Учебное пособие к курсовому проектированию по курcам «Сети эвм» и«Глобальные сети» Проектирование сети кампуса Москва 2003

Вид материала

Учебное пособие

Содержание Подсети. Важно, что организация подсетей имеет локальную конфигурацию, она невидима для остального мира. Организизация подсетей. Для организации подсетей необходимо выполнить ряд шагов, которые будут пояснены ниже Определение сетевой маски и сетевых адресов. Самой малой 4176Ms office'97 rus Название группы Сотрудники в офисе Сотрудники вне офиса Поставщики, деловые партнеры, клиенты Потенциальные клиенты

Подобный материал:

• Лекция Глобальные сети. Интернет. Корпоративные компьютерные сети, 89.75kb.
• Учебно-методический комплекс дисциплины операционные системы, среды и оболочки Специальность, 342.48kb.
• «Локальные и глобальные компьютерные сети», 680.06kb.
• Учебная дисциплина «Сети ЭВМ и телекоммуникации», 66.46kb.
• Разработка мероприятий по охране труда при монтаже сети, 119.45kb.
• Урок информатики. Тема урока: Локальные и глобальные компьютерные сети. Обмен данными, 10.5kb.
• Реферат по предмету : сети ЭВМ на тему : Построение сети предприятия, 569.95kb.
• Сети ЭВМ и телекоммуникации пособие к выполнению лабораторных работ начальные сведения, 441.17kb.
• Учебное пособие Издательство спбгпу санкт-Петербург, 1380.47kb.
• Глобальные сети обычно разворачивают на цифровых телекоммуникационных каналах, выделенных, 253.33kb.

Подсети. Важно, что организация подсетей имеет локальную конфигурацию, она невидима для остального мира.

Организация крупных сетей (например, класса А) вызывает очевидные проблемы с огромным трафиком и администрированием, если все компьютеры на большом сайте должны быть связаны с той же самой сетью: попытка управлять таким огромным чудовищем была бы кошмаром и сеть бы терпела крах от загрузки собственным трафиком.

Для этого вводят организацию подсетей: адрес сети класса A может быть разбит на несколько (если не много) отдельных сетей. Управлять каждой отдельной сетью значительно проще.

Это позволяет управлять небольшими сетями и, весьма возможно, использовать различные технологии организации сетей. Нельзя смешивать Ethernet, Token Ring, FDDI, ATM и т.п. на одном физическом сегменте сети, но сегменты на разных технологиях могут быть связаны друг с другом.

Другие причины для организации подсетей:

Реализовать физическую инфраструктуру, связывающую отдельные подсети. Организация подсетей позволяет это сделать, используя единственный сетевой номер. Сейчас это обычно делают интернет-провайдеры, которые желают дать своим постоянным клиентам с локальными сетями статические IP адреса.

Сеть перегружена. Ее разбивают на подсети так, чтобы трафик был сосредоточен внутри подсетей, разгружая таким образом всю сеть, без необходимости увеличивать ее общую пропускную способность.

Разделение на подсети может быть продиктовано соображениями безопасности, т.к. трафик в общей сети может быть перехвачен. Организация подсетей обеспечивает способ, позволяющий предохранить подразделение от несанкционированного доступа.

Имеется оборудование, которое использует различные технологии организации сетей, и есть потребность связать их (как упомянуто выше).

Организизация подсетей. Для организации подсетей необходимо выполнить ряд шагов, которые будут пояснены ниже:

• Установить физическую связанность (сетевые соединения - типа маршрутизаторов).
  
• Решить, какого размера должна быть каждая подсеть, т.е. какое количество IP-адресов требуется для каждого сегмента.
  
• Определить соответствующую сетевую маску и сетевые адреса.
  
• Установить каждому интерфейсу на каждой сети его собственный IP адрес и соответствующую сетевую маску;
  
• Установить направления связи на маршрутизаторах и соответствующих шлюзах, направления связи и/или заданные по умолчанию направления связи на сетевых устройствах;
  
• Протестировать (проверить) систему, исправить ошибки.
  

