Проектирование компьютерной сети для предприятия "Анамар"

Размещено на http://www.allbest.ru/

СОДЕРЖАНИЕ

Перечень условных обозначений, символов, едениц сокращений и терминов

Введение

1. Многослойное представление корпоративной сети

1.1 Стратегические проблемы построения транспортной системы корпоративной сети

1.2 Создание транспортной инфраструктуры с масштабируемой производительностью для сложных локальных сетей

1.3 Предоставление индивидуального качества обслуживания для различных типов трафика в локальных сетях

1.4 Технологии магистрали для крупных локальных сетей предприятия

1.5 Сетевые операционные системы и СУБД

1.6 Корпоративные приложения, защита корпоративной информации

1.7 Планирование этапов и способов внедрения новых технологий в существующие сети

2. Стратегии защиты данных

2.1 Комплексный подход - необходимое условие надежной защиты корпоративной сети

2.2 Проблем безопасности при удаленном доступе

2.3 Технологии защищенного канала

3. Проектирование корпоративной сети

3.1 Анализ требований

3.2 Требования к системе резервного копирования

3.3 Требования к программно-аппаратным средствам доступа в Internet

4. Выбор оборудования

4.1 Перспектива на срок службы

4.2 Выбор топологии

4.3 Выбор способа управления сетью

4.4 Выбор комплектующих

4.5 Выбор программного обеспечения

4.6 Построение технической модели

4.7 Расчет полезной пропускной способности сети

4.8 Защита данных

5. Безопасность жизни и деятельности человека

5.1 Анализ условий труда

5.2 Техника безопасности

5.3 Производственная санитария и гигиена труда

5.4 Пожарная профилактика

6. Технико-экономическое обоснование

6.1 Исходные данные для ТЭО

6.2 Расчет расходов на маркетинг и результаты маркетинговых исследований

6.3 Планирование затрат

6.4 Расчет полных затрат

6.5 Планирование пассива и его составляющих

6.6 Расчет цены товара и финансовых результатов

6.7 Расчет операционных показателей

Выводы

Перечень ссылок

Перечень условных обозначений, символов, едениц сокращений и терминов

ЛВС - локальная вычислительная сеть

SSL - Secure Socke Layer (уровень защищённых сокетов)

IPSec - IP Security IPSec

MMC - Microsoft Management Console,

РАЕ - Page Address Extension

IIS - Internet Information Services

ASP - Active Server Pages («активные серверные страницы»)

RRAS - Routing and Remote Access Service

DFS - Distributed File System (дистрибутивная файловая система)

DES - Data Encrypting Standard (стандарт кодирования данных)

DEA - Data Encrypting Algorithm (алгоритм кодирования данных)

QoS - Quality of Service (качество обслуживания)

UTP - Unshielded twisted pair (неэкранированная витая пара)

STP - Shielded twisted pair (экранированная витая пара)

LAN - Local-area network (Локальная сеть)

MAC - Media Access Control address or Ethernet Hardware Address (EHA)

IP - Internet Protocol (межсетевой протокол)

TCP - Transmission Control Protocol (протокол управления передачей)

FTP - File Transfer Protocol (протокол передачи файлов)

SNMP - Simple Network Management Protocol (простой протокол управления сетью)

CSMA/CD - Carrier Sense Multiple Access With Collision Detection (множественный доступ с контролем несущей и обнаружением коллизий)

DNA - Domain Network Adress

DNS - Domain Name System (система доменных имён)

VPN - Virtual Private Network (виртуальная частная сеть)

Введение

Компьютерная сеть - это сложная система, включающая тысячи самых разнообразных компонентов: компьютеры разных типов, начиная с настольных и кончая мейнфремами, системное и прикладное программное обеспечение, сетевые адаптеры, концентраторы, коммутаторы и маршрутизаторы, кабельную систему. Основная задача системных интеграторов и администраторов состоит в том, чтобы эта громоздкая и весьма дорогостоящая система как можно лучше справлялась с обработкой потоков информации, циркулирующих между сотрудниками предприятия и позволяла принимать им своевременные и рациональные решения, обеспечивающие «выживание» предприятия в жесткой конкурентной борьбе. А так как жизнь не стоит на месте, то и содержание корпоративной информации, интенсивность ее потоков и способы ее обработки постоянно меняются. Последний пример резкого изменения технологии автоматизированной обработки корпоративной информации у всех на виду - он связан с беспрецедентным ростом популярности Internet в последние годы.

Изменения, причиной которых стал Internet, многогранны. Гипертекстовая служба WWW изменила способ представления информации человеку, собрав на своих страницах все популярные ее виды - текст, графику и звук. Транспорт Internet - недорогой и доступный практически всем предприятиям (и через телефонные сети, и одиночным пользователям) - существенно облегчил задачу построения территориальной корпоративной сети, одновременно выдвинув на первый план задачу защиты корпоративных данных при передаче их через (в высшей) степени общедоступную публичную сеть с многомиллионным "населением". Стек TCP/IP сразу же вышел на первое место, потеснив прежних лидеров локальных сетей IPX и NetBIOS, а в территориальных сетях - Х.25.

