Администрирование и управление СКС

В понятие "администрирование структурированной кабельной системы" включаются следующие виды работ:

· внесение изменений в пассивную часть кабельной системы с установкой кроссовых шнуров в коммутационных узлах;

· установка и подключение активного сетевого оборудования в коммутационных шкафах;

· установка и подключение периферийного оборудования на рабочем месте пользователя;

· заполнение документации на внесенные изменения.

Техническая документация на структурированную кабельную систему должна быть отпечатана в трех экземплярах и храниться в следующих местах:

· полный экземпляр на рабочем месте администратора кабельной системы;

· рабочие таблицы на месте выполнения работ в главном коммутационном узле.

В процессе эксплуатации должны вноситься изменения во всех трех экземплярах причем рабочие таблицы заполняются непосредственно в процессе выполнения работ, а полные экземпляры изменяются после окончания работ. Все записи выполняются аккуратно и разборчиво и должны отражать текущее состояние коммутационных узлов.

Работы, связанные с изменением трасс прокладки, обнаружением неисправностей и ремонтом кабельного хозяйства и коммутационных элементов, тестированием, измерением и оформлением протоколов измерений, должны выполняться сертифицированными специалистами подрядной сервисной организации.

3.5.1. Защита информации

Защита информации включает в себя комплекс мероприятий, направленных на обеспечение информационной безопасности. На практике под этим понимается поддержание целостности, доступности и, если нужно, конфиденциальности информации и ресурсов, используемых для ввода, хранения, обработки и передачи данных.

Информационная безопасность - это защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуры.

Основной критерий для выбора уровня защиты - важность информации. Если в проектируемой вычислительной сети будут обрабатываться конфиденциальные данные, следует выбрать централизованную защиту на основе сервера (независимо от количества обслуживаемых пользователей).

Существуют методы и системы, предотвращающие катастрофическую потерю данных:

- резервное копирование;

- источники бесперебойного питания;

- отказоустойчивые системы;

- предупреждение кражи данных;

- пароли и шифрование;

- аудит;

- бездисковые компьютеры;

- обучение пользователей;

- физическая защита оборудования;

- защита от вирусов

Для защиты от вирусов

3.5.2. Предупреждение кражи данных

 

В данной сети конфиденциальными данными являются только данные начальства и бухгалтерии (счета) и личные данные каждого пользователя. Предупреждения кражи этих данных внутри сети решается на уровне паролей и разграничения доступа к данным, между сетями (ЛВС и Интернет) на уровне Proxy сервера и Firewall.

 

3.5.3. Учетные записи пользователей

 

Каждый человек, который использует сеть, должен иметь учетную карточку пользователя в домене сети. Необходимой функцией средств обеспечения безопасности является регистрация деятельности пользователей. Для каждой базы данных, отдельного документа и даже отдельного поля записи в файле базы данных могут быть установлены:

- список пользователей, имеющих право доступа;

- функции, которые может выполнять пользователь;

- привилегии для доступа к выбранной информации.

В проектируемой вычислительной сети нужно выборочно наделить пользователей правами доступа к каталогам и создать группы для предоставления доступа к общим сетевым ресурсам.

Таблица 5

Права доступа для групп пользователей

Название группы	Внутренние ресурсы	Уровни доступа к внутренним ресурсам	Доступ в Internet и электронная почта
Администраторы	Все сетевые ресурсы	Права администратора в каталогах, в том числе изменение уровня и прав доступа	Все сетевые ресурсы
Сотрудники	Вся информация предприятия (учреждения)	Ограничение доступа к папкам (по необходимости)	Ограничение по IP- адресу (адресата и источника), ограничение по содержанию (входящей и исходящей корреспонденции) по мере необходимости
Клиенты	Специальные каталоги и папки для клиентов	Просмотр объектов (чтение и поиск файлов)	Ограничение по IP- адресу (адресата и источника), ограничение по содержанию (входящей и исходящей корреспонденции) по мере необходимости Идентификация пользователя не требуется

 

3.5.4. Firewall

Firewall (также называемый межсетевым экраном) – это программный или аппаратный комплекс для разграничения доступа к локальной или глобальной сети. Общий принцип его работы следующий: firewall отслеживает все устанавливаемые соединения, после просматривает имеющийся у него список правил (заданных пользователем или администратором) и определяет, следует ли разрешить данное соединение или заблокировать.

Firewall можно разделить на корпоративные и персональные. Корпоративные Firewall могут быть как программными, так и аппаратными. Они устанавливаются на шлюз между локальной сетью и Интернетом (или на шлюз между двумя подсетями) и в качестве правил для проверки используется тип протокола, адрес сайта и номер порта. Правила для корпоративного Firewall задаются администратором сети.

Персональный Firewall – это программа, которая устанавливается непосредственно на компьютер обычного пользователя. Основное отличие персонального Firewall от корпоративного заключается в том, что в его правилах можно задавать не только протокол, адрес и порт для подключения, но и программы, которым разрешено это подключение устанавливать (или наоборот, принимать входящее).

В данном проекте Firewall является аппаратным, Zyxel Internet Security Appliance (4 port 10/100 Mbs, 1WAN).

Организация удаленной связи

 

Выбор канала связи

 

Выбор канала связи зависит от интенсивности сетевого трафика, требований к защите информации, максимального расстояния, требований к характеристикам кабеля, стоимости реализации.

Примерное расстояние от основного здания Хлебокомбината до удаленных филиалов составляет:

- от Хлебокомбината до магазина, находящегося на Тельмана 30, 1990м;

- от Хлебозавода до магазина, находящегося на Краснодарской 46а 3, 3903 м

Исходя из того, что расстояние между Центральным офисом и удаленными филиалами в прямой видимости составляет примерно 2 км и 4 км, это исключает возможность использования Wi-fi технологии.

Из беспроводных вариантов связи можно использовать более дорогостоящую технологию Wi-Max или подобную технологию радиосвязи. Соответственно, необходимо продумать систему безопасности от НСД к информации, что для беспроводных технологий является очень сложной задачей с распределением ключей доступа, контролем ошибок в программном обеспечении и защиты от хакерских атак. А также необходимо производить сертификацию выбранного оборудования, что принесет дополнительные расходы.

Вариант оптоволоконной связи между зданиями абсолютно не выгоден, т.к. стоимость прокладки оптического кабеля будет дорогой и трудоемкой, а стоимость коммутационного оборудования и самого кабеля будет также очень высокой. При повреждении линий связи потребуется вызов специалистов, что опять же принесет дополнительные расходы и простои в работе. Оптоволоконную технологию связи между Центральным офисом и удаленными филиалами нецелесообразно использовать еще по одной причине, т.к. между Центральным офисом и удаленными филиалами не требуется передача больших объемов информации.

Самым выгодным вариантом остается прокладка кабеля. Данный вариант не требует больших затрат для организации сетевого взаимодействия, а также получить доступ к информации с внешней среды гораздо сложнее. Выделенная линия от Центрального офиса до двух удаленным филиалов прокладывается 55 цехом. Поэтому нам необходимо только договориться об аренде этой линии (ежемесячная оплата аренды составит 1000 руб. за 1км, итого за 12 км выделенного канала связи – 12000 руб. ежемесячно), купить коммутационное оборудование, правильно настроить его.

 

Выбор стандарта связи xDSL.

 

В данной ситуации для организации соединения зданий Центрального офиса и двух удаленных филиалов необходимо воспользоваться технологией семейства xDSL. Это наиболее выгодная технология передачи данных по каналам связи. Позволяет использовать одну пару медных телефонных проводов, что мы и имеем в данном случае.

Сокращение DSL расшифровывается как Digital Subscriber Line (цифровая абонентская линия). DSL является достаточно новой технологией, позволяющей значительно расширить полосу пропускания старых медных телефонных линий, соединяющих телефонные станции с индивидуальными абонентами.

Современные технологии DSL приносят возможность организации высокоскоростного доступа в Интернет в каждый дом или на каждое предприятие среднего и малого бизнеса, превращая обычные телефонные кабели в высокоскоростные цифровые каналы. Причем скорость передачи данных зависит только от качества и протяженности линии, соединяющих пользователя и провайдера. При этом провайдеры обычно дают возможность пользователю самому выбрать скорость передачи, наиболее соответствующую его индивидуальным потребностям.

Рассматривая варианты технологии DSL с высоты принципиальных различий, можно выделить две основные категории этих технологий. Это симметричные технологии и асимметричные технологии. Принцип разделения предельно простой. Если скорости передачи данных в обоих направлениях (то есть из сети к пользователю и от пользователя в сеть) одинаковы, то это симметричная технология. Если же скорости передачи данных не одинаковы (по направлениям), то такая технология называется асимметричной. К числу симметричных технологий относятся технологии HDSL, HDSL2, SDSL и IDSL.

