Технические средства защиты ЛВС

Периферийная маршрутизация

Трафик в сети предприятия идет в основном между удаленным филиалом и центральным офисом. По этой причине достаточно иметь всего один канал для соединения удаленной локальной сети с центральной. Трафик между удаленными узлами можно пропускать через центральный маршрутизатор. Для реализации этой идеи 3Com предложила архитектуру периферийной маршрутизации. Периферийный маршрутизатор делегирует центральному все сложные функции по маршрутизации трафика, а сам должен принять простое решение: пересылать пакет по единственному каналу или нет. Тем самым исключается необходимость построения таблиц маршрутизации. Кроме того, сетевой администратор может управлять периферийным маршрутизатором с центральной консоли.

Архитектура маршрутизаторов

Однопроцессорная архитектура

Используется несколько сетевых интерфейсных модулей (СИМ), которые соединяются с единственным центральным процессором через общую шину. Центральный процессор выполняет все задачи обработки:

- фильтрацию и продвижение пакетов;

- необходимую модификацию заголовков пакетов;

- обновление таблиц маршрутизации и сетевых адресов;

- интерпретацию служебных управляющих пакетов;

- предоставление ответов на SNMP-запросы;

- формирование управляющих пакетов;

- иные специфические серверные услуги, позволяющие добиться улучшения характеристик безопасности и производительности сети.

Достоинства архитектуры:

- гибкость в конфигурировании устройств за счет использования нескольких СИМ;

- простота реализации.

Недостатки архитектуры:

- загруженность ЦП, особо ощущаемая при добавлении до-полнительных сетевых интерфейсов;

- вынужденное двойное прохождение по шине каждого пакета - от СИМ к ЦП и обратно, даже если он (пакет) предназначен тому же самому сетевому интерфейсу, с которого поступил;

- низкая надежность - сбой ЦП ведет к нарушению работоспособности всего маршрутизатора;

- невозможность реализации "горячего" восстановления.

Модифицированная однопроцессорная архитектура

В целом однопроцессорная архитектура сохранена, но в каждый СИМ включен специальный периферийный процессор (ПП), чтобы частично разгрузить ЦП. Периферийный процессор, как правило, представляет из себя разрядно-модульный или универсальный микропроцессор, фильтрую-щий и маршрутизирующий пакеты, предназначенные сетевому интерфейсу того же модуля, с которого получены. Достигаемая таким образом оптимизация производительности достаточно ограничена.

SMP-архитектура

Симметрично-многопроцессорная архитектура лишена недостатков, присущих первым двум архитектурам. В этом случае вычислительные мощности полностью распределяются между всеми СИМ. Каждый СИМ занимается всеми задачами, связанными с маршрутизацией. При этом все таблицы маршрутизации, другая необходимая информация, а также реализующее протоколы программное обеспечение скопированы на каждый процессорный модуль.

Когда процессорный модуль получает информацию о маршрутизации, он обновляет собственную таблицу, а затем распространяет обновления по всем другим процессорным модулям.

Достоинства архитектуры:

- возможность значительного расширения сети (за счет добавления СИМ) без заметного падения производительности;

- обработка всех пакетов локальными процессорами и передача по каналу связи только однажды;

- высокая надежность системы (поломка процессора ведет к выходу из строя только тех сегментов, которые с ним соединены);

- возможность "горячей" замены модуля.

КОММУТАТОР

Коммутатор - это устройство узкого назначения, который эффективно сегментирует сеть, уменьшает области столкновений и увеличивает пропускную способность каждой оконечной станции. Работает с протоколами второго уровня модели OSI. Прозрачность по отношению к протоколам позволяет устанавливать коммутаторы в многопротокольных сетях. Коммутация не ограничивает широковещательного трафика.

Различают два способа коммутации: без промежуточного накопления (коммутация на лету) и с промежуточным накоплением.

Коммутация без промежуточного накопления

Передача начинается, как только декодирован адрес назначения, содержащийся в заголовке кадра. Основной недостаток - появление испорченных кадров. Способ дает наибольший эффект, если трафик коммутируется между портами с одинаковой скоростью обмена.

Архитектура коммутации на лету реализуется двояко:
1. Cross-bar ("перекрестный"). Коммутатор читает адрес назначения и незамедлительно начинает продвижение пакета по маршруту к ожидающему выходному буферу. Возможно возникновение задержки, если другой кадр уже загружается в выходной буфер.

