Содержание к диссертации
Введение
1. Анализ современного состояния технологий стека протоколов ТСРДР, тенденции и перспективы их развития 22
1.1 Стек протоколов TCP/IP и технология Ethernet 22
1.2 Характеризация трафика в сегментах корпоративной сети 31
1.3 Качество обслуживания 40
1.4 Корпоративная сеть МГТУ им. Н. Э. Баумана 49
Выводы по главе 1. Постановка и декомпозиция проблемы 60
2. Разработка математических моделей источников и стоков информации в корпоративной сети 64
2.1 Классификация нагрузки на коммуникационную систему корпоративной сети 64
2.2 Модели взаимодействия источников и стоков информационных потоков в корпоративной сети 71
2.3 Исследование характеризации нагрузки в корпоративных сетях 80
2.4 Модели источников и стоков информации, базирующиеся на основе теории очередей 89
2.5 Характеризация нагрузки на транспортную систему корпоративной сети МГТУ им. Н. Э. Баумана 103
Выводы по главе 2 111
3. Разработка математических моделей коммутаторов в корпоративных сетях 114
3.1 Исследование характеристик, влияющих на производительность коммутаторов... 114
3.2 Анализ дополнительных функций коммутаторов 123
3.3 Очереди в интерфейсах коммутаторов 131
3.4 Коммутатор как система массового обслуживания 135
3.5 Экспериментальные исследования характеристик коммутаторов 140
Выводы по главе 3 151
4 Исследование технологий управления интенсивностью трафика в корпоративных сетях ТСРЛР 154
4.1 Классификация механизмов управления трафиком в корпоративных сетях 154
4.2 Мониторинг ресурсов корпоративной сети 161
4.3 Мониторинг ресурсов пользовательского маршрута в корпоративной сети 167
4.4 Распределенный мониторинг ресурсов и распределенное управление интенсивностью трафика 179
4.5 Развитие технологии раннего случайного обнаружения 185
Использование кадров пауз 185
Выводы по главе 4 192
5 Методы построения неблокирующих транспортных систем корпоративной сети 195
5.1 Анализ цепочек очередей в транспортных системах 195
5.2 Экспериментальные исследования трафика в сегментах корпоративной сети МГТУ им. Н. Э. Баумана 200
5.3 Исследование доступности ресурсов транспортной системы корпоративной сети..209
5.4 Методы организации неблокирующих режимов функционирования в транспортной подсистеме 216
Выводы по главе 5 231
6 Основные выводы и результаты 234
Список использованных источников
- Характеризация трафика в сегментах корпоративной сети
- Модели взаимодействия источников и стоков информационных потоков в корпоративной сети
- Очереди в интерфейсах коммутаторов
- Распределенный мониторинг ресурсов и распределенное управление интенсивностью трафика
Введение к работе
Актуальность проблемы
Развитие и широкое внедрение информационно-коммуникационных технологий во все сферы человеческой деятельности проявляется в локальных и глобальных компьютерных сетях. Изменение характера передаваемой информации, ее объемов и интенсивности может привести к возникновению блокировок и перегрузок в компьютерных сетях, несмотря на тенденцию к повышению их пропускной способности, следовательно, совершенствование методов анализа и управления в корпоративных сетях, направленных на повышение их производительности, остается актуальной проблемой и в настоящее время. Разнообразие передаваемой информации, ее интенсивность и объем приводят ко все большему отличию существующих математических моделей источников информации, коммуникационных узлов сетей и самого трафика, разработанных для сетей первых поколений, от реально наблюдаемых результатов их функционирования на современном этапе. Серьезным препятствием для исследования трафика в корпоративных сетях является также закрытость и ограниченность методик анализа процессов в узлах сетей, используемых в дорогостоящих зарубежных разработках. Поэтому разработка научных методов и алгоритмов создания структур и топологий транспортных подсистем корпоративных сетей, методов анализа функционирования коммутационных и оконечных узлов этих подсистем и их отдельных сегментов, развитие и совершенствование технологий управления трафиком передаваемой информации, реализуемых на штатном сетевом оборудовании и с помощью типового аппаратно-программного обеспечения, доступного сетевым администраторам и интеграторам, является актуальной задачей для повышения уровня автоматизации всех информационных процессов в многоплановой деятельности предприятий и организаций любых масштабов.
Решением ряда задач, относящихся к данной проблеме занимаются научно-исследовательские подразделения многих российских и зарубежных университетов и НИИ: Государственный научно-исследовательский институт информационных технологий и телекоммуникаций "Информика", Санкт-Петербургский государственный институт информационных технологий, точной механики и оптики (технический университет), Российский НИИ развития общественных сетей, Московский государственный технический университет им. Н.Э. Баумана, Санкт-Петербургский государственный университет телекоммуникаций им. проф. М. А. Бонч-Бруевича, Московский государственный университет им М. В Ломоносова, Московский институт электроники и математики (технический университет), Тамбовский государственный технический университет, Центральный научно-исследовательский институт робототехники и технической кибернетики, Уфимский государственный авиационный технический университет, Новгородский государственный университет, Самарский государственный аэрокосмический университет, Санкт-Петербургский государственный университет, Global Information Grid, Cisco Systems Inc, Factiva (совместное предприятие Dow Jones и Reuters), General Dynamics, HP, Honeywell, IBM, Microsoft, Northrop Grumman, Oracle, Raytheon, Sun и др. Несмотря на это, в открытой печати и ресурсах Internet практически отсутствуют методы анализа и синтеза транспортных подсистем корпоративных сетей предприятий, что негативно влияет на внедрение и освоение новых информационных технологий для решения важных народно-хозяйственных задач во всех отраслях.
