close

Вход

Забыли?

вход по аккаунту

?

Пример

код для вставкиСкачать
 Міністерство освіти і науки, молоді та спорту України
Донецький національний технічний університет
ПОЯСНЮВАЛЬНА ЗАПИСКА
до курсової роботи за дисципліною
"Комп'ютерні мережі"
на тему "Розробка мережі підприємства"
Розробив __________________________ Рябінін В. О.
підпис, дата
студент групи СП-08н
Керівник проекту ___________________ Приходько Т. О.
підпис, дата
Завідуючий кафедри _________________Святний В. А.
підпис, дата
Донецьк - 2011
РЕФЕРАТ
Пояснювальна записка до курсової роботи:
стор. 61, рис. 15, табл. 10, додатків 7.
Мережа підприємства, маршрутизатор, комутатор, сервер, проксі-сервер, Fast Ethernet, VLAN, пасивне дерево, TCP/IP, Windows Server 2003, Active Directory, MySQL, моніторинг, firewall, brandmauer, NAS, Cisco Packet Tracer
ЗМІСТ
РЕФЕРАТ2
1.ПОСТАНОВКА ЗАВДАННЯ5
1.1.Аналіз інформаційних потреб підприємства5
1.2Розрахунок інформаційних потоків в локальній обчислювальній мережі підприємства, розрахунок та планування середнього трафіку та коефіцієнту використання мережі10
2.ПЛАНУВАННЯ СТРУКТУРОВАНОЇ КАБЕЛЬНОЇ СИСТЕМИ ПІДПРИЄМСТВА17
2.1.План приміщень17
2.2.Топологія мережі19
2.3Обґрунтування вибору активного та пасивного мережевого обладнання21
2.4Розміщення серверу та мережевих ресурсів23
2.5Розрахунок працездатності мережі23
2.6Розподілення IP-адрес24
3. ОРГАНИЗАЦІЯ МЕРЕЖІ НА ОСНОВІ МЕРЕЖЕВОЇ ОС27
4СТРУКТУРА КЛІЄНТ-СЕРВЕРНИХ КОМПОНЕНТІВ КОРПОРАТИВНОЇ КОМП'ЮТЕРНОЇ МЕРЕЖІ ПІДПРИЄМСТВА29
5ВИБІР ТА ОБГРУНТУВАННЯ СТРАТЕГІЇ АДМІНІСТРУВАННЯ ТА УПРАВЛІННЯ34
ВСТУП
На сьогоднішній день комп'ютерні мережі стали невід'ємною частиною багатьох підприємств. При цьому це стосується не лише великих корпорацій, але й невеликих контор чи організацій. Використання комп'ютерних мереж надає такі переваги, як швидкий обмін інформацією, колективне використання певних ресурсів, можливість зберігання та зручну роботу з великою та надвеликою кількістю даних.
Метою даної курсової роботи є підвищення ефективності роботи медичного центру за рахунок впровадження в його роботу локальної обчислювальної мережі. Треба передбачити підтримку web-ресурсу, організувати доступ до Internet, забезпечити можливість віддаленої реєстрації на прийом до лікаря та отримання результатів аналізів, передбачити наявність мережевих ресурсів, резервування даних.
1. ПОСТАНОВКА ЗАВДАННЯ
1.1. Аналіз інформаційних потреб підприємства
а) Характеристики об'єкта проведення монтажних робот:
Об'єкт знаходиться у двоповерховій будівлі та займає обидва поверхи. Загальна висота будівлі становить 8 метрів. Таким чином, висота одного поверху дорівнює приблизно 4 метри. Більш детальна інформація про параметри об'єкта (схема внутрішніх приміщень із зазначенням їхнього призначення) відображена у графічній частині на топологічній схемі, на якій вказано розміщення робочих місць.
Загальна кількість робочих місць - 24. З них 20 знаходяться у лікарських кабінетах, 2 у лабораторіях (по одному в кожній), 1 у регістратурі та 1 у приймальні головного лікаря. Нижче більш детально розглянуто обладнання робочих місць.
б) Підсистема робочого місця:
Робоче місце служить інтерфейсом між горизонтальною кабельною підсистемою та активним обладнанням кінцевого користувача. Яке вже було зазначено, загальна кількість робочих місць становить 24.
Кожне робоче місце складається з:
- персонального комп'ютера;
- розетки RJ-45 для підключення до комп'ютерної мережі;
- розетки електроживлення.
У регістратурі, лабораторії та приймальні головного лікаря може виникнути необхідність друкування документу. У зв'язку з цим вказані робочі місця, додатково до стандартної комплектації, обладнані принтером. В разі необхідності друку документу з іншого кабінету, в мережі передбачена функція мережевого друку (див. пункт 1.2).
в) Кабельна підсистема:
Найбільш доречна конфігурація кабельної системи в комп'ютерній мережі, що розроблюється - "пасивне дерево" (структурна схема цього типу системи наведена на рисунку 1.1). Причини такого вибору наступні:
- комп'ютери не обмінюються інформацією безпосередньо між собою. Усі дані зберігаються у єдиній базі, до якої треба забезпечити доступ користувачам. Отже, централізована топологія - доречний у цьому випадку вибір;
- будівля двоповерхова, тому використання іншої централізованої топології (наприклад, типу "зірка") не є задовільним. В дереві, що фактично є комбінацією кількох "зірок" використання комутаторів на кожному поверху зменшить кількість кабельних зв'язків між ними (поверхами);
- збільшена надійність мережі: вихід з ладу одного комутатору не зупинить роботу всієї мережі;
- можливість розподілення комп'ютерів у підмережі по призначенню (наприклад, лабораторні комп'ютери можна об'єднати у окрему підмережу);
- легкість додавання нових робочих місць до будь-якої з підмереж та створення нових.
Рис. 1.1 - Структурна схема топології "пасивне дерево"
З огляду на те, що використання топології "пасивне дерево" більш підходяще, ніж використання топології "кільце", можна замінити протокол канального рівню з "Token Ring" на "Fast Ethernet". До того ж, при використанні "Fast Ethernet" не виникне складнощів із знаходженням та підтримкою необхідного обладнання. На відміну від "Token Ring", списку обладнання для якого немає навіть на офіційному сайті компанії IBM - розробника протоколу.
Також при використанні "Fast Ethernet" не виникне проблем із моделюванням розробленої топології. Для цього можна використовувати, наприклад, програму "Cisco Packet Tracer".
Отже, заміну протоколу канального рівня на "Fast Ethernet" вважаю доречною.
г) Система кабельних каналів:
Для з'єднання телекомунікаційних розеток із концентратором використовується фізичне середовище "кручена пара" - 100BASE-TX. Гранична довжина цього типу кабелю дорівнює 100м. Вона визначається заданими часовими співвідношеннями обміну (обмеження на подвійний час проходження). Стандарт рекомендує обмежуватися довжиною сегмента в 90 метрів, щоб мати 10% запас.
Максимальна довжина кабельного сегменту в мережі, що розроблюється, досягає 165 м. (між маршрутизатором та концентраторами, які поєднують комп'ютери в кабінетах лікарів), тому тип фізичного середовища передачі "кручена пара" не може використовуватися по всій мережі. Для передачі інформації між концентраторами потрібно використовувати 10BASE-FL - оптоволоконий кабель (максимальна довжина сегменту - 412 м.). Також для цієї цілі можна використовувати 10BASE-Т - товстий коаксіальний кабель: необхідне обладнання для цього набагато дешевше. Але стандарт для мережі Fast Ethernet не передбачає його використання. Пропускної ж можливості Ethernet, де цей тип кабелю можна використовувати, не вистачить для задовільнення потреб підприємства (див. пункт 1.2).
