Корпоративные сети

Размещено на http://www.allbest.ru/

1. Экономический аспект проектирования КС. Взаимосвязь требований к большим сетям со стоимостью разработки

Стоит рассмотреть 2 фактора:

1. Особен-ти инф-го трафика и маршрутов.

2. Изменяемость топологии сети (орган-ая структура). Ориентируясь на функц-ую и лог-ую структуру организаяция с учетом существ-их телекоммун-ой инфраструктуры разрабатывается архитектура сети, к-ая помогает:

- Оценить необх-ть новых технологий и прекладных инфор-ых технологий

- Определить динамику изм-ия топологии сети

- Определить эффектывный набор сетевых технологий

- Снизить производственные риски

- Снизить затраты на ЖЦ сети

Архитектура сети отличается от физич-го проекта тем, что не дает принципиальную схему, а позволяет учитывать вес стек требований. Арх-ра вкл. 3 ур.:

1. Ур. доступа

2. Ур. распределения

3. Ядро сети (магистраль)

Основой для разработки арх-ры явл-ся концепция иерархичности сети, а эталонная модель OSI м.б. реализована внутри сегмента сети. Ур. Иерархичной модели реализуют жесткие требования. Попытка делигировать задачи с ур. на ур. Приводит к дублированию ф-ий и ошибке.

Ур. доступа отвечает за формирование сетевого трафика и выполняет контроль точек входа в сеть. (с учетом пограничных служб). Ур. распределения выполняет агригацию трафика и суммирование маршрутов. Задача перераспределения явл-ся сопутствующей. Ядро сети отвечает за высокоскор-ую передачу на базе коммутации.

Любая информационная система и ее носитель - корпоративные сети будут иметь структуру, влияющую на стоимостной характер. Первый уровень - уровень доступа - схема точек доступа, которые участвуют в процессе. Цели организации определяются именно тем продуктом, кот. разрабатывают на данной экономической единице. Уровень доступа имеет свои требования - необходимо, чтобы схема концентрировала информацию, т.е. создавала единое информационное пространство. Второй уровень - уровень распределения. Необходимо, чтобы информационный поток был перераспределен. Цели, относящиеся непосредственно к проектированию КС - масштабируемость, управляемость. Третий уровень - уровень магистрали, называемый ядро. Характеризуется с центральным Rout - маршрутизатором. Для подключения основных элементов сети. Цель - максимальная быстрая передача информации.

Уровень доступа концентрируется по рабочим местам. Обобщающее требование к проектировщику - стоимость изделия. Взаимодействие 4 характеристик дает возможность работать с конкретным показателем. Это отношение эффективности работы КС по отношению к ее стоимости.

2. Методология построения корпоративных сетей

Исп-ет 3 лог-их составляющих: 1. Принципы построения КС. 2. Выбор сетевых шаблонов. 3. Техн-ие позиции

Принципы построения используются при планировании сети и принятии решений. Принципы - это набор простых инструкций, которые с достаточной степенью детализации описывают все вопросы построения и эксплуатации развертываемой сети в течение длительного периода времени. Как правило, в основе формирования принципов лежат корпоративные цели и базовые методы ведения бизнеса организации. Принципы обеспечивают первичную связь между корпоративной стратегией развития и сетевыми технологиями. Они служат для разработки технических позиций и сетевых шаблонов. Изменение организационной структуры. Использование новых программных средств. Исследование различных решений. Проверка сетей. Выбор протоколов. Выбор физического расположения. Вычисление критического времени. Анализ вариантов.

Методика построения сети:

1. определение степени изменяемости и алгоритма организационной структуры.

2. выбор физического расположения оборудования. Опираемся на 2 фактора - конкретное рабочее место, условия.

3. выбор протоколов: сетевых, данных, управляющих. Определяем стеки протоколов, кот. будем реализовывать. Требования сети и возможности, кот. необходимо реализовать. Получаем набор ограничений.

4. анализ архитектурных решений сети. Специфическая настройка, специфическое оборудование, размещение - 3 основных базовых решения.

5. использование новых программных средств.

6. расчет критического времени. Предварительный анализ сетевых характеристик заданного трафика.

7. в зависимости от результатов могут произойти некоторые изменения. Анализ вариантов программной поддержки, возможные изменения уровня доступа и расчет нагрузки сети. Результатом являются технические позиции проектируемой сети.

8. тестирование сети.

Перед проектированием необходимо разработать техническое задание, которое должно быть документировано в соответствии с ГОСТ и подписано всеми участниками задания.

3. Принципы проектирования корпоративной сети

Принципы построения используются при планировании сети и принятии решений. Принципы - это набор простых инструкций, которые с достаточной степенью детализации описывают все вопросы построения и эксплуатации развертываемой сети в течение длительного периода времени. Как правило, в основе формирования принципов лежат корпоративные цели и базовые методы ведения бизнеса организации. Принципы обеспечивают первичную связь между корпоративной стратегией развития и сетевыми технологиями. Они служат для разработки технических позиций и сетевых шаблонов.

Специалисты, занимающиеся разработкой вычислительных сетей, и сетевые администраторы всегда стремятся обеспечить выполнение трех основных требований, предъявляемых к сети, а именно:

масштабируемость;

производительность;

управляемость.

Хорошая масштабируемость необходима для того, чтобы без особых усилий можно было менять как число пользователей, работающих в сети, так и прикладное программное обеспечение. Высокая производительность сети требуется для нормальной работы большинства современных приложений. И, наконец, сеть должна быть достаточно легко управляемой, чтобы ее можно было перенастраивать для удовлетворения постоянно меняющихся потребностей организации. Эти требования отражают новый этап в развитии сетевых технологий - этап создания высокопроизводительных корпоративных сетей.