В качестве примера предположим, что организуется подсеть класса C с номером: 192.168.1.0

Это предусматривает максимум 254 связанных интерфейсов (хостов), плюс обязательный сетевой номер (192.168.1.0) и широковещательный адрес (192.168.1.255).

Установка физической связанности. Чтобы выполнить физическое размещение, необходимо установить правильную инфраструктуру для всех устройств, которые следует связать.

Необходимо использовать коммутационные элементы, чтобы связть различные сегменты вместе (маршрутизаторы, коммутаторы, хабы и т.д.).

Детальная конфигурация для каждого применения определяется конкретными условиями и особенностями размещения сети. Рекомендации и советы на эту тему, которые полезно здесь использовать, доступны также в ряде конференций (например, comp.os.linux.networking).

Установление размеров подсети. Каждая сеть имеет два адреса, не используемых для сетевых интерфейсов (компьютеров) - сетевой номер сети (нули в поле адреса хоста) и широковещательный адрес (единицы в поле адреса хоста). Когда организуются подсети, каждая из них требует собственный, уникальный IP адрес и широковещательный адрес.

Таким образом, разделение сети на две подсети приводит к тому, что образуются два адреса сети и два широковещательных адреса - увеличивается число "неиспользуемых" адресов интерфейсов; создание 4-х подсетей приведет к образованию 8-и неиспользуемых адресов интерфейсов и т.д.

Фактически, самая маленькая пригодная для использования подсеть состоит из 4 IP адресов:

• Два используются для интерфейсов - один для маршрутизатора в этой сети, другой для единственной машины в этой сети.
  
• Один адрес сети.
  
• Один широковещательный адрес.
  

При использовании масок одинаковой длины можно получить одинаковые размеры подсетей, однако, можно делить сеть на подсети, или объединять подсети в более крупную подсеть.

При разработке сети целесообразно организовать минимальное число отдельных локальных сетей, которые были бы совместимы по управлению, физическому размещению, по оборудованию и безопасности.

Определение сетевой маски и сетевых адресов. Сетевая маска позволяет разделить сеть на несколько подсетей. Сетевая маска для исходной сети, не разделенной на подсети, - это просто четверка чисел, которая имеет все биты в полях сети, установленные в '1' и все биты в поле номера хоста, установленные в '0'.

Таким образом, для трех классов сетей стандартные сетевые маски выглядят следующим образом:

Класс A (8 сетевых битов) : 255.0.0.0

Класс B (16 сетевых бита): 255.255.0.0

Класс C (24 сетевых бита): 255.255.255.0

Способ организации подсетей заимствует (один или более) биты номера хоста и интерпретирует эти заимствованные биты, как часть сетевых битов. Например, для сети класса C с сетевым номером 192.168.1.0 возможно несколько случаев:

Число

Число машин

подсетей на сеть Сетевая маска

2 126 255.255.255.128 (11111111.11111111.11111111.10000000)

4 62 255.255.255.192 (11111111.11111111.11111111.11000000)

8 30 255.255.255.224 (11111111.11111111.11111111.11100000)

16 14 255.255.255.240 (11111111.11111111.11111111.11110000)

32 6 255.255.255.248 (11111111.11111111.11111111.11111000)

64 2 255.255.255.252 (11111111.11111111.11111111.11111100)

Выбрав подходящую сетевую маску, необходимо определить сетевые, широковещательные адреса и диапазоны адресов для получившихся сетей. Рассматривая сетевые номера класса C и отражая только заключительную часть адреса сети, можно получить:


Сетевая маска Подсетей Адр. Шир.вещат. МинIP МаксIP Хостов Всего хостов подсети адрес адрес адрес

--------------------------------------------------------------------------------

128 2 0 127 1 126 126

128 255 129 254 126 252


192 4 0 63 1 62 62

64 127 65 126 62

128 191 129 190 62

192 255 193 254 62 248


224 8 0 31 1 30 30

32 63 33 62 30

64 95 65 94 30

96 127 97 126 30

128 159 129 158 30

160 191 161 190 30

192 223 193 222 30

224 255 225 254 30 240


При увеличении числа подсетей сокращается число доступных адресов для компьютеров.

