Перспективы развития кабельных систем
Вопросы построения физической инфраструктуры сети, а именно кабельной системы, без всякого сомнения также могут быть отнесены к стратегическим моментам создания сети. Являясь фундаментом сети, кабельная система в конечном счете определяет предельно возможную пропускную способность, предоставляемую в распоряжение приложений. Не менее важной характеристикой сети является отказоустойчивость. Согласно зарубежным исследованиям (журнал LANTechnologies), 70% времени простоев обусловлено проблемами, возникшими вследствие низкого качества применяемых кабельных систем. Правильное проектирование кабельной системы является необходимым условием не только для достижения необходимой производительности и надежности сети, но и для обеспечения ее гибкости, способности к развитию. На самых первых этапах внедрения какого-либо новшества в сети руководитель проекта должен убедиться, допускает ли кабельная система подобные изменения.
Вот почему так важно правильно построить фундамент сети - кабельную систему. Задача создания эффективной кабельной системы все чаще решается путем использования структурированной кабельной системы. Структурированная кабельная система (StructuredCablingSystem, SCS) - это набор коммутационных элементов (кабелей, разъемов, коннекторов, кроссовых панелей и шкафов), а также методика их совместного использования, которая позволяет создавать регулярные, легко расширяемые структуры связей в вычислительных сетях. Если внутри здания или в пределах комплекса зданий установлена структурированная кабельная система, то путем перекоммутации кабелей в специальных кроссовых секциях и шкафах можно гибко и без больших дополнительных затрат приспосабливаться в течение 5 - 10 лет к изменяющейся структуре сети и появляющимся новым протоколам.
Кабельная система такого типа должна обладать некоторой долей избыточности. Так, в каждой комнате здания должно быть разведено достаточное количество оконечных розеток, к которым подключаются сетевые адаптеры компьютеров, даже если в настоящее время в таком количестве розеток и нет необходимости.
Эти ненужные розетки могут никуда не подключаться, но быть подведенными к ближайшему кроссовому шкафу, чтобы подключиться к новому концентратору, когда это станет необходимо. Начальная избыточность структурированной кабельной системы окупится достаточно быстро, так как стоимость наращивания кабелей и розеток в действующей кабельной системе всегда выше, чем их установка в период установки всей кабельной системы. К избыточности приводит также желание получить ясную структуру кабельной системы, так как здесь иногда приходится жертвовать элегантным, но отклоняющимся от общей схемы решением, в пользу избыточного, но единообразного решения.
Преимущества структурированной кабельной системы:
Универсальность. Структурированная кабельная система при продуманной организации может стать единой средой для передачи компьютерных данных в локальной вычислительной сети, организации локальной телефонной сети, передачи видеоинформации и даже передачи сигналов от датчиков пожарной безопасности или охранных систем. Это позволяет автоматизировать многие процессы по контролю, мониторингу и управлению хозяйственными службами и системами жизнеобеспечения. Увеличение срока службы. Срок морального старения хорошо структурированной кабельной системы может составлять 8-10 лет. Уменьшение стоимости добавления новых пользователей и изменения их мест размещения. Стоимость кабельной системы в основном определяется не стоимостью кабеля, а стоимостью работ по его прокладке (затраты на выполнение работ по инсталляции кабельной системы зачастую в 2-3 раза превосходят стоимость материалов и оборудования). Поэтому более выгодно провести однократную работу по прокладке кабеля, возможно с большим запасом по длине, чем несколько раз выполнять прокладку, наращивая длину кабеля. Это помогает быстро и дешево изменять структуру кабельной системы при перемещениях персонала или смене приложений. Возможность легкого расширения сети. Структурированная кабельная система является модульной, поэтому ее легко наращивать, что позволяет легко и ценой малых затрат переходить на более совершенное оборудование, удовлетворяющее растущим требованиям к системам коммуникаций. Обеспечение более эффективного обслуживания.
Структурированная кабельная система облегчает обслуживание и поиск неисправностей по сравнению с шинной кабельной си- стемой. Надежность. Структурированная кабельная система имеет повышенную надежность поскольку обычно производство всех ее компонентов и техническое сопровождение осуществляется одной фирмой-производителем.
Большинство стандартных сетевых технологий, как старых (Ethernet, TokenRing, FDDI), так и новых (FastEthernet, 100VG-AnyLAN, ATM), использует три основных типа кабелей - неэкранированную витую пару (UTP), экранированную витую пару (STP) и многомодовый оптоволоконный кабель. В состав любой кабельной системы входят кабели различных типов, каждый из которых имеет свою область или области назначения.
Для определения областей назначения того или иного типа кабеля полезно выделять в кабельной системе отдельные подсистемы. В типичную иерархическую структурированную кабельную систему входят горизонтальные и вертикальные подсистемы, а также подсистема кампуса. Горизонтальные подсистемы работают в пределах отдела и соединяют кроссовый шкаф этажа с розетками пользователей. Подсистемы этого типа соответствуют этажам здания. Вертикальные подсистемы работают внутри здания, соединяют кроссовые шкафы каждого этажа с центральной аппаратной здания. Кампусовская система, работающая в пределах территории между зданиями, соединяет несколько зданий с главной аппаратной всего кампуса. Эта часть кабельной системы обычно называется backbone (или магистралью).
Помимо технических характеристик при выборе кабеля нужно учитывать, какая кабельная система уже установлена на вашем предприятии, и какие тенденции и перспективы существуют на рынке в данный момент.
В России СКС нашли коммерческое применение сравнительно недавно - в начале 90-х годов в результате рыночных реформ и появления частного бизнеса. До этого локальные сети и учрежденческие АТС, как правило, были не интегрированы друг с другом.
Хотя в настоящее время наибольшее число инсталляций СКС осуществляются в мелких локальных сетях (с числом ПК от 10 до 20), многие крупные предприятия, учреждения и банки в последние годы также проявляют заинтересованность в установке у себя структурированных кабельных систем.
Благодаря отсутствию унаследованного оборудования, в России, как правило, используются самые современные системы от ведущих производителей. Наибольшая доля рынка принадлежит таким известным западным маркам, как LucentTechnologies, BICCBrand-Rex, MOD-TAP, Alcatel, Siemens, AMP, IBM, а также российским маркам, как "АйТи".
Среди российских компаний-системных интеграторов, способных реализовать крупные проекты кабельных систем, специалисты отмечают IBS, "АйТи", "Черус", "Демос", R-Style, "Ланит", LVC, "Крок", "Руслан". Они располагают отделами, специализирующимися по локальным сетям, структурированным кабельным системам и голосовой связи.
Основная доля рынка СКС принадлежит LucentTechnologies. Около 73% установленных систем используют проводку UTP.
Решения на основе экранированного кабеля связываются главным образом с системами TokenRing, но все большее число заказчиков в России предпочитает использовать эти кабели и в других сетях передачи данных. Коаксиальный кабель для горизонтальной проводки пользовался популярностью 2 года назад, но в последнее время он был вытеснен кабелями с витыми парами.
В последние два года существенные изменения произошли и в распределении рынка между кабелями разных категорий. Доля кабелей Категории 3 уменьшилась с двух третьих в 1994 до 37% в 1996 году.
Согласно прогнозам, весь рынок кабелей для передачи данных будет расти на 14,7% ежегодно, и в 2001 году его объем составит 29,9 млн. долларов. Наиболее быстрые темпы роста ожидаются на рынке STP - 33,6% ежегодно в денежном исчислении, далее следуют оптические кабели и UTP - 22,1% и 16,2% соответственно. Доля коаксиального кабеля будет неуклонно снижаться.
Сегодня в мире существуют три весьма сходных между собой стандарта на кабельные системы для ЛВС:
американский стандарт TIA/EIA 568A; международный стандарт ISO/IEC 11801; европейский стандарт EN50173.
Все эти стандарты кабельных систем определяет основные параметры неэкранированной витой пары UTP, экранированной витой пары STP и волоконно-оптического кабеля, то есть тех видов кабелей, которые покрывают все разнообразие физических уровней современных стандартов для локальных сетей.
Необходимо отметить, что стандарт EIA/TIA 568A относится только к сетевому кабелю. Но реальные системы, помимо кабеля, содержат также коннекторы, розетки, распределительные панели и др., т.е. все, что в совокупности составляет понятие кабельной системы. Использование только кабеля типа 5 не гарантирует создание кабельной системы этой категории. Все составные части кабельной системы также должны удовлетворять требованиям соответствующей категории, то есть работать без ухудшения электрических параметров передаваемых сигналов в заданных частотах. Важное значение имеет также технология инсталляции всех компонентов системы, нарушение которой приведет к снижению категории.
К числу наиболее распространенных стандартизованных структурированных кабельных систем относятся кабельная система CablingSystem, разработанная компанией IBM, кабельные системы PremisesDistributedSystem и SYSTIMAX, разработанные AT&T, а также кабельная система OPENDECсonnect корпорации DigitalEquipment. Различные производители дают своим кабельным системам различные названия, но общие принципы их организации остаются одинаковыми.
Наряду с кабельными системами, соответствующими этим стандартам, в настоящее время имеется ряд проектов новых широкополосных кабелей, например, медных кабелей категории 6. Появились сообщения о гарантированных скоростях передачи данных 350 и 622 Мб/с обеспечиваемых новыми продуктами. Но стандартов на новые широкополосные кабели пока не существует. Специалисты высказывают большие сомнения в рыночном успехе этого проекта: во-первых, проблема совместимости с огромным числом уже установленных кабельных систем категорий 3 и 5, во-вторых, высокая стоимость, сравнимая со стоимостью сетей на основе волоконно-оптического кабеля, в-третьих, необходимость надежного заземления, которую не всегда просто реализовать.
Еще далеко не исчерпаны возможности кабельных систем категории 5. Вполне вероятно, они смогут поддерживать и сети GigabitEthernet. Если же говорить о высокоскоростных сетях (ATM и GigabitEthernet на скоростях 622 и 1000 Мбит/с соответственно), то для их реализации хорошо подходит волоконно-оптический кабель.
Поэтому, если вы думаете над тем, как улучшить работу кабельной системы, то естественным решением является ее модернизация путем прокладки горизонтального кабеля (проводки на этажах) категории 5, а в качестве магистрали оптического кабеля. В любом случае необходимо получить гарантию на кабельную систему и предусмотреть возможность последующей ее модернизации в будущем.
Первые серверные продукты, поддерживающие объектно-реляционный подход
С конца 1996 г. три компании объявили о выпуске серверных продуктов, соответствующих названию "универсальный сервер": Oracle с продуктом Oracle 8, Informix с продуктом InformixUniversalServer и IBM с продуктом DB2 UniversalDatabase. Далее мы приведем краткие характеристики этих систем.
8.1.4.1. Oracle 8
Компания Oracle заявляла, что Oracle 8 будет уметь делать с объектами все, что умеет делать InformixUniversalServer, и даже больше. Однако это не так в первом выпуске Oracle 8 (этот выпуск был официально объявлен 24 июня 1997 г.). В фокусе Oracle 8 находятся расширенная система типов и поддержка бизнес-объектов; появление других возможностей расширяемости ожидается в версии 8.1. Oracle концентрируется на реализации своей сетевой вычислительной архитектуры (NCA - NetworkComputingArchitecture), и в Oracle 8 вносятся улучшенные возможности производительности, масштабируемости, доступности, репликации, разделения дан- ных и т.д.
NCA - это трехзвенная архитектурная структура, основанная на CORBA (CommonObjectRequestBrokerArchitecture - Общая архитектура брокера объектных заявок). В NCA используются расширяющие компоненты, называемые "картриджами", которые могут разрабатываться Oracle или сторонними поставщиками. Впервые использование картриджей приложений и картриджей баз данных потребовалось в OracleWebApplicationServer для организации связи на основе CORBA. В контексте расширяемой среды данных Oracle обеспечивает компоненты на уровне промежуточного программного обеспечения приложений (например, компонент управления транзакциями в WebApplicationServer) и на уровне универсального сервера (Oracle 8). На объектном уровне Oracle 8 поддерживает объектные представления данных с использованием новых объектных типов и существующих реляционных данных. Кроме того, Oracle 8 поддерживает объектный кэш на стороне клиентов и навигацию между объектами по ссылкам. Транслятор объектных типов отображает объекты базы данных в соответствующие конструкции языка Си.
Далее приводится сводка свойств, имеющихся в Oracle 8 и ожидаемых в версии 8.1:
Расширяемая система типов. Поддерживаются объектные типы, типы коллекций (массивы переменного размера и вложенные таблицы) и ссылочные типы. Объектный тип может применяться либо к столбцу, либо к строке и может быть семантически эквивалентен именованному строчному типу SQL-3. Кроме того, Oracle 8 явно связывает с объектными типами методы. Пока поддерживается только один уровень вложенности таблиц (в 8.0) и не реализована полная инкапсуляция определяемых пользователями типов данных. В версии 8.1 будет поддерживаться одиночное наследование. Не предполагается возможность репликации расширенных данных. Определяемые пользователями функции. Скалярные функции, перегрузка и разрешение имени на основе типов параметров, параллельное выполнение функций с определенными пользователями агрегатами (функции столбцов) находятся в стадии обсуждения. Расширяемая система индексации. Поддержка определяемых пользователями индексных структур и индексов на выражениях появится вместе с компонентом DatabaseExtensibilityServices. Расширяемый оптимизатор. Возможность указывать стоимость выполнения определенных пользователями функций и обеспечивать статистику об использовании определенных пользователями данных ожидается с появлением компонента DatabaseExtensibilityServices. К расширенным типам пока не применяются параллельные операции. Большие объекты и внешние данные. LOB могут храниться внутри базы данных или во внешних файлах. Oracle 8 не поддерживает доступа по записи к внешним данным и не гарантирует их целостность. Большие объекты могут быть реплицированы, но таблицы с LOB реплицировать нельзя. Расширяемая языковая поддержка. Определяемые пользователями типы данных и хранимые процедуры пишутся на PL/SQL или Си/Си++, причем подпрограммы на Си/Си++ выполняются вне адресного пространства сервера. Поддержка Java в сервере будет обеспечиваться в DatabaseExtensibilityServices (версия 8.1). Предопределенные расширения. Сервер Oracle 8 поддерживает хранение текстовых, пространственных и видео данных; ожидается появление нового типа данных для хранения графической информации.
Компания работает также с несколькими партнерами для тестирования и формализации API для DatabaseExtensibilityServices и разработки картриджей данных.
Как видно, в Oracle 8 компания главным образом сосредоточилась на реализации собственных расширений, которых может оказаться достаточно для начала моделирования бизнес-объектов. Возможности реализации расширений сторонними компаниями менее развиты, чем в продуктах Informix и IBM. Это означает, что пользователи Oracle будут вынуждены более долго ожидать наличия полных наборов строительных блоков для построения новых или улучшения существующих приложений. С другой стороны, развитие продуктов Oracle происходит на основе единой архитектуры NCA, которая закладывает базу расширяемости.
8.1.4.2. InformixUniversalServer
Компания InformixSoftware приобрела реальные шансы стать лидером сектора объектно-реляционных систем после приобретения компании Illustra в начале 1996 г. (Заметим, что сотрудниками компании стали все основные разработчики СУБД Illustra, включая М.Стоунбрейкера.) Многие авторитетные специалисты компьютерной индустрии скептически относились к решению компании произвести слияние продуктов Informix-OnLine 7.2 и IllustraServer к концу того же года. Однако компания Informix действительно смогла выпустить в конце декабря устойчивую версию InformixUniversalServer, работающую на трех платформах. К лету 1997 г. UniversalServer был доступен на 10 платформах.
Компания сконцентрировалась прежде всего на общей архитектуре универсального сервера. Внимание обращается на средства, обеспечивающие интеграцию с технологией Internet/Web (с применением продукта WebConnect). Затрагиваются вопросы поддержки сложных данных в средствах разработки и приложениях с использованием недавно объявленного продукта DataDirector (приобретенного вместе с компанией CenterViewSoftware в начале этого года). Этот продукт обеспечивает возможность использования развитых сред разработки (Java, PowerBuilder, VisualBasic и др.), доступ к расширениям в духе SQL-3 и, кроме того, доступ к новым типам данных и функциям UniversalServer.
В своем первом выпуске UniversalServer объединяет средства сервера InformixOnLine 7.2 с расширениями, обеспечиваемыми механизмом DataBlade сервера, и языковыми расширениями, основанными на идеях SQL-3. Новые возможности включают следующее:
Расширяемую систему типов для интеграции определяемых пользователями типов данных, уточненных типов, абстрактных типов данных, строчных типов и типов коллекций, включая возможность неограниченной вложенности таблиц. Поддерживается простое наследование в иерархии именованных строчных типов. Каждая таблица, основанная на строчном типе, становится типизированной таблицей и может использоваться в этой иерархии. В будущем ожидается появление ссылочных типов и абстрактных типов данных в стиле SQL-3, а также средств репликации данных определяемых пользователями типов. Определяемые пользователями функции - полный диапазон типов функций с поддержкой перегрузки, распознавания нужного тела функции на основе типов параметров и параллельного выполнения функций, когда это оправдано. (Параллельные возможности UniversalServer применимы на симметричных мультипроцессорных платформах; при использовании расширенной параллельной версии InformixOnLine эти возможности распространяются на кластерные архитектуры; на массивно-параллельных платформах объектные расширения пока недоступны.) Расширяемую систему индексирования - R-деревья, применение индексов на основе B-деревьев к определяемым пользователями типам данных, определяемые пользователями индексные структуры. Расширяемый оптимизатор - таблично-управляемый оптимизатор, позволяющий интегрировать определяемые пользователями типы данных, новые индексные структуры и новые методы доступа. Разработчик может указать стоимость выполнения функций определяемого им типа и зарегистрировать новый тип индекса, что включает определение функций, которые используют индекс, интерфейсных подпрограмм для доступа к индексу и стоимости использования индекса. Индексы хранятся под управлением СУБД с соответствующим транзакционным управлением; сторонние поставщики должны сами следить за целостностью внешних индексов.
Кроме того, оптимизатор применяет параллельные операции к разделенным данным и индексам. Возможность хранения больших объектов (LOB - LargeObjects) внутри базы данных или во внешних файлах. Пока UniversalServer не гарантирует целостность данных, хранимых во внешних файлах, но Informix имеет на этот счет планы. Интерфейс виртуальной таблицы позволяет регистрировать внешние данные в каталогах базы данных и обращаться к ним таким же образом как если бы они были таблицами, непосредственно поддерживаемыми универсальным сервером. Наличие предопределенных расширений: Informix подрядил много сторонних поставщиков для написания DataBlades - упакованных наборов расширений, относящихся к некоторым прикладным областям (текстовому поиску, управлению графической информацией, финансовому анализу и т.д.). DataBlade интегрируется с ядром IUS на основе специального интерфейса уровня вызовов (DataBladeAPI). К июню 1997 г. планировалось иметь в поставке 20 DataBlade, еще 10 находятся в стадии бета-тестирования, к концу года ожидается иметь около 50 готовых к поставке DataBlade. В настоящее время имеется два режима выполнения DataBlade - в адресном пространстве ядра (это дает наибольшую эффективность) и в отдельном виртуальном процессоре (более безопасный режим). Расширенный набор языков приложений - в дополнение к поддержке разработки пользовательских типов данных на основе собственной среды NewEraInformix теперь обеспечивает новое средство разработки клиентских приложений DataDirector, которое дает возможность связи между данными, контролируемыми приложением, и данными, хранимыми в среде UniversalServer. В этом средстве используются собственные интерфейсы с универсальным сервером (JavaAPI и Си++ API), а не ODBC. Кроме того, DataDirector поддерживает языковые расширения в духе SQL-3.
Одной из проблем компании Informix, связанной с форсированным внедрением объектно-реляционных средств, является сохранение позиции на бизнес-рынке, которую компании удалось занять на основе InformixOnLine 7.x.
До слияния с Illustra основное внимание уделялось производительности и масштабируемости на основе разных видов параллелизма, и именно это определяло лицо Informix на рынке. С появлением UniversalServer эти важные качества продуктов отошли на второй план. Кроме того, компания должна принимать во внимание наличие трех разных серверов баз данных - UniversalServer, OnLine и ExtendedParallelServer.
Однако компании первой удалось продемонстрировать возможность эволюционного перехода к объектно-реляционной технологии с сохранением надежного и высокоэффективного управления базами данных. UniversalServer является развитием OnLine, и именно так следует представлять его на рынке.
8.1.4.3. IBMDB2 UniversalDatabase
Компания IBM ведет исследования в области инфраструктуры расширяемых реляционных баз данных в течение более чем десяти лет. Компания была первой из основных поставщиков, выпустившим на рынок реляционный сервер баз данных с объектными расширениями: DB2 CommonServer 2 (в июле 1995 г.). Теперь IBM готова начать поставки обновленного продукта с новым названием - DB2 UniversalDatabase, представляющего собой слияние начальных объектно-реляционных свойств DB2 CommonServer 2.1 с возможностями параллельной обработки DB2 ParallelEdition 1.2 и доступного на разнообразных мультипроцессорных платформах (симметричных, кластерных и массивно-параллельных). Ключевым моментом является то, что продукты IBM основаны на едином исходном тексте сервера. Это обеспечивает основу новых разработок, тем более что расширения с самого начала базируются на полностью параллельных средах.
Стратегия IBM в области объектно-реляционных баз данных включает четыре основных компонента. Во-первых, универсальная база данных DB2 (UniversalDatabase) находится в стадии бета-тестирования и должна начать поставляться в третьем квартале 1997 г. Во-вторых, разновидность определяемых пользователями типов данных - сильные связи с файлами (robustfilelinks) позволяет DB2 UniversalDatabase активно управлять внешне хранимыми данными с соблюдением требований безопасности и целостности.
Реализация этой возможности ожидается к концу 1997 г. Третий компонент стратегии компании - DataJoiner - промежуточное программное обеспечение для доступа к неоднородным базам данных. Этот компонент включает все функциональные возможности сервера DB2, глобальный оптимизатор с расширяемыми знаниями о поддерживаемых источниках данных, возможность компенсировать функциональные различия между этими источниками. В планы компании входит расширение возможностей DataJoiner для работы с объектно-реляционными расширениями. Наконец, IBM разрабатывает компонент объектного слоя, называемый ClientObjectSupport, который обеспечит единое логическое представление всех доступных данных, а также их транзакционную согласованность, управление кэшами клиентов и интеграцию с объектно-ориентированными языками.
Вот сводка расширенных возможностей DB2 UniversalDatabase и средств, которые планируется включить в будущие выпуски:
Расширяемая система типов - уточненные типы, абстрактные типы данных и объекты OLE с поддержкой в будущем абстрактных типов данных в стиле SQL-3, строчных типов, типов коллекций, ссылок, множественного наследования и репликации данных. Определяемые пользователями функции - скалярные функции с поддержкой перегрузки функций и нахождения нужного тела функции на основе типов параметров, параллельное выполнение. Ожидается появление табличных функций. Функции могут выполняться внутри адресного пространства сервера для повышения производительности или вне него для обеспечения безопасности. Расширяемая система индексации. IBM обеспечивает свои собственные индексы специального назначения для типов данных, поддерживаемых расширителями DB2 (DB2 RelationalExtenders). В будущих версиях будут поддерживаться определяемые пользователями индексные структуры, навигационный доступ через ссылки и возможность строить индексы на выражениях, на результатах вызовов функций и на атрибутах абстрактных типов данных. Расширяемый оптимизатор. DB2 уже включает основанный на правилах оптимизатор с возможностью выполнять глобальную оптимизацию и преобразования запросов.
Планируется расширить интерфейс оптимизатора с тем, чтобы можно было добавлять новые правила. Разработчик может указать стоимость определенной пользователем функции, включая информацию о том, производит ли функция внешние действия. При интеграции с DB2 ParallelEdition оптимизатор также применяет параллельные операции для разделенных данных и индексов. Большие объекты и внешние данные. LOB может храниться внутри базы данных или во внешних файлах. На сегодняшний день DB2 обеспечивает доступ к данным, хранимым вне сервера; в будущих выпусках (к концу 1997 г.) будет гарантироваться и целостность на основе механизма сильных связей с файлами. Расширяемая языковая поддержка. Определяемые пользователем функции могут быть написаны на языках Си, Си++, VisualBasic или Java; хранимые процедуры могут писаться на языках третьего и четвертого поколения и Java. Ожидается появление языковых расширений в стиле SQL-3 для обеих целей. Предопределенные расширения. IBM обеспечивает реляционные расширители для текста, графической информации, видео, аудио и т.д. Компания образует партнерские отношения со сторонними поставщиками для разработки пакетов расширений. Имеется соответствующий набор инструментальных средств.
Текущее состояние продуктов и стратегические планы IBM могут позволить ей занять лидирующие позиции на рынке объектно-реляционных систем. Для этого прежде всего требуется добиться признания и высокого уровня продаж в секторе платформ других компаний (в настоящее время DB2 UniversalDatabase готовится к выпуску на всех платформах IBM, а также HewlettPackard и SunMicrosystems).
Планирование этапов и способов внедрения новых технологий в существующие сети
Важно не только принять стратегически верное решение, но и правильно внедрить его в существующую сеть. Так как это решение долговременное, то оно совсем не обязательно одномоментно должно найти свое воплощение в новых программных или аппаратных средствах сети. Например, внедрение технологии Intranet не означает быстрый отказ от всех приложений другого типа. Возможность поэтапного и как можно менее болезненного способа постепенного перехода на новый продукт или новую технологию - это тоже обязательное свойство хорошего стратегического решения. Если же новое решение технически очень привлекательно, но путей его постепенного внедрения в существующую сеть нет, то от него лучше отказаться. Примером может служить технология АТМ до разработки таких стандартов как LANEmulation или ClassicalIP. Красивое с технической точки зрения решение требовало полной замены всего коммуникационного оборудования локальной сети и поэтому не находило применения до тех пор, пока на появились коммутаторы АТМ, которые за счет реализации в них клиентов и серверов LANEmulation могут теперь без проблем взаимодействовать с традиционными сетями Ethernet или TokenRing.
Обычно процесс внедрения нового продукта или новой технологии в сеть разбивается на несколько этапов. На первом этапе в сети появляется небольшая подсеть или даже несколько компьютеров, работающих по-новому. На этом этапе специалисты, обслуживающие сеть, и пользователи знакомятся с принципиальными свойствами нового подхода и оценивают возможность сосуществования его с остальной частью сети. При положительной оценке новинки ее область применения постепенно расширяется, захватывая новые подсети, серверы или другие компоненты сети. Постепенность внедрения позволяет вовремя отказаться от новинки, не затратив при этом вхолостую большие средства.
Построение физической модели
После того, как для сети выбрана техническая модель, необходимо оценить, насколько она удовлетворяет производственным требованиям. Нужно вернуться к бизнес-модели и сопоставить ее требования с техническими решениями. Вряд ли технические решения будут полностью удовлетворять требованиям бизнес-модели, но к этому надо стремиться.
Например, если на вашем предприятии сотрудники часто перемещаются из отдела в отдел, то требованием бизнес-модели является высокая мобильность. Техническая модель должна в таком случае обеспечивать быстрое присоединение и отсоединение рабочей станции.
После того, как вы убедились, что техническая модель соответствует требованиям, нужно построить физическую модель. Физическая модель конкретизирует специфику технической модели. Физическая модель является очень подробным описанием сети, в то время как техническая модель использует для ее описания более общие термины.
Хотя обычно проектировщик детально знаком с каждой технологией, характеристики конкретных продуктов он знает только в общих чертах. Этап физического моделирования требует более детального знакомства с имеющимися продуктами. Теперь проектировщик должен оценить свойства и функции подходящих продуктов и решить, какие из них наилучшим образом удовлетворяют требованиям разрабатываемой системы. После определения доступных продуктов проектировщик должен получить их "в натуре", чтобы оценить, насколько их характеристики соответствуют характеристикам, объявленным производителем. Для того, чтобы определить подходящие продукты, проектировщику нужно воспользоваться опытом консультантов, знакомых из отделов автоматизации других предприятий, системных интеграторов, а также такими вторичными источниками информации, как обзоры продуктов в журналах и т.п.
На стадии физического моделирования проектировщик должен точно описать, какие компоненты нужны, в каком количестве, где они будут расположены и как эти компоненты соединяются друг с другом в корпоративную сеть. Этот этап завершается разработкой технического задания.
Построение функциональной модели производства
Сеть предприятия предназначена для того, чтобы выполнять производственные функции, поэтому следует оценить ее роль в производственной структуре предприятия. Для успешного построения корпоративной сети нужно построить функциональную модель (или, по-другому, бизнес-модель), из которой потом получить техническую и физическую модели сети. Большинство крупных системных интеграторов придерживаются такой стратегии.
Архитектура приложений и вычислительной системы играет ключевую роль в деловой архитектуре предприятия. Бизнес предприятия базируется на архитектуре управления данными, на приложениях и архитектуре сети. Успешный анализ требований и успешное построение корпоративной сети требуют от технического специалиста умения думать как бизнесмен. Общей ошибкой некоторых руководителей проектов является мышление только в технических и технологических терминах.
Перед тем, как начать оценивать требования к корпоративной сети, нужно получить общее представление о том, что происходит в каждом отделе. Именно бизнес-модель описывает, как делаются дела на предприятии. В ней обычно не упоминается компьютерная система, она скорее концентрируется на деловой практике и последовательности работ. Сначала постройте модель, в которой отражается последовательность работ всего предприятия, а затем постройте модель для последовательности работ в каждом отделе. Детально опишите, как выполняются работы, кто выполняет эти работы и каковы взаимосвязи между рабочими группами и отделами.
Для разработки бизнес-модели необходимо собрать бригаду, состоящую из руководителей отделов, ведущих специалистов и сотрудников отдела автоматизации. Обратите внимание на следующие моменты:
необходимо назначить руководителя работы; нужно опросить руководителей отделов и конечных пользователей корпоративной сети, чтобы определить их функции и выяснить, как их компьютерные системы помогают им в работе; необходимо выяснить, как работа переходит из одного отдела в другой, и каким образом информация и задачи передаются от одного сотрудника к другому; необходимо узнать, в чем заключаются зависимости - кто утверждает какой-либо этап работы и в какой последовательности должны завершаться этапы; нужно понять, какие узкие места имеются у системы - слишком большое время ответа или же неэффективная обработка данных.
10.2.2.1. Работа с руководящим составом
Опросите руководителей подразделений и пользователей для того, чтобы определить, что они хотят получить от корпоративной сети. Их ответы будут лежать в диапазоне от "Я хочу в точности то, что имею сегодня" до прогрессивных идей на переднем плане науки и техники таких, как полностью автоматизированное производство и электронный документооборот. Действительно ли руководители хотят уменьшить количество денег, затрачиваемых на экспресс-доставку и обмен сообщениями за счет улучшения коммуникаций? Действительно ли они хотят взаимодействовать электронным способом с покупателями и поставщиками?
На этой ранней стадии проекта есть время для воображения и мозговых атак. Спросите руководителей, какие сервисы они хотели бы иметь, если бы цена не имела никакого значения. Расспросите руководителей и пользователей о существующей компьютерной системе. Не слишком ли она много простаивает из-за отказов? Не слишком ли она медленная? К каким источникам информации они обычно обращаются? Затем попросите руководителей отделов упорядочить свои требования в порядке их приоритетности. Этот список поможет вам определить этапы развертывания сети.
На этом этапе руководители подразделений предприятия должны оценить эффективность своих ручных и компьютеризованных операций. Автоматизация неэффективных деловых процедур приводит к неэффективным компьютерным системам. Действительно ли руководители готовы изменить процедуры своей деятельности или же эти изменения чересчур нарушат их деловую практику?
После того, как вы уяснили функции подразделений, вы должны объяснить их руководителям, как корпоративная сеть может кардинально изменить и улучшить их работу. Необходимо потратить большое количество времени, чтобы объяснить, как сеть может изменить ведение дел на предприятии.
При этом необходимо пользоваться терминами, понятными руководителям. Общей ошибкой является употребление технических терминов, а не производственных. Руководителей не волнуют преимущества 100 Мбитной сети FDDI по сравнению с 16 Мбитной сетью TokenRing.
Им нет дела до разницы между обнаружением коллизий и передачей токена. Однако их беспокоит, сможет ли сеть помочь им производить больше телевизоров, продавать больше автомобилей, уменьшить страховые запасы сырья. Объясните, что руководители отделов и менеджеры теперь смогут уменьшить время ожидания потенциальных заказчиков за телефоном. А, например, руководителю издательской фирмы необходимо объяснить, что, имея сеть, сотрудники могут не только передавать текст, но также и звуки, и изображение. Информация будет передаваться как единое целое, а не как разрозненный набор чисел, слов, картинок. Использование конкретных содержательных примеров поможет деловым людям понять, какое влияние сеть окажет на организацию работ и на производительность.
Построение бизнес-модели предприятия - не простая задача. Это объясняется дефицитом технических специалистов, понимающих производственные проблемы, и наоборот, отсутствием понимания технических аспектов у многих управленцев. Технические специалисты и управленческие работники должны взаимно обучаться для того, чтобы построить эффективную и полезную корпоративную сеть.
Построение бизнес-модели поможет также получить поддержку руководства предприятия, так как покажет, что разработчики сети понимают и производственные моменты предприятия, а не только технические. Общая стратегия заключается в том, чтобы найти руководителя или менеджера, который увидит выгоду для себя от внедрения корпоративной сети. Этот человек потом будет выступать как ваш "спонсор" перед высшим руководством.
10.2.2.2. Работа с пользователями сети
Корпоративная сеть строится для удовлетворения производственных потребностей. Конечные пользователи будут работать с ней каждый день, поэтому обязательно нужно сделать, чтобы им было удобно работать с сетью. К сожалению, о конечных пользователях часто забывают во время планирования, проектирования и установки корпоративной сети. И когда сеть полностью установлена, пользователи начинают говорить "Она не работает" или "Она всегда отказывает".
Они говорят, что печать теперь занимает больше времени, чем раньше, и что сеть им не нравится вообще. Вместо того, чтобы использовать сеть как инструмент, они смотрят на нее как на помеху.
Одним из главных условий успешной работы является общение. Как правило, сотрудники отдела автоматизации слишком мало разговаривают не только друг с другом, но и с конечными пользователями. Конечные пользователи часто больше других знают о компьютерных системах, и именно они создают наибольшую нагрузку на компьютеры. Так как они работают с сетью каждый день, то часто обладают наилучшим пониманием того, как взаимосвязаны деловые функции и компьютерные системы. Обязанностью сотрудников отдела автоматизированных информационных систем является выбор такого оборудования, которое наилучшим образом удовлетворяет потребностям конечного пользователя, а не просто самой новой, самой быстрой продукции.
Необходимо назначить по крайней мере одного конечного пользователя, ответственного за связь между пользователями и отделом автоматизации, чтобы пользователи были уверены, что их интересы кто-то представляет. Этот "связной" должен периодически встречаться с другими пользователями, оповещать их о ходе разработки и служить постоянной обратной связью.
Недовольство пользователей иногда основывается на неверных, часто завышенных, ожиданиях. Необходимо дать пользователям реалистичную картину того, что сеть может делать. Необходимо объяснить, какое ожидается среднее время простоев из-за отказов. (Во время анализа требований необходимо выяснить, какое время простоев пользователи считают допустимым.) Нужно честно рассказать пользователям об этапности установки сети. Часто сотрудники отдела автоматизированных информационных систем не говорят о том, что, например, при установки первой очереди корпоративной сети связь с компьютерами VAX и не планировалась, и что она вступит в строй только через год. Пользователи, не предупрежденные об этом, будут очень разочарованы.
Необходимо иметь ввиду, что на предприятии имеется две группы сотрудников, которые будут работать с корпоративной сетью: сотрудники отдела автоматизации, которые будут поддерживать сеть и управлять ею, и конечные пользователи, которые будут использовать ее как инструмент.
Цели и потребности этих двух групп часто противоположны. В то время, как конечные пользователи заинтересованы в расширении функций и сервисов сети, сотрудники отдела автоматизации больше озабочены простотой эксплуатации и поддержания надежной работы сети. И те, и другие требуют обучения, хотя и по разным причинам, и по разным программам. Конечных пользователей надо обучать, чтобы работа в корпоративной сети не показалась им странной и неудобной, сотрудников отдела автоматизации необходимо обучать обслуживанию новой современной техники, чтобы они не боялись потерять в будущем работу и не противились внедрению корпоративной сети.
Нужно иметь ввиду, что большинство людей не любит перемен. Они привыкли к используемым программам и компьютерам, многие не хотят отказываться от твердо укоренившихся в памяти приемов. При разработке взаимодействия пользователя с будущей системой будет полезно промоделировать существующее взаимодействие при условии, что оно будет иметь смысл в новом окружении. Необходимо также помнить, что нельзя уменьшать существующие функциональные возможности системы - их можно только наращивать.
Построение магистрали на основе технологии АТМ
Данный вариант построения магистрали основан на переходе в магистрали сети к такой новой технологии как АТМ. В этом случае магистраль будет обладать не только более высокой скоростью по сравнению с вариантом, основанным на FDDI, но и очень хорошей масштабируемостью, так как большинство коммутаторов АТМ для локальных сетей имеют интерфейсы не только 155 Мб/с, но и 622 Мб/c, а в недалеком будущем возможно появление интерфейсов и в 1.28 Гб/c - стандарт АТМ поддерживает всю иерархическую лестницу скоростей технологии SONET/SDH. Кроме иерархии скоростей, позволяющей модернизировать магистраль без замены оборудования, АТМ обладает наиболее развитым на сегодняшний день механизмом поддержания требуемого качества обслуживания для трафика разного типа, от голосового трафика и трафика видеоконференций с постоянной битовой скоростью до пульсирующего трафика Web-узлов с гарантированной средней пропускной способностью.
Однако, переход на магистрали к АТМ требует замены традиционных коммутаторов и маршрутизаторов с интерфейсами Ethernet, FastEthernet или FDDI на коммутаторы АТМ со сложной системой сигнализации и существенно более высокой стоимостью за порт. Такой переход требует как значительных инвестиционных вложений, так и обучения обслуживающего сеть персонала. Кроме того, сегодня до конца не решена проблема взаимодействия магистрали АТМ с подсетями, работающими на основе традиционных протоколов локальных сетей. В этой области определенно ощущается недостаток стандартов, на основе которых могло бы работать в одной сети оборудование разных производителей. Два стандарта из этой области - LANE и ClassicalIP - только частично решают проблему. Спецификация LANE (LANEmulation) превращает магистраль, построенную из АТМ коммутаторов в распределенный коммутатор, поддерживающий традиционные протоколы локальных сетей, например, Ethernet или FDDI. Но это не решает проблемы работы через магистраль подсетей, подключенных через маршрутизаторы, так как механизмы LANE работают на канальном уровне.
Отказ от маршрутизаторов при создании магистрали крупной сети невозможен, так как надежная защита от широковещательного шторма, а также решение некоторых других проблем только средствами канального уровня невозможно - это известный факт, подтверждающийся опытом эксплуатации локальных сетей, построенных только на коммутаторах.
Стандарт ClassicalIP описывает работу маршрутизаторов через магистраль АТМ только для протокола IP. Кроме того, он был разработан достаточно давно как первый вариант механизма сосуществования маршрутизируемых сетей и сетей АТМ, и потому не решает всех задач автоматизации процесса работы маршрутизатора через сеть, не поддерживающую широковещательность.
Спецификация MPOA (MultiprotocolOverATM), которая должна определить, как должны работать многопротокольные маршрутизаторы через магистраль АТМ и быть одновременно совместимой с LANE, пока все еще не нашла окончательного одобрения в ATMForum из-за несовместимости позиций некоторых ключевых участников согласительного процесса, таких, например, как Cisco и BayNetworks.
Даже при наличии стандарта на работу многопротокольных маршрутизаторов через АТМ и достаточной производительности самих маршрутизаторов, особенности работы системы сигнализации коммутаторов АТМ затрудняют сегодня использование АТМ в качестве магистрали крупной локальной сети. Эти особенности, описанные выше, приводят к слишком большому времени установления новых соединений на магистрали, измеряемому единицами милисекунд.
Построение технической модели
После разработки бизнес-модели предприятия и определения того, какие процедуры требуют изменения или улучшения, необходимо построить техническую модель сети. Техническая модель описывает в достаточно общих терминах, какое компьютерное оборудование нужно использовать, чтобы достичь целей, определенных в бизнес-модели. Чтобы построить техническую модель, нужно проанализировать существующее оборудование, определить системные требования, оценить сегодняшнее и завтрашнее состояния техники.
10.2.3.1. Инвентаризация существующего оборудования и приложений
Не многие предприятия могут себе позволить роскошь построения корпоративной сети с нуля. Большинство же вместо этого строят свои компьютерные системы с использованием имеющегося оборудования, которое уже эксплуатируется какое-то время. Необходимо оценить, какое существующее оборудование продолжает иметь стратегическое значение для предприятия, а какое может быть безболезненно списано. Однако сначала необходимо все же определить, что же вы имеете.