В современных условиях для правильного проектирования сети, ее разработки и обслуживания специалисты должны учитывать следующие вопросы:

Изменение организационной структуры. При реализации проекта не следует «разлучать» специалистов по программному обеспечению и сетевых специалистов. При разработке сетей и всей системы в целом нужна единая команда из специалистов разного профиля;

Использование новых программных средств. Необходимо знакомиться с новым программным обеспечением еще на ранней стадии разработки сети для того, чтобы можно было своевременно внести необходимые коррективы в планирующиеся к использованию средства;

Исследование различных решений. Необходимо оценивать различные архитектурные решения и их возможное влияние на работу будущей сети;

Проверка сетей. Необходимо проводить тестирование всей сети или ее частей на ранних стадиях разработки. Для этого можно создать прототип сети, который позволит оценить правильность принятых решений. Так можно предупредить появление разного рода «узких мест» и определить применимость и примерную производительность разных архитектур;

Выбор протоколов. Чтобы правильно выбрать конфигурацию сети, нужно оценить возможности различных протоколов. Важно определить, как сетевые операции, оптимизирующие работу одной программы или пакета программ, могут повлиять на производительность других;

Выбор физического расположения. Выбирая место установки серверов, надо, прежде всего, определить местоположение пользователей. Возможно ли их перемещение? Будут ли их компьютеры подключены к одной подсети? Будут ли пользователи иметь доступ к глобальной сети?

Вычисление критического времени. Необходимо определить время допустимой реакции каждого приложения и возможные периоды максимальной нагрузки. Важно понять, как нештатные ситуации могут повлиять на работоспособность сети, и определить, нужен ли резерв для организации непрерывной работы предприятия;

Анализ вариантов. Важно проанализировать различные варианты использования программного обеспечения в сети. Централизованное хранение и обработка информации часто создают дополнительную нагрузку в центре сети, а распределенные вычисления могут потребовать усиления локальных сетей рабочих групп.

4. Сетевые шаблоны корпоративной сети

Сетевые шаблоны - это набор моделей сетевых структур, отражающих связь между компонентами сети. Сетевые шаблоны иллюстрируют сетевую инфраструктуру, которая описывается полным набором технических позиций. По сути дела, сетевые шаблоны - это описание функциональной схемы участка сети, имеющего конкретные границы.

Существуют три разновидности: сетевых шаблонов, глобальный, выделенная магистраль. Сетевой шаблон глобальной сети.

Глобальные сети (WAN) - это системы связи с широкополосными каналами, предназначенные для передачи данных и обеспечивающие связь между абонентами, разделенными друг от друга сотнями километров. Огромная протяженность сети отличает WAN от городских сетей, которые поддерживают связь на расстоянии до 100 км. Глобальные сети WAN способны переносить цифровые данные, голос, данные локальных сетей, электронную почту, видео и т.д. Стек протоколов ТСР/IР широко используется и в глобальных сетях. Это означает, что сеть WAN должна эффективно обрабатывать трафик ТСР/IР.

Главное требование при транспортировке данных - это способность гарантировать качество обслуживания (Quality of Service, Qos). Qos означает, что приложениям будут предоставлены ресурсы, необходимые для их приемлемой работы. При этом услуги глобальной сети должны быть доступными по стоимости, достаточно эффективными и надежными.

Характеристика глобальной сети - система связи с широкополосными каналами, интегрированным трафиком, гарантированным качеством обслуживания, жестким ограничением полосы пропускания. Используются три сетевые технологии: IP сети, ATM сети, Frame Relay. Для выбора технологии глобального шаблона используют следующие критерии:

1. обеспечивает ли технология требуемое качество обслуживания.

2. может ли сетевая технология гарантировать стандартные характеристики качества обслуживания.

3. максимальное расширение сети без изменений характеристик качества обслуживания.

4. возможен ли выбор топологии сети (возможные варианты с одинаковым качеством обслуживания).

5. рентабельность предоставляемых услуг. Характеристика стоимостная. На сколько качество обслуживания адекватно затратам, которые несет разработчик включая стоимость оборудования.

6. эффективность управления.

Компоненты глобального шаблона включают устройства доступа к глобальной сети:

1. маршрутизаторы глобальной сети (фильтрующее сетевое устройство защиты). Уровень распределения.

2. коммутаторы глобальных сетей (оптимизация для управления шириной полосы пропускания). Особенность связана с технологиями качества обслуживания, которые предоставляются. Уровень магистрали.

Сетевой шаблон городской сети (МАN) (до 100 км). Включает в себя три разновидности:

1. SONET/SDH - реализует поддержку всех типов видов трафика, фиксированную полосу пропускания для отдельных участков сети. Поддержка полосы пропускания для приложений. Высокая утилизация транспортных механизмов. Технология использует устройства доступа к городским сетям и специализированное оборудование для формирования трафика такие как, мультиплексоры Sonnet, управлением интеграцией - маршрутизаторы Sonnet.

2. Шаблон с передачей ATM поверх Sonnet. Используется для сетей с гарантированным качеством обслуживания, имеющих магистраль на коммутаторах ATM со встроенной поддержкой технологии MPOA - Multi Protocol Over Atm. Недостаток - требует прозрачной взаимосвязи. Технология включает службу передачи ячеек ATM по сети Sonnet. На базе мультиплексоров Sonnet коммутация ATM по оптоволокну.

3. Городской шаблон расширенной локальной сети. Это сеть с передачей трафика данных без гарантированного качества обслуживания, включающая механизм прозрачной интеграции с локальными сетями по одномодовому оптоволокну с интеллектуальными коммутаторами. Использует устройство доступа к сети для подключения к маршрутизаторам.

Сетевой шаблон выделенной магистрали. Описываемый ниже шаблон может быть использован для участка корпоративной сети со следующими характеристиками:

- Размер участка таков, что требуется разбиение сети на несколько сегментов Ethernet, связанных между собой коммутаторами.

- Магистральная сеть участка реализована на коммутаторах АТМ. Маршрутизация в магистрали АТМ обеспечивается по технологии МРОА (Multi-Protocol Over АТМ).