Проектируя конкретную сеть (предприятия, кампуса), теперь можно назначить адреса машин, сетевые адреса и сетевые маски.

Маршрутизация. Для примера, в процессе проектирования сети здания принято решение раздели сеть класса C с адресом IP 192.168.1.0 на 4 подсети (в каждой пригодно для использования 62 IP адреса). Однако, две из этих подсетей целесообразно объединить в общую большую сеть, таким образом, формируются три физических сети.


Network Broadcast Netmask Hosts

192.168.1.0 192.168.1.63 255.255.255.192 62

192.168.1.64 192.168.1.127 255.255.255.192 62

182.168.1.128 192.168.1.255 255.255.255.126 124


Заметим, что последняя сеть имеет только 124 сетевых адреса (не 126, как ожидалось бы от сетевой маски) и является сетью, объединившую две подсети. Компьютеры в других двух сетях интерпретируют адрес 192.168.1.192 как сетевой адрес 'несуществующей' подсети. Подобно они будут интерпретировать 192.168.1.191 как широковещательный адрес 'несуществующей' подсети.

Так, если используются 192.168.1.191 или 192 как адреса хостов в третьей подсети, тогда компьютеры двух малых подсетей не смогут связаться с ними.

Это иллюстрирует важный момент при работе с подсетями - пригодные для использования адреса определяются САМОЙ МАЛОЙ подсетью в этом локальном адресном пространстве.

Таблицы маршрутизации. Маршрутизатор для этой сети будет иметь три сетевых карты к локальным сетям и четвертый интерфейс для связи с Internet (который является шлюзом по умолчанию).

Пусть маршрутизатор использует самый первый доступный IP адрес в каждой подсети. Конфигурация сетевых карт будет следующей:


Interface Сеть PortIP Address Netmask

eth0 192.168.1.0 192.168.1.1 255.255.255.192

eth1 192.168.1.64 192.168.1.65 255.255.255.192

eth2 192.168.1.128 192.168.1.129 255.255.255.128


Таблица маршрутизации при данной конфигурации будет такой

Destination Gateway Genmask Iface

192.168.1.0 0.0.0.0 255.255.255.192 eth0

192.168.1.64 0.0.0.0 255.255.255.192 eth1

192.168.1.128 0.0.0.0 255.255.255.128 eth2


Организация кампусной сети. Кампусная сеть состоит обычно из сетевых структур нескольких корпусов зданий, принадлежащих одной организации. Структура сети строится на основе структуированной кабельной системы (СКС, стандарт ISO 11801). Сеть каждого здания обычно выглядит таким образом, что на каждом этаже организована горизонтальная подсистема, соединяющая рабочие станции с коммутационным центром этажа. Коммуникационный центр этажа кроме коммутационной стойки (или панели) использует активное сетевое оборудование – концентратор или коммутатор Для подключения рабочих станций целесообразно использовать витую пару категории 5 и сеть Ethernet или Fast Ethernet (с учетом перспективы развития). При большой протяженности этажа может быть организован дополнительный коммуникационный центр или использовано каскадное соединение концентраторов или коммутаторов. Напомним, что при каскадировании концентраторов необходимо соблюдение соответствующих правил ( 4-х хабов, 1 или 2-х хабов) или должен проводиться соответствующий расчет задержек (расчет PDV, PVV).

Перспективно использовать на этаже коммутаторы, в том числе способные поддерживать технологию VLAN. В некоторых конкретных случаях бывает целесообразно объединить в одном коммуникационном центре горизонтальные подсистемы смежных этажей.

Согласно методологии СКС трафик горизонтальных подсистем здания объединяется посредством вертикальной подсистемы в коммуникационном центре здания. Здесь в качестве активных коммуникационных элементов в соответствии с масштабом сети рационально использовать коммутаторыв частности, коммутаторы третьего уровня или маршрутизаторы. Такие коммутаторы могут реализоваться по схеме стянутой в точку магистрали и назначаются для маршрутизации потока здания по этажам. При этом каждый этаж представляется отдельной подсетью, а маршрутизация реализс использованием масок подсетей (как описано выше).

