ТЕОРЕТИЧЕСКИЕ ОСНОВЫ VLAN
СОДЕРЖАНИЕ
ВВЕДЕНИЕ 5
1 ТЕОРЕТИЧЕСКИЕ ОСНОВЫ VLAN 7
1.1 Типы VLAN 8
1.2 Трафик VLAN. Формат кадра VLAN 13
1.3 Преимущества VLAN 15
2 ПРОЕКТИРОВАНИЕ СЕТИ С ICS ДЛЯ ТОО ALTERNATE 17
2.1 Компании разработчики ICS (Internet Control Server) 17
2.2 ICS суть 22
2.3 Структура ЛВС 27
2.4 Возможность подключения удаленного офиса (VPN) 40
2.5 Настройка и наладка оборудования 47
3 ТЕХНИКО–ЭКОНОМИЧЕСКОЕ ОБОСНОВАНИЕ 55
3.1 Расчет затрат и эксплуатационные расходы 55
3.2 Безопасность жизнедеятельности 63
3.3 Экономическая эффективность 73
ЗАКЛЮЧЕНИЕ 76
СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ 77
ВВЕДЕНИЕ
Современный темп городской жизни предполагает неустанное следование за
техническим прогрессом во всех областях жизни. Если раньше, например, люди
обходились сберкассами, то теперь не представляем, как быть без банкоматов.
Меньше 10–15 лет назад офисы обходились несколькими компьютерами, и далеко
не всякий мог похвастаться сетью между ними, не говоря уже о других
новшествах (высокоскоростной Интернет, VPN, и т. д.) конечно, это
обуславливалось и дороговизной оборудования, и недостатком специалистов, и
незнанием (или нехотением) самих руководителей вводить что–то новое. То
сейчас, конечно, в связи с доступностью и распространенностью информации
любой, даже небольшой офис (что там говорить – даже простой домашний
пользователь) создает сеть с разделяемой средой, с сетевыми устройствами
различного уровня. В современных локальных сетях четко прослеживается
тенденция перехода от систем с разделяемой средой на базе концентраторов к
использованию коммутаторов (ключевая разница между коммутатором и
концентратором заключается в способе работы с блоками информации –
фреймами).
Компьютеры, объединенные в локальную сеть, являются базой для работы
прикладных программ, выполняющих необходимые предприятию задачи:
одновременный доступ к данным с нескольких рабочих мест, обмен информацией
между пользователями, обществление ресурсов – принтеров, дискового
пространства, и т.п., общий доступ к сети Интернет.
В современных условиях более 80% различных атак и попыток доступа к
информации осуществляется изнутри локальных сетей. Виртуальные локальные
сети (VLAN) предоставляют дополнительные преимущества с точки зрения
безопасности. Пользователи одной рабочей группы не могут получить доступ к
данным другой группы, потому что каждая VLAN – это закрытый, логически
обособленный домен. Представьте компанию, в которой финансовый департамент,
работающий с конфиденциальной информацией, расположен на трех этажах
офисного здания. На тех же этажах расположены инженерный департамент и
отдел маркетинга. Сотрудники финансового департамента, инженерного отдела и
отдела маркетинга подключены к сети как члены трех разных VLAN. При этом
вся информация, пересылаемая между VLAN, может проходить только через
маршрутизаторы, на которых используются мощные средства безопасности.
Следовательно, сетевой трафик, создаваемый финансовым департаментом будет
надежно защищен.
Очень важным преимуществом VLAN является возможность создания рабочих
групп, основываясь на функциональности, а не на физическом расположении.
Традиционно администраторы группировали рабочие станции физическим
перемещением пользователей, их столов и серверов в общее рабочее
пространство, например в один сегмент. VLAN позволяет администратору
создавать, группировать и перегруппировывать сетевые сегменты логически и
немедленно, без изменения физической инфраструктуры и отключения
пользователей. Возможность легкого добавления, перемещения и изменения
пользователей сети – ключевое преимущество VLAN.
В условиях глобального экономического спада неизмеримо возрастает
значение технологий, которые помогают сокращать затраты и издержки. Сложная
экономическая ситуация заставила предприятия различных отраслей
пересмотреть и зачастую существенно сократить бюджеты, в том числе и
области ИТ. Спады в экономике ускоряют внедрение эффективных решений и
устраняют решения, которые слишком затратные.
На примере инфраструктурного программного обеспечения можно легко
убедиться, что зачастую при равном функционале разница только в стоимости
лицензирования различных решений может достигать значений в 700%. В
большинстве корпоративных сетей инфраструктурное ПО решает типовой набор
задач: управление группами пользователей сети, обеспечение безопасного
доступа к Интернет, построение системы электронной почты, системы защиты от
информационных угроз и др. Реализовать решение этих задач можно как на базе
Интернет–шлюза Ideco ICS, так и с помощью технологий, например, корпорации
Microsoft. Несложно провести сравнительный анализ затрат на лицензирование
базового набора инфраструктурного ПО.
Но это все про локальную сеть одного офиса. А ведь у многих клиентов
в городе несколько офисов. Это и эффективно: удобнее для клиента. Это и
выгодно: гораздо проще арендовать несколько офисов за доступную арендную
плату, чем снимать целый этаж в новомодном бизнес–центре. Но когда есть
несколько офисов в таком мегаполисе как Алматы, встает вопрос быстрого
обмена информацией, данными. Вопрос эффективного взаимодействия. Ведь в
одном офисе, к примеру, может находиться руководство и бухгалтерия, в
другом служба технической или клиентской поддержки, в третьем – служба
логистики. Как сделать так, чтобы все эти удаленные друг от друга
подразделения работали как единый организм, слаженно и эффективно? Ответ
прост – воспользоваться услугой использовать технологию виртуальной частной
сети – VPN.
1 ТЕОРЕТИЧЕСКИЕ ОСНОВЫ VLAN
Бурный рост рынка коммутаторов Ethernet привел к появлению большого
числа продуктов, обладающих многими замечательными свойствами. Одним из
самых полезных и наиболее часто встречающихся свойств, несомненно, является
поддержка виртуальных локальных вычислительных сетей (ВЛВС) или Virtual
Local Area Network (VLAN). Концепция VLAN, первоначально разработанная
только для сегментации коммутаторов на несколько доменов коллизий,
оказалась весьма нужной и для конфигурирования сетей. Без VLAN
коммутируемые сети были бы плоскими [1, 2, 3, 4, 5].
История VLAN насчитывает много интересных фактов. Первыми продуктами,
реализующими VLAN, были сегментирующие коммутаторы. Такие устройства можно
логически разделить на два или более виртуальных коммутатора. Они
осуществляли коммутацию многочисленных сетевых сегментов, что имело большое
значение, если принять во внимание высокую цену портов первых коммутаторов
Ethernet – 700 долл. и выше.
По мере того как производители включали все больше функций коммутации
в свои микросхемы ASIC, коммутируемый порт Ethernet неуклонно дешевел.
Сегодня уже большинство предприятий имеют сети с коммутируемыми и
разделяемыми сегментами. С помощью технологий VLAN можно создавать
многочисленные виртуальные сетевые сегменты и таким образом повышать
информационную безопасность и ограничивать распространение
широковещательных сообщений. Для того чтобы вывести эти возможности за
рамки единственного коммутатора, производители сетевого оборудования
разработали фирменные протоколы и механизмы сигнализации, с помощью которых
можно создавать VLAN, охватывающие несколько коммутаторов. Это позволило
пользователям проектировать сеть на основе логической структуры своей
организации, а не физического местоположения ее частей.
Определение состава VLAN ранее осуществлялось только на базе портов
коммутатора. Каждый такой порт мог принадлежать только одной VLAN. Сегодня
же состав VLAN определяется несколькими способами. Многие из них
разработаны с тем, чтобы облегчить перемещение сетевого оборудования, его
добавление и замену, а также, чтобы обеспечить информационную безопасность.
В начале истории Ethernet, локальные сети ограничивались одним доменом
коллизий. При появлении мостов с двумя и более портами, стало возможным
сегментировать большую сеть на меньшие домены коллизий, значительно улучшив
производительность сети. Однако это не уменьшало перегрузок сети, вызванных
внезапным широковещательным штормом. Широковещательный трафик свободно
перемещался через Ethernet–мосты. C появлением Ethernet–маршрутизаторов,
пользователей сети стали группировать в рабочие группы с общим доменом
коллизий. Это не только улучшило эффективность сети внутри каждой группы,
но и уменьшило перегрузки общей сети, вызванное внезапным широковещательным
штормом. Однако разделение общей сети маршрутизаторами на рабочие группы
вызвало другие проблемы. Связь между рабочими группами стала возможна
только через маршрутизаторы уровня три. Это замедлило доступ к глобальным
серверам компании. С появлением технологии коммутируемого VLAN Ethernet
стало возможно логическое сегментирование сети на множество
широковещательных доменов, улучшающее производительность сети и уменьшающее
широковещательный трафик, без замедления доступа к глобальным серверам
компании. С появлением коммутируемого Ethernet (Switching local–area
network) потребность его на рынке все возрастала и возрастала. На
протяжении нескольких лет число коммутируемых портов в корпоративных сетях
постоянно возрастало. При этом каждый коммутируемый порт был разделен все
меньшим и меньшим числом пользователе сети, и даже достиг одиночного
подключения каждого пользователя сети к коммутируемым портам. Этот тип
сетевой инфраструктуры лучше всего пригоден для развертывания VLAN.
Виртуальные сети могут быть определенны как группы пользователей,
отнесенные к определенным отделам или выполняющие общие функции, без
ограничения физическим местонахождением пользователей и даже без
ограничения использования разных сетевых устройств (коммутаторов), к
которым они подключены физически. Написанное выше предложение как бы
определяет границы VLAN.
1 Типы VLAN
Сегодня существует достаточно много вариантов реализации VLAN. Простые
варианты VLAN представляют собой просто набор портов коммутатора, более
сложные реализации позволяют создавать группы на основе других критериев. В
общем случае возможности организации VLAN тесно связаны с возможностями
коммутаторов [6].
Сети на базе портов
На рисунке 1.1 представлена схема сети, организованная на базе портов.
Это простейший вариант организации виртуальной ЛВС. VLAN на базе портов
обеспечивают высочайший уровень управляемости и безопасности. Устройства
связываются в виртуальные сети на основе портов коммутатора, к которым эти
устройства физически подключены. VLAN на базе портов являются статическими
и для внесения изменений требуется физическое переключение устройств.