Популярность Internet оказывает на компьютерные сети не только техническое и технологическое влияние. Так как Internet постепенно становится общемировой сетью интерактивного взаимодействия людей, то Internet начинает все больше и больше использоваться не только для распространения информации, в том числе и рекламной, но и для осуществления самих деловых операций - покупки товаров и услуг, перемещения финансовых активов и т.п. Это в корне меняет для многих предприятий саму канву ведения бизнеса, так как появляются миллионы потенциальных покупателей, которых нужно снабжать рекламной информацией, тысячи интересующихся продукцией клиентов, которым нужно предоставлять дополнительную информацию и вступать в активный диалог через Internet, и, наконец, сотни покупателей, с которыми нужно совершать электронные сделки. Сюда нужно добавить и обмен информацией с предприятиями-соисполнителями или партнерами по бизнесу. Изменения схемы ведения бизнеса меняют и требования, предъявляемые к корпоративной сети. Например, использование технологии Intranet сломало привычные пропорции внутреннего и внешнего трафика предприятия в целом и его подразделений - старое правило, гласящее, что 80% трафика является внутренним и только 20% идет вовне, сейчас не отражает истинного положения дел. Интенсивное обращение к Web-сайтам внешних организаций и других подразделений предприятия резко повысило долю внешнего трафика и, соответственно, повысило нагрузку на пограничные маршрутизаторы и межсетевые экраны (firewalls) корпоративной сети. Другим примером влияния Internet на бизнес-процессы может служить необходимость аутентификации и авторизации огромного числа клиентов, обращающихся за информацией на серверы предприятия извне. Старые способы, основанные на заведении учетной информации на каждого пользователя в базе данных сети и выдаче ему индивидуального пароля, здесь уже не годятся - ни администраторы, ни серверы аутентификации сети с таким объемом работ не справятся. Поэтому появляются новые методы проверки легальности пользователей, заимствованные из практики организаций, имеющих дело с большими потоками клиентов - магазинов, выставок и т.п. Влияние Internet на корпоративную сеть - это только один, хотя и яркий, пример постоянных изменений, которые претерпевает технология автоматизированной обработки информации на современном предприятии, желающем не отстать от конкурентов. Постоянно появляются технические, технологические и организационные новинки, которые необходимо использовать в корпоративной сети для поддержания ее в состоянии, соответствующем требованиям времени. Без внесения изменений корпоративная сеть быстро морально устареет и не сможет работать так, чтобы предприятие смогло успешно выдерживать жесткую конкурентную борьбу на мировом рынке. Как правило, срок морального старения продуктов и решений в области информационных технологий находится в районе 3 - 5 лет.

Стратегическое планирование сети состоит в нахождении компромисса между потребностями предприятия в автоматизированной обработке информации, его финансовыми возможностями и возможностями сетевых и информационных технологий сегодня и в ближайшем будущем.

1. Многослойное представление корпоративной сети

Корпоративную сеть целесообразно рассмотреть как сложную систему, состоящую из нескольких взаимодействующих слоев. В основании пирамиды, представляющей корпоративную сеть, лежит слой компьютеров - центров хранения и обработки информации, и транспортная подсистема (рис. 1.1), обеспечивающая надежную передачу информационных пакетов между компьютерами.

Рисунок 1.1 - Иерархия слоев корпоративной сети

Над транспортной системой работает слой сетевых операционных систем, который организует работу приложений в компьютерах и предоставляет через транспортную систему ресурсы своего компьютера в общее пользование.

Над операционной системой работают различные приложения, но из-за особой роли систем управления базами данных, хранящих в упорядоченном виде основную корпоративную информацию и производящих над ней базовые операции поиска, этот класс системных приложений обычно выделяют в отдельный слой корпоративной сети.

На следующем уровне работают системные сервисы, которые, пользуясь СУБД, как инструментом для поиска нужной информации среди миллионов и миллиардов байт, хранимых на дисках, предоставляют конечным пользователям эту информацию в удобной для принятия решения форме, а также выполняют некоторые общие для предприятий всех типов процедуры обработки информации. К этим сервисам относится служба WorldWideWeb, система электронной почты, системы коллективной работы и многие другие.

Верхний уровень корпоративной сети представляет специальные программные системы, которые выполняют задачи, специфические для данного предприятия или предприятий данного типа. Такими системами могут служить системы автоматизации банка, организации бухгалтерского учета, автоматизированного проектирования, управления технологическими процессами и т.п.

Конечная цель корпоративной сети воплощена в прикладных программах верхнего уровня, но для их успешной работы абсолютно необходимо, чтобы подсистемы других слоев четко выполняли свои функции.

Стратегические решения, как правило, влияют на облик сети в целом, затрагивая несколько слоев сетевой "пирамиды", хотя первоначально касаются только одного конкретного слоя или даже отдельной подсистемы этого слоя. Такое взаимное влияние продуктов и решений следует обязательно учитывать при планировании технической политики развития сети, иначе существует большая вероятность столкнуться с необходимостью срочной и непредвиденной замены, например, сетевой технологии, из-за того, что новая прикладная программа испытывает острый дефицит пропускной способности для своего трафика.

1.1 Стратегические проблемы построения транспортной системы корпоративной сети

Вследствие того, что транспортная система создает основу для взаимосвязанной работы отдельных компьютеров, ее часто отождествляют с самим понятием "корпоративная сеть", считая все остальные слои и компоненты сети просто надстройкой. В свою очередь, транспортная система корпоративной сети состоит из ряда подсистем и элементов. Наиболее крупными составляющими транспортной системы являются такие подсистемы как локальные и глобальные сети корпорации, представляемые как чисто транспортные средства. В свою очередь каждая локальная и глобальная сеть состоит из периферийных подсетей и магистрали, которая эти подсети связывает воедино. Например, крупная локальная сеть, приведенная на рис.1.2, состоит из подсетей, объединенных магистралью, включающих два кольца FDDI и четыре маршрутизатора. Каждая подсеть также может иметь иерархическую структуру, образованную своими маршуртизаторами, коммутаторами, концентраторами и сетевыми адаптерами. Все эти коммуникационные устройства связаны разветвленной кабельной системой.

Глобальная сеть, объединяющая отдельные локальные сети, разбросанные по большой территории, также имеет, как правило, иерархическую структуру с высокоскоростной магистралью (например, АТМ), более медленными периферийными сетями (например, framerelay) и каналами доступа локальных сетей к глобальным. Эти составляющие глобальной сети представлены на рис.1.3.



Рисунок 1.2 - Структура локальной сети



Рисунок 1.3 - Структура глобальной сети

При создании и модернизации транспортной системы стратегически значимыми сегодня являются в первую очередь следующие проблемы.