К такому коммутатору часто подключаются и централизованные серверы зданий, для связи с которыми часто предусматривают использование технологии Port trunking. Реализация каналов связи в вертикальных подсистемах обычно предусматривает использование витой пары категории 5 или оптоволокна (предпочтительно для многоэтажных зданий). В некоторых случаях из экономических соображений используется толстый коаксиальный кабель.

Объединение коммуникационных центров зданий, расположенных на значительных расстояниях (порядка 10 км и более), обычно производится с помощью сети FDDI на оптоволоконных каналах. При более компактном расположении зданий кампуса используется сеть на коммутаторах третьего уровня с распределенной магистралью, при чем коммутаторы зданий связываются по схеме «каждый с каждым», образуя структуру с избыточными связями. При этом коммутаторы зданий должны поддерживать технологию «Spanning Tree».Для повышения производительности, как и прежде, можно использовать технологию Port trunking. В соответствии со стандартом IEEE 802.3ad максимальное число каналов в транке – восемь.

Связь с внешней (глобальной) сетью осуществляется через выделеный внешний марутизатор, использующий внешние реальные IP адреса для выхода в глобальную сеть и технологию NAT или NAPT.


6.2.6 Спецификация ЛВС

По результатам проектирования составляется спецификация ЛВС. Пример спецификации ЛВС показан в таблице 6.

Таблица 6- Технические средства (ТС) вычислительной сети.

NNN	Тип ТС	Наименование ТС	Цена ТС, у.е.	Кол-во ТС, шт.	Стоимость ТС, у.е.
1	Сервер	Компьютер Pentium 166 MMX, RAM 16 sdram, HDD 1.6 Gb, VM 14" mono	783	1
2	Сетевой адаптер	Ethernet 3COM	95	50	475
3	Линия связи	Кабель коаксиальный RG 58	0.6 1м	700 м	420
4	Активные концентраторы	HUB 8-port 10Mbs	175	4	740
5	Разъемы	BNC connector	2	100	200
6	Разъемы	T - connector	2	50	100
7	Сетевой принтер	HP Laser Jet 5	1610	1	1610
Программное обеспечение
8	Сетевая операционная система	MS Windows NT 4 Server	4176	1	4176
9	Интегрированная офисная система	4176MS OFFICE'97 RUS	407	1	407

6.2.7 Планирование информационной безопасности

Защита информации включает в себя комплекс мероприятий, направленных на обеспечение информационной безопасности. На практике под этим понимается поддержание целостности, доступности и, если нужно, конфиденциальности информации и ресурсов, используемых для ввода, хранения, обработки и передачи данных [8].

Информационная безопасность - это защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуры [8].

Основной критерий для выбора уровня защиты - важность информации. Если в проектируемой вычислительной сети будут обрабатываться конфиденциальные данные, следует выбрать централизованную защиту на основе сервера (независимо от количества обслуживаемых пользователей).

На этом этапе необходимо для разработанной архитектуры ЛВС и требований к ее безопасности с учетом области применения произвести следующие работы:

• составить таблицу угроз информационной безопасности;
  
• составить таблицу прав доступа пользователей к информации;
  
• составить перечень (таблицу) мероприятий по защите информации.
  

Всем защитным мерам должен предшествовать анализ угроз. К числу угроз можно отнести все, что влечет за собой потерю данных в сети, в том числе:

• воровство или вандализм;
  
• пожар;
  
• отказы источников питания и скачки напряжения;
  
• отказы компонентов;
  
• природные явления (молния, наводнения, бури и землетрясения).
  

Существуют методы и системы, предотвращающие катастрофическую потерю данных:

• резервное копирование на магнитную ленту;
  
• источники бесперебойного питания;
  
• отказоустойчивые системы;
  
• предупреждение кражи данных;
  
• пароли и шифрование;
  
• аудит;
  
• бездисковые компьютеры;
  
• обучение пользователей;
  
• физическая защита оборудования;
  
• защита от вирусов
  

Аудит - это запись определенных событий в журнал безопасности сервера.

В проекте нужно выбрать методы и системы для предотвращения потери данных, соответствующие перечню наиболее реальных угроз безопасности в заданной предметной области, приводящих к наиболее тяжелым последствиям для вычислительной сети.Необходимой функцией средств обеспечения безопасности является регистрация деятельности пользователей. Для каждой базы данных, отдельного документа и даже отдельного поля записи в файле базы данных могут быть установлены:

• список пользователей, имеющих право доступа;
  
• функции, которые может выполнять пользователь;
  
• привилегии для доступа к выбранной информации.
  

В проектируемой вычислительной сети нужно выборочно наделить пользователей правами доступа к каталогам и создать группы для предоставления доступа к общим сетевым ресурсам. Пример определения прав доступа для групп пользователей показан в таблице 7.

Таблица 7 Права доступа для групп пользователей

Название группы	Внутренние ресурсы	Уровни доступа к внутренним ресурсам	Доступ в Internet и электронная почта
Администраторы	Все сетевые ресурсы	Права администратора в каталогах, в том числе изменение уровня и прав доступа	Все сетевые ресурсы
Разработчики	Базы данных разрабатываемых документов	Создание, чтение файлов, запись в файл, создание подкаталогов и файлов, удаление каталогов, поиск файлов, изменение каталогов	Все сетевые ресурсы
Сотрудники в офисе	Вся информация предприятия (учреждения)	Ограничение доступа к папкам (по необходимости)	Ограничение по IP- адресу (адресата и источника), ограничение по содержанию (входящей и исходящей корреспонденции)
Сотрудники вне офиса	Вся информация предприятия (учреждения)	Ограничение доступа к папкам (по необходимости)	Ограничение по IP- адресу (адресата и источника), ограничение по содержанию (входящей и исходящей корреспонденции), аутентификация удаленного пользователя перед осуществлением доступа
Поставщики, деловые партнеры, клиенты	Специальные каталоги и папки для производителей, партнеров и клиентов	Доступ только к специально отведенным областям	Ограничение по IP- адресу (адресата и источника). Идентификация и аутентификация удаленного пользователя
Потенциальные клиенты	Специальные каталоги и папки для клиентов	Просмотр объектов (чтение и поиск файлов)	При открытом доступе Интрасеть должна быть изолирована; идентификация пользователя не требуется

6.3. Проектирование аппаратного и программного обеспечения для использования глобальных вычислительных сетей

Проектирование средств для использования глобальных вычислительных сетей производится в следующей последовательности.

6.3.1. Выбор оптимальной конфигурации ядра и пограничных устройств

Выбрать оптимальную конфигурацию ядра и пограничных устройств кампусной сети, подобрать состав сетевых устройств и определить типы линий связи и их длины. Составить структурную схему сети (см.[6]).

Предусмотреть в структурной схеме введение типовых серверов (файлового, почтового, WWW…).

Протяженные линии связи в глобальных сетях часто выдолняются на оптоволокне. При этом для конкретных реализаций линии обычно проводят поверочный расчет оптических линий.

Каждый оптический порт характеризуется мощностью передатчика, чувствительностью и динамическим диапазоном приемника. Разница между выходной мщностью передатчика и чувствительностью приемника (в децибелах) называется бюджетом мощности (Power Budget). Обычно предполагается, что оборудование на концах линии симметрично (стандартная пара трансиверов). Бюджет определяется активным оборудованием и характеризует уровень потерь, который может вносить линия без нарушения устойчивого соединения. Для современных технологий бюджет составляет величину порядка 11-40дб [18].

Потери в линии рассчитываются по спецификациям на компоненты (волокно, коннекторы), где они указаны для конкретных длин волн и режимов передачи (SM, MM).

Потери в линии зависят от температуры, деформации волокон, уровня радиации, времени (старение), чистоты поверхнотси в коннекторах, возможные дополнительные соединения. По отношению к потерям в линии бюджет мощности должен иметь положительный запас в 3-6дб, рассчитанный на эти случаи.