Реконструкция локальной вычислительной сети

Другие серверные программы. Серверной программой является любая программа, прослушивающая определенный порт TCP/IP и принимающая внешние подключения. Эти функции могут выполнять не только перечисленные выше, но и любые другие программы, в том числе специально разработанные для решения конкретной задачи - доступа к базе данных, управления компьютером и т.п.

Одной из проблем безопасности сети является несанкционированная установка серверных программ, предоставляющих клиентам слишком широкие полномочия на доступ к ресурсам компьютера. Эта проблема может быть решена за счет ограничения сетевого трафика и преобразования IP-адресов. (см. п. 5)

2.8 Структурированная кабельная система

Структурированная кабельная система (СКС) - это набор коммутационных элементов (кабелей, разъемов, коннекторов, кроссовых панелей и шкафов). Обзор стандартов на построение СКС приведен в статье [14].

СКС планируется и строится иерархически [1, рис. 4.1], с основной магистралью и многочисленными ответвлениями от нее. При необходимости она позволяет легко изменить конфигурацию связей между компьютерами - добавить или переместить компьютер, концентратор, коммутатор; удалить часть оборудования; изменить схему соединения.

Типичная иерархическая структура СКС включает горизонтальные подсистемы (в пределах этажа), вертикальные подсистемы (внутри здания); подсистему кампуса (в пределах одной территории с несколькими зданиями). По правилам построения СКС узовое оборудование (коммутаторы и концентраторы) должны размещаються в распределительных пунктах. Распределительный пункт этажа связывает горизонтальную подсистему с вертикальной подсистемой (магистралью здания), в распределительном пункте здания объединяются кабели вертикальной подсистемы и подсистемы кампуса.

Согласно стандартам на построение СКС по крайней мере один распределительный пункт размещается на каждом этаже и на каждых 1000 м² офисной площади. Длина кабеля между розетками и распределительным пунктом здания не должна превышать 90 м. Узловое оборудование и кроссовые панели размещаются в монтажных шкафах.

На практике часто отказываются от размещения в распределительных пунктах коммутационных панелей и дорогих кроссовых шкафов (цена одного шкафа более 200 долларов). В этом случае кабели подключаются непосредственно к активному сетевому оборудованию. Такой подход обеспечивает значительную экономию средств, но приводит к потере гибкости СКС.

Типы устройств Fast Ethernet.

Трансивер (Transiever) - это двухпортовое устройство, имеющее с одной стороны, MII интерфейс, с другой - один из средозависимых физических интерфейсов (100Base-FX, 100Base-TX или 100Base-T4). Трансиверы используются сравнительно редко, как и редко используются сетевые карты, повторители и коммутаторы с интерфейсом MII.

Сетевая карта (Netcard). Наиболее широкое распространение получили сетевые карты с интерфейсом 100Base-TX на шину PCI. Необязательными, но крайне желательными, функциями порта RJ-45 являются автоконфигурирование 100/10 Мбит/с и поддержка дуплексного режима. Большинство современных выпускаемых карт поддерживают эти функции. В настоящее время набирает обороты выпуск сетевых карт с поддержкой 1000 Мбит/сек. Выпускаются также сетевые карты с оптическим интерфейсом 100Base-FX - с основным оптическим разъемом SC на многомодовое волокно.

Конвертер (Convertor) - это двухпортовое устройство, оба порта которого представляют средозависимые интерфейсы. Конвертеры, в отличие от повторителей, могут работать в дуплексном режиме. Распространены конвертеры 100Base-TX/100Base-FX.

Повторитель (Repeater) - многопортовое устройство, которое позволяет объединить несколько сегментов. Принимая кадр или сигнал коллизии по одному из своих портов, повторитель перенаправляет его во все остальные порты. Распространены устройства с несколькими портами на витую пару (12, 16 или 24 порта RJ-45), одним портом BNC и одним портом AUI. Повторители работают на физическом уровне модели OSI. По параметру максимальных временных задержек при ретрансляции кадров, повторители Fast Ethernet подразделяются на два класса:

Класс I. Задержка на двойном пробеге RTD не должна превышать 130 BT. В силу менее жестких требований, повторители этого класса могут иметь порты T4 и TX/FX, а также объединяться в стек.

Класс II. К повторителям этого класса предъявляются более жесткие требования по задержке на двойном пробеге: RTD < 92 BT, если порты типа TX/FX, и RTD<67 BT, если все порты типа Т4. (В силу значительных отличий в организации физических уровней возникает большая задержка кадра при ретрансляции между портами интерфейсов Т4 и TX/FX. Поэтому повторители, совмещающие в пределах одного устройства порты Т4 с TX/FX отнесены к классу I.).

Коммутатор (Switch) - одно из наиболее важных устройств при построении корпоративных сетей. Коммутатор работает на втором канальном уровне модели OSI. Главное назначение коммутатора - разгрузка сети посредством локализации трафика в пределах отдельных сегментов.

Ключевым звеном коммутатора является архитектура без блокирования (non-blocking), которая позволяет установить множественные связи Ethernet между разными парами портов одновременно, причем кадры не теряются в процессе коммутации. Сам трафик между взаимодействующими сетевыми устройствами остается локализованными. Локализация осуществляется с помощью адресных таблиц, устанавливающих связь каждого порта с адресами сетевых устройств, относящихся к сегменту этого порта. Таблица заполняется в процессе анализа коммутатором адресов станций отправителей в передаваемых ими кадрах. Кадр передается через коммутатор локально в соответствующий порт только тогда, когда адрес станции назначения, указанный в поле кадра, уже содержится в адресной таблице этого порта. В случае отсутствия в таблице адреса станции назначения, кадр рассылается во все остальные сегменты. Если коммутатор обнаруживает, что MAC-адрес станции назначения приходящего кадра находится в таблице MAC-адресов, приписанной за портом, то этот кадр сбрасывается - его непосредственно получит станция назначения, находящаяся в данном сегменте. И, наконец, если приходящий кадр является широковещательным (broadcast), т.е. если все биты поля MAC-адреса получателя в кадре задаются равными 1, то такой кадр будет размножен коммутатором (подобно концентратору), т.е. направляются во все остальные порты.

