_WELCOMETO Radioland

Главная Схемы Документация Студентам Программы Поиск Top50  
Поиск по сайту



Навигация
Главная
Схемы
Автоэлектроника
Акустика
Аудио
Измерения
Компьютеры
Питание
Прог. устройства
Радио
Радиошпионаж
Телевидение
Телефония
Цифр. электроника
Другие
Добавить
Документация
Микросхемы
Транзисторы
Прочее
Файлы
Утилиты
Радиолюб. расчеты
Программирование
Другое
Студентам
Рефераты
Курсовые
Дипломы
Информация
Поиск по сайту
Самое популярное
Карта сайта
Обратная связь

Студентам


Студентам > Дипломные работы > Корпоративные сети

Корпоративные сети

Страница: 7/12

Но на полную одномоментную замену оборудования TokenRing решится мало предприятий, поэтому в условиях необходимости сосуществования со старыми сетями TokenRing технология 100VG-AnyLAN может найти свое место.

Гигабитные сети 1000VG

Комитет 802.12, ведомый специалистами компании Hewlett-Packard, также ведет работы по разработке варианта этой технологии для скорости передачи данных в 1 Гигабит в секунду. Вариант этой технологии также ориентируется на физический уровень стандарта FibreChannel, а в качестве метода доступа предполагается использовать метод DemandPriority.

К энтузиастам перевода технологии VG на гигабитные скорости относятся также компании CompaqComputer, TexasInstrument и Motorola.

2.5. Выбор технологии для построения магистрали крупной локальной сети

Магистраль крупной локальной сети - это очень ответственный участок, во многом определяющий все свойства сети в целом. Причина - через магистраль проходят все основные пути взаимодействия между сетями рабочих групп, отделов и подразделений в том случае, если требуемые клиенту ресурсы находятся за пределами сети его рабочей группы, отдела и т.п. Применение технологии Intranet, поиск нужной информации в Internet приводят к тому, что все чаще и чаще нужные пользователю ресурсы находятся за пределами его сегмента сети, а это в свою очередь резко повышает интенсивность трафика, проходящего через магистраль сети. У разных клиентских сессий могут быть существенно разные требования к качеству обслуживания - интерактивное телевидение предъявляет самые жесткие требования к задержкам и вариации задержек предаваемых пакетов при постоянной скорости обмена, передача больших графических файлов менее чувствительна к задержкам передачи отдельных пакетов, но требует большой пропускной способности и быстрой реакции магистрали на значительные пульсации трафика.

Резко возросшие объемы передаваемых данных и разнородность требований клиентов к качеству обслуживания делают реализацию магистрали современной корпоративной локальной сети очень непростой задачей. Сегодня у администратора такой сети имеется несколько вариантов ее решения:

  • улучшение традиционной схемы построения магистрали на основе колец FDDI с подсетями, подключенными через маршрутизаторы, за счет применения высокопроизводительных маршрутизаторов нового поколения, отличающихся внутренним параллелизмом операций и ускоренной передачей долговременных потоков данных;
  • использование на магистрали стандартной технологии АТМ;
  • использовании на магистрали технологий ускоренной передачи IP-трафика через нестандартные коммутаторы АТМ, например, технологии IPswitching компании Ipsilon;
  • применение на магистрали технологии GigabitEthernet.

2.5.1. Построение магистрали с использованием технологии FDDI и высокопроизводительных маршрутизаторов

Этот вариант связан с сохранением существующей магистрали, построенной как правило на технологии FDDI, и подключением подсетей с помощью традиционных маршрутизаторов. У этого решения имеется два узких места - сама скорость технологии FDDI в 100 Мб/c и значительные задержки, создаваемые маршрутизаторами при обработке пакетов. Если скорость в 100 Мб/c сама по себе достаточна для передачи в среднем всего магистрального трафика, то сейчас существуют решения, позволяющие ускорить работу маршрутизаторов, а значит и оставить общую структуру магистрали в неизменном виде, не применяя каких-либо революционных решений. Ускорение же работы маршрутизаторов многие производители обеспечивают двумя способами. Во-первых, за счет распараллеливания обработки пакетов мультипроцессорными маршрутизаторами, подобными Cisco 7500 или BayNetworksBCN, или переноса процедур маршрутизации с процессорного уровня на уровень заказных БИС (ASIC), как это сделано в маршрутизаторе GRF 400 компании AscendCommunications, способном обрабатывать около 2.8 миллионов IP-пакетов в секунду.

Во-вторых, за счет сокращения числа операций при маршрутизации пакетов, образующих в сети стабильные потоки данных - dataflow. Многие производители разработали и внедрили в свои маршрутизаторы частные схемы, у которых есть общая черта - они выявляют в сети долговременные соединения между двумя определенными узлами и приложениями, кэшируют маршрутную информацию, необходимую для обработки пакетов каждого потока, а затем не тратят много времени на обработку каждого пакета потока, так как такой пакет помечается на входе магистрали специальной меткой потока, а все маршрутизаторы магистрали оказываются уже настроенными на обработку помеченных пакетов без необходимости анализа IP-заголовка пакета и просмотра всей таблицы маршрутизации. Примером такого частного решения является техника NetFlow компании Cisco, которая позволяет ускорить обработку потоков данных не только для протокола IP, но и других протоколов, например, IPX.

2.5.2. Построение магистрали на основе технологии АТМ

Данный вариант построения магистрали основан на переходе в магистрали сети к такой новой технологии как АТМ. В этом случае магистраль будет обладать не только более высокой скоростью по сравнению с вариантом, основанным на FDDI, но и очень хорошей масштабируемостью, так как большинство коммутаторов АТМ для локальных сетей имеют интерфейсы не только 155 Мб/с, но и 622 Мб/c, а в недалеком будущем возможно появление интерфейсов и в 1.28 Гб/c - стандарт АТМ поддерживает всю иерархическую лестницу скоростей технологии SONET/SDH. Кроме иерархии скоростей, позволяющей модернизировать магистраль без замены оборудования, АТМ обладает наиболее развитым на сегодняшний день механизмом поддержания требуемого качества обслуживания для трафика разного типа, от голосового трафика и трафика видеоконференций с постоянной битовой скоростью до пульсирующего трафика Web-узлов с гарантированной средней пропускной способностью.

