Научная статья на тему 'Реализация оптимальной архитектуры и Обеспечение безопасного функционирования сети ЭВМ'

Реализация оптимальной архитектуры и Обеспечение безопасного функционирования сети ЭВМ Текст научной статьи по специальности «Компьютерные и информационные науки»

CC BY
315
92
i Надоели баннеры? Вы всегда можете отключить рекламу.
i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

Текст научной работы на тему «Реализация оптимальной архитектуры и Обеспечение безопасного функционирования сети ЭВМ»

LLQ

Low Latency Queuing (LLQ) - очередность с низкой задержкой. LLQ можно рассматривать как механизм CBWFQ с приоритетной очередью PQ (LLQ = PQ + CBWFQ).

PQ в LLQ позволяет обеспечить обслуживание чувствительного к задержке трафика. LLQ рекомендуется в случае наличия голосового (VoIP) трафика. Кроме того, он хорошо работает с видеоконференциями .

------------------------------------------- СПИСОК ЛИТЕРАТУРЫ

1. Столлингс В. Современные компьютерные сети, 2-е изд. - СПб.:Питер,

2003.

2. Столлингс В. Передача данных.- 4-е изд. СПб.: Питер, 2004.

3. Куроуз Дж., Росс К. Компьютерные сети, 4-е изд. - СПб.: Питер,2004.

4. Шринивас Вегешна. Качество обслуживания в сетях IP.- Вильямс, 2003.

h:fj=i

— Коротко об авторе -----------------------------------------------

Со-Мин-Тун - аспирант, кафедра АСУ, Московский государственный горный университет.

----------------------------------- © М.В. Соснин, 2008

М.В. Соснин

РЕАЛИЗАЦИЯ ОПТИМАЛЬНОЙ АРХИТЕКТУРЫ И ОБЕСПЕЧЕНИЕ БЕЗОПАСНОГО ФУНКЦИОНИРОВАНИЯ СЕТИ ЭВМ

ЛВС является ключевой частью при функционировании центрально организованной системы. Она обеспечивает коммуникацию всех элементов сети. При проектировании ЛВС необходимо выбрать топологию её построения, настроить принципы её функционирования (маршрутизация), принцип доступа в Интернет, обеспечить безопасность функционирования сети. Таким образом, встают проблемы:

Выбор топологии

Настройка принципа функционирования (маршрутизация)

Настройка принципа доступа в Интернет Обеспечение безопасности функционирования сети Выбор топологии

Сетевая топология - это геометрическая форма сети. В зависимости от топологии соединения узлов различают сети шинной (магистральной), кольцевой, звездной, иерархической, произвольной структуры.

Топология «шина»

Рис. 6. Топология “Шина”

Шинная топология представляет собой топологию, в которой все устройства локальной сети подключаются к линейной сетевой среде передачи данных. Такую линейную среду часто называют каналом, шиной или трассой. Каждое устройство, например, рабочая станция или сервер, независимо подключается к общему шинному кабелю с помощью специального разъема. Шинный кабель должен иметь на конце согласующий резистор, или терминатор, который поглощает электрический сигнал, не давая ему отражаться и двигаться в обратном направлении по шине. Когда источник передает сигналы в сетевую среду, они движутся в обоих направлениях от источника. Эти сигналы доступны всем устройствам в ЛВС. Как уже известно, из предыдущих глав, каждое устройство проверяет проходящие данные. Если МАС- или 1Р-адрес пункта назначения, содержащийся в пакете данных, не совпадает с соответствующим адресом этого устройства, данные игнорируются. Если же МАС- или 1Р-адрес пункта назначения, содержащийся в пакете данных, совпадает с соот-

ветствующим адресом устройства, то данные копируются этим устройством и передаются на канальный и сетевой уровни эталонной модели 081. На каждом конце кабеля устанавливается терминатор. Когда сигнал достигает конца шины, он поглощается терминатором. Это предотвращает отражение сигнала и повторный прием его станциями, подключенными к шине. Для того чтобы гарантировать, что в данный момент передает только одна станция, в сетях с шинной топологией используется механизм обнаружения конфликтов, иначе, если несколько станций одновременно попытаются осуществить передачу, возникнет коллизия. В случае возникновения коллизии, данные от каждого устройства взаимодействуют друг с другом (т.е. импульсы напряжения от каждого из устройств будут одновременно присутствовать в общей шине), и таким образом, данные от обоих устройств будут повреждаться. Область сети, в пределах которой был создан пакет и возник конфликт, называется доменом коллизий. В шинной топологии, если устройство обнаруживает, что имеет место коллизия, сетевой адаптер отрабатывает режим повторной передачи с задержкой. Поскольку величина задержки перед повторной передачей определяется с помощью алгоритма, она будет различна для каждого устройства в сети, и, таким образом, уменьшается вероятность повторного возникновения коллизии.

Преимущества и недостатки шинной топологии

Типичная шинная топология имеет простую структуру кабельной системы с короткими отрезками кабелей. Поэтому по сравнению с другими топологиями стоимость ее реализации невелика. Однако низкая стоимость реализации компенсируется высокой стоимостью управления. Фактически, самым большим недостатком шинной топологии является то, что диагностика ошибок и изолирование сетевых проблем могут быть довольно сложными, поскольку здесь имеются несколько точек концентрации. Так как среда передачи данных не проходит через узлы, подключенные к сети, потеря работоспособности одного из устройств никак не сказывается на других устройствах. Хотя использование всего лишь одного кабеля может рассматриваться как достоинство шинной топологии, однако оно компенсируется тем фактом, что кабель, используемый в этом типе топологии, может стать критической точкой отказа. Другими словами, если шина обрывается, то ни одно из подключенных к ней устройств не сможет передавать сигналы.

Топология «кольцо»

Топология кольцо (топология замкнутой сети) - это тип сетевой топологии, при котором все компьютеры подключены коммуникационному каналу, замкнутому на себе. В кольце сигналы передаются только в одном направлении. Сигнал в топологии кольцо возможно усиливать.

Преимущества и недостатки

Рис. 7. Топология “Кольцо”

Достоинства:

• Отсутствие возможности для столкновения передающейся

• Возможность одновременной передачи данных сразу несколькими компьютерами.

• Возможность промежуточного сигнала.

Недостатки:

• Высокая стоимость и сложность обслуживания.

• В случае выхода из строя кабеля или компа сеть прекращает функционировать.

• Кольцо в 2.5 раза медленнее шины.

Топология «звезда»

В сетях, использующих топологию "звезда", сетевой носитель соединяет центральный концентратор с каждым устройством, подключенным к сети. Физический вид топологии "звезда" напоминает радиальные спицы, исходящие из центра колеса. В этой топологии используется управление из центральной точки, а связь между устройствами, подключенными к сети, осуществляется посредством двухточечных линий между каждым устройством и центральным каналом или концентратором.

информации.

Рис. 8. Топология “Звезда”

Весь сетевой трафик в звездообразной топологии проходит через концентратор. Вначале данные посылаются концентратору, а затем концентратор переправляет их устройству в соответствии с адресом, содержащимся в данных. В сетях с топологией "звезда" концентратор может быть активным или пассивным. Активный концентратор не только соединяет участки среды передачи, но и регенерирует сигнал, т.е. работает как многопортовый повторитель. Благодаря выполнению регенерации сигналов, активный концентратор позволяет данным перемещаться на более значительные расстояния. В отличие от активного концентратора, пассивный концентратор только соединяет участки сетевой среды передачи данных.

Преимущества и недостатки топологии «звезда»

Большинство проектировщиков сетей считают топологию "звезда" самой простой с точки зрения проектирования и установ-

ки. Это объясняется тем, что сетевая среда выходит непосредственно из концентратора и прокладывается к месту установки рабочей станции. Другим достоинством этой топологии является простота обслуживания: единственной областью концентрации является центр сети. Также топология "звезда" позволяет легко диагностировать проблемы и изменять схему прокладки. Кроме того, к сети, использующей топологию "звезда", легко добавлять рабочие станции. Если один из участков сетевой среды передачи данных обрывается или закорачивается, то теряет связь только устройство, подключенное к этой точке. Остальная часть сети будет функционировать нормально. Короче говоря, топология "звезда" считается наиболее надежной. В некотором смысле достоинства топологии "звезда" могут считаться и ее недостатками. Например, наличие отдельного отрезка кабеля для каждого устройства позволяет легко диагностировать отказы, однако, это же приводит и к увеличению количества отрезков. В результате повышается стоимость установки сети с топологией "звезда". Другой пример: концентратор может упростить обслуживание, поскольку все данные проходят через эту центральную точку; однако, если концентратор выходит из строя, то перестает работать вся сеть.

Область покрытия сети с топологией «звезда»

Максимально допустимая длина отрезков сетевого кабеля между концентратором и любой рабочей станцией (их еще называют горизонтальной кабельной системой) составляет 100 м. Величина максимальной протяженности горизонтальной кабельной системы устанавливается Ассоциацией электронной промышленности (Electronic Industries Association, EIA) и Ассоциацией телекоммуникационной промышленности (Telecommunications Industry Association, TIA). Эти две организации совместно создают стандарты, которые часто называют стандартами EIA/TIA. В частности, для технического выполнения горизонтальной кабельной системы был и остается наиболее широко используемым стандарт EIA/T1A-568B. В топологии "звезда" каждый отрезок горизонтальной кабельной системы выходит из концентратора, во многом напоминая спицу колеса. Следовательно, локальная сеть, использующая этот тип топологии, может покрывать область 200x200 м. Понятно, бывают случаи, когда область, которая должна быть покрыта сетью, превышает размеры, допускаемые простой топологией "звезда". Представим себе здание размером 250x250 м. Сеть с простой звездообразной топо-

логией, отвечающая требованиям к горизонтальной кабельной системе, устанавливаемым стандартом EIA/TIA-568B, не может полностью покрыть здание с такими размерами. Рабочие станции находятся за пределами области, которая может быть накрыта простой звездообразной топологией, и, как и изображено, они не являются частью этой сети. Когда сигнал покидает передающую станцию, он чистый и легко различимый. Однако по мере движения в среде передачи данных сигнал ухудшается и ослабевает — чем длиннее кабель, тем хуже сигнал; это явление называется ат-тенюацией. Поэтому, если сигнал проходит расстояние, которое превышает максимально допустимое, нет гарантии, что сетевой адаптер сможет этот сигнал прочитать.

В качестве топологии сети была выбрана топология «звезда» как обеспечивающая лучшее соотношение простота-быстродействие. Также эта топология наиболее приспособлена к масштабируемости.

Настройка принципа функционирования (маршрутизация)

Маршрутизация (англ. Routing) — процесс определения маршрута следования информации в сетях связи. В русском языке часто используется слово "роутинг". Надо заметить, что правильное произношение этого слова - "рутинг".

Маршруты могут задаваться административно (статические маршруты), либо вычисляться с помощью алгоритмов маршрутизации, базируясь на информации о топологии и состоянии сети, полученной с помощью протоколов маршрутизации (динамические маршруты).

Статические маршруты могут быть:

• маршруты не изменяющиеся во времени

• маршруты изменяющиеся по расписанию

• маршруты изменяющиеся по ситуации - административно в момент возникновения стандартной ситуации

Процесс маршрутизации в компьютерных сетях выполняется специальными программно-аппаратными средствами — маршрутизаторами. Название идёт от самого процесса (основной функции) -маршрутизации. В дополнение к маршрутизации, маршрутизаторы осуществляют и коммутацию каналов/сообщений/пакетов/ячеек, так же, как и коммутатор компьютерной сети выполняет маршрутизацию (определение на какой порт отправить пакет на основании таблицы

МАС адресов), а называется в честь основной его функции — коммутации.

Создаваемая сеть будет являться подсетью более крупной кафедральной сети, которая будет в свою очередь подсетью университетской сети, которая будет выходить в Интернет. Взаимодействие подсети с другими сетями университета и глобальной сетью Интернет будет обеспечиваться путем маршрутизации пакетов через локальный сервер на сервер кафедральной сети, оттуда - на сервер университетской сети и далее в Интернет.

Настройка принципа доступа в Интернет

Сервер будет иметь два сетевых интерфейса, для взаимодействия с внутренней сетью и сетью университета. Доступ клиентских машин в Интернет будет контролироваться локальным и кафедральным сервером. Это обеспечит контроль за внутресетевым трафиком и Интернет - трафиком.

“Интернет

Рис. 1. Принцип доступа в Интернет клиентской машины

Обеспечение безопасности функционирования сети Для обеспечения безопасности функционирования сети необходимо, чтобы сеть была построена по иерархическому принципу. Сервер будет обеспечивать прозрачный доступ ко всем сетям и одновременно обеспечивать защиту от вторжения. Обеспечивать это будет установленный на сервере межсетевой экран(брендмауер, фаервол), который и будет контролировать входящий и исходящий трафик.

Межсетевой экран или сетевой экран (англ. Firewall) — комплекс аппаратных и/или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов на различных уровнях модели OSI в соответствии с заданными правилами. Основной задачей сетевого экрана является защита компьютерных сетей или отдельных узлов от несанкционированного доступа. Также сетевые экраны часто называют фильтрами, т. к. их основная задача — не пропускать (фильтровать) пакеты, не подходящие под критерии, определённые в конфигурации.

Клиент

Вторичный сервер

Первичный сер

Некоторые сетевые экраны также позволяют осуществлять трансляцию адресов — динамическую замену адресов назначения (редиректы) или источника (мапинг (biNAT), NAT).

Сетевые экраны подразделяются на различные типы в зависимости от следующих характеристик:

обеспечивает ли экран соединение между одним узлом и сетью или между двумя или более различными сетями;

происходит ли контроль потока данных на сетевом уровне или более высоких уровнях модели OSI;

отслеживаются ли состояния активных соединений или нет.

В зависимости от охвата контролируемых потоков данных сетевые экраны делятся на:

традиционный сетевой (или межсетевой) экран — программа (или неотъемлемая часть операционной системы) на шлюзе (сервере передающем трафик между сетями) или аппаратное решение, контроллируюшие входящие и исходящие потоки данных между подключенными сетями.

персональный сетевой экран — программа, установленная на пользовательском компьютере и предназначенная для защиты от несанкционированного доступа только этого компьютера.

Вырожденный случай — использование традиционного сетевого экрана сервером, для ограничения доступа к собственным ресурсам.

В зависимости от уровня, на котором происходит контроль доступа, существует разделение на сетевые экраны, работающие на:

сетевом уровне, когда фильтрация происходит на основе адресов отправителя и получателя пакетов, номеров портов транспортного уровня модели OSI и статических правил, заданных администратором;

сеансовом уровне (также известные как stateful) — отслеживающие сеансы между приложениями, не пропускающие пакеты нарушающих спецификации TCP/IP, часто используемых в злонамеренных операциях — сканировании ресурсов, взломах через неправильные реализации TCP/IP, обрыв/ замедление соединений, инъекция данных.

уровне приложений, фильтрация на основании анализа данных приложения, передаваемых внутри пакета. Такие типы экранов по-

зволяют блокировать передачу нежелательной и потенциально опасной информации, на основании политик и настроек.

Некоторые решения, относимые к сетевым экранам уровня приложения, представляют собой прокси-серверы с некоторыми возможностями сетевого экрана, реализуя прозрачные прокси-серверы, со специализацией по протоколам. Возможности прокси-сервера и многопротокольная специализация делают фильтрацию значительно более гибкой, чем на классических сетевых экранах, но такие приложения имеют все недостатки прокси-серверов (например, анонимизация трафика).

В зависимости от отслеживания активных соединений сетевые экраны бывают:

• stateless (простая фильтрация), которые не отслеживают текущие соединения (например, TCP), а фильтруют поток данных исключительно на основе статических правил;

• stateful (фильтрация с учётом контекста), с отслеживанием текущих соединений и пропуском только таких пакетов, которые удовлетворяют логике и алгоритмам работы соответствующих протоколов и приложений. Такие типы сетевых экранов позволяют эффективнее бороться с различными видами DoS-атак и уязвимостями некоторых сетевых протоколов.

Рис. 2. Фильтрация трафика в сети

Кроме того, они обеспечивают функционирование таких протоколов, как H.323, SIP, FTP и т. п., которые используют сложные схемы передачи данных между адресатами, плохо поддающиеся описанию статическими правилами, и, зачастую, несовместимых со стандартными, stateless сетевыми экранами.

Настроенный на сервере брандмауэр будет заниматься контролем обращения программ к Интернету и университетским подсетям.

На рис. 4 показана схема размещения компьютеров в аудитории 831. На ней видно, что все машины подключены к коммутато-

ру. За фильтрацией трафика и маршрутизацией следит серверная машина

Рис. 4. Схема аудитории 831

Рис. 5. Схема ЛВС кафедры АСУ

ПЦи-

На рис. 5 показана кафедральная схема аудиторий, в которых есть компьютеры. Во всех аудиториях клиентские машины подключены в аудиторному коммутатору, который подключены к серверному коммутатору, который в свою очередь подключен к кафедральному серверу, контролирующему весь кафедральный трафик.

Выбор правильной топологии и схемы построения сети, настройка маршрутизации чрезвычайно важны при проектировании ЛВС. При ошибках, допущенных на данном этапе дальнейшее проектирование сети может быть значительно затруднено или невозможно, а при выборе неправильной топологии вероятно нерациональное использование сетевых ресурсов.[ЕШ

— Коротко об авторе -----------------------------------------

Соснин М.В. - студент, гр. АС-Б-04, Московский государственный горный университет.

А

i Надоели баннеры? Вы всегда можете отключить рекламу.