Цели и задачи исследований
Целью диссертации является создание научных основ для проектирования, разработки и создания высокопроизводительных транспортных подсистем корпоративных сетей, их сопровождение и модернизации в процессе эксплуатации. Для этого необходима разработка математических моделей источников информации, нагружающих транспортную подсистему (т.е. математических моделей трафика на уровне доступа), математических моделей трафика в сегментах уровней распределения и ядра (т.е. после прохождения кадров через каскады коммутаторов, что в свою очередь требует разработки их математических моделей), методов регулирования интенсивностью трафика на интерфейсах источников и учет доступности ресурсов при проектировании топологии транспортной подсистемы.
Для достижения поставленной цели на базе анализа современного состояния стека протоколов TCP/IP проведена ее декомпозиция, в результате чего достижение этой цели обеспечивается решением следующих задач:
-
Анализ структур транспортных подсистем современных корпоративных сетей, технологий взаимодействия их оконечных и транзитных узлов.
-
Разработка математических моделей источников и стоков информации для характеризации нагрузки на транспортную подсистему.
-
Развитие методов статистического анализа и мониторинга трафика в сегментах корпоративных сетей.
-
Разработка математических моделей транзитных узлов (коммутаторов) корпоративных сетей с учетом их влияния на трафик в различных иерархических уровнях сети.
-
Анализ и развитие методов и технологий управления объемами и интенсивностью трафика, переносимого транспортной подсистемой.
-
Разработка методов анализа доступности общих ресурсов корпоративных сетей с целью снижения вероятности блокировок в транспортных подсистемах и повышения производительности корпоративных сетей.
Методы исследования
Для решения поставленных задач используются современные методы теории информации и теоретической информатики, математические методы теории вероятностей, теории очередей и массового обслуживания, планирования эксперимента и статистической обработки результатов экспериментальных данных.
Научная новизна результатов
1. Разработана новая математическая модель трафика в сегментах транспортной подсистемы с длительностью кадров, распределенной по закону Бернулли для технологии Ethernet, интенсивность поступления которых соответствует мультиплексированным и демультиплексированным регулярным потокам, позиционированным по Пуассону в отсутствие блокировок.
2. Предложена новая математическая модель коммутаторов в корпоративных сетях, как основных транзитных узлов транспортных подсистем в их различных иерархических уровнях.
3. Разработан новый метод регулирования интенсивности трафика в сегментах транспортной подсистемы путем пролонгации процессов в источниках информации, опирающийся на логику алгоритма случайного раннего обнаружения.
4. Выведено правило доступности ресурсов для анализа типовых информационных процессов в разных уровнях иерархии транспортной подсистемы корпоративной сети.
5. Разработаны принципы построения структур транспортных подсистем корпоративных сетей, обеспечивающих повышение их производительности при снижении процента информационных потерь из-за блокировки кадров в общих ресурсах.
6. Разработаны методики, алгоритмы и программы для экспериментальных исследований транспортных подсистем корпоративных сетей предприятия.
Достоверность полученных результатов диссертации подтверждается:
применением фундаментальных положений теории автоматов, теории алгоритмов и теории связи;
использованием известных методов теории систем массового обслуживания, теории очередей и процессов восстановления;
сопоставлением полученных решений с общеизвестными достоверными результатами, опубликованными в литературе;
экспериментальными подтверждениями для процессов в транспортной подсистеме реальной корпоративной сети МГТУ им. Н. Э. Баумана.
Практическая значимость работы состоит в:
1. Разработанных алгоритмах и программах, дополняющих известные типовые процедуры статистических исследований сетевых характеристик.
2. Разработанном программном комплексе UDPPING для генерации нагрузки на транспортные подсистемы любых сетей и анализа пропускных способностей их сегментов.
3. Разработанных методиках определения характеристик коммутаторов корпоративных сетей без остановки их функционирования в транспортных подсистемах.
4. Полученных математических моделях ряда промышленных коммутаторов конкретных фирм производителей, предлагаемых на рынке сетевого оборудования.
5. Конкретных рекомендациях по организации транспортных подсистем корпоративных сетей для снижения доли потерь информации.
Результаты работы реализованы под научным руководством автора в корпоративной сети МГТУ им. Н. Э. Баумана и используются при ее эксплуатации, модернизации и развитии. Отдельные разработки диссертации используются в корпоративных сетях Российского НИИ Развития Общественных Сетей и Российском научном центре «Курчатовский институт».
Основанием для выполнения работы явились исследования, проводимые автором лично и под его научным руководством с 1993 года по настоящее время в МГТУ им. Н. Э. Баумана в рамках следующих Федеральных программ: ФЦП «Интеграция науки и высшего образования России» (2002 – 2006 гг, направление 3.13 «Совместная разработка и адаптация вузами и исследовательскими организациями программ научно-методического обеспечения подготовки кадров в области суперкомпьютерных, информационных и наукоемких технологий», направление 4.16 «Развитие интегрированной сети с высокоскоростными телекоммуникационными каналами»), «Электронная Россия» (2002 – 2005 гг), «Развитие единой образовательной информационной среды» (2002 – 2005 гг), а также ряда госбюджетных и хоздоговорных НИР.