Однако построенные на базе портов виртуальные сети имеют некоторые
ограничения. Они очень просты в установке, но позволяют поддерживать для
каждого порта только одну виртуальную ЛВС. Следовательно, такое решение
мало приемлемо при использовании концентраторов или в сетях мощными
серверами, к которым обращается много пользователей (сервер не удастся
включить в разные VLAN).
Рисунок 1.1 – Сети на базе портов
Кроме того, виртуальные сети на основе портов не позволяют вносить в
сеть изменения достаточно простым путем, поскольку при каждом изменении
требуется физическое переключение устройств.
Сети на базе MAC–адресов
Хотя этот тип виртуальных сетей относится к числу наиболее простых,
VLAN на базе MAC–адресов настраивать сложнее, нежели сети на основе
физических портов. Виртуальная сеть на базе MAC–адресов группирует
устройства (рисунок 1.2). Сети на базе MAC–адресов являются одним из
наиболее безопасных и управляемых типов VLAN.
Рисунок 1.2 – Сети на базе MAC–адресов
Настройка виртуальной сети на основе MAC–адресов может отнять много
времени – представьте себе, что вам потребуется связать с VLAN адреса 1000
устройств. Кроме того, MAC–адреса "наглухо зашиты" в оборудование и может
потребоваться много времени на выяснение адресов устройств в большой,
территориально распределенной сети.
VLAN на сетевом уровне
Согласно рисунку 1.3 виртуальные ЛВС сетевого уровня позволяют
администратору связать трафик для того или иного протокола в
соответствующей виртуальной сети. Точно таким же способом создаются
широковещательные домены в сетях на основе маршрутизаторов. Протокол может
быть задан в форме IP–подсети или сетевого номера IPX. Можно, к примеру,
объединить в виртуальную ЛВС всех пользователей подсети, которая была
организована до использования коммутаторов.
Рисунок 1.3 – VLAN на сетевом уровне
Спектр возможностей коммутатора, на базе которого строится VLAN, часто
определяет гибкость виртуальных сетей данного типа. Многие виртуальные ЛВС
сетевого уровня поддерживают системы на базе нескольких коммутаторов, тогда
как другие могут работать только с одним устройством. Помните, что этот тип
виртуальных ЛВС почти не отличается от сетей на базе маршрутизаторов и
некоторые коммутаторы неспособны обеспечить требуемую в данном случае
производительность.
VLAN на базе протоколов
Этот тип виртуальных сетей (рисунок 1.4) строится на базе заданного в
каждом кадре типа протокола.
Рисунок 1.4 – VLAN на базе протоколов
Администратор может самостоятельно выбрать поля в заголовках кадров,
по которым будет определяться принадлежность к виртуальной сети, и
загрузить подготовленные правила во все коммутаторы сети. Возможно
поместить в одну виртуальную сеть всех пользователей, работающих с
протоколом NetBios или IP. Для работы с данным типом виртуальных сетей
администратор должен досконально разбираться в заголовках широковещательных
кадров.
Многоадресные (multicast) VLAN
На рисунке 1.5 многоадресный (multicast) трафик отличается от
широковещательного (broadcast), который передается во всю сеть, и
одноадресного (unicast), обеспечивающего связь "точка–точка".
Рисунок 1.5 – Многоадресные (multicast) VLAN
Многоадресный трафик представляет собой обмен "точка–многоточка" (один
со многими) или многоточечный (многие со многими) и в последнее время
становится все более популярным для различных сетевых приложений.
Многоадресный режим может использоваться для видеоконференций, биржевых
систем, новостей и т.п. систем, где одна и та же информация передается
многочисленным пользователям. Виртуальные ЛВС с многоадресным трафиком
создаются динамически путем прослушивания IGMP (Internet Group Management
Protocol). Когда пользователь открывает приложение, использующее режим
multicast, он динамически включается в виртуальную сеть, связанную с данным
приложением. По окончании работы с программой пользователь удаляется из
соответствующей виртуальной сети.
VLAN на базе правил
Это наиболее мощная реализация VLAN, позволяющая администратору
использовать любые комбинации критериев для создания виртуальных ЛВС
(рисунок 1.6).
Рисунок 1.6 – VLAN на базе правил
Для включения устройств в виртуальные ЛВС можно использовать все
перечисленные выше способы при условии их поддержки установленными в сети
коммутаторами. После того, как правила загружены во все коммутаторы, они
обеспечивают организацию VLAN на основе заданных администратором критериев.
Поскольку в таких сетях кадры постоянно просматриваются на предмет
соответствия заданным критериям, принадлежность пользователей к виртуальным
сетям может меняться в зависимости от текущей деятельности пользователей.
Виртуальные ЛВС на основе правил используют широкий набор критериев
принадлежности к сети, включая все перечисленные выше варианты: MAC–адреса,
адреса сетевого уровня, тип протокола и т.д. Возможно, также использовать
любые комбинации критериев для создания правил, наиболее точно
соответствующих вашим задачам.
VLAN для уполномоченных пользователей
VLAN для уполномоченных пользователей обеспечивают высокий уровень
безопасности в сети и предъявляют более строгие требования к пользователям
для предоставления доступа к серверам или иным сетевым ресурсам. Например,
сеть уполномоченных пользователей может быть создана для финансового отдела
предприятия и сотрудники других подразделений не смогут получить доступ в
эту сеть, не имея соответствующих полномочий.
2 Трафик VLAN. Формат кадра VLAN
Компьютер при отправке трафика в сеть даже не догадывается, в каком
VLAN он размещён. Об этом думает коммутатор. Коммутатор знает, что
компьютер, который подключен к определённому порту, находится в
соответствующем VLAN. Трафик, приходящий на порт определённого VLAN, ничем
особенным не отличается от трафика другого VLAN. Другими словами, никакой
информации о принадлежности трафика определённому VLAN в нём нет. Однако,
если через порт может прийти трафик разных VLAN, коммутатор должен его
как–то различать. Для этого каждый кадр (frame) трафика должен быть помечен
каким–то особым образом. Пометка должна говорить о том, какому VLAN трафик
принадлежит. Наиболее распространённый сейчас способ ставить такую пометку
описан в открытом стандарте IEEE 802.1Q. Существуют протоколы, решающие
похожие задачи, например, протокол ISL (Inter Switch Link) от Cisco
Systems, но их популярность значительно ниже (и снижается). Протокол 802.1Q
помещает внутрь фрейма тег, который передает информацию о принадлежности
трафика к VLAN (рисунок 1.7) [7,8, 9].
Рисунок 1.7 – Тег протокола 802.1Q
Размер тега – 4 байта. Он состоит из таких полей:
– Tag Protocol Identifier (TPID) – Идентификатор протокола
тегирования. Размер поля – 16 бит. Указывает какой протокол
используется для тегирования. Для 802.1q используется значение
0x8100;
– Priority – приоритет. Размер поля – 3 бита. Используется
стандартом IEEE 802.1p для задания приоритета передаваемого
трафика;
– Canonical Format Indicator (CFI) – Индикатор канонического
формата. Размер поля –1 бит. Указывает на формат mac адреса. 1 –
канонический, 0 – не канонический;
– VLAN Identifier (VID) – идентификатор VLAN. Размер поля – 12 бит.
Указывает, какому VLAN принадлежит фрейм.
При использовании стандарта Ethernet, 802.1Q вставляет тег перед полем
"Тип протокола". Так как фрейм изменился, пересчитывается контрольная сумма
(рисунок 1.8).
Рисунок 1.8 – Фреймы (кадры) стандарта 802.1Q
В стандарте 802.1Q существует понятие Native VLAN. По умолчанию это
VLAN 1. Трафик, передающийся в этом VLAN, не тегируется. Порты коммутатора,
поддерживающие VLAN, (с некоторыми допущениями) можно разделить на два
множества:
1. тегированные порты (или транковые порты, trunk–порты в терминологии
Cisco);
2. нетегированные порты (или порты доступа, access–порты в
терминологии Cisco).
Тегированные порты нужны для того, чтобы через один порт была
возможность передать несколько VLAN и, соответственно, получать трафик
нескольких VLAN на один порт. Информация о принадлежности трафика VLAN, как
было сказано выше, указывается в специальном теге. Без тега коммутатор не
сможет различить трафик различных VLAN. Если порт нетегированный в каком–то
VLAN, то трафик этого VLAN передается без тега. Нетегированным порт может
быть только в одном VLAN. Порт может быть одновременно тегированным в
нескольких VLAN и нетегированным в одном VLAN (только в одном VLAN). В
таком случае VLAN, которому порт принадлежит как нетегированный, называется
родным (Native VLAN). Если порт принадлежит только одному VLAN как
нетегированный, то тегированный трафик, приходящий через такой порт, должен
удаляться (как правило, но не всегда). Обычно, по умолчанию все порты
коммутатора считаются нетегированными членами VLAN 1. В процессе настройки
или работы коммутатора они могут перемещаться в другие VLAN. Существуют два
подхода к назначению порта в определённый VLAN:
1. статическое назначение – когда принадлежность порта VLAN задаётся
администратором в процессе настройки;
2. динамическое назначение – когда принадлежность порта VLAN
определяется в ходе работы коммутатора с помощью процедур,
описанных в специальных стандартах, таких, например, как 802.1X.
При использовании 802.1X для того чтобы получить доступ к порту
коммутатора, пользователь проходит аутентификацию на
RADIUS–сервере. По результатам аутентификации порт коммутатора
размещается в том или ином VLAN (подробнее: 802.1X и RADIUS).
Статическая виртуальная сеть (Static VLAN) представляет собой
совокупность портов коммутатора, статически объединенных в виртуальную
сеть. Эти порты поддерживают назначенную конфигурацию до тех пор, пока она
не будет изменена администратором. Хотя для внесения изменений статические
виртуальные сети требуют вмешательства администратора, к их достоинствам
можно отнести высокий уровень безопасности, легкость конфигурирования и
возможность непосредственного наблюдения за работой сети Статические
виртуальные сети эффективно работают в ситуациях, когда необходимо
контролировать переезды пользователей и вносить соответствующие изменения в
конфигурацию.
Динамические виртуальные сети (dynamic VLAN) представляют собой
логическое объединение портов коммутатора, которые могут автоматически
определять свое расположение в виртуальной сети. Функционирование
динамической виртуальной сети основывается на МАС–адресах, на логической
адресации или на типе протокола пакетов данных. При первоначальном
подключении станции к неиспользуемому порту коммутатора соответствующий
коммутатор проверяет МАС–адрес в базе данных управления виртуальной сетью и
динамически устанавливает соответствующую конфигурацию на данном порте.
