Allied Telesyn
Коммутаторы Rapier "i" компании Allied Telesyn являются одним из наиболее функциональных решений во всем спектре выпускаемого ею оборудования и поддерживают функции третьего и четвертого уровней. Устройства выпускаются в вариантах на 24 и 48 портов Fast Ethernet и имеют два слота для гигабитных модулей расширения, в которые можно установить полный набор гигабитных интерфейсов: ЮООВаве-БХдля многомо-дового оптоволокна, 1000Base-LX для одномодо-вого и "медный" модуль 1000Base-T.
Рассматриваемые коммутаторы построены на базе 200 МГц RISC-процессора и имеют 2 Мб буферной памяти. Производительность устройств на втором и третьем уровнях составляет 10 млн. кадров в секунду при пропускной способности шины коммутатора в 19,2 Гбит/с, то есть коммутатор является полностью не блокируемым. Устройство поддерживает до 8192 МАС-адресов и 2048 IP-адресов.
Среди возможностей второго уровня коммутаторов Rapier "i" - поддержка виртуальных ЛВС (до 255) на основе стандарта 802.1Q, объединение портов (802.3ad) для создания высокоскоростных каналов с серверами или магистралью, резервирование соединений на основе протокола остового дерева (802.1D) и функция зеркалирования портов для мониторинга трафика и подключения различных сетевых анализаторов.
Все устройства третьего уровня компании Allied Telesyn работают под общей операционной системой AlliedWare. Данное ПО поддерживает протоколы статической и динамической маршрутизации - RIP, RIPv2, OSPFv2 и VRRP (Virtual Router Routing Protocol).
В устройства серии Rapier "i" может быть включен ряд новых сетевых возможностей при покупке дополнительных лицензий - Full Layer 3 upgrade, Advanced Layer 3 upgrade и Security upgrade. Лицензия Full Layer 3 upgrade позволяет маршрутизировать такие протоколы, как IPX, Ap-pleTalk, а также многоадресный трафик (DVMRP, PIM-DM/SM), в то же время она обеспечивает резервирование полосы пропускания (RSVP).
Allyed Telesyn Rapier 48i поддерживает широкий набор протоколов маршрутизации
Cisco Catalyst 3750 - новый стекируемый коммутатор от сетевого гранда
Лицензия Advanced Layer 3 upgrade обеспечивает возможности операторского класса: поддержку IPv6, маршрутизацию BGP4, OSI и балансировку нагрузки (Load Balancing). Лицензия Security upgrade обеспечивает установку программного межсетевого экрана, который имеет ICSA-сертификат, и поддерживает работу с протоколами IPSec, L2TP.
Устройство Rapier 24i имеет слот для установки WAN-модулей расширения NSM (Network Services Module), что обеспечивает возможность использования стандартных PIC-карт (Port Interface Cards) компании Allied Telesyn с физическими интерфейсами E1/T1, ISDN PRI, ISDN BRI. На них поддерживается работа синхронных/асинхронных протоколов передачи, Frame Relay и X.25.
В коммутаторе есть целый ряд средств для предоставления необходимого качества обслуживания и оптимизации пропускной способности: управление потоком 802.Зх, приоритезация трафика 802.1р (четыре очереди на каждый порт), обработка полей IP-TOS, анализ заголовков TCP и фильтрация многоадресного трафика (IGMP, PIM-DM/SM).
Широкие возможности управления являются отличительной чертой коммутаторов серии Rapier "i": присутствует поддержка SNMP и RMON, управления через консоль, TELNET, вэб-интерфейс и защищенное соединение (SSH v2.0), аутентификация на базе RADIUS. Также надо отметить функцию управления пропускной способностью портов с шагом в 64 Кбит/с для абонентских портов и в 1 Мбит/с для магистральных гигабитных портов.
Cisco Systems
В апреле 2003 года небезызвестная компания Cisco Systems представила новую линейку стекируемых коммутаторов третьего уровня Catalyst 3750 (они пришли на смену устройствам серии 3550), которые предназначены для работы в крупных корпоративных локальных сетях на уровне рабочей группы, а также для работы в сетях небольших компаний и филиалов.
Catalyst 3750 поставляется в конфигурации на 24-48 портов Fast Ethernet и с четырьмя посадочными местами для SFP-модулей (small form-factor pluggable) Gigabit Ethernet. Коммутаторы с индексом G имеют 12-24 порта Gigabit Ethernet и SFP-модули.
Кроме того, 48-портовая модель с индексом PS оснащена поддержкой электропитания абонентских устройств по Ethernet согласно стандарту 802.3 af, а для гигабитных версий коммутатора недавно выпущен интерфейс 10 Гбит/с Ethernet.
Catalyst 3750 имеет производительность 13,1 млн. кадров в секунду для 48-портовой Fast Ethernet-версии, и до 17,8 млн. кадров в секунду для 12-портовой Gigabit Ethernet-версии.
Заслуживает особого внимания новая фирменная технология StackWise, которая обеспечивает объединение в стек с горячей заменой и резервированием до 9 коммутаторов серии 3750 (до 468 Fast Ethernet-портов или до 252 Gigabit Ethernet) с общей пропускной способностью шины между коммутаторами 32 Гбит/с, что намного больше, чем у технологии GigaStack (1 Гбит/с), применявшейся в устройствах серии Catalyst 3550.
Технология StackWise позволяет создать стек, который бы функционировал как один маршрутизирующий коммутатор. При этом одно из устройств является главным (master), и его таблицы маршрутизации распространяются на остальные устройства. Если главный коммутатор отключается или на нем возникает сбой, другой коммутатор может взять на себя его функции. При установке в стек нового устройства конфигурация программного обеспечения, используемая другими коммутаторами, может быть воспроизведена на нем автоматически. Управление стеком через единый IP-адрес поддерживается для выполнения таких функций, как обнаружение отказов, создание и модификация VLAN, управление QoS и безопасностью.
Функции сетевой безопасности и качества обслуживания коммутаторов Catalyst 3750 и предыдущей серии Catalyst 3550 во многом схожи. Устройства линейки 3750 поддерживают широкий набор функций по обеспечению безопасности и контроля доступа, включая списки доступа (ACL), аутентификацию пользователей (802.1х), безопасность на уровне порта (port-level security), индивидуальный контроль за сетевыми сервисами.
Коммутаторы способны выполнять интеллектуальные функции, например, классификацию и фильтрацию трафика по следующему набору признаков: MAC/IP/TCP/UDP-адрес или порт, поле IP-TOS, метки 802.1р; также они могут производить ограничение пропускной способности портов с шагом в 8 Кбит/с (rate-limiting), фильтрацию и управление многоадресным трафиком (IGMP). Все это обеспечивает предоставление расширенного качества обслуживания в корпоративной сети.
Базовые функции маршрутизации включают в себя высокопроизводительную маршрутизацию IP-трафика (протоколы RIPv1, RIPv2). Покупка и установка набора ПО Enhanced Multilayer Image (EMI) обеспечивает в корпоративной сети следующие возможности: расширенную аппаратную однонаправленную (OSPF, IGRP, EIGRP, BGP4) и широковещательную (PIM-SM/DM, DVMRP) маршрутизацию, маршрутизацию между ВЛВС, трассируемые списки контроля доступа (RACLs), маршрутизацию с горячей заменой (HSRP - Hot Standby Router Protocol).
Отдельно следует отметить поддержку Catalyst 3750 больших кадров (Jumbo Frames) и маршрутизацию протокола IPv6 на аппаратном уровне.
Настройку Catalyst 3750 можно производить как через интерфейс командной строки (CLI), так и через вэб-интерфейс ПО Cluster Management Suite, которое включает в себя ряд "мастеров" конфигурации, упрощающих реализацию объединенных приложений и сетевых сервисов. Также можно использовать ПО CiscoWorks.
Enterasys Networks
Компания Enterasys, наследница некогда легендарного производителя Cabletron, представлена в этом обзоре недавно выпущенными коммутаторами для рабочих групп серии Matrix V2 -24-портовыми стекируемыми коммутаторами 10/100 Мбит/с с двумя модулями расширения, в которые могут устанавливаться либо гигабитные модули 1000Base-LX/S)^ или LH (до 70 км по од-номодовому оптоволокну), либо модули стекиро вания. В стек можно установить до восьми устройств, получив таким образом до 192 абонентских портов; пропускная способность шины стекирования составляет 2 Гбит/с.
Enterasys Matrix V2 — типичный современный коммутатор для рабочих групп
Производительность внутренней шины коммутатора составляет 9 Гбит/с, что обеспечивает суммарную производительность 6,6 млн. 64-байтных кадров в секунду, то есть он полностью не блокируемый. Объем буферной памяти составляет 32 Мб, а таблицы МАС-адресов - 8000 записей.
Коммутатор имеет 24 порта 10/100 Мбит/с с автоматическим определением скорости и режима дуплекса. Для соединений "коммутатор-коммутатор" или "сервер-коммутатор" (802.3ad) в высокопроизводительный дуплексный "транк" могут быть объединены до четырех 100 Мбит/с портов или двух гигабитных. Коммутатор поддерживает до 255 ВЛВС по стандарту IEEE 802.1 Q, а также алгоритм быстрого остового дерева для резервирования соединений (IEEE 802.1w).
На всех портах поддерживается управление потоком IEEE 802.3x и приоритезация трафика 802.1р (четыре очереди на порт). Коммутатор способен автоматически классифицировать и устанавливать приоритет трафику, поступающему в сеть, на втором-четвертом уровнях по МАС-и IP-адресу, полю DSCP, номеру TCP/UDP-порта, полю Ethertype. Также коммутатор позволяет управлять пропускной способностью портов (с шагом в 1 Мбит/с для абонентских и 8 Мбит/с для магистральных) и проводить фильтрацию многоадресного трафика (IGMP snooping).
Управлять устройством можно как по SNMP, так и через вэб-интерфейс и командную строку, при этом возможен безопасный удаленный доступ по протоколам SSH и SSL. Говоря о безопасности, также следует отметить поддержку аутентификации пользователей (802.1x) и расширенных списков доступа (ACL).
Fastcomutat
Hewlett Packard
Известной "козырной картой" компании HP до недавнего времени были модульные коммутаторы для рабочих групп, например, ProCurve Switch 41 00gl, но в октябре 2003 года компания HP представила новую линейку стекируемых моноблочных управляемых гигабитных коммутаторов третьего уровня HP ProCurve Switch 2800, которая состоит из двух основных продуктов:
Switch 2824 - 20 портов 10/100/1000 Мбит/с Ethernet и четыре "двойных" порта 10/100/1000 Мбит/с, позволяющих установку оптических модулей mini-GBIC; Switch 2848 - 44 порта 10/100/1000 Мбит/с Ethernet и четыре "двойных" порта.
Эти устройства предназначены для подключения станций рабочей группы на скоростях вплоть до 1000 Мбит/с, что будет важно для пользователей, часто работающих с файлами большого размера.
Коммутатор Switch 2848 выполнен в корпусе для монтажа в стойку высотой 1 U и имеет четыре свободных разъема для установки дополнительных четырех интерфейсов 1000Base-SX/LX/LH, оснащенных разъемами типа LC для оптического волокна. Для обеспечения высокого коэффициента готовности в коммутаторе предусмотрено резервирование блоков питания.
Пропускная способность шины коммутатора составляет 96 Гбит/с, что обеспечивает обработку до 71,4 млн. 64-байтных кадров в секунду, то есть коммутатор является полностью не блокируемым. В стек можно объединить до 16 коммутаторов, которые будут представлять собой единое устройство с общим IP-адресом для управления.
Функции IP-маршрутизации в рассматриваемых коммутаторах реализованы на базовом уровне: обеспечивается автоматический выбор одного из 16 заранее заданных маршрутов. Возможно, в будущем HP добавит в устройство поддержку динамических протоколов маршрутизации. Чтобы ограничить передачу группового широковещательного трафика (например, видео), в сети используется фильтрация протокола группового вещания IGMPv2.
В коммутаторе реализована поддержка до 60 ВЛВС на базе стандарта 802.1Q, кроме того, обеспечивается аутентификация пользователей, подключенных к портам коммутатора по протоколу IEEE 802.1x.
HP 2824: все абонентские карты являются гигабитными
Также можно объединять порты коммутатора по стандарту 802.3ad и Cisco Fast EtherChannel, что позволяет повысить пропускную способность магистральных линий связи. Для резервирования сетевых соединений используется протокол остового дерева (IEEE 802.1D) с быстрой сходимостью (IEEE 802.1w).
Приоритезация трафика поддерживается только на канальном уровне - на базе стандарта 802.1р. Управление потоками кадров возможно в дуплексном режиме согласно стандарту 802.3х.
Существует несколько различных способов управления коммутатором: через SNMP, вэб-ин-терфейс, консоль (при удаленном управлении можно устанавливать защищенное соединение по протоколам SSH и SSL). Также поддерживается мониторинг (четыре группы RMON, SMON) и протокол идентификации устройств CDP (Cisco Discovery Protocol).
Коммутаторы Fast/Gigabit Ethernet для "большой" сети
Александр Нежуренко,
Не так давно на рынке появился ряд новых моделей коммутаторов, предназначенных для построения ЛВС крупных организаций. Каковы же особенности и возможности этих моделей?
Сегодня с корпоративного рынка сетевого оборудования постепенно исчезают "простые" коммутаторы Ethernet, а современные устройства наделяются интеллектом, способным обеспечивать такие сложные функции, как классификация трафика, управление полосой пропускания, обеспечение качества обслуживания. Все большее распространение в сети приобретают коммутаторы Ethernet, поддерживающие функции маршрутизации, и если раньше такими возможностями производители наделяли исключительно магистральные устройства, то сейчас функциями маршрутизации могут похвастаться и коммутаторы для рабочих групп.
Говоря о производительности современных устройств, следует отметить, что они в большинстве своем обеспечивают неблокируемую коммутацию как на втором, так и на третьем уровне модели OSI благодаря применению специализированных микросхем (ранее устройства далеко не каждого производителя и далеко не все модели обладали такими возможностями).
Основная причина перекладывания функций маршрутизации на коммутаторы в ЛВС достаточно очевидна: большинство современных маршрутизаторов доступа просто не в состоянии справляться с трафиком не только в сотни, а уже даже в тысячи Мбит/с, а использование в ЛВС мощных магистральных маршрутизаторов является непозволительной роскошью.
Коммутаторы выполняют маршрутизацию на аппаратной базе, поэтому в них в подавляющем большинстве случаев невозможно создавать сложные правила фильтрации и маршрутизации трафика. Таким образом, коммутаторы третьего уровня на сегодняшний день обеспечивают высокую (по сравнению с традиционными маршрутизаторами) скорость маршрутизации протоколов IP/IPX/AppleTalk и малую задержку данных, при этом поддерживается широкий набор протоколов маршрутизации: RIP, RIPv2, OSPF и BGP, а также протоколы многоадресного вещания: IGMP, PIM и DVMPR.
Еще одной очень важной функцией в современных корпоративных коммутаторах является возможность аппаратной классификации поступающего трафика на третьем-четвертом уровнях модели OSI (и даже выше для некоторых типов устройств).
Это позволяет предоставлять гарантированное качество обслуживания критически важным корпоративным приложениям, таким как, например, IP-телефония или трафик SQL-серверов, что просто невозможно реализовать только средствами приоритезации трафика на втором уровне. Классификация трафика на сетевом уровне производится по значению поля TOS IP-пакета, однако это не позволяет различать трафик протоколов высших уровней. Использование классификации трафика на транспортном уровне позволяет интеллекту коммутаторов различать уже не только отдельные IP-пакеты с различным установленным классом обслуживания (поле TOS), но и различные типы вышестоящих протоколов (например, HTTP, FTP, SMTP) благодаря анализу заголовков ТСР-па-кетов. При этом коммутатор может полностью освободить системного администратора от рутинной работы, связанной с назначением приоритетов трафику на канальном и сетевом уровнях, самостоятельно устанавливая приоритеты в зависимости от типа вышестоящих протоколов. Классификация трафика по приложениям и/или пользователям требует перехода на еще более высокие уровни и позволяет управлять трафиком приложений. Так, например, некоторые современные коммутаторы способны блокировать трафик потокового видео или аудио для обеспечения своевременной доставки пакетов критически важных приложений - например, электронной почты. Говоря об аппаратных возможностях современных корпоративных коммутаторов уровня рабочей группы, следует отметить, что в них уже стала стандартной поддержка портов Gigabit Ethernet для различных сред передачи -меди и оптики. Причем поддержка различных оптических интерфейсов становится все более важной в связи с широкой экспансией оптических технологий в современные СКС. Еще одной аппаратной новинкой в современных коммутаторах является поддержка электропитания по медным кабелям Ethernet стандарта 802.3af. Появление этой технологии вызвано необходимостью обеспечения централизованного питания таких популярных сетевых устройств, как аппаратные IP-телефоны и беспроводные точки доступа.Затронув тему IP-телефонии, надо сказать, что некоторые современные коммутаторы могут оснащаться модулями VoIP-шлюзов, обеспечивающими их прямое подключение к телефонной сети общего пользования.
В приведены характеристики коммутаторов.
Особого внимания заслуживает класс 48-пор-товых коммутаторов Fast Ethernet, оснащенных портами Gigabit Ethernet и поддерживающих ряд современных функций третьего и четвертого уровней. Интересно отметить, что в этом классе функции третьего уровня из-за своей дороговизны присутствуют не у всех устройств, так как в сегменте из 48 локальных узлов в маршрутизации в большинстве случаев нет необходимости, зато использование функций четвертого уровня позволяет обеспечить качество обслуживания трафика критически важных приложений.
Nortel Networks
Компания Nortel Networks относительно недавно представила новую серию стекируемых гигабитных коммутаторов третьего уровня BayStack 5510, пришедших на смену популярной линейке BayStack 470.
Модульный коммутатор BayStack 5510-48Т имеет 48 "медных" портов 10/100/1000 Мбит/с с автоопределением скорости и типа подключаемых устройств (MDI/MDI-X), два разъема для установки SFP-гигабитных интерфейсных модулей (GBIC) и, как в 470-й серии, встроенный модуль для стекиро-вания. В стек можно объединить до 8 устройств, таким образом получив до 384 портов Gigabit/Fast Ethernet.
Архитектура стека с резервированием
Коммутатор может обрабатывать до 71,4 млн. 64-байтных Ethernet-кадров в секунду, то есть является полностью не блокируемым, и он практически единственный из рассматриваемых устройств, который поддерживает до 16 000 МАС-адресов.
Особо следует отметить способ объединения в стек данных коммутаторов: можно объединить до 8 устройств, причем стековый модуль на каждом коммутаторе имеет два интерфейса, один из которых подключается к следующему в стеке устройству, а другой - к предыдущему; у верхнего и нижнего коммутатора в стеке свободные порты также соединены, так что образуется своеобразное кольцо (см. рис.).
При этом сама шина стекирования является двунаправленной, а ее пропускная способность составляет 40 Гбит/с в каждом направлении. Такое решение позволяет обеспечить работоспособность стека даже при полном выходе из строя одного из коммутаторов.
Остановимся подробнее на механизмах качества обслуживания, реализованных в коммутаторе. BayStack 5510 может маркировать Erther-net-кадры в соответствии с различными классами обслуживания в зависимости от следующих параметров: значение поля TOS IP-пакета; IP-адрес источника/назначения или подсети; тип протокола (TCP/UDP/IGMP); значение TCP/UDP-адреса; тип Ethernet-кадра (IP/IPX); номер ВЛВС. При этом может быть сконфигурировано до 4000 виртуальных ЛВС на базе портов или MAC-адресов, также поддерживается стандарт 802.1 Q.
Сопоставление значения поля TОS IP-пакета и метки 802.1р Ethernet-кадра в коммутаторе выполняется аппаратно на базе заказных микропроцессоров (ASIC). Настройка правил QoS выполняется через удобный графический интерфейс, что позволяет сделать этот процесс значительно проще по сравнению с использованием режима командной строки.
Также можно устанавливать ограничения интенсивности поступающего от пользователя трафика по типам QoS, на магистральных портах коммутатора поддерживается функция управления полосой пропускания - так называемый traffic shaping.
Благодаря поддержке в коммутаторе функций качества обслуживания (QoS) и фильтрации многоадресного трафика IGMP (например, видео) возможна интеграция голоса, видео и данных в одной сети. BayStack 5510, в отличие от предыдущей линейки (470), поддерживает аппаратную маршрутизацию трафика по протоколам RIP(v1/v2) и OSPF.
Особое внимание разработчики устройства уделили надежности и безопасности, для чего были приняты соответствующие меры. Каждое устройство в стеке хранит полную информацию о конфигурации стека в целом, что позволяет ему функционировать даже в случае выхода из строя какого-либо из компонентов, а также восстанавливать конфигурацию при установке нового устройства.
Фирменная технология MultiLink Trunking позволяет подключать коммутаторы друг к другу или же сервер к стеку, используя несколько физических линий, являющихся одним соединением с точки зрения логической структуры сети. Для протокола остового дерева такое соединение также является одним логическим каналом, поэтому в случае обрыва одной из физических линий внутри соединения реконфигурации сети не происходит. Таким образом, MultiLink Trunking позволяет организовывать высоконадежные соединения между коммутаторами и серверами с малым временем восстановления (менее секунды).
Для организации одного MultiLink Trunking-co-единения могут быть использованы порты разных коммутаторов, установленных в один стек. Таким образом, даже при выходе из строя одного из коммутаторов стека работа критически важных сетевых приложений не нарушится.
Еще больше возможностей дает технология Split MultiLink Trunking, позволяющая организовать несколько активных MultiLink Trunking-co-единений к различным магистральным коммутаторам, при этом оба соединения являются активными и между ними обеспечивается балансировка нагрузки. Такое решение позволяет исключить в сети так называемую "единую точку отказа".
В BayStack 5510 обеспечивается поддержка нескольких копий протокола остового дерева (до 256) для резервирования соединений и распределения нагрузки в ЛВС. Кроме того, возможна установка в коммутаторы резервного блока питания с автоматическим переключением.
Коммутатор поддерживает аутентификацию пользователей по стандарту 802.1х, а также последнюю версию протокола SNMP - SNMPv3, что также обеспечивает повышенную безопасность.
Управление коммутаторами BayStack 5510 осуществляется с помощью платформы управления Optivity производства Nortel Networks. Для управления используется протокол SNMP, а мониторинг и анализ сетевого трафика обеспечиваются поддержкой протокола RMON (четыре группы на каждом порту - Alarms, Events, History и Statistics). В устройстве реализовано вэб-управление, что позволяет сетевому администратору получать информацию от коммутатора, используя любой интернет-браузер; также возможно безопасное удаленное подключение по протоколу SSH.
К несомненным преимуществам устройства, кроме оптических модулей 1000Base-SX/LX, можно отнести наличие интерфейсов с волновым мультиплексированием 1000Base-CWDM, обеспечивающих расстояния передачи данных по од-номодовому оптоволокну вплоть до 70 км.
