Please use this identifier to cite or link to this item: https://er.chdtu.edu.ua/handle/ChSTU/9406
Full metadata record
DC FieldValueLanguage
dc.contributor.advisorГРЕСЬКО, Світлана-
dc.contributor.authorКУЧЕРЯВА, Катерина-
dc.date.accessioned2026-04-07T17:33:13Z-
dc.date.available2026-04-07T17:33:13Z-
dc.date.issued2022-
dc.identifier.urihttps://er.chdtu.edu.ua/handle/ChSTU/9406-
dc.description.abstractПояснювальна записка до кваліфікаційної роботи бакалавра містить: 59 сторінок, 20 рисунків, 5 таблиць, 4 додатки, використано 20 джерел. Метою кваліфікаційної роботи бакалавра є розробка проекту локальної мережі приватного підприємства «ДІАМАНТ». У першому розділі розглянуто принципи побудови комп’ютерних мереж. У другому розділі проведено виконано проектування локальної мережі приватного підприємства «ДІАМАНТ», а саме, проаналізована організаційна структура підприємства, розроблено схему інформаційних потоків та топологію мережі, обрано мережеве обладнання та програмне забезпечення. У третьому розділі виконано розрахунки, які доводять працездатність спроектованої мережі. У четвертому розділі розглянуто методи захисту інформації в локальних мережах та мережах Wi-Fi.uk_UA
dc.subjectКОМП’ЮТЕРНА МЕРЕЖАuk_UA
dc.subjectІНФОРМАЦІЙНІ ПОТОКИuk_UA
dc.subjectАКТИВНЕ ТА ПАСИВНЕ ОБЛАДНАННЯ МЕРЕЖІuk_UA
dc.subjectМЕРЕЖЕВЕ ПРОГРАМНЕ ЗАБЕЗПЕЧЕННЯuk_UA
dc.subjectТОПОЛОГІЯuk_UA
dc.subjectМЕРЕЖА WI-FIuk_UA
dc.subjectЗАХИСТ ІНФОРМАЦІЇuk_UA
dc.titleЛокальна мережа приватного підприємства «ДІАМАНТ»uk_UA
dc.typeBachelor Thesisuk_UA
Appears in Collections:123 Комп’ютерна інженерія (Комп'ютерні системи та мережі)

Files in This Item:
File Description SizeFormat 
1_ТИТУЛКА_Кучерява-merged.pdf
  Restricted Access
1.78 MBAdobe PDFView/Open Request a copy


Items in DSpace are protected by copyright, with all rights reserved, unless otherwise indicated.

Extracted text
МІНІСТЕРСТВО ОСВІТИ І НАУКИ УКРАЇНИ
ЧЕРКАСЬКИЙ ДЕРЖАВНИЙ ТЕХНОЛОГІЧНИЙ УНІВЕРСИТЕТ
ФАКУЛЬТЕТ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ І СИСТЕМ
КАФЕДРА ІНФОРМАЦІЙНОЇ БЕЗПЕКИ ТА КОМП’ЮТЕРНОЇ ІНЖЕНЕРІЇ
ПОЯСНЮВАЛЬНА ЗАПИСКА
до кваліфікаційної роботи бакалавра
на тему:«Локальна мережа приватного
підприємства «ДІАМАНТ»»
ЧДТУ.221706.003 ПЗ
Виконала: студентка 5 курсу, групи ЗКМ-175
спеціальності 123 – «Комп’ютерна інженерія»
за освітньою програмою – «Комп’ютерні системи та
мережі»
Катерина КУЧЕРЯВА
Керівник
Світлана ГРЕСЬКО
Рецензент
завідувач кафедри КІ та ФД КНУТД
к.ф.-м.н., доцент, професор університету
Михайло ЯРМОЛЕНКО
«ЗАХИСТ ДОЗВОЛЯЮ»
Завідувач кафедри ІБ та КІ
д.т.н., професор ______ Володимир РУДНИЦЬКИЙ
Черкаси 2022 року
Форма № Н-9.01
ЧЕРКАСЬКИЙ ДЕРЖАВНИЙ ТЕХНОЛОГІЧНИЙ УНІВЕРСИТЕТ
Факультет: інформаційних технологій і систем
Кафедра: інформаційної безпеки та комп’ютерної інженерії
Освітньо-кваліфікаційний рівень: Бакалавр
Спеціальність 123 – Комп’ютерна інженерія
Освітня програма Комп’ютерні системи та мережі
«ЗАТВЕРДЖУЮ»
Завідувач кафедри ІБ та КІ
д.т.н., професор ________ Володимир РУДНИЦЬКИЙ
«11» лютого 2022 року
ЗАВДАННЯ
на кваліфікаційну роботу бакалавра студенту
Кучерявій Катерині Михайлівні
(прізвище, ім‘я, по батькові)
1. Тема роботи: Локальна мережа приватного підприємства «ДІАМАНТ»
Керівник роботи: старший викладач Гресько Світлана Олексіївна
(прізвище, ім’я, по батькові, науковий ступінь, вчене звання)
затверджені наказом університету від «07» лютого 2022 р. № 45/04
2. Строк подання студентом роботи:
3. Вихідні дані до роботи:
 кількість абонентів: 30;
 швидкість доступу до мережі Internet: не менша 100Мбіт/с;
 встановлення мережевого екрану для захисту від зовнішніх атак;
 передбачити можливість розширення мережі на 30% шляхом додавання нових робочих
місць.
4. Зміст розрахунково-пояснювальної записки (перелік питань, що їх належить розробити):
Вступ
1 Принципи побудови ком’ютерних мереж
2 Проектування локальної мережі приватного підприємства «ДІАМАНТ»
3 розрахунок мережі
4 Захист інформації в мережі
Висновки
Список використаних джерел
Додатки
5. Перелік графічного матеріалу (з точним зазначенням обов’язкових креслень, плакатів):
1. Специфікація
2. Топологія мережі
3. Схема електрична загальна
4. Перелік елементів
6. Консультанти розділів роботи:
Розділ Прізвище, ініціали Підпис, дата
консультанта завдання видав завдання прийняв
7. Дата видачі завдання: 10 лютого 2022 року
КАЛЕНДАРНИЙ ПЛАН
Термін
№ з/п Назва етапів роботи виконання Примітка
етапів роботи
1 Отримання завдання 10.02 – 12.02 виконано
2 Збір матеріалу 13.02 – 20.02 виконано
3 Обробка матеріалу 21.02 – 01.03 виконано
4 Розробка топології проектованої мережі 02.03 – 09.03 виконано
5 Вибір обладнання та його обґрунтування 10.03 – 02.04 виконано
6 Вибір програмного забезпечення та його виконано
обґрунтування 03.04 – 27.04
7 Моделювання спроектованої мережі 28.04 – 16.05 виконано
8 Оформлення пояснювальної записки 17.05 – 22.05 виконано
9 Подання кваліфікаційної роботи на відгук та виконано
рецензування 23.05 – 31.05
10 Захист кваліфікаційної роботи 14.06.22
Студент ___________________________ Катерина КУЧЕРЯВА
(підпис)
Керівник роботи ___________________________ Світлана ГРЕСЬКО
(підпис)
АНОТАЦІЯ
Пояснювальна записка до кваліфікаційної роботи бакалавра містить:
59 сторінок, 20 рисунків, 5 таблиць, 4 додатки, використано 20 джерел.
Метою кваліфікаційної роботи бакалавра є розробка проекту локальної
мережі приватного підприємства «ДІАМАНТ».
У першому розділі розглянуто принципи побудови комп’ютерних мереж.
У другому розділі проведено виконано проектування локальної мережі
приватного підприємства «ДІАМАНТ», а саме, проаналізована організаційна
структура підприємства, розроблено схему інформаційних потоків та топологію
мережі, обрано мережеве обладнання та програмне забезпечення.
У третьому розділі виконано розрахунки, які доводять працездатність
спроектованої мережі.
У четвертому розділі розглянуто методи захисту інформації в локальних
мережах та мережах Wi-Fi.
Ключові слова: КОМП’ЮТЕРНА МЕРЕЖА, ІНФОРМАЦІЙНІ ПОТОКИ,
АКТИВНЕ ТА ПАСИВНЕ ОБЛАДНАННЯ МЕРЕЖІ, МЕРЕЖЕВЕ
ПРОГРАМНЕ ЗАБЕЗПЕЧЕННЯ, ТОПОЛОГЯ, МЕРЕЖА WI-FI, ЗАХИСТ
ІНФОРМАЦІЇ.
ANNOTATION
The explanatory note to the bachelor's thesis contains: 59 pages, 20 figures, 5
tables, 4 appendices, 20 sources used.
The purpose of the bachelor's qualification work is to develop a project of the
local network of the private enterprise "DIAMOND".
The first section discusses the principles of building computer networks.
In the second section, the local network of the private enterprise "DIAMOND"
was designed, namely, the organizational structure of the enterprise was analyzed, the
scheme of information flows and network topology was developed, network
equipment and software were selected.
In the third section, calculations are performed that prove the efficiency of the
designed network.
The fourth section discusses methods of protecting information on local
networks and Wi-Fi networks.
Keywords: COMPUTER NETWORK, INFORMATION FLOWS, ACTIVE
AND PASSIVE NETWORK EQUIPMENT, NETWORK SOFTWARE,
TOPOLOGIST, TOPOLOGIST, INFORMATION PROTECTION.
ЗМІСТ
ВСТУП…………………………………………………………………………. 4
1 ПРИНЦИПИ ПОБУДОВИ КОМ’ЮТЕРНИХ МЕРЕЖ…………………... 5
1.1 Топологія фізичних зв’язків……………………………………….. 5
1.2 Методи доступу до мережевого середовища…………………….. 11
1.3 Структуризація мереж……………………………………………... 14
2 ПРОЕКТУВАННЯ ЛОКАЛЬНОЇ МЕРЕЖІ ПРИВАТНОГО
ПІДПРИЄМСТВА «ДІАМАНТ»…………………………………………….. 18
2.1 Аналіз структури приватного підприємства «ДІАМАНТ»……… 18
2.2 Розробка топології локальної мережі приватного підприємства
«ДІАМАНТ»…………………………………………………………..... 20
2.3 Вибір мережевого обладнання…………………………………….. 21
2.3.1 Пасивне мережне обладнання…………………………….. 21
2.3.2 Активне мережева обладнання…………………………… 21
2.4 Вибір мережевого програмного забезпечення…………………… 30
3 РОЗРАХУНОК МЕРЕЖІ…………………………………………………… 33
3.1 Розрахунок навантаження на сервер……………………………… 33
3.2 Розрахунок пропускної здатності мережі………………………… 34
3.3 Розрахунок ослаблення (затухання) сигналу……………………... 35
4 ЗАХИСТ ІНФОРМАЦІЇ В МЕРЕЖІ………………………………………. 37
4.1 Захист від зовнішніх загроз………………………………………... 38
4.2 Технологія захисту інформації у віртуальних приватних
мережах (VPN)………………………………………………………….. 40
4.2.1 Архітектура VPN…………………………………………... 40
4.2.2 Тунелювання……………………………………………….. 42
ЧДТУ.221706.003 ПЗ
Змн. Арк. № докум. Підпис Дат
РозрКобив Кучерява К.М. а Літ. Лист Листів
Керівник Гресько С.О Локальна мережа
а приватного підприємства 2 59
Рецензент Ярмоленко «ДІАМАНТ»
Н.Контроль Гресько С.О. Кафедра ІБ та КІ
ф М.В.
