Для доступа к информационным ресурсам и сервисам предприятие должно иметь собственную компьютерную сеть и выход в интернет. Бесперебойная работа сетевой инфраструктуры обеспечивается качественным и надежным сетевым оборудованием: маршрутизаторами, коммутаторами и другими типами устройств.
Локальная вычислительная сеть колледжа охватывает все этажи колледжа и служит для обмена информацией между сотрудниками, а также для доступа в сеть интернет. Коммутирующая аппаратура обеспечивает связь различных сегментов сети между собой и позволяет добиться определенного уровня отказоустойчивости. В целях повышения качества работы сети все коммутаторы имеют поддержку функции управления потоком Flow Control, что позволяет предотвратить возможные перегрузки и коллизии.
Топология сети колледжа имеет тип «иерархическая звезда». Для фильтрации нежелательного содержимого различных веб-ресурсов используется прокси-сервер, осуществляющий работу с трафиком сотрудников и преподавателей на основе специальных правил, заданных специалистами отдела информатизации. Прокси-сервер является специальной службой, которая передает косвенные запросы к различным веб-ресурсам, предварительно производя фильтрацию контента согласно заданным правилам. Кроме указанного функционала, прокси-сервер позволяет распределить пользователей по категориям и запретить доступ для определенных групп к конкретному сайту или в интернет в целом, а также кэшировать веб-страницы, к которым часто обращаются пользователи, чтобы сэкономить трафик.
В колледже на различных площадках действуют высокопроизводительные многопроцессорные серверы, составляющие базовую, неотъемлемую часть локальной сети. Каждый сервер выполняет определенную задачу: фильтрация сетевых пакетов («файрвол»), хранение данных (файловые серверы), управление рабочими станциями пользователей (контроллер Active Directory) и так далее.
Управление рабочими станциями осуществляет контроллер домена Active Directory (AD). Контроллер AD осуществляет управление процессом входа пользователей в систему, а также определяет настройки операционной системы рабочей станции с помощью групповых политик. Работает контроллер под управлением операционной системы Windows Server 2012 R2.
На основе вышесказанного можно сформулировать следующие задачи, которые выполняются локальной сетью:
– предоставление доступа в сеть интернет с помощью MAN-сети вышестоящего оператора связи (ПАО МГТС);
– доступ к специальным версиям различных государственных площадок, которые доступны исключительно внутри корпоративной сети Департамента образования г. Москвы: специальная версия портала государственных услуг, ЕАИСТ, официальный сайт Единой информационной системы в сфере закупок, портал АО «Единая электронная торговая площадка» и прочих порталов;
– предоставление общего доступа к файловым хранилищам и возможность совместной работы по сети с использованием различных инструментов;
– централизованная антивирусная защита рабочих станций благодаря корпоративному серверу администрирования Kaspersky Security Center;
– предоставление доступа к сервисам корпоративной электронной почты Департамента образования города Москвы, которые доступы исключительно внутри локальной сети;
– совместное пользование различной копировальной техникой, которая подключена к сети: принтеры, многофункциональные устройства, плоттеры и прочие устройства;
– предоставление преподавателям сервисов для проверки знаний студентов с помощью программ комплексного тестирования;
– фильтрация сетевого трафика на границе с сетью вышестоящего оператора связи с помощью сетевого экрана, отслеживание попыток проникновение в локальную сеть колледжа и их предотвращение;
– использование пропускной способности локальной сети для трансляции происходящих в колледже мероприятий в сеть интернет;
– предоставление возможности администрации образовательного учреждения проводить видеоконференции и селекторные совещания через сеть интернет и внутри локальной сети между кампусами колледжа;
– предоставление доступа к электронной версии программ 1С: Кадры и 1С: Бухгалтерия отделу кадров и бухгалтерии соответственно.
Сеть колледжа архитектуры и градостроительства построена по типу иерархической топологии, участки которой, в свою очередь, построены по типам общей шины и пассивной звезды (в рамках конкретного участка сети все пользователи равноправны и подключены к коммутатору).
Иерархическая модель локальной сети объединяет в себе особенности топологий шина и звезда (рис. 1). Сеть делится на несколько подуровней, что существенно упрощает диагностику неисправностей. Кроме того, каждый отдельный сектор сети можно реализовать с учетом определенных требований. Несколько шин подключается к корневой системе, где размещаются основные компоненты локальной сети колледжа. Такая структура ЛВС позволяет охватить все этажи здания и используется обычно в организациях, насчитывающих более сотни потенциальных пользователей.
Рис 1. Логическая структура сети предприятия
Весь поступающий в сеть трафик проходит через высокопроизводительный сетевой экран. На данном этапе блокируется потенциально небезопасный трафик, некоторые виды широковещательных запросов, которые поступают в локальную сеть извне. Брандмауэр пропускает трафик, передаваемый только по определенным сетевым портам, которые разрешены политикой безопасности предприятия. Это обеспечивает дополнительную защиту от сетевых червей, троянских и прочих вредоносных программ, способных нанести вред элементам сетевой инфраструктуры организации.
Следующий этап – прокси-сервер. Данная служба, развернутая на физическом сервере под управлением Linux, осуществляет на основе правил фильтрацию контента, передаваемого по протоколам HTTP и HTTPS на рабочие станции.
После прохождения прокси-сервера, трафик распределяется коммутатором третьего уровня (который де-факто является маршрутизатором) по подсетям отделов. Рабочие станции в пределах одного или нескольких отделов объединены коммутаторами, количество портов каждого коммутатора зависит от количества пользователей, которых требуется к нему подключить.
Службы файлового сервера предоставляют общий доступ к централизованному месту хранения документов и различных мультимедиа-файлов.
Маршрутизатор (роутер) является активным сетевым оборудованием, и при использовании топологии «звезда» может исполнять роль центрального узла в сети. Иногда роутер заменяют Layer 3-коммутатором, который фактически берет на себя все обязанности по маршрутизации трафика в сети, при необходимости обладая поддержкой таких протоколов как Open Shortest Path First (OSPF), Border Gateway Protocol (BGP), Routing Information Protocol (RIP) и некоторых других проприетарныхпротоколов маршрутизации.
Маршрутизатор объединяет в себе возможности L2-коммутатора, сетевого моста и концентратора, а также обладает уникальными, присущими только ему возможностями: поддержка виртуальных частных сетей (VPN), брандмауэр, серверы DHCP и DNS, встроенным программным обеспечением маршрутизации мультикаст-трафика по протоколам PIM-SM (Protocol Independent Multicast Sparse Mode) и PIM-DM (Protocol Independent Multicast Dense Mode). Кроме того, осуществляется поддержка в актуальном состоянии таблицы маршрутизации – специальной базы данных, в которой содержатся соответствия адресов и интерфейсов, с помощью которых происходит общение с соседними маршрутизаторами.
Основной задачей роутера является бесперебойная, быстрая и эффективная маршрутизация трафика в локальной сети без коллизий и возможных дополнительных задержек. Этому способствует реализация в аппаратной части протоколов, которые позволяют ему осуществлять свою деятельность на сетевом уровне модели взаимодействия открытых систем OSI (Open Systems Interconnection).
Маршрутизатор является сложным техническим устройством и для его управления обычно предусмотрен доступ с использованием различных протоколов, например, SSH (Secure Shell). Может использоваться веб-интерфейс, представляющий из себя специальный сайт, который с помощью специальных протоколов взаимодействует с аппаратным обеспечением. Как правило, такие веб-ресурсы созданы с использованием скриптовых языков общего назначения, таких как PHP и Javascript.
Маршрутизатор составляет таблицу маршрутизации на основе сведений, полученных от протоколов маршрутизации и с учетом параметров, заданных непосредственно системным администратором.
Таблица маршрутизации должна соответствовать топологии сети. Поддержка таблицы в актуальном состоянии осуществляется с помощью динамических протоколов маршрутизации или осуществляется непосредственно администратором сети вручную, путем конфигурации записей.