Основными достоинствами такого подхода является уменьшение объема работ в
монтажном шкафу при добавлении нового пользователя или при переезде уже
существующего и централизованное извещение всех пользователей при
добавлении в сеть неопознанного пользователя. Основная работа в этом случае
заключается в установке базы данных в программное обеспечение управления
виртуальной сетью и в поддержания базы данных, содержащей точную информацию
обо всех пользователях сети.
3 Преимущества VLAN
Кроме своего основного назначения – повышения пропускной способности
связей в сети – коммутатор позволяет локализовывать потоки информации в
сети, а также контролировать эти потоки и управлять ими, используя
пользовательские фильтры. Однако, пользовательский фильтр может запретить
передачи кадров только по конкретным адресам, а широковещательный трафик он
передает всем сегментам сети. Так требует алгоритм работы моста, который
реализован в коммутаторе, поэтому сети, созданные на основе мостов и
коммутаторов иногда называют плоскими – из–за отсутствия барьеров на пути
широковещательного трафика [10, 11]. Виртуальные сети (VLAN) предлагают
следующие преимущества:
– контроль над широковещательным трафиком;
– функциональные рабочие группы;
– повышенная безопасность.
Контроль над широковещательным трафиком
В отличие от традиционных LAN, построенных при помощи
маршрутизаторовмостов, VLAN может быть рассмотрен как широковещательный
домен с логически настроенными границами. VLAN предлагает больше свободы,
чем традиционные сети. Ранее используемые разработки были основаны на
физическом ограничении сетей, построенных на основе концентраторов; в
основном физические границы LAN сегмента ограничивались эффективной
дальностью, на которую электрический сигнал мог пройти от порта
концентратора. Расширение LAN сегментов за эти границы требовало
использования повторителей (repeaters), устройств, которые усиливали и
пересылали сигнал. VLAN позволяет иметь широковещательный домен вне
зависимости от физического размещения, среды сетевого доступа, типа
носителя и скорости передачи. Члены могут располагаться там, где
необходимо, а не там, где есть специальное соединение с конкретным
сегментом. VLAN увеличивают производительность сети, помещая
широковещательный трафик внутри маленьких и легко управляемых логических
доменов. В традиционных сетях с коммутаторами, которые не поддерживают
VLAN, весь широковещательный трафик попадает во все порты. Если
используется VLAN, весь широковещательный трафик ограничивается отдельным
широковещательным доменом.
Функциональные рабочие группы
Наиболее фундаментальным преимуществом технологии VLAN является
возможность создания рабочих групп, основываясь на функциональности, а не
на физическом расположении или типе носителя. Традиционно администраторы
группировали пользователей функционального подразделения физическим
перемещением пользователей, их столов и серверов в общее рабочее
пространство, например в один сегмент. Все пользователи рабочей группы
имели одинаковое физическое соединение для того, чтобы иметь преимущество
высокоскоростного соединения с сервером. VLAN позволяет администратору
создавать, группировать и перегруппировывать сетевые сегменты логически и
немедленно, без изменения физической инфраструктуры и отсоединения
пользователей и серверов. Возможность легкого добавления, перемещения и
изменения пользователей сети – ключевое преимущество VLAN.
Повышенная безопасность
VLAN также предлагает дополнительные преимущества для безопасности.
Пользователи одной рабочей группы не могут получить доступ к данным другой
группы, потому что каждая VLAN это закрытая, логически объявленная группа.
Представьте компанию, в которой Финансовый департамент, который работает с
конфиденциальной информацией, расположен на трех этажах здания. Инженерный
департамент и отдел Маркетинга также расположены на трех этажах. Используя
VLAN, члены Инженерного отдела и отдела Маркетинга могут быть расположены
на всех трех этажах как члены двух других VLAN, а Финансовый департамент
может быть членом третьей VLAN, которая расположена на всех трех этажах.
Сейчас сетевой трафик, создаваемый Финансовым департаментом, будет доступен
только сотрудникам этого департамента. Очевидно, есть другие требования для
обеспечения полной безопасности, но VLAN может быть частью общей стратегии
сетевой безопасности.
2 ПРОЕКТИРОВАНИЕ СЕТИ С ICS ДЛЯ ТОО ALTERNATE
2.1 Компании разработчики ICS (Internet Control Server)
Ideco Software
Ideco Software – компания разработчик программного обеспечения.
Основной продукт – система учета, контроля и защиты доступа в Интернет
"Ideco Internet Control Server". Ideco ICS используется компаниями очень
широкого спектра деятельности для повышения эффективности информационного
обеспечения, организации персонального доступа в Интернет, защиты данных,
увеличения безопасности от внешних и внутренних угроз [12].
Помимо программных решений, компания Ideco Software осуществляет
поставку серверов с предустановленной системой Ideco ICS.
Ideco Software постоянно работает над улучшением качества продуктов
и с огромной ответственностью относится к созданию законченных продуктов.
Эта ответственность диктует компании определенные требования к разработке:
– каждый продукт содержит пробную версию;
– каждый продукт снабжен качественной системой помощи;
– каждый продукт поставляется с хорошо продуманной документацией;
– каждый пользователь имеет качественную поддержку.
Возможности продуктов Ideco Software, а также политика в области
лицензирования позволяют удовлетворять потребности от самых маленьких до
самых крупных компаний в любой точке мира.
Ideco Internet Control Server (Ideco ICS) – это универсальный интернет
– шлюз с межсетевым экраном и функциями учета трафика. Ideco ICS позволяет
быстро и легко настроить качественный доступ в Интернет всем пользователям,
сделает работу с Интернет управляемой и безопасной. Интегрированные сетевые
сервисы позволяют сразу развернуть полноценную почтовую службу, веб–сайт,
ftp–сервер. Удобный VPN–сервер позволяет объединить несколько офисов в
единую сеть, подключить удаленные подразделения и мобильных пользователей.
Ideco ICS – это высоконадежное и безопасное решение со встроенной и
максимально защищенной операционной системой Linux, включает в себя
сконфигурированные и готовые к использованию компоненты. Система
автоматически устанавливается и управляется через удобный веб–интерфейс.
Преимущества Ideco ICS:
Надежность и безопасность
– Ideco ICS построен на базе ядра Linux с применением уникальных
технологий. Поэтому имеет беспрецедентную надежность и
защищенность, сравнимую с аппаратными маршрутизаторами;
– многоуровневая система защиты сервера.
– надежность системы подтверждается фактами внедрения Ideco ICS
крупными компаниями и безотказной работой в больших сетях;
– встроенный модуль отказоустойчивости восстановит систему даже в
случае сбоя.
Простота установки, настройки и сопровождения
– не требует изменения существующей сети предприятия – достаточно
установки одного сервера;
– Ideco ICS автоматически устанавливается на компьютер. Для работы
Ideco ICS не требуется дополнительного программного обеспечения –
все необходимое есть на диске;
– не требует постоянного сопровождения – эксплуатационные расходы
близки к нулю ;
– удобный и понятный интерфейс администратора: управление
пользователями, тарифными планами, установка ограничений, настройка
Firewall и т.д. Управление системой возможно не только системным
администратором, но и обычным пользователем;
– веб–интерфейс пользователя: просмотр статистики, баланса, смена
пароля и другой информации;
– встроенный DHCP–сервер максимально упрощает развертывание на малых
и средних предприятиях;
– не требует установки нестандартного ПО на компьютеры
пользователей;
– прозрачность для всех сетевых протоколов: HTTP, SMTP, POP3, FTP и
других.
Экономический эффект
– учитывая экономию расходов, низкие эксплуатационные издержки и
высвобождение времени специалистов – Ideco ICS окупается за
несколько месяцев;
– удобная схема лицензирования. Имеются версии для малых
предприятий: 10–20 пользователей; средних: 50–200; и крупных
компаний: 500 и более пользователей.
Новое в версии 2.5.8:
Статистика, отчеты
– удобный интерфейс для просмотра статистики прозрачного
прокси–сервера, информация по URL, большим файлам и времени;
– системный монитор в веб–интерфейсе, просмотр состояния сервера;
– возможность смотреть трафик в реальном времени.
Новые службы
– DNS–сервер BIND с поддержкой зон;
– сервер авторизации RADIUS.
Веб–сервер
– сайт–шаблон dokuwiki;
– поддержка запроса клиентских SSL–сертификатов.
Почтовый сервер
– теперь удаленные пользователи могут пользоваться SMTP–сервером
своей организации, используя свой логин и пароль. Авторизация
SMTP–клиентов через SASL и шифрование TLS;
– возможность добавления сертификата в браузер и почтовый клиент
для удобства работы по шифрованному SSL каналу.
Безопасность
– блокирование чрезмерной активности по классам трафика;
– возможность отправки почты через Службу Безопасности с визуальной
проверкой человеком;
– новые правила–шаблоны в firewall.
Надежность, отказоустойчивость
– обновлены драйвера популярных сетевых карт;
– добавлен NMI Watchdog;
– добавлена возможность резервного копирования по FTP и NetBIOS;
– подключение и управление дополнительными IDESATA дисками;
– новые алгоритмы авторизации, тарификации и шейпера позволяют
быстрее подключаться пользователям и выдерживать серверу еще
большие нагрузки;
– Ideco Agent теперь может работать в сетях с большой потерей
пакетов.
Удаленное подключение по VPN
– теперь мобильные сотрудники при подключении из командировки
могут иметь адрес локальной сети – ProxyARP для этих адресов
будет добавлен автоматически при подключении.
Возможности для провайдеров
– поддержка работы с СОРМ;
– поддержка работы с банкоматами и платежными системами;
– веб–интерфейс приема платежей для кассира;
– ежедневное списание абонентской платы;
– назначение динамического NAT–адреса из диапазона.
Компания А–реал Консалтинг
А–реал Консалтинг – компания, специализирующаяся на разработке
программного обеспечения для бизнеса. Компания основана в июле 2003 года и
с тех пор находится в процессе роста и развития. На сегодня в компании
работают 19 квалифицированных специалистов в области системной интеграции и
разработки программных продуктов [13].
Продукты и услуги для клиентов А–реал Консалтинг – это результат
синтеза двух направлений: системной интеграции и разработки программного
обеспечения. Системная интеграция требует глубоких знаний информационных
систем, сетей и их программных и аппаратных компонентов. Для эффективной
разработки программного обеспечения нужны не только искусное владение
технологиями программирования, но и понимание бизнес процессов заказчика.
А–реал Консалтинг активно сотрудничает с Ярославским государственным
университетом принимая участие в проекте ИТ Парка. Поддерживает связи с
ведущими специалистами по информационным технологиям в области, благодаря
чему может создавать проектно–ориентированные команды для работы с задачами
любого масштаба.
"В целях повысить эффективность деятельности наших заказчиков, мы
предоставляем им современные информационные технологии и широкий спектр
коммуникационного оборудования. Основная область нашей деятельности –
разработка сетевых информационных систем повышающих конкурентоспособность
бизнеса заказчика",– директор А–реал Консалтинг Макурин Виталий Эдуардович.
А–Реал Консалтинг оказывает клиентам услуги и предоставляет продукты
по трем направлениям:
– программное обеспечение: разработка веб–сайтов и порталов,
программного обеспечения, систем автоматизации бизнеса,
прикладных программ, а также поставка готового программного
обеспечения наших партнеров и создание решений на базе ПО с
открытым исходным кодом;
– системная интеграция: проектирование и строительство сетей и
объектов связи, поставка телекоммуникационного и серверного
оборудования, обслуживание информационных систем и сетей;
– системы контроля Интернет доступа: разработка и продвижение
собственного продукта " INTERNET CONTROL SERVER", который
обеспечивает полный контроль корпоративного Интернет
подключения.
Сравнение продукции компаний А–реал и Ideco
В таблице 2.1 приведено краткое сравнение возможностей и технической
оснащенности продукций компаний А–реал и Ideco [14, 15].
Таблица 2.1
Сравнение ICS компаний Ideco и А–реал
Интернет Ideco ICS A–реал ICS
контроль
сервер
1. Наличие 70 дней 35 дней
пробной версии
2. Ядро Linux FreeBSD
3. Поддержка Включение режима "Удаленный Бесплатная техподдержка
помощник" позволяет вызвать на время тестирования
удаленного помощника из системы и в течение 1
службы технической поддержки месяца после
Ideco для настройки сервера приобретения ИКС;
Ideco ICS. Инцидентное
Техническая поддержка для обслуживание; Удаленное
всех бесплатна, в том числе администрирование
по пробной версии.
Продолжение таблицы 2.1
4. Сервер имен Кэширующий DNS сервер для Позволяет использовать
DNS локальной сети. Есть ИКС, как в качестве
возможность указывать кэширующего DNS–сервера,
соответствие между доменным так и в качестве
именем компьютера и его сервера, отвечающего за
сетевым адресом. какой–либо домен.
5. Сервер DHCP Автоматическое распределение Позволяет без особого
IP адресов в локальной сети. труда добавлять в сеть
Возможность фиксированной новые компьютеры.
привязки IP к MAC адресу Автоматически выдаст
компьютера компьютеру всю
информацию, необходимую
для работы в сети
(IP–адрес, маска,
маршрутизатор,
DNS–сервер)
6. Статистика, p2p статистика обрабатываетсяСбор статистики по
отчеты отдельно и не мешает доступности сервиса,
просмотру основной предоставляемого
статистики; провайдером. Реализуется
Системный монитор в посредством
веб–интерфейсе, просмотр периодических отправок
состояния сервера; ICMP ECHO REQUEST
Возможность смотреть трафик впакетов для нескольких
реальном времени программой адресов, критичных для
iptraf пользователей
корпоративной сети.
7. VLAN Полноценный маршрутизатор, Не во всех версиях
поддерживающий множество
интерфейсов (как локальных,
так и внешних).
Поддерживаются виртуальные
802.1q VLAN интерфейсы, PPTP,
PPPoE и CIPE интерфейсы
8. VPN Подключение к провайдеру по Позволяет связывать
протоколам PPTP ( VPN ) и удаленные офисы путем
PPPoE установки шифрованного
туннеля (VPN – Virtual
Private Network).
Используется IPSEC со
статическими ключами
9. Безопасность Защита компьютеров от атак изМежсетевой экран
Интернет с использованием
технологий NAT и встроенного
Firewall.
Content фильтр
10.Обновления On–line обновления On–line
обновления. Последние
обновления ИКС через
Интернет из встроенного
в систему модуля
обновлений.
Продолжение таблицы 2.1
11.Установка Не требует изменения
существующей сети предприятия
12.Авторизация По логину и паролю через VPN,Имя (и пароль);
пользователя PPPoE или через Ideco Agent,IP–адрес;
авторизация по IP адресу и по"ActiveDirectory";
MAC адресу VPN–соединение
пользователю требуется
установить шифрованный
VPN–канал;
программа–агент
позволяет пользователю
ввести свой логин и
пароль в агенте и
получить доступ к сети с
любого компьютера
имеющего IP адрес и
доступ к ИКС.
13.Почтовый Почтовый сервер с Полностью учитывает
сервер антивирусом. Почтовый ящик почтовый трафик,
создается автоматически при осуществляет
добавлении пользователя. антивирусную проверку
IMAP, POP3S, IMAPS почты ,
позволяет изменять
параметры почтового
ящика для каждого
пользователя ,
резервное копирование,
POP3IMAP,
спам–фильтрация,
14.Другое Radius сервер Экстренная диагностика
Веб–сервер соединения. Позволяет
Сайт шаблон dokuwiki выявить проблемы с
Поддержка запроса клиентских внешним подключением.
ssl сертификатов Проверяется состояние
интерфейсов системы,
доступность критически
важных узлов сети
2.2 ICS суть
Внутри компании, подключенной к сети Интернет, имеется серьезная
мотивация для использования систем учета трафика. Интернет уже стал
неотъемлемой частью бизнес процессов, тесно переплетаясь с информационными
системами бизнеса. То, насколько компания контролирует информацию своего
бизнеса, теперь зависит от того, насколько она контролирует Интернет
подключение [16, 17].
Ежегодно растет количество пользователей и скорость подключений к
Интернету. Широкополосные подключения, уже повсеместно заменили собой
низкоскоростные подключения на корпоративном рынке. Благодаря этому
Интернет становится мощным инструментом, который, однако, требует
существенно большего контроля.
Миллионы новых пользователей появляются в сети, постоянно снижая
средний уровень квалификации его пользователей. Бурное развитие технологии
направлено в основном на получение большей скорости, в то время как
разработка и внедрение механизмов, которые должны обеспечивать учет
трафика, контроль и безопасность серьезно отстает от технологии,
ответственной за скорость. Также очевидно, что средний уровень обычного
пользователя совершенно недостаточен для обеспечения хотя бы собственной
безопасности при высоких современных скоростях.
Прямые затраты на Интернет зависят от объема потребленной информации.
Создать потребление может как передача данных о новом продукте вашим
поставщиком, так и увлечение ваших сотрудников играми в сети. Таким
образом, информация может быть как целевой, так и нецелевой. К сожалению,
провайдеру все равно, какую информацию получает компания – платить придется
за все виды трафика.
Во время потребления средств для своих Интернет прогулок (или
прогулов), сотрудники также потребляют и рабочее время.
Поэтому, для того, чтобы не растратить деньги попусту необходимо,
во–первых, иметь точную и оперативную информацию о том, кто, сколько и
каких ресурсов из Интернет потребляет, а во–вторых, иметь возможность
запретить доступ неблагонадежным пользователям или доступ к явно
бесполезным ресурсам.
Если сравнить сеть Интернет с сетью электроснабжения, то можно
заметить, что эволюция сетей электроснабжения привела к появлению различных
стандартизированных устройств, которые защищают пользователя от сети, и
наоборот – сеть от пользователя. Это автоматы защиты рубильники,
электросчетчики, трансформаторы. В случае Интернета таких стандартных
устройств пока нет, хотя они не менее необходимы.
Учет трафика это своеобразный счетчик. Программные продукты, которые
реализуют учет трафика в корпоративных сетях, должны также уметь управлять
доступом пользователей, обеспечивать защиту корпоративной сети, а также
иметь различные дополнительные функции, облегчающие взаимодействие
корпоративной сети с Интернетом. Такие серверы контроля корпоративного
Интернет подключения в идеале должны полностью автоматизировать и управлять
взаимоотношениями между корпоративной сетью и Интернетом.
Интернет Контроль Сервер (ИКС) – программа для учёта трафика и
мониторинга Интернет подключения. Может использоваться не только как
счётчик трафика, но и как универсальный комплекс для управления любым
подключением к Интернету. Интернет Контроль Сервер нужно включить между
вашей корпоративной сетью и провайдерами, чтобы учитывать трафик, управлять
доступом каждого пользователя, установить надежную защиту сети.
Преимущества Интернет Контроль Сервера – это комплексное
решение большинства задач связанных с Интернет подключением. Применим в
сетях различной топологии. Управление доступно системным администраторам
любой квалификации. Активная поддержка компанией–разработчиком и ценовая
политика выделяют продукт на рынках firewall, proxy и billing–систем для
конечного пользователя. В результате, Интернет Контроль Сервер экономит на
времени загрузки требуемой информации, на объеме потребляемого трафика, на
ограничении доступа к определенным ресурсам, на предотвращении
несанкционированного доступа во внутреннюю сеть. В результате Сервер
обеспечивает весомое сокращение денежных расходов на Интернет и надежную
защиту корпоративной сети. В качестве дополнительных преимуществ Интернет
Контроль Сервер имеет:
– ускорение работы сети за счет её оптимизации;
– управление всеми функциями из одного интерфейса;
– управление с любого компьютера, подключенного к Интернету;
– мониторинг работы сети и самого сервера.
Сценарии использования ИКС
1. Одна локальная сеть, один канал к провайдеру
Это самый ... продолжение
Вы можете абсолютно на бесплатной основе полностью просмотреть эту работу через наше приложение.
