий.
Функция X.509 будет доступна в следующей версии ПО.
Уведомление по электронной почте
Сетевые администраторы могут задать набор почтовых адресов (e-mail) для получения
предупреждающих сообщений от DFL-600. При обнаружении попытки вторжения, DFL-600 запротоколирует ее и
отправит предупреждающее сообщение на адрес электронной почты. Администратор
может проверить лог-файл на маршрутизаторе, чтобы выяснить, что произошло.
Выделенный порт DMZ и встроенный 3-х портовый коммутатор Fast Ethernet DFL-600 имеет 3 10/100BASE-TX порта LAN с автоопределением,
которые подключаются к внутренней сети офиса и выделенный порт DMZ, позволяющий организовать
доступ к почтовому, Web или FTP серверу компании непосредственно из Интернет. На DFL-600 можно создать
дополнительный порт DMZ, назначив любой из 3-х портов LAN портом DMZ. Функция DMZ очень полезна, т. к.
уменьшает количество трафика от сервера во внутренней сети и защищает ее
компьютеры от атак из Интернет, скрывая их за межсетевым экраном.
Простота установки DFL-600 имеет удобный Web- интерфейс управления с
защитой паролем, доступ к которому можно получить с любого компьютера с
браузером. Более того, правила работы с входящим и выходящим потоком данных
межсетевого экрана наряду с другими параметрами конфигурации устройства
полностью задаются средствами Web - интерфейса.
Общие характеристики DFL-600:
Порт WAN
/100BASE-TX порт
Поддержка автосогласования NWay
Порты LAN:
3 10/100BASE-TX LAN порта
10/100BASE-TX DMZ порт
Авто MDI/MDIX, автосогласование NWay для всех портов
Кнопка сброса
Сброс установок к настройкам по умолчанию
Память:: 32Mбайт: 8Mбайт
ПоддержкаVPN
L2TP/PPTP/IPSec tunnelingTP/PPTP/IPSec
pass-through
Алгоритмы хешированияMD5/AH-MD5SHA1/AH-SHA1
Алгоритмы шифрования/3DES
Управление ключами
Вручную
Internet Key Exchange (IKE)Security Association и Key Management Protocol
(ISAKMP)
Механизмы аутентификации/PKI *
Поддержка аутентификации RADIUS (RADIUS клиент)
Поддержка аутентификации на основе сертификатов X.509
X.509 Public Key Infrastructure Certificate и CRL Profile (RFC
2489).509 Public Key Infrastructure Certificate Management Protocols (RFC
2510).509 Certificate Request Message Format (RFC 2511).509 Public Key
Infrastructure Online Certificate Status Protocol (OCSP) (RFC 2560)Management
Messages over CMS (RFC 2797Функции и протоколы
Статическая маршрутизация
Динамическая маршрутизация *, RIP-2 *Multicast *, TCP, ICMP,
AR* Динамическая маршрутизация (RIP-1, RIP-2, IP multicast) будет доступна в
следующей версии ПО.
Функции межсетевого экрана
На основе Интернет-шлюза/NAPTALG
Стек протокола H.323
File Transfer Protocol (FTP)Initiation Protocol
(SIP) *Description Protocol (SDP)Time Transport Protocol (RTP)Relay Chat
(IRC)Gaming Protocol3/ 2.0 Video/Audio receive/send: Chat and File SendPacket
Inspection (SPI)адрес и номер порта
Счетчик пакетов и байтов
Номер последовательности и подтверждения
Временной штамп
История изменения нагрузки
Динамическое связывание
Количество политик (Policy)Filter Rules: 60Range Filter: 20Filter Rules:
16Filter Rules: 30of Service (DOS)FloodingHijackingAttack/OOBNukeTree SYN/FIN
(Jackal)/ FIN (zero-sized DNS zone payload)(UDP 31337)DropFloodingHorseFlooding
UDP Scan
ARP Attack
Блокировка пользователей
(Default blocking port number for each server)
NNTP сервер - TCP Порт(ы): 119сервер - TCP Порт(ы) - 25сервер
- TCP Порт(ы): 110, 9953 сервер - UDP Порт(ы): 27960сервер - TCP Порт(ы): 143,
220, 585, 993сервер (только активный режим) - TCP Порт(ы): 20, 21сервер - TCP
Порт(ы): 22серверсервер
Настройка и управлениеуправлениесервер / клиентдля DSL*
Система
Системные лог-файлы
Резервное копирование ПО
Уведомление по E-mail *
Удаленное управление через порт WAN
Simple Network Time Protocol (SNTP)
* Функция будет доступна в следующей версии ПО
Интерфейсы конфигурированияинтерфейс управления (через web
браузер)
Обновление ПО через Web
Физические параметры и условия эксплуатации:
Индикаторы диагностики(на устройство)/Act (порт WAN)/Act (на
внутренний порт LAN)
Размер:
(W) x 161 (D) x 35 (H) мм
Вес:
г.
Питание:
В переменного тока 2.5A
Через внешний адаптер питания
Рабочая температура:
до 45 C
Температура хранения:
до 55 C
Влажность хранения:
От 10% до 90% без образования конденсата
Рабочая влажность:
От 10% до 95% без образования конденсата
6. Расчет пропускной способности сети
Следует различать полезную и полную пропускную способность.
Под полезной пропускной способностью понимается скорость передачи
полезной информации, объем которой всегда несколько меньше полной передаваемой
информации, так как каждый передаваемый кадр содержит служебную информацию,
гарантирующую его правильную доставку адресату.