Однако, переход на магистрали к АТМ требует замены традиционных коммутаторов и маршрутизаторов с интерфейсами Ethernet, FastEthernet или FDDI на коммутаторы АТМ со сложной системой сигнализации и существенно более высокой стоимостью за порт. Такой переход требует как значительных инвестиционных вложений, так и обучения обслуживающего сеть персонала. Кроме того, сегодня до конца не решена проблема взаимодействия магистрали АТМ с подсетями, работающими на основе традиционных протоколов локальных сетей. В этой области определенно ощущается недостаток стандартов, на основе которых могло бы работать в одной сети оборудование разных производителей. Два стандарта из этой области - LANE и ClassicalIP - только частично решают проблему. Спецификация LANE (LANEmulation) превращает магистраль, построенную из АТМ коммутаторов в распределенный коммутатор, поддерживающий традиционные протоколы локальных сетей, например, Ethernet или FDDI. Но это не решает проблемы работы через магистраль подсетей, подключенных через маршрутизаторы, так как механизмы LANE работают на канальном уровне. Отказ от маршрутизаторов при создании магистрали крупной сети невозможен, так как надежная защита от широковещательного шторма, а также решение некоторых других проблем только средствами канального уровня невозможно - это известный факт, подтверждающийся опытом эксплуатации локальных сетей, построенных только на коммутаторах.

Стандарт ClassicalIP описывает работу маршрутизаторов через магистраль АТМ только для протокола IP. Кроме того, он был разработан достаточно давно как первый вариант механизма сосуществования маршрутизируемых сетей и сетей АТМ, и потому не решает всех задач автоматизации процесса работы маршрутизатора через сеть, не поддерживающую широковещательность.

Спецификация MPOA (MultiprotocolOverATM), которая должна определить, как должны работать многопротокольные маршрутизаторы через магистраль АТМ и быть одновременно совместимой с LANE, пока все еще не нашла окончательного одобрения в ATMForum из-за несовместимости позиций некоторых ключевых участников согласительного процесса, таких, например, как Cisco и BayNetworks.

Даже при наличии стандарта на работу многопротокольных маршрутизаторов через АТМ и достаточной производительности самих маршрутизаторов, особенности работы системы сигнализации коммутаторов АТМ затрудняют сегодня использование АТМ в качестве магистрали крупной локальной сети. Эти особенности, описанные выше, приводят к слишком большому времени установления новых соединений на магистрали, измеряемому единицами милисекунд.

2.5.3. Применение на магистрали методов ускоренной передачи IP-трафика типа IP switching и tag switching

Для устранения замедления работы магистрали, вносимого коммутаторами АТМ при установлении и разрыве динамических виртуальных соединений (SVC), компания Ipsilon предложила свой собственный подход использования технологии АТМ, названный ею IP-switching, который затем подхватили и развили многие компании, породив большое количество частных и несовместимых решений (Tag-switching компании Cisco, ARIS компании IBM и т.п.). Все вместе эти решения позволяют говорить о третьем вариантепостроения магистрали.

Этот вариант связан с нестандартным способом работы коммутаторов АТМ. Формат ячеек АТМ, способы разбиения пакетов на ячейки и последующей сборки ячеек в пакеты локальных сетей, а также использование небольшого поля номера виртуального канала VPI/VCI для принятия коммутатором решения о передаче ячейки с порта на порт остаются теми же. Изменяется способ прокладки нового виртуального соединения через сеть АТМ. Для этого не требуется прохождение запроса через все коммутаторы на пути нового виртуального канала. Каждый коммутатор строит таблицу номеров VPI/VCI для продвижения ячеек через свои порты относительно автономно от других коммутаторов, так что для образования виртуального пути не требуется согласия всех коммутаторов, через которые он проходит. Процесс создания таблиц VPI/VCI может быть растянут во времени, так что часть коммутаторов уже готова к быстрой коммутации ячеек нового виртуального пути, а часть - еще нет.

Виртуальные пути прокладываются через магистраль только для долговременных потоков пакетов данных. Для одиночных пакетов, которые не образуют потока (например, для пакетов сервиса DNS), коммутаторы АТМ работают как обычные IP-маршрутизаторы, то есть обрабатывают каждый пакет в соответствии с его IP-заголовком и просматривают обычную таблицу маршрутизации для принятия решения о продвижении пакета через сеть АТМ. Как только коммутатор выявляет устойчивый поток, проходящий через его порты, он устанавливает для него новое виртуальное соединение и присваивает ему новый адрес VPI/VCI. Затем все пакеты, приходящие в пограничный АТМ-коммутатор магистрали, при разбиении на ячейки АТМ помечаются этим адресом VPI/VCI и коммутируются без задержек на выполнение маршрутизации всеми коммутаторами магистрали АТМ, встречающимися на пути маршрута.

Ускорение передачи потоков данных достигается за счет сокращения времени образования виртуальных каналов в коммутаторах АТМ по сравнению со стандартной процедурой. Однако при этом коммутаторы, используемые на магистрали сети, уже трудно назвать стандартными АТМ-коммутаторами. Они выполняют и функции обычных маршрутизаторов, так как для обработки IP-пакетов строят таблицы маршрутизации, для чего поддерживают стандартные протоколы обмена маршрутной информацией, такие как RIP или OSPF. Они также поддерживают частный протокол распространения маршрутной информации по ATM-сети для построения таблиц VPI/VCI номеров потоков (например, протокол IFMP для коммутаторов Ipsilon). Для поддержки стандартных АТМ-сетей такие коммутаторы могут создавать виртуальные пути и стандартным способом, с помощью системы сигнализации, предложенной АТМ Forum.

К сожалению, техника ускоренной передачи IP-трафика через АТМ-магистрали остается пока нестандартной, хотя в комитет IETF поступило ряд предложений по выработке общего стандарта (в том числе и от пионера этого подхода Ipsilon, а также от лидера в области маршрутизации - компании Cisco, чья схема Tag-switching позволяет передавать через магистраль не только IP-пакеты, но и пакеты других популярных протоколов, например, IPX).

2.5.4. Магистраль на базе технологии GigabitEthernet

Четвертый вариантпостроения магистрали связан с использованием на ней новой технологии GigabitEthernet. При этом скорость отдельных частей магистрали может гибко подстраиваться под нужды трафика, так как наряду с GigabitEthernet может использоваться и FastEthernet.