Для каждого отдела и офиса необходимо провести инвентаризацию существующего компьютерного оборудования и выяснить, какое действительно используется. Например, действительно ли еще используются 286-е IBMPC-совместимые персональные компьютеры, сколько их? Сколько имеется других компьютеров? Выполняются ли какие-либо приложения мейнфреймом IBM 370? Какие используются типы сетевого оборудования и протоколов, а также сетевых операционных систем: SNA, IPX/SPX, TCP/IP, NetWare, WindowsforWorkgroups, Unix, WindowsNT и т.п. Где это оборудование находится, и в каком оно состоянии? Есть ли экономический смысл продолжать эксплуатировать эту технику или же более эффективно перейти на новую технику? Например, если в программное обеспечение мейнфрейма вложено значительное количество денег, и система работает без проблем, то, очевидно, нет смысла ее заменять. В этом случае корпоративная сеть должна уметь взаимодействовать и с этим мейнфреймом.
После того, как проведена ревизия оборудования, необходимо проделать то же самое с приложениями.
Необходимо выяснить:
Какие приложения используются в каждом офисе и отделе, сколько людей пользуются каждым приложением, и трафик какой интенсивности они создают? Могут ли эти приложения быть использованы в корпоративной сети? Где хранятся эти приложения и каким образом пользователи смогут получать к ним доступ в новой операционной среде? Существуют ли более эффективные приложения аналогичного назначения и захотят ли сотрудники перейти на них?
Инвентаризация - очень скучная процедура, но тем не менее ее нужно осуществить, чтобы точно знать, чем вы располагаете и что нужно приобрести. Для такой большой системы, как корпоративная сеть, очень важно, чтобы каждый элемент, будь то кабель или плата памяти, был промаркирован и учтен. Процесс инвентаризации можно и нужно автоматизировать. Существуют программы, которые могут автоматически исследовать состав аппаратного и программного обеспечения уже работающих в сети компьютеров.
В общем случае такие программы могут выяснить тип CPU, имеющуюся память, тип диска и свободное пространство на нем, имеющиеся дополнительные контроллеры - такие как сетевые адаптеры, факс-модемы и т.п. Для программного обеспечения можно узнать наименование и версию приложений, версии операционной системы, установленные сетевые драйверы.
Программы-исследователи создают базу данных подобной информации, которая может использоваться для справок или при устранении неисправностей. Администратор может периодически запускать исследовательскую программу и получать недельную, месячную или квартальную справку о текущем состоянии сетевых ресурсов.
10.2.3.2. Определение системных требований
После инвентаризации существующей вычислительной системы необходимо определить требования к новой системе. Для определения технических параметров сети рассматривайте системные требования не с технической точки зрения, а с позиций руководителей, менеджеров и конечных пользователей.
Для выяснения системных требований необходимо ответить на следующие вопросы:
Что нужно соединять? Требуется ли сотрудникам какого-либо подразделения общаться с небольшим (большим) количеством людей в пределах небольшой территории или же им нужно общаться с небольшим (большим) количеством людей в пределах географически обширной области? Объем и распределение трафика поможет определить требуемую мощность компьютеров, а также типы и скорости коммуникационного оборудования и сервисов. Что из существующего аппаратного и программного обеспечения будет использоваться в новой системе? Какие системы нужно оставить в разрабатываемой корпоративной сети? Нужно ли эти системы соединять в сеть? Будут ли существующие системы нормально работать в новой сети? Существуют ли какие-либо стандарты предприятия, существуют ли преобладающие приложения? Какое оборудование и приложения нужно добавить, чтобы достигнуть поставленных производственных целей? Какие объемы информации будут передаваться по сети? Объем передаваемой информации определяет требуемую пропускную способность сети.
По корпоративной сети будет передаваться больше или меньше информации? Определите это подсчетом количества пользователей сети, среднего количества выполняемых транзакций в день каждым из пользователей и среднего объема транзакции. Такой подсчет поможет определить технологию доступа к среде передачи данных (Ethernet, FDDI, ...) и требования к глобальным сервисам. Какое время реакции сети является приемлемым? Будут ли пользователи ждать одну секунду, полсекунды или две секунды? Такие измерения помогут определить требования к скорости оборудования, приложений и коммуникационных связей. В течение какого времени сеть существенно необходима для работы предприятия? Нужна ли сеть 24 часа в день и 7 дней в неделю или же только в течение 8 часов в день и 5 дней в неделю? Нужно ли увеличить сегодняшние параметры использования сети? Какие требования предъявляются к среднему времени устранения неисправностей? Как отражаются операции по обслуживанию и ремонту сети на эффективности ведения дел предприятием? Потеряет ли предприятие 5 миллионов долларов или же 100 тысяч долларов, если сеть будет неисправна в течение одного часа? Каков будет ущерб от простоя сети в течение двух часов? Каков планируемый рост системы? Каков текущий коэффициент использования сети и как он может измениться в течение ближайших 6 месяцев, одного года, двух лет? Даже если вы тщательно спланировали сеть, но не учли возможности ее роста и развития, то системные требования придется изменить и увеличить. Рост сети нужно планировать заранее, а не просто реагировать на фактический рост ее нагрузки.
10.2.3.3. Разработка технической модели
После того, как системные требования определены, можно описать техническую модель корпоративной сети. На этом этапе нужно определить, каким образом предполагается удовлетворить производственные требования с технической точки зрения. Большинство проектировщиков сетей хорошо знакомы с методами разработки технической модели.
Прежде всего подвергните анализу существующую систему.
Что нужно из нее сохранить, а что отбросить? Будут ли согласовываться различное сетевое оборудование, операционные системы и приложения, используемые сегодня?
После этого оцените доступную технологию. Что на сегодня является технической вершиной? Хотите ли вы использовать самую передовую технику и технологию? Нужна ли вам на самом деле самая передовая техника? Например, если вы строите сеть для отдела закупок, то технология FastEthernet очевидно будет излишней, даже если в отделе обрабатывается большое число документов. В то же время в инженерном отделе технология FastEthernet будет более целесообразна, так как там имеют дело с большими файлами. Можно также рассмотреть целесообразность сети Ethernet с отдельными сегментами для каждого пользователя. Построение хорошей сети означает постоянное сопоставление ваших желаний и потребностей предприятия. Нужно использовать только такие технические решения, которые необходимы.
Тщательно обдумайте выбор между передовой технологией и технологией, проверенной временем. Например, Ethernet и TokenRing являются проверенными технологиями, а ATM - сравнительно новой. Не многие проектировщики хорошо с ней знакомы, а капиталовложения необходимо сделать значительные.
Далее нужно оценить, какое семейство технических средств удовлетворяет производственным потребностям. Например, нужны ли вашей сети мосты и маршрутизаторы? (Это зависит от интенсивности трафика, количества сегментов, распределения сегментов и уровня квалификации администраторов.) Будете ли вы использовать смешанную топологию или топологию звезды? (Это зависит от структуры и организации вашего предприятия.) Какие коммуникационные связи и с какими скоростями нужны для вашей сети? (Это зависит от того, что будет передаваться по сети, в том числе от того, хотите ли вы комбинировать передачу голоса и данных.) Для принятия подобных решений вы должны узнать сравнительные характеристики различных технологий и технических средств, а также тщательно проанализировать интенсивность и типы передаваемых по сети данных.
Проектировщик также должен обеспечить нужный набор функций и требуемое время доступности сети. Например, если сеть должна быть доступна по ночам и в выходные дни, в ответственных файл-серверах нужно предусмотреть избыточные диски и источники бесперебойного питания. Необходимо решить, достаточно ли применение способа зеркального отображения дисков или требуется использовать дисковый массив. Какой запас аккумуляторов нужен для источников бесперебойного питания?
Далее нужно выяснить, какие технологии и технические средства станут доступными в ближайшее время, а также каковы долгосрочные перспективы этих новшеств. Оцените, сможет ли проектируемая сеть принять завтрашние технологические новинки.
Искусство проектировщика заключается в оценке имеющихся на сегодня решений, предвидении того, что станет доступным завтра, и объединении этих решений в элегантную и эффективную сеть. Например, сегодня неэкранированная витая пара категории 5 устраивает практически все протоколы локальных сетей, в том числе и АТМ на 155 Мб/с. Поэтому можно сделать несложный вывод о том, что внутри зданий на вашем предприятии лучше использовать витую пару, а не коаксиальный кабель.
Потеря кадров - врожденная болезнь коммутаторов
Причины потери коммутаторами кадров можно разделить на две категории - блокирующая производительность коммутатора и перегрузка выходного порта или портов.
Блокирующая производительность - это ситуация, когда выходные порты коммутатора могли бы передать в сеть все поступающие потоки кадров, но производительность внутренних элементов коммутатора недостаточна для обработки этих потоков. Многие модульные модели коммутаторов страдают от этого недостатка. Как правило, он является следствием появления в номенклатуре коммутатора высокоскоростных модулей, например, модулей FastEthernet, ATM и GigabitEthernet, уже после выпуска общих элементов коммутатора, например, коммутационной матрицы, блока общей памяти, пассивной общей шины и т.п. В результате - нехватка производительности для особенно тяжелых режимов работы.
Но, если недостаточную производительность элементов коммутатора можно устранить, заменив их более скоростными, то производительность порта коммутатора ограничена стандартом соответствующего протокола - Ethernet, TokenRing, FastEthernet и АТМ.
Например, порт Ethernet не может передавать больше 14880 кадров в секунду, если он не нарушает временных соотношений, установленных стандартом. Какой бы ни был объем буфера порта, он в какой-то момент времени может переполниться, так как является разделяемым ресурсом для многих потоков кадров.
Потеря кадра может привести к снижению полезной для приложения пропускной способности в несколько раз. Количественно ущерб зависит от того, какой протокол занимается восстановлением потерянных в кадре данных. Если это протокол прикладного или транспортного уровня, то при тайм-аутах в сотни миллисекунд, рассчитанных на работу в больших маршрутизируемых составных сетях, снижение производительности может доходить до десятков раз, например, 20 Кбайт/c вместо 600 Кбайт/c, это наблюдали Б. Алдерсон и Дж. Скотт Хогдал в сети NetWare, теряющей только 3% кадров Ethernet ("Сети", N8, 1995 г.). Исправление потерь кадров на нижних уровнях делает сеть менее чувствительной к этому фактору, но в локальных сетях такая ситуация наблюдается только при использовании протокола NetBIOS или же стека SNA компании IBM в сетях TokenRing, а это не такой уж большой процент сетей.
Тенденции таковы, что все чаще в локальных сетях будет использоваться протоколы стека TCP/IP, а протокол TCP, решающий проблему восстановления потерянной информации, вычисляет тайм-аут адаптивно, в зависимости от времени прихода подтверждений от узла-собеседника. При работе через Internet это время может составлять сотни милисекунд, замедляя процесс восстановления кадров так же, как и в сетях NetWare.
Потери кадров при перегрузках выходных портов вообще типичны для полнодуплексных сетей, построенных на основе коммутаторов. Нужно заметить, что такие сети давно используются - это почти все виды глобальных сетей: Х.25, framerelay и АТМ. Индивидуальными в них являются только связи между абонентами сети и первыми коммутаторами, а связи коммутатор - коммутатор всегда разделяются во времени между потоками кадров нескольких абонентов. И если в сетях framerelay и ATM разработаны достаточно тонкие процедуры для поддержания требуемого баланса использования общих каналов между абонентами сети - процедуры управления качеством обслуживания - то в коммутаторах локальных сетей такие процедуры либо не поддерживаются вообще, либо реализуются в самой рудиментарной форме.
Угроза потери кадров - плата за отказ от разделяемой среды на участке сети "компьютер-концентратор". Коммутатор ускоряет работу сети, но при этом пропадает эффект, создаваемый алгоритмом доступа, когда на среду передачи данных разрешалось в каждый момент времени помещение кадра только от одного компьютера. Тем самым регулировался входной поток кадров от компьютеров и гарантировалась невозможность потери кадра при корректной работе оборудования.
Поэтому, локальные сети на основе коммутаторов, как и глобальные, требуют решения задачи управления потоком данных - то есть встраивания в коммутаторы и сетевые адаптеры механизма, который бы притормаживал конечные узлы при перегрузках коммутаторов сети.
При разработке коммутаторов локальных сетей ситуация коренным образом отличалась от ситуации, при которой создавались коммутаторы территориальных сетей.
Основной задачей было сохранение конечных узлов в неизменном виде, что исключало корректировку протоколов локальных сетей. Поэтому разработчики коммутаторов были вынуждены пойти на некоторые хитрости - например, использование фиктивных встречных кадров в методе "обратного давления" или же уменьшении паузы после коллизии по сравнению с ее стандартным значением, что давало коммутатору преимущество при захвате Среды по сравнению с сетевым адаптером.
Для полнодуплексных версий протоколов дело обстоит проще. Так как эти версии разрабатываются заново, то можно включить в них механизмы управления потоком. Это и было сделано многими производителями сначала в виде частных решений, а в марте 1997 года комитет 802.3 IEEE принял спецификацию 802.3x, которая определяет простой способ управления потоком кадров в сетях, построенных на коммутаторах Ethernet.
При переполнении внутренних буферов коммутатор просто передает устройствам, подключенным к его входным портам команду X-off, запрещающую передавать кадры, а при разгрузке буферов - команду X-on, разрешающую продолжить передачу кадров. Многие специалисты считают, что такая простая схема может привести не к улучшению, а к ухудшению ситуации с перегрузкой коммутаторов сети, учитывая максимальную скорость GigabitEthernet в 1 480 000 кадров в секунду. "Слишком просто и слишком медленно" - так охарактеризовал механизм управления потоком профессор Леонард Клейнрок, известный специалист в применении теории массового обслуживания к анализу вычислительных систем. Говард Фрэйзер, председатель группы 802.3z и сетевой специалист компании Cisco, считает, что спецификация 802.3х разработана как низкоуровневое и временное решение проблемы переполнения коммутаторов. Некоторые специалисты считают, что на начальной стадии коммутаторы GigabitEthernet будут переживать те же трудности с управлением потоков кадров, что и коммутаторы АТМ на начальной стадии становления АТМ.
Предупреждение потерь кадров - это только самый начальный уровень управления качеством обслуживания.
Нужны следующие шаги, и для технологий, не включающих поддержку качества обслуживания на уровне протокола, реализация таких механизмов в коммутаторах - единственный способ конкуренции с технологией АТМ.
Существуют частные решения производителей по управлению качеством обслуживания, например, механизм PACE компании 3Com, приписывающий каждый порт коммутатора к одному из трех уровней приоритетов, а затем поддерживающий внутри коммутатора три очереди для каждого выходного порта. Сравнительно недавно появились проекты стандартов такого механизма у комитета 802.1 IEEE - 802.1q и 802.1p. С помощью стандарта 802.1q коммутаторы смогут помечать кадры метками для образования виртуальных сетей и обозначения приоритета трафика. Стандарт 802.1p описывает способ сигнализации, с помощью которого конечная станция может запросить приоритет обслуживания у коммутатора. Однако, эти стандарты не дают никаких гарантий относительно получаемой конечной станцией полосы пропускания и тем более, величины задержек в сети. Приоритет кадра говорит только о том, что в коммутаторе он будет обслуживаться раньше кадров с более низким уровнем приоритета. Низкоприоритетные кадры больших размеров все равно могут заставить высокоприоритетный кадр ожидать достаточно большое время в очереди, если обслуживание низкоприоритетного кадра уже началось к моменту поступления высокоприоритетного.
У приверженцев технологии АТМ возможность достижения высокого качества обслуживания для разных видов трафика с помощью стандартов 802.1q/p вызывает большие сомнения и они кажутся достаточно обоснованными.
Повышение роли удаленного доступа и глобальных связей в корпоративных сетях
В развитии средств удаленного доступа к ресурсам корпоративной сети можно выделить несколько основных тенденций:
Стандартизация. На смену фирменным решениям, отличающимся использованием собственных протоколов передачи данных по телефонным сетям, своих методов аутентификации удаленных пользователей и оригинальными способами предоставления ресурсов центральной сети пришли системы, в которых работает все больше стандартных компонент: протокол передачи данных PPP, джентельментский набор средств аутентификации - с помощью протокола CHAP и систем RADIUS, Kerberos, NovellNDS или MicrosoftDirectoryServices, предоставление информационных ресурсов удаленным пользователям с помощью службы Web или с помощью тех же сервисов, которые работают и в локальной сети. Это процесс облегчает взаимодействие серверов удаленного доступа с клиентами и сетевыми операционными системами, работающими в локальной сети. Хотя до полной стандартизации еще далеко (она, как всегда, является скорее целью, а не состоянием), за последние несколько лет ситуация изменилась коренным образом. Три года назад сервер NetWareConnect 1.0 использовал свою версию протокола PPP, сервер RAS компании Microsoft передавал данные по фирменному протоколу AsynBEUI, а клиентские программы компании Shiva могли связаться только со своим сервером. Повышение скорости доступа. Основные усилия операторов телекоммуникационных сервисов сегодня направлены на преодоление для массовых пользователей барьера в 33.6 Кб/c, накладываемого аналоговыми модемами. Наиболее доступное на сегодня решение - использование сетей ISDN, но с ним конкурируют также новые методы передачи данных по кабельным системам последней мили - технологии х2, Flex56, xDSL. Использование Internet для удешевления междугородного и международного доступа. Схема "местная телефонная сеть - Internet - корпоративная сеть" может резко удешевить доступ по сравнению с использованием схемы "междугородная/ международная телефонная сеть - корпоративная сеть". Интегрированная обработка вызовов от аналоговых и цифровых абонентов в серверах удаленного доступа.
Правовая регламентация деятельности в области защиты информации
Правовая регламентация деятельности в области защиты информации имеет целью защиту информации, составляющей государственную тайну, обеспечение прав потребителей на получение качественных продуктов, защиту конституционных прав граждан на сохранение личной тайны, борьбу с организованной преступностью.
Те, кто несут ответственность за корпоративную сеть, при приобретении тех или иных продуктов обеспечения безопасности, особенно связанных с шифрацией, должны выяснить некоторые правовые вопросы, например, может ли данный продукт быть экспортирован в другие страны или импортирован из других стран.
Регламентация может выражаться в следующей форме:
обязательное лицензирование некоторых видов деятельности; необходимость иметь разрешение на некоторые виды деятельности; требование сертификации некоторых видов продуктов.
Лицензия является официальным документом, который разрешает осуществление на определенных условиях конкретного вида деятельности в течение установленного срока.
Разрешение выдается на некоторые виды разовых работ, независимо имеется ли у данной организации лицензия. Например, организация которая имеет лицензию на разработку шифровальных средств, должна получить разрешение на их экспорт.
Сертификат - официальный документ, удостоверяющий, что продукт прошел тестирование и соответствует требованиям нормативных документов.
В настоящее время правовая база, регулирующая отношения субъектов в области защиты информации, включает следующие основные документы:
Конституция РФ, согласно которой "каждый гражданин имеет право заниматься любыми видами деятельности свободно и по своему выбору, кроме тех, которые запрещены законом, или для занятия которыми требуется наличие специального разрешения (лицензии). Гражданский кодекс РФ, в Части первой которого в ст.49 говорится: "Отдельными видами деятельности, перечень которых определяется законом, юридическое лицо может заниматься только на основании специального разрешения (лицензии)". Федеральные законы РФ ("Об информации, информатизации и защите информации" от 25 января 1995 года, "О государственной тайне" и др.). Постановление правительства РФ (например, постановление N 758 "О мерах по совершенствованию государственного регулирования экспорта товаров и услуг" от 1 июля 1994 г., постановление N1418 от 24.12.94 и др.). Указы президента (например, указ N1268 "О контроле за экспортом из Российской Федерации товаров и технологий двойного назначения" от 26 августа 1996 года, указ N334 "О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также услуг в области шифрования информации" от 3 апреля 1995 года.). Уголовный кодекс, в котором в разделе IX главы 28 "Преступления в сфере компьютерной информации" предусматривается наказания за "уничтожение, блокирование, модификацию и копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети".
С последними законодательными актами в области безопасности можно ознакомиться на сервере www.alpha.ru.
Работу по регламентации деятельности в области защиты информации проводит также Государственная техническая комиссия при президенте Российской федерации, издающая так называемые руководящие документы (РД). Один из этих РД, например, оценивает степень защищенности межсетевых экранов (firewall).
Виды деятельности, лицензии на которые выдаются ФАПСИ:
В области шифровальных средств: разработка; производство; монтаж, наладка и установка; ремонт и сервисное обслуживание; реализация; предоставление услуг по шифрованию; предоставление консультационных услуг; эксплуатация. Те же виды деятельности, относящиеся к системам, использующим шифровальные средства и предназначенным для телекоммуникаций. Лицензии должны получать все предприятия и организации, независимо от их ведомственной принадлежности и прав собственности. Проведение сертификационных испытаний. Проведение работ по выявлению электронных устройств перехвата информации в технических средствах предприятий, банков и других учреждений, расположенных в Российской Федерации, независимо от их ведомственной принадлежности и форм собственности, на которых осуществляется обработка информации, составляющей государственную тайну.
Виды деятельности, на которые выдаются разрешения ФАПСИ:
экспорт и импорт шифровальных средств, предназначенных для использования при обработке, хранении и передаче информации по каналам связи; экспорт и импорт закрытых (с помощью шифровальных средств) систем и комплексов телекоммуникаций; экспорт услуг в области шифрования; открытие учебных специальностей, курсов для организаций, имеющих лицензию на работу по подготовке кадров;
Виды деятельности, на которые не нужны лицензии и разрешения ФАПСИ:
эксплуатация шифровальных средств физическими лицами и негосударственными организациями для защиты информации, не составляющей государственную тайну, во внутренних сетях без выхода в сети общего пользования или для связи с зарубежными партнерами; выявление электронных устройств перехвата информации в помещениях и устройствах негосударственных предприятий, если это не связано с обработкой информации, составляющей государственную тайну; издательская, рекламная и выставочная деятельность.
Предоставление индивидуального
Можно пойти и дальше в детализации требований к пропускной способности. В конце концов пропускная способность каналов связи нужна не компьютеру в целом, а отдельным приложениям, которые выполняются на этом компьютере. У файлового сервиса одни требования к пропускной способности, у электронной почты - другие, а у сервиса интерактивных видеоконференций - третьи. Особенно остро эти различия стали ощущаться с начала 90-х годов, когда наряду с традиционным файловым сервисом и сервисом печати в локальных сетях стали использоваться новые виды сервисов, порождающих трафик реального времени, очень чувствительного к задержкам. Типичным представителем такого сервиса является компьютерная телефония. Каждый телефонный разговор двух абонентов порождает в сети трафик, имеющий постоянную битовую скорость, чаще всего 64 Кб/с (рис.1.5), когда источник голосовой информации порождает поток байт с частотой 8 КГц.
Более сложные методы кодирования могут уменьшить интенсивность голосового трафика до 9.6 Кб/с, и даже до 4 - 5 Кб/с.
Независимо от способа кодирования и интенсивности трафика, качество воспроизводимого на приемном конце голоса очень зависит от задержек поступления байт, несущих замеры амплитуды голоса. Вся техника передачи голоса в цифровой форме основана на том, что замеры должны поступать на воспроизводящее устройство через те же интервалы, через которые они производились на приемном устройстве, которое преобразовывало голос в последовательность чисел. Задержка поступления очередного байта более чем на 10 мс может привести к появлениям эффекта эха, большие задержки могут исказить тембр голоса до неузнаваемости или привести к затруднениям в распознавании слов. Компьютерные сети - как локальные, так и глобальные - это сети с коммутацией пакетов, в которых задержки передачи пакетов трудно предсказать. В силу самого способа буферизации пакетов в промежуточных коммутаторах и маршрутизаторах задержки в компьютерных сетях имеют переменный характер, так как пульсирующий характер файлового сервиса, Web-сервиса и многих других популярных компьютерных сервисов создают постоянно меняющуюся загрузку коммутаторов и маршрутизаторов.
Рис. 1.5. Трафик, порождаемый в сети при передаче телефонного разговора
Особенно большие проблемы создает интерактивный обмен голосовыми сообщениями, проще говоря - обычный разговор. При передаче голоса только в одну сторону, например, при воспроизведении заранее записанной музыки, на приемном конце можно поставить буфер, в котором будут накапливаться неравномерно поступающие замеры звука, которые с некоторой задержкой затем будут извлекаться из буфера строго с частотой 8 КГц (рис.1.6).
Рис. 1.6. Сглаживание неравномерности задержек, вносимых сетью
Такой буфер обычно называется устройством эхоподавления и используется в протяженных цифровых телефонных сетях. При интерактивном обмене постоянные значительные задержки, вносимые буфером в разговор, становятся очень неудобными для собеседников - приходится долго ждать ответа, как при разговоре с космонавтами.
Аналогичные требования к передаче своих данных предъявляет и трафик, переносящий видеоизображение. Трафик, требующий, чтобы его данные поступали к приемному узлу через строго определенные промежутки времени, называется синхронным в отличие от асинхронного трафика, мало чувствительного к задержкам его данных. Почти весь трафик традиционных сервисов компьютерных сетей является асинхронным - задержка передачи части файла даже на 200 мс будет мало заметна для пользователя.
Как правило, асинхронный и синхронный виды трафика существенно отличаются и еще в одном важном отношении - чувствительности к потере пакетов. Асинхронный трафик очень чувствителен к таким потерям, так как потеря даже небольшой части файла делает всю операцию передачи файла по сети бессмысленной - файл или его потерянную часть обязательно нужно передавать заново. Потеря же одного замера голоса или одного кадра изображения не очень заметно сказывается на качестве воспроизводимого сигнала, так как инерционный характер физических процессов приводит к тому, что два последовательных замера не очень отличаются друг от друга, поэтому воспроизводящему устройству не составляет труда восстановить, хотя и приблизительно, потерянную информацию.
Использование мультимедийной информации и интерактивных сервисов в компьютерных сетях создало сложную проблему совмещения двух очень разных по требованиям к характеру передачи пакетов через сеть типов данных. Сложности совмещения синхронного и асинхронного трафика в одной сети коммутации пакетов иллюстрирует рисунок 1.7.
Рис. 1.7. Проблема совмещения синхронного и асинхронного трафика в одной сети с коммутацией пакетов
При передаче синхронных данных в обычных пакетах и кадрах локальной сети, такие пакеты будут встречаться во внутренних очередях коммутаторов и маршрутизатров с пакетами обычного асинхронного компьютерного трафика. Если коммутатор или маршрутизатор не делает различий между пакетами синхронного и асинхронного трафика, то задержки могут быть очень большими и очень неравномерными, особенно при загрузке коммуникационного устройства, близкой к его максимальным возможностям обработки пакетов. Естественным выходом из этой ситуации является приоритетная обработка пакетов синхронного трафика - и это очень распространенный прием, применяемый многими производителями коммутаторов, маршрутизаторов, а также разработчиками новых протоколов локальных сетей, например, протокола 100VG-AnyLAN, в котором существует два уровня приоритетов.
Однако, даже при приоритетной обработке пакеты синхронного трафика могут задерживаться в коммуникационных устройствах, так как в них можно реализовать только алгоритмы обработки с относительными приоритетами, а не с абсолютными. Это значит, что если низкоприоритетный пакет уже начал передаваться в сеть, то устройство не может прервать его передачу при приходе в это время высокоприоритетного пакета. Поэтому максимальное время ожидания синхронного пакета всегда равно времени передачи пакета максимальной длины, которую допускает тот или иной протокол или действующая конфигурация сети.
Так, для классического 10-Мегабитного Ethernet'а максимальный размер пакета равен 1526 байт (со всеми служебными полями и преамбулой). Значит, максимальное время его передачи составит 1.2 мс.
Это не так много для большинства видов синхронного мультимедийного трафика. Хуже обстоят дела в сетях TokenRing, где кадры могут достигать размера в 16 Кбайт. При скорости в 16 Мб/с это может привести к задержке в 8 мс, уже оказывающей заметное влияние на качество голоса или изображения. Для сетей FDDI с битовой скоростью 100 Мб/с и максимальным размером кадра 4500 байт задержка составит всего 0.36 мс, для сетей Fast Ethernet - 0.12 мс, GigabitEthernet - 0.012 мс, а АТМ при скорости 155 Мб/c и размере ячейки в 53 байта - всего 2.7 мкс.
Однако, этот идеальный случай соответствует полностью свободной в любой момент времени среде передачи данных на выходном порту коммутатора или маршрутизатора. Такая ситуация встречается в локальных сетях не часто, так как микросегментация, когда каждый компьютер связан с сетью своей индивидуальной линией связи, пока еще слишком дорогое удовольствие для применения его во всех сегментах сети. При использовании в сегменте разделяемой среды высокоприоритетный пакет должен ждать не только завершения передачи низкоприоритетного пакета, но и освобождения разделяемой среды, а это составляющая является чисто случайной и с ней бороться можно только уменьшая загрузку сегмента.
Разделяемые среды передачи данных традиционно использовались в локальных сетях для уменьшения стоимости сетевого оборудования. Практически все протоколы локальных сетей - от Ethernet до 100VG-AnyLAN и GigabitEthernet (АТМ не относится к протоколам, разработанным для локальных сетей, эта технология в гораздо большей степени близка к технологиям передачи данных в глобальных сетях) могут работать на разделяемых средах передачи данных.
В разных протоколах локальных сетей реализованы разные методы доступа к разделяемой среде. В некоторых новых протоколах предусмотрен механизм приоритетного предоставления доступа к среде. Обычно, разработчики протокола ограничиваются двумя уровнями приоритетов - один, низкий, для асинхронного трафика, и второй, высокий, для синхронного. Так поступили разработчики протоколов FDDI и 100VG-AnyLAN.
В протоколе TokenRing существует 8 уровней приоритетов, а во всех протоколах семейства Ethernet - FastEthernet - GigabitEthernet понятие приоритета кадра отсутствует. Безусловно, приоритетное предоставление доступа к разделяемой среде намного уменьшает задержки доставки пакетов к узлу назначения.
Однако, какой бы метод доступа к разделяемой среде передачи данных не использовался, возможна ситуация, когда несколько узлов с высоким приоритетом будут требовать одновременный доступ к разделяемой среде. Протоколы локальных сетей, даже самые последние, не решают задачу предоставления каких-то гарантий в распределении полосы пропускания общего канала передачи данных между равноприоритетными узлами. И, если все узлы сети будут иметь равные приоритеты, то разделяемая среда по-прежнему будет предоставлять каждому узлу заранее неизвестную часть своей пропускной способности.
Обеспечение для абонентов сети требуемого уровня задержек - это частный случай обеспечения нужного качества обслуживания - QualityofService, QoS. Анализ типов трафика, создаваемого современными приложениями, позволил выделить несколько основных типов, для которых понятие QoS имеет различный смысл и характеризуется различными параметрами.
Трафик реального времени с постоянной битовой скоростью обычно требует предоставления ему постоянной полосы пропускания, причем в понятие качества обслуживания входит не только величина предоставляемой ему пропускной способности, но и величина задержек передачи каждого пакета - обычно среднее время задержки и величина ее вариации. Типичный представитель этого типа трафика - голосовой трафик.
Существует также тип трафика реального времени, создающий поток данных с пульсирующей битовой скоростью, но так же чувствительный к задержкам передачи пакетов. Такой трафик создают источники, выполняющие компрессию голоса или видеоизображения, когда, например, при неизменной картинке интенсивность потока данных резко уменьшается. Для такого трафика в понятие качества обслуживание по прежнему входят средняя величина и вариация задержек, а вместо одного параметра пропускной способности обычно от сети требуется обеспечить два - среднюю скорость передачи данных и передачу всплеска трафика до определенной величины в течение оговоренного периода времени.
Для пульсирующего компьютерного трафика, который не является трафиком реального времени, так как нечувствителен к задержкам, обычно достаточно обеспечить аналогичные предыдущему случаю параметры пропускной способности, а о величинах задержек не заботиться.
Для случая, когда трудно точно оценить среднюю скорость передачи данных приложением и максимальный всплеск интенсивности, применяют упрощенное толкование понятия качества обслуживания - как верхний и нижний пределы пропускной способности, предоставляемой сетью абоненту в течение достаточно длительного промежутка времени.
В предыдущих примерах качество обслуживания трактовалось только относительно временных характеристик работы сети. Однако, вероятность успешной доставки данных абоненту также, естественно, может учитываться в качестве обслуживания. Для многих видов компьютерного сервиса, где потери пакетов ведут к существенному снижению полезной пропускной способности сети, надежность доставки пакета - существенная составляющая качественного обслуживания абонента сетью.
До сих пор мы больше говорили о предоставлении определенного уровня качества обслуживания узлам сети, то есть компьютерам в целом. Однако, на самом деле источником трафика с определенными требованиями к качеству его обслуживания является не компьютер, а отдельное приложение, работающее на этом компьютере. Вполне реальной является ситуации когда на одном компьютере одновременно в режиме разделения времени выполняются несколько приложений и у каждого имеются свои требования к передаче его данных через сеть. Большинство современные ОС поддерживают режим мультипрограммирования, так что сосуществование фонового приложения рассылки электронной почты или факсов с сессией видеоконференции вполне возможно. Поэтому современная сеть должна допускать обслуживание с разными классами качества и с разными параметрами качества приложений одного и того же компьютера.
Совмещенная передача голоса и данных и гарантированное качество обслуживания в глобальных сетях
В глобальных сетях проблема совмещения голоса и данных, или, в более широкой постановке задачи, обеспечение гарантированного качества обслуживания для различных классов трафика стоит еще более остро. Это объясняется тем, что глобальные каналы связи существенно дороже локальных, поэтому гораздо сильнее стимулы для использования одной и той же транспортной инфраструктуры для передачи компьютерного трафика и трафика, который обычно передается через телефонные сети.
Попытки обеспечить приемлемое качество обслуживания для голосового и компьютерного трафика делались в территориальных сетях уже давно - практически с самого начала внедрения глобальных компьютерных сетей. Компьютерный трафик при отсутствие специальных каналов связи передавали по телефонным каналам с помощью модемов. Телефонные сети всегда работали по технологии коммутации каналов, поэтому проблема задержек голосовых данных длинными компьютерными пакетами здесь не возникала - после коммутации составной канал оказывался полностью в распоряжении либо компьютерного, либо голосового трафика.
Однако, при этом определенные неудобства испытывали компьютерные абоненты сети - канал с постоянной пропускной способностью не может хорошо передавать пульсации трафика. Если нужно передать трафик со средней интенсивностью 10 Кб/с и пульсацией до 500 Кб/с на протяжении одной секунды, то, очевидно, что канал с пропускной способностью 28.8 Кб/с не сможет хорошо справиться с этой задачей. Пакеты, принадлежащие периоду всплеска трафика, будут ждать в очереди, которая образуется на входе такого канала. В то же время в периоды трафика низкой интенсивности (а они, безусловно, будут иметь место, так как средняя интенсивность трафика всего 10 Кб/c) канал будет использоваться всего на небольшую долю своей пропускной способности, а так как в сетях с коммутацией каналов оплата всегда осуществляется на повременной основе, то и платить компьютерные абоненты всегда будут не только за полезную пропускную способность канала, но и за неиспользуемую часть времени его работы.
Такое положение дел всегда сохраняется при использовании сетей с коммутацией каналов, в том числе и сетей ISDN. Сети ISDN изначально проектировались как сети с интегральными услугами, в которых компьютерный трафик должен передаваться наравне с телефонным, трафиком факсов, службы телетекста и трафиками других служб. Однако первая попытка построения интегральной территориальной сети удалась далеко не в полной мере. Сервис коммутации пакетов, так нужный для качественной и экономной передачи пульсаций трафика, оказался в этих сетях пасынком. Только немногие провайдеры сетей ISDN предоставляют такой вид услуг своим абонентам, да и то на медленных каналах типа D в 16 Кб/с или 64 Кб/с, а такие скорости вряд ли удовлетворят пользователей современных корпоративных сетей. Поэтому для передачи компьютерного трафика через сети ISDN используется сервис коммутации каналов со скоростью до 2 Мб/с, а значит все проблемы с передачей пульсаций остаются.
При использовании же для передачи голосового и других видов трафика реального времени сетей, разработанных как чисто компьютерные, пользователи сталкиваются с той же проблемой неравномерных и значительных задержек пакетов с мультимедийными данными, которая присуща и локальным сетям. При более низких скоростях передачи данных задержки могут быть достаточно чувствительными. Даже в ненагруженной сети framerelay при скорости передачи данных по каналу в 1.5 Мб/с передача пакета компьютерных данных длиной 4096 байт может задержать пакет голосовых данных на 22 мс, что скорее всего очень сильно снизит качество передачи голоса.
Большие размеры пакетов, которые выгодны для передачи компьютерных данных, так как увеличивают полезную пропускную способность канала за счет снижения доли служебных данных в заголовках, вредно влияют на качество передачи трафика реального времени не только за счет задержек в промежуточных узлах, то есть коммутаторах и маршрутизаторах. Большое влияние на качество обслуживания может оказывать так называемая задержка пакетизации, которая тем больше, чем больше размер пакета, используемого для передачи мультимедийных данных.
Механизм возникновения задержки пакетизации иллюстрирует рисунок 1.8.
Рис. 1.8. Задержка пакетизации голосовых данных при передаче через сети коммутации пакетов
Пусть мы хотим использовать для передачи голоса сеть framerelay с максимальным размером пакета 4096 байт. Оцифрованные замеры голоса поступают на вход устройства доступа к глобальной сети - FrameRelayAccessDevice, FRAD, с частотой 8 КГц. FRAD упаковывает каждый байт в пакет, при этом первый байт, попавший в какой-либо пакет, должен ждать отправки в сеть 4095 интервалов по 125 мкс (период следования байт при частоте 8 КГц), пока пакет на заполнится полностью. Эта задержка и называется задержкой пакетизации, в данном случае она составит 511 мс, то есть полсекунды, что совершенно недопустимо. Поэтому обычно FRAD настраивается на отправку в сеть голосовых данных в пакетах гораздо меньшей длины, например, 128 байт, но и при этом задержка составит порядка 16 мс и для ее компенсации нужно устройство эхоподавления на приемном конце.
Из-за задержек пакетизации в сетях с коммутацией пакетов при необходимости совмещать передачу голоса и данных применяют пакеты небольших размеров, которые также уменьшают и задержки ожидания в коммутаторах сети. Однако, при этом уменьшается полезная пропускная способность сети для компьютерных данных.
В глобальных сетях обычно не ставится задача поддержки качества обслуживания для всех возможных типов трафика, которые были рассмотрены выше. Чаще всего, глобальная сеть считается очень хорошей, если она может дифференцированно обслуживать по крайней мере два вида трафика, голосовой и компьютерный, прием с очень упрощенной поддержкой качества обслуживания для каждого типа.
Более тонкая поддержка качества обслуживания для всех основных типов трафика обеспечивается сегодня только в сетях АТМ, и то часто потенциально, так как не все провайдеры АТМ предлагают абонентам своих сетей все возможные способы поддержки качества обслуживания, определенные в стандарте технологии АТМ.
Преимущества Intranet
Прежде, чем проводить реорганизацию на своем предприятии, важно понять, какие преимущества может дать преобразование существующих приложений в приложения для Intranet. Ниже приводятся некоторые из них:
Стандартное клиентское обеспечение в виде браузера Internet с дружественным и простым графическим интерфейсом способствует повышению производительности и разработчиков, и пользователей системы. Снятие ограничений на место расположения сотрудников предприятия: Intranet позволяет без излишних затрат обеспечить доступ к корпоративным приложениям для тех сотрудников, которые в результате производственной необходимости оказались за много километров от своего офиса. Intranet способна привлечь новых пользователей, улучшая приложения путем упрощения их пользовательского интерфейса и расширения предоставляемой ими справочной информации. Некоторым организациям переход к Intranet может потребоваться просто ради того, чтобы выглядеть современно и не отставать от конкурентов.
Преобразование реляционного подхода к организации баз данных в объектно-реляционный подход
Мы уже отмечали в начале этого раздела, что радикальным решением всех проблем, свойственных реляционным системам, был бы революционный переход к объектно-ориентирован- ной организации как баз данных, так и систем управления ими. Мы перечислили ряд причин, по которым массовых потребителей баз данных не устроила эта возможная революция. Но дело не только в этом. В конце 1989 г. группа ведущих специалистов в области объектно-ори- ентированных баз данных опубликовала "Манифест объектно-ориентированных баз данных" (перевод на русский язык опубликован в журнале "СУБД", N 4, 1995 г.).
В этом манифесте утверждается, что современная ситуация с ООБД напоминает ситуацию с реляционными системами середины 1970-х гг. При наличии большого количества экспериментальных проектов (и коммерческих систем) отсутствует общепринятая объектно-ориенти- рованная модель данных, и не потому, что нет ни одной разработанной полной модели, а по причине отсутствия общего согласия о принятии какой-либо модели. На самом деле, имеются и более конкретные проблемы, связанные с разработкой декларативных языков запросов, выполнением и оптимизацией запросов, формулированием и поддержанием ограничений целостности, синхронизацией доступа и управлением транзакциями и т.д.
