Построение локальной компьютерной сети

На рисунке показана последовательность формирования кадра канального уровня LAP-B, передаваемого между узлами и ЦКП.

В конечных узлах данные более высоких уровней (4-7) упаковываются на сетевом (пакетном) уровне в пакет Х.25, который затем передаётся на 2-й канальный уровень, где пакет вкладывается в поле данных кадра LAP-B. Кадр LAP-B включает в себя двухбайтовый заголовок, содержащий адрес (А) и поле "Управление (У)", и концевик (2 или 4 байта), содержащий контрольную сумму (КС). В качестве обрамления кадра используется 8-битовая последовательность 01111110, называемая флагом (Ф).

Какие дополнительные возможности имеют коммутаторы, поддерживающие протоколы Spanning Tree - STP, RSTP, MSTP? Объясните.

Ответ: Spanning Tree - это алгоритм покрывающего дерева. Этот алгоритм позволяет с помощью специальных тестовых сигналов распознавать петли, замкнутые контуры и одну из связей, образующая петлю, считать резервной.

Протокол STP - обеспечивает резервирование канала и предотвращает появление сетевых петель.

Протокол RSTP - повышает отказоустойчивость сети благодаря более быстрому восстановлению после отказа соединения, т. е. более быстрому переключению на резерв.

Протокол MSTP - обеспечивает возможность использования нескольких копий связующих деревьев и повышает надежность соединения во множественных виртуальных сетях [9].

Какие из ниже приведенных адресов не могут быть использованы в качестве IP-адреса конечного узла сети, подключенной к Internet? Для синтаксически правильных адресов определите их класс: А, В, С, D или Е.

(л) 195.34.34.255

(в) 107.24.24.0

(к) 15.15.15.15

Ответ: все адреса являются синтаксически правильными, но в протоколе IP существует несколько соглашений об интерпретации IP-адресов. Первый октет равный 127 зарезервирован, он используется для тестирования сети, поэтому в качестве адреса конечного узла использоваться не может и имеет название loopbacr. Так же зарезервированными являются адреса, состоящие из одних 0 - означает адрес узла, который сгенерировал этот пакет, 1 - пакет рассылается всем узлам сети, в которой сгенерирован. Адреса, у которых в поле номера сети стоят только нули по умолчанию считается, что узел назначения принадлежит той же самой сети, который отправил пакет. Если в поле номера узла назначения стоят только единицы, то пакет, имеющий такой адрес, рассылается всем узлам сети с заданным номером сети. В том случае, когда все двоичные разряд равны 1, пакеты с таким адресом рассылаются всем узлам, находящимся в той же сети, что и источник. Такие адреса являются зарезервированными, и использоваться в качестве адреса конечного узла не может.

Определившись с зарезервированными адресами можно определить адреса, которые не могут быть использованы в качестве адреса конечного узла. Это:

195.34.34.255 - широковещательное сообщение. Класс С.

Адреса 15.15.15.15 и 107.24.24.0 относятся к классу А и могут быть использованы как IP-адреса конечного узла сети.

Пусть IP-адрес некоторого узла подсети равен (а) - (м) из предыдущего примера, а значение маски для этой подсети - 255.255.255.128. Определите номер подсети. Какое максимальное число узлов может быть в этой подсети? Объяснить.

(л) 195.34.34.255

(в) 107.24.24.0

(к) 15.15.15.15

Ответ:

(л) 195.34.34.255

Номер сети - 195.34.34.128

Число узлов - 126.

(в) 107.24.24.0

Номер сети - 107.0.0.0

Число узлов - 16777214.

(к) 15.15.15.15

Номер сети - 15.15.0.0

Число узлов - 65534.

Опишите принцип действия и достоинства технологии MPLS.

Ответ: архитектура MPLS, наиболее эффективная для передачи IP-трафика и работы в среде IP-ориентированных приложений, разрабатывалась и позиционируется для построения высокоскоростных магистральных сетей, обеспечивает экономичность и безопасность организации VPN (Virtual Private Network) - соединений. Гибкие и высокомасштабируемые сети MPLS реализуют мощные функции управления IP-трафиком и позволяют передавать его на высокой скорости и в большем объеме. С использованием MPLS и предложением дифференцированного качества обслуживания IP-приложений оператор имеет возможность расширить спектр услуг.

Технология MPLS позволяет интегрировать сети IP и ATM, что сохраняет инвестированные средства в оборудование. Архитектура MPLS стандартизирована и объединяет наиболее удачные элементы разработок нескольких компаний.

В основе технологии MPLS лежит принцип обмена меток. Каждый маршрут таблицы маршрутизации ассоциируется с определенной меткой, уникальной для маршрутизатора MPLS-сети. Метка передается в составе любого пакета, причем способ ее привязки к пакету зависит от используемой технологии канального уровня. В сети MPLS заголовок IP-пакета анализируется граничным маршрутизатором. Он же и определяет для пакета наилучший маршрут в сети и помечает па идентифицирующей этот маршрут. Все остальные маршрутизаторы в сети MPLS считывают только метку и направляют пакет по указанному маршруту. По выходе из MPLS-облака пакет доставляется стандартной IP-маршрутизацией.

Метки MPLS могут быть расположены одна за другой в стек. Каждый маршрутизатор работает с первой меткой в стеке, пока пакет не достигнет пункта назначения предписанного ею маршрута. Там эта метка удаляется. Если после нее в стеке остались еще метки, они анализируются и обрабатываются таким же образом, пока не будет удалена последняя. Порядок меток в стеке может быть изменен, а каждая метка заменена новой.

Для взаимного информирования о назначаемых метках маршрутизаторы и ATM-коммутаторы используют стандартизованный протокол распределения меток LDP (Label Distribution Protocol).

Архитектура MPLS предусматривает два метода распределения меток: по запросу и без него. В первом случае LSR (Label Switch Router) - маршрутизаторы запрашивают создание метки для соединения, во втором - самостоятельно извещают, без каких-либо запросов, соседей о назначенных метках.

Использование стека меток и протокола резервирования ресурсов RSVP (Resource Reservation Protocol) обеспечивает явную коммутацию пакетов через так называемые туннели в сети MPLS, что повышает эффективность загрузки каналов в MPLS-сети с альтернативными путями, так как определенный трафик с меткой идет по конкретному пути с заданными параметрами качества обслуживания.

Наиболее значимые решения в архитектуре MPLS - возможность разделения IP-трафика и создания VPN-соединений между различными узлами, а также независимость адресных пространств операторской и клиентских сетей. Построенные на основе технологий MPLS/VPN сети отличаются исключительно высокой масштабируемостью, простотой настройки и естественной интеграцией с другими сервисами IP. Разделение трафика и изоляция сетей обеспечиваются автоматической фильтрацией маршрутных объявлений и применением туннелей MPLS для передачи клиентского трафика по внутренней сети провайдера. Маршрутная информация из сети клиента с помощью расширения MP-bgp-протокола BGP (Borger Gateway Protocol) попадает только в сети этого же клиента. Маршрутизаторы разных клиентов не имеют маршрутной информации друг о друге и сети провайдера, чем и достигается изоляция сетей. Использование MPLS-туннелршрутизаторами связывает сети клиентов и снимает необходимость иметь маршрутную информацию на всех маршрутизаторах в сети оператора. О клиентских маршрутах знают только пограничные маршрутизаторы оператора, к которым непосредственно подключены эти клиенты. Данные маршрутизаторы разделяют внутреннюю операторскую и клиентские таблицы маршрутизации с помощью технологии VRF (VPN Routing and Forwarding). То есть на граничном устройстве создается по одной VRF-таблице для каждого клиента. А ограничение маршрутной информации пределами отдельного VPN изолирует адресные пространства разных VPN [3].

Повышение уровня защищенности MPLS/VPN достигается с помощью устанавливаемых в сетях клиентов или сети провайдера традиционных средств аутентификации и шифрования, например, IPSec.

Качество и надежность сетей MPLS проверены временем. Многие операторы связи эксплуатируют подобные сети на коммерческой основе. Подавляющее большинство вновь проектируемых и строящихся сетей основываются на MPLS-архитектуре. Технология MPLS стала стандартом де-факто для построения магистрали операторских сетей.

Решение с использованием MPLS-сети в качестве основы операторской инфраструктуры имеют экономические и технические преимущества, в том числе:

*эффективное инвестирование в инфраструктуру провайдера, исключение необходимости строительства и поддержки разных типов сетей;

*экономически выгодное использование физических каналов связи между узлами оператора за счет передачи голосовых данных, данных клиентских VPN и данных Интернета через единую сеть IP/MPLS;

*возможность использования любых существующих сетей для магистрали и доступа клиентов;

*расширение списка операторских сервисов, предоставляемых клиентам;

*простота настройки и эксплуатации сети;

*высокая масштабируемость сети и надежность решения;

*низкая требовательность к ресурсам оборудования.

В данном теоретическом вопросе были выполнены практические задания.



3. Программное обеспечение управления и администрирования сети

3.1 Сетевое ПО и операционные системы

Сетевое программное обеспечение (ПО) служит для управления ресурсами всей компьютерной сети. Основные функции сетевого ПО:

связывает все компьютеры и периферийные устройства в сети;

координирует работу всех компьютеров и периферийных устройств в сети;

обеспечивает защищенный доступ к данным и устройствам в сети.

В состав сетевой ОС входят два основных компонента:

сетевое ПО компьютеров-клиентов;

сетевое ПО компьютеров-серверов.

Сетевое ПО компьютеров-клиентов

При автономной работе компьютера запрос на выполнение некоторых действий передается через локальную шину на процессор компьютера. При работе в сетевой среде запрос, относящийся к удаленному серверу, из локальной шины должен быть направлен в сеть и отослан на удаленный сервер.

ПО клиента включает в себя так называемый редиректор (redirector), который также может называться оболочкой (shell) или запросчиком (requester). Переадресация запросов выполняется редиректором. Редиректор - это небольшая программа сетевой ОС, которая выполняет следующие действия:

перехватывает запросы в компьютере;

определяет куда следует направить запрос: на локальную шину или в сеть для пересылки на удаленный сервер.

Редиректор может посылать запрос как к компьютерам, так и к сетевым периферийным устройствам. Например, редиректор может перехватывать задания на печать, адресуемые в LPT1 или COM1, и тем самым направлять их на соответствующий сетевой принтер.

Сетевое ПО компьютеров-серверов

Серверное ПО обеспечивает совместное использование ресурсов и координирует различные уровни доступа. Оно дает возможность всем сетевым компьютерам совместно использовать данные сервера и его периферийные устройства.

Существует два варианта реализации сетевого ПО:

· сетевое ПО является дополнением к существующей ОС;

· сетевое ПО интегрировано в сетевую ОС.

По первому принципу организована сетевая ОС Novell NetWare для локальных ЛВС или Microsoft LAN Manager. Это ПО позволяет включать в сеть рабочие станции с такими локальными ОС, как MS-DOS, UNIX и OS/2.

Например, ОС NetWare является мультизадачной ОС реального времени для работы в ЛВС с централизованным управлением. ОС NetWare состоит из:

ядра, размещаемого на файл-сервере;

сетевых утилит, размещаемых на файл-сервере;

сетевых оболочек рабочих станций.

Сетевая оболочка ОС NetWare загружается в оперативную память рабочей станции как резидентная программа и выполняет функции запросчика (requester), т.е. редиректора запросов. ОС NetWare использует два основных протокола:

IPX (Internetwork Packet eXchange) - базовый протокол сетевого уровня. Обеспечивает обмен блоками данных без предварительного установления соединения и без последующего подтверждения правильности доставки;

SPX (Sequnced Packet eXchange) - устанавливает связь между рабочими станциями перед началом обмена и гарантирует доставку пакетов, давая подтверждение на каждый правильно доставленный пакет или запрос на повторную передачу при обнаружении ошибки.

В современных сетевых операционных системах автономная и сетевая ОС скомбинированы в одну ОС, которая поддерживает функционирование, как автономного компьютера, так и целой сети [8]. Например, по этому принципу построена сетевая ОС Windows NT Server. Серверное ПО обеспечивает совместное использование ресурсов и координирует различные уровни доступа. Оно дает возможность всем сетевым компьютерам совместно использовать данные сервера и его периферийные устройства. Администратор сети, через сервер, управляет и пользователями, и сетью. Он может:

добавлять в список пользователей сети новых пользователей;

предоставлять привилегии отдельным пользователям сети или снять эти привилегии;

удалять определенных пользователей из списка пользователей.

3.2 Администрирование компьютерной сети

После того как сеть создана и начала функционировать ею необходимо управлять. Сетевое администрирование распространяется на пять основных областей:

1) управление пользователями - создание и поддержка учетных записей пользователей, управление доступом пользователей к ресурсам;

2) управление ресурсами - установка и поддержка сетевых ресурсов;

3) управление конфигурацией - планирование конфигурации сети, ее расширение, а также ведение необходимой документации;

4) управление производительностью - мониторинг и контроль за сетевыми операциями для поддержания и улучшения производительности системы;

5) поддержка - предупреждение, выявление и решение проблем сети.

Управление учетными записями пользователей

Каждому, кто работает в сети, необходимо выделить учетную запись пользователя. Учетные записи создаются и для индивидуальных пользователей, и для групп. Когда администратор впервые регистрируется в системе, автоматически создаются учетные записи Administrator и Guest (Гость).

При создании учетной записи пользователя необходимо вводить различные параметры (такие, как имя пользователя, пароль, привилегии работы в системе и права доступа к ресурсам), а также указать группы, в которые входит пользователь. Для управления рабочей средой пользователей служат <профили>.

При планировании сети особое внимание следует уделять различным группам. Создание групп в значительной мере упрощает работу администратора. Существуют группы четырех типов: локальные, глобальные, специальные (для Windows NT Server) и встроенные. Многие сетевые ОС во время установки сети автоматически создают встроенные локальные и глобальные группы.

Все сети имеют утилиты, которые помогают администраторам добавлять новые учетные записи. В Microsoft Windows NT Server утилита для создания учетных записей называется User Manager for Domains, она находится в группе программ Administrative Tools.

Учетная запись содержит информацию, которая определяет пользователя в системе безопасности сети, в том числе: имя и пароль пользователя; права пользователя на доступ к ресурсам системы; группы к которым относится учетная запись. Эти данные необходимы администратору для создания новой учетной записи.

Большинство сетей позволяет администраторам присваивать пользователям некоторые дополнительные параметры, в том числе: время регистрации - чтобы ограничить время, в течение которого пользователь может входить в сеть; домашний каталог - чтобы предоставить пользователю место для хранения его личных файлов; продолжительность действия учетной записи - чтобы ограничить пребывание некоторых пользователей в сети [9].

Администратору предоставляется и другая возможность - построить для некоторых пользователей сетевое окружение. Это необходимо, например, для поддержки пользователей, не овладевших компьютерами и сетями в такой степени, чтобы работать самостоятельно. Администратор может создать профили (profiles) для управления средой пользователей. К среде относятся сетевые подключения и доступные программы, а также: подключения к принтерам; настройки Program Manager; значки; настройки мыши; цвета экрана; хранители экрана. К параметрам профилей, кроме того, иногда относятся специальные условия входа в систему и информация о том, где пользователь может хранить свои файлы.

При установке сетевой операционной системы автоматически создается учетная запись пользователя, имеющего полный контроль над всеми сетевыми функциями. В сетевой среде Microsoft этот пользователь носит имя <Администратор> (Administrator). В среде Novell он называется <Супервизор> (Supervisor).

Другой стандартный пользователь, создаваемый программой установки, называется <Гость> (Guest). Эта учетная запись предназначена для людей, которые не являются полноправными пользователями сети, однако нуждаются во временном доступе к ней.

Управление группами пользователей

Для того, чтобы не выполнять однотипные операции над большим количеством учетных записей их объединяют в группы. Группа (group) - это учетная запись, которая содержит другие учетные записи. Введение групп упрощает администрирование. Группы предоставляют администраторам возможность оперировать большим числом пользователей как одним сетевым пользователем.

Группы помогают осуществлять следующие действия:

? предоставлять доступ к ресурсам (таким, как файлы, каталоги и принтеры); права (permissions), предоставленные группе, автоматически предоставляются ее членам;

? предоставлять привилегии (rights) для выполнения системных задач (таких, как резервное копирование, восстановление файлов, изменение системного времени); привилегии уполномочивают пользователя на выполнение некоторых действий, относящихся к системе в целом, и этим отличаются от прав;

? упрощать связь за счет уменьшения количества подготавливаемых и передаваемых сообщений.

Microsoft Windows NT Server использует группы следующих четырех типов.

?Локальные (local) группы. Группы этого типа реализуются в базе данных учетных записей отдельного компьютера. Локальные группы состоят из учетных записей пользователей, которые имеют права и привилегии на локальном компьютере, и учетных записей глобальных групп.

? Глобальные (global) группы. Группы этого типа используются в границах всего домена. Глобальные группы регистрируются на главном контроллере домена (PDC) и могут содержать только тех пользователей, чьи учетные записи находятся базе данных этого домена.

? Специальные (special) группы. Эти группы обычно используются Windows NT Server для внутрисистемных нужд.

??Встроенные (built-in) группы. Некоторые функции групп этого типа общие для всех сетей. К ним относится большинство задач администрирования и обслуживания. Чтобы выполнять некоторые стандартные операции, администраторы должны создавать учетные записи пользователей и группы с соответствующими привилегиями, поэтому многие поставщики сетей избавляют администраторов от этих хлопот, предлагая им встроенные локальные или глобальные группы. Встроенные группы делятся на три категории:

1. администраторы - пользователи этих групп имеют максимально возможные привилегии;

2. операторы - пользователи этих групп имеют ограниченные административные возможности для выполнения специфических задач;

3. другие - пользователи этих групп выполняют ограниченные задачи.

Например, Microsoft Windows NT Server предлагает следующие встроенные группы: Administrators, Users, Guests, Server Operators, Print Operators, Backup Operators, Account Operators, Replicator.

Один из способов предоставить одинаковые права большому количеству пользователей - присвоить эти права группе, а затем добавить в группу пользователей. Аналогично добавляются пользователи во встроенную группу. Например, если необходимо, чтобы какой-то пользователь выполнял в сети административные задачи его, делают членом группы Administrators

3.3 Программные продукты для управления сетью

Система управления сетью CTPView

Система управления сетью CTPView, разработанная Juniper Networks, - это набор программных инструментов и инструментов управления производительностью, объединенных одним веб-интерфейсом, с помощью которых сетевые операторы могут проводить мониторинг сети и управлять доступностью сетевых ресурсов и каналов связи, поддерживать каналы связи, формировать отчеты о производительности IP-сетей, а также выявлять проблемы на сегментах сети.

J-Web

J-Web - программа с графическим веб-интерфейсом (GUI), предоставляющая простые инструменты управления сетью для администрирования всех сетевых устройств Juniper Networks, работающих под Junos, и управления ими. ИТ-администраторы и сетевые операторы могут использовать ее для мониторинга, настройки, поиска неполадок и управления продуктами Juniper Networks.

Junoscope

Junoscope IP Service Manager объединяет в себе современные функции программного обеспечения управления производительностью сети от Juniper Networks. Данное решение предназначено для верхних уровней сетевой инфраструктуры. Она представляет собой набор инструментов, позволяющих сетевым операторам воспользоваться многочисленными преимуществами программных продуктов Junos и получить новые возможности для мониторинга, настройки, инвентаризации ресурсов и управления сетью и ее производительностью.

Система управления сетью и безопасностью сети

Система управления сетью и безопасностью сети (NSM) облегчает управление ИТ-инфраструктурой и повышает производительность и безопасность сети, сокращая расходы на ее обслуживание. Этот программный продукт позволяет централизованно управлять парком устройств и предлагает единый подход к управлению устройствами маршрутизации, коммутации и обеспечения безопасности. Помимо этого, он предоставляет инструменты обслуживания сетевых устройств на протяжении всего их жизненного цикла, средства детального определения политик безопасности, а также комплексные программные средства для мониторинга, анализа и формирования отчетов. Высокая масштабируемость позволяет корпоративным пользователям управлять защищенными каналами связи для подключения филиалов и ЦОД; поставщики услуг могут использовать этот продукт для внедрения оборудования операторского класса.

RingMaster Global

RingMaster Global позволяет одновременно управлять несколькими беспроводными локальными сетями на базе RingMaster: данное решение дает возможность просматривать данные о состоянии сети и выводить предупреждения для каждой сети WLAN, а также отслеживать нагрузку на сети и распределение трафика для всех беспроводных сетей.

Программное обеспечение RingMaster

Программное обеспечение RingMaster предназначено для планирования, настройки, мониторинга и оптимизации одной или нескольких корпоративных беспроводных локальных сетей.

Централизованная система управления WX

Централизованная система управления WX обладает уникальными возможностями в области мониторинга и управления производительностью сетевых приложений в глобальных вычислительных сетях (WAN). Программы централизованного управления предоставляют подробную информацию о производительности сети, в том числе сведения о типичных колебаниях трафика, статистику об использовании канала и другие данные, важные для более эффективного использования ресурсов сетей WAN.

NSMXpress

NSMXpress -- устройство управления безопасностью сети, оснащенное веб-интерфейсом, облегчающим внедрение, обслуживание и поддержку. Обладает полной функциональностью, предусмотрены дополнительные меры защиты ОС и средства управления производительностью.

Аппаратная платформа управления сетью и безопасностью сети (NSM)

Аппаратные платформы централизованного управления сетью и безопасностью (NSM Central Manager) -- устройства с веб-интерфейсом, поддерживающие развертывание крупных систем NSM и позволяющие принудительно применять глобальные политики безопасности. С помощью таких устройств администраторы сетей могут централизованно создавать наборы политик безопасности на региональных серверах и применять их в сетях предприятия.

Системы управления безопасностью STRM

Устройства STRM (системы управления безопасностью) -- это платформы централизованного управления сетевыми инфраструктурами крупных предприятий и поставщиков услуг и их системами обеспечения безопасности. Они имеют встроенные функции ведения журналов и предоставляют инструменты управления производительностью сети, функциями защиты и контроля соблюдения политик в средах Juniper.

Устройство управления WLM1200

Устройство управления WLM1200 поставляется в трех разновидностях: устройство RingMaster для управления беспроводной локальной сетью, устройство поддержки сервисов сервисы с учетом местоположения (Location Services) для их отслеживания и устройство поддержки мобильных сервисов (Mobility Services) для унифицированного управления инфраструктурой, безопасностью и сервисами беспроводной локальной сети.

3.4 Kerio Winroute Firewall на страже корпоративной сети

Процесс подключения корпоративной информационной системы к Интернету связан с решением двух основных задач. Первая из них - предоставить контролируемый совместный доступ сотрудников к глобальной сети. Вторая же - обеспечить защиту от внешних угроз. Часто их рассматривают и решают отдельно друг от друга с помощью разных инструментов. В качестве примера можно взять программное обеспечение Kerio WinRoute Firewall [10].

Процесс подключения корпоративной информационной системы к Интернету связан с решением двух основных задач. Первая из них - предоставить контролируемый совместный доступ сотрудников к глобальной сети. Вторая же - обеспечить защиту от внешних угроз. Часто их рассматривают и решают отдельно друг от друга с помощью разных инструментов.

Однако такой подход имеет целый ряд недостатков. В частности, повышенные затраты на внедрение и обслуживание такой системы. Гораздо удобнее использовать комплексные продукты, которые, с одной стороны обеспечивают совместную работу в Интернете, а с другой - надежно защищают сеть от всего спектра внешних угроз. В качестве примера можно взять Kerio WinRoute Firewall.

Основы работы Kerio WinRoute Firewall

Kerio WinRoute Firewall представляет собой комплексную систему по организации корпоративного доступа к Интернету. По сути, он является полнофункциональным прокси-сервером, тесно интегрированным с целым рядом инструментов для защиты информационной системы предприятия от внешних угроз.

Kerio WinRoute Firewall инсталлируется на интернет-шлюз или любой другой компьютер, играющий его роль. Сам процесс установки прост и понятен, а с настройкой дела обстоят сложнее. Для ее выполнения необходимо обладать определенными знаниями. Впрочем, в этом нет абсолютно ничего удивительного. Все-таки рассматриваемый продукт является корпоративной системой, рассчитанной на обслуживание ИТ-специалистами. Если рассмотреть процесс настройки с их точки зрения, то его можно назвать удобным. Во-первых, он может осуществляться не только локально, но и удаленно с помощью специального приложения - "Консоли администрирования". Это позволяет сотрудникам ИТ-отдела управлять всеми параметрами и оперативно реагировать на любые инциденты, не вставая со своего рабочего места. Во-вторых, практически вся работа с консолью осуществляется в одном окне, а параметры сервера разбиты на группы, представленные в виде древовидного списка. Такой подход наиболее прост и удобен для пользователя. В-третьих, у Kerio WinRoute Firewall есть руководство администратора, в котором подробно расписаны все аспекты настройки и использования этого продукта.

Как уже говорилось, Kerio WinRoute Firewall - полноценный прокси-сервер, позволяющий организовать многопользовательский доступ к одному или нескольким интернет-каналам. Для этого в нем реализованы такие функции, как DHCP-сервер, технология NAT и переадресация DNS-запросов. Благодаря им можно организовать доступ к Интернету любых сетевых приложений. Отдельно стоит отметить поддержку VoIP-трафика. Все-таки сегодня многие компании используют IP-телефонию, а поэтому этот момент достаточно важен. Настроить прокси-сервер можно вручную или воспользоваться специальным пошаговым мастером.

После настройки основных параметров прокси-сервера необходимо создать базу данных пользователей, которые смогут выходить в Интернет через него. Сделать это можно вручную. Однако гораздо быстрее и удобнее импортировать учетные записи из Active Directory или домена Windows NT. Кстати, в программе существует два варианта аутентификации пользователей. Первый предполагает использование собственной базы данных, а второй - Active Directory. Таким образом, внесение и настройка сотрудников компании максимально облегчена.

Следующий момент, на который стоит обратить внимание - настройка системы ограничения полосы пропускания. Она используется для решения сразудвух задач. Первая - уменьшение нагрузки на интернет-канал за счет контроля и ограничения некритичного трафика, вторая - обеспечение бесперебойной работы важных или чувствительных к сбоям сетевых приложений. В рамках этой системы реализовано сразу несколько инструментов. Во-первых, это искусственное ограничение скорости при загрузке или отдаче большого (порог задается администратором) объема информации. Оно очень тонко настраивается. В частности, можно явно указать протоколы, адреса и службы на которые оно будет или, наоборот, не будет распространяться. В результате можно сделать так, чтобы, например, загружаемые пользователями "тяжелые" файлы не мешали работе IP-телефонии.

Во-вторых, в систему ограничения полосы пропускания входит лимитация дневного, недельного и месячного трафика как отдельных пользователей, так и целых их групп. Причем администратор сам выбирает, какие санкции применить к превысившим любой из порогов сотрудникам. Так, можно полностью заблокировать их доступ или же просто снизить до нужного значения доступную им полосу пропускания.

Помимо этого, в рассматриваемом прокси-сервере реализован целый ряд других возможностей: кеширование информации, ведение подробного журнала, оповещение администратора о различных событиях и многое, многое другое.

Для защиты корпоративной сети от внешних угроз в Kerio WinRoute Firewall реализован целый ряд инструментов. Естественно, все они требуют внимания со стороны администратора. Первый из них - система фильтрации трафика. Она состоит сразу из трех подсистем. Начать нужно с политики HTTP. С ее помощью можно заблокировать доступ к нежелательным сайтам и объектам. Задавать их можно несколькими способами: ручным вводом адресов, указанием "стоп-слов" (слов, наличие которых на сайте приведет к блокировке последнего), а также при помощи Kerio Web Filter. О последнем варианте стоит сказать особо. Дело в том, что он позволяет блокировать сайты по категориям. Например, администратор может запретить доступ ко всем игровым порталам, социальным сетям, спортивным и автомобильным ресурсам и пр. Это позволяет не только существенно уменьшить риск заражения рабочих станций вредоносным ПО (как известно, сайты некоторых категорий часто используются для распространения вирусов и троянских коней), но и повысить производительность труда сотрудников компании. Второй инструмент - политика FTP. С ее помощью можно запретить загружать на FTP-сервера или скачивать с них файлы определенных расширений. Особо стоит отметить, что обе эти политики очень гибки. Администратор может установить свои правила для разных пользователей и групп пользователей, а также различных временных интервалов.

Третий инструмент в системе фильтрации трафика - защита от вредоносного ПО. Здесь нужно отметить один момент. У Kerio WinRoute Firewall существует два варианта поставки: со встроенным сканером McAfee и без него. Кроме того, в программе реализована возможность использования внешнего антивирусного ПО (Dr.Web, Nod32, Avast и пр.). Дополнительные антивирусные модули нужно приобретать отдельно. Таким образом, Kerio WinRoute Firewall, фактически, может работать в четырех режимах: без антивируса, только со встроенной или только с внешней защитой или с двойным сканированием (последовательно встроенным и внешним антивирусом).

Следующий инструмент защиты - файрволл, работающий на уровне приложений. Он позволяет очень гибко настраивать политику обработки входящего и исходящего трафика. В правилах файрволла в качестве источника и приемника можно назначать любые хосты, IP-адреса (в том числе их диапазоны и группы), сети, пользователей, входящих VPN-клиентов.

В дополнительных параметрах "Консоли администрирования" можно найти еще один важный для обеспечения информационной безопасности компании инструмент. Речь идет о фильтре P2P-трафика. Это весьма интересное решение, построенное на основе анализа трафика и могущее обнаруживать даже скрытое использование пиринговых сетей. Это немаловажно. Дело в том, что современные P2P-сети очень часто используются для распространения вредоносного ПО. Кроме того, потенциально они могут стать причиной утечки конфиденциальной информации. Именно поэтому рекомендуется активировать данные фильтр и настроить его параметры: выбрать тип реакции на обнаружение пирингового трафика (заблокировать только P2P или весь трафик указанного хоста). Если же запрещать пиринговые сети не планируется, то можно ограничить доступную им полосу пропускания, причем не только на загрузку, но и на выгрузку информации.

Наконец, последний инструмент, который особо хочется отметить - полноценный VPN-сервер, входящий в состав Kerio WinRoute Firewall. Его можно использовать как для подключения удаленных офисов компании, так и для работы отдельных пользователей. В первом случае необходимо установить в каждом из офисовKerio WinRoute Firewall и организовать VPN-канал между ними. В результате все локальные сети будут интегрированы друг с другом. Во втором случае необходимо использовать VPN-клиент. Стоит отметить, что у рассматриваемого продукта их три: для Windows, MacOS X и Linux.

Вывод: были получены знания о сетевом программном обеспечении, об администрировании компьютерной сети, виды программного продукта, рассмотрены основные продукты для управления сетью.

локальный компьютерный сетевой коммутационный



Заключение

В ходе проделанной работы были рассмотрены следующие разделы:

назначение локальной сети организации;

технология построения локальной сети, анализ среды передачи данных, топология сети, метод доступа;

аппаратное и программное обеспечение сети, ОС, ПО управления сетью, прикладные программы;

сетевые ресурсы и сетевое окружение, рабочие группы и домены;

подключение к Интернет: тип, оборудование, характеристики;

расчет производительности сети, объем сетевого трафика;

проблемы функционирования сети организации, мониторинг сети;

перспективы развития сети.

А также были даны ответы на практические задания и рассказано про программное обеспечение управления и администрирования сети (WINROUTE, FIREWALL И ДР.).



Литература

1. Малышев Р. А. Сети ЭВМ и средства телекоммуникаций. Часть 1. Локальные вычислительные сети. Рыбинск: РГАТА, 2009

2. Малышев Р. А. Сети ЭВМ и средства телекоммуникаций. Часть 2. Глобальные вычислительные сети: Учебное пособие / Р. А. Малышев. - Рыбинск: РГАТА имени П. А. Соловьева, 2013.

3. Малышев Р. А. Глобальные вычислительные сети. Рыбинск: РГАТА, 2012

4. Компьютерные сети. Принципы, технологии, протоколы / В. Г. Олифер, Н. А. Олифер. - СПб.:Питер, 2001

5. Компьютерные сети. Принципы, технологии, протоколы / В. Г. Олифер, Н. А. Олифер. - СПб.:Питер, 2010

6. Компьютерные сети. Принципы, технологии, протоколы / В. Г. Олифер, Н. А. Олифер. - СПб.:Питер, 2006

7. Мир Компьютеров [Электронный ресурс]: URL:http://compsmir.ru (дата обращения: 30.11.2013).

8.http://www.bing.com/search?q=Средства%20тестирования%20и%20анализа%20сети

9. http://www.juniper.net/ru/ru/products-services/software/network-management-software/

10. http://www.1csoft.ru/publications/8144/9562137/

Размещено на Allbest.ru