Симметричные линии DSL идеально подходят для использования в сфере бизнеса, когда необходимо обеспечить равные скорости передачи данных в обоих направлениях, например, для передачи голоса, электронной почты, видеоконференций, файлов и для обеспечения функционирования ЛВС. Асимметричные технологии DSL, такие как ADSL, RADSL и G.Lite, в основном используются операторами местной связи, которые ориентируются на предоставление высокоскоростного доступа частным абонентам. Ведь именно этим абонентам операторы местной связи предоставляют услугу традиционной телефонной связи.

Далее кратко ознакомимся с основными технологиями DSL:

ADSL (Asymmetric DSL) - один из самых популярных пользовательских видов модемов. Предназначен для подключения к Интернету домашних пользователей и малых офисов. Технология носит асимметричный характер: скорость от провайдера к пользователю - до 8,192 Мбит/с, а от пользователя к провайдеру - 0,768 Мбит/с. Модем подключается к существующей телефонной линии и позволяет одновременно разговаривать по телефону и работать в Интернете. Максимальная длина соединения - до 7-8 км, но реально используется при длине абонентской линии 3-4 км. Соединение «точка-точка» для этих модемов невозможно (за исключением отдельных дорогих моделей), со стороны сервера требуется наличие специального и достаточно дорогостоящего оборудования (мультиплексор DSLAM с ADSL-модулями). Нужны также разделители (сплиттеры) на обоих концах абонентской линии для частотного разделения голосового и цифрового каналов (в новейших моделях они чаще всего встроены в сам модем). В настоящее время появились стандарты ADSL2 и ADSL2+. Здесь скорости от провайдера могут достигать 12 и 25 Мбит/с соответственно. Однако в ADSL2+ она поддерживается лишь на абонентских линиях длиной до 1,5 км. IDSL (ISDN DSL) - технология xDSL, протоколы которой были позаимствованы у ISDN. Максимальная скорость связи до 0,128 Мбит/с, максимальная дальность передачи - 5.5 км; нет поддержки передачи голоса на линии.

HDSL (High bit-rate DSL) - симметричная реализация DSL- технологии с высоким битрейтом позволяет передавать данные со скоростью до 1,54 Мбит/с в обоих направлениях. Из-за этого, до недавнего времени, она часто использовалась провайдерами, операторами сотовой связи и другими компаниями, которым требовались высокоскоростные симметричные каналы. Максимальная дальность связи - до 3.6 км. Но это компенсируется возможностью создания соединения «точка-точка» между двумя однотипными модемами. Этой технологии требуется четырехпроводная линия связи. Отсутствует поддержка передачи голоса.

RADSL (Rate-Adaptive DSL - DSL с адаптацией по скорости) - создан для работы на линиях пониженного качества. Обеспечивает адаптивную регулировку скорости передачи. Скорость к пользователю - от 0,64 до 14 Мбит/с, к провайдеру - от 0,128 до 1 Мбит/с. Максимальная дальность - до 6,4 км. Ввиду своей асимметричности слабо подходит для создания соединений «точка-точка».

SDSL (Symmetric DSL - симметричная DSL) - скорость передачи данных до 1,1 Мбит/с, поддержка голоса отсутствует. Может применяться на протяженных линиях. Максимальная дальность связи - 7,2 км.

SHDSL (Single-Paired High Speed DSL) - в отличие от HDSL, используется двухпроводная линия связи; скорость передачи несколько выше - до 2,304 Мбит/с. Существуют и четырехпроводные варианты SHDSL-модемов, с максимальной скоростью передачи до 4,608 Мбит/с. Максимальная длина линии связи на отдельных моделях модемов, реализующих эту технологию, - до 9 км при максимальной скорости соединения 64 Кбит/с. Более высокая помехозащищенность по сравнению с HDSL. Поддержка передачи голоса отсутствует. На многих модемах есть настройка скорости связи «модем-модем».

VDSL (Very high-bit-rate DSL - DSL с очень высоким битрейтом) - на дистанциях до 0,3 км обеспечивает передачу данных со скоростью до 3 Мбит/с от пользователя, от провайдера - до 52 Мбит/с. Для поддержания высоких скоростей передачи на расстояниях свыше 1,3 км требует совместного применения медных пар и оптоволокна. Поддерживает передачу голоса.

Между Центральным и удаленным офисами должна поддерживаться достаточно высокая скорость обмена информации для того, чтобы, например, своевременно доставить отсутствующий товар в магазин, быстрое получение отчетов работы магазинов для начальства. Для канала связи были использованы выделенные линии.

