Размещено на http://www.allbest.ru/

Содержание

Введение

1. Обзор систем для проведения практических занятий

1.1 Лаборатория на базе реального оборудования

1.2 Удаленная лаборатория NETLAB

1.3 Программные эмуляторы сетевого оборудования

1.3.1 Boson NetSim

1.3.2 Cisco Packet Tracer

1.3.3 Dynamips

1.3.4 GNS3

1.4 Сравнение стоимости использования существующих систем

1.4.1 Лаборатории для подготовки к экзамену CCNA

1.4.2 Лаборатории для подготовки к экзамену CCNA Security

1.4.3 Лаборатории для подготовки к экзаменам CCNP

2. Система эмуляции сетевого оборудования

2.1 Структура системы

2.2 Подсистема эмуляции устройств

2.3 Подсистема виртуальных транспортных магистралей

2.4 Подсистема управления

2.5 Подсистема терминального доступа

2.6 Сравнение системы эмуляции с другими системами для проведения практических занятий

3. Типовые виртуальные лаборатории

Заключение

Список литературы



Введение

Количество пользователей, обладающих доступом к сети Интернет, с каждым годом возрастает, все больше устройств, используемых в повседневной жизни, требуют подключения к сети. С развитием сетевых технологий возрастает спрос на квалифицированных специалистов, способных создавать и поддерживать защищенные информационные инфраструктуры.

Эффективность и надежность работы сетевой инфраструктуры, будь то корпоративная сеть предприятия, распределенная телекоммуникационная инфраструктура или система доступа удаленных пользователей, во многом определяется правильностью выбора программного и аппаратного обеспечения и его настройки. Для того чтобы правильно создавать новые информационные инфраструктуры или производить качественную модернизацию существующих систем необходимо обладать практическими навыками и опытом в работе с реальными инфраструктурами.

Основным источником опыта для студента являются практические занятия. Наиболее часто для практических занятий используются лаборатории на базе реального оборудования и программные эмуляторы сетевого оборудования. Основным минусом лаборатории на базе реального оборудования является отсутствие гибкости, заданный набор оборудования не может быть свободно изменен, по причине высокой стоимости сетевого оборудования, а количество устройств в большинстве таких лабораторий не позволяет создавать копии реальных информационных инфраструктур.

Программные эмуляторы оборудования являются значительно менее дорогим решением для проведения практических занятий, чем лаборатории из реального оборудования. Но ограничения в функциональности устройств и высокие требования к производительности не позволяют эмулировать достаточно устройств, поддерживающих все необходимые технологии, чтобы создавать копии крупных сетей передачи данных.

Целью данной работы является разработка программно-методического комплекса, позволяющего создавать виртуальные копии реальных информационных инфраструктур и проводить на их базе практические занятия.

Для достижения данной цели необходимо выполнить следующие задачи:

· изучить и проанализировать существующие системы, используемые в проведение практических занятий по сетевым технологиям

· разработать систему эмуляции сетевого оборудования, позволяющую создавать виртуальные копии реальных сетевых инфраструктур различного размера;

· разработать три типовых виртуальных лаборатории для специалистов по информационной безопасности, позволяющих развивать навыки работы в сфере защиты распределенных информационных систем.



1. Обзор систем для проведения практических занятий

1.1 Лаборатория на базе реального оборудования

Наиболее комплексным решением для проведения практических занятий по сетевым технологиям является лаборатория на базе реальных сетевых устройств. Подобная лаборатория позволяет получить навыки работы не только с технологиями и протоколами, используемыми сетевым оборудованием, но и навыки обслуживания самих устройств. Явным преимуществом является возможность самостоятельно переключать устройства и создавать любые топологии, которые ограничены только возможностями сетевых устройств и наличием кабелей.

Наличие прямого доступа к устройствам, являющееся несомненным плюсом, имеет и отрицательные стороны. Для проведения практических занятий студенты должны находиться непосредственно рядом с устройствами. Существуют средства, позволяющие обеспечить удаленный доступ к сетевым устройствам, но они имеют определенные требования и ограничения. Удаленный доступ может быть настроен через протоколы удаленного администрирования, такие как Telnet или SSH, но для этого необходимо обеспечить подключения сетевой лаборатории к сетевой инфраструктуре, из которой будет осуществляться доступ. Подключение через Telnet и SSH является наиболее простым решением, но оно не позволяет управлять устройством в момент перезагрузки или перегруженности процессора, что исключает возможность получения ряда необходимых навыков, и необходимость подключения к сетевой инфраструктуре влечет риски полной потери удаленного доступа в случае совершения ряда ошибок студентом в процессе выполнения работ. Вторым средством для удаленного доступа к сетевой лаборатории является терминальный сервер, который позволяет получать по сети доступ к портам управления сетевых устройств (подробнее лаборатории, использующие терминальный сервер, будут рассмотрены в следующем разделе на примере комплекса NetLab).

Гибкость лабораторий из реального оборудования ограничивается количеством и моделями закупленного оборудования. Так как сетевое оборудование является дорогостоящим, большинство учебных учреждений не обладает возможность создания парка, позволяющего строить сетевые инфраструктуры большого размера, а так же содержащего оборудование, используемое в промышленных сетях. Даже с учетом того, что компания Cisco Systems предоставляет для учебных учреждений возможность приобретения комплексов из устройств, которые могут использоваться для обучения, с ощутимой скидкой, которая может достигать 70 процентов, что значительно облегчает закупку оборудования.

1.2 Удаленная лаборатория NETLAB

Netlab представляет собой программно-аппаратный комплекс, который позволяет удаленно контролировать реальные маршрутизаторы, коммутаторы и виртуальные ПК через веб-браузер, что позволяет выполнять лабораторные работы с любого компьютера, который имеет подключение к Интернету [3].

