Пример: Транспортная логистика
Я ищу:
На главную  |  Добавить в избранное  

Коммуникации и связь /

Коммутаторы и межсетевые экраны

←предыдущая следующая→
1 2 3 



Скачать реферат


регулирования отслеживает два типа трафика: тот, для которого администратор явно зарезервировал полосу пропускания, и тот, который ограничен динамически, например, с помощью протокола RSVP или какого-либо другого механизма резервирования полосы пропускания. Механизм динамического регулирования трафика гарантирует, что зарезервированная полоса будет доступна и не будет превышена. Управление заторами в сети является второй задачей механизма регулирования трафика. Для предотвращения заторов в сети FIRE использует механизм, известный как RED (Random Early Detection). С помощью этого механизма FIRE динамически контролирует размер выходных очередей, для того чтобы определить, не наблюдается ли тенденция к перегрузке порта.

В дополнение к основанному на использовании ASIC, многоуровневому механизму обработки пакетов, некоторые ситуации требуют участия программной обработки пакетов. Лучшим примером такой ситуации является обработка очень сложных, установленных администратором фильтров. Для этого в CoreBuilder 3500 имеется дополнительный RISC-процессор обработки пакетов. Процессор обработки пакетов имеет производительность около 500 000 пакетов в секунду.

Управление и мониторинг трафика

Кроме процессора обработки пакетов CoreBuilder 3500 содержит еще один процессор. Отдельный процессор приложений, также как и процессор обработки пакетов, является высокопроизводительным RISC-процессором. Этот процессор контролирует все операции, не связанные напрямую с обработкой пакетов (протоколы Spanning Tree, RIP, OSPF, NLSP, SNMP и др.). Основное преимущество использования дополнительного процессора обработки пакетов и процессора приложений очевидно: управление и обсчет сетевой инфраструктуры не влияет на скорость обработки пакетов коммутатором, что обеспечивает высокую производительность и минимальную задержку передачи пакета.

Поддержка Remote Monitoring (RMON) MIB сегодня является важным компонентом, необходимым для обеспечения должного уровня сетевого управления. RMON MIB, определенный в RFC 1757, обеспечивает сбор статистики физического и канального уровней. RMON2 MIB, определенный в RFC 2021, позволяет расширить границы сбора статистики до уровня приложений. Несмотря на то, что поддержка RMON является весьма полезным свойством, большинство производителей реализуют в своих устройствах этот стандарт лишь частично (обычно ограничиваясь четырьмя группами). Специфика решения по поддержке RMON в архитектуре FIRE состоит в том, что механизм сбора статистики отделен от самой базы данных. Преимущество такого подхода заключается как в возможности создания высокопроизводительного, основанного на использовании ASIC механизма сбора статистики, так и в возможности дальнейшего расширения поддержки RMON. Коммутатор CoreBuilder 3500 поддерживает все девять групп RMON и пять групп RMON 2:

• Protocol Directory

• Protocol Distribution

• Address Mapping

• Network Layer Host

• Network Layer Matrix

Кроме этого, для обеспечения возможности использования внешнего анализатора реализована возможность отражения трафика любого порта на любой порт - RAP (Roving Analysis Port).

Управление коммутатором CoreBuilder 3500 может осуществляться с помощью традиционного интерфейса командной строки, Web-интерфейса или с использованием программного обеспечения Transcend Enterprise Manager.

Интерфейсы CoreBuilder 3500

Ethernet

Для коммутатора CoreBuilder 3500 предусмотрены три типа модулей Ethernet: 6-портовый модуль 10/100BASE-TX, поддерживающий автоматическое согласование скорости и полудуплексный или дуплексный режим, а также 6-портовый модуль 100BASE-FX для многомодового оптоволоконного кабеля (MMF) и 6-портовый модуль 100BASE-FX для одномодового оптоволоконного кабеля (SMF).

Gigabit Ethernet

Однопортовый модуль Gigabit Ethernet поддерживает интерфейс GBIC (Gigabit Interface Converter), допускающий использование различных типов среды передачи: 100BASE-SX (MMF 62.5 и 50 микрон), 1000BASE-LX (MMF 62.5 и 50 микрон), 1000BASE-LX SMF и будущий трансивер 1000BASE-TX.

FDDI

6-портовые модули FDDI поддерживают подключение SAS или DAS и функциональность портов A, B, S и M. Существуют модули для многомодового или одномодового оптоволоконного кабеля.

ATMg

В будущем намечается также поддержка интерфейсных модулей ATM. Коммутатор CoreBuilder 3500 является превосходным инструментом для подключения к магистральной сети ATM или Gigabit Ethernet.

Тестирование производительности.

В сентябре 1997 года в лаборатории Tolly Group было проведено тестирование производительности CoreBuilder 3500. Отчет Tolly Group №7301 можно получить на WEB-узле www.tolly.com. Данные тесты показали, что коммутатор CoreBuilder 3500 обеспечивает максимально возможную производительность как для коммутации 2 уровня, так и для маршрутизации протоколов IP и IPX в конфигурации 24 полнодуплексных порта Fast Ethernet.

Корпоративные межсетевые экраны.

Неотъемлемым элементом защиты сети крупной организации от вторжения злоумышленников является корпоративный межсетевой экран. Предлагаем вашему вниманию вопросы, которые следует рассмотреть, прежде чем решать вопрос о его приобретении.

Многие десятки компаний занимаются продажей межсетевых экранов (МЭ) для любых сред: от МЭ класса desktop (для настольных систем) и МЭ класса SOHO (для малого/домашнего офиса) до межсетевых экранов, предназначенных для поставщиков телекоммуникационных услуг (carrier class), -- выбор подчас просто огромный. Поэтому принятие правильного решения о покупке МЭ немыслимо без глубокого понимания потребностей в обеспечении сетевой безопасности.

Прежде чем делать такую покупку, следует сначала позаботиться о выработке эффективной политики безопасности в вашей организации. Эта-то политика и поможет вам в выборе подходящего для вашей корпоративной среды типа МЭ. Затем необходимо выявить все элементы уязвимости, присущие конкретным вариантам доступа к вашей сети. Если, например, вы поддерживаете общедоступный Web-сайт, чей динамический контент извлекается из корпоративной БД то вы, таким образом, создаете "лазейку" из общедоступной сети через ваш МЭ прямо к корпоративной БД. Большинство МЭ не смогут вас защитить от атак, осуществляемых на прикладном уровне, следовательно, нужно обезопасить каждое звено в цепи "Web-сервер -- корпоративная БД", а МЭ следует рассматривать как единую точку доступа. И, наконец, внушите всем сотрудникам вашей организации элементарные правила обеспечения безопасности: никаких несанкционированных модемов на столах, никаких приложений удаленного управления и т.п.

Безопасность или производительность

На рынке корпоративных МЭ представлены два базовых механизма межсетевого экранирования: фильтрации пакетов с проверкой состояния протокола (Stateful Packet-Filter -- SPF) и использование для фильтрации трафика приложений модулей-посредников (application proxy). SPF-устройства, такие как FireWall-1 NG компании Check Point Software Technologies, PIX компании Cisco и продукты компании NetScreen, проверяют пакеты вплоть до 4-го уровня (Layer 4), а в некоторых случаях идут даже несколько дальше, например, некоторые из них могут обрабатывать трафик FTP. Межсетевые экраны типа SPF имеют, как правило, более высокую производительность, так как выполняют минимальную обработку потока данных.

Межсетевые экраны типа application proxy, такие как Gauntlet компании Network Associates Technology, Sidewinder компании Secure Computing и Enterprise Firewall компании Symantec (известный прежде под именем Raptor -- продукт компании Axent), проверяют каждый пакет данных целиком вплоть до прикладного уровня, что обеспечивает более полный контроль трафика, пропускаемого на внутренние серверы. Например, модуль-посредник HTTP может быть сконфигурирован таким образом, чтобы разрешать команды get, но запрещать команды post, а также ограничивать длину URL-ссылок, преграждая таким образом путь атакам типа "переполнение буфера", или вводить ограничения на типы MIME, например, удалять исполняемые вложения и прочий опасный контент. МЭ на базе модулей-посредников обычно работают медленнее, чем МЭ на базе SPF, так как выполняют больший объем обработки данных.

Каждый раз, когда в наших обзорах SPF-экраны получали более высокие оценки, чем МЭ на базе модулей-посредников, мы получали горы писем от возмущенных читателей. Суть их обычно сводится к одному и тому же: если вам действительно нужно обеспечить безопасность, то единственный ваш выбор -- это application proxy. По нашему, это и так, и не так. Модули-посредники, разумеется, обеспечивают более высокую степень безопасности, но делают это за счет производительности. Во время нашего тестирования МЭ на базе application proxy работали в среднем на 50% медленнее, чем SPF-устройства. Если ваш МЭ подсоединен к территориально-распределенной сети, например, линией T3 или более медленной, и вам не нужно поддерживать десятки тысяч одновременных сеансов, то МЭ application proxy действительно лучший для вас выбор. Вам следует знать нынешний уровень вашего трафика и его прогнозируемое значение, чтобы сообщить эту информацию вашему поставщику, тогда он сможет вам помочь в выборе подходящего оборудования. Вы, разумеется, всегда сможете сбалансировать нагрузку на МЭ при помощи внешних распределителей нагрузки (load-balancers).

Если же вы поддерживаете популярный Web-сайт и возникновение "пробок" для вас недопустимо, то выбирайте SPF-устройство. Такие МЭ лучше масштабируются и поддерживают большее число соединений, но они пропускают любой трафик, отвечающий установленным для протоколов правилам, так что атакам типа "переполнение буфера" и уровня приложений путь

←предыдущая следующая→
1 2 3 



Copyright © 2005—2007 «Mark5»