Розводка від концентратора до кожної телекомунікаційної розетки, як вже було зазначено, виконується окремим кабелем типу "кручена пара", характеристики котрого відповідають чинним стандартам.
Кабельні канали повинні відповідати міжнародним кабельним стандартам, керівництву по інсталяції СКС та методам будівництва телекомунікаційних розподільчих систем. Січення кабельних трас повинні бути вибрані з урахуванням 30% запасу на розвиток та реконфігурацію кабельної системи, виходячи з максимальної кількості робочих місць.
У системі кабельних каналів виділяють наступні підсистеми: а) Траси кабелів у межах робочих приміщень прокладаються в коробках по одній зі стін на рівні робочої поверхні столу. Провести кабель типу "кручена пара" по всьому периметру заважає кількість цих приміщень та великий розмір кожного з них. Відповідно інформаційні та силові розетки монтуються у пластикові контейнери, котрі можуть бути під'єднанні до цих коробок.
б) Траси прокладки кабелів по коридорам поверхів. По коридору основний потік кабелів прокладається у металічному лотку на рівні стелі.
в) Розміщення комутаційних вузлів. Найбільш прийнятним варіантом є розміщення серверу в кутовій кімнаті праворуч від входу. Комутатори першого та другого поверхів треба розмістити приблизно по центру відповідного поверху, аби довжини кабелю типу "кручена пара" вистачало , щоб протягнути його до всіх робочих місць. Комутатор, що поєднує у окрему мережу регістратуру та лабораторії, розміщується у приміщенні регістратури
д) Активне обладнання:
Активне мережеве обладнання повинне задовольняти вимогам стандарту IEEE 802.3u на локальні обчислювальні мережі технології Fast Ethernet 100 Мбіт/с. Вимоги до активного мережевого обладнання: - підтримка стандартних мережевих протоколів і технологій, що використовуються: Fast Ethernet - IEEE 802.3u, 100BaseTX, 100BaseFL;
- підключення робочих станцій до мережі по технології Fast Ethernet; - підключення серверів по технології Fast Ethernet; - підключення поверхових центрів комутації до магістралі по каналам Fast Ethernet з можливістю об'єднання кількох каналів; - розширюваність; - можливість встановлення пріоритетів та контролю полоси пропускання різного мережевого трафіку для забезпечення безперебійної роботи додатків, чутливих до часових затримок. Специфікація на активне обладнання повинна бути представлена окремо. Також треба передбачити по можливості 15-25 % запас мережевих портів, для підключення додаткового обладнання та користувачів. Більш детальна інформація про вибір мережевого обладнання та обґрунтування цього вибору приведена у пункті 2.3.
Розрахунок інформаційних потоків в локальній обчислювальній мережі підприємства, розрахунок та планування середнього трафіку та коефіцієнту використання мережі
На рисунку 1.2 зображена логічна схема мережі підприємства. Позначення логічної схеми приведені на рисунку 1.3.
Рисунок 1.2 - Логічна схема ЛВС
Рисунок 1.3 - Позначення логічної схеми
а) Розрахунок навантаження мережі
Для кожної робочої станції визначається ефективний трафік ПЕi, як сума навантажень по усім додаткам. Розрахунок загального навантаження на мережу здійснюється за формулою: ПSЕ. = n*ПЕi+ m*Псерв Позначення: n - число комп'ютерів у мережі;
m - число серверів;
ПЕi - навантаження на один комп'ютер у мережі;
Псерв- навантаження на сервер.
Навантаження на комп'ютер залежить від функцій, які він виконує. Інформація про призначення комп'ютерів підприємства приведена у таблиці 1.1.
Таблиця 1.1 - Призначення комп'ютерів підприємства
Кіл.Тип ФункціїЗн.20Комп'ютер лікаряОбмін файлами, СКБД (клієнт), віддалений доступ, мережевий друк, інтернет (proxy), служба мережевої безпекиПКЛ2Лабораторний комп'ютерОбмін файлами, СКБД (клієнт), віддалений доступ, інтернет (proxy), служба мережевої безпекиПКЛБ1Комп'ютер головного лікаряОбмін файлами, СКБД (клієнт), інтернет (proxy), віддалений доступ, служба мережевої безпекиПКГЛ1Комп'ютер у регістратурі Обмін файлами, СКБД (клієнт), віддалений доступ, інтернет (proxy), служба мережевої безпекиПКР1Сервер Файловий сервер, резервування інформації, Web-сервер, СКБД (сервер), інтернет (proxy), служба мережевої безпекиПС Через те, що окремі комп'ютери (групи комп'ютерів), як вже було зазначено вище, виконують різні задачі, формула приймає дещо інший вигляд:
ПSэ=20*ПКЛ+2*ПКЛБ +ПКГЛ +ПКР+ПС ;
Мережеві задачі, які виконує комп'ютер, привносять свій вклад у навантаження на мережу. Перелік мережевих задач, які виконують встановлені на підприємстві комп'ютери із зазначенням привнесеного ними навантаження приведений у таблиці 1.2.
Таблиця 1.2 - Мережеві задачі комп'ютерів підприємства
ЗадачаНавантаження на одного абонента, Mb/cОбмін файлам 0,002 - 0,005 Mb/cФайловий сервер0,002 - 0,005 Mb/c Резервування інформації0,06-0,08 Mb/c на 1 станцію 0,5 Mb/c на 1 серверМережевий друк0,08-0,1 Mb/c СКБД0,04-0,07 Mb/c Віддалений доступ0,2 Mb/c на модемІнтернет0,002 - 0,005 Mb/c Служби мережевої безпеки0,02 - 0,05 Mb/c на 1 сервер + 0,002 - 0,005 Mb/c на 1 клієнта Нижче приведений розрахунок навантаження для кожної машини:
ПКЛ =0.005 + 0.07 + 0.2 + 0.1 + 0.005 +0.005 = 0.385 Mb/с
ПКЛБ=0.005 + 0.07 + 0.2+ 0,005 + 0,005 = 0.285 Mb/с ПКГЛ=0.005 + 0.07 + 0.2+ 0,005 + 0,005 = 0.285 Mb/с
ПКР=0.005 + 0.07 + 0.2+ 0,005 + 0,005 = 0.285 Mb/с
ПС=0.005 + 0,5 + 0.07 + 0.07 + 0.005 + 0.05 = 0 .7 Mb/с
Таким чином загальне навантаження на мережу дорівнює: ПSэ=20*0.385 + 2*0.285 + 0.285 + 0.285 + 0.7 = 9.54 Mb/с
Значення ПSэ множиться на коефіцієнт запасу kз= (1,2¸2,0) для врахування майбутнього розвитку мережі. В даному випадку коефіцієнт kз обраний рівним 1.5. Таким чином отримується наступне значення:
ПSэ* kз = 9.54*1.5 = 14.31 Mb/с
б) Розрахунок пропускної можливості мережі
Пропускна можливість мережі - це максимально допустима швидкість обробки трафіку, яка визначається стандартами цієї мережі. Вона показує, який максимальний обсяг може бути переданий в одиницю часу (найчастіше це одна секунда).
