Разработка мультисервисной сети

Физическое стекирование:

1) порты стекирования HDMI - 2;

2) максимальное количество коммутаторов, объединенных в стек - 6;

3) полоса пропускания.

Производительность:

1) коммутационная матрица _ 68 Гбит/с;

2) скорость пересылки пакетов - 50.6 Mpps;

3) размер таблицы МАС-адресов - 8 К;

4) размер буфера _ 768 Кбайт;

5) поддержка Jumbo-фреймов: 10,240 байт.

Функции, выполняемые в сети ООО «СКАЙЛАЙН». Коммутатор D-LINK DGS-3100-24TG выполняет функцию узлового коммутатора, то есть объединяет коммутаторы, к которым непосредственно подключены абоненты, в сегмент сети, . Коммутатор также исполняет роль фильтра от сетевого шторма, то есть при появлении сетевого шторма в каком либо сегменте сети _ будет нарушена работоспособность только данного сегмента сети, работоспособность остальной сети нарушена не будет.

2.3.4 Коммутатор D-LINK DES-3526

Коммутаторы серии D-Link DES-3526 поддерживают технологию Single IP Management (SIM, управление через единый IP-адрес). Эти коммутаторы имеют 24 или 48 10/100BASE-TX портов и 2 комбо-порта 1000BASE-T/SFP Gigabit Ethernet, стандартный корпус для установки в стойку, разработаны для гибкого и безопасного сетевого подключения.

Коммутаторы DES-3526 легко объединяются в стек, настраиваются вместе с любыми другими коммутаторами с поддержкой D-Link Single IP Management, включая коммутаторы 3-го уровня ядра сети, для построения части многоуровневой сети, структурированной с магистралью и централизованными быстродействующими серверами.

Как правило, коммутаторы DES-3526 формируют стек сети уровня подразделения, предоставляя порты 10/100 Мбит/с и возможность организации гигабитного подключения к магистрали. Трафик проходит через интерфейсы Gigabit Ethernet с поддержкой полного дуплекса и обычные провода сети, позволяя избежать использования дорогостоящих кабелей для стека. Отказ от использования этих кабелей позволяет устранить барьеры, связанные с их длиной и ограничениями методов стекирования. В стек могут быть объединены устройства, расположенные в любом месте сети, исключая возможность появления точки единственного отказа.

Коммутаторы DES-3526 упрощают и ускоряют задачу управления путем настройки, контроля и обслуживания через IP-адрес с любой рабочей станции, имеющей Web-браузер. Web-управление исключает необходимость установки дорогого П.О. для SNMP-управления.

Расширение до 32 устройств в стеке, независимо от модели. Виртуальный стек поддерживает любые модели коммутаторов со встроенным Single IP Management. Стек может быть расширен коммутаторами 3-го уровня для ядра сети, коммутаторами на основе шасси или любыми другими.

D-Link DES-3526 обеспечивает расширенный набор функций безопасности для управления подключением и доступом пользователей. Набор включает ACL на основе МАС-адресов, портов коммутатора, IP адресов и/или номеров портов TCP/UDP, аутентификацию пользователей 802.1х и контроль МАС-адресов.

Модель DES-3526 обеспечивает централизованное управление административным доступом через TACACS+ и RADIUS.

Эти функции безопасности обеспечивают не только авторизованный доступ пользователей, но и предотвращают распространение вредоносного трафика по всей сети.

Производительность и доступность DES-3526 обеспечены расширенной поддержкой VLAN, включая GARP/GVRP, 802.1Q и асимметричные VLAN. Что позволяет установить лимит трафика для каждого порта и дает возможность управлять объемом трафика на границе сети. Коммутатор DES-3526 поддерживает установку резервного источника питания. Другие характеристики включают поддержку 802.3ad Link Aggregation, 802.1d Spanning Tree, 802.1w Rapid Spanning Tree и 802.1s Multiple Spanning Tree для повышения надежности и доступности виртуального стека.

D-Link DES-3526 имеет широкий спектр многоуровневых (L2, L3, L4) QoS/CoS функций. Для того, чтоб критически важные сетевые сервисы, такие как VoIP, ERP, Intranet или видеоконференции обслуживались с надлежащим приоритетом [19].

Технические характеристики

Интерфейсы:

1) 24 порта 10/100BASE-TX, 2 комбо-порта 1000BASE-T/MiniGBIC (SFP);

Стандарты и функции:

1) IEEE 802.3 10BASE-T/802.3u 100BASE-TX;

2) IEEE 802.3ab 1000BASE-T/802.3z 1000BASE-SX/LX;

3) ANSI/IEEE 802.3 NWay автосогласование;

4) IEEE 802.3x управление потоком;

5) автоматическое определение полярности MDI/MDIX;

6) зеркалирование портов.

Поддержка SFP:

1) IEEE 802.3z 1000BASE-LX (DEM-310GT трансивер);

2) IEEE 802.3z 1000BASE-SX (DEM-311GT трансивер);

3) IEEE 802.3z 1000BASE-LH (DEM-314GT трансивер);

4) IEEE 802.3z 1000BASE-ZX (DEM-315GT трансивер);

5) IEEE 802.3z 1000BASE-LX (DEM-330T трансивер);

6) IEEE 802.3z 1000BASE-LX (DEM-330R трансивер);

7) IEEE 802.3z 1000BASE-LX (DEM-331T трансивер);

8) IEEE 802.3z 1000BASE-LX (DEM-331R трансивер).

Агрегирование портов:

1) максимальное количество портов в транковой группе: 8;

2) максимальное количество транковых групп на устройство: 6;

3) рабочий режим: распределение нагрузки;

4) статические и динамические режимы Link Aggregation (LACP), совместимые с 802.3ad.

Функции повышения производительности:

1) сегментация трафика;

2) управление полосой пропускания (для портов Fast Ethernet - шаг 1 Мбит/с, для портов Gigabit Ethernet - шаг 8 Мбит/с).

Функции, выполняемые в сети ООО «СКАЙЛАЙН». Коммутатор D-LINK DES-3526. Используется для включения абонентов во внутреннюю сеть компании посредством кабеля «витая пара». Для предотвращения перегрузки основного коммутатора на данной модели коммутаторов используется сегментация трафика. Сегментация трафика используется для ограничения трафика от одного порта коммутатора к группе его других портов (при использовании одного коммутатора) или к группе портов другого коммутатора в стеке (по технологии Single IP).