Объектно-реляционный подход возник как эволюционная альтернатива революционному объектно-ориентированному подходу. Заметим, что термин "объектно-реляционные СУБД" вошел в обиход далеко не сразу, и даже сейчас системы соответствующего класса часто характеризуются другими терминами. Точкой отсчета можно считать опубликование в 1990 г. "Манифеста систем баз данных третьего поколения" (перевод на русский язык опубликован в журнале "СУБД", N 2, 1995 г.). В этом манифесте выдвигалась идея и обосновывались преимущества эволюционного развития возможностей СУБД без коренной ломки предыдущих подходов и с сохранением преемственности с системами предыдущего поколения. Частично требования к системам следующего поколения включали просто необходимость реализации давно известных свойств, которые отсутствовали в большинстве текущих реляционных СУБД (ограничения целостности общего вида, триггеры, модификация БД через представления и т.д.).
В число новых требований входили полнота системы типов, поддерживаемых в СУБД; поддержка иерархии и наследования типов; возможность управления сложными объектами и т.д.
Другим термином, используемым по отношению к СУБД третьего поколения является термин "расширяемые СУБД". Под этим словосочетанием понимается то, что компания-производи- тель поставляет некоторый базовый остов системы, функции которой в дальнейшем могут на- ращиваться сторонними компаниями или даже пользователями.
Термин "объектно-реляционная СУБД" был внедрен в обиход Майклом Стоунбрейкером, идейным руководителем проектов свободно распространяемых систем Ingres и Postgres и основателем компании Illustra, выпустившей одноименный коммерческий продукт. (На самом деле, система Illustra является хорошо отлаженным и документированным вариантом Postgres). В Postgres были реализованы многие интересные средства, свойственные системам третьего поколения: поддерживалась темпоральная модель хранения и доступа к данным и в связи с этим был абсолютно пересмотрен механизм журнализации изменений, откатов транзакций и восстановления БД после сбоев; обеспечивался мощный механизм ограничений целостности; имелась возможность хранения в столбцах таблицы вложенных таблиц. Допускалось хранение в полях таблицы данных абстрактных, определяемых пользователями типов, что обеспечивало возможность внедрения в базу данных поведенческого аспекта.
Наконец, ведущие компании-производители СУБД стали использовать для идентификации своих серверных продуктов нового поколения термин "универсальный сервер", имея в виду, что в этих продуктах используется объектно-реляционный подход, а также обеспечиваются возможности расширяемости, интеграции с Internet и т.д.
Пригодны ли средства быстрой разработки только на стадии пилотного проекта?
Конечно же, нет. Можно найти массу простых информационных приложений, основное назначение которых состоит в том, чтобы формировать отчеты на основе заранее подготовленных запросов пользователей к базам данных. Общая эффективность подобных приложений главным образом определяется эффективностью используемой СУБД, и на нее мало влияет интерпретируемость выполнения клиентской части приложения.
Заметим, что большая часть современных языков и инструментальных средств быстрой разработки приложений (например, Delphi компании Borland, PowerBuilder компании Sybase и т.д.) имеют несколько собственных интерфейсов с распространенными серверами баз данных, либо могут работать с ними через драйверы ODBC. Поэтому с архитектурной точки зрения быстро разработанное приложение вполне может соответствовать модели "клиент-сервер". Если же в дополнение к средствам быстрой разработки применяются такие серверные средства как хранимые процедуры, ограничения целостности и триггеры, то часть логики приложения может быть перенесена на сервер баз данных (фактически, это позволяет сформировать третье звено общей цепочки - сервер приложений).
Приложения, предлагаемые третьими компаниями (пример: Catalyst компании SunMicrosystems)
Мы уже отмечали, что большинство прикладных программных продуктов производится небольшими самостоятельными софтверными компаниями. Такие компании в силу ограниченности своих ресурсов часто не могут обеспечить разработку и сопровождение продуктов на разных платформах и сосредотачиваются на поддержке платформ одного поставщика. Компании этого рода недаром называют "сторонними поставщиками", поскольку они ведут свою собственную политику, сами рекламируют и продают свою продукцию и не связаны со своими "старшими братьями" партнерскими отношениями. Тем не менее, основные поставщики также заинтересованы в том, чтобы их потенциальные заказчики знали о существовании продуктов третьих компаний, поскольку это является дополнительным доводом при принятии решения о покупке. Большинство крупных компаний собирает и распространяет информацию о доступности продуктов сторонних поставщиков.
Например, компания SunMicrosystems каждый год издает специальный каталог под названием "Catalyst", содержащий исключительно информацию о продуктах независимых фирм, работающих на платформах Sun. Catalyst обычно имеет объем более 1000 страниц. Прикладные продукты разбиты на предметно-ориентированные категории. По поводу каждого продукта приводятся его краткая характеристика и адрес и другая контактная информация производителя.
Применение АТМ в локальных сетях: когда оправданы затраты на высокое качество обслуживания
Кроме коммутаторов, поддерживающих стандартные протоколы локальных сетей и передающих кадры с порта на порт по алгоритмам моста, в локальных сетях стали применяться коммутаторы другого вида, а именно коммутаторы технологии АТМ. В связи с этим коротко рассмотрим основные принципы работы таких коммутаторов и способы их взаимодействия с коммутаторами технологий локальных сетей.
Технология АТМ (AsynchronousTransferMode - режим асинхронной передачи) разрабатывалась изначально для совмещения синхронного голосового трафика и асинхронного компьютерного трафика в рамках одной территориальной сети. Затем сфера применения технологии АТМ была расширена и на локальные сети.
Технология АТМ обладает следующими основными особенностями, которые обеспечивают ее выдающиеся возможности для поддержки качества обслуживания основных типов трафика сегодняшних локальных и глобальных сетей:
иерархия битовых скоростей: 25 Мб/c, 155 Мб/c, 622 Мб/c; небольшой и постоянный размер пакета - 53 байта; транспортный сервис с установлением соединений - коммутируемые и постоянные виртуальные каналы; обеспечение требуемого качества обслуживания для каждого приложения. использование индивидуальных полнодуплексных связей конечного узла с сетью; поддержка на физическом уровне основных сред передачи данных - оптоволокна, витой пары категории 5, коаксиального кабеля (в каналах доступа к территориальным сетям). Поддержка стандартных методов кодирования сигнала на физическом уровне - SONET/SDH, FDDI, T1/E1.
Все эти особенности, собранные вместе в одной технологии, построенной "с нуля", а не в результате модификации существующей, обеспечивают гарантии требуемого качества обслуживания (тип и числовые параметры) по схеме "приложение - приложение".
Фиксированный формат ячейки
АТМ-станции и АТМ-коммутаторы обмениваются между собой кадрами фиксированного размера в 53 байта. Эти кадры принято называть ячейками. Поле данных ячейки занимает 48 байт, а заголовок - 5 байт. Размер поля данных - результат компромисса между "телефонистами" и "компьютерщиками".
При скорости 155 Мб/c - основной скорости работы АТМ-сетей, задержка пакетизации составляет менее 6 мс. Правда, служебная информация составляет около 10% от полезной информации, что гораздо больше, чем у других протоколов локальных сетей, но при битовой скорости в 155 Мб/c скорость передачи пользовательских данных все равно остается достаточно высокой - около 136 Мб/c в каждую сторону. Задержки в коммутаторах АТМ из-за ожидания обработки неприоритетных ячеек при их фиксированном и небольшом размере также оказываются предсказуемыми и небольшими.
Однако, один размер ячейки сам по себе не дает гарантированного качества обслуживания. Его поддерживают и другие особенности технологии АТМ.
Заказ и резервирование пропускной способности при установлении соединения
Сеть АТМ всегда использует процедуру установления соединения перед передачей пользовательских данных. (рис. 2.18)
Рис. 2.18 Соединения в сети АТМ
При этом используется стандартная для глобальных сетей техника коммутации данных с помощью виртуальных каналов (VirtualChannel). Такая техника давно использовалась в сетях Х.25, а затем нашла применение и в новых технологиях территориальных сетей - framerelay и АТМ. Для того, чтобы пакеты содержали адресную информацию, необходимую для принятия решения о коммутации, и в то же время процент служебной информации не был большим по сравнению с размером поля данных пакета, длинный адрес конечного узла передается только в первой ячейке, несущей запрос на установление соединения. При прокладке виртуального канала через коммутаторы сети каждый коммутатор отождествляет этот виртуальный канал с его локальным номером VCI (VirualChannelIdentifier), который имеет смысл только для данного коммутатора и даже для данного порта коммутатора (рис. 2.19). После установления соединения все ячейки, относящиеся к данному соединению, отмечаются узлом-отправителем определенным значением VCI, тем самым, которое использовалось и при запросе на установление соединения. Так как коммутаторы при прохождении запроса на установление соединения уже составили для своих портов таблицы коммутации для данного VCI, то продвижение ячеек с порта на порт осуществляется далее очень быстро - ячейка не преобразуется при продвижении, а просмотр таблиц коммутации происходит быстро, так как их размер у каждого порта небольшой.
Рис. 2.19 Коммутация в сетях АТМ
Построение же таблиц маршрутизации для конечных адресов станций, необходимых для установления соединений, в сетях АТМ может выполняться как вручную администратором, так и автоматически с помощью протокола PNNI (PrivateNetworktoNetworkInterface), похожего на протокол OSPF сетей TCP/IP.
Виртуальные каналы бывают коммутируемыми (SwitchedVirtualChannel) и постоянными (PermanenetVirtualChannel). Коммутируемые виртуальные каналы устанавливаются узлами динамически, в процессе работы, а постоянные виртуальные каналы образуются администратором на продолжительный срок.
Особенностью сетей АТМ является то, что запрос на установление соединения несет в себе одновременно с адресом конечного узла и параметры запрашиваемого качества обслуживания. Эти параметры определяет в первую очередь тип трафика, который будет передаваться в рамках данного соединения. Сегодня стандартами технологии АТМ, которые разработала некоммерческая организация ATMForum, определено 4 основных типа трафика:
CBR (ConstantBitRate) - трафик с постоянной битовой скоростью; VBR (VariableBitRate) - трафик с переменной битовой скоростью; ABR (AvailableBitRate) - трафик с доступной битовой скоростью; UBR ((UnspecifiedBitRate) - трафик с неопределенной битовой скоростью.
Так как для трафика VBR существует два подтипа - VBR реального времени и VBR, то иногда говорят, что в АТМ существует 5 типов трафика.
Для каждого из типов трафика определены следующие параметры качества обслуживания:
Тип трафика | Гарантии пропускной способности | Гарантии изменения задержки | Обратная связь при переполнении |
CBR | + | + | - |
VBR | + | + | - |
UBR | - | - | - |
ABR | + | + | + |
Трафик VBR соответствует случаю передачи компрессированного голоса или изображения. Для него запрашивается средняя скорость и максимальная величина пульсации за определенное время.
Сервис VBR может использоваться также и для передачи компьютерного трафика.
Для этого при установлении соединения ABR между конечным узлом и коммутаторами сети заключается соглашение о двух скоростях передачи данных - пиковой скорости и минимальной скорости. Пользователь соединения ABR соглашается не передавать данные со скоростью, выше пиковой, а сеть соглашается всегда обеспечивать минимальную скорость передачи ячеек .
Если приложение при установлении ABR-соединения не определяет максимальную и минимальную скорости, то по умолчанию считается, что максимальная скорость совпадает со скоростью линии доступа станции к сети , а минимальная скорость считается равной нулю.
Сервис ABR (AvailableBitRate) в отличие от других видов сервиса АТМ использует достаточно тонкую технику управления потоком для предотвращения перегрузок сети - при перегрузках о них оповещаются как ближайшие соседи-коммутаторы, так и конечные узлы.
Сервис с неопределенной пропускной способностью (UnspecifiedBitRate) подобен сервису коммутаторов локальных сетей - он не гарантирует конечному узлу какой-то определенной доли пропускной способности сети и не гарантирует, что все ячейки конечного узла будут доставлены по назначению. Это самый простой вид сервиса и он не использует какие-либо процедуры управления потоком, а при переполнении буферов коммутатора приходящие ячейки отбрасываются точно так же, как это делают коммутаторы локальных сетей.
Для всех типов трафика кроме UBR процедура установления соединения представляет для коммутаторов сети достаточно сложную проблему. Коммутатор должен решить, сможет ли он гарантировать пользователю запрашиваемые параметры пропускной способности и задержек. Поэтому процедура установления соединения обычно отнимает у коммутатора достаточно много времени - от 5 мс и выше. Но зато, если запрос принят, то дальше он выполняется с гарантией запрошенного качества для взаимодействующих в рамках соединения приложений.
Поддержка тонких процедур обеспечения качества обслуживания и высокая скорость коммутации делают коммутаторы АТМ достаточно дорогими устройствами - стоимость порта колеблется от $2000 до $3000 за порт.
Средняя цена построения локальной сети АТМ даже при предоставлении рабочим станциям пропускной способности 25 Мб/c приводит к стоимости в расчете на узел примерно в $1000.
Взаимодействие с существующими технологиями и протоколами
Для преобразования кадров, циркулирующих в локальных сетях, в 53-байтные ячейки, в технологии АТМ определены функции сегментации и ассемблирования (SegmentationAndReassembling). Когда кадр или пакет существующего протокола, например IP, поступает в драйвер сетевого адаптера АТМ, то он с помощью функции сегментации разделяет его на последовательность ячеек. После передачи ячеек по сети коммутаторов АТМ они вновь собираются в последнем коммутаторе с помощью функции реассемблирования в исходный кадр.
Однако, преобразование пакетов в ячейки - не самая сложная проблема взаимодействия АТМ с протоколами локальных сетей. Сложнее проложить нужные виртуальные пути в сети коммутаторов АТМ и заказать для них нужное качество обслуживания.
Нужно отметить, что ATМ Forum предпринимает значительные усилия для решения проблемы совместимости, понимая, что новой технологии еще долгое время придется сосуществовать с традиционными.
На сегодняшний день имеется стандартный вариант решения этой задачи для согласования АТМ с протоколами канального уровня локальных сетей. Он носит название LANEmulation - эмуляции локальных сетей. При использовании LANE сеть коммутаторов АТМ становится обычной сетью Ethernet (или другого протокола канального уровня локальной сети), понимающей MAC-адреса конечных узлов, передающей широковещательный трафик и не требующей установления соединения перед отправкой данных.
Основные идеи спецификации LANE иллюстрирует рисунок 2.20. Эмуляция преследует две цели. Во-первых, обеспечить транзитную передачу трафика сетей Ethernet, TokenRing, FDDI и им подобных через магистраль коммутаторов АТМ на основе МАС-адресов конечных узлов и с сохранением широковещательности. Во-вторых, обеспечить доступ по МАС-адресам к компьютерам, подключенным непосредственно к коммутаторам АТМ с помощью сетевых адаптеров АТМ из узлов, поддерживающих только протоколы канального уровня локальных сетей.
Для решения первой задачи магистраль АТМ соединяется с традиционными локальными сетями пограничными коммутаторами. Каждый пограничный коммутатор собирает данные о МАС-адресах узлов локальной сети, которую он присоединяет к магистрали АТМ. Обычно коммутатор выполняет эту работу по долгу службы, так как он является одновременно обычным коммутатором второго уровня для портов, подключенных к локальной сети, один порт пограничного коммутатора обязательно имеет АТМ-интефейс и соответственно АТМ-адрес. Информацию о МАС-адресах своей сети пограничный коммутатор передает центральному элементу LANE - серверу. Этот сервер собирает данные о МАС-адресах, обслуживаемых каждым пограничным коммутатором.
Рис. 2.20. Использование отдельных виртуальных каналов в ATM-сетях для передачи информации о виртуальных сетях
При необходимости передать кадр по МАС-адресу, принадлежащему локальной сети, присоединенной к магистрали другим пограничным коммутатором, данный пограничный коммутатор обращается с запросом к LANE-серверу и тот, просмотрев свои адресные таблицы, сообщает, какой пограничный коммутатор и с каким АТМ-адресом обслуживает ту локальную сеть, в которой находится узел с МАС-адресом назначения. Далее пограничный коммутатор устанавливает виртуальный канал (если он ранее не был установлен) с соседним пограничным коммутатором и передает по этому каналу кадр Ethernet, преобразованный в последовательность АТМ-ячеек. На другом конце магистрали другой пограничный коммутатор собирает из ячеек первозданный кадр и отправляет его узлу назначения.
Широковещательность эмулируется за счет рассылки кадра LANE-сервером всем пограничным коммутаторам.
Доступ из компьютеров локальных сетей к компьютерам, непосредственно подключенным к коммутаторам АТМ, достигается за счет того, что последним также присваивается МАС-адрес и в сетевой адаптер АТМ встраивается то же программное обеспечение, что и в пограничные коммутаторы, но только оно в этом случае обслуживает не группу МАС-адресов, а единственный МАС-адрес.
Спецификация LANE поддерживает также технологию виртуальных сетей. Если в локальной сети, присоединенной к пограничному коммутатору, определено несколько виртуальных сетей, то для передачи кадров каждой виртуальной сети пограничный коммутатор использует отдельный виртуальный канал. Номер этого виртуального канала и является той меткой, по которой пограничный коммутатор на другом конце АТМ-магистрали понимает, для какой виртуальной сети предназначен кадр.
Протокол LANE реализован во многих коммутаторах, которые могут использоваться как пограничные, так как имеют АТМ-интерфейс и интерфейсы локальных сетей - например, в коммутаторах Centillion 100 компании BayNetworks, Catalyst 5000 кампании Cisco и многих других. LANE-серверы также поставляются со многими моделями коммутаторов АТМ, например CELLplex 7000 компании 3Com.
Спецификация LANE версии 1.0 хорошо отработана и продукты различных производителей показали хорошую совместимость в тестах, проведенных журналом DataCommunications (July 1997, стр. 42). Правда, время установления соединения было зафиксировано достаточно большими - от 36 мс до 630 мс для сети из трех коммутаторов.
Недостатком LANE 1.0 является то, что она для передачи трафика локальных сетей использует класс сервиса UBR, то есть не поддерживает возможности, которые предоставляет технология АТМ по гарантиям пропускной способности и задержкам. Этот недостаток должна исправить спецификация LANE 2.0, принятие которой ожидается в ближайшее время.
В то же время разработчики приложений могут воспользоваться всеми преимуществами классов сервиса технологии АТМ с помощью интерфейса прикладного программирования Winsock 2.0.
Так как при использовании LANE сеть выглядит для сетевых протоколов как обычная локальная сеть, то для маршрутизаторов почти нет проблем при работе с такой сетью. Почти - потому что проблемой может стать слишком большое время установления соединений между пограничными коммутаторами, особенно если сеть большая, абонентов много и при ограничениях на число виртуальных каналов по одному порту эти соединения приходится периодически разрывать и восстанавливать.
Для решения этой проблемы можно применять методы ускоренной передачи сетевых протоколов, подобных IPswitching и tagswitching.
Области применения
В основном АТМ применяется сегодня на магистрали корпоративной локальной сети, причем с применением спецификации LANE 1.0. Это значит, что пока коммутаторы АТМ работают просто как распределенный и достаточно быстрый обычный коммутатор локальных сетей, так как гарантий качества обслуживания такой подход не дает. Проблемы построения магистрали крупной локальной сети рассматриваются более подробно далее, в разделе 2.5.
Что же касается доведения АТМ до клиентского компьютера, то здесь технология АТМ вряд ли найдет широкое применение. Дешевый вариант использования 25 Мегабитных сетевых адаптеров АТМ и коммутаторов с такими же портами проигрывает в сравнении с аналогичным решением на FastEthernet. Стоимость сети АТМ в этом случае раза в 3 превышает стоимость сети FastEthernet, а пропускная способность получается гораздо меньше. Поэтому, хотя и имеются отдельные проекты с массовым применением АТМ 25 Мб/с, тенденция к широкому использованию этого варианта АТМ не наблюдается.
В целом перспективы применения АТМ в локальных сетях весьма благоприятные . Исследования, проведенные компанией InfoneticsResearch, показали, что сейчас на рынке коммутаторов доминируют коммутаторы Ethernet и FastEthernet (рис.4.21). Однако по прогнозам этой же компании, после 1998 года объемы продаж коммутаторов Ethernet начнут резко сокращаться, а объемы продаж коммутаторов АТМ наоборот возрастут превзойдут объемы продаж коммутаторов FastEthernet. Основной конкурент АТМ в локальных сетях - GigabitEthernet - к 1990 году не сможет набрать достаточного веса. Что же качается коммутаторов FDDI и TokenRing, то их ждет постепенное угасание.
Рис. 4.21. Рынок коммутаторов - действительность и прогнозы
Применение на магистрали методов ускоренной передачи IP-трафика типа IP switching и tag switching
Для устранения замедления работы магистрали, вносимого коммутаторами АТМ при установлении и разрыве динамических виртуальных соединений (SVC), компания Ipsilon предложила свой собственный подход использования технологии АТМ, названный ею IP-switching, который затем подхватили и развили многие компании, породив большое количество частных и несовместимых решений (Tag-switching компании Cisco, ARIS компании IBM и т.п.). Все вместе эти решения позволяют говорить о третьем вариантепостроения магистрали.
Этот вариант связан с нестандартным способом работы коммутаторов АТМ. Формат ячеек АТМ, способы разбиения пакетов на ячейки и последующей сборки ячеек в пакеты локальных сетей, а также использование небольшого поля номера виртуального канала VPI/VCI для принятия коммутатором решения о передаче ячейки с порта на порт остаются теми же. Изменяется способ прокладки нового виртуального соединения через сеть АТМ. Для этого не требуется прохождение запроса через все коммутаторы на пути нового виртуального канала. Каждый коммутатор строит таблицу номеров VPI/VCI для продвижения ячеек через свои порты относительно автономно от других коммутаторов, так что для образования виртуального пути не требуется согласия всех коммутаторов, через которые он проходит. Процесс создания таблиц VPI/VCI может быть растянут во времени, так что часть коммутаторов уже готова к быстрой коммутации ячеек нового виртуального пути, а часть - еще нет.
Виртуальные пути прокладываются через магистраль только для долговременных потоков пакетов данных. Для одиночных пакетов, которые не образуют потока (например, для пакетов сервиса DNS), коммутаторы АТМ работают как обычные IP-маршрутизаторы, то есть обрабатывают каждый пакет в соответствии с его IP-заголовком и просматривают обычную таблицу маршрутизации для принятия решения о продвижении пакета через сеть АТМ. Как только коммутатор выявляет устойчивый поток, проходящий через его порты, он устанавливает для него новое виртуальное соединение и присваивает ему новый адрес VPI/VCI.
Затем все пакеты, приходящие в пограничный АТМ- коммутатор магистрали, при разбиении на ячейки АТМ помечаются этим адресом VPI/VCI и коммутируются без задержек на выполнение маршрутизации всеми коммутаторами магистрали АТМ, встречающимися на пути маршрута.
Ускорение передачи потоков данных достигается за счет сокращения времени образования виртуальных каналов в коммутаторах АТМ по сравнению со стандартной процедурой. Однако при этом коммутаторы, используемые на магистрали сети, уже трудно назвать стандартными АТМ-коммутаторами. Они выполняют и функции обычных маршрутизаторов, так как для обработки IP-пакетов строят таблицы маршрутизации, для чего поддерживают стандартные протоколы обмена маршрутной информацией, такие как RIP или OSPF. Они также поддерживают частный протокол распространения маршрутной информации по ATM-сети для построения таблиц VPI/VCI номеров потоков (например, протокол IFMP для коммутаторов Ipsilon). Для поддержки стандартных АТМ-сетей такие коммутаторы могут создавать виртуальные пути и стандартным способом, с помощью системы сигнализации, предложенной АТМ Forum.
К сожалению, техника ускоренной передачи IP-трафика через АТМ-магистрали остается пока нестандартной, хотя в комитет IETF поступило ряд предложений по выработке общего стандарта (в том числе и от пионера этого подхода Ipsilon, а также от лидера в области маршрутизации - компании Cisco, чья схема Tag-switching позволяет передавать через магистраль не только IP-пакеты, но и пакеты других популярных протоколов, например, IPX).
Примеры сетей на основе коммутаторов
В качестве первого примера рассмотрим наиболее часто встречающийся вариант сети с коммутируемой магистралью FDDI - проект корпоративной сети АО "ЛУКойл-Когалымнефтегаз" и "Нефтекомбанка", выполненный интеграционной российской компанией IBSNetworkSolutions (рис. 2.10).
Рис. 2.10. Сеть АО "ЛУКойл-Когалымнефтегаз", построенная с использованием технологии FDDI
АО "ЛУКойл-Когалымнефтегаз" представляет собой одно из крупнейших в России объединений, действующих на рынке нефтегазодобычи. В структуру объединения входит "Нефтекомбанк". Подавляющее число административных зданий объединения расположены на относительно небольшой территории (диаметром порядка 7 км) города Когалым.
К моменту начала осуществления проекта в некоторых зданиях работали локальные сети с общим числом компьютеров около 700, но соединения между сетями зданий отсутствовали.
В предложенном проекте семь зданий АО на территории города Когалым объединяются на основе оптоволоконного кабеля и технологии FDDI. В каждом здании установлен центральный для сети здания коммутатор LANplex 2500, позволяющий осуществлять коммутацию двух сетей FDDI или коммутацию одной сети FDDI с 8-ю сегментами Ethernet. При подключении к кольцу FDDI используется подключение типа DAС на многомодовом или одномодовом оптоволоконном кабеле.
В предложенном проекте используется два магистральных кольца FDDI, объединенные коммутатором LANplex.
К каждому из магистральных колец подключается несколько сетей зданий с помощью своих коммутаторов LANplex. Подключение по схеме DAC обеспечивает надежное функционирование магистральных колец, изоляция сетей зданий на физическом уровне осуществляется с помощью оптических обходных переключателей OpticalBypassSwitch.
Сети этажей и функциональных подразделений зданий используют технологию Ethernet. Сегменты Ethernet подключаются к коммутатору LANplex через порты его коммутирующего модуля Ethernet. Некоторые удаленные небольшие сети подключаются к магистральной сети не по технологии FDDI, а по технологии 10Base-FL, используя оптоволоконные повторители FMSOpticalRepeator.
Все коммуникационное оборудование сети управляется с помощью системы управления TranscendEnterpriseManager компании 3Сом.
Второй пример показывает преимущества использования масштабируемости технологии Ethernet. Этот пример привел Роберт Лейланд в уже упоминавшейся статье о сравнении эффективности коммутации для технологий TokenRing и Ethernet/FastEthernet/GigabitEthernet (DataCommunication, July 1997, стр. 21).
Гипотетическая сеть приведена на рисунке 2.11. Для объединения в среднем 86 клиентских компьютеров и 2-х серверов отдела использованы коммутаторы для рабочих групп компании Intel, имеющие 24 порта 10 Мб/c и один порт 100 Мб/c. Всего на каждый этаж понадобилось по 4 таких коммутатора стоимостью $3295. Для образования сети этажа нужно кроме того каждый компьютер оснастить сетевым адаптером 10/100, средняя стоимостью которого составляет $81.5. Полная стоимость сетей нижнего уровня составляет $92 260.
Коммутаторы этажей соединяются каналом 100 Мб/c с магистральными коммутаторами компании FoundryNetworks, которые имеют по 16 портов 100 Мб/с и один или два гигабитных порта. Применение для образования магистрали коммутаторов 100 Мб/c может оказаться недальновидным шагом, так как большой межотдельский трафик может привести к перегрузке портов, соединяющих коммутаторы. Для решения проблемы построения магистрали производители 100 Мегабитных коммутаторов использовали различные нестандартные приемы, например, транковые объединения двух и более портов в один логический канал (например, коммутатор 28115 компании BayNetworks).
Центральные серверы предприятия в количестве 9 штук также подключаются к коммутируемым 100Мб/c портам третьего магистрального коммутатора. Этот коммутатор используется также для объединения двух других магистральных коммутаторов с помощью двух своих гигабитных портов. Коммутатор компании FoundryNetworks с одним гигабитным портом стоит $10490, а с двумя - $11950. Это дает общую стоимость аппаратного обеспечения сети в $176 168. Лейланд оценил также и стоимость работ по переходу к коммутируемой сети Ethernet, посчитав ее равной $150 на один компьютер (замена сетевого адаптера на адаптер 10/100).
Полная стоимость миграции составила $269 918.
Рис. 2.11. Коммутируемая сеть Ethernet/FastEthernet/GigabitEthernet
В заключении раздела об использовании коммутаторов приведем правила, помогающие принять решение в непростой ситуации выбора между разделяемой средой и коммутируемой (Byte, май 1997, стр. 32 ):
10 Мб/c | 100 Мб/c | |
Коммутация | Сети со смесью мощных пользователей (инженеры, дизайнеры, разработчики Intranet) и типичных пользователей; сети с использованием трафика MPEG-1 к некоторым станциям | Приложения, требующие повышенной полосы пропускания (САПР, Web); видеоконференции; приложения MPEG-2; обеспечение магистральных связей для серверов и принтеров |
Разделяемая среда | Стандартные приложения групповой работы; e-mail; передача и печать файлов средних размеров | Приложения, требующие повышенной полосы пропускания (САПР, Web) в односерверных сетях |
Проблемы проектирования и разработки приложений
В этом разделе мы кратко обсудим проблемы построения информационных приложений, которые, с одной стороны, примыкают к чисто техническим проблемам, а с другой стороны, тес- но связаны с проблемами организационными. Отметим, что в данном разделе многое является спорным и отражает личную точку зрения автора (которая совпадает с точкой зрения многих авторитетных специалистов).
9.4.1. Как правильно оценить текущие и будущие потребности организации
На самом деле, это является одной из наиболее сложных задач. Недооценка потребностей приводит к размножению мелких информационных систем, обеспечивающих отдельные информационные нужды предприятий (например, бухгалтерия, складское хозяйство, отдел кадров, служба маркетинга и т.д.). В дальнейшем может оказаться, что эти системы частично дублируют одна другую, а их информация сильно перекрывается. Наличие нескольких информационных систем, построенных на разных технологиях, - это и источник "унаследован- ных" систем. Переоценка потребностей может привести к созданию чрезмерно масштабной системы с неразумным расходованием средств и потребностью в квалифицированном штате администраторов.
Самое главное, что здесь невозможны общие рекомендации. Руководители организации обладают (или, по крайней мере, должны обладать) развитой интуицией относительно перспектив развития. Сторонние компании-интеграторы имеют больший опыт создания информационных систем, могут лучше оценить доступность недорогих и эффективных решений.
Продукты компании АНКАД
Фирма "АНКАД" предлагает семейство программно-аппаратных средств криптографической защиты информации КРИПТОН, использующее ключ длиной 256 бит и алгоритмы шифрования и электронной подписи, которые соответствуют российским стандартами. В частности, шифр оплаты серии КРИПТОН для IBM-совместимых компьютеров широко применяются для защиты данных при передаче по открытым каналам связи.
Московская фирма "АНКАД" недавно получила от Федерального агентства правительственной связи и информации (ФАПСИ) лицензию на деятельность в сфере защиты информации. Лицензия предоставляет право заниматься разработкой, производством и реализацией средств криптографической защиты информации в коммерческом и государственном секторах экономики, включая работы в интересах зарубежных заказчиков. Эта деятельность осуществляется в рамках научно-технического сотрудничества и по согласованию с ФАПСИ.
Продукты, сертифицированные для использования в России
Пока существует не так уж много продуктов, имеющих сертификат Гостехкомиссии, удостоверяющий пригодность этого продукта для применения в России в целях защиты данных. Ниже приводится описание некоторых из них.
4.6.1. BlackHole компании MilkywayNetworks
BlackHole (продукт компании MilkywayNetworks) - это firewall, работающий на proxy-серверах протоколов прикладного уровня (TELNET, FTP и т.д.). Он служит для разграничения доступа между локальной и глобальной сетью (INTERNET) или между двумя подразделениями локальной сети (ИНТРАНЕТ). BlackHole построен на принципе "Все что не разрешено, запрещено", т.е. любой вид доступа должен быть описан явно.
BlackHole поддерживает TELNET, FTP, Web-сервис, почту SMTP и некоторые другие виды сервисов.
Кроме этого, в состав BlackHole входят proxy-сервер уровня TCP и proxy сервер для UDP протокола. BlackHole осуществляет мониторинг всех 65 535 TCP/UDP портов и сбор статистики по попыткам доступа к этим портам. Правила доступа могут использовать в качестве параметров адрес источника, адрес назначения, вид сервиса (FTP, TELNET, и т.д.), дату и время доступа, идентификатор и пароль пользователя.
BlackHole поддерживает строгую аутентификацию как с использованием обычных паролей, так и различных типов одноразовых паролей S/Key, EnigmaLogicSafeword, SecurityDynamicsSecureID, при этом аутентификация может быть включена для любого вида сервиса.
Система выдачи предупреждений о попытках НСД в реальном времени в BlackHole позволяет администратору системы описывать опасные события и реакцию на них системы (вывод на консоль, звонок на пейджер и т.д.).
BlackHole предоставляет сервис для создания групп пользователей, сервисов, хостов и сетей и позволяет создавать правила для этих групп, что дает возможность легко описывать и администрировать большое количество пользователей.
BlackHole имеет удобную и дружественную графическую оболочку под X-Windows, так что настройкой системы может заниматься неискушенный в UNIX человек. Все административные функции могут быть выполнены из этой оболочки.
Ядро ОС модифицировано для защиты графического интерфейса от внешнего доступа.
BlackHole предоставляет следующие возможности по конвертации адреса источника пакета при прохождении через firewall:
адрес может быть заменен на адрес firewall; адрес может быть оставлен без изменения; адрес может быть заменен на выбранный администратором.
Последняя опция позволяет для пользователей INTERNET представлять внутреннюю сеть как состоящую из набора подсетей.
Для хранения и обработки статистической информации BlackHole использует реляционную базу данных с языком запросов SQL. BlackHole функционирует на PC и SunSparc платформах под управлением модифицированных версий операционных систем BSDI и SunOS.
BlackHole имеет сертификат Национального Агентства Компьютерной Безопасности США (NCSA), гарантирующий его высокую надежность и уровень защиты, но, что еще более важно этот продукт сертифицирован Государственной Технической Комиссией при Президенте России. Ниже приводится выдержка из сертификата N79:
"Выдан 30 января 1997г.
Действителен до 30 января 2000г."
Автоматизированная система разграничения доступа BlackHole версии BSDI-OS, функционирующая под управлением операционной системы BSDIBSD/OSv2.1, является программным средством защиты информации от НСД в сетях передачи данных по протоколу TCP/IP, обеспечивает защиту информационных ресурсов защищаемого участка локальной сети от доступа извне, не снижая уровня защищенности участка локальной сети, соответствует "Техническим условиям на Автоматизированную систему разграничения доступа BlackHole версии BSDI-OS" N 5-97 и требованиям Руководящего документа Гостехкомиссии России "Автомати- зированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации" в части администрирования для класса 3Б."
Проектирование корпоративных сетей
В этом разделе будут рассмотрены разные аспекты проектирования сетей. Прежде всего, это методология проектирования, то есть последовательность и содержание работ, которые необходимо выполнить при создании или модернизации корпоративной сети. Далее рассматривается проблема выбора средств анализа работы сети, без которых трудно сформулировать требования к проектируемой сети, провести натурные эксперименты на пилотной сети и, наконец, провести приемно-сдаточные испытания новой только что спроектированной сети. Следующую группу проблем, рассматриваемых в данном разделе, составляют вопросы взаимодействия заказчика с интегратором.
Программные пакеты имитационного моделирования
Анализаторы протоколов незаменимы для исследования реальных сетей, но они не позволяют получать количественные оценки характеристик для еще не существующих сетей, находящихся в стадии проектирования. В этих случаях проектировщики могут использовать средства имитационного моделирования, с помощью которых разрабатываются модели, воссоздающие информационные процессы, протекающие в сетях.
Существуют специальные, ориентированные на моделирование вычислительных сетей программные системы, в которых процесс создания модели как таковой вообще отсутствует. Такие программные системы сами генерируют модель сети на основе исходных данных о ее топологии и используемых протоколах, об интенсивностях потоков запросов между компьютерами сети протяженности линий связи, о типах используемого оборудования и приложений. Программные системы моделирования могут быть узко специализированными и достаточно универсальными, позволяющие имитировать сети самых различных типов. Качество результатов моделирование в значительной степени зависит от точности исходных данных о сети, переданных в систему имитационного моделирования.
Программные системы моделирования сетей - инструмент, который может пригодиться любому администратору корпоративной сети, особенно при проектировании новой сети или внесении кардинальных изменений в уже существующую. Продукты данной категории позволяют проверить последствия внедрения тех или иных решений еще до оплаты приобретаемого оборудования. Конечно, большинство из этих программных пакетов стоят достаточно дорого, но и возможная экономия может быть тоже весьма ощутимой.
Программы имитационного моделирования сети используют в своей работе информацию о пространственном расположении сети, числе узлов, конфигурации связей, скоростях передачи данных, используемых протоколах и типе оборудования, а также о выполняемых в сети приложениях.
Рынок систем имитационного моделирования представлен продуктами различного класса - от простых программ, предназначенных для установки на персональном компьютере, до мощных сетевых пакетов. Стоимость систем высшего класса может доходить до нескольких десятков тысяч долларов. Так, популярная система COMNETIII компании CACIProducts составляет $35000 - $40000.
Разновидности и архитектуры информационных приложений
В зависимости от конкретной области применения, информационные системы могут очень сильно различаться по своим функциям, архитектуре, реализации. Однако можно выделить по крайней мере два свойства, которые являются общими для всех информационных систем.
Во-первых, любая информационная система предназначена для сбора, хранения и обработки информации. Поэтому в основе информационной системы лежит среда хранения и доступа к данным. Среда должна обеспечивать уровень надежности хранения и эффективность доступа, соответствующие области применения информационной системы.
Во-вторых, информационные системы ориентируются на конечного пользователя, например, банковского клерка. Такие пользователи могут быть очень далеки от мира компьютеров. Для них терминал, персональный компьютер или рабочая станция представляют собой всего лишь орудие их собственной профессиональной деятельности. Поэтому информационная система обязана обладать простым, удобным, легко осваиваемым интерфейсом, который должен предоставить конечному пользователю все необходимые для его работы функции, но в то же время не дать ему возможность выполнять какие-либо лишние действия. Иногда этот интерфейс может быть графическим с меню, кнопками, подсказками и т.д. Сейчас очень популярны графические интерфейсы, и многие современные средства разработки информационных приложений прежде всего ориентированы на разработку графических интерфейсов. Наличие развитых интерфейсных средств является обязательным для любой современной информационной системы.
Тематика прикладных информационных систем исключительно широка. В этой части курса мы рассмотрим только некоторые вопросы, связанные с организацией, разработкой и использованием таких систем, причем не будем слишком углубляться в технические детали.
Разработка контракта с интегратором
После выбора интегратора и его предложений, необходимо разработать и согласовать с ним контракт. В контракте приводятся взаимные обязательства между фирмой-интегратором и вашим предприятием. Контракт устанавливает и определяет детали гарантий, обслуживания, оплаты, лицензирования продуктов, определяет права собственности и условия поставок. Контракт - это своего рода "страховой полис" вашей сети. Если на его разработку и согласование требуется 6 недель - потратьте эти 6 недель, так как это лучше, чем после установки сети обнаружить, что в контракте не оговорены обсуждавшиеся проблемы.
Контракт формализует предложения интегратора. В нем юридически устанавливаются термины для приемки оборудования и программного обеспечения, оговариваются виды обслуживания, документации, сроки внедрения сети, создания проекта сети и ее реализации, цены и порядок тестирования.
Рассмотрим некоторые типовые пункты контракта.
Сетевое оборудование, системное программное обеспечение и приложения. В контракте перечисляются количество и характеристики сетевого и коммуникационного оборудования, которое должно быть установлено. Контракт фиксирует условия окружающей среды в офисах, где будет установлено оборудование, включая требования к температуре, влажности, и требования к электрическим параметрам. В контракт также включается кабельная система.
Контракт включает лицензионные соглашения на системное программное обеспечение и приложения, которые будут использоваться. Следует включить в контракт условия взаимодействия при возникновении проблем с программным обеспечением, так как здесь всегда имеется большое количество поставщиков и разработчиков. Если вам нужен исходный код, это условие нужно записать в контракт.
Обслуживание. Если вы хотите, чтобы обслуживание сети производилось фирмой-интегратором, это должно быть зафиксировано в контракте, включая количество технических специалистов, обслуживающих сеть на вашем предприятии, и гарантированное время обслуживания. Обсуждению подлежит и следующий вопрос: относится ли контракт на обслуживание и к обслуживанию сетевой аппаратуры, коммуникационных средств, системного программного обеспечения и приложений.
План поэтапного внедрения. Включите в контракт сроки поэтапного внедрения. Как распределены сроки внутри каждого этапа внедрения? Что произойдет, если намеченный план не будет выполнен?