Существуют различные механизмы маршрутизации, которые используются роутером для составления и поддержания в актуальном состоянии таблицы маршрутизации. Как правило, используется комбинация следующих методов: прямое соединение, статическая маршрутизация, маршрутизация по умолчанию, динамическая маршрутизация.
Различают два семейства протоколов маршрутизации – протоколы внутренних шлюзов Interior Gateway Protocol (IGP) и протоколы внешних шлюзов Exterior Gateway Protocol (EGP). Эти группы по-разному классифицируются при взаимодействии с автономными системами.
При проектировании маршрутизатора, в общем случае под архитектурой понимается совокупность аппаратных и программных средств, которые позволяют совместить процессы маршрутизации и коммутации в одном устройстве.
Как правило, маршрутизатор включает в себя сетевые интерфейсы для подключения сетевых кабелей (беспроводной интерфейс, витая пара или оптоволокно), узлы обработки, узлы буферизации и подсистему коммутации (коммутационную фабрику). Пакеты, которые поступают на сетевые интерфейсы, поступают на обработку или сохраняются в буфере. Далее они поступают в подсистему коммутации на выходной интерфейс и по каналу связи передаются следующему маршрутизатору согласно таблице маршрутизации.
Структура маршрутизатора в общем виде представлена на рисунке 2, структура базовой конструкции маршрутизатора в общем виде – на рисунке 2а. Сюда относится плата управления с центральным микропроцессором, интерфейсные модули и плата основная плата соединения. Каждый интерфейсный модуль оснащен адаптером приема и отправки пакетов и обладает механизмом кэширования записей таблицы маршрутов и способен выполнять форсированную обработку пакетов. Соединительная (основная) плата отвечает за взаимодействие электронных компонентов между собой.
Основную функциональность маршрутизатора можно разделить на три части: обработка маршрутов и передача пакетов (рис. 2б, основные функции), а также специальные сервисы, куда входят такие процессы, как: преобразование сетевых пакетов, распределения приоритета трафика, инкапсуляция, фильтрация пакетов и обеспечение защиты от несанкционированного доступа.
Рис. 2. Структура и принципы функционирования IP-маршрутизатора
Быстродействие маршрутизатора напрямую зависит от вычислительной мощности центрального процессора, пропускной способности памяти и шин передачи данных. Процесс обработки пакетов протокола IP определяет общую производительность устройства применительно к маршрутизаторам. Благодаря распределенной архитектуре, становится возможным осуществить процессдекомпозиции протокола и выполнить его параллельную обработку, при этом отделив задачи маршрутизации от критических по времени, связанных с обработкой IP-заголовков пакетов.
В настоящее время представлено множество моделей беспроводных маршрутизаторов с различной стоимостью, которые сочетают аппаратную платформу и программное обеспечение.
Сравнительные характеристики роутеров потребительского класса изложены в таблице 1. Все эти модели в данный момент представлены на рынке и обладают схожими характеристиками. Скорость портов Ethernet всех представленных моделей составляет 1 Гбит/с.
Таблица 1
| Наименование модели | Zyxel Keenetic Giga 3 | TP-LINK Talon AD7200 |
NETGEAR NighthawkX10-AD7200 |
ZyXEL Keenetic Giga 2 |
| Центральныйпроцессор | Mediatek MT7621S | Qualcomm IPQ8064 | Annapurna Labs AL314 | Mediatek RT6586 |
| Частотапроцессора, МГц | 800 | 1400 × 2 | 1700 × 4 | 700 |
| Объём ОЗУ, МБ | 256 | 512 | 1024 | 256 |
| Объём флеш-памяти, МБ | 128 | 256 | 512 | 16 |
| Сетевой коммутатор | MediaTek MT7621ST | Qualcomm Atheros QCA8337 | Qualcomm Atheros QCA8337 × 2 | Realtek RTL8367RB |
| Диапазон частот, ГГц | 2,4 + 5 | 2,4 + 5 + 5 (60 МГц) | 2,4 + 5 + 5 (60 МГц) | 2,4 |
| Стандарты Wi-Fi | 802.11 a/b/g/n/ac |
802.11
a/b/g/n/ac/ad |
802.11
a/b/g/n/ac/ad |
802.11b/g/n |
| Антенны | 2 внутренние;
2 внешние |
1 внутренняя;
8 внешние |
4 внутренние;
4 внешние |
2 внешние |
| Количество антенн | 4 | 9 | 3 | 2 |
| Порты LAN | 4 | 4 | 6 + 1 SFP | 4 |
| Порты WAN | 1 | 1 | 1 | 1 |
| Порты USB | 1 × USB 2.0, 1 × USB 3.0 |
2 × USB 3.0 | 2 × USB 3.0 | 2 × USB 2.0 |
| Скорость Wi-Fi, Мбит/с | 300 + 867 | 800 + 1733 + 4600 | 800 + 1733 + 4600 | 300 |
| Скорость Ethernet, Мбит/с | 1000 | 1000 | 1000 + 1 ×10 Гбит/с | 1000 |
| Сетевые функции | Static IP, DHCP, PPPoE, PPTP, L2TP, 802.1x;
DHCP Relay; резервное 3G/4G-подключение + Ping checker, WMM, InteliQoS; |
Dynamic IP/ Static IP/ PPPoE/PPTP (Dual Access)/ L2TP (Dual Access), MU-MIMO |
Plex Media Server, MU-MIMO, DLNA-Server, VPN Support, Storage with media streaming | FTP, DLNA, BitTorrent, DynDNS, IGMP, IP TV |
| Защита | фильтрация по порту/протокол/IP;
Packet Capture |
Сетевой экран, родительский контроль, белый и черный списки, ручное управление правилами сетевого экрана | Сетевой экран (SPI и NAT), защита от DDoS-атак, фильтр URL – белый и черный списки | SPI, NAT, защита от DDoS, фильтр по URL/IP/MAC |
| Питание | 12V/2.5A | 12V/4.2A | 19V/3.16A | 12V/1.5A |
| Габаритные размеры, мм | 187 × 122 × 37 | 230 × 230 × 43 | 224 × 168 × 74 | 158 × 110 × 32 |
| Вес, кг | 0,320 | 1,8 | 1,86 | 0,27 |
| Комплектация | Роутер, блок питания, кабель Ethernet, гарантийный талон, инструкция | Роутер, блок питания, кабель Ethernet, краткое руководство по установке | Роутер, блок питания, кабель Ethernet, краткое руководство по установке | Роутер, блок питания, кабель Ethernet, компакт-диск, инструкция |
| Ориентировочная цена, руб. | 6 020 | 21 860 | 26 900 | 4 600 |
Устройства оснащены пятипортовым коммутатором и построены на аппаратных платформах различных производителей, что сказывается на производительности. Модели имеют веб-интерфейс. Микропрограммное обеспечение регулярно обновляется в пределах жизненного цикла устройства.
Существенным недостатком устройств, представленных выше, является их закрытость. В течение жизненного цикла маршрутизатора производитель осуществляет техническую поддержку и следит за устранением уязвимостей в системе безопасности. Для осуществления данной задачи регулярно выпускаются обновления микропрограммного обеспечения устройства.
Таким образом, маршрутизация в компьютерных сетях – сложный механизм определения пути следования информации по линиям связи. Реализация данной задачи осуществляется с помощью специальных программно-аппаратных средств, называемых маршрутизаторами. Кроме обеспечения связи локально-вычислительных сетей с сетями операторов связи, маршрутизатор должен обладать средствами информационной защиты от различных угроз, а также осуществлять контроль потоков сетевого трафика.
Анализ возможностей показывает, что локальная сеть позволяет оптимизировать рабочий процесс и ускоряет взаимодействие между подразделениями колледжа и внешними организациями.
Список литературы:
Мнение редакции может не совпадать с мнением авторов.
Спасибо!
Теперь редакторы в курсе.