GigabitEthernet, очевидно, будет сильным конкурентом для технологии АТМ при построении магистралей больших локальных сетей. Он превосходит существующие коммутаторы АТМ по битовой скорости (1000 Мб/c против 622 Мб/c), является более дешевым решением, и, кроме того, не требует существенного переобучения персонала. Основной недостаток технологии GigabitEthernet по сравнению с АТМ - как и ее предшественники Ethernet и FastEthernet, она не поддерживает такое понятие как качество обслуживания пользовательского трафика. Этот недостаток может быть существенным, если в сети действительно передаются чувствительные к задержкам данные. Если же основной поток данных составляют данные файлового сервиса (или аналогичного по требованиям к задержкам сервиса), то отсутствие гарантий качества обслуживания практически не будет сказываться на работе пользователей сети. Кроме того, высокая скорость передачи данных в какой-то степени компенсирует отсутствие механизмов гарантии пропускной способности и задержек, так как пакет 1500 байт передается через незагруженную магистраль GigabitEthernet всего за 12 мкс. При коэффициенте загрузки в 30% - 50%, характерном для многих сетей Ethernet, задержка будет составлять в среднем 30 мкс, что намного меньше уровня в 20 мс, при котором участники видеоконференции начинают замечать ухудшение качества изображения.

Тем не менее, приверженцы технологии GigabitEthernet заботятся и о поддержке качества обслуживания. Они рассчитывают использовать для этой цели такие внешние по отношению к этой технологии протоколы ,как протокол резервирования пропускной способности IP-маршрутизаторов для потоков данных RSVP, а также протоколы 802.1q и 802.1p, обеспечивающие приоритезацию трафика в локальных сетях на основе коммутаторов. Очевидно, что такая смесь различных протоколов хотя и улучшит обслуживание трафика разных классов, но не сможет конкурировать со стройной системой поддержки качества обслуживания в сетях АТМ.

Недостатком технологии GigabitEthernet является на сегодняшний день и тот факт, что принятие для нее окончательного стандарта планируется в комитете 802.3 института IEEE только в середине 1998 года, так что нет никаких гарантий, что выпускаемое сейчас различными производителями гигабитное оборудование будет полностью совместимо со стандартом.

2.5.5. Сравнение различных вариантов построения магистрали крупной локальной сети

В целом необходимо отметить, что выбор определенного способа построения магистрали корпоративной локальной сети сейчас представляет достаточно сложное дело. Очевиден только тот факт, что традиционно используемая на магистралях крупных локальных сетей технология FDDI начинает постепенно сдавать свои позиции. Свидетельством этому является опрос, проведенный SageResearchInc. среди 200 американских компаний, применяющих FDDI в своих корпоративных сетях. Вопрос звучал так: "Собирается ли ваша компания в ближайшие 3 года перейти на другую высокоскоростную технологию?". Результаты опроса, представленные на диаграмме (рис. 2.22.), показывают, что популярность FDDI падает, так как больше половины компаний хотят заменить оборудование FDDI на оборудование, поддерживающее другую высокоскоростную технологию. Возможно, популярность FDDI падала бы еще более быстрыми темпами, но присущая ей внутренняя отказоустойчивость, которой нет ни в сетях АТМ, ни в сетях FastEthernet или GigabitEthernet, продолжает привлекать сетевых администраторов и интеграторов.

Выбор же технологии для замены FDDI на магистрали пока не очевиден, особенно ввиду отсутствия стандарта на большинство перспективных вариантов. Во многом выбор определяется требованиями приложений к качеству обслуживания их трафика. Во многих случаях для не очень чувствительных к задержкам приложений хорошим выбором будет GigabitEthernet, а для трафика реального времени - АТМ, возможно с модификациями стандартного варианта технологии для ускоренной передачи стандартных потоков данных типа IP-switching или Tag-switching. При использовании GigabitEthernet достигается хорошая совместимость с подсетями Ethernet и FastEthernet, то есть с внутренними подсетями корпорации, а при использовании АТМ нет проблем при подключении к территориальной магистрали провайдера, также все чаще использующей технологию АТМ как основной вид транспорта.

Рис. 2.22. Результаты опроса о замене технологии FDDI в ближайшие 3 года

Приведем основные доводы в пользу построения магистрали корпоративной сети на GigabitEthernet или АТМ двух авторитетных и заинтересованных собеседников. По просьбе редакции журнала DataCommunications о перспективах двух технологий спорят Джо Скорупа (JoeSko- rupa) - представитель одного из лидеров технологии ATM компании ForeSystems, и Джордж Продан (GeorgeProdan), сотрудник компании ExtremeNetworks, пионера технологии GigabitEthernet (DataCommunications, April 97).

Скорупа обосновывает хорошие шансы технологии АТМ ее способностью дать высокую и гарантированную пропускную способность для приложений различных типов, и критикует GigabitEthernet за отсутствие механизмов для предоставления потребителям определенных параметров пропускной способности, а также за то, что до появления стандартов еще нужно ждать еще как минимум год, в то время как продукты АТМ давно имеются на рынке. Продан в свою очередь приводит в пользу GigabitEthernet такие доводы, как плавность и легкость перехода, трехступенчатую иерархию скоростей 10 - 100 - 1000 (в сочетании с Ethernet и FastEthernet), обеспечение совместимости продуктов разных производителей за счет усилий GigabitEthernetAlliance, насчитывающем более чем 100 членов. Замечание Скорупы о том, что у продуктов FastEthernet есть проблемы с совместимостью даже через год после принятия стандарта, Продан парирует фактами о несовместимости АТМ-продуктов. Значительная часть дебатов посвящена проблеме обеспечения качества сервиса обеими технологиями. Скорупа не соглашается с утверждением Продана о том, что протокол RSVP сможет обеспечить в сетях GigabitEthernet требуемое качество обслуживания, так как он разработан совсем для других целей. Продан же в свою очередь считает, что нужное качество обслуживания для конечных пользователей дает в сетях АТМ только сервис ABR, а так как многие коммутаторы пока не поддерживают ABR, то о хорошем качестве обслуживания в сетях АТМ пока говорить рано. Дискуссия заканчивается выражением общего мнения о том, что технология GigabitEthernet будет играть заметную роль в ближайшем будущем, однако ее место в сетях собеседники видят по разному - Скорупа в качестве сети доступа к магистрали на основе АТМ, а Продан - в качестве самой магистрали.