Документация. Контракт должен определять состав документации. Она должна включать в себя описание работ в виде схемы логической сети, включая месторасположения таких основных компонентов, как маршрутизаторы и мосты. Она должна включать также документацию о программно-аппаратных средствах третьих сторон. Будет ли осуществляться интеграторами бесплатное исправление документации, если во время инсталляции произойдут какие-либо изменения? Определите стоимость внесения поправок после этого периода.
Реализация. Контракт описывает технические спецификации проекта сети. Он должен содержать информацию о том, какие компоненты будут связаны и каким образом. Следует основывать эту часть контракта на технических аспектах предложений интегратора. Контракт может определять, что интегратор должен гарантировать определенное время ответа (время реакции системы), возможность наращивания и, если это необходимо, совместимость с некоторыми наиболее важными приложениями. Например, вы можете захотеть, чтобы, если потребуется, сеть могла работать со старыми DEC'овскими миникомпьютерами. В контракте должно быть также указано, кто со стороны интеграторов является главным руководителем работ по установке вашей сети.
Тестирование. Инсталляционные и приемочные испытания являются очень важными, но часто слишком поверхностными элементами периода анализа требований и заключения контракта. Инсталляционные испытания являются основными, они гарантируют, что сетевые компоненты работают по отдельности и все вместе. Они обычно выполняются небольшой группой людей, использующих пилотный вариант сети. Приемочные испытания гарантируют, что система, построенная интеграторами, отвечает всем техническим и бизнес-требованиям. Опишите в контракте сроки инсталляционных и приемочных испытаний:
Стоимость. Контракт определяет стоимость, сроки согласований стоимости и сроки оплаты.После подписания контракта стоимость может измениться, если вы потребуете дополнительных работ. Понятно, что вами может быть упущен ключевой элемент, или может потребоваться подправить концепцию. Оставьте себе путь для внесения изменений во время процесса планирования либо в план вашей сети, либо в контракт. Что касается сроков оплаты, то вы можете заплатить интегратору 30% при подписании контракта, 40% - после поставки оборудования и оставшиеся 30% после успешного завершения приемочных испытаний. Запишите все дополнительные (сверхурочные) обязанности в контракт. В контракте следует также указать, намерены ли вы приобретать оборудование для инсталляции у других, отличных от вашего интегратора, фирм.
|
Разработка технического задания
После того, как были разработаны бизнес-модель и техническая модель, необходимо разработать техническое задание. Техническое задание базируется в основном на информации, собранной на этапе анализа требований. В сущности, техническое задание говорит интегратору: "Вот производственные проблемы нашей фирмы и вот проблемы нашей вычислительной сети. Каким образом вы как проектировщик сети и интегратор можете их решить? Какие проблемы вы можете решить сами, и для решения каких проблем вам необходимо заключить контракт с другими исполнителями?" Это техническое задание необходимо раздать нескольким (по крайней мере трем) сетевым интеграторам, чтобы выяснить их мнение о том, как нужно спроектировать вашу корпоративную сеть. Сложность проектируемой корпоративной сети и опыт вашей фирмы определят глубину и широту охвата вашего технического задания. Техническое задание может иметь объем и 5, и 50, и более страниц.
Как и на этапе анализа требований, вы можете подготовить техническое задание сами или с помощью консультанта. Если вы привлекли консультанта, то, очевидно, что техническое задание будут более полными и завершенными, чем если бы вы его готовили сами. Техническое задание, подготовленное консультантом, должно включать полное описание проекта сети и список оборудования, которое нужно купить, так что поставщикам останется только назвать цену. Если вы сами готовите техническое задание, то вы можете больше полагаться на предложения системных интеграторов и меньше думать о стоимости.
В приведенном ниже примере технического задания подразумевается, что вы пользуетесь услугами консультантов и интеграторов при разработке вашей корпоративной сети. Даже если вы этого не делаете, все равно вам следует написать техническое задание для себя, и не только для обоснования решений перед руководством, но и для того, чтобы помочь уяснить себе все технические проблемы, требующие решения.
Пример технического задания
Введение
Во введении дается обзор содержания технического задания.
Оно коротко описывает вашу компанию, ее сеть, производственные цели и примерные этапы установки сети:
Обзор - является ли данное техническое задание документом, полностью описывающим вопросы планирования, реализации, поддержки и управления корпоративной сетью? Или в нем исключены некоторые вопросы, например, касающиеся кабельной системы? Здесь вы должны также указать, что вы хотите от системных интеграторов: участие в поставках, инсталляции, конфигурировании, в пуско-наладке, тестировании, управлении и/или поддержке. План - включает сроки выполнения этапов реализации технического задания: срок выпуска технического задания, крайний срок получения ответа, срок оценки предложений системных интеграторов, срок проведения презентаций и демонстраций интеграторами своих предложений, срок заключения контракта, сроки выполнения работ по установке сети. Конфиденциальность - в техническое задание можно включить пометку о конфиденциальном статусе, так как это техническое задание может содержать информацию, которой очень интересуются ваши конкуренты. Описание предприятия и его целей - необходимо определить в общих терминах, чем занимается ваше предприятие. Чтобы правильно построить вашу сеть, интегратор должен вполне представлять ваш бизнес. Этот раздел должен также содержать данные о количестве сотрудников вашего предприятия и местах расположения филиалов, которые нужно соединить сетью.
Цели создания сети на вашем предприятии
Этот раздел описывает, как вы представляете использование сети для решения производственных проблем вашего предприятия. Здесь следует также указать, имеется ли какой-либо проект автоматизированной информационной системы, связанный с данной сетью, но не отраженный в данном техническом задании:
Требования к сети. Здесь отмечаются общие цели создания сети, полученные из анализа потребностей вашего предприятия. Например, предприятию нужны коммуникации со всеми подразделениями и филиалами, при этом нужно включить в сеть существующее оборудование и используемые в настоящее время приложения, связь персоналок с миникомпьютерами, новые приложения, использующие механизм транзакций; сеть должна быть проста в использовании и управлении, обладать высокой отказоустойчивостью и производительностью. Используемое в настоящее время оборудование.
Перечислите типы и количество компьютеров каждого типа в каждом подразделении и филиале. Включите все данные - от состава оборудования мейнфреймов и устройств межсетевой связи до операционных систем персональных компьютеров и их приложений. Возьмите эту информацию из списка, составленного на этапе анализа требований. Кабельная система. Укажите, какие кабели проложены на предприятии. Будет ли корпоративная сеть использовать существующие кабели, или системный интегратор должен предложить новую кабельную систему? Соответствие стандартам предприятия. Опишите стандарты предприятия на оборудование и программное обеспечение. Например, ваше предприятие может использовать компьютеры CompaqSystemPro как стандартные для файловых серверов. Укажите, может ли интегратор делать исключения из этих стандартов. Этапы внедрения. Большинство корпоративных сетей внедряются поэтапно из-за их сложности и ограничений финансирования. Необходимо описать порядок включения в корпоративную сеть подразделений предприятия.
Требования к предложениям системных интеграторов
В этом разделе необходимо указать, что бы вам хотелось увидеть в предложениях системных интеграторов. Это поможет вам сравнить в дальнейшем предложения разных системных интеграторов:
Технические требования. Здесь можно указать требуемый перечень характеристик (название, номер модели, цена и т.п.) для программного и аппаратного обеспечения. Можно попросить также представить схему проектируемой сети, а также сроки поставки оборудования. Сведения о интеграторах. Наряду с техническими требованиями можно запросить сведения о самих интеграторах-поставщиках. В этом случае интеграторы должны включить в свои предложения описания своих предыдущих разработок, данных о сотрудниках, которые будут проектировать и устанавливать сеть, информацию о финансовом состоянии фирмы-интегра-тора, а также указать клиентов, для которых выполнялись аналогичные работы.
Сетевые цели
В этом разделе технического задания описывается ваше видение сети:
Требования к квалификации системного интегратора.
Опыт системного интегратора в построении корпоративных сетей, особенно в той области, в которой работает ваше предприятие, является очень существенным. К другим критериям относятся качество проекта, услуг по установке, обучению и поддержке. Сведения о финансовой стабильности и конкурентоспособных ценах также очень важны. Кроме того, укажите, хотите ли вы работать сразу с несколькими интеграторами, или вам нужен один интегратор в качестве генерального подрядчика. Требования к техническим аспектам сети. Этот раздел должен основываться на вашей технической модели. Какие компоненты содержит сеть? Например, хотите ли вы использовать в качестве устройства межсетевого взаимодействия маршрутизаторы, или интеграторы должны предложить какой-либо другой вариант? Если к разработке технического задания или к анализу требований привлекались консультанты, этот раздел будет достаточно подробным. Если же вы сами готовили техническое задание, эта часть может оказаться весьма общей, так как вы обращаетесь к интеграторам за экспертной помощью в создании сети, отвечающей вашим потребностям. Требования к приложениям. Для каждого типа приложения сформулируйте прежде всего следующие требования. Какое приложение вам нужно: электронная почта, база данных, средства автоматизации документооборота или средства коммуникации? Вам требуются приложения, использующие графический пользовательский интерфейс? Должны ли эти приложения работать в разных операционных системах и в разных сетевых средах? Намерены ли вы использовать шлюзы для интеграции пакетов других производителей? Какова приемлемая скорость? Требования к средствам коммуникаций. Нужно ли пользователям взаимодействовать с другими офисами, мейнфреймами, миникомпьютерами или другими источниками информации в режиме on-line. Должны ли они стать клиентами публичной электронной почты, такой как MICMail, или же системы поставки оперативной коммерческой информации. Определите, есть ли у вас предпочтение по отношению к определенной клиентской операционной системе, к сетевой операционной системе или к пользовательскому интерфейсу.
Системные спецификации
Раздел системных спецификаций технического задания описывает технические спецификации компонентов сети:
Уровень отделов. Техническое задание описывает спецификации для рабочих станций, принтеров, файл-серверов, приложений, утилит печати, коммуникационных утилит и утилит электронной почты. Если требуется высокая отказоустойчивость, то опишите желаемые компоненты для ее обеспечения, такие как зеркальные серверы, источники бесперебойного питания и устройства архивирования. Техническое задание должно определить требуемое среднее время безотказной работы компонентов сети. Уровни кампусов и предприятия. Техническое задание определяет требуемые характеристики мостов, маршрутизаторов, модемов, факс-серверов, шлюзов к миникомпьютерам и мейнфреймам, коммуникационных программ и программного обеспечения широкого применения, такого как электронная почта. Должно быть определено приемлемое среднее время доступности сети.
Сетевые проблемы
Этот раздел содержит информацию из физической модели сети:
Сетевая операционная система. В техническом задании следует запросить системного интегратора определить тип корпоративной сетевой операционной системы, если на предприятии она не стандартизована. Системный интегратор должен обосновать свой выбор. Сетевое и коммуникационное оборудование. Будут ли в корпоративной сети использоваться методы доступа к среде, отличные от тех, которые используются в "позвоночнике" сети? В техническом задании следует запросить обоснование выбора методов доступа Ethernet, TokenRing, FDDI или иных, с обсуждением скорости передачи данных и возможного влияния технического прогресса в будущем. Концентраторы. Попросите интегратора описать характеристики предлагаемых концентраторов. Интегратор должен обосновать выбор производителя, обращая особое внимание на наращиваемость, управляемость и цену. Межсетевое взаимодействие. Каким образом будут соединены сети отделов? Техническое задание требует от интегратора обоснования выбора метода межсетевого взаимодействия, а также выбора изготовителя оборудования. Доступ к миникомпьютерам и мейнфреймам.
В техническом задании должно быть определено, какое оборудование используется в настоящий момент для доступа к миникомпьютерам и мейнфреймам, также должен содержаться вопрос о том, какие другие варианты могут быть предложены. Предложения должны полностью определять программные и аппаратные средства, необходимые для хост-машин и для рабочих станций. Должно быть определено, сколько одновременных сессий может поддерживаться и каковы ограничения. Глобальные связи. Какие глобальные связи будут использованы для соединения с другими офисами? В предложении должны быть описаны требования для каждого филиала, причем они должны быть обоснованы по характеристикам пропускной способности, стоимости и управляемости. Будут ли они публичными или частными сервисами? Удаленный доступ. В предложении интегратора должен быть описан способ удаленного доступа. Это особенно важно, если сотрудники предприятия используют ноутбуки и лаптопы или же много перемещаются и в то же время нуждаются в доступе к сети. Требуются ли только входящие соединения удаленного доступа или и исходящее также? Будут ли сотрудники звонить по публичным сетям данных, таким как BT/Tymnet? Будут ли сотрудники использовать такие публичные компьютерные сети, как CompuServe или Internet? Будут ли они использовать сети других корпораций? Безопасность. Какую схему безопасности необходимо использовать, чтобы защитить сеть от случайного или преднамеренного вторжения? Какая защита от вирусов предусмотрена в сети? Доступность сети. В течение какого времени сеть должна быть доступной? Какая избыточность оборудования предусматривается для обеспечения надежной работы сети в течение всего периода доступности? Какие требования предъявляются к среднему времени между отказами для наиболее ответственных компонентов сети? В течение какого времени поставщики должны устранять проблемы с их оборудованием? Управление сетью. Каким образом будет управляться сеть? Как будут устраняться неисправности? Какой инструментарий требуется для этого? Будет ли управление осуществляться удаленно? Сколько людей потребуется для управления сетью? Масштабируемость сети.
В предложениях должно быть указано, как сеть сможет удовлетворять потребности предприятия в будущем. Для этого в техническом задании должна быть дана оценка возможного роста предприятия и корпоративной сети на год вперед. В предложениях, в свою очередь, должно быть указано, какое максимальное количество пользователей, серверов, мостов, маршрутизаторов и шлюзов сможет обслуживать данная сеть без значительного уменьшения производительности.
Обслуживание сети
Обслуживание включает в себя:
Обслуживание аппаратуры. Интегратор должен описать, где он будет заниматься обслуживанием аппаратуры. Если у него нет центра обслуживания в каждом филиале вашего предприятия, то будет ли он заключать субподряд на обслуживание с каким-либо другим интегратором? Определите правила этих взаимоотношений. Должен ли интегратор сам заботиться о наличии самых важных запасных частей в центрах обслуживания? Сколько технических специалистов имеется в каждом центре обслуживания? Каково гарантированное время ремонта? Сможет ли интегратор осуществлять удаленную диагностику проблем с аппаратурой в ваших филиалах? Каковы гарантии на предлагаемое оборудование? Поддержка программного обеспечения. В чем заключаются гарантии на используемое программное обеспечение? Какова стоимость поддержки программного обеспечения после истечения срока гарантии? Доступен ли исходный код? И опять - сможет ли интегратор выполнять удаленную диагностику и разрешение проблем программного обеспечения? Сколько сотрудников фирмы-интегратора могут поддерживать программное обеспечение в каждом из мест расположения филиалов? Надежность. Будут ли различные изменения, добавления и перемещения требовать остановки сети? Если да, то на сколько? Можно ли этим заниматься ночью или в выходной день? Имеется ли возможность модульного наращивания сети без возникновения помех для работы пользователей?
Обучение
Обзор. Определите, сколько сотрудников предприятия нуждается в обучении, каков уровень их подготовки, какие виды учебы им нужны, может ли обучение проводиться с отрывом от производства или нет.
Оцените количество часов подготовки. Интегратор в своих предложениях должен указать, каким образом он собирается обучать конечных пользователей и сотрудников отдела АИС и сколько это будет стоить. Документация. Определите количество инструкций пользователя, которые должны быть поставлены без дополнительной оплаты. Какова стоимость дополнительного количества инструкций пользователя? Каким образом будут документироваться особые функции вашей сети и кем? Оперативная поддержка. В техническом задании необходимо сделать запрос о стоимости оперативной поддержки интегратором и стоимости оперативной диагностики.
Инсталляция сети
Проблемы инсталляции включают план поставок оборудования, физические требования к оборудованию и стоимость каждого этапа инсталляции:
План поставок. В техническом задании необходимо запросить предварительный план поставок для предлагаемой системы. Физическое размещение. Предложения интегратора должны описывать физическое размещение оборудования, включая требования к необходимой площади, электрической проводке, типам электрических разъемов, параметрам воздушной среды, теплообмена, возможной нагрузки на этаж. Для каждого используемого оборудования в предложениях должно быть указано: его размеры, вес, нагрузка на пол, потребляемые ток, напряжение и мощность, типы электрических разъемов, выделение тепла в час, требования к температуре и влажности помещения. Поэтапная стоимость. В техническом задании необходимо запросить поэтапную стоимость инсталляции сети с учетом стоимости работы по ночам и в выходные дни.
Оценка предложений интеграторов
В техническом задании необходимо указать критерии, которыми вы будете пользоваться при выборе оборудования и программного обеспечения. Критерии для оценки оборудования могут включать: стоимость, скорость, поддержку при установке, удобства работы, надежность, масштабируемость, данные о производителе, стоимость обслуживания. Критерии для оценки программного обеспечения могут включать: стоимость, надежность, поддержку, опыт интегратора по данному продукту, состав документации, быстродействие.
Решения ведущих производителей серверов баз данных для их интеграции с технологией Internet/Intranet
Широкое внедрение в практику технологий Internet и, в особенности, Web-технологии существенно повлияло на общую организацию современных информационных систем. Простой и легко осваиваемый универсальный интерфейс Web-браузеров в ряде случаев позволяет не задумываться о программном обеспечении клиентских рабочих мест. Особенности организации Web-серверов позволяют достаточно естественно расширять их возможности, перенося на сторону сервера логику приложений.
Естественной потребностью информационных систем является использование баз данных. Присущие Web-технологии возможности гипермедийной организации документов, естественно, нужны и полезны, но недостаточны. Конечно, новые требования заказчиков не могли не учесть производители СУБД. Сегодня каждая компания ведущей шестерки предлагает собственные решения для интеграции технологии баз данных и Web-технологии. Имеется масса соответствующих продуктов, производимых другими софтверными компаниями, но мы ограничимся кратким обзором средств интеграции, предлагаемых ведущей шестеркой. Заметим, что иногда средства интеграции включаются в состав сервера баз данных, а иногда предлагаются в виде отдельных необязательных компонентов.
8.1.5.1. Решения компании Oracle
Компания Oracle предлагает семейство продуктов WebSystem, предназначенных для облегчения разработки приложений, в которых используются средства Web и базы данных. Семейство включает следующие продукты: OracleWebServer, OracleWebServerOption и OraclePowerBrowser. Продукты основаны на стандартах Web-технологии (HTML, HTTP, SHTTP - SecureHypertextTransferProtocol), сетевых стандартах (TCP/IP, ISDN и т.д.) и стандартах объектных технологий (OLE, CORBA, OpenDoc).
WebServer объединяет сервер баз данных, сервер HTTP и OracleWebAgent. Для поддержки мультимедийной информации WebServer имеет интерфейсы с OracleTextServer и OracleMediaServer. В совокупности эти продукты создают полную среду мультимедиа для построения корпоративных Web-приложений.
Ключевой частью OracleWebServer является WebAgent, который дает возможность Web-клиентам вызывать хранимые процедуры и создавать "на лету" динамические HTML-страницы.
Фактически, WebAgent представляет собой шлюз, подключаемый к Web-серверу через CGI (CommonGatewayInterface) и обеспечивающий расширяемые возможности формирования страниц HTML.
Компания уделяет большое внимание безопасности, поддерживая в WebServer развитый механизм аутентификации. В будущем будут поддерживаться все расширения HTML, относящиеся к безопасности.
WebServerOption содержит только сервер HTTP и WebAgent и предназначен для тех заказчиков, у которых уже имеется сервер баз данных и которые желают пользоваться Web-техно- логией.
Наконец, OraclePowerBrowser представляет собой среду разработки Web-приложений на рабочих станциях. Пакет включает развитый браузер, реляционную СУБД Blaze, средства разработки HTML-страниц, локальный Web-сервер и другие средства. Доступны версии PowerBrowser для платформ Microsoft, Macintosh, OS/2 и Motif/UNIX.
8.1.5.2. Решения компании Informix
Компания Informix предлагает продукт UniversalWebConnect, обеспечивающий возможность разработки Web-приложений, которые могут иметь доступ к любой информации, хранимой в базах данных Informix. Для разработки приложений на стороне клиента или сервера промежуточного уровня могут использоваться различные языки: Си, Си++, Java, ActiveX и т.д. Кроме того, WebConnect позволяет обеспечивать широковещательную рассылку информации подписавшимся на нее пользователям.
Для построения интеллектуальных Web-приложений WebConnect обеспечивает следующие сервисы:
URL-интерфейс (UniversalResourceLocator). Этот интерфейс дает разработчикам Web-приложений единую точку доступа к логике приложения и информации, содержащейся в базе данных. Такая информация может включать динамически конструируемые или статические HTML-страницы и соответствующие мультимедийные данные. Для быстрой и персонализированной доставки пользователям этой информации WebConnect передает URL серверу баз данных. Страницы приложений (AppPages). AppPage - это HTML-страница со встроенными операторами SQL, на основании которой конструируется документ, отображаемый браузером.
AppPage может включать скрипты JavaScript и апплеты Java. Программный интерфейс. Набор соответствующих средств позволяет просто переносить приложения "клиент-сервер" в среду Web или разрабатывать новые такие приложения. С помощью этого интерфейса обеспечивается стыковка с объектными брокерами (в частности, основанными на CORBA). Подписка и оповещение. Этот сервис дает возможность посетителям Web-узла подписаться на конкретную информацию, в частности, пользователи смогут получать электронные сообщения об изменениях базы данных. Безопасность. Обеспечивается возможность авторизации и аутентификации на уровне сервера баз данных. Это дает возможность распространить систему безопасности баз данных на Web-сервер.
8.1.5.3. Решения компании Sybase
Компания Sybase и ее дочерняя компания Powersoft поставляют несколько продуктов, предназначенных для производства Web-приложений, которые имеют доступ к базам данных. Кратко охарактеризуем некоторые из них. (Заметим, что в силу общей ориентации Sybase на компонентную архитектуру, в большинстве случаев эти продукты представляют собой компоненты, которые могут встраиваться в разные продукты.)
NetImpactDynamo - компонент, содержащий средства для построения сложных, динамических, связанных с базами данных Web-узлов. В настоящее время этот компонент поставляется в составе продукта SybaseSQLAnywhereProfessional.
jConnect - полная реализация на языке Java стандарта JDBC. Продукт дает возможность непосредственного доступа к базам данных (без использования промежуточного Web-сервера) из Java-приложений.
PowerSite - полная среда разработки в среде Web. Продукт обеспечивает разнообразные средства разработки, управления и тестирования динамических управляемых данными Web-приложений. PowerSite состоит из редактора и браузера HTML, персонального Web-сервера и средств поддержки активных языков сценариев.
Продукт Sybaseweb.sql дает возможность встраивать операторы SQL и скрипты, написанные на языке Perl, в HTML-страницы, что позволяет создавать персонализированные и кастомизированные страницы.
8.1.5.4. Решения компании IBM
Для интеграции технологии баз данных и Web-технологии компания IBM предлагает продукт DB2 WorldWideWebConnection. Этот продукт представляет собой шлюз с Internet и предназначен для работы с семейством серверов реляционных баз данных DB2 и семейством Web-серверов и защитных экранов (firewall). Кроме того, DB2 WWWConnection работает с продуктами IBM категории промежуточного программного обеспечения, что дает возможность Web-доступа к другим источникам данных.
Web-приложения для DB2, построенные с помощью DB2 WWWConnection, позволяют пользователю использовать для доступа к базам данных из стандартного браузера без потребности в каких бы то ни было изменениях в существующих структурах данных. На основе стандартных языков HTML и SQL строятся приложения, которые взаимодействуют с DB2 с помощью обычных операторов SQL.
Возможно построение двух- или трехзвенных архитектур "клиент-сервер". При двухзвенной организации используются клиентские рабочие места с Web-браузерами и Web-сервер, на котором и производится доступ к DB2. В трехзвенной среде Web-сервер обращается к другим серверам баз данных. Связующие возможности обеспечиваются средствами DistributedDatabaseConnectionServices (DDCS), ClientApplicationEnabler (CAE) и DistributedRelationalDatabaseArchitectureApplicationRequester (DRDAAR).
В трехзвенной организации допускается использование продукта DataJoiner, при применении которого обеспечивается возможность Web-доступа к базам данных Oracle, Sybase, MicrosoftSQLServer и другим реляционным и нереляционным источникам данных. Для повышения уровня безопасности приложений используется криптография.
В настоящее время продукт DB2 WWWConnection доступен на платформах OS/2, AIX, OS/400, MVS/ESA, WindowsNT, Solaris, HP/UX.
8.1.5.5. Решения компании ComputerAssociates
Компания ComputerAssociatesInternational включила средства интеграции с Web-технологией в новый выпуск OpenIngres 2.0. В дополнение к существовавшей в предыдущих версиях системы возможности устанавливать связь между Web-сервером и сервером баз данных на основе CGI, в выпуске 2.0 реализованы встроенные интерфейсные средства для связи с Web-серверами компаний Microsoft, Netscape и Spyglass.
Новый макропроцессор позволяет встраивать операторы SQL прямо в HTML-страницы. Во время работы Web-сервер обращается с такими операторами к OpenIngres.
8.1.5.6. Решения компании Microsoft
Компания Microsoft поставляет целый ряд продуктов, предназначенных для разработки Web-приложений, работающих с базами данных. Большая часть этих продуктов входит в состав крупных серверных средств.
В состав MicrosoftSQLServer входит средство SQLServerWebAssistant. Основное назначение этого средства - формировать динамическую HTML-страницу на основе результата SQL-оператора выборки из базы данных.
Внутренним компонентом MicrosoftInternetInformationServer является InternetDatabaseConnector (IDC). Фактически, этот компонент является встроенным шлюзом с SQL-сервером. Получая от браузера HTML-страницу (например, заполненную форму), IDC обращается к SQL-серверу с соответствующим запросом. После получения результатов IDC формирует возвращаемую пользователю HTML-страницу. Другим ключевым компонентом InformationServer является ActiveServerPages (ASP). Это средство позволяет встраивать в HTML-страницы скрипты, написанные на языках VisualBasicScriptingLanguage и Jscript, которые могут производить доступ к ресурсам (приложениям, базам данных и т.д.), расположенным на локальном InformationServer или на других серверах.
Режим Dial-IP и выделенный IP
Доступ в режиме On-line - это то, что привлекает многих пользователей Internet. Справедливости ради следует заметить, что данная группа пользователей не является доминирующей среди всех пользователей российского сектора сети. Так, если общее число пользователей сети Relcom исчисляется сотнями тысяч, то число тех кто, так или иначе использует доступ on-line, по самым оптимистическим оценкам на порядок меньше (а может быть и на два порядка).
Несмотря на все усилия отечественных Internet-провайдеров и отсутствие прагматизма у отечественных пользователей, доступу в режиме on-line не удается опередить UUCP по числу пользователей. Я думаю, что ситуация будет еще более наглядной, если присовокупить к UUCP услуги электронной почты, которая используется при других типах подключений.
Для подключения в режиме on-line у индивидуального пользователя есть две возможности: получить доступ в режиме удаленного терминала или подписаться на режим Dial-IP. Но собственно для чего нужен доступ в режиме OnLine?
Для обмена информацией между партнерами режим on-line не нужен. В современном сообществе сетей Internet почта распространяется по протоколу SMTP (при трансляции в другие почтовые системы используются аналогичные по возможностям протоколы, например X.400). Главное отличие этих протоколов от UUCP заключается в том, что если почтовый ящик абонента, которому направлено сообщение доступен (т.е. можно установить с почтовым агентом на удаленной машине соединение по 25 порту (порт SMTP)), то сообщение будет практически немедленно передано.
Все российские провайдеры сами подключены к сети таким образом, что с их компьютеров возможно установить SMTP соединение с почтовыми агентами в Internet (обычно, это программы sendmail). Все пользователи в российской части Internet (как UUCP-пользователи, так и все прочие) имеют почтовые ящики в пуле провайдера, за исключением тех, кто сам поддерживает прием/отправку почты по SMTP. Последнее означает, что скорость доставки не зависит от типа подключения.
А вот цена подключения различается, и довольно сильно. При рассылке почты по СНГ 1Mb при Dial-IP, будет почти в десять раз дороже, чем при подключении по UUCP. Для международного трафика UUCP обойдется в два раза дешевле.
Dial-IP
Обращаясь к сказанному выше, не следует думать, что вам предлагается вернуться лет на 5 назад, когда UUCP был единственным способом подключения к сети. Но все-таки, прежде, чем подключаться к сети, нужно определиться с целью ее использования. Многие зарубежные фирмы, которые не связаны непосредственно с вычислительной техникой, довольствуются электронной почтой и при этом отлично себя чувствуют.
Реально, режим on-line нужен только для интерактивных контактов с пользователями сети и просмотра интерактивных ресурсов типа страниц WorldWideWeb. Получить выполняемые модули или справки можно и по почте, не прибегая к интерактивному доступу к FTP-архивам.
Разберем более подробно возможности, названных выше методов on-line подключения к сети.
Режим удаленного терминала
В режиме удаленного терминала пользователь получает доступ на компьютер провайдера так же, как это происходит по команде telnet. При этом работать можно только в алфавитно-цифровом режиме.
Для работы в режиме удаленного терминала нужно быть зарегистрированным пользователем на компьютере провайдера, т.е. иметь там account и какую-либо коммуникационную программу, типа term95 из набора NortonCommander. Такой режим наиболее оптимален для пользователей 286 компьютеров, для которых не доступна работа в MS-Windows. Кроме того, по личному опыту могу сказать, что и прием/передача данных на сильно зашумленных линиях, при частых обрывах связи гораздо лучше работает при использовании режима удаленного терминала: т.к. при передаче данных по Z-modem всегда их можно дослать, что при работе по IP сделать затруднительно.
Со стороны провайдера обеспечивается регистрация и поддержка account для удаленного пользователя, учет времени соединения на линии и, в очень редких случаях, учет трафика (AORelcom).
Далеко не все провайдеры обеспечивают доступ к своим ресурсам в режиме удаленного терминала. Каких-либо ясных причин такой политики найти трудно. Число владельцев старых PC достаточно велико - и это те самые пользователи, которые могли бы реально подключиться в режиме удаленного терминала, хотя их количество быстро уменьшается.
На мой взгляд, удаленному терминалу в некотором смысле не повезло. Если UUCP практически несколько лет являлся единственным способом доступа к сети, то удаленный терминал и Dial-IP появились практически одновременно. Кроме того, удешевление персоналок привело к тому, что машины способные работать с графическими интерфейсами быстро вытеснили старые аппараты не только из офисов, но и из дома.
Если рассматривать структуру затрат при подключении по удаленному терминалу у разных провайдеров, то в глаза бросается практическое единство тарифа на время соединения с провайдером и большой разнобой в других статьях расходов.
Первое объясняется просто - цена диктуется телефонными компаниями и она едина для всех. Все остальное сильно зависит от политики, проводимой провайдером. Так стоимость регистрации колеблется от 5 - 50 у. е., т.е. разница в порядках. Картина по учету трафика еще более внушительная: одни его учитывают, а другие нет. Думается, однако, что все в скором времени сравняется. При этом нельзя не учитывать возможность исчезновения этой услуги вообще.
Однако не стоит безоговорочно списывать удаленный терминал со счетов. Во-первых, стоимость такого подключения меньше, чем у Dial-IP, а во-вторых, как и в случае с почтой, нужно определиться с потребностями.
Если нужен доступ к удаленной системе, которая работает в алфавитно-цифровом режиме, а таких систем великое множество, начиная от корпоративных информационных систем и кончая публичными библиотечными каталогами, то удаленный терминал - это самое оптимальное решение. При этом никуда не исчезает возможность обмена с коллегами по электронной почте и OnLine-общение через программы типа talk.
Ресурсы WorldWideWeb также доступны для пользователей удаленного терминала. Это, в первую очередь полноэкранный интерфейс lynx и, если не удается настроить тип терминала, программа www. При этом графика передается в виде файлов, которые можно получить на свое место на диске и потом переслать на свой компьютер для последующего просмотра.
И еще одно. Не следует комплексовать от того, что работаешь в алфавитно-цифровом режиме. Большинство системных администраторов большую часть времени проводят не за "хожде- нием" по системам графических меню, а за интерфейсом командной строки - так гораздо быстрее можно выполнить многие действия. Кроме того, на прием/передачу картинок требуется дополнительное время - а это дополнительные ресурсы и дополнительные расходы. Если нет необходимости в просмотре чужой рекламы, которая вам, уважаемый читатель, не очень-то и нужна бывает в данный момент, то стоит задуматься об удаленном терминале (к сведению: реклама составляет 80% всех информационных ресурсов WorldWideWeb).
Доступ в режиме Dial-IP
Dial-IP - это наиболее современный и функционально полный доступ к ресурсам Internet. Естественно, что он и наиболее дорогой. Некоторые Internet-провайдеры вообще не поддерживают других способов подключения (SovamTeleport). Надо сказать, что реклама Dial-IP на много превосходит рекламу других способов подключения, но насколько такое положение дел соответствует действительным возможностям полного IP-сервиса.
А задуматься есть над чем, когда при покупке компьютера Formoza, клиент получает бесплатно пакет доступа по Dial-IP в течении ограниченного времени, или когда SovamTeleport предоставляет бесплатный 7-ми дневный доступ к своим общим ресурсам. К слову сказать, подписчики других провайдеров могут получать доступ к этим ресурсам бесплатно в течении всего времени своей подписки, так что - это просто возможность познакомиться с Internet, а подписаться потом можно где-либо еще, что многие пользователи и делают, т.к. расценки Россия-OnLline далеко не самые дешевые в Москве, не говоря уже о всей стране.
Действительно, доступ к Internet через Dial- IP ничем не отличается от обычной работы в сети. Дело в том, что пользователь, работающий в этом режиме имеет постоянный или, получает на время работы, временный IP-адрес. Это значит, что все транспортные протоколы TCP/IP способны теперь работать с рабочей станцией пользователя. Теперь на ней можно устанавливать стандартное программное обеспечение Internet, которое ничем не отличается от того, которое ставят на машинах, постоянно подключенных к сети. Единственным отличием является коммуникационная программа, которая обеспечивает соединение с провайдером по коммутируемой линии и переходит за тем в режим маршрутизации IP-пакетов. Таким образом, все ресурсы Internet становятся действительно доступны пользователю.
Если при обмене данными по протоколу UUCP после установки соединения данные передавались по UUCP, а в режиме удаленного терминала вообще используются только протоколы модуляции/демодуляции, то в Dial-IP установка соединения выглядит следующим образом:
коммуникационная программа устанавливает соединение с удаленным маршрутизатором или компьютером через обычную телефонную сеть, используя стандартные приемы соединения двух модемов; в зависимости от протокола канального уровня, SLIP или PPP, системы договариваются о параметрах сеанса обмена данными. При этом, в SLIP такая настройка обычно осуществляется вручную, в то время как PPP позволяет автоматизировать этот процесс; после того как соединение установлено, происходит идентификация хоста пользователя. Если у него нет IP-адреса, то он ему назначается по DHCP (протокол PPP). При работе по SLIP хост пользователя должен иметь свой выделенный IP-адрес; после включения IP, система готова для работы в сети Internet по полной программе.
При получении динамического IP-адреса, как и постоянного IP-адреса есть свои преимущества и недостатки. Динамический IP-адрес получают только при подключении по PPP. Для провайдера такой способ более предпочтителен, т.к. позволяет лучше контролировать режим обмена информацией.
Однако при этом, практически наверняка, не присваивается хосту доменное имя. В большинстве случаев это не играет абсолютно никакой роли, но, если, например, FTP-сервер потребует ваш доменный адрес и откажет вам из-за его отсутствия в доступе, не удивляйтесь. При этом электронная почта будет работать исправно, так как ваш почтовый ящик SMTP находится на машине провайдера, а она доменное имя имеет всегда. При работе с выделенным IP-адресом таких проблем не возникает, но для провайдера это оборачивается растранжириванием адресов, и поэтому за их использование взимается дополнительная плата, правда, не всегда.
Как правило, электронная почта раздается в режиме Dial-IP по протоколу POP3. Это значит, что пользователю на машине провайдера должен быть заведен account, который естественно должен отдельно оплачиваться. По сути это ничем не отличается от режима удаленного терминала. Просто весь процесс получения почты автоматизирован.
Рис. 7.4.
На рисунке 7.4 представлена структура это процесса. Почта поступает из Internet в почтовый ящик пользователя, откуда она запрашивается программой-клиентом электронной почты по протоколу POP3. В обратном направлении программа-клиент связывается с почтовым агентом провайдера по протоколу SMTP и передает послание пользователя в очередь для отправки.
Если суммировать затраты на программное обеспечение для работы по DIAL-IP, то пользователю нужны:
коммуникационная программа; программа просмотра Web; программа приема/передачи почты; дополнительное программное обеспечение для доступа к ресурсам сети.
Последние включает в себя такие программы, как, например, telnet для работы в режиме удаленного терминала, ping - для контроля доступности удаленных машин, traceroute - для контроля маршрутизации и ряд других полезных программ.
Кроме того, пользователь обычно получает по сети еще большое количество дополнительного программного обеспечения для работы с WorldWideWeb (браузеры VRML, Chat, Internet-Phone и т.п.). В целом объем этого ПО может превышать несколько десятков Mb.
В целом затраты на Dial- IP складываются из регистрации, ежемесячных платежей, оплаты времени соединения, оплаты трафика (не у всех провайдеров), оплаты account и почтового ящика, оплаты аренды IP-адреса, если он выделенный. Отдельной строкой стоит оплата доступа к информационным ресурсам сети, но они не являются темой данного курса.
Обратим внимание, на форму стандартного договора. Если там нет условий обеспечения надежности доступа, то это должно быть оговорено отдельно. Если соединение устанавливается по PPP, то на определение параметров соединения уходит время. При частых обрывах доля системного использования телефонной линии увеличивается в общем времени доступа к ресурсам провайдера. Следовательно, денежки пользователя уходят на системное обслуживание.
При работе на относительно медленных линиях не стоит увлекаться просмотром графики. Во-первых, это главным образом реклама, во-вторых, ее передачу по линии связи оплачивает пользователь. Анализируя статистику посещений своего сервера, я обнаружил характерную тенденцию для наших западных коллег, которые при первоначальном посещении страниц отключают режим автоматической пересылки встроенной графики и заказывают ее только тогда, когда она им действительно необходима.
Режим электронной почты, подписка на телеконференции, файл-серверы и удаленный терминал
Доступ по протоколу UUCP - это в первую очередь электронная почта. Вообще говоря, UUCP - это главным образом электронная почта, хотя есть возможность и доступа к Usenet. Однако, надо сказать, что электронная почта - это не мало. Современная электронная почта Internet позволяет работать не только с текстовой информацией, но и с графикой, и со звуком, и с изображением. Через электронную почту доступны все телеконференции Usenet (в данном случае конференции Relcom, Demos и т.п.). Через электронную почту можно передавать двоичные файлы, например, файлы программ или документы, подготовленные в форматах MS-Word или Postscript. По электронной почте доступны ftp-архивы, ресурсы WorldWideWeb и многое другое. Даже поисковые запросы к Wais можно отправлять по электронной почте. Таким образом, пользователю, подключенному по UUCP к Internet, доступен практически весь мир информационных ресурсов последней, но есть маленькое "но": все эти ресурсы доступны в режиме отложенного просмотра.
Фактически, пользователь получает их через промежутки времени равные времени заполнения его почтового ящика на почтовом сервере провайдера, если, конечно, связь с провайдером устойчивая. А эти промежутки равны, например, периодам просмотра очередей программой sendmail, которые обычно устанавливаются в пределах 30-60 минут. Конечно, при доступе к Usenet или файловым архивам это не имеет большого значения. В Usenet сообщения хранятся обычно в течении 5 дней, а в файловых архивах практически вечно. Но если пользователь предпринял путешествие по гипертекстовым ссылкам WorldWideWeb, то использование электронной почты для этой цели занятие довольно утомительное, порождающее при этом совершенно бесполезный трафик, за который еще надо платить.
Но следует также принять во внимание тот факт, что при качестве нашей телефонной сети многие отечественные пользователи не могут добиться устойчивой связи с сервером провайдера. В этом случае полный IP-сервис - это просто недоступная роскошь. Можно иметь даже собственный IP-адрес, но что в этом толку, если каждые 15-20 минут коммуникационная программа будет снова дозваниваться до сервера, а, например, ftp-соединение за это время будет оборвано из-за превышения лимита на неактивность пользователя.
При использовании протокола UUCP соединение устанавливается только на время передачи данных, и хотя другие способы подключения тоже дают эту возможность, например, и при IP-соединении можно добиться автоматического восстановления связи, с точки зрения передачи электронной почты реализовано оно в UUCP достаточно эффективно.
Очень часто можно встретить рекомендации по ограничению размера почтового сообщения. Цифры при этом называют разные, но все они обычно не превышают 1Мб. Здесь собственно следует руководствоваться следующими соображениями: во-первых, надежностью соединения, а во-вторых, ограничениями провайдера. Второй фактор важнее первого. Если провайдер ограничил размер сообщения до 1Мб, то как не старайся, больше передать просто не удастся. А на второе место поставили его по той причине, что во многих случаях ограничения установленные провайдером на много превосходят реальные возможности пользователей. За тот промежуток времени, пока держится связь, пользователь не успевает принять или отправить длинное сообщение, которое тем не менее не достигает установленного лимита. В свою очередь это вызывает новую попытку соединения, и отправка почты повторяется. Так будет происходить до тех пор пока, либо сообщение будет полностью передано, либо удалено.
На самом деле описанная процедура, с точки зрения бюджета, отведенного на оплату услуг электронной почты, не безобидна. Как только начинается прием/передача сообщений, сразу включается счетчик, как в такси. В результате платить за одну и ту же информацию придется многократно, а это просто расточительство.
Заговорив о затратах, мы вплотную подошли к вопросу о стоимости услуг по доступу к ресурсам Internet по электронной почте, к ее структуре и политике различных провайдеров в этой области.
Роль системных интеграторов
Задачи системного интегратора могут меняться в зависимости от условий контракта, в наиболее же общей форме в его обязанности входят следующие:
Принятие и обоснование решений на всех этапах разработки сети, начиная от анализа требований к системе и кончая сопровождением и эксплуатацией системы. Эти решения должны обеспечивать подбор и взаимоувязку всех разнородных компонентов корпоративной сети, исходя из конечных потребностей пользователя, то есть наиболее рационально отвечать деловым целям организации-заказчика. Интегратор должен стремиться к вовлечению заказчика в процесс принятия проектных решений для уменьшения вероятности создания системы, не отвечающей целям заказчика, которые могут не вполне четко формулироваться на начальных этапах разработки. Управление действиями, направленными на решение конечной задачи. При наличии нескольких субподрядчиков генеральный подрядчик должен обеспечивать их взаимодействие и взаимопонимание. Обычно интеграторы специализируются на проектировании какого-либо одного слоя вычислительной системы, например, слоя сетеобразующего коммуникационного оборудования или же слоя баз данных и т.д. Поэтому для разработки общего проекта корпоративной сети заказчик может либо сам заключать отдельные контракты на раздельное проектирование каждого слоя, либо заключить контракт с генеральным подрядчиком, который в свою очередь, нанимает субподрядчиков на выполнение отдельных проектов. В первом случае заказчик берет на себя роль координатора работ и, в конечном счете, ответственность за успех системы, а во втором это делает интегратор. Координация работы всех поставщиков оборудования и программного обеспечения. Обеспечение выполнения работ в указанные сроки и в пределах установленной сметы расходов. Чем сложнее замысел и крупнее система, тем больше вероятность несоблюдения сроков или сметы.
Сети АТМ в реальной жизни
По мнению Вице президента компании BayNetworks Питера Джорджа ATM будет если не самой значительной, то одной из самых значительных и важных технологий, которые эта компания продвигает. Большая часть инвестиций будет вкладываться в построение магистралей ATM. Следующей стадией станет внедрение ATM в распределенные сети. Но до рабочего места ATM дойдет еще очень нескоро. И одна из причин, почему это займет больше времени, чем предполагалось, связана с появлением новых технологий, таких, как GigabitEthernet, которая гораздо дешевле. Эти технологии будут сосуществовать с ATM.
Сегодня технология АТМ ликвидировала большую часть своих задолженностей по стандартам - базовое ядро стандартов принято и работает в оборудовании основных производителей. Для территориальных коммутаторов это в первую очередь оборудование таких компаний как Stratacom (ныне подразделение Cisco), Nortel, Newbridge и ряда других.
И, хотя не все стандарты еще приняты, особенно в области взаимодействия АТМ с цифровыми телефонными сетями и цифровыми выделенными каналами, медленное распространение этой технологии в территориальных сетях объясняется другими факторами, в первую очередь гигантским объемом капиталовложений и наличием альтернативных сетей - тех же сетей ISDN для телефонии и сетей framerelay и Х.25 для компьютерного трафика. Однако, бурный рост популярности Internet подстегивает крупных провайдеров к развертыванию сетей АТМ на своих магистралях, так как сети framerelay с их 2-х мегабитными скоростями справляются только с обслуживанием периферии Internet, но никак не ее магистрали, на которой объем трафика удваивается все с меньшими интервалами - 9 месяцев, полгода, 4 месяца. Очевидно из-за обслуживания Internet основной объем передаваемого по сетям АТМ трафика относится к компьютерному типу.
Представление о рынке услуг АТМ (в миллионах долларов) в мире по различным сферам услуг дает следующая таблица, отражающая прогнозы компании CommunicationIndustryResearch:
1997 | 1998 | 1999 | 1999 | 2000 | 2001 | 2002 | |
Финансы | 18.9 | 21.7 | 24.9 | 33.5 | 41 | 55.4 | 82 |
Здравоохранение | 23.9 | 43 | 48.4 | 49.7 | 57.7 | 81.6 | 135.5 |
Производство | 71.3 | 73.3 | 95.5 | 88.7 | 99.7 | 108.1 | 160 |
Образование | 18.5 | 22.8 | 52 | 95.1 | 144.9 | 200.8 | 249 |
Торговля | 15.8 | 20.8 | 46.1 | 85.6 | 162.3 | 246.6 | 325.1 |
ВСЕГО: | 148.4 | 181.6 | 266.9 | 352.6 | 505.6 | 692.5 | 951.6 |
Ежегодный рост рынка на 30% - 40% - это твердый успех продукта или технологии и медленно, но верно технология АТМ завоюет свое место под солнцем.
Сегодня услуги территориальных сетей можно получить и в США, и в Европе, и в России. Правда территориальный охват в перечисленной последовательности районов мира убывает по мере приближения к концу списка, а цены растут. Так, в США услуги сервисов АТМ предоставляют практически все крупные провайдеры: AT&T, Sprint, MCI, MFS, UUNET и ряд других.
Пример ценовой политики одного из лидеров, компании AT&T, опубликован в журнале Network, July, 1997, стр. 44. Объединение 3-х центральных сетей и 4-х отделений гипотетической компании с помощью сервиса АТМ обойдется компании в $20 572 в месяц, причем эта цена складывается из следующих компонент:
семь портов T1 для доступа к магистрали провайдера: $15 400; три постоянных виртуальных канала со средней скоростью 768 Кб/с: $4500; 80 часов использования коммутируемых виртуальных каналов со средней скоростью 256Кб/с: $672.
Пример магистрали АТМ такого провайдера как компания UUNET показан на рисунке3.8.
Магистраль построена на каналах и коммутаторах скорости OC-12 (аналог STM-4) 622 Мб/с и помогает провайдеру справляться с удваивающимся каждые три месяца объемом передаваемого трафика.
Практически все национальные телеоператоры развитых европейских стран также предоставляют услуги публичных сервисов АТМ. В этот ряд входят British Telecom, Deutsche Telekom, Finnet Group, France Telecom, Swiss Telecom, Telecom Italia, Telefonica de Espana и другие. В основном предоставляется сервис CBR для телефонного трафика и VBR для всех остальных. Часто сервис АТМ оказывается дешевле сервиса framerelay, если посчитать стоимость одного Мб/с в месяц. Так, постоянный виртуальный канал АТМ в Финляндии стоит $300 за Мб/с в месяц, а постоянный виртуальный канал framerelay - $1000.
Рис. 3.8. АТМ-магистраль американского провайдера Internet - компании UUNET
В России сети АТМ также появились, но пока не в общегосударственном масштабе.Имеются примеры построения всей корпоративной сети АТМ на сравнительно небольшой территории - например, сеть Меткомбанка в г. Череповце, сеть банка "Менатеп" в г. Москве. Такие сети только недавно вступили в строй и находятся на начальном этапе эксплуатации.
Публичные услуги АТМ пока в масштабах города собираются в ближайшее время предоставлять ряд операторов. В Москве это компании "МТУ-Информ" и "ПТТ-Телепорт Москва", в Новгороде - "Новгородтелеком". Ценова политика этих компаний пока неизвестна.
Сети Х - хороший выбор при плохих каналах
Технология сетей Х.25 - самая старая из стандартных технологий построения территориальных сетей с коммутацией пакетов. Об этом говорит и ее название "Интерфейс между оконечным оборудованием данных и аппаратурой передачи данных для терминалов, работающих в пакетном режиме в сетях передачи данных общего пользования". Стандарт Х.25 был разработан комитетом МККТТ для предоставления терминалам доступа к многочисленным удаленным мейнфреймам через сеть коммутации пакетов.
Основная особенность технологии Х.25 - ее ориентация на каналы низкого качества. При использовании каналов с вероятностью искажения бита даже в 10-3 сети Х.25 хорошо справляются со своей задачей. Достигается это за счет того, что стек протоколов Х.25 - трехуровневый, и на двух уровнях - канальном и сетевом - работают протоколы с установлением соединения и исправлением ошибок.
Канальный уровень, образованный протоколом LAP-B, устанавливает соединения между соседними коммутаторами сети или между конечным узлом и коммутатором сети. Сетевой уровень, носящий название Х.25 как и вся технология, также устанавливает соединение, но только через всю сеть между конечными абонентами. Каждый из этих протоколов нумерует кадры, следит за их своевременной доставкой и организует повторную доставку в случае потерь кадров или искажения в них данных.
Для действительно зашумленных каналов такой подход дает свои положительные результаты - сервисы верхних уровней корпоративных сетей получают надежный канал, связывающий локальные сети или отдельные компьютеры на больших территориях. Однако, как правило скорость доступа к сетям Х.25 невелика - наиболее типичной являются скорости от 2.4 Кб/с до 19 Кб/с, обеспечиваемые асинхронными и синхронными модемами. Гораздо более редко встречаются сети Х.25, предоставляющие доступ со скоростями до 384 Кб/с (имеется упоминание о европейских сетях Х.25 со скоростью доступа 2 Мб/с).
Медлительность сетей Х.25 во многом определяется как раз наличием в стеке двух медленных протоколов.
Протоколы с установлением соединения и восстановлением кадров всегда работают медленнее, чем протоколы дейтаграммного типа, которые на потери кадров вообще не обращают внимание, а с искаженными кадрами поступают просто - уничтожают в приемном буфере. Поэтому коммутатор Х.25 не может быстро передать пришедший кадр канального уровня на выходной порт, хотя сама техника коммутации у него такая же, как у коммутаторов АТМ или framerelay - техника коммутации на основе номера виртуального канала, рассмотренная вкратце в разделе 2.4. Пришедший кадр нужно освободить от данных в заголовке LAP-B, сформировать новый заголовок и заново пересчитать контрольную сумму, так как кадр передается следующему коммутатору в рамках другого соединения LAP-B, со своими текущими параметрами.
В результате, при использовании технологии Х.25 даже на высокоскоростных и незашумленных оптоволоконных каналах сеть Х.25 будет работать принципиально медленнее, чем, например, сеть framerelay, в которой работает только протокол канального уровня, к тому же не занимающийся восстановлением кадров.
Трехуровневый стек Х.25 оказывается ненужным на незашумленных каналах связи, так как в этом случае канальный протокол LAP-B выполняет свою работу практически вхолостую - канал и так имеет показатель искажения бита в районе 10-8 - 10-9, результат, который добивается протокол LAP-B за счет реализации сложных процедур восстановления кадров.
Поэтому область применения технологии Х.25 достаточно хорошо очерчена кругом первичных каналов низкого качества, которых к сожалению еще так много работает в нашей стране - практически на большей части территории России за исключением столичного региона, нескольких крупных городов и территорий, через которые проходят магистральные каналы типа Москва - Владивосток.
Распространенность сетей Х.25 у нас достаточно хорошая. Наиболее крупным провайдеров услуг этих сетей во всероссийском масштабе являются компании "Глобал Один" (Sprint + DeutscheTelekom), РОСПАК. РОСНЕТ.
Сети Х.25 предоставляют сервис как постоянных виртуальных каналов, так и коммутируемых.Кроме того, сети Х.25 могут быть полезны для организации удаленного доступа низкоскоростных абонентов, так как в них стандартизована схема подключения таких абонентов через специальный элемент сети - PAD, который собирает асинхронные потоки от разрозненных терминалов и отправляет их затем в пакетах через более скоростные синхронные каналы по сети Х.25 в локальные сети предприятия.
Системы хранения и поиска данных
В основе всех современных информационных приложений находятся системы хранения данных во внешней памяти и их эффективного поиска. В зависимости от специфики приложений используются разные технологии хранения и поиска данных. Если проводить грубую классификацию таких технологий, то можно выделить два основных направления - системы управления базами данных (СУБД) и информационно-поисковые системы (ИПС). Эти направления взаимно дополняют друг друга и в совокупности обеспечивают возможность построения приложений в разных архитектурах, с разной функциональной ориентированностью, с разными требованиями к доступу к данным и т.д.
Основными характеристиками среды хранения данных, управляемой СУБД, являются:
структурированная природа хранимых данных, причем описание структуры является частью самой базы данных, т.е. известна СУБД (соответствующую часть базы данных иногда называют метабазой данных); существенно частое обновление данных, эффективно поддерживаемое СУБД и производимое многими пользователями, одновременно подключенными к базе данных; автоматическое поддержание целостного состояния базы данных на основе механизма управления транзакциями и хранимого в метабазе данных набора ограничений целостности и/или триггеров; поддержка структурированных языков доступа к базе данных, в которых условие поиска представляет собой логическую связку разнообразных простых условий, накладываемых на содержимое требуемых записей.
Среду хранения данных, управляемую ИПС, характеризует в основном следующее:
отсутствие структуризации данных, известной ИПС; как правило, в таких системах хранятся полнотекстовые документы, структура которых (если речь идет о структурированных документах) известна соответствующим приложениям; редкое обновление данных, уже включенных в среду хранения; в частности, во многих ИПС обновление среды хранения данных (изменение, удаление, добавление документов) производится только в специальном режиме, не допускающем одновременную выборку информации; отсутствие встроенного в систему механизма поддержания целостности данных; необходимые механизмы контроля вводимой информации должны являться частью приложения; наличие развитых механизмов выборки информации, основанных на логических связках простых условий, накладываемых на содержание искомых документов; примерами простых условий является указание ключевых слов, характеризующих документ, или контекста, относящегося к содержимому документа.
ИПС по естественным причинам никогда не претендовали на роль СУБД. Однако обратное неверно, и многие производители СУБД пытаются ввести в состав своих продуктов возможности, позволяющие использовать их в качестве систем информационного поиска. Нужно заметить, что особых успехов в этой деятельности не видно. Главным образом, это связано с реляционной спецификой современных серверов баз данных, с их ориентацией на обеспечение эффективного доступа к структурированной информации. С другой стороны, многие возможности серверов баз данных в действительности не требуются для поддержки полнотекстовой информации. К таким возможностям можно отнести развитые средства управления транзакциями, организацию развитых средств динамического обновления данных, реализацию структурированных языков запросов и т.д.
В дальнейшем в этом разделе курса мы не будем затрагивать специфические свойства ИПС. Это связано не с тем, что мы считаем это направление недостаточно существенным для организации информационных систем. Все дело в том, что в настоящее время основной областью применения ИПС являются распределенные информационные системы, базирующиеся на Web-технологии. Естественно, имеются смежные вопросы, касающиеся, например, возможностей доступа к традиционным базам данных в среде Internet. Тем не менее, однако, обе эти области достаточно широки по отдельности, чтобы можно было рассматривать их независимо.
Склады данных и системы оперативной аналитической обработки
В этом разделе мы рассмотрим вопросы организации специального класса информационных приложений, ориентированных не на оперативную обработку транзакций (onLineTransactionProcessing - OLTP), а на оперативную аналитическую обработку (OnLineAnalyticalProcessing - OLAP). Значимость аналитических систем непрерывно возрастает. Любая серьезная компания независимо от вида ее бизнеса нуждается не только в непрерывной оперативной транзакционной поддержке, но и в средствах анализа и прогнозирования как своей собственной деятельности, так и деятельности своих поставщиков, потребителей, партнеров и конкурентов.
8.2.1. Чем отличаются системы оперативной обработки транзакций и системы оперативной аналитической обработки?
У этих двух разновидностей систем принципиально разные задачи. Корпоративные информационные OLTP-системы создаются для того, чтобы способствовать повседневной деятельности корпорации, и опираются на актуальные для текущего момента данные. OLAP-системы служат для анализа деятельности корпорации или ее компонентов и прогнозирования будущего состояния. Для этого требуется использовать многочисленные накопленные данные о деятельности корпорации в прошлом, а также внешние источники данных, формирующие контекст, в котором работала корпорация.
Система оперативной аналитической обработки данных отличается от статической системы поддержки принятия решений (DecisionSupportSystem - DSS) тем, что OLAP-система позволяет аналитику динамически формировать класс вопросов, который требуется для решаемой им текущей аналитической задачи. DSS обеспечивает выдачу отчетов в соответствии с заранее сформулированными правилами. Для удовлетворения нового запроса нужно формально его описать, запрограммировать и только потом выполнить.
Тематика OLAP-систем очень широка и специальна. Мы не будем обсуждать соответствующие вопросы на глубоком уровне, а в основном (и тоже не очень глубоко) сосредоточимся на проблемах обеспечения OLAP-системы данными. Мы будем говорить о складах данных (Datawarehouse).
Сопровождение проекта заказчиком
При работе со сторонней организацией-интегратором очень важно правильно осуществить выбор такой организации и активно участвовать в осуществлении проекта.
Полезно учесть, что по результатам анализа неудачных проектов, причинами такого их завершения чаще всего являются:
Недостаточно тесный контакт между интегратором и организацией-заказчиком и пассивное участие в проекте конечных пользователей. Всячески поощряйте общение между участниками проекта (во всяком случае, не препятствуйте ему): менеджеры и пользователи должны знать о выбранном направлении развития проекта. Постоянные консультации помогут избежать досадных недоразумений. Недостаточно четкая постановка задачи. Один из основных источников недоразумений между корпоративными менеджерами и разработчиками решений по организации бизнеса состоит в том, что они по-разному понимают то, к чему следует стремиться. Четкое определение задач в самом начале - например, на этапе анализа требований - позволяет избежать последующих взаимных обвинений в недобросовестности. Плохо составленный проект. Поверхностное руководство, оставляющее неясными вопросы относительно оценки этапов проекта. Определите цели на каждом из этапов, согласуйте время их выполнения (это поможет контролировать процесс реализации проекта в целом) и непременно договоритесь о критериях оценки текущих работ и четких правилах определения момента завершения проекта.
Сопровождение проекта заказчиком должно осуществляться на всех этапах проектирования, начиная от составления технического задания и заканчивая поддержкой эксплуатации системы.
Важно хорошо отслеживать временную последовательность запланированных работ. Реакция на несоответствие между запланированной и реальной датой выполнения очередного этапа должна следовать незамедлительно. Не следует ждать завершения проекта - требуйте отчета в случае поэтапных задержек немедленно.
Еженедельные встречи с системным интегратором позволят вам всегда держать руку на пульсе событий. Во время этих встреч узнавайте о ходе работ, о выполнении субподрядчиками своих договоров и, при необходимости, корректируйте планы.
Каждая встреча должна иметь свою повестку. Лучше всего начинать с подведения итогов (обязательно обратите внимание на то, как выполнялись рекомендации, данные на предыдущей встрече), а затем уже переходите к дальнейшему обсуждению возможных путей решения той или иной проблемы. Кроме того, не забывайте держать руководство в курсе еженедельных встреч; ничто так не помогает завоевать доверие и поддержку на высшем уровне, как осведомленность - проект должен находиться под пристальным вниманием и надзором.
Если в реализации проекта участвуют несколько поставщиков, то на встречах должны присутствовать представители каждого. Вряд ли стоит говорить о том, насколько важны не только совместный контроль над осуществлением проекта, но и совместное выявление потенциальных проблем, а также постоянный обмен идеями и предложениями об улучшениях.
При реализации проекта очень важна степень квалификации как сотрудников интеграционной фирмы, так и фирмы-заказчика. Причем разные фирмы-интеграторы могут по-разному относиться к наличию высокой квалификации у сотрудников, сопровождающих проект со стороны заказчика.
Для "слабого" интегратора ответ на поставленный вопрос очевиден - для него хорош только тот заказчик, который не разбирается в сути проблемы и готов довольствоваться любым решением, лишь бы оно было не очень дорогим и немного работало. Не нужен квалифицированный заказчик и той фирме-однодневке, для которой весьма соблазнительным кажется "впарить" клиенту самое дорогое оборудование, которое есть у него на складе.
Для "сильного" интегратора ответ на этот вопрос требует более тщательного обдумывания, и здесь полезным оказывается деление заказчиков по уровню квалификации на три группы. В первую группу входят заказчики, квалифицированные "на самом деле", то есть такие, квалификация которых признается и системными интеграторами. Вторую группу составляют заказчики, которые сами считают себя квалифицированными, но интеграторы сильно в этом сомневаются.
И, наконец, к третьей группе относятся заказчики, которые абсолютно не претендуют на роль сетевых специалистов и дают интегратору "карт-бланш".
Для сильного интегратора работа с действительно квалифицированным заказчиком имеет много преимуществ:
Работая с грамотным заказчиком, интегратору легче обосновать необходимость неочевидных, но благоприятно влияющих на качество проекта затрат. К таким затратам можно отнести, например, затраты на предпроектное обследование системы, очень кропотливую работу, стоящую на Западе больших денег, а у нас выполняемую редко. Другим примером служат затраты на реализацию не основных, а вспомогательных функций системы, например, обеспечивающих повышенную отказоустойчивость. Неспециалисту трудно объяснить, зачем, приобретая модульный концентратор стоимостью в несколько десятков тысяч долларов, желательно купить еще и программу управления им примерно такой же стоимости - "Ведь он же и без этой программы нормально работает?" Или же доказать, в чем состоят преимущества интеллектуального маршрутизатора перед коммутирующим на лету мостом - "Когда еще этот broadcast-шторм произойдет, может их вообще не бывает, а это только выдумки для накрутки цены?" При сравнении разных проектных вариантов у грамотного заказчика помимо стоимости и красоты оформления технических предложений имеются и другие, более объективные, критерии оценки. В случае проведения таким заказчиком тендера, у сильного интегратора появляются хорошие шансы на победу, так как оценка предложений выполняется квалифицированными специалистами. Профессионально подготовленный заказчик чаще всего принимает непосредственное участие во всех этапах процесса проектирования - от разработки технического задания до тестирования системы. Отсюда проистекает несколько положительных моментов для интегратора. Во-первых, упрощается работа по постановке задачи, так как никто лучше сотрудников предприятия не знает его специфических проблем, технологии выполнения деловых процедур, требований к системе конечных пользователей.
Во-вторых, при совместной работе над подробным техническим заданием, в котором намечаются конкретные пути решения задач, делится ответственность за принимаемые решения между заказчиком и интегратором. К примеру, если в техническом задании в качестве исходных данных фигурируют выделенные цифровые линии для реализации глобальных связей, то это в дальнейшем, при реализации проекта, ограждает интегратора от возможных упреков в том, что экономически выгоднее было бы для данного предприятия использовать сети общего пользования X.25. В-третьих, активный заказчик, познакомившийся со всеми тонкостями проекта, в дальнейшем успешнее эксплуатирует готовую систему, что также работает на репутацию интегратора.
Именно по этим причинам некоторые дальновидные сетевые интеграторы начали проводить различные семинары и курсы, целью которых является не столько продвижение поставляемой продукции на рынок за счет рекламы их потребительских свойств, сколько обучение своих потенциальных клиентов более фундаментальным понятиям - принципам работы оборудования, обоснованию типовых решений, анализу проектных вариантов.
Если же заказчик только мнит себя квалифицированным специалистом, то это может сильно осложнить работу интегратора - заказчик постоянно вмешивается в процесс проектирования, предлагает и навязывает нерациональные решения, которые явно приведут к неработающей или плохо работающей системе, и, соответственно, к снижению репутации интегратора. Это плохой вариант для интегратора, так как малоплодотворные дискуссии, отнимающие много времени, редко приводят к хорошему результату. Хуже может быть только заказчик-"злоумышленник". Такой заказчик подолгу ходит по разным фирмам-интеграторам, подробно обсуждая детали своего будущего проекта, эксплуатируя свою роль потенциального заказчика и "вытягивая" из интеграторов конкретные решения. В результате всей этой бурной деятельности, измучив несколько интеграторов и не заключив договора ни с одним, он собирает полученные решения в общий проект и самостоятельно пытается его реализовать.
Ясно, что решения при этом вряд ли получатся работоспособными, но для интегратора это уже не важно - заказ не состоялся.
Третий тип заказчика - это заказчик, честно признающий себя непрофессионалом в области компьютеризации и разрешающий интегратору делать все, что ему хочется для достижения поставленной цели в пределах выделенного бюджета. Такой беззаботный заказчик не мешает, но и не помогает. Интегратор должен потратить много времени на уяснение специфики организации, ее деловых целей, структуры, опрашивая конечных пользователей, оценивая трафик, анализируя приложения. При этом существует большой риск, что из-за недостатка времени не будет учтен какой-нибудь важный фактор.
Нет сомнений, что заказчику всегда желательно иметь некоторую квалификацию, и чем яснее заказчик представляет возможные пути решения своих задач, тем для него это лучше. Грамотный заказчик никогда не свяжется со слабым интегратором, так как быстро поймет, что тот из-за своего уровня просто не может решить поставленную задачу, какие бы благие намерения он не имел. Он также легко распознает квалифицированного, но недобросовестного интегратора, который, преследуя свои корыстные цели, может действовать в ущерб интересам клиента.
Но еще более важна квалификация заказчика при реализации больших проектов, выполняемых на переднем крае технологических достижений. В этом случае даже обращение к сильным интеграторам, обладающим хорошей деловой репутацией, не гарантирует отсутствия проблем.
Фирма IBMConsultingGroup изучила опыт 24 крупных американских компаний и обнаружила, что 68% проектов превысили плановые сроки, 55% превысили плановый бюджет и 88% были переделаны заново. Все эти проекты были задуманы в новой для того времени архитектуре клиент-сервер, и даже у авторитетных интеграционных фирм почти не было опыта работы с этой архитектурой. Кроме новизны, осложнить реализацию проекта могут и его масштабы. Исследовательская фирма SoftwareProductivityResearch, анализируя опыт корпораций США и Великобритании, нашла, что 24% больших программных проектов (объемом свыше 5000 условных функциональных единиц, что соответствует 500 000 операторам процедурного языка программирования) завершаются провалом.
Важным фактором, оказывающим влияние на успех проекта, является степень участия заказчика в разработке. Фирма WiilbernGroup оказывала помощь в спасении 80 сверхбольших и 400 не очень больших проектов. В большинстве неудачных проектов заказчик полностью перекладывал ответственность по принятию всех технических решений на внешнего исполнителя. Так, BankofAmerica хотел создать самую лучшую в мире сеть по управлению трастовыми операциями под названием MasterNet. Этот амбициозный проект с первоначальной стоимостью в 20 миллионов долларов был полностью доверен консультантам и внешним поставщикам. В результате, банк был вынужден отказаться от этого проекта, истратив 60 миллионов долларов. Ему пришлось свернуть почти все трастовые операции, а два высокопоставленных сотрудника, отвечавших в банке за проект, были уволены. Другим характерным примером может служить опыт фирмы WhirlpoolCorp., решившей создать сеть OneCallNet для обслуживания своих покупателей. Работы были поручены чикагскому филиалу IBM - фирме ProfessionalServicesGroup, получившей полную свободу в выборе решений. После того, как этот солидный интегратор израсходовал 20 миллионов долларов и вдвое превысил первоначальную смету, проект был еще далек от завершения и его пришлось передать другой фирме, которая и завершила его в тесном сотрудничестве с заказчиком.
Чтобы не обидеть отечественных интеграторов, ограничимся только этими, зарубежными примерами грандиозных провалов, но и они ясно показывают, что главными причинами неудач крупных проектов являются не технические просчеты, а плохое управление и отсутствие контроля со стороны заказчика за ходом проектирования. Заказчик должен отслеживать этот процесс хотя бы для того, чтобы вовремя остановить его, и принять решение о том, стоит ли продолжать задуманное, несколько скорректировав цели и средства, или же следует вовсе отказаться от проекта, пока не поздно. Очевидно, что такая ответственная роль требует от заказчика достаточно высокого уровня специальных знаний.
Совместимость виртуальных сетей от разных производителей
Технология образования и работы виртуальных сетей с помощью коммутаторов пока не стандартизована, хотя и реализуется в очень широком спектре моделей коммутаторов разных производителей. Положение может скоро измениться, если будет принят стандарт 802.1q, разработанный в рамках института IEEE. Задержка с его окончательным принятием связана с сопротивлением компаний, уже имеющих похожие, но все же отличающиеся в деталях собственные схемы. Технология одного производителя, как правило, не совместима с технологией других производителей. Поэтому виртуальные сети можно создавать пока на оборудовании одного производителя. Исключение составляют только виртуальные сети, построенные на основе спецификации LANE (LANEmulation), предназначенной для обеспечения взаимодействия АТМ-коммутаторов с традиционным оборудованием локальных сетей.
Все способы построения виртуальных сетей можно разбить на несколько основных схем:
группировка портов; группировка МАС-адресов; добавление к кадрам меток номеров виртуальных сетей; использование стандарта LANE для образования виртуальных сетей в сетях, построенных на коммутаторах АТМ; использование сетевого уровня.
Все способы за исключением последнего решают проблему создания виртуальных сетей на канальном уровне и поэтому не зависят от протоколов, работающих в сети на верхних уровнях. Последний способ требует, чтобы во всех узлах сети работал какой-либо протокол сетевого уровня - IP, IPX, AppleTalk и т.п. В этом случае концепция виртуальной сети совпадает с пониманием этого термина на сетевом уровне, то есть виртуальная сеть IP является подсетью IP, а виртуальная сеть IPX является сетью IPX.
Группировка портов - самый простой способ образования виртуальной сети, плохо работает в сетях, построенных на нескольких коммутаторах. Это объясняется тем, что при переходе кадра от одного коммутатора информация о его принадлежности виртуальной сети теряется, если только коммутаторы не связаны между собой столькими портами, сколько всего имеется виртуальных сетей.
Группировка МАС адресов свободна от этого недостатка, но обладает другим - нужно помечать номерами виртуальных сетей все МАС-адреса, имеющиеся в таблицах каждого коммутатора.
Последние три способа объединяет то, что они используют специальное поле для хранения номера виртуальной сети в самом кадре.
В третьем способе к обычному кадру локальной сети формата Ethernet, TokenRing или FDDI добавляется специальное поле для хранения номера виртуальной сети. Оно используется только тогда, когда кадр передается от коммутатора к коммутатору, а при передаче кадра конечному узлу оно удаляется. При этом модифицируется протокол взаимодействия "коммутатор-коммутатор", а программное и аппаратное обеспечение конечных узлов остается неизменным. Примеров таких фирменных протоколов много, но общий недостаток у них один - они не поддерживаются другими производителями. Компания Cisco предложила использовать в качестве стандартной добавки к кадрам любых протоколов локальных сетей заголовок протокола 802.10, предназначенного для поддержки функций безопасности вычислительных сетей. Сама компания использует этот метод в тех случаях. когда коммутаторы объединяются между собой по протоколу FDDI. Однако, эта инициатива не была поддержана другими ведущими производителями коммутаторов, поэтому до принятия стандарта 802.1q фирменные протоколы маркировки виртуальных сетей будут преобладать. Стандарт 802.1q просто узаконивает один из форматов этого поля.
Существует два способа построения виртуальных сетей, которые использует уже имеющиеся поля для маркировки принадлежности кадра виртуальной сети, однако эти поля принадлежат не кадрам канальных протоколов, а пакетам сетевого уровня или ячейкам технологии АТМ.
В случае работы через АТМ номер виртуальной сети отождествляется с номером виртуального пути VPI/VCI, используемого для передачи трафика этой виртуальной локальной сети через коммутаторы АТМ. Способ стандартизован в протоколе LANE, разработанном АТМ Forum, и поддерживается всеми производителями коммутаторов АТМ для локальных сетей.
При использовании последнего подхода коммутаторы должны для образования виртуальной сети понимать какой-либо сетевой протокол. Поэтому такие коммутаторы называют коммутаторами 3-го уровня.
Коммутаторы 3-го уровня
Коммутатор 3-го уровня - это устройство, которое совмещает функции коммутатора и маршрутизатора. Однако, производители коммутаторов обычно избегают произносить слово "маршрутизация" по маркетинговым соображениям, им хочется, чтобы все думали, что они выпускают нечто такое, чего до недавнего времени в природе не существовало.
У коммутатора третьего уровня имеется несколько особенностей, которые отличают их от традиционных маршрутизаторов и традиционных коммутаторов, работающих только на 2-ом уровне:
поддержка интерфейсов и протоколов только локальных сетей; усеченные функции маршрутизации; реализация функций маршрутизации "в силиконе", то есть не в виде программного обес- печения, работающего на универсальном процессоре типа Intel или Motorola, а в специализированной интегральной схеме, ASIC; поддержка механизма виртуальных сетей; тесная интеграции функций коммутации и маршрутизации, наличие удобных для администратора операций по заданию маршрутизации между виртуальными сетями.
Усеченные функции маршрутизации выражаются у разных производителей по разному. Часто коммутаторы не поддерживают функции автоматического построения таблиц маршрутизации, которые поддерживаются протоколами маршрутизации, такими как RIP или OSPF. Такие коммутаторы должны работать в паре с маршрутизатором и получать от него готовые таблицы маршрутизации. По такой схеме взаимодействует коммутатор Catalist 5000 компании Cisco с маршрутизаторами этой же компании.
Если же коммутатор третьего уровня поддерживает протоколы RIP и OSPF (последний в силу своей сложности реализуется в коммутаторах третьего уровня реже), то его ограниченность часто проявляется в поддержке только протокола IP, или же IP и IPX.
Тесная интеграция коммутации и маршрутизации удобна для администратора и часто повышает производительность.
Во первых потому, что можно определить сначала виртуальные сети на основании информации только второго уровня, например, с помощью группировки портов, а затем, при необходимости объявить эти виртуальные сети подсетями IP и организовать в этом же устройстве их связь за счет маршрутизации (рис.2.15).
Рис. 2.15. Объединение виртуальных сетей с помощью коммутатора 3-го уровня
Если же коммутатор не поддерживает функций сетевого уровня, то его виртуальные сети могут быть объединены только с помощью внешнего маршрутизатора. Некоторые компании выпускают специальные маршрутизаторы для применения совместно с коммутаторами. Примером такого маршрутизатора служит маршрутизатор Vgate компании RND, изображенный на рисунке 2.16.
Этот маршрутизатор имеет один физический порт для связи с портом коммутатора, но этот порт может поддерживать до 64 МАС-адресов, что позволяет маршрутизатору объединять до 64 виртуальных сетей.
Интеграция функций коммутатора и маршрутизатора проявилась в последнее время еще в одном новшестве - динамическом переходе от маршрутизации к коммутации для долговременных потоков данных. Впервые такую технологию применила в начале 1996 года компания Ipsilon для коммутаторов АТМ. В связи с тем, что Ipsilon реализовала свою идею только для сетевого протокола IP, то более детально ее технология рассматривается в разделе, посвященном влиянию Internet и стека TCP/IP на корпоративные сети.
Затем эту идею подхватили все ведущие производители коммуникационного оборудования - 3Com, Digital, IBM, Cisco и т.д. Каждый из них реализовал ее по своему и общего стандарта пока нет, хотя Ipsilon и Cisco подали свои предложения для начла процедуры превращения технологию в стандарт Internet.
Рис. 2.16. Маршрутизатор Vgate, разработанный специально для объединения виртуальных сетей
Общая идея этого подхода иллюстрирует рисунок 2.17. Предполагается, что магистраль сети состоит из коммутаторов 3-го уровня. которые могут работать как обычные маршрутизаторы и как коммутаторы второго уровня.
Первый коммутатор магистрали - пограничный - занимается анализом поступающего на него трафика с целью выявления устойчивых долговременных потоков данных. Такие потоки образуются, например, при передаче файлов большой длины, компонент Web-страниц и т.п. В сети также существуют кратковременные потоки - например, запросы к DNS, ARP-запросы, обращения к справочной службе сети типа NDS. Пакеты кратковременных пакетов, требующих маршрутизации (например, идущие от одной виртуальной сети к другой) пограничный коммутатор и все последующие обрабатывают как обычные маршрутизаторы, то есть путем просмотра заголовка третьего уровня, просмотра таблицы маршрутизации и перенаправления пакета следующему коммутатору-маршрутизатору. Пакеты же долговременных потоков обрабатываются по другому. Пограничный маршрутизатор должен распознавать пакеты, принадлежащие потоку и заменять в нем адресную информацию второго уровня так, чтобы последующие коммутаторы 3-го уровня обрабатывали бы этот пакет как кадр второго уровня, то есть при получении кадра не отправляли бы его к модулю маршрутизации, а переправляли на выходной порт по MAC-адресу, действуя как коммутаторы второго уровня, то есть очень быстро.
Например, если пограничный коммутатор распознает, что пришедший кадр направлен ему для маршрутизации из одной виртуальной сети в другую, то он заменяет MAC-адрес в пришедшем кадре со своего MAC-адреса на МАС-адрес сетевого адаптера узла назначения (он его узнает из IP-адреса в пришедшем пакете). Далее коммутаторы магистрали передают образованный пакет друг другу на основании этого МАС-адреса как обычные коммутаторы второго уровня, не задерживая пакет в каждом коммутаторе для выполнения функции маршрутизации. Процедура присваивания МАС-адреса на основании сетевого адреса называется отображением (mapping) адреса.
Рис. 2.17. Ускоренная передача долговременных потоков пакетов через сеть коммутаторов 3-го уровня
Пограничный маршрутизатор обычно идентифицирует принадлежность пакета потоку по сетевым адресам источника и получателя, а также по адресам приложений (портам TCP или UDP).
Дополнительная работа по отображению сетевого адреса на адрес второго уровня компенсируется многократным выигрышем от ускоренной обработки большого количества пакетов в потоке. Для кратковременных потоков нет смысла применять эту схему, так как число пакетов в потоке невелико и выигрыша во времени обработки может и не быть.
Эта очень упрощенная общая схема реализована (или реализуется) в конкретных схемах различных производителей:
Cisco - NetFlow и TagSwitching; 3Com - FastIP; Cabletron - SecureFastVirtualNetworking; Cascade - IPNavigator; DEC - IPpacketswitching; FrameRelayTechnologies - FramenetVirtualWANSwitching; IBM - ARIS (AggregateRoute-basedIPSwitching); Ipsilon - IPSwitching; Toshiba -CellSwitchRouter.
Этот подход применяется не только для локальных сетей, но и для глобальных, так как технологии famerelay и ATM - это технологии канального уровня.
В частных реализациях описанная схема может значительно усложняться. Например, компания Cisco в своей технологии TagSwitching отображает в пограничном коммутаторе-маршрутизаторе сетевой адрес не на МАС-адрес, а на специальный короткий номер - tag, на основании которого все последующие маршрутизаторы продвигают пакет. Это требует изменения программного обеспечения стандартной маршрутизации.
Реализация ускоренных методов других производителей также часто требует изменения существующего программного обеспечения в элементах сети, например, подход 3Сom требует изменения в драйверах сетевых адаптеров, подход Ipsilon требует изменения программного обеспечения коммутаторов АТМ и т.п.
Из лидеров только компания BayNetworks заявила, что не собирается ничего изменять в стандартных алгоритмах коммутации и маршрутизации, а просто будет выпускать очень быстрые маршрутизаторы и коммутаторы 3-го уровня с обычным программным обеспечением маршрутизации. Ник Липпис назвал коммутаторы третьего уровня, работающие по стандартным алгоритмам маршрутизации, коммутаторами "пакет-за-пакетом", подчеркивая тот факт, что они маршрутизируют каждый пакет, независимо от того, принадлежит ли он потоку или нет.
Создание интегрированной системы управления
Корпоративная сеть - это очень сложная система, включающая большое количество систем разного типа и назначения: от кабельной системы до программной системы коллективной работы. Кроме того, в сети обычно сосуществуют элементы одного типа, но разных производителей, например, маршрутизаторы Cisco и BayNetworks, СУБД Oracle и DB2 и т.п.
Из-за этого очень трудно создать единую интегрированную систему управления корпоративной сетью, которая бы контролировала все процессы и все системы сети (сеть здесь понимается в широком смысле, как объединение всех слоев - от компьютеров до приложений). Тем не менее потребность в такой системе управления имеется, так как все подсистемы сети тесно взаимосвязаны и при управлении коммуникационным оборудованием могут потребоваться данные об установленных в операционных системах приложениях или о конфигурационных параметрах коммуникационных протоколов в стеках сетевых операционных систем.
Идеальная система управления корпоративной сетью должна состоять из нескольких подсистем, каждая из которых контролирует и управляет своим типом оборудования или программных систем: подсистема управления локальной сетью, подсистема управления глобальной сетью, подсистема управления компьютерами и сетевыми операционными системами, подсистема управления СУБД, подсистема управления приложениями. Все эти подсистемы должны быть интегрированы общей платформой управления, поддерживающей удобный графический интерфейс с администраторами сети и обеспечивающей общую базу данных управляющей информации, а также обмен данными между подсистемами.
К сожалению, реальная ситуация в этой области далека от идеала. Даже для более узкой области, а именно для транспортной системы, сейчас отсутствует система управления, которая бы хорошо справлялась с контролем и управлением разнородным коммуникационным оборудованием локальных и глобальных сетей. Работы по созданию интегрированных систем управления ведутся, но даже лучшие образцы пока справляются с поддержкой вполне определенного вида оборудования, например, только одного или максимум нескольких производителей, а при управлении оборудованием другого типа могут выполнять только самые примитивные функции.
Сами по себе существуют и так называемые системы управления системами, область действия которых ограничена операционными системами. Еще один обособленный вид систем управления - системы администрирования СУБД, не говоря уже о специальных приложениях.
Задача интеграции разрозненных систем - это задача номер один в такой важной для больших корпоративных сетей области как централизованное управление. Второй по важности задачей является создание масштабируемой системы управления, которая может управлять сетью любого масштаба.
Способность работать в гетерогенной среде
Это свойство операционной системы, называемое иногда совместимостью, имеет много аспектов, и одним из них является способность операционной системы поддерживать разнообразные аппаратные платформы: серверы и суперсерверы на основе процессоров Intel, RISC-серверы, миникомпьютеры и мэйнфреймы. Многоплатформенность позволяет уменьшить гетерогенность сети за счет использования на компьютерах разного типа одной и той же ОС.
Другим аспектом совместимости является интеграция сервисов различных операционных систем в рамках одной ОС. В корпоративной сети разные клиенты привыкли пользоваться разными вариантами реализации файлового сервиса. Клиенты, работающие с серверами NetWare, пользуются файловым сервисом NCP, клиенты Unix работают с файловым сервисом NFS. С другой стороны, в корпоративной сети у клиентов может возникнуть необходимость обращения к "чужим" файлам, то есть файлам, хранящимся на сервере, который предоставляет недоступный для них файловый сервис. Например, когда клиент Unix хочет получить доступ к файлам NetWare, он не может этого сделать, так как у него нет в распоряжении клиентской части этого сервиса. Поэтому очень важно, чтобы ОС могла в разной форме предоставлять доступ к хранящимся в ней файлам - и в стиле Unix, и в стиле NetWare.
Гетерогенность сети выражается и в многообразии операционных систем конечных пользователей. Корпоративная ОС должна иметь набор сетевых клиентских оболочек для широкого перечня операционных систем, устанавливаемых на клиентские станции, среди которых, конечно должны быть DOS, Windows, Windows 95, UNIX, OS/2, Mac.
В состав операционной системы входят программные средства, используемые при решении задачи транспортировки сообщений. К таким средствам относятся драйверы сетевых адаптеров, реализующие протоколы канального уровня, и разнообразные транспортные протоколы. Современная корпоративная ОС должна поддерживать сетевое оборудование стандартов Ethernet, TokenRing, FDDI, FastEthernet, 100VG-AnyLAN, ATM. На более высоких уровнях должны поддерживаться протоколы стеков TCP/IP, IPX/SPX, NetBIOS, AppleTalk.
Справочная служба - грозное оружие в борьбе за корпоративный рынок
Для большой сети, состоящей из сотен серверов и тысяч клиентов, очень важно наличие мощной централизованной справочной службы (DirectoryServices), в которой в упорядоченном виде хранится информация о пользователях сети (их имена, пароли, разрешенные часы входа в сеть, разрешенные клиентские компьютеры) и ее ресурсах - серверах, томах файловой системы, базах данных, принтерах, системных приложениях. Необходимая справочная информация о ресурсах в зависимости от его типа включает разные данные, например, программный сервер может характеризоваться типом сервиса, версией, символьным именем и сетевым адресом.
Очевидно, что любая ОС ведет подобную справочную информацию, но она часто представляется в виде разрозненных файлов или баз данных. Эта разрозненность существует как в рамках отдельного компьютера (например, данные о пользователях хранятся и в ОС, и в различных приложения: СУБД, почте, сервисе удаленного доступа), так и в рамках всей сети, когда каждый сервер ведет свою базу данных пользователей и администрируется независимо от других, как это сделано, например, в NetWare 3.x. Из-за этого возникает избыточность и несогласованность справочной информации, которые усложняют работу администратора и приводят к ошибкам, создающим иногда прорехи в системе защиты сети от несанкционированного доступа.
Хорошая справочная служба предоставляет всем системным приложениям общую базу справочных данных, которой они могут пользоваться в своих целях: почта - для нахождения сетевых адресов ее абонентов, СУБД - для выполнения процедур аутентификации и авторизации, а также для нахождения таблиц распределенной базы данных.
Справочная служба должна обеспечивать единую процедуру логического входа в сеть. Аутентифицируясь с ее помощью один раз, пользователь получает доступ ко всем ресурсам сети. При этом пользователь избавляется от необходимости запоминать несколько идентификаторов, паролей и имен серверов, а администратор - поддерживать несколько пользовательских бюджетов на разных серверах.
Справочная служба должна обладать масштабируемостью, то есть хорошо работать при очень большом числе пользователей и ресурсов. Для этого необходимо, чтобы база справочных данных была распределенной, то есть части ее располагались на разных компьютерах. Действительно, хранение данных для большой сети в одном компьютере ненадежно и непроизводительно, так как обращения всех клиентов к одному компьютеру делают его узким местом, кроме того разбиение базы данных на части и хранение этих частей на разных компьютерах позволяет приблизить данные к источнику запросов, делая эти данные доступнее.
Поскольку справочная служба является централизованным элементом сети, она должна обладать отказоустойчивостью. Для этого справочная база данных должна быть не только распределенной, но и реплицируемой.
Примерами распределенных справочных служб, в наибольшей степени удовлетворяющих этим требованиям, являются службы NetWareDirectoryServices (NDS) компании Novell и служба StreetTalk компании Banyan.
Компания Banyan, не без основания предполагая, что ее справочная служба может составить сильную конкуренцию NDS компании Novell, даже отказалась от продвижения своей сетевой ОС Vines 7.0 и сконцентрировалась на развитии StreetTalk для WindowsNT, NetWare, Solaris и SCOUnix. Проблемы же StreetTalk заключаются в том, что на рынке пока ощущается дефицит приложений, поддерживающих эту справочную службу.
Известны также справочные службы NIS, NIS+, DCE, поддерживаемые ОС Unix, и доменная справочная служба DirectoryServicesWindowsNT. В виду того, что справочная служба, основанная на доменах плохо масштабируется, сложна в управлении и имеет ограниченные функциональные возможности, компания Microsoft предлагает новую глобальную справочную службу - ActiveDirectory . Эта служба должна появиться в начале 1998 года составе WindowsNT 5.0.
Сравнение различных вариантов построения магистрали крупной локальной сети
В целом необходимо отметить, что выбор определенного способа построения магистрали корпоративной локальной сети сейчас представляет достаточно сложное дело. Очевиден только тот факт, что традиционно используемая на магистралях крупных локальных сетей технология FDDI начинает постепенно сдавать свои позиции. Свидетельством этому является опрос, проведенный SageResearchInc. среди 200 американских компаний, применяющих FDDI в своих корпоративных сетях. Вопрос звучал так: "Собирается ли ваша компания в ближайшие 3 года перейти на другую высокоскоростную технологию?". Результаты опроса, представленные на диаграмме (рис. 2.22.), показывают, что популярность FDDI падает, так как больше половины компаний хотят заменить оборудование FDDI на оборудование, поддерживающее другую высокоскоростную технологию. Возможно, популярность FDDI падала бы еще более быстрыми темпами, но присущая ей внутренняя отказоустойчивость, которой нет ни в сетях АТМ, ни в сетях FastEthernet или GigabitEthernet, продолжает привлекать сетевых администраторов и интеграторов.
Выбор же технологии для замены FDDI на магистрали пока не очевиден, особенно ввиду отсутствия стандарта на большинство перспективных вариантов. Во многом выбор определяется требованиями приложений к качеству обслуживания их трафика. Во многих случаях для не очень чувствительных к задержкам приложений хорошим выбором будет GigabitEthernet, а для трафика реального времени - АТМ, возможно с модификациями стандартного варианта технологии для ускоренной передачи стандартных потоков данных типа IP-switching или Tag-switching. При использовании GigabitEthernet достигается хорошая совместимость с подсетями Ethernet и FastEthernet, то есть с внутренними подсетями корпорации, а при использовании АТМ нет проблем при подключении к территориальной магистрали провайдера, также все чаще использующей технологию АТМ как основной вид транспорта.
Рис. 2.22. Результаты опроса о замене технологии FDDI в ближайшие 3 года
Приведем основные доводы в пользу построения магистрали корпоративной сети на GigabitEthernet или АТМ двух авторитетных и заинтересованных собеседников.
По просьбе редакции журнала DataCommunications о перспективах двух технологий спорят Джо Скорупа (JoeSko- rupa) - представитель одного из лидеров технологии ATM компании ForeSystems, и Джордж Продан (GeorgeProdan), сотрудник компании ExtremeNetworks, пионера технологии GigabitEthernet (DataCommunications, April 97).
Скорупа обосновывает хорошие шансы технологии АТМ ее способностью дать высокую и гарантированную пропускную способность для приложений различных типов, и критикует GigabitEthernet за отсутствие механизмов для предоставления потребителям определенных параметров пропускной способности, а также за то, что до появления стандартов еще нужно ждать еще как минимум год, в то время как продукты АТМ давно имеются на рынке. Продан в свою очередь приводит в пользу GigabitEthernet такие доводы, как плавность и легкость перехода, трехступенчатую иерархию скоростей 10 - 100 - 1000 (в сочетании с Ethernet и FastEthernet), обеспечение совместимости продуктов разных производителей за счет усилий GigabitEthernetAlliance, насчитывающем более чем 100 членов. Замечание Скорупы о том, что у продуктов FastEthernet есть проблемы с совместимостью даже через год после принятия стандарта, Продан парирует фактами о несовместимости АТМ-продуктов. Значительная часть дебатов посвящена проблеме обеспечения качества сервиса обеими технологиями. Скорупа не соглашается с утверждением Продана о том, что протокол RSVP сможет обеспечить в сетях GigabitEthernet требуемое качество обслуживания, так как он разработан совсем для других целей. Продан же в свою очередь считает, что нужное качество обслуживания для конечных пользователей дает в сетях АТМ только сервис ABR, а так как многие коммутаторы пока не поддерживают ABR, то о хорошем качестве обслуживания в сетях АТМ пока говорить рано. Дискуссия заканчивается выражением общего мнения о том, что технология GigabitEthernet будет играть заметную роль в ближайшем будущем, однако ее место в сетях собеседники видят по разному - Скорупа в качестве сети доступа к магистрали на основе АТМ, а Продан - в качестве самой магистрали.
Средства анализа и оптимизации сетей
10.3.1. Анализаторы протоколов
В ходе проектирования новой или модернизации старой сети часто возникает необходимость в количественном измерении некоторых характеристик сети таких, например, как интенсивности потоков данных по сетевым линиям связи, задержки, возникающие на различных этапах обработки пакетов, времена реакции на запросы того или иного вида, частота возникновения определенных событий и других характеристик.
Для этих целей могут быть использованы разные средства и прежде всего - средства мониторинга в системах управления сетью, которые уже обсуждались в предыдущих разделах. Некоторые измерения на сети могут быть выполнены и встроенными в операционную систему программными измерителями, примером тому служит компонента ОС WindowsNTPerformanceMonitor. Даже кабельные тестеры в их современном исполнении способны вести захват пакетов и анализ их содержимого.
Но наиболее совершенным средством исследования сети является анализатор протоколов. Процесс анализа протоколов включает захват циркулирующих в сети пакетов, реализующих тот или иной сетевой протокол, и изучение содержимого этих пакетов. Основываясь на результатах анализа, можно осуществлять обоснованное и взвешенное изменение каких-либо компонент сети, оптимизацию ее производительности, поиск и устранение неполадок. Очевидно, что для того, чтобы можно было сделать какие-либо выводы о влиянии некоторого изменения на сеть, необходимо выполнить анализ протоколов и до, и после внесения изменения.
Анализатор протоколов представляет собой либо самостоятельное специализированное устройство, либо персональный компьютер, обычно переносной, класса Notebook, оснащенный специальной сетевой картой и соответствующим программным обеспечением. Применяемые сетевая карта и программное обеспечение должны соответствовать топологии сети (кольцо, шина, звезда). Анализатор подключается к сети точно также, как и обычный узел. Отличие состоит в том, что анализатор может принимать все пакеты данных, передаваемые по сети, в то время как обычная станция - только адресованные ей. Программное обеспечение анализатора состоит из ядра, поддерживающего работу сетевого адаптера и декодирующего получаемые данные, и дополнительного программного кода, зависящего от типа топологии исследуемой сети. Кроме того, поставляется ряд процедур декодирования, ориентированных на определенный протокол, например, IPX. В состав некоторых анализаторов может входить также экспертная система, которая может выдавать пользователю рекомендации о том, какие эксперименты следует проводить в данной ситуации, что могут означать те или иные результаты измерений, как устранить некоторые виды неисправности сети.
Стабильность и отказоустойчивость
Корпоративная ОС должна быть стабильной и устойчивой, для этого она, как минимум, должна работать в защищенном режиме и поддерживать вытесняющую многозадачность. Эти два условия не позволят некорректно работающим приложениям нарушить работу операционной системы и других приложений.
Стабильность ОС обуславливается также использованием прогрессивных технологий и архитектурных решений, таких как микроядерный подход к структурной организации ОС или использование объектов на уровне операционной системы.
Стабильности ОС способствует реализация вытесняющей многозадачности.Вытесняющая многозадачность - это такой способ разделения процессорного времени, который позволяет пользователю-программисту при разработке приложений не заботиться о том, чтобы приложение отдавало управление через определенный промежуток времени, что обязательно при использовании алгоритма невытесняющей многозадачности, реализованного, например, в NetWare. В системах с вытесняющей многозадачностью планирование процессов или нитейвыполняется централизованно, средствами ОС. Универсальность и независимость алгоритма планирования от конкретного набора прикладных программ делает систему более надежной и защищенной от неправильно работающих приложений, так как ни одно из них не сможет слишком долго занимать процессор и, следовательно, не сможет привести к сбою системы по этой причине.
На стабильность системы в целом влияет насколько хорошо ОС поддерживает аппаратные средства обеспечения надежности и отказоустойчивости. И прежде всего, необходимо поинтересоваться, обеспечивает ли ОС резервирование процессоров, то есть возможность продолжения работы при отказе одного из процессоров. Статистика показывает, что наиболее частой причиной отказа компьютера являются проблемы с источниками питания и отказы дисковых подсистем. Поэтому так важны для корпоративной ОС возможности по поддержке источников бесперебойного питания UPS, а также дисковых массивов типа RAID.
Стратегические проблемы построения транспортной системы корпоративной сети
Из-за того, что транспортная система создает основу для взаимосвязанной работы отдельных компьютеров, ее часто отождествляют с самим понятием "корпоративная сеть", считая все остальные слои и компоненты сети просто надстройкой. В свою очередь, транспортная система корпоративной сети состоит из ряда подсистем и элементов. Наиболее крупными составляющими транспортной системы являются такие подсистемы как локальные и глобальные сети корпорации, опять же понимаемые как чисто транспортные средства. В свою очередь каждая локальная и глобальная сеть состоит из периферийных подсетей и магистрали, которая эти подсети связывает воедино. Например, крупная локальная сеть, приведенная на рисунке 1.2, состоит из подсетей, объединенных магистралью, включающих два кольца FDDI и четыре маршрутизатора. Каждая подсеть также может иметь иерархическую структуру, образованную своими маршуртизаторами, коммутаторами, концентраторами и сетевыми адаптерами. Все эти коммуникационные устройства связаны разветвленной кабельной системой.
Рис. 1.2.Структура локальной сети
Глобальная сеть, объединяющая отдельные локальные сети, разбросанные по большой территории, также имеет, как правило, иерархическую структуру с высокоскоростной магистралью (например, АТМ), более медленными периферийными сетями (например, framerelay) и каналами доступа локальных сетей к глобальным. Эти составляющие глобальной сети представлены на рисунке 1.3.
Рис. 1.3. Структура глобальной сети
При создании и модернизации транспортной системы стратегически значимыми сегодня являются в первую очередь следующие проблемы.
1.2.1. Создание транспортной инфраструктуры с масштабируемой производительностью для сложных локальных сетей
Сегодня все чаще и чаще возникают повышенные требование к пропускной способности каналов между клиентами сети и серверами. Это происходит по разным причинам: из-за повышения производительности клиентских компьютеров, увеличения числа пользователей в сети, появления приложений, работающих с мультимедийной информацией, которая хранится в файлах очень больших размеров, увеличением числа сервисов, работающих в реальном масштабе времени.
Особенно резко возросла нагрузка на серверы, которые публикуют корпоративные данные в Internet. Хотя такой трафик большую часть пути между сервером и клиентом проходит по глобальным каналам Internet, последний отрезок пути приходится на сегменты локальной сети предприятия, которые должны справляться с такой повышенной нагрузкой.
Требования к пропускной способности каналов связи к тому же очень неоднородны для различных сегментов и подсетей крупной локальной сети. Так как очень маловероятно, что все клиенты с одинаковой интенсивностью обмениваются данными со всеми серверами предприятия и внешними серверами, то часть сегментов загружена больше, а часть - меньше (рис. 1.4).
Рис. 1.4. Интенсивности потоков данных в разных сегментах локальной сети
Следовательно, имеется потребность в экономичном решении, предоставляющем сегментам и подсетям ту пропускную способность, которая им требуется.
Тем не менее, 10-Мегабитный Ethernet устраивал большинство пользователей на протяжении около 15 лет. Это объясняется тем, что пропускная способность в 10 Мб/с с большим запасом перекрывала потребности клиентских и серверных компьютеров сетей тех лет. До появления персональных компьютеров в локальную сеть объединялись миникомпьютеры, которых на предприятиях было не так уж и много, поэтому подсети включали по 5 - 20 компьютеров. Трафик состоял в основном из алфавитно-цифровых данных, интенсивность которых обычно не превышала нескольких десятков Кбайт в секунду для одного компьютера. Персональные компьютеры, массово появившиеся в середине 80-х, были весьма маломощными, с медленными дисками, и также не создавали проблем для 10-Мегабитных каналов.
Большая избыточность 10-Мегабитных каналов также не очень беспокоила специалистов, так как технология Ethernet была достаточно дешевой, коммуникационное оборудование сети состояло из одного-двух маршрутизаторов, коаксиального кабеля и сетевых адаптеров, стоимость которых была весьма небольшой по сравнению со стоимостью компьютеров, в которые они устанавливались.
Однако в начале 90- х годов начала ощущаться недостаточная пропускная способность каналов Ethernet. Для компьютеров на процессорах Intel 80286 или 80386 с шинами ISA (8 Мбайт/с) или EISA (32 Мбайт/с) пропускная способность сегмента Ethernet составляла 1/8 или 1/32 канала "память - диск", и это хорошо согласовывалось с соотношением объемов локальных данных и внешних данных для компьютера. Теперь же у мощных клиентских станций с процессами Pentium или PentiumPRO и шиной PCI (133 Мбайт/с) эта доля упала до 1/133, что явно недостаточно. Еще больший недостаток в пропускной способности стали ощущать серверы, как на основе RISC-, так и на основе Intel-процессоров. Основным решением в этой области стало использование нескольких сетевых адаптеров, работающих на разные подсети.
В начале 90-х годов наметились сдвиги и в характере передаваемой по сети информации. Наряду с алфавитно-цифровыми данными появились графические, звуковые и видеоданные, хранящиеся в многомегабайтных файлах. Это еще больше усугубило ситуацию, так как теперь даже несколько персональных компьютеров, работающих с мультимедийной информацией, могли перегрузить 10-Мегабитный сегмент сети.
Поэтому многие сегменты 10 Мегабитного Ethernet'а стали перегруженными, реакция серверов в них значительно упала, а частота возникновения коллизий существенно возросла, еще более снижая номинальную пропускную способность.
Самое простое решение - повышение битовой скорости единственного протокола, работающего во всех сегментах сети, как происходило ранее с сетями на основе Ethernet - не является уже рациональным для скоростей больших чем 30 - 40 Мб/с. Это стало ясно после разработки и применения первого высокоскоростного протокола локальных сетей - протокола FDDI, работающего на битовой скорости 100 Мб/с. Стоимость сегментов FDDI оказалась для этого слишком высокой, поэтому протокол FDDI стал применяться в основном только для построения магистралей крупных локальных сетей и подключения централизованных серверов предприятия.
Для связи сегментов Ethernet с сегментами FDDI потребовалось применение маршрутизаторов или транслирующих коммутаторов.
Такая схема построения локальной сети, когда в ней существует несколько сегментов (в случае применения коммутаторов) или подсетей (в случае применения маршрутизаторов или умеющих маршрутизировать коммутаторов), в каждом из которых применяется один из двух протоколов в зависимости от той пропускной способности, которая нужна компьютерам, работающих в этой части сети, является прообразом схемы, к которой сегодня стремятся производители сетевого оборудования и сетевые интеграторы.
Более совершенная схема построения локальной сети должна опираться не на две доступные скорости, а на более дробную иерархическую линейку скоростей для компьютеров сети. Тогда можно будет более точно и с меньшими затратами учесть потребности каждой группы компьютеров, объединенных в сегмент, или даже каждого отдельного компьютера. Для согласования скоростей работы каналов между сегментами сети необходимо применять устройства, обрабатывающие трафик с буферизацией пакетов - коммутаторы или маршрутизаторы, но не концентраторы, которые организуют побитную передачу данных из сегмента в сегмент.
Стратегические проблемы создания корпоративных приложений
Для слоя приложений чаще всего важен выбор не самого приложения, а той технологии, в соответствии с которой приложение создается. Это связано с тем, что большая часть приложений создается силами сотрудников предприятия или же силами сторонней организации, но по конкретному техническому заданию для этого предприятия. Случаи использования готовых крупных приложений, настраиваемых на потребности данного предприятия, например SAPR/3, более редки по сравнению с созданием специальных приложений. Специальные приложения часто модифицируются, добавляются, снимаются с работы, поэтому важно, чтобы технология их создания допускала быструю разработку (например, на основе объектного подхода) и быстрое внесение изменений при возникновении такой необходимости. Кроме того, важно, чтобы технология позволяла строить распределенные системы обработки информации, использующие все возможности транспортной подсистемы современной корпоративной сети.
Технология Intranet удовлетворяет этим требованиям, являясь одновременно и самой перспективной технологией создания приложений на ближайшие несколько лет. Однако, и при выборе Intranet для создания корпоративных приложений, остается немало проблем, которые можно отнести к стратегическим, так как существует несколько вариантов реализации этой технологии - вариант Microsoft, варианты Sun, IBM, Netscape и другие.
В конечном итоге свойства приложений определяют требования, предъявляемые к остальным слоям и подсистемам корпоративной сети. Объемы хранимой информации, их распределение по сети, тип и интенсивность трафика - все эти параметры, влияющие на выбор СУБД, операционной системы и коммуникационного оборудования и т.п. являются следствием того, какие приложения работают в сети. Поэтому знание свойств приложений и их сознательное формирование разработчиком корпоративной сети позволяют более рационально планировать развитие остальных ее слоев.
Стратегические проблемы выбора сетевой операционной системы и СУБД
При принятии стратегического решения относительно используемых в корпоративной сети сетевых операционных систем, необходимо учитывать, что все сетевые ОС делятся по своим функциональным возможностям на два четко различимых класса: сетевые ОС масштаба отдела и корпоративные сетевые ОС.
При выборе корпоративной сетевой ОС в первую очередь нужно учитывать следующие критерии:
Масштабируемая в широких пределах производительность, основанная на хорошей поддержке многопроцессорных и кластерных платформ (здесь сегодня лидерами являются фирменные версии Unix, показывающие рост производительности близкий к линейному при росте числа процессоров до 64). Возможность использования данной ОС в качестве сервера приложений. Для этого ОС должна поддерживать несколько популярных универсальных API, таких, которые позволяли бы, например, выполняться в среде этой ОС приложениям Unix, Windows, MSDOS, OS/2. Эти приложения должны выполняться эффективно, а это означает, что данная ОС должна поддерживать многонитевую обработку, вытесняющую многозадачность, мультипроцессирование и виртуальную память. Наличие мощной централизованной справочной службы (такой, например, как NDS компании Novell или StreetTalk компании Banyan). Справочная служба должна обладать масштабируемостью, то есть хорошо работать при очень большом числе пользователей и разделяемых ресурсов, а для этого необходимо, чтобы база справочных данных была распределенной. Нужно учитывать, что справочные службы, также как и многие другие сетевые сервисы, сейчас часто поставляются не встроенными в конкретную ОС, а в виде отдельного продукта, например, StreetTalkforWindowsNT (компания Novell планирует выпуск NDS для WindowsNT).
И, хотя существует еще ряд не менее важных характеристик, которые надо учитывать при выборе сетевой ОС, таких, например, как степень стабильности и безопасности ОС, наличие программных средств удаленного доступа, способность работать в гетерогенной среде и т.д., реальная жизнь упрощает задачу выбора. Сегодня рынок корпоративных ОС поделен между несколькими операционными системами: примерно по одной трети имеют NetWare и WindowsNT, 10% приходится на разные версии Unix и 20% представлены остальными типами ОС.
Похожая ситуация складывается и на рынке СУБД. Число явных лидеров не так велико, если рассматривать наиболее распространенные классы компьютерных платформ - RISC-серверы и RISC-рабочие станции, а также многочисленную армию серверов и рабочих станций на платформе процессоров Intel. Однако, более тонкий подбор подходящей СУБД и ее версии для используемых на предприятии прикладных задач и технологий хранения и обработки данных требует знания основных сегодняшних свойств каждой СУБД и представления о том, какие новые свойства, желательные для вашей сети, можно ожидать от данной СУБД в ближайшем будущем.
Технологии защищенного канала
Технология защищенного канала призвана обеспечивать безопасность передачи данных по открытой транспортной сети, например, по сети Internet. Защищенный канал включает в себя выполнение трех основных функций:
взаимная аутентификация абонентов; защита передаваемых по каналу сообщений от несанкционированного доступа; подтверждение целостности поступающих по каналу сообщений.
Взаимная аутентификация обеих сторон при установлении соединения может быть выполнена, например, путем обмена сертификатами.
Секретность может быть обеспечена каким-либо методом шифрации, например, передаваемые сообщения шифруются с использованием симметричных сессионных ключей, которыми стороны обмениваются при установлении соединения. Сессионные ключи передаются также в зашифрованном виде, при этом они шифруются с помощью открытых ключей. Использование для защиты сообщений симметричных ключей связано с тем, что скорость процессов шифрации и дешифрации на основе симметричного ключа существенно выше, чем при использовании несимметричных ключей.
Целостность передаваемых сообщений достигается за счет того, что к сообщению (еще до его шифрации сессионным ключом) добавляется дайджест, полученный в результате применения односторонней функции к тексту сообщения.
Защищенный канал в публичной сети часто называют также виртуальной частной сетью - VirtualPrivateNetwork, VPN. Существует два способа образования VPN (рисунок 4.1):
с помощью специального программного обеспечения конечных узлов; с помощью специального программного обеспечения шлюзов, стоящих на границе между частной и публичной сетями.
Рис. 4.1. VPN - частные виртуальные сети
В первом случае (рисунок 4.1, a) программное обеспечение, установленное на компьютере удаленного клиента, устанавливает защищенный канал с сервером корпоративной сети, к ресурсам которого клиент обращается. Преимуществом этого подхода является полная защищенность канала вдоль всего пути следования, а также возможность использования любых протоколов создания защищенных каналов, лишь бы на конечных точках канала поддерживался один и тот же протокол.
Недостатки заключаются в избыточности и децентрализованности решения. Избыточность состоит в том, что уязвимыми для злоумышленников обычно являются сети с коммутацией пакетов, а не каналы телефонной сети или выделенные каналы. Поэтому установка специального программного обеспечения на каждый клиентский компьютер и каждый сервер корпоративной сети не является необходимой. Децентрализация процедур создания защищенных каналов не позволяет вести централизованное управление доступом к ресурсам сети. В большой сети необходимость отдельного администрирования каждого сервера и каждого клиентского компьютера с целью конфигурирования в них средств защиты данных - это трудоемкая процедура.
Во втором случае клиенты и серверы не участвуют в создании защищенного канала - он прокладывается только внутри публичной сети с коммутацией пакетов, например внутри Internet. Канал создается между сервером удаленного доступа провайдера услуг публичной сети и пограничным маршрутизатором корпоративной сети. Это хорошо масштабируемое решение, управляемого централизованно как администратором корпоративной сети, так и администратором сети провайдера. Для клиентских компьютеров и серверов корпоративной сети канал прозрачен - программное обеспечение этих конечных узлов остается без изменений. Реализация этого подхода сложнее - нужен стандартный протокол образования защищенного канала, требуется установка программного обеспечения, поддерживающего такой протокол, у всех провайдеров, необходима поддержка протокола производителями серверов удаленного доступа и маршрутизаторов.
Технология G-AnyLAN - улучшенное качество обслуживания за ту же стоимость
В качестве альтернативы технологии FastEthernet фирмы AT&T и HP выдвинули проект новой недорогой технологии со скоростью передачи данных 100 Мб/с - 100Base-VG (VoiceGrade - технология, способная работать на кабеле категории 3, предназначенном первоначально для передачи голоса). В этом проекте было предложено усовершенствовать метод доступа с учетом потребности мультимедийных приложений, а для формата пакета сохранить совместимость с форматом пакета сетей 802.3. В сентябре 1993 года по инициативе фирм IBM и HP был образован комитет IEEE 802.12, который занялся стандартизацией новой технологии. Проект был расширен за счет поддержки в одной сети кадров не только формата Ethernet, но и формата TokenRing. В результате новая технология получила название 100VG-AnyLAN, то есть технология для любых сетей, где под любыми сетями понимаются сети Ethernet и TokenRing.
Летом 1995 года технология 100VG-AnyLAN получила статус стандарта IEEE 802.12.
В технологии 100VG-AnyLAN определен новый метод доступа DemandPriority с двумя уровнями приоритетов - для обычных приложений и для мультимедийных, а также новая схема квартетного кодирования QuartetCoding, использующая избыточный код 5В/6В, и позволяющая передавать по каждой из 4-х пар категории 3 данные с полезной скоростью 25 Мб/c.
Пропускная способность и качество обслуживания
Метод доступа DemandPriority основан на передаче концентратору функций арбитра, решающего проблему доступа к разделяемой среде. Концентратор отличается от обычных повторителей за счет того, что он изучает адреса присоединенных к нему узлов (в момент физического подключения) и поэтому не передает принятый от узла кадр на все порты, а только на тот, на который нужно. Среда по-прежнему разделяемая, так как концентратор за один цикл опроса портов принимает в свой буфер только один кадр - от приоритетного порта или же при равных приоритетах от первого по порядку. Однако, некоторые этапы работы с разными узлами совмещаются во времени, и за счет этого ускоряется передача кадров.
Работа сети 100VG- AnyLAN не дает гарантий приложениям по поддержанию для них определенного качества обслуживания, как это делает технология АТМ. Приоритеты только уменьшают задержки трафика реального времени, но это сервис по принципу besteffort, то есть обслуживание "по возможности" лучшее, но без каких-либо количественных гарантий.
Метод DemandPriority повышает коэффициент использования пропускной способности сети - до 95% по утверждению компании Hewlett-Packard.
Используемые кабельные системы и максимальный диаметр сети
Отсутствие требования распознавания коллизий позволяет без проблем строить протяженные сегменты сети без коммутаторов, только на концентраторах - до 2-х километров между узлами на оптоволокне и до 100 метров на витой паре.
Общий диаметр сети, построенной на концентраторах, может составлять при использовании многомодового оптоволокна до 5000 м.
Связь, соединяющая концентратор и узел, может быть образована:
4 парами неэкранированной витой пары категорий 3,4 или 5 (4-UTPCat 3,4,5); 2 парами неэкранированной витой пары категории 5 (2-UTPCat 5); 2 парами экранированной витой пары типа 1 (2-STPType 1); 2 парами многомодового оптоволоконного кабеля.
Хотя могут использоваться любые варианты кабельной системы, наиболее распространен вариант 4-UTP, который был разработан первым, кроме того, его популярность объясняется тем, что он работает на витой паре категории 3, установленной во многих существующих локальных сетях.
Совместимость с существующими локальными сетями
Сегменты 100VG-AnyLAN достаточно просто могут быть внедрены в существующие сети. Каждый концентратор может быть сконфигурирован на поддержку либо кадров 802.3 Ethernet либо кадров 802.5 TokenRing. Все концентраторы, расположенные в одном и том же логическом сегменте (не разделенном мостами, коммутаторами или маршрутизаторами), должны быть сконфигурированы на поддержку кадров одного типа. Для связи сегмента 100G-AnyLAN сегментами Ethernet или TokenRing нужно использовать коммутатор или маршрутизатор, так как частота передачи бит и способ их кодирования отличаются, и концентратор не может справиться с такими проблемами.
Коммутатор может достаточно быстро передавать кадры из сегмента 100VG-AnyLAN в сегмент традиционной технологии и обратно, так как трансляция формата кадра и пересчет контрольной суммы не требуется.
Перспективы и области применения 100VG-AnyLAN
Технология 100VG-AnyLAN имеет меньшую популярность среди производителей коммуникационного оборудования, чем конкурирующее предложение - технология FastEthernet. Компании, которые не поддерживают технологию 100VG-AnyLAN, объясняют это тем, что для большинства сегодняшних приложений и сетей достаточно возможностей технологии FastEthernet, которая не так заметно отличается от привычной большинству пользователей технологии Ethernet. В более далекой перспективе эти производители предлагают использовать для мультимедийных приложений технологию АТМ, или же GigabitEthernet, а не 100VG-AnyLAN.
Тем не менее, число сторонников технологии 100VG-AnyLAN растет и насчитывает около 30 компаний. Среди них находятся не только копании Hewlett-Packard и IBM, но и такие лидеры как CiscoSystems, Cabletron, D-Link и другие. Все эти компании поддерживают обе конкурирующие технологии в своих продуктах, выпуская модули с портами как FastEthernet, так и 100VG-AnyLAN.
Наиболее очевидным случаем применения технологии 100VG-AnyLAN является модернизируемые сети TokenRing. Технология TokenRing широко используется на протяжении многих компанией IBM и некоторыми другими (Madge, Thomas-Conrad) для построения сегментов локальных сетей, решающих ответственные бизнес-задачи. Эта технология популярна в западных банках, использующих мейнфреймы и миникомпьютеры производства IBM, и многих других отраслях бизнеса. Кроме мощной поддержки компанией IBM, популярность TokenRing объясняется наличием у нее встроенных в протокол (и, соответственно, в оборудование и сетевые адаптеры) процедур самотестирования сети, не таких развитых как у FDDI, но тем не менее позволяющих обнаружить источник неисправности кольца.
Однако, перспектив дальнейшего развития у технологии TokenRing практически нет - это признают многие ведущие специалисты (смотрите заметки Ника Липписа "TheTokenRingTrap" в февральском номере DataCommunications и Робина Лейланда "TimetoMoveOnThePriceofEthernetSwitching" в июльском номере того же журнала).
Предел скорости в 16 Мб/ c не дает возможности масштабирования производительности сетей TokenRing в широких масштабах, а сеть, построенная на коммутаторах TokenRing может оказаться дороже сети, построенной на концентраторах и коммутаторах FastEthernet. В примере, рассмотренном в статье Робина Лейланда, сравнивается стоимость коммутируемой сети TokenRing и коммутируемой сети Ethernet/FastEthernet/GigabitEthernet для сети 7-этажного здания. Этот пример более подробно рассмотрен в разделе 2.2.4, а здесь приведем только окончательные результаты - общая стоимость полностью коммутируемой сети TokenRing составила $415 625, в то время как иерархически построенная сеть Ethernet/FastEthernet/GigabitEthernet "потянула" всего лишь на $270 000.
Но на полную одномоментную замену оборудования TokenRing решится мало предприятий, поэтому в условиях необходимости сосуществования со старыми сетями TokenRing технология 100VG-AnyLAN может найти свое место.
Гигабитные сети 1000VG
Комитет 802.12, ведомый специалистами компании Hewlett-Packard, также ведет работы по разработке варианта этой технологии для скорости передачи данных в 1 Гигабит в секунду. Вариант этой технологии также ориентируется на физический уровень стандарта FibreChannel, а в качестве метода доступа предполагается использовать метод DemandPriority.
К энтузиастам перевода технологии VG на гигабитные скорости относятся также компании CompaqComputer, TexasInstrument и Motorola.
Тенденции к сближению языков быстрой разработки и языков программирования Что это дает?
При использовании средств быстрой разработки приложений для создания сложных информационных систем с необходимостью существенных вычислений на стороне клиента обычно применяется комбинированный подход. Сначала создается пилотный проект, выполненный целиком на языке быстрой разработки, а затем наиболее ответственные части приложения переписываются на некотором традиционном языке программирования (как правило, на Си/Си++), компилируются и компонуются с остальной частью системы. В большинстве средств быстрой разработки такая возможность явно предусматривается и поддерживается. Ясно, что так работать можно. Но возникают некоторые сомнения.
По каким причинам для большинства языков быстрой разработки используется техника интерпретации? Кажется, что можно дать два основных ответа. Во-первых, в случае применения интерпретации упрощаются компиляторы. В частности, в компиляторе исчезает существенный по сложности компонент генерации машинных кодов. В результате средство быстрой разработки может быть реализовано быстрее. Быстрее можно получить и работоспособный вариант приложения. Во-вторых, применение техники интерпретации машинно-независимых промежуточных кодов снимает (или, по крайней мере, облегчает) проблему переноса на новую платформу как самого средства разработки, так и созданных на его основе информационных систем. Но на самом деле, оба приведенных довода являются чисто техническими.
Все мы знаем примеры высококачественных компиляторов традиционных языков программирования (например, того же семейства Си/Си++), которые легко переносятся, умеют генерировать машинный код для многих платформ и обеспечивают простоту переноса приложений. К тому же, эти компиляторы обеспечивают высокое качество генерируемого кода и соответственно высокую эффективность выполнения приложений.
В настоящее время имеется явная тенденция к переходу на новое поколение средств быстрой разработки, которые не утратят достоинства существующих систем, но будут выполняться в режиме компиляции. Одним из ярких примеров таких систем является BorlandDelphi, которая позволяет быстро производить высокоэффективные информационные приложения (ограни- чиваясь, правда, платформами Intel). В компьютерной прессе обсуждаются перспективы к пе- реходу на такую технологию для Powerbuilder и других средств быстрой разработки.
Тенденции рынка сетевых ОС
631
6.3.1. NT оттесняет Unix в мир 64-разрядных серверов
В борьбе на рынке сетевых операционных систем можно выделить много фронтов, один из них пролегает между WindowsNT и Unix. В последнее время все чаще и острее проходят дискуссии на тему "Что лучше WindowsNT или Unix?" Не будучи фанатиком той или иной системы, нельзя дать однозначный ответ на этот некорректный вопрос, но вполне возможно очертить нишу, занимаемую каждой из систем, проследить тенденции, отметить достоинства и недостатки. Именно этому посвящен данный раздел.
Unix насчитывает 25 лет своей истории, а WindowsNT еще вполне молодая система. Отсюда во многом проистекают как достоинства, так и недостатки обоих систем. Надежность и стабильность любой технологии повышается с накоплением опыта использования: Unix прошел "шлифовку" в течение 25 лет. За четверть века трудом миллионов талантливых программистов был создан огромный багаж программного обеспечения, работающего в среде Unix. Но за эти годы многое, что изменилось в компьютерном мире, появлялись новые идеи, совершенствовалась технология, возникали новые задачи, появлялась новая аппаратура, которую необходимо было поддерживать, изменялись требования, предъявляемые к операционным системам. "Вызовы" времени отрабатывались, путем внесения изменений в программный код, создавались и согласовывались многочисленные версии. В результате Unix приобрел некоторый налет эклектичности, что в общем-то происходит со всеми развивающимися системами. В некоторых версиях Unix сосуществуют в одной системе сразу два вида программного кэша диска, иногда встречается реализация механизма нитей в виде библиотеки программ пользовательского режима, что не очень эффективно, можно привести примеры реализаций монолитного ядра с невыгружаемыми драйверами. (Утверждать или, не дай Бог, критиковать что-либо, связанное с внутренним устройством Unix - дело неблагодарное, ибо для любого недостатка одной версии, всегда можно найти другую версию из многочисленного семейства Unix, в которой этот недостаток отсутствует.
