Содержание к диссертации
Введение
Методы и средства построения корпоративных сетей с применением технологии VLAN 8
1.1. Особенности работы корпоративных кампусных сетей 8
1.2. Общие принципы применения технологии VLAN при создании корпоративных сетей і о
1.3. Классификация VLAN \9
1.4. Стандарты для построения VLAN 26
1.5. Основные задачи построения корпоративных сетей по технологии VLAN 34
1. 6. Банковские корпоративные сети 36
Выводы 41
2. Методы анализа структуры корпоративной сети, построенной по технологии VLAN 42
2.1. Задачи анализа структуры сети 42
2.2. Общие результаты для описания и анализа структуры сети 45
2.3. Анализ структуры сети с корпоративными серверами 55
Выводы 61
3. Математические модели для анализа работы клиентов и серверов корпоративной сети 63
3.1. Описание моделей системы 63
3.2. Система с общей очередью
3.2.1. Система с ограниченным числом запросов 67
3.2.2. Неограниченное число запросов 72
3.3. Система с раздельными очередями... 73
3.3.1. Анализ цепей Маркова для СМО с раздельными очередями 74
3.3.2. Расчет характеристик СМО 80 Выводы 83
4. Применение результатов для анализа корпоративных сетей 85
4.1. Анализ структуры корпоративной сети банка 85
4.1.1. Описание сети 85
4.1.2. Анализ структуры сети 88
4.2. Анализ сети с корпоративными серверами 93
4.2.1. Общее описание сети 93
4.2.2. Оценка загрузки каналов связи корпоративной сети и интенсивностей потоков запросов на запуск приложений 94
4.2.3. Математическая модель для расчета параметров системы с трехзвеннои архитектурой и корпоративными серверами приложений 100
Выводы 105
Заключение
Литература
- Общие принципы применения технологии VLAN при создании корпоративных сетей
- Общие результаты для описания и анализа структуры сети
- Неограниченное число запросов
- Анализ сети с корпоративными серверами
Общие принципы применения технологии VLAN при создании корпоративных сетей
Каждая рабочая станция в любой из VLAN обрабатывает широковещательный трафик, посылаемый другим членам этой VLAN. Так, если станция А посылает широковещательный пакет, станции В и С получат его даже если они физически присоединены к другим коммутаторам.
Когда Д посылает широковещательный пакет, станция А (также и станции В и С) не увидит этот трафик, хотя она находится в том же физическом коммутаторе, но так как она находится не в VLAN1, коммутатор не будет пересылать этот трафик на А.
В данном примере все VLAN работают на Уровне 2, поэтому связь между VLAN требует принятия решений маршрутизации на Уровне 3. Для чего использован маршрутизатор.
Построение сети по технологии VLAN наряду с известными и принятыми во всех сетях сервисами предоставляет пользователям следующие преимущества [2, 36, 45, 46, 108, 110, 114]:
Контроль за широковещательным трафиком. В отличие от традиционных LAN, построенных при помощи маршрутизаторов/мостов, VLAN может быть рассмотрен как широковещательный домен с логически настроенными границами. VLAN предлагает больше свободы, чем традиционные сети поскольку не использует физического ограничения сетей, построенных на основе концентраторов. VLAN позволяет иметь широковещательный домен вне зависимости от физического размещения, среды сетевого доступа, типа носителя и скорости передачи. Члены домена могут размещаться там, где необходимо, а не там, где есть специальное соединение с конкретным сегментом. VLAN увеличивают производительность сети, помещая широковещательный трафик внутри маленьких и легко управляемых логических доменов. Кроме того, в традиционных сетях с коммутаторами, которые не поддерживают VLAN, весь широковещательный трафик попадает во все порты, а если используется VLAN, то весь широковещательный трафик ограничивается отдельным широковещательным доменом.
