Реконструкция локальной вычислительной сети

Размещено на http://www.allbest.ru/

1. Локальные сети

Реализация предложенного проекта позволит сократить бумажный документооборот внутри компании, повысить производительность труда, сократить время на получение и обработку информации, выполнять точный и полный анализ данных, сократить время на получение любых форм отчетов по итогам работы. Как следствие, образуются дополнительные временные ресурсы для разработки и реализации новых проектов. Таким образом, решится проблема окупаемости и рентабельности внедрения компьютерной сети. Локальная вычислительная сеть должна быть реконструирована таким образом, чтобы обеспечить надлежащую степень защищенности данных.

При объединении компьютеров в сеть необходимо обеспечить их совместимость на всех уровнях взаимодействия: от физических соединителей и используемых для кодирования данных уровней электрических сигналов до способов адресации и коррекции ошибок. Такая совместимость достигается благодаря стандартизации и применению модульного подхода при проектировании сетевых протоколов. Применение модульного подхода означает, что задача взаимодействия компьютеров разбивается на несколько уровней, для каждого их которых задается свой протокол (набор правил) взаимодействия и интерфейсы взаимодействия с вышележащим и нижележащим уровнями.

В начале 80-х годов рад международных организаций по стандартизации (ISO, ITU-T, и другие) разработали модель взаимодействия открытых систем ISO/OSI, которая определяет различные уровни их взаимодействия, дает им стандартные имена и указывает, какие функции должны исполняться каждым из уровней. В модели ISO/OSI выделены семь уровней: физический, канальный, сетевой, транспортный, сеансовый, представительный и прикладной.

Многочисленные стандарты на сетевые протоколы и технологии описывают способы решения задач, выполняемых на одном или нескольких уровнях модели OSI. Совместимость сетевых средств, выпускаемых различными производителями, обеспечивается их соответствием одному из существующих стандартов. При проектировании сети в первую очередь требуется определить на основе каких стандартов будут решены задачи каждого из уровней.

В данной методической разработке систематизированы и кратко изложены методики расчета, требования и характеристики наиболее распространенных стандартов, а также даны рекомендации по их выбору.

Стандарты на технологии локальных сетей (п. 2.2. - 2.3.) и на технологии удаленного доступа (п. 2.4.) описывают протоколы физического уровня (требования к кабелям, соединителям и способам физического кодирования данных) и канального уровня (способы адресации в сети и совместного использования разделяемой среды передачи данных).

Объединение сетей, построенных на основе различных технологий (а также автономных сегментов сложных однородных сетей), производится средствами сетевого уровня, которые реализуются в маршрутизаторах. В качестве маршрутизаторов могут выступать как компьютеры с серверными операционными системами, так и специальные устройства. Особенности применения маршрутизаторов рассмотрены в п. 2.5 - 2.6.

Для того, чтобы предоставить пользователям сети доступ к ресурсам компьютера, на нем должно быть установлено серверное программное обеспечение, например серверные программы электронной почты, веб-серверы, ftp-серверы, серверы баз данных, серверы доступа к файлам и печати. Серверное программное обеспечение рассмотрено в п. 2.7.

2. Обзор современных технологий компьютерных сетей

2.1 Локальные сети. Характеристики технологий локальных сетей

К локальным сетям относят сети компьютеров, сосредоточенные на небольшой территории (обычно в радиусе 1-2 км.) Построение локальных сетей проводят на основе той или иной технологии, то есть стандарта на протоколы физического и канального уровня модели OSI. Выбор технологии проводится в соответствии с требованиями к основным характеристикам сети. Рассмотрим основные характеристики локальных сетей.

- Битовая скорость передачи данных - максимальное число бит, которые могут быть переданы между двумя узлами сети в единицу времени. Битовая скорость определяется принятым в стандарте способом физического кодирования и является одинаковой для всех сетей данной технологии.

- Топология сети и максимальная длина кабельных соединений. Топологией называется схема соединений узлов сети (рисунок 1). Большинство сетевых технологий рассчитаны на организацию сети со строго определенной топологией, ряд стандартов также допускают построение сетей смешанной топологии, например соединение лучей нескольких «звезд». Ограничения на максимальную длину кабельных соединений могут обуславливаться различными причинами и подробнее рассмотрены в п. 2.

- Нагрузка на сеть это объем данных, реально передаваемый по сети в единицу времени:

v=D/t, (1.а)

где D - суммарный объем данных, переданный за время t

На стадии проектирования оценить планируемую нагрузку на сеть достаточно сложно. Иногда проще задать объем данных в единицу времени, приходящийся на одну рабочую станцию v_i. В этом случае нагрузка на сеть:

v=nv_i, (1.б)

где n - число компьютеров в сети.

Пропускная способность v_max это максимально возможная для данной сети скорость передачи данных, которая определяется битовой скоростью и некоторыми другими ограничивающими факторами (длительность интервалов между передаваемыми блоками данных, объем передаваемой по сети служебной информации и др.). Значения пропускной способности для сетевых технологий известны и приводится в стандарте. В большинстве случаев можно принять пропускную способность равной битовой скорости.

- Коэффициент использования сети равен отношению нагрузки на сеть к пропускной способности:

=v/v_max. (2)

Несмотря на то, что скорость передачи данных в сети определенной технологии всегда одна и та же, производительность сети уменьшается с увеличением объема передаваемых данных. Во-первых, объем передаваемых данных (трафик) делится между всеми компьютерами сети. Во-вторых, даже та доля пропускной способности разделяемого сегмента, которая должна приходится на один узел, очень часто ему не достается из-за особенностей работы механизма доступа к общей среде передачи данных. После определенного предела увеличение коэффициента использования сети приводит к резкому уменьшению реальной скорости передачи данных. Потери времени, связанные с работой механизма доступа к разделяемой среде зависят от характера обращений компьютеров к сети и не могут быть точно рассчитаны, поэтому для обеспечения достаточной производительности задается предельное значение коэффициента использования сети, при котором сеть будет быстро реагировать на обращения пользователей.