- Предполагается, что центральный офис принимает и обрабатывает данные, получаемые из сетей WAN и МАN. Центральный офис также распределяет график между отдаленными участками корпоративной сети. Поэтому в его состав включают WAN- и МАN-магистрали с коммутацией.

Этот шаблон может быть использован для центрального офиса или административного центра предприятия. Такие участки сети часто являются топологическими центрами коммутации или первичными узлами коммутации для региональных сетей связи предприятия. Они характеризуются большим числом рабочих станций и серверов различного назначения. Здесь, например, могут располагаться центры обработки данных. Такой участок может занимать площадь в пределах одного или нескольких зданий. Для соединения зданий используется оптоволоконный кабель. Вся кабельная система находится в собственности предприятия.

Требуется разделение сети на сегменты, связанные коммутаторами, выделение магистрали на технологии качества обслуживания и обработка распределенного трафика между участками сети.

Функциональная структура корпоративной сети имеет набор четко определенных компонентов. На основании функциональной структуры корпоративной сети можно выделить следующие основные сетевые шаблоны: для глобальной сети, для городской сети, для центрального офиса, для крупного отделения организации, для отделения. Могут быть разработаны и другие шаблоны для участков сети, имеющих какие-либо особенности.

5. Сравнительный анализ технологий QoS КС

Технологии качества обслуживания

Технологии качества обслуживания используют распределение по категориям и назначению приоритетов трафика. Для трафика реального времени задержка меньше 0.1 сек., трафик транзакции от 1 сек., трафик данных до нескольких секунд. В соответствии с количественной задержкой алгоритм качества обслуживания выставляет свои приоритеты, которые стандартизируются понятием «соглашение». Каждое «соглашение» имеет свой уровень сервиса.

1. Обеспеч-ие перекрывающей пропускной способности. Техн-ия использует широковещат-ые сети с возможностью выделения канала в постоянное пользование, при этом метод контроля трафика реализован на программ. ур. Возможен только низкоскоростной мультимед. Трафик. Ткхнолония доступна и проста в реализ-ии. Имеет ограничения по пропускной способности при взрывообразности, за счет масштабности сети.

2. Приоритетные очереди в маршрутизаторах. Реализуется на ур. Оборудования в виде алгоритмов:

1) FI/FO - недостаток большой пакет необраб. пакетов.

2) Случайное раннее обнаружение (RED) - потери пакетов ниже чем у FI/FO, отбрасывает не последние пакеты, а случайным образом выбранные в очереди, работать начинает при достижении длины очереди конкретного значения.

3) Очередь с приоритеми, где используются неск. очерей, но обслуживаются в зависимости от приоритета очереди.

4) Очереди на основе классов, алгорит при к-ом трафик делится на клыссы, к к-ому выделяется определенные ресурс в виде пропускной способности.

5) Взаимная справедливая очередь. Исп-ет алгоритм очередь на классах, где каждой очереди назначается класс обслуживания, и выделяется требуемая пропускная спос-сть, пр увеличении трафика ресурс увел-ся за счет низкоприоритетных очередей.

6) Использование протокола резервирования ресурса (RSVP)/ Он позволяет запрашивать сервис (пропускная спос-ть, ур. потерь, расчетную задержку) у сети для предоставления рес-са приоритетным очередям.

6. Интегрированные услуги качества обслуживания

сеть корпоративный шаблон проектирование

Модель Internet с предоставлением интегрированных услуг (IS) была определена рабочей группой IETF. В эту модель включены способ передачи с «максимальным усилием» и новый вид обслуживания трафика в реальном времени, который обеспечивает резервирование полосы пропускания в Internet.

Модель с предоставлением IS была разработана для того, чтобы оптимизировать сеть при использовании ее ресурсов новыми приложениями, например мультимедийными в реальном времени, которые требуют QoS. Для поддержки интегрированных услуг маршрутизатор Internet должен предоставлять и поддерживать соответствующий QoS для каждого потока в соответствии с сервисной моделью. Основной функцией маршрутизатора, обеспечивающий предоставление различных уровней качества обслуживания, становится функцией контроля и управления применительно к поступающему потоку информации. Эта функция обеспечивается следующими основными подсистемами:

Планировщик пакетов (Packet scheduler). Он руководит отправлением различных потоков пакетов на рабочие станции и маршрутизаторы, основываясь на присвоенных им сервисных классах и используя подсистему управления очередями и другие алгоритмы планирования. Планировщик пакетов должен гарантировать, что пакеты доставляются получателю в соответствии с заданными параметрами QоS для каждого потока.

Классификатор пакетов (Packet classifier). Классификатор пакетов идентифицирует пакеты потока IP в рабочих станциях и маршрутизаторах, которым необходим некоторый уровень обслуживания. Чтобы реализовать эффективное управление потоком сообщений, каждый входящий пакет относится классификатором к определенному классу. Все пакеты, которым присвоен определенный класс, обрабатываются планировщиком пакетов одинаково.

Контроль доступа (Admission control). Контроль доступа основан на алгоритме, который маршрутизатор использует для того, чтобы решить, достаточно ли имеющихся у него ресурсов для принятия нового потока с требуемым QоS. Если у него нет достаточных свободных ресурсов и есть опасение, что новый поток будет негативно воздействовать на уже проходящий через маршрутизатор поток с гарантированным QoS, то новый i поток должен быть отклонен. Если же новый поток со своими требованиями принят, то маршрутизатор поручает классификатору пакетов и планировщику пакетов резервировать часть своих ресурсов под обеспечение требуемого QоS для этого потока. Контроль доступа реализуется в каждом маршрутизаторе на маршруте. Алгоритм контроля доступа должен быть совместим с предложенной сервисной моделью.

Интегрированные услуги используют протокол резервирования ресурсов ReSerVation Protocol (RSVP) для передачи сигнальных сообщений о резервировании. Резиденты IS (рабочие станции, поддерживающие предоставление интегрированных услуг) связываются между собой с помощью протокола RSVP для создания потока и поддержания его в определенном состоянии на всем пути.

