Иванов В.Г., Семенов А.П.,
Степанова В.Л.
Бурятский научный центр СО РАН, Улан-Удэ
Развитие сети Бурятского научного центра СО РАН (БНЦ СО РАН) в единую корпоративную информационную сеть происходило на основе технического объединения локальных сетей (ЛС) Президиума, академических институтов, научных (Отдел физических проблем), научно-вспомогательных и производственных подразделений, центральной научной библиотеки, издательства, музея, подразделений социального характера.
Ведутся работы по созданию:
Обеспечен доступ в режиме on-line к серверам ГПНТБ, каталогам библиотек мира, серверам Сибирского отделения РАН, РФФИ и т. п.
Современные достижения [1-11] по информационным технологиям способствовали с позиции обозначенных подходов разработать и реализовать корпоративную сеть информационного обеспечения фундаментальных исследований академических институтов БНЦ СО РАН, подключение которой к Internet осуществляется через proxy-сервер.
Структурная схема сети представлена на рисунке. Cеть - гетерогенная с плоским адресным пространством класса B, с отдельными закрытыми выделенными подсетями рабочих групп.
Структура сети - иерархическая, с комбинированной топологией "звезда-шина". Используется cтек сетевых протоколов TCP/IP. Скорость передачи данных опорной сети - 100Мбит/c, в сегментах локальных рабочих групп - 10/100Мбит/c в зависимости от используемого сетевого оборудования. Радиоканал обеспечивает устойчивую связь с Internet-провайдером ISB на скорости 11 Мбит/с, на частоте 2,4 ГГц. Объём сетевого трафика составляет 11-18 Гбайт в месяц. Средой передачи является витая пара (UTP 5) и коаксиальный кабель (RG 50). Предусмотрены источники бесперебойного питания UPS, обеспечивающие сервера сети электроэнергией на время, достаточное для сохранения критических данных. Общее число пользователей превышает 471 ( сентябрь 2002 г., постоянно увеличивается).
В качестве серверов используются компьютеры на базе Pentium-II-266, Pentium-II-400, Pentium-III -700, ОС FreeBSD, Sun Solaris, SGI, IBM AIX, Windows NT, Windows 2000, Windows XP. Основной WWW- сервер расположен на компьютере Pentium-III-800. Маршрутизатор и Proxi - сервер реализованы на компьютере Pentium-II-266. На базовом proxy-сервере установлена ОС FreeBSD.
Для защиты корпоративной сети используются Firewall и proxy-сервер. Firewall является эффективным регулирующим механизмом, позволяющим вести контроль за взаимодействием сети с Internet. В сети используются две модели защиты, обеспечивающие безопасность аппаратных и информационных ресурсов: защита через пароль, защита через права доступа.[3,9,10]
Сеть поддерживает возможность разделения ресурсов дифференциально по пользователям и приложениям, в зависимости от заданных администратором сети набором критериев. Разработан регламент корпоративной сети (правила использования информационно-телекоммуникационных ресурсов).
При реализации и модернизации сети использованы современные технологии: IP-технология сетей, сетевая технологии intranet, основанная на технологии Web-серверов и Web-браузеров, RAID - технология для реализации Web - и файл серверов. Осуществлен переход на схему сети с двумя выделенными, территориально разнесенными серверами. Заложено новое оборудование IP-сетей, иерархическая структура сети, технология второго уровня - коммутируемые Ethernet/ Fast Ethernet/ Gigabit Ethernet для ЛС, гибкие коммутаторы третьего уровня 3C 16735Dual Speed Switch 16/8/4 - 10/100.
Для IP-технологии характерны такие объективно привлекательные свойства: во-первых, открытость, способность интегрировать практически любые сетевые технологии, отлаженность, надежность и масштабируемость; во-вторых, разработчики сетевых технологий в основном сконцентрировали свои усилия на совершенствовании свойств уже зарекомендовавшего себя стека TCP/IP протоколов, производители оборудования активно встраивают поддержку IP в свои продукты, провайдеры быстро строят высокоскоростные IP-магистрали.[1,2]
Технология intranet, как единый для всех типов сетей и ОС стандарт.
Используемые сервисы: SSH, FTP, DNS, NFS, SMTP, POP3, HTTP. С помощью протокола TCP/IP обеспечивается маршрутизация, обмен данными между подсетями с альтернативными ОС, осуществляется межсетевое взаимодействие. Стек TCP/IP поддерживает протоколы: SMTP-для обмена электронной почтой; FTP - для обмена файлами; SNMP - для управления сетью. В TCP/IP протоколе вместо семи уровней модели OSI используются только четыре: уровень сетевого интерфейса, межсетевой уровень, транспортный уровень, прикладной уровень. Уровень сетевого интерфейса TCP/IP соответствует физическому и канальному уровням модели OSI. Межсетевой уровень TCP/IP соответствует сетевому уровню OSI. Транспортный уровень TCP/IP соответствует транспортному уровню OSI. Прикладной уровень TCP/IP соответствует сеансовому, представительскому и прикладному уровням OSI. Протокол IP выполняет адресацию и выбор маршрута.[1]
Корпоративная сеть состоит из двух доменов и нескольких рабочих групп.
По мнению многих специалистов корпоративная сеть уподобляется пирамиде, состоящей из нескольких взаимодействующих слоев, в основании пирамиды лежит "слой компьютеров" - центров хранения и обработки информации, над которым работает транспортная система: локальные и глобальные сети. Следующим является слой сетевых ОС, который организует работу приложений в компьютерах и предоставляет через транспортную систему ресурсы компьютера в общее пользование. Над слоем сетевых ОС работают различные приложения. Особую роль играют системы управления базами данных СУБД, хранящие в упорядоченном виде основную корпоративную информацию и производящие над ней базовые операции поиска. На следующем уровне работают системные прикладные сервисы: система электронной почты, служба WWW, средства групповой работы и многие другие.[1,2,3] Верхний уровень корпоративной сети представляют специальные программные системы - приложения конкретной предметной области, разрабатываемые в институтах, ОФП, Музее, научной библиотеке и других научных подразделениях БНЦ СО РАН.
Корпоративная сеть БНЦ СО РАН ориентирована на использование модели "клиент-сервер", которая эффективно обеспечивает: управление сетью, централизованное хранение файлов, доступ к БД со стороны таких приложений как: электронные таблицы, бухгалтерские программы, пользовательские и коммуникационные приложения, системы документооборота. В модели "клиент-сервер" ПО клиента использует язык структурированных запросов SQL, который переводит запрос с языка, понятного пользователю, на язык, понятный машине. SQL обеспечивает простой метод управления данными: ввод, поиск, обработка редактирование, извлечение. SQL стал стандартом, с ним работает большинство СУБД. Запрос к БД инициируется клиентом, а выполняется на сервере. Клиенту возвращается по сети только результат. Среда "клиент-сервер" содержит два основных компонента: приложение, часто называемое клиентом или интерфейсной частью, сервер БД, который обычно называется сервером или прикладной частью. Пользователь генерирует запрос с помощью интерфейсного приложения, которое выполняет следующие функции: обеспечивает интерфейс пользователя, формирует запросы, отображает данные, полученные пользователем. Инструментальные средства, приложения и утилиты для интерфейсной части дополняют возможности клиент - серверной модели. Запросы упрощают доступ к данным сервера, используются предопределенные запросы и встроенные возможности для построения отчетов. Многие стандартные приложения, например, Microsoft Excel могут работать в качестве интерфейсной части, предоставляя доступ к серверу БД. Другие приложения такие, как Microsoft Access имеют встроенный SQL, который обеспечивает доступ к СУБД от разных производителей. Для реализации систем "клиент - сервер" необходимы специально разработанные интерфейсные части. Средства разработки программ, например, Microsoft Visual Basic значительно облегчают программистам и администраторам информационных систем создание приложений, которые отвечают за доступ к серверам БД. Сервер в клиент - серверной среде выполняет запросы клиентов, поиск информации, реагируя на запросы клиентов, возвращает только результаты поиска. Обработка данных на сервере состоит из их сортировки, извлечения затребованной информации и отправки её по адресу пользователя. ПО сервера БД предусматривает, кроме того, следующие действия над информацией: обновление, удаление, добавление и защиту. [1,2,3]
Существует несколько способов реализации модели "клиент- сервер": данные размещаются на одном сервере БД, данные распределяются на нескольких серверах БД в зависимости от местонахождения пользователей и типа данных. В корпоративной сети реализуются оба способа: на главном информационном сервере размещаются БД, создаваемые в Институтах и научных подразделениях, доступ к которым обеспечивается для пользователей как по сети, так и через Internet, и, во-вторых, БД, разрабатываемые в каждом институте, распределяются между несколькими серверами ЛС институтов. Клиент - серверная модель обладает определенными преимуществами по сравнению с традиционной. Распределение задач между клиентом и сервером увеличивает эффективность работы сети. [1]
Для эффективного использования сети разрабатывается политика безопасности. Защитив физические компоненты сети, администратор должен защитить и сетевые ресурсы от несанкционированного доступа и от случайного или преднамеренного уничтожения.
В корпоративной сети применяются две модели защиты, которые обеспечивают безопасность информационных и аппаратных ресурсов: защита через пароль и защита через права доступа. Ввод пароля при входе в систему - недостаточная мера безопасности. Наиболее эффективный метод присвоения прав доступа - назначить их группам, а не отдельным пользователям.
В сети с сервером система защиты существеннее, так как каждый пользователь имеет учетную запись, наделенную соответствующими правами и привилегиями. Администратор сети создаёт и изменяет учетную запись, профили для управления средой, в которой пользователи работают в системе. В корпоративной сети пользователи распределены администратором по группам. Поскольку пользователи автоматически наделяются правами доступа и привилегиями групп, в которые они входят, администратору не нужно делать это отдельно для каждого клиента.
Защита корпоративной сети осуществляется с помощью proxy - сервера и средств Firewall, которые устанавливаются между сетью и Internet.
Сетевые средства типа Firewall осуществляют маршрутизацию трафика с учетом адресов источника и назначения, а также портов, указанных в отдельных IP - пакетах. Они становятся все более сложными, так как для правильной работы некоторых из них необходимо хранить информацию о состоянии всех соединений. В последнее время наблюдается устойчивая тенденция роста производительности средств типа Firewall, для пользователей же они становятся все менее "заметными". Firewall является эффективным регулирующим механизмом, позволяющим вести контроль за взаимодействием сети с Internet. Таким образом, использование средств типа Firewall позволяет: вести контроль за доступом к системам, содержащим информацию, подлежащую защите; обеспечивать защиту данных при использовании самых разных услуг, получаемых через Internet; осуществлять централизованное сетевое администрирование; проводить регистрацию данных о происходящих событиях и сбор статистической информации; использовать сложные схемы пакетной фильтрации; создавать системы из отдельных, независимых друг от друга аппаратных и программных средств. Следует отметить и отрицательные стороны применения средств типа Firewall: доступ к отдельным услугам может быть очень осложнен, конфигурация системы может стать чересчур сложной, затраты могут составить значительную сумму.[8,9,10]
Второй элемент защиты сети - proxy-сервер позволяет блокировать доступ пользователей к выбранным услугам; обеспечивает защиту данных при использовании самых разных услуг, получаемых через Internet; маскирует сетевого пользователя от лиц, находящихся по другую сторону сформированного им защитного барьера; регистрирует все сетевые события и осуществляет сбор статистических данных; легко конфигурируется и прост в обслуживании. Доступ к системе, находящейся за созданным рroxy - сервером барьером, практически полностью заблокирован. Недостатки применения proxy-сервера следующие: необходимо наличие специального ПО, позволяющего "общаться" с proxy-сервером, он не защищает от атак изнутри (с чем столкнулся администратор сети в процессе её эксплуатации), proxy-сервер может пока работать не со всеми протоколами прикладного уровня TCP/IP, производительность приложений может несколько снизиться. [9,10]
Таким образом, брандмауэр защищает сеть от несанкционированного доступа из Internet. Брандмауэр предотвращает прямую связь с внешними компьютерами, так как все соединения должны происходить с помощью proxy-сервера. Брандмауэр предоставляет информацию о попытках несанкционированного доступа. Proxy-сервер BSC управляет трафиком между ЛС и Internet. Он контролирует доступ к сети, фильтрует и блокирует запросы, например, на несанкционированный доступ к данным. Параллельно ведется запись log-файлов сервера.
Ведутся работы по организация аудита сети, который идентифицирует такие действия, как: попытка входа в сеть, подключение к указанным ресурсам и отключение от них, разрыв соединения, блокировка учетных записей, открытие и закрытие файлов, модификация файлов, создание и удаление каталогов, модификация каталогов, события на сервере и его модификация, изменение паролей, изменения IP и MAC адресов, изменение параметров регистрации. Аудит показывает, как работает сеть. Администратором используется журнал безопасности для подготовки отчета, где отражаются любые интересующие действия, а также дата и время их совершения.
Политика защиты должна включать меры по восстановлению данных и предотвращению появления вирусов. Самая большая проблема на данный момент - не реализована защита от вирусов распространяющихся по e-mail. Лучший метод борьбы с такими вирусами, по нашему мнению, является разъяснительная работа с пользователями, которая требует массу времени.
Ведется разработка системы документирования работающей корпоративной сети. Документация должна включать: структурную схему всей сети, схему территориального расположения всего оборудования, схему и сведения о прокладке кабеля, информацию о серверах сети, в том числе о хранимых на нем данных, графике резервного копирования и местоположения резервных копий, информацию о ПО, в частности, о лицензиях, и гарантийном сопровождении, копии всех гарантийных обязательств, имена и номера телефонов поставщиков, продавцов и другую полезную информацию. Формируется эталонный график работы корпоративной сети, отражающий перечень параметров нормально действующей сети: общую картину загруженности сети в течение суток, "узкие" места, чаще всего ими становятся такие устройства серверов как: процессоры, память, сетевые платы, контроллеры дисков, среда передачи, общую картину использования сети отдельными компьютерами, общую картину трафика различных протоколов. [1,2]
Создается Web-страница по проблемам корпоративной сети для внутреннего использования, информация на которой должна отслеживать все текущие изменения.
При помощи сетевого монитора собирается статистика работы корпоративной сети, чтобы в дальнейшем её проанализировать, а администратор смог проконтролировать работу сервера.
Грамотное проведение инвентаризации корпоративной сети, определение её параметров и рабочих характеристик, составление и анализ эталонного графика работы сети позволяет выявлять и определять необходимые подходы в её модернизации. Процесс модернизации затрагивает такие компоненты сети как: модернизация архитектуры и среды передачи, модернизация серверов, модернизация рабочих станций, модернизация активного сетевого оборудования. Следует учитывать, что срок морального старения большинства продуктов и решений в области корпоративных информационных технологий, как считают большинство специалистов, составляет примерно 3 - 5 лет.[1]
Разработан и реализован Web-узел. При разработке Web-узла учитывались следующие требования: главная страница должна быть краткой, нести максимум информации о БНЦ СО РАН, содержать совокупность навигационных кнопок, позволяющих переходить на другие страницы; доступ к Web-узлу должен быть рассчитан на посетителя, использующего как коммутируемое соединение с Internet c пропускной способностью 28,8 Кбит/с, так и посетителя, использующего ЛС с пропускной способностью 100Мбит/с, построенную на Intranet технологии, размер страницы должен быть рассчитан на посетителя с экраном в 14" и с разрешением 800(600) пикселей, графические изображения должны быть небольшими (не более 30Кб), чтобы до предела сократить время их загрузки, страница должна сохранять смысл и при отключении графики, если посетитель, из-за длительного времени загрузки страницы, отключает графический режим для ускорения работы, число цветов должно быть стандартизовано и ограниченное на всех графических изображениях, чтобы до предела сократить время их загрузки, однотипная информация должна располагаться в одной и той же области на различных страницах, число областей страницы должно быть оптимальным 3-5, структура изложения материала должна быть такова, чтобы число ссылок на странице было не больше 7, все ссылки должны быть очевидными, страницы не должны быть анонимными. Подпись внизу должна содержать следующие элементы: знак авторского права, дату последней корректировки страницы или узла, адрес электронной почты, номера телефонной и факсимильной связи. Web-узел должен содержать: специализированное Web-приложение - поисковый сервер, журналы учета откликов посетителей и анализа работы Web-узла, должны быть предусмотрены все средства защиты Web-узла.[5,6]
На Web-узле БНЦ СО РАН размещена информация по материалам отчетов академических институтов, Отдела физических проблем, научных подразделений, представляемых в СО РАН. На Web - страницах представлена информация: структура БНЦ СО РАН, Президиума, институтов, ОФП, научные программы, темы, проекты, научные результаты, публикации, международные связи, связи с вузами, информация об экспедициях, конференциях, стационарах, новостях и т.п.