2.2 Современные технологии локальных сетей

В зависимости от размеров сети, расстояний между компьютерами и требований по производительности при проектировании сети выбирают ту или иную стандартную технологию. При этом необходимо учитывать ограничения на топологию сети, приводимые в стандартах. Как правило, эти ограничения связаны с двумя факторами.

Во-первых, из-за наличия затухания в линии связи передаваемый сигнал может стать неразличим на фоне шумов. Поэтому на длину соединительных кабелей накладываются ограничения, обеспечивающие уверенное различение сигнала на фоне помех. Если расстояние между компьютерами больше, чем максимально допустимая длина кабеля, то для усиления передаваемого сигнала могут применяться специальные устройства - активные повторители.

Во-вторых, при объединении нескольких узлов общей средой передачи данных должны быть приняты меры для того, чтобы в каждый момент времени только одна станция в сети передавала данные. В технологиях Ethernet, FastEthernet, GigabitEthernet, используется способ доступа к разделяемой среде с обнаружением коллизий CSMA/CD (Carrier Sense Multiple Access with Collision Detection), в сетях TokenRing и FDDI - способ маркерного кольца.

Участок сети, все узлы которого разделяют общую среду передачи данных называется доменом коллизий или сегментом сети.

Для правильной работы сети с обнаружением коллизий необходимо, чтобы при возникновении коллизии она была обнаружена передающей стороной перед тем, как передача окончится. Предположим, узел А передает данные узлу B, находящемуся на противоположном конце сети. Непосредственно перед тем, как распространяющийся с конечной скоростью электрический сигнал достигнет узла В, узел В сам начинает передавать информацию какому-либо узлу сети. Возникает коллизия, и искаженный сигнал от узла В передается узлу А также с конечной скоростью. Чтобы коллизия была обнаружена узлом А необходимо, чтобы его передатчик все еще работал в тот момент, когда его достигнет искаженный сигнал от узла B. Поэтому время передачи кадра минимальной длины должно быть не менее удвоенного времени распространения сигнала между двумя наиболее удаленными узлами сегмента (времени двойного оборота).

В сети Ethernet и ее модификациях (Fast Ethernet и Gigabit Ethernet) время передачи кадра минимальной длины T_min должно быть больше PDV - времени двойного оборота сигнала в сегменте:

T_minPDV. (3)

PDV складывается из задержек сигналов в кабелях и задержек, вносимых повторителями (концентраторами) и сетевыми адаптерами. Методика расчета PDV и значение времени передачи кадра минимальной длины приводятся в стандартах (см. ниже). Как правило значения PDV и T_min указываются в битовых интервалах (интервал времени, требуемый для передачи одного бита).

Ограничения, связанные с работой механизма доступа к общей среде передачи данных, могут быть преодолены путем разбиения сложной сети на несколько отдельных сегментов (доменов коллизий) (п. 3)

Для подключения компьютера к сети в него необходимо установить сетевой адаптер (сетевую карту) соответствующей сетевой технологии. Сетевой адаптер представляет собой устройство, подключаемое к системной шине ЭВМ, имеющее порт для подключения сетевого кабеля и осуществляющее прием и передачу информации в сеть.

Рассмотрим наиболее распространенные на сегодня технологии и присущие им ограничения [1, п. 3.3.4]

Стандарты 10Base-2 и 10Base-T (IEEE 802.3) описывают сети Ethernet c битовой скоростью 10 Мбит/с. Сети 10Base-2 и 10Base-T могут работать совместно, их объединение производят через концентратор, имеющий порты обеих технологий.

Общие характеристики и ограничения для всей сети Ethernet 10 Мбит/с.

Максимальное число рабочих станций в сети не более 1024.

Для кадров максимальной длины пропускная способность 9,87 Мбит/с

Время передачи кадра минимальной длины T_min=575 битовых интервала

Стандарт 10Base-2: сеть на основе коаксиального кабеля RG-58 диаметром 0.2 дюйма. Компьютеры соединяются сегментами кабеля по топологии «общая шина» [1, рис. 3.9]. Данная технология является наиболее дешевым решением при построении очень маленьких сетей (число компьютеров до 4-х). Сети на основе коаксиального кабеля трудно обслуживать и расширять. Они были признаны устаревшими во второй половине 90-х годов.

Характеристики и ограничения для сетей стандарта 10Base-2

Максимальное число узлов, подключаемых к одному сегменту кабеля 30.

Минимальное расстояние между узлами 1 м.

Максимальная длина сегмента кабеля 185 м.

В стандарте описаны правила построения сетей с повторителями, но так как в настоящее время большие сети на основе данной технологии больше не строятся, приводить их не будем.

При построении сети из двух компьютеров можно непосредственно соединять их порты кроссовым кабелем.

Так как концентратор выполняет роль активного повторителя, для предотвращения затухания сигналов в кабеле необходимо и достаточно выполнить требования накладываемые на расстояние между узлами и концентратором.

Максимальное расстояние отрезка кабеля между двумя связанными устройствами (компьютер-концентратор или концентратор-концентратор) не более 100 м.

Максимальное число концентраторов между любыми двумя узлами в сегменте не более четырех (это требование называется ПРАВИЛОМ ЧЕТЫРЕХ ХАБОВ)

Если сеть построена только на основе технологии 10Base-T и правило четырех хабов выполняется, то в расчете PDV нет необходимости. Если же в сети имеется более четырех хабов, или сеть построена с использованием обеих технологий 10Base-2 и 10Base-T, то необходимо убедиться, что значение PDV для любых двух узлов не превышает время передачи кадра минимальной длины. Рассчет PDV проводится по формуле:

PDV= B₁+B₂+(n-2) B₃+0.113l_вп+0.1026l_коакс, n>2; (4, а)

PDV= B₁+B₂+0.113l_вп+0.1026l_коакс, n2 (4, б)

где B₁, В₂, B₃ -, базовые значения PDV соответственно для левого, правого и промежуточного сегментов кабеля (табл. 1) (под левым и правым сегментами кабеля понимаются сегменты, к которым подключены узлы, под промежуточными - сегменты между повторителями (концентраторами), через которые проходит путь от одного узла к другому); l_вп и l_коакс - длина кабеля витой пары и коаксиального кабеля между узлами (в метрах), n - число промежуточных сегментов.

Таблица 1. Исходные данные для расчета PDV

	B1	B2	B3
10Base-2	11.8	169.5	46.5
10Base-T	15.3	165.0	42.0

Стандарты Fast Ethernet 100Base-FX, 100Base-TX, 100Base-T4 (IEEE 802.3u) описывают усовершенствованную технологию Ethernet с битовой скоростью 100 Мбит/с.

Общие характеристики и ограничения сети Fast Ethernet:

Пропускная способность 100 Мбит/с

Время передачи кадра минимальной длины T_min=512 битовых интервала (без учета преамбулы, в соответствии с методикой расчета PDV для сетей 100 Мбит/с).

Число концентраторов в сегменте - не более двух. (Рекомендуется - один. Использование двух концентраторов допустимо, только если длина соединительных кабелей меньше максимально допустимых, при этом обязательно требуется проверка выполнения условия (3))

Различные спецификации определяют используемые кабели и способы физического кодирования. Оборудование Fast Ethernet может иметь порты различных технологий.

Стандарт 100Base-TX: сеть на основе кабеля «неэкранированная витая пара» UTP категории 5 или STP типа 1 (STP используется очень редко). Это наиболее перспективная в настоящее время технология. Способ соединения компьютеров такой же, как и при технологии 10Base-T: узлы соединяются с концентратором, сеть имеет физическую топологию «звезда». (При соединении двух компьютеров их порты могут непосредственно соединяться кроссовым кабелем). Сетевые адаптеры 100Base-TX способны также работать в сетях 10Base-T и поддерживают функцию автопереговоров, позволяющую автоматически выбрать режим работы.

Различные модели концентраторов либо работают только по технологии Fast Ethernet, либо имеют несколько портов Fast Ethernet и несколько 10Base-T, либо имеют порты с возможностью автопереговоров. В последнем случае концентратор делит сеть на два сегмента со скоростями 10 Мбит/с и 100 Мбит/с и выполняет функции моста между этими сегментами. (см. п. 3)

Максимальное расстояние отрезка кабеля между двумя связанными устройствами (компьютер-концентратор или компьютер-компьютер) не более 100 м.

При использовании в домене коллизий более одного концентратора необходим расчет PDV для проверки выполнения соотношения (3) (см. ниже).

Стандарт 100Base-FX: сеть на основе оптоволоконного кабеля. Каждый узел соединяется с концентратором двумя оптическими волокнами, используемыми для приема и передачи информации. Из-за дороговизны данная технология, как правило, используется не для подключения к сети отдельных компьютеров, а для построения магистрали сети. Достаточно широкое распространение получили конвертеры интерфейсов, имеющие один порт 100Base-FX и один порт 100Base-TX, позволяющие подключать широко распространенное TX-оборудование к оптоволоконной магистрали.

Технология 100Base-FX рассчитана на использование двух различных типов оптоволоконного кабеля - одномодового (SМ) и многомодового (ММ). Одномодовое оптоволокно является более дорогим и позволяет передавать данные на большие расстояния.

Максимальная длина отрезка оптоволоконного кабеля между портами оконечного оборудования линий связи (компьютер-компьютер, компьютер-коммутатор, коммутатор-коммутатор, см. п. 3) - не более 412 м.

Максимальная длина отрезка оптоволоконного кабеля между портами оконечного оборудования линий связи (компьютер-компьютер, компьютер-коммутатор, коммутатор-коммутатор, см. п. 3) в дуплексном режиме (см. п. 3) - не более 2 км для многомодового оптоволокна, не более 100 км для одномодового оптоволокна.

Максимальная длина отрезка оптоволоконного кабеля между портами компьютера и концентратора: если несколько портов концентратора подключены к оптоволокну - 136 м; если только один порт концентратора подключен к оптоволокну, остальные к витой паре - 160 м.

При использовании в домене коллизий более одного концентратора необходим расчет PDV для проверки выполнения соотношения (3)

Более жесткие требования к максимальной длине отрезка оптоволоконного кабеля при соединении компьютера и концентратора связаны с необходимостью выполнения условия (3), так как в этом случае наличие концентратора между оконечным оборудованием увеличивает PDV. Чтобы точнее определить требования к длине кабеля (например, сделать длину одного из сегментов кабеля больше максимально допустимой за счет уменьшения размера всех остальных сегментов) и оценить возможность использования в домене коллизий двух концентраторов, нужно рассчитать PDV и проверить выполнение соотношения (3). При этом формула для расчета PDV будет иметь следующий вид:

PDV=100+92n+1.0l_опт+1.112l_вп (5)

где n - число концентраторов в сегменте, l_опт и l_вп - длина сегментов оптоволоконного кабеля и кабеля витой пары в метрах.

Стандарт 100Base-T4: технология передачи данных по четырем парам проводов кабеля UTP категории 3. Стандартный кабель UTP имеет четыре пары, из которых в других технологиях используются только две. Применение этой технологии оправдано только в случае, если в здании уже имеется кабельная система на основе витой пары категории 3. В России данная технология практически не используется, методика расчета PDV для таких сетей приведена в [1, п. 3.6.2].

Стандарт Gigabit Ethernet 1000Base-SX и 1000Base-LX (IEEE 802.3z) описывает технологию передачи данных по оптоволоконному кабелю с битовой скоростью 1 Гбит/с. Данная технология используется, в основном, для построения магистралей локальных сетей, то есть для соединения между собой сетей этажей и отдельных зданий. Несмотря на то, что стандарт Gigabit Ethernet предусматривает подключение узлов к концентратору, такой способ построения сети практически не используется. Предпочтительным является непосредственное соединение портов оконечного оборудования - компьютеров и коммутаторов, так как в этом случае выполнение условия (3) связано с более мягкими требованиями к максимальной длине кабеля (п. 3) Общие требования к сети Gigabit Ethernet:

Пропускная способность 1 Гбит/с

Допускается не более одного концентратора в сети.

Максимальная длина отрезка оптоволоконного кабеля между портами компьютера и концентратора 100 м.

Стандарт 1000Base-SX: сеть на основе многомодового оптоволоконного кабеля одной из двух марок: 62.5/125 или 50/125.

Максимальная длина отрезка оптоволоконного кабеля между портами оконечного оборудования линий связи (компьютер-компьютер, компьютер-коммутатор, коммутатор-коммутатор, см. п. 3) в дуплексном режиме - не более 220 м для кабеля 62.5/125, не более 500 м для кабеля 50/125.

1000Base-LX - сеть на основе многомодового оптоволоконного кабеля 50/125 или одномодового оптоволоконного кабеля.

Максимальная длина отрезка оптоволоконного кабеля между портами оконечного оборудования линий связи (компьютер-компьютер, компьютер-коммутатор, коммутатор-коммутатор, см. п. 3) в дуплексном режиме - не более 550 м для многомодового кабеля, не более 5000 м для одномодового кабеля.

TokenRing - сеть на основе кабелей STP типа 1, или UTP категории 3. Каждый узел соединяется с концентратором (концентраторы TokenRing принято называть MSAU - multi-station access unit) двумя парами проводов по топологии «точка-точка». Внутри MSAU линии связи соединены так, что образуется сеть с топологией «кольцо». Для соединения MSAU друг с другом предусматриваются специальные порты. Битовая скорость передачи данных 4 или 16 Мбит/с. В отличии от сетей Ethernet, в этой технологии реализован более производительный способ контроля доступа к разделяемой среде, поэтому она позволяет строить сети большого размера. В настоящее время эта технология вытесняется технологией Fast Ethrenet поэтому строить новые сети на ее основе не имеет смысла.

Как правило MSAU является пассивным устройством, а усиление сигнала выполняется сетевыми картами компьютеров (активные MSAU также существуют, но используются реже).

Максимальная длина связи MSAU-рабочая станция и MSAU-MSAU - 100 м при использовании STP, 45 м при использовании UTP.

Максимальное число узлов в кольце 260 при использовании STP и 72 при использовании UTP.

Максимальная длина кольца 4000 м.

FDDI - сеть на основе оптоволоконного кабеля или кабеля UTP категории 5 с битовой скоростью 100 Мбит/с и повышенной отказоустойчивостью за счет наличия избыточных связей и специальных методов самовосстановления после отказов [1, п. 3.5], [2]. FDDI позволяет создавать локальные сети с большим расстоянием между узлами (до 2 км) и применяется в основном на ответственных участках и магистралях локальных сетей. Высокая стоимость сдерживает развитие данной технологии, в настоящее время вытесняется технологией 100Base-FX.

Iola Net - фирменный стандарт Iola (Россия) [3, 4], позволяющий строить сети с большим по сравнению с Ethernet расстоянием между рабочими станциями (до 2 км). Битовая скорость передачи данных до 25 Мбит/с. Применяется в основном как дешевое решение для соединения сетей нескольких зданий. Правила построения сетей Iola приведены в публикациях [3, 4] и на сайте производителя.

2.3 Применение коммутаторов для сегментирования сети

Использование разделяемой среды передачи данных ограничивает рост размеров сети по двум причинам. Во-первых, при увеличении трафика увеличивается вероятность коллизий (в сетях с обнаружением коллизий, в том числе Ethernet), поэтому возрастает время, которое сеть тратит на восстановление после коллизии и повторную передачу кадров. После определенного предела дальнейшее увеличение коэффициента использования сети приводит к резкому уменьшению ее производительности. Для сетей Ethernet этот предел составляет 0.4 - 0.6 и зависит от характера обращений.

Во-вторых, необходимость распознавания коллизий ограничивает максимальное расстояние между узлами сети (диаметр сети).

Для преодоления этих ограничений крупные сети разделяют на несколько доменов коллизий с помощью коммутаторов.

Коммутатор это устройство, имеющее несколько портов, к которым подключаются объединяемые сегменты сети. Они записывают все принимаемые кадры в буфер, анализируют адрес назначения и передают кадры только в тот сегмент, в котором находится узел назначения. Благодаря промежуточной буферизации каждый сегмент представляет отдельный домен коллизий [1, п. 4.3.1]. Поэтому ограничения на размеры сети, связанные с использованием разделяемой среды относятся к каждому из подключенных к коммутатору сегментов, но не ко всей сети в целом.

Ряд усовершенствованных моделей концентраторов могут иметь один порт для подключения к магистральной сети, связь которого с остальными портами осуществляется по тому же принципу, что и в коммутаторах. Если на концентраторе имеются порты технологий с различной битовой скоростью (или порты с автоматическим выбором одной из поддерживаемых технологий - например 10Base-T и 100Base-TX), то связь между сегментами, работающими на основе различных технологий также осуществляется с анализом адресов передаваемых пакетов, как в коммутаторе.

Применение коммутаторов как правило повышает производительность сети, но получаемый при этом эффект зависит от характера распределения трафика между разделяемыми сегментами. Чем меньший объем трафика выходит за пределы разделяемых коммутатором сегментов, тем больше повышение производительности.

Рассмотрим для примера сеть 10Base-T, объединяющую 2 отдела организации. Число компьютеров в каждом из отделов n₁=n₂=20, трафик, приходящийся на каждый из компьютеров v_1i=v_2i=0.2 Мбит/с, сеть каждого из отделов имеет топологию «звезда» (рисунок 3). Нагрузка на сеть составит 4 Мбит/с, то есть при пропускной способности сети 9.87 Мбит/с коэффициент использования сети согласно формуле (2) составит 0.4. (деление на 2 связано с тем, что сеть используется одновременно двумя узлами, один из которых передает, а другой принимает данные.)

(6)

Если концентраторы отделов соединить не непосредственно, а через коммутатор, то трафик в каждом из двух доменов коллизий будет складываться из внутрисегментного трафика и межсегментного трафика, идущего через коммутатор. Зададим коэффициент межсегментного трафика k_вн. Это означает, что для каждого компьютера средняя скорость обмена данными с компьютерами внутри сегмента (1-k_вн) v_i и с компьютерами другого сегмента k_внv_i. Тогда нагрузка на сеть в первом сегменте (аналогично можно записать формулу для второго сегмента).

(7)

При k_вн = 0 компьютеры сетей разных отделов не взаимодействуют, поэтому трафик в каждом из сегментов и коэффициент использования сети уменьшается в два раза по сравнению с сетью без разделения на сегменты. При k_вн = 0.5 половина всего трафика сети проходит через коммутатор и коэффициент нагрузки сети уменьшается в 1.33 раза. Если все обращения компьютеров одного сегмента связаны со взаимодействием с компьютерами другого сегмента, и наоборот, то применение коммутатора не дает никаких преимуществ (кроме преодоления ограничений на размер сети).

В данном примере рассмотрен простейший случай с двумя симметричными сегментами. При большем числе сегментов использование коммутатора дает выигрыш даже если весь трафик сегмента является внешним.

Как правило в сети выделяют несколько однотипных сегментов с рабочими станциями пользователей (и возможно сетевыми принтерами и файл-серверами), и несколько (или один) центральных сегментов с серверами и маршрутизатором. В этом случае для оценки нагрузки на сегменты необходимо задать коэффициенты распределения трафика:

k_внутр - доля трафика рабочей станции, приходящаяся на обращение к серверам и сетевым принтерам внутри сегмента.

k_серв - доля трафика рабочей станции, приходящаяся на обращение к серверному сегменту.

Если серверных сегментов несколько (например маршрутизатор Интернет, центральный файл-сервер и сервер баз данных подключены к отдельным портам коммутатора), то задаются коэффициенты распределения трафика рабочей станции отдельно для каждого серверного сегмента (k_серв1… k_{серв M}), где M - число серверных сегментов.

Так как рабочая станция обращается только к серверам и маршрутизаторам (см. примечание 1), справедливо соотношение

(8)

После задания распределения трафика вместо формулы (1) для расчета нагрузки на сеть используются следующие выражения:

- для сегмента с рабочими станциями пользователей

v=n_сегмv_i (9)

где n_сегм - число рабочих станций в сегменте;

- для j-го серверного сегмента

v_{серв j}=nv_ik_{серв j} (10)

Микросегментация - это метод построения сети, при котором к коммутатору подключаются не сегменты сети, включающие несколько узлов, а отдельные узлы - серверы и рабочие станции. При этом каждое соединение «коммутатор-узел» является разделяемой средой только для сетевой карты компьютера и порта коммутатора. Нагрузка на сеть в таком сегменте равна трафику приходящемуся на данный узел.

Дуплексный режим работы. При микросегментации коммутатор и рабочая станция соединяются двумя парами проводов (для передачи в обе стороны), но в соответствии с технологией доступа к разделяемой среде передавать данные может только одна из сторон (то есть работа ведется в полудуплексном режиме). В стандартах на технологии 10Base-T, Fast Ethernet и Gigabit Ethernet предусмотрена возможность одновременной двунаправленной передачи по обоим парам проводов - дуплексный режим работы. Дуплексный режим может быть реализован только при непосредственном соединении портов оконечного оборудования, то есть на соединениях «коммутатор-коммутатор», «коммутатор-компьютер», «компьютер-компьютер».

При дуплексном режиме работы необходимость в обнаружении коллизий отпадает, поэтому задание требований к коэффициенту использования сети теряет смысл. Также преодолеваются ограничения на размер сети, связанные с необходимостью обнаружения коллизий. Это особенно актуально для сетей на оптоволоконном кабеле, так как низкое затухание позволяет значительно увеличить его длину при снятии ограничений, обусловленных использованием разделяемой среды.

Пропускная способность связи с дуплексным режимом работы в два раза больше, чем у обычной сети данной технологии (передача осуществляется в обе стороны одновременно).

Для организации дуплексного режима работы необходимо, чтобы он поддерживался сетевым адаптером компьютера и коммутатором (или обоими соединяемыми коммутаторами).

Коммутаторы и безопасность. При использовании разделяемой среды данные передаются не только узлу назначения, но и всем узлам сети, поэтому любой пользователь сети может получить доступ ко всем передаваемым данным. При использовании коммутаторов внутренний трафик не передается за пределы сегмента, но при жестких требованиях по безопасности этого недостаточно (остается много потенциальных уязвимостей). Некоторые модели коммутаторов поддерживают специальные технологии (например VLAN - виртуальные локальные сети, см. п. 5), позволяющие более надежно разделить подключенные к ним сегменты.

Производительность коммутаторов. При большой нагрузке на сеть коммутатор может не справиться с обработкой принимаемых пакетов с той скоростью, с которой они поступают. Производительность коммутаторов характеризуется: максимальным числом кадров в секунду и пропускной способностью.

Скорость передачи данных через коммутатор рассчитывается как половина суммы скоростей передачи данных в подключенных к нему сегментах. Чтобы узнать число кадров, обрабатываемых коммутатором в секунду, нужно разделить скорость передачи данных на среднюю длину кадра. В сети Ethernet чаще всего встречаются кадры максимальной длины 1500 байт и кадры с длиной, близкой к минимальной 46 байт. Соотношение между ними зависит от особенностей работы сети. Для расчетов можно принять длину кадра равной 1000 байт. Полученное число кадров не должно превышать максимально допустимое значение для коммутатора.

Неблокирующим называется коммутатор, пропускная способность которого превышает сумму значений пропускной способности сегментов, к которым он подключен. В этом случае коммутатор обладает достаточной производительностью при любой возможной нагрузке.

2.4 Технологии удаленного доступа

Технологии удаленного доступа, как и технологии локальных сетей, представляют собой совокупность требований к кабельной системе, методам доступа к среде, физического и логического кодирования, то есть описывают физический и канальный уровни взаимодействия узлов в сети. В отличии от локальных сетей, сети доступа обеспечивают связь двух сильно удаленных друг от друга узлов по топологии «точка-точка». При этом для организации канала «точка-точка» как правило используются телефонные или иные сети с коммутацией и мультиплексированием. В зависимости от способа организации линии связи выделяют следующие технологии доступа:

Доступ по коммутируемым телефонным линиям - линия связи предоставляется сетью доступа с коммутацией каналов (телефонной сетью) по требованию абонента только на время сеанса связи. Для эффективного использования сети абоненту предоставляется узкополосный канал тональной частоты (достаточный для передачи человеческой речи и данных с небольшой скоростью), что позволяет передавать по одному кабелю данные нескольких абонентов с использованием технологии частотного или временного мультиплексирования. Узкая полоса пропускания канала тональной частоты обуславливает низкие скорости передачи данных - до 33600 бит/с (56000 бит/с для несимметричного абонентского доступа с преобладанием входящего трафика над исходящим).

Доступ по коммутируемым линиям используется для доступа к Интернет частных лиц и небольших организаций, а также для доступа сотрудников крупных компаний к корпоративной сети. В последнем случае сотрудники могут находясь дома пользоваться ресурсами корпоративной сети, не оплачивая услуги провайдеров Интернет.

Так как подключение устанавливается на непродолжительное время, данная технология не позволяет абонентам предоставлять доступ пользователям Интернет к ресурсам своей сети, таким как веб-сайты.

В настоящее время для доступа по коммутируемым линиям используются модемы V.34+ и V.90 со скоростями 33.6 кбит/с и 56 кбит/с, подключаемые к последовательным коммуникационным портам компьютера.

Доступ по выделенным телефонным линиям (нагруженная выделенная линия) - технология аналогична доступу по коммутируемым линиям, но канал связи предоставляется телефонной сетью на длительное время (месяц и более). Полоса пропускания канала также ограничена (так как при передаче сигнала через телефонную сеть проводится мультиплексирование), поэтому скорость передачи данных не более 33.6 кбит/с.

Данное решение обеспечивает постоянное подключение локальной сети организации к Интернет, поэтому позволяет публиковать на серверах локальной сети ресурсы, открытые для доступа всем пользователям Интернет. Подключение двух офисов к Интернет по выделенным линиям позволяет организовать взаимодействие их локальных сетей (виртуальную частную сеть, см. п. 6.). Тем не менее низкая скорость передачи данных ограничивает применение этой технологии.

Для работы по выделенным линиям могут использоваться те же модемы, что и для коммутируемых линий. Тем не менее чаще для этой цели используют более дорогие специализированные модемы, более стабильные и менее чувствительные к помехам.

Доступ по выделенным кабельным линиям (ненагруженная выделенная линия, физическая выделенная линия). Этот способ связи также можно отнести к «выделенным линиям», так как линия связи предоставляется абоненту на длительное время, но полоса пропускания искусственно не ограничивается: вся физическая линия связи находится в распоряжении абонента. Телефонная сеть не может предоставить такой канал для связи между двумя абонентами, поэтому данная технология применяется только по одной из двух следующих схем:

- Для соединения нескольких локальных сетей (организации и провайдера Интернет или нескольких отделений организации) между ними прокладывается медный кабель, который используется для связи. Максимальная длина такого кабеля и скорость передачи данных зависит от выбранной технологии.

- Если оборудование для подключения к магистральной сети провайдера Интернет установлено на городской АТС, то для связи с провайдером используется абонентская телефонная линия. При этом телефонная сеть не предоставляет услуг по организации канал «абонент-абонент», а только сдает в аренду одну физическую линию «абонент-АТС» [5].

Для удаленного доступа по физическим линиям могут использоваться:

- кабельные модемы

- модемы семейства технологий xDSL (табл. 2.)

- технология Fast Ethernet 100Base-FX (оптоволокно) в дуплексном режиме (до 100 км)

Таблица 2 - Разновидности технологии xDSL

Технология	Наибольшая скорость передачи данных	Расстояние, км
IDSL	128 Кбит/с	12
HDSL	2 Мбит/с	6.5
MSDSL	144 Кбит/с - 2 Мбит/с	6.5
SDSL	144 Кбит/с - 2 Мбит/с	6
ADSL	1 Мбит/с исходящий 8 Мбит/с входящий	5.5
VDSL	6.4 Мбит/с исходящий 52 Мбит/с входящий	1.5

Наиболее перспективным в настоящее время является применение для доступа к Интернет технологий xDSL [6]. Большинство крупных провайдеров Нижнего Новгорода имеют точки подключения к своим магистральным сетям на городских АТС. При этом благодаря частотному разделению та же телефонная линия может одновременно использоваться и по прямому назначению [5].

В большинстве случаев кабельные и xDSL модемы имеют порт Ethernet для подключения к сети и обеспечивают связь между двумя удаленными сегментами сети подобно тому, как это делают коммутаторы для близко расположенных сегментов.

2.5 Применение маршрутизаторов для объединения подсетей

В общем случае сеть организации включает несколько подсетей построенных на базе различных технологий (различные локальные сети, связи «точка-точка» для подключения к глобальным сетям). Так как в разных подсетях используются различные стандарты канального уровня, они не могут быть объединены непосредственно. Объединение этих подсетей выполняется средствами сетевого уровня модели OSI на специальных узлах сети - маршрутизаторах. Роль маршрутизаторов могут выполнять как специализированные устройства, так и компьютеры с установленными на них серверными ОС (Linux, FreeBSD, другие варианты UNIX, Windows NT/2000, Novell NetWare).

Маршрутизаторы всегда имеют несколько сетевых интерфейсов (в общем случае различных технологий), к которым подключаются объединяемые подсети. Основной функцией маршрутизатора является перенаправление поступающих пакетов в ту подсеть, где находится узел-адресат. Правила перенаправления пакетов задаются таблицей маршрутизации [1, п. 5.3.3].

В настоящее время в большинстве сетей перенаправление пакетов реализуется на основе протоколов стека TCP/IP, при этом для адресации используются IP-адреса. Для работы сети Интернет необходимо обеспечить уникальность IP-адресов во всей глобальной сети, поэтому они выделяются централизовано. На практике при подключении сети фирмы к Интернет IP-адреса выделяются провайдером из имеющегося у него резерва.

Передаваемые по протоколам стека TCP/IP данные разбиваются на пакеты, каждый из которых снабжается заголовком. В заголовок включают служебную информацию, в том числе IP-адрес узла-источника, IP-адрес узла назначения, и номера портов на узлах источника и назначения. Номер порта служит для определения, какой программе, работающей на узле назначения адресован данный пакет. Серверные программы, принимающие запросы клиентов, имеют фиксированные номера портов, что позволяет узнать, к какой службе адресован данный пакет.

Дополнительные функции, которые могут выполнять маршрутизаторы:

- Фильтрация сетевого трафика [7, 8]. Например, можно разрешить передачу пакетов только для определенных узлов сети; запретить узлам внешней сети (Интернет) по собственной инициативе устанавливать соединения с узлами внутренней подсети (то есть подключение клиентов локальной сети к серверам Интернет допускается, а подключение клиентов из Интернет к серверам локальной сети - нет); разрешить маршрутизацию пакетов, адресованных только службам определенного вида (например, только электронная почта и www). Выпоняющий эту функцию маршрутизатор называют firewall (сетевой экран, или брандмауэр).

- Учет сетевого трафика, то есть ведение статистики обращений узлов одной подсети к узлам другой: адреса узлов, время соединения, объем переданной информации, сетевая служба, к которой было произведено обращение и т.п. На основе этой информации поставщик услуг доступа к сети может выставлять счет на оплату.

- Преобразование IP-адресов (маскировка IP-адресов, использование виртуальных адресов, трансляция адресов) [9]. Назначение реальных уникальных IP-адресов компьютерам локальной сети нежелательно по нескольким причинам: увеличение числа компьютеров потребует увеличения числа IP-адресов, что связано с обращением к провайдеру и дополнительными расходами; к компьютерам с реальными IP-адресами может быть получен доступ из внешней сети, что не всегда желательно (возможность доступа может быть предотвращена ограничением трафика на маршрутизаторе и правильной настройкой ПО самого узла, но этих мер может оказаться недостаточно). Поэтому компьютерам внутренней подсети может быть выделен произвольный набор адресов, не являющийся уникальным (как правило для этого выделяются адреса из адресного пространства подсетей 192.168.0.0/255.255.0.0 и 10.0.0.0/255.0.0.0). Если узел с таким адресом обращается к внешней сети, то маршрутизатор «на лету» преобразовывает заголовки пакетов, заменяя в них адрес отправителя на свой собственный, благодаря чему осуществляется «прозрачный» для пользователя внутренней подсети доступ к Интернет. Узлы внешней сети не могут по собственной инициативе установить соединение с узлом внутренней подсети, так как не могут указать IP-адрес назначения. Выполняющий функцию преобразования адресов маршрутизатор называют NAT-шлюз.

Фильтрация сетевого трафика и преобразование IP-адресов позволяют удовлетворить некоторым требованиям безопасности. Например, они позволяют разрешить доступ к ресурсам узла только определенным узлам Интернет с известным IP-адресом.

Если необходимо предотвратить доступ пользователей одной части локальной сети к трафику в другой части, то такую сеть разделяют на подсети, которые затем объединяют с помощью маршрутизатора с функцией фильтрации сетевого трафика.

Следует отметить, что функции маршрутизатора и сетевого экрана могут выполняться различными устройствами. К разделению этих функций прибегают при особо жестких требованиях к безопасности сети.

По области применения выделяют маршрутизаторы доступа и маршрутизаторы для локальных сетей. Маршрутизаторы доступа являются пограничными устройствами для подключения локальных сетей к Интернет, один из их интерфейсов служит для подключения модема (иногда модем и маршрутизатор доступа объединяются в одном устройстве). В качестве маршрутизаторов доступа может использоваться компьютер с несколькими сетевыми интерфейсами.

Маршрутизаторы для локальных сетей применяются для разделения одной локальной сети на несколько подсетей, или для объединения сетей различных технологий. В последнем случае в качестве маршрутизатора обычно используют компьютер с несколькими сетевыми адаптерами различных технологий. Для разделения локальной сети на подсети, как правило, используются специализированные маршрутизаторы, называемые коммутаторами третьего уровня.

Виртуальные локальные сети (VLAN) это технология, которая позволяет разделить подключенные к коммутатору или нескольким коммутаторам узлы на несколько независимых невзаимодействующих друг с другом локальных сетей. Принадлежность компьютера к одной из сетей определяется портом, к которому подключен этот компьютер, либо его MAC-адресом. Объединение виртуальных локальных сетей через маршрутизатор с функцией фильтрации трафика позволяет гибко управлять политикой безопасности сети, включая компьютер в ту или иную подсеть независимо от того, к какому физическому устройству он подключен.

При передаче кадров по сети информация о принадлежности узла-отправителя к той или иной виртуальной сети должна быть доступна всем коммутаторам и маршрутизаторам. Стандарт IEEE 802.1Q предусматривает передачу между коммутаторами и маршрутизаторами дополнительной информации о номере сети отправителя кадра. Для реализации виртуальных локальных сетей данный стандарт должен поддерживаться коммутатором и маршрутизатором.

2.6 Виртуальные частные сети

Виртуальные частные сети (VPN) - это технология соединения удаленных локальных сетей по каналам сетей общего доступа (Интернет). Как правило решения для виртуальных частных сетей представляют собой совокупность средств маршрутизации TCP/IP и шифрования трафика. Эти средства могут быть как программами, работающими под управлением одной из серверных ОС, так и специализированными аппаратными устройствами. Материалы для выбора средств построения виртуальных частных сетей приведены в обзорах [10, 11, 12, 13].

Как правило технология VPN применяется для объединения локальных сетей нескольких удаленных отделений организации и для обеспечения доступа сотрудников нескольких отделений к единой базе данных.

2.7 Серверные приложения и службы

Описанные выше технологии обеспечивают передачу данных между компьютерами в сети, то есть выполняют функцию транспорта. Для того, чтобы решать задачи конечных пользователей на компьютерах сети должны работать программы-серверы, предоставляющие доступ к ресурсам этого компьютера, и программы-клиенты, выполняющие подключение к серверам и использующие эти ресурсы. Рассмотрим наиболее часто встречающееся серверное программное обеспечение.

Web-сервер - это программа, которая обеспечивает доступ к веб-сайтам, то есть отвечает на приходящие по сети запросы на выдачу веб-страниц.

Web-сайт может включать в себя информацию в виде статических HTML-страниц, а также программы, динамически формирующие HTML-страницы. Web-клиент (Интернет-браузер) подключается к web-серверу и по протоколу прикладного уровня HTTP передает запрос на получение статической HTML-страницы, либо на запуск хранящейся на сервере программы, которая может сформировать и передать клиенту динамическую HTML-страницу. Для формирования динамических страниц эта программа может обратиться к базе данных. Таким образом осуществляется публикация информации из базы данных в Интернет. Как правило Web-сервер использует для приема запросов порт номер 80.

Наиболее распространенные web-серверы: Apache (UNIX), MS IIS (Windows NT).

Почтовый сервер SMTP - программа для отправки и получения электронной почты.

Почтовый клиент (почтовая программа, например Outlook) или другой почтовый сервер подключаются к SMTP-серверу и передают ему электронное письмо по протоколу SMTP, указывая адрес получателя. Адрес состоит из двух частей, разделенных символом @ (например drobdi@mail.ru). Слева от символа @ указывается имя пользователя, справа - имя компьютера, на котором размещается электронный почтовый ящик. Сервер анализирует имя компьютера, и если оно совпадает с именем этого сервера (то есть письмо адресовано пользователю, имеющему почтовый ящик на этом компьютере), то письмо сохраняется в почтовом ящике пользователя (в нашем примере - пользователя vasya). Если имена компьютеров не совпадают, то сервер пытается подключиться к SMTP-серверу указанного компьютера (в нашем примере - компьютера rambler.ru) и передать ему это письмо. SMTP сервер использует для приема запросов на передачу писем порт номер 25.

Наиболее распространенные SMTP серверы: sendmail, qmai (UNIX), MS Exchange Server

Почтовый сервер POP3 - программа для удаленного доступа к почте, хранящейся на сервере.

После того как SMTP сервер сохранил письмо в почтовом ящике оно может быть прочитано адресатом. Для этого адресат в любое удобное для него время подключается к POP3-серверу компьютера, на котором расположен его почтовый ящик с помощью почтового клиента и посылает запрос на получение почты по протоколу POP3. Сервер POP3 использует для приема запросов на получение почты порт номер 110.

DNS - сервер доменных имен.

Сервер получает от клиентов DNS (к которым относятся все сетевые программы) или других серверов DNS запрос на определение IP-адреса компьютера по его доменному имени и выдает информацию о соответствии IP-адреса и доменного имени. Информация о соответствии имени и адреса хранится на одном из DNS-серверов. Если имеющейся у самого сервера информации недостаточно для ответа на запрос, он ищет в сети сервер, располагающий такой информацией и посылает запрос к нему. [1, п. 5.2.8]. Для приема запросов использует порт 53.

Входит в состав всех серверных ОС.

FTP-сервер - программа, обеспечивающая доступ к хранящимся на компьютере файлам. Обеспечивает авторизацию и разграничение прав пользователей. Использует для приема запросов на поиск файлов по протоколу FTP порт 21.

Служба доступа к файлам и принтерам локальной сети - программа, обеспечивающая доступ к файловой системе и принтерам компьютера для клиентов локальной сети. Принимает запросы на доступ к ресурсам по протоколу SMB. Обеспечивает авторизацию пользователей и контроль прав доступа. Входит в состав большинства современных ОС, в том числе Windows 9x. Если в качестве транспорта для сообщений SMB используется стек TCP/IP, то для их приема используются порты 137-139.

Служба каталогов (контроллер домена Windows NT, служба Active Directory) - программа, обеспечивающая возможность однократной авторизации пользователя при входе в сеть и централизованного управления правами пользователя на доступ к ресурсам сети.

Службы автоматизации управления и документооборота - программы, обеспечивающие хранение и обработку финансовой и аналитической информации о компании, а также управляющие внутренним документооборотом (например, позволяющие отследить прохождение приказа директора и контролировать его исполнение). Как правило, такие службы включают в себя базу данных и программы их обработки.

Прокси-сервер - серверное программное обеспечение, принимающее запросы на доступ к ресурсам и услугам внешней сети - веб-страницам, почтовым серверам, серверу ICQ, и т.п. Получив запрос, прокси обращается к серверу, содержащему требуемый ресурс сам, «от своего имени». Полученные от сервера данные пересылаются запросившему их клиенту и сохраняются во временных файлах прокси (кэше). Если другой клиент запрашивает тот же ресурс, то он берется из кэша, благодаря чему экономится время доступа к ресурсу и сетевой трафик. Чтобы сетевые программы не получали доступ к ресурсам непосредственно, а посылали запрос прокси-серверу, они должны быть соответствующим образом настроены.

Администратор прокси-сервера может запретить выполнение некоторых запросов, например доступ к порно-ресурсам, архивам музыки и т.п. Также прокси-сервер может работать совместно с системой авторизации. В этом случае пользователь при обращении к прокси-серверу должен ввести имя пользователя и пароль. При этом администратор может ввести индивидульные ограничения для каждого пользователя и контролировать, к каким ресурсам он обращается. Чтобы реализовать ограничения на доступ к ресурсам с помощью прокси-сервера необходимо, чтобы был запрещен доступ к этим ресурсам минуя прокси сервер. Эта задача решается на маршрутизаторе, который разрешает связь с внешней сетью только узлу, на котором установлен прокси-сервер.