1.2 Создание транспортной инфраструктуры с масштабируемой производительностью для сложных локальных сетей

Сегодня все чаще и чаще возникают повышенные требование к пропускной способности каналов между клиентами сети и серверами. Это происходит по разным причинам: из-за повышения производительности клиентских компьютеров, увеличения числа пользователей в сети, появления приложений, работающих с мультимедийной информацией, которая хранится в файлах очень больших размеров, увеличением числа сервисов, работающих в реальном масштабе времени. Особенно резко возросла нагрузка на серверы, которые публикуют корпоративные данные в Internet. Хотя такой трафик большую часть пути между сервером и клиентом проходит по глобальным каналам Internet, последний отрезок пути приходится на сегменты локальной сети предприятия, которые должны справляться с такой повышенной нагрузкой.

Требования к пропускной способности каналов связи к тому же очень неоднородны для различных сегментов и подсетей крупной локальной сети. Так как очень маловероятно, что все клиенты с одинаковой интенсивностью обмениваются данными со всеми серверами предприятия и внешними серверами, то часть сегментов загружена больше, а часть - меньше (рис. 1.4).



Рисунок 1.4 - Интенсивности потоков данных в разных сегментах локальной сети

Следовательно, имеется потребность в экономичном решении, предоставляющем сегментам и подсетям ту пропускную способность, которая им требуется.

Тем не менее, 10-Мегабитный Ethernet устраивал большинство пользователей на протяжении около 15 лет. Это объясняется тем, что пропускная способность в 10 Мб/с с большим запасом перекрывала потребности клиентских и серверных компьютеров сетей тех лет. До появления персональных компьютеров в локальную сеть объединялись миникомпьютеры, которых на предприятиях было не так уж и много, поэтому подсети включали по 5 - 20 компьютеров. Трафик состоял в основном из алфавитно-цифровых данных, интенсивность которых обычно не превышала нескольких десятков Кбайт в секунду для одного компьютера. Персональные компьютеры, массово появившиеся в середине 80-х, были весьма маломощными, с медленными дисками, и также не создавали проблем для 10-Мегабитных каналов.

Большая избыточность 10-Мегабитных каналов также не очень беспокоила специалистов, так как технология Ethernet была достаточно дешевой, коммуникационное оборудование сети состояло из одного-двух маршрутизаторов, коаксиального кабеля и сетевых адаптеров, стоимость которых была весьма небольшой по сравнению со стоимостью компьютеров, в которые они устанавливались.

Однако в начале 90-х годов начала ощущаться недостаточная пропускная способность каналов Ethernet. Еще больший недостаток в пропускной способности стали ощущать серверы, как на основе RISC-, так и на основе Intel-процессоров. Основным решением в этой области стало использование нескольких сетевых адаптеров, работающих на разные подсети.

Наряду с алфавитно-цифровыми данными появились графические, звуковые и видеоданные, хранящиеся в многомегабайтных файлах. Это еще больше усугубило ситуацию, так как теперь даже несколько персональных компьютеров, работающих с мультимедийной информацией, могли перегрузить 10-Мегабитный сегмент сети.

Поэтому многие сегменты 10 Мегабитного Ethernet'а стали перегруженными, реакция серверов в них значительно упала, а частота возникновения коллизий существенно возросла, еще более снижая номинальную пропускную способность.

Самое простое решение - повышение битовой скорости единственного протокола, работающего во всех сегментах сети, как происходило ранее с сетями на основе Ethernet - не является уже рациональным для скоростей больших чем 30 - 40 Мб/с. Это стало ясно после разработки и применения первого высокоскоростного протокола локальных сетей - протокола FDDI, работающего на битовой скорости 100 Мб/с. Стоимость сегментов FDDI оказалась для этого слишком высокой, поэтому протокол FDDI стал применяться в основном только для построения магистралей крупных локальных сетей и подключения централизованных серверов предприятия. Для связи сегментов Ethernet с сегментами FDDI потребовалось применение маршрутизаторов или транслирующих коммутаторов.

Такая схема построения локальной сети, когда в ней существует несколько сегментов или подсетей, в каждом из которых применяется один из двух протоколов в зависимости от той пропускной способности, которая нужна компьютерам, работающих в этой части сети, является прообразом схемы, к которой сегодня стремятся производители сетевого оборудования и сетевые интеграторы.

Более совершенная схема построения локальной сети должна опираться не на две доступные скорости, а на более дробную иерархическую линейку скоростей для компьютеров сети. Тогда можно будет более точно и с меньшими затратами учесть потребности каждой группы компьютеров, объединенных в сегмент, или даже каждого отдельного компьютера. Для согласования скоростей работы каналов между сегментами сети необходимо применять устройства, обрабатывающие трафик с буферизацией пакетов - коммутаторы или маршрутизаторы, но не концентраторы, которые организуют побитную передачу данных из сегмента в сегмент.

1.3 Предоставление индивидуального качества обслуживания для различных типов трафика в локальных сетях

Пропускная способность каналов связи нужна не компьютеру в целом, а отдельным приложениям, которые выполняются на этом компьютере. У файлового сервиса одни требования к пропускной способности, у электронной почты - другие, а у сервиса интерактивных видеоконференций - третьи. Особенно остро эти различия стали ощущаться с начала 90-х годов, когда наряду с традиционным файловым сервисом и сервисом печати в локальных сетях стали использоваться новые виды сервисов, порождающих трафик реального времени, очень чувствительного к задержкам. Типичным представителем такого сервиса является компьютерная телефония. Каждый телефонный разговор двух абонентов порождает в сети трафик, имеющий постоянную битовую скорость, чаще всего 64 Кб/с (рис.1.3.1), когда источник голосовой информации порождает поток байт с частотой 8 КГц.

Более сложные методы кодирования могут уменьшить интенсивность голосового трафика до 9.6 Кб/с, и даже до 4 - 5 Кб/с.