Адрес Web - сервера: http://bsc.buryatia.ru. Доступ для внешних посетителей осуществляется через proxy-redirect.
При создании Web- и файл серверов, распределенного банка данных использовалась технология RAID, базирующаяся на трех основных методах записи и защиты информации: распределение последовательности сегментов данных по дискам с определенной циклической очередностью (поочередное размещение), зеркальное отражение дисков, вычисление контрольных сумм. Поочередное размещение позволяет создавать большие тома и ускорять выполнение операций ввода-вывода, зеркальное отражение накопителей и вычисление контрольных сумм приводит к появлению избыточности информации, обеспечивающей восстановление утраченных в случае сбоя данных. Используется архитектура RAID уровня 4, массив RAID состоит из трёх дисков, подключенных к контроллеру AMI Raid. В системе RAID уровня 4 по дискам распределяются информационные блоки значительного размера. Это дает возможность выполнять несколько разных запросов на чтение одновременно. Поскольку в массиве RAID уровня 4 вся контрольная информация сосредоточена на одном (последнем) диске, данный массив не может осуществлять несколько операций записи одновременно, так как в каждой такой операции участвует не только информационный, но и контрольный диск, на который записываются новые контрольные суммы. Предполагается осуществить переход на систему RAID уровня 5, который считается самым сложным из первых шести уровней. На дисках системы RAID уровня 5 поочередно размещаются большие блоки данных, но в отличие от системы RAID уровня 4 контрольная информация распределяется по всем дискам массива. Для первой "полосы" сегментов данных код четности может быть записан на последнем диске массива, для второй - на предпоследнем и т.д. Это позволяет выполнять несколько операций одновременно. Массивы RAID уровня 5 обладают высокой производительностью при выполнении операций чтения и записи и хорошо подходят для реализации Web- и файл-серверов. [11]
Методы и подходы, используемые при реализации сети, основаны на применении современных сетевых технологий: IP-технология, RAID-технология, intranet технология, основанная на технологии Web-серверов и Web-браузеров, на использовании для защиты сети firewall и proxy-сервера, на реализации схемы сети с двумя выделенными, территориально разнесенными серверами, на обеспечении удаленного доступа через proxy-redirect. Для реализации Распределенного Банка Данных (РБД), Web- и файл-серверов используется технология RAID, которая базируется на трех основных методах записи и защиты информации: распределение последовательности сегментов данных по дискам с определенной циклической очередностью (поочередное размещение), зеркальное отражение дисков, вычисление контрольных сумм. [11]
Таким образом, проведена инсталляция IP - порта, оптимизация технических и программных параметров интегрированной сети, кроме того, разрабатываются и корректируются интерфейсные формы для пользователей БД, разрабатываются прикладные программы для наполнения БД, структура предопределенных запросов к БД, наполнение гипертекстовых страниц нижнего уровня, наполнение страниц верхнего уровня, создаются гипертекстовые страницы с научными публикациями сотрудников БНЦ СО РАН, создаётся каталог ресурсов Internet на базе специальных поисковых и информационных серверов, подключен Web-сервер БНЦ СО РАН, осуществляется его загрузка информационными файлами БД и Web-страницами институтов, музея, центральной научной библиотеки, издательства, ОФП, метрологической службы.
Ваши комментарииОбратная связь |
![[SBRAS]](/gif/s_sigma.gif)
[Головная страница] [Конференции] [СО РАН] |
© 2002, Сибирское отделение Российской академии наук, Новосибирск
© 2002, Объединенный институт информатики СО РАН, Новосибирск