2.6. Перспективы развития кабельных систем

Вопросы построения физической инфраструктуры сети, а именно кабельной системы, без всякого сомнения также могут быть отнесены к стратегическим моментам создания сети. Являясь фундаментом сети, кабельная система в конечном счете определяет предельно возможную пропускную способность, предоставляемую в распоряжение приложений. Не менее важной характеристикой сети является отказоустойчивость. Согласно зарубежным исследованиям (журнал LANTechnologies), 70% времени простоев обусловлено проблемами, возникшими вследствие низкого качества применяемых кабельных систем. Правильное проектирование кабельной системы является необходимым условием не только для достижения необходимой производительности и надежности сети, но и для обеспечения ее гибкости, способности к развитию. На самых первых этапах внедрения какого-либо новшества в сети руководитель проекта должен убедиться, допускает ли кабельная система подобные изменения.

Вот почему так важно правильно построить фундамент сети - кабельную систему. Задача создания эффективной кабельной системы все чаще решается путем использования структурированной кабельной системы. Структурированная кабельная система (StructuredCablingSystem, SCS) - это набор коммутационных элементов (кабелей, разъемов, коннекторов, кроссовых панелей и шкафов), а также методика их совместного использования, которая позволяет создавать регулярные, легко расширяемые структуры связей в вычислительных сетях. Если внутри здания или в пределах комплекса зданий установлена структурированная кабельная система, то путем перекоммутации кабелей в специальных кроссовых секциях и шкафах можно гибко и без больших дополнительных затрат приспосабливаться в течение 5 - 10 лет к изменяющейся структуре сети и появляющимся новым протоколам.

Кабельная система такого типа должна обладать некоторой долей избыточности. Так, в каждой комнате здания должно быть разведено достаточное количество оконечных розеток, к которым подключаются сетевые адаптеры компьютеров, даже если в настоящее время в таком количестве розеток и нет необходимости. Эти ненужные розетки могут никуда не подключаться, но быть подведенными к ближайшему кроссовому шкафу, чтобы подключиться к новому концентратору, когда это станет необходимо. Начальная избыточность структурированной кабельной системы окупится достаточно быстро, так как стоимость наращивания кабелей и розеток в действующей кабельной системе всегда выше, чем их установка в период установки всей кабельной системы. К избыточности приводит также желание получить ясную структуру кабельной системы, так как здесь иногда приходится жертвовать элегантным, но отклоняющимся от общей схемы решением, в пользу избыточного, но единообразного решения.

Преимущества структурированной кабельной системы:

  • Универсальность. Структурированная кабельная система при продуманной организации может стать единой средой для передачи компьютерных данных в локальной вычислительной сети, организации локальной телефонной сети, передачи видеоинформации и даже передачи сигналов от датчиков пожарной безопасности или охранных систем. Это позволяет автоматизировать многие процессы по контролю, мониторингу и управлению хозяйственными службами и системами жизнеобеспечения.
  • Увеличение срока службы. Срок морального старения хорошо структурированной кабельной системы может составлять 8-10 лет.
  • Уменьшение стоимости добавления новых пользователей и изменения их мест размещения. Стоимость кабельной системы в основном определяется не стоимостью кабеля, а стоимостью работ по его прокладке (затраты на выполнение работ по инсталляции кабельной системы зачастую в 2-3 раза превосходят стоимость материалов и оборудования). Поэтому более выгодно провести однократную работу по прокладке кабеля, возможно с большим запасом по длине, чем несколько раз выполнять прокладку, наращивая длину кабеля. Это помогает быстро и дешево изменять структуру кабельной системы при перемещениях персонала или смене приложений.
  • Возможность легкого расширения сети. Структурированная кабельная система является модульной, поэтому ее легко наращивать, что позволяет легко и ценой малых затрат переходить на более совершенное оборудование, удовлетворяющее растущим требованиям к системам коммуникаций.
  • Обеспечение более эффективного обслуживания. Структурированная кабельная система облегчает обслуживание и поиск неисправностей по сравнению с шинной кабельной си- стемой.
  • Надежность. Структурированная кабельная система имеет повышенную надежность поскольку обычно производство всех ее компонентов и техническое сопровождение осуществляется одной фирмой-производителем.

Большинство стандартных сетевых технологий, как старых (Ethernet, TokenRing, FDDI), так и новых (FastEthernet, 100VG-AnyLAN, ATM), использует три основных типа кабелей - неэкранированную витую пару (UTP), экранированную витую пару (STP) и многомодовый оптоволоконный кабель. В состав любой кабельной системы входят кабели различных типов, каждый из которых имеет свою область или области назначения.

Для определения областей назначения того или иного типа кабеля полезно выделять в кабельной системе отдельные подсистемы. В типичную иерархическую структурированную кабельную систему входят горизонтальные и вертикальные подсистемы, а также подсистема кампуса. Горизонтальные подсистемы работают в пределах отдела и соединяют кроссовый шкаф этажа с розетками пользователей. Подсистемы этого типа соответствуют этажам здания. Вертикальные подсистемы работают внутри здания, соединяют кроссовые шкафы каждого этажа с центральной аппаратной здания. Кампусовская система, работающая в пределах территории между зданиями, соединяет несколько зданий с главной аппаратной всего кампуса. Эта часть кабельной системы обычно называется backbone (или магистралью).

Помимо технических характеристик при выборе кабеля нужно учитывать, какая кабельная система уже установлена на вашем предприятии, и какие тенденции и перспективы существуют на рынке в данный момент.

В России СКС нашли коммерческое применение сравнительно недавно - в начале 90-х годов в результате рыночных реформ и появления частного бизнеса. До этого локальные сети и учрежденческие АТС, как правило, были не интегрированы друг с другом.

Хотя в настоящее время наибольшее число инсталляций СКС осуществляются в мелких локальных сетях (с числом ПК от 10 до 20), многие крупные предприятия, учреждения и банки в последние годы также проявляют заинтересованность в установке у себя структурированных кабельных систем. Благодаря отсутствию унаследованного оборудования, в России, как правило, используются самые современные системы от ведущих производителей. Наибольшая доля рынка принадлежит таким известным западным маркам, как LucentTechnologies, BICCBrand-Rex, MOD-TAP, Alcatel, Siemens, AMP, IBM, а также российским маркам, как "АйТи".