Рассчитаем теоретическую полезную пропускную способность Fast
Ethernet без учета коллизий и задержек сигнала в сетевом оборудовании.
Отличие полезной пропускной способности от полной пропускной
способности зависит от длины кадра. Так как доля служебной информации всегда
одна и та же, то, чем меньше общий размер кадра, тем выше «накладные расходы».
Служебная информация в кадрах Ethernet составляет 18 байт (без преамбулы и
стартового байта), а размер поля данных кадра меняется от 46 до 1500 байт. Сам
размер кадра меняется от 46 + 18 = 64 байт до 1500 + 18 = 1518 байт. Поэтому для
кадра минимальной длины полезная информация составляет всего лишь 46 / 64 ≈
0,72 от общей передаваемой информации, а для кадра максимальной длины 1500 /
1518 ≈ 0,99 от общей информации.
Чтобы рассчитать полезную пропускную способность сети для
кадров максимального и минимального размера, необходимо учесть различную
частоту следования кадров. Естественно, что, чем меньше размер кадров, тем
больше таких кадров будет проходить по сети за единицу времени, перенося с
собой большее количество служебной информации.
Так, для передачи кадра минимального размера, который вместе
с преамбулой имеет длину 72 байта, или 576 бит, потребуется время, равное 576
bt, а если учесть межкадровый интервал в 96 bt то получим, что период
следования кадров составит 672 bt. При скорости передачи в 100 Мбит/с это
соответствует времени 6,72 мкс. Тогда частота следования кадров, то есть
количество кадров, проходящих по сети за 1 секунду, составит 1/6,72 мкс ≈
148810 кадр/с.
При передаче кадра максимального размера, который вместе с
преамбулой имеет длину 1526 байт или 12208 бит, период следования составляет 12
208 bt + 96 bt = 12 304 bt, а частота кадров при скорости передачи 100 Мбит/с
составит 1 / 123,04 мкс = 8127 кадр/с.
Зная частоту следования кадров f и размер полезной информации
Vп в байтах, переносимой каждым кадром, нетрудно рассчитать полезную
пропускную способность сети: Пп (бит/с) = Vп · 8 · f.
Для кадра минимальной длины (46 байт) теоретическая полезная
пропускная способность равна
Ппт1 = 148 810 кадр/с = 54,76 Мбит/с,
что составляет лишь немногим больше половины от общей
максимальной пропускной способности сети.
Для кадра максимального размера (1500 байт) полезная
пропускная способность сети равна
Ппт2 = 8127 кадр/с = 97,52 Мбит/с.
Таким образом, в сети Fast Ethernet полезная пропускная
способность может меняться в зависимости от размера передаваемых кадров от
54,76 до 97,52 Мбит/с.
Заключение
В данном дипломном проекте рассмотрены варианты реконструкции
компьютерной сети отдела Вневедомственной охраны при ОВД г. Лангепаса, состоящего
из административного здания и пульта централизованной охраны. В дипломе
произведен выбор необходимой аппаратуры и программного обеспечения, решены
вопросы информационной безопасности, так же решена проблема объединения
компьютерной сети пульта централизованной охраны с сетью административного
здания. Это позволит инженерам ПЦО и администратору сети более оперативно
вносить изменения в базы данных ПЦО и получать отчеты о работе ПЦО, постоянно
контролировать состояние серверов. Так же в диплома проведены необходимые
расчеты, построена структурная схема.
Библиография
локальный кабельный сеть безопасность
1.
Олифер
В.Г., Олифер Н.А. Компьютерные сети. Принципы, технологии, протоколы. - СПб.:
Издательстьво «Питер», 2000. - 672 с.: ил.
2.
Олифер
В.Г., Олифер Н.А. Высокоскоростные технологии ЛВС. -
http://citforum.nis.nnov.su/nets/lvs/contents.shtml
3.
Сетевое
оборудование IOLANET. - http://www.ixbt.com/comm/iola.html
4.
IOLA: решение для сетей. - http://www.ixbt.com/comm/iola_net.html
5.
Типовые
схемы организации связи с применением модемов xDSL. -
http://www.nis.nnov.su/main/? id=339
6.
Технологии
DSL. - http://www.xdsl.ru/dsl.htm
7.
Брандмауэры,
или запирайте вашу дверь. // Сети, №2, 1997, С. 88-99. -
http://lib.ru/SECURITY/88.txt
8.
Вэк
Д. Карнахан Л. Содержание сети вашей организации в безопасности при работе с
Интернетом (Введение в межсетевые экраны (брандмауэры)). -
http://www.csu.ac.ru/cf/internet/nist/index.shtml
9.
Лошин
П. Преобразование сетевых адресов (NAT). // Computerworld, №10, 2001, С. 33-41. -
http://www.osp.ru/cw/2001/10/033_0.htm
10.Снайдер Дж. Как построить VPN. // Сети, №3, 1998, С.
106-111. - http://www.osp.ru/nets/1998/03/106.htm
11.Лукин В. Обзор устройств VPN начального уровня. -
http://www.ixbt.com/comm/vpn1.shtml
12.Лукин В. Гигабитные шлюзы VPN - краткий обзор. -
http://www.ixbt.com/comm/vpn2.shtml
13.Снайдер Дж. VPN: поделенный рынок. // Сети, №11, 1999., С.
18-30. - http://www.osp.ru/nets/1999/11/18.htm