Затвердив Рудницький В.М. Пояснювальна записка гр. ЗКМ-175
е
д
р
а
К
К
-
0
6
4.3 Криптографічне закриття інформації…………………………… 44
4.4 Електронний цифровий підпис…………………………………... 46
4.5 Безпека передачі даних в мережах Wi-Fi……………………….. 48
ВИСНОВКИ…………………………………………………………………… 53
ДОДАТКИ:
А – ЧДТУ.221706.003 Локальна мережа приватного підприємства
«ДІАМАНТ»
СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ…………………………………… 58
Лист
ЧДТУ.221706.003 ПЗ т
Зм. Лист № докум. Підпис Дат 3
а
ВСТУП
Темою кваліфікаційної роботи бакалавра являється проектування
локальної мережі приватного підприємства «ДІАМАНТ». Ця тема досить
актуальна, оскільки вона обумовлена всесвітньою тенденцією об'єднання
комп'ютерів в мережі. Локальна обчислювальна мережа (ЛОМ, локальна
мережа, англ. LocalAreaNetwork, LAN) – це комп'ютерна мережа, що
покриває, зазвичай, відносно невелику територію або невелику групу
будівель (будинок, офіс, фірму, інститут). Також існують локальні мережі,
вузли яких рознесені географічно на відстані більше 12 500 км (космічні
станції і орбітальні центри). Незважаючи на такі відстані, подібні мережі все
одно відносять до локальних. Можна сказати, що локальна мережа – це
комунікаційна система, що складається з декількох комп'ютерів, з'єднаних
між собою за допомогою кабелів, що дозволяє користувачам спільно
використовувати ресурси комп'ютера: програми, файли, папки, а, також,
периферійні пристрої: принтери, плотери, диски, модеми. Усе мережеве
обладнання працює під управлінням прикладного програмного забезпечення.
Актуальність теми визначається тим, що комп'ютерні мережі міцно
увійшли в наше життя. Вони застосовуються майже у всіх сферах життя: від
навчання до управління виробництвом, від розрахунків на біржі до
домашньої WI-FI мережі. З одного боку, вони є окремим випадком
розподілених комп'ютерних систем, а з іншого – можуть розглядатися як
засіб передачі інформації на великі відстані, для чого в них застосовуються
методи кодування і мультиплексування даних, що набуло розвитку в різних
телекомунікаційних системах.
Отже. метою роботи є проектування локальної мережі приватного
підприємства «ДІАМАНТ».
Лист
ЧДТУ.221706.003 ПЗ т
Зм. Лист № докум. Підпис Дат 4
а
1 ПРИНЦИПИ ПОБУДОВИ КОМ’ЮТЕРНИХМЕРЕЖ
1.1 Топологія фізичних зв’язків
«Топологією комп’ютерної мережі (КМ) називають спосіб з’єднання в
ній комп’ютерів (спосіб організації фізичних зв’язків). Іншими словами
топологія – це конфігурація графа, вершинам якого відповідають
комп’ютери мережі (іноді й інше обладнання, наприклад, концентратори), а
ребрам – фізичні зв’язки між ними.»
Вибір топології суттєво впливає на ряд характеристик мережі.
Наприклад, існування резервних зв’язків підвищує надійність мережі і
робить можливим балансування завантаження окремих каналів. Легкість
під’єднання нових вузлів, яка притаманна деяким топологіям, робить
комп’ютерну мережу легко розширюваною.
Класифікація топологій комп’ютерної мережі наведена на
рисунку 1.1 [1, 2, 4, 5].
Рисунок 1.1 – Типи топологій комп’ютерної мережі
«Повнозв’язна топологія відповідає мережі, в якій кожний комп’ютер
мережі має зв’язки з усіма іншими її комп’ютерами. В загальному випадку це
досить громіздкий і неефективний варіант комп’ютерної мережі, оскільки
Лист
ЧДТУ.221706.003 ПЗ т
Зм. Лист № докум. Підпис Дат 5
а
потребує великої кількості комунікаційних портів для забезпечення такого
зв’язку.» Кількість ліній зв’язку NL у такій комп’ютерній мережі
(2.1)
де n − кількість вузлів у мережі.
Повнозв’язна топологія застосовується дуже рідко. Найчастіше вона
використовується в багатомашинних комплексах або мережах при невеликій
кількості комп’ютерів. Всі інші варіанти топологій основані на
неповнозв’язних структурах, коли для обміну даними між двома
комп’ютерами може бути потрібне проміжне передавання даних через інші
вузли мережі.
«Коміркова топологія (mesh) отримується з повнозв’язної шляхом
видалення деяких можливих зв’язків. У мережі з комірковою топологією
зв’язуються лише ті комп’ютери, між якими відбувається інтенсивний обмін
даними. Для обміну даними між комп’ютерами, не з’єднаними прямими
лініями зв’язку, використовуються транзитні передавання через проміжні
вузли. Коміркова топологія допускає з’єднання великої кількості
комп’ютерів.»
«Топологія «шина» (рисунок 1.2) передбачає використання одного
кабелю, до якого підключаються всі комп’ютери мережі. У випадку топології
«загальна шина» кабель використовується всіма станціями по черзі.
Вживаються спеціальні заходи для того, щоб при роботі із загальним кабелем
комп’ютери не заважали один одному передавати й приймати дані [2]. Всі
повідомлення, що надсилаються окремими комп’ютерами, приймаються й
прослуховуються всіма іншими комп’ютерами, підключеними до мережі.
Робоча станція відбирає адресовані їй повідомлення, використовуючи
адресну інформацію. Надійність тут вища, тому що вихід з ладу окремих
комп’ютерів не порушить роботоздатність мережі в цілому. Пошук
Лист
ЧДТУ.221706.003 ПЗ т
Зм. Лист № докум. Підпис Дат 6
а
несправності в мережі складніший, оскільки використовується тільки один
кабель, у випадку обриву якого порушується робота всієї мережі. Шинна
топологія − це найбільш проста й донедавна найпоширеніша топологія
мережі.»
Рисунок 1.2 − Топологія «шина»
До переваг шинної топології відносять:
 пасивність мережі;
 легкий доступ до всіх компонентів мережі;
 простоту підключення нових комп’ютерів;
 пристосованість до передачі повідомлень з різкими коливаннями
інтенсивності потоку повідомлень.
До недоліків шинної топології можна віднести такі:
 загальна довжина мережі обмежена 1–2 км (топологія пасивна, отже,
необхідно підсилювати сигнали, що затухають в сегменті кабелю);
 відсутнє автоматичне підтвердження приймання інформації;
 при збільшенні кількості комп’ютерів пропускна спроможність мережі
спадає;
 іноді трапляється інтерференція повідомлень, що передаються шиною;
 ускладнений захист інформації, повідомлення можуть бути легко
прослухані і перехоплені, оскільки легко можна приєднатися до
мережі. [3]
При топології «зірка» всі комп’ютери за допомогою сегментів кабелю
підключаються до центрального компонента, який називається
концентратором (hub). Всі повідомлення адресуються через концентратор
(рисунок 1.3).
Лист
ЧДТУ.221706.003 ПЗ т
Зм. Лист № докум. Підпис Дат 7
а
Рисунок 1.3 − Топологія «зірка»
«Серед концентраторів виділяються:
 активні – регенерують і передають сигнали,
 пасивні – пропускають через себе сигнал,
 гібридні, до яких можна підключати кабелі різних типів.
Використання концентраторів дає ряд переваг:
 на різних радіальних напрямках можуть бути використані різні канали і
швидкості передавання даних;
 незалежність кожного напрямку від інших, розрив кабелю в мережі з
топологією «зірка» порушує роботу лише даного сегмента, інші
сегменти залишаться роботоздатними;
 високий ступінь захисту даних;
 спрощений пошук несправностей мережі, активні концентратори часто
наділені діагностичними можливостями, які дозволяють визначити
роботоздатність з’єднання.»
До недоліків топології «зірка» варто віднести:
 відмова концентратора веде до відмови всієї мережі;
 більш високу вартість мережевого обладнання (внаслідок необхідності
придбання концентратора);
 велику кількість радіальних проводів;
 невисокий відсоток використання пропускної здатності.
Лист
ЧДТУ.221706.003 ПЗ т
Зм. Лист № докум. Підпис Дат 8
а
Крім того, можливості нарощування кількості вузлів у мережі
обмежуються кількістю портів концентратора. Іноді доцільно будувати
мережу з використанням кількох концентраторів, ієрархічно з’єднаних між
собою у вигляді зірки. [2]
При топології «кільце» комп’ютери підключаються до кабелю,
замкненого в кільце (рисунок 1.4).
При цьому в кабелі немає вільного кінця, до якого необхідно
підключати термінатор. Сигнали передаються кільцем в одному напрямку і
проходять через кожний комп’ютер. На відміну від пасивної топології
«шина», тут кожний комп’ютер виступає в ролі повторювача − пристрою, що
підсилює сигнал і передає його наступному комп’ютеру. [2]
Рисунок 1.4 − Топологія «кільце»
Перевагою кільцевої топології є рівноправний доступ всіх комп’ютерів
до мережі. Кількість користувачів суттєво не впливає на продуктивність.
Доступ до кільця гарантований, навіть якщо мережа сильно завантажена.
Ймовірність помилок дуже мала. Забезпечується висока швидкість
передавання даних.
До недоліків цієї топології варто віднести те, що вихід з ладу одного
комп’ютера може вивести з ладу всю мережу. В ній важко локалізувати
проблеми, зміна конфігурації потребує зупинення роботи всієї мережі. [4]
Серед комбінованих топологій найбільш поширеними є топології
«зірка–шина» та «зірка–кільце» (рисунок 1.5). «Зірка–шина» утворюється
шляхом підключення до магістральної лінійної шини кількох мереж з
Лист
ЧДТУ.221706.003 ПЗ т
Зм. Лист № докум. Підпис Дат 9
а
топологією «зірка». При цьому вихід з ладу одного комп’ютера не впливає на
мережу. Вихід з ладу концентратора викликає припинення функціонування
підключених до нього комп’ютерів і концентраторів. «Зірка–кільце» –
концентратори утворюють зірку. [5]
Рисунок 1.5 − Комбіновані топології
При виборі оптимальної топології розглядаються три основні мети:
 забезпечення альтернативної маршрутизації й максимальної надійності
передачі даних;
 вибір оптимального маршруту передачі блоків даних;
 надання прийнятного часу відповіді та потрібної пропускної здатності.
Лист
ЧДТУ.221706.003 ПЗ т
Зм. Лист № докум. Підпис Дат 10
а
1.2 Методи доступу до мережевого середовища
Метод доступу − це спосіб визначення того, яка з робочих станцій
зможе наступною використати локальну обчислювальну мережу. Те, як
мережа управляє доступом до каналу зв’язку (кабелю), істотно впливає на її
характеристики.
