12 октября 2017

Забурьянова В.Д., Комогорцев А.Ю. Функционирование компьютерной сети образовательной организации

Забурьянова Валентина Дмитриевна,
кандидат педагогических наук,
преподаватель
ГБПОУ«Московский колледж архитектуры и градостроительства»
 
Комогорцев Антон Юрьевич,
инженер по компьютерным сетям и системному администрированию
Этот адрес электронной почты защищен от спам-ботов. У вас должен быть включен JavaScript для просмотра.

 

Для доступа к информационным ресурсам и сервисам предприятие должно иметь собственную компьютерную сеть и выход в интернет. Бесперебойная работа сетевой инфраструктуры обеспечивается качественным и надежным сетевым оборудованием: маршрутизаторами, коммутаторами и другими типами устройств.

Локальная вычислительная сеть колледжа охватывает все этажи колледжа и служит для обмена информацией между сотрудниками, а также для доступа в сеть интернет. Коммутирующая аппаратура обеспечивает связь различных сегментов сети между собой и позволяет добиться определенного уровня отказоустойчивости. В целях повышения качества работы сети все коммутаторы имеют поддержку функции управления потоком Flow Control, что позволяет предотвратить возможные перегрузки и коллизии.

Топология сети колледжа имеет тип «иерархическая звезда». Для фильтрации нежелательного содержимого различных веб-ресурсов используется прокси-сервер, осуществляющий работу с трафиком сотрудников и преподавателей на основе специальных правил, заданных специалистами отдела информатизации. Прокси-сервер является специальной службой, которая передает косвенные запросы к различным веб-ресурсам, предварительно производя фильтрацию контента согласно заданным правилам. Кроме указанного функционала, прокси-сервер позволяет распределить пользователей по категориям и запретить доступ для определенных групп к конкретному сайту или в интернет в целом, а также кэшировать веб-страницы, к которым часто обращаются пользователи, чтобы сэкономить трафик.

В колледже на различных площадках действуют высокопроизводительные многопроцессорные серверы, составляющие базовую, неотъемлемую часть локальной сети. Каждый сервер выполняет определенную задачу: фильтрация сетевых пакетов («файрвол»), хранение данных (файловые серверы), управление рабочими станциями пользователей (контроллер Active Directory) и так далее.

Управление рабочими станциями осуществляет контроллер домена Active Directory (AD). Контроллер AD осуществляет управление процессом входа пользователей в систему, а также определяет настройки операционной системы рабочей станции с помощью групповых политик. Работает контроллер под управлением операционной системы Windows Server 2012 R2.

На основе вышесказанного можно сформулировать следующие задачи, которые выполняются локальной сетью:

– предоставление доступа в сеть интернет с помощью MAN-сети вышестоящего оператора связи (ПАО МГТС);

– доступ к специальным версиям различных государственных площадок, которые доступны исключительно внутри корпоративной сети Департамента образования г. Москвы: специальная версия портала государственных услуг, ЕАИСТ, официальный сайт Единой информационной системы в сфере закупок, портал АО «Единая электронная торговая площадка» и прочих порталов;

– предоставление общего доступа к файловым хранилищам и возможность совместной работы по сети с использованием различных инструментов;

– централизованная антивирусная защита рабочих станций благодаря корпоративному серверу администрирования Kaspersky Security Center;

– предоставление доступа к сервисам корпоративной электронной почты Департамента образования города Москвы, которые доступы исключительно внутри локальной сети;

– совместное пользование различной копировальной техникой, которая подключена к сети: принтеры, многофункциональные устройства, плоттеры и прочие устройства;

– предоставление преподавателям сервисов для проверки знаний студентов с помощью программ комплексного тестирования;

– фильтрация сетевого трафика на границе с сетью вышестоящего оператора связи с помощью сетевого экрана, отслеживание попыток проникновение в локальную сеть колледжа и их предотвращение;

– использование пропускной способности локальной сети для трансляции происходящих в колледже мероприятий в сеть интернет;

– предоставление возможности администрации образовательного учреждения проводить видеоконференции и селекторные совещания через сеть интернет и внутри локальной сети между кампусами колледжа;

– предоставление доступа к электронной версии программ 1С: Кадры и 1С: Бухгалтерия отделу кадров и бухгалтерии соответственно.

Сеть колледжа архитектуры и градостроительства построена по типу иерархической топологии, участки которой, в свою очередь, построены по типам общей шины и пассивной звезды (в рамках конкретного участка сети все пользователи равноправны и подключены к коммутатору).

Иерархическая модель локальной сети объединяет в себе особенности топологий шина и звезда (рис. 1). Сеть делится на несколько подуровней, что существенно упрощает диагностику неисправностей. Кроме того, каждый отдельный сектор сети можно реализовать с учетом определенных требований. Несколько шин подключается к корневой системе, где размещаются основные компоненты локальной сети колледжа. Такая структура ЛВС позволяет охватить все этажи здания и используется обычно в организациях, насчитывающих более сотни потенциальных пользователей.

Рис 1. Логическая структура сети предприятия

Весь поступающий в сеть трафик проходит через высокопроизводительный сетевой экран. На данном этапе блокируется потенциально небезопасный трафик, некоторые виды широковещательных запросов, которые поступают в локальную сеть извне. Брандмауэр пропускает трафик, передаваемый только по определенным сетевым портам, которые разрешены политикой безопасности предприятия. Это обеспечивает дополнительную защиту от сетевых червей, троянских и прочих вредоносных программ, способных нанести вред элементам сетевой инфраструктуры организации.

Следующий этап – прокси-сервер. Данная служба, развернутая на физическом сервере под управлением Linux, осуществляет на основе правил фильтрацию контента, передаваемого по протоколам HTTP и HTTPS на рабочие станции.

После прохождения прокси-сервера, трафик распределяется коммутатором третьего уровня (который де-факто является маршрутизатором) по подсетям отделов. Рабочие станции в пределах одного или нескольких отделов объединены коммутаторами, количество портов каждого коммутатора зависит от количества пользователей, которых требуется к нему подключить.

Службы файлового сервера предоставляют общий доступ к централизованному месту хранения документов и различных мультимедиа-файлов.

Маршрутизатор (роутер) является активным сетевым оборудованием, и при использовании топологии «звезда» может исполнять роль центрального узла в сети. Иногда роутер заменяют Layer 3-коммутатором, который фактически берет на себя все обязанности по маршрутизации трафика в сети, при необходимости обладая поддержкой таких протоколов как Open Shortest Path First (OSPF), Border Gateway Protocol (BGP), Routing Information Protocol (RIP) и некоторых других проприетарныхпротоколов маршрутизации.

Маршрутизатор объединяет в себе возможности L2-коммутатора, сетевого моста и концентратора, а также обладает уникальными, присущими только ему возможностями: поддержка виртуальных частных сетей (VPN), брандмауэр, серверы DHCP и DNS, встроенным программным обеспечением маршрутизации мультикаст-трафика по протоколам PIM-SM (Protocol Independent Multicast Sparse Mode) и PIM-DM (Protocol Independent Multicast Dense Mode). Кроме того, осуществляется поддержка в актуальном состоянии таблицы маршрутизации – специальной базы данных, в которой содержатся соответствия адресов и интерфейсов, с помощью которых происходит общение с соседними маршрутизаторами.

Основной задачей роутера является бесперебойная, быстрая и эффективная маршрутизация трафика в локальной сети без коллизий и возможных дополнительных задержек. Этому способствует реализация в аппаратной части протоколов, которые позволяют ему осуществлять свою деятельность на сетевом уровне модели взаимодействия открытых систем OSI (Open Systems Interconnection).

Маршрутизатор является сложным техническим устройством и для его управления обычно предусмотрен доступ с использованием различных протоколов, например, SSH (Secure Shell). Может использоваться веб-интерфейс, представляющий из себя специальный сайт, который с помощью специальных протоколов взаимодействует с аппаратным обеспечением. Как правило, такие веб-ресурсы созданы с использованием скриптовых языков общего назначения, таких как PHP и Javascript.

Маршрутизатор составляет таблицу маршрутизации на основе сведений, полученных от протоколов маршрутизации и с учетом параметров, заданных непосредственно системным администратором.

Таблица маршрутизации должна соответствовать топологии сети. Поддержка таблицы в актуальном состоянии осуществляется с помощью динамических протоколов маршрутизации или осуществляется непосредственно администратором сети вручную, путем конфигурации записей.

Существуют различные механизмы маршрутизации, которые используются роутером для составления и поддержания в актуальном состоянии таблицы маршрутизации. Как правило, используется комбинация следующих методов: прямое соединение, статическая маршрутизация, маршрутизация по умолчанию, динамическая маршрутизация.

