2. Измерение числа коллизий в сети. Измерение числа ошибок на канальном уровне сети
3. Структурированная кабельная система. Сетевое оборудование: кабельные каналы, кабель, патч-панели, розетки
4. Протоколы управления сетевым оборудованием. Протоколы SNMP, CMIP, TMN
5. Основные сведения об инфраструктуре сети
6. Протокол динамического конфигурирования сетевых параметров DHCP
7. Мониторинг и анализ компьютерных сетей
8. Статическая адресация в компьютерных сетях, протоколы
9. Особенности сетевых сертификатов
10. Физические аспекты эксплуатации. Физическое вмешательство в инфраструктуру сети
11. Стандарты управления OSI
12. Виртуальные частные сети VPN. Понятие, особенности, настройка
13. Анализаторы протоколов и сетевые анализаторы
14. Динамическая адресация в компьютерных сетях, протоколы
15. Обслуживания сетевой инфраструктуры, восстановление работоспособности сети после сбоя
16. Активное и пассивное сетевое оборудование
17. Основные свойства сети. Расширяемость сети. Масштабируемость сети
18. Создание плана восстановления после аварии. Реализация восстановления
19. Требования, предъявляемые к информационным системам
20. Кабельные сканеры и тестеры
21. Типовая система технического профилактического обслуживания и ремонта объектов сетевой инфраструктуры
22. Виды конфликтов при установке оборудования, способы их устранения
23. Этапы аудита. Методики аудита. Технические средства аудита
24. Техническая и проектная документация
25. Классификация средств мониторинга и анализа сети
26. Расширяемость и масштабируемость
Классификация ИС:
По архитектуре:
- Централизованные: данные и обработки в одном месте
- Децентрализованные: данные и обработки распределены по разным местам
По степени автоматизации:
- Ручные
- Автоматизированные
- Автоматические
По сфере применения:
- Производственные системы
- Финансовые системы
- Административные системы
По охвату задач:
- Локальные
- Корпоративные
- Глобальные
Области применения ИС:
- Производство
- Образование
- Здравоохранение
- Финансы
Коллизия в сети - обращение к одному и тому же участку сети для передачи информации.
Местная коллизия - домен, где подключено измерительное устройство
Удаленная коллизия - коллизия, которая возникает в другом физическом сегменте сети (т. е. за повторителем)
Измерение числа коллизий:
- Использование аппаратных измерительных приборов - LANMeter
- Использование анализатора протоколов Observer - посылает в канал связи пакеты и анализирует, возникшие коллизии
Измерение числа ошибок на канальном уровне сети:
Для выявления ошибок на канальном уровне сети измерения необходимо проводить на фоне генерации анализатором протоколов собственного трафика. Генерация трафика позволяет обострить имеющиеся проблемы и создает условия для их проявления. Трафик должен иметь невысокую интенсивность (не более 100 кадров/с) и способствовать образованию коллизий в сети, т. е. содержать короткие кадры.
Если установлено, что повышенное число ошибок и коллизий не является следствием перегруженности канала связи, то сетевое оборудование, при работе которого наблюдается повышенное число ошибок, следует заменить.
3. Структурированная кабельная система. Сетевое оборудование: кабельные каналы, кабель, патч-панели, розетки.
Основная задача СКС — создание надёжной и функциональной информационно-телекоммуникационной инфраструктуры, которая позволяет подключать стационарные и мобильные устройства к локальной сети и к Интернету.
Кабель - изделие, по которому передаются данные в сети
Кабельные каналы - устройства, предназначенные для укладки и защиты кабелей и проводов
Патч-панель - устройство с множеством портов, предназначенное для коммутации активного сетевого оборудования
Розетка - точка подключения сетевых устройств к СКС
SNMP (Simple Network Management Protocol) — это протокол для управления и мониторинга сетевых устройств, таких как маршрутизаторы, коммутаторы и фаерволы. Он является частью системы управления сетью и позволяет администраторам:
Отслеживать состояние устройств;
Вносить изменения в конфигурацию;
Получать уведомления о событиях.
CMIP - осуществляет взаимодействие между
менеджером и агентом в
модели OSI.
SNMP предназначен для получения сведений о конкретных устройствах, а протокол CMIP ориентирован на извлечение наборов данных.
Протокол SNMP больше ориентирован на управление конкретными устройствами, в то время как CMIP лучше подходит для коммуникаций между двумя или несколькими системами управления ЛВС.
Система управления ЛВС на базе протокола SNMP может быть меньших размеров, более быстродействующей и менее дорогостоящей по сравнению с CMIP. Система CMIP требует более быстродействующего компьютера и большей памяти.
TMN — концепция, определяющая принципы
создания единой системы управления
для сетей разных уровней и масштабов,
предоставляющих различные типы
услуг.
Основная идея концепции TMN — обеспечение
сетевой структуры для взаимодействия различных
типов управляющих устройств и
телекоммуникационного оборудования,
использующих стандартные протоколы и стеки.
В соответствии с концепцией TMN процесс
управления сетью включает в себя следующие
функции управления:
управление процессом устранения отказов (Fault
Management, FM);
управление конфигурацией сети (Configuration
Management, CM);
управление расчётами с пользователями и
поставщиками услуг (Accounting Management, AM);
контроль производительности сети (Performance
Management, PM);
обеспечение безопасности работы сети (Security
Management, SM)
1) Активное оборудование:
Маршрутизаторы, коммутаторы, серверы, фаерволы
2) Пассивное оборудвование:
Кабели, разъёмы, розетки, патч-панели
3) Программное обеспечение:
- Сетевые операционные системы
- Системы управления и мониторинга
- Протоколы (HTTP, DNS, DHCP, FTP)
DHCP - протокол прикладного уровня модели TCP/IP. Служит для динамического назначения IP адреса клиенту. Упрощает сетевое администрирование, снижает вероятность конфликтов IP-адресов.
Когда устройство подключается к сети, в которой есть DHCP-сервер, оно запрашивает у него IP-адрес. На этом сервере хранится список IP-адресов для выдачи, который называется пулом. Сервер назначает новому устройству IP-адрес и другие параметры сетевой конфигурации — адрес шлюза по умолчанию, время аренды. На этапе мониторринга выполняется более простая процедура - сбор статистики о количестве циркулирующих в сети кадров и пакетов различных протоколов, состоянии портов концентраторов, коммутаторов и маршрутизаторов и т.п.
Далее выполняется этап анализа, под которым понимается более сложный и интеллектуальный процесс осмысления собранной на этапе мониторинга информации, сопоставления ее с данными, полученными ранее, и выработки предположений о возможных причинах замедленной или ненадежной работы сети.
Задачи мониторинга решаются программными и аппаратными измерителями, тестерами, сетевыми анализаторами, встроенными средствами мониторинга коммуникационных устройств.
Задача анализа требует более активного участия человека и использования таких сложных средств, как экспертные системы, аккумулирующие практический опыт многих сетевых специалистов.
Статическая адресация - метод назначения постоянного, неизменяемого IP-адреса конкретному устройству (компьютеру, серверу, маршрутизатору, принтеру). В отличие от динамической адресации, статический IP-адрес устанавливается вручную и не меняется без вмешательства системного администратора.
Основные характеристики и применение:
- Постоянство: Адрес закреплен за устройством.
- Ручная настройка: Администратор должен вручную ввести IP-адрес, маску подсети, шлюз по умолчанию и адреса DNS-серверов в настройках сетевого подключения устройства.
- Надежность для сервисов: Используется для устройств, которые должны быть всегда доступны по одному и тому же адресу:
- Упрощение некоторых видов диагностики: IP-адрес устройства известен и не меняется.
Протоколы: - IP
- ARP (Address Resolution Protocol): Используется для сопоставления IP-адресов MAC-адресам внутри одного сегмента локальной сети. Устройство со статическим IP все равно будет использовать ARP для обнаружения MAC-адресов других устройств и отвечать на ARP-запросы.
Недостатки: - Сложность управления: назначение IP каждому устройству
- Риск ошибок: конфликт IP адресов
- Неэффективное использование адресного пространства: Адрес закреплен за устройством, даже если оно выключено.