Независимо от способа кодирования и интенсивности трафика, качество воспроизводимого на приемном конце голоса очень зависит от задержек поступления байт, несущих замеры амплитуды голоса. Вся техника передачи голоса в цифровой форме основана на том, что замеры должны поступать на воспроизводящее устройство через те же интервалы, через которые они производились на приемном устройстве, которое преобразовывало голос в последовательность чисел. Задержка поступления очередного байта более чем на 10 мс может привести к появлениям эффекта эха, большие задержки могут исказить тембр голоса до неузнаваемости или привести к затруднениям в распознавании слов. Компьютерные сети - как локальные, так и глобальные - это сети с коммутацией пакетов, в которых задержки передачи пакетов трудно предсказать. В силу самого способа буферизации пакетов в промежуточных коммутаторах и маршрутизаторах задержки в компьютерных сетях имеют переменный характер, так как пульсирующий характер файлового сервиса, Web-сервиса и многих других популярных компьютерных сервисов создают постоянно меняющуюся загрузку коммутаторов и маршрутизаторов.



Рисунок 1.5 - Трафик, порождаемый в сети при передаче телефонного разговора

Особенно большие проблемы создает интерактивный обмен голосовыми сообщениями, проще говоря - обычный разговор. При передаче голоса только в одну сторону, например, при воспроизведении заранее записанной музыки, на приемном конце можно поставить буфер, в котором будут накапливаться неравномерно поступающие замеры звука, которые с некоторой задержкой затем будут извлекаться из буфера строго с частотой 8 КГц (рис. 1.6).



Рисунок 1.6 - Сглаживание неравномерности задержек, вносимых сетью

Такой буфер называется устройством эхоподавления и используется в протяженных цифровых телефонных сетях. При интерактивном обмене постоянные значительные задержки, вносимые буфером в разговор, становятся очень неудобными для собеседников - приходится долго ждать ответа, как при разговоре с космонавтами.

Аналогичные требования к передаче своих данных предъявляет и трафик, переносящий видеоизображение. Трафик, требующий, чтобы его данные поступали к приемному узлу через строго определенные промежутки времени, называется синхронным в отличие от асинхронного трафика, мало чувствительного к задержкам его данных. Почти весь трафик традиционных сервисов компьютерных сетей является асинхронным - задержка передачи части файла даже на 200 мс будет мало заметна для пользователя.

Как правило, асинхронный и синхронный виды трафика существенно отличаются и еще в одном важном отношении - чувствительности к потере пакетов. Асинхронный трафик очень чувствителен к таким потерям, так как потеря даже небольшой части файла делает всю операцию передачи файла по сети бессмысленной - файл или его потерянную часть обязательно нужно передавать заново. Потеря же одного замера голоса или одного кадра изображения не очень заметно сказывается на качестве воспроизводимого сигнала, так как инерционный характер физических процессов приводит к тому, что два последовательных замера не очень отличаются друг от друга, поэтому воспроизводящему устройству не составляет труда восстановить, хотя и приблизительно, потерянную информацию.

Использование мультимедийной информации и интерактивных сервисов в компьютерных сетях создало сложную проблему совмещения двух очень разных по требованиям к характеру передачи пакетов через сеть типов данных. Сложности совмещения синхронного и асинхронного трафика в одной сети коммутации пакетов иллюстрирует рис.1.7.

Рисунок 1.7 - Проблема совмещения синхронного и асинхронного трафика в одной сети с коммутацией пакетов

При передаче синхронных данных в обычных пакетах и кадрах локальной сети, такие пакеты будут встречаться во внутренних очередях коммутаторов и маршрутизатров с пакетами обычного асинхронного компьютерного трафика. Если коммутатор или маршрутизатор не делает различий между пакетами синхронного и асинхронного трафика, то задержки могут быть очень большими и очень неравномерными, особенно при загрузке коммуникационного устройства, близкой к его максимальным возможностям обработки пакетов. Естественным выходом из этой ситуации является приоритетная обработка пакетов синхронного трафика - и это очень распространенный прием, применяемый многими производителями коммутаторов, маршрутизаторов, а также разработчиками протоколов локальных сетей, например, протокола 100VG-AnyLAN, в котором существует два уровня приоритетов.

Однако даже при приоритетной обработке пакеты синхронного трафика могут задерживаться в коммуникационных устройствах, так как в них можно реализовать только алгоритмы обработки с относительными приоритетами, а не с абсолютными. Это значит, что если низкоприоритетный пакет уже начал передаваться в сеть, то устройство не может прервать его передачу при приходе в это время высокоприоритетного пакета. Поэтому максимальное время ожидания синхронного пакета всегда равно времени передачи пакета максимальной длины, которую допускает тот или иной протокол или действующая конфигурация сети.

Так, для классического 10-Мегабитного Ethernet'а максимальный размер пакета равен 1526 байт (со всеми служебными полями и преамбулой). Значит, максимальное время его передачи составит 1.2 мс. Это не так много для большинства видов синхронного мультимедийного трафика. Хуже обстоят дела в сетях Token Ring, где кадры могут достигать размера в 16 Кбайт. При скорости в 16 Мб/с это может привести к задержке в 8 мс, уже оказывающей заметное влияние на качество голоса или изображения. Для сетей FDDI с битовой скоростью 100 Мб/с и максимальным размером кадра 4500 байт задержка составит всего 0.36 мс, для сетей Fast Ethernet - 0.12 мс, Gigabit Ethernet - 0.012 мс, а АТМ при скорости 155 Мб/c и размере ячейки в 53 байта - всего 2.7 мкс.

Однако этот идеальный случай соответствует полностью свободной в любой момент времени среде передачи данных на выходном порту коммутатора или маршрутизатора. Такая ситуация встречается в локальных сетях не часто, так как микросегментация, когда каждый компьютер связан с сетью своей индивидуальной линией связи, пока еще слишком дорогое удовольствие для применения его во всех сегментах сети. При использовании в сегменте разделяемой среды высокоприоритетный пакет должен ждать не только завершения передачи низкоприоритетного пакета, но и освобождения разделяемой среды, а это составляющая является чисто случайной и с ней бороться можно только уменьшая загрузку сегмента.

Разделяемые среды передачи данных традиционно использовались в локальных сетях для уменьшения стоимости сетевого оборудования. Практически все протоколы локальных сетей - от Ethernet до 100VG-AnyLAN и GigabitEthernet (АТМ не относится к протоколам, разработанным для локальных сетей, эта технология в гораздо большей степени близка к технологиям передачи данных в глобальных сетях) могут работать на разделяемых средах передачи данных.

В разных протоколах локальных сетей реализованы разные методы доступа к разделяемой среде. В некоторых новых протоколах предусмотрен механизм приоритетного предоставления доступа к среде. Обычно, разработчики протокола ограничиваются двумя уровнями приоритетов - один, низкий, для асинхронного трафика, и второй, высокий, для синхронного. Так поступили разработчики протоколов FDDI и 100VG-AnyLAN. В протоколе Token Ring существует 8 уровней приоритетов, а во всех протоколах семейства Ethernet - Fast Ethernet - Gigabit Ethernet понятие приоритета кадра отсутствует. Безусловно, приоритетное предоставление доступа к разделяемой среде намного уменьшает задержки доставки пакетов к узлу назначения.

Однако, какой бы метод доступа к разделяемой среде передачи данных не использовался, возможна ситуация, когда несколько узлов с высоким приоритетом будут требовать одновременный доступ к разделяемой среде. Протоколы локальных сетей, даже самые последние, не решают задачу предоставления каких-то гарантий в распределении полосы пропускания общего канала передачи данных между равноприоритетными узлами. И, если все узлы сети будут иметь равные приоритеты, то разделяемая среда по-прежнему будет предоставлять каждому узлу заранее неизвестную часть своей пропускной способности.

Обеспечение для абонентов сети требуемого уровня задержек - это частный случай обеспечения нужного качества обслуживания - Quality of Service, QoS. Анализ типов трафика, создаваемого современными приложениями, позволил выделить несколько основных типов, для которых понятие QoS имеет различный смысл и характеризуется различными параметрами.

Трафик реального времени с постоянной битовой скоростью обычно требует предоставления ему постоянной полосы пропускания, причем в понятие качества обслуживания входит не только величина предоставляемой ему пропускной способности, но и величина задержек передачи каждого пакета - обычно среднее время задержки и величина ее вариации. Типичный представитель этого типа трафика - голосовой трафик.

Существует также тип трафика реального времени, создающий поток данных с пульсирующей битовой скоростью, но так же чувствительный к задержкам передачи пакетов. Такой трафик создают источники, выполняющие компрессию голоса или видеоизображения, когда, например, при неизменной картинке интенсивность потока данных резко уменьшается. Для такого трафика в понятие качества обслуживание по прежнему входят средняя величина и вариация задержек, а вместо одного параметра пропускной способности обычно от сети требуется обеспечить два - среднюю скорость передачи данных и передачу всплеска трафика до определенной величины в течение оговоренного периода времени.

Для пульсирующего компьютерного трафика, который не является трафиком реального времени, так как нечувствителен к задержкам, обычно достаточно обеспечить аналогичные предыдущему случаю параметры пропускной способности, а о величинах задержек не заботиться.

Для случая, когда трудно точно оценить среднюю скорость передачи данных приложением и максимальный всплеск интенсивности, применяют упрощенное толкование понятия качества обслуживания - как верхний и нижний пределы пропускной способности, предоставляемой сетью абоненту в течение достаточно длительного промежутка времени.

Источником трафика с определенными требованиями к качеству его обслуживания является не компьютер, а отдельное приложение, работающее на этом компьютере. Вполне реальной является ситуации когда на одном компьютере одновременно в режиме разделения времени выполняются несколько приложений и у каждого имеются свои требования к передаче его данных через сеть. Большинство современные ОС поддерживают режим мультипрограммирования, так что сосуществование фонового приложения рассылки электронной почты или факсов с сессией видеоконференции вполне возможно. Поэтому современная сеть должна допускать обслуживание с разными классами качества и с разными параметрами качества приложений одного и того же компьютера.

В глобальных сетях проблема совмещения голоса и данных, или, в более широкой постановке задачи, обеспечение гарантированного качества обслуживания для различных классов трафика стоит еще более остро. Это объясняется тем, что глобальные каналы связи существенно дороже локальных, поэтому гораздо сильнее стимулы для использования одной и той же транспортной инфраструктуры для передачи компьютерного трафика и трафика, который обычно передается через телефонные сети.

Телефонные сети всегда работали по технологии коммутации каналов, поэтому проблема задержек голосовых данных длинными компьютерными пакетами здесь не возникала - после коммутации составной канал оказывался полностью в распоряжении либо компьютерного, либо голосового трафика.

Однако, при этом определенные неудобства испытывали компьютерные абоненты сети - канал с постоянной пропускной способностью не может хорошо передавать пульсации трафика. Если нужно передать трафик со средней интенсивностью 10 Кб/с и пульсацией до 500 Кб/с на протяжении одной секунды, то, очевидно, что канал с пропускной способностью 28.8 Кб/с не сможет хорошо справиться с этой задачей. Пакеты, принадлежащие периоду всплеска трафика, будут ждать в очереди, которая образуется на входе такого канала. В то же время, в периоды трафика низкой интенсивности, канал будет использоваться всего на небольшую долю своей пропускной способности, а так как в сетях с коммутацией каналов оплата всегда осуществляется на повременной основе, то и платить компьютерные абоненты всегда будут не только за полезную пропускную способность канала, но и за неиспользуемую часть времени его работы.

