Разработка распределенной вычислительной сети автохолдинга с применением технологии виртуальных частных сетей

Существуют три метода построения единойзащищенной корпоративной сети организации:

1. с использованием оборудования и соответствующего комплексауслуг интернет-провайдера;

2. с использованием выделенных линий или технологии FrameRelay.

3. с использованием собственного оборудования, расположенного вголовном офисе и филиалах. Первое решение было бы подходяще, если головной офис и филиалыподключены к Интернет через одного интернет-провайдера. Однако в данномслучае такое решение неприменимо. Использование выделенных линий обусловливает быстрый росттекущих расходов по мере увеличения занимаемой полосы пропускания ирасстояния между объектами. В результате расходы на связь по выделеннымлиниям превращаются в одну из основных статей расходов на эксплуатацию. Чтобы сократить их, компания может соединить узлы при помощивиртуальной частной сети. Для этого достаточно отказаться от использованиядорогостоящих выделенных линий, заменив их более дешевой связью через

Интернет. Это существенно сократит расходы на использование полосыпропускания, поскольку в Интернете расстояние не влияет на стоимостьсоединения. Поэтому необходимо рассчитывать на соединение центрального офисаи подразделений с использованием оборудования и программного обеспечения. В этом случае принцип работы прост -доступ к Интернет осуществляется через специальную точку доступа, обеспечивающую организацию туннелирования. Схема VPN для безопасного объединения рабочихстанций мобильных офисов и удаленных сотрудников офисов в единую сетьизображена на рисунке 3.

2.Рис. 3.2 — Схема организации VPNВ этом случае в головном офисе необходима установка так VPN-сервера, а в подчиненных подразделениях — устройств, которые имеютвозможность создания VPN-туннелей, в качестве которых чаще используюмаршрутизаторы. В таком случае каждая удаленная рабочая станция получитвозможность работать с центральным офисом, к нему же будут подключатьсяотдельные пользователи в случае такой необходимости. При выборе такогооборудования необходимо учитывать требование масштабируемости, то естьвозможное количество создаваемых туннелей должно быть на 20−30% большенеобходимого. И в центральном офисе, и в удаленных офисах на персональныхкомпьютерах пользователей должно быть установлено клиентскоепрограммное обеспечение, кроме того, в центральном офисе необходимо создать рабочее место администратора VPN. Виртуальная сеть — логическая сеть, создаваемая поверх другой сети, чаще всего, Интернет. Несмотря на то, что коммуникации осуществляются попубличным сетям, с использованием небезопасных протоколов, за счётшифрования создаются закрытые от посторонних каналы обменаинформацией.

VPN позволяет объединить, например, несколько офисоворганизации в единую сеть с использованием для связи между ниминеподконтрольных каналов. В основе концепции построения защищенных виртуальных частныхсетей VPN лежит достаточно простая идея: если в глобальной сети есть дваузла, которые хотят обменяться информацией, то для обеспеченияконфиденциальности и целостности передаваемой по открытым сетяминформации между ними необходимо построить виртуальный туннель, доступ к которому должен быть чрезвычайно затруднен всем возможнымактивным и пассивным внешним наблюдателям. Термин «виртуальный» указывает на то, что соединение между двумя узлами сети не являетсяпостоянным (жестким) и существует только во время прохождения трафикапо сети. Использование термина «туннель» обусловлено тем, что приреализации туннельного соединения устанавливается связь между двумясистемами, которая будет независимой от фактического маршрута. Еслимежду двумя компьютерами, один из которых находится в Москве, а второйв Екатеринбурге, установлена связь, при ее реализации в Internet можетиспользоваться до 12 транзитных участков. Однако при установке туннелямежду двумя компьютерами в Internet можно реализовать ихнепосредственное взаимодействие друг с другом.

Это возможно, посколькутуннель устанавливается вдоль прямого логического маршрута, а не всоответствии с физическим непрямым маршрутом. Благодаря использованиюлогического маршрута, функционирование приложения не зависит отфактического количества транзитных участков, используемых при установкесвязи между клиентом и сервером туннеля. В данном случае туннельрассматривается в качестве отдельного транзитного участка. Преимущества, получаемые компанией при формировании такихвиртуальных туннелей, заключаются, прежде всего, в значительной экономиифинансовых средств. Защита информации в процессе ее передачи по открытым каналамоснована на построении защищенных виртуальных каналов связи, называемых криптозащищенными туннелями. Каждый такой туннельпредставляет собой соединение, проведенное через открытую сеть, покоторому передаются криптографически защищенные пакеты сообщений. Создание защищенного туннеля выполняют компоненты виртуальнойсети, функционирующие на узлах, между которыми формируется туннель. Эти компоненты принято называть инициатором и терминатором туннеля. Инициатор туннеля инкапсулирует (встраивает) пакеты в новый пакет, содержащий наряду с исходными данными новый заголовок с информациейоб отправителе и получателе. Хотя все передаваемые по туннелю пакетыявляются пакетами IP, инкапсулируемые пакеты могут принадлежать кпротоколу любого типа, включая пакеты немаршрутизируемых протоколов, таких, как NetBEUI. Маршрут между инициатором и терминатором туннеляопределяет обычная маршрутизируемая сеть IP, которая может быть и сетьюотличной от Интернет.

Терминатор туннеля выполняет процесс обратныйинкапсуляции — он удаляет новые заголовки и направляет каждый исходныйпакет в локальный стек протоколов или адресату в локальной сети.

3.6 Оценка пропускной способности сети

Для подключения филиалов компании к корпоративной сети будет использован крипто-шлюз, позволяющий передавать информацию по сетям общего пользования. Так как филиалам компании должен быть обеспечен доступ к корпоративным информационным система, для эффективной работы в них должна быть обеспечена необходимая пропускная способность, поэтому необходимо осуществить расчет пропускной способности VPN-канала.Рассмотрим VPN крипто шлюз как простейшую одноканальную систему массового обслуживания с ожиданием, в которую поступает поток пакетов с интенсивностью; интенсивность обработки, т. е. в среднем непрерывно занятый канал будет выдавать обработанных пакетов в единицу (времени). Пакет, поступивший в момент, когда канал занят, становится в очередь и ожидает обработки. Предположим сначала, что количество мест в очереди ограничено числом m, т. е. если пакет пришел в момент, когда в очереди уже стоит m пакетов, он покидает систему не обработанным. В дальнейшем, устремив m к бесконечности, мы получим характеристики одноканальной СМО без ограничений длины очереди. Будем нумеровать состояния СМО по числу пакетов, находящихся в системе (как обрабатываемых, так и ожидающих обработки): — канал свободен; — канал занят, очереди нет; — канал занят, один пакет стоит в очереди; — канал занят, k — 1 пакетов стоит в очереди; — канал занят, t пакетов стоит в очереди. ГСП показан на рис. 3.

3. Все интенсивности потоков событий, переводящих в систему по стрелкам слева направо, равны, а справа налево —. Действительно, по стрелкам слева направо систему переводит поток пакетов (как только придет пакет, система переходит в следующее состояние), справа же налево — поток «освобождений» занятого канала, имеющий интенсивность (как только будет обработан очередной пакет, канал либо освободится, либо уменьшится число пакетов в очереди).Рис. 3.3 — Одноканальная СМО с ожиданием

Изображенная на рис. 3.3 схема, представляет собой схему размножения и гибели. Напишем выражения для предельных вероятностей состояний:(3.1)или с использованием :(3.2)Последняя строка в (3.2) содержит геометрическую прогрессию с первым членом 1 и знаменателем; откуда получаем:(3.3)в связи с чем, предельные вероятности принимают вид: (3.4)Выражение (3.3) справедливо только при < 1 (при = 1 она дает неопределенность вида 0/0). Сумма геометрической прогрессии со знаменателем = 1 равна m + 2, и в этом случае

Определим характеристики СМО: вероятность отказа, относительную пропускную способность q, абсолютную пропускную способность А, среднюю длину очереди, среднее число заявок, связанных с системой, среднее время ожидания в очереди, среднее время пребывания заявки в СМО. Вероятность отказа. Очевидно, пакет получает отказ только в случае, когда канал занят и все т мест в очереди тоже:(3.5)Относительная пропускная способность:(3.6)Абсолютная пропускная способность:

Средняя длина очереди. Найдем среднее число пакетов, находящихся в очереди, как математическое ожидание дискретной случайной величины R — числа пакетов, находящихся в очереди:

С вероятностью в очереди стоит один пакет, с вероятностью — два пакета, с вероятностьюв очереди стоит k — 1 пакетов, и т. д., откуда:(3.7)Поскольку, сумму в (3.7) можно трактовать как производную по от суммы геометрической прогрессии:

Подставляя данное выражение в (3.7) и используя из (3.4), окончательно получаем:(3.8)Среднее число пакетов, находящихся в системе. Получим далее формулу для среднего числа пакетов, связанных с системой (как стоящих в очереди, так и находящихся на обработке). Поскольку, где— среднее число пакетов, находящихся под обслуживанием, а k известно, то остается определить. Поскольку канал один, число обслуживаемых пакетов может равняться 0 (с вероятностью) или 1 (с вероятностью 1 -), откуда:

и среднее число пакетов, связанных с СМО, равно (3.9)Среднее время ожидания пакета в очереди. Обозначим его; если пакет приходит в систему в какой-то момент времени, то с вероятностью канал не будет занят, и ему не придется стоять в очереди (время ожидания равно нулю). С вероятностью он придет в систему во время обслуживания какого-то пакета, но перед ним не будет очереди, и пакет будет ждать начала своей обработки в течение времени (среднее время обработки одного пакета). С вероятностью в очереди перед обрабатываемым пакетом будет стоять еще один, и время ожидания в среднем будет равно, и т. д.

Если же k = m + 1, т. е. когда вновь приходящий пакет застает канал обслуживания занятым и m пакетов в очереди (вероятность этого), то в этом случае пакет не становится в очередь (и не обрабатывается), поэтому время ожидания равно нулю. Среднее время ожидания будет равно:

Если подставить сюда выражения для вероятностей (3.4), получим:(3.10)Здесь использованы соотношения (3.7), (3.8) (производная геометрической прогрессии), а также из (3.4). Сравнивая это выражение с (3.8), замечаем, что иначе говоря, среднее время ожидания равно среднему числу пакетов в очереди, деленному на интенсивность потока поступления пакетов.(3.11)Среднее время пребывания пакета в системе. Обозначим математическое ожидание случайной величины — время пребывания пакета в СМО, которое складывается из среднего времени ожидания в очереди и среднего времени обслуживания. Если загрузка системы составляет 100%, очевидно,, в противном же случае. Отсюда: VPN крипто шлюз представляет собой СМО с одним каналом обработки. Канал допускает пребывание в очереди на обработке не более четырех пакетов одновременно (m = 4). Если в очереди уже находятся четыре пакета, очередной пакет, прибывший в канал, в очередь не становится. Поток пакетов имеет интенсивность= 10 (пакетов в секунду). Процесс обработки пакета продолжается в среднем 25 мс, что составляет 0,025 секунды. Определим вероятность отказа на обработку пакета, относительную пропускную способность, абсолютную пропускную способность, среднее число обрабатываемых пакетов, среднее время ожидания пакета в очереди, среднее время нахождения пакета в канале. Находим вначале приведенную интенсивность потока пакетов:= 1/0,025 = 40; =10/40 = 0,25.По формулам (3.4):Вероятность отказа Относительная пропускная способность СМОq=1−0,9993

Абсолютная пропускная способность СМО пакетов в секунду. Среднее число пакетов в очереди находим по формуле (3.8)т. е. среднее число пакетов, ожидающих в очереди на обработку, равно. Прибавляя к этой величине среднее число пакетов, находящихся на обслуживанииполучаем среднее число пакетов = .Среднее время ожидания пакета в очереди по формуле (3.11)Прибавляя к этой величине, получим среднее время, которое пакет проводит в канале:

Заключение

Цель проекта — повышение эффективности работы автохолдинга путем разработки и внедрения объединенной локальной сети в организации с применением технологии виртуальных частных сетей. В первой главе осуществлено рассмотрение предметной области, рассмотрена деятельность компании «Автохолдинг РРТ». Осуществлен анализ информационных потоков предприятия, анализ информационных потоков показал, что в настоящее время информационная сеть компании не справляется с документооборотом предприятия и не дает возможность удаленного доступа с информационным система в сети. На основании выявленных недостатков сформировано техническое задание на проектирование корпоративной сети. Во второй главе был осуществлен выбор технологии построения сети. Осуществлен выбор технических средств построения сети и программного обеспечения. В качестве среды передачи выбрана витая пара категории 5. Также осуществлен выбор сетевой операционной системы для построения корпоративной сети WindowsServer 2012. В третьем разделе будет осуществлен логический расчёт объединенной сети, разработана структура VLAN. Также разработана структура VPN. В четвертом разделе будет осуществлена разработка проекта информационной безопасности корпоративной сети компании.

Список литературы

Абалмазов Э. И. Методы и инженерно-технические средства противодействия информационным угрозам .- М.: Компания «Гротек», 2010

Абросимов Л. И. Анализ и проектирование вычислительных сетей: Учеб. пособие — М., Изд-во МЭИ. 2010. ;

52 сБрассар Ж. Современная криптология. — Пер. с англ.: М.: Полимед, 2010 — 176 с. Бочаров П. С., Организация абонентского доступа с использованием PLC технологий, Tom’sHardwareGuide, 4(14), 2009

Васильева Л.П., Вопросы защиты широкополосных систем передачи данных по кабелям, информационная безопасность, 2(24), 2009

Верификация Estelle-спецификаций распределенных систем посредством раскрашенных сетей Петри.// Под ред. Непомнящего В. А., Шилова Н. В. — Новосибирск, 2007

Вишневский В., Ляхов А., Портной С, Шахнович И., Широкополосные сети передачи информации М.: Эко-Трендз, 2010, 592 сГалатенко В.В., Информационная безопасность, «Открытые системы», N 6 (72), 2010

Герасименко В. А. Защита информации в автоматизированных системах обработки данных: В 2-х кн. — М.: Энергоатомиздат, 2010. — 176 с. Григорьев В. А, Лагутенко О. И., Распаев ЮА., Сети и системы широкополосной передачи данных М.: Эко-Трендз, 2005, 384 сДимарцио Д.Ф. МаршрутизаторыCisco. Пособие для самостоятельного изучения, 2008;Лаура Ф. Чаппелл и Дэн Е.

Хейкс. Анализатор локальных сетей NetWare (Руководство Novell), Москва, Изд. «ЛОРИ», 2007.А. В. Фролов и Г. В. Фролов, Локальные сети персональных компьютеров. Использование протоколов IPX, SPX, NETBIOS, Москва, «Диалог-МИФИ», 1993 15. К.

Джамса, К. Коуп, Программирование для INTERNET в среде Windows, Санкт-Петербург, «ПИТЕР», 2006. ISDN H ow to get a high-speed connection to the Internet, Charles Summers, Bryant Dunetz, «John Wiley @ Sons, Inc.» ISDN Explained, Worldwide Network and Applications Technology, 2 edition, John M. G riffiths, John Wiley & sons.

ISDN. Цифровая сеть с интеграцией служб. Понятия, методы, системы. П. Боккер, Москва, Радио и связь, 2008. С. Вильховченко, Модем 96. Выбор, настройка и использование.

Москва, ABF, 1995. 20. Справочник «Протоколы информационно-вычислительных сетей». Под ред.

И. А. Мизина и А. П. Кулешова, Радио и связь, Москва 2009. D ouglas E.

C omer, Internetworking with TCP/IP, Prentice Hall, Englewood Cliffs, N.J. 7 632, 2010Craig Hunt, TCP/IP Network Administration, O’Reilly Associates, Inc., Sebastopol, USA, 2011А.В. Фролов и Г. В. Фролов, Модемы и факс-модемы. Программирование для MS-DOS и Windows. Москва, «Диалог-МИФИ», 2011

Семенов Ю. А. «Протоколы и ресурсы INTERNET» «Радио и связь», Москва, 2010

Семенов Ю. А. «Сети Интернет. Архитектура и протоколы», СИРИНЪ, 2011

Соловьева Л., Сетевые технологии. Учебник-практикум, 416, Москва, 2010

Новиков Ю. В., Кондратенко С. В., Локальные сети. Архитектура, алгоритмы, проектирование., 308, Москва, 2010

Середа С.С., Программно-аппаратные системы защиты программного обеспечения, СПб, BHV, 2012

Слепцов А. И. Уравнения состояний и эквивалентные преобразования нагруженных сетей Петри (алгебраический подход) // Формальные модели параллельных вычислений: Докл. и сообщ. Всесоюзн. конф. — Новосибирск, 2008, с. 151−158.Хореев П. В. «Методы и средства защиты информации в компьютерных системах» 2005 год, издательский центр «Академия"Черней Г. А., Охрименко С.

А., Ляху Ф. С. Безопасность автоматизированных информационных систем, М.: Ruxanda, 2006

Шалыто А.А. SWITCH-технология. Алгоритмизация и программирование задач логического управления. — СПб.: Наука, 2008. — 628 сШалыто А. А. Алгоритмизация и программирование для систем логического управления и «реактивных» систем. ;

Автоматика и телемеханика, 2010, № 1, с.3−39. Шварц М. Сети связи: протоколы моделирования и анализ./ В 2-х ч. Ч.II. — М.: Наука, Глав.

ред.физ.-мат.

лит-ры, 2012, 272с