Конкурентні методи доступу
Використовуючи конкурентний метод доступу (метод випадкового
доступу), кожен вузол може зробити спробу передавання повідомлення в
будь-який момент. Якщо лінія зайнята або виявлено колізію (зіткнення
повідомлень від кількох передавачів) спроба передавання відкладається на
випадковий проміжок часу. [4]
Є ряд алгоритмів, що дають змогу уникати, або ж, принаймні,
мінімізувати наслідки колізій. Переваги: просто реалізуються, забезпечують
швидкий доступ до шини, дають змогу легко під’єднувати та від’єднувати
вузли, не потребують центрального керівного пристрою, характеризуються
високою живучістю. Головним недоліком таких систем є різке збільшення
часу очікування доступу при збільшенні навантаження в мережі. Основні два
різновиди – CSMA/CA i CSMA/CD [1].
Метод CSMA/CA (Carrier Sense Multiple Access/Collision Avoidance) –
реалізує вільний (множинний) доступ з прослуховуванням несучої та
запобіганням колізіям. Станція, яка готова відправити повідомлення,
прослуховує лінію. За відсутності несучої станція відправляє короткий
сигнал запиту на передавання (RTS) і певний час очікує відповіді від
адресата (CTS). За відсутності відповіді (що, зазвичай, є наслідком колізії)
спроба передавання відкладається, при одержанні відповіді – повідомлення
відправляється адресату. Короткі повідомлення RTS–CTS виконують роль
детекторів колізій. Краще, щоб колізія відбулась під час передавання
короткого керівного сигналу, ніж довгого повідомлення з інформацією
користувача. Метод CSMA/CA не дає змогу повністю уникати колізій, однак
Лист
ЧДТУ.221706.003 ПЗ т
Зм. Лист № докум. Підпис Дат 11
а
досить ефективний для мереж з невеликою кількістю вузлів. Цей метод
використовується в мережевих архітектурах LocalTalk фірми Apple,
відзначається простотою та дешевизною апаратного забезпечення.
Метод CSMA/CD (Carrier Sense Multiple Access/Collision Detect) –
реалізує вільний (множинний) доступ з прослуховуванням несучої та
виявленням колізій. Алгоритм методу наведений на рисунку 1.6.
Рисунок 1.6 – Алгоритм методу CSMA/CD
Станція, яка готова відправити повідомлення, прослуховує лінію. За
відсутності несучої станція починає передавання повідомлення, здійснюючи
Лист
ЧДТУ.221706.003 ПЗ т
Зм. Лист № докум. Підпис Дат 12
а
при цьому контроль за станом лінії. При виявленні колізії (зростанні
активності лінії) передача припиняється, а повторна спроба відкладається на
випадковий проміжок часу. Максимальний час, протягом якого може
виникнути колізія, відповідає подвоєному часу проходження сигналом
максимальної відстані між двома вузлами мережі. Тривалість передавання
пакета повинна бути більшою за максимальний час виявлення колізії. Метод
CSMA/CD на практиці дуже ефективний і дає змогу використовувати до 90%
доступної пропускної здатності каналу, однак, порівняно з CSMA/CA,
потребує більш дорогих апаратних засобів. Цей метод використовується у
багатьох мережевих архітектурах, зокрема, в найбільш поширеній
архітектурі Ethernet.
Детерміновані методи доступу − вузли мережі одержують доступ до
середовища передавання у певному порядку. Розрізняють два основних
методи детермінованого доступу: опитування (Polling) та передавання
маркера (Token Passing) [1, 4].
Метод опитування визначає один з вузлів адміністратором доступу до
каналу (інші назви – первинний вузол, контролер). Цей вузол у певному
порядку опитує інші (вторинні) вузли стосовно наявності у них інформації,
готової до передавання. Системні правила обмежують максимальний час
передавання інформації одним з вторинних вузлів в одному циклі
опитування. Метод опитування може використовуватись для різних
мережевих топологій. Однак найбільш природною для нього є топологія
«зірка», в якій центральний вузол відіграє роль адміністратора доступу. В
великих ЕОМ (Mainframes), зокрема фірми IBM, цей метод використовується
для опитування периферійних пристроїв введення даних (терміналів).
Метод передавання маркера подібний до методу опитування, який
працює без центрального контролера. Первинним за чергою стає кожен з
вузлів, що отримує спеціальний об’єкт – маркер. Передавання маркера
розподіляє управління доступом між усіма вузлами мережі. Кожен вузол
Лист
ЧДТУ.221706.003 ПЗ т
Зм. Лист № докум. Підпис Дат 13
а
знає, від кого отримано і кому потрібно передати маркер. Правила
визначають кожному вузлу максимальний час управління маркером. Метод
реалізується для логічних топологій «кільце» та «шина». Використовується в
мережевих архітектурах ARCnet, Token Ring, FDDI.
Метод передавання маркера та метод опитування викликають певну
надлишковість у використанні каналу, потребують додаткового часу та
зменшують можливості передавання для кожного з вторинних вузлів.
Перевагами обох методів є повна відсутність колізій, певний час
проходження сигналу, який мало залежить від навантаження в мережі, та
можливість забезпечення найбільш активним вузлам пріоритетного
використання каналу. [3]
1.3 Структуризація мереж
В невеликих комп’ютерних мережах (10−30 комп’ютерів) найчастіше
використовується топологія – «загальна шина», «зірка» або «кільце». Всі ці
топології мають властивості однорідності, тобто всі комп’ютери у мережі
мають однакові права на доступ до інших комп’ютерів. Однорідність
структури спрощує збільшення числа комп’ютерів, полегшує обслуговування
та експлуатацію мережі. Проте, при побудові великих мереж однорідна
структура зв’язків стає недоліком. В таких мережах використання типових
структур призводить до різних обмежень, таких як: [4]
 обмеження на довжину ліній між вузлами;
 обмеження на кількість вузлів;
 обмеження на інтенсивність трафіку.
Для вирішення цих проблем використовують спеціальні методи
структуризації мереж та спеціальне обладнання:
 повторювачі (repeator);
 концентратори (concentrator, hub);
 мости (bridge);
Лист
ЧДТУ.221706.003 ПЗ т
Зм. Лист № докум. Підпис Дат 14
а
 комутатори (switch);
 маршрутизатори (router);
 шлюзи (gateway).
Таке обладнання називається комунікаційним, так як воно призначене
для об’єднання окремих сегментів мережі в єдине середовище.
Відрізняють: [2]
 топологію фізичних зв’язків – фізичну структуру мережі. Конфігурація
фізичних зв’язків визначається електричними з’єднаннями комп’ютерів, і
може бути зображена у вигляді графа (рисунок 1.7), де вузлами є
комп’ютери та комунікаційне обладнання, а ребрами є відрізки кабелю,
що з’єднують ці вузли;
Рисунок 1.7 − Топологія фізичних зв’язків
 топологію логічних зв’язків – логічну структуру мережі. Логічні зв’язки
– це шляхи поступу інформаційних потоків по мережі. Вони утворюються
за рахунок налаштування комунікаційного обладнання. В деяких
випадках фізична і логічна топології збігаються, а в деяких – не
збігаються (рисунки 1.8 та 1.9).
Лист
ЧДТУ.221706.003 ПЗ т
Зм. Лист № докум. Підпис Дат 15
а
Рисунок 1.8 − Фізична топологія «кільце» та логічна «кільце»
Рисунок 1.9 − Фізична топологія загальна «шина» та логічна «кільце»
Фізична структуризація локальної мережі
Основними засобами фізичної структуризації локальної мережі є
повторювачі (repeator) та концентратори (concentrator) чи хаби (hub) [1].
Повторювач є найпростішим комунікаційним пристроєм, що
використовується для фізичного з’єднання різних сегментів кабелю
локальної мережі з метою збільшення загальної довжини мережі. В
повторювачів є лише два порти, і сигнал з одного порту перенаправляється
на інший.
Концентратором називається повторювач, що має кілька портів і може
з’єднувати кілька сегментів. Концентратор містить більшу кількість портів, і
сигнали, що надійшли на один порт, направляються на всі інші порти.
Концентратори є необхідними пристроями практично у всіх базових
мережевих технологіях. [4]
Лист
ЧДТУ.221706.003 ПЗ т
Зм. Лист № докум. Підпис Дат 16
а
Логічна структуризація мережі
Фізична структуризація мережі не дозволяє вирішувати певні
проблеми, такі як дефіцит пропускної здатності чи неможливість
використання в різних частинах мережі ліній зв’язку з різною пропускною
здатністю. Ці проблеми може вирішити логічна структуризація мережі [4].
Типові фізичні топології (загальна «шина», «кільце», «зірка») для
обміну даними мають лише єдине середовище, що об’єднує всі мережеві
пристрої. Наприклад, в мережі загальна «шина» взаємодія двох комп’ютерів
займає шину на весь час обміну, тому при збільшенні кількості комп’ютерів
зменшується продуктивність та швидкодія мережі. [4]
Лист
ЧДТУ.221706.003 ПЗ т
Зм. Лист № докум. Підпис Дат 17
а
2 ПРОЕКТУВАННЯ ЛОКАЛЬНОЇ МЕРЕЖІ ПРИВАТНОГО
ПІДПРИЄМСТВА «ДІАМАНТ»
2.1 Аналіз структури приватного підприємства «ДІАМАНТ»
Приватне підприємство «ДІАМАНТ» спеціалізується на продажу та
сервісному обслуговуванні комп’ютерного обладнання та копіювальної
техніки.
Основним видом передачі інформації від одного відділу до іншого є
задокументований вигляд (паперовий, завірений печаткою керівника даної
служби), передача інформації від різноманітних служб до директора і
генерального директора передається у формах різноманітних звітів (які
здебільшого подаються відділом бухгалтерії).
Структура управління приватного підприємства «ДІАМАНТ» –
лінійна. Лінійна структура управління є найбільш логічною, стрункою і
формально визначеною, але разом з тим і найменш гнучкою. Кожен з
керівників має всю повноту влади, але відносно невеликі можливості для
вирішення проблем, що вимагають вузьких, спеціальних знань. Це одна з
найпростіших організаційних структур управління. Вона характеризується
тим, що на чолі кожного структурного підрозділу знаходиться керівник,
наділений усіма повноваженнями, що здійснює усі функції управління.
На рисунку 2.1 представлено складові організаційної структури
приватного підприємства «ДІАМАНТ».
Лист
ЧДТУ.221706.003 ПЗ т
Зм. Лист № докум. Підпис Дат 18
а
Рисунок 2.1 – Організаційна структура приватного підприємства
«ДІАМАНТ»
На рисунку 2.2 зображена схема інформаційних потоків приватного
підприємства «ДІАМАНТ».
Рисунок 2.2 – Схема інформаційних потоків приватного підприємства
«ДІАМАНТ»
Лист
ЧДТУ.221706.003 ПЗ т
Зм. Лист № докум. Підпис Дат 19
а
2.2 Розробка топології локальної мережі приватного підприємства
«ДІАМАНТ»
Локальна мережа приватного підприємства «ДІАМАНТ» повинна
включати в себе 30 робочих станцій, один сервер, мережне сховище,
комутатори, бездротові точки доступу для доступу до мережі за допомогою
технології Wi-Fi (стандарт 801.11n).
На основі аналізу структури підприємства та схеми інформаційних
потоків була розроблена топологія локальної мережі приватного
підприємства «ДІАМАНТ», яка представлена на рисунку 2.3.