Исходя из представленной информации, выгоднее использовать технологию симметричного доступа SHDSL.bis. Данная технология является симметричным высокоскоростным решением технологии HDSL при использовании одной пары проводов на расстоянии до 5 км. На концах кабеля необходимо установить соответствующие модемы стандарта SHDSL.bis.

Выбор модема.

P-793H 2/4-проводной маршрутизатор SHDSL.bis с межсетевым экраном, 4-портовым коммутатором и резервированием связи.

Благодаря своей надежности, помехозащищенности и высокой симметричной скорости передачи данных, SHDSL-модемы ZyXEL уже много лет широко используются в корпоративных сетях. Дальнейшим развитием стандарта SHDSL является расширенная версия SHDSL.bis, имеющая модуляцию TC-PAM32 и обеспечивающая существенный выигрыш в скорости.

Используя преимущества современной технологии SHDSL.bis, высокоскоростной маршрутизатор ZyXEL P-793H позволяет передавать данные, голос и видео по одной медной паре на скоростях до 5,69 Мбит/с. В 4-проводном режиме скорость связи может быть удвоена и достигать 11,38 Мбит/с. Это почти в 2,5 раза превышает возможности обычного SHDSL-модема.

Ниже приведена ориентировочная скорость связи в зависимости от расстояния при диаметре провода 0,405 мм (26 AWG) (рис.2)

Рисунок 2 – зависимость скорости от расстояния

Маршрутизатор доступа с расширенными функциями безопасности

P-793H обеспечивает симметричное высокоскоростное подключение к Интернету, защищенное встроенным межсетевым экраном (Firewall) с непрерывным контролем состояния соединений (Stateful Packet Inspection – SPI) и защитой от DoS-атак. Используя удобный веб-интерфейс управления, администратор может по своему усмотрению настраивать права доступа в локальную сеть, разрешая или запрещая доступ к определенным ресурсам. Поддержка IPSec VPN-туннелей позволяет безопасно объединить офисы компании через публичную сеть Интернет.

Построение территориально распределенной корпоративной сети

Маршрутизатор P-793H поддерживает режимы клиент/сервер, что позволяет использовать его как для подключения к DSLAM-у, так и для совместной работы с другим SHDSL-модемом по схеме «точка-точка». Кроме этого, в 2-проводном режиме P-793H обеспечивает подключение к центральному офису сразу двух удаленных филиалов компании, как показано на рисунке 3:

 

Рисунок 3 – пример соединения Центрального офиса и двух удаленных.

Встроенный коммутатор Fast Ethernet с автоматическим определением типа кабеля по всем портам обеспечит объединение в локальную сеть до 4 компьютеров без использования дополнительных устройств. Если P-793H используется в локальной сети с большим числом компьютеров, то его можно подключить к внешнему коммутатору Ethernet. Функция VLAN на базе Ethernet-портов позволяет объединить пользователей локальной сети в независимые рабочие группы.

К особенностям P-793H можно отнести резервирование выделенной линии посредством коммутируемого соединения или с помощью функции автоматического перенаправления трафика на запасной шлюз в локальной сети.

Поддержка качества обслуживания (QoS)

Статическая привязка PVC в SHDSL-линии к соответствующему разъему RJ-45 на Ethernet-порту гарантирует передачу по выделенной линии различных видов трафика с заданным качеством обслуживания (CBR, VBR, UBR). Данная функция уже давно успешно применяется, например, в ADSL-модемах для предоставления услуг интерактивного цифрового телевидения (IPTV).

Управление полосой пропускания канала связи (функция «Bandwidth management») позволяет оптимизировать работу приложений TCP/IP и выделить каждому приложению гарантированную полосу в зависимости от адресов отправителя/получателя и типа сервиса (номера порта).

Рекомендуется к применению

Для объединения двух офисов по одной или по двум медным парам в режиме «точка-точка» с организацией симметричного полнодуплексного соединения на скоростях до 11,38 Мбит/с

В корпоративных сетях для подключения нескольких филиалов на скоростях более 2 Мбит/с (рекомендуемое серверное оборудование ZyXEL IES-1000 с модулем SAM1216-22)

Для подключения двух удаленных филиалов к центральному офису средствами абонентских модемов по схеме «точка – 2 точки» на скоростях до 5,6 Мбит/с

Корпоративным клиентам, как основа локальной сети со скоростным симметричным полнодуплексным каналом в Интернет

Для безопасного объединения локальных сетей через публичную сеть Интернет посредством IPSec VPN-туннели

Операторам DSL-сетей для подключения корпоративных клиентов и небольших офисных комплексов. Функция статической привязки PVC к порту Ethernet позволяет подключить к Интернету через один маршрутизатор P-793H несколько фирм, расположенных в одном здании.

P-791R v2 Маршрутизатор SHDSL.bis с резервированием связи

P-791R v2 — это маршрутизатор G.SHDSL.bis, предоставляющий по одной медной паре надежную высокоскоростную связь между локальными сетями и доступ к Интернету. Помимо других преимуществ, стандарт G.SHDSL.bis поддерживает одинаково высокую скорость передачи и приема на относительно больших расстояниях, что отличает его от ADSL и VDSL. Маршрутизатор P-791R v2 обеспечивает симметричную скорость связи до 5,69 Мбит/с.

В зависимости от настроек, P-791R v2 можно использовать как для IP-маршрутизации, так и для установки моста. С целью организации виртуальных локальных сетей и разграничения доступа абонентов, P-791R v2 позволяет прозрачным образом передавать по SHDSL-каналу трафик 802.1q.

Основным применением P-791R v2 является создание простых и высокоскоростных двухточечных соединений по одной медной паре между двумя территориально разнесенными сетями. Кроме этого, P-791R v2 может использоваться как абонентский модем SHDSL.bis для подключения к 2-портовому маршрутизатору P-793H, когда P-793H в 2-проводном режиме обеспечивает подключение к центральному офису сразу двух удаленных филиалов компании (режим 2wire-2line).

Операторам DSL-сетей новый модем SHDSL.bis идеально подходит для подключения корпоративных клиентов и небольших офисных комплексов на скоростях более 2 Мбит/с. В этом случае в качестве серверного оборудования рекомендуется использовать DSL-коммутаторы ZyXEL с SHDSL.bis-модулями SAM1216-22 и SLC1248G-22.

К особенностям P-791R v2 можно отнести резервирование выделенной линии посредством коммутируемого соединения или с помощью функции автоматического перенаправления трафика на запасной шлюз в локальной сети.

Основные преимущества

Благодаря современной технологии SHDSL.bis, в P-791R v2 более чем в два раза увеличена максимальная скорость связи (до 5,69 Мбит/с) по сравнению с обычными SHDSL-модемами.

Возможность выбора режимов мост / маршрутизатор.

Поддержка протоколов RFC1483, PPPoE, PPPoA и Ether ENCAP позволяет провайдеру Интернета эффективно управлять адресным пространством, параметрами соединения, осуществлять надежную авторизацию и тарификацию пользователей.

Позволяет прозрачным образом передавать по высокоскоростному каналу трафик 802.1q для организации виртуальных локальных сетей и разграничения доступа абонентов.

Возможность организации резервного коммутируемого подключения к Интернету или корпоративной сети через встроенный порт RS-232 и внешний модем. Функция автоматического перенаправления трафика на запасной шлюз в локальной сети также позволит организовать резервирование связи с глобальной сетью.

Встроенные средства фильтрации трафика обеспечивают защиту локальной сети от несанкционированного доступа.

Рекомендуется к применению

В корпоративных сетях для объединения офисов и локальных сетей на скоростях свыше 2 Мбит/с, а также в случаях, когда требуется подключение к Интернету на высокой симметричной скорости.

При необходимости обеспечить работу приложений с “симметричным” трафиком, в том числе критичных к задержкам в канале и потерям пакетов: IP-телефония, видеоконференцсвязь, дистанционное обучение и т.д.

Для особо важных приложений, когда наряду с выделенным каналом требуется организовать резервное соединение.

В качестве абонентского модема SHDSL.bis к 2-портовому маршрутизатору P-793H для подключения к центральному офису сразу двух удаленных филиалов компании в режиме «точка – две точки».

Ориентировочная скорость связи в зависимости от расстояния при сечении провода 0,405 мм (26 AWG) (рис.4):

Рисунок 4 – зависимость скорости от расстояния

В главном здании Центрального офиса (здание А) располагается P-793H 2/4-проводной маршрутизатор SHDSL.bis с межсетевым экраном, 4-портовым коммутатором и резервированием связи фирмы ZyXEL.

А в двух удаленных офисах стоят абонентские модемы также фирмы ZyXEL P-791R v2 маршрутизатор SHDSL.bis с резервированием связи.