Такое положение дел всегда сохраняется при использовании сетей с коммутацией каналов, в том числе и сетей ISDN. Сети ISDN изначально проектировались как сети с интегральными услугами, в которых компьютерный трафик должен передаваться наравне с телефонным, трафиком факсов, службы телетекста и трафиками других служб. Для передачи компьютерного трафика через сети ISDN используется сервис коммутации каналов со скоростью до 2 Мб/с, а следовательно все проблемы с передачей пульсаций остаются.

При использовании же для передачи голосового и других видов трафика реального времени сетей, разработанных как чисто компьютерные, пользователи сталкиваются с той же проблемой неравномерных и значительных задержек пакетов с мультимедийными данными, которая присуща и локальным сетям. При более низких скоростях передачи данных задержки могут быть достаточно чувствительными. Даже в ненагруженной сети framerelay при скорости передачи данных по каналу в 1.5 Мб/с передача пакета компьютерных данных длиной 4096 байт может задержать пакет голосовых данных на 22 мс, что скорее всего очень сильно снизит качество передачи голоса.

Большие размеры пакетов, которые выгодны для передачи компьютерных данных, так как увеличивают полезную пропускную способность канала за счет снижения доли служебных данных в заголовках, вредно влияют на качество передачи трафика реального времени не только за счет задержек в промежуточных узлах, то есть коммутаторах и маршрутизаторах. Большое влияние на качество обслуживания может оказывать так называемая задержка пакетизации, которая тем больше, чем больше размер пакета, используемого для передачи мультимедийных данных. Механизм возникновения задержки пакетизации иллюстрирует рисунок 1.3.4.

Рисунок 1.8 - Задержка пакетизации голосовых данных при передаче через сети коммутации пакетов

Пусть мы хотим использовать для передачи голоса сеть framerelay с максимальным размером пакета 4096 байт. Оцифрованные замеры голоса поступают на вход устройства доступа к глобальной сети - Frame Relay Access Device, FRAD, с частотой 8 КГц. FRAD упаковывает каждый байт в пакет, при этом первый байт, попавший в какой-либо пакет, должен ждать отправки в сеть 4095 интервалов по 125 мкс (период следования байт при частоте 8 КГц), пока пакет не заполнится полностью. Эта задержка и называется задержкой пакетизации, в данном случае она составит 511 мс, то есть полсекунды, что совершенно недопустимо. Поэтому обычно FRAD настраивается на отправку в сеть голосовых данных в пакетах гораздо меньшей длины, например, 128 байт, но и при этом задержка составит порядка 16 мс и для ее компенсации нужно устройство эхоподавления на приемном конце.

Из-за задержек пакетизации в сетях с коммутацией пакетов при необходимости совмещать передачу голоса и данных применяют пакеты небольших размеров, которые также уменьшают и задержки ожидания в коммутаторах сети. Однако, при этом уменьшается полезная пропускная способность сети для компьютерных данных.

В глобальных сетях обычно не ставится задача поддержки качества обслуживания для всех возможных типов трафика, которые были рассмотрены выше. Чаще всего, глобальная сеть считается очень хорошей, если она может дифференцированно обслуживать по крайней мере два вида трафика, голосовой и компьютерный, прием с очень упрощенной поддержкой качества обслуживания для каждого типа.

1.4 Технологии магистрали для крупных локальных сетей предприятия

Технология определяется используемыми протоколами нижнего уровня, такими как Ethernet, TokenRing, FDDI, FastEthernet и т.п. и существенно влияет на типы используемого в сети коммуникационного оборудования. Магистраль - это одна из наиболее дорогостоящих частей любой сети. Кроме того, так как через нее проходит значительная часть трафика сети, то ее свойства сказываются практически на всех сервисах корпоративной сети, которыми пользуются конечные пользователи. Поэтому решение о технологии работы магистрали относится к разряду стратегических решений.

Кроме протокола, который будет работать на магистрали, необходимо также выбрать рациональную структуру магистрали. Эта структура будет затем положена в основу структуры кабельной системы, стоимость которой может составлять 15% и более процентов всей стоимости сети. Рациональная структура магистрали должна обеспечить компромисс между качеством передачи трафика (пропускная способность, задержки, приоритеты для ответственных приложений) и стоимостью. На структуру магистрали сильнейшее влияние оказывает выбранная технология, так как она определяет максимальные длины кабелей, возможность использования резервных связей, типы кабелей и т.п. Так как магистраль крупной сети строится практически всегда на основе активного коммуникационного оборудования - коммутаторов и маршрутизаторов - фильтрующего и перераспределяющего трафик между подсетями, то в понятие рациональной структуры входит и выбор активного оборудования. При этом вопрос состоит не столько в выборе определенной модели оборудования от определенного производителя, а в основном в выборе типа оборудования - маршрутизатор, коммутатор - и режима работы этого оборудования по объединению подсетей и установлению барьеров от нежелательного межсетевого трафика.

Сегодня существует несколько режимов работы маршрутизаторов и коммутаторов, отличающихся от стандартных: образование виртуальных сетей коммутаторами, ускоренная маршрутизация для долговременных потоков данных (IP switching, tagswitching и т.п.), спуффинг широковещательного трафика и некоторые другие. Пока что эти режимы, часто весьма полезные для работы на магистралях современных сетей, каждый производитель реализует по-своему, хотя работы по стандартизации идут, и некоторые приемы и алгоритмы уже близки к тому, чтобы обрести свое стандартное выражение.

1.5 Сетевые операционные системы и СУБД

При принятии стратегического решения относительно используемых в корпоративной сети сетевых операционных систем, необходимо учитывать, что все сетевые ОС делятся по своим функциональным возможностям на два четко различимых класса: сетевые ОС масштаба отдела и корпоративные сетевые ОС.

При выборе корпоративной сетевой ОС в первую очередь нужно учитывать следующие критерии:

Масштабируемая в широких пределах производительность, основанная на хорошей поддержке многопроцессорных и кластерных платформ (здесь сегодня лидерами являются фирменные версии Unix, показывающие рост производительности близкий к линейному при росте числа процессоров до 64).