7. Дифференцированные услуги качества обслуживания

Концепцию предоставления дифференцированных услуг (Differentiated Services, DS) развивает в настоящее время рабочая группа IETF DS. Технические требования для DS определены в некоторых проектах группы IETF.

Цель внедрения и развития DS состоит в обеспечении дифференцированными услугами трафика Internet с возможностью поддержки различных типов приложений и определенных бизнес-требований. DS предлагает передачу трафика с предсказуемыми параметрами (задержкой, пропускной способностью, потерями пакетов и т.д.). Различие между предоставлением интегрированных услуг и дифференцированных услуг в том, что при предоставлении DS обеспечивается масштабируемое сервисное разделение без необходимости выделения потоков и проведения сигнализации при каждом переходе. Поэтому нет необходимости проводить уникальное резервирование параметров QоS для каждого потока. При работе с DS трафик Internet разбивают на различные классы с различными требованиями к QoS.

Центральный компонент DS - соглашение об уровне сервиса (Service Level Agreement, SLA). SLA - это сервисный контракт между клиентом и провайдером услуг, который определяет подробный перечень предоставляемых услуг. Клиентом может быть отдельный пользователь, организация или любой другой объект DS. Провайдер услуг должен гарантировать, что трафик клиента, с которым заключено SLA, получит оговоренные параметры QоS.

Для того чтобы отличать пакеты данных, принадлежащих разным клиентам, устройства, поддерживающие DS, изменяют определенное поле в пакетах IP. Байт DS в каждом пакете IP используется для того, чтобы отметить те пакеты, которые должны пройти соответствующую обработку в каждом сетевом узле

Для использования услуг, предусмотренных SLA, в сети должны быть реализованы механизмы:

установки битов в байте DS (поле TOS), на основании которых в сети определяются административные границы;

использования этих бит для определения способа обработки этих пакетов маршрутизаторами внутри сети;

создание условий для прохождения отмеченных пакетов в заданных сетевых границах в соответствии с требованиями QpS для каждого класса обслуживания.

В настоящее время определена архитектура системы предоставления DS, которая обеспечивает сервисное дифференцированное обслуживание только в одном сетевом направлении и поэтому такая архитектура асимметрична. Сейчас ведется разработка дополнительной симметричной архитектуры.

8. Технологии качества обслуживания в сетях АТМ

Данная технология позволяет указывать полный набор запрашиваемых параметров сервиса. Проектировалась для видов смешанного трафика. Коммутаторы ATM и сетевые адаптеры ATM позволяют пользователям реализовать все пять классов обслуживания. При этом оборудование имеет дополнительные интерфейсы UNI, UNN для частных и общих сегментов сети. Появляется дополнительная степень свободы. Технология полностью основана на определении частного и общего доступа при помощи аппаратной поддержки. Для каждого соединения заключается отдельное соглашение по трафику. В него входят:

1. Параметры трафика потока ячеек.

2. Характеристики качества обслуживания.

3. Проверка пунктов соглашения.

4. Определение и поддержка параметров соединения.

Коммутационное оборудование, кроме тех проблем, которые дает маршрутизация и способы коммутации, добавляет соглашения по трафику, по качеству обслуживания, необходимости контроля и определения нагрузки и параметров сети. Технология ATM работает с минимальной ячеек, имеет несколько вариантов, для создания мультиплексированных поездов ячеек, работает только на уровне магистрали. Качество обслуживания по технологии ATM оценивается на принимаемой стороне. Для упрощения запросов на предоставление качества или сервиса используется фиксированная кодировка класса обслуживания. Параметры, на основании которых определяют класс, стандартизированы. К ним относятся:

1. Время задержки при передаче ячейки - общая характеристика, определяющая межсетевой уровень и фиксирующая врем коммутации в очереди

2. Вариация задержки - отражает разницу между максимальным и минимальным временем передачи ячейки между узлами. Фиксированный диапазон, зависит от числа виртуальных соединений мультиплексируемых в один физический канал.

3. Процент потерянных ячеек - зависит от качества физического канала и сетевой технологии

Стандарт Форум ATM определил пять служб контроля качества обслуживания:

4. Передача с постоянной скоростью.

5. Передача в реальном времени с переменной скоростью.

6. Передача с переменной скоростью не в реальном времени. Остается трафик данных и трафик транзакций - отслеживается трафик транзакций и задержка

7. Передача с неопределенной скоростью. Доступен трафик данных и кратковременный участок для низкоскоростного трафика голоса.

8. Передача с доступной скоростью.

Переменная скорость и доступная скорость - дополнительные условия при контроле соглашения. Так как коммутатор и конечные станции ATM заключают соглашения по пропускной способности, то эта информация должна фиксироваться в заголовках ячеек АТМ. При этом, пользовательские и сетевые дополнительные интерфейсы реализуют контроль на аппаратном уровне. Сеть будет игнорировать запрос, если требуемый класс обслуживания не может быть поддержан. Данный механизм требует дополнительных ресурсов в виде ОЗУ и МП

9. Уровень распределения

Перед уровнем распределения сети поставлено три четко сформулированные задачи.

* Изоляция последствий изменения топологии.

* Управление размером таблицы маршрутизации.

* Агрегация сетевого трафика.

Для достижения этих целей используются две основные стратегии, реализуемые на уровне распределения.

* Суммирование маршрутов.

* Минимизация числа каналов, соединяющих уровень распределения с ядром сети.

Уровень распределения отвечает за агрегацию сетевого трафика. Агрегация достигается за счет объединения трафика, поступающего по большому числу низкоскоростных каналов передачи информации, связывающих уровень распределения с устройствами уровня доступа, в несколько широкополосных каналов, связывающих уровень распределения с ядром сети. Подобная стратегия порождает в сети эффективные точки суммирования и уменьшает количество маршрутов, которое должны принимать во внимание маршрутизаторы ядра при принятии решения о коммутации пакетов.