ВВЕДЕНИЕ 5
1 ТЕОРЕТИЧЕСКИЕ ОСНОВЫ VLAN 7
1.1 Типы VLAN 8
1.2 Трафик VLAN. Формат кадра VLAN 13
1.3 Преимущества VLAN 15
2 ПРОЕКТИРОВАНИЕ СЕТИ С ICS ДЛЯ ТОО ALTERNATE 17
2.1 Компании разработчики ICS (Internet Control Server) 17
2.2 ICS суть 22
2.3 Структура ЛВС 27
2.4 Возможность подключения удаленного офиса (VPN) 40
2.5 Настройка и наладка оборудования 47
3 ТЕХНИКО–ЭКОНОМИЧЕСКОЕ ОБОСНОВАНИЕ 55
3.1 Расчет затрат и эксплуатационные расходы 55
3.2 Безопасность жизнедеятельности 63
3.3 Экономическая эффективность 73
ЗАКЛЮЧЕНИЕ 76
СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ 77
ВВЕДЕНИЕ
Современный темп городской жизни предполагает неустанное следование за
техническим прогрессом во всех областях жизни. Если раньше, например, люди
обходились сберкассами, то теперь не представляем, как быть без банкоматов.
Меньше 10–15 лет назад офисы обходились несколькими компьютерами, и далеко
не всякий мог похвастаться сетью между ними, не говоря уже о других
новшествах (высокоскоростной Интернет, VPN, и т. д.) конечно, это
обуславливалось и дороговизной оборудования, и недостатком специалистов, и
незнанием (или нехотением) самих руководителей вводить что–то новое. То
сейчас, конечно, в связи с доступностью и распространенностью информации
любой, даже небольшой офис (что там говорить – даже простой домашний
пользователь) создает сеть с разделяемой средой, с сетевыми устройствами
различного уровня. В современных локальных сетях четко прослеживается
тенденция перехода от систем с разделяемой средой на базе концентраторов к
использованию коммутаторов (ключевая разница между коммутатором и
концентратором заключается в способе работы с блоками информации –
фреймами).
Компьютеры, объединенные в локальную сеть, являются базой для работы
прикладных программ, выполняющих необходимые предприятию задачи:
одновременный доступ к данным с нескольких рабочих мест, обмен информацией
между пользователями, обществление ресурсов – принтеров, дискового
пространства, и т.п., общий доступ к сети Интернет.
В современных условиях более 80% различных атак и попыток доступа к
информации осуществляется изнутри локальных сетей. Виртуальные локальные
сети (VLAN) предоставляют дополнительные преимущества с точки зрения
безопасности. Пользователи одной рабочей группы не могут получить доступ к
данным другой группы, потому что каждая VLAN – это закрытый, логически
обособленный домен. Представьте компанию, в которой финансовый департамент,
работающий с конфиденциальной информацией, расположен на трех этажах
офисного здания. На тех же этажах расположены инженерный департамент и
отдел маркетинга. Сотрудники финансового департамента, инженерного отдела и
отдела маркетинга подключены к сети как члены трех разных VLAN. При этом
вся информация, пересылаемая между VLAN, может проходить только через
маршрутизаторы, на которых используются мощные средства безопасности.
Следовательно, сетевой трафик, создаваемый финансовым департаментом будет
надежно защищен.
Очень важным преимуществом VLAN является возможность создания рабочих
групп, основываясь на функциональности, а не на физическом расположении.
Традиционно администраторы группировали рабочие станции физическим
перемещением пользователей, их столов и серверов в общее рабочее
пространство, например в один сегмент. VLAN позволяет администратору
создавать, группировать и перегруппировывать сетевые сегменты логически и
немедленно, без изменения физической инфраструктуры и отключения
пользователей. Возможность легкого добавления, перемещения и изменения
пользователей сети – ключевое преимущество VLAN.
В условиях глобального экономического спада неизмеримо возрастает
значение технологий, которые помогают сокращать затраты и издержки. Сложная
экономическая ситуация заставила предприятия различных отраслей
пересмотреть и зачастую существенно сократить бюджеты, в том числе и
области ИТ. Спады в экономике ускоряют внедрение эффективных решений и
устраняют решения, которые слишком затратные.
На примере инфраструктурного программного обеспечения можно легко
убедиться, что зачастую при равном функционале разница только в стоимости
лицензирования различных решений может достигать значений в 700%. В
большинстве корпоративных сетей инфраструктурное ПО решает типовой набор
задач: управление группами пользователей сети, обеспечение безопасного
доступа к Интернет, построение системы электронной почты, системы защиты от
информационных угроз и др. Реализовать решение этих задач можно как на базе
Интернет–шлюза Ideco ICS, так и с помощью технологий, например, корпорации
Microsoft. Несложно провести сравнительный анализ затрат на лицензирование
базового набора инфраструктурного ПО.
Но это все про локальную сеть одного офиса. А ведь у многих клиентов
в городе несколько офисов. Это и эффективно: удобнее для клиента. Это и
выгодно: гораздо проще арендовать несколько офисов за доступную арендную
плату, чем снимать целый этаж в новомодном бизнес–центре. Но когда есть
несколько офисов в таком мегаполисе как Алматы, встает вопрос быстрого
обмена информацией, данными. Вопрос эффективного взаимодействия. Ведь в
одном офисе, к примеру, может находиться руководство и бухгалтерия, в
другом служба технической или клиентской поддержки, в третьем – служба
логистики. Как сделать так, чтобы все эти удаленные друг от друга
подразделения работали как единый организм, слаженно и эффективно? Ответ
прост – воспользоваться услугой использовать технологию виртуальной частной
сети – VPN.
1 ТЕОРЕТИЧЕСКИЕ ОСНОВЫ VLAN
Бурный рост рынка коммутаторов Ethernet привел к появлению большого
числа продуктов, обладающих многими замечательными свойствами. Одним из
самых полезных и наиболее часто встречающихся свойств, несомненно, является
поддержка виртуальных локальных вычислительных сетей (ВЛВС) или Virtual
Local Area Network (VLAN). Концепция VLAN, первоначально разработанная
только для сегментации коммутаторов на несколько доменов коллизий,
оказалась весьма нужной и для конфигурирования сетей. Без VLAN
коммутируемые сети были бы плоскими [1, 2, 3, 4, 5].
История VLAN насчитывает много интересных фактов. Первыми продуктами,
реализующими VLAN, были сегментирующие коммутаторы. Такие устройства можно
логически разделить на два или более виртуальных коммутатора. Они
осуществляли коммутацию многочисленных сетевых сегментов, что имело большое
значение, если принять во внимание высокую цену портов первых коммутаторов
Ethernet – 700 долл. и выше.
По мере того как производители включали все больше функций коммутации
в свои микросхемы ASIC, коммутируемый порт Ethernet неуклонно дешевел.
Сегодня уже большинство предприятий имеют сети с коммутируемыми и
разделяемыми сегментами. С помощью технологий VLAN можно создавать
многочисленные виртуальные сетевые сегменты и таким образом повышать
информационную безопасность и ограничивать распространение
широковещательных сообщений. Для того чтобы вывести эти возможности за
рамки единственного коммутатора, производители сетевого оборудования
разработали фирменные протоколы и механизмы сигнализации, с помощью которых
можно создавать VLAN, охватывающие несколько коммутаторов. Это позволило
пользователям проектировать сеть на основе логической структуры своей
организации, а не физического местоположения ее частей.
Определение состава VLAN ранее осуществлялось только на базе портов
коммутатора. Каждый такой порт мог принадлежать только одной VLAN. Сегодня
же состав VLAN определяется несколькими способами. Многие из них
разработаны с тем, чтобы облегчить перемещение сетевого оборудования, его
добавление и замену, а также, чтобы обеспечить информационную безопасность.
В начале истории Ethernet, локальные сети ограничивались одним доменом
коллизий. При появлении мостов с двумя и более портами, стало возможным
сегментировать большую сеть на меньшие домены коллизий, значительно улучшив
производительность сети. Однако это не уменьшало перегрузок сети, вызванных
внезапным широковещательным штормом. Широковещательный трафик свободно
перемещался через Ethernet–мосты. C появлением Ethernet–маршрутизаторов,
пользователей сети стали группировать в рабочие группы с общим доменом
коллизий. Это не только улучшило эффективность сети внутри каждой группы,
но и уменьшило перегрузки общей сети, вызванное внезапным широковещательным
штормом. Однако разделение общей сети маршрутизаторами на рабочие группы
вызвало другие проблемы. Связь между рабочими группами стала возможна
только через маршрутизаторы уровня три. Это замедлило доступ к глобальным
серверам компании. С появлением технологии коммутируемого VLAN Ethernet
стало возможно логическое сегментирование сети на множество
широковещательных доменов, улучшающее производительность сети и уменьшающее
широковещательный трафик, без замедления доступа к глобальным серверам
компании. С появлением коммутируемого Ethernet (Switching local–area
network) потребность его на рынке все возрастала и возрастала. На
протяжении нескольких лет число коммутируемых портов в корпоративных сетях
постоянно возрастало. При этом каждый коммутируемый порт был разделен все
меньшим и меньшим числом пользователе сети, и даже достиг одиночного
подключения каждого пользователя сети к коммутируемым портам. Этот тип
сетевой инфраструктуры лучше всего пригоден для развертывания VLAN.
Виртуальные сети могут быть определенны как группы пользователей,
отнесенные к определенным отделам или выполняющие общие функции, без
ограничения физическим местонахождением пользователей и даже без
ограничения использования разных сетевых устройств (коммутаторов), к
которым они подключены физически. Написанное выше предложение как бы
определяет границы VLAN.
1 Типы VLAN
Сегодня существует достаточно много вариантов реализации VLAN. Простые
варианты VLAN представляют собой просто набор портов коммутатора, более
сложные реализации позволяют создавать группы на основе других критериев. В
общем случае возможности организации VLAN тесно связаны с возможностями
коммутаторов [6].
Сети на базе портов
На рисунке 1.1 представлена схема сети, организованная на базе портов.
Это простейший вариант организации виртуальной ЛВС. VLAN на базе портов
обеспечивают высочайший уровень управляемости и безопасности. Устройства
связываются в виртуальные сети на основе портов коммутатора, к которым эти
устройства физически подключены. VLAN на базе портов являются статическими
и для внесения изменений требуется физическое переключение устройств.
Однако построенные на базе портов виртуальные сети имеют некоторые
ограничения. Они очень просты в установке, но позволяют поддерживать для
каждого порта только одну виртуальную ЛВС. Следовательно, такое решение
мало приемлемо при использовании концентраторов или в сетях мощными
серверами, к которым обращается много пользователей (сервер не удастся
включить в разные VLAN).
Рисунок 1.1 – Сети на базе портов
Кроме того, виртуальные сети на основе портов не позволяют вносить в
сеть изменения достаточно простым путем, поскольку при каждом изменении
требуется физическое переключение устройств.