Концентратор (Hub) - это многопортовый повторитель сети с автосегментацией. Все порты концентратора равноправны. Получив сигнал от одной из подключенных к нему станций, концентратор транслирует его на все свои активные порты. При этом, если на каком-либо из портов обнаружена неисправность, то этот порт автоматически отключается (сегментируется), а после ее устранения снова делается активным. Автосегментация необходима для повышения надежности сети. Обработка коллизий и текущий контроль состояния каналов связи обычно осуществляется самим концентратором. Концентраторы можно использовать как автономные устройства или соединять друг с другом, увеличивая тем самым размер сети и создавая более сложные топологии.

Маршрутизатор (Router). Основной функцией маршрутизаторов является обеспечение соединений (маршрутов передачи данных) между узлами различных сетей, которые могут быть разделены значительным географическим расстоянием и несколькими промежуточными сетями. Маршрутизатор создает канал передачи данных, находя подходящий маршрут и инициируя первоначальное соединения по этому маршруту.

На практике маршрутизация реализуется аппаратно-программным обеспечением, работающим на сетевом уровне эталонной модели OSI. Аппаратные средства маршрутизации могут быть как внутренними, так и внешними. Внутренние маршрутизаторы представляют собой специальные платы, устанавливаемые в разъем расширенного компьютера и питающиеся от общего блока питания. Внешние маршрутизаторы - это отдельные устройства со своим собственным блоком питания.

Задача маршрутизатора состоит в поиске маршрута для передачи пакетов данных от узлов одной сети к другой и в пересылке пакетов по этому маршруту. Маршрутизаторы работают на сетевом уровне и поэтому являются протоколо-независимыми. Это связано с тем, что в пакетах различных протоколов используются разные форматы адресных полей. Например, маршрутизатор, предназначенный для использования с протоколом IP (Internet Protocol), не сможет корректно обрабатывать пакеты с адресами в формате ISO и наоборот. Большинство маршрутизаторов поддерживают несколько протоколов канального уровня. Ранние модели маршрутизаторов работали лишь с одним сетевым протоколом, а современные поддерживают одновременно несколько протоколов.

Особенности работы маршрутизатора позволяют использовать его в качестве пакетного фильтра. Независимость от протоколов канального уровня позволяет использовать маршрутизаторы для объединения сетей с различными архитектурами - например, соединения сетей Ethernet и Token Ring или Ethernet и FDDI.

Мост (bridge) - устройство, предназначенное для передачи пакетов данных из одной сети в другую. С функциональной течки зрения, мосты относятся к канальному уровню эталонной модели OSI. Мосты позволяют программам и протоколам, работающим на более высоких уровнях, рассматривать объединение нескольких сетей, как одно целое. Наряду с передачей данных, мосты могут, также, выполнять их фильтрацию. Это означает, что в сеть N2 будут попадать только те пакеты, которые предназначены для узлов этой сети. А пакеты, предназначенные для узлов сети N1, из которой они поступают, будут возвращаться обратно. Значения терминов «мост» и «маршрутизатор» во многом сходно. Основное отличие от мостов состоит в том, что маршрутизаторы работают на сетевом уровне эталонной модели OSI.

Канал (Channel) Каналом называется физический или логический путь для передачи сигналов. В контексте компьютерных сетей чаще всего встречаются упоминания каналов двух типов: коммуникационных и дисковых. Коммуникационным каналом называется маршрут, по которому происходит передача данных, речи или видеоизображения. Современные технологии передачи данных позволяют организовывать несколько коммуникационных каналов внутри одного физического кабеля.

Дисковым каналом, в конфигурации с жестким диском, называются компоненты, посредством которых осуществляется взаимодействие операционной системы с накопителем на жестком диске. Функциональное соответствие видов коммуникационного оборудования уровням модели OSI.

Повторитель, который регенерирует сигналы, за счет чего позволяет увеличивать длину сети, работает на физическом уровне.

Сетевой адаптер работает на физическом и канальном уровнях. К физическому уровню относится та часть функций сетевого адаптера, которая связана с приемом и передачей сигналов по линии связи, а получение доступа к разделяемой среде передачи, распознавание МАС-адреса компьютера - это уже функция канального уровня.

Мосты выполняют большую часть своей работы на канальном уровне. Для них сеть представляется набором МАС-адресов устройств. Они извлекают эти адреса из заголовков, добавленных к пакетам на канальном уровне, и используют их во время обработки пакетов для принятия решения о том, на какой порт отправить тот или иной пакет. Мосты не имеют доступа к информации об адресах сетей, относящейся к более высокому уровню. Поэтому они ограничены в принятии решений о возможных путях или маршрутах перемещения пакетов по сети.

Маршрутизаторы работают на сетевом уровне модели OSI. Для маршрутизаторов сеть - это набор сетевых адресов устройств и множество сетевых путей. Маршрутизаторы анализируют все возможные пути между любыми двумя узлами сети и выбирают самый короткий из них. При выборе могут приниматься во внимание и другие факторы, например, состояние промежуточных узлов и линий связи, пропускная способность линий или стоимость передачи данных.

Для того, чтобы маршрутизатор мог выполнять возложенные на него функции ему должна быть доступна более развернутая информация о сети, нежели та, которая доступна мосту. В заголовке пакета сетевого уровня кроме сетевого адреса имеются данные, например, о критерии, который должен быть использован при выборе маршрута, о времени жизни пакета в сети, о том, какому протоколу верхнего уровня принадлежит пакет.

Благодаря использованию дополнительной информации, маршрутизатор может осуществлять больше операций с пакетами, чем мост / коммутатор. Поэтому программное обеспечение, необходимое для работы маршрутизатора, является более сложным.

На рисунке показан еще один тип коммуникационных устройств - шлюз, который может работать на любом уровне модели OSI. Шлюз (gateway) - это устройство, выполняющее трансляцию протоколов. Шлюз размещается между взаимодействующими сетями и служит посредником, переводящим сообщения, поступающие из одной сети, в формат другой сети. Шлюз может быть реализован как чисто программными средствами, установленными на обычном компьютере, так и на базе специализированного компьютера. Трансляция одного стека протоколов в другой представляет собой сложную интеллектуальную задачу, требующую максимально полной информации о сети, поэтому шлюз использует заголовки всех транслируемых протоколов.

3. Характеристика существующей компьютерной сети и обоснование необходимости реконструкции

Структура существующей локальной вычислительной сети отдела вневедомственной охраны при ОВД г. Лангепаса, представленная на рисунке 6, базируется, на концентраторах Ethernet 10 Base-T.

Особенностью компьютерной сети предприятия является то, что она развивалась достаточно хаотично, без какого-либо общего плана развития по мере поступления финансирования. Это привело к тому, что сеть являются по сути неуправляемой, и вопросы безопасности, надежности и эффективности в такой сети стоит наиболее остро. Очень часто на поддержание функционирования сети требуется неоправданно большие средства, т. к. из ее неэффективной структуры следует большой объем работ по текущему администрированию, что требует наличие штата собственных администраторов даже в небольших подразделениях либо выполнения функций по текущему администрированию самими пользователями. Это не только снижает качество администрирования, но и влияет на продуктивность основной работы пользователя. Из-за нецелевого использования сети падает качество ее работы и снижается эффективность работы всех пользователей. Из-за отсутствия ограничений на доступ к ресурсам сети и данным сети во время хранения или передачи возможна утечка конфиденциальной информации. При этом отсутствие надлежащего финансирования не дает возможности решить эти проблемы разом, требуется поэтапный подход и минимизация финансовых затрат.

Необходимые работы и затраты

На начальном этапе работ требуется провести анализ сети: определить назначение сети: т.е. для каких целей должна использоваться сеть и какие задачи сети являются наиболее приоритетными. К каким сетевым услугам пользователи должны иметь постоянный доступ и чем можно пожертвовать ради обеспечения безопасности и большей эффективности использования. Выявить места хранения конфиденциальной информации, информационные потоки, информацию и ресурсы, к которым необходим внешний доступ и внешнюю информацию и ресурсы, к которым необходим доступ пользователей. На основании этих данных создается структура «идеальной» сети, разрабатываются правила доступа к сети для пользователей и правила админи-стрирования сети. Модель «идеальной» сети сравнивается с существующей сетью, оценивается необходимый объем работ и зоны ответственности различных подразделений. Намечается план работ, в соответствии с которым производятся все дальнейшие изменения в структуре сети. Так же должны быть выработаны правила закупки оборудования и программного обеспечения (например стандартизировать используемые операционные системы, которые могут быть установлены на клиентские компьютеры, что облегчит последующее поддержание сети, а так же может быть необходимым на втором и третьем этапе)

Основные затраты первого этапа - это трудозатраты, т. к. для работы над первым этапом должны быть привлечены сотрудники и по возможности руководители всех подразделений. Все документы разработанные на первом этапе должны утверждаться на максимально высоком уровне т. к. их исполнение должно быть обязательным для всех пользователей сети.

Задача второго этапа - централизация управления сетью и внешних потоков данных. На этом этапе отдельные компьютеры и группы компьютеров зародившиеся в «хаотической» сети должны быть объединены в единую логическую сеть учреждения, с централизованной политикой управления пользователями и ресурсами. При этом может быть реализованная либо полностью централизованная система либо (чтоб более приемле-мо для большинства крупных учреждений) древообразная система с единым корнем. Все внешние потоки информации в обоих направлениях должны быть сведены в единый узел, что даст возможность контроля всех проходящих данных в одной точке. В этой точке реализуются ограничения доступа снаружи к ресурсам внутренней сети (все такие ресурсы должны быть вынесены в т.н. «демилитаризованную» зону) и доступа изнутри организации ко внешним ресурсам. При необходимости, в этой точке производится и анализ передаваемой информации (например проверка на вирусы почтовой корреспонденции) и т.д.

На втором этапе появляются затраты на приобретение серверов (серверов авторизации, брандмауэров, антивирусных серверов, прокси серверов и т.д. в зависимости от выбранной структуры сети) и серверного программного обеспечения.

Задача третьего этапа - организация ограничений доступа и безопасности потоков информации внутри сети. Это касается в первую очередь конфиденциальной информации. Вся конфиденциальная информация должна быть защищена за счет разрешений на доступ. Желательно шифрование конфиденциальной информации при ее передаче. На этом же этапе формируется антивирусная сеть с централизованным администрированием.

В зависимости от используемого программного обеспечения затраты на этом этапе могут достигать достаточно существенных объемов, т. к. могут потребовать, например, замены операционных систем на компьютерах хранящих и производящих доступ к конфиденциальной информации.

4. Структура проектируемой сети

4.1 Анализ требований

Основные требования к компьютерной сети изложены в «Комплексной програмой развития региональной автоматизированной информационной системы органов внутренних дел Ханты-Мансийского автономного округа на 2002-2006 годы», утвержденной приказом УВД округа 1125 от 31.12.2002 г.

4.1.1 Общие требования к сети

Новый вариант построения локальной вычислительной сети отдела вневедомственной охраны при ОВД г. Лангепаса представляет собой:

* Замена серверов на более надежные;

* Переход на более скоростную, чем Ethernet, технологию Fast Ethernet 100 Мбит/с;

* Замена концентраторов коммутаторами второго уровня;

* Организацию Виртуальных сетей (VLAN), трафик которых на канальном уровне полностью изолирован от других узлов сети;

* Осуществление Агрегирования каналов (Транкинга) используя несколько активных параллельных каналов одновременно для повышения пропускной способности и надежности сети.

4.1.2 Требования к структурированной кабельной системе

СКС должна быть выполнена в соответствии с международным стандартом ISO/IEC 11801 на кабельные системы и состоять из горизонтальной подсистемы:

Горизонтальная подсистема должна быть организована на основе 4-парного медного кабеля неэкранированная витая пара категории 5е (проводка для ЛВС и телефонной системы).

Кабель должен прокладываться: по коридорам - в металлических лотках за фальшпотолком; внутри комнат - в декоративном пластиковом коробе сечением 200х100 мм.