В ближайшем будущем компания намерена оснастить коммутаторы BayStack 5510 интерфейсами 10 Гбит/с Ethernet, а также поддержкой питания по Ethernet-проводке (802.3af) на "медных" интерфейсах.
Om
На наш взгляд, продукция этого производителя сегодня занимает достаточно прочные позиции на рынке благодаря невысокой стоимости устройств по сравнению с другими "белыми" вендорами.
Для корпоративного рынка компания поставляет стекируемые коммутаторы SuperStack 3 серии 4400 и 4400SE с 24/48 портами 10/100Base-TX (существует версия и с 24-мя оптическими портами 100Base-FX для приложений типа Fiber-to-the Desk), которые имеют два отсека для модулей расширения.
Устройства линейки 4400SE отличаются отсутствием функций классификации и удаления нежелательного трафика и имеют, соответственно, меньшую стоимость, а вот коммутаторы 4400PWR отличаются возможностью электропитания абонентских устройств по Ethernet-проводке (стандарт 802.3af).
Основное преимущество этой линейки - конечно же, классификация и распознавание сетевого трафика. Коммутаторы способны классифицировать и фильтровать сетевой трафик по номерам портов протоколов TCP/UDP, IP-адресу источника, номеру физического порта и полю EtherType, что позволяет распознавать трафик протоколов IPX и AppleTalk.
Коммутатор обеспечивает маркировку кадров путем установки соответствующих полей кадра Ethernet (стандарт 802.1р) или IP-пакета (DSCP). Интересно, что если в коммутатор поступает уже маркированный кадр/пакет, устройство способно проверить правильность маркировки и при необходимости перемаркировать трафик, поступающий от пользователя, таким образом препятствуя возможным хакерским атакам.
3Com SuperStack 3 Switch 4400 обеспечивает как маркировку, так и перемаркировку кадров Ethernet
Своевременная доставка критически важного трафика обеспечивается благодаря наличию четырех очередей на каждый порт, которые обслуживаются по алгоритму типа Weighted Round Robin.
Что касается производительности рассматриваемых устройств, то они обеспечивают обработку до 6,6 млн. кадров в секунду для 24-пор-товой и до 10 млн. кадров в секунду для 48-пор-товой версии. Все модификации имеют компактный корпус высотой 1 U, а в два свободных слота могут устанавливаться модули расширения: 1000Base-T/-SX/LX и 100Base-FX, а также отказоустойчивые модули для объединения в стек.
В одном стеке может находиться до 192 портов Fast Ethernet, при этом допускается горячая замена устройств.
В коммутаторах есть возможность объединения портов по стандарту 802.3ad для создания единого высокоскоростного канала связи с другим коммутатором или сервером. Поддерживаются до 60-ти виртуальных локальных сетей на основе стандарта IEEE 802.1Q и резервирование соединений на основе "быстрого" протокола Spanning Tree IEEE (802.1w), время сходимости которого составляет около 1 с. Еще больше надежность сети повышает возможность использования портов различных устройств из стека для организации транкового соединения. Кроме того, в устройства могут устанавливаться дополнительные резервные блоки питания.
Следует отметить и поддержку аутентификации пользователей и администраторов по протоколу 802.1х с помощью внешнего RADIUS-сервера.
Устройство оснащено системой контроля и управления на основе SNMP, вэб-интерфейсом, зондом RMON, а также фирменным ПО 3Com Transcend Network Supervisor.
ПО SNMP-управления 3Com Network Supervisor позволяет сконфигурировать коммутаторы 3Com SuperStack 3 Switch 4400 для автоматического обнаружения критических видов трафика, например, электронной почты или данных SAP, и назначения их приоритетов внутри корпоративной ЛВС. Аналогично можно блокировать трафик нежелательных протоколов в сети, например, потокового аудио. При этом поддерживается уведомление администратора о системных событиях через электронную почту или SMS-сообщения.
Выбираем "невесту"
В заключение надо отметить, что сегодня существует три основных тенденции на рынке корпоративных коммутаторов. Первая основана на том, что все больше производителей оснащают свои изделия абонентскими гигабитными портами типа 1000Base-T, вторая тенденция проявляется в том, что даже те производители, которые раньше игнорировали технологию стекирования, обратились к ней - абсолютное большинство рассмотренных коммутаторов обладает поддержкой данной технологии. При этом всеми производителями применяются технологии, позволяющие обеспечить отказоустойчивость стека, что ранее было уделом избранных. Внедрение же технологии питания по Ethernet-проводке является третьей тенденцией.
Останавливаться на технологиях второго уровня в вышерассмотренных устройствах нет надобности, поскольку полный набор таких возможностей есть у всех производителей, а вот функциям третьего-четвертого уровней следует уделить особое внимание. Современный подход к проектированию высокопроизводительных локальных сетей подразумевает необходимость фильтрации и приоритезации трафика на входе в сеть, чтобы освободить от рутинной работы магистральные устройства.
Поэтому выбираемые коммутаторы должны как минимум поддерживать анализ полей IP-TOS, что позволяет предоставлять в ЛВС так называемое "расширенное качество обслуживания". Для сервис-провайдеров также будет интересно, поддерживает ли устройство ограничение/учет трафика на абонентских/магистральных портах. Поддержка протоколов IGMP, PIM и DVMPR позволит значительно снизить объем широковещательного трафика в сети при передаче мультимедийного трафика, например, потокового видео.
Не лишними будут и возможности маршрутизации, например, для передачи трафика между ВЛВС, при этом следует обратить внимание на то, поддерживает ли производитель только базовый набор протоколов, или же предоставляет расширенные функции, например, протоколы OSPF, BGP, IPX и Appletalk.
Что касается управления, то все устройства данного класса оснащены поддержкой SNMP, вэб-интерфейсом и зондом RMON. Например, BayStack 5110 компании Nortel Networks поддерживает четыре группы RMON на каждом порту. В последнее время все больше внимания в ЛВС уделяется вопросам безопасности, поэтому стоит обратить внимание на наличие таких технологий, как 802.1x, SSH и SSL.
Подводя итоги, отметим, что согласно данным отчета Dell'Oro Group, в 2004 году можно ожидать 7%-го роста рынка коммутаторов Ethernet. Более того, аналитики Dell'Oro прогнозируют ежегодное увеличение продаж вплоть до 2008 года. Специалисты Dell'Oro полагают, что наблюдаемое снижение цен на оборудование позволит клиентам приобретать модели с дополнительной функциональностью, такой как поддержка функций третьего-четвертого уровней, передача электропитания по кабелям Ethernet и др. Такая ситуация будет способствовать модернизации существующих сетей, а также появлению конвергентных инфраструктур, поддерживающих технологию VoIP.
Expand Networks
Линейку устройств Accelerator выпускает фирма Expand Networks, один самых крупных игроков в данном сегменте телекоммуникационного оборудования. Вообще говоря, Expand Networks — частная компания (среди ее основателей America Online, Comcast Interactive Capital и ряд частных инвесторов), ее головной офис расположен в США, а международный офис и подразделение разработки — в Тель-Авиве. Линейка Accelerator позиционируется как решение для оптимизации трафика в ERP-приложениях, для передачи голоса по протоколу IP, ориентирована на интернет- и ASP-провайдеров.
Все устройства линейки Accelerator используют фирменную технологию Enterprise Caching, которая, по сведениям производителя, позволяет повысить пропускную способность каналов на 100–400%, в зависимости от типа передаваемых данных. Среди задач, решаемых устройствами, — повышение производительности каналов связи для всех видов трафика (включая VoIP), предоставление информации, необходимой для эффективного управления сетью передачи данных (SNMP, RMON, RMON-2), управление очередями в сети для предотвращения конфликтов на участке LAN/WAN (Queuing и Congestion Management).
Фирменная технология Enterprise Caching включает несколько алгоритмов, каждый из которых удаляет избыточность, существующую в любом потоке данных на сети. Как показывает практика, эффективность применения технологии тем выше, чем однотипнее передаваемые данные. Среди алгоритмов, лежащих в основе Enterprise Caching: Selective Caching (SC), Vertical Data Analysis (VDA) и Adaptive Packet Compression (APC). Selective Caching (избирательное кэширование) представляет собой усовершенствованный алгоритм для устранения повторов при передаче однотипных данных. Vertical Data Analysis (вертикальный анализ данных) оптимизирует информацию, содержащуюся в заголовках пакетов, уменьшая размер заголовка каждого пакета, проходящего через устройство. Adaptive Packet Compression (адаптивное сжатие пакетов) применяется в сочетании с VDA и SC для сжатия тех данных, которые не кэшируются или не оптимизируются с помощью VDA.
Благодаря соответствующим средствам устройства Accelerator можно использовать в качестве стандартного сетевого анализатора RMON. Система управления перегрузками, реализованная в оборудовании Expand Networks, предусматривает четыре алгоритма управления очередями: FIFO — First In, First Out (простейшая процедура хранения и пересылки пакетов), WFQ — Weighted Fair Queuing (справедливое распределение ресурсов буфера; WFQ предусматривает две категории трафика — большие и маленькие пакеты), PQ — Priority Queuing (приоритетному трафику предоставляется большая пропускная способность), CQ — Custom Queuing (распределение пропускной способности между отдельными типами трафика в соответствии с заданными правилами).
Устройства Accelerator могут быть подключены к сетям WAN или применяться в сети с топологией «точка-точка» (увеличение пропускной способности канала до 16 Мбит/с, и LAN — в данном случае можно не только оптимизировать трафик WAN-протокола, но и использовать каскадирование устройств, что позволяет увеличить пропускную способность канала до 50 Мбит/с.
Оборудование Expand Networks предусматривает несколько базовых линеек, которые отличаются между собой производительностью и объемами обрабатываемых каналов. Так, серия начального уровня Accelerator 1800 ориентирована на управление трафиком на удаленных площадках, подключенных по низкоскоростным каналам (до 256 кбит/с).
Accelerator 2750 и 2800 обеспечивают скорость трафика до 512 кбит/с и до 1 Мбит/с соответственно. Эти устройства разработаны как экономичное решение для малых и средних корпоративных пользователей, которые нуждаются в повышении производительности сети, но не могут позволить себе дополнительные регулярные расходы на увеличенную пропускную способность. Они могут применяться в центральных офисах компаний, а также в филиалах крупных корпораций в сочетании с устройствами Accelerator старших моделей в центральном офисе.
Серия Accelerator 4000 относится к категории акселераторов для последовательных каналов WAN и позволяет повысить пропускную способность выделенных линий и сетей Frame Relay.
Данные устройства оснащены последовательными интерфейсами, независимыми от используемых протоколов третьего уровня.
Серия 4800 обеспечивает суммарную полосу пропускания до 6 Мбит/с (оптимизированного трафика). Это оборудование допускает каскадирование нескольких устройств в настольном варианте и в стойке. Для удобства управления оснащено клавиатурой и ЖК-дисплеем на передней панели.
Однако по-настоящему масштабируемые устройства начинаются с линейки Accelerator 6800 — это решение с производительностью от 2 до 45 Мбит/с и поддержкой Gigabit Ethernet.
На верхнем уровне находится система Accelerator 9000 — модульное решение с производительностью от 20 до 45 Мбит/с и поддержкой Gigabit Ethernet. Она поставляется в качестве заказного продукта, сконфигурированного и протестированного в заводских условиях согласно индивидуальным требованиям заказчика.
ПО для средних и младших моделей линейки обеспечивает оптимизацию пропускной способности сети подключением оборудования только к ЛВС, при этом устройства поддерживают как HSRP, так и VRRP, естественно, они совместимы с другими моделями. Такое подключение, в частности, дает возможность оптимизации трафика при организации многоканального соединения маршрутизаторов — Multilink PPP. Подключение устройств к ЛВС также обеспечивает возможность оптимизации пропускной способности каналов WAN при работе с зашифрованными данными и организации сетей VPN.
Недавно Expand Networks представила модель Accelerator 1820, предназначенную для небольших компаний, которые для связи используют технологии DSL. Эта модель поддерживает технологию TCP Spoofing, а также обеспечивается кэширование DNS-информации и часто используемых HTTP- и FTP-объектов. Процедура инсталляции специально упрощена, чтобы модель можно было использовать на предприятии, где нет специально обученного IT-персонала.
Помимо описанных решений, Expand Networks поставляет акселератор HTTPS-трафика (серия HTTPS Accelerator) — оно предназначено для центров обработки данных и специально адаптировано для нужд предприятий, которым требуется безопасная работа веб-приложений.Среди его дополнительных преимуществ: улучшенное время отклика для защищенных потоков трафика HTTPS.
Оптимизация IP-трафика
Михаил Северов, "Экспресс электроника", #05/2005
Одна из примет сегодняшнего дня — рост количества информации и, соответственно, затрат на ее передачу и обработку. В то же время в трафике данных все более важное место занимает мультимедиа, а интеграция веб-технологий в бизнес-процессы компаний приводит к экспоненциальному увеличению объемов передаваемых по информационным каналам данных. Пропускная способность информационных систем, спроектированных в расчете на линейную схему развития, увы, становится узким местом, способным не только значительно снизить темпы развития, но и поставить под удар эффективность деятельности всей компании.
Сегодня многие компании неизбежно сталкиваются с необходимостью увеличить пропускную способность своей сети или арендуемых каналов связи. Там, где ранее использовались каналы со скоростью 128–256 кбит/с, сегодня этого уже не достаточно. Что делать в данной ситуации? Будет ли увеличение скорости оптимальным решением, с учетом роста арендной платы при переходе на более производительный канал? А если такие каналы связывают удаленные офисы и филиалы, расходы увеличатся еще больше. Кстати, по оценке Gartner Group, траты на услуги распределенных сетей будут расти в среднем на 7% в год. Немудрено, что компании ищут пути повысить эффективность своих сетей.
В случае если вы арендуете канал связи и невозможно сменить его, разумным решением может стать использование оптимизаторов (или акселераторов) пропускной способности. Последнее время устройства данного типа называют также универсальными мультиплексорами, хотя суть от этого не меняется: они подключаются в разрыв между серийным портом маршрутизатора и каналообразующим оборудованием (с обоих концов канала) и осуществляют динамическую компрессию трафика (данные, голос, факсы, трафик ЛВС), а также некоторые другие функции.
Преимущество акселераторов, в отличие, например, от устройств кэширования веб-трафика в том, что они адаптивно подстраиваются под разные виды IP-трафика и обеспечивают, в зависимости от типа пользовательского приложения, повышение пропускной способности сети в 2–4 и более раз.
Кроме того, они обеспечивают сжатие заголовков для трафика VoIP без использования процессорных ресурсов маршрутизаторов. Динамическое отслеживание состояния устройства, работающего в паре, позволяет включать и отключать электропитание на нем без падения канала с удаленными офисами, при этом после включения электропитания компрессия трафика автоматически восстанавливается.
Оптимизация пропускной способности стала результатом разработки и внедрения ряда технологий — селективного кэширования, анализа данных и адаптивной компрессии пакетов и т. д. Акселераторы обычно обеспечивают удаленное управление по протоколу SNMP, позволяющее интегрировать их в существующую систему управления. Они оснащаются управляющим ПО, обеспечивающим расширенные функции контроля и управления удаленными ЛВС, включая сбор статистики.
Базовые требования к таким устройствам следующие: акселераторы должны легко инсталлироваться; автоматически определять используемые протоколы и наличие на удаленном конце аналогичного устройства. Также они поддерживают технологию Frame Relay (и Frame Relay +), что позволяет обеспечить подключение к центру нескольких удаленных офисов (отделений). В условиях России такие решения особенно актуальны — с их помощью можно значительно повысить эффективность практически любых каналов, в том числе и спутниковых. Например, очень выгодно использовать данную технологию в сети, объединяющей удаленные офисы предприятия, где установлены автоматизированные рабочие места, работающие с одним и тем же приложением (например, система планирования ресурсов предприятия). Однако и менее регулярный трафик тоже может быть оптимизирован.
Подчеркнем, что акселераторы являются практически единственным решением проблем связи именно в тех случаях, когда отсутствует возможность повышения физической скорости в существующих каналах связи с полосой пропускания, недостаточной для пользовательских приложений.
Мы рассмотрим оборудование RAD Data Communications (семейство MAXcess), Expand Networks (линейка Accelerator) и PLANET Technologies (cервер управления нагрузкой BM-2155).
PLANET Technology
Компания PLANET Technology основана на Тайване в 1990 году и специализируется на разработке и производстве WAN/LAN коммуникационного оборудования. Для рассматриваемого нами сегмента производитель продвигает менеджер пропускной способности BM-2155. Устройство оборудовано двумя портами Ethernet 10/100/1000 для подключения к LAN, а также маршрутизатором WAN и поддерживает полосу пропускания до 155 Мбит/с на входящий и исходящий трафик (на каждый порт). Для управления пропускной способностью пакеты могут быть классифицированы по IP-адресу, подсети IP и номеру порта TCP/UDP. BM-2155 распознает наиболее распространенные протоколы передачи данных (всего заявлена поддержка более 30 протоколов). Администратор может определить политику, чтобы гарантировать максимальную полосу пропускания для связи, уровни для входящего/исходящего трафика в каждом классе, а также определить три уровня приоритета для каждой политики, для гарантии, что пакеты с высоким уровнем приоритета получат максимальную доступную пропускную способность. Кроме того, в каждой политике можно задать списком время активации или деактивации политики с шагом в 5 минут.
Также BM-2155 дает возможность измерить трафик в сети и выводит информацию в виде графиков, которые позволяют судить о том, как используется пропускная способность сети. В результате можно видеть всякий внутренний исходящий или входящий трафик, генерируемый хостом или сетевым сервисом.
Для обеспечения непрерывного доступа в Интернет, BM-2155 поддерживает функцию High Availability, которая позволяет параллельно устанавливать два BM-2155. Если активный BM-2155 откажет, то резервный BM-2155 станет активным, и будет управлять сетевой пропускной способностью, для обеспечения непрерывного доступа к сети.
RAD Data Communications
Израильская фирма RAD Data Communications, основанная в 1981 году, сегодня представляет собой группу из 13 независимых компаний. На рынке оптимизаторов трафика она продвигает продукты MAXcess 3000 и 3004, MAXcess 300 и 30. Они обеспечивают интегрированный доступ и организацию сетей для передачи данных, голоса, факса и трафика ЛВС. Работа устройств MAXcess основана на стандартной технологии Frame Relay; в них используется динамическое распределение пропускной способности и компрессия голоса. Оборудование поддерживает основной набор протоколов, включая Frame Relay, HDLC, асинхронный, синхронный, SNA, IP и IPX, а также аналоговые и цифровые интерфейсы.
MAXcess 3000 — мультипротокольный блок коммутации пакетов, содержащий до 12 модулей, которые поддерживают до 44 каналов телефонной/факсимильной связи и/или до 72 каналов передачи данных на скоростях до 1,536 Мбит/c. Устройство обеспечивает коммутацию трафика между различными платами ввода/вывода и маршрутизацию по протоколам IP и IPX/SPX. Блок позиционируется для использования в центральных узлах связи. Модель 3004 — более компактный 5-модульный вариант, поддерживающий до 30 каналов передачи данных или до 16 телефонных каналов.
Модель MAXcess 300 располагает пятью портами для передачи данных и четырьмя портами для телефонной/факсимильной связи. Один из портов может быть сконфигурирован для передачи данных (максимальная скорость 384 кбит/c) или как порт Ethernet для организации взаимодействия локальной сети с протоколами IP и IPX по протоколу PPP.
Модель MAXcess 30 рассчитана на два канала телефонной/факсимильной связи и два канала передачи данных, скорость передачи данных от 9,6 до 384 кбит/с. Эти устройства могут применяться в небольших офисах.
Во всех устройствах серии MAXcess используется технология компрессии речи, основанная на алгоритме MP-MLQ (стандарт G.723.1). При тестировании этого алгоритма в AT&T и France Telecom было установлено, что в полосе 6,4 кбит/с он обеспечивает качество передачи речи, аналогичное тому, которое достигается при использовании АДИКМ (адаптивная дифференциальная импульсно-кодовая модуляция, отечественный вариант названия компрессии речевого сигнала) — компрессия речи до 32 кбит/c.
Что касается встроенных средств управления, с помощью агента SNMP можно осуществлять управление из любого места, используя приложение RADview под Windows или систему сетевого менеджмента HP OpenView с GUI-интерфейсом, которая позволяет полностью задавать конфигурацию и вести мониторинг корпоративных сетей. Также возможна локальная настройка и диагностика с ASCII-терминала и дистанционное управление по протоколу Telnet.
Aytentifikpr
До последнего времени клиент IEEE
До последнего времени клиент IEEE 802.1X в операционных системах компании Microsoft 802.1x был изначально встроен только в ОС Windows XP, однако относительно недавно компания выпустила свободно распространяемое дополнение для Windows 2000, позволяющее и данной ОС производить сетевую аутентификацию по протоколу 802.1x.
ПК с установленными ОС семейства Windows 2000 Server и службой IAS может исполнять функции RADIUS-сервера, который, в свою очередь, выполняет аутентификацию и авторизацию клиентов, использующих протоколы EAP-TLS, PEAP-MS-CHAP v2 или PEAP-EAP-TLS.
Клиенты Microsoft 802.1x Authentication Client packages для Windows 98 и Windows NT 4.0 Workstation доступны партнерам компании Microsoft, которые имеют контракты по технической поддержке уровня Premier и Alliance. Однако если у вас нет соглашения о поддержке такого уровня, а клиентское ПО 802.1x для старых версий Windows или Linux просто необходимо, можно использовать утилиты от ряда независимых производителей, например, Funk Software ().
Автор выражает благодарность за помощь при подготовке статьи Ярославу Калитину, ведущему инженеру компании "Энран Телеком"
Настраиваем 802.1X
Для реализации схемы сетевой аутентификации 802.1X в качестве RADIUS-сервера использоента – Windows XP (о реализации 802.1X-клиентов в других операционных системах см. вставку на с. 38), а в качестве сервера доступа – коммутатор 3Com Superstack 3 Switсh 4400.
Панель управления IAS*сервера
Первый этап настройки протокола сетевой аутентификации 802.1X – установка Windows 2000 Server. При установке сервера необходимо указать, что он будет являться контроллером домена, и установить службы DNS и Active Directory. В нашем случае был создан тестовый домен TEST.
Следует обратить внимание на то, что протокол EAP-TLS для аутентификации пользователей не поддерживается в так называемом "смешанном режиме" (Mixed mode), который обеспечивает работу как Windows 2000, так и Windows NTклиентов. Поэтому необходимо перевести сервер в "родной" режим (Native mode).
Для этого в средствах администрирования Windows 2000 надо открыть ярлык Active Directory Users and Computers, а затем в появившемся окне выбрать правой кнопкой мыши домен (demo.test.local) и в его общих свойствах выбрать кнопку Сhange mode.