10. Уровень доступа

Перед уровнем доступа сети поставлено три основные задачи.

* Формирование сетевого трафика.

* Контроль доступа к сети.

* Выполнение других функций пограничных устройств.

Устройства уровня доступа соединяют высокоскоростные каналы локальных сетей с каналами глобальной сети, несущими трафик на уровень распределения.

1. Формирование сетевого трафика

трафик, сформированный на уровне доступа сети, не перегружает канал, соединяющий уровень доступа с уровнем распределения. Несмотря на то что эта задача решается главным образом на этапе определения пропускной способности канала передачи информации, она имеет отношение к расположению пары «сервер-служба» и фильтрации пакетов. Трафик, не предназначенный для узла за пределами локальной сети, не должен передаваться устройством уровня доступа.

Никогда не используйте устройства уровня доступа в качестве промежуточной точки при передаче транзитного трафика между двумя маршрутизаторами уровня распределения - а именно такая ситуация свойственна сетям с высокой степенью избыточности.

2. Контроль доступа сети

Будучи местом фактического подключения заказчиков к сети, уровень доступа является отличной платформой для злоумышленников, которые пытаются незаконным образом проникнуть в сеть. Для того чтобы блокировать подозрительный трафик, включая пакеты, источником которых является узел за пределами локальной сети, необходимо воспользоваться фильтрацией пакетов. Фильтрация пакетов позволяет предотвратить множество различных типов атак, исходящих из уязвимых сегментов сети, в основе которых лежит подмена (или спуфинг (spoofing)) адресов источников. Помимо этого, уровень доступа предоставляет прекрасную возможность реализовать фильтрацию пакетов, защищающую подключенные к локальному сегменту устройства от атак извне (или даже изнутри) вашей сети.

Меры безопасности, реализуемые на уровне доступа

Несмотря на то что большая часть мер безопасности реализуется на участке соединения сети с внешним миром, в частности с Internet, фильтрация пакетов на уровне доступа, которая позволяет регулировать входящий трафик, может значительно повысить безопасность всей сети.

Запрет источника с широковещательным адресом

Широковещательный адрес 255.255.255.255 и широковещательный адрес сегмента 10.1.4.255 не являются допустимыми адресами источника и должны отфильтровываться устройством уровня доступа.

11. Технология качества обслуживания: Frame Relay

Качество обслуживания в сетях Frame Relay

В последнее время наблюдается резкий рост сетей Frame Relay. В отличие от ATM, которая изначально разрабатывалась как интегрированная сеть для передачи разнообразной информации, основное назначение технологии Frame Relay состояло в том, чтобы обеспечить экономичный обмен цифровыми данными. Достоинством технологии является ее «бережливость» - сеть не отбрасывает низкоприоритетные пакеты при возникновении перегрузок в сети, а пускает их в обход места затора. Отсюда сразу вытекает и недостаток - задержка при передаче пакета может возрастать непредсказуемым образом.

Несмотря на, казалось бы, непригодность технологии Frame Relay к передаче голосовой информации, в последнее время интерес к ней резко возрос как раз в этом отношении. Передача такого трафика обеспечивается за счет сокращения времени доставки пакетов с голосовыми данными и переупорядочения очередей в устройствах доступа к сети Frame Relay.

В связи с возросшим авторитетом этой технологии организация Форум Frame Relay приступила к разработке стандартов качества обслуживания. При этом определяется и уточняется терминология. Стандартизация позволит предоставить пользователям весь спектр услуг, который может дать технология Frame Relay, помочь выбрать требуемый уровень качества обслуживания и более эффективно пользоваться им. При разработке показателей качества обслуживания основное внимание уделяется гарантированию полосы пропускания, малой задержке, предотвращению потерь пакетов и обеспечению услуг за счет остающейся полосы пропускания (то есть по мере сокращения доступной полосы пропускания уменьшается и объем предоставляемых услуг).

12. QoS: Виртуальные сети

Данная технология обеспечена двумя стандартами: IEEE802.1Q, IEEE802.1P. Проект IEEE802.1P описывает механизм присваивания приоритета, основанный на приоритете кадра. Проект IEEE802.1Q описывает формат кадра с новыми полями для приоритета и типа кадра. Добавочные поля занимают 2 байта. Содержимое определяет принадлежность кадра конкретной виртуальной сети с указанием приоритета. Различают 8 уровней приоритетов. На уровне коммутации, согласно приоритетам, распределяются кадры по очередям, что позволяет с минимальными задержками обрабатывать чувствительный к дрожанию трафик. Трудности технологии - отсутствие механизма контроля за назначением пользовательского приоритета. Для снижения перегрузок сети требуется разбиение на виртуальные сети в соответствии с требованиями организации. Не сам пользователь будет определять приоритеты, а вся структура, которая управляет сеть целиком. Производители для ликвидации этой проблемы включают в оборудование авторские методы контроля. Раз механизм приоритета от пользователя не контролируемый, пытаются снизить уровень потребностей. Приоритет рассматривается, как определенная седловина от максимума, до минимума, где существует три приоритета: высокий - усредняется, средний - остается на старой базе, низкий - усредняется. Направлено на устранение перекосов в сети.

13. QoS: протокол RSVP

Протокол RSVP описан в документе RFC 2205 и имеет статус предложенного стандарта. Поскольку RSVP - это протокол управления IP-сетью, а не протокол маршрутизации, то необходимо, чтобы совместно с ним работал один из существующих протоколов маршрутизации. Протокол RSVP функционирует на уровне выше протоколов IP и UDP и должен быть поддержан на всех маршрутизаторах на пути резервирования. Ключевые понятия протокола RSVP - это потоки и резервирование ресурсов.