Таким образом, противопоставляя какую-либо систему Unix' у мы противопоставляем ее огромному и разнообразному семейству операционных систем.) Тем не менее сейчас уже трудно говорить об академической стройности и логической ясности семейства Unix в целом.
С другой стороны, Unix привнесла в мир операционных систем множество новых идей, адаптацию которых мы наблюдаем во всех современных ОС, в том числе, конечно, и в WindowsNT. Эта операционная система с самого начала разрабатывалась с учетом переносимости, многопроцессорности и других свойств, которые должны быть присущи современной ОС. Разработчики WindowsNT уже имели в своем распоряжении опыт, наработанный Unix-системами. Но, к сожалению, не только в человеческой жизни невозможно научиться на чужих ошибках. За короткую жизнь WindowsNT ее разработчиками было сделано немало собственных ошибок, и сейчас для нормальной работы системы требуется постоянно следить за сообщениями, регулярно появляющимися на серверах Internet и в прессе о новых обнаруженных "багах" и не забывать вовремя перезапускать ServicePack соответствующей версии.
Конкуренция между этими двумя операционными системами наблюдается не только в области технических идей, но и прежде всего в коммерческой области. В 1996 году мировой объем продаж Unix-систем, включая ПК, рабочие станции, серверы ЛВС, системы среднего уровня и большие системы, вырос на 12%, достигнув 34,3 млрд. долл. Этот отрадный факт был омрачен для сторонников Unix-систем другим сообщением: по предварительным данным IDC мировые продажи лицензий на WindowsNTServer впервые превысили продажи лицензий на Unix: 725 и 602 тысячи соответственно. И хотя многие связывают рыночный успех WindowsNT не столько с техническими достижениями, сколько с маркетинговыми талантами Билла Гейтса, не возможно игнорировать тот факт, что на сцене сетевых операционных систем появился новый сильный игрок, претендующий на первые роли во всех секторах.
К настоящему моменту в результате борьбы WindowsNT и Unix на рынке сложилась ситуация, которую схематично можно представить в следующем виде:
сетевые операционные системы персональных компьютеров | преимущественно WindowsNT |
серверные системы младшего класса | Unix и все активнее внедряется WindowsNT |
высокопроизводительные серверы | преимущественно Unix |
Именно в области высокопроизводительных серверов для самых крупных и требующих наивысшей надежности бизнес-приложений Unix доказала свою ценность. Эту нишу WindowsNT пока что не в состоянии занять. Unix остается операционной системой крупных серверов, хранилищ больших баз данных, мощных вычислителей, интеграционных машин крупных проектов и т. п. В одних случаях это обусловлено наличием соответствующего ПО, в других - тем простым фактом, что мощные серверы, построенные на базе RISC-процессоров, оснащаются только Unix. Ведь распространение WindowsNT вне мира Intel крайне незначительно и системе Unix здесь просто нет альтернативы.
В последние четыре года была проделана большая работа по расширению масштабируемости Unix. Поскольку Unix все шире применяется на машинах с симметричной мультипроцессорной обработкой (SMP), для массивно параллельных суперкомпьютеров и кластеров из большого числа машин не остается сомнений в возможностях дальнейшего развития Unix по мере роста требований промышленности. Аналитики предсказывают, что в ближайшие два года Unix-серверы останутся более масштабируемыми, чем NT-серверы. Они также будут лучше приспособлены для создания кластеров, применяемых для обеспечения высокого уровня надежности.
Важным этапом развития Unix является его перенос на машины с 64-разрядной архитектурой. Ожидается, что в ближайшее время Hewlett-Packard, IBM и Sun выпустят 64-разрядные версии своих Unix-систем для RISC-платформ. Для успеха 64-разрядных ОС Unix необходимо, чтобы независимые разработчики приложений усилили ее поддержку. Без качественных высокопроизводительных приложений преимущество любой ОС - только теоретическое.
В последнее время корпорация Microsoft ведет активное наступление на рынке средних и младших моделей серверов, затрагивая и традиционно принадлежащий Unix'у рынок рабочих станций. В результате давления серверов на платформе Intel под управлением WindowsNT на рынок младших моделей рабочих станций на базе RISC под Unix, в прошлом году произошел спад продаж в этом сегменте.Но в то же время объем продаж серверных Unix-систем среднего уровня значительно вырос, в основном за счет повышенного спроса на Unix-серверы как платформы для реляционных СУБД.
Хотя сегодня предлагается немало систем для архитектуры Intel - OpenDeskTop компании SCO, Solaris фирмы Sun, BSD/386 фирмы BSDI, бесплатные Linux, FreeBSD, Unix не сумела занять достойного места на рынке персональных компьютеров. Сказались недостаточное внимание к персональным компьютерам со стороны основных компаний-производителей Unix, недостаточно дружественный интерфейс приложений в среде Unix, ориентированный на профессионального пользователя. Система Unix изначально создавалась программистами для программистов. Однако в последнее время поставщики Unix-систем (IBM, в частности) стали серьезно относиться к удобству пользовательского интерфейса, к упрощению процедур администрирования.
Особая тема - историческая и нынешняя роль ОС Unix в Internet, но об этом в следующем разделе.
Транспорт Internet приспосабливается к новым требованиям
В начале 90-х годов, после более чем десяти лет относительно спокойной жизни протокол IP столкнулся с серьезными проблемами. Именно в это время началось активное промышленное использование Internet: переход к построению сетей предприятий на основе транспорта Internet, применение Web-технологии для получения доступа к корпоративной информации, ведение электронной коммерции с помощью Internet, внедрение Internet в индустрию развлечений (распространение видеофильмов, звукозаписей, интерактивные игры).
Все это привело к резкому росту числа узлов сети, изменению характера трафика и к ужесточению требований, предъявляемых к качеству обслуживания сетью ее пользователей.
Динамика роста Internet такова, что сегодня трудно привести вполне достоверные сведения о числе сетей, узлов и пользователей Internet. Быстрый рост сети усугубляет уже давно ощущаемый дефицит IP-адресов, вызывает перегрузку маршрутизаторов, которые должны уже сегодня обрабатывать в своих таблицах маршрутизации информацию о нескольких десятках тысяч номеров сетей, а также ведет к резкому увеличению суммарного объема передаваемого по Internet трафика.
Все более широкое использование Internet в качестве общемировой широковещательной сети, заменяющей сети радио и телевидения, приводит к изменению характера передаваемого трафика. Наряду с традиционными компьютерными данными все большую долю трафика составляют мультимедийные данные. Синхронный характер мультимедийного трафика предъявляет нетрадиционные для Internet требования по качеству обслуживания - предоставления гарантированной полосы пропускания с заданным уровнем задержки передаваемых пакетов.
Промышленное использование Internet предполагает определенный уровень защиты данных - аутентификацию абонентов, обеспечение конфиденциальности и целостности данных. Особенно это важно при ведении в Internet электронной торговли, а также при построении частных виртуальных сетей.
Рост популярности Internet привел к появлению новых категорий пользователей. Во-первых, в сеть пришло много непрофессиональных пользователей - сотрудников предприятий, работающих на дому, людей, использующих Internet как средство развлечения или как неисчерпаемый источник информации.
Многие из них желали бы работать как мобильные пользователи, не расставаясь со своим компьютером в поездках, вдали от своей "родной" сети. В этих случаях очень важной оказывается возможность автоконфигурирования стека TCP/IP, когда все параметры стека (в основном это касается IP-адресов компьютера, DNS-сервера и маршрутизаторов) автоматически сообщаются компьютеру при его подключении к сети.
Для того, чтобы в новых условиях протокол IP смог также успешно работать, как и в предыдущие годы, сообщество Internet после достаточно долгого обсуждения решило подвергнуть IP серьезной переработке.
7.1.1. Защита данных
Защита информации - ключевая проблема, которую нужно решить для превращения Internet в публичную всемирную сеть с интеграцией услуг. Без обеспечения гарантий конфиденциальности передаваемой информации бум вокруг Internet быстро утихнет, оставив ей роль поставщика интересной информации.
Сегодня защиту информации в Internet обеспечивают различные нестандартные средства и протоколы - firewall'ы корпоративных сетей и специальные прикладные протоколы, типа S/MIME, которые обеспечивают аутентификацию сторон и шифрацию передаваемых данных для какого-либо определенного прикладного протокола, в данном случае - электронной почты.
Существуют также протоколы, которые располагаются между прикладным и транспортным уровнями стека TCP/IP. Наиболее популярным протоколом такого типа является протокол SSL (SecureSocketLayer), предложенный компанией NetscapeCommunications, и широко используемый в серверах и браузерах службы WWW. Протоколы типа SSL могут обеспечить защиту данных для любых протоколов прикладного уровня, но недостаток их заключается в том, что приложения нужно переписывать заново, если они хотят воспользоваться средствами защиты, так как в приложения должны быть явно встроены вызовы функций протокола защиты, расположенного непосредственно под прикладным уровнем.
Проект IPv6 предлагает встроить средства защиты данных в протокол IP. Размещение средств защиты на сетевом уровне сделает их прозрачными для приложений, так как между уровнем IP и приложением всегда будет работать протокол транспортного уровня.
Приложения переписывать при этом не придется.
В протоколе IPv6 предлагается реализовать два средства защиты данных. Первое средство использует дополнительный заголовок "AuthenticationHeader" и позволяет выполнять аутентификацию конечных узлов и обеспечивать целостность передаваемых данных. Второе средство использует дополнительный заголовок "EncapsulatingSecurityPayload" и обеспечивает целостность и конфиденциальность данных.
Разделение функций защиты на две группы вызвано практикой, применяемой во многих странах на ограничение экспорта и/или импорта средств, обеспечивающих конфиденциальность данных путем шифрации. Каждое из имеющихся двух средств защиты данных может использоваться как самостоятельно, так и одновременно с другим.
В проектах протоколов защиты данных для IPv6 нет привязки к определенным алгоритмам аутентификации или шифрации данных. Методы аутентификации, типы ключей (симметричные или несимметричные, то есть пара "закрытый-открытый"), алгоритмы распределения ключей и алгоритмы шифрации могут использоваться любые. Параметры, которые определяют используемые алгоритмы защиты данных, описываются специальным полем SecurityParametersIndex, которое имеется как в заголовке "AuthenticationHeader", так и в заголовке "EncapsulatingSecurityPayload".
Тем не менее, для обеспечения совместимой работы оборудования и программного обеспечения на начальной стадии реализации протокола IPv6 предложено использовать для аутентификации и целостности широко распространенный алгоритм хеш-функции MD5 с секретным ключом, а для шифрации сообщений - алгоритм DES.
Ниже приведен формат заголовка AuthenticationHeader.
Следующий заголовок | Длина аутентификационных данных | Зарезервированное поле |
Индекс параметров безопасности (SPI) | ||
Аутентификационные данные |
В первой схеме шифрацию и дешифрацию выполняют конечные узлы.Поэтому заголовок пакета IPv6 остается незашифрованным, так как он нужен маршрутизаторам для транспортировки пакетов по сети.
Во второй схеме шифрацию и дешифрацию выполняют пограничные маршрутизаторы, которые отделяют частные сети предприятия от публичной сети Internet. Эти маршрутизаторы полностью зашифровывают пакеты IPv6, получаемые от конечных узлов в исходном виде, а затем инкапсулируют (эта операция и дала название заголовку - Encapsulating) зашифрованный пакет в новый пакет, который они посылают от своего имени. Информация, находящаяся в заголовке "EncapsulatingSecurityPayload", помогает другому пограничному маршрутизатору-получателю извлечь зашифрованный пакет, расшифровать его и направить узлу-получателю.
В третьей схеме один из узлов самостоятельно выполняет операции шифрации-дешифрации, а второй узел полагается на услуги маршрутизатора-посредника.
Требования к скорости глобальных связей для различных классов приложений
Выбор пропускной способности канала, соединяющего удаленных пользователей с корпоративной сетью - это всегда компромисс между пропускной способностью, необходимой для нормальной работы приложений и стоимостью того или иного типа глобального сервиса.
На следующей диаграмме (рисунок 5.4) показаны минимальные требования различных типов приложений к пропускной способности каналов связи. При выполнении этих требований гарантируется удовлетворительная работа приложений. При меньшей пропускной способности канала пользователь должен будет проявлять большую выдержку при ожидании появления на экране очередных результатов работы программы.
Рис. 5.4.
Туннелирование и виртуальные частные сети VPN
5.3.1. Что такое "виртуальная частная сеть"?
Термин "виртуальная частная сеть" - VPN (Virtual Private Network) - используется для обозначения разных технологий. Однако во всех этих технологиях есть нечто общее и детали, отличающие их друг от друга.
Общим является следующее.
Под виртуальной частной сетью понимают потоки данных одного предприятия, которые существуют в публичной сети с коммутацией пакетов и в достаточной степени защищены от влияния потоков данных других пользователей этой публичной сети.
Другими словами, виртуальная частная сеть - это некоторая имитация сети, построенной на выделенных каналах. Если публичная сеть предоставляет такой сервис, то в ней одновременно сосуществуют несколько виртуальных корпоративных сетей, разделяющих общие комму- таторы и физические каналы связи.
Потоки данных отдельного предприятия образуют виртуальные каналы частной сети.
А вот защищенность от потоков данных других предприятий трактуется по-разному.
Обычно ее понимают в двух отношениях - в отношении параметров пропускной способности и в отношении конфиденциальности данных.
Пропускная способность VPN
Конечно, каждое предприятие хотело бы, чтобы виртуальные каналы как можно больше были похожи на реальные выделенные линии, пропускная способность которых всегда в распоряжении пользователей предприятия. Отсюда вытекают следующие требования к VPN:
пользователям должны предоставляться некоторые гарантии качества обслуживания в виртуальных каналах VPN - средняя пропускная способность, максимально допустимый уровень пульсации, уровни задержек кадров; пользователи должны иметь инструменты для контроля действительных параметров пропускной способности виртуальных каналов.
Сегодня для различных типов сетей с коммутацией пакетов существуют различные возможности получения гарантий качества обслуживания.
Конфиденциальность
Возможность несанкционированного доступа к данным, передающимся по публичной сети очень волнует сетевых администраторов, привыкшим к использованию выделенных каналов или телефонных сетей для передачи корпоративных данных.
Наличие огромного числа хакеров в Internet действительно представляет постоянную угрозу для корпоративных серверов, к данным которых можно хотя бы попробовать подступиться из любого домашнего компьютера, оставаясь при этом анонимным.
В то же время угрозы перехвата пакетов по пути следования по публичной сети передачи данных многие специалисты считают преувеличенными. Действительно, пакеты идут только через коммутаторы и маршрутизаторы провайдеров публичных сетей, а в сети посторонних организаций и частных лиц не заходят. И провайдерами публичных сетей с коммутацией пакетов выступают чаще всего те же организации, которые предоставляют традиционные виды телекоммуникационных сервисов - выделенные каналы и телефонные сети. Таким образом, угроза по перехвату пакетов по пути следования исходит скорее от самих провайдеров, сотрудников которых могут подкупить конкуренты.
От двух типов угроз - входа во внутренние серверы предприятия и перехвата данных по пути - существуют соответствующие средства защиты, описанные в разделе 4 - firewall'ы и proxy-серверы для отражения угроз первого вида, и средства образования защищенного канала для второго.
Услуги провайдеров по построению виртуальных частных сетей
Основная часть предложений по созданию корпоративных VPN относится к провайдерам сетей framerelay, поэтому в этом разделе мы ограничимся рассмотрением этих сетей.
Основой для создания VPN является договор с провайдеров, в котором оговариваются основные параметры VPN - количество точек подключения, скорости портов, а также параметры качества обслуживания - CIR и CBR. В отношении этих пунктов договора все провайдеры framerelay похожи друг на друга, так как качество обслуживания поддерживается самой технологией.
Защиту данных своими средствами провайдеры framerelay не обеспечивают, так как нет и особого спроса на такие услуги - администраторы не видят высокого уровня угроз и считают каналы framerelay достаточно защищенными. Поэтому наиболее осторожные пользователи должны защищать свои данные самостоятельно.
Основные различия между провайдерами наблюдаются в средствах контроля за реальной пропускной способностью виртуальных каналов, которые они предоставляют корпоративным пользователям.
Большинство провайдеров обеспечивает пользователей еженедельными или ежемесячными отчетами о реально используемой пропускной способности виртуальных каналов, а также о более детальной информации о трафике. Иногда информация отчета посылается по электронной почте или доступна на BBS провайдера. Многие операторы берут ежемесячную плату $200 за предоставление отчета. AT&T берет по $5 за каждый порт. Compuserve, Sprint, ICI и некоторые другие предоставляют отчеты бесплатно.
Если по сети framerelay передается трафик реального времени, то администратора интересуют данные о его передаче с периодом в минуты, а не дни. Для этих целей некоторые сервис-провайдеры могут периодически посылать администратору сети SNMP-сообщения. Эти сообщения обычно непосредственно загружаются с интервалом в 15 - 60 минут в консоли управления типа OpenView или Netview от TivoliSysytems. Интервал доставки оговаривается в договоре с провайдером.
Только два провайдера поставляют также программное обеспечение для отображения данных SNMP в виде графиков - Compuserve и ICI.
Compuserve берет ежемесячную плату $ 575 за FrameNetManager, ICI берет $125 за ее EnhancedCustomerView.
Остальные провайдеры поставляют только файлы сырых данных. Только один провайдер, LDDSWorldcom, предлагает доступ к статистике с помощью Web-сервиса. Данные обновляются каждый час, но в будущем интервал будет уменьшен до 15 минут.
В своих отчетах провайдеры дают следующую статистику: коэффициент использования на порт/PVC и процент кадров с пометкой DE (подлежит отбрасыванию). Гораздо более полезной информацией были бы данные о том, сколько кадров были отброшены сетью на самом деле, но провайдеры такой статистики не дают. Однако, есть смысл попытаться получить такую статистику, оговорив ее в договоре.
Что действительно интересует администратора, так это коэффициент загрузки сети framerelay в целом. Пока только Ameritech, Cable & Wireless и StentorAlliance дают эти данные.
Статистика, поставляемая с периодом в 15 минут, не может дать правильного представления о кратковременных пульсациях трафика. Только Cable & Wireless соглашается поставлять данные с периодом 5 минут. SprintCompuserve рассчитывают на возможности системы VisualUptime от VisualNetworks. Эта система собирает данные через каждую минуту от агентов, внедренных в CSU/DSU пользователей. Система дает рекомендации по корректировке скорости порта и CIR. Агенты собирают также данные на уровнях 1, 2 и 3.
Sprint и Compuserve уже применяют систему VisualUptime в своих сетях. Они также продают эту систему своим пользователям. Стоимость программного обеспечения составляет от $7000 до $30000, а аппаратных агентов от $1195 до $6700.
Усугубление проблем безопасности при удаленном доступе Защитные экраны - firewall'ы и proxy-серверы
Обеспечение безопасности данных при удаленном доступе - проблема если и не номер один, то, по крайней мере, номер два, после проблемы обеспечения приемлемой для пользователей пропускной способности. А при активном использовании транспорта Internet она становится проблемой номер один.
Неотъемлемым свойством систем удаленного доступа является наличие глобальных связей. По своей природе глобальные связи, простирающиеся на много десятков и тысяч километров, не позволяют воспрепятствовать злонамеренному доступу к передаваемым по этим линиям данным. Нельзя дать никаких гарантий, что в некоторой, недоступной для контроля точке пространства, некто, используя, например, анализатор протокола, не подключится к передающей среде для захвата и последующего декодирования пакетов данных. Такая опасность одинаково присуща всем видам территориальных каналов связи и не связана с тем, используются ли собственные, арендуемые каналы связи или услуги общедоступных территориальных сетей, подобные Internet.
Однако использование общественных сетей (речь в основном идет об Internet) еще более усугубляет ситуацию, хотя бы потому, что в такой сети для доступа к корпоративным данным в распоряжении злоумышленника имеются более разнообразные и удобные средства, чем выход в чистое поле с анализатором протоколов. Кроме того, огромное число пользователей увеличивает вероятность попыток несанкционированного доступа.
Безопасная система - это система, которая, во-первых, надежно хранит информацию и всегда готова предоставить ее своим пользователям, а во-вторых, система, которая защищает эти данные от несанкционированного доступа.
Межсетевой экран (firewall, брандмауэр) - это устройство, как правило, представляющее собой универсальный компьютер с установленным на нем специальным программным обеспечением, который размещается между защищаемой (внутренней) сетью и внешними сетями, потенциальными источниками опасности. Межсетевой экран контролирует все информационные потоки между внутренней и внешними сетями, пропуская данные, в соответствии с заранее установленными правилами.
Эти правила являются формализованным выражением политики безопасности, принятой на данном предприятии.
Межсетевые экраны базируются на двух основных приемах защиты:
пакетной фильтрации; сервисах-посредниках (proxyservices).
Эти две функции можно использовать как по отдельности, так и в комбинации.
Пакетная фильтрация. Использование маршрутизаторов в качестве firewall
Фильтрация осуществляется на транспортном уровне: все проходящие через межсетевой экран пакеты или кадры данных анализируются, и те из них, которые имеют в определенных полях заданные ("неразрешенные") значения, отбрасываются.
Пропуск во внутреннюю сеть пакетов сетевого уровня или кадров канального уровня по адресам (MAC-адреса, IP-адреса, IPX-адреса) или номерам портов TCP, соответствующих приложениям. Например, для того, чтобы трафик telnet не пересекал границу внутренней сети, межсетевой экран должен отфильтровывать все пакеты, в заголовке TCP которых указан адрес порта процесса-получателя, равный 23 (этот номер зарезервирован за сервисом telnet). Сложнее отслеживать трафик FTP, который работает с большим диапазоном возможных номеров портов, что требует задания более сложных правил фильтрации.
Конечно, для фильтрации пакетов может быть использован и обычный маршрутизатор, и действительно, в Internet 80% пакетных фильтров работают на базе маршрутизаторов. Однако маршрутизаторы не могут обеспечить ту степень защиты данных, которую гарантируют межсетевые экраны.
Главные преимущества фильтрации межсетевым экраном по сравнению с фильтрацией маршрутизатором состоят в следующем:
межсетевой экран обладает гораздо более развитыми логическими способностями, поэтому он в отличие от маршрутизатора легко может, например, обнаружить обман по IP-адресу; у межсетевого экрана большие возможности аудита всех событий, связанных с безопасностью.
Сервисы - посредники (Proxy-services)
Сервисы-посредники не допускают возможности непосредственной передачи трафика между внутренней и внешней сетями. Для того, чтобы обратиться к удаленному сервису, клиент-пользователь внутренней сети устанавливает логическое соединение с сервисом-посредником, работающим на межсетевом экране.
Сервис-посредник устанавливает отдельное соединение с "настоящим" сервисом, работающим на сервере внешней сети, получает от него ответ и передает по назначению клиенту - пользователю защищенной сети.
Для каждого сервиса необходима специальная программа: сервис-посредник. Обычно, защитный экран включает сервисы-посредники для FTP, HTTP, telnet. Многие защитные экраны имеют средства для создания программ-посредников для других сервисов. Некоторые реализации сервисов-посредников требуют наличия на клиенте специального программного обеспечения. Пример: Sock - широко применяемый набор инструментальных средств для создания программ-посредников.
Сервисы-посредники не только пересылают запросы на услуги, например, разработанный CERN сервис-посредник, работающий по протоколу HTTP, может накапливать данные в кэше межсетевого экрана, так что пользователи внутренней сети могут получать данные с гораздо меньшим временем доступа.
Журналы событий, поддерживаемые сервисами-посредниками, могут помочь предупредить вторжение на основании записей о регулярных неудачных попытках. Еще одним важным свойством сервисов-посредников, положительно сказывающимся на безопасности системы, является то, что при отказе межсетевого экрана защищаемый посредником сервис-оригинал остается недоступным.
Трансляция сетевых адресов - новый вид сервиса-посредника. Трансляторы адресов заменяют "внешние" IP-адреса серверов своих сетей на "внутренние". При таком подходе топология внутренней сети скрыта от внешних пользователей, вся сеть может быть представлена для них одним-единственным IP-адресом. Такая непрозрачность сети усложняет задачу несанкционированного доступа. Кроме этого, трансляция адресов дает еще одно преимущество - позволяет иметь внутри сети собственную систему адресации, не согласованную с Internet, что снимает проблему дефицита IP-адресов.
Сервисы-посредники намного надежнее фильтров, однако они снижают производительность обмена данными между внутренней и внешней сетями, они также не обладают той степенью прозрачности для приложений и конечных пользователей, которая характерна для фильтров.
Ведение и разработка Web-узлов
Размещение информационных материалов о компании или организации в сети Internet на постоянной основе осуществляется довольно давно. Вероятно первыми системами такого рода были информационные системы американских университетов и правительственных организаций. Первоначально, информация была доступна в режиме эмуляции виртуального терминала (telnet) по гостевым входам. Такие системы существуют и в настоящее время. Достаточно назвать такого монстра, как NTIS (NationalTechnicalInformationSystem). Это система, в которой хранится вся информация о проектах, выполняющихся за счет федерального бюджета США. В книге Пола Гилстера "Navigator Internet" наиболее дотошные читатели могут найти достаточное количество локальных информационных систем американских организаций, доступных через telnet, но больше всего такого сорта адресов можно найти в каталоге Hytelnet.
Следующим этапным шагом по разработке информационного "представительства компании", как это названо в рекламных материалах "Россия-OnLine", стала система Gopher. На корневой странице любого Gopher-каталога можно всегда найти указатель на каталог озаглавленный как "О нас" или "О нашем университете" и т.п. Но также, как и telnet, Gopher в период своего расцвета не позволял смешивать графику, текст, аудио и видео информацию в рамках одной страницы, а потому был не очень интересен в качестве средства размещения рекламы.
Настоящий прорыв в этом направлении произошел с появлением WorldWideWeb. Катализатором послужила собственно не сама технология Web, а появление графической интерфейсной программы Mosaic, которая продемонстрировала наиболее впечатляющие возможности Web: простоту просмотра материалов при необычайной простоте их подготовки для опубликования. Кроме того, появление версий программ просмотра Web для персональных компьютеров открыло огромный потенциальный рынок потребителей рекламы, что в свою очередь послужило дополнительным импульсом для развития технологий WorldWideWeb в этом направлении.
Такой поворот событий настолько сильно повлиял на программное обеспечение и языки разметки, что первоначальная ориентация системы в качестве информационной научно-технической системы, поменялось на откровенно рекламную. В настоящее время по различным оценкам около 80% информации в WorldWideWeb - это реклама.
Для отечественных организаций размещение о себе информации в WorldWideWeb - это иногда единственный способ заявить о себе не в рамках города или страны, но в "мировом масштабе". Российская часть "паутины" посещается также часто нашими коллегами из-за рубежа, как и их собственная. Какие же возможности предоставляет Web для организации информационного обслуживания потенциальных потребителей услуг рекламодателя?
Все они базируются на особенностях современного развития технологии WorldWideWeb. Для того, чтобы прояснить эти особенности напомним общую схему построения взаимодействия с базой данных информационных страниц Web (рисунок 7.5).
Программа просмотра обращается к серверу за информацией, используя специальную форму адресации, которая называется универсальный локатор ресурсов. В качестве компоненты этого адреса в него входит доменное имя машины. Считается, что каждая машина в сети имеет свое собственное доменное имя.
Сервер обращается к своей базе данных и возвращает программе просмотра требуемую информацию. В результате, это может быть файл, размеченный на языке HTML (HyperTextMarkupLanguage), простой текстовый файл, графическая картинка, аудио запись, видео запись, данные из базы данных под управлением универсальной СУБД, результаты поиска информации по ключевым словам или другим признакам. Все перечисленные выше виды информационных объектов могут быть объединены и демонстрироваться одновременно. То, что видит, слышит и читает пользователь (так и хочется написать осязает и обоняет) после обращения к серверу, называется информационной страницей Web. Еще раз внимательно прочтите предыдущее предложение. Страница - это не текстовый файл и не файл размеченный на языке HTML, а то что получено в результате обращения к серверу по универсальному локатору информационного ресурса.
В частном случае, когда информация различных видов не смешивается в рамках одной страницы, в последней может выступать только текстовый файл или видеоролик, например. Но чаще всего страница содержит несколько информационных объектов, как правило, графику и текст.
Рис. 7.5. Архитектура WWW-технологии
В последнее время в качестве страниц могут выступать VRML-файлы и Java-applet'ы, которые также входят в базу данных сервера WorldWideWeb или, как ее еще называют, Website. Однако, использование этого сорта материалов носит скорее экспериментальный характер, т.к. и VRML и Java предъявляют довольно жесткие требования к ресурсам компьютера пользователя (большая оперативная и видео память), что серьезно ограничивает их применение в качестве средств разработки страниц, ориентированных на широкого потребителя.
Таким образом, для организации размещения материалов в WorldWideWeb необходим сервер и базу данных материалов, которые обслуживают данный сервер. Вся структура услуг провайдеров строится на постепенной передаче прав управления информацией от провайдера пользователю, от простого размещения информации на дисковом пространстве провайдера под управлением его сервера до установки у пользователя его собственного сервера с прописью гипертекстовых ссылок на страницы этого сервера в страницах провайдера. Кроме этого, провайдеры обеспечивают услуги по подготовке информации к размещению и прописи ссылок на страницы пользователя не только в информационной базе данных провайдера, но и в других каталогах Internet. Отдельной статьей идет разработка программного обеспечения и интерфейсных форм.
Кроме этого, все услуги, как правило, провайдеры делят на три группы: аренда места на сервере провайдера, размещение рекламы на сервере провайдера, дополнительные услуги. С технологической точки зрения все эти виды услуг не очень сильно отличаются друг от друга.
При рассмотрении структуры услуг провайдеров за основу берется структура услуг компании Demos, немного расширенная за счет услуг или дополнений, предлагаемых другими провайдерами.
Кроме того, при рассмотрении этих услуг брались только те компании, которые сами осуществляют IP-провайдинг. Вообще, существует достаточно большое количество компаний, которые не предлагают услуг по подключению к Internet, зато активно предоставляют место и услуги по размещению информационных материалов в WorldWideWeb.
Аренда
Аренда места - это просто размещение своей информации на сервере провайдера. При этом, информация пользователя становится Website провайдера. Практикуют два способа аренды с правом изменения информации по FTP и без этого права. Собственно в данном случае речь идет только о том, кто заботится о ведении страниц абонента (архивирование и восстановление). Как правило, за эти услуги плата взимается помесячная, а предоплата равна месячной плате. Минимальный размер информационных материалов при этом колеблется от 1 (РОЛ) - 10 (Demos) Мб. Обычно, если размер помещенной на сервере информации превышает установленные провайдером рамки, то в дело вступают тарифы, предполагающие отличные от базовых цены (как в большую, так и в меньшую сторону в зависимости от политики провайдера).
Когда говорят о собственной страничке пользователя, то предполагается, что последний получает адреса типаhttp://kuku.ru/~user. Практически все современные сервера позволяют указать места размещения каталога пользователей, где они могут творить со своей информацией все что хотят. Однако у меня всегда вызывали подозрения такие адреса. И дело здесь не в том, что они какие-то неполноценные, а в том, что большинство из них "мигающие". При поиске в индексе AltaVista или Lycos, очень часто ссылки на эти адреса оказываются недоступными. С чем это связано, сказать трудно, но, как мне кажется, причина здесь в том, что пользователю просто надоедает снимать место на сервере. Он либо заводит виртуальный сервер, либо свой собственный настоящий сервер, либо исчезает из сети насовсем.
Следующая услуга - это предоставление в аренду места на сервере провайдера с созданием каталога пользователя и регистрацией виртуального домена.
Наиболее дотошные из читателей наверняка обратили внимание на то, что разные доменные адреса в URL могут указывать на один и тот же IP-адрес. Дело здесь не в том, что машина может принадлежать различным доменам, хотя и это возможно, а в том, что современные серверы способны поддерживать виртуальные Websitec собственными доменными именами. Идея такого подхода зиждется на том, что некой компании "Alpha" просто жизненно необходимо, чтобы домашняя страница этой компании была доступна по URLhttp://www.alpha.ru/. Заводить собственный домен - это значит, что его надо регистрировать у провайдера или в Relarn, вести сервер домена, обеспечивать его надежное функционирование и производить прочие действия, необходимые для поддержки сервиса доменных имен. Компании же все это не надо. У нее может даже не быть выхода в сеть, но желание разместить свои страницы есть. Система виртуальных Web-серверов и позволяет удовлетворить это желание.
Разработка страниц
От аренды перейдем к процессу создания страниц Web. Как правило, большинство провайдеров предлагают комплексное решение этой проблемы. Пользователям предлагается разработать их собственное представительство в сети. При этом гарантируется неповторимый имидж страниц и стиль, который согласуется со стилем всего Website, если это только не собственный реальный или виртуальный сервер. В принципе же весь технологический процесс делится на разработку, дизайн, разметку, перевод, создание аудио и видео компонентов страниц, создание графики, создание "специальных форм", разработку программ доступа к СУБД, разработку программ и мобильных кодов JAVA, разработку поисковых программ.
Больше всего вопросов вызывает различие между разработкой, разметкой и дизайном. В принципе все это можно понимать достаточно широко и, вероятно, каждый из провайдеров толкует эти позиции по своему. Но все-таки разметка - это создание из текста HTML-документа, разработка - это проектирование всего комплекса страниц пользователя, а дизайн - разработка компоновки и представления одной страницы и всей базы данных в целом.
Отдельно хотелось бы обратить внимание на разработку форм. Если ваша страница будет содержать информацию, при доступе к которой пользователь обязан регистрироваться, сообщая какие-либо данные, кроме пароля и идентификатора, то без форм обойтись не удастся. Аналогичная ситуация возникает и в том случае, если вы собираетесь подключить к вашим страницам и материалы, которые хранятся в базах данных под управлением универсальной СУБД, каталог продукции, например. Собственно формы нужны для того, чтобы передавать данные от пользователя прикладным программам, которые работают через ваш WWW-сервер (да простят мне это обозначение блюстители чистоты терминологии Internet, потому что речь, конечно, идет о сервере протокола http).
Прошу также обратить внимание и на поисковые машины, которые провайдеры предлагают использовать на вашем Website. Поисковая машина нужна для того, чтобы пользователи ваших страниц могли по спискам ключевых слов найти нужную им информацию. Здесь имеет смысл обратить внимание на то, как реально эта система будет работать. Если это делается за счет использования общего для всего Website провайдера механизма поиска, то придется брать то, что есть, но если речь идет о поисковой системе только для вашего Website, то в этом случае следует хорошо все взвесить и выбрать информацию, действительно отвечающую вашим интересам.
При создании страниц клиентов провайдеры размещают на них списки рассылки, работающие по подписке и возможность ввода поисковых критериев для использования информационно-поисковых систем Internet, таких, например, как InfoSeek или Yahoo. Любопытно, что некоторые провайдеры оказывают услуги по поиску информации в сети, взимая почасовую оплату своих услуг.
Реклама в WorldWideWeb и дополнительные услуги
До 80% информации в WorldWideWeb - это реклама. Не является исключением и российский сектор "Всемирной Паутины". Правда специализированных рекламных агентств в нем не так и много. До настоящего времени практически нигде не появлялось публикаций по поводу эффективности Internet-рекламы и способов ее представления, поэтому большинство отважных первопроходцев действует здесь на свой страх и риск.
Но тем не менее, в Internet реклама живет и процветает и российский сектор не должен быть в этом смысле исключением.
Реклама обычно встречается на домашних страницах провайдеров, на наиболее часто посещаемых страницах каталогов провайдера или на страницах с формами задания запросов на поиск информации в сети. Как правило, реклама - это графический фрагмент определенного провайдером размера, который может быть совмещен со стеком гипертекстовых ссылок на страницы рекламодателя. Это может быть и просто картинка, и картинка-кнопка, типа той, которую используют для ссылки на страницы NetscapeNavigator или InternetExplorer. Картинка вообще может и не быть связана с гипертекстовыми ссылками. В качестве примера размещения рекламы можно рассматривать условия Demos, когда цена зависит от времени позиционирования рекламы на страницах Demos.
Когда речь заходит о прочих услугах по размещению WWW- страниц, то под этим понимают включение ссылок на страницы пользователя в каталог провайдера, доступ к статистике посещения страниц пользователя, регистрацию в других каталогах Internet и переадресацию почты с виртуального домена на реальный адрес администратора сервера.
Включение ссылок в каталог провайдера означает, что внутри страниц провайдера есть ссылка на домашние страницы пользователя. Обычно это страница, в которой провайдер прописывает всех своих пользователей. Регистрация в других каталогах подразумевает, что провайдер берет на себя обязательства по объявлению сервера домена в других системах Internet. В принципе, пользователь может сделать это и без посторонней помощи. Переадресация почты с виртуального домена означает, что если администратору будут писать по адресу домена, в котором определен сервер, то почта будет приходить на почтовый адрес администратора. Кроме всего перечисленного, отдельно стоит отметить организацию собственного Web-сервера. В этом случае провайдер устанавливает на компьютере пользователя программу-сервер протокола http, которая занимается обслуживанием обращений к домашним страницам пользователей Web.
В заключении хотелось бы отметить, что размещение своих домашних страниц в Internet - это вполне оправданные затраты, т.к. аудиторией, которую можно охватить, является весь мир Internet.
Виртуальные частные сети в публичных сетях framerelay, АТМ, Internet
Виртуальные частные сети можно организовывать в сетях с коммутацией пакетов любого типа Х.25, framerelay, АТМ и TCP/IP - Internet.
Наличие в сетях Х.25 техники виртуальных каналов создает предпосылки для образования в них VPN. Однако, в технологии Х.25 отсутствует важный элемент, который необходим для образования VPN - поддержка качества обслуживания. Пропускная способность виртуального канала VPN неизвестна. В настоящее время работы по совершенствованию технологии Х.25 в этом направлении не ведутся, поэтому виртуальные каналы в сетях Х.25 трудно отнести к полноценным VPN.
Сети framerelay часто упоминаются при описании сервиса VPN. Действительно, техника заказа качества обслуживания виртуального канала встроена в технологию framerelay. Кроме того, сети framerelay обычно мало доступны для индивидуальных пользователей из-за своих цен и отсутствия в них информационных сервисов типа службы Web, поэтому хакерские атаки в них маловероятны. Многие провайдеры сетей framerelay рекламируют свои сервисы как сервисы VPN.
Сети АТМ - идеальное средство для образования VPN, так как они предлагают самые тонкие процедуры поддержания параметров качества обслуживания. Однако, их небольшая распространенность как публичных сетей пока не позволяет широко использовать их для построения VPN.
Сети TCP/IP и Internet до недавнего времени не фигурировали в качестве возможной среды для образования в них VPN. Основная причина - та же, что и в случае сетей Х.25 - в протоколах TCP/IP нет гарантий качества обслуживания. Однако, в последнее время ситуация изменилась. Сам термин VPN многие стали употреблять исключительно в связи с созданием частной сети предприятия в Internet.
Безусловно, это связано с стремительно возросшей популярностью Internet, его быстро растущей доступностью и дешевизной. Из-за этого многие администраторы мирятся с неизвестной пропускной способностью каналов, проложенных через Internet.
Тем не менее, VPN в сетях TCP/IP начинают приобретать свойства "настоящих" VPN. Этому способствуют два обстоятельства.
Во-первых, провайдеры, сети которых образуют магистрали Internet, много работают над улучшением качества обслуживания. магистрали строятся на основе АТМ и SDH, также быстро растет производительность магистральных маршрутизаторов. Это уменьшает задержки в Internet и повышает качество обслуживания.
Во-вторых, стек протоколов TCP/IP модернизируется и в нем появляются протоколы, с помощью которых можно управлять качеством обслуживания - протоколы RSVP, RTP и ряд других.
В-третьих, многие крупные провайдеры предоставляют услуги магистралей TCP/IP, не связанных непосредственно с Internet. На этих магистралях передается трафик только крупных корпоративных пользователей, поэтому защищенность данных и пропускная способность таких сервисов существенно выше.
Виртуальные сети VLAN вместо физически разделенных подсетей
Коммутаторы могут повысить пропускную способность сети, но не могут создать надежные барьеры на пути ошибочного и нежелательного трафика. Классическим примером такого трафика может служить трафик, создаваемый широковещательными пакетами некорректно работающего узла. Можно привести и другие ситуации, когда трафик нужно отфильтровывать по соображениям защиты данных от несанкционированного доступа.
До массового применения в сетях коммутаторов проблема возведения барьеров на пути нежелательного трафика решалась с помощью разделения сети на физически несвязные сегменты и объединения их с помощью маршрутизаторов. (рис.2.12).
Рис. 2.12. Интерсеть, состоящая из сетей, построенных на основе повторителей и маршрутизаторов
У маршрутизаторов гораздо больше шансов решить проблему фильтрации трафика, так как они анализируют заголовки сетевого и при необходимости транспортного уровней и имеют гораздо больше информации для принятия решения.
Первая волна массового применения коммутаторов создала иллюзию того, что на коммутаторах можно строить локальные сети практически любых размеров. Примером такого подхода служит сеть компании Circus, проект которой создавался с участием сотрудников BayNetworks и тем не менее не включил маршрутизацию в локальные сети здания. Однако, скоро пришло понимание того, что только объединить сегменты и узлы недостаточно, нужно также создать между ними надежные и гибкие барьеры. А эту задачу маршрутизаторы традиционно делали неплохо, поэтому они вернулись в локальные сети. Однако, коммутаторы внесли в решение проблемы "объединения-разъединения" новый механизм - технологию виртуальных сетей (VirtualLAN, VLAN). С появлением этой технологии отпала необходимость образовывать изолированные сегменты физическим путем - его заменил программный способ, более гибкий и удобный.
2.3.1. Что такое "виртуальные локальные сети", когда их нужно применять
Виртуальной сетью называется группа узлов сети, трафик которой, в том числе и широковещательный, на канальном уровне полностью изолирован от других узлов сети.
Это означает, что передача кадров между разными виртуальными сегментами на основании адреса канального уровня невозможна, независимо от типа адреса - уникального, группового или широковещательного. В то же время внутри виртуальной сети кадры передаются по технологии коммутации, то есть только на тот порт, который связан с адресом назначения кадра.
Виртуальные сети - это логическое завершение процесса повышения гибкости механизма сегментации сети, первоначально выполняемого на физически раздельных сегментах. Так как при изменении состава сегментов (переход пользователя в другую сеть, дробление крупных сегментов) при таком подходе приходится производить физическую перекоммутацию разъемов на передних панелях повторителей или в кроссовых панелях, то в больших сетях это превращается в постоянную и обременительную работу, которая приводит к многочисленным ошибкам в соединениях.
Промежуточным этапом совершенствования технологии сегментации стали многосегментные повторители (рис.2.13). В наиболее совершенных моделях таких повторителей приписывание отдельного порта к любому из внутренних сегментов производится программным путем, обычно с помощью удобного графического интерфейса. Примерами таких повторителей могут служить концентратор Distributed 5000 компании BayNetworks и концентратор PortSwitch компании 3Com. Программное приписывание порта сегменту часто называют статической или конфигурационной коммутацией.
Рис. 2.13. Многосегментный повторитель с конфигурационной коммутацией
Однако, решение задачи изменения состава сегментов с помощью повторителей накладывает некоторые ограничения на структуру сети - количество сегментов такого повторителя обычно невелико, поэтому выделить каждому узлу свой сегмент, как это можно сделать с помощью коммутатора, нереально. Поэтому сети, построенные на основе повторителей с конфигурационной коммутацией, по прежнему основаны на разделении среды передачи данных между большим количеством узлов, и, следовательно, обладают гораздо меньшей производительностью по сравнению с сетями.
построенными на основе коммутаторов.
При использовании технологии виртуальных сетей в коммутаторах одновременно решаются две задачи:
повышение производительности в каждой из виртуальных сетей, так как коммутатор передает кадры в такой сети только узлу назначения; изоляция сетей друг от друга для управления правами доступа пользователей и создания защитных барьеров на пути широковещательных штормов.
Для связи виртуальных сетей в интерсеть требуется привлечение сетевого уровня. Он может быть реализован в отдельном маршрутизаторе, а может работать и как программный модуль в составе коммутатора.
При создании виртуальных сетей на основе одного коммутатора обычно используется механизм группирования в сети портов коммутатора (рис.2.14).
Рис. 2.14. Виртуальные сети, построенные на одном коммутаторе
Это логично, так как виртуальных сетей, построенных на основе одного коммутатора, не может быть больше, чем портов. Если к одному порту подключен сегмент, построенный на основе повторителя, то узлы такого сегмента не имеет смысла включать в разные виртуальные сети - все равно трафик этих узлов будет общим.
Создание виртуальных сетей на основе группирования портов не требует от администратора большого объема ручной работы - достаточно каждый порт приписать к нескольким заранее проименованным виртуальным сетям. Обычно такая операция выполняется путем перетаскивания мышью графических символов портов на графические символы сетей.
Маршрутизатор, объединяющий виртуальные сети, должен быть подключен одним портом к порту коммутатора, принадлежащего одной виртуальной сети, а другим - к другой виртуальной сети.
Влияние Internet на мир корпоративных сетей
Стек TCP/IP сегодня представляет собой один из самых распространенных стеков транспортных протоколов вычислительных сетей. Стремительный рост популярности Internet привел и к изменениям в расстановке сил в мире коммуникационных протоколов - протоколы TCP/IP, на которых построен Internet, стали быстро теснить бесспорного лидера прошлых лет - стек IPX/SPX компании Novell. Сегодня общемировое количество компьютеров, на которых установлен стек TCP/IP, сравнялось с общим количеством компьютеров, на которых работает стек IPX/SPX, и это говорит о резком переломе в отношении администраторов локальных сетей к протоколам, используемым на настольных компьютерах, так как именно они составляют подавляющее число мирового компьютерного парка и именно на них раньше почти везде работали протоколы компании Novell, необходимые для доступа к файловым серверам NetWare. Процесс становления стека TCP/IP стеком номер один в любых типах сетей продолжается и сейчас любая промышленная операционная система обязательно включает программную реализацию этого стека в своем комплекте поставки.
Хотя протоколы TCP/IP неразрывно связаны с Internet, и каждый из многомиллионной армады компьютеров Internet работает на основе этого стека, однако, существует большое количество локальных, корпоративных и территориальных сетей, непосредственно не являющихся частями Internet, которые также используют протоколы TCP/IP. Чтобы отличать их от Internet, эти сети называют сетями TCP/IP или просто IP-сетями.
Локальные и корпоративные сети все шире используют протоколы TCP/IP для передачи своего внутреннего трафика. До недавнего времени это были в основном сети, построенные на основе операционной системы Unix. Причина заключалась в исторической связи Unix и TCP/IP - впервые протоколы стека TCP/IP были реализованы в среде UnixBSD в университете Berkeley. Однако сейчас, когда протоколы TCP/IP имеются в каждой сетевой операционной системе, появились локальные сети TCP/IP и на основе других операционных систем, например, WindowsNT, Windows 95, OS/2 Warp или NetWare.
Конечно, одной из очевидных причин использования стека TCP/IP в локальных и корпоративных сетях является легкость присоединения таких сетей к Internet при первой необходимости. Однако, гибкость и открытость стека сами по себе являются достаточно вескими причинами для использования протоколов TCP/IP в автономных локальных и корпоративных сетях.
Параллельно с Internet существуют и другие публичные территориальные сети, работающие на основе протоколов TCP/IP. Это сети крупных провайдеров транспортных сервисов, таких как MCI, Sprint, AT&T и многих других, предоставляющих услуги по объединению локальных IP-сетей заказчика. Публичные IP-сети предоставляют заказчику более высокий уровень сервиса по сравнению с Internet - более низкий уровень задержек пакетов, защиту от несанкционированного доступа, высокий коэффициент готовности. С помощью сервисов публичных IP-сетей предприятие может строить транспортную магистраль своей корпоративной сети, не подвергая себя риску атак многочисленных хакеров, работающих и живущих в Internet.
Влияние intranet-технологии
В предыдущих разделах курса уже говорилось довольно много о технологии Internet/Intranet. В этом пункте мы сосредоточимся на возможных архитектурных решениях Intranet-систем.
Возникновение и внедрение в широкую практику высокоуровневых служб Всемирной Сети Сетей Internet (e-mail, ftp, telnet, Gopher, WWW и т.д.) естественным образом повлияли на технологию создания корпоративных информационных систем, породив направление, известное теперь под названием Intranet. По сути дела, информационная Intranet-система - это корпоративная система, в которой используются методы и средства Internet. Такая система может быть локальной, изолированной от остального мира Internet, или опираться на виртуальную корпоративную подсеть Internet. В последнем случае особенно важны средства защиты информации от несанкционированного доступа.
Хотя в общем случае в Intranet-системе могут использоваться все возможные службы Internet, наибольшее внимание привлекает гипермедийная служба WWW (WorldWideWeb - Всемирная Паутина). Видимо, для этого имеются две основные причины. Во-первых, с использованием языка гипермедийной разметки документов HTML можно сравнительно просто разработать удобную для использования информационную структуру, которая в дальнейшем будет обслуживаться одним из готовых Web-серверов. Во-вторых, наличие нескольких готовых к использованию клиентских частей - браузеров, или "обходчиков", избавляет от необходимости создавать собственные интерфейсы с пользователями, предоставляя им удобные и развитые механизмы доступа к информации. В ряде случаев такая организация корпоративной информационной системы (рисунок 9.5) оказывается достаточной для удовлетворения потребностей компании.
Рис. 9.5. Простая организация Intranet-системы с использованием средств WWW
Однако при всех своих преимуществах (простота организации, удобство использования, стандартность интерфейсов и т.д.) эта схема обладает сильными ограничениями. Прежде всего, как видно из рисунка 9.5, в информационной системе отсутствует прикладная обработка данных.
Все, что может пользователь, это только просмотреть информацию, поддерживаемую Web-сервером. Далее, гипертекстовые структуры трудно модифицируются. Для того, чтобы изменить наполнение Web-сервера, необходимо приостановить работу систему, внести изменения в HTML-описания и только затем продолжить нормальное функционирование. Наконец, далеко не всегда достаточен поиск информации в стиле просмотра гипертекста. Базы данных и соответствующие средства выборки данных по-прежнему часто необходимы.
На самом деле, все перечисленные трудности могут быть разрешены с использованием более развитых механизмов Web-технологии. Эти механизмы непрерывно совершенствуются, что одновременно и хорошо и плохо. Хорошо, потому что появляются новые возможности. Плохо, потому что отсутствует стандартизация.
Что касается логики приложения, то при применении Web-технологии существует возможность ее реализации на стороне Web-сервера. Для этого могут использоваться два подхода - CGI (CommonGatewayInterface) и API (ApplicationProgrammingInterface). Оба подхода основываются на наличии в языке HTML специальных конструкций, информирующих клиента-браузера, что ему следует послать Web-серверу специальное сообщение, при получении которого сервер должен вызвать соответствующую внешнюю процедуру, получить ее результаты и вернуть их клиенту в стандартном формате HTTP (рисунок 9.6).
Рис. 9.6. Вызов внешней процедуры Web-сервера
Заметим, что подход CGI является более надежным (внешняя программа выполняется в отдельном адресном пространстве), но менее эффективным, чем подход API (в этом случае внешние процедуры компонуются совместно со стандартной частью Web-сервера).
Рис. 9.7. Доступ к базе данных в Intranet-системе
Аналогичная техника широко используется для обеспечения унифицированного доступа к базам данных в Intranet-системах. Язык HTML позволяет вставлять в гипертекстовые документы формы. Когда браузер натыкается на форму, он предлагает пользователю заполнить ее, а затем посылает серверу сообщение, содержащее введенные параметры.
Как правило, к форме приписывается некоторая внешняя процедура сервера. При получении сообщения от клиента сервер вызывает эту внешнюю процедуру с передачей параметров пользователя. Понятно, что такая внешняя процедура может, в частности, играть роль шлюза между Web-сервером и сервером баз данных. В этом случае параметры должны специфицировать запрос пользователя к базе данных. В результате получается конфигурация информационной системы, схематически изображенная на рисунке 9.7.
На принципах использования внешних процедур основывается также возможность модификации документов, поддерживаемых Web-сервером, а также создание временных "виртуальных" HTML-страниц.
Даже начальное введение в Intranet было бы неполным, если не упомянуть про возможности языка Java. Java - это интерпретируемый объектно-ориентированный язык программирования, созданный на основе языка Си++ с удалением из него таких "опасных" средств как адресная арифметика. Мобильные коды (апплеты), полученные в результате компиляции Java-программы, могут быть привязаны к HTML-документу. В этом случае они поступают на сторону клиента вместе с документом и выполняются либо автоматически, либо по явному указанию. Апплет может быть, в частности, специализирован как шлюз к серверу баз данных (или к какому-либо другому серверу). При применении подобной техники доступа к базам данных схема организации Intranet-системы становится такой как на рисунок 9.8.
Рис. 9.8. Доступ к базе данных на стороне клиента Intranet-системы
На наш взгляд, Intranet является удобным и мощным средством разработки и использования информационных систем. Как мы уже отмечали, единственным относительным недостатком подхода можно считать постоянное изменение механизмов и естественное отсутствие стандартов. С другой стороны, если информационная система будет создана с использованием текущего уровня технологии и окажется удовлетворяющей потребностям корпорации, то никто не будет обязан что-либо менять в системе по причине появления более совершенных механизмов.
В чем состоит планирование сети
Корпоративная сеть - это сложная система, включающая тысячи самых разнообразных компонентов: компьютеры разных типов, начиная с настольных и кончая мейнфремами, системное и прикладное программное обеспечение, сетевые адаптеры, концентраторы, коммутаторы и маршрутизаторы, кабельную систему. Основная задача системных интеграторов и администраторов состоит в том, чтобы эта громоздкая и весьма дорогостоящая система как можно лучше справлялась с обработкой потоков информации, циркулирующих между сотрудниками предприятия и позволяла принимать им своевременные и рациональные решения, обеспечивающие выживание предприятия в жесткой конкурентной борьбе. А так как жизнь не стоит на месте, то и содержание корпоративной информации, интенсивность ее потоков и способы ее обработки постоянно меняются. Последний пример резкого изменения технологии автоматизированной обработки корпоративной информации у всех на виду - он связан с беспрецедентным ростом популярности Internet в последние 2 - 3 года.
Изменения, причиной которых стал Internet, многогранны. Гипертекстовая служба WWW изменила способ представления информации человеку, собрав на своих страницах все популярные ее виды - текст, графику и звук. Транспорт Internet - недорогой и доступный практически всем предприятиям (а через телефонные сети и одиночным пользователям) - существенно облегчил задачу построения территориальной корпоративной сети, одновременно выдвинув на первый план задачу защиты корпоративных данных при передаче их через в высшей степени общедоступную публичную сеть с многомиллионным "населением". Стек TCP/IP сразу же вышел на первое место, потеснив прежних лидеров локальных сетей IPX и NetBIOS, а в территориальных сетях - Х.25.
Популярность Internet оказывает на корпоративные сети не только техническое и технологическое влияние. Так как Internet постепенно становится общемировой сетью интерактивного взаимодействия людей, то Internet начинает все больше и больше использоваться не только для распространения информации, в том числе и рекламной, но и для осуществления самих деловых операций - покупки товаров и услуг, перемещения финансовых активов и т.п.
Это в корне меняет для многих предприятий саму канву ведения бизнеса, так как появляются миллионы потенциальных покупателей, которых нужно снабжать рекламной информацией, тысячи интересующихся продукцией клиентов, которым нужно предоставлять дополнительную информацию и вступать в активный диалог через Internet, и, наконец, сотни покупателей, с которыми нужно совершать электронные сделки. Сюда нужно добавить и обмен информацией с предприятиями-соисполнителями или партнерами по бизнесу. Изменения схемы ведения бизнеса меняют и требования, предъявляемые к корпоративной сети. Например, использование технологии Intranet сломало привычные пропорции внутреннего и внешнего трафика предприятия в целом и его подразделений - старое правило, гласящее, что 80% трафика является внутренним и только 20% идет вовне, сейчас не отражает истинного положения дел. Интенсивное обращение к Web-сайтам внешних организаций и других подразделений предприятия резко повысило долю внешнего трафика и, соответственно, повысило нагрузку на пограничные маршрутизаторы и межсетевые экраны (firewalls) корпоративной сети. Другим примером влияния Internet на бизнес-процессы может служить необходимость аутентификации и авторизации огромного числа клиентов, обращающихся за информацией на серверы предприятия извне. Старые способы, основанные на заведении учетной информации на каждого пользователя в базе данных сети и выдаче ему индивидуального пароля, здесь уже не годятся - ни администраторы, ни серверы аутентификации сети с таким объемом работ не справятся. Поэтому появляются новые методы проверки легальности пользователей, заимствованные из практики организаций, имеющих дело с большими потоками клиентов - магазинов, выставок и т.п. Влияние Internet на корпоративную сеть - это только один, хотя и яркий, пример постоянных изменений, которые претерпевает технология автоматизированной обработки информации на современном предприятии, желающем не отстать от конкурентов. Постоянно появляются технические, технологические и организационные новинки, которые необходимо использовать в корпоративной сети для поддержания ее в состоянии, соответствующем требованиям времени.
Без внесения изменений корпоративная сеть быстро морально устареет и не сможет работать так, чтобы предприятие смогло успешно выдерживать жесткую конкурентную борьбу на мировом рынке. Как правило, срок морального старения продуктов и решений в области информационных технологий находится в районе 3 - 5 лет.
Как же нужно поступать, чтобы предприятию не нужно было бы полностью перестраивать свою корпоративную сеть каждые 3 - 5 лет, что безусловно связано с огромными расходами? Ответ простой - нужно постоянно следить за основными тенденциями развития мира сетевых и информационных технологий и постоянно вносить в сеть (в программы, сервисы, аппаратуру) такие изменения , которые позволили бы сети плавно отрабатывать каждый резкий поворот. То есть нужно правильно видеть стратегическое направление развития вашей корпоративной сети, постоянно коррелировать его с направлением развития всего сетевого мира и тогда меньше шансов завести корпоративную сеть в такой тупик, откуда нет иного выхода, кроме полной перестройки сети. По крайней мере, нельзя вкладывать большие деньги и силы в решения, в будущности которых имеются большие сомнения. Например, весьма рискованно строить сегодня новую сеть исключительно на сетевой операционной системе NovellNetWare, которая переживает всеми признаваемый кризис. Если в вашей сети уже работает с десяток серверов NetWare, то добавление к ним нового сервера IntranetWare может быть и целесообразно, так как дает возможность старым серверам возможность работы с Internet и сетями TCP/IP. Но построение новой сети за счет покупки нескольких десятков копий IntranetWare трудно назвать стратегически верным решением, WindowsNT и Unix сейчас дают гораздо больше гарантий относительно своей жизнеспособности.
Стратегическое планирование сети состоит в нахождении компромисса между потребностями предприятия в автоматизированной обработке информации, его финансовыми возможностями и возможностями сетевых и информационных технологий сегодня и в ближайшем будущем.
При стратегическом планировании сети нужно принять решения по четырем группам вопросов:
Какие новые идеи, решения и продукты являются стратегически важными? Какие решения в стратегически важных областях являются перспективными? Какие из них могут оказаться полезными в вашей корпоративной сети? Каким образом новые решения и продукты нужно внедрять в существующую сеть? На какие этапы нужно разбить процесс перехода на новые решения и продукты, как обеспечить максимально безболезненное взаимодействие новых и старых частей и компонентов сети? Как рационально выбрать внешних соисполнителей для внедрения в сеть новых решений и продуктов? Как выбрать интеграторов, производителей и поставщиков программных и аппаратных продуктов, провайдеров услуг территориальных сетей? Как организовать процесс обучения своих сотрудников новым технологиям и продуктам? Стоит ли набирать уже обученных специалистов со стороны?
Рассмотрим эти вопросы более подробно.
Выбор интеграторов, производителей
При внедрении в сеть принципиально новых технологий или продуктов желательно привлечение внешних организаций, уже имеющих опыт работы с этими технологиями и продуктами. В такой ситуации слишком рискованно уповать только на свои собственные силы и осваивать все с нуля. Правильный выбор соисполнителей работ по модернизации корпоративной сети также является необходимой компонентой стратегического планирования сети.
Вариантов привлечения сил сторонних организаций может быть несколько. Новая технология или новый продукт - это плод трудов какой-нибудь компании-производителя. Наиболее верный путь получения хорошего конечного результата состоит в получении консультаций или даже выполнения внедренческих работ специалистами компании-производителя. Однако такие услуги обычно предоставляются только достаточно крупным и интересным заказчикам, так как специалисты таких компаний как, например, Oracle или BayNetworks, заняты в основном разработкой и не могут тратить слишком много сил на внедрение своих продуктов. Тем не менее практика привлечения такого сорта специалистов существует и, если это возможно, то ей желательно пользоваться.
Гораздо более распространенным является привлечение специалистов фирм, основной специализацией которых является системная или сетевая (транспортная) интеграция. В этом случае нужно быть уверенным, что специалисты этой фирмы действительно хорошо знают продукты, которые внедряют.
Выбор производителя нового продукта определяется многими факторами. Обязательными требованиями при выборе производителя стратегически важного продукта или технологии являются стабильность его технической репутации и устойчивость финансового положения. Почти беспроигрышным является приобретение продуктов у признанных лидеров определенного сектора рынка, например, Oracle, Cisco, Netscape, Sun и т.п. Часто хорошие новинки появляются у малоизвестных компаний, но через некоторое время лидеры обязательно применяют эти новинки в своих продуктах, так что ставка на лидера и в этих случаях оказывается правильной, так как небольшой инкубационный период позволяет определить качество и перспективность нового решения. Примером может служить новая технология IPswitching, которую компания Ipsilon применила для ускоренной передачи IP-пакетов через магистрали АТМ. Через полгода компания Cisco разработала аналогичную технологию tagswitching, внеся в исходную идею некоторые усовершенствования. Единственным недостатком ставки на лидеров является более высокая стоимость их продуктов по сравнению с компаниями второго эшелона.
Выбор технологии для построения магистрали крупной локальной сети
Магистраль крупной локальной сети - это очень ответственный участок, во многом определяющий все свойства сети в целом. Причина - через магистраль проходят все основные пути взаимодействия между сетями рабочих групп, отделов и подразделений в том случае, если требуемые клиенту ресурсы находятся за пределами сети его рабочей группы, отдела и т.п. Применение технологии Intranet, поиск нужной информации в Internet приводят к тому, что все чаще и чаще нужные пользователю ресурсы находятся за пределами его сегмента сети, а это в свою очередь резко повышает интенсивность трафика, проходящего через магистраль сети. У разных клиентских сессий могут быть существенно разные требования к качеству обслуживания - интерактивное телевидение предъявляет самые жесткие требования к задержкам и вариации задержек предаваемых пакетов при постоянной скорости обмена, передача больших графических файлов менее чувствительна к задержкам передачи отдельных пакетов, но требует большой пропускной способности и быстрой реакции магистрали на значительные пульсации трафика.
Резко возросшие объемы передаваемых данных и разнородность требований клиентов к качеству обслуживания делают реализацию магистрали современной корпоративной локальной сети очень непростой задачей. Сегодня у администратора такой сети имеется несколько вариантов ее решения:
улучшение традиционной схемы построения магистрали на основе колец FDDI с подсетями, подключенными через маршрутизаторы, за счет применения высокопроизводительных маршрутизаторов нового поколения, отличающихся внутренним параллелизмом операций и ускоренной передачей долговременных потоков данных; использование на магистрали стандартной технологии АТМ; использовании на магистрали технологий ускоренной передачи IP-трафика через нестандартные коммутаторы АТМ, например, технологии IPswitching компании Ipsilon; применение на магистрали технологии GigabitEthernet.
2.5.1. Построение магистрали с использованием технологии FDDI и высокопроизводительных маршрутизаторов
Этот вариант связан с сохранением существующей магистрали, построенной как правило на технологии FDDI, и подключением подсетей с помощью традиционных маршрутизаторов. У этого решения имеется два узких места - сама скорость технологии FDDI в 100 Мб/c и значительные задержки, создаваемые маршрутизаторами при обработке пакетов. Если скорость в 100 Мб/c сама по себе достаточна для передачи в среднем всего магистрального трафика, то сейчас существуют решения, позволяющие ускорить работу маршрутизаторов, а значит и оставить общую структуру магистрали в неизменном виде, не применяя каких-либо революционных решений. Ускорение же работы маршрутизаторов многие производители обеспечивают двумя способами. Во-первых, за счет распараллеливания обработки пакетов мультипроцессорными маршрутизаторами, подобными Cisco 7500 или BayNetworksBCN, или переноса процедур маршрутизации с процессорного уровня на уровень заказных БИС (ASIC), как это сделано в маршрутизаторе GRF 400 компании AscendCommunications, способном обрабатывать около 2.8 миллионов IP-пакетов в секунду.
Во-вторых, за счет сокращения числа операций при маршрутизации пакетов, образующих в сети стабильные потоки данных - dataflow. Многие производители разработали и внедрили в свои маршрутизаторы частные схемы, у которых есть общая черта - они выявляют в сети долговременные соединения между двумя определенными узлами и приложениями, кэшируют маршрутную информацию, необходимую для обработки пакетов каждого потока, а затем не тратят много времени на обработку каждого пакета потока, так как такой пакет помечается на входе магистрали специальной меткой потока, а все маршрутизаторы магистрали оказываются уже настроенными на обработку помеченных пакетов без необходимости анализа IP-заголовка пакета и просмотра всей таблицы маршрутизации. Примером такого частного решения является техника NetFlow компании Cisco, которая позволяет ускорить обработку потоков данных не только для протокола IP, но и других протоколов, например, IPX.
Выбор технологии магистрали для крупных локальных сетей предприятия
Технология определяется используемыми протоколами нижнего уровня, такими как Ethernet, TokenRing, FDDI, FastEthernet и т.п. и существенно влияет на типы используемого в сети коммуникационного оборудования. Магистраль - это одна из наиболее дорогостоящих частей любой сети. Кроме того, так как через нее проходит значительная часть трафика сети, то ее свойства сказываются практически на всех сервисах корпоративной сети, которыми пользуются конечные пользователи. Поэтому решение о технологии работы магистрали явно относится к разряду стратегических решений.
Кроме протокола, который будет работать на магистрали, необходимо также выбрать рациональную структуру магистрали. Эта структура будет затем положена в основу структуры кабельной системы, стоимость которой может составлять 15% и более процентов всей стоимости сети. Рациональная структура магистрали должна обеспечить компромисс между качеством передачи трафика (пропускная способность, задержки, приоритеты для ответственных приложений) и стоимостью. На структуру магистрали сильнейшее влияние оказывает выбранная технология, так как она определяет максимальные длины кабелей, возможность использования резервных связей, типы кабелей и т.п. Так как магистраль крупной сети строится практически всегда на основе активного коммуникационного оборудования - коммутаторов и маршрутизаторов - фильтрующего и перераспределяющего трафик между подсетями, то в понятие рациональной структуры входит и выбор активного оборудования. При этом вопрос состоит не столько в выборе определенной модели оборудования от определенного производителя, а в основном в выборе типа оборудования - маршрутизатор, коммутатор - и режима работы этого оборудования по объединению подсетей и установлению барьеров от нежелательного межсетевого трафика.
Сегодня существует несколько режимов работы маршрутизаторов и коммутаторов, отличающихся от стандартных: образование виртуальных сетей коммутаторами, ускоренная маршрутизация для долговременных потоков данных (IPswitching, tagswitching и т.п.), спуффинг широковещательного трафика и некоторые другие. Пока что эти режимы, часто весьма полезные для работы на магистралях современных сетей, каждый производитель реализует по-своему, хотя работы по стандартизации идут, и некоторые приемы и алгоритмы уже близки к тому, чтобы обрести свое стандартное выражение.
Взаимодействие с сетевыми интеграторами
Реализация проекта может осуществляться либо сторонней организацией, привлеченной специально для выполнения проекта, либо собственными силами организации, либо в тесном контакте заказчика с исполнителем сетевых проектов - сетевым интегратором. Для осуществления крупных сетевых проектов корпорации все чаще прибегают к помощи сторонних организаций. Причина очевидна: в современных условиях ожесточенной конкуренции у менеджеров и администраторов сетей слишком много дел и слишком мало свободных ресурсов. Когда собственный персонал работает с предельной нагрузкой, а с набором квалифицированного персонала имеются сложности, целесообразно прибегнуть к услугам фирм-интеграторов, которые скомпонуют и отладят систему, а иногда и займутся ее эксплуатацией.
Имеется по крайней мере три области, где подряды на сетевые проекты становятся популярными:
проектирование и установка систем с целью расширения, модернизации и замены существующих сетей; удаленное управление локальными сетями; разработка сетевых приложений.
Хотя на западном рынке 56% от всей суммы контракта уходило именно на различного рода услуги, а только 44% - на программное и аппаратное обеспечение, в нашей стране большинству заказчиков эти затраты по-прежнему кажутся совершенно излишними.
Уровни сотрудничества со сторонними фирмами могут быть самыми различными - от оказания масштабных консалтинговых услуг, приводящих к коренным изменениям функционирования предприятия, до выполнения небольших конкретных заданий типа инсталляции одного программного продукта.
10.4.1. Консалтинг, системная и сетевая интеграция
Среди фирм, занимающихся консалтингом в области информационных технологий, до недавнего времени доминировали вовсе не компьютерные фирмы и поставщики компьютерных услуг. Теперь же этот бизнес притягивает многие компьютерные фирмы, которые стремятся в процессе оказания консалтинговых услуг установить тесные отношения с руководителями предприятий, с теми, кто вырабатывает стратегию и принимает решения. Консультант, помогающий определить стратегию фирмы, может предложить свои услуги и в области системной интеграции или проведения работ по информационному обслуживанию.
При этом увеличивается вероятность получения заказа на внеконкурсной основе.
К мировым лидерам консалтинга информационных технологий относятся компании IBM, Andersen, ComputerSciences, OracleConsulting, ElectronicDataSystems, Unisys, Hewlett-Packard,DigitalEquipment и некоторые другие компании. Область деятельности компаний, работающих в этом бизнесе, как правило, включает широкий перечень услуг. Например, компания IBM консультирует по применению информационных технологий в финансовой и банковской сферах, в областях страхования, химии, образования, развлечений, здравоохранения, фармацевтики. Кроме того, в ее функции входит поддержка бизнеса, промышленного производства и оптово-розничной торговли, консультации правительственным организациям и оказание юридических услуг. Все ведущие консалтинговые фирмы участвуют в реинжиниринге бизнес-процессов ("реинжиниринг" - радикальная перестройка деловых процессов предприятия).
В России рынок консалтинга только зарождается, однако можно уже назвать несколько отечественных фирм, в задачу которых входит анализ, формализация и структуризация бизнес-задач клиента, например "Метатехнология", IBS и ряд других.
Примером приближения компьютерных фирм к рынку консалтинговых услуг служит альянс известной российской компьютерной фирмы ЛВС и компании PriceWaterhouse, занимающей 16 место в мировом рейтинге компаний, занимающихся консалтингом в области информационных технологий.
Проблемы предприятия или организации могут возникать и решаться на разных уровнях. Одни из них требуют привлечения консалтинговых фирм, другие могут быть разрешены системными или сетевыми интеграторами. В результате оказания консалтинговых услуг могут возникнуть проблемы, относящиеся к системной интеграции, а из этих проблем в свою очередь вырастают задачи сетевой интеграции.
Если задачей является только разработка сети: ее транспортной подсистемы или компьютерной платформы, реализация гетерогенной операционной среды или разработка приложений, работающих с базами данных - это может быть отнесено к сетевой интеграции.
Задачи, требующие комплексного, "системного" подхода, учитывающие взаимосвязи и взаимозависимости разных аспектов функционирования предприятия - это область действия системных интеграторов. В деятельности системного интегратора наряду с техническими вопросами не менее важными является решение вопросов организационного, юридического и управленческого характера. Термин "системный интегратор" в настоящий момент не имеет полной определенности.
Существует несколько моделей работы с сетевыми интеграторами. Не обязательно каждый проект сетевой интеграции должен быть крупным. Напротив, в последнее время в западном бизнесе сетевой интеграции преобладает тенденция предоставления услуг по прейскуранту, вместо более традиционного подхода, когда крупные интеграторы систем берут на себя всю работу по созданию и эксплуатации сетевой системы заказчика. Для таких небольших проектов характерны короткие сроки исполнения и низкая стоимость. Услуги по прейскуранту известны как подряд на уровне задач, когда контракт составляется на отдельную работу, такую как инсталляция программы, проводка кабельной системы, оптимизация программного или аппаратного обеспечения, установка сети NovellNetWare или разработка приложения.
Подряд на уровне задач рассматривается как менее рискованный подход, позволяющий организации сохранять контроль, не отдавая все на откуп фирме-интегратору.
Защита корпоративной информации
Корпоративные сети более подвержены вторжениям, чем локальные сети меньшего масштаба или централизованные информационные системы предприятия, построенные на базе мэйнфреймов. Все главные особенности корпоративной сети обуславливают повышенную опасность этого типа сетей.
И первой такой особенностью является наличие глобальных связей. По своей природе глобальные связи, простирающиеся на много десятков и тысяч километров, не позволяют воспрепятствовать злонамеренному доступу к передаваемым по этим линиям связи данным. Нельзя дать никаких гарантий, что в некоторой, недоступной для контроля точке пространства, некто, используя, например, анализатор протокола, не подключится к передающей среде для захвата и последующего декодирования пакетов данных. Такая опасность одинакова присуща всем видам территориальных каналов связи и не связана с тем, используются ли собственные, арендуемые каналы связи или услуги общедоступных территориальных сетей, подобные Internet.
Однако использование общественных сетей (речь в основном идет об Internet) еще более усугубляет ситуацию, хотя бы потому, что в такой сети для доступа к корпоративным данным в распоряжении злоумышленника имеются более разнообразные и удобные средства, чем выход в чистое поле с анализатором протоколов. Кроме того, огромное число пользователей увеличивают вероятность попыток несанкционированного доступа.
Другая особенность корпоративной сети - масштабность, она заключается в том, что имеется очень большое количество рабочих станций, серверов, пользователей, мест хранения данных и т.п. В таких условиях администратору оказывается гораздо труднее построить надежную защиту сети, предусматривающую адекватную реакцию на все возможные попытки взлома системы.
Гетерогенность - это еще одна особенность корпоративной сети, которая усложняет работу администратора по обеспечению ее безопасности. Действительно, в программно и аппаратно неоднородной среде гораздо сложнее проверить согласованность конфигурации разных компонентов и осуществлять централизованное управление.
К тому же надо учесть, что в большой гетерогенной сети резко возрастает вероятность ошибок как пользователей, так и администраторов.
По сравнению с сетями масштаба отдела или небольшого предприятия обеспечение безопасности в корпоративной сети является задачей не только более сложной, но и более важной: огромные материальные потери, к которым может привести доступность некоторых данных для заинтересованных в этом людей, переводит безопасность из разряда чисто технических вопросов в разряд самых приоритетных бизнес-проблем.
Поэтому защита данных в корпоративной сети в любом случае является стратегически важной задачей, а при использовании публичных территориальных сетей ее важность увеличивается многократно.
Проблема защиты данных при передачи их через публичные сети осложняется и тем обстоятельством, что во многих странах правительства вводят ограничения на использование основных средств защиты данных, а именно, средств их шифрации. Практически любой метод защиты данных основан на том или ином виде шифрации. Правительственные ограничения на использование средств шифрации преследуют несколько целей:
предотвращение утечек государственных секретов, которые могут иметь место при использовании в государственных учреждениях непроверенных средств шифрации данных при отправке их в публичные сети (телефонные или компьютерные); возможность расшифровки данных, пересылаемых лицами или организациями, подозреваемыми в преступных действиях; защита отечественных производителей средств шифрации; контроль за рынком средств шифрации.
Правительственные ограничения особенно осложняют решение задачи защиты корпоративных данных при создании интернациональных корпоративных сетей, так как на одном конце сети могут действовать одни ограничения, диктующие использование определенных средств шифрации, а на другом - другие.
Повсеместное распространение сетевых продуктов массового потребления, имеющих встроенные средства защиты данных, например, сетевых операционных систем WindowsNT и Windows 95 c протоколом защиты данных PPTP , с одной стороны упрощает защиту данных, а с другой стороны часто создает только видимость надежной защиты.
Эта видимость - следствие того, что в соответствии с ограничениями правительства США допускается экспорт продуктов шифрации только с ключами длиной до 40 бит. Поэтому, внутри США используются те же операционные системы или другие продукты с ключами 56и бит и выше, а за пределы страны американские продукты поставляют версии с усеченными возможностями. В то же время мощности компьютеров, в том числе и персональных, выросли настолько, что расшифровать сообщение, зашифрованное с помощью 40-битного ключа, можно за один день, даже не имея в распоряжении мощных суперкомпьютеров (и такие случаи зафиксированы).
Поэтому, использование для защиты данных тех средств, которые имеются под рукой, защищает данные только от просто любопытствующих людей. Заинтересованный в прочтении этих данных человек может достаточно легко их расшифровать, потратив на это не так уж много сил и средств.
Подобная ситуация складывается не только с недорогими встроенными средствами защиты, так как большая часть профессиональных и достаточно дорогих систем также производится в США и также подвержена правительственным ограничениям. Выход - использование средств защиты, произведенных или адаптированных в России или же в европейских странах, в которых нет аналогичных ограничений на экспорт.
Надежная шифрация - не единственная проблема, возникающая при защите корпоративных данных. Достаточно сложно решить и проблему надежной аутентификации пользователей.
Аутентификация - это получение уверенности в том, что данный пользователь является тем индивидуумом, за кого себя выдает. Использование средств удаленного доступа к корпоративной сети существенно усложняет эту задачу. При аутентификации пользователей локальной сети успешно решить эту задачу помогают организационные меры - отсечение посторонних пользователей от клиентских компьютеров и терминалов, контроль за подключениями к кабельной системе здания и т.п. При удаленном доступе эти средства не работают, а пароли, передаваемые легальными пользователями по сети в открытом виде по публичной сети, могут быть перехвачены и использованы впоследствии нелегальными пользователями.
Даже при использовании более сложных схем аутентификации, не передающих пароли по сети, в схеме аутентификации имеется уязвимое звено - процедура передачи удаленному пользователю его пароля. Хотя эта процедура, в отличие от процедуры входа в сеть, выполняется редко, использование для нее электронных средств коммуникаций или обычной почты не дает хороших гарантий от перехвата пароля.
Новые проблемы создает проблема аутентификации пользователей при ведении бизнеса через Internet. Число пользователей вырастает настолько, что количество переходит в качество, и старые методы аутентификации на основе индивидуальных паролей начинают работать плохо - слишком большой объем работы падает на администратора, раздающего пароли, и средства аутентификации, эти пароли проверяющие. Нужны новые механизмы идентификации категорий пользователей, например, при издании журнала через Internet, нужно различать: пользователей, вообще не оформивших подписку, которым нужно предоставлять доступ только к небольшому списку избранных статей, рекламирующих журнал; пользователей, оформивших подписку только на определенную рубрику журнала; пользователей, оформивших полную подписку. Кроме этого, нужно проверять срок окончания действия подписки.
Ведение бизнеса через Internet выдвигает на первый план и такую проблему, как обеспечение целостности переданных через сеть данных. Пользователь, купивший через Internet новую программу, должен быть уверен, что он получил оригинальную копию этой программу, а не подделку от нечестного продавца.
Застава (Sunscreen) компании "Элвис -Плюс"
24 сентября 1997 года компания "Элвис-Плюс" анонсировала завершение бета-тестирования и начало промышленных поставок первого отечественного программного firewall'а "Застава". Одновременно объявлено о начале проведения сертификационных испытаний продукта Гостехкомиссией при Президенте РФ. К концу года будет предложена версия "Заставы" для платформы WindowsNT.
"Застава" относится к категории фильтрующих firewall'ов и функционирует на платформах Solaris/SPARC и Solaris/Intel и предназначен для использования в качестве первого эшелона защиты ресурсов корпоративных сетей от вторжения из Internet.
В настоящее время лабораторией средств сетевой безопасности "Элвис-Плюс" ведется интенсивная подготовка к производству аппаратно-программного варианта "Заставы" на базе системной платы SPARCengineUltraAXMotherboard производства компании SunMicroelectronics, по отношению к которой "Элвис-Плюс" выступает в качестве OEM-производителя. Гораздо более производительная по сравнению с программным аналогом новая версия "Заставы" будет включать модуль создания корпоративных VPN на базе протокола SKIP, а также поддерживать защищенное конфигурирование и управление с удаленного рабочего места администратора безопасности, реализованного по технологии Java.
По мнению сотрудников компании "Элвис-Плюс", семейство "Застава" может с успехом использоваться при создании комплексных систем защиты распределенных сетей федеральных агентств и ведомств при условии интеграции в продукты компании криптографических модулей легальных российских производителей.
Разработчики межсетевого экрана "Застава" ставили перед собой задачу не просто создать первый российский firewall, но, прежде всего, учесть быстрорастущие требования и современные приоритеты рынка защиты информации в IP сетях. Главными задачами при разработке межсетевого экрана были обеспечение "жесткой" и быстрой фильтрации, а также реализация эффективного proxy-модуля для обработки трафика электронной почты, представляющей в современных условиях серьезную потенциальную угрозу безопасности сети - по сравнению с прочими "внешними" сервисами.
На сервере компании "Элвис-Плюс" по адресу можно найти демонстрационные копии firewall'а "Застава".