Различают два семейства протоколов маршрутизации – протоколы внутренних шлюзов Interior Gateway Protocol (IGP) и протоколы внешних шлюзов Exterior Gateway Protocol (EGP). Эти группы по-разному классифицируются при взаимодействии с автономными системами.

При проектировании маршрутизатора, в общем случае под архитектурой понимается совокупность аппаратных и программных средств, которые позволяют совместить процессы маршрутизации и коммутации в одном устройстве.

Как правило, маршрутизатор включает в себя сетевые интерфейсы для подключения сетевых кабелей (беспроводной интерфейс, витая пара или оптоволокно), узлы обработки, узлы буферизации и подсистему коммутации (коммутационную фабрику). Пакеты, которые поступают на сетевые интерфейсы, поступают на обработку или сохраняются в буфере. Далее они поступают в подсистему коммутации на выходной интерфейс и по каналу связи передаются следующему маршрутизатору согласно таблице маршрутизации.

Структура маршрутизатора в общем виде представлена на рисунке 2, структура базовой конструкции маршрутизатора в общем виде – на рисунке 2а. Сюда относится плата управления с центральным микропроцессором, интерфейсные модули и плата основная плата соединения. Каждый интерфейсный модуль оснащен адаптером приема и отправки пакетов и обладает механизмом кэширования записей таблицы маршрутов и способен выполнять форсированную обработку пакетов. Соединительная (основная) плата отвечает за взаимодействие электронных компонентов между собой.

Основную функциональность маршрутизатора можно разделить на три части: обработка маршрутов и передача пакетов (рис. 2б, основные функции), а также специальные сервисы, куда входят такие процессы, как: преобразование сетевых пакетов, распределения приоритета трафика, инкапсуляция, фильтрация пакетов и обеспечение защиты от несанкционированного доступа.

Рис. 2. Структура и принципы функционирования IP-маршрутизатора

Быстродействие маршрутизатора напрямую зависит от вычислительной мощности центрального процессора, пропускной способности памяти и шин передачи данных. Процесс обработки пакетов протокола IP определяет общую производительность устройства применительно к маршрутизаторам. Благодаря распределенной архитектуре, становится возможным осуществить процессдекомпозиции протокола и выполнить его параллельную обработку, при этом отделив задачи маршрутизации от критических по времени, связанных с обработкой IP-заголовков пакетов.

В настоящее время представлено множество моделей беспроводных маршрутизаторов с различной стоимостью, которые сочетают аппаратную платформу и программное обеспечение.

Сравнительные характеристики роутеров потребительского класса  изложены в таблице 1. Все эти модели в данный момент представлены на рынке и обладают схожими характеристиками. Скорость портов Ethernet всех представленных моделей составляет 1 Гбит/с.

Таблица 1

Наименование модели Zyxel Keenetic Giga 3 TP-LINK
Talon AD7200

NETGEAR
Nighthawk

X10-AD7200

ZyXEL Keenetic Giga 2
Центральныйпроцессор Mediatek MT7621S Qualcomm IPQ8064 Annapurna Labs AL314 Mediatek RT6586
Частотапроцессора, МГц 800 1400 × 2 1700 × 4 700
Объём ОЗУ, МБ 256 512 1024 256
Объём флеш-памяти, МБ 128 256 512 16
Сетевой коммутатор MediaTek MT7621ST Qualcomm Atheros QCA8337 Qualcomm Atheros QCA8337 × 2 Realtek RTL8367RB
Диапазон частот, ГГц 2,4 + 5 2,4 + 5 + 5 (60 МГц) 2,4 + 5 + 5 (60 МГц) 2,4
Стандарты Wi-Fi 802.11
a/b/g/n/ac

802.11

a/b/g/n/ac/ad

802.11

a/b/g/n/ac/ad

802.11b/g/n
Антенны

2 внутренние;

2 внешние

1 внутренняя;

8 внешние

4 внутренние;

4 внешние

2 внешние
Количество антенн 4 9 3 2
Порты LAN 4 4 6 + 1 SFP 4
Порты WAN 1 1 1 1
Порты USB 1 × USB 2.0,
1 × USB 3.0
2 × USB 3.0 2 × USB 3.0 2 × USB 2.0
Скорость Wi-Fi, Мбит/с 300 + 867 800 + 1733 + 4600 800 + 1733 + 4600 300
Скорость Ethernet, Мбит/с 1000 1000 1000 + 1 ×10 Гбит/с 1000
Сетевые функции