В протоколе RSVP резервирование ресурсов применяется для определенного потока пакетов данных, протекающего через конкретные маршрутизаторы. Если получатель имеет групповой адрес, то поток может поступать к большому числу отдельных получателей. Каждый поток идентифицируется протоколом RSVP по IP-адресу его получателя и номеру порта на стороне получателя. Каждый поток имеет дескриптор, в котором указаны параметры QоS для этого потока. Но протокол RSVP не учитывает дескриптор потока. Потоки несут его как объект, непрозрачный для протокола RSVP. Дескриптор предназначен для средств управления трафиком на маршрутизаторах (классификатора пакетов и планировщика пакетов). В основу протокола резервирования ресурсов RSVP (Resource Reservation Protocol) заложены три понятия: сеанс, спецификация потока и спецификация фильтра. Сеанс включает выделение ресурса, определение количественных характеристик трафика по соглашению и времени сеанса. Спецификация потока определяет параметры услуг по ресурсам на основании существующих с минимизацией потерь. Спецификации фильтра определяет набор пакетов, для которых запрашиваются ресурсы. Пакеты должны принадлежать одному сеансу. Параметры могут включать: приоритетных отправителей (фиксируются адреса), приоритетные протоколы (приложения), варианты комбинирования по размерам пакетов, по заголовкам. Несколько вариантов жизни протокола: 1. с фиксированным временем; 2. с расчетным временем. RSVP использует два вида сообщения:

· RESV - предоставляемый ресурс - протокол ответ

· PATH - запрос на ресурс.

Протокол RSVP использует групповую рассылку. Группа формируется по данным администратора.

Поскольку протокол RSVP - симплексный протокол, то резервирование осуществляется только в одном направлении. Для соединений, работающих по дуплексной схеме, например, аудио и видеоконференций, где каждый абонент является и отправителем, и получателем, необходимо установить протокол RSVP на обеих сторонах для резервирования в обоих направлениях. Основная часть резервирования ресурса - это путь. Путь определяет, через какие маршрутизаторы поток идет от отправителя к получателю. Все пакеты, которые принадлежат определенному потоку, будут использовать один путь. Каждая конечная станция периодически посылает «сообщение пути» для каждого потока данных. Путь считается определенным после прохождения сообщения пути до получателя. Сообщение пути содержит информацию, которая определяет параметры QoS для определенного потока. Поскольку протокол RSVP не обрабатывает информацию о маршрутизации, сообщение пути использует информацию из таблиц маршрутизации в каждом маршрутизаторе для того, чтобы ускорить прохождение сообщения протокола RSVP.

протокол RSVP все еще находится в стадии рассмотрения в группе IETF и не проверен в больших распределенных сетях, все ведущие производители сетевого оборудования (Cisco Systems, 3Com, Bay Networks и т.д.) вводят его поддержку в свои маршрутизаторы.

14. Виды пользовательского трафика. Характеристики пользовательского трафика корпоративной сети

Для трафика реального времени задержка <0.1 сек. Транзакций от 1 сек до 3х. Трафик данных до нескольких секунд. Доп. хар-ки ирафика связаны с пульсацией трафика и регаментирует% потерь пакетов (не более 5%)

С т.зр., хар-к трафика сетевых технологии м.б. чувствительны или полностью игнорировать заданные параметры.

Вид траф.\Хар-ка	Взрывообр-ть	Задержка	Вр. ответа	Производ-ть
Т.данных	+	-	-	+
Т. транзакций	+\-	+	+	-
Т.реального вр.	+	+	+	+

Трафик является основным показателем, характеризующим качество обслуживания в сетях. Выделяются две основные характеристики трафика: единица данных (бит, байт, кадр, пакет, сообщение); способ упаковки единиц данных - алгоритм сетевой технологии. Количественные характеристики трафика:

1. Взрывообразность. Характеризует частоту посылки данных и определяется отношением суммарного входного трафика к выходному.

2. Терпимость к задержкам. Характеризует реакцию приложений на все виды задержек в сети. Для трафика транзакций терпимость к задержкам определяется временем ответа (1-3 сек.), складывается из суммарной задержки до станции назначения (аппаратная и программная), времени утилизации станции обработки сообщения и суммарного времени задержек ответа.

Сетевые технологии имеют особенности по терпимости к задержкам, переходящие от чисто аппаратных (коммутаторы) до прикладных задержек (программных). Уровень маршрутизации. Существует три вида протоколов маршрутизации:

· Одноадресная маршрутизация

· Многоадресная маршрутизация

· Граничная маршрутизация

3. Емкость и пропускная способность. Емкость - реальное количество доступных ресурсов сети. Определяется возможностями сетевого канала. Чаще всего емкость сети бывает характеристикой оборудования, поэтому используется характеристика - пропускная способность, которая определяется общим количеством передаваемых данных в единицу времени. Проблему составляет инфраструктура сети.

4. время ответа, вкл-ет затрачено е время на прохождения трафика до точки назначения и обратно.

Технологии качества обслуживания

Технологии качества обслуживания используют распределение по категориям и назначению приоритетов трафика. Для трафика реального времени задержка меньше 0.1 сек., трафик транзакции от 1 сек., трафик данных до нескольких секунд. В соответствии с количественной задержкой алгоритм качества обслуживания выставляет свои приоритеты, которые стандартизируются понятием «соглашение». Каждое «соглашение» имеет свой уровень сервиса. Существующие технологии качества обслуживания делятся на две группы:

1. неконтролируемое качество обслуживания

2. встроенное контролируемое качество обслуживания.

15. Маршрутизация с помощью IP-адресов

Маршрутизация - доставка сообщения из одной сети в другую.

Рассмотрим принципы, на основании которых в сетях IP происходит выбор маршрута передачи пакета между сетями.

Не только маршрутизаторы, но и конечные узлы - компьютеры - должны принимать участие в выборе маршрута. Здесь в локальной сети имеется несколько маршрутизаторов, и компьютер должен выбирать, какому из них следует отправить пакет.