Рисунок 2.3 – Топологія локальної мережі приватного підприємства
«ДІАМАНТ»
Лист
ЧДТУ.221706.003 ПЗ т
Зм. Лист № докум. Підпис Дат 20
а
2.3 Вибір мережевого обладнання
2.3.1 Пасивне мережне обладнання
Для проектування мережі потрібен кабель відповідно до міжнародного
стандарту ISO/IEC 1180, вита пара UTP і FTP категорії 5е, як для внутрішньої
так і зовнішньої прокладання кабелю.
Для проектованої мережі доцільно використання патч-кордів RJ45 для
витої пари UTP категорії 5е. Це 4-парний кабель, що завдяки високій
швидкості передачі до 100 Мбіт/с при використанні 2 пар і до 1000 Мбіт/с,
при використанні 4 пар, є найпоширенішим мережним носієм, що
використовується в комп'ютерних мережах.
2.3.2 Активне мережева обладнання
До складу активного мережного обладнання входять робочі станції,
сервер, комутатор, точка доступу, мережне сховище.
Сервер
За складом обладнання сервери мало чим відрізняються від робочих
станцій, однак до самого обладнання сервера потрібні більш високі вимоги.
Це пов'язано з тим, що файловий сервер повинен достатньо швидко
обробляти безліч запитів від усіх робочих станцій. Зі збільшенням числа
робочих станцій і складності розв'язуваних завдань значно зростають вимоги
до сервера по продуктивності, обсягу пам'яті, надійності.
В якості серверів обрано PowerEdge T420 (рисунок 2.4).
Лист
ЧДТУ.221706.003 ПЗ т
Зм. Лист № докум. Підпис Дат 21
а
Рисунок 2.4 – Зовнішній вигляд серверу PowerEdge T420
Завдяки високій потужності, великому обсягу пам'яті і розширеної
пропускної здатності введення-виведення сервер PowerEdge™ T420 в корпусі
Tower, буде забезпечена висока продуктивність, масштабованість і надійність
і майже безшумну роботу.
Сервери PowerEdge T420 основується на базі сімейства процесорів
останнього покоління Intel Xeon E5- 2400, що дозволяє поєднувати в собі
високу і ефективну обробку з високою щільністю установки пам'яті і
компактними розмірами.
Таблиця 2.1 – Технічні характеристики серверу PowerEdge T420
Виробник
Чіпсет Intel C600
Процесор
Тип процесора Intel Xeon E5-2609
Частота, ГГц 2,4
Кількість ядер 4
Кількість процесорів встановлена/максимальна 1/2
Лист
ЧДТУ.221706.003 ПЗ т
Зм. Лист № докум. Підпис Дат 22
а
Продовження таблиці 2.1
Оперативна пам'ять
Об'єм, ГБ 4
Стандарт DDR3
Максимальний об'єм, ГБ 384
Тип слотів DIMM
Кількість слотів 12
Жорсткий диск
Об'єм, ГБ 2x450
Інтерфейс SAS, SATA
Контролер PERC H710p
Оснащення
Оптичний привід DVD±RW
Кількість вільних PCI- 2 x PCI Express x16, 3 x PCI Express x4, 1
Express слотів x PCI Express x1
Мережний адаптер 2 x Gigabit Ethernet
Блок живлення
Потужність, Вт 550
Кількість встановлених/ ½
максимальна
Сервери PowerEdge T420 основується на базі сімейства процесорів
останнього покоління Intel Xeon E5-2400, що дозволяє поєднувати в собі
високу і ефективну обробку з високою щільністю установки пам'яті і
компактними розмірами.
Комутатори
Для об’єднання робочих станцій в мережу використано комутатори D-
Link серії DES-1210:
 D-Link DGS-1210-10/ME;
 D-Link DGS-1210-20/ME.
Зовнішній вигляд комутатора D-Link DGS-1210-10/ME представлено на
рисунку 2.5.
Лист
ЧДТУ.221706.003 ПЗ т
Зм. Лист № докум. Підпис Дат 23
а
Рисунок 2.5 – Комутатор D-Link DGS-1210-10/ME
Основні характеристики комутатора наведено в таблиці 2.2.
Таблиця 2.2 – Характеристика комутатор D-Link DGS-1210-10/ME
Тип пристрою комутатор (switch), керований
Можливість установки в стійку Так
Буфер пакетів 1,5 Мб
Комутаційна матриця 20 Гб/с
Розмір таблиці MAC адрес 16К
Порти комутатора 8 портів 10/100/1000Base-T
2 порти 1000Base-X SFP
Розміри D-Link DGS-1210-10/ME 280 мм x 126 мм x 44 мм
Споживча потужність 13,59 Вт
Об'єм флеш пам'яті 32 Мб
Зовнішній вигляд комутатора D-Link DGS-1210-20/ME представлено на
рисунку 2.6.
Лист
ЧДТУ.221706.003 ПЗ т
Зм. Лист № докум. Підпис Дат 24
а
Рисунок 2.6 – Комутатор D-Link DGS-1210-20/ME
Основні характеристики комутатора наведено в таблиці 2.3.
Таблиця 2.3 – Характеристика комутатор D-Link DGS-1210-20/ME
Тип пристрою комутатор (switch), керований
Можливість установки в стійку Так
Буфер пакетів 1,5 Мб
Комутаційна матриця 40 Гб/с
Розмір таблиці MAC адрес 16К
Порти комутатора 16 портів 10/100/1000Base-T
4 порти 1000Base-X SFP
Розміри D-Link DGS-1210-10/ME 280 мм x 126 мм x 44 мм
Споживча потужність 16,09 Вт
Об'єм флеш пам'яті 32 Мб
Точка доступу
У якості бездротового обладнання використовуватиметься точка
доступу D-Link DWL-2600AP (рисунок 2.7).
Лист
ЧДТУ.221706.003 ПЗ т
Зм. Лист № докум. Підпис Дат 25
а
D-Link DWL-2600AP – уніфікована бездротова точка доступу
наступного покоління, відповідна стандарту IEEE 802.11n. Гнучка в
управлінні і потужна, дана точка доступу призначена для розгортання мереж
у режимі автономної бездротової точки доступу або в режимі керованої
точки доступу, управління якою здійснюється при підключенні до
комутатора.
Рисунок 2.7 – Точка доступу D-Link DWL-2600AP
Основні характеристики точки доступу наведено в таблиці 2.4.
Таблиця 2.4 – Характеристики точки доступу D-Link DWL-2600AP
Тип пристрою Точка доступу
Стандарт бездротового зв'язку 802.11b/g/n 2,4 ГГц
Антена 2Х2 MIMO, 3 dBi
Максимальна швидкість з'єднання 300 Мбіт/с
Інтерфейс підключення 10/100 Fast Ethernet
Розміри (мм) 160 х 160 х 45 мм
Вага (кг) 0,24
Діапазон частот 802.11b/g/n: 2,4 ГГц - 2,4835 ГГц
Мережне сховище
Лист
ЧДТУ.221706.003 ПЗ т
Зм. Лист № докум. Підпис Дат 26
а
Для резервного копіювання даних обрано мережне сховище Synology
DiskStation DS414J.
Synology DiskStation DS414J (рисунок 2.8) є 4-дисковим nas-сервером з
винятковою продуктивністю, який може задовольнити вимоги в зберіганні
даних для сучасного малого та середнього бізнесу. можливості безпечного
крос-платформного обміну файлами для windows, mac і linux/unix
користувачів, iscsi/ip - san зберігання комбіновані рішення, а також ряд
універсальних. з добре збалансованим набором рішень для резервного
копіювання вбудована в Synology DiskStation DS414J, важлива інформація
може бути надійно захищена від непередбачених втрат даних.
Рисунок 2.8 – Мережне сховище (NAS) Synology DiskStation DS414J
Характеристики мережного сховища наведені в таблиці 2.5.
Таблиця 2.5 – Технічні характеристики мережних сховищ (NAS)
SYNOLOGY DISKSTATION DS414J
Тип Мережний накопичувач
Пам'ять 1 ГБ DDR3, 512 МБ Flash
Слоти для дисків 4 диски 3.5" SATA(III) або
4 диски 2.5" SATA/SSD(до 24ТБ)
Продовження таблиці 2.5
Управління дисками JBOD, RAID0/1/5/6/10, Bitmap, S.M.A.R.T.
Лист
ЧДТУ.221706.003 ПЗ т
Зм. Лист № докум. Підпис Дат 27
а
Управління пристроєм Web-браузер, утиліта
LAN 1 (GbE)
USB 1 (3.0) + 1 (2.0)
eSATA 4
Файл-сервер CIFS/SMB(поддержка DFS), AFP, NFS
Медіа-сервер DLNA/UPnP/iTunes
Автономне FTP/HTTP/BitTorrent
завантаження
Розміри, мм 184 x 168 x 230 мм
Вага без HDD, г 2210
Маршрутизатор
В якості маршрутизатора для проекту мережі обрано модель D-Link
DSR-500 (рисунок 2.9).
Рисунок 2.9 – Маршрутизатор D-Link DSR-500
Уніфіковані маршрутизатори D-Link серії DSR є високопродуктивними
рішеннями, що забезпечують захист мережі і призначені для задоволення
зростаючих потреб малого та середнього бізнесу.
Маршрутизатор DSR-500 оснащений двома WAN-портами Gigabit
Ethernet і підтримують управління на основі політик, що забезпечує
максимальну продуктивність при виконанні бізнес-операцій. Функція
автоматичного перемикання після відмови (failover) забезпечує надійну
передачу даних, в тому числі і при відмові одного із з'єднань. Застосування
Лист
ЧДТУ.221706.003 ПЗ т
Зм. Лист № докум. Підпис Дат 28
а
функції балансування навантаження дозволяє розподілити вихідний трафік
між двома WAN-інтерфейсами і оптимізувати продуктивність системи,
забезпечуючи, таким чином, безперебійну роботу мережі. Другий WAN-порт
може бути налаштований як DMZ-порт, що дозволяє ізолювати сервери від
мережі LAN.
Маршрутизатор DSR-500 підтримує можливість організації доступу до
мережі Інтернет за допомогою USB-модема1 3G або 4G2. Балансування
навантаження може бути здійснена для 3G / 4G2-з'єднань, забезпечуючи
додатковий рівень резервування для критично важливих даних і додатків
резервного копіювання.
На маршрутизаторах DSR-5003 другий WAN-порт може бути
виділеним WAN2 або використовуватися для 3G/4G2 модему, з підтримкою
функцій автоматичного перемикання після відмови і балансування
навантаження в разі втрати основного WAN-з'єднання.
Віртуальна приватна мережа (VPN) надає мобільним користувачам і
філіям захищений канал зв'язку для підключення до корпоративної мережі.
DSR-500 підтримує тунелі Generic Routing Encapsulation (GRE) 3,
забезпечуючи мобільним користувачам віддалений доступ до центральної
корпоративної бази даних. При створенні Site-to-site VPN-тунелів
використовуються протоколи IP Security (IPSec), Point-to-Point Tunneling
Protocol (PPTP) або Layer 2 Tunneling Protocol (L2TP), застосування яких
спрощує процес підключення віддалених користувачів і філій через
зашифровані віртуальні канали.
Підтримка технології D-Link Green Ethernet дозволяє оптимізувати
енергоспоживання і скоротити витрати на електроенергію. Технологія D-Link
Green Ethernet дозволяє визначати статус з'єднання і автоматично переводити
пристрій в режим збереження електроенергії. Крім цього, маршрутизатори
DSR відповідають вимогам директив RoHS (Restriction of Hazardous
Лист
ЧДТУ.221706.003 ПЗ т
Зм. Лист № докум. Підпис Дат 29
а
Substances) і WEEE (Waste Electrical and Electronic Equipment), метою яких є
захист навколишнього середовища.
2.4 Вибір мережевого програмного забезпечення
Велика різноманітність типів комп'ютерів, використовуваних в
комп’ютерних мережах, тягне за собою різноманітність операційних систем:
для робочих станцій, для серверів мереж рівня відділу і серверів рівня
підприємства в цілому. До них можуть пред'являтися різні вимоги по
продуктивності і функціональним можливостям, бажано, щоб вони володіли
властивістю сумісності, яка дозволило б забезпечити спільну роботу різних
операційни систем (ОС).
На сервері планується встановити ОС Windows Server 2012 R2, а на
робочих станціях – Windows 10.
Windows Server 2012 R2 – операційна система нового покоління, яка
може бути основою інфраструктури як для компаній малого масштабу з
декількома серверами, так і для великих підприємств з сотнями і тисячами
традиційних апаратних і віртуальних серверів. Windows Server 2012 R2
привніс безліч нових можливостей, які використовуються для побудови і
обслуговування хмари Microsoft Azure.
Можливості ОС Windows Server 2012 R2:
Віртуалізація
Операційна система Windows Server 2012 R2 підтримує до 64
процесорів і 1 ТБ пам'яті для гостьових ОС Hyper-V, а також віртуальні
жорсткі диски VHDX ємністю до 64 ТБ. Потужні функції забезпечення
доступності захищають від перерв у роботі. Автоматичний захист і
відновлення забезпечують безперервність бізнесу локально і в хмарі без
зайвих витрат, дозволяють поліпшити угоди про рівень обслуговування для
робітників навантажень і знизити ризик простоїв.
Сховище
Лист
ЧДТУ.221706.003 ПЗ т
Зм. Лист № докум. Підпис Дат 30
а
За допомогою Windows Server 2012 R2 можна реалізувати сховище
корпоративного класу для широкого спектра робочих навантажень усього за
частину вартості окремих рішень сховищ. Файлові кластери сховищ з
горизонтальним масштабуванням, віртуальні пули сховищ і автоматична
багаторівневість забезпечують високопродуктивне сховище і доступність, а
також ефективне використання потужностей стандартного галузевого
обладнання.
Мережі
Windows Server 2012 R2 дозволяє легко управляти всією мережею як
одним сервером, забезпечуючи надійність і масштабованість декількох
серверів без додаткових витрат. Завдяки автоматичному перенаправленню, в
разі збоїв пристроїв зберігання, серверів та мережного обладнання
забезпечується практично безперервна доступність файлових служб. Більш
того, Windows Server 2012 R2 разом з System Center 2012 R2 формують
комплексне рішення для програмно визначаються мереж, які
використовуються в загальнодоступних, приватних і гібридних хмарах.
Переваги ОС Windows Server 2012 R2:
Захист доступу та інформації
Windows Server 2012 R2 допомагає ефективніше управляти даними і
захищати доступ до них, спрощує розгортання і управління інфраструктурою
перевірки автентичності в локальних і хмарних середовищах. Це дає
можливість надати користувачам більш безпечний віддалений доступ до
програм та даних практично звідусіль і за допомогою будь-якого пристрою.
Орієнтація на користувача
Windows Server 2012 R2 розширює можливості користувачів,
допомагаючи забезпечити їм доступ до інформації та даних в будь-який
інфраструктурі, мережі, додатку та на будь-якому пристрої. Ваш ІТ-персонал
зможе надати єдиний доступ до корпоративних ресурсів, керуючи
посвідченнями і обліковими даними користувачів у всій організації і в хмарі,
Лист
ЧДТУ.221706.003 ПЗ т
Зм. Лист № докум. Підпис Дат 31
а
забезпечуючи при цьому безпечне і повсюдне підключення до корпоративної
мережі. Крім цього, Windows Server 2012 R2 спрощує розгортання
інфраструктури віртуальних робочих столів (VDI) і знижує витрати,
підтримуючи широкий спектр варіантів зберігання даних і дедуплікаціі
сховища для VDI.
Windows 10 – операційна система від компанії Microsoft для
персональних комп'ютерів, ноутбуків, планшетів, лептопів-трансформерів і
смартфонів. Ця операційна система є альтернативою попередниці Windows 8,
для користувачів, звиклих до старого інтерфейсу. У компанії цю версію
операційної системи називають останньою, позаяк надалі вона
надаватиметься за моделлю «програмне забезпечення як послуга».
Лист
ЧДТУ.221706.003 ПЗ т
Зм. Лист № докум. Підпис Дат 32
а
3 РОЗРАХУНОКМЕРЕЖІ
3.1 Розрахунок навантаження на сервер
Нехай використовується модель системи M/D/1 з пуасонівським
розподілом часу надходження елементів в систему і детермінованим часом
обслуговування елементів на сервері та використанням одного серверу.
У такій системі клієнти обслуговуються на протязі фіксованого
проміжку часу.
Для моделі з постійним темпом обслуговування заявок величина
значень середньої довжини черги та середнього часу очікування в черзі
вдвічі менше ніж в системі з експоненціальним часом обслуговування.
Якщо розглядати практичний аспект, то найгіршу продуктивність
демонструє система з експоненційним розподілом часу обслуговування, а
найкращу продуктивність - система з постійним часом обслуговування. Тому
зазвичай можна розглядати систему з експоненційним розподілом часу
обслуговування, як систему з найгіршими параметрами, завдяки цьому була
обрана саме M/D/1 система.
Початкові дані представлені на рисунку 3.1. Через те, що не всі робочі
станції звертаються до сервера, кількість клієнтів є меншою за загальну
кількість робочих місць.
Рисунок 3.1 – Вхідні параметри для розрахунку навантаження на сервер
Лист
ЧДТУ.221706.003 ПЗ т
Зм. Лист № докум. Підпис Дат 33
а
Після обробки вхідних даних отримано результати, які представлені на
рисунку 3.2. Результати обчислень носять наближений характер, але для
практичного застосування їх точності цілком достатньо.
Рисунок 3.2 – Результати розрахунку навантаження на сервер
Отримані результати свідчать, що сервер справляється з
навантаженнями – в час максимального навантаження відсоток завантаження
серверу становить 41,44%, що дає можливість подальшого розширення
спроектованої мережі.
3.2 Розрахунок пропускної здатності мережі
Для розрахунку максимальної кількості кадрів мінімальної довжини,
які проходять по сегменту Gigabit Ethernet, зазначимо, що розмір кадру
мінімальної довжини разом з преамбулою складає 520 байт або 4160 біт,
тому на його передачу витрачається 4,16 мкс. Додавши міжкадровий інтервал
в 0,096 мкс, одержимо, що період проходження кадрів мінімальної довжини
складає 4,256мкс. Звідси максимальна можлива пропускна спроможність
сегменту Gigabit Ethernet складає 234 962 кадр/с. Наявність в сегменті
декількох вузлів знижує цю величину за рахунок очікування доступу до
Лист
ЧДТУ.221706.003 ПЗ т
Зм. Лист № докум. Підпис Дат 34
а
середовища, а також за рахунок колізії, які приводять до необхідності
повторної передачі кадрів.
Кадри максимальної довжини технології Gigabit Ethernet мають розмір
довжиною 8192 байт, який разом із преамбулою складає 8200 або 65600 біт.
Максимально можлива пропускна спроможність сегменту Gigabit Ethernet
для кадрів максимальної довжини складає 15244 кадр/с. Очевидно, що при
роботі з великими кадрами навантаження на мости, комутатори і
маршрутизатори помітно знижується. Тепер розрахуємо, якою
максимальною ефективною (корисної) пропускною спроможністю в бітах за
секунду володіють сегменти Gigabit Ethernet при використанні кадрів різного
розміру. Під ефективною пропускною спроможністю протоколу мається на
увазі швидкість передачі призначених для користувача даних, які
переносяться полем даних кадру. Ця пропускна спроможність завжди менша
номінальної бітової швидкості протоколу Ethernet за рахунок декількох
чинників:
 службової інформації кадру;
 міжкадрових інтервалів (IPG);
 очікування доступу до середовища.
Для кадрів мінімальної довжини ефективна пропускна спроможність
дорівнює: Смін = 234 962 х 494 х 8 = 928,6 Мбіт/с.
Для кадрів максимальної довжини ефективна пропускна спроможність
рівна: Смакс = 15244 х 8174 х 8 = 996,8 Мбіт/с, що є ближче до номінальної
швидкості протоколу.
3.3 Розрахунок ослаблення (затухання) сигналу
Ослаблення під час передачі інформаційного сигналу викликане
наявністю омічного опору лінії. Чим менше діаметр перетину дроту і чим
довше дріт, який сполучає приймач сигналу з передавачем, тим менший
рівень сигналу отримає користувач. Отже, складніше буде розпізнати
Лист
ЧДТУ.221706.003 ПЗ т
Зм. Лист № докум. Підпис Дат 35
а
прийнятий сигнал на тлі шуму, і зросте рівень помилок при передачі даних.
Для характеристики якості прийнятого сигналу в системах передачі даних
використовують співвідношення сигнал/шум Signal - Noise Ratio (SNR), яке
обчислюється в децибелах (dB).
Рівень затухання сигналу в крученій парі складає 24дБ/100м. Знаючи
довжини сегментів, можна розрахувати затухання в мережі. Дана мережа
складається з сегментів по 2, 15, 20, 40 метрів. Затухання на них буде
відповідно 0,48дБ, 3,6дБ, 4,8дБ, 9,6дБ.
Сигнал передачі втрачає свою потужність в декількох точках
розглянутої ділянки мережі відповідно до стандарту ISO / IEC 11801:
 втрати при з'єднанні крученої пари до мережної карти 0,2 дБ;
 втрати при з'єднанні крученої пари до хабу (на вході і на виході) 0,2 дБ;
 втрати при з'єднанні крученої пари до комутатора 0,2 дБ.
Лист
ЧДТУ.221706.003 ПЗ т
Зм. Лист № докум. Підпис Дат 36
а
4 ЗАХИСТ ІНФОРМАЦІЇ В МЕРЕЖІ
Управління комп'ютерною мережею – це виконання багатьох функцій,
необхідних для контролю, планування, виділення, впровадження,
координації та моніторингу ресурсів комп'ютерної мережі. Як правило, цей
термін застосовують до великомасштабних комп'ютерних мереж, мереж
зв'язку, позначаючи супровід та адміністрування цих мереж.
Міжнародна організація по стандартизації описала FCAPS модель, в
якій відображені ключові функції адміністрування та управління мережами:
 (F) Fault Management / Управління відмовами
 (C) Configuration Management / Управління конфігурацією
 Accounting Management / Облік роботи мережі
 (P) Performance Management / Управління продуктивністю
 (S) Security Management / Управління безпекою
Завдання управління відмовами – виявлення, визначення і усунення
наслідків збоїв і відмов у роботі мережі.
Управління конфігурацією полягає в конфігуруванні компонентів
мережі, включаючи місце їхнього розташування, мережні адреси і
ідентифікатори, управління параметрами мережних операційних систем,
підтримку схеми мережі. Також ці функції використовуються для іменування
об'єктів.
Облік роботи мережі включає реєстрацію і управління
використовуваними ресурсами і пристроями. Ця функція оперує такими
поняттями як час використання і плата за ресурси.
Управління продуктивністю служить для представлення статистики
роботи мережі в реальному часі, мінімізації заторів і вузьких місць,
виявлення створених тенденцій та планування ресурсів для майбутніх
потреб.
Лист
ЧДТУ.221706.003 ПЗ т
Зм. Лист № докум. Підпис Дат 37
а
Управління безпекою включає в себе контроль доступу, збереження
цілісності даних і журнал. У функції входить процедура аутентифікации,
перевірки привілеїв, підтримка ключів шифрування, управління
повноваженнями. До цієї ж групи можна віднести важливі механізми
управління паролями, зовнішнім доступом, з'єднання з іншими мережами.
У цьому розділі детально розглядається захист інформації в
спроектованій локальній мережі приватного підприємства «ДІАМАНТ».
4.1 Захист від зовнішніх загроз
Досить ефективним методом методо захисту мережі від зовнішніх
загроз є використання міжмережного екрану (або мережного екрану) –
комплексу апаратних чи програмних засобів, який здійснює контроль і
фільтрацію мережних пакетів, що проходять через нього, відповідно до
заданих правил.
Основним завданням мережного екрану є захист комп'ютерних мереж
або окремих вузлів від несанкціонованого доступу. Також мережні екрани
часто називають фільтрами, так як їх основне завдання – не пропускати
(фільтрувати) пакети, які не підходять під критерії, визначені в конфігурації.
Нижче перераховані типові можливості мережних екранів:
 фільтрація доступу до свідомо незахищеним службам;
 перешкоджання отриманню закритої інформації із захищеноїпідмережі,
а також впровадження в захищену підмережу неправдивих даних за
допомогою уразливих служб;
 контроль доступу до вузлів мережі;
 може реєструвати всі спроби доступу як ззовні, так і з внутрішньої
мережі, що дозволяє вести облік використання доступу до Internet
окремими вузлами мережі;
 регламентування порядку доступу до мережі;
Лист
ЧДТУ.221706.003 ПЗ т
Зм. Лист № докум. Підпис Дат 38
а
 повідомлення про підозрілу діяльність, спроби зондування або атаки на
вузли мережі або сам екран.
Також є доцільним використання персонального фаєрволу (також
персональний брандмауер) – антивірусного програмного забезпечення, що
здійснює контроль і фільтрацію перехоплюваних мережних пакетів
відповідно до заданих правил. На відміну від міжмережного екрану,
персональний файрвол встановлюється безпосередньо на комп'ютері, що
захищається.
Фаєрволи можуть входити до складу антивірусного програмного
забезпечення (наприклад, ESET Smart Security). Але не треба нехтувати
стандартним брандмауером, який входить постачається разом із самою
операційною системою Windows.
Брандмауер обмежує мережний трафік на основі набору правил (rules),
які можна змінювати. Інша назва цих правил – винятки (exceptions). Коли
трафік досягає мережного інтерфейсу, брандмауер аналізує його, а потім
дозволяє пройти далі, або відкидає його на основі застосованих правил.
Windows використовує два брандмауера, які працюють разом: звичайний
брандмауер (Windows Firewall) і брандмауер в режимі підвищеної безпеки
(Windows Firewall with Advanced Security, WFAS). Основна відмінність між
цими брандмауерами – рівень складності правил, які можуть бути для них
налаштовані. Звичайний брандмауер Windows використовує прості правила,
які безпосередньо пов'язані з програмою або сервісом. WFAS дозволяє більш
складні правила фільтрації трафіку на основі портів, протоколів, адрес і
аутентифікації.
Також для підвищення інформаційної безпеки можна використовувати
додаткове програмне забезпечення (наприклад, програми-антишпіони -
antispy), поєднувати та комбінувати вже перелічені вище засоби. Але треба
бути впевненим у сумісності різних видів програмного забезпечення:
Лист
ЧДТУ.221706.003 ПЗ т
Зм. Лист № докум. Підпис Дат 39
а
конфлікти тільки нашкодять інформаційній безпеці. Також треба
використовувати лише перевірене та надійне програмне забезпечення.
4.2 Технологія захисту інформації у віртуальних приватних
мережах (VPN)
Абревіатура VPN розшифровується як Virtual Private Network –
«віртуальна приватна мережа». Суть цієї технології в тому, що при
підключенні до VPN сервера за допомогою спеціального програмного
забезпечення поверх загальнодоступної мережі у вже встановленому
з'єднанні організується зашифрований канал, що забезпечує високий рівень
захисту каналу інформації.
У загальному випадку VPN – це об'єднання локальних мереж або
окремих комп'ютерів, підключених до мережі загального користування, в
єдину віртуальну (накладену) мережу, що забезпечує конфіденційність і
цілісність переданої інформації. Використання технології VPN доцільно для
захист корпоративної мережі від дії вірусів, зловмисників, а також від інших
загроз, які є результатом помилок в конфігурації або адміністрування мережі.
Можна виділити три основні технології захисту інформації що
перетворюють накладену корпоративну мережу, побудовану на базі мережі
загального користування, у захищену віртуальну приватну мережу:
 шифрування;
 аутентифікація;
 контроль доступу.
Тільки реалізація всіх цих трьох властивостей дозволяє захистити
інформаційні ресурси корпорації та фізично незахищені канали зв'язку від
несанкціонованого доступу та витоку інформації.
4.2.1 Архітектура VPN
Лист
ЧДТУ.221706.003 ПЗ т
Зм. Лист № докум. Підпис Дат 40
а
Всі продукти для створення VPN можна умовно розділити на дві
категорії: програмні і апаратні. Програмне рішення для VPN - це, як правило,
готовий додаток, що встановлюється на підключеному до мережі окремому
комп'ютері.
Оскільки для побудови VPN на базі спеціалізованого програмного
забезпечення потрібне створення окремої комп'ютерної системи, такі
рішення зазвичай складніше для розгортання, ніж апаратні. Створення
подібної системи передбачає конфігурування сервера для розпізнавання
даного комп'ютера і його операційної системи, VPN-пакета, мережних плат
для кожного з'єднання і спеціальних плат для прискорення операцій
шифрування.
Розгортати апаратно VPN, безумовно, легше. Для цього необхідно
підключити мережне обладнання (комутатори, концентратори,
маршрутизатори), які підтримують VPN протоколи.
Можна виділити чотири основні варіанти побудови мережі VPN:
1. Варіант «Intranet VPN». Дозволяє об'єднати в єдину захищену
мережу кілька розподілених філій однієї організації, що взаємодіють по
відкритих каналах зв'язку. Саме цей варіант отримав широке поширення у
всьому світі, і саме його в першу чергу реалізують компанії-розробники.
2. Варіант «Remote Access VPN». Реалізує захищене взаємодія між
сегментом корпоративної мережі (центральним офісом або філією) і
одиночним користувачем, який підключається до корпоративних ресурсів з
дому (домашній користувач) або через ноутбук (мобільний користувач).
Віддалений користувач, як правило, не має статичної адреси, він
підключається до захищеного ресурсу не через виділений пристрій VPN, а зі
свого власного комп'ютера, на якому і встановлене програмне забезпечення,
що реалізовує функції VPN.
3. Варіант «Client/Server VPN». Технологія забезпечує захист
переданих даних між двома вузлами корпоративної мережі. Особливість
Лист
ЧДТУ.221706.003 ПЗ т
Зм. Лист № докум. Підпис Дат 41
а
даного варіанта в тому, що VPN будується між вузлами, що перебувають, як
правило, в одному сегменті мережі, наприклад, між робочою станцією і
сервером. Така необхідність дуже часто виникає в тих випадках, коли в одній
фізичній мережі необхідно створити декілька логічних мереж.
4. Варіант «Extranet VPN» призначений для мереж, до яких
підключаються так звані користувачі «з боку» (партнери, замовники,
клієнти), рівень довіри до яких набагато нижче, ніж до своїх співробітників.
4.2.2 Тунелювання
Тунелювання (tunneling) або інкапсуляція (encapsulation) - це спосіб
передачі інформації через проміжну мережу. Такою інформацією можуть
бути кадри (або пакети) іншого протоколу. При інкапсуляції кадр не
передається в згенерованому вузлом-відправником вигляді, а забезпечується
додатковим заголовком, містить інформацію про маршрут, що дозволяє
інкапсульованим пакетам проходити через проміжну мережу (Internet). На
кінці тунелю кадри деінкапсулюються і передаються одержувачу.
Цей процес (що включає інкапсуляцію і передачу пакетів) і є
тунелюванням. Логічна топологія транзитної мережі пересування
інкапсульованих пакетів називається тунелем.
VPN-пристрій розташовується між внутрішньою мережею і Internet на
кожному кінці з'єднання. Під час передачі даних через VPN, вони зникають
«з поверхні» в точці відправлення і знову з'являються тільки в точці
призначення. Завдяки тунелюванню приватна інформація стає невидимою
для інших користувачів. Перш ніж потрапити в Internet-тунель дані
шифруються, що забезпечує їх додатковий захист. Протоколи шифрування
визначаються VPN-рішенням.
Розглянемо протоколи які використовує VPN:
PPTP (Point-to-Point Tunneling Protocol) – тунельний протокол «точка-
точка». Протокол PPTP є розширенням протоколу PPP (Point-to-Point Protocol
Лист
ЧДТУ.221706.003 ПЗ т
Зм. Лист № докум. Підпис Дат 42
а
– протокол «точка-точка») і використовує механізми перевірки
автентичності, стиснення і шифрування цього протоколу.
Інкапсуляція. Кадр PPP поміщається в оболонку з заголовком GRE
(Generic Routing Encapsulation) і заголовком IP. У заголовку IP-адреси
відправника і отримувача відповідають VPN-клієнту і VPN-сервера.
L2TP (Layer Two Tunneling Protocol) – протокол тунелювання другого
рівня. L2TP використовує засоби шифрування, які надаються методом IPSec.
Комбінацію L2TP та IPSec називають L2TP/IPSec. Комбінація L2TP/IPSec
забезпечує роботу служб VPN, що виконують інкапсуляцію і шифрування
приватних даних.
Протокол L2TP встановлюється разом з протоколом TCP/IP. У
залежності від параметрів, вибраних у майстрі настройки сервера
маршрутизації та віддаленого доступу.
Інкапсуляція пакетів L2TP/IPSec виконується в два етапи:
 Інкапсуляція L2TP. Кадр PPP (IP-датаграма або IPX-датаграма)
поміщається в оболонку з заголовком L2TP і заголовком UDP.
 Потім отримане L2TP-повідомлення поміщається в оболонку з
заголовком і трейлером IPSec ESP (Encapsulating Security Payload),
трейлером перевірки автентичності IPSec, що забезпечує цілісність
повідомлення та перевірку справжності, і заголовком IP.
У заголовку IP-адреси відправника і отримувача відповідають VPN-
клієнту і VPN-сервера. Повідомлення L2TP шифрується з використанням
стандарту DES (Data Encryption Standard) або 3DES за допомогою ключів
шифрування, створених у процесі узгодження IKE (Internet Key Exchange -
обмін ключами в Інтернеті).
Протокол IPSec (Internet Protocol Security) являє собою систему
відкритих стандартів, призначених для забезпечення захищених
конфіденційних підключень через IP-мережі з використанням
криптографічних служб безпеки. Протокол IPSec підтримує однорангову
Лист
ЧДТУ.221706.003 ПЗ т
Зм. Лист № докум. Підпис Дат 43
а
перевірку справжності на рівні мережі, перевірку автентичності джерела
даних, цілісність даних, їх конфіденційність (шифрування) і захист
повторення.
Ядро IPSec складають три протоколи: протокол аутентифікації
(Authenti-cation Header, AH), протокол шифрування (Encapsulation Security
Payload, ESP) і протокол обміну ключами (Internet Key Exchange, IKE).
Функції з підтримання захищеного каналу розподіляються між цими
протоколами наступним чином:
 протокол AH гарантує цілісність і автентичність даних;
 протокол ESP шифрує передані дані, гарантуючи конфіденційність, але
він може також підтримувати аутентифікацію та цілісність даних;
 протокол IKE вирішує допоміжну задачу автоматичного надання
кінцевим точкам каналу секретних ключів, необхідних для роботи
протоколів аутентифікації і шифрування даних.
Для шифрування даних в IPSec може бути застосований будь-який
симетричний алгоритм шифрування, що використовує секретні ключі.
На основі аналізу технологій захисту інформації корпоративних мереж
найефективнішим методом захисту VPN є тунелювання на основі протоколів
PPTP, L2TP, IPSeс, інкапсульованих в TCP/IP пакетах. При інкапсуляції VPN
використовуються симетричні алгоритми криптографії.
4.3 Криптографічне закриття інформації
У комп’ютерних системах найефективнішими є криптографічні
способи захисту інформації, що характеризуються найкращим рівнем
захисту. Для цього використовуються програми криптографічного
перетворення (шифрування) та програми захисту юридичної значимості
документів (цифровий підпис). Шифрування забезпечує засекречування і
використовується в ряді інших сервісних служб. Шифрування може бути
симетричним і асиметричним. Перше базується на використанні одного і того
Лист
ЧДТУ.221706.003 ПЗ т
Зм. Лист № докум. Підпис Дат 44
а
ж секретного ключа для шифрування і дешифрування. Друге
характеризується тим, що для шифрування використовується один ключ, а
для дешифрування – інший, секретний. При цьому наявність і навіть знання
загальнодоступного ключа не дозволяє визначити секретний ключ. Для
використання механізмів криптографічного закриття інформації в локальній
обчислювальній мережі необхідна організація спеціальної служби генерації
ключів і їх розподіл між її абонентами.
Перелік деяких найвідоміших алгоритмів шифрування:
І. Метод DES (Data Encryption Standard), який був федеральним
стандартом США, розроблений фірмою IBM та рекомендований для
використання Агентством національної безпеки США. Алгоритм
криптографічного захисту відомий і опублікований. Він характеризується
такими властивостями:
 високим рівнем захисту даних проти дешифрування і можливої
модифікації даних;
 простотою розуміння;
 високим ступенем складності, яка робить його розкриття дорожчим від
отримуваного прибутку;
 методом захисту, який базується на ключі і не залежить від
«секретності» механізму алгоритму;
 економічністю в реалізації і ефективним в швидко дії алгоритмом.
Разом з тим йому властиві такі недоліки: малий розмір ключа. На даний
час апаратури, здатної виконати такі обсяги обчислень немає, але може
з’явитися;окремі блоки, що містять однакові дані будуть виглядати однаково,
що є погано з точки зору криптографії.
ІІ. Український стандарт шифрування даних ГОСТ 28147-89.
Єдиний алгоритм криптографічного перетворення даних для великих
інформаційних систем. Не накладає обмежень на ступінь секретності
інформації. Володіє перевагами алгоритму DEC і в той же час позбавленим
Лист
ЧДТУ.221706.003 ПЗ т
Зм. Лист № докум. Підпис Дат 45
а
від його недоліків. Крім того, в стандарт закладений метод, що дозволяє
зафіксувати невиявлену випадкову чи навмисну модифікацію зашифрованої
інформації. Однак загальним його недоліком є складність програмної
реалізації.
ІІІ. Метод з відкритим ключем (RSA). Шифрування проводиться
першим відкритим ключем, розшифрування – іншим секретним ключем.
Метод надзвичайно перспективний, оскільки не вимагає передачі ключа
шифрування іншим користувачам. Спеціалісти вважають, що системи з
відкритим ключем зручніше застосовувати для шифрування даних, що
передаються, ніж при збереженні інформації. Існує ще одна галузь
використання даного алгоритму – цифрові підписи, що підтверджують
справжність документів та повідомлень, що передаються. Проте і він не є
зовсім досконалим. Його недоліком є не до кінця вивчений алгоритм. Не
існує строгого доведення його надійності математичними методами.
Потрібно мати на увазі, що ніякий окремо взятий організаційний захід
чи найпотужніший засіб захисту не забезпечить сам по собі достатнього
рівня безпеки. Успіх справи залежить від комплексного застосування різних
засобів і методів, в створенні структури оборони з кількома рубежами і в
постійному їх вдосконаленні.
4.4 Електронний цифровий підпис
В умовах науково-технічного прогресу посилюється значимість
інформації в усіх сферах діяльності. Інформація розповсюджується різними
засобами, найшвидшим із яких є інтернет.
Для ідентифікації достовірності інформації використовують відповідні
технічні засоби. Зокрема для прискорення документообігу між суб’єктами
економічної діяльності було запроваджено електронний цифровий підпис, за
допомогою якого документи в електронній формі, можуть набувати такої
самої юридичної сили, що і документи на папері.
Лист
ЧДТУ.221706.003 ПЗ т
Зм. Лист № докум. Підпис Дат 46
а
Що ж воно таке – електронний цифровий підпис? Для чого він
використовується та кому він потрібен? Якими нормативними документами
регулюються питання щодо використання електронного цифрового підпису?
Що треба зробити, щоб почати використовувати цифровий підпис? Ці
питання задають собі всі, хто вперше зіткнувся з цим поняттям. Саме на це я
і спробую відповісти у цій статті.
Головним документом, що визначає поняття електронного цифрового
підпису та суміжні з ним питання є Закон України «Про електронний
цифровий підпис» вiд 22.05.2003 № 852-IV. Відповідно до нього:
електронний цифровий підпис — вид електронного підпису, отриманого за
результатом криптографічного перетворення набору електронних даних,
який додається до цього набору або логічно з ним поєднується і дає змогу
підтвердити його цілісність та ідентифікувати підписувача.
Для здійснення своєї діяльності підприємствам необхідно складати,
оброблювати, передавати, одержувати, зберігати, використовувати та
знищувати велику кількість документів. Для прискорення та спрощення цих
процесів використовуються документи у електронній формі. Сукупність цих
процесів називається електронним документообігом. Для того, щоб
електронні документи можна було вважати цілісними, тобто для того, щоб їх
юридична сила прирівнювалася до документів на папері, на них ставиться
електронний цифровий підпис.
На сьогоднішній день в Україні електронний документообіг між
підприємствами ще не набув широкого використання. Проте документообіг у
електронній формі все більше використовується у взаємовідносинах між
підприємствами та державними органами. За допомогою спеціального
програмного забезпечення бухгалтер може скласти та відправити обов’язкову
регулярну звітність до податкової інспекції, пенсійного фонду або до інших
державних органів у найкоротші терміни. Йому більше не потрібно їхати до
Лист
ЧДТУ.221706.003 ПЗ т
Зм. Лист № докум. Підпис Дат 47
а
державного органу, вистоювати там у чергах та тратити свій дорогоцінний
час.
Подання звітності у електронній формі до різних державних органів
має свої особливості, проте у загальній формі цей процес можна описати
наступним чином:
Спочатку треба отримати сам електронний цифровий підпис та
посилені сертифікати відкритих ключів для посадових осіб, що мають право
підпису та печатку юридичної особи в будь-якому включеному до системи
подання податкових документів в електронному вигляді акредитованому
центрі сертифікації ключів.
Потім необхідно узгодити всі питання щодо подання електронної
звітності з відповідним державним органом, шляхом укладання договору, та
надати посилені сертифікатів ключів на електронному носії. При цьому фірмі
надається вся інформація, що необхідна для відправлення електронних звітів.
Після цих простих дій фірма має можливість відправляти обов’язкові
регулярні звіти до державних органів електронною поштою, за допомогою
електронного цифрового підпису.
Важливість впровадження електронного цифрового підпису важко
переоцінити. Завдяки йому документообіг між суб’єктами економічної
діяльності значно прискорюється, він дає можливість електронним
документам набувати такої самої юридичної сили, що і документи на папері
із власноручним підписом та мокрою печаткою. Сфера використання
електронного цифрового підпису надалі буде тільки розширюватися та
засоби тільки вдосконалюватися.
4.5 Безпека передачі даних в мережах Wi-Fi
Як і будь-яка комп'ютерна мережа, Wi-Fi – є джерелом підвищеного
ризку несанкціонованого доступу. Крім того, проникнути в бездротову
Лист
ЧДТУ.221706.003 ПЗ т
Зм. Лист № докум. Підпис Дат 48
а
мережу значно простіше, ніж в звичайну, — не потрібно підключатися до
проводів, досить опинитися в зоні прийому сигналу.
Бездротові мережі відрізняються від кабельних тільки на перших двох -
фізичному (Phy) і частково канальному (MAC) – рівнях семирівневої моделі
взаємодії відкритих систем. Вищі рівні реалізуються в дротяних мережах, а
реальна безпека мереж забезпечується саме на цих рівнях. Тому різниця в
безпеці тих і інших мереж зводиться до різниці в безпеці фізичного і MAC -
рівнів. Якщо налаштуванню мережі не приділити належної уваги зловмисник
може:
 дістати доступ до ресурсів і дисків користувачів Wi-Fi-мережі, а через
неї і до ресурсів LAN;
 підслуховувати трафік, витягувати з нього конфіденційну інформацію;
 спотворювати інформацію, що проходить в мережі;
 скористатися інтернет-трафіком;
 атакувати ПК користувачів і сервери мережі;
 упроваджувати підроблені точки доступу;
 розсилати спам, і здійснювати інші протиправні дії від імені вашої
мережі.
Для захисту мереж 802.11 передбачений комплекс заходів безпеки
передачі даних.
На ранньому етапі використання Wi-Fi мереж таким був пароль SSID
(Server Set ID) для доступу в локальну мережу, але з часом виявилось, що
дана технологія не може забезпечити надійний захист.
Головним же захистом довгий час було використання цифрових ключів
шифрування потоків даних за допомогою функції Wired Equivalent Privacy
(WEP). Самі ключі вдають із себе звичайні паролі з довжиною від 5 до 13
символів ASCII. Дані шифруються ключем з розрядністю від 40 до 104 бітів.
