Оптимізація виробничих процесів комп’ютерної мережі підприємства

У разі аварійного вимкнення електроживлення система повинна працювати від ДБЖ протягом 5-10 хвилин для збереження всієї інформації.

4. ПРОЕКТНА ЧАСТИНА

4.1 Вибір базової мережевої технології

Враховуючи проаналізовані дані в аналітичній частині, з урахуванням встановлених вимог, в якості мережевої технології передачі даних у промисловому сегменті мережі обрано базову технологію FastEthernet 100Base - T та її підвиди. Використання даної технології задовольняє потребам передачі даних для внутрішніх зв'язків, об'єми внутрішнього трафіку для цих відділів не перевищують 8,8 ГБайт за робочий день.

Для передачі даних між адміністративним та промисловим сегментами мережі обрано технологію Gigabit Ethernet стандарту 1000Base-T. Такий вибір обумовлений великим об'ємом трафіку, який складає 378 ГБайт/год.

Для обміну пакетів даних між відділами на кожному поверсу будівлі адміністративної зони обрано технологію 2*Fast Ethernet стандарту 100Base-TX. Використання даної технології задовольняє потребам передачі даних для внутрішніх зв'язків, об'єми внутрішнього трафіку для цих відділів не перевищують 8,8 ГБайт за робочий день. Внутрішня мережа даних відділів повинна бути побудована на основі маршрутизаторів, що забезпечуються бездротову технологію передачі даних Wi-Fi та підтримують стандарти IEEE 802.11n, IEEE 802.11g, та IEEE 802.11b бездротового з'єднання.

В якості головної магістралі адміністративного сектору мережі підприємства обрано технологію Gigabit Ethernet 1000BASE-T (вита пара CAT-6) та 2*Gigabit Ethernet 1000BASE-T (вита пара CAT-6). Обраний стандарт забезпечує передачу даних на вказаних ділянках мережі.

Для з'єднання серверів баз даних відділів обрано технологію 10 Gigabit Ethernet стандарту 10GBASE-CX4. Середовищем передачі даних цього стандарту являється багатомодове оптоволокно.

Всередині серверної частини використовуватимуться технології Gigabit Ethernet та 10 Gigabit Ethernet. На ділянці з'єднання центрального комутатора з сервером-репозиторієм вибрано технологію 10 Gigabit Ethernet стандарту 10GBASE-CX4, заснованому на мідному кабелі СХ4 та комутаторах InfiniBand. Такий вибір обумовлений тим, що обрана технологія задовольняє швидку передачу великих обсягів даних.

4.2 Розрахунок і планування середнього навантаження мережі

Згідно з вхідними даними, які зведено в табл. 2.1, проводиться розрахунок навантаження мережі на різних її ділянках з метою прогнозування завантаження проектованої системи.

Оскілько мережа, що проектується логічно була розбита на два сегменти, необхідно розглянути кожен сегмент окремо. До того ж, враховуючи невелику кількість комп'ютерів, що розташовані у різних відділах кожного поверху адміністративної зони підприємства, є сенс розглядати комп'ютери та мережеві принтери одного поверху як окремий елемент структури мережі. Аналогічно, після дослідження промислового сектору підприємства, є сенс розглядати два окремих підрозділи: промислова зона та вагова і складські приміщення

Таблиця 4.1 - Вхідні дані трафіку адміністративного сегменту мережі

Елементи структури	Кількість комп-ів,	Канал Internet,	Локальний трафік,	Трафік до БД,
Перший поверх	2	0,98 Мбіт/с	1,988 Мбіт/с	70 Мбіт/с
Другий поверх	14	0,98 Мбіт/с	1,988 Мбіт/с	70 Мбіт/с
Третій поверх	9	0,98 Мбіт/с	1,988 Мбіт/с	70 Мбіт/с
Четвертий поверх	9	0,98 Мбіт/с	1,988 Мбіт/с	70 Мбіт/с

Результати розрахунків навантаження каналів всередині підрозділів адміністративної зони підприємства наведені в табл. 4.3.

Таблиця 4.2 - Результати розрахунків навантаження каналів всередині підрозділів

Елементи структури	Навантаження каналу,	Використовуваний стандарт передачі даних	Коефіцієнт використання каналу
Перший поверх	92,968 Мбіт/с	2*Fast Ethernet 100 Мбіт/с 100Base -T	0,465
Другий поверх	86,968 Мбіт/с	2*Fast Ethernet 100 Мбіт/с 100Base -T	0,435
Третій поверх	109,968 Мбіт/с	2*Fast Ethernet 100 Мбіт/с 100Base -T	0,55
Четвертий поверх	92,968 Мбіт/с	2*Fast Ethernet 100 Мбіт/с 100Base -T	0,465

З розрахунків видно, що всередині поверхів канали справляються з навантаженням, так як коефіцієнт використання мережі на всіх відділах знаходиться в межах до 0,6.

Результати розрахунків навантаження каналів головної магістралі наведені в таблиці 4.3

З розрахунків видно, що канали головної магістралі справляються з навантаженням, оскільки коефіцієнт використання мережі на всіх ділянках знаходиться в межах до 0,6. Відповідно використовуваний стандарт передачі даних задовольняє трансфер відповідного трафіку.

Таблиця 4.3 - Результати розрахунків навантаження каналів головної магістралі адміністративного сегменту КМ

Магістраль мережі	Навантаження каналу,	Використовуваний стандарт передачі даних	Коефіцієнт використання каналу
Switch 1 - Main Switch	185,936 Мбіт/с	Gigabit Ethernet 1000Base-Т	0,183%
Switch 2 - Main Switch	1218 Мбіт/с	2 Gigabit Ethernet 1000Base-Т	0,609%
Switch 3 - Main Switch	989,71 Мбіт/с	2 Gigabit Ethernet 1000Base-Т	0,495%
Switch 4 - Main Switch	836,71 Мбіт/с	2 Gigabit Ethernet 1000Base-Т	0,418%

Розрахунок навантаження каналів в серверній зоні, тобто від головного комутатора до Web-, File-серверів та серверу-репозиторію, проводиться за наступними формулами відповідно:

де:

? трафік Internet;

? локальний трафік;

? трафік до бази даних;

? кількість робочих годин; для даного підприємства складає 8 год., оскільки резервне збереження даних автоматизовано відбувається раз в годину.

Результати розрахунків наведено в таблиці 4.4.

Таблиця 4.4 - Результати розрахунків навантаження каналів в серверній зоні

Магістраль мережі	Навантаження каналу, , ,	Використовуваний стандарт передачі даних	Коефіцієнт використання каналу
Web-сервер	70 Мбіт/с	Gigabit Ethernet 1000Base-Т	0,07%
File-сервер	9,8 Мбіт/с	Gigabit Ethernet 1000Base-Т	0,0098%
Сервер-БД	1,988 Мбіт/с	Fast Ethernet 100Base-T	0,019%

З розрахунків видно, що канали серверної зони справляються з навантаженням, оскільки на даних ділянках використовуваними стандартами передачі даних являються: для Web-, File-серверів - 1000Base-Т; для серверу-БД - 100Base-T. При цьому коефіцієнти використання на всіх магістралях лежать в межах до 0,6% завантаженості каналів, а отже їх пропускна можливість задовольняє потреби підприємства

4.3 Вибір місць розташування обладнання

Вибір місць розташування обладнання здійснюється на основі проведеного аналізу розташування приміщення, планів поверхів, розміщення робочих місць та організаційної структури підприємства (п. 1.2.3). Враховуючи ці фактори, робимо висновок, що головний серверний вузол, до якого входять головний маршрутизатор, сервер-БД, Web- та File-сервери доцільніше розташувати на другому поверсі. Такий вибір обумовлений стратегічно вигідним розташуванням даного кабінету для побудови комп'ютерної мережі підприємства.

Ще одним важливим фактором являється знаходження серверної зони між першим та третім поверхом. В результаті чого відстань провідних шляхів до комутаторів відділів буде найменшою. Це дозволить зв'язати їх між собою більш оптимальним шляхом, зробити меншою відстань на передачу трафіку, що підвищить якість передачі даних та стійкість до перешкод, а також скоротить витрати на дороге кабельне обладнання.

4.4 Проектування логічної структури системи

На основі проведення аналізу архітектури приміщенm, планів будівлі та проаналізувавши всі можливі шляхи розташування апаратури, а також організаційну структуру підприємства і взаємозв'язки між відділами, було прийнято рішення, що логічна структура мережі повинна мати наступний вигляд.

На логічній схемі мережі підприємства показано, що комп'ютерна мережа складається з головної магістралі, серверної зони та підрозділів персональних комп'ютерів, з'єднаних комутаторами або маршрутизаторами.

4.5 Визначення переліку необхідного обладнання

Вибір серверного обладнання

Сервер це спеціальний комп'ютер (або устаткування), на якому працює серверне програмне забезпечення. Сервер оптимізований для надання послуг іншим комп'ютерам, або «клієнтам». Клієнтами можуть бути комп'ютери, а також принтери, факси і інші пристрої, підключені до сервера. Разом сервер і його клієнти утворюють клієнт-серверну мережу. Клієнт-серверна мережа надає системи маршрутизації і забезпечує централізований доступ до інформації, ресурсів, даних, що зберігаються.

Сервер баз даних (database server) обслуговує бази даних і забезпечує цілісність і збереження даних при їх зберіганні, а також операціях вводу-виводу при доступі клієнта до інформації. Сервер баз даних працює під управлінням серверною ОС і отримує клієнтські запити на мові SQL.

Таблиця 4.5 - Характеристика серверів (готова комплектація).

Вироб-ник	Корпус	Процесор	Пам'ять	Системна плата	Жорсткий диск	Ціна, грн.
Patriot	Supermicro CSE-825TQ-600LPB 19" Підтримка до 8 дисків 3.5	Intel Xeon Quad-Core E3-1240 v3 (3.4 ГГц)	8 Gb DDR3-1600 ECC	Supermicro MBD-X10SLL-F Чіпсет: Intel C222	2 x Seagate ST1000NM0033 1 ТБ, 128 МБ, 7200 rpm, Constellation ES.3, Serial ATA 6 Гбит/с	48 122
Patriot	Supermicro CSE-813MTQ-350CB 19" Підтримка до 4 дисків 3.5	Intel Xeon Quad-CoreE3-1220 v3 (3.1 ГГц)	8 Gb DDR3-1600 ECC	Supermicro MBD-X10SLL-F Чіпсет:: Intel C222	2 x Seagate ST1000NM0033 1 ТБ, 128 МБ, 7200 об/мин, Constellation ES.3, Serial ATA 6 Гбит/с	36 540
Patriot	Supermicro CSE-813MTQ-350CB 19" Підтримка до 4 дисків 3.5	Intel Xeon Quad-Core E3-1240 v3 (3.4 ГГц)	8 Gb DDR3-1600 ECC	Supermicro MBD-X10SLL-F Чіпсет: Intel C222	2 x Seagate ST1000NM0033 1 ТБ, 128 МБ, 7200 rpm, Constellation ES.3, Serial ATA 6 Гбит/с	34?168

Проаналізувавши в попередньому розділі призначення мережі та вимоги до серверу можна зробити висновок, що для обслуговування мережі на ~50 комп'ютерів в якості файлового, Web-серверу та серверу БД обрано Patriot Tower E3-1240V3, оскільки його вартість являється найменшою при порівняно однакових параметрах. До того ж ця модель є оптимальним рішенням для малого та середнього бізнесу, а також невеликих підприємств.

Вибір активного мережевого обладнання

Мереженим обладнанням називають сукупність програмних та апаратних засобів, які дозволяють реалізувати потрібний функціонал комп'ютерної мережі. Надалі буде розглянуто найбільш популярні типи мережевого обладнання: концентратори, комутатори, маршрутизатори та радіомодеми.

Мережевий комутатор або світч-- пристрій, призначений для з'єднання декількох вузлів комп'ютерної мережі в межах одного сегменту. На відміну від концентратора, який поширює трафік від одного підключеного пристрою до всіх інших, комутатор передає дані лише безпосередньо одержувачеві. Це підвищує продуктивність і безпеку мережі, позбавляючи останні сегменти мережі від необхідності (і можливості) обробляти дані, які їм не призначалися. Комутатор працює на канальному рівні моделі OSI, і тому в загальному випадку може лише об'єднувати вузли однієї мережі по їх MAC-адресам. Існує три способи комутації. Кожен з них -- це комбінація таких параметрів, як час очікування і надійність передачі.

Концентратор або хаб (жарг. від англ. hub - центр діяльності) - мережеве пристрій, призначений для об'єднання кількох пристроїв Ethernet в спільний сегмент мережі. Пристрої підключаються за допомогою витої пари, коаксіального кабелю чи оптоволокна. Концентратор працює на фізичному рівні мережевої моделі OSI, повторює приходить на один порт сигнал на всі активні порти. У разі надходження сигналу на два і більше порту одночасно виникає колізія, і передані кадри даних втрачаються. Таким чином, всі підключені до концентратора пристрої знаходяться в одному домені колізій. Концентратори завжди працюють в режимі напівдуплекса, всі підключені пристрої Ethernet поділяють між собою надається смугу доступу.

Маршрутизатор (від англ. router) - мережевий пристрій, пересилає пакети даних між різними сегментами мережі та приймає рішення на підставі інформації про топологію мережі і певних правил, заданих адміністратором.

Маршрутизатор працює на більш високому "мережевому» рівні 3 мережевої моделі OSI, ніж комутатор і мережевий міст. Зазвичай маршрутизатор використовує адресу одержувача, вказану в пакетах даних, і визначає за таблицею маршрутизації шлях, за яким слід передати дані. Якщо в таблиці маршрутизації для адреси немає описаного маршруту, пакет відкидається.

Модем (акронім, складений зі слів модулятор і демодулятор) - при-стрій, що застосовується в системах зв'язку для фізичного сполучення інфор-маційного сигналу з середовищем його поширення, де він не може існувати без адаптації (тобто перенесення його на несучу з модуляцією), і виконує функцію модуляції і демодуляції цього сигналу. Радіо модеми використовують набір власних протоколів для передачі даних між комп'ютерами або між комп'ютером та базовою станцією. Перші модеми використовували для передачі даних лінії телефонного зв'язку. Саме з цієї причини з'явилася необхідність проводити пряме та зворотне перетворення цифрового сигналу у аналоговий сигнал (модуляція).

Сучасні модеми (кабельні та радіо модеми) насправді не є модемами у прямому значенні цього слова, бо не використовують для передачі цифрових даних “чужі” діапазони частот. Тобто, можна вважати сучасні радіо та кабельні модеми специфічними мереженими картами.

З розвитком мобільного зв'язку та Інтернет - технологій найбільш широку популярність набули радіомодеми, що використовують технології GPRS - EDGE (вбудовані практично у всі мобільні телефони), 3G, 4G, CDMA, WiMax. комп'ютерний мережа програмний забезпечення

На додачу до вже описаних вище пристроїв можна додати декілька нових, які також можна віднести до активного мережевого обладнання: сервери та мережеві принтери.

В якості основного обладнання для створюваної мережі було вирішено обрати фірму D-Link. Це світовий виробник мережевого та телекомунікаційного обладнання, займає провідні позиції на ринках мережевого устаткування багатьох країн.

В табл. 4.6 наведено опис комутаторів та їхні характеристики.

Таблиця 4.6 - Характеристики комутаторів

Модель	Порти	Додаткові властивості	Ціна, грн
D-Link DES-1210-28/ME	2 x SFP (mini-GBIC), 24 x Fast Ethernet (10/100 Мбит/с), 2 x Gigabit Ethernet (10/100/1000 Мбит/с)	Керування доступом 802.1X на основі порта/хоста, Guest VLAN RADIUS и TACACS+ IP-MAC-Port Binding	3?024?
D-Link DGS-1024A	24 x Gigabit Ethernet (10/100/1000 Мбит/с)	IEEE 802.3 10BASE-T Ethernet IEEE 802.3u 100BASE-TX Fast Ethernet IEEE 802.3ab 1000BASE-T Gigabit Ethernet Автоузгодження ANSI/IEEE 802.3 NWay Керування потоками IEEE 802.3x	2 121
D-Link DES-3200-52	48 x Fast Ethernet (10/100 Мбит/с), 4 x Gigabit Ethernet (10/100/1000 Мбит/с)	Усі порти Ethernet мають захист від перенапруження 6 кВ Asymmetric VLAN / ISM VLAN; Double VLAN (Q-in-Q) Протоколи Spanning Tree: 02.1D- 2004 Edition, 802.1w та 802.1s 802.3AX та агрегування каналів 802.3ad	8 094
D-Link DGS-1005A	5 x Gigabit Ethernet (10/100/1000 Мбит/с)	IEEE 802.3 10BASE-T Ethernet IEEE 802.3u 100BASE-TX Fast Ethernet IEEE 802.3ab 1000BASE-T Gigabit Ethernet Автоузгодження ANSI/IEEE 802.3 NWay Керування потоками 802.3x IEEE 802.3az Energy-Efficient Ethernet	351
D-Link DGS-1008A	8 x Gigabit Ethernet (10/100/1000 Мбит/с)	Комутаційна матриця 16 Гбит/с MDI/MDIX; store-and-forward Режими напів- та повного дуплексу для швидкостей Ethernet/Fast Ethernet 802.3x; підтримка Jumbo-фреймів 9216 байт; відповідність директиві RoHS	511

Серед запропонованих комутаторів було вирішено обрати D-Link DGS-1024A для адміністративного сектору, тому що він має 24 порти Gigabit Ethernet, підтримує достатньо великий перелік стандартів.

Для складських приміщень у промисловому секторі буде обрано модель комутатора D-Link DGS-1008A, оскільки ця модель обслуговує малу кількість портів, що відповідає потребам складських приміщень, але при цьому підтримує необхідні стандарти мережевих технологій.

Як устаткування для підтримки в серверній необхідного температурного режиму пропонується використовувати кондиціонери фірми TOSHIBA RAS-10SKHP-ES/RAS-10S2AH-ES.

В складському приміщення промислового сектору підприємства буде встановлено мережевий принтер HP LaserJet Pro M201dw with Wi-Fi (CF456A) + USB cable (5 126 грн.).

Характеристики:

- формат паперу: А4;

- роздільна здатність друку, dpi 600x600 до 600x600x2 dpi (1200 dpi ефективного виходу);

- швидкість чорно-білого друку, стор/хв.: 25;

- мережева карта: Ethernet 10/100;

- мережеві інтерфейси: Wi - Fi, Ethernet;

- щільності паперу , г/м2: 60-163;

- ресурс чорного картриджа, стр: 2,1;

- масимально швидкість передачі/прийому , kbps 33,6;

- внутрішня пам'ять факсу, сторінок (Мб): 128;

- габарити , мм 383 х 282 х 251;

- маса, кг: 6,5.

Робота промислового сегменту КМ у промисловій зоні стосовно передачі керованих сигналів для керування процесом виготовлення продукції залежить від коректної роботи датчиків, що відслідковують температуру, вологість, об'єм та вагу сировини(продукції). Для вибору можна запропонувати наступні моделі датчиків-плат.

Arduino UNO R3 + Ardunio Ethernet Shield (W5100)

Плата Arduino UNO R3, найпопулярніша плата серії Arduino, займає проміжне положення між платами Arduino Nano і Arduino Mega і є оптимальною для роботиз дочірніми платами. Версія R3 відрізняється від попередніх зручним розташуванням кнопки скидання мікроконтроллера, мікроконтроллером ATmega16U2 замість ATmega8U2, а також додатковим виведеннями SDA і SCL поряд з AREF і ще двома поряд з RESET (один IOREF і один в резерві).

У плати Arduino UNO R3 є 14 цифрових вводів/виводів(6 з яких можуть працювати як ШИМ-виходи), 6 аналогових входів, роз'єми підключення USB і живлення, роз'їм для внутрішньо схемного програмування мікроконтроллера ICSP і кнопку скидання. Мікроконтроллер ATmega328 працює на частоті 16 мегагерц. Функції перетворювача USB - UART замість мікросхеми FT232RL (на Duemilanove) виконує мікроконтроллер ATmega 16U2. Для початку роботи необхідно просто підключите її до комп'ютера за допомогою USB-кабелю або підключити до плати джерело живлення.

Arduino Ethernet Shield дозволяє підключити плату Arduino до мережі. Вона ґрунтована на ethernet -микросхеме Wiznet W5100 (datasheet). Wiznet W5100 підтримує стеки TCP and UDP в IP - мережі. Він підтримуєдо чотирьох одночасних підключень до сокетів. Для створення скетчів, які підключаються до мережі за допомогою цієї плати, використайте бібліотеку Ethernet. Ця плата з'єднується з платою Arduino за допомогою довгих штырьков, що проходять через неї. Це дозволяє не змінювати розташування виведень і встановлювати інші плати поверх неї.

Плата Ethernet Shield має стандартний раз'єм RJ -45 з вбудованим лінійним трансформатором і опцією Powerover Ethernet.

Останні версії плати мають роз'єм для карт типу micro -SD, який може використовуватися для зберігання файлів і роботи з ними по мережі. Вона сумісна з Arduino Uno і Mega (при використанні бібліотеки Ethernet library). Кардридер micro SD доступний за допомогою бібліотеки SD Library. При застосуванні цієї бібліотеки виведення 4 використовується для сигналу SS (Slave Select).

Останні версії плати також мають контролер скидання, який дозволяє бути впевненим у правильному перезапуску W5100 при запуску. Попередні версії плати були не сумісні з Arduino Mega і вимагали ручного скидання після включення. Попередня версія плати мала роз`єми для повнорозмірної карти SD, в даний час не підтримується. Плата має 6-контактний роз`єм для послідовного програмування сумісний з кабелями і платами-перехідниками FTDI USB. Він підтримує автоматичне скидання, що дозволяє завантажувати скетчі без натискання кнопки скидання на платі. При підключенні через адаптер FTDI-USB, Arduino і Ethernet shield отримують живлення від адаптера.

Поточна версія плати підтримує підключення адаптера Power jver Ethernet (PoE) для отримання живлення від звичайної витої пари 5 категорії:

- сумісність з EEE802.3af ;

- низькі пульсації і шум на виході (100mVpp);

- діапазон вхідної напруги від 36V до 57V;

- захист від перевантаження і короткого замикання;

- вихідна напруга 9V;

- високоефективний DC / DC-перетворювач: 75% при навантаженні в 50%;

- напруга пробою ізоляції 1500V (на вході і виході).

Arduino здійснює зв'язок з W5100 і картою SD допомогою шини SPI (через роз `ємами ICSP header). Вона розташована на висновках 11, 12, і 13 плати Duemilanove і висновках 50, 51, і 52 плати Mega. На обох платах висновок № 10 використовується для вибору W5100 і введення № 4 - для карти SD. Ети висновки не можуть бути використані для іншого введення-виведення. На платі Mega, апаратний висновок SS, № 53, не використовується для виборів ні W5100, ні карти SD, але він повинен бути налаштований на виведення, інакше інтерфейс SPI не працюватиме.

Відзначимо, що оскільки W5100 і карта SD поділяють шину SPI, тільки одночасно працювати вони не можуть. Якщо ви використовуєте обидва цих периферійних пристрої в своїй програмі, вам слід подбати про відповідні бібліотеках. Якщо ви не використовуєте одне з цих периферійних пристроїв, вам слід явно відключити його. Щоб зробити це, налаштуйте висновок плати № 4 як вихід і запишіть в нього "1". Для W5100, встановіть на виведенні № 10 високий рівень.

Ця плата має стандартний роз'єм Ethernet RJ45.

Кнопка скидання плати перезапускає і дочірню плату, і плату Arduino.

Плата має кілька індикаторних світлодіодів:

- PWR: індикація наявності живлення плати;

- LINK: індикація наявності мережевого линка, миготіння при відправленні або отриманні даних;

- FULLD: індикація повнодуплексного з'єднання;

- 100M: індикація з'єднання на швидкості 100 Mбіт/с (на відміну від з'єднання на 10 Мбіт/с)

- RX: блимає при отриманні платою даних;

- TX: блимає при відправці платою даних;

- COLL: блимає при мережевий колізії.

Запаюють перемичка "INT" може бути замкнута, що дозволить платі Arduino отримувати повідомлення (через переривання) про події від W5100, але в даний час це не підтримується бібліотекою Ethernet library. Перемичка з'єднує висновок INT мікросхеми W5100 і цифровий висновок № 2 плати Arduino.

Ardunio Nano + Arduino Nano Ethernet Shield (16 $)

Плата Arduino Nano - маленька, повнофункціональна, добре сумісна з макетної платі плата, заснована на мікроконтролері ATmega328 (Arduino Nano версія 3.0). Вона має більш-менш таку-ж функціональність як Arduino Duemilanove, але просто іншу конструкцію. Їй не вистачає роз'єму живлення DC, а роз'єм для кабелю - Mini-B USB замість стандартного. Nano була розроблена і компанією Gravitech (США).

Arduino Nano може живитися від Mini-B USB, 6-20В нерегульованого зовнішнього джерела (30-й штирок), або 5В регульованого зовнішнього джерела (27-й штирок). Джерело живлення вибирається автоматично по більшій напрузі.

Таблиця 4.7 - Характеристики плати Arduino Nano

Мікроконтроллер	Atmel ATmega328P
Напруга живлення	5В
Вхідна напруга (рекомендуємо)	7-12В
Вихідна напруга (максимальна)	6-20В
Цифровий ввід-вивід	14 ліній (6 із них = ШИМ)
Аналоговий вивід	8 ліній
Постінний струм на лініях вводу-виводу	40мА
Постійний струм на ліні 3.3В	50мА
Flash-пам'ять	32 Kбіт, 2 Кбіт з них використовуються для загрузчика
SRAM-пам'ять	2 кб
EEPROM-пам'ять	1 кб
Тактова частота	16МГц
Розміри	0.73" x 1.70" (18,54мм х 43,18мм)

Чіп FTDI FT232RL на платі Nano отримує живлення тільки в тому випадку, коли плата отримує живлення від USB. У результаті, в тому випадку, коли плата отримує живлення від зовнішнього джерела (НЕ-USB), вихід 3.3В (який надається чіпом FTDI) відсутній, і світлодіоди RX і TX будуть, мигати якщо на цифрових лініях 0 або 1 відповідно буде одиниця.

Arduino Nano має кілька можливостей для зв'язку з комп'ютером, іншою платою Arduino або іншими микроконтроллерами. ATmega328 має апаратний UART-порт послідовної передачі даних TTL-рівня (5В). Чіп FTDI FT232RL на платі з'єднує один з них з драйвером USB (включений в комплект ПО Arduino) і являє собою віртуальний com-порт для програмного забезпечення на комп'ютері. Програмне забезпечення Arduino має монітор послідовного порту, який дозволяє передавати і отримувати прості текстові дані від плати Arduino. Світлодіоди RX і TX на платі будуть мигати при передачі даних чіпом FTDI і USB - з'єднанні з комп'ютером (але не при передачі даних на лініях 0 і 1).

Бібліотека SoftwareSerial дозволяє здійснити послідовний зв'язок на будь-якій цифровій лінії плати.

ATmega328 також підтримує шини I2C (TWI) і SPI. ПО Arduino включає в себе бібліотеку Wire для простого використання шини I2C; см. документацію на сайті Wiring. Для використання SPI читайте опис ATmega328.

TMP36 - це простий датчик, що вимірює температуру в градусах Цельсія, змінюючи вихідну напругу пропорційно температурі. Не вимагає калібрування і надає точність ±1 °C при кімнатній температурі та ±2 °C у всьому діапазоні від -40 °C до +125 °C. Для роботи потрібно подати живлення від 2.7 до 5.5В і читати напругу на виході Vout. Кожні 10 мВ відповідають 1 градусу Цельсія.

Характеристики:

- напруга живлення: 2.7 ... 5.5В;

- шкала 10 мВ / ° C;

- точність вимірювання ± 2 ° C;

- лінійність ± 0.5 ° C;

- діапазон виміру: від -40 ° C до +125 ° C.

DHT11 недорогий цифровий датчик температури і вологості. Він використовує ємнісний датчик вологості і терморезистор для виміру температури навколишнього повітря, дані видає в цифровій формі по шині типу 1-wire. У використанні він досить простий, але вимагає точного визначення тривалості часових сигналів, щоб декодувати дані. Єдиний недолік це можливість отримання даних не частіше 1 разу на дві секунди.

Особливості:

- температурна компенсація у всьому діапазоні роботи;

- вимірювання відносної вологості і температури;

- калібрований цифровий сигнал;

- відмінна довгострокова стабільність показань;

- не потрібні додаткові компоненти;

- можливість передачі даних на велику відстань;

- низьке енергоспоживання;

- 4-контактний корпус і повністю взаємозамінні.

Для перетворення даних усередині датчика використовується 8-бітний мікроконтролер. У процесі виробництва датчики калібруються і калібрувальна константа записується разом з програмою в пам'ять мікроконтролера. Однопровідний послідовний інтерфейс дає можливість швидкої інтеграції в пристрій. Його невеликі розміри, низьке енергоспоживання і до 20-м. передача сигналу робить його привабливим вибором для різних додатків.

Для вартової пропонується обрати комутатор TP-LINK TL-SG1005D з наступними характеристиками:

· можливість віддаленого керування: некерований;

· порти: 5 x Gigabit Ethernet (10/100/1000 Мбит/с);

· додаткові можливості: порти RJ45 10/100/1000 Мбит/с з підтримкою Auto MDI/MDIX; функція Backpressure в напівдуплексному режимі; Green Ethernet технологія (до 70% економія енергії);

· розміри та вага: 165 x 108 x 28 м.

У якості маршрутизатора (Router) і Firewall пропонується використовувати маршрутизатор фірми Cisco сімейства 2811 .

Ця являє собою економічну серію модульних маршрутизаторів для малих і середніх офісів, що включають у себе можливість передачі голосу й факсу. Пропонований набір модулів дозволяє також використовувати пристрої Cisco 2811 як сервери доступу й міжмережевих екранів, а також для передачі голосу й факсів через мережі TCP/IP.

Кожний маршрутизатор серії Cisco 2811 містить один слот для модуля глобальної мережі високої щільності або модуля ЛОМ, два слота для модулів глобальної мережі низької щільності й одне посадкове місце на системній платі для установки сервісного модуля AIM (Advanced Integration Module), що може використовуватися для апаратного стиску або шифрування даних.

Комунікаційний сервер S8300 побудований на базі шлюзу G700 і керуючого процесора S8300. Дане рішення поєднує в собі багатофункціональні можливості програмного забезпечення MultiVantage, реалізованого на комутаторі Ethernet, і пропонує можливість для телефонізації малих і середніх офісів на базі локальної мережі передачі

Основними компонентами шлюзу G700 є:

· 19 дюймовий конструктив комутатора Ethernet Cajun P330 розміру 2U;

· чотири платоместа в якому використовуються для модулів телефонії й керуючого процесора;

· одне посадкове плато-місце для модулів розширення комутатора Cajun P330;

· два порти Ethernet 10/100.

Як устаткування для підтримки в серверній необхідного температурного режиму пропонується використовувати кондиціонери фірми Tadiran серії Astro.

Будучи лідером на ринку кліматичного встаткування , компанія Tadiran пропонує краще світове встаткування, що пройшло сертифікацію ISO 9001. Устаткування, що поставляється, відрізняється високою надійністю й довговічністю його експлуатації. Різноманіття пропонованого встаткування дозволяє вибрати найбільш оптимальне й збалансоване рішення керування мікрокліматом. Для забезпечення розроблювальної мережі потрібно кондиціонер Astro TGL 30

Площа, що обслуговується: 100 кв.м.

У відділах адміністративної будівлі підприємства буде встановлено мережевий принтер Canon MF4780w (6371B025).

Характеристики

- Формат паперу: А4

- Роздільна здатність друку, dpi 600x600 ( 1200x600 ) / 600x600

- Швидкість чорно-білого друку, стор/хв.: 23

- Максимальний об'єм друку, стор / міс 10 /

- Щільності паперу , г/м2 60-163

- Ресурс чорного картриджа, стр: 2,1

- Масимально швидкість передачі/прийому , kbps 33,6

- Внутрішня пам'ять факсу, сторінок (Мб): 256

- USB є

- LPT ні

- Ethernet є

- Wi -Fi є

- Габарити , мм 390x439x360

Маса, кг: 11,9

Вибір пасивного мережевого обладнання

Оскільки сервер промислового сегменту КМ підприємства знаходиться на території промислової зони, його необхідно максимально захистити від зовнішнього впливу виробничих процесів промислової зони. Для вирішення такої необхідності пропонується розташувати мережне приладдя в середовищі напільної монтажної шафи.

19"U напольні монтажні шафи серії UA-MGSE2468MB ( 8454,00 грн) призначені для розміщення активного й пасивного мережного устаткування і різного допоміжного устаткування. Їх відрізняє сучасний дизайн, широкі можливості для розміщення встаткування, повний доступ до нього, висока якість виготовлення й прийнятна ціна. Експлуатація шаф можлива в офісних або в спеціалізованих серверних і мережних приміщеннях. Вони дозволяють розмістити мережне встаткування для забезпечення роботи локальної комп'ютерної мережі організації, поверху або цілого будинку.

Монтажна шафа комплектується двома парами 19-дюймовими вертикальними стійками, однією парою бічних панелей зі швидко замковими затискачами, що відпускаються, передніми дверима з тонованими стеклами і циліндричним замком, регульованими ніжками, задньою панеллю з модулем кабельного входу, комплектом заземлення GND і 28 кріпильними наборами.

Опис монтажної шафи:

· Висота шафи - 24U;

· Ширина 610мм;

· Глибина 865мм;

· 19" шкафи марки MGSE широко використовуються в спеціалізованих серверних приміщеннях та звичайних офісах;

· Глибина шафи MGSE дає додаткове місто для вентиляції, кабелів, патч-кордов і т.д.;

· Комплект заземлення;

· Верхня кришка має перфорацію для ефективної вентиляції; вона може закриватися знімною панеллю-заглушкою або фільтрами;

· Вентиляційний блок може встановлюватися на верхній або на нижній рамі;

· Можливість адаптації шаф шириною 800 мм для монтажу 21" устаткування;

· Адаптер DP-RE-01 використовується для установки аксесуарів на 21" напрямні;

· Регульовані ніжки; звичайні або гальмові ролики, постамент із фільтром або без фільтра (за бажанням);

· Рівень захисту - IP40;

· Номінальне завантаження - 300кг;

· Шафи можуть установлюватися блоками;

Вибір джерел безперервного живлення

Джерело постійного живлення ББЖ APC Smart-UPS 1500VA USB & Serial RM 2U 230V (SUA1500RMI2U), з максимальною вихідний мощьностью 980 Вт/1500 ВА.

· Потужність 1500 ВА/ 980 Вт.

· Діапазон вхідних частот 50/60 Гц.

· Енергія стрибка 480 Дж.

· Індикатори: робота від акумулятора, перевантаження, змінний акумулятор.

· Батареї 1 знімний модуль * кислотно-свинцов. (lead-acid) * 7.4 хв. при 100% навантаженні (робота) * 3 год (зарядка) * 3 рік (час життя) 26.5 хв. при 50% навантаженні (робота).

· Програмне забезпечення PowerChute Smart-UPS Bundle.

· Інтерфейси вхід електроживлення * IEC-320 C14 4 x вихід електроживлення * IEC-320 C13 послідовний RS-232 * DB-9 USB * Тип A Smart-Slot

4.6 Проектування фізичної топології системи

Фізична структура промислового сегменту централізованої промислової мережі підприємства представлена на рис. 4.3 та рис. 4.4.

Рисунок. 4.4 - Фізична структура другого поверху будівлі промислової зони

Рисунок. 4.8 - Фізична структура вартової

Розрахунок кабельної системи

Для під'єднання до мережі робочих станцій у відділах адміністративного сегменту КМ підприємства та у промисловій зоні промислового сегменту, де планується впровадження технології Fast Ethernet стандарту 100Base-TX, буде прокладено Digitus Professional CAT5e UTP - неекранований мідний кабель типу витої пари категорії 5е $78, який підходить для горизонтальної прокладки в локальних мережах.

Для з'єднання персональних комп'ютерів з комутаторами у відділах аналітики, де обрано технологію Gigabit Ethernet стандарту 1000Base-T, буде прокладено кабель Digitus Professional CAT5e F-UTP - екранований мідний кабель на основі витої пари категорії 5е $88.

У якості роз'єму для з'єднання кабелів типу витої пари обрано стандартні конектори Digitus RJ45 Cat.5 UTP вартістю кожного 3,25 грн

В результаті розрахунку кабельної системи проектованої мережі отримано наступні розміри проводів: кабелю на основі витої пари Digitus Professional CAT5e UTP - 305 метрів; кабелю на основі витої пари Digitus Professional CAT5e F-UTP - 720 метрів; кабелю на основі багатомодового оптоволокна Tripp Lite Duplex Multimode 62.5/125 - 345 метрів

Технологія монтажу кабельної системи

При монтажі кабельної системи слід суворо дотримуватися спеціальних вимог і рекомендацій, виконання яких гарантує збереження початкових робочих характеристик всієї мережі. А саме:

- не допускати розтягування кабелю під час монтажних робіт;

- радіус вигину кабелю повинен бути не менше 10 зовнішніх діаметрів кабелю;

- видаляти оболонку кабелю слід лише на стільки, скільки потрібно для монтажу;

- зберігати цілісність скручування пар якомога ближче до місця монтажу, що забезпечує мінімальний вплив сигналів різних пар один на одного;

- розкручені під час монтажу кабельні пари не слід скручувати знову, тому неправильне скручування може негативно вплинути на робочі характеристики;

- якщо це мережа будівлі офісного типу (наприклад, будівля адміністративної зони), потрібно закладати один UTP кабель на кожні 3-4 кв.м. приміщення. Робочі місця в будівлях такого типу схильні до частих переїздів і дуже щільному оснащення засобами обчислювальної та оргтехніки;

-

- кабелі локальної мережі не повинні розташовуватися поруч із силовими проводами (220в), флуоресцентними лампами, силовими трансформаторами та іншими пристроями, потужні електромагнітні поля яких, створюють перешкоди і мають негативний вплив на якість передачі сигналу.

Правила монтажу визначаються типом передбачуваного з'єднання. Можливі два варіанти:

- комп'ютер з'єднується з мережевим концентратором (hub) або комутатором (switch) використовуючи «пряму» розводку кабелю (стандарт T568B);

- З'єднання між комутаторами або концентраторами, такі як "hub - hub", "switch - switch", "hub - switch" виконуються за допомогою кабелю з «перевернутої» розводкою (Uplink або Crossover). З одного боку кабель розводиться за стандартом T568A, а з іншого за стандартом T568B.

4.7 Вибір програмного забезпечення

Вибір мережевої ОС

Мережева операційна система - операційна система з вбудованими можливостями для роботи в комп'ютерних мережах. До таких можливостей можна віднести:

- підтримку мережевого обладнання;

- підтримку мережевих протоколів;

- підтримку протоколів маршрутизації;

- підтримку фільтрації мережевого трафіку;

- підтримку доступу до віддалених ресурсів, таких як принтери, диски і т. п. по мережі;

- підтримку мережевих протоколів авторизації;

- наявність в системі мережних служб, що дозволяють віддаленим користувачам використовувати ресурси комп'ютера;

На даний момент практично кожна операційна система має вбудовані мережеві функції, а отже може бути розглянута як потенційний кандидат на операційну систему серверу чи робочої станції.

Найбільш популярними на даний момент є операційні системи Windows NT від компанії Microsoft, а саме Windows 8, Windows Vista та Windows 7. Їх найбільш популярні серверні аналоги: Windows Server 2008, Windows Server 2012, Windows Small Business Server. Клієнтські та серверні рішення від Microsoft можуть виконувати дуже широкий спектр задач.

Їх перевагами є:

- акцент на зручність користувача;

- дуже широкі можливості у керуванні правами доступу;

- гарантована підтримка для придбаних версій ОС.

До недоліків цих ОС можна віднести:

- велику кількість експлойтів та вірусів;

- закритий вихідний код;

- несвоєчасна реакція Microsoft на нові загрози;

- висока вартість ліцензій.

Менш популярними у якості користувальницьких ОС, але більш розповсюдженими у якості серверних є системи на базі Linux. Вони існують у всіх популярних Linux - проектів: FreeBSD, Mandriva, Ubuntu, Alt Linux, Debian та багатьох інших.

Їх перевагами є:

- повна безкоштовність за ліцензією GPL;

- відкритий вихідний код;

- можливість тонкого налаштування під конкретну апаратну платформу;

- незначну кількість вірусів та підвищений рівень безпеки;

- своєчасне оновлення та оперативне закриття недоліків безпеки;

- підтримка у розв'язанні проблем спільнотою Linux та детальне описання більшості програм.

До недоліків цих ОС можна віднести:

- акцент на використання командної строки, що ускладнює процес налаштування;

- відсутність повноцінних аналогів певних Windows-орієнтованих функцій (наприклад Active Directory).

Операційною системою, що буде встановлена на сервер - є ОС Windows Server 2012, оскільки на сервери адміністративного сектору також використовують цю ОС.

Критеріями для вибору ОС є наступні характеристики:

? Висока надійність;

? Висока продуктивність;

? Висока інформаційна безпека;

? Покращений контроль, що дозволяє значно спростити поточне обслуговування, розгортати тільки ті функції, які необхідні.;

? Підтримка у вигляді регулярних оновлень;

? Велика кількість документації;

? Можливість ідеального налаштування під конкретну апаратну платформу.

Windows Server 2012 містить у собі всі функції, необхідні сьогодні клієнтам від операційної системи Windows Server для підвищення продуктивності при менших зусиллях, такі як безпека, надійність, доступність і масштабованість.

Windows Server 2012 - це багатофункціональна операційна система, що підтримує різноманітні серверні ролі в централізованому або розподіленому режимі залежно від конкретних потреб. Нижче наведені деякі із цих серверних ролей.

? Файловий сервер, веб-сервер і служби веб-додатків, поштовий сервер, сервер терміналів.

? Сервер дистанційного доступу й віртуальної приватної мережі (VPN).

? Служби каталогів, служба доменних імен (DNS), сервер DHCP (Dynamic Host Configuration Protocol) і WinsеСервер (Windows Internet Naming Service).

Використовуючи технологію Hyper-V 3.0 (віртуалізація серверів), власники зможуть добитися значного підвищення ефективності застосування обладнання. Тепер одночасне виконання різних завдань відбувається з блокуванням робочих навантажень. Крім всіх перерахованих переваг корпорація Microsoft гарантує тривалий термін підтримки даного продукту.

4.8 Стратегія адміністрування й керування

Загальні положення захисту інформації у мережі

Мережеві атаки настільки ж різноманітні, як і системи, проти яких вони спрямовані. Деякі атаки відрізняються великою складністю, інші - здатні здійснити звичайний користувач, який навіть не припускає, які наслідку може мати його діяльність. При здійсненні атаки, зловмисник, звичайно, ставить перед собою наступні цілі:

- порушення конфіденційності переданої інформації;

- порушення цілісності й вірогідності переданої інформації;

- порушення працездатності системи в цілому або окремих її частинах.

З огляду на безпеку, розподілені системи характеризуються насамперед наявністю вилучених атак, оскільки компоненти розподілених систем звичайно використовують відкриті канали передачі даних тому порушник може модифікувати переданий трафік (активний вплив). І якщо активний вплив на трафік може бути зафіксовано, то пасивний вплив практично не піддається виявленню. Також в ході функціонування розподілених систем обмін службовою інформацією між компонентами системи здійснюється теж по відкритих каналах передачі даних, тобто службова інформація стає таким же об'єктом атаки, як і дані користувача. Безпека локальної мережі відрізняється від безпеки міжмережевої взаємодії тим, що в цьому випадку на перше, по значимості, місце виходить порушення зареєстрованих користувачів, оскільки в основному канали передачі локальної мережі перебувають на контрольованій території, захист від несанкціонованого підключення до яких реалізується адміністративними методами.

Розглянемо деякий перелік можливих загроз для проектованої КМ :

1. Sniffing (підслуховування). Оскільки дані по комп'ютерних мережах передаються в незахищеному форматі, то при одержанні доступу до лінії передачі даних, зловмисник може підслухувати трафік. В основному використовують прикладну програму, що називається сніффером. Дана програма перехоплює всі мережеві пакети, передані через певний домен. У цей час, сніффери працюють у мережах на цілком законних підставах. Однак, через те, що де які мережеві додатки передають дані відкритим текстом (наприклад Telnet, SMTP, FTP, POP3 …), за допомогою сніффера можна довідатися корисну інформацію.

Запобігти загрозі сніффенга пакетів можна за допомогою наступних дій і засобів:

- застосування для аутентифікації однократних паролів;

- установка апаратних або програмних засобів, що розпізнають сніфферы;

- застосування криптографічного захисту каналів зв'язку.

2. IP spoofing (підміна довіреного суб'єкта). Велика частина мереж і операційних систем використовують IP-Адресу комп'ютера для того, щоб визначити його достовірність при обслуговуванні. У деяких випадках можливо некоректне присвоєння IP-Адреси (підміна IP-Адреси відправника іншою адресою) - такий спосіб атаки називають фальсифікацією адреси (IP spoofing).

Даний вид атаки має місце, коли зловмисник, що перебуває усередині корпорації або поза нею, видає себе за законного користувача. Зловмисник може використати локальну IP-Адресу, або авторизовану зовнішню адресу, якій дозволено доступ до певних мережевих ресурсів. Ще один спосіб для проведення атаки даного типу - використовувати спеціальні програми, що формують IP-Пакети таким чином, щоб вони мали вигляд, як вихідні з дозволених внутрішніх адрес корпоративної мережі. Звичайно IP-Спуфінг обмежується вставкою модифікованої інформації у звичайний потік даних, переданих між клієнтським і серверним додатком.

Погрозу спуфінга можна послабити (не усунути) за допомогою наступних дій:

- правильне настроювання керування доступом із зовнішньої мережі;

- блокування спроб спуфінга чужих мереж користувачами своєї мережі.

Слід зазначити, що дана атака може бути здійснена за умови, що аутентифікація користувачів проводиться на базі IP-Адрес, тому введення додаткових методів аутентифікації користувачів (на основі одноразових чи паролів інших методів криптографії) дозволяє запобігти атакам IP-Спуфінга.

3. Session hijacking (перехоплення сеансу). По закінченні початкової процедури аутентифікації з'єднання, установлене законним користувачем, наприклад, з поштовим сервером, проводиться заміна адреси хоста зловмисником, а вихідному серверу надходить команда розірвати з'єднання. У результаті «співрозмовник» законного користувача виявляється непомітно підмінним.

Після одержання доступу до мережі в зловмисника з'являються більші можливості:

- він може посилати некоректні дані додаткам і мережевим службам, що приводить до аварійного завершення програми або неправильному функціонуванню;

- він може також завантажити комп'ютер або всю мережу трафіком, поки не відбудеться зупинка системи у зв'язку з перевантаженням каналів;

- нарешті, той хто атакує може блокувати трафік, що приведе до втрати доступу авторизованих користувачів до мережевих ресурсів.

4. Denial of Service (DoS - відмова в обслуговування). Даний тип атаки не націлений на одержання доступу до мережі або на добування з мережі якої-небудь конфіденційної інформації (хоча, у деяких випадках, за допомогою даної атаки можна проникнути в мережу використовуючи вразливі місця в операційній системі). Атака DoS робить мережу недоступною для звичайного використання за рахунок перевищення припустимих меж функціонування мережі, операційної системи або додатка. По суті, ця атака позбавляє звичайних користувачів доступу до ресурсів мережі.

Більшість атак DoS основане не на програмних помилках або вразливих місцях в системі безпеки, а на загальні недоліки системної архітектури. У випадку використання серверних додатків (таких, як WEB- або FTP-Сервер),

атака DoS може полягати в тому, щоб зайняти всі з'єднання, доступні для цих додатків, і тримати їх у зайнятому стані, не допускаючи обслуговування звичайних користувачів. Деякі атаки DoS зводять до нуля продуктивність мережі, переповняючи її небажаними пакетами або повідомляючи помилкову інформацію про поточний стан мережевих ресурсів. Подібний тип атак важко блокувати, тому що для цього потрібна координація дій із провайдером. Якщо трафік, призначений для переповнення, не зупинити в провайдера, то на вході в мережу зупинити його вже не вдасться, тому що вся смуга пропускання мережі буде зайнята.

5. Парольні атаки. Метою даної атаки є заволодіння даними облікового запису законного користувача. Для здійснення атаки даного типу, зловмисники використовують уже відомі методи, такі як прямий перебір - brute force attack. Для цієї атаки використовується спеціальна програма, що намагається одержати доступ до ресурсу загального користування (наприклад, до сервера). Якщо в результаті зловмисникові вдається підібрати пароль, він одержує доступ до ресурсів на правах звичайного користувача.

Інший метод заволодіння паролем - «Троянський кінь», - програма, що виглядає як корисна програма, а насправді, виконує роль злодія в системі, що краде паролі й іншу необхідну інформацію, яка відправляється зловмисникові.

Захист інформації це комплекс заходів, направлених на забезпечення інформаційної безпеки. На практиці під цим розуміється підтримка цілісності, доступності і, якщо необхідно, конфіденційності інформації і ресурсів, використовуваних для введення, зберігання, обробки і передачі даних. Комплексний характер, проблеми захисту говорить про те, що для її вирішення необхідне поєднання законодавчих, організаційних і програмно - технічних заходів.

Аналізуючи проблемі безпеки, можна виділити три основні рівні захисту:

Рівень 1. Мінімальний рівень безпеки.

- Модернізація наявного програмного забезпечення.

- Використання єдиних налаштувань (політик) для всіх серверів.

- Видалення зайвих застосувань.

Рівень 2. Опір вторгненню.

- Установка зовнішнього міжмережевого екрану.

- Видалене адміністрування систем безпеки.

- Обмеження на використання скриптів.

- Захист Web-серверів, використовуючи фільтрацію пакетів.

- Навчання персоналу і розмежування прав доступу.

- Використання рішень, перерахованих в рівні 1.

Рівень 3. Виявлення атак і ослаблення їх дії.

- Розділення привілеїв.

- Апаратні системи захисту.

- Внутрішній міжмережевий екран.

- Мережеві системи виявлення вторгнень.

- Системи виявлення вторгнень, що розміщуються на серверах (хостах).

- Використання рішень, перерахованих в рівні 2.

Для даної організації в цілях безпеки будуть використовуватися наступні рішення:

1) Розподіл привілеїв

Розділення привілеїв являє собою ефективний спосіб для перешкоджання доступу до всіх даних (в разі якщо зловмисник зміг проникнути в мережу). Кожен користувач може запускати лише певні програми відповідно до прав доступу.

2) Використання програмного мережного файрвола .

Фаєрвол може бути у вигляді окремого приладу (так званий маршрутизатор або роутер), або програмного забезпечення, що встановлюється на персональний комп'ютер чи проксі-сервер. Простий та дешевий фаєрвол може не мати такої гнучкої системи налаштувань правил фільтрації пакетів та трансляції адрес вхідного та вихідного трафіку (функція редиректу).Використовуємо стандартний інструмент IpTables.

Права користувачів та рівні доступу до інформаційних ресурсів мережі привласнює мережевий адміністратор. Оскільки проектована мережа має п'ятдесят користувачів, найбільш ефективним способом вирішення цієї задачі є створення групи користувачів. Такі групи створюються адміністраторами на сервері і визначають спільні функціональні особливості, які об'єднують користувачів.

Спочатку адміністратор оцінює, які права необхідні кожному користувачеві, а потім включає користувачів у відповідні групи. Цей метод призначення набагато зручніший, ніж привласнення окремих прав кожному користувачеві

4.9 Моделювання комп'ютерної мережі

Для наглядного відображення функціонування спроектованої комп'ютерної мережі підприємства, було змодельовано засобами Cisco Packet Traser окремо адміністративний та промисловий сегменти централізованої КМ (рис. 4.7 та рис 4.8)).

Рисунок. 4.7 - Логічна структура промислового сегменту мережі в Cisco Packet Tracer

Під час тестування роботи комп'ютерів користувачів, серверів та відповідних підключень було визначено що спроектована мережа працює успішно передає пакети в підмережах.

5. ЕКОНОМІЧНА ЧАСТИНА

5.1 Розрахунок собівартості комп'ютерної мережі

Фактична або повна собівартість КМ визначається в процесі проведення калькуляції собівартості та є сумою виробничої собівартості, адміністративних витрат та витрат на збут.

Виробнича собівартість розраховується за допомогою визначення поточних витрат на його розробку (або функціонально-необхідних витрат на створення КМ -) і визначається за формулою:

де - заробітна плата розробників КМ, грн;

? витрати на основну заробітну плату, грн;

- витрати на сплату єдиного соціального внеску, грн;

- загальновиробничі (накладні) витрати (витрати на оплату праці управлінського персоналу, оплату службових відряджень, консультаційно-інформаційні витрати, ремонт і технічне обслуговування інших основних фондів, окрім ПК, оренда приміщення тощо);

- вартість матеріалів, комплектуючих, грн.

Основна заробітна плата розробників:

де - денна зарплата програміста, грн;

- загальна трудомісткість розробки комп'ютерної системи, людино-дні.

Загальну трудомісткість визначаємо за формулою: