Добавлен: 25.10.2023
Просмотров: 24
Скачиваний: 2
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
2. Краткий отчет о практике
Географически большинство университетов имеют структуру, распределенную по региону, которая может быть подключена на сетевом уровне путем создания частной региональной компьютерной сети, ядром которой является корпоративная компьютерная сеть главного кампуса. Для интеграции сетей филиалов и основной сети «Синергия» используются элементы региональной магистрали, в основе которых лежит оборудование маршрутизации CISCO и канальное оборудование Natex. Ядро корпоративной сети «Синергия» защищено аппаратным межсетевым экраном FireBox 2500. Подключение к локальным сетям филиалов осуществляется с помощью технологий виртуальных частных сетей (VPN), которые гарантируют необходимую безопасность передаваемых данных.
Рис. 1. Структура региональной сети вуза
Архитектуру региональной сети можно представить в виде нескольких уровней:
• уровень производственной базы;
• уровень узла доступа;
• уровень сетей абонентского доступа;
• степень взаимодействия и взаимодействия с внешними сетями (сети передачи данных, общедоступная связь и взаимодействие с внешними сетями);
• уровень корпоративной сети;
• уровень управления сетью.
Промышленная магистральная сеть основана на сегментах оптоволоконной связи, которые соединяют узлы доступа (AC). UD выполняет следующие функции:
• подключение (агрегация) сетей абонентского доступа;
• подключение к внешним сетям (особенно подключение к интернет-провайдерам);
• ввод, вывод и переключение потоков данных магистральной сети.
Мультиплексное оборудование УД работает по технологии синхронной цифровой иерархии (SDH) ATM-4 Archy (SDH) STM-4. В будущем возможен переход к полной интеграции всех сервисов в единую сеть банкоматов. В настоящее время подавляющее большинство поставщиков телекоммуникационных услуг являются как источниками, так и источниками. Этот выбор определяется надежностью сети, коротким временем восстановления, прозрачностью передачи разнородного трафика, простотой обслуживания и увеличения пропускной способности, а также простотой администрирования. SDH - это технология для построения первичных сетей связи и передачи данных. Сети голосовой связи, IP и ATM построены на SDH. Основным компонентным потоком в сети SDH является поток E1 (2 Мбит / с). Мультиплексоры объединяют потоки компонентов в агрегированные потоки для передачи по оптоволоконному или электрическому каналу. STM-1 - это первый уровень в иерархии потока генераторной установки. Общая пропускная способность STM-1 составляет 155 Мбит / с, по этому каналу можно передавать 63 потока E1.
Структура иерархии SDH такова, что мультиплексор может извлекать любой заданный компонентный поток из общего потока без полного демультиплексирования всего канала. Соответственно, также можно вставить поток компонентов в совокупный поток. Мультиплексоры, которые выполняют такие функции, называются мультиплексорами выделения-добавления-добавления. Магистральное решение на основе SDH имеет следующие основные характеристики.
Работа на уровне потоков E1 и STM-1. Основным абонентским потоком является поток E1 G. 703 2 Мбит / с. Мультиплексоры вводят входы в сеть, пересекают сеть и выводят потоки абонентов из сети. Кроме того, возможен ввод и вывод потоков STM-1 (при подключении абонентов через банкомат).
Масштабирование точки доступа. В начальной конфигурации каждый мультиплексор имеет 21 порт ввода / вывода основного потока. Расширенная конфигурация мультиплексора может быть расширена до 63 базовых портов. Если базовый порт исчерпан из-за добавления дополнительных мультиплексоров из базового порта, можно также установить 3 абонентских порта, которые работают со скоростью N x 64 кбит / с (N1 + N2 + N3 = 30).
Масштабирование сети. Другой UD добавляется к сети путем установки мультиплексора SDH в UD. В других UD никаких аппаратных изменений не требуется. Кроме того, предлагается концепция небольших ответвлений; мультиплексоры SDH не требуются. По мере развития небольшие филиалы могут превращаться в полноценные УД.
Вывод потоков в IP-сеть. Также предусмотрен вывод абонентских потоков в IP-сеть через маршрутизатор Cisco.
Централизованное управление сетью. Обеспечивается полный мониторинг состояния каналов и узлов (мультиплексоров). В функции центральной системы управления также входят средства тестирования каналов и контроля качества работы основных блоков мультиплексоров.
Пользователи сети подключаются к инфраструктуре региональной сети через соединение Com-Linked. Сегмент соединения между корпоративной сетью и центром сертификации является сетью доступа этого абонента. Сеть доступа может принадлежать абоненту (выделенная волоконно-оптическая линия или медная линия) или сдаваться в аренду. Протокол IP используется на сетевом уровне. Маршрутизация пакетов выполняется маршрутизаторами, установленными в UD. В дополнение к маршрутизируемому доступу виртуальные соединения ATM или потоки SDH могут быть организованы в базовой сети между двумя местоположениями абонентов без подключения к общему информационному пространству. Такие каналы можно использовать для решения образовательных и научных задач (например, для передачи больших объемов данных в режиме реального времени между двумя исследовательскими стендами).
Устройства связи на территории кампуса. Последний следует использовать для центрального коммутатора маршрутизации MeitageTrMaraMeitage. В корпоративной сети «Синергия» в качестве активного сетевого оборудования используется маршрутизатор Passport 8600 и коммутаторы Nortel Networks BayStack 350/450.
Подход, использующий компьютерные уровни сети компании, заключается в том, что на канальном уровне модели OSI сеть делится на сегменты (подсети) относительно друг друга. единая система. Методология виртуальных локальных сетей (VLAN) используется для создания корпоративной сети университета на уровне канала передачи данных, IEEE соответствует соответствующему стандарту 802.1Q. Виртуальные сети различают по нескольким критериям: локализация трафика внутри групп, наиболее интенсивно обменивающихся информацией, безопасность передачи данных по сети. Большое количество виртуальных сетей затрудняет регистрацию и управление сетью, но чем больше подсетей, тем более управляемой и надежной является сеть. Шестнадцать виртуальных сетей были выделены для корпоративной сети «Синергия» с компромиссом с точки зрения производительности, управляемости и надежности.
В «Синергия» каждая сеть назначается IP-сети. Указав допустимые маршруты между виртуальными сетями. В идеале правила маршрутизации создаются таким образом, чтобы узлы подсетей могли связываться только с центральными серверами компании, но не друг с другом. Взаимодействие узлов внутри сети осуществляется через серверы компании (файловые серверы, веб-серверы, FTP-серверы, серверы приложений, серверы СУБД и т. д.). Использование электронных ключей в нескольких виртуальных сетях приводит к использованию электронных ключей одновременно в нескольких виртуальных сетях. В настоящее время действует политика безопасности для образовательных узлов в корпоративной сети «Синергия» (класс, библиотека и т. д.), Запрещающая этим узлам напрямую взаимодействовать с рабочими станциями сотрудников и большинством корпоративных серверов. Это связано с необходимостью защиты корпоративных информационных ресурсов и служебной информации от несанкционированного доступа в административной части сети.
Один из самых серьезных вопросов сопровождения единой информационной среды - обеспечение надежного хранения данных. В качестве решения вопросов надежности и эффективности доступа к данным имеет смысл использовать выделенную сеть хранения данных, соответствующую технологии SAN, и специализированное хранилище. В качестве ядра корпоративной системы хранения данных в «Синергия» выступает коммутатор IBM Total Storage SAN Switch, который обеспечивает скорость взаимодействия между серверами и дисковой системой хранения данных 2 Гбит/с. Дисковая система хранения данных реализована на базе хранилища данных IBM FAStT200 Storage Server с общим объемом дискового пространства 512 Гбайт.
Типовые решения для второго уровня КИС
Принятие корпоративного решения о выборе одной или нескольких операционных систем, которые будут использоваться в вузе, обусловлено многими обстоятельствами. В первую очередь (мы обсуждаем вариант легального использования коммерческих продуктов) учитываются экономические соображения и опыт персонала ИТ-службы. Известны примеры того, как в вузах принимаются решения такого рода, однако несколько программ поддержки использования программного обеспечения от компании Microsoft, в частности программа Microsoft MSDN Academic Alliance, позволяют на законных основаниях и при приемлемых затратах использовать системное программное обеспечение этой компании для создания информационной инфраструктуры. В «Синергия» на серверных и клиентских узлах КИС преимущественно используются продукты Microsoft, а в качестве дополнительных на корпоративных серверах установлены Linux, FreeBSD, Solaris и OS/400.
Для обеспечения контроля и управления доступом к ресурсам и сервисам КИС необходим специализированный сервер управления учетными записями пользователей. Для этого можно использовать службу каталогов, представляющую собой распределенное хранилище данных, унифицированный доступ к которому осуществляется с использованием протокола LDAP (стандарт RFC 1777). Служба каталогов поддерживает иерархическую структуру данных, что позволяет структурировать информацию внутри хранилища, например, в соответствии с организационной структурой вуза.
Система единой регистрации пользователей «Синергия» делает возможным:
-
автоматизировать процесс получения пользователем учетной записи в AD и в базе данных зарегистрированных пользователей (при1500 сотрудниках и 15000 студентов дневного отделения это существенно облегчает работу администраторов КИС); -
актуализировать учетные записи (удаление записей отчисленных студентов и уволенных сотрудников) при изменении контингента; -
автоматизировать назначение прав и привилегий пользователям ресурсов КИС; -
автоматически актуализировать права и привилегии пользователя в связи с переходом на другую должность или в другое подразделение (или переводом студента в другую группу); -
автоматизировать процесс создания почтового ящика и поддержки учетных записей в актуальном состоянии (учетные почтовые записи удаляются автоматически после отчисления студента или увольнения сотрудника); -
автоматизировать архивирование личной папки при увольнении сотрудника с переносом в каталог для архивного копирования; -
автоматически создавать и поддерживать в актуальном состоянии права пользователя на каталоги файлового сервера.
В настоящее время в результате автоматической регистрации пользователи получают электронный почтовый ящик, а также доступ к следующим сервисам:
-
персональный - в корпоративную сеть (домен empl - для сотрудников и stud - для студентов); -
к файловому серверу сотрудников, позволяющему обмениваться файлами между сотрудниками подразделений и хранить персональные файлы сотрудника в защищенном каталоге, иметь доступ к корпоративному и системному программному обеспечению, а также к информационным сервисам Консультант+ и другим; -
для преподавателей - к файловому серверу студентов, который позволяет студентам и преподавателям обмениваться файлами друг с другом; студенты получают доступ к личным папкам и к папкам преподавателей на файловом сервере студентов; возможно получение персональной информации сотрудника (его личная карточка, расчетный лист через специализированный портал).
Несмотря на то, что в корпоративной сети используются современные методы управления и мониторинга, наибольшую опасность, как для стабильности функционирования сети, так и для защиты данных, представляют программные вирусы. Для обеспечения антивирусной защиты по всему периметру сети используется программное обеспечение компании Networks Associates Technology. Используемый программный комплекс включает:
-
McAfee ePolicy Orchestrator v. 3. 0 (консоль корпоративного управления); -
ePolicy Orchestrator Agent 3. 1 (автоматическое обновление вирусных баз); -
Enterprise Virus Scan 7.0 (клиент для Windows 4.0/2000/XP); -
Virus Scan 4. 0 (клиент для Windows 95/98/Me); -
Virus Scan for BSD v4.32.0 (клиент для UNIX платформ).
Этот комплекс программ позволяет контролировать версии антивирусных баз, автоматически обновлять их, получать статистическую информацию и т. п. Для обеспечения требуемого уровня безопасности рабочих станций и серверов от несанкционированного проникновения необходимо также своевременно обновлять версии операционной системы. Для этого используется программный продукт SUSAdmin компании Microsoft, который позволяет организовать автоматическое обновление для операционных систем и других продуктов этой корпорации в корпоративной сети. С использованием групповой политики Active Directory критические обновления устанавливаются в автоматическом режиме с выделенного сервера на все рабочие станции пользователей и корпоративные серверы.
На момент начала построения единой информационной среды «Синергия» использовал реляционные СУБД (MS SQL Server, Oracle) для решения задач управления финансами, оргструктурой, персоналом, учебным процессом, обеспечением учебно-методическими материалами и т. п., документно-ориентированную базу данных Lotus Notes - для реализации групповой работы и документооборота вуза. В вузе применяются клиент-серверные двух- и трех-уровневые приложения, компонентные приложения, использующие CORBA-технологию, web-приложения, использующие Java, Asp, C#, Oracle Application Server. Для задач, связанных с метрическими данными, во «Синергия» используются геоинформационные системы (ESRI GIS, MapObject и MapExterem). У «Синергия» есть два филиала, где необходимо внедрить те же системы управления, что и в основном вузе, при этом данные должны быть интегрированы.