2. Cell-backplane ("снабженный шиной, передающей ячейки"). Кадр фрагментируется на несколько небольших ячеек фиксированной длины. Каждая ячейка помечается специальным заголовком, который содержит адрес назначения. Ячейки накапливаются в буфере порта назначения и вновь объединяются в исходный кадр, который передается в сегмент назначения. Коммутаторы этого типа являются более предпочтительными в сетях с особо напряженным трафиком.

Коммутация с промежуточным накоплением

Передача кадра осуществляется только после его полного приема и проверки. При выборе коммутатора данного типа важно учесть размер таблицы коммутатора.

Достоинство: обеспечивает более надежное обнаружение ошибок, чем устройства, коммутирующие на лету.

Недостаток: увеличивается задержка пропорционально размеру пакета.

СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕСПЕРЕБОЙНОГО ПИТАНИЯ

Большой вред работе сети может нанести отключение электропитания или значительное падение напряжения в сети. Если сбой электропитания произойдет во время записи данных на диск, файл может оказаться испорченным. Для защиты данных в случае возникновения таких ситуаций в ЛВС применяются источники бесперебойного питания. ИБП - это устройство, основным элементом которого является аккумуляторная батарея. При отключении питания или при резком падении напряжения необходимый уровень напряжения поддерживается ИБП. Батареи ИБП непрерывно подзаряжаются от внешней электросети. Даже в случае отключения питания ИБП способен сохранять работоспособность компьютера в течение длительного периода времени. Этот период зависит от мощности, потребляемой компьютером, и от мощности ИБП, которая измеряется в вольтамперах.

ИБП обычно поставляется вместе со специальными платами-адаптерами, которые устанавливаются в свободный слот на материнской плате. Сетевая ОС взаимодействует с адаптером ИБП, и в случае сбоя в системе электропитания оповещает об этом рабочие станции, закрывает все открытые файлы и выдает сообщение о необходимости отключения сервера.

Выделяют два типа ИБП: Back-UPS и Smart-UPS. Основное отличие моделей Smart-UPS - наличие встроенного микропроцессора. Благодаря этому они обладают расширенными возможностями самодиагностики и обеспечивают более интеллектуальный интерфейс с программно-техническими средствами контроля и управления сетью.

В ЛВС имеет смысл снабжать ИБП только серверы сети. Целесообразно также обеспечить стабилизированное питание и для наиболее важного сетевого оборудования: концентраторов, маршрутизаторов, коммутаторов и рабочей станции администратора сети.

Наличие источника бесперебойного питания (ИБП), однако, еще недостаточно для надежной работы сети при нарушениях электро-питания, поскольку после отказа электросети необходимо до исчерпания заряда батареи предупредить пользователей, сохранить данные на сервере и отключить его.

Для автоматического контроля и диагностики состояния ИБП рекомендуется использовать специальное программное обес-печение (например, PowerChute Plus). При переходе ИБП на питание от аккумулятора программа периодически предупреждает пользователей о приближающемся отключении сервера, что позволяет им закончить работу и выйти из сети. Если электропитание восстановилось, пользователи получают сообщение об этом и могут продолжать работу, в противном случае сервер автоматически закрывается. Программа PowerChute Plus в сочетании со Smart-UPS позволяет также постоянно контролировать и выводить на экран в числовом и графическом виде характеристики системы электропитания: напряжение и частоту электросети, напряжение и температуру аккумуляторной батареи, текущую мощность подключенных потребителей и др. Анализ этих данных позволяет обнаружить потенциальные проблемы с электропитанием.

ПРИНЦИПЫ ПЕРЕДАЧИ ИНФОРМАЦИИ В СЕТИ

В 70-е годы в связи с расширяющимися масштабами разработки и внедрения телекоммуникационных и вычислительных сетей было решено сформулировать единую модель взаимодействия систем и се-тей. Это было поручено Комитету по вычислительной технике и обработке информации Международной организации по стандартизации (ISO - International Standards Organization). В 1979 году эта организация опубликовала модель архитектуры вычислительной сети, так называемую "семиуровневую модель взаимодействия открытых систем" (OSI - Open System Interconnection). Эта модель является международным стандартом для передачи данных.