Ця величина не залежить від завантаженості мережі, тому що відображає саме максимально можливу швидкість. Найчастіше вона вимірюється в бітах в секунду (у сучасних мережах, звичайно, в мегабітах), проте також допустимо характеризувати пропускну здатність мережі за кількістю переданих в одиницю часу пакетів.
Пропускна можливість залежить від фізичної середи, технології передачі даних, визначається бітовою швидкістю і деякими іншими обмежувальними факторами (тривалість інтервалів між блоками даних, що передаються, об'єм службової інформації, що передається по мережі та ін.). Значення пропускної можливості для мережевих технологій відомі та приводяться в стандарті. У більшості випадків можна прийняти пропускну можливість рівною бітовій швидкості. Розрізняють поняття корисної та повної пропускної можливості. Корисною є пропускна можливість без врахування передачі службової інформації. Знаючи повну пропускну можливість мережі Fast Ethernet (100 Мбіт), можна розрахувати її теоретичну корисну пропускну можливість без врахування колізій та затримок сигналу в мережевому обладнанні.
Різниця корисної пропускної можливості та повної пропускної можливості, звичайно, залежить від довжини кадру. Так як частина службової інформації завжди одна і та ж сама, то, чим менший загальний розмір кадру, тим вище побічні затрати.
Розрахунок корисної пропускної можливості мережі буде вестись із врахуванням структури кадру (цей формат, без преамбули, приведений на рисунку 1.4).
Рисунок 1.4 - Формат кадру Fast Ethernet
Службова інформація в кадрах Fast Ethernet складає 18 байт, а розмір поля даних коливається в межах від 46 до 1500 байт. Сам розмір кадру змінюється відповідно від 46 + 18 = 64 байт до 1500 + 18 = 1518 байт. Тому для кадру мінімальної довжини корисна інформація Vп складає лише 46 / 64 * 100 ≈ 72% від загальної інформації, що передається, а для кадру максимальної довжини Vп =1500 / 1518 * 100 ≈ 99% від загальної інформації. Щоб розрахувати корисну пропускну можливість мережі для кадрів максимального і мінімального розмірів, необхідно врахувати різну частоту слідування кадрів. Звичайно, що, чим менший розмір кадрів, тим більше таких кадрів буде проходити по мережі за одиницю часу, переносячи з собою велику кількість службової інформації та меншу кількість корисної. Так, для передачі кадру мінімального розміру, котрий разом із преамбулою (використовується для синхронізації та має довжину 8 біт) має довжину 64 + 8 = 72 байти, або 72 * 8 = 576 біт, необхідний час дорівнює 576 bt. Якщо врахувати між кадровий інтервал у 96 bt, період слідування кадрів складе 576 + 96 = 672 bt. При швидкості передачі в 100 Мбіт/с це відповідає часу 6,72 мкс. Тоді частота слідування кадрів, тобто кількість кадрів, що проходять по мережі за 1 секунду, складе fmin=1/6,72 мкс ≈ 148809 кадр/с. При передачі кадру максимального розміру, котрий разом з преамбулою має довжину 1518 + 1 = 1519 байт або 1519 * 8 = 12152 біт, період слідування складає 12 152 bt + 96 bt = 12 248 bt, а частота кадрів при швидкості передачі 10 Мбіт/с складе fmax =1/122,48 мкс = 8164 кадр/с. Знаючи частоту слідування кадрів f та розмір корисної інформації Vп у байтах, що переносить кожен кадр, неважко розрахувати корисну пропускну можливість мережі: Пп (Мбіт/с) = Vп · 8 · f.
Для кадру мінімальної довжини (46 байт) теоретична корисна пропускна можливість дорівнює Пптmin = 64*8*148809 кадр/с = 72,6 Мбіт/с, що складає лише приблизно 72% від загальної максимільної пропускної можливості мережі. Для кадру максимального розміру (1500 байт) корисна пропускна можливість мережі дорівнює Пптmax = 1500*8*8164 кадр/с = 93,4 Мбіт/с.
Таким чином, у мережі Fast Ethernet корисна пропускна можливість може мінятися в залежності від розміру кадрів, що передаються від 72,6 до 93,4 Мбіт/с. в) Розрахунок коефіцієнту використання мережі
Після проходження певної межі, збільшення коефіцієнту використання мережі призводить до різкого зменшення реальної швидкості передачі даних. Втрати часу, пов'язані з роботою механізму доступу до середовища, що розділяється, залежать від характеру звертань комп'ютерів до мережі і не можуть бути точно розраховані, тому для забезпечення достатньої продуктивності задається граничне значення коефіцієнту використання мережі, при котрому мережа буде швидко реагувати на звертання користувачів. По отриманому значенню ПSэ уточнюється вибрана технологія локальної обчислювальної мережі таким чином, щоб коефіцієнт використання мережі kвик був не більше (0,65). Коефіцієнт використання мережі дорівнює відношенню навантаження на мережу до пропускної можливості. Коефіцієнт використання мережі розраховується за формулою: Kвик = ПSэ / Пптma = 14.31 / 72.6 = 0.197
Отже, навіть у найгіршому випадку (при мінімальній довжині кадру та максимальному навантаженні), коефіцієнт використання мережі нижче заданого рівня.
Якщо б в мережі використовувалась технологія 10 Mb Ethernet, навіть максимальної пропускної можливості не вистачило б для задовільнення потреб підприємства. Це зайвий раз підтверджує правильність вибору Fast Ethernet в якості протоколу канального рівня.
2. ПЛАНУВАННЯ СТРУКТУРОВАНОЇ КАБЕЛЬНОЇ СИСТЕМИ ПІДПРИЄМСТВА
2.1. План приміщень
На рисунку 2.1 приведена топологічна схема мережі - докладна схема приміщень обох поверхів будівлі із вказанням загальних розмірів поверху, номерів кабінетів, місць розташування мережевого обладнання, шляху прокладки кабелів.
Як вже було зазначено у першому розділі, загальна кількість робочих місць дорівнює 24. Більша частина з них - 20 - знаходяться у кабінетах лікарів, по 10 на кожному з поверхів. Комп'ютери на першому та другому поверхах об'єднані в окремі підмережі. Комутатори розташовані таким чином, що відстань від них до найвіддаленішого з комп'ютерів дорівнює приблизно 75 - 90 метрів (залежить від розташування робочого місця у приміщенні). Це задовольняє стандарту, що визначає максимальну довжину сегменту кабелю типу "кручена пара".
Комутатор, що поєднує у окрему підмережу комп'ютери в кабінеті головного лікаря, регістратури та лабораторій, розташований за тим же принципом. Відстань до найвіддаленішого з комп'ютерів також дорівнює приблизно 75 - 90 метрів.
Сервер та маршрутизатор знаходяться у серверній кімнаті. Відстань від маршрутизатора до комутаторів дорівнює приблизно 175 - 190 метрів (в залежності від поверху та конкретного місця розташування). В будь якому випадку це вдвічі менше за граничну довжину сегмента.
В кабінетах головного лікаря, регістратури та лабораторій встановлені власні принтери. Якщо ж потрібно надрукувати документ з лікарського комп'ютера, використовується передбачена для нього функція мережевого друку (зазначена у таблиці 1.1).
