По конструктивному исполнению, планшетные ПК делятся на:

- «Чистые планшетники» - устройства без полноценной клавиатуры;

- Планшетные ноутбуки, также называемые «конвертируемыми» (англ. convertible) или трансформерами, из-за своей возможности к трансформации: устройство может выглядеть как ноутбук, экран можно развернуть вокруг оси на 180° и положить на клавиатуру - ноутбук будет выглядеть как планшет.

- Планшетные нетбуки, аналогичные ноутбукам нетбуки-трансформеры с поворотным экраном. Кроме этого, к ним относится новый двухэкранный мультитач нетбук от Asus, концепт которого под названием Dual Panel был представлен на выставке CeBIT 2009. И конечно концепты мультитачных «таблеток» от Microsoft и Apple.

- Slate PC - компактный вариант планшетного ПК с диагональю экрана 7-11 дюймов, предназначенный для конкуренции с интернет-планшетами. Имеет некоторые отличия в интерфейсе, так как предназначен для управления пальцами с помощью сенсорного экрана и использования мультитач-жестов. Для ввода текстов используется только виртуальная клавиатура, хотя теоретически с помощью интерфейса bluetooth к устройству можно подключить внешнюю физическую клавиатуру.

- UMPC - компактный вариант планшетного компьютера с диагональю экрана 4-7 дюймов, предназначенный для замены PDA. Имеет некоторые конструктивные отличия, а также некоторые отличия в интерфейсе, так как предназначен специально для управления пальцами. Может иметь встроенную клавиатуру, как правило, нестандартную.

Кроме того, планшетные компьютеры разделяются на два класса по принципу работы планшета:

1. Электромагнитный принцип работы планшета. Наиболее многочисленный класс, позволяет работу с планшетом только при помощи специального стилуса. Плюсы такого подхода в большой точности распознавания текста, точности определения силы нажатия, а также отсутствие реакции на случайные нажатия кистью руки или пальцами при письме. Как правило, используется технология компании Wacom.

2. Планшет, чувствительный к прикосновению пальца. Менее многочисленный класс, хотя с течением времени становится более популярным. Плюс в том, что таким планшетом можно управлять без использования стилуса, что может быть удобно в некоторых ситуациях. Кроме того, этот подход позволяет делать интерфейсы, специально устроенные для управления пальцами, в том числе и с распознаванием множественных прикосновений и жестов. К этому классу относятся UMPC. Минусы в меньшей точности, худшем качестве распознавания письма, отрицательном влиянии планшета на качество и яркость экрана, а также в возможности случайных нажатий при письме.

Планшетные ПК в сравнении с ноутбуками

Преимущества:

- При наличии стилуса очень удобны для дизайнеров

- С него удобно читать электронные книги, используя вертикальную ориентацию экрана.

- На лежащем на столе сложенном планшетном ПК удобно работать, не прерывая при этом линии взгляда (например, на деловой встрече).

- Планшетный ноутбук особенно удобен как средство рецензирования документов, позволяя пером делать пометки на полях или прямо в тексте.

Недостатки:

- Крепление экрана планшетного ноутбука менее надёжно, поскольку экран держится на одной вращающейся петле - в отличие от обычного ноутбука, экран которого держится на двух петлях. Данного недостатка лишены планшетные ноутбуки HP/TC1100 или Fujitsu-Siemens Stylistic, которые могут работать без клавиатуры или не имеют клавиатуры вообще, соответственно.

- Специальное чувствительное к нажатию покрытие экрана снижает показатели по углам обзора и яркости.

- Планшетный ноутбук примерно на 300 долларов дороже, чем обычный ноутбук с теми же характеристиками, хотя ожидается, что эта разница должна со временем уменьшиться до 75 долларов.

- Точность нажатия пальцами, как правило, крайне невысока (хотя в продуктах ряда производителей установлены высококачественные тач-панели, где данный недостаток практически отсутствует).

1.3.2 Выводы по разделу

Основные проблемы, которые приходится решать ИТ специалистам, - кибершпионаж, утечки данных из-за деятельности хакеров и нелояльного персонала, защита телефонных линий и IP-телефонии, удаленных сотрудников, - требуют комплексного подхода и применения самых разнообразных инструментов. Недавние исследования компаний, специализирующихся в данном сегменте, в том числе и Trustwave 2012 Global Security, позволяют сделать вывод, что основные бреши в ИТ инфраструктуре являются следствием быстро меняющихся требований к ИТ со стороны бизнеса, а также сложностью и упущениями при проектировании и администрировании.

На протяжении многих лет ИТ инфраструктура компаний имела четкие границы, вне которой оставались партнеры, клиенты, и злоумышленники тоже. Сегодня наблюдается быстрая смена модели поведения бизнеса, расширение взаимодействия с заказчиками и партнерами (и одновременно потребность предоставить им ограниченный доступ к части внутренних ресурсов компании), глобализация даже небольших предприятий, консьюмеризация и расширение спектра применения мобильных устройств. По оценкам экспертов, 50% предприятий позволяют сотрудникам выполнять рабочие задачи с собственных устройств, для делового общения используется до 22 разных инструментов, 45% штата задействует социальные сети, уже в ближайшее время 40% компаний намерены внедрить «облачные» сервисы для отдельных бизнес-процессов.

Помимо этого, меняется стиль работы самих сотрудников и их ожидания от работодателя. Согласно данным опроса Cisco, проведенного еще в 2010 г., 66% сотрудников компаний согласятся на снижение зарплаты на 10%, если получат возможность работать из любой точки; 45% готовы работать на 2-3 часа больше, если смогут делать это удаленно; 59% хотят использовать на работе собственные устройства.