Информация, которой обмениваются клиент и сервер, доступна только этому клиенту и этому серверу
Для того чтобы использовать шифрование, у сайта должен быть специальный сертификат - цифровая подпись
Способ создания:
1. Самоподписанный, но не подтверженный центром сертификации
2. Приобрести сертификат, подписанный каким-либо из доверенных центров сертификации
Виды сертификатов:
1. Domain Validation - выдается физ. или юр. лицу, если он является админом сайта
2. Organization Validation - выдается юр лицу с организацией
3. Extended Validation - выдается юр лицу с организацией, но дороже, больше доверие у браузеров
Сетевая инфраструктура - совокупность программных и аппаратных средств, необходимых для обеспечения связи и передачи данных между компьютерами и другими устройствами
Сердце предприятия - ЛВС
Для обеспечения правильной работы ЛВС недопустимо несанкционированное физизического вмешательство в инфраструктуру сети Управление физическим уровнем сети обычно выполняется вручную, что повышает риск ошибок.
Интеллектуальное управление инфраструктурой - технология, которая позволяет отслеживать устройства в сети на физическом уровне. Состоит из интеллектуальных коммуникационных панелей, способных отслеживать любые изменения в физических соединениях сети и сообщать о них сет. админам.
Она минимизирует человеческие ошибки, повышает безопасность и упрощает администрирование сети.
Advantages:
- Автоматическое обнаружение и документирование изменений в физических соединениях.
- Отслеживание активности на уровне портов.
- Снижение затрат на устранение неисправностей.
Стандарты управления OSIМодель сетевого управления OSI - OSI Management Framework - является развитием общей семиуровневой модели взаимодействия открытых систем для случая, когда одна система управляет другой.
Обмен управляющей информацией с использованием протокола управления происходит между субъектами приложений управления системами (Systems Management Application Entities, SMAE).
Под субъектом в модели OSI понимается активный в данный момент элемент протокола какого-либо уровня, участвующий во взаимодействии.
Примерами SMAE являются агенты и менеджеры систем управления.
Функции агентов и менеджеров в стандартах OSI аналогичны стандартам SNMP-систем.
В дополнение к ним агенты могут посылать менеджеру сообщения (уведомления) по своей инициативе.
Управляемый объект - это представление OSI о ресурсе в целях управления. Ресурс может быть описан как управляемый объект. Конкретный управляемый объект - это экземпляр некоторого класса управляемых объектов. Модель управления OSI широко использует объектно-ориентированный подход.
- это набор свойств, которые могут быть обязательными или условными. С помощью описания одного класса управляемых объектов, например, коммутаторов, можно создать другой класс управляемых объектов. Virtual Private Network (VPN) — это защищенный туннель, который шифрует интернет-трафик пользователя, обеспечивая конфиденциальность и анонимность. Направляя трафик через серверы виртуальной частной сети, которые расположены в различных точках мира, VPN-сервис маскирует IP-адрес пользователя и шифрует все данные, передаваемые через интернет.
Виды: - Remote Access VPN - подключение устройтсв к частной сети компании
- Site-to-Site VPN - используют для организации связности двух сетей
- Point-to-Multipoint VPN - позволяет связать один VPN-шлюз с несколькими удаленными
Протоколы:
OpenVPN, L2TP/IPSec, IKEv2, WireGuard
Зачем впн:
Безопасная передача данных
Анонимность
Настройка: арендовать облачный сервер, установить OpenVPN, настроить конфигурацию впн, маршрутизатию для выхода в инет, создать файл конфигурации для подклчбения с клиента. Анализатор протоколов - специализированное устройство, либо персональный компьютер, оснащенный специальной сетевой картой и соответствующим программным обеспечением. Анализатор может принимать все пакеты данных, передаваемые по сети. перехватывают, расшифровывают и анализируют сетевой трафик. Они помогают понять, что происходит в сети на уровне протоколов, выявить ошибки, сбои, подозрительную активность и оптимизировать работу сети.
Свойства:
Измерение сетевой статистики
Анализатор может собирать данные об использовании сети: загруженность сегмента, количество успешных и ошибочных кадров, матрицы трафика между узлами.
Работа с несколькими агентами
Поддержка агентов, собирающих данные в разных сегментах сети и передающих их по специальному прикладному протоколу (не SNMP/CMIP).
Графический интерфейс
Удобный интерфейс для отображения и детализации информации о захваченных пакетах.
Фильтрация пакетов
Возможность задать фильтры по адресам, типам протоколов и полям пакета для отсеивания ненужных данных.
Использование триггеров
Настройка условий запуска/остановки захвата: по времени, длительности, содержимому пакетов и другим параметрам.
Многоканальность
Одновременный захват трафика с нескольких сетевых адаптеров для анализа разных сегментов сети.
Сетевые анализаторы представляют собой измерительные приборы для диагностики и сертификации кабелей и кабельных систем. Они могут с высокой точностью измерить все электрические параметры кабельных систем. Сетевые анализаторы генерируют синусоидальные сигналы в широком диапазоне частот, что позволяет измерять на приемной паре амплитудно-частотную характеристику и перекрестные наводки, затухание и суммарное затухание. Сетевой анализатор представляет собой лабораторный прибор больших размеров, достаточно сложный в обращении.
Динамическая адресация - способ автоматического назначения временного IP адреса устройствам, подключившимся устройствам к сети.Используется протокол DHCP
Упрощает сетевое администрирование, снижает вероятность конфликтов IP-адресов.
Когда устройство подключается к сети, в которой есть DHCP-сервер, оно запрашивает у него IP-адрес. На этом сервере хранится список IP-адресов для выдачи, который называется пулом. Сервер назначает новому устройству IP-адрес и другие параметры сетевой конфигурации — адрес шлюза по умолчанию, время аренды. Обслуживание сетевой инфраструктуры:
Цель: Обеспечение стабильной, безопасной и производительной работы сети, минимизация рисков сбоев.
Действия: Регулярный мониторинг состояния сети и оборудования, обновление программного обеспечения и прошивок, резервное копирование конфигураций, плановая проверка и замена устаревшего/неисправного оборудования, оптимизация настроек для повышения производительности и безопасности.
Восстановление работоспособности сети после сбоя:
Цель: Максимально быстрое устранение неисправности и возобновление работы сетевых сервисов.
Действия: Оперативная диагностика и локализация проблемы, выполнение ремонтных работ или замена вышедшего из строя компонента, восстановление необходимых конфигураций из резервных копий, тестирование для подтверждения восстановления функциональности, анализ причин сбоя для предотвращения повторения в будущем.
Фунции пересылки, обработки, управление данными. Требуется питание от электросети.
Примеры:
Маршрутизаторы, коммутаторы, управляемые хабы, фаерволы
Пассивное оборудование устройства, не имеющие своего источника питания, не изменяет сигналы, проходящие через него.
Примеры:
Кабели, кабельные каналы, розетки, патч-панели
Производительность. Характеризуется временем реакции (интервалом между запросом пользователя и получением ответа), пропускной способностью (объёмом данных, переданных сетью в единицу времени) и задержкой передачи (интервалом между поступлением пакета на вход сетевого устройства и его появлением на выходе).
Надёжность. Оценивается с помощью коэффициента готовности (доли времени, в течение которого система может быть использована), безопасности (способности системы защитить данные от несанкционированного доступа) и отказоустойчивости (способности системы работать в условиях отказа некоторых её элементов).
Расширяемость. Означает возможность лёгкого добавления отдельных элементов сети (пользователей, компьютеров, приложений, сервисов), наращивания длины сегментов сети и замены существующей аппаратуры более мощной.
Масштабируемость. Сеть позволяет наращивать количество узлов и протяжённость связей в очень широких пределах, при этом производительность сети не ухудшается.
Управляемость. Подразумевает возможность централизованно контролировать состояние основных элементов сети, выявлять и разрешать проблемы, возникающие при работе сети, выполнять анализ производительности и планировать развитие сети.
Совместимость. Означает, что сеть способна включать в себя самое разнообразное программное и аппаратное обеспечение. Основные задачи плана:
Определение порядка действий, процедур и необходимых ресурсов
Определение штатного состава и обязанностей персонала оперативного штаба
Определение порядка координации с другими структурами (пожарные, медперсонал, полиция)
Этапы реализации плана:
Этап уведомления/активации - идентификация чрезвычайных условий, оценка ущерба, принятие решения об активации плана
Этап восстановления - восстановление функционирования по временной схеме с использованием резервных средств
Этап воссоздания/деактивации - полное восстановление нормальной работы и возврат к обычному функционированию
Ключевые требования к политике восстановления:
Организация резервного центра при недоступности систем более 6 часов
Регулярное обновление инструкций (не реже раза в год)
Предварительное обучение персонала процедурам восстановления
Проведение регулярных тренировок по реализации плана (не реже раза в год)
Важные допущения при разработке плана:
Наличие заранее подготовленного резервного помещения
Определение ключевого персонала, осведомленного о действиях при аварии
Обеспечение непрерывного энергопитания и доступа к резервным копиям данных
Доступность необходимого для восстановления оборудования
Требования:
- Гибкость - возможность приспособления ИС к новым условиям предприятия
- Надежность - функционирование ИС без искажения информации, потери данных (по тех. причинам)
- Эффективность - с учетом выделенных ресурсов, ИС позволяет выполнять решать возложенные на нее задачи в минимальные сроки
- Безопасность - посторонние лица не имеют доступа к информационным ресурсам организации, кроме тех, которые для них предназначены
Кабельный сканер - устройство для измерения электрических и механических параметров кабеля: длины кабеля, затухания, уровня электрических шумов
Сканер отправляет электрический импульс в кабель и анализирует отраженный сигнал, чтобы определить местоположение неисправностей.
Кабельный тестер - наиболее простой и дешевый прибор для диагностики кабеля, позволяет определить непрерывность кабеля, но не дают информации о том, в каком месте произошел сбой.
21. Типовая система технического профилактического обслуживания и ремонта объектов сетевой инфраструктуры
2) Плановое обслуживание по графику: Выполнение регламентных работ согласно установленному расписанию, включая чистку оборудования от пыли, проверку кабельных соединений, контроль температурного режима и электропитания.
3) Предупредительный ремонт компонентов: Замена изношенных или приближающихся к концу срока службы деталей и модулей до их фактического выхода из строя на основе данных диагностики и рекомендаций производителя.
4) Оперативное устранение аварий: Быстрое реагирование на внезапные сбои с минимальным временем простоя, включая наличие резервного оборудования и четких протоколов действий при различных типах неисправностей.
5) Ведение документации и учет оборудования: Поддержание актуальных инвентарных списков, технических паспортов устройств, журналов обслуживания и ремонта, а также схем сетевой инфраструктуры.
6) Мониторинг производительности сети: Постоянное отслеживание ключевых показателей работы сети (пропускная способность, задержки, загрузка каналов) с помощью автоматизированных систем для своевременного выявления перегрузок и узких мест.
7) Обновление программного обеспечения и микрокода устройств: Своевременная установка обновлений безопасности и функциональных улучшений для сетевого оборудования согласно рекомендациям производителей и требованиям безопасности.
🔁 IRQ – изменить номер прерывания в BIOS или диспетчере устройств
Описание: два устройства пытаются использовать один и тот же канал прерываний.
📤 DMA – задать другой канал DMA вручную или через BIOS
🔌 I/O-порты – переназначить адреса в BIOS/диспетчере устройств
Описание: конфликт при совпадении адресов портов устройств.
💾 Области памяти – изменить адрес используемой памяти вручную
Описание: устройства используют одну и ту же область оперативной памяти.
Сетевые конфликты
IP-конфликты — Решение: настройка DHCP с резервированием, использование разных подсетей
MAC-конфликты — Решение: замена оборудования или обновление прошивки
Дублирование имен устройств — Решение: переименование устройств согласно политике наименований
Конфликты совместимости
Несовместимость протоколов — Решение: обновление ПО, использование шлюзов или прокси
Проблемы драйверов — Решение: обновление до актуальных версий, откат к стабильным версиям
Конфликты версий ПО — Решение: стандартизация версий ПО в инфраструктуре
Электромагнитные конфликты
Помехи от оборудования — Решение: экранирование, размещение устройств на достаточном расстоянии
Проблемы с заземлением — Решение: проверка и корректировка схемы заземления
Физические конфликты
Проблемы размещения — Решение: правильное планирование стоек, использование кабельных органайзеров
Проблемы охлаждения — Решение: расчет тепловыделения, установка дополнительных систем охлаждения
Аудит компьютерной сети обычно включает следующие этапы:
Планирование — определение целей, объема и границ аудита, составление плана работ.