Рисунок 2.1 - Топологічна схема мережі
2.2. Топологія мережі
Конфігурація кабельної системи, яка використовується у даній мережі - "пасивне дерево" - вже була частково описана у першому розділі. Зокрема були зазначені її переваги в даному випадку (в мережі, що розроблюється) над топологією типу "кільце". Нижче обрана топологія буде розглянута більш детально.
Топологія "дерево" подібна до топології "зірка". Насправді воно є комбінацією декількох "зірок". Особливістю саме "пасивного дерева" є те, що у центрах поєднання кількох ліній знаходяться комутатори (а не комп'ютери).
Звичайно, "пасивне дерево" наслідує характеристики топології типу "зірка". Це - єдина топологія мережі з явно виділеним центром, до якого підключаються усі інші абоненти. Обмін інформацією йде виключно через центральний комп'ютер, на який через це лягає більш велике навантаження, тому нічим іншим, окрім мережі, він, як правило, займатися не може. Зрозуміло, що мережеве обладнання центрального абонента повинно бути більш складним, ніж обладнання периферійних абонентів. О рівноправ'ї усіх абонентів (як, наприклад, у "шині") у даному випадку говорити не доводиться. Звичайно центральний комп'ютер найпотужніший, саме на нього покладаються усі функції по керуванню обміном. Ніякі конфлікти у мережі з обраною топологією у принципі неможливі, так як керування повністю централізовано.
Якщо говорити про стійкість "пасивного дерева" до відказів комп'ютерів, то вихід з ладу периферійного комп'ютера або його мережевого обладнання ніяк не відображується на функціонуванні решти мережі. Проте відмова центрального комп'ютера робить мережу повністю непрацездатною. У зв'язку із цим повинні прийматися спеціальні міри по збільшенню надійності центрального комп'ютера та його мережевої апаратури.
Обрив кабелю або коротке замикання у ньому при обраній топології порушує обмін тільки з одним комп'ютером, а усі інші комп'ютери можуть нормально продовжувати роботу. Звичайно, це стосується кабелю, який поєднує комутатор із комп'ютером. Відмова кабелю, що поєднує комутатор із маршрутизатором (або самого комутатора) приводить до непрацездатності відповідної підмережі. Тому, як і у випадку із центральним комп'ютером, треба прийняти міри стосовно максимізації надійності зазначених компонентів мережі.
На відміну від тієї ж "шини", у "зірці" та у "пасивному дереві" на кожній лінії зв'язку знаходяться тільки два абоненти: центральний і один із периферійних. Частіше за все для їх з'єднання використовують дві лінії зв'язку кожна з котрих передає інформацію в одному напрямку, тобто на кожній лінії зв'язку знаходиться тільки один приймач та один передавач. Це так звана передача "точка-точка". Все це значно спрощує мережеве обладнання порівняно з шиною та позбавляє від необхідності застосування додаткових, зовнішніх термінаторів.
Проблема затухання сигналів на лінії зв'язку також вирішується простіше, ніж у топології "шина", адже кожний приймач завжди отримує сигнал одного рівня. Гранична довжина мережі з топологією "зірка" або "пасивне дерево" може бути вдвічі більшою, а ніж у шині (то б то 2 Lпр), так як кожен із кабелів, що з'єднує центр із периферійним абонентом, може мати довжину Lпр.
Серйозний недолік обраної топології полягає в жорсткому обмеженні кількості абонентів. Центральний абонент може обслуговувати граничну кількість периферійних абонентів. У цих межах підключення нових абонентів доволі просте, але за ними воно просто не можливе. Але, як вже було зазначено, допустимо підключення замість периферійного ще одного центрального абонента.
Велика перевага "пасивного дерева" полягає і тому, що усі точки підключення зібрані у одному місці. Це дозволяє легко контролювати роботу мережі, локалізувати несправності шляхом простого відключення від центру тих чи інших абонентів (що неможливо, наприклад, у випадку шинної топології), а також обмежувати доступ стороннім особам до життєво важливих для мережі точок підключення. До периферійного абонента у випадку "пасивного дерева" може підходити як один кабель (по котрому їде передача в обох напрямках),так і два (кожен кабель передає в одному з двох зустрічних напрямків), причому останнє зустрічається значно частіше.
Загальним недоліком для усіх топологій типу "зірка" та "дерево" (як активних, так і пасивних) є значно більша, ніж при інших топологіях, витрата кабелю. Наприклад, якщо комп'ютери розташовані у одну лінію, то при виборі топології "дерево" або "зірка" знадобиться у декілька разів більше кабелю, ніж при топології "шина". Це суттєво впливає на вартість мережі у цілому та помітно ускладнює прокладку кабелю. З іншого боку, ці топології забезпечують значно більшу надійність, за яку варто заплатити.
2.3 Обґрунтування вибору активного та пасивного мережевого обладнання
Мережеве обладнання - це пристрої, які необхідні для роботи мережі, наприклад: маршрутизатор, комутатор, концентратор та інші. Виділяють активне та пасивне мережеве обладнання.
Активним називається обладнання, котре має деяку "інтелектуальну" особливість. Тобто маршрутизатор або комутатор (switch) є активним мережевим обладнанням. Напроти - повторювач (repeater) та концентратор (hub) є пасивним мережевим обладнанням, так як просто повторюють електричний сигнал для збільшення відстані з'єднання або топологічного розгалуження і нічого "інтелектуального" собою не представляють. Але хаби, що керуються, відносяться до активного мережевого обладнання, так як можуть бути наділені деякою "інтелектуальною особливістю". Із перерахованого обладнання у заданій мережі до активного мережевого обладнання відносяться три комутатора та маршрутизатор (router). Вони є найоптимальнішим варіантом у даній мережі, так як можуть виконувати необхідне обслуговування мережі.
Згідно технічного завдання, в мережі, що розроблюється, буде використовуватись матричний комутатор. Комутатори на основі комутаційної матриці забезпечують основний і найшвидший спосіб взаємодії процесорів портів. Однак реалізація матриці можлива тільки для певного числа портів, причому складність схеми зростає пропорційно квадрату кількості портів комутатора. Чисто умовно комутаційну матрицю можна представити таким чином, як приведено на рисунку 2.2.
Рисунок 2.2 - Умовна схема комутаційної матриці
Основні переваги таких матриць - висока швидкість комутації портів і регулярна структура, яку зручно реалізовувати в інтегральних мікросхемах. Недоліком є складність нарощування числа портів і відсутність буферизації даних усередині комутаційної матриці (якщо порт зайнятий, то дані повинні накопичуватися у вхідному блоці порту, який прийняв кадр).
Пасивним мережевим обладнанням називають обладнання, не наділене "інтелектуальними" особливостями. Наприклад - кабельна система: кабель (коаксіальний, оптоволокно та віта пара), вилка/розетка(RG58, RJ45, RJ11, GG45), повторювач, концентратор, та інші. Також до пасивного обладнання можна віднести монтажні шафи та стійки, телекомунікаційні шафи. Монтажні шафи розділяються на типові, спеціалізовані та антивандальні. По типу монтажу: настінні, підложні та інші.
З пасивного обладнання у даній мережі є оптоволокно, кручена пара та конектори для підключення крученої пари.