Сети на базе MAC–адресов
Хотя этот тип виртуальных сетей относится к числу наиболее простых,
VLAN на базе MAC–адресов настраивать сложнее, нежели сети на основе
физических портов. Виртуальная сеть на базе MAC–адресов группирует
устройства (рисунок 1.2). Сети на базе MAC–адресов являются одним из
наиболее безопасных и управляемых типов VLAN.
Рисунок 1.2 – Сети на базе MAC–адресов
Настройка виртуальной сети на основе MAC–адресов может отнять много
времени – представьте себе, что вам потребуется связать с VLAN адреса 1000
устройств. Кроме того, MAC–адреса "наглухо зашиты" в оборудование и может
потребоваться много времени на выяснение адресов устройств в большой,
территориально распределенной сети.
VLAN на сетевом уровне
Согласно рисунку 1.3 виртуальные ЛВС сетевого уровня позволяют
администратору связать трафик для того или иного протокола в
соответствующей виртуальной сети. Точно таким же способом создаются
широковещательные домены в сетях на основе маршрутизаторов. Протокол может
быть задан в форме IP–подсети или сетевого номера IPX. Можно, к примеру,
объединить в виртуальную ЛВС всех пользователей подсети, которая была
организована до использования коммутаторов.
Рисунок 1.3 – VLAN на сетевом уровне
Спектр возможностей коммутатора, на базе которого строится VLAN, часто
определяет гибкость виртуальных сетей данного типа. Многие виртуальные ЛВС
сетевого уровня поддерживают системы на базе нескольких коммутаторов, тогда
как другие могут работать только с одним устройством. Помните, что этот тип
виртуальных ЛВС почти не отличается от сетей на базе маршрутизаторов и
некоторые коммутаторы неспособны обеспечить требуемую в данном случае
производительность.
VLAN на базе протоколов
Этот тип виртуальных сетей (рисунок 1.4) строится на базе заданного в
каждом кадре типа протокола.
Рисунок 1.4 – VLAN на базе протоколов
Администратор может самостоятельно выбрать поля в заголовках кадров,
по которым будет определяться принадлежность к виртуальной сети, и
загрузить подготовленные правила во все коммутаторы сети. Возможно
поместить в одну виртуальную сеть всех пользователей, работающих с
протоколом NetBios или IP. Для работы с данным типом виртуальных сетей
администратор должен досконально разбираться в заголовках широковещательных
кадров.
Многоадресные (multicast) VLAN
На рисунке 1.5 многоадресный (multicast) трафик отличается от
широковещательного (broadcast), который передается во всю сеть, и
одноадресного (unicast), обеспечивающего связь "точка–точка".
Рисунок 1.5 – Многоадресные (multicast) VLAN
Многоадресный трафик представляет собой обмен "точка–многоточка" (один
со многими) или многоточечный (многие со многими) и в последнее время
становится все более популярным для различных сетевых приложений.
Многоадресный режим может использоваться для видеоконференций, биржевых
систем, новостей и т.п. систем, где одна и та же информация передается
многочисленным пользователям. Виртуальные ЛВС с многоадресным трафиком
создаются динамически путем прослушивания IGMP (Internet Group Management
Protocol). Когда пользователь открывает приложение, использующее режим
multicast, он динамически включается в виртуальную сеть, связанную с данным
приложением. По окончании работы с программой пользователь удаляется из
соответствующей виртуальной сети.
VLAN на базе правил
Это наиболее мощная реализация VLAN, позволяющая администратору
использовать любые комбинации критериев для создания виртуальных ЛВС
(рисунок 1.6).
Рисунок 1.6 – VLAN на базе правил
Для включения устройств в виртуальные ЛВС можно использовать все
перечисленные выше способы при условии их поддержки установленными в сети
коммутаторами. После того, как правила загружены во все коммутаторы, они
обеспечивают организацию VLAN на основе заданных администратором критериев.
Поскольку в таких сетях кадры постоянно просматриваются на предмет
соответствия заданным критериям, принадлежность пользователей к виртуальным
сетям может меняться в зависимости от текущей деятельности пользователей.
Виртуальные ЛВС на основе правил используют широкий набор критериев
принадлежности к сети, включая все перечисленные выше варианты: MAC–адреса,
адреса сетевого уровня, тип протокола и т.д. Возможно, также использовать
любые комбинации критериев для создания правил, наиболее точно
соответствующих вашим задачам.
VLAN для уполномоченных пользователей
VLAN для уполномоченных пользователей обеспечивают высокий уровень
безопасности в сети и предъявляют более строгие требования к пользователям
для предоставления доступа к серверам или иным сетевым ресурсам. Например,
сеть уполномоченных пользователей может быть создана для финансового отдела
предприятия и сотрудники других подразделений не смогут получить доступ в
эту сеть, не имея соответствующих полномочий.
2 Трафик VLAN. Формат кадра VLAN
Компьютер при отправке трафика в сеть даже не догадывается, в каком
VLAN он размещён. Об этом думает коммутатор. Коммутатор знает, что
компьютер, который подключен к определённому порту, находится в
соответствующем VLAN. Трафик, приходящий на порт определённого VLAN, ничем
особенным не отличается от трафика другого VLAN. Другими словами, никакой
информации о принадлежности трафика определённому VLAN в нём нет. Однако,
если через порт может прийти трафик разных VLAN, коммутатор должен его
как–то различать. Для этого каждый кадр (frame) трафика должен быть помечен
каким–то особым образом. Пометка должна говорить о том, какому VLAN трафик
принадлежит. Наиболее распространённый сейчас способ ставить такую пометку
описан в открытом стандарте IEEE 802.1Q. Существуют протоколы, решающие
похожие задачи, например, протокол ISL (Inter Switch Link) от Cisco
Systems, но их популярность значительно ниже (и снижается). Протокол 802.1Q
помещает внутрь фрейма тег, который передает информацию о принадлежности
трафика к VLAN (рисунок 1.7) [7,8, 9].
Рисунок 1.7 – Тег протокола 802.1Q
Размер тега – 4 байта. Он состоит из таких полей:
– Tag Protocol Identifier (TPID) – Идентификатор протокола
тегирования. Размер поля – 16 бит. Указывает какой протокол
используется для тегирования. Для 802.1q используется значение
0x8100;
– Priority – приоритет. Размер поля – 3 бита. Используется
стандартом IEEE 802.1p для задания приоритета передаваемого
трафика;
– Canonical Format Indicator (CFI) – Индикатор канонического
формата. Размер поля –1 бит. Указывает на формат mac адреса. 1 –
канонический, 0 – не канонический;
– VLAN Identifier (VID) – идентификатор VLAN. Размер поля – 12 бит.
Указывает, какому VLAN принадлежит фрейм.
При использовании стандарта Ethernet, 802.1Q вставляет тег перед полем
"Тип протокола". Так как фрейм изменился, пересчитывается контрольная сумма
(рисунок 1.8).
Рисунок 1.8 – Фреймы (кадры) стандарта 802.1Q
В стандарте 802.1Q существует понятие Native VLAN. По умолчанию это
VLAN 1. Трафик, передающийся в этом VLAN, не тегируется. Порты коммутатора,
поддерживающие VLAN, (с некоторыми допущениями) можно разделить на два
множества:
1. тегированные порты (или транковые порты, trunk–порты в терминологии
Cisco);
2. нетегированные порты (или порты доступа, access–порты в
терминологии Cisco).
Тегированные порты нужны для того, чтобы через один порт была
возможность передать несколько VLAN и, соответственно, получать трафик
нескольких VLAN на один порт. Информация о принадлежности трафика VLAN, как
было сказано выше, указывается в специальном теге. Без тега коммутатор не
сможет различить трафик различных VLAN. Если порт нетегированный в каком–то
VLAN, то трафик этого VLAN передается без тега. Нетегированным порт может
быть только в одном VLAN. Порт может быть одновременно тегированным в
нескольких VLAN и нетегированным в одном VLAN (только в одном VLAN). В
таком случае VLAN, которому порт принадлежит как нетегированный, называется
родным (Native VLAN). Если порт принадлежит только одному VLAN как
нетегированный, то тегированный трафик, приходящий через такой порт, должен
удаляться (как правило, но не всегда). Обычно, по умолчанию все порты
коммутатора считаются нетегированными членами VLAN 1. В процессе настройки
или работы коммутатора они могут перемещаться в другие VLAN. Существуют два
подхода к назначению порта в определённый VLAN:
1. статическое назначение – когда принадлежность порта VLAN задаётся
администратором в процессе настройки;
2. динамическое назначение – когда принадлежность порта VLAN
определяется в ходе работы коммутатора с помощью процедур,
описанных в специальных стандартах, таких, например, как 802.1X.
При использовании 802.1X для того чтобы получить доступ к порту
коммутатора, пользователь проходит аутентификацию на
RADIUS–сервере. По результатам аутентификации порт коммутатора
размещается в том или ином VLAN (подробнее: 802.1X и RADIUS).
Статическая виртуальная сеть (Static VLAN) представляет собой
совокупность портов коммутатора, статически объединенных в виртуальную
сеть. Эти порты поддерживают назначенную конфигурацию до тех пор, пока она
не будет изменена администратором. Хотя для внесения изменений статические
виртуальные сети требуют вмешательства администратора, к их достоинствам
можно отнести высокий уровень безопасности, легкость конфигурирования и
возможность непосредственного наблюдения за работой сети Статические
виртуальные сети эффективно работают в ситуациях, когда необходимо
контролировать переезды пользователей и вносить соответствующие изменения в
конфигурацию.
Динамические виртуальные сети (dynamic VLAN) представляют собой
логическое объединение портов коммутатора, которые могут автоматически
определять свое расположение в виртуальной сети. Функционирование
динамической виртуальной сети основывается на МАС–адресах, на логической
адресации или на типе протокола пакетов данных. При первоначальном
подключении станции к неиспользуемому порту коммутатора соответствующий
коммутатор проверяет МАС–адрес в базе данных управления виртуальной сетью и
динамически устанавливает соответствующую конфигурацию на данном порте.
Основными достоинствами такого подхода является уменьшение объема работ в
монтажном шкафу при добавлении нового пользователя или при переезде уже
существующего и централизованное извещение всех пользователей при
добавлении в сеть неопознанного пользователя. Основная работа в этом случае
заключается в установке базы данных в программное обеспечение управления
виртуальной сетью и в поддержания базы данных, содержащей точную информацию
обо всех пользователях сети.
3 Преимущества VLAN
Кроме своего основного назначения – повышения пропускной способности
связей в сети – коммутатор позволяет локализовывать потоки информации в
сети, а также контролировать эти потоки и управлять ими, используя
пользовательские фильтры. Однако, пользовательский фильтр может запретить
передачи кадров только по конкретным адресам, а широковещательный трафик он
передает всем сегментам сети. Так требует алгоритм работы моста, который
реализован в коммутаторе, поэтому сети, созданные на основе мостов и
коммутаторов иногда называют плоскими – из–за отсутствия барьеров на пути
широковещательного трафика [10, 11]. Виртуальные сети (VLAN) предлагают
следующие преимущества:
– контроль над широковещательным трафиком;
– функциональные рабочие группы;
– повышенная безопасность.
Контроль над широковещательным трафиком
В отличие от традиционных LAN, построенных при помощи
маршрутизаторовмостов, VLAN может быть рассмотрен как широковещательный
домен с логически настроенными границами. VLAN предлагает больше свободы,
чем традиционные сети. Ранее используемые разработки были основаны на
физическом ограничении сетей, построенных на основе концентраторов; в
основном физические границы LAN сегмента ограничивались эффективной
дальностью, на которую электрический сигнал мог пройти от порта
концентратора. Расширение LAN сегментов за эти границы требовало
использования повторителей (repeaters), устройств, которые усиливали и
пересылали сигнал. VLAN позволяет иметь широковещательный домен вне
зависимости от физического размещения, среды сетевого доступа, типа
носителя и скорости передачи. Члены могут располагаться там, где
необходимо, а не там, где есть специальное соединение с конкретным
сегментом. VLAN увеличивают производительность сети, помещая
широковещательный трафик внутри маленьких и легко управляемых логических
доменов. В традиционных сетях с коммутаторами, которые не поддерживают
VLAN, весь широковещательный трафик попадает во все порты. Если
используется VLAN, весь широковещательный трафик ограничивается отдельным
широковещательным доменом.
Функциональные рабочие группы
Наиболее фундаментальным преимуществом технологии VLAN является
возможность создания рабочих групп, основываясь на функциональности, а не
на физическом расположении или типе носителя. Традиционно администраторы
группировали пользователей функционального подразделения физическим
перемещением пользователей, их столов и серверов в общее рабочее
пространство, например в один сегмент. Все пользователи рабочей группы
имели одинаковое физическое соединение для того, чтобы иметь преимущество
высокоскоростного соединения с сервером. VLAN позволяет администратору
создавать, группировать и перегруппировывать сетевые сегменты логически и
немедленно, без изменения физической инфраструктуры и отсоединения
пользователей и серверов. Возможность легкого добавления, перемещения и
изменения пользователей сети – ключевое преимущество VLAN.
Повышенная безопасность
VLAN также предлагает дополнительные преимущества для безопасности.
Пользователи одной рабочей группы не могут получить доступ к данным другой
группы, потому что каждая VLAN это закрытая, логически объявленная группа.
Представьте компанию, в которой Финансовый департамент, который работает с
конфиденциальной информацией, расположен на трех этажах здания. Инженерный
департамент и отдел Маркетинга также расположены на трех этажах. Используя
VLAN, члены Инженерного отдела и отдела Маркетинга могут быть расположены
на всех трех этажах как члены двух других VLAN, а Финансовый департамент
может быть членом третьей VLAN, которая расположена на всех трех этажах.
Сейчас сетевой трафик, создаваемый Финансовым департаментом, будет доступен
только сотрудникам этого департамента. Очевидно, есть другие требования для
обеспечения полной безопасности, но VLAN может быть частью общей стратегии
сетевой безопасности.
2 ПРОЕКТИРОВАНИЕ СЕТИ С ICS ДЛЯ ТОО ALTERNATE
2.1 Компании разработчики ICS (Internet Control Server)
Ideco Software
Ideco Software – компания разработчик программного обеспечения.
Основной продукт – система учета, контроля и защиты доступа в Интернет
"Ideco Internet Control Server". Ideco ICS используется компаниями очень
широкого спектра деятельности для повышения эффективности информационного
обеспечения, организации персонального доступа в Интернет, защиты данных,
увеличения безопасности от внешних и внутренних угроз [12].
Помимо программных решений, компания Ideco Software осуществляет
поставку серверов с предустановленной системой Ideco ICS.
Ideco Software постоянно работает над улучшением качества продуктов
и с огромной ответственностью относится к созданию законченных продуктов.
Эта ответственность диктует компании определенные требования к разработке:
– каждый продукт содержит пробную версию;
– каждый продукт снабжен качественной системой помощи;
– каждый продукт поставляется с хорошо продуманной документацией;
– каждый пользователь имеет качественную поддержку.
Возможности продуктов Ideco Software, а также политика в области
лицензирования позволяют удовлетворять потребности от самых маленьких до
самых крупных компаний в любой точке мира.
Ideco Internet Control Server (Ideco ICS) – это универсальный интернет
– шлюз с межсетевым экраном и функциями учета трафика. Ideco ICS позволяет
быстро и легко настроить качественный доступ в Интернет всем пользователям,
сделает работу с Интернет управляемой и безопасной. Интегрированные сетевые
сервисы позволяют сразу развернуть полноценную почтовую службу, веб–сайт,
ftp–сервер. Удобный VPN–сервер позволяет объединить несколько офисов в
единую сеть, подключить удаленные подразделения и мобильных пользователей.
Ideco ICS – это высоконадежное и безопасное решение со встроенной и
максимально защищенной операционной системой Linux, включает в себя
сконфигурированные и готовые к использованию компоненты. Система
автоматически устанавливается и управляется через удобный веб–интерфейс.
Преимущества Ideco ICS:
Надежность и безопасность
– Ideco ICS построен на базе ядра Linux с применением уникальных
технологий. Поэтому имеет беспрецедентную надежность и
защищенность, сравнимую с аппаратными маршрутизаторами;
– многоуровневая система защиты сервера.
– надежность системы подтверждается фактами внедрения Ideco ICS
крупными компаниями и безотказной работой в больших сетях;
– встроенный модуль отказоустойчивости восстановит систему даже в
случае сбоя.
Простота установки, настройки и сопровождения
– не требует изменения существующей сети предприятия – достаточно
установки одного сервера;
– Ideco ICS автоматически устанавливается на компьютер. Для работы
Ideco ICS не требуется дополнительного программного обеспечения –
все необходимое есть на диске;
– не требует постоянного сопровождения – эксплуатационные расходы
близки к нулю ;
– удобный и понятный интерфейс администратора: управление
пользователями, тарифными планами, установка ограничений, настройка
Firewall и т.д. Управление системой возможно не только системным
администратором, но и обычным пользователем;
– веб–интерфейс пользователя: просмотр статистики, баланса, смена
пароля и другой информации;
– встроенный DHCP–сервер максимально упрощает развертывание на малых
и средних предприятиях;
– не требует установки нестандартного ПО на компьютеры
пользователей;
– прозрачность для всех сетевых протоколов: HTTP, SMTP, POP3, FTP и
других.
Экономический эффект
– учитывая экономию расходов, низкие эксплуатационные издержки и
высвобождение времени специалистов – Ideco ICS окупается за
несколько месяцев;
– удобная схема лицензирования. Имеются версии для малых
предприятий: 10–20 пользователей; средних: 50–200; и крупных
компаний: 500 и более пользователей.
Новое в версии 2.5.8:
Статистика, отчеты
– удобный интерфейс для просмотра статистики прозрачного
прокси–сервера, информация по URL, большим файлам и времени;
– системный монитор в веб–интерфейсе, просмотр состояния сервера;
– возможность смотреть трафик в реальном времени.
Новые службы
– DNS–сервер BIND с поддержкой зон;
– сервер авторизации RADIUS.
Веб–сервер
– сайт–шаблон dokuwiki;
– поддержка запроса клиентских SSL–сертификатов.
Почтовый сервер
– теперь удаленные пользователи могут пользоваться SMTP–сервером
своей организации, используя свой логин и пароль. Авторизация
SMTP–клиентов через SASL и шифрование TLS;
– возможность добавления сертификата в браузер и почтовый клиент
для удобства работы по шифрованному SSL каналу.
Безопасность
– блокирование чрезмерной активности по классам трафика;
– возможность отправки почты через Службу Безопасности с визуальной
проверкой человеком;
– новые правила–шаблоны в firewall.
Надежность, отказоустойчивость
– обновлены драйвера популярных сетевых карт;
– добавлен NMI Watchdog;
– добавлена возможность резервного копирования по FTP и NetBIOS;
– подключение и управление дополнительными IDESATA дисками;
– новые алгоритмы авторизации, тарификации и шейпера позволяют
быстрее подключаться пользователям и выдерживать серверу еще
большие нагрузки;
– Ideco Agent теперь может работать в сетях с большой потерей
пакетов.
Удаленное подключение по VPN
– теперь мобильные сотрудники при подключении из командировки
могут иметь адрес локальной сети – ProxyARP для этих адресов
будет добавлен автоматически при подключении.
Возможности для провайдеров
– поддержка работы с СОРМ;
– поддержка работы с банкоматами и платежными системами;
– веб–интерфейс приема платежей для кассира;
– ежедневное списание абонентской платы;
– назначение динамического NAT–адреса из диапазона.
Компания А–реал Консалтинг
А–реал Консалтинг – компания, специализирующаяся на разработке
программного обеспечения для бизнеса. Компания основана в июле 2003 года и
с тех пор находится в процессе роста и развития. На сегодня в компании
работают 19 квалифицированных специалистов в области системной интеграции и
разработки программных продуктов [13].
Продукты и услуги для клиентов А–реал Консалтинг – это результат
синтеза двух направлений: системной интеграции и разработки программного
обеспечения. Системная интеграция требует глубоких знаний информационных
систем, сетей и их программных и аппаратных компонентов. Для эффективной
разработки программного обеспечения нужны не только искусное владение
технологиями программирования, но и понимание бизнес процессов заказчика.
А–реал Консалтинг активно сотрудничает с Ярославским государственным
университетом принимая участие в проекте ИТ Парка. Поддерживает связи с
ведущими специалистами по информационным технологиям в области, благодаря
чему может создавать проектно–ориентированные команды для работы с задачами
любого масштаба.
"В целях повысить эффективность деятельности наших заказчиков, мы
предоставляем им современные информационные технологии и широкий спектр
коммуникационного оборудования. Основная область нашей деятельности –
разработка сетевых информационных систем повышающих конкурентоспособность
бизнеса заказчика",– директор А–реал Консалтинг Макурин Виталий Эдуардович.
А–Реал Консалтинг оказывает клиентам услуги и предоставляет продукты
по трем направлениям:
– программное обеспечение: разработка веб–сайтов и порталов,
программного обеспечения, систем автоматизации бизнеса,
прикладных программ, а также поставка готового программного
обеспечения наших партнеров и создание решений на базе ПО с
открытым исходным кодом;
– системная интеграция: проектирование и строительство сетей и
объектов связи, поставка телекоммуникационного и серверного
оборудования, обслуживание информационных систем и сетей;
– системы контроля Интернет доступа: разработка и продвижение
собственного продукта " INTERNET CONTROL SERVER", который
обеспечивает полный контроль корпоративного Интернет
подключения.
Сравнение продукции компаний А–реал и Ideco
В таблице 2.1 приведено краткое сравнение возможностей и технической
оснащенности продукций компаний А–реал и Ideco [14, 15].
Таблица 2.1
Сравнение ICS компаний Ideco и А–реал
Интернет Ideco ICS A–реал ICS
контроль
сервер
1. Наличие 70 дней 35 дней
пробной версии
2. Ядро Linux FreeBSD
3. Поддержка Включение режима "Удаленный Бесплатная техподдержка
помощник" позволяет вызвать на время тестирования
удаленного помощника из системы и в течение 1
службы технической поддержки месяца после
Ideco для настройки сервера приобретения ИКС;
Ideco ICS. Инцидентное
Техническая поддержка для обслуживание; Удаленное
всех бесплатна, в том числе администрирование
по пробной версии.
Продолжение таблицы 2.1
4. Сервер имен Кэширующий DNS сервер для Позволяет использовать
DNS локальной сети. Есть ИКС, как в качестве
возможность указывать кэширующего DNS–сервера,
соответствие между доменным так и в качестве
именем компьютера и его сервера, отвечающего за
сетевым адресом. какой–либо домен.
5. Сервер DHCP Автоматическое распределение Позволяет без особого
IP адресов в локальной сети. труда добавлять в сеть
Возможность фиксированной новые компьютеры.
привязки IP к MAC адресу Автоматически выдаст
компьютера компьютеру всю
информацию, необходимую
для работы в сети
(IP–адрес, маска,
маршрутизатор,
DNS–сервер)
6. Статистика, p2p статистика обрабатываетсяСбор статистики по
отчеты отдельно и не мешает доступности сервиса,
просмотру основной предоставляемого
статистики; провайдером. Реализуется
Системный монитор в посредством
веб–интерфейсе, просмотр периодических отправок
состояния сервера; ICMP ECHO REQUEST
Возможность смотреть трафик впакетов для нескольких
реальном времени программой адресов, критичных для
iptraf пользователей
корпоративной сети.
7. VLAN Полноценный маршрутизатор, Не во всех версиях
поддерживающий множество
интерфейсов (как локальных,
так и внешних).
Поддерживаются виртуальные
802.1q VLAN интерфейсы, PPTP,
PPPoE и CIPE интерфейсы
8. VPN Подключение к провайдеру по Позволяет связывать
протоколам PPTP ( VPN ) и удаленные офисы путем
PPPoE установки шифрованного
туннеля (VPN – Virtual
Private Network).
Используется IPSEC со
статическими ключами
9. Безопасность Защита компьютеров от атак изМежсетевой экран
Интернет с использованием
технологий NAT и встроенного
Firewall.
Content фильтр
10.Обновления On–line обновления On–line
обновления. Последние
обновления ИКС через
Интернет из встроенного
в систему модуля
обновлений.
Продолжение таблицы 2.1
11.Установка Не требует изменения
существующей сети предприятия
12.Авторизация По логину и паролю через VPN,Имя (и пароль);
пользователя PPPoE или через Ideco Agent,IP–адрес;
авторизация по IP адресу и по"ActiveDirectory";
MAC адресу VPN–соединение
пользователю требуется
установить шифрованный
VPN–канал;
программа–агент
позволяет пользователю
ввести свой логин и
пароль в агенте и
получить доступ к сети с
любого компьютера
имеющего IP адрес и
доступ к ИКС.
13.Почтовый Почтовый сервер с Полностью учитывает
сервер антивирусом. Почтовый ящик почтовый трафик,
создается автоматически при осуществляет
добавлении пользователя. антивирусную проверку
IMAP, POP3S, IMAPS почты ,
позволяет изменять
параметры почтового
ящика для каждого
пользователя ,
резервное копирование,
POP3IMAP,
спам–фильтрация,
14.Другое Radius сервер Экстренная диагностика
Веб–сервер соединения. Позволяет
Сайт шаблон dokuwiki выявить проблемы с
Поддержка запроса клиентских внешним подключением.
ssl сертификатов Проверяется состояние
интерфейсов системы,
доступность критически
важных узлов сети
2.2 ICS суть
Внутри компании, подключенной к сети Интернет, имеется серьезная
мотивация для использования систем учета трафика. Интернет уже стал
неотъемлемой частью бизнес процессов, тесно переплетаясь с информационными
системами бизнеса. То, насколько компания контролирует информацию своего
бизнеса, теперь зависит от того, насколько она контролирует Интернет
подключение [16, 17].
Ежегодно растет количество пользователей и скорость подключений к
Интернету. Широкополосные подключения, уже повсеместно заменили собой
низкоскоростные подключения на корпоративном рынке. Благодаря этому
Интернет становится мощным инструментом, который, однако, требует
существенно большего контроля.
Миллионы новых пользователей появляются в сети, постоянно снижая
средний уровень квалификации его пользователей. Бурное развитие технологии
направлено в основном на получение большей скорости, в то время как
разработка и внедрение механизмов, которые должны обеспечивать учет
трафика, контроль и безопасность серьезно отстает от технологии,
ответственной за скорость. Также очевидно, что средний уровень обычного
пользователя совершенно недостаточен для обеспечения хотя бы собственной
безопасности при высоких современных скоростях.
Прямые затраты на Интернет зависят от объема потребленной информации.
Создать потребление может как передача данных о новом продукте вашим
поставщиком, так и увлечение ваших сотрудников играми в сети. Таким
образом, информация может быть как целевой, так и нецелевой. К сожалению,
провайдеру все равно, какую информацию получает компания – платить придется
за все виды трафика.
Во время потребления средств для своих Интернет прогулок (или
прогулов), сотрудники также потребляют и рабочее время.
Поэтому, для того, чтобы не растратить деньги попусту необходимо,
во–первых, иметь точную и оперативную информацию о том, кто, сколько и
каких ресурсов из Интернет потребляет, а во–вторых, иметь возможность
запретить доступ неблагонадежным пользователям или доступ к явно
бесполезным ресурсам.
Если сравнить сеть Интернет с сетью электроснабжения, то можно
заметить, что эволюция сетей электроснабжения привела к появлению различных
стандартизированных устройств, которые защищают пользователя от сети, и
наоборот – сеть от пользователя. Это автоматы защиты рубильники,
электросчетчики, трансформаторы. В случае Интернета таких стандартных
устройств пока нет, хотя они не менее необходимы.
Учет трафика это своеобразный счетчик. Программные продукты, которые
реализуют учет трафика в корпоративных сетях, должны также уметь управлять
доступом пользователей, обеспечивать защиту корпоративной сети, а также
иметь различные дополнительные функции, облегчающие взаимодействие
корпоративной сети с Интернетом. Такие серверы контроля корпоративного
Интернет подключения в идеале должны полностью автоматизировать и управлять
взаимоотношениями между корпоративной сетью и Интернетом.
Интернет Контроль Сервер (ИКС) – программа для учёта трафика и
мониторинга Интернет подключения. Может использоваться не только как
счётчик трафика, но и как универсальный комплекс для управления любым
подключением к Интернету. Интернет Контроль Сервер нужно включить между
вашей корпоративной сетью и провайдерами, чтобы учитывать трафик, управлять
доступом каждого пользователя, установить надежную защиту сети.
Преимущества Интернет Контроль Сервера – это комплексное
решение большинства задач связанных с Интернет подключением. Применим в
сетях различной топологии. Управление доступно системным администраторам
любой квалификации. Активная поддержка компанией–разработчиком и ценовая
политика выделяют продукт на рынках firewall, proxy и billing–систем для
конечного пользователя. В результате, Интернет Контроль Сервер экономит на
времени загрузки требуемой информации, на объеме потребляемого трафика, на
ограничении доступа к определенным ресурсам, на предотвращении
несанкционированного доступа во внутреннюю сеть. В результате Сервер
обеспечивает весомое сокращение денежных расходов на Интернет и надежную
защиту корпоративной сети. В качестве дополнительных преимуществ Интернет
Контроль Сервер имеет:
– ускорение работы сети за счет её оптимизации;
– управление всеми функциями из одного интерфейса;
– управление с любого компьютера, подключенного к Интернету;
– мониторинг работы сети и самого сервера.
Сценарии использования ИКС
1. Одна локальная сеть, один канал к провайдеру
Это самый ... продолжение
Вы можете абсолютно на бесплатной основе полностью просмотреть эту работу через наше приложение.
Похожие работы
Дисциплины
- Информатика
- Банковское дело
- Оценка бизнеса
- Бухгалтерское дело
- Валеология
- География
- Геология, Геофизика, Геодезия
- Религия
- Общая история
- Журналистика
- Таможенное дело
- История Казахстана
- Финансы
- Законодательство и Право, Криминалистика
- Маркетинг
- Культурология
- Медицина
- Менеджмент
- Нефть, Газ
- Искуство, музыка
- Педагогика
- Психология
- Страхование
- Налоги
- Политология
- Сертификация, стандартизация
- Социология, Демография
- Статистика
- Туризм
- Физика
- Философия
- Химия
- Делопроизводсто
- Экология, Охрана природы, Природопользование
- Экономика
- Литература
- Биология
- Мясо, молочно, вино-водочные продукты
- Земельный кадастр, Недвижимость
- Математика, Геометрия
- Государственное управление
- Архивное дело
- Полиграфия
- Горное дело
- Языковедение, Филология
- Исторические личности
- Автоматизация, Техника
- Экономическая география
- Международные отношения
- ОБЖ (Основы безопасности жизнедеятельности), Защита труда
