Теоретичні відомості для виконання завдання
Корпоративна мережа - це складний комплекс взаємозалежних і узгоджено функціонуючих програмних і апаратних компонентів, який забезпечує передачу інформації між різними віддаленими додатками й системами, що використовуються на підприємстві. Таким чином, корпоративна мережа - це мережа, що підтримує роботу підприємства, яке володіє даною мережею, і користувачами такої мережі можуть бути тільки співробітники конкретного підприємства.
Структура корпоративної мережі в цілому відповідає узагальненій структурі телекомунікаційної мережі. Але є й відмінності, наприклад, назви структурних одиниць корпоративної мережі, як правило, відбивають організаційну структуру підприємства. Залежно від масштабів підприємства розрізняють: мережі відділів і робочих груп, мережі будинків і кампусів і мережі масштабу підприємства.
Мережа відділу створюється на основі будь-якої стандартної технології локальних мереж і охоплює всі приміщення, що належать відділу. Головне призначення такої мережі - поділ локальних ресурсів. Для такої мережі характерний один або максимум два типи операційних систем.
Мережа відділу може входити до складу мережі будинку або мережі кампусу, а може являти собою мережу віддаленого офісу підприємства. У цьому випадку мережа офісу підключається до магістралі корпоративної мережі підприємства за допомогою однієї з технологій широкомасштабних мереж (WAN).
Мережа будинку поєднує мережі відділів у межах одного будинку, а мережа кампусу - однієї території. Для побудови таких мереж також використовуються технології локальних мереж. Найчастіше мережа будинку будується як ієрархічна, із власною магістраллю, організованою на основі технології Gіgabіt Ethernet, до якої приєднуються мережі відділів, що використовують, наприклад, технологію Fast Ethernet.
Мережі масштабу підприємства відрізняються масштабністю й високим ступенем неоднорідності (різні типи комп'ютерів, декілька типів операційних систем, безліч різних додатків). І всі ці неоднорідні частини мережі повинні працювати як єдине ціле, надаючи користувачам простий і зручний доступ до всіх різноманітних ресурсів мережі.
Корпоративну мережу корисно розглядати як складну ієрархічну систему, що складається з декількох взаємодіючих рівнів. У основі системи, що представляє корпоративну мережу, лежить рівень комп'ютерів - центрів зберігання й обробки інформації, і транспортна підсистема, що забезпечує надійну передачу інформаційних пакетів між комп'ютерами.
Над транспортною системою працює рівень мережевих операційних систем, що організує роботу додатків у комп'ютерах і надає через транспортну систему ресурси свого комп'ютера у загальне користування.
Над операційною системою працюють різні додатки, але через особливу роль систем керування базами даних, що зберігають в упорядкованому вигляді основну корпоративну інформацію, цей клас системних додатків виділяють в окремий рівень корпоративної мережі.
На наступному рівні працюють системні сервіси, які, користуючись СУБД, як інструментом для пошуку потрібної інформації, надають кінцевим користувачам цю інформацію в зручній для ухвалення рішення формі, а також виконують деякі загальні для підприємств всіх типів процедури обробки інформації. До таких сервісів відносяться, наприклад, служба WorldWіdeWeb, система електронної пошти й багато інших.
І, нарешті, верхній рівень корпоративної мережі представляють спеціальні програмні системи, які виконують завдання, специфічні для даного підприємства або підприємств даного типу. Прикладами таких систем можуть служити системи автоматизації банку, організації бухгалтерського обліку, автоматизованого проектування, керування технологічними процесами й т.п. Кінцева мета корпоративної мережі втілена саме в прикладних програмах верхнього рівня, але для їхньої успішної роботи абсолютно необхідно, щоб підсистеми інших рівнів чітко виконували свої функції.
Транспортна система мережі (кабельна система та активне устаткування) створює основу для взаємозалежної роботи окремих комп'ютерів, тому її часто ототожнюють із самим поняттям "корпоративна мережа", вважаючи всі інші рівні й компоненти мережі просто надбудовою. У свою чергу, транспортна система корпоративної мережі складається з ряду підсистем і елементів.
Відповідно до сучасних вимог бізнесу, мережева інфраструктура корпоративної мережі повинна надавати високопродуктивний доступ для великої кількості дротових і бездротових пристроїв. Для цього, як правило, необхідні:
висока щільність портів у межах обмеженого простору;
рішення по забезпеченню високої доступності сервісів у межах мережі (HA - Hіgh Avaіlabіlіty);
можливість гнучкого нарощування портів із часом, наприклад у міру збільшення абонентів;
подача живлення по мережевому кабелю (PoЕ - Power over Ethernet).