Возможность использования данной ОС в качестве сервера приложений. Для этого ОС должна поддерживать несколько популярных универсальных API, таких, которые позволяли бы, например, выполняться в среде этой ОС приложениям Unix, Windows, MSDOS, OS/2. Эти приложения должны выполняться эффективно, а это означает, что данная ОС должна поддерживать многонитевую обработку, вытесняющую многозадачность, мультипроцессирование и виртуальную память.

Наличие мощной централизованной справочной службы (такой, например, как NDS компании Novell или StreetTalk компании Banyan). Справочная служба должна обладать масштабируемостью, то есть хорошо работать при очень большом числе пользователей и разделяемых ресурсов, а для этого необходимо, чтобы база справочных данных была распределенной. Нужно учитывать, что справочные службы, также как и многие другие сетевые сервисы, сейчас часто поставляются не встроенными в конкретную ОС, а в виде отдельного продукта, например, Street Talkfor Windows NT (компания Novell планирует выпуск NDS для Windows NT).

Существует еще ряд не менее важных характеристик, которые надо учитывать при выборе сетевой ОС, таких, например, как степень стабильности и безопасности ОС, наличие программных средств удаленного доступа, способность работать в гетерогенной среде и т.д., реальная жизнь упрощает задачу выбора. Сегодня рынок корпоративных ОС поделен между несколькими операционными системами: примерно по одной трети имеют NetWare и Windows NT, 10% приходится на разные версии Unix и 20% представлены остальными типами ОС.

Похожая ситуация складывается и на рынке СУБД. Число явных лидеров не так велико, если рассматривать наиболее распространенные классы компьютерных платформ - RISC-серверы и RISC-рабочие станции, а также многочисленную серию серверов и рабочих станций на платформе процессоров Intel. Однако, более тонкий подбор подходящей СУБД и ее версии для используемых на предприятии прикладных задач и технологий хранения и обработки данных требует знания основных сегодняшних свойств каждой СУБД и представления о том, какие новые свойства, желательные для выбранной сети, можно ожидать от данной СУБД в ближайшем будущем.

1.6 Корпоративные приложения, защита корпоративной информации

Для слоя приложений чаще всего важен выбор не самого приложения, а той технологии, в соответствии с которой приложение создается. Это связано с тем, что большая часть приложений создается силами сотрудников предприятия или же силами сторонней организации, но по конкретному техническому заданию для этого предприятия. Случаи использования готовых крупных приложений, настраиваемых на потребности данного предприятия, например SAPR/3, более редки по сравнению с созданием специальных приложений. Специальные приложения часто модифицируются, добавляются, снимаются с работы, поэтому важно, чтобы технология их создания допускала быструю разработку (например, на основе объектного подхода) и быстрое внесение изменений при возникновении такой необходимости. Кроме того, важно, чтобы технология позволяла строить распределенные системы обработки информации, использующие все возможности транспортной подсистемы современной корпоративной сети.

Технология Intranet удовлетворяет этим требованиям, являясь одновременно и самой перспективной технологией создания приложений на ближайшие несколько лет. Однако, и при выборе Intranet для создания корпоративных приложений, остается немало проблем, которые можно отнести к стратегическим, так как существует несколько вариантов реализации этой технологии - вариант Microsoft, варианты Sun, IBM, Netscape и другие.

В конечном итоге свойства приложений определяют требования, предъявляемые к остальным слоям и подсистемам корпоративной сети. Объемы хранимой информации, их распределение по сети, тип и интенсивность трафика - все эти параметры, влияющие на выбор СУБД, операционной системы и коммуникационного оборудования и т.п. являются следствием того, какие приложения работают в сети. Поэтому знание свойств приложений и их сознательное формирование разработчиком корпоративной сети позволяют более рационально планировать развитие остальных ее слоев.

Корпоративные сети более подвержены вторжениям, чем локальные сети меньшего масштаба или централизованные информационные системы предприятия, построенные на базе мэйнфреймов. Все главные особенности корпоративной сети обуславливают повышенную опасность этого типа сетей.

И первой такой особенностью является наличие глобальных связей. По своей природе глобальные связи, простирающиеся на много десятков и тысяч километров, не позволяют воспрепятствовать злонамеренному доступу к передаваемым по этим линиям связи данным. Нельзя дать никаких гарантий, что в некоторой, недоступной для контроля точке пространства, некто, используя, например, анализатор протокола, не подключится к передающей среде для захвата и последующего декодирования пакетов данных. Такая опасность одинакова присуща всем видам территориальных каналов связи и не связана с тем, используются ли собственные, арендуемые каналы связи или услуги общедоступных территориальных сетей, подобные Internet.

Однако использование общественных сетей (речь в основном идет об Internet) еще более усугубляет ситуацию, хотя бы потому, что в такой сети для доступа к корпоративным данным в распоряжении злоумышленника имеются более разнообразные и удобные средства, чем выход в чистое поле с анализатором протоколов. Кроме того, огромное число пользователей увеличивают вероятность попыток несанкционированного доступа.

Другая особенность корпоративной сети - масштабность, она заключается в том, что имеется очень большое количество рабочих станций, серверов, пользователей, мест хранения данных и т.п. В таких условиях администратору оказывается гораздо труднее построить надежную защиту сети, предусматривающую адекватную реакцию на все возможные попытки взлома системы.

Гетерогенность - это еще одна особенность корпоративной сети, которая усложняет работу администратора по обеспечению ее безопасности. Действительно, в программно и аппаратно неоднородной среде гораздо сложнее проверить согласованность конфигурации разных компонентов и осуществлять централизованное управление. К тому же надо учесть, что в большой гетерогенной сети резко возрастает вероятность ошибок как пользователей, так и администраторов.

По сравнению с сетями масштаба отдела или небольшого предприятия обеспечение безопасности в корпоративной сети является задачей не только более сложной, но и более важной: огромные материальные потери, к которым может привести доступность некоторых данных для заинтересованных в этом людей, переводит безопасность из разряда чисто технических вопросов в разряд самых приоритетных бизнес-проблем.

