Единое Информационное Пространство

ЕИП (Единое Информационное Пространство) представляет собой виртуальную сеть, организованную поверх физической сети, подсети которой могут быть географически удалены на десятки тысяч километров. Система представляет собой несколько подсетей, управляемых серверами доступа, которые соединены между собой, и связывают в единую сеть все компьютеры, подключённые к системе. Всю работу по разграничению доступа берут на себя серверные элементы и коммутаторы (К20). Защищеная среда передачи данных построена на основе технологии VPN, которая модифицирована для для поддержки разделения всего трафика внутри виртуальной сети по разным категориям.

Система реализует разделение трафика по уровням доступа на основе мандатных меток, которыми метятся IP пакеты при передаче между серверами доступа. На сервере доступа каждому отправителю назначается мандатная метка, которой метится весь исходящий трафик этого пользователя при проходе через сервер доступа. Входящий трафик проверяется сервером доступа на соответствие метки и согласно мандатной политике либо преобразуется в исходный вид (без метки) и отдаётся получателю, либо уничтожается.

Все сервера ЕИП работают под управлением операционной системы на базе Linux, ядро и программное обеспечение которого модифицированы. Ни системное ни прикладное программное обеспечение клиентских компьютеров не требует модификации. Сервер доступа состоит из VPN-сервера, серверов авторизации/аккаунтинга и баз данных. Сервер доступа поддерживает PAP, CHAP, MS-CHAP v1 и MS-CHAP v2 (протоколы авторизации), данные о пользователях и история их работы в сети сохраняется в базе данных. В качестве СУБД могут выступать MySQL, PostgreSQL, MS SQL Server, Oracle.

Коммутатор К20

Коммутатор К20 представляет собой законченное устройство, предназначенное для осуществления коммутации на канальном уровне модели OSI. Маршруты прохода пакетов по сети из К20 задаются однозначно в базе связей «План – Приказ». Динамическая маршрутизация не используется, в целях защиты от несанкционированного доступа. База связей «План – Приказ» формируется администратором сети или специальным программным обеспечением. Администратор в графическом режиме формирует топологию сети, на основе статистических данных о загруженности каждого из каналов.

Основной технологией, применяемой в коммутаторах К20, является маршрутизация по меткам. Благодаря этому решению удалось достичь более высокой скорости передачи информации по сети, по сравнению с традиционной IP маршрутизацией, а также защитить информационный обмен от перехвата и подмены пакетов.

Ключевыми элементами К20 являются ПЛИС от Altera. Применение программируемой логики позволяет реализовать достаточно сложные и одновременно быстрые алгоритмы обработки пакетов.

Коммутаторы К20 делятся на два вида:

  • К20-Г – коммутатор, работающий непосредственно с оборудованием на границах сети.
  • К20-Т – коммутатор, работающий в составе транспортных сетей между К20-Г.

Функциональные возможности изделия:

  • Внедрение метки в сетевой кадр.
  • Внедрение в сетевой кадр признаков позволяющих определить принадлежность сетевого кадра к категории свой или чужой.
  • Маршрутизация сетевых кадров между транспортными каналами в соответствии с базой связей «План – Приказ».
  • Сбор и передача данных о сетевой активности на сервер хранения статистики.
  • Отказоустойчивость (резервирование ключевых узлов изделия).
  • Возможность удаленного обслуживания.
  • Функция передачи служебной информации повышенной важности.
  • Работа со всеми видами пакетов стандарта Ethernet II.
  • Обмен служебной или спец информацией для корректировки функций или изменения режима работы.

Физическая реализация:

  • Типоразмер корпуса 19", 4U.
  • Поддержка Ethernet type II, 10/100BASE-TX.
  • Возможность расширения числа каналов позволяет создавать оборудование, содержащее 8-256 портов 10/100BaseTX.
  • Для управления маршрутизацией и сбора статистической информации необходима IP сеть управления.
  • Для изменения правил маршрутизации требуется ЭВМ администратора в управляющей сети.Для хранения информации о сетевой активности требуется ЭВМ или аппаратный кластер в управляющей сети.

NETFLOW-COLLECTOR

В более или менее серьёзных сетях естественным образом встаёт вопрос о контроле и исследовании трафика, ходящего внутри сети и проходящего в более крупные сети. Одним из лучших решений является NetFlow система, которая позволяет получать практически полную информацию о состоянии сети в любой момент времени. В основу положен протокол, разработанный компанией Cisco и предназначенный для сбора информации об IP-трафике внутри сети. Система Netflow состоит из сенсора, коллектора, хранилища данных и анализатора. 

Сенсор собирает информацию по проходящему трафику (как правило это аппаратный или програмный роутер) и отсылает отчёты в на коллектор. Коллектор принимает информацию о проходящем трафике и сохраняет данные в хранилище данных (как правило это файл или база данных). Анализатор проводит различного рода анализы данных, выводит таблицы статистик и графики, наглядно представляющие проходящие в сети процессы.

Нами реализованы коллектор и анализатор для NetFlow. Коллектор поддерживает версии NetFlow протокола c первой по седьмую включительно.

Анализатор предлагает удобный графический интерфейс для представления данных и позволяет:

  • собирать статистику элементов сети (подсетей, хостов, портов) по проходящему трафику (в байтах/пакетах),
  • выводить данные в виде таблиц и графиков за различные временные интервалы и в режиме реального времени.
  • подсчёт суммарного трафика по заданному элементу сети комбинирование источников данных для агрегации информации по интересующему набору элементов сети.
  • отображение состояния элементов сети (нормальная работа/предупреждение/ошибка и т.д.). Состояния могут быть произвольными и задаются пользователем.
  • возможность звукового оповещения в случае нештатных ситуаций. Состояния считается ненормальным при наличии заданного отклонения в трафике от расчетного (этим занимается математический модуль).

Планируется расширение возможностей анализатора NetFlow:

  • Управление маршрутизаторами по протоколу SNMP.
  • Возможность добавлять/удалять/изменять функционал. В основу положена динамическая модульная структура.
Акционерное общество Научно-Производственное Объединение «Развитие Инновационных Технологий»
г. Тверь, ул. Озёрная, 14 к.1, тел. +7 (4822) 32-20-01, +7 (4822) 45-25-09, факс +7 (4822) 32-23-00