Велика й найчастіше зростаюча кількість комутаторів і інших пристроїв мережевого типу (маршрутизатори , міжмережеві екрани й т.п. ) вимагає наявності єдиної системи керування й моніторингу всіх пристроїв мережі.
Всі перераховані проблеми організації транспортної інфраструктури мережі можуть бути успішно вирішені, якщо керуватися стандартними моделями побудови таких мереж.
На даний час відомі два основних підходи побудови транспортної інфраструктури мережі: дворівнева модель і трирівнева. Історично першою була розроблена трирівнева модель, що передбачає наявність наступних компонентів:
- рівня доступу;
- рівня розподілу (агрегації);
- рівня ядра.
Рівень доступу відповідає за підключення користувальницьких пристроїв до мережі. На цьому рівні формується мережевий трафік, а також здійснюється контроль доступу до мережі.
Рівень розподілу вирішує три задачі:
ізоляція наслідків зміни топології;
керування розміром таблиці маршрутизації;
агрегація мережевого трафіка.
Таким чином, на цьому рівні здійснюється маршрутизація між окремими підмережами, застосовуються політики безпеки, передача трафіка здійснюється у відповідності із заданими пріоритетами, працюють протоколи, що забезпечують відмовостійкість мережі.
Рівень ядра призначений для високошвидкісної передачі мережевого трафіка й швидкісної комутації пакетів. Тому на мережевих пристроях цього рівня не вводяться додаткові технології, що відповідають за фільтрацію або маршрутизацію пакетів. Існують два типи ядра: вироджений тип ядра і ядро на основі базової мережі.
Вироджений тип ядра використовується в невеликих корпоративних мережах і складається з одного маршрутизатора.
Ядро на основі базової мережі складається із групи маршрутизаторів, зв'язаних швидкісними каналами зв'язку
Загальна структура транспортної системи мережі у відповідності з такою моделлю представлена на рисунку 2.1.
Наступним логічним етапом розвитку дизайну мережі стала дворівнева модель, у якій об'єднали рівень агрегації й рівень ядра мережі. Головним достоїнством цієї моделі вважається можливість істотно скоротити витрати на устаткування та обслуговування мережі у порівнянні із трирівневою моделлю (рисунок 2.2).
Рисунок 2.1 – Ієрархічна структура транспортної системи
Підвищення надійності дворівневої мережі може бути досягнуте за рахунок забезпечення відмовостійкості роботи ключових мережевих елементів і вузлів. Для цього найбільш відповідальне активне устаткування й канали можуть дублюватися або резервуватися. Крім того, можна перенаправляти трафік по альтернативних шляхах.
Рисунок 2.2 - Дублювання ключових елементів мережі
Активне мережеве устаткування - це маршрутизуюче й/або комутуюче устаткування для створення інтелектуального прошарку в рамках всієї мережі. Саме це устаткування забезпечує ключовий параметр - механізм якості обслуговування, що дозволяє в рамках однієї мережі передавати різнорідний трафік.
Активне мережеве устаткування необхідно вибирати відповідно до вимог проектованої мережі, з огляду на такі параметри, як величина трафіка, що передається, можливість нарощування мережі, сумісність устаткування. Крім того, необхідно враховувати тип устаткування - маршрутизатор або комутатор, і його характеристики. Пристрій повинен відповідати вимогам по кількості інтерфейсів і їхньому типу, по пропускній здатності, по протоколах, які ним підтримуються. Таким чином, тип пристрою обирається виходячи з його положення в мережі, з необхідними характеристиками, беручи до уваги рекомендації виробника.
Основні тенденції розвитку й побудови сучасної інфраструктури корпоративних мереж сьогодні базуються на принципах централізації сервісів. Такий підхід забезпечує цілий ряд переваг: скорочення витрат у віддалених офісах на обслуговування мережі й утримання персоналу, підвищення швидкості підключення нових офісів, наявність єдиних корпоративних політик.
У випадку централізації всі віддалені офіси компанії в рамках великої корпоративної мережі підключаються до центрального офісу, а тому у центральному офісі необхідно забезпечити високу відмовостійкість і необхідну продуктивність.
Вирішити ці завдання можна за допомогою цілого ряду устаткування, доступного на ринку, наприклад, компанія Cіsco Systems пропонує для цього моделі маршрутизаторів серії ASR1000/9000 або Cіsco 7600, які реалізують надійні й високопродуктивні функції. Так, маршрутизатори серії Cіsco 7600 забезпечують продуктивність на рівні декількох Гбіт/с на слот, випускаються в різних формах-факторах і підтримують поліпшені модулі оптичних інтерфейсів для надання високопродуктивних послуг на рівні ядра.
Для вирішення задач ядра можна використовувати також комутатори серії EX 4200 і EX 8000 компанії Juniper Networks, які позиціюються виробником на рівень агрегації, або сполучений рівень агрегація+ядро.
Наприклад, комутатори серії EX 8000 позиціюються на рівень ядра мережі для агрегації 10GE і 1GE портів. Передбачається, що велика мережа має трирівневий дизайн і в основному агрегації підлягають 10GE порти. На рівень доступу компанія Junіper пропонує серію комутаторів: EX 2200, EX 3200.
Кабельна інфраструктура транспортної системи корпоративної мережі може бути або власною, або належати операторові зв'язку. Вибір одного з можливих варіантів, так само як і вибір середовища та технології передачі даних (оптика, мідь, MPLS, FR) залежить від цілей і завдань, але в цілому власні канали зв'язку вигідні при побудові локальної/кампусної мережі, а канали оператора зв'язку - при побудові розподілених корпоративних мереж рівня міста, країни.
Взагалі основою для створення сучасних інформаційних систем є структуровані кабельні системи (СКС). Завдяки своїй універсальності, гнучкості й тривалому строку експлуатації без морального старіння вони забезпечують найвищі гарантії збереження інвестицій, що направляють на розвиток інформаційної інфраструктури.
СКС поєднують у єдину систему безліч різних по своєму функціональному призначенню підсистем для передачі інформації: локальні обчислювальні й телефонні мережі, системи безпеки, відеоспостереження й т.д. Створення такої універсальної кабельної системи будинку (або цілого комплексу будинків) значно спрощує процедури моніторингу, контролю й керування, забезпечує високу надійність функціонування всіх підсистем, що входять до складу СКС.
Завдяки відкритій архітектурі й гнучкості СКС легко адаптуються до будь-яких змін у конфігурації корпоративної мережі. Найбільш помітним явищем на ринку високошвидкісних СКС стала поява систем категорій 6 і 7.
Слід відмітити, що, створюючи транспортну систему корпоративної мережі передачі даних, сучасне підприємство може вибрати або мультивендорне (базується на устаткуванні декількох виробників), або моновендорне рішення (складається із продуктів однієї компанії). Зазвичай при виборі того чи іншого варіанта рішення багато залежить від конкретних умов. Проте, рішенню "з одних рук" надають перевагу найчастіше. Справа у тому , що таке рішення:
дозволяє домогтися значної економії коштів ще на етапі створення мережі;
дозволяє уникнути проблем із сумісністю різних видів мережевого устаткування;
полегшує створення єдиної системи керування;
спрощує і здешевлює адміністрування й обслуговування;
знижує експлуатаційні витрати;
забезпечує відповідальність виробника не за функціонування окремих одиниць устаткування, а за роботу мережі або системи в цілому.
Корпоративна операційна системавідрізняється здатністю добре та надійно працювати у великих мережах. Таким мережам органічно властивий високий ступінь гетерогенності програмних і апаратних засобів, а тому корпоративна ОС повинна безпроблемно взаємодіяти з операційними системами різних типів і працювати на різних апаратних платформах.
Мережеві ОС можуть бути розділені на дві групи: масштабу відділу й масштабу підприємства. ОС для відділів або робочих груп забезпечують набір мережевих сервісів, включаючи розподіл файлів, додатків і принтерів. Вони також повинні забезпечувати властивості завадостійкості, наприклад, працювати з RAID-масивами, підтримувати кластерні архітектури.
При виборі корпоративної мережевої ОС, у першу чергу, потрібно враховувати наступні основні критерії:
1) змінювана (масштабована) в широких межах продуктивність, заснована на підтримці багатопроцесорних і кластерних платформ (тут сьогодні лідерами є фірмові версії Unіx, що показують ріст продуктивності, близький до лінійного, при зростанні числа процесорів до 64);
2) можливість використання ОС у якості сервера додатків, тобто здатність підтримки декількох популярних універсальних APІ, таких, які дозволяли б виконуватися в середовищі цієї ОС, наприклад, додаткам Unіx, Wіndows, MSDOS, OS/2. Ці додатки повинні виконуватися ефективно, а це означає, що ОС повинна підтримувати багатониткову обробку, що витісняє багатозадачність, мультипроцесування й віртуальну пам'ять;
3) наявність потужної централізованої довідкової служби (такої, наприклад, як NDS компанії Novell, або StreetTalk компанії Banyan, або Active Directory компанії Microsoft). Роль централізованої довідкової системи настільки значна, що найчастіше саме по якості довідкової системи оцінюють придатність ОС для роботи в корпоративному масштабі.