На рабочем месте необходимо установить информационную розетку с двумя модулями RJ45 для подключения компьютера, телефонного аппарата, факсимильного аппарата или модема, две силовые розетки, подключенные к сети гарантированного электроснабжения и одну силовую розетку, подключенная к сети бытового электроснабжения.

Коммутационное оборудование должно устанавливаться в 19-дюймовые монтажные шкафы глубиной не менее 60 см.

4.1.3 Требования к активному оборудованию ЛВС

В состав активного оборудования ЛВС должны входить три коммутатора с поддержкой технологий виртуальных сетей и сетевого управления, а также маршрутизатор с технологией межсетевого экрана(firewall).

Активное оборудование должно быть произведено компаниями Cisco и D-Link.

4.1.4 Требования к серверам

В качестве серверов для:

управления корпоративной базой данных, центрального файлового сервера, файлового сервера рабочих групп, сервера электронной почты, web-сервера и сервера резервного копирования должны быть использованы компьютеры с характеристиками не ниже, чем следующие:

не менее 2-х процессоров с параметрами не ниже: Рentium-IV 2400 MHz, c объёмом L2-cache не менее 1 MB);

оперативная память не менее 1 GB;

объём дискового пространства не менее 160 GB;

интерфейс дисков - не ниже Ultra-3 Wide SCSI;

дисковод CD-ROM;

сетевая карта 1000Base-TX.

серверы должен быть установлены в серверной.

Уточнение марки серверов должно быть произведено на стадии «Технического проекта».

Серверы должны быть изготовлены компанией Hewlett-Packard.

4.1.5 Требования к сетевой операционной системе

В качестве сетевой операционной системы должна использоваться MS Windows Server 2003.

4.1.6 Требования к рабочим станциям

Типовые вновь приобретаемые рабочие станции должны иметь следующие характеристики:

процессор не ниже Рentium-IV 2000 MHz, c объёмом L2-cache не менее 256 KB);

оперативная память не менее 512 MB;

объём дискового пространства не менее 40 GB;

интерфейс дисков - не ниже Ultra-ATA/100

видеоадаптер не ниже AGP 4x c видео-памятью не менее 32 МБ

дисковод CD-ROM;

сетевая карта 100Base-TX.

монитор TFT не менее 17».

предустановленная операционная система MS Windows XP SP2.

4.1.6 Требования к системе бесперебойного питания основного оборудования ЛВС

Система бесперебойного питания основного оборудования ЛВС должна обеспечить выполнение следующих функции:

обеспечение электропитания центрального (основного) оборудования ЛВС при отсутствии внешнего питания;

защита активного от импульсных помех внешней электросети;

поддержка питания в пределах номинальных значений.

Система бесперебойного питания основного оборудования ЛВС должна строиться на локальных ИБП необходимой мощности.

ИБП должны поддерживать управление по сети с использованием SNMP-протокола с помощью ПО управления под Windows XP.

ИБП должны устанавливаться в 19-дюймовые монтажные шкафы.

ИБП должны быть изготовлены компанией APC.

4.2 Выбор оборудования

4.2.1 Выбор структурированной кабельной системы

На рубеже 2000 года началась очередная смена поколений кабельных систем локальных сетей. Действующие стандарты морально устарели, приняты новые категории, требующие частичной замены установленных линий, разрабатываются новые стандарты. В таких условиях выбор систем на длительный срок эксплуатации, оказывается непростой задачей. Для ее решения нужна многоплановая информация, в том числе, о тенденциях развития кабельных систем. Именно она позволяет находить оригинальные решения и создавать открытые системы с реальными гарантиями будущего.

Принятие в 1991 году стандарта категории 3 имело далеко идущие последствия. Шестнадцатикратное расширение частотного диапазона витой пары по сравнению с категорией 2 (1 МГц) явилось впечатляющим шагом вперед. В результате изменились представления о витой паре, как о среде передачи только для речевых приложений. Была опубликована первая версия стандартов СКС. Витая пара начала вытеснять коаксиальный кабель.

В 1997 года в организациях стандартизации разного уровня была начата работа по спецификации параметров категорий 6 и 7, вновь расширяющих диапазон витой пары в два и шесть раз соответственно. В июне 1999 году Ассоциация стандартов Института инженеров электроники и электротехники приняла стандарт протокола витой пары Gigabit Ethernet IEEE Std 802.3a. В конце того же года Ассоциация телекоммуникационной промышленности совместно с Ассоциацией электронной промышленности утвердили Приложение ANSI/TIA-568-A-5 «Спецификации параметров передачи 4-парных 100-омных кабельных систем категории 5е». В сентябре 2000 года вступили в действие стандарты класса D (аналогичные категории 5е), принятые международной и европейской организациями стандартизации. В 2002 году принята вторая редакция стандарта ISO/IEC 11801, включающая спецификацию параметров кабелей и разъемов категорий 1 - 7 и линий / каналов классов C, D, E и F.

Таблица 2. Хронологическая таблица принятия категорий СКС

Категория СКС	Диапазон частот	Приложения, под которые разрабатывались категории	Год принятия стандарта
Категория 3	16 МГц	Ethernet, 10Base-T	1991
Категория 4	20 МГц	Token Ring 16Мбит/с	1993
Категория 5	100 МГц	100Base-TX (Fast Ethernet) АТМ 155	1995
Категория 5E	100 МГц	100Base-TX (Fast Ethernet) 1000Base-T (Gigabit Ethernet)	1999
Категория 6 Категория 7	200 МГц 600 МГц	Gigabit Ethernet 1000Base-TX Предложений нет	2002

Как видно из приведенной таблицы, выбор категории СКС под текущие приложения обеспечивает срок службы не более двух - трех лет. Исключение составляет категория 5, которая продержалась без изменений четыре года.

Следует отметить, что за десять лет меняется не менее семи поколений компьютеров и три поколения сетевых устройств. Тенденция развития информационных технологий на рубеже 2000 годов показывает, что темпы увеличения объема передаваемых данных в локальных сетях не уменьшаются, а возрастают. СКС призвана обеспечить десятилетний срок службы без замены кабелей горизонтальной подсистемы.

4.2.2 Выбор способа управления сетью

Каждая организация формулирует собственные требования к конфигурации сети, определяемые характером решаемых задач. В первую очередь необходимо определить, сколько человек будут работать в сети. От этого решения будут зависеть многие этапы создания сети.

Количество рабочих станций напрямую зависит от предполагаемого числа сотрудников. В нашем случае это 55 сотрудников, и соответственно 55 рабочих станций. Другим фактором является иерархия компании. Для фирмы с горизонтальной структурой, где все сотрудники должны иметь доступ к данным друг друга, оптимальным решением является простая одноранговая сеть. Фирме, построенной по принципу вертикальной структуры, в которой точно известно, какой сотрудник и к какой информации должен иметь доступ, следует ориентироваться на более дорогой вариант сети - с выделенным сервером. Только в такой сети существует возможность администрирования прав доступа.

В нашем проекте на предприятии имеется 55 рабочих станции, которые требуется объединить в корпоративную сеть. Следуя из схемы выбора типа сети, решаем, что в нашем случае требуется установка сервера, так как во-первых мы должны обеспечить вертикальную структуру (то есть разграниченный доступ к информации) и во-вторых количество рабочих станций предполагает управление сетью с выделенным сервером.

4.2.3 Выбор комплектующих

Активное сетевое оборудование

В качестве активного сетевого оборудования предлагается использовать оборудование фирм D-link или Cisco, которые зарекомендовали себя с самой лучшей стороны и являются одними из наиболее качественных продуктов на мировом рынке.

Коммутация зарекомендовала себя как наиболее экономичная и гибкая технология, обеспечивающая увеличение полосы пропускания и повышение управляемости сети на всех уровнях; к тому же ее внедрение сопряжено с минимальными перестройками в сети.

В качестве коммутаторов предлагается использовать коммутаторы D-link модели DES-3223S.

DES-3226 - это высокопроизводительный управляемый коммутатор уровня 2, представляющий собой идеальное решение для небольших рабочих групп. Коммутатор имеет 24 порта 10/100Mbps Fast Ethernet и дополнительно мо-жет быть укомплектован модулями 100FX или Gigabit Ethernet, необходимыми для подключения высокоскоростного оборудования и обеспечивающими дополнительную гибкость коммутатору.

DES-3226 поддерживает стандартные сетевые протоколы управления, что позволяет легко интегрировать его сети с программами управления HP OpenView или CiscoWorks.

Широкая поддержка IEEE спецификаций позволяет данному коммутатору успешно использовать spanning tree (802.1d) - позволяет предотвращать петли за счет установки обратного соединения, VLANs (802.1q), сетевое управ-ление SNMP/ RMON/BOOTP/ Telnet/Web), Quality of Service (802.1p) - позволяет приоритизировать трафик, IGMP - контролировать широковещательный трафик.

Характеристики Стандарты

* IEEE802.3 10BASE-T Ethernet (медь-витая пара)

* IEEE802.3u 100BASE-TX Fast Ethernet (медь-витая пара)

* IEEE802.3u 100BASE-FX Fast Ethernet (оптика)

* IEEE802.3z 1000BASE-SX Gigabit Ethernet (оптика)

* IEEE802.3ab 1000BASE-T Gigabit Ethernet (медь-витая пара)

* ANSI/IEEE802.3 автоопределение скорости

* IEEE802.3x Flow Control

* IEEE802.1p Приоритезация трафика

* IEEE802.1q VLAN - виртуальные сети

* IEEE802.1d Spanning Tree

Скорость подключения

* Ethernet:

10Mbps (полу-дуплекс)

20Mbps (полный дуплекс)

* Fast Ethernet:

100 Mbps (полу-дуплекс)

200 Mbps (полный дуплекс)

* Gigabit Ethernet:

2000Mbps (полный дуплекс)

Коррекция полярности подключения RX - автоматически

Производительность

* Пропускная способность 8,8 Gb

* Метод передачи - запомнить-и-передать (store&forward)

* Таблица MAC-адресов 8К

* Размер буфера - 8Mb

Обучаемость - динамическое и статическое (пользователем) обновление таблицы MAC-адресов

Управление

* Поддержка управления по SNMP, Web, RMON, Telnet

* RMON-группы 1, 2, 3, 9 (Alarm, Statistics, History, Event)

* MIB - MIB-II (RFC 1213), Bridge MIB (RFC 1493), RMON MIB (RFC 1757), VLAN MIB (RFC 2674), IGMP MIB, En-tity MIB (RFC 2737), IF MIB (RFC 2233), Ethernet-like MIB(RFC2358), D-Link enterprise MIB

* 1 порт для подключения консоли RS-232

Размеры и питание

* Питание - 100-240VAC, 50/60Hz

* Потребляемая мощность - 30-42 Watts (max.)

* Габаритные размеры - 441 x 207 x 44 mm 19» - для установки в шкаф, 1U высота вес 2.8 kg

Сервера.

В качестве серверного оборудования (серверов) предлагается использовать оборудование фирмы Hewlett Packard семейства ProLiant DL.

Эти компактные стоечные серверы, оптимизированные для создания кластеров, обладают высокой гибкостью и управляемостью и идеально подходят для сред с большим количеством серверов и внешними системами хранения данных, информационных центров и эффективных кластерных приложений, что позволяет заказчику подобрать модели, максимально соответствующие его требованиям. Благодаря свободному доступу к компонентам и оптимизированной разводке кабелей они очень просты в развертывании и обслуживании.

Для обеспечения разрабатываемой сети требуется один сервер HP ProLiant DL380 G3.

Это недорогой, но мощный двухпроцессорный сeрвeр приложений высотой 2U, прeдназначeнный для монтажа в стойку. Сфера его использования - от небольших компаний до центров обработки данных, предъявляющих высокие требования к производительности и надежности сeрвeра.

В этой модели стоечного сeрвeра срeднeго класса используется новый высокопроизводительный чипсeт, обeспeчивающий ускоренный обмен данными с памятью и болee высокую производительность подсистемы ввода-вывода по сравнению с аналогичными сeрвeрами прeдыдущeго поколeния.

Средства повышения надежности, включающиe в сeбя наличиe рeзeрвных вентиляторов с возможностью «горячeй» замeны, «горячee» рeзeрвированиe модулей памяти, интегрированный RAUD, а такжe возможность «горячeй» замeны дисков и PCI-плат дают возможность использования этого сeрвeра на самых критических участках работы прeдприятия.

Источники бесперебойного питания.

В качестве оборудования бесперебойного питания предлагается использовать оборудование фирмы APC семейства Smart-UPS RM.

Продукты этого семейства отличаются выдающейся производительностью и легендарной надежностью, а также оснащаются портом USB, передней панелью стандартного белого цвета и обладают немного повышенной выходной мощностью по сравнению со своими предшественниками - моделями мощностью 700 и 1400 ВА. Высокопроизводительные ИБП с гибкими возможностями монтажа для защиты электропитания серверов и корпоративных сетей. ИБП высотой 2U продолжают оставаться основным продуктом для большинства приложений, включая приложения с жесткими требованиями к стоимости оборудования. Модели высотой 2U предназначены для эксплуатации в оптимизированных по плотности средах с глубокими стойками (800, 1000, 1100 мм), где основным преимуществом устройства является минимальная высота.

Для обеспечения разрабатываемой сети требуется два ИБП Smart-UPS RM 2U.

Пассивное оборудование.

Из пассивного сетевого оборудования предлагается использовать телекоммуникационные шкафы (стойки) 19»

Телекоммуникационные шкафы служат для размещения оптического и электротехнического оборудования различных стандартов. Наиболее широкие возможности по функциональному применению представляет серия телекоммуникационных шкафов, предназначенных для размещения различного оборудования вплоть до компьютеров промышленного назначения. Оборудование располагается на вертикальном перфорированном профиле или на 19» полках. Перфорация соответствует стандарту DIN 41494, Part1. В перфорированный профиль устанавливаются любые стандартные устройства 19». Глубина постановки профиля может изменяться в зависимости от устанавливаемого оборудования. Доступны различные варианты исполнения по глубине, классу защищенности и конструкции дверей. Несколько отдельных шкафов, объединенных механически в жесткую конструкцию, могут составить единый комплекс. Максимально возможное количество установочных мест (Unit) увеличено до 45 U (высота шкафа 2200 мм).

Мною выбран напольный вариант 45U. Конструкция шкафа каркасная. Передняя и задняя двери взаимозаменяемы. Доступ к оборудованию, установленному в шкафу, может осуществляться с четырех сторон. Двери имеют как левую, так и правую навеску. Шкаф устанавливается на регулируемых по высоте ножках или колесах. Ввод кабеля производится через основание шкафа. Предусмотрена возможность ввода кабеля через верхнюю крышку. Имеется встроенная система вентиляции.

Для обеспечения разрабатываемой сети требуется два телекоммуникационных шкафа 19» 45U.

4.2.4 Выбор программного обеспечения

Обзор операционных систем.

Практически все современные ОС поддерживают работу в сети. Однако в качестве ОС для сервера чаще всего используются Nowell NetWare, Unix, Linux и Windows 2000 Server.

Nowell NetWare.

Одна из первых коммерческих сетевых ОС, позволивших строить сети произвольной топологии, состоящих из разнородных компьютеров. Если раньше сетевые ОС сильно зависели от конкретной конфигурации сети, то ОС Nowell NetWare стала первой универсальной сетевой ОС. Любая сетевая карта, имеющая драйвер ODI (Open Datalink Interface) может использоваться в сетях Nowell. Благодаря такой универсальности ОС быстро завоевала рынок, и долгое время оставалась основной ОС для локальных сетей. С 1990 года даже фирма IBM стала перепродавать NetWare, и по сегодняшний день эта ОС используется достаточно широко.

Текущей версией ОС является NetWare 6.x. Помимо удобного графического интерфейса, эта версия NetWare имеет ряд других характерных особенностей:

1) NetWare 6.0 использует в качестве основного сетевого протокола TCP/IP (протокол, используемый в сети Internet). Если предыдущие версии NetWare работали на собственном протоколе фирмы Novell - протоколе IPX/SPX, а протокол ТСР/IР мог использоваться только поверх IPX/SPX (также эмулировался NetBIOS), то теперь NetWare 5.0 предлагает следующие варианты:

· только протокол TCP/IP

· протокол TCP/IP в режиме «совместимости» (может использоваться IPX/SPX поверх ТСР/IР)

· совместное использование протоколов TCP/IP и IPX/SPX (оба протокола работают параллельно и независимо)

· только протокол IPX/SPX.

2) В NetWare используется служба каталога NDS (Nowell Directory Service), которая представляет собой единую распределенную базу данных в виде дерева каталогов, в которой описываются все объекты сети (пользователи, группы пользователей, принтеры и т.д.), с указаниями прав доступа. База данных NDS является общей для всей сети. Если в предыдущих версиях NetWare 3.x и 2.x необходимо было создавать учетную запись пользователя (имя и пароль) на каждом сервере сети, то в NetWare 6.0 достаточно один раз зарегистрировать пользователя в NDS и он получит доступ ко всем серверам сети.

3) В NetWare используется мощная и гибкая модель разграничения доступа. Система безопасности подключения к сети включает в себя: ограничения на срок действия и частоту смены пароля, запрет на повторное использование старых паролей, ограничение времени суток и адресов компьютеров, с которых пользователь может подключаться к сети, запрет одному и тому же пользователю на подключение к сети с нескольких машин одновременно. Система безопасности файловой системы позволяет для каждого файла и каталога назначить различным пользователям любую комбинацию следующих прав доступа: чтение, запись, создание, удаление, модификация (имени файла и его атрибутов), просмотр (содержимого каталога), изменение прав доступа, супервизор (полный набор всех прав). Аналогично регулируется доступ и к любым другим объектам NDS (права на просмотр, создание, удаление, переименование объектов, чтение, запись, сравнение и добавление их свойств, права супервизора). NetWare имеет также двухстороннюю систему аудита: внешние независимые аудиторы могут анализировать события в сети, не имея доступа к секретным данным, в то же время, администраторы сети не имеют доступа к данным аудита.

4) В NetWare 6.0 поддерживаются как традиционные тома (аналог логических дисков), так и тома NSS (Novell Storage Services). Традиционные тома обеспечивают надежную файловую систему, основанную на обработке транзакций (при сбое, файлы восстанавливаются в состояние «до сбоя»), сжатие файлов и систему зеркального отражения дисков (данные параллельно пишутся на два различных винчестера: при повреждении одного, информация будет считана с другого). Тома NSS могут иметь размер до 8 терабайт и хранить до 8 триллионов файлов. Доступ к томам NSS происходит гораздо быстрее, чем к традиционным томам. В качестве тома NSS может монтироваться CD-ROM и разделы DOS.

5) В NetWare 6.0 реализована распределенная система печати NDPS (Novell Distributed Print Services), которая была разработана совместно с компаниями Hewlett-Packard и Xerox и позволяет реализовать:

- двухсторонний обмен данными (компьютер имеет возможность передавать данные на принтер, и принтер имеет возможность передавать данные в компьютер).

- оповещение о событиях (принтер по сети имеет возможность оповестить технический персонал, например о том, что кончился тонер).

- автоматическая загрузка драйверов принтера, шрифтов и др. ресурсов на компьютеры, которым требуется производить распечатку документов.

6) В комплект поставки NetWare 6.0 входит мощный и простой в использовании Web-сервер FastTrack Server for NetWare, тесно интегрированный с NDS и поддерживающий большинство языков разработки приложений для Web. FastTrack Server призван заменить собой Novell Web Server, использовавшийся в предыдущих версиях NetWare.

7) В состав сервера NetWare 6.0 входит виртуальная машина Java, что позволяет запускать приложения и апплеты Java на сервере. Например, графическая утилита управления сервером ConsoleOne написана на языке Java.

Семейство ОС Windows 2000.

Windows 2000 Server

Включает основанные на открытых стандартах службы каталогов, Web, приложений, коммуникаций, файлов и печати, отличается высокой надежностью и простотой управления, поддерживает новейшее сетевое оборудование для интеграции с Интернетом. В Windows 2000 Server реализованы:

· службы Internet Information Services 5.0 (IIS)

· среда программирования Active Server Pages (ASP)

· XML-интерпретатор

· архитектура DNA

· модель СОМ +

· мультимедийные возможности

· поддержка приложений, взаимодействующих со службой каталогов

· Web-папки

· печать через Интернет

Минимальные аппаратные требования Windows 2000 Server:

Pentium-совместимый процессор с тактовой частотой не ниже 133 МГц - Windows 2000 Server поддерживает до 4 процессоров:

128 Мб ОЗУ (рекомендуется 256 Мб). Большее количество памяти значительно увеличивает быстродействие системы. Windows 2000 Server поддерживает ОЗУ объемом до 4 Гб;

2 Гб свободного дискового пространства - для установки Windows 2000 Server требуется около 1 Гб. Дополнительное место на диске необходимо для установки сетевых компонентов.

Windows 2000 Advanced Server

Эта ОС, по сути, представляет собой новую версию Windows NT Server 4.0 Enterprise Edition. Windows 2000 Advanced Server - идеальная система для работы с требовательными к ресурсам научными приложениями и приложениями электронной коммерции, где очень важны масштабируемость и высокая производительность[1]. Аппаратные требования для Windows 2000 Advanced Server не отличаются от требований для Windows 2000 Server, однако эта более мощная ОС включает дополнительные возможности:

· балансировку сетевой нагрузки;

· поддерживает ОЗУ объемом до 8 Гб на системах с Intel Page Address Extension (РАЕ);

· поддерживает до 8 процессоров.

Windows 2000 Datacenter Server

Это серверная ОС, еще больше расширяющая возможности Windows 2000 Advanced Server. Поддерживает до 32 процессоров и больший объем ОЗУ, чем любая другая ОС Windows 2000:

· до 32 Гб для компьютеров с процессорами Alpha;

· до 64 Гб для компьютеров с процессорами Intel.

Вопрос об установке Windows 2000 Datacenter Server следует рассматривать только в том случае, если вам требуется поддерживать системы оперативной обработки транзакций (online transaction processing, OLTP), крупные хранилища данных или предоставлять услуги Интернета.

ОС Unix, Linux.

ОС Unix является старейшей сетевой операционной системой (создана в 1969 г.) и по сегодняшний день использующейся в Internet. Существует множество клонов Unix - практически ничем не отличающихся друг от друга операционных систем разных производителей: FreeBSD, BSD Unix (университет Berkley), SunOS, Solaris (фирма Sun Microsystems), AIX (фирма IBM), HP-UX (фирмы Hewlet Packard), SCO (фирмы SCO) и др. Самым популярным клоном Unix пожалуй является FreeBSD, в основном из-за того, что ее исходные тексты распространяются свободно, что позволяет произвольно переделывать ОС «под себя», а также тестировать систему на отсутствие ошибок и «черного хода». В связи с этим, FreeBSD содержит гораздо меньше ошибок, чем коммерческие варианты Unix, т. к. отладкой и устранением ошибок занималась не одна компания, а все программистское сообщество.

К клонам Unix можно отнести и Linux, однако в последнее время он выделился в самостоятельную операционную систему и продолжает бурно развиваться. Существует множество дистрибутивов (пакетов установки) Linux различных фирм. Самые популярные из них - это Red Hat Linux (США) и Mandrake (Европа). Существуют также Slackware Linux, Corel Linux, Caldera OpenLinux, Debian Linux, SuSE Linux, Black Cat Linux, Connectiva Linux и др. Структура файловой системы, система разграничения доступа и основные команды в Linux и Unix сходны. С точки зрения пользователя, основным отличаем Linux от ранних версий Unix является удобный графический интерфейс, во многом сходный с интерфейсом Windows (особенно у графической рабочей среды Gnome), а основным преимуществом, по сравнению с Windows, - большая надежность и скорость работы, большая защищенность файловой системы (в том числе и от вирусов) и более профессиональные средства работы с локальной сетью и Internet. Для Linux существует и разрабатывается большое количество программного обеспечения: от офисного пакета Star Office и графического редактора Corel Draw, до мощных СУБД (DB2 фирмы IBM) и систем разработки программ на C++, Perl, Java и др. И хотя пока еще рано рекомендовать неопытному пользователю переходить на Linux (в основном из-за проблем с использованием русских шрифтов в приложениях - отсутствует единая прозрачная схема настройки), тем не менее, в будущем, Linux возможно займет значительное место в нише ОС для домашних компьютеров.

5. Информационная безопасность сети

В этом разделе рассматриваются вопросы обеспечения безопасности локальной сети. Так же уделено внимание выбору средств реализации информационной безопасности и проблемы защиты сети от возможного разрушения.

Внешние угрозы.

В настоящее время проблема внешних угроз безопасности локальных сетей крайне обострилась. Простота доступа в Интернет, как оказалось, имеет обратную «темную» сторону. По сути, сеть, подключенная к Интернет, доступна любому достаточно опытному пользователю, «вооруженному» соответствующим инструментарием (разумеется, в том случае, если не разработана четкая иерархия мер соблюдения безопасности, которая планомерно внедряется на всех уровнях сети - от отдельной рабочей станции до выделенного сервера). Ниже перечислены возможные опасности, связанные с внешним вторжением:

- несанкционированный доступ посторонних лиц к ключам и паролям вашей сети;

- атаки DoS (Denial of Service, отказ в обслуживании);

- имитация IP-адреса;

- компьютерные вирусы и черви;

- активные действия хакеров;

- программы троянских коней;

- возможные сценарии «взлома» локальных серей;

- возможные угрозы при эксплуатации беспроводных сетей.

Внутренние угрозы.

Источником внутренних угроз являются, как правило, сами пользователи. Нередка ситуация, когда сами работники той или иной компании воруют ценные сведения или даже присваивают деньги фирмы, воспользовавшись информацией, которая циркулирует во внутренних сетях компании. Поэтому вопросам, связанным с внутренними угрозами следует уделить самое пристальное внимание.

В следующем перечне указаны некоторые источники внутренних угроз:

- внутренние противоречия в компании;

- недовольные работники (бывшие или ещё работающие);

- промышленный шпионаж;

- случайные сбои и нарушения.

Windows 2000 Advanced Server имеет средства обеспечения безопасности, встроенные в операционную систему. Это множество инструментальных средств для слежения за сетевой деятельностью и использованием сети. ОС позволяет просмотреть сервер и увидеть, какие ресурсы он использует; увидеть пользователей, подключенных к настоящему времени к серверу и увидеть, какие файлы у них открыты; проверить данные в журнале безопасности; записи в журнале событий; и указать, о каких ошибках администратор должен быть предупрежден, если они произойдут.

Windows 2000 обладает развитыми средствами шифрования (криптографии) данных с открытым ключом (ассиметричное шифрование). Это интегрированный набор служб и инструментов администрирования, предназначенных для создания, реализации и управления приложениями, использующими алгоритмы шифрования с открытым ключом.

Шифрование с открытым ключом отличается от традиционного шифрования с секретным ключом тем, что в последнем стороны обменивающиеся зашифрованными данными должны были знать общий секретный ключ (т.е. зашифровывающий и расшифровывающий ключ совпадали), а в шифровании с открытым ключом зашифровывающий и расшифровывающий ключ не совпадают. Шифрование информации является одностороннем процессом: открытые данные шифруются с помощью зашифровывающего ключа, однако с помощью того же ключа нельзя осуществить обратное преобразование и получить открытые данные. Для этого необходим расшифровывающий ключ, который связан с зашифровывающим ключом, но не совпадает с ним. Подобная технология шифрования предполагает, что каждый пользователь имеет в своем распоряжении пару ключей - открытый ключ (public key) и личный (или закрытый private key) ключ. Свободно распространяя открытый ключ, вы даете возможность другим пользователям посылать вам зашифрованные данные, которые могут быть расшифрованы с помощью известного только вам ключа. Наиболее яркими проявлениями преимуществ шифрования с открытым ключом являются такие технологии, как цифровые или электронные подписи, сертификаты подлинности, доменные политики безопасности и т.д.

Также Windows 2000 предоставляет возможность еще больше защитить зашифрованные файлы и папки на томах NTFS благодаря использованию шифрованной файловой системы EFS (Encrypting File System). При работе в среде Windows 2000 можно работать только с теми томами, на которые есть права доступа. При использовании шифрованной файловой системы EFS файлы и папки будут зашифрованы с помощью пары ключей. Любой пользователь, который захочет получить доступ к определенному файлу, должен обладать личным ключом, с помощью которого данные файла будут расшифровываться.

Исходя из всего вышеперечисленного, мы видим, что встроенные программные средства безопасности и аудита Windows 2000 являются наиболее оптимальным решением для обеспечения необходимого уровня безопасности данных внутри сети, как с технической, так и с экономической сторон.

Для обеспечения безопасности сети от попыток проникновения извне в нашем проекте будет использован аппаратный комплекс межсетевого экран (IOS Firewall Feature Set) на базе устройства Cisco 2621 с использованием стандарта DES.

Стандарт шифрования данных DES (Data Encrypting Standard), который ANSI называет Алгоритмом шифрования данных DEA (Data Encrypting Algorithm), а ISO - DEA-1, за 20 лет стал мировым стандартом. За годы своего существования он выдержал натиск различных атак и при известных ограничениях все еще считается криптостойким.

DES представляет собой блочный шифр, шифрующий данный 64-битовыми блоками. С одного конца алгоритма вводиться 64-битовый блок открытого текста, а с другого конца выходит 64-битный блок шифротекста.

DES является симметричным алгоритмом: для шифрования и дешифрования используется одинаковые алгоритм и ключ (за исключением небольших различий в использовании ключа). Длина ключа равна 56 битам. (Ключ обычно представляется 64-битным числом, но каждый восьмой бит используется для проверки четности и игнорируется.) Ключ, который может быть любым 56-битовым числом, можно изменить в любой момент времени. Криптостойкость полностью определяется ключом. Фундаментальным строительным блоком DES является комбинация подстановок и перестановок. DES состоит из 16 циклов.

DES является шифром Фейстеля и сконструирован так, чтобы выполнялось полезное свойство: для шифрования и дешифрования используется один и тот же алгоритм. Единственное отличие состоит в том, что ключи должны использоваться а обратном порядке.