Добавляем клиент в IAS*сервер
Далее следует добавить несколько пользователей, которым будет разрешен доступ к сети (рис. слева). После того как пользователи будут созданы, необходимо установить, чтобы их пароли сохранялись с так называемым "реверсным шифрованием" (reversible encryption). Для этого в свойствах пользователей надо выбрать закладку Account и установить поле Store password using reversible encryption. После этого необходимо обязательно повторно ввести пароль для данного пользователя.
Теперь рассмотрим конфигурирование RADIUS-сервера. Прежде всего следует отметить, что операционные системы Windows NT/2000 Server содержат RADIUS-сервер, который, правда, именуется как служба IAS (Internet Authentication Service). Также существует ряд альтернативных RADIUS-серверов для различных операционных систем от сторонних разработчиков, например, от компании Funk Software ().
Установить и использовать IAS можно на системах Windows 2000 Server и NT Server 4.0. При этом IAS входит в состав Windows 2000, а для NT 4.0 IAS представляет собой один из нескольких компонентов пакета NT 4.0 Option Pack, который можно получить с вэб-узла компании Microsoft ().
Для установки IAS в Windows 2000 нужно запустить ярлык Add/Remove Programs из панели управления и выбрать в Windows Components раздел Networking Services, в котором необходимо установить "галочку" напротив Internet Authentication Serviсe. После установки IAS в разделе средств управления Windows 2000 станет доступным ярлык Internet Authentication Service, запустив который можно перейти к настройке данного сервиса.
Первым этапом конфигурирования является добавление нового сервера доступа в папку клиентов (в нашем случае это коммутатор 3Сom 4400), при этом необходимо ввести имя клиента (4400), его IP-адрес, имя производителя сетевого устройства (3Com) и общий секрет (shared secret).
Устанавливаем тип аутентификации: MD5 или Certificate
Следует учитывать, что в RFC 2865 предписывается использование 16 символов в "общем ключе". При этом для достижения энтропии (в теории информации энтропия отражает количество информации в последовательности символов), равной 128 бит, каждый отдельный символ должен иметь энтропию 8 бит.
Однако в случае, когда выбор символов ограничивается набором, вводимым на клавиатуре, энтропия 8-битного символа уменьшается до 5,8 бит. Поэтому чтобы добиться уровня энтропии в 128 бит, необходимо использовать как минимум 22 символа.
Настраиваем коммутатор 3Com 4400 для работы с 802.1X
В Windows 2000 максимально возможная длина общего секрета составляет 64 символа. Качественно улучшить результаты позволяют специальные программы для генерирования общего секрета. Следующим этапом является разработка политики удаленного доступа, для чего в разделе Remote Access Poliсy необходимо создать новый элемент, например, политики под именем VLAN1 и DEMO (рис. на с.35 посередине).
Далее в них необходимо добавить Windows- группы пользователей из Active Directory и разрешить им удаленный доступ в сеть. Затем в созданных политиках следует выбрать команду Edit profile, а в появившемся окне – поле Authentication. В последнем можно выбрать два типа EAP-аутентификации – MD5-challenge или Smart Card or other Certificate (рис. слева). В последнем случае на сервере необходимо установить службу сертификатов (CA), при этом она должна быть сконфигурирована как Enterprise root CA.
Проверяем работу служб аутентификации на клиентском ПК
Заключительным этапом является настройка коммутатора 3Сom 4400 для работы с RADIUSсервером. Для этого, подключившись к консольному порту данного устройства и используя какуюлибо терминальную программу, следует в режиме командной строки войти в текстовое подменю Security/Radius и выполнить команду Setup).
С помощью журнала событий проверяем параметры аутентификации
Далее коммутатор предложит ввести IP-адрес первичного и вторичного сервера аутентификации/учета и номера их UDP-портов, а также общий секрет – в нашем случае это 200.1.1.200 и 1812/1813. Здесь устанавливается максимальное количество попыток входа в сеть клиентов и промежутки времени между ними, а также действия на случай, если попытка войти в сеть оказалась неудачной, в нашей ситуации – отказ в доступе. Проверить установленную конфигурацию можно с помощью команды Summary, находящейся в этом же меню (рис. на с. 36 вверху). Также в коммутаторе нами была создана виртуальная ЛВС под именем VLAN 1 и профиль качества обслуживания под именем demo, который ограничивал максимальный трафик в сторону пользователя на уровне 1 Мбит/с. О том, зачем это понадобилось, будет рассказано далее.
Радиус в центре
Протокол RADIUS часто используется в различных сетевых устройствах (маршрутизаторы, модемные стойки, коммутаторы и т.д.) для аутентификации пользователей. Основной причиной этого является то, что сетевые устройства имеют обычно очень ограниченные аппаратные ресурсы и не могут хранить в памяти информацию о большом числе пользователей.
Протокол RADIUS обеспечивает централизованное управление пользователями, что очень важно в целом ряде случаев. Например, интернетпровайдеры могут иметь десятки и даже сотни тысяч пользователей, и разместить такой объем информации в памяти любого сетевого устройства просто невозможно. При этом число пользователей может постоянно варьироваться в течение суток, дня или часа. Именно поэтому необходимо иметь централизованную базу данных, где хранится информация обо всех пользователях. Следует отметить, что протокол RADIUS поддерживается практически всеми производителями сетевого оборудования, в то время как другие протоколы аутентификации удаленных пользователей не получили массовой поддержки со стороны производителей.
Протокол RADIUS также имеет встроенные механизмы защиты от целого ряда сетевых атак, включая использование сетевых сниферов для получения паролей пользователей. Основными соперниками RADIUS на поле удаленной аутентификации являются протоколы TACACS+ и LDAP. Протокол LDAP изначально не имеет никаких средств защиты от снифинга паролей, и хотя в протоколе TACACS+ (в отличие от RADIUS) шифруется весь трафик, а не только пользовательские пароли, он также не лишен ряда слабых сторон.
Формат RADIUS*сообщения
Структура сообщения протокола RADIUS представлена на рис.(RFC 2138), а значения и расшифровка поля Сode – в таблице под рисунком.
Поле Identifier длиной один байт устанавливается RADIUS-клиентом в ответ на запрос RADIUS-сервера. Поле атрибутов содержит имя пользователя и пароль и также позволяет передавать дополнительные данные о клиенте от RADIUS-сервера сетевым устройствам, к которым непосредственно подключены пользователи.
А теперь поговорим об основных режимах функционирования протокола RADIUS: о запросе доступа (Access-Request), в котором передается пароль и имя пользователя, после чего он сопровождается передачей сообщений разрешения или отказа в доступе (Access-Accept, Access-Reject). Далее для удобства будем называть стороны, участвующие в процессе аутентификации, "клиент" и "сервер". Сервер содержит базу данных пользователей и проводит их аутентификацию.
Для прохождения аутентификации на сервере клиент создает запрос доступа (Access-Request) и передает его RADIUS-серверу, поле атрибутов данного сообщения должно включать как минимум имя пользователя и пароль. Поле идентификации запроса доступа также создается клиентом. Этот процесс не регламентируется в самом протоколе RADIUS, но обычно поле реализуется как простой счетчик, который увеличивается на 1 при каждом новом запросе. Запрос доступа содержит 16-байтное поле запроса аутентификатора (Request Authenticator), которое генерируется случайным образом. Данное сообщение в целом не защищено, шифруются только поля атрибутов, содержащие имя пользователя и пароль. Для этого клиент и сервер имеют общий секрет. Общий секрет совместно с полем запроса аутентификатора используется для вычисления 16-байтного значения (с помощью хэш-функции MD5), которое затем благодаря логидиняется с паролем пользователя.
После получения сообщения запроса доступа RADIUS-сервер проверяет, обладает ли он общим секретом с клиентом, и если нет, то сообщение просто сбрасывается без уведомления клиента. Поскольку сервер также обладает общим секретом с клиентом, он может вычислить незашифрованное имя и пароль клиента (через процедуру, обратную описанной выше). Затем имя и пароль сверяются с пользовательской базой данных.
В случае успешной проверки имени и пароля пользователя сервер создает сообщение разрешения доступа и передает его пользователю, в обратном случае он получает сообщение об отказе в доступе. Оба сообщения имеют одинаковые номера идентификаторов, равные номеру идентификатора в запросе доступа клиента.Поле ответа аутентификатора (Response Authenticator) вычисляется с помощью применения хэш-функции MD5 над полями запроса аутентификатора и полями пакета разрешения доступа.
Добавляем пользователей в Active Directory
Когда клиент получает сообщение-ответ от сервера, он проверяет, отсылал ли ранее запрос с номером идентификатора, который указан в сообщении, и если нет, то оно просто сбрасывается. Далее клиент декодирует поле ответа аутентификатора с помощью процедуры, обратной вышеописанной, и сравнивает полученный результат с полем аутентификатора в поле запроса. Это гарантирует взаимную проверку клиента и сервера и делает практически невозможными хакерские атаки, основанные на подмене сервера.
А теперь стоит подробнее рассказать о практической реализации схемы сетевой аутентификации 802.1X.
Сетевая аутентификация на практике
Александр Нежуренко,
Недавно принятый стандарт сетевой аутентификации IEEE 802.1x нашел широкую поддержку у производителей сетевого оборудования и ПО. Примеры реализации этой технологии в ЛВС, а также ее основные составляющие — протоколы EAP и RADIUS — в центре нашего внимания.
Говоря о технологии сетевой аутентификации пользователей, стоит упомянуть протокол PPP, который наиболее часто используется для подключения клиентов по коммутируемым линиям к интернет-провайдерам. Протокол PPP также используется некоторыми сервис-провайдерами для аутентификации пользователей, применяющих xDSL- или кабельные модемы. Кроме того, PPP является частью протокола L2TP, на котором основан безопасный удаленный доступ к системам на базе Windows 2000 и выше.
Итак, протокол PPP изначально использовался для подключения удаленных пользователей, и поэтому он должен был иметь механизмы аутентификации пользователей. Первоначально поддерживалась только передача имени пользователя или пароля в незашифрованном виде, что не соответствует современным требованиям сетевой безопасности.
В последнее время для протокола были разработаны новые механизмы аутентификации под общим названием EAP (Extensible Authentication Protocol). Протокол EAP был создан с целью упразднения частных механизмов аутентификации и распространения стандартизированных подходов – схем типа "запрос-ответ" (challenge-response) и инфраструктуры, основанной на публичных ключах и пользовательских сертификатах. Стандартизация механизмов EAP позволила сделать процедуру аутентификации прозрачной для серверов доступа различных производителей. Например, при подключении пользователя к серверу удаленного доступа и использовании механизма EAP протокола PPP для аутентификации сам сервер доступа не должен знать или поддерживать конкретные механизмы или алгоритмы аутентификации, его задача в этом случае – лишь передать пакеты EAP-сообщений RADIUS-серверу, на котором фактически производится аутентификация. В этом случае сервер доступа исполняет роль посредника между клиентом и RADIUSсервером, в задачи которого входит передача EAP-сообщений между ними.
Стандарт 802.1x описывает процедуру передачи EAP-сообщений сервером доступа (например, коммутатором или беспроводной точкой доступа) в проводных или беспроводных Ethernet-сетях. При этом стандарт 802.1x напрямую упаковывает EAPсообщения в Ethernet-кадры, не применяя для их передачи протокол PPP. Это вызвано тем, что использовать протокол PPP во многих случаях не обязательно – например, при подключении Ethernet-рабочей станции, не поддерживающей протокол TCP/IP, или в том случае, когда использование протокола PPP является избыточным.
В стандарте 802.1x определяется три основных элемента: аппликант – пользователь, который нуждается в сетевой аутентификации; сервер аутентификации – обычно RADIUSсервер, который производит фактическую аутентификацию; аутентификатор – сетевое устройство, находящееся между аппликантом и сервером аутентификации и предоставляющее доступ в сеть, например, точка доступа или Ethernetкоммутатор.
Ключевым моментом здесь является то, что сетевые устройства – аутентификаторы – могут быть достаточно простыми, поскольку для реализации функций 802.1x в них требуются минимальные аппаратные затраты, в то время как весь интеллект концентрируется в RADIUS-сервере. Такая схема имеет дополнительные выгоды и позволяет организовать тесную интеграцию управления сетевым оборудованием и сетевым ПО, что значительно облегчает управление информационной системой большого предприятия в целом. Протокол передачи EAP-сообщений в стандарте 802.1x называется EAPOL (EAP encapsulation over LAN) и в настоящее время определен для Ethernet ЛВС, а также беспроводных сетей стандартов серии IEEE 802.11 и ЛВС, использующих технологии token ring и FDDI.
Схема работы протокола EAPOL достаточно проста. При этом можно выделить следующие основные режимы работы: Аутентификатор посылает запрос на аутентификацию (EAP-Request/Identity) аппликанту, как только он определит, что какой-то из его Ethernetпортов перешел в активное состояние (link active), то есть к нему подключен сетевой адаптер.
Таким образом, если отключить клиентскую станцию, которая уже прошла аутентификацию, и снова подключить к сетевому порту, то потребуется пройти аутентификацию еще раз. Аппликант посылает сообщение/ответ (EAPResponse/Identity) аутентификатору, которое затем передается им на сервер аутентификации (RADIUS). Сервер аутентификации в ответ отсылает пакет-запрос (challenge) аутентификатору, который затем переупаковывает его из IP-транспорта в EAPOL и передает аппликанту. В различных схемах аутентификации число таких сообщений может изменяться. В EAP поддерживается как аутентификация клиентской стороны, так и взаимная "сильная" аутентификация клиента и сервера, но только последний вариант считается приемлемым для использования в беспроводных сетях. Аппликант отвечает на запрос соответственно выбранному алгоритму и передает его аутентификатору, который пересылает его на сервер аутентификации. В случае, если аппликант предоставляет правильный ответ на запрос, сервер посылает сообщение об успешной аутентификации аппликанту. В этой ситуации аутентификатор открывает клиенту доступ к ЛВС, который может зависеть от дополнительных параметров, передаваемых ему RADIUS-сервером, например, от номера VLAN или определенного уровня качества обслуживания.
Таким образом, использование сетевой аутентификации позволяет предоставлять пользователю определенный номер ВЛВС или уровень качества обслуживания вне зависимости от точки подключения в корпоративную ЛВС. Это обеспечивает как мобильность пользователей, так и постоянное соблюдение профиля безопасности сети – если даже сетевые кабели будут случайно перепутаны, пользователь не сможет войти в ВЛВС, доступ к которой ему запрещен.
Коммутатор 3Com SuperStack 3 Switch 4400 использовался нами для построения ЛВС с сетевой аутентификацией по протоколу 802.1X ()
Рассматривая реализацию сетевой аутентификации по протоколу IEEE 802.1x, необходимо раскрыть основные особенности протокола RADIUS, который является одним из главных компонентов данной системы.
Входим в сеть
Для успешного входа в сеть Windows XP-клиента необходимо в свойствах сетевого соединения выбрать раздел Authentication и разрешить для этого интерфейса 802.1Х-аутентификацию. При этом необходимо выбрать тип EAP-аутентификации – MD5-challenge или Smart Card or other Certificate. В последнем случае для пользовательской машины необходимо получить сертификат с сервера, например, через вэб-браузер, введя адрес типа http://server/certsrv. В нашем примере использовался режим MD5-challenge.
Следует отметить, что при использовании Windows 2000клиента с установленным сервис-паком 3 или 4 для успешной сетевой аутентификации необходимо убедиться в том, что запущена служба Wireless Configuration, отвечающая за 802.1Х-аутентификацию.
Если все настройки прошли успешно, вводим логин и пароль для доступа в сеть
Теперь, если вами не были допущены ошибки на каком-то из этапов, при попытке доступа к сетевым ресурсам на клиентской машине появится специальная заставка (рис. выше), предлагающая ввести имя пользователя/домена и его пароль. Если эти параметры введены правильно, то пользователь получает доступ к сетевым ресурсам. Необходимо учитывать, что даже при краткосрочном отключении сетевого кабеля от порта коммутатора и подключении его снова пользователю придется повторно пройти сетевую аутентификацию.
Если же система выдала какое-то сообщение об ошибке (даже нам не удалось настроить все с первого раза), провести диагностику помогут стандартные средства Windows 2000 Server. Служба IAS передает в журнал системных событий сообщения об успешных/неуспешных попытках аутентификации, а также их параметры (рис.). Так, на нем видно, что пользователь с именем test успешно получил доступ к сети через сервер доступа (NAS) c именем 4400 и IP-адресом 200.1.1.1, при этом тип портов NAS – Ethernet, то есть это наш коммутатор Ethernet.
После того как пользователи успешно аутентифицируются в сети с помощью протокола 802.1х, можно перейти к автоматической настройке номера VLAN и параметров качества обслуживания для каждого пользователя.
Настраиваем функции авто*QoS/VLAN
А теперь вернемся к политикам, определенным в настройках службы IAS. Как уже упоминалось, было определено две политики – vlan1 и demo. Эти названия не случайны, так как мы хотим, чтобы пользователи, которые попадают под действие политики vlan1, автоматически оказывались в виртуальной ЛВС под номером 1. В этом случае в свойствах данной политики в разделе Advanced необходимо добавить следующие параметры и установить их значения, которые автоматически возвращаются коммутатору RADIUS-сервером при успешной аутентификации пользователя: Tunnel-Medium type – 802; Tunnel-Pvt Group ID – 1 (номер VLAN); Tunnel-Type – (VLAN).
Для того чтобы пользователи попадали под действие профиля QoS demo, необходимо указать значение атрибута Filter-id profile = demo. После этого пользователи, определенные в Active Directory и попадающие под действие политики vlan1, автоматически окажутся во VLAN под номером 1 и в профиле QoS demo при сетевой аутентификации. Для проверки работоспособности данного режима нами был запущен ftp-сервер (Windows 2000 Server) и ftp-клиент (Windows XP). До установки указанных параметров в политике vlan1 скорость передачи данных между ними составляла порядка 100 Мбит/с, а после установки – около 980 Кбит/с.
Последним этапом является настройка аутентификации не только пользователей через RADIUSсервер, но и администраторов, подключающихся к коммутатору через консольный порт или Web/Telnet. Для этого в настройках коммутатора (security/device) необходимо разрешить аутентификацию с помощью RADIUS (enable RADIUS auth).
Далее в Active Directory надо создать пользователя, которому разрешен доступ к управлению устройством, например, admin, и определить для него в IAS политику, в которой необходимо установить, чтобы RADIUS-сервер возвращал коммутатору при успешной аутентификации параметр Vendor Specific Attribute. В свойствах данного поля необходимо установить код производителя 43 (3Com), номер атрибута (1) и десятичное значение этого атрибута от 1 до 3: Monitor (1) позволяет пользователю производить мониторинг установок коммутатора; Manager (2) дает возможность производить изменение отдельных установок коммутатора; Administrator (3) дает пользователю полный доступ к установкам коммутатора.
Теперь даже при подключении к коммутатору по консольному порту будет производиться аутентификация администратора по сети через RADIUS-сервер.
В целом же можно констатировать тот факт, что с внедрением технологии 802.1x сбываются мечты системного администратора – теперь не надо устанавливать сетевые параметры для сотен и даже тысяч пользователей вручную. При этом перевести пользователя из одной VLAN в другую можно одним движением мышки без необходимости изменения настроек сетевых устройств. И это кроме того, что протокол 802.1x помогает значительно повысить уровень безопасности самой сети, защитив ее от несанкционированного доступа.
Десять заповедей резервного копирования
#10/2004
Независимо от используемой технологии резервного копирования всегда следует придерживаться некоторых фундаментальных правил. Мы приведем 10 условий, выполнение которых облегчает проведение резервного копирования. На первый взгляд, эти условия просты и очевидны, но не всегда их легко выполнить.
Когда кто-то о чем-то рассказывает или делится впечатлениями, всегда проще и эффектнее говорить о чем-то плохом. Плохие новости воздействуют всегда сильнее, чем хорошие. Например, срывы ночных сессий резервного копирования, безвозвратно испорченные ленты, невосстановимые данные. Впрочем, не все так плохо. Есть учреждения, где резервное копирование и восстановление проходят нормально и без всяких затруднений укладываются в выделенное временное окно. Очевидное условие существования надежной и отлаженной инфраструктуры резервного копирования — наличие эффективного управления и оптимальной организации всей вычислительной системы. Хорошо отлаженная и организованная среда обеспечит ясное понимание задач и способов их решения. Ниже приведены десять моментов, на которые имеет смысл обратить внимание при организации системы резервного копирования или при оптимизации существующей.
Предварительное планирование. Резервное копирование является стратегическим компонентом защиты данных (существует также зеркалирование, снэпшоты и репликация данных). Но важнейшим, фундаментальным элементом всей стратегии хранения данных должно стать планирование резервного копирования.
Все компоненты инфраструктуры резервного копирования должны учитываться в процессе планирования, а все приложения, серверы и тенденции увеличения емкости первичных хранилищ данных не должны оставаться без внимания. Очень часто изменения в среде не принимаются во внимание. Это может вызвать сбои и оказать пагубное воздействие на работу системы резервного копирования.
Кроме того, правильное планирование позволяет составить более полное представление о потребностях и особенностях работы приложений с точки зрения защиты данных.
Приложения баз данных, где присутствуют разделенные «зеркала» и приложения, работающие в файловой среде, в которой нет дополнительной защиты данных, требуют разных стратегий и подходов к резервному копированию. Аналогично, большое корпоративное приложение, развернутое на нескольких серверах и предполагающее сложную взаимозависимость данных для обеспечения последующего восстановления, будет требовать соответствующей синхронизации резервного копирования.
Установление жизненного цикла и календаря операций. Эффективная работа системы резервного копирования требует ежедневного успешного выполнения определенных заданий. Однако есть не менее важные задания, которые выполняются еженедельно, ежемесячно, ежеквартально и ежегодно. Задания с коротким циклом в большей степени являются тактическими, а задания с большим циклом — стратегическими. В среде эффективного резервного копирования все задания должны быть задокументированы и выполняться согласно расписанию.
Ежедневные задачи являются основой, с которой хорошо знакомы системные администраторы. К ним относятся: мониторинг заданий;
отчеты о сбоях и успешном выполнении;
анализ и разрешение проблем;
манипуляции с лентами и управление библиотекой;
расписание выполнения заданий.
В случае еженедельных, ежемесячных и других операций надо обращать внимание на: анализ производительности;
тенденции изменения объемов и планирование этих изменений;
рассмотрение и анализ методики резервного копирования;
проверку возможности восстановления;
планирование развития архитектуры. Определяем ежедневные, еженедельные и ежемесячные задания.
Документируем их, и убеждаемся, что они выполняются и генерируют отчеты в полном соответствии с расписанием. Все эти временные файлы нельзя упускать из виду. Храниться они будут долго, пройдет год, завершится годовой цикл. Поначалу это покажется неудобным, но потом появится понимание, как оптимизировать среду (или окажется, что среда резервного копирования уже оптимизирована).
Ежедневный обзор логов процесса резервного копирования. Обзор логов ошибок и выполнения резервного копирования является необходимой ежедневной задачей.
Но часто это легче сказать, чем сделать, поскольку такое занятие требует много времени. Однако затраченное время может принести неплохие дивиденды в виде надежно работающей системы резервного копирования.
Проблемы при резервном копировании, как правило, возникают лавинообразно. Один-единственный сбой может повлечь за собой целую последовательность, на первый взгляд даже не связанных между собой затруднений. Например, задание резервного копирования может либо «зависнуть», либо не запуститься из-за того, что нужный привод магнитных лент не был освобожден предыдущим заданием. Это предшествующее задание сохраняло сервер приложений, на котором одновременно шел незапланированный ресурсоемкий процесс. Выполнение данного процесса не позволило закончить резервное копирование в установленный расписанием срок. Ответственный системный администратор своевременно не информировал администратора резервного копирования, чтобы он мог внести соответствующие изменения в расписание процессов. Порой для того чтобы определить, является ли некоторое состояние причиной или следствием чего-то другого, может потребоваться немалого опыта и усилий, а сам процесс будет напоминать детективное расследование. Естественно, для успешного решения возникающих проблем необходима согласованная работа системных, сетевых администраторов и администраторов баз данных.
Защита базы данных резервного копирования или каталога. Все приложения резервного копирования ведут свою базу данных или каталог, необходимые для последующего восстановления сохраненных данных. Потеря каталога влечет потерю сохраненных данных. Хотя некоторые приложения резервного копирования имеют механизмы корректного чтения лент и индексов для восстановления, это может оказаться непосильной задачей. Такой каталог должен рассматриваться как любое другое критически важное приложение баз данных. Желательно иметь его зеркальную копию или, по крайней мере, хранить в RAID-системе. Кроме того, желательно убедиться в том, что каталог сохраняется согласно расписанию и без ошибок.
Ежедневное определение временного окна резервного копирования. Ошибки, связанные с временным окном резервного копирования, не оставляют соответствующих сообщений в отчетах, так как на самом деле это нормальный и успешно завершившийся процесс резервного копирования. Поэтому часто проблема остается незамеченной. Если задания начинают приближаться или выходить за пределы отведенного временного окна, это является признаком приближения к предельной емкости системы или наличия «узких мест» в производительности. Своевременное обнаружение таких признаков может избавить от последующих более крупных сбоев системы.
Локализация и сохранение «внешних» систем и томов. ПО резервного копирования предоставляет некоторые отчеты о ежедневных сессиях резервного копирования. Рассматривать только их и полагаться только на них рискованно.
ПО резервного копирования генерирует отчеты только об известных ему серверах. Сложные среды часто имеют «внешние» системы, системы, которые участвуют в работе, но не включены в схему резервного копирования. Это происходит по разным причинам. Купленная неким подразделением система и оказавшаяся вне поля зрения IT-подразделения некоторое время может работать с собственным резервным копированием. Но рано или поздно возможен сбой, приводящий к потере данных. Тогда специалисты IT-подразделения получают запрос восстановления данных на системе, о которой им ничего не известно. Как правило, такие системы попадают в поле зрения службы IT, слишком поздно. Решение этой проблемы может оказаться трудоемким и займет массу времени. Потребуется регулярный просмотр и мапирование новых сетевых адресов в узлы (ноды), фильтрация не связанных с задачей адресов (дополнительные сетевые карты, сетевые устройства, принтеры и т. д.), идентификация местоположения и владельцев таких узлов и внесение соответствующих изменений в политику резервного копирования (в этом случае объемы данных, подлежащих сохранению, увеличатся). Также важно регулярное предоставление отчетов владельцам системы и приложений о том, что на самом деле сохраняется, а что — нет.
Максимально возможная централизация и автоматизация резервного копирования. Ключом к успешной защите данных является их целостность. Но это не значит, что со всеми данными требуется обходиться одинаково. Наоборот — одинаково надо обращаться с данными, сходными по объему и важности для компании. Проблема «внешних» систем, о которой шла речь чуть выше, как раз является примером нарушения целостности данных, возникающего из-за нецентрализованного управления резервным копированием. Нередко операции резервного копирования для Windows— и Unix-серверов происходят независимо. Такая организация могла предшествовать сетевому хранению. Помимо того что это неэффективно, подобная организация предполагает разные наборы процедур и разные стратегии резервного копирования для разных платформ. Определять ценность данных таким образом неправильно. По географическим соображениям функции резервного копирования могут быть действительно распределены по удаленным офисам, но, принимая во внимание качество современных коммуникаций, выгода от такой децентрализации весьма небольшая. По мере увеличения сложности инфраструктуры резервного копирования для выполнения повторяющихся операций желательно применять средства автоматизации. Возьмем, к примеру, трудоемкую задачу ежедневного изучения журналов (логов) выполнения операций. Автоматизация позволит генерировать сигналы тревоги при появлении в логах заранее определенных ошибок. Верно и обратное: автоматизация поможет накапливать повторяющиеся в логах ошибки. Если в логах увидеть одну ошибку SCSI, это то же самое, что увидеть их тысячу. Просмотр всех одинаковых ошибок — занятие утомительное, способное отбить охоту к ежедневному изучению логов вообще. Если правильно определить выполняемую задачу и ожидаемый результат — средства автоматизации, несомненно, смогут избавить от части утомительной работы.
Создание и поддержка открытых отчетов, отчетов об открытых проблемах. Нахождение и устранение упомянутых выше проблем является тактической частью работы по обеспечению надежного функционирования системы резервного копирования.
Однако эффективное преодоление проблем и определение некоторой шкалы, по которой можно оценить качество резервного копирования, вполне может оказаться движущей силой улучшения инфраструктуры резервного копирования. В больших и сложных средах проблемы могут отслеживаться при помощи формальной системы ярлыков. Если такая система не используется, то наличие журнала открытых (нерешенных на данный момент) проблем может способствовать оптимизации процесса резервного копирования. В любом случае регулярные, детализирующие открытые (нерешенные) проблемы, отчеты будут указывать частоту и количество появления новых и закрытия старых проблем, что, в свою очередь, многое говорит об общем состоянии системы резервного копирования. Простой отчет о тенденциях с соответствующими данными может открыть фундаментальные проблемы и помочь выработать их решение.
Резервное копирование должно быть включено в процесс контроля изменений системы.
Среда резервного копирования по своей природе достаточно динамична. Изменение системы резервного копирования тоже происходит динамично. Резервное копирование должно входить в процесс стратегического планирования, а на операционном уровне — стать частью процесса контроля изменений системы. Существует масса историй о непредусмотренных перебоях резервного копирования, происходящих по вине коммутационной топологии сетей хранения данных, или в связи с изменениями в зонировании, или с появлением «узких мест», возникающих в результате изменения конфигурации системы резервирования данных. Они могут и должны быть устранены. Если в инфраструктуре резервного копирования необходимо наличие ежемесячного перерыва для проведения апгрейдов или регламентных тестов, такое временное окно не должно пересекаться с аналогичным перерывом в работе остальных систем. При внесении изменений в систему существует повышенная потребность в восстановлении данных, когда файлы сохраняются, а новые устанавливаются. Если инфраструктура резервного копирования остановлена для планового обслуживания, то данные не смогут быть восстановлены в нужное время.
Инфраструктура резервного копирования — это производственная система, и, как одно из важнейших используемых приложений, требует поддержки и внимания ничуть не меньше остальной производственной среды.
Консультации с вендорами. Среда резервного копирования сложна и с появлением новых технологий становится еще сложнее. Поставщики программных и аппаратных средств соревнуются друг с другом в добавлении новых возможностей для того, чтобы выделиться. В то время как большая часть данных технологий действительно полезна (а все это звучит еще лучше), есть множество затруднений в понимании нюансов функционирования той или иной технологии и отличий между ними. Например, существует множество подходов к дисковому резервному копированию. Какой из них лучше всего подходит для данной среды и в чем его преимущество? Вот фундаментальный вопрос, на который надо ответить: у выбранного поставщика достаточно умения для удовлетворения ваших потребностей? Если все технические проблемы решены — хорошо. Если технические проблемы не решаются за разумное время — то с подобным поставщиком работать не следует. Это особенно заметно, когда требуется интеграция продуктов от разных изготовителей.
Описанные правила могут показаться слишком очевидными, но выполнять их все бывает далеко не просто. Это зависит от некоторого количества ключевых элементов: возможностей в плане отчетности, высокого уровеня компетентности персонала, связанного с резервным копированием, и прочного взаимодействия структур, выполняющих разные функции. Помех этому тоже может быть немало: стоимость, доступность ресурсов, уровень мастерства, организационной политики и многое другое. Если нет возможности предусмотреть все указанные аспекты, стоит выделить наиболее важные и сфокусироваться на них. Но по другую сторону этих трудностей находится риск невосстановления данных, а значит, и потери критически важной информации.
BGP. Три внешних канала. Балансировка исходящего и входящего трафиков.
, storinka.com.ua
Имеем автономную систему (AS), несколько блоков адресов (PI), три внешних канала различной "толщины", с которыми происходит обмен по BGP.
Необходимо настроить балансировку нагрузки входящего и исходящего трафиков примерно равномерно между всеми каналами, учитывая "толщину трубы" каждого из каналов; необходимо так же настроить автоматическую переброску нагрузки при пропадании одного или нескольких каналов на оставшиеся, – и возврат в прежнее состояние при восстановлении пропадавших каналов.
В качестве роутера BGP используем сервер под управлением Linux с установленным пакетом Quagga.
Весь конфиг рассматривать не будем, – азы по конфигурированию BGP можно изучить в интернете. Затронем только важные по теме статьи вопросы.
Итак. Пишем номер нашей AS и id нашего роутера:
router bgp 12345 bgp router-id 1.1.1.1
Дальше переписываем сети, которые к нам непосредственно подключены, и которые мы жаждем анонсировать в мир:
network 1.1.1.0 mask 255.255.255.0 network 2.2.2.0 mask 255.255.255.0 network 3.3.3.0 mask 255.255.255.0 network 4.4.4.0 mask 255.255.254.0
Теперь описываем наших соседей, с которыми мы строим обмен по BGP:
neighbor 111.111.111.111 remote-as AS1 neighbor 111.111.111.111 description UPLINK_1 neighbor 111.111.111.111 update-source 111.111.111.112 neighbor 111.111.111.111 weight 3000 neighbor 111.111.111.111 route-map prepend_uplink1 out neighbor 111.111.111.111 prefix-list plup1in in
здесь:
update-source 111.111.111.112 – бывает нужно. этим мы указываем, от какого IP соединяться с данным соседом. Если у вас есть свои блоки адресов, то роутер может пойти к соседям от IP из вашей сети, а BGP -обмен с соседом разумнее строить находясь в одной с ним сети (т.е. задействовать IP, выданный вам соседом); neighbor 111.111.111.111 weight 3000 – вес. Если вы получили от нескольких соседей маршруты на одинаковые направления, то в таблицу маршрутизации попадет тот маршрут, который пришел от соседа с наибольшим данным числом (весом); neighbor 111.111.111.111 route-map prepend_uplink1 out – назначаем свой route-map данному соседу.
Это мы используем для балансировки входящего трафика; neighbor 111.111.111.111 prefix-list plup1in in – назначаем данному соседу свой prefix-list. Его мы используем для балансировки исходящего трафика.
Дальше расписываем еще двоих соседей по аналогии.
neighbor 222.222.222.222 remote-as AS2 neighbor 222.222.222.222 description UPLINK_2 neighbor 222.222.222.222 update-source 222.222.222.223 neighbor 222.222.222.222 weight 4000 neighbor 222.222.222.222 route-map prepend_uplink2 out neighbor 222.222.222.222 prefix-list plup2in in ! neighbor 333.333.333.333 remote-as AS3 neighbor 333.333.333.333 description UPLINK_3 neighbor 333.333.333.333 update-source 333.333.333.334 neighbor 333.333.333.333 weight 2000 neighbor 333.333.333.333 route-map prepend_uplink3 out neighbor 333.333.333.333 prefix-list plup3in in !
Теперь опишем наши префикс-листы для каждого соседа.
Для соседа номер "2" мы запрещаем прием маршрута по умолчанию (т.н. default) и разрешаем прием только маршрутов с маской сети меньшей или равной 19 (<= /19). Остальные маршруты мы от него принимать не будем.
ip prefix-list plup2in seq 5 deny 0.0.0.0/0 ip prefix-list plup2in seq 15 permit 0.0.0.0/0 le 19 ip prefix-list plup2in seq 25 deny any
Для соседа номер "1" мы запрещаем только прием маршрута по умолчанию:
ip prefix-list plup1in seq 5 deny 0.0.0.0/0 ip prefix-list plup1in seq 25 permit any
Для соседа номер "3" мы также просто запрещаем прием default'а:
ip prefix-list plup3in seq 5 deny 0.0.0.0/0 ip prefix-list plup3in seq 25 permit any
Т.е., с одного из аплинков (соседей) мы принимаем только сети, маска которых равная или меньше 19, а с двух других принимаем все маршруты. Маршрут по умолчанию не принимаем ни от кого – его мы впишем потом сами.
Теперь разберемся с route-map'ами. Для работы с рут-мапами нам понадобится написать еще парочку префикс-листов для каждого соседа. Эти префикс-листы нам пригодятся для регулирования входящего трафика. Суть такова: на каждого соседа мы должны описать, какие сети мы будем анонсировать с бОльшими препендами, а какие с меньшими.
На одного соседа мы препендим одни сети, на другого – другие. И т.д. Таким образом получается, что с одного соседа к нам будет приходить трафик преимущественно идущий на одни наши сети, а с другого – на другие наши сети. Вот в следующих префикс-листах мы и описываем наши сети.
ip prefix-list plup1 permit 4.4.4.0/23 ip prefix-list plup1 deny any ip prefix-list plup1p permit 2.2.2.0/24 ip prefix-list plup1p permit 1.1.1.0/24 ip prefix-list plup1p permit 3.3.3.0/24 ip prefix-list plup1p deny any
Здесь мы создали два префикс-листа. В один попадает наша сеть 4.4.4.0/23, в другой – остальные наши сети. Точно так же расписываем префикс-листы для оставшихся соседей. Только сети при этом будут меняться.
ip prefix-list plup2 permit 2.2.2.0/24 ip prefix-list plup2 deny any ip prefix-list plup2p permit 4.4.4.0/23 ip prefix-list plup2p permit 1.1.1.0/24 ip prefix-list plup2p permit 3.3.3.0/24 ip prefix-list plup2p deny any ! ip prefix-list plup3 permit 1.1.1.0/24 ip prefix-list plup3 permit 3.3.3.0/24 ip prefix-list plup3 deny any ip prefix-list plup3p permit 4.4.4.0/23 ip prefix-list plup3p permit 2.2.2.0/24 ip prefix-list plup3p deny any
Настала очередь описать наши рут-мапы для каждого соседа. Смысл в том, чтобы для каждого аплинка создать рут-мап, где указать, какие сети анонсировать с препендом (и каким), а какие – анонсировать прямо.
route-map prepend_uplink1 permit 10 match ip address prefix-list plup1 ! route-map prepend_uplink1 permit 20 match ip address prefix-list plup1p set as-path prepend 12345 12345
С помощью данного рутмапа мы указали, что наши сети из префикс-листа plup1 (а это только сеть 4.4.4.0/23) через аплинк UPLINK_1 (111.111.111.111) будут анонсироваться без каких-либо изменений в длине маршрута. В то время как сети из префикс-листа plup1p (это три остальные наши сети) через того же аплинка мы будем анонсировать с препендом, и искусственно удлиним маршрут к этим сетям из мира через данный аплинк на два хопа (две AS). С другими аплинками суть точно та же, только маршрут мы там удлиняем на другие наши сети.
route- map prepend_uplink2 permit 10 match ip address prefix-list plup2 ! route-map prepend_uplink2 permit 20 match ip address prefix-list plup2p set as-path prepend 12345 12345 ! route-map prepend_uplink3 permit 10 match ip address prefix-list plup3 ! route-map prepend_uplink3 permit 20 match ip address prefix-list plup3p set as-path prepend 12345 12345 12345 12345 !
Теперь коснемся маршрута по умолчанию. Даже если вы получаете от аплинков full view, лучше иметь указывающий куда-то default.
Заходим в zebra через vtysh и указываем в качестве маршрута по умолчанию поочередно все наши три аплинка, только с разными дистанциями:
ip route 0.0.0.0/0 111.111.111.111 15 ip route 0.0.0.0/0 222.222.222.222 25 ip route 0.0.0.0/0 333.333.333.333 35
Т.е. мы указали в качестве default все три наших аплинка. В таблицу маршрутизации попадет тот маршрут, чья дистанция меньше остальных. Если какой-то маршрут отвалился, трафик пойдет по одному из оставшихся, чья дистанция теперь меньше – и т.д.
Что мы получили в итоге…
UPLINK_1 (111.111.111.111). С него мы получаем все маршруты, кроме дефолта. Анонсируем в него 4-ю сеть (4.4.4.0) напрямую, остальные – с удлинением маршрута. Приоритет имеет 3000 (средний). UPLINK_2 (222.222.222.222). С него мы получаем только те маршруты, которые указывают на сети с маской меньшей либо равной 19. Анонсируем в него 2-ю сеть (2.2.2.0) напрямую, остальные с удлинением маршрута. Приоритет 4000 – наивысший. UPLINK_3 (333.333.333.333). С него мы получаем все маршруты, кроме маршрута по умолчанию. Анонсируем в него 1-ю и 3-ю сети напрямую, остальные – с удлинением маршрута. Приоритет 2000 – самый меньший.
Что получилось. Поскольку UPLINK_3 имеет самый маленький приоритет, то через него мы не ходим (хотя и получаем от него на всякий случай все маршруты). Так как с UPLINK_2 мы получаем только часть маршрутов (сети с маской <= 19), но приоритет у него самый высокий, - то как раз на эти сети с маской меньшей или равной 19 мы идем именно через этот аплинк.
А вот на все остальные сети мы пойдем через UPLINK_1 – так как с него мы получаем все маршруты, и у него приоритет средний. Маршрут по умолчанию мы так же запустили через UPLINK_1.
Таким образом, часть трафика идет через UPLINK_1, часть – через UPLINK_2. Теперь если отвалится один из них – трафик пойдет через маршрут по умолчанию, т.е., через одного из них же (согласно указанной дистанции) – кто еще будет жив к тому времени. Если отпадут оба – в игру включится UPLINK_3, как последний оставшийся и имеющий самую длинную дистанцию. Если же отвалится UPLINK_3 – трафик будет ходить через одного из первых двух аплинков. Впрочем, через UPLINK_3 у нас исходящий трафик и так идет только в случае аварии – он у нас по сути как резерв.
С исходящим трафиком разобрались. Теперь что касается входящего.
Когда все везде включено и все каналы работают, трафик будет ходить так: на 4-ю сеть в основном будет приходить трафик с 1-го аплинка, на 2-ю – со второго, 1-ю и 3-ю – аплинка номер "3". Скорее всего, трафик на каждом аплинке будет будет проскакивать на каждую из ваших сетей, но преимущественно на каждом аплинке будет ходить трафик на те сети – которые в данный аплинк анонсируется без препендов. Трафик на остальные сети на данном аплинке будет составлять подавляющее меньшинство либо отсутствовать вообще (т.к. преимущественно будет ходить через другой аплинк, куда данные сети анонсировались без препендов).
В общем суть ясна. Теперь о главном. Какие сети, как и куда анонсировать, какие маршруты откуда получать – все это узнается преимущественно экспериментальным путем. В моем случае есть три внешних канала, больше 100 мбит каждый (но каждый разной "толщины"), одна автономная сеть, четыре блока адресов. Суммарный поток в среднем примерно 400 мбит.
По описанной выше технологии удалось равномерно распределить нагрузку как входящего, так и исходящего трафика между всеми внешними каналами.При этом обеспечивается полная жизнеспособность сети в случае если жив хотя бы один из внешних каналов. В случае восстановления "упавших" ранее внешних каналов, включение их в работу происходит автоматически, и вся система приходит в нормальное состояние, какое было до падения. Т.е. в случае аварий вмешательство человека в работу BGP и маршрутизации чаще всего не требуется, – при такой организации роутер прекрасно справляется сам.
Bluetooth 2.0 EDR: не спешите встраивать Wi-Fi в телефон!
Андрей Шуклин
, #01/2006
Стандарт Bluetooth всегда обладал, если можно так выразиться, узкой специализацией, но даже несмотря на более широкую функциональность стандартов группы Wi-Fi и появление Wireless USB, он и сегодня не собирается уступать свою вотчину. Свидетельство тому - анонс стандарта Bluetooth 2.0 EDR.
Вообще говоря, дата релиза новой версии Bluetooth была обозначена еще год назад, и надо сказать, Bluetooth SIG (Special Interest Group), консорциум, сформированный разработчиками и сторонниками стандарта Bluetooth выпустил новую редакцию в срок.
Невзирая на ограничения по скорости передачи данных, Bluetooth имеет весьма серьезные позиции в отрасли. В 2002 году он успешно прошел сертификацию в IEEE, получив регистрационный номер 802.15.1. Теперь спецификация Bluetooth 2.0 EDR (Enhanced Data Rate) стала доступна для массовой аудитории.
Постфикс EDR не случаен - дело в том, что модификация стандарта затрагивает куда более принципиальные основы самого принципа передачи данных, чем просто рост скорости. Но и этот параметр нельзя недооценивать, потому что рост пропускной способности с 720 кбит/с до 2,1 Мбит/с ощутим для различных смартфонов со встроенными цифровыми камерами и других мультимедийных устройств.
Разработчики приложили немало усилий к модификации протокола, и теперь производителям сотовых телефонов придется потрудиться, чтобы адаптировать свои устройства для использования Bluetooth 2.0. Кстати, некоторые из них уже начали эту деятельность, в частности, на тестовых экземплярах USB-адаптеров Bluetooth от MSI отмечена их полная совместимость с телефонами Nokia N-Gage. Но вернемся к самому стандарту. Среди основных изменений следует отметить смену принципа строения сети Bluetooth. Если быть честными, ранее окружение Bluetooth вообще нельзя было назвать сетью, теперь же при использовании нового протокола можно передавать данные одновременно нескольким устройствам (режим MultiCast). Что приятно, устройства Bluetooth способны поддерживать между собой и несколькими другими участниками сети постоянное соединение, используя притом различные службы.
Первые версии стандарта Bluetooth использовали достаточно простой способ исключения взаимодействия с другими устройствами, обменивающимися данными по протоколу Bluetooth. Во второй версии стандарта применяется более совершенная модуляция, чем-то напоминающая механизмы, применяющиеся в Wi-Fi. Между прочим, Bluetooth 2.0 беспрепятственно функционирует, даже когда рядом работают сети Wi-Fi, а ведь частотный диапазон для Bluetooth по-прежнему лежит в районе 2,4 ГГц.
Но действительно большой шаг вперед для технологии Bluetooth, пожалуй, реализует поддержка в новом стандарте QoS. Конечно, многие любители выжать из сети все ресурсы до сих пор отключают под Windows XP эту функцию, но когда речь идет о многопоточной передаче данных между несколькими устройствами, отсутствие QoS неизбежно приведет к торможению при пересылке каждого нового файла или порции данных, что, конечно, неприемлемо.
Но почему мы говорим только о телефонах? Ведь есть и другие устройства, оснащенные модулями Bluetooth, и это не только различные принтеры, модемы, мышки, клавиатуры и так далее. И если раньше для Dial-up-модема или принтера было достаточно 721 кбит/с, то сегодня, учитывая распространение ADSL, необходимо появление более скоростных систем передачи данных, а принтеры стали настолько шустрыми, что все задержки на печать через Bluetooth приходились исключительно на передачу данных. Нам было очень приятно увидеть более скоростной интерфейс, да еще и поддерживающий QoS. К тому же Bluetooth 2.0 поддерживает в одном окружении уже не 8, а 256 устройств, причем теперь необязательно выбирать из них "главного", который управляет работой сети. В общем-то, в этот сегмент уже начала экспансию технология Wi-Fi, хотя бы просто из-за того, что Bluetooth не успевал справляться со скоростными требованиями. И конечно, за Wi-Fi останется прерогатива построения сложных компьютерных сетей. В остальном же Bluetooth 2.0 выглядит весьма перспективным, потому как пропускной способности в 2,1 Мбит/с для большинства телефонов и, кстати, ADSL-подключений вполне достаточно.
Также интересным фактом следует считать то, что при значительном росте скорости энергопотребление увеличилось лишь на несколько процентов, на передачу конкретного количества данных уходит в несколько раз меньше энергии, чем раньше. Данные передаются быстрее, и адаптер переходит в режим энергосбережения, оставляя Wi-Fi еще дальше позади по параметру энергосбережения.
Но любой разговор о технологии был бы голословным без тестирования нескольких реальных устройств. К нам на тест попали два адаптера Bluetooth 2.0 EDR от компании MSI, которая в последнее время активно ведет себя на розничном рынке, представляя широкий спектр продуктов под общим брендом MEGA.
MSI BToes 2.0 и StarKey 2.0
Плюсы: |
Отличные скоростные характеристики Отсутствие задержек при передаче Удобный драйвер |
Минусы: |
Некорректное управление прямым аудиопотоком |
В комплекте с брелками поставляется диск с драйвером и ПО. Надо признать, по сравнению с ранними версиями Bluetooth-адаптеров, драйвер очень удобный. Никаких проблем при коммутации устройств не возникает, а сам интерфейс напоминает привычный для Bluetooth 1.x. Однако в этот раз вместе с драйвером поставляется ПО для управления прямым аудиопотоком через Bluetooth, которое активизируется каждый раз при инициации устройства и приводит плеер WinAmp в полное замешательство. В остальном драйвер абсолютно адекватен.
Чтобы оценить реальный прирост в скорости от новой версии стандарта, мы использовали бесплатный тестовый пакет SpeedTest и с его помощью передавали файл через установленное сетевое соединение. Для этого режима передача файла между двумя компьютерами происходила со скоростью 1080 кбит/с.
В случае же прямой передачи файла, через встроенный в стандарт Bluetooth сервис, процесс шел несколько быстрее - 1500 кбит/с. Или говоря другими словами, на передачу MP3-файла объемом 5 Мбайт уходит 25 с - весьма неплохо! Что же, делая скидку на QoS, получается, что новый Bluetooth действительно втрое быстрее старого. Впрочем, ценность QoS мы отследили при первом же подключении: в самом деле - никаких задержек. В то же время, как и обещает производитель на коробке брелков, наличие или отсутствие сети Wi-Fi никак не сказывается на скорости передачи данных через Bluetooth.
Итак, согласно тесту, Bluetooth 2.0 оправдывает себя с точки зрения скоростных характеристик, а удобство программного обеспечения позволяет нам сделать позитивные прогнозы относительно развития этого стандарта. Как мы говорили, вы уже можете насладиться высокой скоростью передачи данных, если приобретете одновременно адаптер Bluetooth 2.0 для компьютера и новый телефон Nokia N-Gage.
За предоставленное оборудование редакция благодарит российское представительство компании MSI.
BPL: свет и Интернет – из одной розетки
Евгений Патий,
Широк круг решений по обеспечению широкополосного доступа в Интернет, но действительно народного и широко распространенного среди них нет до сих пор. Претендующим на эту роль можно считать Dial-Up, связь посредством телефонной линии, но здесь ни о какой широкополосности и речи не идет. Различные DSL-технологии, несмотря на кажущуюся “вездесущность”, на самом деле не так уж доступны – даже в относительно благополучной Великобритании, в часе езды от Лондона, есть районы, жителям которых о DSL-доступе приходится только мечтать, пользуясь старым добрым дозвоном.Аналогична ситуация и с альтернативами DSL: доступом в Интернет с использованием сетей кабельного телевидения и посредством спутниковой связи. Автору этих строк пришлось долгих три года ждать, чтобы ощутить все преимущества кабельного Интернета (используя до той счастливой поры, конечно же, Dial-Up). В такой ситуации непроизвольно приходишь к мысли об универсальной технологии, способной решить проблему широкополосного доступа. А это, в первую очередь, среда передачи данных. Что же может быть сегодня универсальнее и распространеннее, чем телефонные провода, имеющиеся практически в каждом доме? Только электропроводка. Она-то уж точно есть везде.
Попытки задействовать электрические сети в качестве среды передачи данных предпринимались неоднократно начиная еще с 50-х годов прошлого века. Все они заканчивались, в основном, неудачно – слишком мала итоговая скорость, низка функциональность и велика стоимость воплощения идеи. На фоне этих усилий окрепли и развились альтернативные разработки – та же беспроводная технология WiMAX, отличающаяся высокой "дальнобойностью" и скоростью обмена информацией и способная составить реальную конкуренцию вездесущим электрическим проводам. В этой связи многие эксперты не устают удивляться неослабевающим попыткам обуздать электрические сети и заставить их выполнять должным образом несвойственную функцию транспортировки информации. Однако не меньшее количество специалистов убеждено, что удачное решение найдено и оно сулит настоящий прорыв в сфере телекоммуникаций.
Удачная, по мнению многих, разработка получила название broadband over power line – BPL. Хороший знак: технологией заинтересовалась компания IBM, неоднократно поддерживавшая и "выводившая в люди" первоначально кажущиеся сомнительными разработки, например тот же Linux. Совместно с техасской компанией CenterPoint Energy Houston Electric, которая специализируется на доставке и распределении электроэнергии, IBM проводит масштабные исследования в области передачи данных по имеющимся электросетям. Оптимистично настроенная и уверенная в своих силах, CenterPoint открыла в Хьюстоне центр исследований BPL, сотрудники которого занимаются изучением потенциала и оптимизацией технологии BPL, а также демонстрируют – в рамках экспериментальной программы – возможности broadband over power line хьюстонским ковбоям и рядовым обывателям (всего около 220 пользователей на этапе тестовой эксплуатации).
Структура сети BPL
Как уже говорилось, основное преимущество BPL – использование среды передачи, или "media", распространенной практически на 100%. Для конечного пользователя технология BPL предстает в виде специального BPL-модема, подключенного буквально в один тройник вместе с персональным компьютером. Для CenterPoint новая разработка представляет немалый интерес и с сугубо профессиональной точки зрения. "Эта технология заслуживает внимательного изучения, – утверждает вице-президент CenterPoint Energy Houston Electric Дон Кортез. – Мы уверены, что BPL способна улучшить существующие системы доставки электроэнергии благодаря реализации на ее основе различных функций smart grid, например автоматического считывания показаний счетчиков, мониторинга систем в реальном времени, профилактического технического обслуживания, выявления аварийных отключений и их устранения, а также других интересных возможностей. Такие функции smart grid повысят надежность и безопасность систем энергоснабжения, а также расширят набор услуг, предоставляемых конечным потребителям электроэнергии".
По утверждению специалистов, скорость, обеспечиваемая BPL, достаточна для самых современных интернет-сервисов: Voice over IP и Video On-Demand. Однако не стоит полагать, что BPL существует вне электроэнергии – она тесно с ней связана. Broadband over power line позволяет управлять энергией, делая ее более интеллектуальной. "BPL – новая технология, которая окажет позитивное влияние как на рынок доставки электроэнергии, так и на рынок услуг широкополосного доступа. Это одна из тех технических концепций, которые помогут нам создать так называемую интеллектуальную электрическую сеть, способную доставлять, контролировать и управлять энергией в реальном времени по требованию, – говорит Берни Хоккер, вице-президент подразделения IBM Energy & Utilities Industry. – Корпорация IBM участвует в работе центра по технологии BPL компании CenterPoint Energy, а запущенная в Хьюстоне пилотная программа служит прекрасным примером сотрудничества в области создания инноваций".
За неделю до официального объявления о сотрудничестве IBM и CenterPoint в области BPL компании Google, Goldman Sachs и Hearts обнародовали информацию о своих планах по инвестированию около $100 млн в Current Communications, также занимающуюся broadband over power line. Однако в оптимистических гимнах ораторов слышны и тревожные нотки. Например, американский рынок телекоммуникационных услуг настолько насыщен, что появление еще одного способа доступа вряд ли вызовет бурный интерес пользователей. В конце 2004 года 56,6% интернет-пользователей в США были подключены одновременно и к DSL-линии, и к сети кабельного телевидения. По прогнозам аналитиков к 2009 году их число увеличится до 76%. В такой ситуации трудно продвигать еще один вид доступа, даже если он будет выглядеть практически идеально: компаниям, поставившим на BPL, придется проявить чудеса маркетинговой эквилибристики. Похоже, что и сами участники затеи с BPL ощущают это. Как утверждает Джим Эндрю из Adventis, "новый вид доступа хорош для пользователей, особенно из сельской местности".
На этом фоне технологические ограничения, вызванные самой природой электросетей, выглядят неубедительно. Даже если будут преодолены самые изощренные "железные" трудности, во весь рост встанет сверхзадача – убедить потенциальных пользователей в целесообразности использования BPL, а на этом поприще даже такие гранды, как IBM, способны потерпеть фиаско. Хрестоматийный пример тому – печальная история прекрасной операционной системы OS/2. С технологической точки зрения BPL выглядит весьма достойно: с учетом последних исследований в этой области, из обычной электропроводки вполне можно "выжать" от 512 Кбит/с до 3 Мбит/с, что выглядит вполне конкурентоспособно на фоне DSL- и кабельного доступа. Сейчас в США около 50 компаний пытаются внедрить BPL в тестовом режиме эксплуатации с перспективами достижения скорости до 5 Мбит/с.
По всей видимости, ощущая потенциал broadband over power line, индустрия периферийного оборудования вовсе не собирается наблюдать за процессом развития технологии со стороны – уже можно говорить о рынке клиентских устройств для доступа в Интернет посредством электрической сети. Новые продукты представлены адаптерами Powerline-Ethernet, Powerline-Wireless и Powerline Homeplug USB. На подходе готовые персональные компьютеры, изначально оборудованные адаптерами для подобного доступа.
Среди крупных производителей, заинтересовавшихся технологией BPL, присутствуют такие компании, как Alcatel, Domosys, Hewlett-Packard и многие другие, а полный список вендоров имеется на веб-сайте .
Надеюсь, читатель уже имеет достаточное представление о предмете разговора, и стоит начать оперировать понятиями более узкоспециализированными, нежели "и в розетке может быть Интернет", чтобы осветить техническую суть broadband over power line. Изначально концепция BPL, как и у более старой разработки, известной под названием HomePNA, выражалась лозунгом "не нужно новых проводов". Теоретически метод связи двух ПК при помощи электросети действительно выглядит самым простым и дешевым: не требуется дополнительных проводов, а сам сетевой трафик не стоит ни копейки.
Существуют две конкурирующие технологии, подразумевающие передачу данных по электропроводке: Passport от компании Intelogis и более новая PowerPacket от Intellon. Вторая выглядит гораздо привлекательнее, в первую очередь благодаря скорости 14 Мбит/с. Passport же, с позиций сегодняшнего дня, состоит практически из одних недостатков:
скорость обмена данными крайне мала: 50-350 кбит/с; производительность может сильно упасть в случае большой загруженности электросети; работа только с ПК под управлением MS Windows; большие размеры клиентских адаптеров, подключаемых к электрической розетке; используется лишь 110-вольтовая электросеть; требуется криптование всех данных для защиты информации; старая электропроводка может сильно "подорвать" производительность.
Новые продукты реализуют более совершенную технологию PowerPacket, которая, по данным Intellon, обладает следующими свойствами:
высокая скорость передачи – до 14 Мбит/с; выдерживает сбои в электрической сети; совместимость с различными операционными системами зависит от доступности драйверов; работа независима от напряжения и частоты электрической сети; криптование на уровне аппаратуры; старая электропроводка не влияет на качество связи.
Компании Intellon и Intelogis использовали различные методы для реализации сетевых соединений. PowerPacket от Intellon базируется на знакомом принципе OFDM – ортогональном мультиплексировании с частотным делением (Orthogonal frequency-division multiplexing) с упреждающей коррекцией ошибок. Схожий метод применяется, например, в DSL-модемах. OFDM – частный случай FDM, мультиплексирования с частотным делением, используемого в телефонных сетях.
FDM реализует передачу данных на частотах, отличных от частоты передачи человеческого голоса, разделяя "пустующее" частотное пространство сигнала в телефонной линии на отдельные каналы. В случае с технологией OFDM доступный диапазон частот в типичной электрической инфраструктуре (4,3-20,9 МГц) разбивается на ряд из 84 несущих частот.
Посылка пакетов данных происходит одновременно по нескольким несущим частотам, что приводит к увеличению скорости обмена и надежности соединения. Если на какой-то из несущих частот появляется шум или всплеск, чип PowerPacket распознает это и автоматически переключает передачу пакетов на другую несущую частоту. Такое решение позволяет достичь параметров связи, схожих с Ethernet – без какой-либо потери данных в процессе передачи.
Существуют PCI-адаптеры PowerPacket, которые подключаются напрямую к электрической розетке и позволяют создать сетевое соединение на скорости до 14 Мбит/с. Однако Intellon вполне отдает себе отчет в необходимости увеличения скорости – желание пользователей иметь в своем распоряжении потоковые услуги Интернета, такие, как Video On-Demand или IP-телефония, – закон. Компания пока не испытывает особого беспокойства по поводу технических препятствий, ведь OFDM в реализации Intellon теоретически позволяет увеличить скорость до 100 Мбит/с.
Более старая технология передачи данных по электрической сети, применяемая компанией Intelogis, основывается на частотном сдвиге. Для передачи нулей и единиц используются две различные частоты, в частотном диапазоне лежащие несколько выше уровня типичных шумов. Технология работает, но делает это весьма нестабильно и "хрупко". Если какой-либо случайный внешний фактор влияет на "нулевую" или "единичную" частоту, передача нарушается и компьютер вынужден повторно посылать данные. Кроме того, эта технология жестко привязана к спецификациям электрической сети и разработана лишь для использования с линиями напряжением в 110 В, а потому за пределами США Passport практически не распространена.
Термин broadband power line (BPL) утвержден FCC в 2003 году для новых модемов, необходимых для доступа к широкополосным сервисам при помощи электрических сетей. Структурно BPL-модемы не отличаются от своих ближайших сородичей – кабельных и DSL-модемов – и точно так же имеют внутри себя чип, разработанный для посылки сигналов через определенную среду передачи (электрическая сеть, телевизионный или телефонный кабель).
На рынке телекоммуникаций грядет очередной дисбаланс сил – об этом говорит заинтересованность таких компаний, как IBM и Google. Вероятно, города, полностью охваченные вниманием традиционных провайдеров услуг DSL и кабельного телевидения, не сразу прочувствуют все преимущества BPL, но населенные пункты, располагающие лишь электросетью, несомненно, оценят новый вид доступа. Остается пожелать технологии не замкнуться только на США, как Passport с 110-вольтовыми сетями, а способствовать увеличению интернет-аудитории в любой точке, оборудованной простецкой розеткой.
«Firewall» - управление межсетевым экраном
Access Control - допускает управление списками MAC-адресов сетевых адаптеров в локальной сети. Причем это могут быть не только те четыре адаптера, которые подключены непосредственно к устройству, ведь BR-6114Wg вполне может быть подключен к другому коммутатору, а максимальное число клиентов достигает 253. URL Blocking - достаточно полезная возможность блокировки интернет-адресов по абсолютным именам или ключевым словам, встречающимся в адресе. Это, возможно, позволит несколько разгрузить трафик, а также уменьшить нагрузку на прокси-сервер, если таковой имеется в сети. DoS - встроенная защита от атак типа DoS (Denial of Service, отказ в обслуживании, вызывается массированной «бомбардировкой» из Интернета). Пресекаются четыре класса атак: Ping of Death, Port Scan, Sync Flood и возможность пинга «снаружи». Подраздел имеет и расширенные настройки, которые лучше изменять, только если на 100% уверен в своих действиях. DMZ - «демилитаризованная зона», которую можно указать для приложения, упорно не желающего работать с NAT. Этому приложению выделяется возможность взаимодействовать напрямую с требуемыми интернет-сервисами.
Как видим, устройство решает практически весь спектр задач, требуемых для подключения локальной сети, состоящей из проводного и беспроводного сегментов, к сети Интернет. Кое-где не хватает гибкости «тюнинга», но, видимо, это вызвано целевой аудиторией BR-6114Wg - пользователями, которым требуется быстро и просто подключиться при наличии определенного уровня безопасности.
Необходимо периодически наведываться на сайт производителя за новыми прошивками, если таковые появляются, зачастую в новых версиях микропрограмм исправляются довольно серьезные ошибки. Последняя версия 2.11 запомнилась исправлением одной из них, при которой роутинг потоков 30 Мбит/c мог вызвать спонтанное «зависание» устройства, требующее аппаратной перезагрузки. Обновление прошивки осуществляется также при помощи веб-интерфейса.
Одним словом, если не хватать звезд с неба, приобретение аппарата на базе чипсета ADM5120 себя полностью оправдывает. Но в случае когда стандартных возможностей недостаточно, путей не так уж много: это может быть либо покупка более дорогого и функционального устройства, либо использование BR-6114Wg или его аналога совокупно со специализированным сервером, либо глубокая доработка прошивки - внутри ведь Linux, а значит, эту возможность нельзя сбрасывать со счетов.
Автор остановился на втором варианте. Подспорьем к Edimax BR-6114Wg служит небольшой сервер под управлением ОС Linux, призванный заменить те функции, которые реализованы в BR-6114Wg на уровне каменного века - DHCP и DNS, а также разместить прокси-сервер для экономии трафика и кэширования компонентов веб-страниц. Аппаратура сервера более чем скромна: процессор Intel Pentium 233 MMX, 160 Мбайт ОЗУ и жесткий диск 10 Гбайт - свои функции, однако, он выполняет безупречно.
Значительно большей популярностью пользуется все же третий, «хакерский» вариант. Существует , где рассмотрены многие нюансы функционирования ОС Linux на процессоре, входящем в состав чипсета AMD5120 (в нашем случае - ядро Linux версии 2.4.18). Доподлинно известно о возможности обновления ядра до версии 2.4.31 и добавлении множества полезных функций. Кроме того, существует целый любителей покопаться внутри Linux-box на основе ADM5120, присоединиться к которому стоит лишь в том случае, если пользователь точно знает, что требуется в итоге от устройства.
Вся логика устройства обеспечивается строго выверенным набором скриптов Linux, а красивый веб-интерфейс написан специально для встраиваемого веб-сервера GoAhead WebServer. Однако что же теоретически можно добавить к официальной прошивке? Это вполне может быть мощная программа iptables, обеспечивающая полноценный настраиваемый роутинг в соответствии с прописанными правилами, нормальный сервер DHCP, организация доступа по SSH/Telnet, шлюз VPN и прочее. Разумеется, самовольная модификация прошивки автоматически аннулирует гарантийные обязательства производителя, поэтому стоит много раз подумать, прежде чем начать «потрошить» BR-6114Wg.
«LAN» -настройки локальной сети
Раздел крайне небогат на различные настройки, в нем можно лишь указать IP-адрес BR-6114Wg и маску подсети, а также совершить некоторые манипуляции со встроенным DHCP-сервером. Заметим, DHCP-сервер выглядит довольно убого, что по меньшей мере удивляет - для Linux существует большое количество мощных, гибко настраиваемых и легковесных DHCP-решений. Собственный сервер способен лишь определить диапазон IP-адресов, которые будут раздаваться клиентам, имя корпоративного домена и время аренды IP-адреса. Таких замечательных возможностей, как список фиксированных хостов или гибкая настройка адресов шлюзов и DNS-серверов, нет и в помине.
«NAT» - организация совместного доступа в Интернет
Единственная поставленная на основной веб-странице NAT «птичка» автоматически разрешает всем клиентам сети подключаться к Паутине. Без преувеличения, одно из наиболее важных сетевых изобретений эпохи IPv4.
Port Forwarding - «пробрасывание», соединение по определенным портам за пределы межсетевого экрана BR-6114Wg. Все крайне просто и понятно: указывается IP-адрес, тип пакетов (TCP/UDP) и диапазон портов. Virtual Server - организация на устройстве BR-6114Wg виртуального сервера, при котором подключение к этому серверу из Интернета инициирует проброс соединения на реально существующий сервер внутри локальной сети за межсетевым экраном. Настройки аналогичны предыдущим: IP-адрес, тип протокола и порты. Special Applications - весьма полезная возможность для приложений, которые не могут корректно работать в случае NAT-шлюза (например, некоторые программы видеоконференций, многие игры). Этот подраздел допускает создание множественных подключений для таких приложений; UPnP Settings - включение UPnP позволяет устройствам, поддерживающим этот протокол, производить самостоятельную настройку собственных сетевых параметров - например, это современные аппаратные медиапроигрыватели. ALG Settings - Application Layer Gateway, шлюз уровня приложений. Некоторые программы некорректно работают с NAT, поэтому в BR-6114Wg заведен особый список приложений («персон нон-грата»), распознав одно из которых, устройство активирует специальные настройки маршрутизации. Среди прочих в списке программ - FTP, IRC, Quake3 и Starcraft.
Сетевой швейцарский нож
Евгений Патий
Современный уровень развития локальных сетей предполагает наличие достаточно большого числа единиц разнообразного активного сетевого оборудования. Несмотря на строгую сегментацию сетевого рынка, все-таки имеется некий абсолютный минимум, который уместен как в крупной корпорации, так и в домашней сети, состоящей из двух персональных компьютеров.
Что же нужно сегодня иметь, чтобы комфортно и безопасно пользоваться возможностями веб? Прежде всего, это специальный модем для обеспечения широкополосного подключения. Не менее необходим сетевой коммутатор, чтобы соединить компьютеры друг с другом, а также роутер - его основная задача наладить маршруты внутри локальной сети и сделать возможным интернет-соединение. В случае наличия беспроводных Wi-Fi-клиентов требуется еще точка доступа. Пожалуй, не помешает и аппаратный межсетевой экран - чтобы локальная сеть не была открыта всем ветрам.
Итак, подытожим: точка доступа, роутер, межсетевой экран, коммутатор и модем. Этот список един как для компании, так и для домашнего применения. Что-то, однако, подсказывает, что «не туда идем». Да, множество производителей давно наладили выпуск всех вышеобозначенных позиций и сегодняшний рынок буквально трещит от предложений на любой вкус в любой ценовой категории - но раз уж имеется такой универсальный и стандартизованный набор, думается, не лишним было бы разработать устройство из разряда «все-в-одном».
Как выяснилось, действительно не лишним. Даже при первом взгляде на подобный комбайн понимаешь, что это именно то, что требуется: вместо четырех-пяти корпусов и блоков питания - один, а кроме того - централизованное управление, полная совместимость всех функциональных блоков внутри устройства и прочие менее заметные плюсы. В последнее время массовый сегмент рынка сетевого оборудования испытал ощутимый наплыв универсальных устройств такого рода, обеспечивающих необходимую функциональность и, что немаловажно, выделяющихся более чем лояльной ценой.
Герой нашего сегодняшнего обзора - «универсальный солдат» от тайваньского производителя Edimax, беспроводной роутер BR-6114Wg.
Упомянутый выше термин «массовость» неслучаен. Ни для кого не секрет, что производители среднего уровня практически никогда не разрабатывают аппаратный дизайн с нуля, предпочитая воспользоваться готовой отлаженной платформой в целях удешевления разработки и производства. Вариант этот имеет место и в данном случае: творческий потенциал вендора реализуется лишь в отношении дизайна корпуса устройства, так как и Edimax BR-6114Wg, и его многочисленные прямые конкуренты, например Sweex Annex B, построены на основе одной и той же аппаратной базы, но - кто об этом догадается при первом знакомстве!
Сразу стоит отметить, что, несмотря на довольно демократичную цену, к Edimax BR-6114Wg вряд ли применимы эпитеты «мыльница» или «ширпотреб». Это весьма серьезное устройство, обладающее любопытнейшими возможностями и в умелых руках настоящее сокровище. Но обо всем по порядку.
BR-6114Wg обладает следующим списком возможностей:
1 WAN и 4 LAN Ethernet порт 10/100 Мбит/с; точка доступа 802.11g 54 Мбит/с; поддержка WEP-шифрования 64/128/152 бит; поддержка WPA (802.1x, TKIP); встроенный коммутатор Fast Ethernet; общий интернет-доступ с помощью NAT/NAPT; межсетевой экран SPI (Stateful Packet Inspection) с защитой от популярных DoS-атак; поддержка виртуальных серверов и DMZ; поддержка DDNS (DynDNS/TZO); поддержка специальных приложений (conntrack); свободное прохождение туннелей VPN (IPSec/PPTP/L2TP); получение WAN IP через PPPoE/Static IP/PPTP/DHCP/L2TP; встроенный сервер DHCP; поддержка Universal Plug-N-Play; возможность работы в режиме шлюза; конфигурирование с помощью web-интерфейса; возможность получения информации о подключении к портам и клиентах DHCP; журнал событий и журнал безопасности; возможность обновления программного обеспечения.
Для небольшой пластиковой коробочки размером с книгу средних размеров - согласитесь, очень неплохо.
Как уже говорилось, внешний вид - дело рук вендора: подопытный BR-6114Wg обладает ненавязчивым «биодизайном», и «с лица» ничто не выдает в нем родства с братьями от Sweex, Planet или D-Link. Нам важно лишь то, что в основе этой разработки лежит платформа на базе процессора ADM5120, хотя и здесь существуют вариации - две ревизии печатной платы «Rev. A» и «Rev. B», а также использование разных микросхем памяти конечными производителями.
Чип ADM5120 от AdmTek (Infineon) - замечательное устройство, представляющее собой очень гибкую и производительную систему из разряда «System On Chip» (SOC). По сути, все аналоги и сам Edimax BR-6114Wg - не что иное, как специализированные компьютеры с процессором, флэш- и оперативной памятью, сетевыми интерфейсами и возможностью подключения USB- и последовательных портов. ADM5120 - это процессор и чипсет под одной крышей.
Внутри себя ADM5120 содержит высокопроизводительный процессор MIPS32 4Kc 175 МГц/227 MIPS, сетевую подсистему, switch engine, поддержку PCI, USB, UART. Существует две разновидности чипа ADM5120 в BGA-корпусе и ADM5120P в пластиковом PQFP-корпусе, которые различаются только набором периферии. Версия в BGA-корпусе позволяет подключить до трех устройств PCI, и именно она используется во всех устройствах с поддержкой Wi-Fi. В данном случае в качестве устройства PCI выступает обычная MiniPCI-карточка Wi-Fi Inprocomm 802.11g. (PCI и MiniPCI электрически совместимы).
Роутер-точка-доступа-файрвол BR-6114Wg имеет flash-память объемом 2 Мбайт и 16 Мбайт SDRAM-памяти, но самое интересное, что операционной системой устройства является Linux. Это и обусловливает его гибкость, универсальность и неимоверные возможности для наращивания функциональности. Если быть более конкретным, AMD5120 включает в себя процессор семейства MIPS32 c 8 Кбайт кэш-памяти данных и 8 Кбайт кэш для инструкций. Предусмотрены два банка SDRAM (максимальный общий объем 128 Мбайт) и два банка flash - до 4 Мбайт.Имеется хост-контроллер USB 1.1, но, увы, его полная поддержка в BR-6114Wg отсутствует, что очень досадно. Полноценная поддержка USB позволила бы замахнуться чуть ли не на «взрослый» сервер, если разместить файловую систему на USB-флэш-модуле.
Необходимо внимательно изучить возможности «из коробки». Лучше всего они просматриваются в секции настроек управляющего веб-интерфейса. Всего имеется шесть основных разделов: System, WAN, LAN, Wireless, NAT и Firewall.
«System» - глобальные системные настройки
Time Zone - определение временного пояса, в котором работает BR-6114Wg, задание IP-адреса NTP-сервера, с которым устройство будет периодически синхронизировать время. Кроме того, в этом же подразделе можно указать необходимость сезонного временного сдвига на час вперед/назад. Password Settings позволяет суперпользователю «admin» сменить пароль, требующийся для доступа к веб-интерфейсу. Тот, что по умолчанию, «1234», необходимо сменить как можно быстрее. Remote Management - здесь можно определить адрес хоста в Интернете, с которого допускается удаленное управление устройством.
«WAN» - управление портом для подключения интернет-канала
Вопрос необходимости встроенного широкополосного модема весьма неоднозначен, и факты говорят скорее за отсутствие, нежели наличие такового. WAN-порт позволяет подключить Ethernet-кабель, который может быть подсоединен, например, к DSL- или DOCSIS-модему. Что дает определенные возможности для маневра, если, скажем, появилось желание сменить интернет-провайдера, предоставляющего не ADSL, а DOCSIS-подключение. Хотя на рынке присутствуют разнообразные варианты и со встроенными широкополосными модемами.
Dynamic IP - классическая схема, при которой провайдер выдает пользователю динамический IP-адрес, маску подсети, адрес шлюза для выхода в Интернет и IP-адреса первичного и вторичного DNS-серверов. Некоторые провайдеры также требуют зафиксировать аппаратный MAC-адрес сетевой карты и имя хоста - что также возможно произвести в данном подразделе. Static IP Address. Сегодня нередко встречается ситуация, когда клиент должен прописать фиксированный IP-адрес, например, для размещения на личном сервере веб-страницы. Static IP Address позволяет определить адрес, маску подсети и IP-адрес шлюза провайдера. PPPoE - в случае если интернет-провайдер требует организации канала PPP over Ethernet, этому подразделу необходимо уделить внимание. Определяем логин и пароль для подключения, имя сервиса, величину MTU (Maximum Transmission Unit), тип подключения (постоянное/по требованию/ручной режим) и время тайм-аута, при котором связь разрывается. PPTP - наиболее распространенный случай при наличии ADSL-подключения (Point-to-Point Tunneling Protocol). IP-адрес вместе с маской подсети и адресом шлюза либо получается автоматически от DHCP-сервера провайдера, либо вводится вручную. Так же, как в предыдущем случае (PPPoE), требуется указать логин и пароль плюс тип подключения. L2TP - Layer 2 Tunneling Protocol - метод, аналогичный PPTP, с аналогичными же настройками BR-6114Wg. Telstra Big Pond - редчайший случай подключения к австралийскому провайдеру Telstra, нам неинтересен. DNS - если IP-адреса DNS-серверов не выданы провайдером автоматически, их необходимо прописать здесь. DDNS - позволяет реализовать интересную возможность, предоставляемую сервисами DDNS (DynDNS, TZO, DHIS и пр.). Имея динамический IP-адрес от провайдера, пользователь все равно может быть однозначно идентифицирован в Интернете - для этого необходимо зарегистрировать домен на одном из вышеперечисленных сервисов, а в данном разделе настроек указать все соответствующие атрибуты.
«Wireless» - беспроводная часть BR-6114Wg
Basic Settings - позволяют определить основные параметры функционирования беспроводного сегмента смешанной сети, например режим работы BR-6114Wg (точка доступа / беспроводной мост), идентификатор беспроводной сети ESSID, номер радиоканала (к сожалению, автоматический выбор канала не предусмотрен), и вывести на экран список подключенных в данный момент беспроводных клиентов. Advanced Settings - этот подраздел необходим для осуществления тонкой настройки беспроводной связи, причем все прописанные значения параметров лучше оставить по умолчанию. Security - типичный набор настроек безопасности беспроводной сети, например выбор типа шифрования, выбор длины ключа шифрования и вида ключа шифрования (ASCII/HEX). Здесь же указывается, какой именно ключ из четырех возможных будет задействован в конкретной сети. Access Control - допускает фильтрование беспроводных клиентов со списками разрешенных и запрещенных аппаратных MAC-адресов беспроводных клиентских адаптеров.
Обеспечение оптического контакта
Технологически сложно добиться получения полностью перпендикулярных торцов с идеальными поверхностями контакта в процессе полировки волокон. Минимизация величины отраженного сигнала требует гарантированного отсутствия воздушного зазора между сердцевинами стыкуемых оптических волокон. Для достижения этого торцы стыкуемых волокон полируются таким образом, чтобы получить сферические поверхности. При стыковке задается продольный прижим волокон, что вызывает упругую деформацию торцов волокон и оптический контакт в области сердцевин соединяемых волокон, при котором воздушный зазор между ними становится минимальным.
Плоские коннекторы (Flat connectors)
Одним из первых решений по подготовке торцевых поверхностей была полировка торца наконечника с укрепленным в нем оптическим волокном перпендикулярно оси волокна. Во избежание непосредственного контакта волокон, который может привести к серьезным повреждениям, - царапинам и сколам, - при таком подходе реализуется углубление около нескольких микрометров (2-3 мкм). Для улучшения характеристик иногда применяется иммерсионный гель, коэффициент преломления которого близок к материалу оптического волокна. Гель заполняет зазор между наконечниками.
Коннекторы серии РС
Способ подготовки торцевых поверхностей под названием "физический контакт" (Physically Contact - PC) предполагает фиксацию оптического волокна в алюминиевом наконечнике. Торец определенным образом полируется с целью достижения полного контакта торцевых поверхностей. Однако при полировке волокна происходят негативные изменения поверхностного торцевого слоя в инфракрасном диапазоне (так называемый "инфракрасный слой"), обусловленные механическими изменениями при полировке. Этот фактор ограничивает применение таких коннекторов на высокоскоростных сетях (565 Мбит/с).
Коннекторы серии SРС (Super Physically Contact)
Для улучшения контакта оптического волокна радиус сердечника был сужен до 20 мм, а в качестве материала наконечника использовался более мягкий цирконий.
Благодаря этому подходу снизились такие дефекты полировки, как скосы. Возможность изгиба циркония на субмикронном уровне позволила волокну контактировать даже при скосах в сотни микрон без значительного ухудшения параметров. Однако проблему инфракрасного слоя такая полировка оставляет нерешенной.Коннекторы серии UPC
Методика полировки торцов UPC (Ultra Physically Contact) характеризуется малыми напряжениями. Полировка осуществляется под контролем сложных и дорогостоящих систем управления. В результате устраняется проблема поверхностного инфракрасного слоя. Параметр отражения значительно улучшен, и такие коннекторы могут применяться в высокоскоростных системах с пропускной способностью 2,5 Гбит/с и выше.Коннекторы серии APC
Наиболее действенным способом снижения уровня энергии отраженного сигнала является метод полировки торцов оптических волокон под углом 8-12° от перпендикуляра к оси волокна (Angled Physically Contact - АРС). В таком стыке отраженный световой сигнал распространяется под углом большим, чем угол, под которым сигнал вводится в оптическое волокно.АРС-коннекторы отличаются цветовой маркировкой хвостовиков (как правило, зеленого цвета), поскольку они не могут использоваться совместно с коннекторами другой полировки.Следует отметить, что некоторые производители меняют местами наименования Super PC и Ultra PC, на что следует обращать внимание во избежание несоответствия соединений проектным параметрам. Особенно это касается вновь устанавливаемых адаптеров и коннекторов на линиях, где уже используется продукция других производителей.Вообще, при подключении двух коннекторов через адаптер лучше использовать коннекторы одной серии. При сопряжении коннекторов различных серий (flat, super PC, ultra PC) коэффициент отражения смешанной пары будет хуже. Использование других серий совместно с серией APC вообще недопустимо и может привести к выходу одного или обоих коннекторов из строя.
Основные параметры передачи
Ключевые характеристики оптических коннекторов можно разделить на следующие группы: параметры передачи, долговременная стабильность и стойкость к воздействию внешних условий.
Главными параметрами передачи оптических коннекторов являются вносимое затухание и обратное отражение. Эти параметры зависят, главным образом, от таких факторов, как поперечное смещение осей и угла между ними, а также от френелевского отражения оптического сигнала на границе раздела двух оптических сред.
Вносимые потери за счет скосов при полировке
Наибольшее значение для оценки потерь, вносимых разъемным соединением, имеет оптическое затухание. Этот параметр оказывает основное влияние на величину суммарных потерь в оптическом тракте. Величина оптического затухания главным образом зависит от разъюстировки (поперечного отклонения) сердцевин стыкуемых оптических волокон.
Формирование вносимых потерь в коннекторах PC и UPC
Оптический контакт в коннекторах серии APC
Кроме вносимого затухания, важной оптической характеристикой является обратное отражение. Основной источник отраженного сигнала - граница раздела двух сред, например материал оптического волокна и воздуха. Эта составляющая потерь может достигать значительных величин. Кроме того, обратное отражение является непостоянным во времени. Под влиянием внешних воздействий оно в конечном итоге может нарушить стабильность работы системы. Наиболее серьезные проблемы обратное отражение создает для узкополосных лазеров с высокой когерентностью излучения (которые, например, используются в DWDM-системах и в оборудовании для сетей кабельного телевидения).
Вследствие небольшого количества разъемных соединений в тракте требования к величине вносимых ими потерь были несколько снижены по сравнению с требованиями, предъявляемыми, например, к сварным соединениям. Это позволило значительно упростить конструкцию и снизить стоимость изделий, в которых позиционирование стыкуемых волокон ограничивается пассивной поперечной юстировкой.
Основные типы разъемов
Коннекторы типа FC
Коннекторы типа FC были разработаны компанией NTT и ориентированы в основном на применение в одномодо-вых линиях дальней связи, специализированных системах и сетях кабельного телевидения. Керамический наконечник диаметром 2,5 мм с выпуклой торцевой поверхностью диаметром 2 мм обеспечивает физический контакт стыкуемых световодов. Наконечник изготавливается со строгими допусками на геометрические параметры, что гарантирует низкий уровень потерь и минимум обратных отражений. Радиус наконечника обеспечивает физический контакт стыкуемых световодов.
Адаптер для FC с аттенюатором
Для фиксации коннектора FC на розетке используется накидная гайка с резьбой М8х0,75. В данной конструкции подпружиненный наконечник жестко не связан с корпусом и хвостовиком, что усложняет и удорожает коннектор, однако такое дополнение окупается повышением надежности.
Коннектор FC с металлической феррулой
Коннекторы типа FC устойчивы к воздействию вибраций и ударов, что позволяет применять их на соответствующих сетях, например, непосредственно на подвижных объектах, а также на сооружениях, расположенных вблизи железных дорог.
Коннекторы типа ST
Коннекторы БТбыли разработаны специалистами компании AT&T в середине 80-х годов. Удачная конструкция этих коннекторов обусловила появление на рынке большого числа их аналогов.
В настоящее время коннекторы ST получили широкое распространение в оптических подсистемах локальных сетей.
Коннекторы ST фиксируются байонетным замком
Керамический наконечник диаметром 2,5 мм, с выпуклой торцевой поверхностью диаметром 2 мм обеспечивает физический контакт стыкуемых световодов. Для защиты торца волокна от повреждений при прокручивании в момент установки применяется боковой ключ, входящий в паз розетки; вилка на розетке фиксируется байонетным замком.
Коннекторы ST просты и надежны в эксплуатации, легко устанавливаются, относительно недороги. Однако простота конструкции имеет и отрицательные стороны: эти коннекторы чувствительны к резким усилиям, прилагаемым к кабелю, а также к значительным вибрационным и ударным нагрузкам, ведь наконечник представляет собой единый узел с корпусом и хвостовиком.
Этот недостаток ограничивает применение подобного типа коннекторов на подвижных объектах.Детали коннекторов ST обычно изготавливаются из цинкового сплава с никелированием, реже из пластмассы.При сборке коннекторов арамидные нити упрочняющей оплетки кабеля укладываются на поверхность задней части корпуса, после чего надвигается и обжимается металлическая гильза. Такая конструкция позволяет в значительной мере снизить вероятность обрыва волокна при выдергивании коннектора. Для дополнительного увеличения механической прочности соединительных шнуров в коннекторах ряда производителей предусматривается обжим на задней части корпуса не только арамидных нитей, но и внешней оболочки миникабеля.Активное применение коннекторов ST обусловило поиск вариантов улучшения качественных показателей этой продукции. Таким образом, по мере разработки появились SPS- и UPS-версии коннекторов такого типа.Коннекторы типа SC
Одним из недостатков коннекторов типов FC и ST считается необходимость вращательного движения при подключении к адаптеру. Для устранения этого недостатка, препятствующего увеличению плотности монтажа на лицевой панели, разработаны коннекторы типа SC. Корпус коннектора SC в поперечном сечении прямоугольный. Наконечник не связан жестко с корпусом и хвостовиком.
При подключении коннектора SC происходит проворачивание наконечника
Подключение и отключение коннектора SC производится линейно (push-pull), что предохраняет наконечники коннекторов от прокручивания друг относительно друга в момент фиксации в адаптере. Фиксирующий механизм открывается только при вытягивании коннектора за корпус. К недостаткам коннекторов SC следует отнести несколько более высокую цену и меньшую механическую прочность относительно рассмотренных ранее коннекторов типов FC и ST. Сила, выдергивающая коннектор SC из адаптера, регламентируется в пределах 40 Н, в то время как для серии FC это значение практически может равняться прочности миникабеля. Как и в случае с коннекторами ST, этот недостаток ограничивает применение коннекторов типа SC на подвижных объектах.BiconicРазъемы типа Biconic получили распространение в США благодаря усилиям Lucent Technologies.
Корпус коннектора выполняется из пластмассы и может содержать ключ, препятствующий вращательному движению сердечника при вкручивании. Нестандартный подпружиненный керамический сердечник выполнен в форме усечен-ного конуса, а у основания диаметр конуса почти равен внутреннему диаметру корпуса. Такая конструкция на вид обладает большей надежностью, чем ее аналоги. Однако исследования показали, что этот тип коннекторов проигрывает по температурной стабильности характеристик коннекторам с феррулой сложной многослойной конструкции. Кроме того, нестандартная конструкция сердечника усложняла использование таких коннекторов в гибридных разъемах.
Коннектор Biconic требует особого подхода к разработке гибридных адаптеров
В настоящее время коннекторы Biconic полностью уступили свои позиции современным типам коннекторов с сердечником стандартных размеров.DINТрадиционно изделия, соответствующие этому стандарту, были широко распространены в Германии и других европейских государствах. Стандартный керамический сердечник диаметром 2,5 мм выступает далеко за пределы корпуса. Пластмассовый корпус снабжен ключом, препятствующим вращению сердечника вокруг своей оси при вкручивании в адаптер.Коннекторы типа DIN нашли применение в тестовой аппаратуре и телекоммуникационном оборудовании.D4
Коннекторы D4 также получили распространение в Европе. Основными особенностями их конструкции являются ключ, выступающий за пределы металлического корпуса (нетехнологичная конструкция) и нестандартный керамический сердечник диаметром 2 мм. Для фиксации на розетке коннекторы снабжаются накидной гайкой с резьбой М8х0,75.Несмотря на указанные недостатки, этот тип коннекторов выпускался довольно долго, и к концу 90-х годов прошлого века уже производились PS-, SPS- и UPS-версии таких коннекторов. Основными производителями коннекторов D4 являются западноевропейские фирмы, однако для производства оборудования, поставляемого европейским операторам, выпуск таких коннекторов налажен и в США.Е-2000
В коннекторах типа Е-2000 реализована одна из наиболее сложных конструкций.
Подключение и отключение коннектора производится линейно (push-pull). Фиксирующий механизм открывается только при вытягивании коннектора за корпус с применением специальной вставки-ключа. Случайное выключение такого коннектора без использования ключа практически невозможно (то есть необходима нагрузка для разрушения защелки корпуса коннектора).
Конструкция E-2000 сводит к минимуму человеческий фактор
Наконечник в коннекторах типа Е-2000 выполняется в виде многослойной феррулы диаметром 2,5 мм. Корпусы коннекторов и адаптеров изготавливаются из прочного полимера. Основное новшество - пластмассовые шторки, выполняющие функцию заглушек при отключении адаптера. Они также служат для предотвращения попадания пыли на плоскость оптического контакта.Этот тип коннекторов отличается улучшенными оптическими показателями и стабильными температурными характеристиками, а также высокой надежностью (гарантировано не менее 2 тыс. циклов включения-выключения). Сечение корпуса - квадратное, что позволяет легко реализовать дуплексные коннекторы.Кроме прочего, следует отметить неоспоримое достоинство этой продукции - снижение влияния человеческого фактора. При включении предупреждены: возможность повреждения торцевой поверхности оптического волокна за счет избыточных усилий, направленных на соединение двух коннекторов; недостаточное усилие включения; неверное позиционирование, а также огрехи при очистке поверхностей оптического контакта.Коннектор разработан и производится компанией Diamond, уделяющей особое внимание качеству продукции. Кроме западноевропейских государств, производственные мощности этой компании расположены и в странах Восточной Европы. Несмотря на высокие оптические показатели и надежность конструкции, ценовой фактор все-таки сдерживает широкомасштабное внедрение Е-2000.Появление Е-2000 положило начало новому этапу в создании коннекторов для оптических волокон - разработке коннекторов SFF (Small Form Factor), о которых речь пойдет далее.
Перспективы для локальных сетей
Сегодня активное применение одномодовых оптических волокон при строительстве локальных сетей определяет необходимость производства многих разъемов как в одномодовом, так и в многомодовом исполнении.
Дальнейшее совершенствование структурированных кабельных сетей возможно с использованием материалов, не применяющихся в настоящее время (например, волокна из полиамида в качестве среды передачи). Это определит необходимость разработки специализированных пассивных оптических компонентов, что выделит решения для локальных сетей в отдельную самостоятельную сферу. В результате невозможно будет использовать существующие ныне конструкции пассивных оптических компонентов (в данном случае оптических разъемов) в качестве универсальных. Вместе с тем появление новых конструктивных решений может стать мощным толчком как для модификации существующих, так и для создания специализированных разъемов новых типов.
Еще один движущий фактор совершенствования разъемов - это разработка более высокоскоростного оборудования систем передачи. Следствием этого станут новые требования к пассивным оптическим компонентам, что также обуславливает необходимость совершенствования существующих и создание новых конструкций оптических разъемов.
Разъемы для оптики
Виктор Каток, Игорь Руденко, Алексей Ковтун,
Простые, надежные и достаточно недорогие разъемы с высокими характеристиками передачи - основа достижения высокой эффективности коммутации в волоконно-оптических системах.
При разработке оптических коннекторов (этот термин наиболее широко используется для определения оптических разъемов в целом и их части) необходимо было создать простые, надежные и достаточно недорогие конструкции, обеспечивающие малые уровни потерь и отраженного оптического сигнала. Причем если для высокоскоростных систем дальней связи цена имеет меньшее значение, то для локальных внутри объектовых сетей ценовой фактор является одним из основных.
Поскольку удовлетворить всем требованиям в рамках одной конструкции довольно сложно, сегодня разработано более семидесяти типов оптических коннекторов для ВОЛС различного назначения.
Наибольшее распространение получили симметричные коннекторы с конструктивным решением штекерного типа.
Для стыковки двух оптических коннекторов разработаны оптические адаптеры. Стыкуемые коннекторы могут быть одного типа, а могут быть разными. В этом случае они совмещаются в гибридном оптическом адаптере. В настоящее время производители предлагают разные модели гибридных адаптеров, которые позволяют соединять друг с другом большинство типов коннекторов, используемых наиболее часто. В некоторые адаптеры в случае необходимости также могут устанавливаться аттенюаторы для ослабления оптического сигнала.
Конструкция штекерного типа выглядит так: оптическое волокно фиксируется в прецизионном наконечнике -ферруле, которая, в свою очередь, вставляется в прецизионную вставку-центратор. Фиксация коннекторов в адаптере может быть байонетной, резьбовой или замковой.
Некоторые типы оборудования требуют включения дуплексных пар оптических волокон, для чего были разработаны дуплексные коннекторы. Первоначально реализация дуплексного коннектора осуществлялась посредством пластмассового зажима из двух симметричных половин, содержащих гнезда.
В эти гнезда укладывалась пара коннекторов, фиксируемых защелкой. Для создания дуплексных коннекторов более подходили типы разъемов, корпуса которых имеют поперечное сечение в форме квадрата.
Возрастание объемов продаж оборудования, использующего дуплексные пары оптических волокон, определило необходимость разработки дуплексных коннекторов в едином корпусе. Сегодня практически всеми производителями оптических коннекторов предлагаются разные варианты дуплексного исполнения.
Очередным шагом в развитии производства разъемов для соединения оптических волокон стало создание соединителей для ленточных элементов в едином буферном покрытии. Однако даже с помощью сварки - метода более точного и надежного - получить стыки таких волокон с высоким качеством достаточно сложно, а доля ленточных волоконно-оптических кабелей в мире пока относительно невелика (их основными потребителями являются США и Япония). Однако нельзя исключать, что с распространением многоволоконных кабелей возрастет потребность и в разъемных соединителях для таких кабелей.
Разъемы с увеличенной плотностью монтажа
Анализ преимуществ и недостатков коннекторов, разработанных ранее, показал необходимость создания новых типов коннекторов. При тех же рабочих параметрах, что и у своих предшественников, они должны были обеспечивать большую экономию места, чтобы увеличить плотность монтажа на лицевых панелях.
За основу для размеров адаптеров были приняты габариты разъема для металлических токоведущих жил типа RJ-45. Это позволило использовать общие конструктивные решения под установку RJ-45 и оптических коннекторов разрабатываемых конструкций.
Ведущие производители пассивных оптических компонентов включились в разработку коннекторов нового поколения. Из целого перечня моделей наибольшее распространение получили коннекторы типа LC, MT-RJ,VF-45n MU. Ряд производителей пассивных оптических компонентов уже приобрели лицензии на выпуск коннекторов этих типов, и объемы продаж их постоянно растут.
Коннекторы типа LC
Разработчик коннекторов типа LC - американская компания Lucent Technologies - является одним из ведущих производителей телекоммуникационного оборудования, а следовательно и "законодателем мод" в области пассивной оптики. Этому типу разъемов изначально (и, как впоследствии оказалось, вполне обоснованно) отводилась роль лидера продаж как в Соединенных Штатах, так и в Европе.
LC - лидер в сегменте разъемов с увеличенной плотностью монтажа
Конструкция коннектора сравнительно проста: керамический сердечник диаметром 1,25 мм, не связанный с пластмассовым корпусом. Механизм фиксации - защелка (аналогично RJ-45). Потери, по данным производителя, - порядка 0,2 дБ. Пара коннекторов легко объединяется в дуплекс.
Коннекторы типа MT-RJ
Коннекторы MT-RJ разработаны консорциумом производителей в составе AMp Hewlett-Packard, Siecor LIN, Fujikura и USConnec. Эти коннекторы изготавливаются исключительно в виде дуплексных пар и поэтому не могут считаться универсальными. Технологически они сложны в производстве.
Корпус коннекторов содержит пару металлических направляющих, в которые предварительно установлены два оптических волокна.
Оптические волокна кабеля подвариваются к предустановленным волокнам. После установки кабель фиксируется поворотом запирающего ключа.Средняя величина потерь составляет порядка 0,2 дБ.Коннекторы типа MT-RJ применяются в коммутаторах, концентраторах и маршрутизаторах многими ведущими производителями оборудования.Коннекторы типа VF-45
Корпорация 3М также не могла не отреагировать на рыночные тенденции относительно внедрения коннекторов SFF. Компания разработала собственную конструкцию - дуплексный коннектор VF-45 для одномодовых и многомодовых волокон - и стала активно продвигать его на рынке. Он также может реализовываться под названием SJ.
В VF-45 вместо наконечников используются V0образные канавки
Этот коннектор выполнен по технологии push-pull - подключение производится линейно. Следует отметить, что в целях эргономичности хвостовик коннектора наклонен под углом примерно в 45° от плоскости соединения волокон, то есть опущен вниз. При этом обеспечивается высокая плотность монтажа - используется панель для монтажа RG-45. Вместо керамических феррул, применяемых большинством производителей, используется V-образная канавка, что удешевляет коннектор в производстве.Производитель гарантирует качество и стабильность характеристик, основываясь на более чем десятилетнем опыте эксплуатации оптических соединителей, выполненных с применением этой технологии. Коннектор снабжен самозащелкивающейся шторкой для предотвращения попадания пыли на поверхность оптического контакта.Производитель гарантирует высокие показатели качества: уровень затухания не выше 0,75 дБ, а обратное отражение составляет менее 26 дБ.Как и коннекторы типа MT-RJ, VF-45 предназначены для использования в телекоммуникационном оборудовании: коммутаторах, концентраторах, маршрутизаторах.Коннекторы типа MU
Коннекторы этого типа разработаны компанией NTT и производятся рядом других компаний. Они представляют собой уменьшенный приблизительно вдвое аналог SC. Механизм фиксации за счет уменьшения габаритов в коннекторах этого типа может быть менее надежен.Наконечник и центратор - керамические, диаметром 1,25 мм.Корпус выполнен из пластмассы, детали - полимерные и металлические.Доля оборудования, выпускаемого с коннекторами типа MU, относительно невелика, однако есть перспективы роста, в первую очередь за счет снижения доли использования в оборудовании коннекторов более ранних разработок.Предполагается, что коннекторы нового поколения постепенно займут лидирующие позиции на рынке, а затем и вовсе вытеснят своих предшественников, если к этому времени не будут разработаны более совершенные конструкции коннекторов, объединяющих в себе достоинства вышеперечисленных моделей и, вместе с тем, превосходящие их по каким-либо факторам (к примеру, по цене или надежности).
Технология оконцевания
Производители предлагают различные технологии оконцевания, то есть монтажа коннекторов на оптические волокна.
На определенном этапе (который теперь можно считать первоначальным) предполагалось, что технология создания разъемных соединений будет включать в себя технологические операции по закреплению соединяемых оптических волокон в штекере-заготовке с помощью химического фиксатора. В качестве фиксатора использовался эпоксидный клеи или его аналоги. После закрепления волокно необходимо было сколоть, а затем особым образом отполировать торец разъема с выступающим волокном до достижения требуемых форм торца.
С целью ускорения процесса инсталляции были разработаны технологии без использования эпоксидного клея. Такие технологии используют механическую фиксацию волокна встроенными в коннектор зажимами, термофиксацию клеями-расплавами и т.п. Однако со временем популярность подобных технологий снизилась. Вероятно, причинами этого стала хладотекучесть клеев-расплавов под давлением, вследствие чего оптическое волокно внутри коннектора со временем смещалось вдоль оси, а это влекло за собой ухудшение или потерю физического контакта, и, следовательно, рост вносимых потерь и обратных отражений.
В настоящее время наибольшее распространение получили коннекторы с вмонтированным отрезком оптического волокна в буферном и вторичном покрытиях. Этот отрезок стыкуется с волокном кабеля. Несмотря на то, что вместо одного места стыка получается два, такая технология хорошо зарекомендовала себя на практике. Ее основное достоинство - отсутствие при оконцевании волокон технологической операции полировки торца коннектора, требующей больших затрат времени, а для высокоскоростных сетей - еще и дорогостоящего оборудования шлифовки и контроля. Эти процедуры проводятся в стационарных условиях на предприятии-изготовителе. Подобный подход позволяет производителю практически бесконечно улучшать качество полировки торцов соединяемых волокон, использовать новые технологии, направленные на сокращение потерь и улучшение параметров оптических разъемов, не заставляя при этом покупателя приобретать все более совершенное (и, разумеется, дорогостоящее) оборудование для окончательной подготовки разъемов к работе.
Строим Wi-Fi
,
,
«Экспресс-Электроника», #12/2004
Красочные буклеты, демонстрирующие безграничные преимущества Wi - Fi, беспроводных сетевых средств, рассказывают либо о крупных, профессионально спроектированных системах, либо о домашних, весьма ограниченных по метражу и пользовательскому наполнению средах. Задача создания корпоративной беспроводной сети не так проста, и прежде чем перейти к ее решению, необходимо разобраться в некоторых особенностях и инструментах «беспроводного строительства».
Впрочем, мы отнюдь не ратуем за включение в поставку каждого Centrino -ноутбука пособия по курсу «Распространение радиоволн». Как говорится, вольному – воля, а массовому пользователю – удобное, качественное и, главное, простое с точки зрения использования решение. Поэтому настоящий материал ориентирован прежде всего на тех, кому придется создавать такие решения.
Первые неожиданности
Наиболее распространенными стандартами беспроводных сетей сегодня являются IEEE 802.11 b и 802.11 g. Оборудование таких сетей, согласно IEEE, работает в диапазоне 2400-2483,5 МГц и способно передавать данные с максимальной скоростью 11 и 54 Мбит/с соответственно. Практически все ноутбуки на платформе Centrino поддерживают указанные стандарты, что мы и будем учитывать при обзоре типов беспроводных устройств и их свойств.
Распределение волн в рассматриваемом диапазоне имеет ряд оригинальных качеств. Несмотря на функциональное сходство беспроводного и проводного оборудования, разница в их установке, монтаже и настройке немалая. Причина — в свойствах физических сред, используемых для передачи информации. В случае с беспроводным оборудованием нужно учитывать законы распространения радиоволн. Радиоэфир более чувствителен к различного рода помехам. Поэтому наличие перегородок, стен и железобетонных перекрытий может сказаться на скорости передачи данных. Условия приема и передачи радиосигнала ухудшают не только физические препятствия, также помехи создают и различные радиоизлучающие приборы.
При разрешении таких проблем одним только правилом прямолинейного распространения радиоволн (с эмпирическим определением коэффициента наносимых преградами помех) не обойтись, ведь выявить тип преграды — тоже задача не из легких.
Проблема качества сигнала не решится простым увеличением мощности точек доступа. Дело в том, что такой подход не гарантирует повышения качества связи, а скорее наоборот – ведет к его ухудшению, так как создает массу помех в том диапазоне частот, который используют другие точки доступа. Напомню, что точки доступа 802.11 предоставляют разделяемую среду, в которой в определенный момент времени лишь одна из них может вести передачу данных. Как следствие, масштабирование таких сетей ограничено.
Стандартно точки доступа комплектуются всенаправленными антеннами, часто приходится выбирать между качественным сигналом и уровнем доступности сети за пределами офиса (то есть безопасностью) ведь доступ к среде, по которой передаются данные, открыт. Именно поэтому вопросы безопасности сети, построенной на основе нескольких точек доступа, весьма актуальны.
Архитектуры
Перейдем к выбору архитектуры создаваемой сети. Распределенная или централизованная?. Каждая из них имеет ряд особенностей, достоинств и недостатков. Так, например, для построения сети на основе распределенной архитектуры (distributed access point architecture) достаточно установить точки доступа. Это, несомненно, ее преимущество. Дело в том, что стандарт 802.11 изначально объединяет в одном устройстве функциональность сетевого контроллера и радиотрансиверов, поэтому развернуть сеть можно посредством установки точек доступа в свободный порт коммутатора и беспроводных адаптеров в клиентские ПК. В большинстве случаев даже нет необходимости конфигурировать ТД или клиентские компьютеры, поэтому беспроводной сегмент становится естественной частью всей сети.
Существенный недостаток такой сети — отсутствие единого управляющего элемента. Поэтому применение такого способа построения зачастую сильно ограничено.
Впрочем, в каждом правиле есть исключения, о них мы поговорим несколько позже.
Проблема распределенного построения сети решается использованием беспроводных коммутаторов, однако их применение уже символизирует организацию беспроводной сети на основе централизованной архитектуры. Основное отличие проводных коммутаторов от беспроводных в том, что последние не предоставляют пользователю выделенную полосу пропускания. (Для этого пришлось бы предоставить отдельный беспроводный канал для каждого пользователя сети, в таком случае беспроводные сети лишаются главного достоинства.) Имеются и общие черты. Так, в сети, где устанавливается беспроводный коммутатор, функции шифрования и аутентификации от точек доступа переходят к коммутатору и администрируются централизовано. В итоге задача точки доступа ограничивается транзитом данных к пользователю и от него.
Другое преимущество сети на базе беспроводного коммутатора заключается в том, что при переходе от одной точки доступа к другой пользователь не теряет соединения с сетью, и ему не приходится проходить аутентификацию заново. Беспроводный коммутатор, своеобразный центр беспроводной сети, автоматически и без ущерба для сеанса связи отслеживает перемещения клиента. Кроме того, так как большая часть точек доступа поддерживает режим питания PoE (Power over Ethernet), беспроводный коммутатор способен не только стать для них источником питания, но и выполнять функцию отслеживания отказавших участков сети. Таким образом он может компенсировать неисправность участка сети расширением числа пользователей точек доступа, соседствующих с вышедшей из строя, путем увеличения их мощности. Исходя из информации о количестве пользователей, беспроводный коммутатор может эффективно распределять загрузку каналов, предлагая более широкую пропускную способность сегментам сети, имеющих в определенный момент большее количество пользователей. Уже сегодня производители беспроводных коммутаторов предлагают в составе своих продуктов специализированное ПО, поддерживающие описанные выше функции.
На рынке беспроводных коммутаторов работают компании Symbol Technologies, HP, Proxim, Aruba Wireless Network. В России доступна продукция лидера этого рынка (по данным Infonetics Research) – Symbol Technologies и новичка в этой сфере – HP.
Наиболее интересный беспроводный коммутатор в линейке Symbol Technologies – Symbol WS 2000 Wireless Switch (WS 2000) — представляет собой единую систему, включающую функции обеспечения безопасности, управления и мобильности для создания Ethernet-сетей корпоративного класса и беспроводных сетей. Оборудование WS 2000 предусматривает централизованное администрирование из центров управления сетью, с целью согласованной работы сетевой архитектуры поддерживает тиражирование в нескольких филиалах предприятия. Средства безопасности включают межсетевой экран с проверкой состояния связи; полнофункциональный сервер Network Access Translation с несколькими шлюзами прикладного уровня, способными обслуживать 40 приложений; поддержку стандартов Kerberos, 802.1X/EAP, WPA и IEEE 802.11i, а также встроенную защищенную базу данных веб-аутентификации. Расширенные возможности управления через SNMP и веб с поддержкой SSL позволяют централизованно управлять оборудованием, инсталлированным в нескольких офисах.
Коммутатор поддерживает несколько стандартов — IEEE 802.11b, 802.11a и 802.11g. Помимо встроенной памяти объемом 64 Мбайт есть слот CompactFlash для установки дополнительной памяти и загрузки новых средств безопасности, управления и обеспечения мобильной работы. Также от WS 2000 можно запитывать точки доступа.
HP стала первой компанией из числа А-бренд, представившей беспроводные коммутаторы (в терминах компании — контроллеры доступа). Семейство ProCurve Secure Access 700wl включает три устройства: 720wl, 740wl и 760wl. Согласно данным HP, эти коммутаторы должны обеспечить защищенное и прозрачное соединение с сетью при их перемещениях пользователя в пределах предприятия. Среди возможностей этих продуктов — контроль доступа по ряду параметров (в зависимости от пользователя, его месторасположения и времени суток).
Также они совместимы с любым ПО для виртуальных частных сетей (VPN) и не требуют инсталляции на беспроводном устройстве специализированного клиента VPN.
Коммутатор Access Controller 720wl может работать с любыми точками доступа стандарта 802.11b, включая собственный продукт компании, ProCurve 520wl. Он поставляется с четырьмя портами Ethernet 10/100 для подключения точек доступа, имеет два слота расширения, позволяющие увеличить число портов до двенадцати. Возможны и другие варианты использования этих слотов — порты Fibre Channel и платы акселераторов, ускоряющие работу с функциями защиты, например шифрованием. Второй продукт — Access Control Server 740wl — предназначен для централизованной настройки и управления политиками, которые затем будут реализовывать коммутаторы 720wl.
Для малых предприятий и подразделений компаний разработано устройство Integrated Access Manager 760wl, объединяющее коммутатор и сервер управления. Сначала компании могут использовать только это устройство, а затем, по мере расширения сети, добавлять к нему коммутаторы 720wl, сохраняя возможность централизованного управления ими через сервер 760wl.
Вопросы безопасности
Основным фактором, сдерживающим широкое распространение беспроводных сетей в корпоративной среде, является устоявшееся мнение о недостаточном уровне безопасности таких решений. Впрочем, заключение небезосновательное базовые средства защиты 802.11 взламывались неоднократно. Сегодня беспроводную сеть считают защищенной, если в ней функционируют три основных составляющих системы безопасности: аутентификация пользователя, конфиденциальность и целостность передачи данных.
В настоящее время сообщество разработчиков и производителей беспроводного оборудования близко к повсеместному признанию модели, базирующейся на технологии Wi - Fi Protected Access (WPA). Данная технология поддерживает базовые средства аутентификации протоколов 802.1x, конфиденциальность передачи данных посредством шифрования трафика с помощью TKIP и целостность информации — путем сверки контрольной суммы MIC (Message Integrity Check).
Отметим, что протокол TKIP ( Temporal Key Integrity Protocol) широкого распространения не получил: несмотря на увеличение общего уровеня безопасности, он существенно сужает пропускную способность беспроводного канала.
Стандартные средства защиты беспроводной сети предусматривают комплекс мер по безопасности передачи данных под общим названием Wired Equivalent Privacy (WEP). Протокол обеспечивает противодействие несанкционированному доступу к сети (механизмы и процедуры аутентификации), а также предотвращение перехвата информации (шифрование с помощью 24-битного ключа типа RC4). WEP неоднократно подвергался критике со стороны специалистов, занимающихся вопросами безопасности беспроводных сетей. Исследования предлагаемого решения продемонстрировали, что определить ключ на основе анализа передаваемых данных можно достаточно быстро – перебором порядка 8000 комбинаций. Так же легко изменить нешифруемый заголовок пакета: получатель информации примет ложный ключ и впоследствии будет взаимодействовать с декодером злоумышленника.
При использовании распределенной архитектуры составляющие WPA-технологии обеспечиваются точками доступа. Иначе обстоит дело в случае централизованной архитектуры. Некоторые производители возлагают задачу защиты сети на точки доступа, другие – на беспроводные коммутаторы, третьи – распределяют между этими двумя устройствами. Например, на коммутаторы возлагается аутентификация пользователей, а шифрованием и целостностью данных занимаются точки доступа. Однако правильнее, когда аутентификация выполняется на границе сети: если злоумышленник пытается получить доступ к сети, лучше перехватить его как можно раньше.
Рассмотрим, как проходит атака DoS (Denial of Service). В распределенной архитектуре DoS-атака осуществляется только на одну точку доступа; так как последняя блокирует весь неавторизованный трафик, другие компоненты сети будут изолированы от атаки. В сети с централизованной архитектурой, где функции аутентификации выполняет коммутатор, точка доступа не может заблокировать неавторизованный трафик, поэтому он направляется к беспроводному коммутатору, который не пропускает его в корпоративную сеть.
Однако этот трафик будет передаваться через все устройства, находящиеся на пути от атакованной точки доступа к коммутатору.
Так как при распределенной архитектуре все функции безопасности сосредоточиваются в точке доступа, наиболее частым аргументом против такой архитектуры является ее физическая уязвимость. Иными словами, к точке доступа очень просто несанкционированно проникнуть или вообще похитить ее. А это грозит серьезными проблемами: именно в ней содержатся ключи шифрования и другие установки по обеспечению безопасности. Злоумышленник, похитивший точку доступа, может затем извлечь из нее весьма важную информацию, включая МАС-адреса других сетевых устройств. Более того, установив украденную точку доступа в своей сети (достаточно близко от атакуемой), он может перехватить полноправного клиента и раскрыть регистрационную информацию. Впрочем, проблему можно предотвратить: помещение, где налаживается беспроводная сеть, должно иметь хорошую охранную систему, а точки доступа следует располагать на известном удалении от земли (производственные корпуса). В иных случаях для достижения достаточного уровня безопасности сети лучше остановиться на централизованной архитектуре.
Не последнее место среди оборудования, повышающего уровень безопасности беспроводной сети, занимают антенны. Если учесть, что беспроводные клиентские адаптеры поставляются со стандартными антеннами, поддерживающими относительно небольшую дальность передачи данных, важность использования направленных антенн для физического ограничения зоны доступа к сети, кабелей с малыми потерями для удаления точки доступа от зоны покрытия, молниеразрядников и других устройств весьма актуальна.
Сегодня на рынке встречаются специализированные антенны двух типов. Одни созданы для организации сетей с топологией «точка-точка», то есть однонаправленные, другие – «точка – многоточка» — всенаправленные. Естественно, антенны разного назначения имеют разный коэффициент усиления. Наиболее эффективными принято считать интеллектуальные антенны.
Они используют фазированную антенную решетку, с помощью которой можно не только обеспечить большое число контактов с клиентскими станциями при высокой плотности последних, но и максимально ограничить зону работы приемопередатчика точки доступа во избежание возможности внешних атак. Нужно отметить, что стоимость таких антенн пока высока, поэтому они используются в основном операторскими компаниями для строительства крупных сетей.
Примером направленной антенны, доступной на российском рынке, может служить продукт компании U.S. Robotics – USR5482, который дает мощный, сфокусированный сигнал (с углом поляризации 60 градусов) и предназначен для точек беспроводного доступа и маршрутизаторов 802.11b и 802.11g. Кроме того, эта антенна сертифицирована и для внешних, уличных приложений (например, для коммуникаций между зданиями).
Наконец, еще один элемент беспроводных сетей, без которого в ряде случаев невозможно организовать полноценного удаленного доступа, — это устройства для соединения антенны и точки доступа при их взаимном удалении. Представить случаи, в которых антенная колонка и точка доступа могут быть разнесены, несложно – это и способ избегнуть влияния климатических условий на электрическую часть приемопередающего устройства, и возможность обеспечить физическую безопасность точки доступа. Антенные усилители диапазона 2,4 ГГц предназначены для компенсации потерь в кабеле между антенной и приемопередатчиком, увеличения выходной мощности передатчика и повышения стабильности работы приемника. Сейчас наибольшее применение получили усилители с выходной мощностью 500 мВт в совокупности с параболическими антеннами (усиление 24 dBi), что позволяет практически любой точке доступа увеличить дальность действия до 50 км.
Решение проблемы безопасности во многом должно продвинуть распространение протокола передачи данных, заложенного в спецификацию 802.11i. Последняя предполагает внесение изменений не только в протокол, но и в стандартную аппаратуру приемопередающих устройств.
Предлагаемый к использованию протокол аутентификации Extensible Authentication Protocol (EAP), базирующийся на PPP, весьма эффективен, так как помимо использования стойких алгоритмов кодирования предлагает еще и применение 128-битных ключей. Кроме того, процедура аутентификации предполагает участие в ней трех сторон — вызывающей (клиента), вызываемой (точки доступа) и сервера аутентификации, что существенно повышает безопасность соединения.
Карты покрытия
Последний момент, на котором мы остановим свое внимание, касается своеобразного «высшего пилотажа» в проектировании беспроводных сетей. Речь пойдет о точном расчете при планировании внешней радиолинии, требующего учета характера местности, типа использованных антенн и множества прочих факторов, что является достаточно сложной задачей и предполагает применение качественной контрольно-измерительной аппаратуры и соответствующих обрабатывающих программ. Надо сказать, что большинство отечественных, и тем более, западных интеграторов использует в этой области собственные ноу-хау, и все они являются тайной за семью печатями. Впрочем, с ростом интереса к сфере беспроводного оборудования появления общедоступных средств «беспроводного проектирования» не могло не произойти. И об одном из таких средств мы расскажем несколько позднее. Но перед тем сформулируем задачи, которые должен выполнять такой программно-аппаратный комплекс. Среди них, в первую очередь, — выбор оптимального расположения точек доступа с учетом экономически оправданного выбора дополнительного оборудования для них (типов антенн, усилителей, фидеров и т. д.). Затем, такая программа должна настроить схему оптимального радиорежима в границах сети, то есть произвести выбор частотных каналов, уровней мощности, плоскости поляризации используемых точек доступа, дабы обеспечить минимальный уровень помех между сегментами сети.
Примером подобного программного обеспечения может служить продукт компании Ekahau — Site Survey (ESS) 2.1 для сетей 802.11a/b/g. Особенность данного ПО в том, что из аппаратного обеспечения потребуется лишь ноутбук с адаптером Wi-Fi и желательно, внешняя антенна, позволяющая повысить точность проводимых измерений.
Соответственно, для наружных работ при покупке опционального программного модуля понадобится GPS-приемник с интерфейсным кабелем.
Пакет состоит из базовой программы Site Survey и клиента для аудита сети вместе с набором драйверов для карт от различных производителей. В итоге Ekahau Client превращает обычный ноутбук с Wi-Fi-адаптером в инструмент для контроля беспроводной сети и в большинстве случаев позволяет избежать затрат на приобретение и размещение дополнительной измерительной аппаратуры.
Схема работы этого ПО весьма проста. В начале с помощью Site Survey производится планирование сети, для чего в редакторообразном окне составляется план покрываемого сетью помещения. Далее производится выбор расположения точек доступа, а при помощи Ekahau Client и ноутбука – проверка и доводка выбранного положения точек доступа. Далее идет этап выбора оптимального радиорежима и повторный контроль радиоэфира. Вообще, работа с программой напоминает подгонку результата под необходимые условия в числовых методах. Корреляция искомого положения радиоэфира беспроводной сети ведется до тех пор, пока не будет найден достаточный для заданных условий режим.
Врезка 1. Виктор Максимов, коммерческий директор компании Art Communications
Главным фактором, влияющим на рост БСПД, в нашей стране, безусловно,, были и остаются вопросы регулирования спектра. Упрощение процедуры регистрации в диапазоне 2,4 ГГц привело к росту количества сетей этого диапазона. Но свободный ресурс в диапазонах 2,4 ГГц и 3,5 ГГц практически исчерпан, и эти участки спектра крайне захламлены. Диапазон 5 ГГц имеют лучшую экологию, поэтому неудивительно, что многие операторы переходят именно сюда.
С другой стороны технологических сложностей тоже хватает, и только собственный опыт, а также наработанные ноу-хау, помогают их решать. Ведь в любой сфере приходится копить знания и умения решать определенные вопросы — именно так и происходит становление оператора.
При организации доступа к беспроводным сетям наша компания отдает предпочтение оборудованию Cisco, как наиболее надежному.
Потребителями этих решений становятся, в основном, корпоративные клиенты. В других случаях применяется техника LinkSys, надежные, но более дешевые решения для рынка SOHO, небольших проектов и частного сектора.
Здесь важно отметить использование исключительно сертифицированного ПО, отвечающего всем требованиям безопасности. И несмотря на то, что сегодня много говорят об уязвимости беспроводных сетей, мы склонны считать, что это не совсем верно. Если сеть защищена профессионально – осуществить несанкционированный доступ в нее практически невозможно. Но если при проектировании сети были допущены ошибки, результат будет очевидным. К счастью, решений по обеспечению безопасности сегодня очень много, и выбор зависит от конкретных требований проекта.
Но, даже учитывая это, нельзя сказать, что беспроводные сети – это панацея. Проводные решения никуда не исчезнут, нельзя противопоставлять эти технологии. Они дополняют друг друга, и каждая решает свои задачи.
Врезка 2. Дмитрий Бутмалай, ведущий эксперт департамента системных решений компании IBS
Сложности при построении беспроводных сетей действительно возникают, но практически всегда их можно преодолеть. Если говорить о государственных согласованиях, то с внутриофисными беспроводными сетями диапазона 2,4 ГГц особых проблем нет, поскольку для них действует фактически уведомительный порядок получения разрешения на использование частот. Вместе с тем степень распространенности беспроводного оборудования сегодня такова, что особого смысла в этом нет, ибо 99% внутриофисных беспроводных сетей, главным образом, домашних, работают без разрешения и бороться с этим бессмысленно.
В то же время для диапазона 5,2 ГГц ситуация несколько сложнее, так как зарегистрировать в этом диапазоне сеть невозможно, хотя большинство выпускаемых в настоящее время точек доступа и беспроводных адаптеров поддерживают работу по стандарту IEEE 802.11a именно в этом диапазоне. Как после поступать в таком случае, можно ли контролировать ситуацию административно? К сожалению, законодательство за последние 2 года не изменилось, но реалии таковы, что в области внутриофисных сетей разрабатывать нормативы уже поздно, следует признать факт их существования и разрешить безлицензионную работу.
Ограничения возможны только на технические характеристики оборудования, но это должно контролироваться на этапе ввоза. Иначе любой контроль теряет смысл.
Несмотря на периодически возникающие сложности, за годы работы в этой области нами накоплен большой опыт, разумеется, разработаны свои ноу-хау, главным образом, в области обеспечения безопасности беспроводных сетей. Таким образом, мы можем сказать, что любые технические вопросы по развертыванию беспроводных сетей нам сегодня «по зубам», равно как и поддержка сервисов и обеспечение безопасности. Кстати, вопросы безопасности решаются не только собственными средствами, но и с помощью продуктов Cisco Aironet. Мы отдаем предпочтение именно этим решениям, так как Cisco является бесспорным лидером в области Wi-Fi для корпоративных заказчиков.
Тем не менее сегодня даже с таким оборудованием беспроводные сети обходятся, по крайней мере, не дороже проводных, стоимость обслуживания - тоже. Поэтому развертывание беспроводных сетей часто оказывается для заказчика более привлекательным вариантом.
Врезка 3. Александр Ярошко, ведущий инженер Департамента сетевых технологий компании АйТи
Основные сложности при развертывании беспроводных сетей связаны, во-первых, с ограничением возможностей радиосети пропускной способностью среды, и, во-вторых, с необходимостью получать целый ряд разрешительных документов.
Технологические сложности, впрочем, сводятся в основном к тому, что при построении радиосети внутри здания мы всегда имеем дело с пересеченной местностью – стенами, перегородками и другими препятствиями. Соответственно, чтобы точки доступа обеспечивали покрытие всей необходимой территории, необходимо точно просчитать их расположение. Если для проектирования традиционной сети зачастую достаточно планов здания и телефонных консультаций с заказчиком, то при построении беспроводных сетей такой вариант «не проходит». Всегда требуются необходимые измерения на месте.
Правовые моменты связаны с более серьезными проблемами. При построении сети внутри здания, когда речь идет лишь об уведомлении соответствующих инстанций, как правило, проблем не возникает.
Гораздо сложнее согласовать создание внешней сети. Необходимо получить разрешения на эксплуатацию сети, использование частот, решить некоторые другие проблемы. Этот процесс нередко затягивает осуществление проекта. Более того, были прецеденты, когда Госкомитет по радиочастотам отказывал в выдаче соответствующего разрешения, следовательно, построение сети становилось невозможным.
Для построения сети (если она уже одобрена) мы используем оборудование ведущих мировых производителей — Cisco Systems, Nortel Networks, 3Com. При выполнении конкретного проекта выбор в пользу оборудования того или иного вендора обуславливается многими факторами: исходные параметры сети, требования к особенностям беспроводного доступа и другие. Предпочтение отдается наиболее оптимальному для конкретного предприятия решению.
Большую роль играет уровень безопасности. Признаться честно, получить несанкционированный доступ к беспроводной сети гораздо проще, чем к традиционной. Однако сделать это все равно довольно сложно. Современные системы безопасности –прежде всего, системы аутентификации и авторизации пользователей, а также системы шифрования данных – обеспечивают достаточно надежную защиту сетей от нежелательных вторжений. Конечно, они не исключают возможности перехвата пакетов, иными словами прослушивания сети, и даже подключения к сети с помощью «пиратских» точек доступа. Но в этом случае речь идет о получении обрывочных данных. Целенаправленно проникнуть в сеть с выходом на определенную информацию очень сложно, сведения придется собирать по крупицам. Ключи шифрования часто меняются, да и сами системы шифрования (созданные специально для Wi-Fi) постоянно совершенствуются. Таким образом, если речь не идет о государственных организациях, работающих с гостайной, то, как правило, заказчиков вполне устраивает существующий уровень защиты беспроводных сетей.
Также в пользу новых технологий говорит стоимость построения беспроводной сети: в среднем она приблизительно равняется затратам на создание традиционной.
Более того, сегодня развертывание беспроводных сетей нередко обходится дешевле. С чем это связано? Одна из причин в том, что построение проводной сети на базе СКС – более трудоемкий и длительный процесс. С точки зрения эксплуатации обслуживание беспроводных сетей облегчается автоматической диагностикой практически всех проблем, возникающих на точках доступа, тогда как в проводной сети для обнаружения причин сбоя часто приходится искать физические повреждения кабеля, что само по себе непросто. При этом надо понимать, что беспроводные сети не могут поддерживать те скорости, которые обеспечивают проводные сети, а соответственно, возможности их ограничены, по крайней мере с точки зрения числа пользователей и пропускной способности. Хотя, насколько мне известно, уже ведутся разработки высокоскоростных беспроводных решений, сопоставимых по своим скоростным возможностям с проводными.
Врезка 4. Денис Куликов, директор по развитию компании Quantum Communications
Когда что-то строишь, непременно сталкиваешься с трудностями, и беспроводные сети не исключение. Однако здесь есть некоторые особенности. Во всем мире диапазон 2.4 ГГц и 5.2 ГГц не является лицензируемым, поэтому оборудование для него находится в свободной продаже и стоит очень дешево. Наше государство, сделав эти диапазоны лицензируемыми, заключило соглашения с теми компаниями, кто получил разрешение на эти частоты. Хотя в них оговаривается, что государство будет регулировать ситуацию, на практике эти соглашения не выполняются и оборудование, в частности для наружного монтажа, продается без всяких преград, что существенно осложняет ситуацию. Не скажу, чтобы за последнее время что-то изменилось в лучшую сторону, по крайней мере с точки зрения законодательства. Однозначно можно сказать только то, что сегодня операторы с нетерпением ждут ясной позиции государства относительно WiMAX.
Ну, а тем временем мы копим опыт и ведем проекты по развертыванию сетей W i -Fi. Наши ноу-хау — конкурентное преимущество, которое позволяет нам активно работать.
Quantum Communications достаточно долго присутствует на рынке, поэтому мы можем быстро оценить трудоемкость либо неразрешимость возникающей проблемы, а это означает, что компания потратит оптимальное количество времени, и сразу даст оценку стоимости решения. При этом мы отдаем предпочтение оборудованию, которое обладает всеми необходимыми сертификатами и которое указано в наших разрешительных документах; на сегодняшний день это продукты компании Infinet. Они позволяют достаточно эффективно решать все возникающие вопросы и удовлетворять потребности клиентов, в том числе и касающиеся безопасности.
Вообще говоря, по поводу безопасности беспроводных сетей стоит высказаться подробнее. Существуют стандартные клише, которыми любят пугать клиентов: "радио небезопасно", "весна придет - медные провода зальет", "а вот улицу бульдозер будет перекапывать, оптику порвет, и месяц опять на Dial Up сидеть". Да, в беспроводном мире ситуация с безопасностью доступа к каналу сложнее, чем в проводном. Следовательно, наша компания уделяет этому особое внимание, хотя надо заметить, что при доступе в Интернет клиенты редко задумываются о своей безопасности, и стоит ли говорить о безопасности «последней мили», когда на клиентских терминалах расплодилось всевозможное spyware? В любом случае для корпоративных каналов мы применяем шифрование как в самой радиосреде, так и на более высоких уровнях. Использование частных протоколов производителя радиооборудования также весьма серьезно повышает безопасность канала. Таким образом, безопасность грамотно организованных беспроводных сетей оказывается выше, чем в самодельных проводных.
Однако при сравнении двух подходов — проводного и беспроводного, неизбежно возникает вопрос стоимости, и вопрос достаточно трудный. Что будет дороже в регионах — быстро поставить базовую станцию и сделать беспроводную «последнюю милю» или около года согласовывать прокладку оптики. Что выгоднее? С другой стороны, если формировать канал в центре Москвы или Санкт-Петербурга, то придумать что-то дешевле прокладки проводной «последней мили» трудно, а ставить базовые станции, при технологии, требующей к тому же еще и прямой видимости, кажется просто абсурдным.
Впрочем, логика здесь очевидна: чем ниже плотность клиентов, тем перспективнее использование радио, но с повышением плотности клиентов проводные каналы начинают выигрывать. Однако стоимость обслуживания беспроводных каналов, несомненно, дороже.
Врезка 5. Владимир Морозюк, директор по развитию эфирных технологий компании «Комстар — Объединенные Телесистемы»
К сожалению, существующие сегодня на российском рынке БСПД сложности, характерны для всего мира – дефицит рабочих радиочастот, помехи от коллег-операторов и других источников излучения, неготовность владельцев объектов к размещению таких сетей (как с точки зрения потребности в этих сетях, так и со стороны готовности развивать этот бизнес самостоятельно). По сути, владельцы беспроводных сетей не представляют всех сложностей, сопутствующих при получении лицензий, разрешений на использование частот, при подключении к другим сетям.
Отечественная специфика мало чем отличается от мировой, а в некоторых аспектах на нашем рынке даже сложнее работать. Нормативная база закона «О связи» пока не позволяет ввести упрощенный порядок выдачи лицензий — на каждую беспроводную точку доступа приходится получать отдельные разрешения, что серьезно затрудняет оперативное развертывание сетей с сотнями и тысячами хот-спотов.
Даже если этот этап позади, мало развернуть сеть на объекте – ее еще нужно подключить к Интернету, обеспечив при этом высокую скорость доступа. Учитывая растущие потребности владельцев хот-спотов, важно предоставить возможность масштабирования этой сети с точки зрения расстановки новых точек доступа, увеличения скоростей передачи информации, организации биллинга и так далее. Для качественного предоставления услуг необходимо обеспечить надежное покрытие, что связано с большим количеством базовых станций (точек доступа), внешними помехами и другими затруднениями. Для соединения самих точек доступа нужно построить высокоскоростную локальную сеть. Понятно, что не всем провайдерам услуг беспроводного доступа, а в некоторых случаях и операторам, удается решить эти проблемы.
Любая беспроводная сеть имеет какую-либо технологическую проводную инфраструктуру, и чем масштабнее проект подключения беспроводной сети, тем эффективнее следует решать задачу организации «последней мили». В обоих случаях общий показатель затрат зависит от технических требований, предъявляемых клиентом к решению связи. Затраты на развертывание беспроводной сети варьируются от $200 до $3 тыс., и верхний предел этой суммы можно сопоставить со стоимостью организации проводного решения. Но что касается администрирования беспроводных сетей, этот процесс является стандартным для сетей различной природы.
На сегодняшний день мы серьезно продвинулись во всех требуемых направлениях. По мере накопления критической массы хот-спотов в Москве «Комстар» планирует заняться организацией роуминга между сетями других провайдеров беспроводного доступа.
Что касается защиты построенных сетей, откровенно говоря, вопросы безопасности схожи для всех сетей связи. Ведь для нападения на какой-либо объект в Интернете совсем необязательно подключаться в непосредственной близости от него. Для ограничения несанкционированного доступа к беспроводной сети мы применяем широкий арсенал средств аутентификации и авторизации, а также различные способы выявления нарушителя.
Врезка 6. Сергей Кузнецов, менеджер по продажам компании Computer Associates
Годовой рост рынка Wi-Fi составляет 26%, как по оценкам Gartner, так и с точки зрения IDC. Инвестиции как в технику, так и в ПО, постоянно растут, и это, безусловно, является положительным моментом для пользователей, в том числе и для домашних сетей.
Однако у Wi-Fi сегодня есть две ярко выраженные проблемы. Во-первых, воровство. Поэтому в России пока нет корпораций, которые активно используют в своей внутренней инфраструктуре сети Wi-Fi. Да, публичные сети начинают появляться, но для них воровство не столь критично, ведь человек, выходящий в Интернет, как в публичной сети, так и через телефонную линию, должен понимать что идет на риск. Вторая проблема –производительность сети.
Когда к точке доступа подключается очередной пользователь, производительность падает нелинейно, так что иногда бывает целесообразнее отказать новому клиенту, чем «просадить» скорость всех работающих устройств «до нуля».
Отсюда вытекает третья проблема – обеспечение качественного предоставления услуги. Ведь если не заботиться о фильтрации случайных пользователей и о безопасности сети, как объяснить потом людям, которые заплатили за ваши услуги, почему у них такая низкая скорость или почему на компьютер совершаются атаки, если пользователь не выходит в Интернет?
Кроме этого, если говорить о корпоративных пользователях, сети Wi-Fi добавляют серьезную дыру в системе безопасности предприятия. В сети постоянно появляются ноутбуки, наладонники, даже если они не новые, кто знает, что успел подхватить пользователь, работая в других сетях?
На решение именно этих проблем нацелено программное обеспечение Computer Associates. С его помощью можно добраться до конечного устройства, узнать, что на нем установлено, когда оно было подключено и какова удельная загрузка сети. При этом можно контролировать контент на устройстве, проверять версии антивирусных баз, настройки безопасности. В крайнем случае, устройству может быть просто отказано в доступе.
Ведь корпоративный Wi-Fi является не более чем инструментом для работы топ-менеджеров либо мобильных сотрудников. И если для мобильного доступа последних возможны какие-либо ограничения, топ-менеджер не может быть ограничен ни в чем. Именно поэтому на определенном уровне структура управления сетями Wi-Fi должна быть предельно прозрачной. Собственно говоря, никого не интересует, как крепко пришита пуговица на рубашке, вам просто нужно знать, можно ли надеть ее на встречу. Так же и в IT: отдельный аспект не интересует никого кроме IT-службы. Поэтому в системе Computer Associates управление делится на несколько уровней, в случае возникновения проблемы, возможно, и придется принимать решения относительно беспроводной сети, однако изначально она является не более чем элементом комплексной системы управления и поэтому не несет отдельных угроз.Модули управления беспроводными сетями встраиваются в общую концепцию управляющего ПО Unicenter и обеспечивают управляемость и безопасность на всех уровнях. Только так может работать корпоративная сеть.
Подобные решения пока не востребованы в России, что объясняется незрелостью российского рынка беспроводных телекоммуникаций. В действительности сегодня беспроводными сетями пользуются только топ-менеджеры, для остальных это не более чем игрушка. Но когда количество мобильных пользователей будет расти, вопрос эффективности управления сетью встанет ребром, Это, увы, неизбежно, и уже через год-два речь будет идти именно о том.