Такие изменения внутренней и внешней бизнес-среды порождают сотни новых рисков: целями атак становятся виртуальные машины и гипервизоры, бесконтрольные внутренние виртуальные сети снижают эффективность политик безопасности,системы обмена мгновенными сообщениями могут обходить средства защиты, пр. К тому же, унаследованные системы безопасности порой используют до 30 решений разных поставщиков, также порождая риски, связанные с интеграцией продуктов и обеспечением единых политик доступа к проводному и беспроводному сегментам корпоративной сети.

1.4 Анализ технология проектирования сетей WLAN

Любое проектирование, как известно, представляет собой сильно упрощенное моделирование еще не наступившей действительности. Именно поэтому предусмотреть все возможные факторы, учесть все потребности, которые могут возникнуть в будущем, практически невозможно.

Однако общие подходы к проектированию локальных компьютерных сетей все-таки могут быть сформулированы, некоторые полезные принципы такого проектирования предлагаются и с успехом используются. Не стоит только воспринимать их как нечто пригодное для любых практических случаев и учитывающее все возможные ситуации [30].

Рисунок 3 Примерная последовательность этапов и варианты выбора при проектировании ЛС

На Рисунке 3 приведена примерная последовательность этапов и варианты выбора при проектировании локальной сети. Вообще, проблема выбора одного из многочисленных вариантов при проектировании ЛС является основной для данного раздела. Выбор затрудняет необходимость учета множества требований, иногда противоречивых (например, обеспечение высоких технических характеристик сети при доступной стоимости), а также настойчивая, порой агрессивная реклама отдельных решений. Последнее часто относится к новейшим вариантам сетевого оборудования и/или программного обеспечения, отнюдь не самым доступным по цене и не всегда имеющим значительные преимущества по техническим характеристикам перед опробованными вариантами [17, 40].

Не все этапы проектирования, перечисленные на Рисунке 3, будут далее рассматриваться. Так, организация силовой электрической сети, актуальна в относительно редких случаях. Например, если сеть размещается в новом здании или производится капитальный ремонт, то возникает необходимость организации силовой электрической сети «по всем правилам». Многие из этих правил в отечественных условиях реализуются нечасто (или возможность их реализации ограничена по техническим причинам). Не вдаваясь в излишние подробности, следует упомянуть необходимость организации полноценной системы заземления оборудования (что означает использование не 2х, а 3х-полюсных розеток, причем один из полюсов должен быть подключен к шине физического заземления) и обеспечение мер электробезопасности. Другой этап, который также не будет далее детализироваться, это этап 6 (установка сетевых карт, активных сетевых устройств, сетевой ОС и других сетевых программных средств).

1.4.1 Архитектурная стадия проектирования

Важность этого этапа связана как с необходимостью упорядочивания требований к создаваемой ЛС и ее отдельным составляющим для обеспечения возможности принятия в будущем взвешенных конкретных решений, так и с ее обоснованием [8].

При создании новой сети для какого-нибудь предприятия желательно учитывать следующие факторы:

- Требуемый размер сети (в настоящее время, в ближайшем будущем и по прогнозу на перспективу).

- Структура, иерархия и основные части сети (по подразделениям предприятия, а также по комнатам, этажам и зданиям предприятия).

- Основные направления и интенсивность информационных потоков в сети (в настоящее время, в ближайшем будущем и в дальней перспективе). Характер передаваемой по сети информации (данные, оцифрованная речь, изображения), который непосредственно сказывается на требуемой скорости передачи (до нескольких сотен Мбит/с для телевизионных изображений высокой четкости).

- Технические характеристики оборудования (компьютеров, адаптеров, кабелей, репитеров, концентраторов, коммутаторов) и его стоимость.

- Возможности прокладки кабельной системы в помещениях и между ними, а также меры обеспечения целостности кабеля.

- Обслуживание сети и контроль ее безотказности и безопасности.

- Требования к программным средствам по допустимому размеру сети, скорости, гибкости, разграничению прав доступа, стоимости, по возможностям контроля обмена информацией и т.д.

- Необходимость подключения к глобальным или к другим локальным сетям.

Вполне возможно, что после изучения всех факторов выяснится, что можно обойтись без сети, избежав тем самым довольно больших затрат на аппаратуру и программное обеспечение, установку, эксплуатацию, поддержку и ремонт сети, зарплату обслуживающему персоналу, и т.д.

Сеть по сравнению с автономными компьютерами порождает множество дополнительных проблем: от простейших механических (компьютеры, подключенные к сети, труднее перемещать с места на место) до сложных информационных (необходимость контролировать совместно используемые ресурсы, предотвращать заражение сети вирусами). К тому же пользователи сети уже не так независимы, как пользователи автономных компьютеров, им надо придерживаться определенных правил, подчиняться установленным требованиям, которым их необходимо научить [18, 28].

Наконец, сеть остро ставит вопрос о безопасности информации, защиты от несанкционированного доступа, ведь с любого компьютера сети можно считать данные с общих сетевых дисков. Защитить один компьютер или даже несколько одиночных гораздо проще, чем целую сеть. Поэтому приступать к установке сети целесообразно только тогда, когда без сети работа становится невозможной, непроизводительной, когда отсутствие межкомпьютерной связи сдерживает развитие дела.

Требования и варианты решений при выборе размера и структуры сети, сетевого оборудования и программного обеспечения будут рассмотрены в последующих разделах. В начале проектирования сети необходимо провести полную «инвентаризацию» имеющихся компьютеров и их программного обеспечения, а также периферийных устройств (принтеров, сканеров и т.д.). Это позволит при организации сети исключить ненужное дублирование (оборудование и программное обеспечение теперь могут быть разделяемыми ресурсами), а также поставить задачи модернизации (апгрейда) как аппаратных, так и программных средств. Для корректного определения характеристик компьютеров целесообразно использовать специальные диагностические программы или встроенные программы ОС (например, в ОС Windows Millennium это программа «Сведения о системе» из раздела служебных программ и программа «Система» из панели управления). Следует выбирать такие варианты программ, которые обеспечивают получение правильных данных («старые» диагностические программы могут неверно указать тип процессора и версию ОС), а также сохранение данных в файле (это особенно ценно при большом числе компьютеров). Кроме того, следует уделить внимание наличию встроенной сетевой карты или сетевого контроллера на системной плате, а также типу поддерживаемых ими сетевых стандартов (как правило, поддерживается сеть Ethernet на витой паре, но принципиально знать ее разновидность - 10/100/1000 Мбит/c). Не все характеристики компьютеров, которые важны при их объединении в сеть, могут быть определены описанными выше способами. Из сопроводительной документации к компьютеру или после вскрытия системного блока можно и нужно определить число и тип свободных слотов (разъемов) расширения, а также максимальную мощность блока питания. Это необходимо для оценки возможности установки в компьютер новых плат.

1.4.2 Телекоммуникационная стадия проектирования

Телекоммуникационная стадия подразумевает выбор размера и структуры сети [11].

Под размером сети в данном случае понимается как количество объединяемых в сеть компьютеров, так и расстояния между ними. Надо четко представлять себе, сколько компьютеров (минимально и максимально) нуждается в подключении к сети. При этом необходимо оставлять возможность для дальнейшего роста количества компьютеров в сети, хотя бы процентов на 20-50.

Кстати, совсем не обязательно раз и навсегда включать в сеть все компьютеры предприятия. Иногда имеет смысл оставить некоторые из них автономными, например, из соображений безопасности информации на их дисках. Количество подключенных к сети компьютеров сильно влияет как на производительность, так и на сложность ее обслуживания. Оно также определяет стоимость требуемых программных средств, поэтому просчеты могут иметь довольно серьезные последствия.

Требуемая длина линий связи сети также играет не малую роль в проектировании сети. Например, если расстояния очень большие, может понадобиться использование дорогого оборудования. К тому же с увеличением расстояния резко возрастает значимость защиты линий связи от внешних электромагнитных помех. От расстояния зависит и скорость передачи информации по сети (выбор между Ethernet и Fast Ethernet). Целесообразно при выборе расстояний закладывать небольшой запас (хотя бы процентов 10) для учета непредвиденных обстоятельств. Преодолеть ограничения по длине иногда можно путем выбора структуры сети, разбиения ее на отдельные части [12].

Под структурой сети понимается способ разделения сети на части (сегменты), а также способ соединения этих сегментов между собой. Сеть предприятия может включать в себя рабочие группы компьютеров, сети подразделений, опорные сети, средства связи с другими сетями. Для объединения частей сети могут использоваться репитеры, репитерные концентраторы, коммутаторы, мосты и маршрутизаторы. Причем в ряде случаев стоимость этого объединительного оборудования может даже превысить стоимость компьютеров, сетевых адаптеров и кабеля, поэтому выбор структуры сети исключительно важен.

В идеале структура сети должна соответствовать структуре здания или комплекса зданий предприятия. Рабочие места группы сотрудников, занимающихся одной задачей (например, бухгалтерия, отдел продаж, инженерная группа), должны размещаться в одной или рядом расположенных комнатах. Тогда можно компьютеры этих сотрудников объединить в один сегмент, в единую рабочую группу и установить вблизи их комнат сервер, с которым они будут работать, а также концентратор или коммутатор, связывающий все их машины. Точно так же рабочие места сотрудников подразделения, занимающихся комплексом близких задач, лучше расположить на одном этаже здания, что существенно упростит их объединение в сегмент и дальнейшее его администрирование. На этом же этаже удобно расположить коммутаторы, маршрутизаторы и серверы, с которыми работает данное подразделение.

Как и в других случаях, при выборе структуры разумно оставлять возможности для дальнейшего развития сети. Например, лучше приобретать коммутаторы или маршрутизаторы с количеством портов, несколько большим, чем требуется в настоящий момент (хотя бы на 10 -20 процентов). Это позволит при необходимости легко включить в сеть один или несколько сегментов. Ведь любое предприятие всегда стремится к росту (порой совершенно напрасно), и этот рост не должен каждый раз приводить к необходимости проектировать сеть предприятия заново.

1.4.3 Выбор оборудования

При выборе сетевого оборудования надо учитывать множество факторов, в частности [5,16]:

- уровень стандартизации оборудования и его совместимость с наиболее распространенными программными средствами;

- скорость передачи информации и возможность ее дальнейшего увеличения;

- возможные топологии сети и их комбинации (шина, пассивная звезда, пассивное дерево);

- метод управления обменом в сети (CSMA/CD, полный дуплекс или маркерный метод);

- разрешенные типы кабеля сети, максимальную его длину, защищенность от помех;

- стоимость и технические характеристики конкретных аппаратных средств (сетевых адаптеров, трансиверов, репитеров, концентраторов, коммутаторов).

Всем этим часто пренебрегают, а напрасно: заменить программное обеспечение сравнительно просто, а вот замена аппаратуры, особенно прокладка кабеля, обходится порой очень дорого, а иногда бывает просто невозможна.

Еще одна важная задача - это выбор компьютеров. Если для рабочих станций или невыделенных серверов обычно используют те компьютеры, которые уже имеются на предприятии, то выделенный сервер желательно приобретать специально для сети. Лучше, если это будет быстродействующий специализированный компьютер-сервер, спроектированный с учетом специфических нужд сети (такие серверы выпускаются всеми крупнейшими производителями компьютеров).

1.4.4 Оптимизация и поиск неисправностей в работающей сети

Во вновь организованной локальной сети могут наблюдаться проблемы со стабильностью и скоростью работы, которая оказывается ниже потенциально возможной скорости для сети данного типа. Эти проблемы могут возникнуть также в будущем при подключении нового оборудования, установке нового ПО или при подключении данной сети к другой. Испытывающие дискомфорт из-за замедления часто выполняемых операций пересылки файлов или при сетевой печати, конечные пользователи обращаются к сетевому администратору. Возможными причинами возникновения указанных проблем являются [18, 35]:

- Недостатки используемого ПО и аппаратного обеспечения;

- Неправильная настройка сетевых ОС;

- Неисправности в кабельной системе;

- Неисправности на уровне сетевых протоколов из-за несовместимости или неисправности сетевых устройств или их неверной настройки;

- Неправильная организация локальной сети, например, недостаточное сегментирование в сетях типа Ethernet, приводящее к возникновению дополнительных коллизий пакетов.

Недостатки используемого ПО проще устранить его заменой (переходом к более апробированной, может быть, предыдущей версии), чем в случае более дорогостоящего аппаратного обеспечения, которое может образовывать так называемый эффект «бутылочного горлышка» (bottleneck). Это означает, что один из компьютеров в сети (в том числе сервер) или какое-либо сетевое устройство по своим характеристикам уступает другим компьютерам или устройствам и «тормозит» работу сети в целом. В этом случае необходима модернизация (upgrade) или замена устройства.

Актуальность оптимизации параметров сетевых ОС связана с тем, что начальные настройки (настройки по умолчанию) этих параметров могут не соответствовать конфигурации и интенсивности передаваемых по сети данных (трафику). Простейшим доступным средством проверки целостности соединений в сети является использование команды ping, которая работает в ОС UNIX, OS/2 и версиях Windows. Команда ping проверяет состояние соединения с другим компьютером или компьютерами, посылая эхо-пакеты и анализируя полученные ответы. Для работы этой команды требуется поддержка сети Интернет, то есть протоколов TCP/IP. В рамках локальной сети использование команды ping (с IP - адресом удаленного компьютера в качестве параметра) позволяет, кроме проверки наличия соединения, установить время отклика и выявить узкие места в сети.

Для поиска неисправностей в кабельной системе применяются также стандартные и специальные приборы - от простейших тестеров для определения обрывов и коротких замыканий в медных кабелях до сетевых анализаторов, предназначенных для эталонного тестирования кабелей различных категорий. Промежуточное положение по сложности занимают кабельные сканеры, позволяющие по анализу отраженных от неоднородностей сигналов определять место и тип неисправности, а также портативные устройства для сертификации кабельных систем. Аналогичные приборы разработаны для поиска неисправностей в кабельных системах на основе оптоволокна. Если предыдущие проверки не позволили выявить неисправности, то приходится предположить существование проблем на уровне сетевых протоколов. Анализ сетевых протоколов требует высокой квалификации от специалиста, который этим занимается, а также применения специфического оборудования - анализаторов протоколов. Анализатор протоколов в общем случае представляет собой аппаратно-программный комплекс, физически подключаемый к сети и перехватывающий данные с целью декодирования и анализа некоторых из них. Общий подход к использованию анализаторов протоколов состоит в измерении некоторых количественных и качественных показателей работы сети, анализе вероятных ошибок и выработке рекомендаций по изменению параметров конфигурирования и модификации рабочих станций и файл-сервера, а также настройке приложений. Примерами такого рода рекомендаций является установка новых версий драйверов сетевых адаптеров, исключение несовместимых форматов пакетов и регулировка длины пакетов.

1.4.5 Выводы по разделу

Добиться минимальных затрат на сеть можно только тщательно продумав все варианты структуры сети, включая возможности современных технологий по организации беспроводной связи или соединений через электросеть и телефонные линии. Так что при построении сети как никогда справедлив общий принцип - «Сем раз отмерь, один - отрежь», поскольку раз проложенную кабельную систему переделать весьма непросто, и тщательное планирование позволит нам избежать лишних потерь.

1.5 Выводы по главе

В России пока существенно меньше ноутбуков и мобильных телефонов, чем в западных странах, но благодаря новым беспроводным технологиям наша страна имеет шанс совершить мощный скачок и стать на один уровень с наиболее развитыми странами. Как ни парадоксально, предпосылкой для такого скачка является тот факт, что Россия не делала колоссальных инвестиций в создание проводной инфраструктуры и может сразу начать внедрение самых современных беспроводных сетей. С их помощью можно не только дать доступ в Интернет малому бизнесу, школам, университетам во всех уголках России, но и обеспечить корректную работу крупных предприятий и компаний.

2 Проектирование беспроводной сети для управляющей компании «ЭКС»

2.1 Техническое задание

Назначение и цели создания

В целях обеспечения надежной и бесперебойной работы офисного помещения группы компаний «ЭКС» (г.Пермь), необходимо спроектировать и построить беспроводную сеть Wi-Fi на базе оборудования Cisco, предусматривающую возможность масштабирования, обеспечивающую высокую надежность.

Общие требования

Необходимо спроектировать беспроводную сеть Wi-Fi на базе оборудования Cisco.

- Сеть Wi-Fi на базе оборудования Cisco должна быть:

- разработана и реализована с использованием современных технологических решений, соответствовать существующим нормам и стандартам;

- обладать совместимостью с современными технологиями;

- обладать возможностями быстрого адаптирования к изменяющейся ИТ-среде и масштабируемостью без изменения базовой концепции в процессе всего цикла эксплуатации;

- использовать стандартные компоненты и материалы;

- обеспечивать необходимый уровень безопасности;

- обеспечивать возможность удаленного мониторинга, непосредственного и удаленного управления сетью;

- обеспечивать возможность уведомления ответственного персонала в случае нарушения параметров окружающей среды, функционирования отдельных модулей.

Проект по оснащению складского помещения беспроводной сетью Wi-Fi на базе оборудования Cisco:

11. Вводные данные

1.1. Назначение

Беспроводная сеть Wi-Fi офисного помещения блока «С» ТРК «Семья» г.Пермь предназначена для обеспечения непрерывной круглосуточной организации работы мобильных пользователей и рабочих мест.

1.2. Заказчик

Управляющая компания «ЭКС»

1.3. Место расположения объекта

ул. Революции, 13; блок «С»

1.4. Вид строительства

Необходимо провести работы по инсталляции и конфигурации активного сетевого и коммуникационного оборудования, систем беспроводного доступа на основе автономных точек.

1.5. Этапы построения Wi Fi сети

1 этап: Проектирование Wi Fi сети:

- Разработка плана сегментации ЛВС;

- Разработка детальной схемы сети;

- Подготовка рабочей документации;

- Согласование рабочей документации и разработанной схемы с ответственными представителями Заказчика.

2 этап: Создание Wi Fi сети:

- Выполнение монтажных работ;

- Настройка оборудования;

- Размещение Wi-Fi оборудования для полноценного покрытия всех помещений.

- Приемо-сдаточные испытания;

- Сдача системы в промышленную эксплуатацию;

- Оформление документации.

- Заказчик оставляет за собой право внесения изменений в требования в процессе проведения переговоров в соответствии с изменениями в требованиях бизнеса, а также в связи с возможными техническими и экономическими изменениями.

Функциональные требования к беспроводной сети

1. Беспроводная сеть Wi-Fi офисного помещения блока «С» ТРК «Семья» г.Пермь предназначена для обеспечения непрерывной круглосуточной организации работы мобильных пользователей и рабочих мест.

2. Количество беспроводных точек доступа и тип антенн определить в ходе проектирования, учитывая количество пользователей и зону охвата беспроводной сетью.

3. Беспроводная сеть должна обеспечить физический и транспортный уровень к центральным устройствам и средствам отображения информации.

4. Оборудование и ПО управления беспроводной сетью расположить в серверных комнатах блока «С» № 318 и № 203.

5. В ЭКУ спроектировать бесперебойное питание коммутаторов и точек доступа.

6. Оборудование беспроводной сети должно обеспечивать коммутацию кадров Ethernet с использованием интерфейса RadioEthernet стандарта 802.11 b/g|n, поддерживать организацию VLAN, приоритезации трафика по технологии QoS, иметь функцию удалённого доступа для мониторинга и конфигурации.

7. Отказоустойчивость системы должна быть спроектирована таким образом, чтобы на случай выхода из строя или необходимости ремонта были предусмотрены запасные компоненты или процедуры, которые немедленно начинают действовать, обеспечивая непрерывность предоставления сервисов. Отказоустойчивость может быть обеспечена с помощью программных, или аппаратных средств, или с помощью их комбинации.

2.2 Разработка структурной и функциональной схемы беспроводной сети для управляющей компании «ЭКС»

Технологии беспроводной передачи данных сегодня прочно вошли в жизнь каждого предприятия. Современные беспроводные сети позволяют решать множество задач: от организации сети внутри помещения, Hot-Spot-ов - до распределенных сетей масштаба города, региона и даже целого государства. Низкая стоимость, быстрота развертывания, широкие функциональные возможности по передаче трафика данных, IP-телефонии, видео, - все это делает беспроводную технологию одним из самых быстрорастущих телекоммуникационных направлений.

При разработке предлагаемой архитектуры WLAN, являющейся частью корпоративной сети, используя современные методы, технологии и устройства [26, 31], преследовалась цель наилучшим образом достичь баланса между следующими основными характеристиками и возможностями сети, необходимыми для выполнения бизнес-требований и поддержки бизнес-приложений:

- Высокая доступность сети (high availability) на уровне не хуже 99,99%

- Высокоскоростная коммутация пакетов

- Качество обслуживания пользователей и приложений (QoS)

- Управление на основе правил (policy-based management)

- Интеграция с сервисами каталогов (directory-enabled networking)

2.2.1 Выбор технологии построения сети WLAN для управляющей компании «ЭКС»

Cisco Unified Wireless Network [9] является единственным решением в отрасли, объединяющим проводные и беспроводные сети, предназначенные для экономичного решения задач обеспечения безопасности, управления и контроля, с которыми сталкиваются компании. Это решение соединяет лучшие элементы проводных и беспроводных сетей для создания безопасных сетей WLAN с возможностью масштабирования, которые характеризуются низкой общей стоимостью владения.

Поддержание безопасности сетей

Компания Cisco Systems является лидером отрасли по обеспечению безопасности корпоративных WLAN, соответствующих стандартам, со следующими характеристиками:

- 802.11i, 802.1X, защищенный доступ Wi-Fi (WPA), WPA2, усовершенствованный стандарт шифрования (AES) и виртуальные частные сети мобильной связи (VPN);

- Надежная система предотвращения вторжений в сеть WLAN (IPS) для обнаружения и снижения риска доступа с помощью посторонних устройств, незарегистрированных клиентских устройств и других сетей;

- Приложение Network Admission Control (NAC - контроль доступа в сеть), которое позволяет гарантировать, что все проводные и беспроводные оконечные устройства, имеющие доступ к сетевым ресурсам, защищены от атак надлежащим образом;

- Одновременное отслеживание в режиме реального времени состояния безопасности тысяч устройств Wi-Fi, ценных ресурсов и оказание мощной поддержки бизнес-стратегии.

Упрощенное управление сетью

Удобные для пользователей решения от Cisco по управлению сетями WLAN снижают стоимость их эксплуатации и технического обслуживания. Эти услуги интегрированы непосредственно в инфраструктуру сетей WLAN и предоставляют администраторам сетей следующие возможности:

- Наглядный динамический контроль состояния радиооборудования в реальном времени;

- Улучшенные возможности масштабирования сети, повышенная надежность

- Улучшенные возможности поиска и устранения неисправностей;

- Автоматическая конфигурация, оптимизация и устранение неисправностей беспроводной сети;

Обеспечение услуг мобильным пользователям

Приложение Cisco Unified Wireless Network является экономичным решением для поддержки новых приложений сетей мобильной связи, новых технологий Wi-Fi и усовершенствованных возможностей по выявлению и отражению угроз. Оно поддерживает такие современные функции, как беспроводный VoIP, определение местонахождения абонента и гостевой доступ.

2.2.2 Решение Cisco Unified Wireless Network

Беспроводные локальные сети первого поколения, использующие автономные точки доступа, считались достаточно удобными сетями. Однако, с момента появления первых сетей WLAN многое изменилось. Сегодня базовых возможностей подключения к сети уже недостаточно. Компаниям необходимы сети с повсеместным беспроводным покрытием, охватывающие целиком все здания предприятия. Такие сети WLAN должны, с одной стороны, поддерживать мобильные услуги - голосовую связь, гостевой доступ, позиционирование и мощные системы обнаружения вторжений в беспроводную сеть (Wireless Intrusion Prevention Systems, WIPS), а с другой - поддерживать упрощенный механизм развертывания и администрирования и обеспечивать достаточный уровень масштабируемости. Иными словами, компаниям нужны сети WLAN, не связанные ограничениями [31].

Чтобы реализовать указанные возможности и избавиться от описанных выше ограничений, необходима унифицированная сеть WLAN, обладающая централизованной инфраструктурой и построенная на базе облегченных точек доступа, подключенных к контроллерам беспроводных локальных сетей. Все это есть в решении Cisco Unified Wireless Network.

беспроводный корпоративный сеть cisco

2.2.2.1 Масштабируемость

Потребность в масштабируемости и дополнительных услугах для беспроводной сети не является чем-то новым. Например, операторы сотовых сетей фактически смогли решить многие проблемы, связанные с масштабированием беспроводных сетей. Изначально беспроводные сотовые сети представляли собой сочетание сотовых вышек, реализующих базовые функции покрытия. В то время существовали протоколы, управляющие передачей вызова от одной вышки к другой, но эти протоколы не отличались достаточной надежностью - разговоры без обрывов связи тогда были исключительными явлением [5].

Сотовым операторам было необходимо решение, которое бы позволило пользователям продолжать разговор в процессе роуминга между станциями; кроме того, операторам была нужна платформа для развертывания дополнительных услуг. Ответом на эти запросы стал новый сетевой элемент, именуемый контроллером базовой станции.

В сотовых сетях контроллер базовой станции координировал работу группы радиовышек. В частности, при перемещении абонента мобильной сети от одной вышки к другой координацию роуминга этого абонента осуществлял контроллер базовой станции. Появление указанного сетевого элемента позволило повысить стабильность вызовов в сотовой сети и снизить число обрывов соединений.

Модель контроллера сотовой базовой станции можно применить и к сетям 802.11 WLAN. Вместо управления множеством разрозненных автономных точек доступа операторы управляют облегченными точками доступа с помощью централизованного устройства - контроллера беспроводной локальной сети [3, 32].

2.2.2.2 Централизация

Следуя путем сотовых операторов, Cisco Systems впервые реализовала механизм централизации WLAN и создала первую в отрасли унифицированную платформу для внедрения дополнительных услуг в беспроводных локальных сетях. Ключевым аспектом унифицированной архитектуры Cisco, названной Cisco Unified Wireless Network, является доставка данных от облегченной точки доступа по сети к контроллеру беспроводной локальной сети [1, 2].

Cisco предлагает целый ряд контроллеров беспроводных локальных сетей, реализующих функции централизации беспроводных локальных сетей. В частности, Cisco предлагает автономные контроллеры корпоративного класса для беспроводных локальных сетей, которые полностью интегрируются в сетевую инфраструктуру. Это Cisco Wireless LAN Controller серии 4400 и Cisco Wireless LAN Controller серии 2000, а также модуль Wireless Services Module (WiSM) для коммутатора Cisco Catalyst серии 6500 и модуль Cisco Wireless LAN Controller Module (WLCM) для маршрутизаторов с интегрированными сервисами.

Разработка нового протокола централизации для беспроводных локальных сетей Для транспорта данных и обеспечения связи между облегченными точками доступа и контроллером беспроводной локальной сети потребовался новый протокол. Этот протокол должен был отвечать следующим требованиям:

- Простота внедрения. Вместо использования каналов VLAN к централизованным контроллерам данный протокол должен "уметь" преодолевать границы подсетей.

- Безопасность внедрения. Простое физическое подключение точки доступа к сети еще не означает, что эта точка должна получить полный доступ к сети. Для аутентификации всех точек доступа, подключенных к сети, нужен специальный протокол.

- Контроль в реальном времени за работой точки доступа. После установки точки доступа, прохождения ею аутентификации и подключения ее к контроллеру необходимо установить контроль за работой точки доступа в реальном времени, позволяющий управлять ее функциональностью и развертыванием мобильных услуг. Для решения этой задачи также нужен специальный протокол.

- Расширяемость протокола. Этот протокол должен работать на огромном количестве платформ, начиная от модулей, установленных в шасси крупных коммутаторов Ethernet, до объединяемых в стек устройств, маршрутизаторов и любых других сетевых элементов.

- Расширяемость транспорта. Несмотря на то, что сети обычно работают по каналам Ethernet, этот протокол должен «уметь» работать по низкоскоростным соединениям WAN и даже по беспроводным каналам (например, в случае ячеистой (mesh) беспроводной сети).

При разработке нового коммуникационного протокола Cisco проанализировала множество возможных вариантов. В частности, в качестве кандидата рассматривался протокол Generic Routing Encapsulation (GRE), но GRE не поддерживает видимость «родных» пакетов уровня 2, а это требование является обязательным при создании защищенных сетей WLAN. Рассматривался также и протокол SNMP, поскольку он предлагает необходимые команды и средства контроля для управления точкой доступа, однако в силу своей громоздкости SNMP никак не подходил на роль идеального кандидата.

После рассмотрения других протоколов Cisco решила разработать новый протокол - Lightweight Access Point Protocol (LWAPP), поддерживающий информацию о пакетах как уровня 2, так и уровня 3.

2.2.2.3 Что такое LWAPP

LWAPP представляет собой прародителя стандарта Internet Engineering Task Force (IETF). LWAPP стандартизирует протокол связи между облегченными точками доступа, с одной стороны, и системами WLAN, такими как контроллеры, коммутаторы и маршрутизаторы - с другой. Этот стандарт преследует следующие цели:

- Сократить объем вычислений на точках доступа, чтобы сконцентрировать вычислительные ресурсы последних исключительно на организации беспроводного доступа и освободить их от такой нагрузки, как фильтрация и применение политик;

- Обеспечить централизованную обработку трафика, аутентификацию, шифрование и соблюдение политик для всей системы WLAN;

- Обеспечить универсальный механизм инкапсуляции и транспорта для достижения совместимости между точками доступа различных производителей, использующих как инфраструктуру уровня 2, так и маршрутизируемые сети IP.

Спецификация LWAPP решает эти задачи посредством регламентирования перечисленных ниже процедур:

- обнаружение точки доступа, обмен информацией с ней и ее настройка;

- сертификация точки доступа и программное управление ею;

- инкапсуляция, фрагментация и форматирование пакетов;

- управление связью между точками доступа и беспроводными контроллерами.

2.2.3 Техническое решение

2.2.3.1 Вариант построения централизованной системы

В качестве точек доступа выбраны «облегченные» (lightwieght) модели AIR-AP1261N-x-K9, которые имеют разъемы для подключения внешних антенн.

«Облегченная» (lightwieght) точка доступа Cisco Aironet серии 1260 представляет собой двухдиапазонную точку доступа, поддерживающую стандарт 802.11 a/b/g/n и не требующую вмешательства оператора в процессе настройки и эксплуатации. Она может служить в качестве защищенного, экономичного средства доступа к беспроводной сети и поддерживает мощные сервисы WLAN для корпоративных сетей. Предлагаемая «облегченная» точка доступа поддерживает передовые радиочастотные функции и допускает различные варианты установки. Это позволяет повысить уровень производительности, защищенности, надежности и масштабируемости беспроводной сети. Это устройство не только удовлетворяет эксплуатационным требованиям для самых сложных корпоративных сред, но и превосходит их.

Точка доступа Cisco Aironet серии 1260 функционирует в сочетании с контроллером беспроводной сети Cisco (Cisco Wireless LAN Controller) и опциональной системой Cisco Wireless Control System (WCS). Это позволяет обеспечить одновременное выполнение функций пересылки данных и мониторинга за состоянием эфира. Помимо доставки трафика данная точка доступа реализует также функции управления радиочастотами в реальном времени и защиты от вторжений. Это решение избавляет от необходимости использовать дополнительные выделенные узлы мониторинга, что позволяет сократить затраты, связанные с развертыванием сети WLAN, и упростить ее архитектуру. Поддержка Cisco Aironet серии 1260 протоколов Wi-Fi Protected Access (WPA) и 802.11i/WPA2 позволяет реализовать совместимую с другими устройствами схему безопасности сети WLAN корпоративного класса.

Устанавливаются 6 точек модели AIR-AP1261N-E-K9, которые подключаются к портам существующих коммутаторов. В локальную сеть предприятия включается контроллер Cisco 2100 Series Wireless LAN Controller AIR-WLC2106-K9.

Контроллеры Cisco Wireless LAN работют совместно с Cisco Aironet и точками доступа Cisco Wireless Control System (WCS) для обеспечения общесистемной функции беспроводных локальных сетей. Являясь компонентом системы Cisco Unified Wireless Network, Cisco серии 2100 позволяет администраторам безопасно управлять сетями WLAN и мобильных услугами, такими, как повышение безопасности, голосовой связи, гостевого доступа и расположения служб. Cisco 2100 Series Wireless LAN контроллеры поддерживают до 6, 12 или 25 точек доступа, что делает ее экономически эффективными решениями для розничной торговли, предприятий отрасли, а также малого и среднего бизнеса. Эти контроллеры с восемью портами Ethernet, два из которых могут подавать питание непосредственно на точки доступа Cisco.

Эти контроллеры являются частью сертифицированной архитектуры Payment Card Industry (PCI), и хорошо подходят для розничных клиентов, кто размещает данные транзакционных приложений, таких как сканеры и киоски. Со скоростью передачи до 100 Мбит / с, Cisco 2100 Series Wireless LAN контроллеры также позволят малым и средним филиалам развернуть такие приложения, как гостевой доступ и мобильный голос.

Таблица 2. Особенности и преимущества

Особенности	Преимущества
8 портов 10/100 Ethernet	Содержит восемь портов 10/100 Ethernet, предназначенных для поддержки комбинаций точек доступа и дублирования LAN uplinks
Power-over-Ethernet Порты	2 из 8ми портов 10/100 Ethernet поддерживают 802.3af Power over Ethernet (PoE) для подачи питания на точки доступа
Маленький форм фактор	Удобно для настольного монтажа или монтажа в стойку.
Расширенная Безопасность	Расширенная безопасность покрытия для крупных магазинов и складов
PCI арфитектура	Поддерживает PCI-сертифицированную архитектуру для розничных клиентов
Поддерживает 802.11n	Предлагает надежный охват 802,11 B/G и обеспечивает беспрецедентную надежность с помощью Cisco 802.11n и следующих поколений беспроводных решений Cisco Enterprise Wireless Mesh.

2.2.4 Сервер контроля безопасного доступа Cisco Secure Access Control Server

Сервер контроля безопасного доступа Cisco Secure Access Control Server (ACS) для Windows обеспечивает централизованную организацию сетевой идентификации и упрощает управление пользователями на всех устройствах Cisco и приложениях управления безопасностью. Cisco Secure ACS помогает гарантировать применение назначенной политики, позволяя сетевым администраторам контролировать:

- у кого есть возможность входа в сеть;

- какие права доступа имеет каждый пользователь в сети;

- запись аудита безопасности или биллинговую информацию по учетным записям;

- средства управления доступом и команды управления, которые доступны администратору каждой конфигурации.

Cisco Secure ACS -- основной компонент решений по сетевой безопасности в системах доверительных отношений и идентификации Cisco. Он расширяет безопасный доступ, объединяя аутентификацию, пользовательский и административный доступ и управление политиками на базе централизованной сетевой инфраструктуры идентификации, что обеспечивает дополнительную гибкость и мобильность, повышая уровень безопасности и увеличивая результативность работы пользователей.

С Cisco Secure ACS вы можете осуществлять управление и администрирование пользовательским доступом для маршрутизаторов Cisco IOS, устройств VPN, межсетевых экранов, коммутируемых и DSL-соединений, решений по проводному доступу, устройств хранения, контента, телефонии на базе IP (VoIP), беспроводных решений Cisco и коммутаторов Cisco Catalyst с применением контроля доступа по стандарту IEEE 802.1X. Cisco Secure ACS является также важным компонентом системы Cisco Network Admission Control (NAC). Это отраслевая инициатива под патронажем Cisco Systems, в которой сетевая инфраструктура используется для проверки соответствия политике безопасности всех устройств, которые стремятся получить доступ к вычислительным ресурсам сети. Cisco Secure ACS является точкой назначения политики в системах NAC, здесь выполняется проверка учетных записей, определение состояния хоста и отправка для каждого пользователя авторизаций на устройства доступа в сеть.

2.2.4.1 Новые возможности

- Автоматический мониторинг сервисов, синхронизация базы данных и импорт инструментальных средств для крупномасштабных развертываний.

- Поддержка аутентификации Lightweight Directory Access Protocol (LDAP), Open Database Connectivity (ODBC), One-Time Password (OTP).

- Гибкая поддержка 802.1X типов аутентификации, включая Extensible Authentication Protocol Transport Layer Security (EAP-TLS), Protected EAP (PEAP), Cisco LEAP, EAP-Flexible Authentication via Secure Tunneling EAP (EAP-FAST), и EAP-Message Digest Algorithm 5 (EAP-MD5).

- Загружаемые списки контроля доступа (ACL) для любого устройства уровня 3, включая маршрутизаторы Cisco, межсетевые экраны Cisco PIX и Cisco VPN.

- Управление авторизацией при администрировании устройств.

- Ограничения на доступ в сеть.

- Отчеты о пользовательском и административном доступе.

- Создание динамических ограничений.

- Ограничения, например по времени суток и дням недели.

- Профили групп пользователей и устройств.

- Политики на основе сервисов.

- Поддержка закона Sarbanes-Oxley.

2.2.5 Решения по безопасности беспроводной сети

На сегодняшний день в рамках концепции Cisco Unified Wireless Network компания Cisco предлагает систему безопасности для корпоративных сетей WLAN, предоставляющую следующие возможности для беспроводных продуктов Cisco, продуктов Cisco Aironet и совместимых с Cisco клиентских устройств WLAN.

- Поддержка стандарта IEEE 802.11i.

- Поддержка сертификатов безопасности Wi-Fi Alliance - Wi-Fi Protected Access (WPA) и Wi-Fi Protected Access 2 (WPA2).

- Мощная двусторонняя аутентификация и управление динамическими ключами шифрования благодаря поддержке IEEE 802.1X.

- Шифрование данных с помощью алгоритмов Advanced Encryption Standard (AES) или Temporal Key Integrity Protocol (TKIP).

- Самая широкая на рынке поддержка типов аутентификации 802.1X, клиентских устройств и клиентских операционных систем.

- Подавление активных и пассивных сетевых атак.

- Интеграция с решениями Cisco Self-Defending Network и Network Admission Control (NAC).

- Возможности системы предотвращения сетевых вторжений (Intrusion Prevention System, IPS) и слежения за перемещением абонента - прозрачное представление сети в реальном времени.

- Конвергенция безопасности внутренней и внешней сетей Wi-Fi благодаря решению для полносвязанной беспроводной сети Cisco.

Компания Cisco, лидер и движущая сила развития беспроводных сетей, уже позволила сетевым администраторам дать пользователям ту степень свободы, которую они заслуживают - без ущерба для сетевой безопасности, которая им необходима.

2.2.5.1 Защита от вторжений

Сетевым администраторам необходимо обеспечить конечным пользователям свободу и мобильность, при этом не давая взломщикам доступа ни к самой сети WLAN, ни к информации, передаваемой по беспроводной сети. С помощью WLAN данные передаются по воздуху с помощью радиоволн между клиентскими устройствами (или рабочими станциями) и точками доступа - оконечными устройствами WLAN в сети Ethernet, связывающими станции с самой сетью. Таким образом, любое клиентское устройство WLAN в зоне обслуживания точки доступа обменивается данными с точкой доступа [19].

Поскольку радиоволны проникают сквозь крыши, полы и стены, передаваемые данные могут быть получены не теми, кому они предназначались - на других этажах и даже снаружи здания, обслуживаемого точкой доступа. С появлением WLAN границы у сетей исчезли. Без введения строгой политики безопасности развертывание сети WLAN можно сравнить с повсеместной установкой Ethernet-портов, даже на стоянке автотранспорт.

Помимо этого, рядом исследовательских обзоров и статей подчеркивались уязвимости ключей Wired Equivalent Privacy (WEP), используемых для шифрования и дешифрования передаваемых данных. Взломщики могут обладать доступом к таким средствам взлома WEP-ключей, как AirSnort, позволяющим атакующему пассивно отслеживать и анализировать пакеты данных, а затем при помощи этих данных взломать WEP-ключ, шифрующий передаваемые пакеты.

Сетевым администраторам требуется максимальная уверенность в существовании решений для защиты их сетей WLAN от подобных уязвимостей и в способности сетей WLAN обеспечить уровень безопасности, управляемости и масштабируемости, идентичный предлагаемому проводными локальными сетями.