Использование сети Интернет значительно облегчает процесс взаимодействия с сетевым оборудованием. Студенты из любого города или страны могут вести работу со средой обучения, которая позволяет преподавателю вести контроль за выполнением работы в реальном времени, подключаясь к оборудованию одновременно со студентом. Система Netlab является простой в использовании и настройке, ни студенту, ни преподавателю не требуется проводить сложные конфигурации или использовать специфичное программное обеспечение, для работы необходим лишь веб-браузер, а управление всеми функциями заложено в интуитивно-понятный веб-интерфейс.

Работа системы NetLab обеспечивается специализированным устройством, которое выполняет роль веб-сервера, предоставляющего доступ конечным пользователям, и терминального сервера, подключенного к портам управления сетевыми устройствами. Терминальный сервер предоставляет подключенным по сети пользователям доступ к портам управления сетевых устройств, что позволяет управлять устройствами даже в момент перезагрузки или перегрузки процессора и не позволит студенту, даже умышленно, нарушить доступность сетевой лаборатории.

Помимо функций стандартного терминального сервера, NetLab позволяет контролировать сессии подключений, автоматически сохранять копии конфигураций для пользователя, автоматически очищать конфигурации при начале сеанса работы новым пользователем или загружать ранее сохраненную конфигурацию при возобновлении работы. Помимо управления конфигурациями, NetLab позволяет контролировать уровни доступа различных пользователей, можно открыть доступ отдельному студенту на определенные устройства и в определенное время. Контроль доступа позволяет реализовать одновременное подключение нескольких пользователей к системе, исключая совместную работу на одном устройстве, или обеспечить доступ к сетевой лаборатории поочередно, по жестко заданному расписанию [4].

Система NetLab очень удобна в процессе проведения практических занятий, как для студента, так и для преподавателя, но возникает ряд ограничений. При удаленном подключении теряется гибкость в модификации топологий, студент, находящийся в другом городе, не может изменить схему физического подключения устройств, и большинство арендодателей, предоставляющих удаленные сетевые лаборатории, отказываются вносить какие-либо изменения в типовые лаборатории. Так как доступ по сети является единственным способом доступа к сетевой лаборатории, возникает зависимость от качества связи и доступности удаленной сетевой лаборатории.

Аренда удаленной лаборатории является хорошей альтернативой приобретению собственного оборудования, когда возникает необходимость подготовиться к сдаче экзамена для сертификации или опробовать теоритические знания на практике. Но стоимость аренды удаленной лаборатории остается достаточно высокой, чтобы прибегать к ее использованию слишком часто, и если требуется постоянно проводить обучение большого количества людей, лаборатория из собственного оборудования является более выгодным решением. Система NetLab может стать частью собственной сетевой лаборатории и использоваться для упрощения доступа к оборудованию и повышению качества практических занятий.

1.3 Программные эмуляторы сетевого оборудования

Наиболее простым решением для проведения лабораторных работ являются программные эмуляторы оборудования. Они не требуют больших затрат, так как нет необходимости приобретать сетевое оборудование или платить аренду за удаленную лабораторию, все, что необходимо, это персональный компьютер и программный эмулятор, которые обычно распространяются свободно и являются полностью бесплатными.

Большинство эмуляторов достаточно удобны в использовании, так как предоставляют графический интерфейс для управления сетевой инфраструктурой, что бывает намного удобнее чем управление подключениями устройств в лаборатории из реальных устройств. Но создаваемые виртуальные устройства обладают рядом ограничений, часто сильно ограничены функциональные возможности, снижена производительность, по сравнению с реальным сетевым оборудованием. Так же усложняется контроль выполнения заданий со стороны преподавателя, так как каждый обучающийся эмулирует свою собственную сетевую инфраструктуру, никак не связанную с другими, и отсутствует централизованная точка контроля, которая позволила бы преподавателю получить доступ к конфигурациям сетевых устройств или мониторингу действий обучающихся.

Рассмотрим подробнее наиболее популярные эмуляторы, позволяющие создать виртуальные копии сетевого оборудования производства компании Cisco Systems.

1.3.1 Boson NetSim

Одним из первых эмуляторов сетевого оборудования Cisco является Boson NetSim. Это приложение эмулирует программное и аппаратное обеспечение сетевых устройств. Управление сетевой топологией производится через графический интерфейс, что позволяет быстро и удобно создавать новые топологии, модифицировать существующие или достаточно быстро разбираться в схеме сети.

Преимуществом Boson NetSim является количество моделей сетевых устройств, которые поддерживаются эмулятором, но в итоге практически все различные модели из схожих серий работают абсолютно одинаково, так как они не отличаются друг от друга по функциональности, а отличия в производительности не заметны в условиях эмуляции на персональном компьютере [5].

Рис. 1.3.1. Графический интерфейс эмулятора Boson NetSim.

За счет того, что Boson NetSim производит эмуляцию и аппаратной и программной частей сетевого оборудования, виртуальные устройства обладают значительно меньшими функциональными возможностями, чем реальное сетевое оборудование. Но список поддерживаемых эмулируемыми сетевыми устройствами протоколов и стандартов позволяет производить практические занятия по большому ряду курсов. Например, полностью поддерживается набор технологий необходимых для подготовки к сдаче экзаменов для прохождения сертификации CCNA (Cisco Certified Network Associate) и CCNP (Cisco Certified Network Professional) и поддерживается большая часть технологий необходимых для CCIE (Cisco Certified Internetwork Expert) [6].

Помимо стандартных устройств, таких как коммутаторы и маршрутизаторы, Boson NetSim позволяет эмулировать многоуровневые коммутаторы (коммутаторы поддерживающие функции маршрутизации), IP-телефоны, беспроводные точки доступа, аппаратные межсетевые экраны. Это позволяет проводить практические занятия по подготовке к сертификационным экзаменам по различным направлениям, таким как CCNA Security (Cisco Certified Network Associate Security), CCNA Voice (Cisco Certified Network Associate Voice), CCNA Wireless (Cisco Certified Network Associate Wireless), CCNA Service Provider (Cisco Certified Network Associate Service Provider) [7].

Важным отличием Boson NetSim от всех остальных рассматриваемых в рамках данной работы программных средств эмуляции является то, что он распространяется платно, что, несомненно, снижает его популярность по сравнению с остальными эмуляторами сетевого оборудования Cisco.