Функциональные рабочие группы. Наиболее значимым преимуществом технологии VLAN является возможность создания рабочих групп, основываясь на функциональности, а не на физическом расположении или типе носителя. Если традиционно администраторы группировали пользователей функционального подразделения физическим перемещением их рабочих мест (компьютеров) в общее рабочее пространство, например в один сегмент и все пользователи рабочей группы имели одинаковое физическое соединение для того, чтобы иметь преимущество высокоскоростного соединения с сервером, то технология VLAN позволяет создавать, и реконфигурировать сетевые сегменты логически и немедленно, без изменения физической инфраструктуры и отсоединения пользователей и серверов. Возможность легкого добавления, перемещения и изменения пользователей сети - ключевое преимущество VLAN.
Повышенная безопасность. Технология VLAN предлагает дополнительные преимущества для безопасности. Пользователи одной рабочей группы не могут получить доступ к данным другой группы, потому что каждая VLAN это закрытая, логически объявленная группа. Могут быть и другие требования для обеспечения полной безопасности, но VLAN может быть частью общей стратегии сетевой безопасности [17, 39, 53].
Виртуальные сети часто просто необходимы, когда локальная сеть в пределах одного здания совместно используется несколькими фирмами или подразделениями одной организации, а несанкционированный доступ к информации желательно ограничить. Кроме того, часто необходимо бывает локализовать широковещательные сообщения в пределах заданной группы станций сети.
В связи с изложенным выше корпоративные сети, использующие технологию VLAN, как правило строятся с учетом организационной структуры предприятия (организации), для обслуживания которой они предназначены.
Принцип построения сети по технологии VLAN показан на рис. 1.2. Технология VLAN может быть реализована не только в рамках локальной сети. Возможно выделение виртуальной сети в масштабах Интернет при этом идея создания корпоративных сетей в Интернет (ИНТРАНЕТ) является обобщением идей виртуальных сетей на региональные сети. Такая корпоративная сеть должна иметь один шлюз для входа в Интернет. Такой шлюз может выполнять функции Firewall, решая проблемы безопасности корпоративной сети.
Одной из основных задач управления сетью является обеспечение необходимого уровня безопасности. Если пользователи ассоциируются с данной виртуальной ЛВС в любой точке сети, т.е. каждый физический сетевой порт ассоциирует себя с VLAN пользователя, то вероятность нарушения режима безопасности оказывается весьма высокой. Если сетевые порты клиента заранее приписаны к конкретным виртуальным сетям, то это обеспечивает лучшую защиту сети при хорошем уровне мобильности. Самый строгий уровень организации защиты виртуальной сети достигается, когда МАС-адреса заранее соотносятся с физическими портами. Мобильность при этом ограничивается очень жестко, но остальные преимущества виртуальных сетей сохраняются.
Общие результаты для описания и анализа структуры сети
Вторым шагом, после разработки структуры, является ее анализ. Проведение анализа необходимо для оценки загрузки сетевого оборудования и каналов связи, что дает возможность сформулировать требования и обоснованно выбрать коммутаторы, линии связи, сетевые адаптеры для создания реальной сети с заданной структурой. Таким образом, анализ структуры сети предусматривает решение следующих задач: - оценка (расчет) интенсивностей потоков данных, проходящих по каналам связи сети (расчет загрузки каналов связи); - оценка интенсивности потоков данных, проходящих по транковым каналам (расчет загрузки транковых каналов); - оценка интенсивности потоков данных, поступающих на порты коммутаторов (расчет загрузки коммутаторов); - оценка интенсивности потоков данных, поступающих на порты маршрутизаторов (расчет загрузки маршрутизаторов). При разработке и анализе структуры необходимо учитывать возможности коммутаторов (обеспечение соответствующих уровней коммутации) т.к. от этого зависят состав оборудования и направления движения потоков данных в сети.
Таким образом перечислены основные задачи разработки и анализа структуры корпоративной сети, построенной по технологии VLAN, определена последовательность их решения, что задает методику разработки и анализа структуры сети. При этом обеспечивается взаимосвязь и преемственность результатов разработки и анализа, возможность коррекции результатов на каждом шаге.
Для проведения разработки и анализа структуры необходимо иметь средства ее формального описания, позволяющие однозначно задавать структуру и применять средства формального описания для решения задач анализа.
При разработке средств описания структуры сети будем учитывать, что, как правило, сеть строится для обеспечения регламентированного доступа пользователей к информационным ресурсам (базы данных, файловые системы и т.д.) и техническим средствам (принтеры, модемы и т.д.), поэтому во многих корпоративных сетях виртуальные сети, как отмечалось в предыдущих разделах, используются для обособления трафика и разделения информационных потоков с целью повышения безопасности, разгрузки серверов, упрощения администрирования работы пользователей и прикладного программного обеспечения [71. ПО].
В ряде случаев при использовании VLAN в каждую виртуальную сеть, обслуживающую определенную группу пользователей, входят и необходимые серверы (серверы приложений, серверы баз данных). Каждая виртуальная сеть в этом случае обслуживает достаточно замкнутую информационную подсистему, обеспечивающую решение определенного набора функциональных задач и возможность доступа внешних пользователей к ресурсам подсистемы. Однако достаточно часто встречаются сети (информационные системы), где наряду с обособленностью групп пользователей в пределах VLAN, используются корпоративные серверы, к которым имеют доступ пользователи (станции сети) из различных виртуальных сетей.
Перечисленные особенности будут в дальнейшем учитываться при анализе структуры сети. При создании математических моделей позволяющих описывать (задавать) структуру сети будем считать, что все станции сети (рабочие станции пользователей, сервера и т.д.) занумерованы так, что каждая имеет свой уникальный номер. Также занумерованы все, составляющие сеть виртуальные сети и коммутаторы.
Кроме того, будем полагать, что каждая станция подключается непосредственно к порту коммутатора, т. е. в сети не используются концентраторы. Такое ограничение позволяет получит более компактные средства описания структуры и упростить проведение расчетов. Ниже будет показана возможность снять данное ограничение.
Для задания (описания) физических соединений между коммутаторами будем применять матрицу соединений между коммутаторами (матрица соединений) = Sy , где Sy = 1, если коммутатор номер і соединен транковым каналом с коммутатором номер j; sy- = 0, если соединения нет. Очевидно, что матрица S квадратная, размером КхК, где К - число коммутаторов.
Принадлежность станции сети к виртуальной сети будем задавать матрицей принадлежности станций к VLAN - R = гтп , где гтп = 1, если станция номер m входит в состав VLAN номер п. Матрица R -прямоугольная матрица размерностью MxN, где М - число станций в сети, а N - число виртуальных сетей. Как было показано выше в разделе 1.3,
Неограниченное число запросов
Среднее значение второго слагаемого можно вычислить как среднее время обслуживания всех запросов, поступивших за время обслуживания запроса до произвольно взятого запроса среди всех поступивших. Среднее количество запросов поступивших за время обслуживания одного запроса данная величина вычисляется исходя из того, что ТУ простаивает от момента отправки запроса до момента получения ответа от сервера. Это время складывается из времени простоя запросом в очереди на сервер и времени обслуживания запроса сервером, что и отражено в формуле (3.6). - средняя длина очереди запросов на сервер - Q: Q = tipt (3-7) данная величина вычисляется по стандартной формуле, поскольку решение системы уравнений (3.1) дает величины вероятностей длины очереди; - среднее количество занятых терминалов - R: R = N-Q (3.8) эта величина вычисляется как разность между количеством ТУ и количеством запросов в очереди к серверу, поскольку ТУ, пославший запрос, должен ждать его возвращения, как описано выше в разделе 3.1. - среднее количество запросов на сервер в единицу времени (интенсивность потока запросов от ТУ) - а. Эта величина зависит от среднего количества занятых ТУ, которые являются источниками запросов. Поскольку каждое ТУ независимо от других формирует запрос в течение случайного интервала времени с функцией распределения получим: a = ikzk(N-r)/bl=[YJprj:kzk(N-r))/bl (3.9)
Полученные формулы (3.5) - (3.9) позволяют вычислять характеристики СМО и, соответственно, характеристики виртуальной сети и информационной подсистемы, обслуживаемой данной VLAN. Отметим, что формула (3.9) позволяет с использованием результатов из раздела 2.2 оценивать загрузку каналов связи и коммутаторов в сети. Необходимо отметить, что можно обобщить данную модель на случай, когда от различных клиентов (терминалов) поступают запросы разного типа, при этом необходимо только увеличить размерность пространства состояний.
В этом случае исследуемая система может быть сведена к однолинейной СМО, на вход которой поступают несколько входящих потоков (N - по числу терминалов), все потоки будем считать взаимно независимыми и пуассоновскими с параметрами А,;. Будем считать также, что все потоки образуют одну общую очередь неограниченной длины и, что сообщения могут находиться в очереди сколь угодно долго. Длительность обслуживания одного сообщения (независимо от номера потока) будем считать случайной величиной с функцией распределения B(t), имеющей конечные первый и второй моменты.
При этом имеется возможность рассматривать СМО как стандартную систему типа M/G/l[73, 91].
Отметим, что данная СМО не соответствует, описанной в разделе 3.1, однако имеет смысл остановиться на ее анализе, поскольку она является хорошей моделью для случая большого числа клиентов и для случая, когда клиент может формировать новый запрос не ожидая обработки предыдущего.
Для данной системы можно вычислить следующие характеристики [74, 91]: - среднее время ожидания сообщением в очереди (среднее время ожидания запросом в очереди обработки на сервере) W:
Исследуем теперь случай, когда запросы от клиентов (ТУ) образуют отдельные очереди и сервер обслуживает очереди в соответствии с каким-либо алгоритмом диспетчеризации очередей. Этот случай соответствует реальным системам, где используются серверы приложений, на которых установлены картриджи для нескольких типов приложений, и для каждого картриджа (приложения) ведется своя очередь запросов. Для упрощения расчетов считаем, что количество приложений соответствует количеству клиентов в системе. По прежнему СМО соответствует описанной в разделе 3.1.
Таким образом, рассматривается система массового обслуживания, состоящая из обслуживающего устройства и N каналов, по которым поступают взаимно независимые потоки сообщений. Обслуживающее устройство в соответствии с заданным алгоритмом диспетчеризации подключается к каждому каналу (потоку, очереди) и осуществляет обработку имеющихся там сообщений.
Времена обработки сообщений в каналах независимые случайные величины - Pi с функциями распределения Bi(t) (I - номер канала (очереди, потока сообщений)). Случайные величины Pi имеют конечные первый и второй моменты.
Особенностью СМО является то, что в каждый момент времени в системе может находиться конечное число сообщений [27, 75, 76].
Задачей анализа СМО является разработка методов вычисления ее характеристик: длины возникающих очередей, длительности пребывания сообщений в очередях и т.д. в зависимости от алгоритма диспетчеризации.
Состояние системы в момент времени t будем описывать вектором (p(t)={ cpo(t), 9i(t),..., (PNOO, где фо(і) - номер очереди, которая обслуживается в момент t, (pj(t) - число сообщений в z -ой очереди в момент t (в силу специфики СМО считаем, что задано максимальное количество сообщений для каждой очереди - Rt). Обозначим tk - моменты окончания обслуживания очередей, тогда последовательность векторов (p(tk) образует вложенную цепь
Анализ сети с корпоративными серверами
Основным назначением сети является обеспечение доступа пользователей системы, подключенных к сети, к разделяемым ресурсам системы (базы данных, файлы, печатающие устройства и т.д.), обеспечение работы приложений в режиме клиент-сервер, обеспечение передачи данных между компьютерами сети, контроль работы пользователей системы и контроль использования системных ресурсов.
Сеть УМНС расположена в многоэтажном здании и построена на коммутаторах фирмы «Bay» со структурой звезды, в центре которой находится модель Вау-5000, а на каждом из этажей модель Вау-5005. Все Вау-5005 объединены оптоволоконными каналами с Вау-5000. Рабочие станции каждого этажа подключены к Вау-5005. Основное серверное оборудование выделено в отдельную подсеть и находится на 6 и на 5 этажах. Внешние каналы подключаются к сети через коммутаторы фирмы «Cisco».