Длина маршрута может существенно измениться в зависимости от того, какой маршрутизатор выберет компьютер для передачи своего пакета на сервер.

В стеке TCP/IP маршрутизаторы и конечные узлы принимают решения о том, кому передавать пакет для его успешной доставки узлу назначения, на основании таблиц маршрутизации.

Следующая таблица представляет собой типичный пример таблицы маршрутов, использующей IP-адреса сетей:

Сеть назначения	Маска подсети	Шлюз	Интерфейс	Метрика
0.0.0.0	0.0.0.0	0.0.0.0	ffffffff	1
127.0.0.1	255.0.0.0	127.0.0.1	127.0.0.1	1

Сеть назначения - информация об адресе хоста - получателя пакета или сети.

Маска подсети - для вычисления идентификатора IP - сети

Шлюз - адрес, по которому пакет должен быть передан согласно данному маршруту.

Интерфейс - сетевой интерфейс, с которого будет осуществляться передача сообщения согласно данному маршруту.

Метрика - стоимость маршрута характеризующая его предпочтение.

Методы построения таблиц маршрутизации:

· Статическая маршрутизация - Все маршруты прописываются и изменяются вручную админом. Системы. Подходит для малых сетей.

· Динамическая маршрутизация - построение таблицы маршрутизации осуществляться посредствам специальных протоколов маршрутизации. Участие администратора в этом процессе минимально, только на начальной стадии. Используются в основном два самых распространенных протоколов IP - маршрутизации - RIP и OSPF, маршрутизаторы способны информировать друг друга об изменениях в структуре сети.

Класс	Наименьший адрес	Наибольший адрес
A	01.0.0	126.0.0.0
B	128.0.0.0	191.255.0.0
C	192.0.1.0.	223.255.255.0
D	224.0.0.0	239.255.255.255
E	240.0.0.0	247.255.255.255

В таблице приведены диапазоны номеров сетей, соответствующих каждому классу сетей.

Класс А

0 N сети N узла

Класс В

1 0 N сети N узла

Класс С

1 1 0 N сети N узла

Класс D

1 1 1 0 адрес группы multicast

Класс Е

1 1 1 1 0 зарезервирован

Виды маршрутизации:

1. одноадресная.

2. многоадресная.

3. пограничная.

5 видов маршрутов:

1. Динамический

2. статический.

3. импортированный

4. экспортированный.

5. агрегированный.

При реализации схемы М-М эффективно использовать принадлежность к группе как ограничения. При этом именование группы используют адресс класса D.

Основной алгоритм работы протоколов многоадресной маршрутизации использует принцып агрегирования маршрута под D IP-адресом и трех видов маршрутизаторов, задачи которых:

1) сбор широковещательной информации и трансляция широковещательной информации.

2) транзитная ретрансляция.

3) построение дополнительных каналов для перенаправления агрегированного трафика.

Протоколы многоадресной маршрутизации используют алгоритм широковещательной рассылки с учетом усеченного обратного маршрута.

16. Архитектура корпоративной сети. Цели и стратегии

Физические топологии и стандарты…

Архитектура сети помогает оценить возможность применения новых технологий и прикладных программ, служит заделом для будущего роста, определяет выбор сетевых технологий, помогает избежать избыточных затрат, отражает связь сетевых компонентов, значительно снижает риск неправильной реализации и т.д. Архитектура сети закладывается в основу технического задания на создаваемую сеть.

Следует отметить, что архитектура сети отличается от проекта сети тем, что она не определяет точную принципиальную схему сети и не регламентирует размещение сетевых компонентов.

Сетевой проект должен содержать конкретные указания и оценки параметров, например, требуемое значение пропускной способности, реальную ширину полосы пропускания, точное расположение каналов связи и т.д.

Концепция иерархических сетей очень напоминает концепцию эталонной модели OSI, в соответствии с которой процесс взаимодействия между элементами сети разбивается на несколько функциональных уровней, выполняющих определенный набор задач. Уровни иерархической модели должны как можно более точно соответствовать поставленным перед ними целям. Попытка делегирования какому-нибудь определенному уровню слишком большого числа функциональных задач приводит, как правило, к ошибкам и неоправданному дублированию.

В большинстве случаев иерархическая модель сети подразумевает определение трех уровней, каждый уровень выполняет собственные функциональные задачи:

1) Ядро сети (уровень магистрали).

Цель: повысить скорость коммутации пакетов.

Стратегии: полная достижимость (запрет на использование стандартных маршрутов); запрет на реализацию сетевых правил.

2) Уровень распределения.

Цель: локализация участка сети на который влияет изменение топологии; уменьшение размеров маршрутной таблицы и агрегация трафика.

Стратегии: суммирование маршрутов для сокрытия детальной информации от оборудования уровня магистрали и уровня доступа; минимизация числа каналов выходящих на магистраль - это уменьшает сложность о принятии решения о коммутации пакетов.

3) Уровень доступа.

Цель: формирование сетевого трафика и контроль доступа к сети.

Стратегии: предотвращение транзитного трафика, фильтрация пакетов, маркировка пакетов для маршрутизации пограничными службами. Уничтожение туннелей.

Принципы иерархической модели:

- Размеры участка сети, на который влияет изменение топологии, должны быть строго ограничены; при этом желательно, чтобы данный участок сети был как можно меньшим.

- Маршрутизаторы (а также другие сетевые устройства) должны обрабатывать минимально возможный объем информации.

17. Протоколы многоадресной маршрутизации

Многоадресная маршрутизация - маршрутизация трафика группового вещания.

Протокол RIP-2. Протокол RIP-2 поддерживает и одноадресный, и многоадресный режимы маршрутизации. Маршрутизатор, где используется этот протокол, можно сконфигурировать на периодическую рассылку обновлений по групповому адресу (по умолчанию - 224.0.0.9). Использует единую маршрутную таблицу. В протоколе RIP-2 есть четыре установки, определяющие поведение маршрутизатора.