Среди российских компаний-системных интеграторов, способных реализовать крупные проекты кабельных систем, специалисты отмечают IBS, "АйТи", "Черус", "Демос", R-Style, "Ланит", LVC, "Крок", "Руслан". Они располагают отделами, специализирующимися по локальным сетям, структурированным кабельным системам и голосовой связи.

Основная доля рынка СКС принадлежит LucentTechnologies. Около 73% установленных систем используют проводку UTP.

Решения на основе экранированного кабеля связываются главным образом с системами TokenRing, но все большее число заказчиков в России предпочитает использовать эти кабели и в других сетях передачи данных. Коаксиальный кабель для горизонтальной проводки пользовался популярностью 2 года назад, но в последнее время он был вытеснен кабелями с витыми парами.

В последние два года существенные изменения произошли и в распределении рынка между кабелями разных категорий. Доля кабелей Категории 3 уменьшилась с двух третьих в 1994 до 37% в 1996 году.

Согласно прогнозам, весь рынок кабелей для передачи данных будет расти на 14,7% ежегодно, и в 2001 году его объем составит 29,9 млн. долларов. Наиболее быстрые темпы роста ожидаются на рынке STP - 33,6% ежегодно в денежном исчислении, далее следуют оптические кабели и UTP - 22,1% и 16,2% соответственно. Доля коаксиального кабеля будет неуклонно снижаться.

Сегодня в мире существуют три весьма сходных между собой стандарта на кабельные системы для ЛВС:

  1. американский стандарт TIA/EIA 568A;
  2. международный стандарт ISO/IEC 11801;
  3. европейский стандарт EN50173.

Все эти стандарты кабельных систем определяет основные параметры неэкранированной витой пары UTP, экранированной витой пары STP и волоконно-оптического кабеля, то есть тех видов кабелей, которые покрывают все разнообразие физических уровней современных стандартов для локальных сетей.

Необходимо отметить, что стандарт EIA/TIA 568A относится только к сетевому кабелю. Но реальные системы, помимо кабеля, содержат также коннекторы, розетки, распределительные панели и др., т.е. все, что в совокупности составляет понятие кабельной системы. Использование только кабеля типа 5 не гарантирует создание кабельной системы этой категории. Все составные части кабельной системы также должны удовлетворять требованиям соответствующей категории, то есть работать без ухудшения электрических параметров передаваемых сигналов в заданных частотах. Важное значение имеет также технология инсталляции всех компонентов системы, нарушение которой приведет к снижению категории.

К числу наиболее распространенных стандартизованных структурированных кабельных систем относятся кабельная система CablingSystem, разработанная компанией IBM, кабельные системы PremisesDistributedSystem и SYSTIMAX, разработанные AT&T, а также кабельная система OPENDECсonnect корпорации DigitalEquipment. Различные производители дают своим кабельным системам различные названия, но общие принципы их организации остаются одинаковыми.

Наряду с кабельными системами, соответствующими этим стандартам, в настоящее время имеется ряд проектов новых широкополосных кабелей, например, медных кабелей категории 6. Появились сообщения о гарантированных скоростях передачи данных 350 и 622 Мб/с обеспечиваемых новыми продуктами. Но стандартов на новые широкополосные кабели пока не существует. Специалисты высказывают большие сомнения в рыночном успехе этого проекта: во-первых, проблема совместимости с огромным числом уже установленных кабельных систем категорий 3 и 5, во-вторых, высокая стоимость, сравнимая со стоимостью сетей на основе волоконно-оптического кабеля, в-третьих, необходимость надежного заземления, которую не всегда просто реализовать.

Еще далеко не исчерпаны возможности кабельных систем категории 5. Вполне вероятно, они смогут поддерживать и сети GigabitEthernet. Если же говорить о высокоскоростных сетях (ATM и GigabitEthernet на скоростях 622 и 1000 Мбит/с соответственно), то для их реализации хорошо подходит волоконно-оптический кабель.

Поэтому, если вы думаете над тем, как улучшить работу кабельной системы, то естественным решением является ее модернизация путем прокладки горизонтального кабеля (проводки на этажах) категории 5, а в качестве магистрали оптического кабеля. В любом случае необходимо получить гарантию на кабельную систему и предусмотреть возможность последующей ее модернизации в будущем.

 

4. Стратегии защиты данных

4.1. Комплексный подход - необходимое условие надежной защиты корпоративной сети

Построение и поддержка безопасной системы требует системного подхода. В соответствии с этим подходом прежде всего необходимо осознать весь спектр возможных угроз для конкретной сети и для каждой из этих угроз продумать тактику ее отражения. В этой борьбе можно и нужно использовать самые разноплановые средства и приемы - организационные и законодательные, административные и психологические, защитные возможности программных и аппаратных средств сети.

Законодательные средства защиты - это законы, постановления правительства и указы президента, нормативные акты и стандарты, которыми регламентируются правила использования и обработки информации ограниченного доступа, а также вводятся меры ответственности за нарушения этих правил.

Административные меры - это действия общего характера, предпринимаемые руководством предприятия или организации. Администрация предприятия должна определить политику информационной безопасности, которая включает ответы на следующие вопросы:

какую информацию и от кого следует защищать;

кому и какая информация требуется для выполнения служебных обязанностей;

какая степень защиты требуется для каждого вида информации;

чем грозит потеря того или иного вида информации;

как организовать работу по защите информации.

К организационным (или процедурным) мерам обеспечения безопасности относятся конкретные правила работы сотрудников предприятия, например, строго определенный порядок работы с конфиденциальной информацией на компьютере.

К морально-этическим средствам защиты можно отнести всевозможные нормы, которые сложились по мере распространения вычислительных средств в той или иной стране (например, Кодекс профессионального поведения членов Ассоциации пользователей компьютеров США).

К физическим средствам защиты относятся экранирование помещений для защиты от излучения, проверка поставляемой аппаратуры на соответствие ее спецификациям и отсутствие аппаратных "жучков" и т.д.

К техническим средствам обеспечения информационной безопасности могут быть отнесены:

системы контроля доступа, включающие средства аутентификации и авторизации пользователей;

средства аудита;

системы шифрования информации;

системы цифровой подписи, используемые для аутентификации документов;

средства доказательства целостности документов (использующие, например, дайджест-функции);

системы антивирусной защиты;

межсетевые экраны.

Все указанные выше средства обеспечения безопасности могут быть реализованы как в виде специально разработанных для этого продуктов (например, межсетевые экраны), так и в виде встроенных функций операционных систем, системных приложений, компьютеров и сетевых коммуникационных устройств.

4.2. Усугубление проблем безопасности при удаленном доступе. Защитные экраны - firewall'ы и proxy-серверы

Обеспечение безопасности данных при удаленном доступе - проблема если и не номер один, то, по крайней мере, номер два, после проблемы обеспечения приемлемой для пользователей пропускной способности. А при активном использовании транспорта Internet она становится проблемой номер один.

Неотъемлемым свойством систем удаленного доступа является наличие глобальных связей. По своей природе глобальные связи, простирающиеся на много десятков и тысяч километров, не позволяют воспрепятствовать злонамеренному доступу к передаваемым по этим линиям данным. Нельзя дать никаких гарантий, что в некоторой, недоступной для контроля точке пространства, некто, используя, например, анализатор протокола, не подключится к передающей среде для захвата и последующего декодирования пакетов данных. Такая опасность одинаково присуща всем видам территориальных каналов связи и не связана с тем, используются ли собственные, арендуемые каналы связи или услуги общедоступных территориальных сетей, подобные Internet.

Однако использование общественных сетей (речь в основном идет об Internet) еще более усугубляет ситуацию, хотя бы потому, что в такой сети для доступа к корпоративным данным в распоряжении злоумышленника имеются более разнообразные и удобные средства, чем выход в чистое поле с анализатором протоколов. Кроме того, огромное число пользователей увеличивает вероятность попыток несанкционированного доступа.

Безопасная система - это система, которая, во-первых, надежно хранит информацию и всегда готова предоставить ее своим пользователям, а во-вторых, система, которая защищает эти данные от несанкционированного доступа.

Межсетевой экран (firewall, брандмауэр) - это устройство, как правило, представляющее собой универсальный компьютер с установленным на нем специальным программным обеспечением, который размещается между защищаемой (внутренней) сетью и внешними сетями, потенциальными источниками опасности. Межсетевой экран контролирует все информационные потоки между внутренней и внешними сетями, пропуская данные, в соответствии с заранее установленными правилами. Эти правила являются формализованным выражением политики безопасности, принятой на данном предприятии.

Межсетевые экраны базируются на двух основных приемах защиты:

  1. пакетной фильтрации;
  2. сервисах-посредниках (proxyservices).

Эти две функции можно использовать как по отдельности, так и в комбинации.

Пакетная фильтрация. Использование маршрутизаторов в качестве firewall

Фильтрация осуществляется на транспортном уровне: все проходящие через межсетевой экран пакеты или кадры данных анализируются, и те из них, которые имеют в определенных полях заданные ("неразрешенные") значения, отбрасываются.

Пропуск во внутреннюю сеть пакетов сетевого уровня или кадров канального уровня по адресам (MAC-адреса, IP-адреса, IPX-адреса) или номерам портов TCP, соответствующих приложениям. Например, для того, чтобы трафик telnet не пересекал границу внутренней сети, межсетевой экран должен отфильтровывать все пакеты, в заголовке TCP которых указан адрес порта процесса-получателя, равный 23 (этот номер зарезервирован за сервисом telnet). Сложнее отслеживать трафик FTP, который работает с большим диапазоном возможных номеров портов, что требует задания более сложных правил фильтрации.

Конечно, для фильтрации пакетов может быть использован и обычный маршрутизатор, и действительно, в Internet 80% пакетных фильтров работают на базе маршрутизаторов. Однако маршрутизаторы не могут обеспечить ту степень защиты данных, которую гарантируют межсетевые экраны.

Главные преимущества фильтрации межсетевым экраном по сравнению с фильтрацией маршрутизатором состоят в следующем:

  • межсетевой экран обладает гораздо более развитыми логическими способностями, поэтому он в отличие от маршрутизатора легко может, например, обнаружить обман по IP-адресу;
  • у межсетевого экрана большие возможности аудита всех событий, связанных с безопасностью.

Сервисы - посредники (Proxy-services)

Сервисы-посредники не допускают возможности непосредственной передачи трафика между внутренней и внешней сетями. Для того, чтобы обратиться к удаленному сервису, клиент-пользователь внутренней сети устанавливает логическое соединение с сервисом-посредником, работающим на межсетевом экране. Сервис-посредник устанавливает отдельное соединение с "настоящим" сервисом, работающим на сервере внешней сети, получает от него ответ и передает по назначению клиенту - пользователю защищенной сети.

Для каждого сервиса необходима специальная программа: сервис-посредник. Обычно, защитный экран включает сервисы-посредники для FTP, HTTP, telnet. Многие защитные экраны имеют средства для создания программ-посредников для других сервисов. Некоторые реализации сервисов-посредников требуют наличия на клиенте специального программного обеспечения. Пример: Sock - широко применяемый набор инструментальных средств для создания программ-посредников.

Сервисы-посредники не только пересылают запросы на услуги, например, разработанный CERN сервис-посредник, работающий по протоколу HTTP, может накапливать данные в кэше межсетевого экрана, так что пользователи внутренней сети могут получать данные с гораздо меньшим временем доступа.

Журналы событий, поддерживаемые сервисами-посредниками, могут помочь предупредить вторжение на основании записей о регулярных неудачных попытках. Еще одним важным свойством сервисов-посредников, положительно сказывающимся на безопасности системы, является то, что при отказе межсетевого экрана защищаемый посредником сервис-оригинал остается недоступным.

Трансляция сетевых адресов - новый вид сервиса-посредника. Трансляторы адресов заменяют "внешние" IP-адреса серверов своих сетей на "внутренние". При таком подходе топология внутренней сети скрыта от внешних пользователей, вся сеть может быть представлена для них одним-единственным IP-адресом. Такая непрозрачность сети усложняет задачу несанкционированного доступа. Кроме этого, трансляция адресов дает еще одно преимущество - позволяет иметь внутри сети собственную систему адресации, не согласованную с Internet, что снимает проблему дефицита IP-адресов.

Сервисы-посредники намного надежнее фильтров, однако они снижают производительность обмена данными между внутренней и внешней сетями, они также не обладают той степенью прозрачности для приложений и конечных пользователей, которая характерна для фильтров.

4.3. Использование сертификатов для аутентификации массовых пользователей при ведении бизнеса через Internetи другие публичные сети

Обеспечение безопасности при работе в Internet стало особенно важной проблемой в условиях массового интереса к построению частных виртуальных сетей с использованием транспортных средств Internet, а также использования методов Internet для хранения, представления и поиска информации в локальных сетях предприятий. Все это можно назвать одним словом - intranet. Специфика Internet сказывается и на используемых средствах обеспечения безопасности. Остановимся на некоторых из них.

При организации доступа к некоторым ресурсам Internet все чаще возникает необходимость во введении некоторых ограничений. Это означает, что среди множества пользователей Internet, владелец ресурса должен определить некоторые правила определения тех, кому доступ разрешен, и предоставить им способ, с помощью которого они могли бы доказывать свою принадлежность к легальным пользователям. Следовательно, необходима процедура аутентификация, пригодная для использования в Internet.

Аутентификация с применением сертификатов является альтернативой использованию паролей и представляется естественным решением в условиях, когда число пользователей сети измеряется миллионами, что мы имеем в Internet. В таких обстоятельствах процедура предварительной регистрации пользователей, связанная с назначением и хранением их паролей становится крайне обременительной, опасной, а иногда и просто нереализуемой. При использовании сертификатов сеть, которая дает пользователю доступ к своим ресурсам, не хранит никакой информации о своих пользователях - они ее предоставляют сами в своих запросах в виде сертификатов, удостоверяющих личность пользователей. Сертификаты выдаются специальными уполномоченными организациями - центрами сертификации. Поэтому задача хранения секретной информации (закрытых ключей) возлагается теперь на самих пользователей, что делает это решение гораздо более масштабируемым, чем вариант с использованием паролей.

Аутентификация личности на основе сертификатов происходит примерно так же, как на проходной большого предприятия. Вахтер пропускает людей на территорию на основании пропуска, который содержит фотографию и подпись сотрудника, удостоверенных печатью предприятия и подписью лица, выдавшего пропуск. Сертификат является аналогом пропуска и выдается по запросам специальными сертифицирующими центрами при выполнении определенных условий. Он представляет собой электронную форму, в которой имеются такие поля, как имя владельца, наименование организации, выдавшей сертификат, открытый ключ владельца. Кроме того, сертификат содержит электронную подпись выдавшей организации - зашифрованные закрытым ключом этой организации все остальные поля сертификата.

Использование сертификатов основано на предположении, что сертифицирующих организаций немного, и их открытые ключи могут быть всем известны каким-либо способом, например, с помощью тех же публикаций в журналах.

Когда пользователь хочет подтвердить свою личность, он предъявляет свой сертификат в двух формах - открытой, то есть такой, в которой он получил его в сертифицирующей организации, и в зашифрованной с применением своего закрытого ключа. Сторона, проводящая аутентификацию, берет из открытого сертификата открытый ключ пользователя и расшифровывает с помощью него зашифрованный сертификат. Совпадение результата с открытым сертификатом подтверждает факт, что предъявитель действительно является владельцем закрытого ключа, парного с указанным открытым.

Затем с помощью известного открытого ключа указанной в сертификате организации проводится расшифровка подписи этой организации в сертификате. Если в результате получается тот же сертификат с тем же именем пользователя и его открытым ключом - значит он действительно прошел регистрацию в сертификационном центре, является тем, за кого себя выдает, и указанный в сертификате открытый ключ действительно принадлежит ему.

Сертификаты можно использовать не только для аутентификации, но и для предоставления избирательных прав доступа. Для этого в сертификат могут вводиться дополнительные поля, в которых указывается принадлежность его владельца к той или иной категории пользователей. Эта категория указывается сертифицирующей организацией в зависимости от условий, на которых выдается сертификат. Например, организация, поставляющая через Internet на коммерческой основе информацию, может выдавать сертификаты определенной категории пользователям, оплатившим годовую подписку на некоторый бюллетень, а Web-сервер будет предоставлять доступ к страницам бюллетеня только пользователям, предъявившим сертификат данной категории.

При использовании сертификатов отпадает необходимость хранить на серверах корпораций списки пользователей с их паролями, вместо этого достаточно иметь на сервере список имен и открытых ключей сертифицирующих организаций. Может также понадобится некоторый механизм отображений категорий владельцев сертификатов на традиционные группы пользователей для того, чтобы можно было использовать в неизменном виде механизмы управления избирательным доступом большинства операционных систем или приложений.

Механизм получения пользователем сертификата хорошо автоматизируется в сети в модели клиент-сервер, когда браузер выполняет роль клиента, а в сертифицирующей организации установлен специальный сервер выдачи сертификатов. Браузер вырабатывает для пользователя пару ключей, оставляет закрытый ключ у себя и передает частично заполненную форму сертификата серверу. Для того, чтобы неподписанный еще сертификат нельзя было подменить при передаче по сети, браузер зашифровывает сертификат выработанным закрытым ключом. Сервер сертификатов подписывает полученный сертификат, фиксирует его в своей базе данных и возвращает его каким-либо способом владельцу. Очевидно, что при этом может выполняться еще и неформальная процедура подтверждения пользователем своей личности и права на получение сертификата, требующая участия оператора сервера сертификатов. Это могут быть доказательства оплаты услуги, доказательства принадлежности к той или иной организации - все случаи жизни предусмотреть и автоматизировать нельзя.

После получения сертификата браузер хранит его вместе с закрытым ключом и использует при аутентификации на тех серверах, которые поддерживают такой процесс.

В настоящее время существует уже большое количество протоколов и продуктов, использующих сертификаты. Например, компания NetscapeCommunications поддерживает сертификаты стандарта X.509 в браузерах NetscapeNavigator и своих информационных серверах, а также выпустила сервер сертификатов, который организации могут у себя устанавливать для выпуска своих собственных сертификатов. Microsoft реализовала поддержку сертификатов в версии InternetExplorer 3.0 и в сервере InternetInformationServer.

4.4. Технологии защищенного канала

Технология защищенного канала призвана обеспечивать безопасность передачи данных по открытой транспортной сети, например, по сети Internet. Защищенный канал включает в себя выполнение трех основных функций:

  1. взаимная аутентификация абонентов;
  2. защита передаваемых по каналу сообщений от несанкционированного доступа;
  3. подтверждение целостности поступающих по каналу сообщений.

Взаимная аутентификация обеих сторон при установлении соединения может быть выполнена, например, путем обмена сертификатами.

Секретность может быть обеспечена каким-либо методом шифрации, например, передаваемые сообщения шифруются с использованием симметричных сессионных ключей, которыми стороны обмениваются при установлении соединения. Сессионные ключи передаются также в зашифрованном виде, при этом они шифруются с помощью открытых ключей. Использование для защиты сообщений симметричных ключей связано с тем, что скорость процессов шифрации и дешифрации на основе симметричного ключа существенно выше, чем при использовании несимметричных ключей.

Целостность передаваемых сообщений достигается за счет того, что к сообщению (еще до его шифрации сессионным ключом) добавляется дайджест, полученный в результате применения односторонней функции к тексту сообщения.

Защищенный канал в публичной сети часто называют также виртуальной частной сетью - VirtualPrivateNetwork, VPN. Существует два способа образования VPN (рисунок 4.1):

  1. с помощью специального программного обеспечения конечных узлов;
  2. с помощью специального программного обеспечения шлюзов, стоящих на границе между частной и публичной сетями.

Рис. 4.1. VPN - частные виртуальные сети

В первом случае (рисунок 4.1, a) программное обеспечение, установленное на компьютере удаленного клиента, устанавливает защищенный канал с сервером корпоративной сети, к ресурсам которого клиент обращается. Преимуществом этого подхода является полная защищенность канала вдоль всего пути следования, а также возможность использования любых протоколов создания защищенных каналов, лишь бы на конечных точках канала поддерживался один и тот же протокол. Недостатки заключаются в избыточности и децентрализованности решения. Избыточность состоит в том, что уязвимыми для злоумышленников обычно являются сети с коммутацией пакетов, а не каналы телефонной сети или выделенные каналы. Поэтому установка специального программного обеспечения на каждый клиентский компьютер и каждый сервер корпоративной сети не является необходимой. Децентрализация процедур создания защищенных каналов не позволяет вести централизованное управление доступом к ресурсам сети. В большой сети необходимость отдельного администрирования каждого сервера и каждого клиентского компьютера с целью конфигурирования в них средств защиты данных - это трудоемкая процедура.

Во втором случае клиенты и серверы не участвуют в создании защищенного канала - он прокладывается только внутри публичной сети с коммутацией пакетов, например внутри Internet. Канал создается между сервером удаленного доступа провайдера услуг публичной сети и пограничным маршрутизатором корпоративной сети. Это хорошо масштабируемое решение, управляемого централизованно как администратором корпоративной сети, так и администратором сети провайдера. Для клиентских компьютеров и серверов корпоративной сети канал прозрачен - программное обеспечение этих конечных узлов остается без изменений. Реализация этого подхода сложнее - нужен стандартный протокол образования защищенного канала, требуется установка программного обеспечения, поддерживающего такой протокол, у всех провайдеров, необходима поддержка протокола производителями серверов удаленного доступа и маршрутизаторов.

4.5. Правовая регламентация деятельности в области защиты информации

Правовая регламентация деятельности в области защиты информации имеет целью защиту информации, составляющей государственную тайну, обеспечение прав потребителей на получение качественных продуктов, защиту конституционных прав граждан на сохранение личной тайны, борьбу с организованной преступностью.

Те, кто несут ответственность за корпоративную сеть, при приобретении тех или иных продуктов обеспечения безопасности, особенно связанных с шифрацией, должны выяснить некоторые правовые вопросы, например, может ли данный продукт быть экспортирован в другие страны или импортирован из других стран.

Регламентация может выражаться в следующей форме:

  • обязательное лицензирование некоторых видов деятельности;
  • необходимость иметь разрешение на некоторые виды деятельности;
  • требование сертификации некоторых видов продуктов.

Лицензия является официальным документом, который разрешает осуществление на определенных условиях конкретного вида деятельности в течение установленного срока.

Разрешение выдается на некоторые виды разовых работ, независимо имеется ли у данной организации лицензия. Например, организация которая имеет лицензию на разработку шифровальных средств, должна получить разрешение на их экспорт.

Сертификат - официальный документ, удостоверяющий, что продукт прошел тестирование и соответствует требованиям нормативных документов.

В настоящее время правовая база, регулирующая отношения субъектов в области защиты информации, включает следующие основные документы:

  • Конституция РФ, согласно которой "каждый гражданин имеет право заниматься любыми видами деятельности свободно и по своему выбору, кроме тех, которые запрещены законом, или для занятия которыми требуется наличие специального разрешения (лицензии).
  • Гражданский кодекс РФ, в Части первой которого в ст.49 говорится: "Отдельными видами деятельности, перечень которых определяется законом, юридическое лицо может заниматься только на основании специального разрешения (лицензии)".
  • Федеральные законы РФ ("Об информации, информатизации и защите информации" от 25 января 1995 года, "О государственной тайне" и др.).
  • Постановление правительства РФ (например, постановление N 758 "О мерах по совершенствованию государственного регулирования экспорта товаров и услуг" от 1 июля 1994 г., постановление N1418 от 24.12.94 и др.).
  • Указы президента (например, указ N1268 "О контроле за экспортом из Российской Федерации товаров и технологий двойного назначения" от 26 августа 1996 года, указ N334 "О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также услуг в области шифрования информации" от 3 апреля 1995 года.).
  • Уголовный кодекс, в котором в разделе IX главы 28 "Преступления в сфере компьютерной информации" предусматривается наказания за "уничтожение, блокирование, модификацию и копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети".

С последними законодательными актами в области безопасности можно ознакомиться на сервере www.alpha.ru.

Работу по регламентации деятельности в области защиты информации проводит также Государственная техническая комиссия при президенте Российской федерации, издающая так называемые руководящие документы (РД). Один из этих РД, например, оценивает степень защищенности межсетевых экранов (firewall).

Виды деятельности, лицензии на которые выдаются ФАПСИ:

  • В области шифровальных средств:
  • разработка;
  • производство;
  • монтаж, наладка и установка;
  • ремонт и сервисное обслуживание;
  • реализация;
  • предоставление услуг по шифрованию;
  • предоставление консультационных услуг;
  • эксплуатация.
  • Те же виды деятельности, относящиеся к системам, использующим шифровальные средства и предназначенным для телекоммуникаций. Лицензии должны получать все предприятия и организации, независимо от их ведомственной принадлежности и прав собственности.
  • Проведение сертификационных испытаний.
  • Проведение работ по выявлению электронных устройств перехвата информации в