Апробация работы и публикации
Основные положения, представленные в диссертации докладывались и обсуждались на следующих научных мероприятиях: Телематика-2000: Международная НМК – Санкт-Петербург 2000 г, Создание телекоммуникационной среды высокопроизводительных технологий в регионах России: состояние, проблемы ВНТС – Уфа 2000 г, Relarn – 2001: VIII конференция представителей региональных научно-образовательных сетей – Петрозаводск 2001 г, Телематика-2001: Международная НМК – Санкт-Петербург 2001 г, Relarn – 2002: IX конференция представителей региональных научно-образовательных сетей – Нижний Новгород 2002 г, «Информационные технологии в образовании»: Международная конференция – Болгария 2002 г, Телематика-2003: Международная НМК – Санкт-Петербург 2003 г, Relarn – 2003: Х конференция представителей региональных научно-образовательных сетей – Санкт-Петербург 2003 г, V Международная конференция памяти академика А. П. Ершова – Новосибирск 2003 г, Современные наукоемкие технологии в промышленности России: высокопроизводительные вычисления и CALS-технологии ВНТС – Уфа 2004 г. Результаты диссертации изложены в 10-ти статьях, опубликованных в журналах, рекомендованных ВАК РФ, 1-ом научном издании, 2-х статьях в других журналах, 10-ти трудах конференций, 2-х учебно-методических пособиях и в 23-х отчетах по госбюджетным и хоздоговорным НИР, в которых диссертант являлся научным руководителем.
Структура и объем работы
Характеризация трафика в сегментах корпоративной сети
С момента своей стандартизации в 1974 г [29, 31, 33] стек протоколов TCP/IP находится в постоянном развитии и совершенствовании, о чем свидетельствует появление новых протоколов, технологий и потребностей, появляющихся по мере развития сети Internet, многочисленных региональных, отраслевых, корпоративных и т.д. сетей. В подтверждении этому факту достаточно констатировать, что обращение в поисковой системе Яндекс к аббревиатуре TCP/IP возвращает более шести миллионов ссылок на источники информации, размещенные в WWW. Появление новых протоколов маршрутизации [29,51], совершенствование уже существующих [87], возникновение новых сетей [10, 29, 35, 37], модернизация [26, 28, 39], необходимость обеспечения постоянно возрастающих потребностей к производительности, надежности, достоверности, безопасности технологий передачи [2, 9, 13, 17, 34, 98, 106, 107], расширение функциональности самих задач (например, QoS) как следствие расширения области применения стека протоколов TCP/IP - вот далеко не полный перечень причин непрекращающихся исследований, проводимых на различных уровнях эталонной модели ISO/OSI, общепринятой в настоящее время в области взаимодействия открытых систем [13, 28, 35, 39, 56, 96].
Стек TCP/IP явился следствием создания и развития сети Arpanet [2, 13, 28, 37, 87], которая считается прародительницей мировой сети Internet. Его необходимость была предопределена стремлением к интеграции аппаратных и программньгх ресурсов вычислительных систем различных архитектур с различающимися аппаратными платформами и операционными системами. Первое описание стека TCP/IP было дано Кано и Серфом [28, 35, 37] в 1974 г и включало лишь несколько протоколов прикладного уровня, транспортного уровня, сетевого уровня и уровня сетевых интерфейсов. За 35 лет своего существования стек TCP/IP существенно изменился в количественном (число протоколов различного уровня увеличилось в несколько раз) и качественном отношениях. Этому способствовали технологические прорывы в техники связи и телекоммуникаций, вычислительной техники, элементной базы в областях хранения, обработки и передачи информации и т.д. Для оценки прогресса в области телекоммуникационных и информационных технологий достаточно сравнить пропускные способности информационных каналов сети ARPANET (56 Кбит/с) и пропускные способности современных оптоволоконных сегментов (порядка 100 Гбит/с). Еще более впечатляющим является сравнение характеристик компьютеров образца 70-х годов прошлого века и современных персональных компьютеров и мейнфреймов [2, 26, 34, 37, 39].
Перечисление всех результатов в различных областях науки и техники, нашедших свое отражение и повлиявших на развитие телекоммуникационных и информационных технологий, само по себе является исследовательским трудом и не укладывается в рамки настоящего исследования. Подробная библиография приводится во многих источниках [2, 28, 29, 34, 35, 37, 44]. Однако нельзя упомянуть о тех из них, которые оказали очень сильное влияние на развитие стека протоколов TCP/IP. Первое из них - создание WWW. Предложение о создании системы связанных между собой документов исходило от сотрудника Центра Ядерных Исследований (CERN) Тима Бернерс-Ли.
Паутина (Web) требовалась для обеспечения совместной работы больших групп исследователей, находящихся в разных странах. В марте 1989 года Бернес-Ли высказал идею по разработке Web для быстрого обмена постоянными отчетами о работе, чертежами, рисунками, схемами, фотографиями и другими документами. Через полтора года в декабре 1991 года на конференции в Сан-Антонио штата Техас (США) был продемонстрирован первый текстовый прототип Web [28, 35, 37], а в феврале 1993 года появился первый графический браузер Mosaic, разработанный Марком Андрессеном, сформировавшим в последствие собственную компанию Netscape Communication Corp. [27], целью которой было создание клиентского и серверного программного обеспечения для Web-приложений. Именно это явилось одним из краеугольных камней (наряду с появлением персонального компьютера) для очень бурного, если не сказать лавинообразного, развития той сети Internet, без которой сегодня трудно себе представить деятельность практически во всех областях науки, техники, культуры, искусства, бизнеса и пр. WWW в настоящее время является общедоступным информационным ресурсом, занимающим первое место в любой области человеческой деятельности, а это выдвигает в свою очередь новые требования к качеству предоставляемых провайдерами услуг, их номенклатуре, оперативности, надежности и защищенности. Эти новые требования оказалось возможным выполнить лишь повысив ресурсные характеристики распределенных информационных систем, а именно: пропускной способности линий связи, быстродействие коммутирующего оборудования и ускорения обработки поступающих от клиентов запросов, что в свою очередь предопределило огромный объем исследований в первую очередь в области технологий передачи информации, структуризации ее хранения, методов доступа к информационным ресурсам, рационального использования возможностей информационных носителей и сред передачи информации, алгоритмов поиска и обработки, организации многопроцессорных и распределенных информационно-вычислительных комплексов и систем и т.д. Иными словами удовлетворение новьк потребностей общества стимулировало развитие всей информационной индустрии, от теоретической и информатики до технологий производства элементной базы.
К этому моменту времени (начало 90-х годов XX века) Internet объединял уже десятки тысяч локальных, корпоративных и региональных сетей с сотнями тысяч хостов клиентов и серверов, т.е. представлял из себя отличный полигон для проведения экспериментальных исследований по выявлению закономерностей в области генерации, передачи и обработки информационных потоков. Для исследования использовались самые современные математические методы теории вероятностей и ее приложений в области случайных процессов [8, И, 12, 38, 40]. Основное внимание было уделено исследованиям трафика информации в каналах передачи. Огромные объемы экспериментальных исследований анализировались самыми современными методами теории массового обслуживания [23, 27, 30, 38, 41], теории очередей [23 - 25, 27, 42, 45, 46, 48, 76, 77, 104]. Были получены правдоподобные результаты в рамках классического предположения о пуассоновском характере распределения моментов поступления в линии связи пакетов информации (пуассоновский поток) и экспоненциальном характере распределения величины этих пакетов, что эквивалентно системе массового обслуживания М/М/1 в традиционном для анализа очередей нотации Кендалла [23 — 25].
Второе событие, оказавшее достаточное влияние на передачу разработок в области телекоммуникаций, не столь известно даже в среде соответствующих специалистов. Им является закон конгресса США, принятый в феврале 1995 года и уравнивающий в правах компании, занимающиеся компьютерными сетями, кабельным телевидением, сотовой телефонией, местной телефонной связью и т.д. Идея заключалась в том, чтобы позволить компаниям предоставлять клиентам единый интегрированный пакет услуг в области передачи любого типа трафика [37]. Это привело к неизбежному изменению политики частот, проводимой Федеральной комиссией по коммуникациям (FCC - Federal Communication Commission), появлению новых технологических каналов доступа в Internet для пользователей и резкому увеличению объемов и интенсивности трафика в Сети. Аналогичные мероприятия в других странах в конечном итоге привели к тому, что аббревиатура WWW стали расшифровывать как «всемирное ожидание» (World Wide Wait) [37]. Это стимулировало новую волну исследований по повышению производительности компьютерных сетей. Кабельные модемы, ADSL (Asymmetric Digital Subscriber Line), Wi-MAX, Wi-Fi, спутниковые каналы на два порядка повысили пропускные способности для линий доступа пользователей к Internet. Пропускная способность абонентских линий у некоторых провайдеров достигает в настоящее время 100 Мбит/с [39].
Модели взаимодействия источников и стоков информационных потоков в корпоративной сети
Коммутатор Sw90 (Cisco Catalyst 2950G) по ВОЛС подключен к центральному коммутатору в ГУК, и каскадно по технологии Gigabit Ethernet full duplex соединен с коммутатором Sw97 (Cisco Catalyst 2950G). К портам RJ-45 коммутаторов Sw96 и Sw97 по технологии ЕС подключены коммутаторы Sw98 — Swl08 (Cisco Catalyst 2950), обеспечивая скорость обмена между ними 400 Мбит/с, к которым в дальнейшем подключаются либо коммутаторы конкретных подразделений университета, либо отдельные компьютеры (серверы или рабочие станции). Использование коммутационного оборудования одного производителя (корпорации Cisco) позволяет осуществлять мониторинг всей корпоративной сети МГТУ им. Н. Э. Баумана из единого центра вплоть до отдельного порта любого коммутатора Cisco Catalyst, подключенного к центральным коммутаторам либо по ВОЛС, либо с помощью аппаратуры каскадирования, либо по технологии ЕС, создавая единую управляемую Fast Ethernet full duplex - среду (а в центральной части Gigabit Ethernet full duplex - среду), что дает возможность реализовать технологию стандарта IEEE 802.1Q, повысив уровень защиты информации во всей сети. С помощью данной технологии все адресное пространство сети университета распределено на множестве виртуальных сетей (VLAN). В каждой виртуальной сети используется диапазон ГР-адресов размером, соответствующим сети класса «С» (256 адресов), что ограничивает максимальное число оконечных устройств в сегменте до 254. По мере подключения новых подразделений к сети университета им выдается необходимый диапазон IP адресов из VLAN, имеющей достаточное количество свободных адресов. Маршрутизатором для таких подразделений служит расположенный в центре Интернет-коммуникаций университета коммутатор Cisco Catalyst 6509, реализующий функции коммутации третьего уровня. Однако такому способу подключения присущи недостатки. Первый заключается в том что различные подразделения, не связанные друг с другом общими бизнес процессами могут оказаться в одной VLAN, или наоборот, подразделения с общими бизнес процессами, но подключавшиеся в разное время могут оказаться в разных VLAN. Это приводит к трудностям при использовании технологии построения сети окружения Microsoft (видны только компьютеры подключенные к этой VLAN), а кроме того упрощает возможность распространения сетевых вирусов между подразделениями находящимися в одной VLAN.
Вторым недостатком является возможность конфликтов при использовании IP адресного пространства внутри VLAN. В этом случае перед администраторами корпоративной сети возникает необходимость быстрого обнаружения коммутатора и порта, к которому подключен компьютер нарушителя. С учетом того, что сегодня сеть университета насчитывает уже более 30 коммутаторов Catalyst, связывающих между собой более 200 подразделений с более 5000 пользователей, эта задача требует автоматизации.
На уровне доступа в рабочих группах подразделений университета используются коммутаторы различных производителей, поддерживающие QoS в соответствии с таблицей 1.1 или вовсе не поддерживающие уровни QoS. В последнем случае необходимая классификация трафика осуществляется на хостах подразделений, либо на соответствующем коммутаторе уровня распределения, при которой всем хостам рабочей группы назначается одинаковый класс QoS.
Одним из перспективных направлений развития сети университета в настоящее время являются сети беспроводного доступа [10, 58]. В первую очередь это объясняется широким распространением среди студентов и преподавателей устройств беспроводного доступа -ноутбуков, карманных компьютеров и телефонов с поддержкой этой функции. Кроме того, отсутствие необходимости прокладки кабельных коммуникаций делает эту технологию предпочтительной и в случае подключения стационарньгх компьютеров некоторых подразделений университета. Способствует развитию беспроводных сетей и тот факт, что скорость передачи данных в таких сетях стала соизмерима со скоростью в проводных сетях.
За последние годы стоимость оборудования для организации таких сетей существенно снизилась, что привело к созданию стихийных точек беспроводного подключения в подразделениях университета. Однако такое неконтролируемое развитие этой технологии таит в себе значительный риск. Дело в том, что повышенное внимание в беспроводных сетях следует уделять вопросам безопасности. Возможность анонимного подключения к таким сетям исключает необходимость проведения предварительных действий по проникновению к сетевому оборудованию или кабельному хозяйству. Достаточно быть в пределах досягаемости сети, что бы без риска быть замеченным пытаться осуществить несанкционированный доступ к ней. Для предотвращения подобных действий в сети университета было решено запретить самостоятельное развертывание Wi-Fi сетей и организовать единую беспроводную сеть. Для доступа к этой сети было разработано несколько политик безопасности [17, 22].
Первая политика касается подключения персональных устройств. Идентификация владельца устройства является основным критерием доступа к беспроводной сети. Идентификатор владельца может быть постоянным, например, на длительный срок полученный логин и пароль сотрудником университета, или временным, например учетная запись с ограниченным сроком действия для студентов или гостей университета. С технической точки зрения использование учетных записей для подключения к беспроводной сети может осуществляться различными способами: - идентификация при подключении к точке беспроводного доступа; - идентификация на VPN сервере для выхода за пределы сети беспроводного доступа; — идентификация на сервере доступа для выхода за пределы сети беспроводного доступа по протоколу http. Выбор технического решения основывался на следующих требованиях: 1. Решение должно быть максимально простым в настройке с точки зрения пользователя. 2. Решение должно поддерживаться максимальным количеством технических устройств.
Для выполнения этих требований было решено Wi-Fi сети коллективного доступа сделать совершенно открытыми, без использования каких-либо средств шифрования трафика. Идентификация пользователей осуществляется при выходе за пределы сети беспроводного доступа по протоколу http программно-аппаратным комплексом компании Cisco - Service Selection Gateway (SSG). Недостатком решения является возможность незарегистрированным пользователям подключаться к Wi-Fi сегменту и тем самым получить возможность доступа к другим устройствам беспроводной сети, в том числе и принадлежащих легитимным пользователям. Исключить такую возможность может только решение с идентификацией в момент подключения в Wi-Fi сегменту, однако это решение требует значительных манипуляций пользователя при настройке ноутбуков (исключение составляют системы использующие ОС MacOSX), и, кроме того, зачастую не поддерживается карманными компьютерами и телефонами. По тем же причинам выбор не пал в пользу VPN сервера, хотя на ранних этапах это решение использовалось.
Вторая политика касается подключения стационарных систем используемых несколькими сотрудниками или студентами. Идентификация самой системы является критерием доступа ее в беспроводную сеть. Доступ к самим системам регламентируется административными правилами подразделения университета. С технической точки зрения идентификация систем может осуществляться следующими способами: - с помощью ключа доступа; — на основании ее уникальных характеристик.
Основным критерием выбор технического решения было исключение возможности несанкционированного добавления систем в Wi-Fi сеть. Для его выполнения было решено организовать скрытый сегмент беспроводной сети. Для доступа к сети необходимо знать ее название, а также общий ключ доступа. Кроме того, на сетевом и канальном уровне сетевого взаимодействия осуществляется дополнительный контроль подключенных к беспроводной сети устройств. Достигается это использованием DHCP сервера выдающего IP адреса
Очереди в интерфейсах коммутаторов
Для сервера ns.bmstu.ru характерным является схожесть параметров нагрузки, создаваемой входным и выходным потоками. Это объясняется тем, что dns-запросы и dns-ответы помещаются в одном Ethernet кадре. Размер dns-ответа превышает размер dns-запроса. Следует помнить, что в исходящем потоке могут присутствовать dns-запросы к внешним по отношению к корпоративной сети университета dns-серверам Internet и, наоборот, во входящем на сервер потоке имеют место dns-ответы внешних серверов, пересылаемые затем запрашивающим клиентам. Нагрузка на сеть не превышает 0,05 % пропускной способности сегмента (109 бит/с).
Для сервера ftp.bmstu.ru наблюдается существенная асимметрия входного и выходного потоков. На входе в сервер присутствуют короткие кадры подтверждений, кадры установления и разрыва TCP-соединений и небольшие кадры с запросами необходимых файлов. Сами файлы передаются длинными кадрами в исходящем потоке. Достаточно высокая интенсивность кадров во входном потоке объясняется не только передачей информации с установлением соединения, но и востребованностью информации, размещенной на ftp-сервере. Загрузка пропускной способности сегмента чуть более 2 %, что гарантирует отсутствие заторов в этом сегменте даже почти для 50-кратной пульсации трафика.
Сервер iptv.bmstu.ru является потоковым, поэтому его трафик определяется не только стремлением к повышению производительности, но и особенностью используемых алгоритмов сжатия видеоизображения MPEG-2 (Moving Picture Experts Group v. 2) и звука MP3 (MPEG-1/2/2.5 Layer 3). Данные в таблице свидетельствуют о низкой востребованности телевизионных программ, транслируемых в корпоративной сети.
Серверы www.bmstu.ru и e-u.bmstu.ru реализуют технологию intranet в корпоративной сети университета, для которой характерны короткие запросы клиентов и объемные ответы серверов, что проявляется в нагрузке (процент занятости пропускной способности на выходных потоках серверов на порядок выше, чем во входных их потоках).
Наконец сервер db.bmstu.ru обслуживает бухгалтерские подразделения университета (SQL-сервер). Для SQL-серверов также характерным является асимметрия потоков входной и выходной информации.
Входной трафик является выходным трафиком клиентов, которым в рассматриваемый период времени понадобились информационные ресурсы университета, размещенные на данном сервере, и по характеристикам этих трафиков (произведение Я на Lcp ) можно судить о нагрузке, оказываемой на транспортную систему корпоративной
сети со стороны клиентских хостов и серверов, а именно: объем трафика со стороны клиента в общем на 2 порядка общего объема трафика серверов, поэтому при анализе функционирования и при проектировании и создании транспортных подсистем следует ориентироваться на характеризацию трафика от серверов ЛВС. Клиент-серверные технологии в корпоративных сетях являются основными, при этом относительная доля Web-технологий достаточно высока и имеет тенденции к своему росту.
Более детальный анализ поступающей на транспортную систему корпоративной сети МГТУ им. Н. Э. Баумана невозможен без получения информации о серверах, а именно хотелось бы знать, сколько одновременно установлено TCP-соединений в сервер, какова доля центрального процессора, требующаяся каждому TCP-соединению, каков объем оперативной памяти и дискового пространства для процессов, запускаемых для каждого соединения, частота переключения контекста в операционной системе и, наконец, какова нагрузка от каждого прикладного процесса на транспортный и прикладной уровень TCP/IP тракта сервера. Подобная информация недоступна на стадии проектирования корпоративной сети, да и в процессе функционирования уже существующей сети ее получение наталкивается на серьезные административные барьеры и составляет предмет отдельных исследований, выходящий за рамки настоящей диссертации.
Общим выводом по результатам проведенных статистических исследований является утверждение о достаточности ресурсов транспортной системы ЛВС университета для обеспечения функционирования без заторов и перегрузок. Основную нагрузку на сеть создают выходные потоки серверов, при этом на сегодняшний день следует отказаться от допущения экспоненциальное распределения размеров кадров, заменив его более близким к реальности дискретным распределением Бернулли.
1. Установлено, что для анализа корпоративных сетей требуется иметь характеризацию нагрузки на транспортную подсистему сети со стороны источников и стоков информации, т.е. нужны их математические модели.
2. Классифицированы методы описания нагрузки на транспортную подсистему (коммутационную систему) корпоративной сети, в результате чего выявлено, что процессы в узлах и сегментах транспортной подсистемы на микроуровне могут быть исследованы при наличии модели трафика, описывающей интенсивность поступления кадров в интерфейсы узлов и их длительность.
3. Показано, что все многообразие взаимодействия источников и стоков информации в корпоративных сетях базируется на принципе «запрос-ответ», а наиболее часто в настоящее время в сетях применяются следующие модели взаимодействия: - двухзвеньевое «клиент-серверное» взаимодействие, при котором интерфейс запрашивающего клиента и логика приложения реализуется на одном хосте сети, а серверная часть — на другом. Взаимодействие характерно для файл-серверов, Web-сервисов, некоторых SQL-серверов и т.п.; - трехзвеньевое клиент-серверное взаимодействие, при котором интерфейс запрашивающего процесса реализован на стороне клиента, логика приложений на отдельном хосте, а обслуживающий информационный процесс на серверном хосте. Взаимодействие типично для больших баз и банков данных, используемых при реализации разноплановой деятельности структурных подразделений организации; - многозвеньевое клиент-серверное взаимодействие, характерное для реализации информационных порталов и организации Web-сервисов в корпоративных сетях, при котором реализация процесса, отвечающего одному запросу клиента использует сетевое взаимодействие нескольких серверных хостов, выделяемое в этой ситуации в отдельный тип модели взаимодействия (Р2Р - peer to peer model) равноправных систем.
4. Рассмотрена и подтверждена возможность описания любого узла корпоративной сети как системы массового обслуживания, на вход которой поступает случайный поток заявок, характеризуемый интенсивностью их поступления, время обслуживания и выходной поток обслуженных заявок зависят от логики процесса обслуживания в узлах корпоративной сети. Обобщены аналитические модели функционирования типовых СМО, характеризуемые в нотации Кендалла как системы Ml Mil, M/D/l, Ml Gil, а также MIMIN без приоритетного обслуживания и с таковым.
5. Выявлено, что для использования предлагаемых математических моделей источников и стоков информации необходимо установление достаточно большого количества характеристик как в отношении поступающей нагрузки, так и в отношении процессов обслуживания в хостах и транзитных узлах транспортной подсистемы корпоративной сети. Наибольшие трудности на стадии проектирования корпоративной сети представляют прогнозирование потребных характеристик серверов, реализующих разнообразные сервисные службы предприятия.
6. Установлено, что общепринятая методика ТРС позволяет оценить производительность выбираемого сочетания аппаратной платформы, операционной системы и СУБД для типичного набора транзакций, характерного при реализации различных бизнес процессов организаций, установив математическое ожидание времени выполнения одной транзакции. При этом отсутствуют данные по среднеквадратичным значениям времени одной транзакции, а также по объемам и интенсивности трафика, порождаемого серверной системой в ответ на различные транзакции типовых смесей ТРС, которые оказывают нагрузку на коммуникационную систему.
7. Для выявления характеристик нагрузки, создаваемой хостами корпоративной сети на транспортную подсистему, спланирован и проведен комплекс экспериментальных исследований трафика входных и выходных информационных потоков двухзвеньевых клиент-серверных систем в корпоративной сети МГТУ им. Н. Э. Баумана, обеспечивающих общеуниверситетский сервис для различных типовых приложений. Эксперименты проводились в течение длительного периода времени в разные дни недели и в разное время с целью повышения их репрезентабильности. Установлено, что экспериментальные исследования входных и выходных потоков хостов корпоративных сетей могут быть при их микросегментировании осуществлены штатными средствами коммутаторов, предусмотренными для статистического мониторинга интерфейсов последних. Результаты мониторинга должны постоянно анализироваться с целью планирования возможных модернизаций транспортной подсистемы сети.
Распределенный мониторинг ресурсов и распределенное управление интенсивностью трафика
Отличие значений А от единицы во всех математических моделях объясняется частичной конвейеризацией обработки кадров, при которой передача в выходной порт начинается до завершения полного приема кадра в буфер входного порта. Заметим также, что явная зависимость задержки кадров в коммутаторе фирмы 3Com от номеров коммутируемых портов свидетельствует о двухступенчатой иерархии конструкции этого коммутатора, в соответствии с которой все порты делятся на группы. Внутри каждой группы коммутация осуществляется быстрее, чем при коммутации портов, входящих в разные группы.
Проверка достоверности полученных математических моделей ненагруженных коммутаторов проводилась экспериментальными исследованиями каскадов коммутаторов.
Последовательное соединение коммутаторов Catalyst и 3Com (1-ый и 2-ой порты) для длин кадров 550 и 1062 байт дает расчетное значение Ts в 1163 и 2140 байт соответственно. Полученные значения для 10000 экспериментов составляют 1132 и 2160 байт-тайм, т.е. погрешность не превышает 3%. Для последовательного соединения коммутаторов Catalyst и 3Com (1-ый и 16-ой порты) на тех же длинах кадров расчетные значения - 1247 и 2217 байт-тайм, а экспериментальные значения - 1191 и 2253 байт-тайм, т.е. погрешность менее 5%.
Для каскадного соединения трех коммутаторов эксперименты из 10000 замеров (в коммутаторе 3Com подсоединялись 1-й и 2-й порты) позволили установить значения задержки в 1755 и 3348 байт-тайм на длинах кадров 550 и 1062 байт. Расчетные значения для тех же длин кадров составляет 1803 и 3250 байт-тайм соответственно. При коммутации 1-го и 16-го портов коммутатора 3Com экспериментальные задержки оказались равными 1795 и 3407 байт-тайм, а расчетные значения 1887 и 3327 байт-тайм при тех же длинах кадров, т.е. во всех случаях каскадирования различия между экспериментальными значениями и значениями, рассчитываемыми по формулам (3.7 - ЗЛО) не превосходили 5%.
С целью проверки влияния на коэффициенты двухчленной математической модели коммутатора возможной блокировки впереди стоящим был проведен ряд экспериментов, в ходе которых на компьютер приемник посылались одновременно два потока ІСМР-пакетов утилитами «ping». Замеры RTT по-прежнему осуществлялись на компьютере-источнике. На третьем компьютере при этом осуществлялась вариация трафика изменением длительности между посылаемыми пакетами. Подобная вариация длительности интервалов между посылаемыми пакетами осуществляется и на компьютере-источнике. Исследования велись на коммутаторе 3Com для 1-го, 2-го и 4-го его портов.
При длительности интервалов от 0,1 с до 0,001 с на блокирующем компьютере потерь пакетов не наблюдается, при этом не было и значительных изменений в значении Ts коммутаторов (блокирующие пакеты выбирались той же длины, что и посылаемые компьютером-источником). При размере посылаемых и блокирующих кадров величиной 550 байт при длительности интервалов в 1мс в отдельных экспериментах имело место потеря —25% посылаемых ІСМР-пакетов, при этом вдвое увеличивалось значение Ts для остальных (прошедших) ІСМР-пакетов. При размере посылаемых и блокирующих кадров 1062 байта, времени интервала между блокирующими пакетами 1 мс в отдельных экспериментах наблюдается почти 100% потеря ІСМР-пакетов. При размере посылаемых компьютером-источником кадров равном 102 байта и блокирующих кадров длинной 1062 байта потери пакетов отсутствуют, и величина Ts не изменяется. Аналогичная картина имеет место и при противоположном размере посылаемых компьютерами кадров [19].
В случае уменьшения интервалов между ІСМР-пакетами от компьютера-источника до 0,01с потери кадров наблюдаются при 5 мс и составляют -20%. При уменьшении времени интервала блокирующих пакетов до 1 мс процент потерь увеличивается до 66.
Полученные результаты позволяют сделать вывод о возможности блокировки впереди стоящим кадром в коммутаторе для определенных условий функционирования отдельных участков сети. Рассмотрим более детально процесс коммутации для следующего режима. Длина кадра от компьютера-источника - 1062 байта (размер ІСМР-пакета 1024 байта), длина кадра блокирующего компьютера — 1062 байта, интервал между пакетами на компьютере источнике - 1 с, а на блокирующем компьютере — 1 мс. Длина преамбулы составляет 8 байт или 64 бит, величина межкадрового интервала в технологии Ethernet составляет 96 бит-таймов, поэтому время передачи кадра от блокирующего компьютера составит 8656 бит-таймов, или 87 мкс. Время задержки передаваемого кадра коммутатором 3Com составляет 8916 бит-таймов или -86 мкс, т.е. в течении -170 мкс. или 0,17 мс выходной порт с момента прихода блокирующего кадра оказывается занятым. Если в течение этого интервала на входной порт коммутатора поступает кадр от компьютера-источника, то он буферизуется в кэш-памяти входного порта и передается только после освобождения выходного порта. Если кадр от компьютера-источника не поступает в последующие 0,83 мс, то на свой входной порт приходит следующий блокирующий кадр, интервал между которыми составляет 1 мс и ситуация повторяется. Для вышеуказанных соотношений интервалов между ІСМР-пакетами на блокирующем компьютере и компьютере-источнике на каждые 1000 блокирующих кадров приходится один тестирующий ІСМР- пакет. В этих условиях весьма вероятна ситуация при которой следующий тестирующий ІСМР-пакет приходит в момент передачи на выходной порт блокирующего кадра. В результате этот кадр от компьютера источника, так же как и предыдущий, помещается в буфер входного порта. В конечном итоге буфер входного порта, к которому подключен компьютер-источник, переполняется, и все последующие кадры просто отбрасываются. Аналогично могут теряться и кадры блокирующего компьютера в случае блокирования их достаточного количества тестирующими пакетами. Особенностью использования утилиты «ping» заключается в почти регулярности поступающих на входные порты тестирующих и блокирующих кадров (разброс регулярности возникает вследствие неопределенности функционирования операционных систем компьютеров). Поэтому разброс потерь количества тестирующих пакетов для одних и тех же параметров потоков пакетов в утилитах «ping» может лежать в достаточно широких пределах, т.к. определяющим является относительный сдвиг моментов начала взаимно блокируемых кадров.
В реальных сетях потоки кадров отличны от регулярных, поэтому для полного решения задачи блокировки необходимо статистическое исследование трафика в различных участках сети. Блокировка вряд ли возможна в микросегментах пользователей, однако в иерархически построенных корпоративных сетях, в коммутаторах, соединяющих магистрали с распределительными сетями, блокировка впереди стоящим вполне вероятна. Также возможна блокировка впереди стоящим и в аппаратно-программных TCP/IP трактах серверов при одновременном обращении нескольких пользователей к информационным ресурсам одного сервера. Поэтому решение задачи блокировки впереди стоящим в общем случае важно само по себе.
Буферизация сегментов, пакетов и кадров осуществляется не только в коммутаторах, но и в маршрутизаторах (сетевой уровень) и в самих компьютерах (транспортный и прикладной уровень). Возможность потери информации (как правило, приводящая к заторам и перегрузкам в сети) была проверена экспериментально самопингованием, при котором в качестве компьютера-источника и компьютера приемника использовался один и тот же компьютер, т.е. в качестве IP-адреса приемника указывался адрес источника или 127.0.0.1 (loopback). Характерным при этом является неиспользование аппаратуры канального уровня (уровня сетевых интерфейсов в стеке TCP/IP). Очевидно, что длина тестирующих и блокирующих пакетов в этом случае одинакова, т. е. речь идет о самоблокировке, при которой заполнение вьщеленного буферного пространства происходит быстрее его опорожнения. В проведенных экспериментах потеря пакетов различной длины наблюдалась уже при величине интервалов между пакетами 3 мс (20% потерь). При уменьшении величины интервалов до 1 мс процент потерянных кадров возрастал до 60.
В общем случае математическое решение задачи блокировки впереди стоящим для произвольных трафиков в сегментах сети требует отдельного исследования.
Размеры таблиц коммутации, с указанием МАС-адресов и номеров портов, к которым подключены соответствующие хосты сети, влияют на время коммутации незначительно. Если в таблицах памяти входного порта отсутствует информация о том, на какой порт следует передать пришедший от источника кадр, то происходит обращение к таблице коммутации системного блока коммутатора. При отсутствии соответствующей информации и в этой таблице осуществляется приоритетная «заливка», т.е. кадр из входного порта передается вне очереди на все остальные его порты. Подобная ситуация возможна лишь при включении коммутатора и его инициализации, либо по истечению времени жизни записей в оперативной памяти входного порта и системного блока. При наличии записей «заливка» отсутствует, и кадр передается на соответствующий порт. Поэтому увеличение задержки передачи информации при поиске в таблицах коммутации максимальных размеров не превосходит времени задержки при передаче первого (после включения коммутатора) кадра серии, которое по результатам проведенных экспериментов не превышает 10%. При моделировании функционирования корпоративных сетей этот фактор может не учитываться.
Полученные в результате проведенных стендовых испытаний математические модели коммутаторов были проверены на коммутаторах реальной сети МГТУ им. Н. Э. Баумана. Подключение компьютеров к свободным портам коммутаторов в различных сегментах распределенных сетей показало полную идентичность времени задержки одного коммутатора и их каскадов при отсутствии перегрузок в сети значениям, рассчитанным по соотношениям (3.7 - 3.10). Наибольшее отклонение от расчетных значений не превысило 6,8% (для серий из 10000 посылок ЮМР-пакетов утилитой «ping»).