2.4 Розміщення серверу та мережевих ресурсів
Розміщення обладнання в будівлі показано на топологічній схемі мережі (рис. 2.1). Маршрутизатор та сервер знаходяться у кімнаті адміністратора на першому поверсі. Два комутатори, що поєднують у мережі комп'ютери лікарів, розташовані на обох поверхах. Третій, який поєднує у окрему мережу інші комп'ютери, міститься на першому поверсі. Їхнє місцезнаходження обрано таким чином, щоб скоротити сегменти мережі, в яких у якості фізичного середовища використовується кабель типу "кручена пара".
2.5 Розрахунок працездатності мережі Мережа Fast Ethernet - це складова частина стандарту IEEE 802.3. Вона представляє собою більш швидку версію стандарту Ethernet, що використовує метод доступу CSMA/CD (Carrier-Sense Multiple Access/Collision Detection) - метод доступу з контролем несучої та виявленням колізій (зіткнень) та працюючий на швидкості передачі 100 Мбіт/с. У Fast Ethernet збережений формат кадру прийнятий у класичній версії Ethernet. Основна топологія мережі Fast Ethernet - "пасивна зірка". Fast Ethernet потребує обов'язкового вживання концентраторів. Концентратори можуть об'єднуватися між собою зв'язними сегментами, що дозволяє будувати складні конфігурації. Правила коректної побудови сегментів мереж Fast Ethernet включають:
- обмеження на максимальні довжини сегментів, які з'єднують пристрої-джерела кадрів (з'єднання DTE-DTE);
- обмеження на максимальні довжини сегментів, що з'єднують пристрої-джерела кадрів (DTE) з портом повторювача;
- обмеження на загальний максимальний діаметр мережі;
- обмеження на максимальне число повторювачів і максимальну довжину сегмента, що з'єднує повторювачі.
Так як дана мережа побудована на свічах та витримана довжина сегментів для заданого кабелю, то можна зробити висновок, що мережа працездатна, а також розрахована раніше пропускна можливість мережі нас задовольняє.
2.6 Розподілення IP-адрес
У технічному завданні вказаний ручний метод призначення IP-адрес. Розподілення адрес комп'ютерам буде виконуватись з наступною умовою: підприємству виділений IP-адрес класу С.
Адрес: 172.24.13.0
Маска: 255.255.255.0
Три байти з чотирьох позначають номер мережі, останній - номер вузла. Відповідно три перших байта маски заповнені одиницями, останній - нулями. Таким чином, максимальна кількість вузлів в мережі (без розбивки на підмережі) дорівнюватиме 256 - 2 = 254 (в діапазоні від 172.24.13.1 до 172.24.13.254). Адреса 172.168.13.0 та 172.168.13.255 - особливі. Перший визначає мережу взагалі, другий - адрес broadcast - повідомлення.
В комп'ютерній мережі підприємства виділені три підмережі, тому IP-адрес також треба розбити на підмережі. Сервер не належить до жодної з них, тому йому потрібно виділити окремий адрес. На випадок добавлення нових підмереж, можна виділити один зайвий біт під відповідний адрес. Отже, в мережі підприємства може бути вісім підмереж по 30 вузлів в кожній. Розподілення IP-адрес приведено у таблиці 2.1.
Усі комп'ютери в кабінетах лікарів на першому поверху отримають адреси з діапазону першої підмережі:
172.24.13.2 - 172.24.13.11
Таблиця 2.1 - Розподілення IP-адрес підмережам
Адрес мережіМаскаМін. IPМакс. IPКількість вузлів172.24.13.0255.255.255.224172.24.13.1172.24.13.3030172.24.13.32255.255.255.224172.24.13.33172.24.13.6230172.24.13.64255.255.255.224172.24.13.65172.24.13.9430172.24.13.96255.255.255.224172.24.13.97172.24.13.12630172.24.13.128255.255.255.224172.24.13.129172.24.13.15830172.24.13.160255.255.255.224172.24.13.161172.24.13.19030172.24.13.192255.255.255.224172.24.13.193172.24.13.22230172.24.13.224255.255.255.224172.24.13.225172.24.13.25430 Усі комп'ютери в кабінетах лікарів на другому поверху отримають адреси з діапазону другої підмережі:
172.24.13.34 - 172.24.13.44
Комп'ютери в лабораторіях, регістратурі та кабінеті головного лікаря отримають адреси з діапазону третьої підмережі:
172.24.13.66 - 172.24.13.69
Сервер отримає окремий IP-адрес з діапазону четвертої підмережі:
172.24.13.98
Перші з адреси з вказаних підмереж (172.24.13.1, 172.24.13.33, 172.24.13.65, 172.24.13.97) присвоюються інтерфейсам маршрутизатора, який ці підмережі об'єднує.
Обране розподілення дозволяє як збільшити кількість комп'ютерів у вже існуючих підмережах, так і створювати нові підмережі. При цьому IP-адреси вузлів, які були додані раніше, змінювати не доведеться.
Працездатність мережі із описаним розподіленням IP-адрес перевірена у сьомому розділі.
2.7 Використання VLAN
Комп'ютери, що знаходяться у лабораторіях, доречно під'єднати до окремої підмережі: функціонально вони не пов'язані не з комп'ютером регістратури, не з комп'ютером головного лікаря. Але використовувати окремий комутатор, чи виділяти окремий діапазон адресів було б нераціонально. Більш доречним є використання VLAN.
VLAN - віртуальна локальна комп'ютерна мережа, представляє собою групу хостів із загальним набором вимог, які взаємодіють так, як якби вони були підключені до широковещательного домену, незалежно від їх фізичного місцезнаходження. VLAN має ті ж властивості, що й фізична локальна мережа, але дозволяє кінцевим станціям групуватися разом, навіть якщо вони не знаходяться в одній фізичній мережі. Така реорганізація може бути зроблена на основі програмного забезпечення замість фізичного переміщення пристроїв.
В даному випадку VLAN будується на основі групування портів. Даний спосіб створення віртуальних мереж досить простий і, як правило, не викликає проблем. Кожен порт комутатора приписується до тієї чи іншої віртуальної мережі, тобто порти групуються у віртуальні мережі. Рішення про просування мережевого пакету в цій мережі ґрунтується на MAC-адресу одержувача і асоційованого з ним порту.
Так порти комутатора, до яких приєднані комп'ютери у лабораторіях, приписуються до VLAN#1. А ті, до яких приєднані комп'ютер регістратури та комп'ютер головного лікаря - до VLAN#2.
3 .ОРГАНИЗАЦІЯ МЕРЕЖІ НА ОСНОВІ МЕРЕЖЕВОЇ ОС
Мережева операційна система складає основу будь-якої обчислювальної мережі. Кожен комп'ютер у мережі значною мірою автономний, тому під мережевою операційною системою в широкому сенсі розуміється сукупність операційних систем окремих комп'ютерів, взаємодіючих з метою обміну повідомленнями і поділу ресурсів за єдиними правилами - протоколами. У вузькому сенсі мережева ОС - це операційна система окремого комп'ютера, що забезпечує йому можливість працювати в мережі.
Кожна мережна служба надає користувачам мережі деякий вид сервісу, як правило, пов'язаний з доступом до ресурсів мережі. Наприклад, файловий сервіс забезпечує доступ користувачів мережі до файлів мережі, факс- та принт-сервіс - доступ до принтера і факсу відповідно, сервіс віддаленого доступу дозволяє користувачам, пов'язаним з основною мережею комутованими каналами, отримувати доступ до всіх ресурсів мережі, сервіс електронної пошти надає користувачам мережі можливість обмінюватися повідомленнями.
Серед мережевих служб можна виділити такі, які в основному орієнтовані не на простого користувача, а на адміністратора. Такі служби необхідні для організації правильної роботи мережі в цілому, наприклад, служба адміністрування облікових записів про користувачів, яка дозволяє адміністратору вести загальну базу даних про користувачів мережі.
Існує базовий набір служб корпоративних мереж. Нижче приведені ті з них, які будуть використовуватись у мережі, що розроблюється:
- служби мережевої інфраструктури DNS, WINS, служби маршрутизації, віддаленого доступу та віртуальних приватних мереж;
- служби файлів і друку;
- служби каталогів (Novell NDS, MS Active Directory);
- служби доступу до баз даних;
- служби мережевого моніторингу.
Однією з мережевих операційних систем, які задовольняють зазначеним потребам є Microsoft Windows Server 2003. Деякі з її можливостей, перелічені нижче, повністю задовольняють вимогам:
- файловий сервер і сервер друку;
- веб-сервер і веб-сервер додатків;
- сервер віддаленого доступу / сервер віртуальної приватної мережі (VPN);
- служба каталогів, система доменних імен (DNS), сервер протоколу динамічної конфігурації вузлів (DHCP) та служба Windows Internet Naming Service (WINS).
Windows Server 2003 містить всі функції, очікувані користувачами від ОС сімейства Windows Server, використовуваної для виконання відповідальних завдань, таких як забезпечення безпеки, надійності, доступності і масштабованості. Крім того, корпорація Microsoft удосконалила і розширила сімейство серверних ОС Windows для того, щоб організація, яка їх використовує, могла оцінити переваги технології Microsoft. NET, розробленої для зв'язку людей, систем, пристроїв та обміну даними.
В цьому розділі була приведена лише загальна характеристика обраної операційної системи. Опис конкретних її служб, що будуть використовуватись в мережі підприємства, приведений у розділі 4.
4 .СТРУКТУРА КЛІЄНТ-СЕРВЕРНИХ КОМПОНЕНТІВ КОРПОРАТИВНОЇ КОМП'ЮТЕРНОЇ МЕРЕЖІ ПІДПРИЄМСТВА
4.1. В якості служби каталогів буде використовуватись Active Directory - служба каталогів (directory service), реалізована компанією Microsoft. Заголом, служба каталогів - це централізоване сховище інформації про всі ресурси підприємства, такі як комп'ютери, користувачі, групи, програми, загальні папки, принтери та інші об'єкти. Не слід вважати, що служба каталогів дозволяє зберігати інформацію тільки про те, що відноситься до комп'ютерів. За рахунок можливості додавати нові класи об'єктів, каталог може зберігати інформацію про будь-які ресурси, наприклад, проектори.
Active Directory зберігає інформацію про різні мережеві ресурси (користувачі, групи користувачів, робочі станції, мережеві пристрої, додатки тощо) у вигляді об'єктів, які знаходяться в централізованому сховищі інформації. У них (об'єктів) можуть бути різні атрибути (властивості), які описують характеристики мережевих ресурсів, що представляються ними. Родинні чи схожі об'єкти об'єднуються в колекції (наприклад, можна говорити про колекцію об'єктів, що представляють мережеві принтери).
Об'єктне представлення дозволяє підприємству зберігати великі обсяги різноманітних даних в одному місці - інформаційному сховищі Active Directory - і організовувати однотипний доступ до них.
Адміністратор має можливість задавати диференційовані права доступу до різних категорій об'єктів та їх властивостям. Це дозволяє строго регламентувати роботу користувачів в мережі і контролювати їх доступ до інформації, що зберігається в каталозі Active Directory.
Дані з об'єктного сховища можуть експортуватися чи імпортуватися в нього в зручній формі з інших інформаційних систем за допомогою технологій Active Directory Connectors.
IT-менеджери і адміністратори можуть упорядковувати подання інформації з об'єктного сховища Active Directory відповідно до структури конкретної організації і характеру бізнес-процесів у ній. Для цього в їх розпорядженні є потужний інструмент створення контейнерів об'єктів, в які поміщуються всі сутності пов'язані з мережевими ресурсами якогось підрозділу підприємства.
Контейнери можуть бути вкладеними, і тоді вони розташовуються у вигляді ієрархічного дерева в відповідності з організаційною структурою підприємства. Це нагадує подання даних на жорсткому диску у вигляді каталогів і файлів, що використовується багатьма операційними системами (в тому числі і з сімейства Windows).
За допомогою дерева контейнерів можна охопити все інформаційне середовище корпорації. Таким чином забезпечується єдине централізоване подання інформації, що полегшує пошук необхідних ресурсів та управління ними в масштабі підприємства.
4.2. Служби друку у Windows Server 2003 дозволяють надавати спільний доступ до принтерів у мережі і централізовано керувати мережевими принтерами та серверами друку за допомогою оснастки консолі управління "управління друком", яка дає можливість виконувати моніторинг черг друку, одержувати повідомлення, якщо черги друку припиняють обробку завдань, виконувати міграцію серверів друку і створювати підключення до принтерів за допомогою групової політики.
Windows Server 2008 підтримує новий шлях друку XPS (англ. XML Paper Specification - відкритий графічний формат фіксованої розмітки на базі XML, розроблений компанією Microsoft) для серверної операційної системи. Шлях друку XPS використовує формат "документ XPS" на всьому шляху друку від програми до принтера, забезпечуючи точне відображення вихідного документа при друці. Нові шляхи друку в Windows Server 2003 надають наступні можливості:
- підвищення швидкості та якості друку і зменшення розміру файлу диспетчера черги завдяки усуненню потреби в перетвореннях форматів файлів, які часто виконувались GDI-драйверами принтерів;
- робота з власними додатками і драйверами замовників, призначеними для роботи з кольором і графікою, і розширена підтримка колірних просторів і технологій компонентами драйвера принтера;
- використання 32-розрядних кольорів для кожного каналу, підтримка колірного простору CMYK у драйвері принтера і іменованих кольорів, можливість використання більш ніж чотирьох кольорів;
- безпосередня підтримка прозорих плівок і градієнтних заливок.
- перетворення шляхів друку для підтримки існуючих програм і драйверів принтерів.
4.3. В якості мережевої системи управління базами даних (СУБД) буде використовуватися MYSQL - вільна система управління базами даних, що є власністю компанії Oracle Corporation, яка отримала її разом з поглиненою Sun Microsystems, котра здійснює розробку і підтримку додатка. Поширюється під GNU General Public License або під власною комерційною ліцензією. Окрім цього розробники створюють функціональність за замовленням ліцензійних користувачів, саме завдяки такому замовленню майже в найбільш ранніх версіях з'явився механізм реплікації. MYSQL є рішенням для малих і середніх застосувань. Входить до складу серверів WAMP, Appserv, LAMP і в портативні складки серверів Денвер, XAMPP. Зазвичай MYSQL використовується як сервер, до якого звертаються локальні або видалені клієнти, проте в дистрибутив входить бібліотека внутрішнього сервера, що дозволяє включати MYSQL в автономні програми. Гнучкість СУБД MYSQL забезпечується підтримкою великої кількості типів таблиць: користувачі можуть вибрати як таблиці типа MYISAM, що підтримують повнотекстовий пошук, так і таблиці INNODB, що підтримують транзакції на рівні окремих записів. Більш того, СУБД MYSQL поставляється із спеціальним типом таблиць EXAMPLE, що демонструє принципи створення нових типів таблиць. Завдяки відкритій архітектурі і GPL-ліцензуванню, в СУБД MYSQL постійно з'являються нові типи таблиць.
MYSQL портована на велику кількість платформ: AIX, Bsdi, FREEBSD, HP-UX, Linux, Mac OS X, NETBSD, OPENBSD, Os/2 Warp, SGI IRIX, Solaris, SUNOS, SCO Openserver, SCO Unixware, Tru64, Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Server 2003, WINCE, Windows Vista і Windows 7. Існує також порт MYSQL до OPENVMS. Важливо зазначити, що на офіційному сайті СУБД для вільного завантаження надаються не лише похідні коди, але і ті, що відкомпілювалися і були оптимізовані під конкретні операційні системи, готові виконувані модулі СУБД MYSQL.
MySQL має API для мов Delphi, C, C + +, Ейфель, Java, Лісп, Perl, PHP, PureBasic, Python, Ruby, Smalltalk, Компонентний Паскаль і Tcl бібліотеки для мов платформи. NET, а також забезпечує підтримку для ODBC за допомогою ODBC-драйвера MyODBC.
4.4. Для передачі файлів по мережі буде використовуватись FTP (англ. File Transfer Protocol - протокол передачі файлів) - протокол, призначений саме для передачі файлів в комп'ютерних мережах. FTP дозволяє підключатися до серверів FTP, проглядати вміст каталогів і завантажувати файли з сервера або на сервер, крім того, можливий режим передачі файлів між серверами (див. FXP).
FTP є одним з тих найстаріших прикладних протоколів, які з'явилися задовго до HTTP, в 1971 році. Він і сьогодні широко використовується для розповсюдження програмного забезпечення і доступу до віддалених хостів.
Протокол FTP відноситься до протоколів прикладного рівня і для передачі даних використовує транспортний протокол TCP. Команди і дані, на відміну від більшості інших протоколів, передаються по різним портам. Вихідний порт 20, що відкривається на стороні сервера, використовується для передачі даних, порт 21 - для передачі команд. Порт для прийому даних клієнтом визначається в діалозі узгодження. У випадку, якщо передача файлу була перервана з яких-небудь причин, протокол передбачає засоби для дозавантаження файлу, що буває дуже зручно при передачі великих файлів
4.5. Моніторингом мережі називають роботу системи, яка виконує постійне спостереження за комп'ютерною мережею в пошуках повільних або несправних систем і яка при виявленні збоїв повідомляє про них адміністратору за допомогою пошти, пейджера або інших засобів оповіщення. Ці завдання є підмножиною завдань управління мережею.
В якості системи моніторингу в мережі, що розроблюється, буде використовуватись ZABBIX - вільна система моніторингу і відстеження статусів різноманітних сервісів комп'ютерної мережі, серверів і мережевого обладнання. Для зберігання даних в цій системі моніторингу використовується MySQL, PostgreSQL, SQLite або Oracle. Веб-інтерфейс написаний на PHP. ZABBIX підтримує кілька видів моніторингу:
- Simple checks - може перевіряти доступність і реакцію стандартних сервісів, таких як SMTP або HTTP без встановлення будь-якого програмного забезпечення на спостережуваному хості.
- ZABBIX agent - може бути встановлений на UNIX-подібних або Windows хостах для отримання даних про навантаження процесора, використання мережі, дисковий простір тощо.
- External check - виконання зовнішніх програм. ZABBIX також підтримує моніторинг через SNMP.
4.6. Веб-ресурс буде зберігатись на власному веб-сервері підприємства, наявність якого передбачена в технічному завданні. Веб-сервер - це сервер, що приймає HTTP-запити від клієнтів, зазвичай веб-браузерів, і видає їм HTTP-відповіді, зазвичай разом з HTML-сторінкою, зображенням, файлом, медіа-потоком або іншими даними. Веб-сервером називають як програмне забезпечення, яке виконує функції веб-сервера, так і безпосередньо комп'ютер, на якому це програмне забезпечення працює.
В якості програмного забезпечення буде використовуватися Apache - вільний веб-сервер. Основними перевагами Apache вважаються надійність і гнучкість конфігурації. Він дозволяє підключати зовнішні модулі для надання даних, використовувати СУБД для аутентифікації користувачів, модифікувати повідомлення про помилки і т. д. Підтримує IPv6.
Існує безліч модулів, що додають до Apache підтримку різних мов програмування і систем розробки. До них відносяться PHP, Python, Ruby, Perl, ASP, Tcl. Крім того, Apache підтримує механізми CGI і FastCGI, що дозволяє виконувати програми практично на всіх мовах програмування, у тому числі C, C + +, sh, Java
Безпосередньо веб-ресурс може бути представлений в якості статичних HTML-сторінок. Форма заявки також може бути написана на HTML, для обробки отриманих даних та занесення їх у базу даних може використовуватись PHP.
При необхідності створення більш складного та функціонального ресурсу, можуть бути використані системи керування контентом (content management system, CMS). Наприклад, Joomla або DataLife Engine (DLE). Для кожної з них існує безліч компонентів та готових шаблонів.
5 ВИБІР ТА ОБГРУНТУВАННЯ СТРАТЕГІЇ АДМІНІСТРУВАННЯ ТА УПРАВЛІННЯ
Управління комп'ютерною мережею - це виконання багатьох функцій необхідних для контролю, планування, виділення, впровадження, координації та моніторингу ресурсів комп'ютерної мережі. Як правило, цей термін застосовують до великомасштабних комп'ютерних мереж, мереж зв'язку, позначаючи супровід та адміністрування цих мереж.
Міжнародна організація по стандартизації описала FCAPS модель, в якій відображені ключові функції адміністрування та управління мережами:
(F) Fault Management / Управління відмовами
(C) Configuration Management / Управління конфігурацією
(A) Accounting Management / Облік роботи мережі
(P) Performance Management / Управління продуктивністю
(S) Security Management / Управління безпекою
Завдання управління відмовами - виявлення, визначення і усунення наслідків збоїв і відмов у роботі мережі.
Управління конфігурацією полягає в конфігуруванні компонентів мережі, включаючи місце їхнього розташування, мережеві адреси і ідентифікатори, управління параметрами мережевих операційних систем, підтримку схеми мережі. Також ці функції використовуються для іменування об'єктів.
Облік роботи мережі включає реєстрацію і управління використовуваними ресурсами і пристроями. Ця функція оперує такими поняттями як час використання і плата за ресурси.
Управління продуктивністю служить для представлення статистики роботи мережі в реальному часі, мінімізації заторів і вузьких місць, виявлення створених тенденцій та планування ресурсів для майбутніх потреб.
Управління безпекою - включає в себе контроль доступу, збереження цілісності даних і журнал. У функції входить процедура аутентифікации, перевірки привілеїв, підтримка ключів шифрування, управління повноваженнями. До цієї ж групи можна віднести важливі механізми управління паролями, зовнішнім доступом, з'єднання з іншими мережами.
Конфігурування компонентів мережі було детально розглянуто у першому та другому розділах курсового проекту. Облік роботи мережі, управління її продуктивністю та пошук відмов відносяться до задачі моніторингу мережі, яка була розглянута у пункті 4.5.