При использовании двух или более коммутаторов (например, при нехватке портов для подключения абонентов на одном коммутаторе) эти коммутаторы объединяются в стек коммутаторов, при этом полученная группа идентифицируется остальными сетевыми устройствами как один коммутатор -- имеет один IP-адрес, один MAC-адрес. Это значительно облегчает управление данными коммутаторами и упрощает логическую структуру сети.

2.3.5 Коммутатор D-Link DES-1228/ME

Серия коммутаторов DES-1228/ME включает в себя настраиваемые коммутаторы Fast Ethernet уровня 2 «premium» класса. Обладая расширенным функционалом, устройства DES-1228/ME являются недорогим решением по созданию безопасной и высокопроизводительной сети. Отличительными особенностями данного коммутатора являются высокая плотность портов, 4 гигабитных порта Uplink, небольшой шаг изменения настроек для управления полосой пропускания и улучшенное сетевое управление. Эти коммутаторы позволяют оптимизировать сеть как по функционалу, так и по стоимостным характеристикам. Коммутаторы серии DES-1228/ME являются оптимальным решением как по функционалу, так и по стоимостным характеристикам.

Коммутатор серии DES-1228/ME оснащен 24 портами Fast Ethernet, а также 4 портами Gigabit Ethernet, включая 2 комбо-порта 1000Base-T/SFP, которые поддерживают как трансиверы SFP Gigabit, так и 100BASE-FX.

Коммутаторы серии DES-1228/ME поддерживают управление доступом 802.1X на основе порта/хоста, Guest VLAN, а также аутентификацию RADIUS и TACACS+ для непосредственного управления доступом в сети. Функция IP-MAC-Port Binding обеспечивает привязку IP-адреса источника к соответствующему МАС-адресу для определенного номера порта, способствуя расширению управления доступом. Встроенная функция D-Link Safeguard Engine обеспечивает идентификацию и приоритезацию пакетов, предназначенных для обработки CPU, для предотвращения зловредных атак на трафик в сети и защиты операций, выполняемых коммутатором. Помимо этого, функция Списки управления доступом (ACL) позволяет увеличить безопасность сети и повысить производительность коммутатора.

Для обеспечения большей гибкости сети коммутаторы серии DES-1228/ME поддерживают протоколы 802.1D-2004 edition, 802.1w и 802.1s Spanning Tree Protocols (STP). Протоколы STP позволяют организовать резервный маршрут, обеспечивая, таким образом, передачу и прием пакетов даже в случае неисправности любого коммутатора в сети при работе в режиме моста. Коммутаторы также поддерживают функцию link aggregation 802.3ad, что позволяет объединять в группы несколько портов, увеличивая при этом полосу пропускания и повышая работоспособность. Коммутаторы поддерживают стандарт 802.1p для управления качеством обслуживания (QoS). Данный стандарт позволяет классифицировать трафик в реальном времени на 8 уровней приоритетов, по 4 очереди. Классификация пакетов осуществляется на основе TOS, DSCP, MAC-адресов, IP-адресов, IPv4, VLAN ID, номера порта TCP/UDP, типа протокола и содержимого пакетов, определяемого пользователем. Это позволяет настроить работу таких приложений, как VoIP, потоковое мультимедиа.

Функция управления полосой пропускания позволяет сетевым администраторам определять уровень пропускной способности для каждого порта с шагом до 64кбит/с. Коммутаторы также поддерживают функцию управления широковещательным штормом, которая сводит к минимуму вероятность вирусных атак в сети. Функция зеркалирования портов упрощает диагностику трафика, а также помогает администраторам следить за производительностью коммутатора и изменять ее в случае необходимости. Коммутаторы серии DES-1228/ME поддерживают функцию IGMP Snooping, что позволяет сократить многоадресный трафик и оптимизировать производительность сети.

Коммутаторы серии DES-1228/ME поддерживают стандартизированные протоколы управления, такие как SNMP, RMON, Telnet, аутентификацию SSH и DHCP Relay Option 82. Дружественный пользователю Web-интерфейс обеспечивает простоту управления. Функция DHCP Autoconfiguration позволяет администраторам заранее установить настройки и сохранить их на TFTP-сервере. После этого коммутаторы могут получить с сервера IP-адреса и предварительно введенные настройки конфигурации. Протокол Link Layer Discovery Protocol (LLDP) является хорошим средством для управления топологией сети, позволяя сетевому устройству оповещать локальную сеть о своем существовании и характеристиках. Каждый порт коммутатора также поддерживает функцию диагностики кабеля, что позволяет определить различные неисправности кабеля, включая несоответствие длины кабеля или его характеристик [19].

Технические характеристики

Интерфейс:

1) 24 порта 10/100BASE-TX;

2) 2 порта 10/100/1000BASE-T;

3) 2 комбо-порта 10/100/1000BASE- /SFP.

Консольный порт:

1) RS-232.

Производительность:

1) коммутационная матрица: 12,8 Гбит/с;

2) скорость перенаправления 64-байтных пакетов: 9.5 Mpps;

3) размер таблицы МАС-адресов: 8K+ SDRAM для CPU: 64 МБ;

4) буфер пакетов: 512 КБ+ Flash-память: 8 МБ;

5) jumbo-фрейм (2048 байт с тегом, 2044 байт без тега).

Функции, выполняемые в сети ООО «СКАЙЛАЙН». Коммутатор D-LINK DES-1228/ME. Используется для включения абонентов во внутреннюю сеть компании посредством кабеля «витая пара». Для предотвращения перегрузки основного коммутатора на данной модели коммутаторов используется сегментация трафика. Сегментация трафика используется для ограничения трафика от одного порта коммутатора к группе его других портов (при использовании одного коммутатора) или к группе портов другого коммутатора в стеке (по технологии Single IP).

При использовании двух или более коммутаторов (например, при нехватке портов для подключения абонентов на одном коммутаторе) эти коммутаторы объединяются в стек коммутаторов, при этом полученная группа идентифицируется остальными сетевыми устройствами как один коммутатор - имеет один IP-адрес, один MAC-адрес. Это значительно облегчает управление данными коммутаторами и упрощает логическую структуру сети.

2.4 Перечень используемых серверных машин

2.4.1 Основной сервер биллинговой системы BGBbilling.5.0

Технические характеристики:

1) одноюнитовый корпус;

2) материнская плата HP ProLiant DL360G4;

3) процессор CPU Intel Xeon 3Ghz x2;

4) оперативная память 6Gb;

5) HDD 72Gb x 2.

Описание. На данном сервере установлено следующее программное обеспечение:

1) операционная система Centos 5.5;

2) MySQL-server - отвечает за работу с базой данных биллинговой системы;

3) пакет JDK (Java Development Kit) - отвечает за работоспособность серверной части BGBilling;

4) apache2 - web-сервер, отвечающий за работоспособность web-интерфейса биллинговой системы (личный кабинет) ;

5) radius - отвечает за определение доступной абоненту полосы пропускания, иначе определяет доступную абоненту скорость подключения;

6) BGNetFlowCollector - отвечает за сбор статистики по абонентам, имеющим тарифы, абонентская плата за которые зависит от скачанного трафика.;

7) модули BGBilling - модули необходимы для расширения функциональности биллинговой системы.

Основной функцией сервера является бесперебойное функционирование серверной части биллинговой системы. На каждом рабочем месте сотрудника абонентского и технического отделов установлена клиентская версия BGBilling, которая, подключаясь к серверной части дает доступ ко всей необходимой информации о любом абоненте сети.

Основными функциями BGBilling 5.0 являются:

1) авторизация и обсчет коммутируемого соединения;

2) обсчет трафика;

3) интеграция с платежными компаниями;

4) организация CRM-системы компании [17].

2.4.2 Резервный сервер биллинговой системы BGBilling 5.0

Технические характеристики:

1) одноюнитовый корпус;

2) материнская плата HP ProLiant DL360G4;

3) процессор CPU Intel Xeon 3Ghz x2;

4) оперативная память 6Gb;

5) HDD 72Gb x 2.

Программное обеспечение и функции данного сервера аналогичны основному серверу биллинговой системы BGBilling 5.0. На данный сервер происходит зеркальное копирование изменяющихся со времен баз данных с основного сервера биллинговой системы:

1) база данных абонентов;

2) база данных о проведенных платежах;

3) база данных о наработке, входящем и исходящем остатке баланса абонента за месяц;

4) база данных о наработанном трафике.

В случае аварийной ситуации с последующим выходом из строя основного сервера биллинговой системы, резервный сервер BGBilling сможет полноценно подменить его на время устранения аварии.

2.4.3 DNS-сервер

Технические характеристики:

1) одноюнитовый корпус NR-N125;

2) процессор Intel Atom D510;

3) материнская плата Intel D510MO;

4) оперативная память 2048 Mb;

5) жесткий диск 160Gb.

Описание. Данный сервер предназначен для ответов на DNS-запросы от абонентов по протоколу DNS. В данном случае сервер представляет собой авторитарный DNS-сервер, отвечающий в данном случае за зону .local. Сервер преобразует символьные адреса доменов, идущих от абонентов в IP-адреса, понятные web-серверу, например, символьный адрес мультимедиа сервера media.local преобразуется в 10.10.10.8 [6].

2.4.4 VoIP-сервер

Технические характеристики

1) одноюнитовый корпус NR-N125;

2) процессор Intel Atom D510;

3) материнская плата Intel D510MO;

4) оперативная память 2048 Mb;

5) жесткий диск 160 Gb.

Описание. Сервер представляет собой сервер телефонии, отвечающий за работоспособность передачи голосовых данных внутри сети. За прием, отправку, перенаправление, запись голосовых данных на этом сервере отвечает программное обеспечение Asterisk.

Рисунок 2.2 Основное окно программы Asterisk

Asterisk в комплексе с необходимым оборудованием обладает всеми возможностями классической АТС, поддерживает множество VoIP протоколов и предоставляет широкие функции управления звонками:

1) перенаправление входящего звонка на любой телефонный аппарат, либо SIP-клиент;

2) запись телефонного разговора;

3) определение номера входящего, либо исходящего звонка;

4) создание специальных правил и исключений для входящих и исходящих звонков.

Asterisk работает по протоколу SIP. Протокол SIP является. стандарт на способ установления и завершения пользовательского интернет-сеанса, включающего обмен мультимедийным содержимым (видео- и аудиоконференция , мгновенные сообщения) [3].

2.4.5 Сервер мониторинга

Технические характеристики:

1) одноюнитовый корпус NR-N125;

2) процессор Intel Atom D510;

3) материнская плата Intel D510MO;

4) оперативная память 2048 Mb;

5) жесткий диск 160 Gb.

Сервер отвечает за мониторинг статуса сети:

1) состояние загруженности внешнего магистрального канала;

2) количество активных абонентов;

3) потребление трафика абонентов, получающих доступ через vlan;

4) активность сетевого оборудования.

На сервере используется следующее программное обеспечение:

1) nagios - программа мониторинга компьютерных систем и сетей. Предназначена для наблюдения, контроля состояния вычислительных узлов и служб, оповещает администратора в том случае, если какие-то из служб прекращают (или возобновляют) свою работу. Работает по протоколу SNMP [3].



Рисунок 2.3 Окно мониторинга сети в программном обеспечении Nagios.

2) MRTG это программное обеспечение для организации сервиса для мониторинга и измерения данных с течением времени. Данные от различных источников собираются и затем отображаются в виде графиков [3].

Рисунок 2.4 Окно мониторинга программного обеспечения MRTG.

2.4.6 Программный пограничный маршрутизатор

Технические характеристики:

1) двухюнитовый корпус AIC-RMC-2b-0-2;

2) процессор Intel Core 2 Quad Q6600;

3) материнская плата ASUS P5BV-C;

4) оперативная память 2048 Mb;

5) жесткий диск 80 Gb.

Сервер представляет собой программный маршрутизатор, отвечающий за маршрутизацию пакетов, приходящих в сеть из внешнего магистрального канала, либо из автономных сетей компаний ООО «StavNet» и ООО «Квартал Плюс», а также пакетов, исходящих из сети.

Маршрутизация обеспечивается путем внесения соответствующих маршрутов при помощи утилиты iptables, в которой описываются все правила передвижения пакетов, отправленных во внешнюю сеть, либо пришедших из нее.

2.4.7 Сервер доступа

Технические характеристики:

1) двухюнитовый корпус AIC-RMC-2b-0-2;

2) процессор Intel Core 2 Duo E8400;

3) материнская плата ASUS P5BV-C;

4) оперативная память 2048 Mb;

5) жесткий диск 80 Gb.

Данный сервер отвечает за поднятие туннеля точка-точка между ним и абонентом. При попытке абонента подключиться отправляется запрос на сервер доступа, который в свою очередь связывается с сервером биллинговой системы, сверяя логин и пароль, переданные ему абонентом, с базой данных личной информации. Этот этап называется аутентификацией. При успешном прохождении аутентификации. Сервер доступа запрашивает возможность у сервера биллинговой системы использования абонентом тех или иных услуг. На данном этапе проверяется:

1) наличие положительного баланса у абонента;

2) разрешенная ширина канала;

3) сервисные услуги, которыми абонент может воспользоваться.

Данный этап называется авторизацией. При успешном прохождении данного этапа поднимается туннель типа точка-точка и абонент получает возможность выхода в сеть интернет. Далее идет этап аккаунтинга, в ходе которого идет слежение за потребляемыми ресурсами абонентом: потребленный трафик, длительность сессии.

Так же сервер доступа является DHCP-сервером. При входе в сеть абонентское оборудование запрашивает IP-адрес у DHCP-сервера, получая взамен IP-адрес из пула. При этом, проверяя не привязан ли к данному абоненту статический IP-адрес средствами биллинговой системы, если привязка есть, то DHCP-сервер отдает ему определенный IP-адрес.

Адрес выдаётся компьютеру не на постоянное пользование, а на определённый срок. Это называется арендой адреса. По истечении срока аренды IP-адрес вновь считается свободным, и клиент обязан запросить новый (он, впрочем, может оказаться тем же самым). Кроме того, клиент сам может отказаться от полученного адреса [8].

Так же DHCP-сервер может обновлять информацию DNS у абонента.

2.5 Перечень используемого пассивного оборудования

Под пассивным сетевым оборудованием подразумевается оборудование, не наделенное «интеллектуальными» особенностями. Например, кабельная система, вилка/розетка, повторитель, патч-панель, концентратор и т.д. Также, к пассивному оборудованию можно отнести монтажные шкафы и стойки, телекоммуникационные шкафы. Монтажные шкафы разделяют на: типовые, специализированные и антивандальные. По типу монтажа: настенные и напольные и другие.

2.5.1 Кабельная система

Кабель типа «витая пара»

Сотрудниками ООО «СКАЙЛАЙН» используется неэкранированная витая пара категории 5e. Скорость передач данных до 100 Мбит/с при использовании двух пар и до 1000 Мбит/с при использовании четырех пар. Кабель категории 5e является самым распространённым и используется для построения компьютерных сетей.

Данный кабель используется для соединения сетевого оборудования в серверной стойке, подключения рабочих мест офисов к коммутаторам, а также подключения абонентов к коммутируемому оборудованию.

Подключение к сетевому оборудованию ведется коннекторами с разъемом RJ-45.

Волоконно-оптические линии связи

Сотрудниками ООО «СКАЙЛАЙН» используются:

1) оптический кабель светонесущими элементами являются оптические волокна. Наружная оболочка из полипропилена. Оптический кабель для наружной прокладки имеет бронирование;

2) оптические муфты используются для защиты оптической линии в местах спаивания;

3) оптический кросс - устройство, оконечивающее оптический кабель для подключения к сетевому оборудованию;

4) сплайс кассеты позволяет организовать до 12 спаек оптического волокна;

2.5.2 Серверные стойки и монтажные антивандальные шкафы

Серверные стойки

В ЦОДе ЗАО «Синтерра-ЮГ» и офисе технического отдела используются серверные стойки 19" INDUSTRIAL 36U OPEN RACK TWO PAIR CLM-2202-7536B.

Данная серверная стойка предназначена для размещения разнообразного, в том числе и тяжелого, серверного оборудования: серверов, дисковых массивов, серверной консоли, переключателей рабочих мест (KVM), источников бесперебойного питания (UPS) и другого серверного оборудования шириной 19" с креплением на выдвижных салазках, на полках или на винтах непосредственно к раме. Особенностью серверных стоек является их универсальность, позволяющая надежно устанавливать в них сервера различных марок.

Монтажные антивандальные шкафы

Монтажные антивандальные шкафы используются для защиты сетевого оборудования, находящегося в абонентских домах. Компания ООО «СКАЙЛАЙН» использует модернизированные антивандальные шкафы ПК-3Б для защиты коммутаторов D-LINK DES-3526 и D-LINK DES-1228/ME.

2.5.3 Коммутационные панели

Представляет собой панель с множеством соединительных разъёмов, расположенных на лицевой стороне панели. На тыльной стороне панели находятся контакты, предназначенные для фиксированного соединения с кабелями, и соединённые с разъёмами электрически.

В компании «СКАЙЛАЙН» используются неэкранированные коммутационные панели 19", 1U, 24 порта RJ45, категория 5e, Krone IDC.

2.5.4 Телефонные и компьютеры розетки

Телефонные (разъем RJ-12) и компьютерные розетки (разъем RJ-45) являются неотъемлемой частью внутренних сетей.

Используются для удобства соединения сетевого оборудования и телефонов, исключает протяжку лишних сетевых и телефонных кабелей.

2.5.5 Кабельные организаторы

Кабельные организаторы используются для укладки излишков сетевого кабеля.

2.6 Перечень программного обеспечения

2.6.1 Клиент биллинговой системы BGBilling 5.0

Клиент биллинговой системы BGBilling 5.0 представляет собой графическую оболочку для работы с сервером BGBilling 5.0. Посредством клиента выполняется:

1) заведение новых договоров;

2) мониторинг и обслуживание старых договоров;

3) внесение абонентских плат;

4) выдача временных лимитов по абонентским платам;

5) написание java-скриптов для автоматизации работы биллинговой системы;

6) создание конфигурационных файлов для работы различных модулей биллинговой системы [17].

Рисунок 2.5 Внешний вид клиента BGBilling 5.0

2.6.2 Mikrotik RouterOS

Mikrotik RouterOS сетевая операционная система на базе Linux. Данная система может быть установлена на ПК, превращая его в маршрутизатор, предоставляющий такие функции, как правила брандмауэра, VPN сервер и клиент, формирование качественной пропускной способности, беспроводную точку доступа и другие часто используемые функции маршрутизации и подключения сетей.

В компании ООО «СКАЙЛАЙН» Mikrotik RouterOS используется для управления каналами, предоставленными юридическим лицам, реализованными в виде vlan.

Управление представляет собой:

1) определение ширины канала, выделенной абоненту;

2) закрепление за отдельными абонентами статических IP-адресов;

3) терминирование активных сессий;

4) управление пулом адресов, выделяемых юридическим лицам.

Рисунок 2.6 - Внешний вид интерфейса Mikrotik RouterOS

2.7 Анализ используемого оборудования и программного обеспечения

На основе вышеописанного оборудования и программного обеспечения можно вывести достоинства и недостатки локальной сети ООО «СКАЙЛАЙН» и на основе сделанного анализа сделать выводы о текущем положении сети.

Используемый протокол передачи данных PPTP имеет ряд недостатков, критичных для работы сети:

1) слабая защищенность от хакерских атак. Для аутентификации используются следующие методы: PAP, CHAP, SPAP, MSCHAP v1 и v2, EAP. Пользователь определяется по логину/паролю, но слабая защищенность механизмов аутентификации делает PPTP сессии легкой добычей для злоумышленников. Протокол уязвим практически для всех видов атак: атаки на LM хэши, алгоритмы RC4, CHAP, MSCHAP v1 и v2 и так далее. Например, утилита asleep призвана «восстанавливать» PPTP MSCHAP пароли. Как результат, от PPTP, как от средства построения VPN (для чего он, собственно, и планировался), многие отказались в пользу более защищенных решений;

2) при использовании PPTP изменяется маршрут по умолчанию, и в результате весь трафик идет по защищенному VPN соединению. Зачастую это приводит к проблемам доступа к внутренним ресурсам LAN, а в некоторых случаях даже к отключению от VPN сервера;

3) при использовании PPTP необходима настройка подключения на абонентском оборудовании. При переустановке системы, вызванной неполадками на абонентском оборудовании, необходима перенастройка подключения. Небольшой процент абонентов может сделать это самостоятельно. Вследствие чего присутствует большая нагрузка на отдел технической поддержки;

4) некорректная работа протокола PPTP на операционной системе Windows 7;

5) необходимость настройки сетевых экранов и антивирусов на абонентском оборудовании;

6) при дальнейшем росте сети понадобятся дополнительные серверы доступа, что усложнит архитектуру сети и настройку абонентского оборудования.

Также можно выявить проблемы, связанные с используемым оборудованием в сети:

1) недостаточный уровень мониторинга и сложное управление сетью. Бывает трудно определить причину неисправности оборудования. Отсутствие слежения за показателями производительности оборудования;

2) низкая отказоустойчивость сети;

3) отсутствие в сети оборудования, либо программного обеспечения, реализующего возможность контроля над проходящим трафиком в сети.

4) программный пограничный мрашрутизатор и сервер доступа являются ненадежными элементами сети, имеющими большое количество критических точек: работоспособность этих серверов зависит от корректной работы программного обеспечения, от комплектующих, входящих в его состав.

2.8 Выводы

На основании выявленных выше проблем, имеющихся в сети, можно сказать, что использование протокола передачи данных PPTP не является эффективным. Высокая вероятность возникновения проблем на стороне абонента значительно увеличивает нагрузку на отдел технической поддержки.

Наличие проблем мониторинга и управления сетью так же влияет на производительность труда технического отдела. На обнаружение и локализацию проблемы в сети уходит много времени.

Отсутствие контроля над трафиком приводит к перегрузкам сети и внешнего магистрального канала, например, абоненты, скачивающие данные через торрент-трекеры, занимают всю полосу пропускания, выделенную им. Например, 20 абонентов, имеющих ширину канала 30 Мбит/с, скачивающие данные через торрент-трекеры, могут загрузить внешний магистральный канал.

Наиболее оптимальным решением вышеописанных проблем является переход на технологию IPoE. С переходом на данную технологию решатся следующие проблемы:

1) слабая защищенность от хакерских атак. При использовании технологии IPoE не будет использоваться схема логин/пароль. Каждому абоненту будет выделен отдельный vlan, который имеет гораздо большую защищенность от хакерских атак;

2) отпадет необходимость использования сервера доступа, упрощается архитектура сети, тем самым повышается ее надежность;

3) при использовании данной технологии не требуется настройка абонентского оборудования.

Для обеспечения реализации технологии IPoE потребуется оборудование, обладающее следующими функциями:

1) способность выделять каждому абоненту определенную ширину канала (шейпинг);

2) способность определять тип трафика и назначать каждому пакету соответствующий приоритет;

3) способность разрывать соединение (терминировать vlan) при выходе абонента из сети;

4) способность выполнять функции DHCP-сервера.

5) так как основной целью компании является привлечение больших объемов денежных средств, путем привлечения новых абонентов, то новое оборудование должно обеспечить возможность предоставления услуг нового поколения.

3 Выбор решения по абонентскому доступу сети ООО «СКАЙЛАЙН»

3.1 Характеристика абонентского доступа к Интернет

Одной из важнейших проблем телекоммуникационных сетей продолжает оставаться проблема абонентского доступа к сетевым услугам. Актуальность этой проблемы определяется в первую очередь бурным развитием сети Интернет, доступ к которой требует резкого увеличения пропускной способности сетей абонентского доступа. Основным средством сети доступа, несмотря на появление новых самых современных беспроводных способов абонентского доступа, остаются традиционные медные абонентские пары. Причиной этого является естественное стремление операторов сети защитить сделанные инвестиции.

Получить доступ к сети Интернет можно, используя различные коммуникационные технологии. При этом следует учитывать, что для различных людей понятие «получение доступа» имеет совершенно различный смысл, поскольку они находятся на различных ступеньках «лестницы, ведущей на небеса». Это, прежде всего, конечные пользователи, желающие получить доступ в сеть Интернет в дополнение к, например, обычной телефонной связи. Также можно выделить телекоммуникационные компании (работающие в области телефонной, мобильной, спутниковой связи и т.д.) и провайдеров, обеспечивающих доступ в сеть Интернет и другие услуги по передаче данных. Следует заметить, что телекоммуникационные компании больше не хотят терять потенциальные прибыли и постепенно вливаются в ряды провайдеров, стирая между ними и собой все различия.

Домашние и корпоративные пользователи нуждаются в целом ряде новых услуг связи: IР-телефония; быстрый доступ в Интернет; потоковое видео и аудио; удаленная работа; виртуальные выделенные сети (VPN): электронный бизнес; развлечения; удаленное обучение и другие. Эти потребности предоставляют операторам прекрасную возможность увеличить доходы и удовлетворить запросы заказчиков.

Различные операторы стараются использовать эту возможность, применяя разнообразные технические подходы. Выбор того или иного подхода зависит от типа оборудования, позиции регулирующих органов и экономической ситуации.

Операторы с развитой IP-сетью стремятся подключить к ней большее количество корпоративных и домашних пользователей. Для того чтобы предоставить любые дополнительные услуги эти операторы должны использовать современное надёжное оборудование. С другой стороны, операторы телефонной сети, имеющие установленное оборудование TDM, хотят максимально использовать имеющуюся инфраструктуру, подготавливая свою сеть для широкополосной пакетной передачи данных. При расширении сети доступа особенно выгодно иметь единую сеть для предоставления широкополосной передачи данных и голосовых сообщений.

Доступ абонентов к сетям следующего поколения (NGN) является решением, которое позволяет подключать существующее оборудование заказчика по обыкновенным медным парам к IP сети. Это решение предлагает абонентам новые мультимедийные услуги, обеспечиваемые доступом оптическими каналами связи.

Данное решение подходит как для организаций, так и для частных лиц. Оборудование операторского класса благодаря возможности наращивания обеспечивает широкий спектр применения: от сельской местности с длинными абонентскими линиями до городских зон с короткими линиями и высокой плотностью центрекс-абонентов, является для операторов дополнительным способом привлечения как можно большего числа корпоративных абонентов к своей сети.

Данное решение приносит оператору следующие выгоды:

1) низкая стоимость обслуживания и капиталовложения, обеспечиваемые единой IP сетью доступа;

2) новые услуги, привлекательные для корпоративных и домашних пользователей;

3) использование обыкновенной абонентской линии для подключения существующего оборудования и широкополосная передача;

4) простота модернизации оборудования;

5) возможность интеграции нового оборудования в существующую систему управления.

Немаловажным при выборе решения по абонентскому доступу является используемая технология, и какой протокол обеспечивает передачу пользовательской информации в сети.

3.2 Реализация доступа к абонентской сети с использованием протокола PPTP

PPTP (Point-to-Point Tunneling Protocol) - туннельный протокол типа точка-точка, позволяющий компьютеру устанавливать защищённое соединение с сервером за счёт создания специального туннеля в стандартной, незащищённой сети. PPTP помещает (инкапсулирует) кадры PPP в IP-пакеты для передачи по глобальной IP-сети, например Интернет. PPTP может также использоваться для организации туннеля между двумя локальными сетями. РРТР использует дополнительное TCP-соединение для обслуживания туннеля [4].

3.2.1 Спецификация PPTP

Спецификация протокола была опубликована как «информационная» RFC 2637 в 1999 году. Она не была ратифицирована IETF. Протокол считается менее безопасным, чем IPSec. PPTP работает, устанавливая обычную PPP сессию с противоположной стороной с помощью протокола Generic Routing Encapsulation. Второе соединение на TCP-порту 1723 используется для инициации и управления GRE-соединением. PPTP сложно перенаправлять за сетевой экран, так как он требует одновременного установления двух сетевых сессий.

PPTP-трафик может быть зашифрован с помощью MPPE. Для аутентификации клиентов могут использоваться различные механизмы, наиболее безопасные из нихm - MS-CHAPv2 и EAP-TLS [4].

3.2.2 Безопасность протокола PPTP

PPTP был объектом множества анализов безопасности, в нём были обнаружены различные серьёзные уязвимости. Известные относятся к используемым протоколам аутентификации PPP, устройству протокола MPPE, и интеграции между аутентификациями MPPE и PPP для установки сессионного ключа. Краткий обзор данных уязвимостей:

MSCHAP-v1 совершенно ненадежен. Существуют утилиты для легкого извлечения хешей паролей из перехваченного обмена MSCHAP-v1.

MSCHAP-v2 уязвим к словарной атаке на перехваченные challenge response пакеты. Существуют программы, выполняющие данный процесс.

При использовании MSCHAP-v1, MPPE использует одинаковый RC4 сессионный ключ для шифрования информационного потока в обоих направлениях. Поэтому стандартным методом XOR'а потоков из разных направлений вместе, криптоаналитик может узнать ключ.

MPPE использует RC4 поток для шифрования. Не существует метода для аутентификации цифробуквенного потока, и поэтому данный поток уязвим к атаке, исполняющей подмен битов. Злоумышленник легко может изменить поток при передаче и изменить некоторые биты, чтобы изменить исходящий поток без опасности своего обнаружения. Данный подмен бит может быть обнаружен с помощью протоколов, считающих контрольные суммы [4].

3.2.3 Реализация PPTP

Cisco первой реализовала PPTP и позже лицензировала эту технологию корпорации Microsoft.

PPTP удалось добиться популярности благодаря тому, что это первый протокол туннелирования, был поддержан корпорацией Microsoft. Все версии Microsoft Windows, начиная с Windows 95 OSR2, включают в свой состав PPTP-клиент, однако существует ограничение на два одновременных исходящих соединений. А сервис удалённого доступа для Microsoft Windows включает в себя PPTP сервер.

Реализация абонентского доступа при использовании протокола PPTP представлена на рисунке 3.1.

Рисунок 3.1 - Реализация абонентского доступа при использовании протокола PPTP

До недавнего времени в Linux-дистрибутивах отсутствовала полная поддержка PPTP из-за опасения патентных претензий по поводу протокола MPPE. Впервые полная поддержка MPPE появилась в Linux 2.6.13. Официально поддержка PPTP была начата с версии ядра Linux 2.6.14. Тем не менее, сам факт применения MPPE в PPTP фактически не обеспечивает безопасность протокола PPTP.

Операционная система FreeBSD поддерживает PPTP протокол, используя в качестве сервера PPTP порт mpd (/usr/ports/net/mpd), используя подсистему netgraph. В качестве клиента PPTP в системе FreeBSD может выступать либо порт pptpclient (/usr/ports/net/pptpclient), либо порт mpd, работающий в режиме клиента.

Mac OS X поставляется со встроенным PPTP клиентом. Cisco и Efficient Networks продают реализации PPTP клиента для более старых версий Mac OS. КПК Palm, имеющие поддержку Wi-Fi, поставляются с PPTP клиентом Mergic [4].

3.2.4 Недостатки протокола PPTP

Существенным недостатком PPTP является невозможность установления многоточечного (multipoint) соединения, так как он базируется на двухточечном протоколе PPP, хотя этого можно добиться установкой нескольких соединений одновременно. PPTP поддерживает регистрацию пользователей с использованием протоколов PAP или CHAP и шифрование данных с помощью алгоритма RSA RC4 с ключом длиной 40 бит.

А также PPTP более ресурсоёмок. Требуется настройка IP-адреса клиента. Необходимо указание логина, пароля, то есть требуется обучение пользователя. В некоторых ОС нужен драйвер [4].

3.3 Реализация доступа к абонентской сети с использованием протокола PPPoE

3.3.1 Протокол PPPoE

PPPoE (Point-to-point protocol over Ethernet) - сетевой протокол канального уровня передачи кадров PPP через Ethernet. В основном используется xDSL-сервисами. Предоставляет дополнительные возможности (аутентификация, сжатие данных, шифрование).

MTU протокола ниже, чем на стандартном Ethernet, что иногда вызывает проблемы с плохо настроенными межсетевыми экранами.

PPPoE ? это туннелирующий протокол, который позволяет настраивать (или инкапсулировать) IP, или другие протоколы, которые настраиваются на PPP, через соединения Ethernet, но с программными возможностями PPP соединений, и поэтому используется для виртуальных «звонков» на соседнюю Ethernet-машину и устанавливает соединение точка-точка, которое используется для транспортировки IP-пакетов, работающее с возможностями PPP.

Это позволяет применять традиционное PPP-ориентированное ПО для настройки соединения, которое использует не последовательный канал, а пакетно-ориентированную сеть (как Ethernet), чтобы организовать классическое соединение с логином, паролем для Интернет-соединений. Также, IP-адрес по другую сторону соединения назначается только когда PPPoE соединение открыто, позволяя динамическое переиспользование IP-адресов.

PPPoE разработан UUNET, Redback Networks и RouterWare. Протокол описан в RFC 2516.

Стоит отметить, что некоторые поставщики оборудования (Cisco и Juniper, например) используют термин PPPoEoE (PPPoE over Ethernet), означающий PPPoE, работающий напрямую через Ethernet или другие IEEE 802.3 сети, а также PPPoE, работающий через связанные в Ethernet (Ethernet bridged over) ATM, для того чтобы отличать от PPPoEoA (PPPoE over ATM), который работает на ATM virtual circuit по спецификации RFC 2684 и SNAP и инкапсулирует PPPoE. PPPoEoA ? это не то же самое, что Point-to-Point Protocol over ATM (PPPoA), поскольку он не использует SNAP.

Работа PPPoE осуществляется следующим образом. Существует Ethernet-среда, то есть несколько соединённых сетевых карт, которые адресуются MAC-адресами. Заголовки Ethernet-кадров содержат адрес отправителя кадра, адрес получателя кадра и тип кадра. Одну из карт слушает PPPoE сервер. Клиент посылает широковещательный Ethernet кадр, на который должен ответить PPPoE сервер (адрес отправителя кадра ? свой MAC-адрес, адрес получателя кадра ? FF:FF:FF:FF:FF:FF и тип кадра ? PPPoE Active Discovery Initiation). PPPoE сервер посылает клиенту ответ (адрес отправителя кадра ? свой MAC-адрес, адрес получателя кадра ? МАС-адрес клиента и тип кадра ? PPPoE Active Discovery Offer). Если в сети несколько PPPoE серверов, то все они посылают ответ. Клиент выбирает подходящий сервер и посылает ему запрос на соединение. Сервер посылает клиенту подтверждение с уникальным идентификатором сессии, все последующие кадры в сессии будут иметь этот идентификатор. Таким образом, между сервером и клиентом создается виртуальный канал, который идентифицируется идентификатором сессии и MAC-адресами клиента и сервера. Затем в этом канале устанавливается PPP соединение, а уже в PPP пакеты упаковывается IP-трафик [4].

3.3.2 Разновидности PPPoE

PADI ? PPPoE Active Discovery Initiation.

Если пользователь хочет подключиться к интернету по DSL, сначала его машина должна обнаружить концентратор доступа (DSL access concentrator или DSL-AC) на стороне провайдера (point of presence (POP)). Взаимодействие через Ethernet возможно только через MAC-адреса. Если компьютер не знает MAC-адреса DSL-AC, он посылает PADI пакет через Ethernet broadcast (MAC: ff:ff:ff:ff:ff:ff) Этот PADI-пакет содержит МАС-адрес пославшей его машины.

Пример PADI-пакета:

Frame 1 (44 bytes on wire, 44 bytes captured)

Ethernet II, Src: 00:50:da:42:d7:df, Dst: ff:ff:ff:ff:ff:ff

PPP-over-Ethernet Discovery

Version: 1

Type 1

Code Active Discovery Initiation (PADI)

Session ID: 0000

Payload Length: 24

PPPoE Tags

Tag: Service-Name

Tag: Host-Uniq

Binary Data: (16 bytes)

Src. (=source) представляет MAC-адрес машины, пославшей PADI.

Dst. (=destination) является широковещательным Ethernet-адресом.

PADI-пакет может быть получен более чем одним DSL-AC.

PADO

PADO ? PPPoE Active Discovery Offer.

Как только пользовательская машина отослала PADI-пакет, DSL-AC отвечает, посылая PADO-пакет, используя MAC-адреса, пришедшие с PADI. PADO-пакет содержит MAC-адреса DSL-AC, их имена (например LEIX11-erx для концентратора T-Com DSL-AC в Лейпциге) и имя сервиса. Если же более одной точки DSL-AC ответило PADO-пакетом, пользовательская машина выбирает DSL-AC конкретный POP, используя пришедшие имена или имена сервисов.

Пример PADO-пакета:

Frame 2 (60 bytes on wire, 60 bytes captured)

Ethernet II, Src: 00:0e:40:7b:f3:8a, Dst: 00:50:da:42:d7:df

PPP-over-Ethernet Discovery

Version: 1

Type 1

Code Active Discovery Offer (PADO)

Session ID: 0000 Payload Length: 36

PPPoE Tags

Tag: Service-Name

Tag: AC-Name

String Data: IpzbrOOl

Tag: Host-Uniq

Binary Data: (16 bytes)

AC-Name ? String Data представляет строковое AC имя, в данном случае «Ipzbr001» (Arcor DSL-AC в Лейпциге).

Src. представляет MAC-адрес DSL-AC.

MAC-адрес DSL-AC также идентифицирует производителя DSL-AC (в данном случае, Nortel Networks).

PADR

PADR расшифровывается как PPPoE Active Discovery Request.

Как сказано выше, пользовательская машина должна выбрать POP (точку доступа) ? это делается с помощью PADR-пакета, который посылается на MAC-адрес выбранного DSL-AC.

PADS

PADS ? PPPoE Active Discovery Session-confirmation.

PADR-пакет подтверждается концентратором пересылкой PADS-пакета, в нем же приходит Session ID. Соединение с DSL-AC для этой точки доступа теперь полностью установлено.

PADT

PADT ? PPPoE Active Discovery Termination.

Этот пакет обрывает соединение с POP. Он может быть послан либо со стороны пользователя, либо со стороны DSL-AC [4].

Преимущества схемы

IP-заголовки в Ethernet среде игнорируются. То есть пользователь может назначить IP-адрес своей сетевой карте, но это не приведет к «обвалу» сети (теоретически, при работе с сетевым концентратором не должно произойти «обвала» и при смене пользователем MAC-адреса даже на адрес сервера, а при работе с сетевым коммутатором все зависит от конструкции коммутатора).

Каждое соединение отделено от других (работает в своем канале).

Настройки (IP-адрес, адрес шлюза, адреса DNS серверов) могут передаваться сервером.

PPP соединение легко аутентифицируется и обсчитывается (например, при помощи RADIUS).

PPP соединение можно шифровать. Например, при работе с сетевым концентратором (когда на каждой сетевой карте может быть виден весь Ethernet-трафик) прочитать чужой IP-трафик весьма затруднительно [4].

3.3.3 Технология PPPoE

Технология использования стека PPP в сети Ethernet является относительно новой, но уже получила достаточное распространение. На данный момент она определяется документом RFC 2516, который был разработан и выпущен в феврале 1999 года. Однако этот документ не является стандартом и носит пока информативный характер. Родоначальниками разработки этого документа явились компании RedBack Networks, RouterWare, UUNET и другие. Таким образом, «осознанный возраст» этой технологии весьма невелик. Ее использование предоставляет провайдерам Интернет-услуг новые возможности в организации и учете доступа пользователей к сети. Это особенно актуально для тех провайдеров, которые планируют или уже предлагают своим пользователям доступ к Интернету при помощи сети Ethernet, например, в современных жилых комплексах, где кабельная разводка витой парой уже не является новшеством.

Заслуживает особого внимания тот факт, что для настройки маршрутизатора провайдера, установки концентратора в подъезде жилого здания, сетевой карты и небольшого программного обеспечения в компьютер пользователя не нужен модем, нет необходимости занимать единственную телефонную линию, так как провайдер услуг теперь может организовывать, ограничивать доступ и учет трафика пользователей таким образом, словно пользователь работает по обычному модемному каналу. Такая реализация стала возможной благодаря технологии PPPoE, которая запускает сессию PPP, но не поверх модемного соединения, а поверх сети Ethernet.

При этом будет поддерживаться аутентификация пользователей по протоколам PAP и CHAP, динамическое выделение IP-адресов пользователям, назначение адреса шлюза, DNS-сервера и т.д.

Технология PPPoE на данный момент является одной из самых дешевых при предоставлении пользователям доступа к услугам Интернет в жилых комплексах на базе Ethernet и при использовании технологии DSL.

Так как принципом работы PPPoE является установление соединения «точка-точка» поверх общей среды Ethernet, то процесс функционирования PPPoE должен быть разделен на две стадии. В первой стадии два устройства должны сообщить друг другу свои адреса и установить начальное соединение, а во второй стадии запустить сессию PPP [4].

Стадия установления соединения

Стадия установления соединения между клиентом (компьютером пользователя) и сервером (концентратором доступа провайдера) делится на несколько этапов.

На первом этапе клиент посылает широковещательный запрос (адрес назначения - broadcast address) (PADI PPPoE Active Discovery Initiation) на поиск сервера со службой PPPoE. Этот запрос получают все пользователи сети, но ответит на него только тот, у кого есть поддержка службы PPPoE. Ответный пакет от концентратора доступа (PADO PPPoE Active Discovery Offer) посылается в ответ клиенту, но если в сети есть много устройств со службой PPPoE, то клиент получит много пакетов PADO. В этом случае, программное обеспечение клиента выбирает необходимый ему концентратор доступа и посылает ему пакет (PADR PPPoE Active Discovery Request) с информацией о требуемой службе (требуемый класс обслуживания зависит от услуг провайдера), имя провайдера и т.д. После получения запроса, концентратор доступа подготавливается к началу PPP сессии и посылает клиенту пакет PADS (PPPoE Active Discovery Session-confirmation). Если все запрашиваемые клиентом службы доступны (в состав этого пакета входит уникальный номер сессии, присвоенный концентратором), то начинается второй этап - стадия установленной сессии. Если требуемые клиентом услуги не могут быть предоставлены, клиент получает пакет PADS с указанием ошибки в запросе услуги [4].

Стадия установленной сессии

Сессия начинается с использованием пакетов PPP. При установлении PPP-сессии пользователь может быть аутентифицирован при помощи RADIUS, и его трафик будет учитываться как при обычном модемном доступе. Ему можно назначить динамический IP- адрес из пула адресов концентратора, установить настройки шлюза и DNS-сервера. При этом на концентраторе доступа клиенту соответственно ставится виртуальный интерфейс. Желательно, чтобы концентратор доступа посылал периодические запросы клиенту для определения его состояния. Эта операция необходима для того, чтобы клиент, который по какой-либо причине не оборвал сессию корректным образом, не считался существующим и для него не резервировались ресурсы концентратора доступа. Завершение соединения PPPoE происходит по инициативе клиента или концентратора доступа при помощи посылки пакета PADT (PPPoE Active Discovery Terminate).

В протоколе PPPoE предусмотрены некоторые дополнительные функции, например, такие как защита от DoS атак (Denial of Service). Защита от некоторых типов DoS атака реализована путем добавления в пакеты PADI специального поля AC-Cookie, которое позволяют концентратору доступа ограничивать количество одновременных сессий PPPoE на одного клиента.