Сбор информации — получение исходных данных о сетевой инфраструктуре.
Анализ собранной информации — выявление уязвимостей, несоответствий требованиям и проблемных мест.
Оценка рисков — определение потенциальных угроз и их возможных последствий.
Формирование рекомендаций — разработка мер по устранению выявленных недостатков.
Составление отчета — документирование результатов аудита.
Презентация результатов — представление отчета заказчику.
Методики аудита сети
Наиболее распространенные методики включают:
Активное сканирование — прямое взаимодействие с сетевыми устройствами для определения их характеристик и уязвимостей.
Пассивный мониторинг — анализ сетевого трафика без активного воздействия на сеть.
Анализ конфигураций — проверка настроек сетевого оборудования и программного обеспечения.
Экспертная оценка — анализ соответствия сети стандартам и лучшим практикам.
Интервьюирование персонала — сбор информации от сотрудников, ответственных за эксплуатацию сети.
Стресс-тестирование — проверка работоспособности сети при высоких нагрузках.
Тестирование на проникновение — имитация действий злоумышленника для выявления уязвимостей.
Технические средства аудита сети
Для проведения аудита применяются следующие инструменты:
Сканеры портов и уязвимостей (Nmap, Nessus, OpenVAS) — для выявления открытых портов и уязвимостей.
Анализаторы протоколов (Wireshark, tcpdump) — для анализа сетевого трафика.
Системы мониторинга сети (Zabbix, Nagios, PRTG) — для отслеживания производительности и доступности.
Средства инвентаризации (Network Inventory Advisor, Spiceworks) — для учета сетевых устройств и ПО.
Инструменты аудита беспроводных сетей (Aircrack-ng, Kismet) — для проверки безопасности Wi-Fi.
Средства анализа конфигураций (Solarwinds NCM, Rancid) — для проверки настроек оборудования.
Инструменты тестирования на проникновение (Metasploit, Kali Linux) — для проверки защищенности.
- Оценка потребностей бизнеса (кол-во пользователей, требования к безопасности)
- План реализации (сроки, ресурсы, обязанности)
- Анализ рисков
- Визуальное представление сети
Техническая документация - проработанный документ, раскрывающий все аспекты реализации системы.
- пояснительную записку;
- структурную схему СКС;
- структурную схему системы телекоммуникационного заземления;
- схемы кабельных проводок, расположения элементов телекоммуникационной инфраструктуры;
- схемы размещения шкафов/стоек, оборудования распределительных пунктов;
- схемы размещения панелей в телекоммуникационных шкафах / стойках;
- схемы подключений кабелей на панелях/кроссах;
- схемы организации рабочих мест;
- спецификацию комплектующих, материалов и работ.
- Агенты систем управления, поставляющие информацию по протоколу SNMP или CMIP.
- Встроенные системы диагностики и управления - программно-аппаратные модули для отдельных устройств
- Анализаторы протоколов - захватывают и декодируют сетевые пакеты различных протоколов
- Экспертные системы - аккумулируют знания специалистов для диагностики проблем
- Оборудование для диагностики кабельных систем, включающее:
- - Сетевые мониторы (анализаторы)
- - Устройства сертификации кабельных систем
- - Кабельные сканеры
- - Тестеры кабелей
- Многофункциональные портативные устройства - совмещают функции нескольких типов диагностического оборудования
Расширяемость — возможность легкого добавления отдельных элементов сети (рабочих станций, приложений, служб), увеличения длины сегментов сети и замены существующей аппаратуры более мощной.
Масштабируемость — сеть позволяет наращивать кол-во узлов и протяженность связей в очень широких пределах, при этом производительность сети не должна ухудшаться. Для обеспечения масштабируемости сети приходится применять дополнительное коммуникационное оборудование и специальным образом структурировать сеть.