В цьому розділі буде більш детально розглянутий захист інформації в мережі. Загрози інформаційній безпеці підприємства поділяються на внутрішні і зовнішні. Наприклад, хакерська атака на комп'ютери компанії буде розглядатися як зовнішня загроза, а занесення вірусу в мережу співробітниками - як внутрішня. До внутрішніх загроз також відносять крадіжку інформації співробітниками.
5.1. Захист від зовнішніх загроз
Досить ефективним методом методо захисту мережі підприємства від зовнішніх загроз є використання міжмережевого екрану (або мережевого екрану) - комплексу апаратних чи програмних засобів, який здійснює контроль і фільтрацію мережевих пакетів, що проходять через нього, відповідно до заданих правил.
Основним завданням мережевого екрану є захист комп'ютерних мереж або окремих вузлів від несанкціонованого доступу. Також мережеві екрани часто називають фільтрами, так як їх основне завдання - не пропускати (фільтрувати) пакети, не підходять під критерії, визначені в конфігурації. Нижче перераховані типові можливості мережевих екранів:
- фільтрація доступу до свідомо незахищеним службам;
- перешкоджання отриманню закритої інформації із захищеної підмережі, а також впровадження в захищену підмережу неправдивих даних за допомогою уразливих служб;
- контроль доступу до вузлів мережі;
- може реєструвати всі спроби доступу як ззовні, так і з внутрішньої мережі, що дозволяє вести облік використання доступу до Internet окремими вузлами мережі;
- регламентування порядку доступу до мережі;
- повідомлення про підозрілу діяльність, спроби зондування або атаки на вузли мережі або сам екран.
Також є доцільним використання персонального файрволу (також персональний брандмауер) - антивірусного програмного забезпечення, що здійснює контроль і фільтрацію перехоплюваних мережевих пакетів відповідно до заданих правил. На відміну від міжмережевого екрану, персональний файрвол встановлюється безпосередньо на комп'ютері, що захищається. Файрволи можуть входити до складу антивірусного програмного забезпечення (наприклад, ESET Smart Security). Але не треба нехтувати стандартним брандмауером, який входить постачається разом із самою операційною системою Windows.
Брандмауер обмежує мережевий трафік на основі набору правил (rules), які можна змінювати. Інша назва цих правил - винятки (exceptions). Коли трафік досягає мережевого інтерфейсу, брандмауер аналізує його, а потім дозволяє пройти далі, або відкидає його на основі застосованих правил. Windows використовує два брандмауера, які працюють разом: звичайний брандмауер (Windows Firewall) і брандмауер в режимі підвищеної безпеки (Windows Firewall with Advanced Security, WFAS). Основна відмінність між цими брандмауерами - рівень складності правил, які можуть бути для них налаштовані. Звичайний брандмауер Windows використовує прості правила, які безпосередньо пов'язані з програмою або сервісом. WFAS дозволяє більш складні правила фільтрації трафіку на основі портів, протоколів, адрес і аутентифікації.
Також для підвищення інформаційної безпеки можна використовувати додаткове програмне забезпечення (наприклад, програми-антишпіони - antispy), поєднувати та комбінувати вже перелічені вище засоби. Але треба бути впевненим у сумісності різних видів програмного забезпечення: конфлікти тільки нашкодять інформаційній безпеці. Також треба використовувати лише перевірене та надійне програмне забезпечення.
5.2. - Захист від внутрішніх загроз
Необережні дії співробітників становлять можуть становлювати загрозу інформаційній безпеці підприємства. Наприклад, відвідування потенційно небезпечних інтернет-ресурсів, встановлення стороннього програмного забезпечення, використання власних носіїв інформації (зовнішніх HDD, flash-накопичувачів). В першому випадку може допомогти використання проксі-серверу. Проксі-сервер - служба в комп'ютерних мережах, що дозволяє клієнтам виконувати непрямі запити до інших мережних служб. Спочатку клієнт підключається до проксі-сервера і запитує який-небудь ресурс (наприклад, e-mail), розташований на іншому сервері. Потім проксі-сервер або підключається до зазначеного серверу та отримує ресурс у нього, або повертає ресурс з власного кешу (у випадках, якщо проксі має свій кеш). У деяких випадках запит клієнта або відповідь сервера може бути змінений проксі-сервером в певних цілях. Також проксі-сервер дозволяє захищати клієнтський комп'ютер від деяких мережевих атак і допомагає зберігати анонімність клієнта. Часто проксі-сервери використовуються саме з ціллю обмеження доступу з локальної мережі до зовнішньої: наприклад, можна заборонити доступ до певних веб-сайтів, обмежити використання інтернету якимось локальним користувачам, встановлювати квоти на трафік або смугу пропускання, фільтрувати рекламу і віруси.
Встановлення стороннього програмного забезпечення та використання власних носіїв інформації можна обмежити засобами самої операційної системи Windows. 5.3. Резервне копіювання
У межах даного проекту необхідно забезпечити у розробленій мережі можливість резервного копіювання. Для цього будемо використовувати NAS (англ. Network Attached Storage). NAS - мережева система зберігання даних. Мережевими сховищами є зовнішні жорсткі диски, які підключаються до мережі і дозволяють декільком користувачам працювати із загальними файлами. Network Attached Storage передбачає підключення накопичувачів інформації безпосередньо до комп'ютерної мережі. Варто відзначити, що мережева система зберігання даних функціонує як в локальних, так і в розподілених мережах, головне - щоб були протокол TСP/IP і технологія Ethernet. Архітектура NAS максимально оптимізована для конкретного завдання: файловий сервіс. У основу проектування nas-продуктів покладено ключове правило: вся обчислювальна потужність зосереджена на єдиному і головному завданні - обслуговування і зберігання файлів. Обмежившись ключовим завданням, nas-продукті дозволяють організувати роботу групи користувачів із загальними файлами максимально ефективно з точки зору швидкодії і витрат. Для під'єднування NAS-прістроїв до мережі не вимагається яких-небудь специфічних інтерфейсів або спеціального "заліза". Досить підключити Network Attached Storage до мережі, як всі його ресурси стають доступні для користувачів, в яких NAS з'являється у вигляді додаткових дисків. Мережева система зберігання даних використовує спрощені операційні системи, такі ОС позбавлені всіх непотрібних служб і модулів і в той же час максимальний оптимізовані для обслуговування файлової системи. Проста архітектура софтвера дозволяє отримати високу швидкість передачі даних і максимально швидкий відгук на запити користувачів, при цьому не вимагаючи яких-небудь серйозних обчислювальних потужностей. Одна з таких систем FreeNAS. Операційна система FreeNAS заснована на BSD-ядрі, яке максимально оптимізоване для завдань Network Attached Storage. Сама по собі FREENAS займає мінімальну кількість дискового простору (42 Мбайт) і дозволяє вантажитися з CD або з флеш-брелока. Управління і налаштування FreeNAS відбувається за допомогою простого веб-інтерфейсу. NAS-продукти володіють масою плюсів: доступність, гнучкість, зручність і простота налаштування. Все це ваговиті аргументи на користь мережевих систем зберігання даних.
ВИСНОВОК
ПЕРЕЛІК ПОСИЛАНЬ
Документ
Категория
Рефераты
Просмотров
709
Размер файла
2 676 Кб
Теги
пример
1/--страниц
Пожаловаться на содержимое документа