В состав сети УМНС входя серверы баз данных, серверы приложений, серверы печати, клиентские рабочие места и активное сетевое оборудование. Обмен данными происходит между клиентскими рабочими местами и серверами. В качестве каналов связи используются: - оптоволокно с пропускной способностью 155Мбит/с; - неэкранированная витая пара с пропускной способностью 1 ООМбит/с; - неэкранированная витая пара с пропускной способностью 1 ОМбит/с. В сети выделяются два контура: сеть первого уровня и сеть второго уровня. В состав сети первого уровня входят виртуальные сети подразделений, содержащие клиентские рабочие станции расположенное на различных этажах здания УМНС и объединенные с активным сетевым оборудованием каналами связи с пропускной способностью 1 ОМбит/с.
В состав сети второго уровня, которая представляет виртуальную сеть, входят корпоративные серверы приложений и сервер баз данных, объединенные каналами связи с пропускной способностью 100Мбит/с. Подсети сети первого уровня соединены с сетью второго уровня каналами связи с пропускной способностью 155Мбит/с.
На серверах приложений установлены приложения, которые запускаются запросами от клиентов и обращаются с запросами к серверу базы данных. В зависимости от типа приложений изменяется объём предаваемых по сети данных.
Рабочие станции всех подсетей первого уровня (VLAN) предназначены для запуска стандартных приложений, обеспечивающих сервис-процессы и взаимодействуют только с корпоративными серверами.
Для оценки загрузки сети необходимо определить количество и тип запускаемых приложений от клиентских рабочих мест. Тип запускаемого приложения зависит от того, в каком подразделении УМНС находится клиентское рабочее место. Структура сети УМНС соответствует организационной структуре организации. При анализе структуры и расчете загрузки серверов учитывались запросы, которые могут поступить из разных подразделений и отделов УМНС, а также перечень запускаемых разными сотрудниками комплексов задач, приложений и различных вспомогательных и справочных систем, влияющих на трафик сети. Состав подразделений УМНС и перечень запускаемых приложений и задач приводится ниже.
Для проведения необходимых расчетов введем следующие обозначения (по аналогии с 2.3): N- количество типов решаемых задач; о - интенсивность потока задач от одного пользователя; М- количество пользователей в системе; pi - вероятность запуска задачи і-го типа любым пользователем; ti - объём данных, перекачиваемых по сети первого уровня для решения і-й задачи; ГІ - объём данных, перекачиваемых по сети второго уровня для решения і-й задачи; і - номер типа задачи. Интенсивность потока задач і-го типа от одного пользователя вычисляется по формуле: Яа = Хо А (І=1,...,Л/) Здесь pi - вероятность запуска і задачи произвольным пользователем (независимо от его принадлежности к отделам) определяется из выражения: N, П. N. П . где N0 - количество отделов; rij - количество пользователей (рабочих станций) в j отделе; Гц - индикатор задачи: ry- = 1 если задача типа і запускается в отделе номер j; Гц = 0 - если задача типа і не запускается в отделе номер j. N к. = Хл _ количество типов задач, запускаемых в отделе номер j. При условии равновероятного выбора задачи пользователем каждого отдела (из того множества задач, которые запускаются в отделе) вероятность запуска пользователем задачи типа і в отделе] вычисляется по формуле: а —г.. Ik.. 2У V J Отсюда следует справедливость формулы для вычисления/?! Интенсивность потока запросов на исполнение задачи типа і от отдела j вычисляется по формуле: А. = Хпп./к.. У 0 j j Интенсивность потока запросов в системе на исполнение задачи типа і вычисляется по формуле: Все запросы пользователей на запуск любой задачи сначала обрабатываются на серверах приложений и все необходимые данные передаются по сети первого уровня. Объем потока данных по сети первого уровня вычисляется по формуле:
Все запросы на запуск любой задачи выполняются на сервере базы данных и необходимые данные передаются по сети второго уровня. Объем потока данных по сети второго уровня вычисляется по формуле: