CC BY
27
основе маршрутизаторов. Протокол может быть задан в форме IP-подсети или сетевого номера IPX. Можно, к примеру, объединить в виртуальную ЛВС всех пользователей подсети, которая была организована до использования коммутаторов.
В качестве примера можно привести сеть, где устройства, поддерживающие только IP протокол, находятся в одной VLAN, поддерживающие только IPX протокол - во второй VLAN, и тот и другой протокол - находятся в обеих сетях.
- Виртуальные сети на базе правил.
Для включения устройств в виртуальные ЛВС можно использовать все перечисленные выше способы при условии их поддержки коммутаторами. После того, как правила загружены во все коммутаторы, они обеспечивают организацию VLAN на основе заданных администратором критериев. Поскольку в таких сетях кадры постоянно просматриваются на предмет соответствия заданным критериям, принадлежность пользователей к виртуальным сетям может меняться в зависимости от текущей деятельности пользователей.
Виртуальные ЛВС на основе правил используют широкий набор критериев принадлежности к сети, включая все перечисленные выше варианты: MAC-адреса, адреса сетевого уровня, тип протокола и т.д. Возможно также использовать любые комбинации критериев для создания правил, наиболее точно соответствующих вашим задачам.
Список литературы:
1. Cisco CCENT/CCNA ICND1 100-101 Official Cert Guide WENDELL ODOM, CCIE No. 1624. - 2013. - ISBN-13: 978-1-58714-385-4.
2. Сети Ethernet. 3 часть. Metro Ethernet // Теле-Спутник. - 2008. - № 10.
3. pfSense: The Definitive Guide - The Definitive Guide to the pfSense Open Source Firewall and Router Distribution - Christopher M. Buechler and Jim Pingle. - 2009. - ISBN: 978-0-9790342-8-2.
НЕКОТОРЫЕ АСПЕКТЫ УПРАВЛЕНИЯ ИНФОРМАЦИОННЫМ ОБМЕНОМ В СЕТИ КОРПОРАТИВНЫХ ПОРТАЛОВ
© Лазарев С.А.*
Белгородский государственный национальный исследовательский университет, г. Белгород
В данной статье рассматривается прикладные аспекты создания механизма управления информационным обменом в приватной сети кор-
* Ведущий научный сотрудник учебно-научной лаборатории Информационно-измерительных и управляющих комплексов и систем, кандидат экономических наук.
поративных порталов, как формы горизонтальной интеграции распределенных информационных ресурсов участников информационной ассоциаций в закрытую виртуальную среду. Одними из ключевых исследуемых аспектов управления информационным обменом является формирование ограничений на объекты доступа (информационные ресурсы), а также назначение и проверка полномочий субъекта доступа (пользователя сети порталов). Работа по данной тематике проводится в рамках государственного задания № 8.8504.2013 Минобрнауки РФ.
Ключевые слова информационные ассоциации, сеть порталов, управление доступом, информационный обмен, корпоративный портал.
Актуальность решаемой задачи
В ближайшей перспективе, по мере развития и трансформации глобального информационного пространства, все более актуальной становиться задача комплексной интеграции распределенных информационных ресурсов, обусловленная взаимодействием компаний в рамках одной отрасли, создания некоммерческих партнерств и профессиональных ассоциаций, а также в сфере создания провайдеров оказания электронных услуг [1].
Одним из перспективных подходов в решении данной задачи является не создание мега-порталов, объединяющих и, зачастую, дублирующих информационные массивы организаций и требующих значительных ресурсов для функционирования и актуализации информации. Предполагается создание закрытой виртуальной сетевой среды - сети порталов, интегрирующей распределенные информационные ресурсы организаций, классифицирующей их, управляющей поиском и доступом к ним в рамках сети посредством центра управления. При этом появляется возможность поддержки и управления информационным обменом и взаимодействием центральных систем управления сети с корпоративными системами управления организаций через закрытые разделы публичных порталов [2].
В то же время, порталы организаций имеют различную структуру и реализованы на разных аппаратно-программных платформах с помощью различных, иногда несовместимых, технологий. Унификация схемы представления, хранения информации и системы доступа к ней в различных организациях и предприятиях является крайне трудоемким и дорогостоящим способом решения проблемы. Это обуславливает актуальность данного направления исследований и определяет необходимость построения системы управления информационным обменом сети корпоративных порталов, как механизма, определяющего правила взаимодействия субъектов и объектов доступа [3].
Создание механизма и инструментария управления информационным обменом позволит решать ряд новых задач, связанных с межсетевым информационным взаимодействием корпоративных учреждений через публичные порталы и каналы связи, независимо от технологий разработки порталов и аппаратных решений различных производителей. Это, в конечном итоге, будет способствовать решению проблемы горизонтальной интегра-
ции корпоративных учреждений посредством создания информационных ассоциаций в глобальных сетях.
Особенности построения сети порталов
Сеть корпоративных порталов представляет собой совокупность узлов контроля доступа, объединенных в единую сеть через публичные каналы Интернет в рамках центра управления сетью порталов (ЦУС). В рамках ЦУС реализуется единая политика управления информационным обменом, в том числе и возможность авторизованного доступа к закрытым разделам порталов, содержащих информацию, являющуюся объектом интеллектуального права, при обеспечении независимости от аппаратно-программной платформы построения и функционирования порталов.
Механизм управления информационным обменом реализуется в программно-техническом комплексе на платформе свободно распространяемого программного обеспечения, который обеспечивает построение распределенной приватной сети корпоративных порталов и эффективное управление информационным взаимодействием в ней через публичные каналы Интернет. Он реализует возможность авторизованного доступа к закрытым разделам порталов, содержащих информацию, являющуюся объектом интеллектуального права, при обеспечении независимости от аппаратно-программной платформы построения и функционирования порталов.
О О
Перенаправление трафика на Переадресация авторизации на
web-сервер портала сервер сети
Рис. 1. Модель функциональных возможностей предоставления доступа в сети порталов
К основным функциям, реализуемым сетью порталов, относятся: 1. Управление сетью порталов посредствам создания доменных групп пользователей, установление разрешения доступа между доменными группами и формирование уровня привилегий доступа.
2. Управление доступом к разделам портала различными пользователями посредством назначения тех или иных ресурсов открытыми или закрытыми, и определения привилегий доступа к закрытым ресурсам.
3. Управление учетными записями пользователей.
4. Контроль за функционирование сети и информационным обменом между серверами доступа.
5. Предоставление неавторизованного доступа к открытым разделам портала.
6. Предоставление авторизованного доступа к закрытым разделам порталов для соответствующих групп пользователей.
Последние две функции предоставления доступа более детально представлены на рис. 1.
Управление информационным обменом в сети порталов
Построение сети корпоративных порталов и реализация механизмов управления информационным обменом в ней основывается на нескольких основных принципах:
1. Портал рассматривается в сети как совокупность взаимосвязанных разделов (объектов доступа), имеющих иерархическую древовидную структуру подчиненности. У каждого объекта доступа, кроме корневого, в качестве которого рассматривается сам портал, существует единственный родительский объект и любое количество дочерних объектов. Каждый раздел связан с защищаемым ресурсом портала определенной ссылкой в формате URI (англ. Uniform Resource Identifier).
2. Для каждого раздела портала может быть назначено только одно правило доступа. При этом правило доступа начинает играть назначенную роль во всей ветви дерева, которая образована этим объектом. Для этого в системе предусмотрен механизм наследования дочерними объектами прав доступа от родительского объекта. Однако для каждого дочернего раздела может быть отключен механизм наследования прав и назначено новое правило доступа, которое будет относиться к нему и всем его потомкам. При этом оно может быть только более «строгим».
3. Каждое правило доступа сопоставляет для связанных с ним объектов доступа группу привилегий доступа и два возможных действия: «разрешить» и «запретить». При этом для нового правила доступа к разделу группа привилегий должна быть такой же, как у родительского объекта или быть наследником группы привилегий доступа родителя, то есть иметь такой или более высокий уровень привилегий.
4. Группы привилегий доступа предназначены для группировки пользователей в соответствии с уровнем их привилегий (прав доступа) в системе. Между группами привилегий существует жесткая иерархия подчиненности. Каждая группа с более высоким уровнем привилегий является наследником группы с предыдущим значением уровня привилегий. Это обеспечивает возможность доступа пользователям с высоким уровнем привилегий к разделам, имеющим более низкий уровень привилегий доступа.
5. Всего в системе предполагается выделить 16 уровней привилегий доступа. Уровень привилегий 0 будет означать, что раздел является открытым и общедоступным. Уровни с 1 по 16 предназначены для разграничения прав доступа к защищаемым разделам порталов.
6. Множество пользователей системы с помощью групп привилегий доступа разбивается на непересекающиеся подмножества, то есть пользователь может принадлежать только одной группе привилегий доступа.
7. Каждому сеансу авторизованного в системе пользователя сопоставляется уникальный идентификатор сессии, позволяющий определить, какому пользователю принадлежит любой запрос к порталу и, соответственно, уровень привилегий доступа определенного пользователя.
Следующим важным аспектом информационного взаимодействия в сети корпоративных порталов является интеграция в сеть информационных ресурсов участников. Специфика построения сети порталов подразумевает создание на серверах доступа базы данных ресурсов в виде дерева портала (карты сайта) [4, 7]. Одному пользовательскому домену может быть сопоставлено несколько интернет доменом порталов, а в рамках одного интернет портала множество ресурсов. Поскольку обращение к ресурсам происходит по уникальному идентификатору URI, где ключевой частью является доменное имя портала в виде URL, то первоначально администратору портала (домена) необходимо интегрировать в сеть порталов доменное имя портала, ассоциировав его с определенным пользовательским доменом участником и, соответственно узлами контроля доступа. Для соответствующего портала создается необходимое описание и информационный дайджест в портале центра управления сетью.
Далее осуществляется добавление информационных ресурсов определенных интернет порталов, для которых устанавливаются разрешения в соответствии с группами привилегий доступа. При этом разрешения могут наследоваться от родительского ресурса или же данные ресурсы могут получать новый, но более строгий уровень контроля доступа. Помимо этого, системой предусмотрена инверсия прав доступа с разрешительных на запретительные, которые имеют более высокий приоритет.
Рис. 2. Последовательность проверки полномочий доступа к ресурсам сети порталов
После создания пользовательских доменов и интеграции в сеть информационных ресурсов, пользователи сети, пройдя аутентификацию и авторизацию в системе, могут получить доступ к информационным ресурсам на основе заданных прав и набора правил:
1. Перехват в режиме обратного проксирования входящего трафика к серверу портала по протоколу HTTP.
2. Анализ принадлежности запроса пользователя определенному разделу портала (ресурсу) и проверка наличия ограничений для доступа к ресурсу.
3. Если ресурс открытый, то доступ к нему предоставляется всем пользователям, путем перенаправления запросов пользователей на WEB-сервер портала с включением в запрос IP-адреса обращения пользователя.
4. Для закрытого ресурса проверяется, аутентифицирован ли в системе пользователь, запрашивающий его, если нет, то система предлагает пользователю аутентифицироваться посредствам ввода имени и пароля.
5. Если пользователь аутентифицирован, то система должна проверить его полномочия для доступа к запрашиваемому ресурсу.
6. Если полномочия пользователя подтверждены, то ему предоставляется доступ к запрашиваемому ресурсу, путем перенаправления запроса на WEB-сервер портала с включением в запрос 1Р-адреса обращения пользователя.
Детально логика функционирования механизма управления доступом к информационным ресурсам представлена в виде диаграммы активностей на рис. 2.
Аутентификация и авторизация осуществляется непосредственно на серверах управления доступом для всех пользователей сети. Отдельные сервера доступа хранят в себе информацию о пользователях своей доменной группы. Если к ресурсу обращается пользователь из другой доменной группы, то сервер переадресовывает запросы на центральный сервер сети. Это обуславливает необходимость хранения информации о пользовательской сессии в БД с возможностью доступа к ней различных узлов непосредственно и опосредованно через сервер сети [6, 8].
В заключении следует отметить, что рассмотренные механизмы управления информационным обменом в сети порталов отражают основные аспекты данного взаимодействия. В частности, представление субъекта и объекта доступа, взаимосвязь данных элементов, описание последовательности взаимодействия и правил функционирования сети.
Список литературы:
1. Лазарев С.А. Некоторые аспекты создания информационных ассоциаций в глобальных сетях на основе построения сети корпоративных порталов [Текст] / С.А. Лазарев; Информационные системы и технологии. - Орел: ФГОУ ВПО «Госуниверситет-УНПК», 2012. - № 1 (69).. - С. 103-106.
2. Лазарев С.А. Концепция построения системы управления информационным обменом сети корпоративных порталов [Текст] / С.А. Лазарев, А.В. Демидов // Информационные системы и технологии. - Орел: Изд-во ОрелГТУ 2010. - № 4 (60). - С. 123-129.
3. Константинов И.С. Особенности построения системы управления информационным обменом сети корпоративных порталов [Текст] / И.С. Константинов, С.А. Лазарев // Информационные системы и технологии «ИСИТ-2011». Материалы 1-ой международной научно-технической интернет-конференции. - Орел: Госуниверситет - УНПК, 2011. - Т. 1. - С. 50-54.
4. Лазарев С.А. Особенности построения подсистемы управления доступом системы управления информационным обменом сети корпоративных
порталов [Текст] / С.А. Лазарев, А.В. Демидов // Информационные системы и технологии. - Орел: Госуниверситет-УНПК, 2012. - № 4 (72). - С. 103-110.
5. Фролов А.И. Управление процессами информационного обмена в распределенной информационной среде в условиях перегрузки [Текст] / И.С. Константинов, А.В. Коськин, А.И. Фролов // Известия Тульского государственного университета. Серия «Технологическая системотехника». Выпуск 8. Труды участников V Международной электронной научно-технической конференции «Технологическая системотехника - 2006». - Тула: Изд-во ТулГУ 2006. - С. 51-60.
6. Константинов И.С. Создание распределенной телекоммуникационной сети учебно-научно-производственного комплекса ОрелГТУ / С.И. Афонин, А.В. Коськин, И.С. Константинов, С.А. Лазарев // Образовательная среда сегодня и завтра: Материалы II Всероссийской научно-практической конференции. - М.: Рособразование, 2005. - С. 293-294.
7. Коськин А.В. Технологическая среда для комплексного сопровождения процессов информатизации организационно-технических систем.: Монография / Под ред. И.С. Константинова. - М.: Машиностроение-1, 2006. -240 с.
8. Еременко В.Т. Математическое моделирование процессов информационного обмена в распределенных управляющих системах: монография / Под общ. ред. И.С. Константинова. - М.: Машиностроение-1, 2004. - 224 с.
БАЛАНСИРОВКА НАГРУЗКИ НА КОНТРОЛЛЕРЫ ПРОГРАММНО-КОНФИГУРИРУЕМОЙ СЕТИ
© Ушакова М.В.*
Оренбургский государственный университет, г. Оренбург
Программно-конфигурируемые сети сейчас начинают завоевывать популярность в центрах обработки данных, в узловых точках передачи Интернет трафика. Поэтому вопрос производительности таких сетей на сегодняшний день остается открытым, отчасти из-за относительной новизны таких решений. В статье описаны методы масштабирования контроллеров таких сетей, не зависящие от конкретного производителя оборудования.
Ключевые слова: программно-конфигурируемые сети, распределенные вычисления.
Программно-конфигурируемые сети используют в основе отделение системы управления коммутатором от самого коммутатора. Существующие
* Ассистент кафедры Администрирования информационных систем.