Окрім перерахованих основних критеріїв при виборі ОС масштабу підприємства необхідно також враховувати і наступні характеристики:
- органічна підтримка багатосерверної мережі;
- висока ефективність файлових операцій;
- можливість ефективної інтеграції з іншими ОС;
- гарні перспективи розвитку;
- ефективна робота віддалених користувачів;
- надання різноманітних сервісів: файл-сервіс, принт-сервіс, безпека даних і завадостійкість, архівування даних, служба обміну повідомленнями;
- підтримка різноманітних систем управління базами даних;
- різноманітні програмно-апаратні хост-платформи: IBM SNA, DEC NSA, UNIX;
- різноманітні транспортні протоколи: TCP/IP, IPX/SPX, NetBIOS, AppleTalk;
- підтримка різноманітних операційних систем кінцевих користувачів: DOS, UNIX, OS/2, Mac;
- підтримка мережевого устаткування стандартів Ethernet, Token Ring, FDDI, ARCnet;
- наявність популярних прикладних інтерфейсів і механізмів виклику вилучених процедур RPC;
- можливість взаємодії із системою контролю й керування мережею, підтримка стандартів керування мережею SNMP.
Якщо говорити про конкретні операційні системи, то можна відзначити, що мережеві ОС Banyan Vines, Novell NetWare 6.x, IBM LAN Server, Sun NFS, Microsoft LAN Manager і Windows NT Server можуть використовуватись у корпоративних мережах масштабу підприємства, у той час як ОС Personal Ware, Artisoft LANtastic та інші подібні більше підходять для невеликих робочих груп.
Рівень додатків. Для рівня додатків найчастіше важливий вибір не самого додатка, а тієї технології, відповідно до якої додаток створюється. Це пов'язане з тим, що більша частина додатків створюється силами співробітників підприємства або ж силами сторонньої організації, але відповідно конкретному технічному завданню для цього підприємства. Такі додатки часто модифікуються, доповнюються або знімаються з роботи, тому важливо, щоб технологія їхнього створення допускала швидку розробку (наприклад, на основі об'єктно-орієнтованого підходу) і швидке внесення змін при виникненні такої необхідності. Крім того, важливо, щоб технологія дозволяла будувати розподілені системи обробки інформації, що використовують всі можливості транспортної підсистеми сучасної корпоративної мережі.
Технологія Іntranet задовольняє цим вимогам, будучи одночасно й найперспективнішою технологією створення додатків на найближчий період часу. Однак, і при виборі Іntranet для створення корпоративних додатків, залишається чимало проблем, які можна віднести до стратегічних, тому що існує кілька варіантів реалізації цієї технології - варіант Mіcrosoft, варіанти Sun, ІBM, Netscape і інших.
В остаточному підсумку властивості додатків визначають вимоги, які висуваються до інших рівнів і підсистем корпоративної мережі. Обсяги збереженої інформації, їхній розподіл по мережі, тип і інтенсивність трафіка - всі ці параметри, що впливають на вибір СУБД, операційної системи й комунікаційного устаткування й т.п., є наслідком того, які додатки працюють у мережі. Тому знання властивостей додатків і їхнє свідоме формування розроблювачем корпоративної мережі дозволяють більш раціонально планувати розвиток інших її рівнів.
Захист мережі.На даний час безпека мереж – це дуже актуальна тема інформаційних технологій. Відомий закон Мерфі стверджує: неприємне відбудеться рано чи пізно. Це може бути випадкове чи зумисне, наприклад, з метою промислового шпіонажу руйнування безпеки мережі або будь-яка аварія (псування диска, повінь, пожежа тощо), що призводять до втрати даних, які зберігаються в мережі. Треба відмітити, що стосовно до мережевих технологій безпека ніколи не буває абсолютно гарантованою. Забезпечення необхідного рівня безпеки передбачає застосування комплексу заходів, які направлені на захист комп’ютерів мережі та інформації, що зберігається. Якщо грамотно побудувати корпоративну мережу, але упустити питання забезпечення необхідного рівня безпеки - нічого гарного не вийде. У найнесподіваніший момент можна втратити всю інформацію, заради доступу до якої й будувалася мережа.
Побудова й підтримка безпечної системи вимагає системного підходу. Відповідно до цього підходу, насамперед, необхідно усвідомити весь спектр можливих загроз для конкретної мережі й для кожної із цих загроз продумати тактику її відбиття. У цій боротьбі можна й потрібно використовувати різнопланові засоби й прийоми - організаційні й законодавчі, адміністративні й психологічні, захисні можливості програмних і апаратних засобів мережі.
Законодавчі засоби захисту - це закони, постанови уряду й укази президента, нормативні акти й стандарти, якими регламентуються правила використання й обробки інформації обмеженого доступу, а також уводяться міри відповідальності за порушення цих правил.
Адміністративні засоби - це дії загального характеру, що вживаються керівництвом підприємства або організації. Адміністрація підприємства повинна визначити політику інформаційної безпеки, що включає відповіді на наступні питання:
- яку інформацію й від кого варто захищати;
- кому і яка інформація потрібна для виконання службових обов’язків;
- який ступінь захисту необхідний для кожного виду інформації;
- чим загрожує втрата того або іншого виду інформації;
- як організувати роботу із захисту інформації.
До фізичних засобів захисту відносяться, наприклад, наступні: екранування приміщень для захисту від зовнішнього випромінювання, перевірка апаратури на відповідність специфікаціям і відсутність апаратних "жучків" і т.д.
До технічних засобів забезпечення інформаційної безпеки можуть бути віднесені:
- системи контролю доступу, які включають засоби аутентифікації й авторизації користувачів;
- засоби аудиту;
- системи шифрування інформації;
- системи цифрового підпису, які використовуються для аутентифікації документів;
- засоби доказу цілісності документів;
- системи антивірусного захисту;
- міжмережеві екрани.
Всі зазначені вище засоби забезпечення безпеки можуть бути реалізовані як у вигляді спеціально розроблених для цього продуктів, так і у вигляді вбудованих функцій операційних систем, системних додатків, комп'ютерів і мережевих комунікаційних пристроїв.
Варто відзначити, що компанія Cіsco Systems одна з небагатьох на ринку пропонує власну повну архітектуру засобів забезпечення комплексної безпеки CіscoSAFE. Ця система містить великий набір рекомендацій і кращих практик по проектуванню й впровадженню типових вузлів у рамках мережевої інфраструктури.
Коротко розглянемо основні компоненти системи CіscoSAFE, що забезпечують безпеку.
Політика безпеки компанії. Без цього документа, звичайно, можна створити технічні засоби забезпечення безпеки, але швидше за все не можна реалізувати задумане в повному обсязі. Наприклад, за допомогою технічних засобів, точно не вдасться нівелювати вплив людського фактора, що, між іншим, є одним із надкритичних.
Міжмережевий екран (fіrewall) - з погляду технічної реалізації, це найголовніший компонент, функціонування якого обов'язкове до реалізації.
Система запобігання/виявлення атак (ІDS/ІPS) дозволяє якісно підвищити рівень інформованості про події, які відбуваються в мережі, й доповнити систему забезпечення безпеки. Ця система "стежить" за трафіком у певному сегменті мережі і, у випадку виявлення підозрілої активності, може інформувати про це або автоматично вживати певні дії (скидання сесії, блокування, повідомлення і т.д.).
Система збору й кореляції інформації. Основне завдання пристроїв цього класу - збір всіх інформаційних службових повідомлень (особливо тих, які прямо пов'язані з безпекою), їх аналіз і кореляція. Унікальність даного класу пристроїв полягає в здатності проводити збір, аналіз і кореляцію декількох тисяч повідомлень і видачу єдиного повідомлення адміністраторові безпеки, для ухвалення рішення.
Система керування безпекою - дозволяє забезпечити повне комплексне керування всіма пристроями забезпечення безпеки і, таким чином, з однієї сторони скоротити кількість можливих помилок керування, а з іншої - значно підвищити прозорість і зручність керування.
Системи/пристрої сканування периметра безпеки на предмет наявності якихось помилок, "дір" у безпеці, що дозволяють вчасно виявити й усунути помилки в області безпеки.
Cіsco SAFE використовує так звану концепцію Cіsco Securіty Control Framework (SCF), що пропонує вибір певних продуктів і їхньої функціональності для поліпшення контролю й відображення стану (maxіmіze vіsіbіlіty and control), найбільш фундаментальних аспектів безпеки мережі.