* None. Отмена всех сообщений RIP-1.

* RIP-1. Маршрутизатор будет вести себя так, как если бы на нем был реализован только протокол RIP-1.

* RIP-1 Compatibility. Маршрутизатор будет осуществлять широковещательную рассылку обновлений всем остальным маршрутизаторам, принимая во внимание то, что некоторым из них информация должна быть, предоставлена в формате RIP-1.

* RIP-2. Маршрутизатор будет осуществлять многоадресную доставку обновлений.

Все эти параметры влияют лишь на рассылку маршрутных обновлений, но не самих данных.

Протокол MOSPF. MOSPF (Multicast OSPF) - это версия протокола OSPF, где в пределах автономной системы разрешена маршрутизация многоадресных пакетов наряду с одноадресными. Здесь применяется также протокол IGМР (Internet Group Management Protocol - межсетевой протокол управления группами), определяющий порядок членства в группах многоадресной рассылки. Поддерживаются и механизмы аутентификации OSPF.

В протоколе MOSPF отслеживается, кто в настоящий момент является членом группы. Для этого используются знакомые нам запросы протокола HELLO. Каждый маршрутизатор вычисляет свои собственные деревья. Обратите внимание на множественное число. Для каждой пары отправитель / получатель строится свое дерево. Оно простирается от источника через маршрутизатор вплоть до сети, где находятся члены группы.

Задумайтесь на секунду о смысле сказанного. Если бы маршрутизатору пришлось строить деревья для всех возможных отправителей многоадресных сообщений и всех возможных групп в автономной системе, объем вычислений оказался бы столь огромным, что у маршрутизатора просто не было бы времени на обработку собственно информационного трафика. Вместо этого построение дерева откладывается до момента непосредственной передачи данных.

В механизме группового вещания данные передаются всем членам группы. Это означает, что по мере прохождения пакета (дейтаграммы) по кратчайшему пути его копия оставляется каждому члену группы. Но дерево кратчайших путей не уникально на каждом маршрутизаторе, как это было в Случае протокола QSPF. «Стволом» дерева является маршрутизатор, от которого поступают данные. Таким образом, все принимающие маршрутизаторы строят свои деревья от одной начальной точки. Дерево кратчайших путей в любом случае окажется одинаковым, просто каждый раз оно строится заново.

Демон, в котором реализован протокол MOSPF, называется mrouted.

Протокол DVMRP.DVMRP (Distance Vector Multicast Routing Protocol - дистанционно-векторный протокол многоадресной маршрутизации) является потомком протокола RIP-1 и используется только в пределах одной автономной системы. Он не обрабатывает одноадресные данные - Для этого нужен дополнительный протокол.

Алгоритмы. Раньше протокол DVMRP целиком основывался на алгоритме TRPB (Truncated Reverse Path Broadcasting-широковещательная рассылка с учетом усеченного обратного маршрута), являющемся улучшенной версией алгоритма RPB (Reverse Path Broadcasting - широковещательная рассылка с учетом обратного маршрута). Сегодня алгоритм TRPB применяется только для первого пакета в последовательности многоадресных данных. Дальнейшие пакеты обрабатываются при помощи алгоритма RPM (Reverse PathMulticasting - многоадресная рассылка с учетом обратного маршрута), в котором используется улучшенная методика построения дерева, основанная на алгоритмах TRPB и RPB. Эта методика напоминает алгоритм Беллмана-Форда, применяющийся в протоколе RIP-1.

Протокольно-независимая многоадресная маршрутизация

PIM (Protocol Independent Multicast - протокольно-независимая многоадресная маршрутизация) является протоколом маршрутизации, не похожим ни на один из существующих протоколов. Он способен работать поверх произвольного протокола одноадресной маршрутизации и не обрабатывает никаких одноадресных пакетов, что отличает его от протокола DVMRP, которому иногда приходится иметь дело с одноадресной передачей данных, например в случае туннелирования и отправки пробных сообщений.

Существуют две разновидности протокола. Выбор нужного варианта зависит от того, как расположены члены групп: разреженно (разреженный режим-Sparse Mode) или плотно (насыщенный режим - Dense Mode).

В Linux протокол PIM-SM реализован в демоне gated. Еще раз напомним, что в сети должен также функционировать какой-нибудь протокол одноадресной маршрутизации, например OSPF или RIP-2.

Резюме

Протоколы многоадресной маршрутизации, чаще всего применяемые в Linux-сетях, - это MOSPF, DVMRP и либо PIM-SM, либо PIM-DM. Протокол MOSPF наиболее эффективен в небольших группах, где необходимо, чтобы один протокол обрабатывал как одноадресные, так и многоадресные пакеты. Остальные протоколы не могут работать без нижележащего протокола одноадресной маршрутизации. Протокол PIM-SM используется тогда, когда члены групп распределены очень широко. А протоколы PIM-DM и DVMRP, наоборот, предполагают плотное распределение членов групп.

18. Протоколы одноадресной маршрутизации

Одноадресная маршрутизация - пересылка трафика с одиночным получателем в межсетевой среде с использованием маршрутизаторов.

Протокол RIP является дистанционно-векторным протоколом внутренней маршрутизации. Процесс работы протокола состоит в рассылке, получении и обработке векторов расстояний до IP-сетей, находящихся в области действия протокола, то есть в данной RIP-системе. Результатом работы протокола на конкретном маршрутизаторе является таблица, где для каждой сети данной RIP-системы указано расстояние до этой сети (в хопах) и адрес следующего маршрутизатора. Информация о номере сети и адресе следующего маршрутизатора из этой таблицы вносится в таблицу маршрутов, информация о расстоянии до сети используется при обработке векторов расстояний. Каждый маршрутизатор, на котором запущен модуль RIP, периодически широковещательно распространяет свой вектор расстояний. Вектор распространяется через все интерфейсы маршрутизатора, подключенные к сетям, входящим в RIP-систему.