Static IP, DHCP, PPPoE, PPTP, L2TP, 802.1x;

DHCP Relay; резервное 3G/4G-подключение + Ping checker, WMM, InteliQoS;

Dynamic IP/
Static IP/
PPPoE/

PPTP
(Dual Access)/
L2TP
(Dual Access),
MU-MIMO

Plex Media Server, MU-MIMO, DLNA-Server, VPN Support, Storage with media streaming FTP, DLNA, BitTorrent, DynDNS, IGMP, IP TV
Защита

фильтрация по порту/протокол/IP;

Packet Capture

Сетевой экран, родительский контроль, белый и черный списки, ручное управление правилами сетевого экрана Сетевой экран (SPI и NAT), защита от DDoS-атак, фильтр URL – белый и черный списки SPI, NAT, защита от DDoS, фильтр по URL/IP/MAC
Питание 12V/2.5A 12V/4.2A 19V/3.16A 12V/1.5A
Габаритные размеры, мм 187 × 122 × 37 230 × 230 × 43 224 × 168 × 74 158 × 110 × 32
Вес, кг 0,320 1,8 1,86 0,27
Комплектация Роутер, блок питания, кабель Ethernet, гарантийный талон, инструкция Роутер, блок питания, кабель Ethernet, краткое руководство по установке Роутер, блок питания, кабель Ethernet, краткое руководство по установке Роутер, блок питания, кабель Ethernet, компакт-диск, инструкция
Ориентировочная цена, руб. 6 020 21 860 26 900 4 600

Устройства оснащены пятипортовым коммутатором и построены на аппаратных платформах различных производителей, что сказывается на производительности. Модели имеют веб-интерфейс. Микропрограммное обеспечение регулярно обновляется в пределах жизненного цикла устройства.

Существенным недостатком устройств, представленных выше, является их закрытость. В течение жизненного цикла маршрутизатора производитель осуществляет техническую поддержку и следит за устранением уязвимостей в системе безопасности. Для осуществления данной задачи регулярно выпускаются обновления микропрограммного обеспечения устройства.

Таким образом, маршрутизация в компьютерных сетях – сложный механизм определения пути следования информации по линиям связи. Реализация данной задачи осуществляется с помощью специальных программно-аппаратных средств, называемых маршрутизаторами. Кроме обеспечения связи локально-вычислительных сетей с сетями операторов связи, маршрутизатор должен обладать средствами информационной защиты от различных угроз, а также осуществлять контроль потоков сетевого трафика.

Анализ возможностей показывает, что локальная сеть позволяет оптимизировать рабочий процесс и ускоряет взаимодействие между подразделениями колледжа и внешними организациями.

Список литературы:

1. Астахова И.Ф. Компьютерные науки. Деревья, операционные системы, сети / И.Ф. Астахова и др. М.: Физматлит, 2013.
2. Кузин А.В. Компьютерные сети: Учебное пособие. М.: Форум, НИЦ ИНФРА-М, 2013.
3. Олифер В. Компьютерные сети. Принципы, технологии, протоколы: Учебник для ВУЗов / В. Олифер. СПб.: Питер, 2012.
4. Стандарты QoS в IP-сетях. Модели качества обслуживания IntServ и DiffServ [Электронный ресурс] // Iptcp.net: информ.-справочный портал. М., 2015. URL: http://iptcp.net/modeli-kachestva-obsluzhivaniya-intserv-i-diffserv.html (дата обращения: 10.10.2017).
5. Таненбаум Э. Компьютерные сети / Э. Таненбаум. СПб.: Питер, 2013.
6. Шелухин О.И. Обнаружение вторжений в компьютерные сети (сетевые аномалии): Учебное пособие для вузов / О.И. Шелухин, Д.Ж. Сакалема, А.С. Филинова. М.: Гор. линия-Телеком, 2013.
7. IEEE, Std 802-2001: IEEE Standard for Local and Metropolitan Area Networks: Overview and Architecture, Available from http://standards.ieee.org/getieee802/download/802-2001.pdf (дата обращения: 12.10.2017).
8. Gont F., Security Assessment of the Transmission Control Protocol (TCP), Security Assessment of the Transmission Control Protocol (TCP), Internet draft, work in progress, Jan. 2011.
9. LAN/MAN Standards Committee of the IEEE Computer Society, IEEE Standard for Local and metropolitan area networks – Virtual Bridged Local Area Networks, 2005.

Мнение редакции может не совпадать с мнением авторов.

Просмотров 104