Семиуровневая модель является основой как для анализа существующих систем, так и для создания новых стандартов и систем. Под открытостью системы понимается возможность расширения и реконфигурации.

СЕМИУРОВНЕВАЯ МОДЕЛЬ

Модель ISO содержит семь отдельных уровней:

1)     физический - битовые протоколы передачи информации;

2)     канальный - формирование кадров, управление доступом к среде;

3)     сетевой - маршрутизация, управление потоками данных;

4)     транспортный - обеспечение взаимодействия удаленных процессов;

5)     сеансовый - поддержка диалога между удаленными процессами;

6)     представления данных - интерпретация передаваемых данных;

7)     прикладной - пользовательское управление данными.

Первые четыре уровня образуют транспортную сеть, а три последних - сеть обработки данных.

Основная идея этой модели заключается в том, что каждому уровню отводится конкретная роль, в том числе и транспортной среде. Благодаря этому общая задача передачи данных расчленяется на отдельные легкообозримые задачи. Необходимые соглашения для связи одного уровня с выше и нижерасположенными называют протоколом. Стандартизируются не интерфейсы между уровнями, а протоколы связи соответствующих устройств между уровнями. 

Физический уровень

На физическом уровне определяются электрические, механические, функциональные и процедурные параметры для физической связи в системах. Физическая связь и неразрывная с ней эксплуатационная готовность являются основной функцией 1-го уровня. Физический уровень обеспечивает интерфейс между машиной и средой передачи дискретных сигналов. Он определяет, как кабель должен быть подключен к сетевой карте, то есть, например, количество контактов у коллектора и функциональную нагрузку контактов. Также он определяет, какая техника передачи используется, распознает бит синхронизации, осуществляет достоверный прием битов, определяет амплитуду и длительность импульса.

Стандарты физического уровня включают рекомендации V.24 MKKTT (CCITT), EIA RS232 и Х.21. Стандарт ISDN (Integrated Services Digital Network) в будущем сыграет определяющую роль для функций передачи данных. В качестве среды передачи данных используют трехжильный медный провод (экранированная витая пара), коаксиальный кабель, оптоволоконный проводник и радиорелейную линию.

Канальный уровень

Канальный уровень формирует из данных, передаваемых 1-м уровнем, так называемые "кадры" и последовательности кадров. На этом уровне осуществляются управление доступом к передающей среде, используемой несколькими ЭВМ, синхронизация, обнаружение и исправление ошибок.

Стандарт канального уровня - HDLC (High Data Link Control).

Сетевой уровень

Сетевой уровень устанавливает связь в вычислительной сети между двумя абонентами. Соединение происходит благодаря функциям маршрутизации, которые требуют наличия сетевого адреса в пакете. Сетевой уровень должен также обеспечивать обработку ошибок, мультиплексирование, управление потоками данных. Самый известный стандарт, относящийся к этому уровню, - рекомендация Х.25 MKKTT (для сетей общего пользования с коммутацией пакетов).

Сетевой уровень реализует дополнительные функции маршрутизации по переводу логических адресов и имен в физические. Это делается для того, чтобы обеспечить возможность передачи по нескольким кана-лам одной или нескольких сетей.

Транспортный уровень

Транспортный уровень поддерживает непрерывную передачу данных между двумя взаимодействующими друг с другом пользовательскими процессами. Качество транспортировки, безошибочность передачи, независимость вычислительных сетей, сервис транспортировки из конца в конец, минимизация затрат и адресация связи гарантируют непрерывную и безошибочную передачу данных.

Транспортный уровень реализует взаимодействие процессов в подключенных машинах и сквозное управление движением пакетов, то есть упаковку и распаковку пакетов для увеличения эффективной передачи.

Сеансовый уровень

Сеансовый уровень координирует прием, передачу и выдачу одного сеанса связи. Для координации необходимы контроль рабочих параметров, управление потоками данных промежуточных накопителей и диалоговый контроль, гарантирующий передачу, имеющихся в распоряжении данных. Кроме того, сеансовый уровень содержит дополнительно функции управления паролями, подсчета платы за пользование ресурсами сети, управления диалогом, синхронизации и отмены связи в сеансе передачи после сбоя вследствие ошибок в нижерасположенных уровнях.