1.3.2 Cisco Packet Tracer

Самым популярным эмулятором сетевого оборудования является Cisco Packet Tracer, это эмулятор, разработанный самой компанией Cisco Systems для обучения начинающих специалистов. Packet Tracer получил большое распространение за счет необходимости его применения для прохождения обучения в рамках программ Cisco Network Academy, сетевой академии, в которой ежегодно проходят обучение десятки тысяч начинающих специалистов [8].

Создание сетевой инфраструктуры и последующая модификация происходит через графический интерфейс, который является интуитивно понятным и наиболее удобных из графических интерфейсов управления, предоставляемых рассматриваемыми программными средствами эмуляции сетевого оборудования. Интерфейс хорошо адаптирован для начинающих специалистов и очень сильно упрощает процесс создания новых сетевых инфраструктур или запуск и настройку необходимых для проведения практических занятий сервисов, таких как web-сервер или tftp-сервер [9].

Рис. 1.3.2. Графический интерфейс эмулятора Cisco Packet Tracer

Cisco Packet Tracer производит эмуляцию как аппаратной, так и программной части сетевого оборудования, что неизбежно ограничивает функциональные возможности эмулируемых устройств, но, в то же время, позволяет создавать виртуальные сетевые устройства, которые не требовательны к вычислительным мощностям. Таким образом, Packet Tracer позволяет создавать копии больших сетевых инфраструктур, вот только эмулируемые устройства не поддерживают очень большое количество технологий, используемых в реальных крупных сетях.

Основное назначение эмулятора Packet Tracer в создании виртуальных сетей для проведения практических работ для подготовки к сертификационным экзаменам CCNA (Cisco Certified Network Associate) и CCNA Security (Cisco Certified Network Associate Security). Помимо стандартных маршрутизаторов и коммутаторов Packet Tracer поддерживает эмуляцию IP-телефонов, беспроводных точек доступа и серверов с набором стандартных служб, что расширяет область применения эмулятора, но не настолько, чтобы покрыть подготовку к какому-либо еще сертификационному экзамену компании Cisco.

В Packet Tracer встроено множество средств, упрощающих изучение работы сетевой инфраструктуры, таких как сниферы, позволяющие получить подробную информацию о всех блоках данных передаваемых тому или иному устройству, генераторы сетевого трафика, позволяющие искусственно создавать нагрузку, и средства отображения потоков данных, позволяющие проследить маршрут прохождения сети любым пакетом или процесс изменения пакета при прохождении различных устройств.

Packet Tracer является удобным средством эмуляции сетевого оборудования не только для обучающегося, но и для преподавателя. В эмулятор встроены средства автоматической проверки выполнения задания. Преподаватель может разработать лабораторную работу для Packet Tracer, которая будет автоматически проверять степень выполнения задания, и вместо проверки вручную правильности работы всех протоколов и корректности введённых команд, достаточно воспользоваться автоматической проверкой, которая определит процент выполнения задания и работоспособность основных сервисов.

Таким образом, эмулятор Cisco Packet Tracer является оптимальным инструментом для проведения практических занятий при обучении по базовым курсам компании Cisco и при подготовке к экзаменам уровня специалиста. Но для обучения по более сложным курсам или подготовки к экзаменам профессионального и экспертного уровня придется подбирать другой эмулятор.

1.3.3 Dynamips

Наиболее мощным программным эмулятором сетевого оборудования Cisco является Dynamips, который эмулирует лишь аппаратную часть сетевого устройства, а поверх нее запускает реальный образ операционной системы Cisco IOS. Этот эмулятор позволяет получить полностью функциональное виртуально сетевое устройство, а значит, список поддерживаемых технологий и протоколов зависит от версии Cisco IOS, а не от ограничений эмулятора.

По сравнению с другими рассмотренными программными эмуляторами Dynamips имеет значительно более сложный интерфейс настройки и управления. Вся настройка выполняется в текстовых конфигурационных файлах, а управление производится через командную строку, никаких стандартных графических средств управления виртуальной сетевой инфраструктурой или отображения информации о структуре и функционировании нет. Для большинства начинающих специалистов, или тех, кто привык пользоваться эмуляторами с графическим интерфейсом и по необходимости расширения функциональных возможностей устройств переходит на Dynamips, управление через командную строку и текстовые конфигурационные файлы являются серьезным препятствием.

Запуск операционной системы Cisco IOS на эмулируемом устройстве требует высоких вычислительных мощностей. Три виртуальных маршрутизатора, функционирующих в штатном режиме, не передавая никакие данные, способны занять все вычислительные мощности центрального процессора современного персонального компьютера. Dynamips позволяет создавать дополнительные маршрутизаторы и при перегрузке процессора компьютера, но при появлении каждого нового маршрутизатора значительно снижается скорость всей сетевой инфраструктуры. Если после перехода через грань перегрузки процессора удвоить количество эмулируемых устройств, то виртуальная сеть не остановится, но будет очень к этому близка, ввод одной команды на устройство может потребовать несколько минут, а передача пакета между двумя, подключенными напрямую устройствами больше 5 секунд, что не приемлемо даже в виртуальных сетевых инфраструктурах. Но если корректно подобрать количество виртуальных устройств, так чтобы у процессора оставалось еще немного свободных вычислительных мощностей, можно эмулировать достаточно быструю сетевую инфраструктуру, не уступающую в функциональности реальным, вот только размер сети очень сильно ограничен мощностью центрального процессора [10].

Серьезным минусом эмулятора Dynamips является маленькое количество поддерживаемых сетевых устройств. Можно создать виртуальную копию маршрутизаторов Cisco серий 17, 26, 36, 37 и 72, но нет классических коммутаторов или различных специфичных устройств, таких как беспроводные точки доступа [11]. Среди поддерживаемых виртуальных устройств есть маршрутизаторы, поддерживающие функции многоуровневых коммутаторов за счет дополнительных коммутационных модулей, которые могут быть встроены в виртуальный маршрутизатор. Таким образом, Dynamips позволяет проводить практические занятия по изучению всех технологий и протоколов, поддерживаемых реальными маршрутизаторами 72-ой серии и младше, но отсутствие поддержки эмуляции дополнительных устройств значительно ограничивает процесс обучения по курсам, связанным с беспроводными технологиями, телефонией и видео-конференц связью.

В результате, Dynamips пригоден для подготовки к сертификационным экзаменам копании Cisco по направлениям коммутация и маршрутизация, работа провайдеров связи, построение центров обработки данных любых уровней, начиная с уровня специалиста, и заканчивая уровнем эксперта, но не позволяет изучать ряд курсов, требующих эмуляции дополнительных устройств.

1.3.4 GNS3

GNS3 сложно назвать эмулятором, это скорей графическая оболочка, объединяющая в себе ряд различных программных средств эмуляции. Графический интерфейс среды эмуляции не адаптирован для начинающих специалистов, он скорее рассчитан на тех, кто уже имеет опыт работы со средствами эмуляции, сетевым оборудованием и знаком с основными принципами функционирования сетевых устройств. Но наличие графических средств управления значительно облегчает процесс создания сетевой инфраструктуры и делает работу с ней более удобной [13].

Рис. 1.3.3. Графический интерфейс эмулятора GNS3.

GNS3 включает в себя три отдельных программных эмулятора. Первый из них Dynamips, который мы рассмотрели чуть ранее. Многие специалисты, изучающие сетевые технологии, применяют Dynamips исключительно в среде GNS3, так как отпадает необходимость работы с конфигурационными файлами и командной строкой. Вторым является Qemu, который позволяет эмулировать межсетевые экраны Cisco PIX и ASA и системы предотвращения вторжений Cisco IPS, наличие поддержки данных устройств значительно расширяет возможность применения GNS3 в обучении по направлениям, связанным с обеспечением безопасности сетевых инфраструктур [13]. Третьим элементов является система виртуализации VirtualBox, которая позволяет интегрировать в сетевую инфраструктуру из эмулируемых устройств виртуальные сервера или виртуальные персональные компьютеры, которые позволят более точно воссоздать реальную информационную инфраструктуру, а значить изучить больший ряд технологий [15]. сетевой технология виртуальный лаборатория

Помимо эмуляторов сетевых устройств Cisco и системы виртуализации, GNS3 содержит собственные средства эмуляции вспомогательных устройств. Могут быть созданы виртуальные Ethernet-коммутаторы, которые обеспечивают одновременное подключение нескольких устройств к одной шине. Встроенные в GNS3 коммутаторы являются управляемыми, но поддерживают только технологию виртуальных локальных вычислительных сетей, которая позволяет ограничивать передачу данных между различными портами. Помимо Ethernet-коммутаторов присутствуют ATM-коммутаторы и FrameRelay-коммутаторы, которые используются в глобальных сетях передачи данных. Наличие коммутаторов поддерживающих ATM исключает необходимость использования виртуальных маршрутизаторов в целях коммутации ячеек ATM, а позволяет использовать значительно менее требовательные к вычислительным ресурсам ATM-коммутаторы.

Немного ранее мы рассматривали требовательность эмулятора Dynamips к вычислительным ресурсам центрального процессора, GNS3 является не менее требовательной к ресурсам системой эмуляции. Так как запускаются одновременно несколько независимых систем эмуляции, а поверх них контролирующая среда, обеспечивающая еще и графический интерфейс, постоянно отображающих изменения в состоянии инфраструктуры, требуются серьезные вычислительные мощности. Хоть GNS3 и дает нам функциональные возможности создать достаточно точную копию реальных информационных инфраструктур с их сетевым, серверным оборудованием и компьютерами конечных пользователей, вычислительной мощности персонального компьютера хватит на эмуляции лишь очень маленькой информационной инфраструктуры. В результате, практические занятия на GNS3 могут проводиться на искусственно созданных сегментах сети, но не на копиях реальных инфраструктур.

В плане количества технологий и протоколов, которые могут быть изучены, GNS3 является несомненным лидером среди рассмотренных средств эмуляции сетевого оборудования. С использованием GNS3 могут проводиться практические занятия по подготовке к сертификационным экзаменам компании Cisco по направлениям коммутация и маршрутизация, телефония, обеспечение безопасности, работа провайдеров связи, построение центров обработки данных любых уровней, что покрывает практически всю линейку сертификационных экзаменов.

1.4 Сравнение стоимости использования существующих систем

Для сравнения различных систем, используемых для проведения практических занятий по сетевым технологиям, можно выделить несколько основных показателей. Важным показателем является набор технологий и протоколов, которые можно изучать, используя данную систему, и, следовательно, количество курсов которые можно проходить. И не менее важным показателем является стоимость создания лаборатории на базе данной системы. Такие показатели как функциональность, удобство выполнения практических заданий и простота проверки для преподавателя рассматривались и сравнивались ранее. Проведем сравнение стоимости систем на примере различных конфигураций лаборатории.

1.4.1 Лаборатории для подготовки к экзамену CCNA

Для начала рассмотрим лабораторию по подготовке к сертификационному экзамену CCNA (Cisco Certified Network Associate), рассчитанную на одного человека. Она должна содержать два маршрутизатора 18, 19, 28 или 29-ой серий, два коммутатора 29-ой серии и комплект из двух модулей с последовательными портами для маршрутизаторов. Сравним стоимость создания собственной лаборатории, аренды удаленной сетевой лаборатории на две недели (достаточное количество времени для получения необходимых практических навыков, при условии постоянных занятий) и оборудования, необходимого для эмуляции данной лаборатории с использованием Boson NetSim и GNS3. Cisco Packet Tracer не входит в список сравниваемых систем, так как заведомо является наиболее дешевым в использовании, за счет низкой требовательности к вычислительной мощности и бесплатного распространения, но при этом поддерживает набор технологий, достаточный только для изучения курса CCNA.

Система	Необходимые затраты	Сумма, руб.
Реальное оборудование	Приобретение 2 х Маршрутизатор CISCO1941/K9 2 х Модуль HWIC-2T= 2 х Коммутатор WS-C2960-24TT-L	194 000
Аренда удаленной лаборатории	Аренда 2 х Маршрутизатор CISCO2901/K9 2 х Коммутатор WS-C2960-24TT-L на 14 дней	13 400
Эмулятор Boson NetSim	Приобретение компьютера с низкой вычислительной мощностью Приобретение NetSim for CCNA (179$)	27 000
Эмулятор GNS3	Приобретение компьютера со средней вычислительной мощностью	28 000

Для личного использования наиболее выгодными являются программные эмуляторы, ведь компьютеры зачастую есть под рукой, и их покупка не требуется. А стоимость лицензии для NetSim значительно ниже стоимости аренды или покупки реального оборудования. Но виртуальные устройства с трудом могут соревноваться в функциональности с реальными, и если возникает необходимость проведения практических занятий, то разовая аренда удаленной лаборатории обойдется в 14 раз дешевле, чем покупка собственного оборудования.

Компания Cisco Systems в рамках программ по развитию сетевых академий предлагает комплекты оборудования для подготовки к сертификационным экзаменам различных уровней по сниженным ценам. Например, комплект оборудования для подготовки к экзамену CCNA, можно приобрести с общей скидкой в 70 процентов. Такой комплект оборудования рассчитан на комфортное выполнение совместного практического задания тремя людьми и содержит три маршрутизатора Cisco 2911, три модуля с последовательными портами для маршрутизаторов, кабеля для последовательного подключения, три коммутатора Cisco Catalyst 2960 и сервисные контракты, которые предоставляют техническую поддержку и доступ к обновлениям программного обеспечения, для всего оборудования на год. Проведем сравнение стоимости такой лаборатории в различных системах.

Система	Необходимые затраты	Сумма, руб.
Реальное оборудование	Приобретение комплекта из 3 х Маршрутизатор CISCO2911/K9 3 х Модуль HWIC-2T= 3 х Коммутатор WS-C2960-24TT-L 3 х Кабель CAB-SS-V35MT= 3 х Кабель CAB-SS-V35FC= 3 х Сервисный контракт CON-SNT-2911 3 х Сервисный контракт CON-SMBS-C29602TT	152 000
Аренда удаленной лаборатории	Аренда 3 х Маршрутизатор CISCO2911/K9 3 х Коммутатор WS-C2960-24TT-L на 14 дней	21 800
Эмулятор Boson NetSim	Приобретение компьютера с средней вычислительной мощностью Приобретение NetSim for CCNA (179$)	33 000
Эмулятор GNS3	Приобретение компьютера с высокой вычислительной мощностью	36 000

В данной конфигурации лаборатории программные средства эмуляции требуют уже более мощных компьютеров для комфортной работы с виртуальными устройствами. Использование специального предложения для сетевых академий позволяет приобрести большее, чем в прошлом примере, количество устройств за меньшие деньги, при этом получив техническую поддержку на все оборудование и возможность обновления программного обеспечения. Покупка такого комплекта оборудования обойдется в 7 раз дороже, чем разовая аренда, что в случае частого использования лаборатории однозначно делает приобретение собственного оборудования более выгодным.

Рассмотрим пример с лабораторией, рассчитанной на группу студентов среднего размера, например 15 человек, количество оборудования значительно возрастает, и при таком количестве необходимы дополнительные центральные устройства для контроля и запасные устройства, на случай выхода из строя основных. Удаленную лабораторию такого размера достаточно сложно найти, придётся разбивать студентов на подгруппы и распределять по отдельным удаленным лабораториям, что может вызвать трудности для преподавателя и уменьшит размеры сетевых топологий, а значит отсечет некоторые особенности крупных сетей, которые могут быть достаточно важными для получения практических навыков работы с реальными сетями. Использование систем эмуляции для такого количества оборудования исключено, даже очень мощный сервер не позволит эмулировать более тридцати устройств так, чтобы они работали достаточно быстро, чтобы проводить на них практические занятия. Проведем сравнение стоимости покупки оборудования и аренды.

Система	Необходимые затраты	Сумма, руб.
Реальное оборудование	Приобретение комплекта из 18 х Маршрутизатор CISCO2911/K9 18 х Модуль HWIC-2T= 18 х Коммутатор WS-C2960-24TT-L 18 х Кабель CAB-SS-V35MT= 18 х Кабель CAB-SS-V35FC= 18 х Сервисный контракт CON-SNT-2911 18 х Сервисный контракт CON-SMBS-C29602TT	911 000
Аренда удаленной лаборатории	Аренда 15 х Маршрутизатор CISCO2911/K9 15 х Коммутатор WS-C2960-24TT-L на 14 дней	109 000

1.4.2 Лаборатории для подготовки к экзамену CCNA Security

Для подготовки к сертификационному экзамену CCNA Security (Cisco Certified Network Associate Security) требуется набор оборудования похожий на набор для CCNA, но с некоторыми дополнениями. Требуется увеличение объема оперативной памяти маршрутизаторов и аппаратный межсетевой экран. Но лаборатория, собранная для подготовки к CCNA Security, позволяет проводить практические занятия и по курсу CCNA. Так как комплекты оборудования для сетевых академий значительно дешевле покупки отдельных устройств, перейдем к сравнению стоимости комплекта для CCNA Security, проскочив лабораторию, рассчитанную на 1 человека. Программные эмуляторы Boson NetSim и GNS3 могут применяться для обучения данному курсу, но несколько уступают реальному оборудованию в технологиях, реализуемых аппаратным межсетевым экраном. Эмулятор Cisco Packet Tracer не может применяться для практических занятий по данному курсу по причине отсутствия поддержки ряда необходимых технологий.

Система	Необходимые затраты	Сумма, руб.
Реальное оборудование	Приобретение комплекта из 1 х Маршрутизатор CISCO2911/K9 2 х Маршрутизатор CISCO2911-SEC/K9 3 х Модуль HWIC-2T= 3 х Коммутатор WS-C2960-24TT-L 1 х Межсетевой экран ASA5505-BUN-K9 3 х Кабель CAB-SS-V35MT= 3 х Кабель CAB-SS-V35FC= 1 х Сервисный контракт CON-SNT-2911 2 х Сервисный контракт CON-SNT-2911SEC 3 х Сервисный контракт CON-SMBS-C29602TT	186 000
Аренда удаленной лаборатории	Аренда 3 х Маршрутизатор CISCO2911-SEC/K9 3 х Коммутатор WS-C2960-24TT-L 1 х Межсетевой экран ASA5505-BUN-K9 на 14 дней	25 200
Эмулятор Boson NetSim	Приобретение компьютера с средней вычислительной мощностью Приобретение NetSim for CCNA (179$)	33 000
Эмулятор GNS3	Приобретение компьютера с высокой вычислительной мощностью	36 000

Требования к производительности компьютеров для использования программных эмуляторов не выросли, по сравнению с лабораторией для CCNA, так как количество и тип устройств практически не изменились. Соотношение стоимости покупки оборудования и разовой аренды для данного комплекта составило 7 к 1, что делает в долгосрочной перспективе приобретение собственного оборудования значительно более выгодным, чем постоянная аренда удаленной лаборатории.

Рассмотрим пример с лабораторией, рассчитанной на группу студентов из 15 человек, заложим дополнительные центральные устройства для преподавателя и запасные устройства для замены вышедших из строя. Использование систем эмуляции для такого количества оборудования сразу отбрасывается по причине слишком высоких требований к вычислительной мощности. Проведем сравнение стоимости покупки оборудования и аренды.

Система	Необходимые затраты	Сумма, руб.
Реальное оборудование	Приобретение комплекта из 6 х Маршрутизатор CISCO2911/K9 12 х Маршрутизатор CISCO2911-SEC/K9 18 х Модуль HWIC-2T= 18 х Коммутатор WS-C2960-24TT-L 6 х Межсетевой экран ASA5505-BUN-K9 18 х Кабель CAB-SS-V35MT= 18 х Кабель CAB-SS-V35FC= 6 х Сервисный контракт CON-SNT-2911 12 х Сервисный контракт CON-SNT-2911SEC 18 х Сервисный контракт CON-SMBS-C29602TT	1116 000
Аренда удаленной лаборатории	Аренда 15 х Маршрутизатор CISCO2911-SEC/K9 15 х Коммутатор WS-C2960-24TT-L 5 х Межсетевой экран ASA5505-BUN-K9 на 14 дней	126 000

1.4.3 Лаборатории для подготовки к экзаменам CCNP

Для подготовки к сертификационному экзамену CCNP (Cisco Certified Network Professional) требуется значительно большее количество устройств, и возникает необходимость в многоуровневых коммутаторах, которые являются относительно дорогими. Комплект оборудования для подготовки к экзамену CCNP содержит 4 маршрутизатора Cisco 2911, 2 многоуровневых коммутатора Cisco Catalyst 3560 и 2 коммутатора Cisco Catalyst 2960 [16]. Этого оборудования достаточно для комфортного прохождения практических занятий не более чем двумя людьми одновременно. За счет увеличения количества устройств растет требовательность эмуляторов к вычислительным ресурсам, для эмуляции в GNS3 потребуется мощный дорогостоящий сервер.

Система	Необходимые затраты	Сумма, руб.
Реальное оборудование	Приобретение комплекта из 4 х Маршрутизатор CISCO2911-SEC/K9 5 х Модуль HWIC-2T= 2 х Коммутатор WS-C2960-24TT-L 2 х Коммутатор WS-C3560V2- 24PS-E 5 х Кабель CAB-SS-V35MT= 5 х Кабель CAB-SS-V35FC= 4 х Сервисный контракт CON-SNT-2911SEC 2 х Сервисный контракт CON-SMBS-C29602TT 2 х Сервисный контракт CON-SMBSV224PSE	328 500
Аренда удаленной лаборатории	Аренда 4 х Маршрутизатор CISCO2911-SEC/K9 2 х Коммутатор WS-C2960-24TT-L 2 х Коммутатор WS-C3560V2- 24PS-E на 14 дней	38 600
Эмулятор Boson NetSim	Приобретение компьютера с высокой вычислительной мощностью Приобретение NetSim for CCNP (349$)	57 000
Эмулятор GNS3	Приобретение мощного сервера	86 000

Соотношение стоимости аренды лаборатории и приобретения собственного оборудования остается схожим с соотношением стоимости для других конфигураций лаборатории. При этом отсутствие гибкости в удаленных сетевых лабораториях, выражающееся в неизменяемости топологии сети, является наиболее критичным для курса CCNP. В рамках курса CCNP изучается множество технологий, которые требуют различных схем подключения, и отсутствие возможности изменения топологии приводит к множеству сложностей в процессе обучения.

Создание лаборатории для одновременной подготовки 15 человек к экзамену CCNP является очень дорогостоящим из-за большого количества оборудования и высокой стоимости необходимых моделей. Рассчитаем стоимость такой лаборатории и сравним о стоимостью аренды.

Система	Необходимые затраты	Сумма, руб.
Реальное оборудование	Приобретение комплекта из 32 х Маршрутизатор CISCO2911-SEC/K9 40 х Модуль HWIC-2T= 16 х Коммутатор WS-C2960-24TT-L 16 х Коммутатор WS-C3560V2- 24PS-E 40 х Кабель CAB-SS-V35MT= 40 х Кабель CAB-SS-V35FC= 32 х Сервисный контракт CON-SNT-2911SEC 16 х Сервисный контракт CON-SMBS-C29602TT 16 х Сервисный контракт CON-SMBSV224PSE	2 628 000
Аренда удаленной лаборатории	Аренда 30 х Маршрутизатор CISCO2911-SEC/K9 15 х Коммутатор WS-C2960-24TT-L 15 х Коммутатор WS-C3560V2- 24PS-E на 14 дней	289 500

Создание такой лаборатории из реального оборудования является проблематичным даже для крупных учебных учреждений, и аренда удаленных лабораторий в долгосрочной перспективе обойдется дороже, чем покупка собственного оборудования.

Альтернативой реальному оборудованию являются программные средства эмуляции сетевого оборудования, но ни один существующий эмулятор не позволит создать лабораторию такого размера из-за чрезмерно высоких требований к вычислительной мощности центрального процессора.



2. Система эмуляции сетевого оборудования

2.1 Структура системы

Основной задачей разработанной системы является создание виртуальных копий сетевых инфраструктур большого размера. Эмуляция десятков сетевых устройств требует вычислительных мощностей, которые не может обеспечить один сервер, что влечет за собой необходимость распределения нагрузки на кластер. Распределение нагрузки реализовано за счет разделения одной общей сетевой инфраструктуры на несколько сегментов, каждый из которых эмулируется на отдельном сервере. Связь сегментов обеспечивается за счет виртуальных транспортных магистралей так, чтобы сетевые устройства не отличали подключение в рамках виртуального сегмента и подключение через виртуальную транспортную магистраль.

2.2 Подсистема эмуляции устройств

Основным требованием к эмулируемому оборудованию является функциональность, так как необходимо обеспечить максимальное количество поддерживаемых оборудованием технологий, чтобы была возможность создавать точные виртуальные копии сетевых инфраструктур реальных предприятий. Большинство систем эмуляции сетевого оборудования создают виртуальные устройства, обладающие лишь небольшой частью функций реальных. Например Cisco Packet Tracer позволять получить практические навыки в работе лишь с технологиями, изучаемыми в рамках курса CCNA (Cisco Certified Network Associate), и небольшим набором технологий из смежных курсов.

В качестве основы для подсистемы эмуляции сетевых устройств был выбран Dynamips, единственный программный эмулятор оборудования Cisco, создающий виртуальные копии устройств, не уступающие в функциональности реальным. Dynamips создает виртуальную копию аппаратной части сетевого устройства и запускает на нем операционную систему, в качестве операционной системы используются образы Cisco IOS, те же, что используются и реальными сетевыми устройствами. Использование реальной операционной системы Cisco IOS позволяет обеспечить виртуальному сетевому устройству поддержку всех технологий, поддерживаемых самой операционной системой, а значит и реальными сетевыми устройствами.

Особенности построения аппаратного обеспечения классических коммутаторов не позволяют создавать их виртуальные копии. Но так как технологии коммутации является неотъемлемой частью большинства сетевых инфраструктур, необходимо обеспечить возможность проведения практических занятий по работе с ними. Модульность маршрутизаторов 72-ой серии позволяет добавлять к устройству различные модули, обладающие дополнительным функционалом. Существует коммутационный модуль, который функционирует как многоуровневый коммутатор и поддерживает ряд необходимых технологий. В результате, маршрутизатор 72-ой серии с коммутационным модулем может заменить классические коммутаторы в процессе обучения.

Но помимо функциональности устройств отличием Dynamips от других систем эмуляции сетевого оборудования являются очень высокие требования к производительности сервера. На обычном персональном компьютере Dynamips позволяет создать виртуальную копию лишь нескольких сетевых устройств, которых может быть достаточно для эмуляции сети маленького размера или проведения лабораторных работ для одного человека, современный высокопроизводительный сервер позволяет эмулировать до двух десятков устройств, что не позволяет создавать виртуальные копии крупных сетей или обеспечивать оборудованием для практических занятий группу студентов.

Тот факт, что эмулятор Dynamips является бесплатным и распространяется по лицензии с открытым исходным кодом, позволяет нам доработать его таким образом, чтобы он смог эмулировать значительно большее количество сетевых устройств. Для этого разработана и внедрена в эмулятор Dynamips подсистема виртуальных транспортных магистралей.

2.3 Подсистема виртуальных транспортных магистралей

В любой сетевой инфраструктуре подключение устройств происходит через специальные каналы передачи данных, которые не требуют прямого взаимодействия операционных систем сетевых устройств между собой, а обеспечивают стандартизированную среду передачи. Наличие каналов передачи данных, которые являются посредниками во взаимодействии сетевых устройств, исключает необходимость эмуляции всех сетевых устройств на одном сервере.

Используемая система эмуляции обеспечивает передачу данных за счет перемещения пакета данных из области памяти, выделенной для буфера исходящих пакетов, интерфейса сетевого устройства, с которого передаются данные, в область памяти, выделенную для буфера входящих пакетов, интерфейса сетевого устройства, которому предназначены данные. Формат и размер пакета данных зависит от типа интерфейса и используемого протокола передачи данных, которые являются стандартизированными и могут быть учтены в процессе разработки виртуальных транспортных магистралей.

Виртуальные магистрали - это способ перемещения пакета данных между буферами интерфейсов сетевых устройств, эмулируемых на разных серверах. При передаче пакета по сети между различными серверами для самих сетевых устройств происходит то же самое, что происходило, когда они располагались на одном сервере, пакет данных из буфера одного интерфейса попадает в другой. Такая схема передачи пакетов позволяет подключать сетевые устройства, являющиеся элементами виртуальных сегментов сетевой инфраструктуры, эмулируемых на разных серверах, в одну единую сеть без оказания влияния на взаимодействие сетевых устройств.

Передача пакетов данных по сети между серверами, вместо копирования из одной области памяти в другую, требует обеспечения и контроля качества передачи и защищенности передаваемых данных. В процессе передачи возникает необходимость контроля очередности и проверки целостности передаваемых пакетов, они обеспечиваются различными средствами, в зависимости от типа интерфейса и используемого протокола передачи данных. Для протоколов, которые передают данные крупными пакетами и не требуют синхронизации в процессе передачи данных, используются стандартные средства протокола TCP [17]. Для протоколов же, которые передают данные блоками маленьких размеров или требуют синхронной передачи данных, обеспечены собственные программные средства контроля целостности и очередности, что является очень критичным для работы протоколов такого типа [18].

В зависимости от особенностей среды передачи данных между серверами, система может столкнуться с рядом угроз, связанных с умышленным нарушением целостности и конфиденциальности данных, передаваемых между виртуальными сетевыми устройствами. В рамках данной системы наиболее актуальными являются угрозы нарушения целостности, так как применение системы эмуляции для обучения не предполагает передачу между сетевыми устройствами конфиденциальных данных. Средства контроля целостности передаваемых данных, описанные ранее, являются достаточными в рамках данной системы. На случай использования системы для создания виртуальной копии реального предприятия предусмотрены средства шифрования виртуальных транспортных магистралей, которые позволять обеспечить конфиденциальность всех передаваемых между сетевыми устройствами данных. В стандартном режиме шифрование на транспортных магистралях отключено для снижения нагрузки и экономии вычислительных мощностей. Но при необходимости передачи данных через небезопасные сети, такие как сеть Интернет, шифрование может быть включено либо на отдельных транспортных магистралях, либо на всех вместе.

Помимо подключения виртуальных сетевых устройств, виртуальные транспортные магистрали могут обеспечивать подключение между любыми виртуальными устройствами. С использованием систем виртуализации можно создать виртуальную копию реального сервера и подключить его к одному из виртуальных сетевых устройств через транспортную магистраль. Возможность использования различным систем виртуализации увеличивает точность создаваемых копий информационных инфраструктур и расширяет применимость системы эмуляции. Вместо проведения практических занятий по сетевым технологиям, появляется возможность проведения комплекса занятий по сетевому и серверному оборудованию.

Использование виртуальными транспортными магистралями стандартных протоколов передачи данных, таких как Ethernet, дает возможность интеграции с большинством существующих систем [19]. Потенциально можно доработать систему эмуляции таким образом, чтобы транспортные магистрали обеспечивали подключение не только для виртуальных устройств, но и для реальных. Существует огромное количество различных устройств, для которых не разработано эмуляторов, но возникает необходимость проведения практических занятий по работе с ними. Виртуальные транспортные магистрали могут создать виртуальный канал передачи данных, за счет которого реальное устройство, подключаемое через сетевой интерфейс и передающее данные по технологии Ethernet, может быть подключено к виртуальному сетевому устройству или серверу, эмулируемому в данной системе.

Поддержка подключения к виртуальной сетевой инфраструктуре виртуальных серверов и реальных устройств расширяет потенциальные возможности системы эмуляции [20]. Значительно увеличивается количество курсов, по которым можно проводить практические занятия на данной системе. Подключение реальных устройств полностью снимает ограничения по поддерживаемым устройствам, и система эмуляции может создавать точные копии информационной инфраструктуры практически любой крупной компании, что открывает новые сферы применения данной системы эмуляции. Помимо сферы образования, система может применяться и для тестирования новых технологических решений или изучения потенциальных последствий модернизации инфраструктуры.

2.4 Подсистема управления

Каждый сервер, эмулирующий сегмент сетевой инфраструктуры, требует сложной настройки, которая включает в себя настройку самих сетевых устройств, каналов передачи данных между ними и виртуальных транспортных магистралей. При единовременном создании виртуальной сетевой инфраструктуры можно настроить вручную все сервера, задействованные в процессе эмуляции. Но часто возникает необходимость изменения топологии сети или ряда настроек отдельных устройств или каналов передачи данных, и каждый раз производить реконфигурацию отдельных серверов является очень трудоемким.

Для упрощения начальной настройки и поддержки системы эмуляции разработана подсистема управления. Подсистема управления разделена на клиентскую и серверную части. Серверная часть хранит конфигурации всех серверов, задействованных в эмуляции (далее ноды) и передает клиентскому приложению инструкции по изменению конфигураций. Клиентское приложение позволяет автоматически получать конфигурацию сегмента виртуальной сетевой инфраструктуры и вносить изменения в работу системы эмуляции. Для включения ноды в кластер достаточно только установить на ней клиентское приложение, которое развернет эмуляцию необходимого сегмента сети по первому запросу центрального сервера. Такая схема управления позволяет быстро развернуть виртуальную сетевую инфраструктуру на новом оборудовании, например, создать огромную лабораторию для практических занятий на персональный компьютерах, расположенных в классе.

Для обеспечения целостности виртуальной сети необходимо защитить процессы регистрации клиентских приложений на сервере и передачи конфигураций сегментов сети от атак потенциальных злоумышленников. Наиболее актуальными угрозами для данной подсистемы являются нарушение структуры виртуальной сети и несанкционированное использование вычислительных ресурсов.

Процесс регистрации клиентских приложений защищен аутентификацией, которая реализована хешированием с ключом по протоколу SHA-1. При установке клиентское приложение запрашивает ключ, которые будет использоваться для аутентификации на сервере, в процессе регистрации клиентское приложение получает от сервера случайное число и рассчитывает хеш, используя свой ключ. Сервер проверяет правильность результата хеширования и добавляет ноду в рабочую группу. Аутентификация является двусторонней, клиентское приложение так же посылает серверу случайное число и сверяет полученный результат хеширования, это позволяет защитить ноды системы эмуляции от использования вычислительных ресурсов несанкционированными серверами. Сервер управления может использовать цепочки ключей для аутентификации. Например, может быть задано ограничение, что по одному ключу может зарегистрироваться только одна нода, тогда каждое новое клиентское приложение должно настраиваться с новым ключом из цепочки или ограничение по времени действия ключей, например, каждую неделю на клиентских приложениях должны задаваться новые ключи. Использование цепочек ключей с ограничениями позволяет значительно снизить потенциальный ущерб, который может принести разглашение ключей.

Для обеспечения целостности конфигураций виртуальной сетевой инфраструктуры так же используется хеширование. При пересылке сообщений, содержащих инструкции по модификации конфигураций сегмента сети эмулируемого нодой, рассчитывается хеш с использованием ключа от всего сообщения. Для хеширования используется тот же ключ, который использовался для аутентификации. Сверка пересылаемого хеша позволяет одновременно проверить отправителя и целостность сообщения [21].

...