Поэтому защита данных в корпоративной сети в любом случае является стратегически важной задачей, а при использовании публичных территориальных сетей ее важность увеличивается многократно.

Проблема защиты данных при передачи их через публичные сети осложняется и тем обстоятельством, что во многих странах правительства вводят ограничения на использование основных средств защиты данных, а именно, средств их шифрации. Практически любой метод защиты данных основан на том или ином виде шифрации. Правительственные ограничения на использование средств шифрации преследуют несколько целей:

предотвращение утечек государственных секретов, которые могут иметь место при использовании в государственных учреждениях непроверенных средств шифрации данных при отправке их в публичные сети (телефонные или компьютерные);

возможность расшифровки данных, пересылаемых лицами или организациями, подозреваемыми в преступных действиях;

защита отечественных производителей средств шифрации;

контроль за рынком средств шифрации.

Правительственные ограничения особенно осложняют решение задачи защиты корпоративных данных при создании интернациональных корпоративных сетей, так как на одном конце сети могут действовать одни ограничения, диктующие использование определенных средств шифрации, а на другом - другие.

Повсеместное распространение сетевых продуктов массового потребления, имеющих встроенные средства защиты данных, например, сетевых операционных систем Windows NT и Windows 95 c протоколом защиты данных PPTP, с одной стороны упрощает защиту данных, а с другой стороны часто создает только видимость надежной защиты. Эта видимость - следствие того, что в соответствии с ограничениями правительства США допускается экспорт продуктов шифрации только с ключами длиной до 40 бит. Поэтому, внутри США используются те же операционные системы или другие продукты с ключами 56и бит и выше, а за пределы страны американские продукты поставляют версии с усеченными возможностями. В то же время мощности компьютеров, в том числе и персональных, выросли настолько, что расшифровать сообщение, зашифрованное с помощью 40-битного ключа, можно за один день, даже не имея в распоряжении мощных суперкомпьютеров (и такие случаи зафиксированы).

Поэтому, использование для защиты данных тех средств, которые имеются под рукой, защищает данные только от просто любопытствующих людей. Заинтересованный в прочтении этих данных человек может достаточно легко их расшифровать, потратив на это не так уж много сил и средств.

Надежная шифрация - не единственная проблема, возникающая при защите корпоративных данных. Достаточно сложно решить и проблему надежной аутентификации пользователей.

Аутентификация - это получение уверенности в том, что данный пользователь является тем индивидуумом, за кого себя выдает. Использование средств удаленного доступа к корпоративной сети существенно усложняет эту задачу. При аутентификации пользователей локальной сети успешно решить эту задачу помогают организационные меры - отсечение посторонних пользователей от клиентских компьютеров и терминалов, контроль за подключениями к кабельной системе здания и т.п. При удаленном доступе эти средства не работают, а пароли, передаваемые легальными пользователями по сети в открытом виде по публичной сети, могут быть перехвачены и использованы впоследствии нелегальными пользователями. Даже при использовании более сложных схем аутентификации, не передающих пароли по сети, в схеме аутентификации имеется уязвимое звено - процедура передачи удаленному пользователю его пароля. Хотя эта процедура, в отличие от процедуры входа в сеть, выполняется редко, использование для нее электронных средств коммуникаций или обычной почты не дает хороших гарантий от перехвата пароля.

Новые проблемы создает проблема аутентификации пользователей при ведении бизнеса через Internet. Число пользователей вырастает настолько, что количество переходит в качество, и старые методы аутентификации на основе индивидуальных паролей начинают работать плохо - слишком большой объем работы падает на администратора, раздающего пароли, и средства аутентификации, эти пароли проверяющие. Нужны новые механизмы идентификации категорий пользователей, например, при издании журнала через Internet, нужно различать: пользователей, вообще не оформивших подписку, которым нужно предоставлять доступ только к небольшому списку избранных статей, рекламирующих журнал; пользователей, оформивших подписку только на определенную рубрику журнала; пользователей, оформивших полную подписку. Кроме этого, нужно проверять срок окончания действия подписки.

Ведение бизнеса через Internet выдвигает на первый план и такую проблему, как обеспечение целостности переданных через сеть данных. Пользователь, купивший через Internet новую программу, должен быть уверен, что он получил оригинальную копию этой программу, а не подделку от нечестного продавца.

1.7 Планирование этапов и способов внедрения новых технологий в существующие сети

Важно не только принять стратегически верное решение, но и правильно внедрить его в существующую сеть. Так как это решение долговременное, то оно совсем не обязательно мгновенно должно найти свое воплощение в новых программных или аппаратных средствах сети. Например, внедрение технологии Intranet не означает быстрый отказ от всех приложений другого типа. Возможность поэтапного и как можно менее болезненного способа постепенного перехода на новый продукт или новую технологию - это тоже обязательное свойство хорошего стратегического решения. Если же новое решение технически очень привлекательно, но путей его постепенного внедрения в существующую сеть нет, то от него лучше отказаться. Примером может служить технология АТМ до разработки таких стандартов как LAN Emulation или Classical IP. Красивое с технической точки зрения решение требовало полной замены всего коммуникационного оборудования локальной сети и поэтому не находило применения до тех пор, пока на появились коммутаторы АТМ, которые за счет реализации в них клиентов и серверов LAN Emulation могут теперь без проблем взаимодействовать с традиционными сетями Ethernet или TokenRing.

На первом этапе в сети появляется небольшая подсеть или даже несколько компьютеров, работающих по-новому. На этом этапе специалисты, обслуживающие сеть, и пользователи знакомятся с принципиальными свойствами нового подхода и оценивают возможность сосуществования его с остальной частью сети. При положительной оценке новинки ее область применения постепенно расширяется, захватывая новые подсети, серверы или другие компоненты сети. Постепенность внедрения позволяет вовремя отказаться от новинки, не затратив при этом большие средства.