Спецификация LANE вводит такое понятие как эмулируемая локальная сеть - ELAN. Это понятие имеет много общего с понятием виртуальной сети:

· ELAN строится в сети, состоящей из коммутаторов (коммутаторов АТМ);

· связь между узлами одной и той же ELAN осуществляется на основе МАС-адресов без привлечения сетевого протокола;

· трафик, генерируемый каким-либо узлом определенной ELAN, даже широковещательный, не выходит за пределы данной ELAN.

Кадры различных ELAN не свешиваются друг с другом внутри сети коммутаторов АТМ, так как они передаются по различным виртуальным соединениям и номер виртуального соединения VPI/VCI является тем же ярлыком, который помечает кадр определенной VLAN в стандарте 802.1Q и аналогичных фирменных решениях.

Если VLAN строятся в смешанной сети, где имеются не только коммутаторы АТМ, то "чистые" коммутаторы локальных сетей, не имеющие АТМ-интерфейсов, должны использовать для создания виртуальной сети один из выше перечисленных методов, а пограничные коммутаторы, имеющие наряду с традиционными еще и АТМ-интерфейсы, должны отображать номера VLAN на номера ELAN при передаче кадров через сеть АТМ.

Использование сетевого протокола

При использовании этого подхода коммутаторы должны для образования виртуальной сети понимать какой-либо сетевой протокол. Такие коммутаторы называют коммутаторами 3-го уровня, так как они совмещают функции коммутации и маршрутизации. Каждая виртуальная сеть получает определенный сетевой адрес - как правило, IP или IPX.

Тесная интеграция коммутации и маршрутизации очень удобна для построения виртуальных сетей, так как в этом случае не требуется введения дополнительных полей в кадры, к тому же администратор только однократно определяет сети, а не повторяет эту работу на канальном и сетевом уровнях. Принадлежность конечного узла к той или иной виртуальной сети в этом случае задается традиционным способом - с помощью задания сетевого адреса. Порты коммутатора также получают сетевые адреса, причем могут поддерживаться нестандартные, для классических маршрутизаторов ситуации, когда один порт может иметь несколько сетевых адресов, если через него проходит трафик нескольких виртуальных сетей, либо несколько портов имеют один и тот же адрес сети, если они обслуживают одну и ту же виртуальную сеть.

При передаче кадров в пределах одной и той же виртуальной сети коммутаторы 3-го уровня работают как классические коммутаторы 2-го уровня, а при необходимости передачи кадра из одной виртуальной сети в другую - как маршрутизаторы. Решение о маршрутизации обычно принимается традиционным способом - его делает конечный узел, когда видит на основании сетевых адресов источника и назначения, что кадр нужно отослать в другую сеть.

Однако использование сетевого протокола для построения виртуальных сетей ограничивает область их применения только коммутаторами 3-го уровня и узлами, поддерживающими сетевой протокол. Обычные коммутаторы не смогут поддерживать такие виртуальные сети и, это является большим недостатком. За бортом также остаются сети на основе немаршрутизируемых протоколов, в первую очередь сети NetBIOS.

По этим причинам наиболее гибким подходом является комбинирование виртуальных сетей на основе стандартов 802.1 Q/p с последующим их отображением на "традиционные сети" в коммутаторах 3-го уровня или маршрутизаторах. Для этого коммутаторы третьего уровня и маршрутизаторы должны понимать метки стандарта 802.1 Q.

1.3 Агент ретрансляции DHCP

Агент ретрансляции DHCP(dhcp-relay) позволяет ретранслировать DHCP и BOOTP запросы из подсети, в которой нет DHCP сервера в другую, или в несколько других подсетей, имеющих DHCP сервера.

Коммутатор может быть сконфигурирован как агент DHCP Relay. В этом случае расширяются возможности применения DHCP-серверов в сети, поскольку уже не нужно использовать несколько DHCP-серверов, по одному в каждой подсети. Коммутатор просто перенаправляет DHCP-запрос от клиента в локальной подсети на удалённый DHCP-сервер.

Option 82 используется для передачи дополнительной информации в DHCP-запросе. Причём эту информацию добавляет сам коммутатор. Эта информация может быть использована для применения политик для увеличения уровня безопасности и эффективности. Для простоты эти пакеты содержат информацию BOOTP, т.е. DHCP-запросы обрабатываются коммутатором также как BOOTP-запросы.

Когда DHCP клиент запрашивает информацию, агент ретрансляции DHCP пересылает запрос списку DHCP серверов, указанных при запуске агента. Когда DHCP сервер возвращает ответ, он отправляется либо широковещательно либо направленно в сеть, из которой был получен первоначальный запрос.

Формат поля DHCP option 82 для DES-35XX:

Формат поля опции с Circuit ID - в ней указывается порт коммутатора, за которым находится клиент и VID соответствующего VLAN:

1.	2.	3.	4.	5.	6.	7.
1	6	0	4	VLAN	Module	Port
1 байт	1 байт	1 байт	1 байт	2 байта	1 байт	1 байт

1. Тип опции

2. Длина

3. Тип Circuit ID

4. Длина

5. VLAN: VLAN ID DHCP-запроса клиента

6. Module: Для автономного коммутатора, поле Module всегда 0; для стекируемого коммутатора, Module = Unit ID.

7. Port: Порт коммутатора, с которого получен DHCP-запрос (начинается с 1) port

Формат поля опции с Remote ID - в ней указывается MAC-адрес коммутатора, являющегося агентом DHCP Relay:

1.	2.	3.	4.	5.
2	8	0	6	MAC address
1 байт	1 байт	1 байт	1 байт	6 байтов

1. Тип опции

2. Длина

3. Тип Remote ID type

4. Длина

5. MAC address: MAC-адрес коммутатора.

Пример настройки:

Оборудование:

1. DHCP-сервер 10.51.8.1 в подсети 10.0.0.0/8

2. Маршрутизатор или коммутатор L3, выступающий в роли шлюза для 2-ух подсетей

3. 10.51.8.11 для подсети 10.0.0.0/8

4. 30.51.8.11 для подсети 30.0.0.0/8

5. Коммутатор L2 (DES-3526/DES-3550) в роли агента DHCP Relay

6. 30.51.8.12 в подсети 30.0.0.0/8

7. MAC-адрес: 00-80-C8-35-26-0A

8. 2 ноутбука в качестве DHCP - клиентов, подсоединённые к портам 9 и 10 коммутатора L2 соответственно

Схема сети:

Рисунок 1.13

Задача:

1. DHCP-сервер использует диапазон адресов 30.51.8.100 - 30.51.8.200 для выдачи DHCP-клиенту, запросы которого перенаправляются агентом DHCP Relay 30.51.8.12 (коммутатор L2)
- Обычный режим DHCP

2. Как только какой-либо клиент DHCP подключается к порту 9 коммутатора L2, DHCP-сервер выдаст ему IP-адрес 30.51.8.161; если к порту 10 - то 30.51.8.162. - Функция DHCP option 82

Команды для настройки коммутатора L2 (DES-3526/DES-3550):

1. create iproute default 30.51.8.11

2. config dhcp_relay add ipif System 10.51.8.1

3. config dhcp_relay option_82 state enable

4. enable dhcp_relay

Настройка DHCP-сервера:

В этом примере используется 30-ти дневная версия haneWIN DHCP server 2.1, которую вы можете взять с сайта

1. В пункте Option -> Preferences -> DHCP взведите галочку Accept Relay Agent Information (Option 82)

2. Сконфигурируйте Option -> Default Client Profile -> Basic Profile Relay IP: 30.51.8.12 Dynamic IP Addresses: От 30.51.8.100 до 30.51.8.200 Subnet mask: 255.0.0.0 Gateway Address: 30.51.8.11

3. Сконфигурируйте DHCP option 82

4. a) Задайте IP-адрес 30.51.8.161 для DHCP-клиента A, подключённого к порту 9 коммутатора L2

5. "Add static entries"

6. Взведите галочки "Circuit Identifier" и "Remote Identifier"

7. Hardware Address: 00040001000900060080c835260a

8. IP Address: 30.51.8.161

9. b) Задайте IP-адрес 30.51.8.162 для DHCP-клиента B, подключённого

10. к порту 10 коммутатора L2

11. "Add static entries"

12. Взведите галочки "Circuit Identifier" и "Remote Identifier"

13. Hardware Address: 00040001000a00060080c835260a

14. IP Address: 30.51.8.162

1.4 Протоколы маршрутизации

RIP -- так называемый дистанционно-векторный протокол, который оперирует хопами в качестве метрики маршрутизации. Максимальное количество хопов, разрешенное в RIP -- 15 (метрика 16 означает «бесконечно большую метрику»). Каждый RIP-маршрутизатор по умолчанию вещает в сеть свою полную таблицу маршрутизации раз в 30 секунд, генерируя довольно много трафика на низкоскоростных линиях связи. RIP работает на прикладном уровне стека TCP/IP, используя UDP порт 520.

В современных сетевых средах RIP -- не самое лучшее решение для выбора в качестве протокола маршрутизации, так как его возможности уступают более современным протоколам, таким как EIGRP, OSPF. Ограничение на 15 хопов не дает применять его в больших сетях. Преимущество этого протокола -- простота конфигурирования.

OSPF (англ. Open Shortest Path First) -- протокол динамической маршрутизации в сетях IPv4 и IPv6.

OSPF был разработан для больших и развивающихся сетей. Основанный на технологии отслеживания состояния канала (link-state technology), протокол выполняет две основные функции, присущие любому алгоритму маршрутизации:

· Выбор пути

· Коммутация по выбранному пути

Протокол OSPF был разработан IETF в 1988 году. Последняя версия протокола представлена в RFC 2328. Протокол OSPF представляет собой протокол внутреннего шлюза (Interior Gateway Protocol -- IGP).

Протокол OSPF распространяет информацию о доступных маршрутах между маршрутизаторами одной автономной системы.

OSPF предлагает решение следующих задач:

· Увеличение скорости сходимости

· Поддержка сетевых масок переменной длины (VLSM)

· Достижимость сети

· Использование пропускной способности

· Метод выбора пути

Многоадресная рассылка

Многоадресная рассылка (Multicast) - это технология экономии полосы пропускания, которая сокращает трафик за счет доставки одного потока информации сразу тысячам корпоративных или частных абонентов. Преимущества многоадресной рассылки используют такие приложения как видеоконференции, корпоративная связь, дистанционное обучение. Суть многоадресной рассылки заключается в том, что она позволяет нескольким получателям принимать сообщения без передачи сообщений каждому узлу широковещательного домена.

Многоадресная рассылка предполагает отправку сообщений или данных на IP-адрес группы многоадресной рассылки. У этой группы нет физических или географических ограничений: узлы могут находиться в любой точке мира. Узлы, которые заинтересованы в получении данных для определенной группы, должны присоединиться к этой группе (подписаться на рассылку) при помощи протокола IGMP. После этого пакеты многоадресной рассылки IP, содержащие групповой адрес в поле назначения заголовка, будут поступать на этот узел и обрабатываться.

Адресация многоадресной рассылки

Групповые адреса определяют произвольную группу IP-узлов, присоединившихся к этой группе и желающих получать адресованный ей трафик. Назначением групповых адресов управляет IANA (Internet Assigned Numbers Authority, Агентство по выделению имен и уникальных параметров протоколов Интернет). Оно выделило для групповой IP-адресации старые адреса класса D. Это означает, что область многоадресной рассылки охватывает адреса с 224.0.0.0 до 239.255.255.255.

IANA зарезервировало область многоадресной рассылки IP 224.0.0.0-224.0.0.255 для сетевых протоколов сегментов локальных сетей. Пакеты с такими адресами никогда не выходят за пределы локальной сети. Вторая группа адресов в диапазоне 224.0.1.0-224.0.1.255 - это глобальные адреса, которые могут использоваться для многоадресной передачи данных в

Интернет.

Подписка и обслуживание групп

Сам по себе многоадресный трафик не знает ничего о том, где находятся его адресаты. Как и для любого приложения для этого нужны протоколы.

Протокол IGMP (Internet Group Management Protocol, межсетевой протокол управления группами) используется для динамической регистрации отдельных узлов в многоадресной группе локальной сети. Узлы сети определяют принадлежность к группе, посылая IGMP сообщения на свой локальный многоадресный маршрутизатор. По протоколу IGMP маршрутизаторы получают IGMP-сообщения и периодически посылают запросы, чтобы определить, какие группы активны или неактивны в данной сети.

Протокол IGMP v1

В версии 1 протокола IGMP существуют два типа IGMP-сообщений:

?? Запрос о принадлежности к группе;

?? Ответ о принадлежности к группе.

Узлы отсылают IGMP-ответы, которые соответствуют u1086 определенной многоадресной группе, чтобы подтвердить свое желание присоединиться к этой группе. Маршрутизатор периодически отправляет IGMP-запрос, чтобы убедиться, что хотя бы один узел в подсети еще

намерен получать трафик, предназначенный для этой группы. При отсутствии ответа на три последовательных IGMP-запроса, маршрутизатор отключает группу и прекращает передавать адресованный ей трафик.

Протокол IGMP v2

В версии 2 протокола IGMP существуют четыре типа IGMP-сообщений:

?? Запрос о принадлежности к группе;

?? Ответ о принадлежности к группе по версии 1;

?? Ответ о принадлежности к группе по версии 2;

?? Покинуть группу.

В основном работа IGMP 2 не отличается от IGMP 1. Разница заключается в наличие сообщений о выходе из группы. Теперь узлы сами могут сообщить локальному многоадресному маршрутизатору о намерении покинуть группу. В ответ маршрутизатор отсылает группе специальный запрос, чтобы определить, остались ли в ней еще узлы, желающие получать данный трафик. Если ответа не поступит, маршрутизатор отключает группу и прекращает передачу трафика. Это может значительно сократить задержки, связанные с прекращением членства в группе, по сравнению с IGMP 1. Нежелательный и ненужный трафик может быть прекращен гораздо быстрее.

Управление многоадресной рассылкой на 2 уровне

Стандартное поведение коммутатора 2-ого уровня заключается в передаче всего многоадресного трафика на каждый порт, принадлежащий локальной сети-приемнику на данном коммутаторе. Это связано с тем, что коммутатор не находит записи об МАС-адресе групповой рассылки в своей таблице коммутации, и поэтому рассылает пакеты через все порты.

Это противоречит основному назначению коммутатора, которое заключается в ограничении трафика и доставке его только тем портам, для которых такие данные действительно предназначены.

Управление многоадресной рассылкой на коммутаторе может быть выполнено несколькими способами:

Виртуальные локальные сети VLAN могут определять соответствующие границы многоадресной группы. Этот подход прост, однако он не поддерживает динамическое добавление или исключение членов из группы.

Второй метод, который поддерживается коммутаторами D-Link - IGMP-

прослушивание (IGMP-snooping). IGMP-прослушивание - это проверки или прослушивание локальной сети на наличие в IGMP-пакетах, передаваемых между узлом и маршрутизатором, некоторой информации 3-его уровня. Когда коммутатор получает IGMP-отчет узла для многоадресной группы, он заносит номер порта узла в запись своей ассоциированной многоадресной таблицы. Когда коммутатор получает IGMP-сообщение о выходе узла из группы, он удаляет номер порта этого узла из записи таблицы.

Поскольку управляющие IGMP-сообщения передаются в виде многоадресных пакетов, они неотличимы от многоадресных данных 2-ого уровня. Коммутатор, на котором осуществляется IGMP-прослушивание, проверяет все многоадресные пакеты и ищет среди них те, которые содержат управляющую информацию. IGMP-прослушивание сильно загружает центральный процессор и может снизить производительность коммутатора. Поэтому в коммутаторах обычно используются специализированные микросхемы, которые проверяют IGMP-сообщения на аппаратном уровне.

Рисунок 1.14

1.5 Требования, предъявляемые к домовым локальным сетям при их модернизации

Главным требованием, предъявляемым к домовым локальным сетям, является выполнение сетью ее основной функции - обеспечение пользователям возможности доступа в Интернет и внутренним ресурсам всех компьютеров, находящихся в данной сети. Остальные требования, такие как производительность, надежность, совместимость, управляемость и масштабируемость связаны с качеством выполнения этой основной задачи предоставления услуг пользователю.

Производительность - это свойство обеспечивается возможностью распараллеливания работ между несколькими компьютерами сети. Существуют следующие основные характеристики производительности сети - время реакции, пропускная способность и задержка передачи, и вариация задержки передачи.

Время реакции сети является интегральной характеристикой производительности с точки зрения пользователя. В общем случае время реакции определяется как интервал времени между возникновением запроса пользователя к какой-либо сетевой службе и получением ответа на этот запрос.

Пропускная способность отражает объем данных, переданных сетью или ее частью в единицу времени.

Задержка передачи определяется как задержка между моментом поступления пакета на вход какого-либо сетевого устройства или части сети и моментом появления его на выходе этого устройства.

Надежность ЛВС определяется следующими показателями:

* готовностью или коэффициентом готовности, который означает долю времени, в течении которого система может быть использована;

* вероятностью доставки пакета узлу назначения без искажений (вероятность потери пакета);

* вероятность искажения отдельного бита передаваемых данных, (отношение потерянных пакетов к доставленным);

* способностью системы защитить данные от несанкционированного доступа;

* отказоустойчивостью - способностью скрыть от пользователя отказ отдельных элементов сети;

* расширяемость означает возможность сравнительно легкого добавления отдельных элементов сети (пользователей, компьютеров, приложений и служб), наращивая длины сегментов сети и замены существующей аппаратуры более мощной;

* масштабируемость означает, что сеть позволяет наращивать количество узлов и протяженность связей в очень широких пределах, при этом производительность сети не ухудшается;

* поддержка разных видов трафика. Сеть должна обеспечить совместную передача традиционного компьютерного и мультимедийного трафика. Если сеть обладает поддержкой разных видов трафика эту сеть можно называть мультисервисной сетью;

* управляемость подразумевает собой возможность централизованно контролировать состояние магистральных и отдельных элементов сети, выявлять и разрешать проблемы, возникающие при работе сети, выполнять анализ производительности сети и планировать дальнейшее её развитие;

* совместимость или интегрируемость означает, что сеть способна включать в себя самое разнообразное программное и аппаратное обеспечение, то есть в ней могут сосуществовать различные операционные системы, поддерживающие различные стеки коммуникационных протоколов, и работать аппаратные средства и приложения от различных производителей.

1.6 Анализ домовой локальной вычислительной сети

Необходимость модернизации домовой локальной сети обусловлена следующими основными причинами:

1. На данный момент домовая сеть является сетью второго уровня построенная по технологии Gigabit Ethernet с использованием топологии звезда. На магистральных оптических линиях используются управляемые коммутаторы второго уровня и программируемый коммутатор третьего уровня в центре топологии.

2. Сеть не разделена на логические сегменты, т.е. маршрутизация трафика в сети не осуществляется. В следствии этого, с сети в одном broadcast домене оказываются около 6500 компьютеров. Этот фактор сказывается на качестве предоставляемых услуг доступа в Интернет, особенно по вечерам, когда активность широковещательного трафика в сети возрастает.

3. Входящий гигабитный Интернет канал в локальную сеть уже не может обеспечить должную скорость и требует его расширения.

4. Внедрение IP-телевидения вносит ряд проблем, связанных с передачей данных в реальном режиме времени. Для этого разработаны методики приоритезации трафика в сетях передачи данных. Текущее сетевое оборудование, установленное в локальной сети может обеспечить передачи данных в реальном режиме времени, но не при нынешней логической структуре и настройки, при имеющейся структуре возможны сбои в работе сервиса телевидение и сервиса IP-телефонии также критичного ко времени.

5. Нужно учесть, что постоянно поступают звонки от потенциальных пользователей на подключение к сети и нужно обеспечить запас производительности сети для новых пользователей.

6. Так же на рынке услуг связи существует конкуренция и для того, чтобы не растерять клиентскую базу, нужно идти в ногу с современными технологиями и сервисами локальных сетей.

Таким образом, настоящая архитектура сети уже не может обеспечивать должную пропускную способность каналов связи для внедрения новых услуг и повышения качества обслуживания клиентов.

1.7 Выводы по аналитической части

Рост клиентской базы, внедрение L2 услуг на построенной сети, влечёт за собой постоянное повышение нагрузки на коммутаторы всех уровней сети и border'ов, в целях недопущения перегрузки коммутаторов, снятия существующей предельной загрузки и для повышения качества предоставления услуг triple-play(данные, голос и видео), предлагается провести реорганизацию сети с минимальными финансовыми вложениями.

Исходя из анализа домовой локальной сети, однозначно можно сказать, что применяемая технология при модернизации сети останется Gigabit Ethernet, т.к. использование другой технологии экономически не выгодно и нецелесообразно. Так же эта технология экономически выгодна по цене за порт. Топологию менять нет смысла, так как это повлечет за собой строительство новых оптических трасс и потребует больших финансовые вложений, не говоря о всевозможных проблемах сопутствующих строительству новых каналов связи. Необходимо использовать как можно больше функций реализованных в имеющемся оборудование(DES-3526, DXS-3326GSR). Защита и управление на основе анализа пакетов и отслеживания состояния соединений, блокирование DoS-атак, списки контроля доступа (ACL).

1. Реорганизация инфраструктуры опорной сети для передачи голоса и видео, обеспечивающих улучшенное качество обслуживания, включая поддержку технологии для управления трафиком. Используя дифференцированные IP-услуги для приложений.

2. Вынести интерфейсы управления коммутаторов в отдельный VLAN, это позволит осуществлять удаленное управление и конфигурирование, через графический пользовательский интерфейс с помощью специального программного обеспечения или по протоколам Telnet, Secure Shell или Rlogin.

3. Централизованное оповещение о состоянии активного оборудования через протокол SNMP, что повысит возможность предупреждения и поиска неполадок в сети, наблюдение за загруженностью каналов связи.

4. Централизовать динамическую выдачу настроек сети пользователям, путём переноса dhcp-сервера с border'а на сервер находящийся в датацентре компании.

2 Проектная часть

2.1 Концепция развития домовой локальной вычислительной сети

С развитием информационных технологий люди передают по сетям передачи данных не только данные, но и голос, и изображение. Совокупность предоставления такого рода услуг, носит маркетинговый термин Triple-play, предполагающий наличие широкополосного доступа в сеть Интернет. Требования к такой услуге предъявляются высокие. Данные необходимо получать целиком. Голос необходимо слышать четко, не должно быть проблем с установкой связи, слышимостью. Видео должно быть качественным, не должно быть рассыпания картинки, зависаний изображений, звук и видео должны быть синхронизованы. Для того чтобы описанные критерии соблюдались, необходимо иметь надежную и качественную опорную сеть, где будет оптимально сбалансирована загрузка процессорной мощности коммутационного оборудования, пропускная способность каналов связи, паразитный трафик и шумы должны быть минимизированы чтоб не вызывать временных задержек.

Для реорганизации сети предлагаются следующие основные действия:

1. Вынести интерфейсы управления коммутаторов(management-интефейсов) в отдельный VLAN с выделением сети /21 для коммутаторов. Management-VLAN предлагается затерминировать на border. Выполнение этого пункта позволит исключить негативное влияние клиентского трафика на коммутаторы и позволит сократить размер ACL на ТКД за счёт выноса из него правил запрещающих пользователям подставлять ip-адреса из подсети management-интерфейсов коммутаторов. Вынос management'а будет осуществлён, не затрагивая предоставление сервисов клиентам

2. Перенести терминацию пользовательской подсети c border на У-2. На каждый У-2 выделить сеть /21, то есть 2045 адресов для клиентов. Выполнение данного пункта позволит сократить существующий огромный броадкаст домен в десятки раз, что во столько же раз снизит нагрузку на коммутаторы.

3. Поднять ospf-маршрутизацию между У-2 и border'ом, для направления трафика внутри района напрямую с У-2 на У-2 в обход border'а.

4.Вывести многоадресный трафик в отдельный VLAN из пользовательской подсети, это обеспечит беспрепятственный транспорт для введения нового бизнес процесса IP телевидения.

5. Централизовать динамическую выдачу настроек сети пользователям, путём переноса dhcp-сервера с граничного маршрутизатора на сервер находящийся в датацентре компании. Перенос будет осуществлён путём включения функции dhcp-relay на ТКД без прерывания сервиса клиентов. Выполнение данного пункта позволит нам выполнить последующие пункты данного проекта и получать дополнительную информацию о клиенте в полях dhcp option 82, которая может пригодиться для дальнейших разработок.

6. Поднять дистрибуцию статических маршрутов для сетей «локальных ресурсов» с У-2 в сторону клиентов, посредством протокола динамической маршрутизации OSPF. Данный протокол выбран из-за поддержки его операционными системами семейства Microsoft Windows. Данный пункт сделает более простой и удобной настройку клиентам. А главное добавит динамичность маршрутам прописываемых сейчас клиентами статикой

7. Перевести линки между ТКД и У-2 в полноценные транки. Данный пункт при необходимости, позволит легко внедрять QoS на домовой сети.

2.2 Аппаратное обеспечение модернизированной домовой локальной вычислительной сети

Модернизированная домовая сеть, построенная по логической схеме, представлена на рисунке 2.1.



Рисунок 2.1

Рассмотрим архитектуру широкополосной сети доступа. Ключевым моментом дизайна сети является трехуровневая модель построения сети.  В сети можно выделить оборудование Уровня Доступа (Access Layer) - это свитчи, к которым подключены клиенты, Уровня Распределения (Aggregation Layer) - узловые свитчи (1ый, 2ой уровни и агрегаторы), Уровня Ядра сети (Backbone Layer).

Таким образом, общая схема сети делится на три уровня:

· Уровень доступа - осуществляет физическую концентрацию абонентских линий. Единицу оборудования данного уровня будем называть ТКД (Точка Коллективного Доступа). ТКД организует разделение абонентов на уровне Ethernet с использованием виртуальных сетей, обеспечивает ограничение скорости передачи данных на входе в сеть и осуществляет базовые функции безопасности.

· Уровень распределения - терминирует виртуальные сети Уровня Доступа с использованием протокола IP.

· Уровень ядра - служит высокоскоростной и надежной магистралью объединяющей все в единое целое.

Серверы широкополосного доступа (BRAS) - в качестве серверов широкополосного доступа устанавливаются маршрутизаторы Cisco 7301, на которых терминируются туннельные PPTP/L2TP сессии клиентов, обращающихся в Интернет. Трафик от клиентов в Интернет проходит сквозь серверы широкополосного доступа.

Для реорганизации сети потребуется 1 сервер для переноса dhcp-сервера с граничного маршрутизатора, коммутационное оборудование менять нет необходимости, так как коммутационной мощности и набора функций коммутаторов DES-3526, DXS-3326GSR хватит для основных пунктов модернизации.

Сервер HP ProLiant DL320 (G3)

Третье поколение серверов ProLiant DL320 (рисунок 2.2) разработано для работы со специализированными предложениями, используемые на малых и средних предприятиях. Кроме того, благодаря новейшим микросхемам Intel появилось множество новых технических возможностей.

* оптимизированные для плотного размещения, максимальной гибкости и управляемости;

* идеальное решение для развертывания много серверной конфигурации;

* стоечные и кластерные модели.



Рисунок 2.2 - Внешний вид сервера HP ProLiant DL320 (G3)

Таблица 2.1 Технические характеристики HP ProLiant DL320 (G3)

Устройство	Характеристика
1	2
Процессор	Intel Pentium 4 3,2 ГГц с поддержкой Hyper-Threading и EM64T
Кэш-память	2 MB кэш-памяти второго уровня
Количество процессоров	1
Набор микросхем	Intel E7221 с шиной FSB 800 МГц
Память	2 ГБ PC3200 DDR SDRAM
Сетевой контроллер	двухпортовый интегрированный NC7782 10/100/1000
Слоты расширения	64-бит/133 МГц PCI-X -- 1 (полноразмерный), 64-бит/100 МГц PCI-X -- 1 (в половину длины)
Контроллер/RAID-контроллер	интегрированный двухпортовый SATA контроллер с поддержкой RAID 0/1.
Флоппи-дисковод	опционально
Оптический привод	опционально
Максимальное количество стандартных внутренних дисковых отсеков	2х1" (SATA или SCSI без горячей замены)
Дисковые массивы	500 ГБ (SATA c/без горячей замены)
Интерфейсы	USB 4 последовательный 1 указательное устройство (мышь) 1графический 1клавиатура 1разъем RJ-45 2 iLO remote management
Графический адаптер	интегрированный видеоконтроллер ATI RAGE XL с 8 МБ видеопамяти SDRAM
Форм-фактор	для монтажа в стойку 1U
Соответствие отраслевым стандартам	ACPI 2.0, PCI 2.2 Compliant, PXE Support WOL Support, Microsoft® Logo certifications USB 2.0
Функции управления	ASR (Automatic Server Recovery); iLO Advanced Pack (дополнительно); HP Systems Insight Manager; встроенный журнал управления; монитор контроля параметров накопителя (с контроллерами Smart Array); функция динамического восстановления секторов (с контроллерами Smart Array); профилактическая гарантия на жёсткие диски SAS и SCSI, память и процессоры
Управление безопасностью	Пароль на включение питания; пароль клавиатуры; контроль дисковода гибких дисков; контроль загрузки с дискеты; контроль порта USB; съёмные приводы для компакт-дисков и флоппи дисков; пароль администратора
Блок питания	Блок питания с автоматическим определением, 350 Вт, PFC, соответствие CE Mark

Стекируемый коммутатор Gigabit Ethernet 2-го уровня D-Link DES-3526.

Рисунок 2.3

Коммутаторы серии 10/100 Мбит/с D-Link DES-3500 являются взаимно стекируемыми коммутаторами уровня доступа, поддерживающими технологию Single IP Management (SIM, управление через единый IP-адрес). Эти коммутаторы, имеющие 24 или 48 10/100BASE-TX портов и 2 комбо-порта 1000BASE-T/SFP Gigabit Ethernet в стандартном корпусе для установки в стойку, разработаны для гибкого и безопасного сетевого подключения. Коммутаторы серии DES-3500 могут легко объединяться в стек и настраиваться вместе с любыми другими коммутаторами с поддержкой D-Link Single IP Management, включая коммутаторы 3-го уровня ядра сети, для построения части многоуровневой сети, структурированной с магистралью и централизованными быстродействующими серверами.

В основном, коммутаторы серии DES-3500 формируют стек сети уровня подразделения, предоставляя порты 10/100 Мбит/с и возможность организации гигабитного подключения к магистрали. Трафик, передаваемый между устройствами стека, проходит через интерфейсы Gigabit Ethernet с поддержкой полного дуплекса и обычные провода сети, позволяя избежать использования дорогостоящих и громоздких кабелей для стекирования. Отказ от использования этих кабелей позволяет устранить барьеры, связанные с их длиной и ограничениями методов стекирования. В стек могут быть объединены устройства, расположенные в любом месте сети, исключая возможность появления любой точки единственного отказа (single point of failure).

Управление через единый IP-адрес (Single IP Management)

Коммутаторы серии DES-3500 упрощают и ускоряют задачу управления, т.к. множество коммутаторов могут настраиваться, контролироваться и обслуживаться через уникальный IP-адрес с любой рабочей станции, имеющей Web-браузер.

Cтек управляется как единый объект, и все устройства стека определяются по единственному IP-адресу. С помощью встроенного Web-менеджера, можно получить информацию, представленную в виде дерева (Tree View) о членах стека и топологии сети с указанием месторасположения устройств стека и связей между ними. Это простое и достаточно эффективное Web-управление исключает необходимость установки дорогого ПО для SNMP-управления.

В стек можно легко объединить до 32-х коммутаторов, независимо от модели. Виртуальный стек поддерживает любые модели коммутаторов со встроенным Single IP Management. Это означает, что стек может быть расширен коммутаторами, включая коммутаторы 3-го уровня для ядра сети, коммутаторы на основе шасси или любые другие коммутаторы.

Серия DES-3500 обеспечивает расширенный набор функций безопасности для управления подключением и доступом пользователей. Этот набор включает Access Control Lists (ACL) на основе МАС-адресов, портов коммутатора, IP адресов и/или номеров портов TCP/UDP, аутентификацию пользователей 802.1х и контроль МАС-адресов. Помимо этого, DES-3500 обеспечивает централизованное управление административным доступом через TACACS+ и RADIUS. Вместе с контролем над сетевыми приложениями, эти функции безопасности обеспечивают не только авторизованный доступ пользователей, но и предотвращают распространение вредоносного трафика по сети

Для повышения производительности и безопасности сети коммутаторы серии DES-3500 обеспечивает расширенную поддержку VLAN, включая GARP/GVRP, 802.1Q и асимметричные VLAN. Управление полосой пропускания позволяет установить лимит трафика для каждого порта, что дает возможность управлять объемом трафика на границе сети. Коммутатор поддерживает установку резервного источника питания. Другие характеристики включают поддержку 802.3ad Link Aggregation, 802.1d Spanning Tree, 802.1w Rapid Spanning Tree и 802.1s Multiple Spanning Tree для повышения надежности и доступности виртуального стека.

Серия DES-3500 имеет широкий набор многоуровневых (L2, L3, L4) QoS/CoS функций, для гарантии того, что критически важные сетевые сервисы, подобные VoIP, ERP, Intranet или видеоконференции будут обслуживаться с надлежащим приоритетом. Поддерживаются 4 очереди приоритетов для 802.1p/TOS/DiffServ с классификацией на основе МАС-адресов источника и приемник, IP-адресов источника или приемника и/или номеров портов TCP/UDP.

Стекируемый коммутатор Gigabit Ethernet 3-го уровня D-Link DES- 3326SR.



Рисунок 2.4

Коммутаторы нового поколения серии xStack DGS-3300 предоставляют сетям крупных предприятий и предприятий малого и среднего бизнеса (SMB) высокую производительность, гибкость, безопасность, многоуровневое качество обслуживания (QoS) и возможность подключения резервного источника питания. Коммутаторы обеспечивают высокую плотность гигабитных портов для подключения рабочих мест, оснащены слотами SPF для гибкого подключения по оптике, слотами для установки модулей расширения с портами 10 Gigabit Ethernet и поддерживают расширенные функции программного обеспечения. Коммутаторы можно использовать в качестве устройств уровня доступа подразделений или в ядре сети для создания многоуровневой сетевой структуры с высокоскоростными магистралями и централизованным подключением серверов. Провайдеры услуг могут также использовать преимущества коммутаторов с высокой плотностью портов SFP для формирования ядра оптической сети (FTTB).

Виртуальный стек.

Любой из коммутаторов серии DGS-3300 может функционировать в качестве автономного устройства или части масштабируемого стека. Встроенная поддержка технологии Single IP Management позволяет автономному коммутатору стать частью виртуального стека, в котором внутристековый трафик передается по обычным сетевым кабелям, исключая необходимость использования дорогостоящих специализированных кабелей для стекирования. Это позволяет избежать проблем, связанных с длиной кабелей и методом физического стекирования и объединить в виртуальный стек устройства, расположенные в любом месте сети, минимизируя влияние единой точки возможного отказа.

Безопасность, производительность и доступность

Коммутаторы серии DGS-3300 предоставляют широкий набор функций безопасности, включая многоуровневые L2/L3/L4 списки контроля доступа и аутентификацию пользователей 802.1x через серверы TACACS+ и RADIUS. Кроме того, они поддерживают статическую IP v.4/v.6 маршрутизацию на 3 уровне для повышения производительности и безопасности сети. Встроенная технология ZoneDefense представляет собой механизм, позволяющий совместно работать коммутаторам D-Link серии xStack и межсетевым экранам и обеспечивающий активную сетевую безопасность. Функция Zone-Defense автоматически изолирует инфицированные компьютеры сети и предотвращает распространение ими вредоносного трафика.

Для повышения производительности и безопасности коммутаторы серии DGS-3300 обеспечивают расширенную поддержку VLAN, включая GARP/GVRP и 802.1Q. Для поддержки объединенных приложений, включая VoIP, ERP и видеоконференций, широкий набор функций QoS/CoS 2/3/4 уровней гарантирует, что критичные к задержкам сетевые сервисы будут обслуживаться в приоритетном режиме. Для предотвращения загрузки центрального процессор обработкой вредоносного широковещательного трафика, генерируемого злоумышленниками или обусловленного вирусной активностью, коммутаторы серии DGS-3300 предоставляют функцию D-Link Safeguard Engine, позволяющую повысить надежность и доступность сети. Благодаря поддержке функции контроля полосы пропускания для каждого порта можно устанавливать лимиты, гарантируя определенный уровень обслуживания для конечных пользователей. Функция управления полосой пропускания для каждого потока позволяет настраивать типы обслуживания на основе определенных IP-адресов или протоколов.

2.3 Программное обеспечение и настройка коммутационного оборудования

Структура исходной сети представленной на рисунке 2.5 является работающей системой приносящей доход, следовательно, предоставление сервиса для конечных абонентов является приоритетной задачей. При проведение всех работ по реорганизации схемы управления и оптимизации структуры, необходимо обеспечить минимальное прерывание сервиса и возможность отката на старую работающую схему.

Рисунок 2.5

1. Этап подготовки сети.

Определение точной топологии домашней сети, если требуется заведение заявок на исправление (при наличии каких- либо временных каналов связи, каскадных подключениях) Проверка коммутаторов, определение портов сегмента.

2. Выделение требуемого количества сетей для реализации проекта.

Cети для работы OSPF /30

Cети для users /21

Cети для management /22

Сформировать конфиг DHCP сервера.

3. Подготовка конфигов:

Коммутаторов ДС для динамического формирования неблокируемого сервера DHCP

Магистрального оборудования для организации должного пиринга.

4. Запуск маршрутизации:

Терминируем интерфейсы на граничном маршрутизаторе

Терминируем интерфейсы на узлах сегментов

Убедиться, что маршрутизация работает правильно и сети анонсируются.

Удалить default route на узлах, убедиться что маршрут пришел по OSPF.

5.Запуск пользователей

Удаляем аплинк из влана пользователей

Терминируем пользователей на У2

Запускаем DHCP.

6. Убеждаемся, что пользователи начали получать ip и подключаться к vpn серверу.

Все пункты будут выполняться последовательно, с оповещением клиентов и необходимыми промежутками для перехода клиентов на новую адресацию. Планируемый перерыв сервиса не больше минуты на каждого клиента. Проект внедряется на существующем оборудовании без каких либо существенных материальных затрат. L3 трафик проходящий через У-2 достаточно мал и ресурсов DXS-3326GSR вполне хватит для такой схемы организации, единственное затрагивающее нас ограничение в нём это размер таблицы ipfdb в 3000 записей, но при подключении более 2500 клиентов в сегменте - его легко заменить на более мощный, например DGS-3627G с таблицей ipfdb в 8000 записей. L3 функции на У-1 задействованы не будут, и значит повышенных требований к нему не предъявляется. Настройка активного оборудование находиться в Приложение 1.

Расширение входящего канала. При строительстве оптических линий связи используется многожильный оптический кабель. При наличии свободных волокон можно расширить входящий канал, используя технологию агрегирование каналов -- технология, которая позволяет объединить несколько физических каналов в один логический. Такое объединение позволяет увеличивать пропускную способность канала и увеличить надежность канала. Агрегирование каналов может быть настроено как между двумя коммутаторами, так и между коммутатором и сервером. Настройка активного оборудование находиться в Приложение 1.

В качестве платформы для сервера DHCP предлагается использовать Unix-подобную операционную система для ПК, основанную на самых различных, современных архитектурах. Эта операционная система выбрана в первую очередь из-за своей очень высокой надёжности, стабильности, защищённости и высокой производительности. Так же важную роль в выборе этой операционной системы сыграли факторы, что она является операционной системой с открытым кодом и для неё доступны тысячи бесплатных пакетов и прикладных программ. Можно настроить сервер DHCP, используя файл конфигурации /etc/dhcpd.conf приложение 2.

2.3 Информационная безопасность модернизированной домовой локальной вычислительной сети

Безопасность в локальной сети должна обеспечивать администрация сети, но пользователи тоже не должны забывать о безопасности в сети, так как большинство вредоносных программ распространяются через компьютеры пользователей. Таким образом требуется комплекс мер для обеспечения информационной безопасности в сети, как со стороны администрации, так и со стороны рядовых пользователей.

Пользователям сети нужно защищать только свой компьютер, что бы сохранить целостность конфиденциальной информации, скрыть её от других пользователей сети, так же компьютер может стать рассадником вирусов и всевозможных сетевых червей, которые будут мешать работать всем пользователям сети создавая создавать большой локальный трафик. Что бы пользователю защитить свой компьютер ему необходим комплекс программного обеспечения для обеспечения безопасности.

Существует множество программных комплексов защиты компьютера. Например: Kaspersky Internet Security, Norton Internet Security, Panda Internet Security, F-Secure Internet Security и т.д.

Состав этих программных комплексов почти одинаковый и в них входят следующие компоненты:

1. Антивирус:

* Программа осуществляет антивирусную проверку почтового трафика на уровне протокола передачи данных (POP3, IMAP и NNTP для входящих сообщений и SMTP для исходящих сообщений) независимо от используемой почтовой программы;

* Проверка интернет-трафика. Обеспечивает антивирусную проверку интернет-трафика, поступающего по сетевым протоколам, так же осуществляется отдельная проверка HTTP трафика на предмет spyware. В режиме реального времени, позволяя таким образом предотвратить заражение ещё до момента сохранения файлов на жестком диске компьютера;

* Защита файловой системы. Антивирусной проверке подвергаются любые отдельные файлы, каталоги и диски, так же возможна проверка только критических областей операционной системы и объектов, загружаемых при старте ОС;

* Проактивная защита. Осуществляется постоянное наблюдение за активностью программ и процессов, запущенных в оперативной памяти компьютера, и своевременно предупреждает пользователя в случае появления опасных, подозрительных или скрытых процессов; предотвращает опасные изменения файловой системы и реестра, а также восстанавливает систему после вредоносного воздействия.

2. Брандмауэр:

* Блокирует сетевые атаки. Фиксирует попытки сканирования портов компьютера, часто предшествующие сетевым атакам, и успешно отражает наиболее распространенные типы хакерских атак, запрещая взаимодействие с атакующим компьютером. Мониторинг сетевой активности позволяет вести статистику всех соединений;

* Контролирует все сетевые взаимодействия. На основе заданных правил программа контролирует обращения приложений к источникам в сети Интернет и отслеживает входящие и исходящие пакеты данных;

* Делает безопасной работу в любых сетях;

* Обладает режимом невидимости при работе в интернете. Режим невидимости предотвращает обнаружения компьютера извне. При переключении в этот режим запрещается вся сетевая деятельность, кроме предусмотренных правилами исключений, которые определяются самим пользователем.

2.4 Выводы по проектной части

По итогам проведенных этапов по реорганизации схемы управления и оптимизации сети были достигнуты следующие результаты:

снижена загрузка процессорной мощности оборудования рисунок 2.6, 2.7



Рисунок 2.6 -загрузка процессора до сегментации

Рисунок 2.7 -загрузка процессора после сегментации

Сокращен броадкаст домен в десятки раз. Исключено влияние пользователей на оборудование за счет разноса терминации пользовательского интерфейса и интерфейса менеджмента на различном оборудовании.

У узловых коммутаторов создано 3 интерфейса (рисунок 2.8) на которые можно удаленно попасть, и в случае ненормальной активности в сегменте можно будет быстро локализовать проблему, сегмент в среднем состоит из 15-20 домов.



Рисунок 2.8 -интерфейсы оборудования

Трафик между пользователями маршрутизируется напрямую на узловых коммутаторах и не загружает граничный маршрутизатор. Так же для равномерности загрузки с граничного маршрутизатора перенесен DHCP сервер в дата-центр компании.

Сеть подготовлена к росту клиентской базы, вводу в эксплуатацию нового сервиса IPTV, расширен входящий канал до 2гбит\сек, что позволит увеличить скорость на клиентских тарифах.

3. Охрана труда

3.1 Исследование возможных опасных и вредных факторов при эксплуатации ЭВМ и их влияния на пользователей

3.1.1 Введение

Охрана труда -- это система законодательных актов, социально-экономических, организационных, технических, гигиенических и лечебно-профилактических мероприятий и средств, обеспечивающих безопасность, сохранение здоровья и работоспособности человека в процессе труда.

Полностью безопасных и безвредных производственных процессов не существует. Задача охраны труда -- свести к минимуму вероятность поражения или заболевания работающего с одновременным обеспечением комфорта при максимальной производительности труда.

Любой производственный процесс, в том числе работа с ЭВМ, связан с появлением опасных и вредных факторов.

Опасный фактор -- это производственный фактор, воздействие которого на работающего в определенных условиях приводит к травме или другому резкому внезапному ухудшению здоровья.

Вредный фактор -- производственный фактор, приводящий к заболеванию, снижению работоспособности или летальному исходу. В зависимости от уровня и продолжительности воздействия вредный производственный фактор может стать опасным.

В процессе использования ПЭВМ различные вредные факторы, связанные с работой на персональном компьютере, угрожают здоровью, а иногда и жизни оператора. Типичными ощущениями, которые испытывают к концу дня люди, работающие за компьютером, являются: головная боль, резь в глазах, тянущие боли в мышцах шеи, рук и спины, зуд кожи на лице и т. п. Испытываемые каждый день, они могут привести к мигреням, частичной потере зрения, сколиозу, тремору, кожным воспалениям и другим нежелательным явлениям.

Была также выявлена связь между работой на компьютере и такими недомоганиями, как астенопия (быстрая утомляемость глаза), боли в спине и шее, запястный синдром (болезненное поражение срединного нерва запястья), тендениты (воспалительные процессы в тканях сухожилий), стенокардия и различные стрессовые состояния, сыпь на коже лица, хронические головные боли, головокружения, повышенная возбудимость и депрессивные состояния, снижение концентрации внимания, нарушение сна и немало других, которые не только ведут к снижению трудоспособности, но и подрывают здоровье людей.

Основным источником проблем, связанных с охраной здоровья людей, использующих в своей работе автоматизированные информационные системы на основе персональных компьютеров, являются дисплеи (мониторы), особенно дисплеи с электронно-лучевыми трубками. Они представляют собой источники наиболее вредных излучений, неблагоприятно влияющих на здоровье операторов и пользователей.

Конфигурация компьютеризированного рабочего места для работы над дипломом:

· ПК на основе процессора QuadCore Intel Core 2 Quad Q6600, 2400 MHz с необходимым набором устройств ввода-вывода и хранения информации (DVD-RW, HDD);

· лазерный принтер XEROX Phaser 3122 (A4);

· цветной SVGA-монитор LG 17” (TCO 99):

· разрешение по горизонтали (max) -- 1280 пикселей; разрешение по вертикали (max) -- 1024 пикселей;

· легко регулируемые контрастность и яркость;

· частота кадровой развертки при максимальном разрешении -- 56-75 Гц;

· частота строчной развертки при максимальном разрешении -- 30-83 кГц.

Питание ПЭВМ производится от сети 220В. Так как безопасным для человека напряжением является напряжение 40В, то при работе на ПЭВМ опасным фактором является поражение электрическим током.

В дисплее ПЭВМ высоковольтный блок строчной развертки и выходного строчного трансформатора вырабатывает высокое напряжение до 25кВ для второго анода электронно -- лучевой трубки. А при напряжении от 5 до 300 кВ возникает рентгеновское излучение различной жесткости, которое является вредным фактором при работе с ПЭВМ (при 15-25 кВ возникает мягкое рентгеновское излучение).

Изображение на ЭЛТ создается благодаря кадрово-частотной развертке с частотой:

· 85 Гц (кадровая развертка);

· 42 кГц (строчная развертка).

Следовательно, пользователь попадает в зону электромагнитного излучения низкой частоты, которая является вредным фактором.

Во время работы компьютера дисплей создает ультрафиолетовое излучение, при повышении плотности которого > 10 Вт/м2, оно становиться для человека вредным фактором. Его воздействие особенно сказывается при длительной работе с компьютером.

Любые электронно-лучевые устройства, в том числе и электронно-вычислительные машины во время работы компьютера вследствие явления статического электричества происходит электризация пыли и мелких частиц, которые притягивается к экрану. Собравшаяся на экране электризованная пыль ухудшает видимость, а при повышении подвижности воздуха, попадает на лицо и в легкие человека, вызывает заболевания кожи и дыхательных путей.