Але це не цілий ключ, а тільки його статична складова. Для посилення
захисту застосовується так званий вектор ініціалізації Initialization Vector
Лист
ЧДТУ.221706.003 ПЗ т
Зм. Лист № докум. Підпис Дат 49
а
(IV), який призначений для рандомізації додаткової частини ключа, що
забезпечує різні варіації шифру для різних пакетів даних. Даний вектор є 24-
бітовим. Таким чином, в результаті ми отримуємо загальне шифрування з
розрядністю від 64 (40+24) до 128 (104+24) бітів, в результаті при
шифруванні ми оперуємо і постійними, і випадково підібраними символами.
Як показав час, WEP теж виявилася не найнадійнішою технологією
захисту. IEEE 802.1X — це новий стандарт, який виявився ключовим для
розвитку індустрії бездротових мереж в цілому. За основу узято виправлення
недоліків технологій безпеки, вживаних в 802.11, зокрема, можливість злому
WEP, залежність від технологій виробника і тому подібне. Стандарт IEEE
802.1X використовує варіант динамічних 128-розрядних ключів шифрування,
тобто ключі, які періодично змінюються в часі. Таким чином, користувачі
мережі працюють сеансами, після закінчення яких їм присилається новий
ключ. Всі ключі є 128-розрядними за замовчанням.
В кінці 2003 року був упроваджений стандарт Wi-Fi Protected Access
(WPA), який суміщає переваги динамічного оновлення ключів IEEE 802.1X з
кодуванням протоколу інтеграції тимчасового ключа TKIP, протоколом
розширеної аутентифікації (EAP) і технологією перевірки цілісності
повідомлень MIC. WPA — це тимчасовий стандарт, про який домовилися
виробники устаткування, поки не набув чинності IEEE 802.11i.
Таким чином, WPA = 802.1X + EAP + TKIP + MIC,
де WPA – технологія захищеного доступу до бездротових мереж
EAP – протокол розширеної аутентифікації (Extensible Authentication
Protocol)
TKIP – протокол інтеграції тимчасового ключа (Temporal Key Integrity
Protocol)
MIC – технологія перевірки цілісності повідомлень (Message Integrity
Check).
Лист
ЧДТУ.221706.003 ПЗ т
Зм. Лист № докум. Підпис Дат 50
а
Стандарт TKIP використовує автоматично підібрані 128-бітові ключі,
які створюються непередбачуваним способом і загальне число варіацій яких
досягає 500 мільярдів. Складна ієрархічна система алгоритму підбору ключів
і динамічна їх заміна через кожних 10 кбайт (10 тис. переданих пакетів)
роблять систему максимально захищеною.
Від зовнішнього проникнення і зміни інформації також обороняє
технологія перевірки цілісності повідомлень (Message Integrity Check).
Достатньо складний математичний алгоритм дозволяє звіряти відправлені в
одній точці і отримані в іншій дані. Якщо відмічені зміни і результат
порівняння не сходиться, такі дані вважаються помилковими і викидаються.
WPA2 визначається стандартом IEEE 802.11i, прийнятим у червні 2004
року, і покликаний замінити WPA. У ньому реалізовано CCMP і шифрування
AES, за рахунок чого WPA2 став більш захищеним, ніж свій попередник. З
13 березня 2006 підтримка WPA2 є обов'язковою умовою для всіх
сертифікованих Wi-Fi пристроїв.
CCMP – протокол шифрування 802.11i створений для заміни TKIP,
обов'язкового протоколу шифрування в WPA і WEP, як більш надійний.
CCMP є обов'язковою частиною стандарту WPA2, і необов'язковою
частиною стандарту WPA.
Сьогодні бездротову мережу вважають захищеною, якщо в ній
функціонують три основних складових системи безпеки: аутентифікація
користувача, конфіденційність і цілісність передачі даних. Для отримання
достатнього рівня безпеки необхідно скористатися рядом правил при
організації і настройці приватної Wi-Fi-мережі:
 шифрувати дані шляхом використання різних систем. Максимальний
рівень безпеки забезпечить застосування VPN;
 використовувати протокол 802.1X;
 заборонити доступ до налаштувань точки доступу за допомогою
бездротового підключення;
Лист
ЧДТУ.221706.003 ПЗ т
Зм. Лист № докум. Підпис Дат 51
а
 управляти доступом клієнтів по MAC-адресам;
 заборонити трансляцію в ефір ідентифікатора SSID;
 розташовувати антени якнайдалі від вікон, зовнішніх стін будівлі, а
також обмежувати потужність радіовипромінювання;
 використовувати максимально довгі ключі;
 змінювати статичні ключі і паролі;
 використовувати метод WEP-аутентификации "Shared Key" оскільки
клієнтові для входу в мережу необхідно буде знати WEP-ключ;
 користуватися складним паролем для доступу до налаштувань точки
доступу;
 по можливості не використовувати в бездротових мережах протокол
TCP/IP для організації папок, файлів і принтерів загального доступу.
Організація ресурсів, що розділяються засобами NETBEUI, в даному
випадку безпечніша.
Так само загрозу мережній безпеці можуть представляти природні
явища і технічні пристрої, проте тільки люди (незадоволені звільнені
службовці, хакери, конкуренти) проникають в мережу для навмисного
отримання або знищення інформації і саме вони представляють найбільшу
загрозу.
З розглянутих вище засобів захисту інформації в мережі приватного
підприємства «ДІАМАНТ» планується використати:
– стандартний брандмауер Windows з певним набором правил;
– стандарт WPA2 – для захисту бездротових мереж;
– технологія VPN – для організації доступу до мережі поза територією
фірми;
– електронний цифровий підпис – для захисту документів.
Лист
ЧДТУ.221706.003 ПЗ т
Зм. Лист № докум. Підпис Дат 52
а
ВИСНОВКИ
У результаті виконання кваліфікаційної роботи бакалавра розроблено
проект локальної мережі приватного підприємства «ДІАМАНТ», яка
відповідає всім поставленим вимогам. У роботі виконано вибір технології
побудови мережі, топології та середовища передавання даних, проведено
вибір комунікаційного устаткування, розраховані основні параметри
продуктивності комп’ютерної мережі та навантаження на сервер, вжито
заходи для забезпечення захисту інформації в мережі.
Реалізація розробленої мережі дозволить збільшити ефективність
роботи фірми: зростання прибутку, підвищення якості роботи, скоротити
паперовий документообіг, прискорити обробку інформації, ефективно
здійснювати взаємодію різних відділів.
Розрахунки параметрів мережі повністю доводять працездатність
мережі та підтверджують правильність основних рішень побудови мережі та
вибору апаратного забезпечення.
Кваліфікаційна робота бакалавра виконана в повному обсязі згідно
технічного завдання.
Лист
ЧДТУ.221706.003 ПЗ т
Зм. Лист № докум. Підпис Дат 53
а
Фор Зона Поз Позначення Найменування Кіл. Примітка
Документація
А4 ЧДТУ.221706.003 ПЗ Пояснювальна записка
А4 ЧДТУ.221706.003 Д1 Топологія
А4 ЧДТУ.221706.003 Е6 Схема електрична загальна
А4 ЧДТУ.221706.003 ПЕ6 Перелік елементів
Покупні вироби
Сервер PowerEdge T420 1
Маршрутизатор D-Link DSR-500 1
Комутатор D-Link DGS-1210-20/ME 1
Комутатор D-Link DGS-1210-10/ME 4
Точка доступу D-Link DWL 2600AP 5
Мережне сховище Synology DiskStation
DS414J 1
Конектор RJ-45 86
Матеріали
Кабель UTP cat. 5 Кручена пара L=240 м
ЧДТУ.221706.003
Зм. Лист № докум. Підпис Дата
Розробив Кучеряв К.М. Літера Лист Листів
Перевірив Гресько С.О. Локальна мережа Н 1
Рецензент Ярмоленко М.В. приватного підприємства
Н. контроль Гресько С.О. «ДІАМАНТ» Кафедра ІБ та КІ
гр. ЗКМ-175
Затвердив Рудницький В.М.
ЧДТУ.221706.003 Д1
Локальна мережа Літ. Маса Масштаб
Змн. Арк. № докум. Підпис Дат
Розроб. Кучерява К.М. а приватного підприємства Н
Перевір. Гресько С.О. «ДІАМАНТ»
Т. Контр. Топологія Арк. Аркушів 1
Реценз. Ярмоленко М.В
Н. Контр. Гресько С.О. Кафедра ІБ та КІ, гр. ЗКМ-
Затверд. Рудницький 175
В.М.
ЧДТУ.221706.003 Е6
Змн. Арк. № докум. Підпис Дат Локальна мережа Літ. Маса Масштаб
Розроб. Кучерява К.М. а приватного підприємства Н
Перевір. Гресько С.О. «ДІАМАНТ»
Т. Контр. Схема електрична Арк. Аркушів 1
Реценз. Ярмоленко М.В загальна
Н. Контр. Гресько С.О. Кафедра ІБ та КІ, гр. ЗКМ-
Затверд. Рудницький 175
В.М.
Позначення Найменування Кіл. Примітка
А1 Сервер PowerEdge T420 1
А2 Комутатор D-Link DGS-1210-10/ME 4
А3 Мережний адаптер D-Link DGE-528T 31
А4 Точка доступу D-Link DWL-2600AP 5
А5 Робоча станція 30
А6 Мережне сховище Synology DiskStation DS414J 1
А7 Комутатор D-Link DGS-1210-20/ME 1
А8 Маршрутизатор D-Link DSR-500 1
ХР1-ХР86 Конектор RJ-45 86
1 Кабель UTP - cat.5е 35 L=2м
2 Кабель UTP - cat.5е 2 L=15м
3 Кабель UTP - cat.5е 5 L=20м
4 Кабель UTP - cat.5е 1 L=40м
ЧДТУ.221706.003 ПЕ6
Зм. Лист № докум. Підпис Дата
Розробив Кучерява К.М. Літера Лист Листів
Перевірив Гресько С.О. Локальна мережа
приватного підприємства Н 1
Рецензент Ярмоленко М.В. «ДІАМАНТ»
Н. контроль Гресько С.О. Кафедра ІБ та КІ
контроль Рудницький В.М. Перелік елементів група ЗКМ-175
Затвердив
Затверд.З
атвердив
СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ
1. Комп’ютерні мережі [навчальний посібник] / А.Г. Микитишин, М.М.
Митник, П.Д. Стухляк, В.В. Пасічник – Львів, «Магнолія 2006», 2013. –
256 с.
2. Болілий В.О. Комп'ютерні мережі: навчальний посібник / В.О.Болілий,
В. В. Котяк. – Кіровоград: ЦОП Авангард, 2008. –146 с.
3. Буров Є. Комп’ютерні мережі / Є.Буров. – [видання 2-ге]. – Львів, 2009.
– 298 с.3. Камер Д. Сети TCP/IP: Т.
4. Комп’ютерні мережі [Текст]: 2-ге оновл. і доп. вид. / Є. Буров; ред. В.
Пасічник. – Л.: БаК, 2003. – 584 с.
5. Валецька Т.М. Комп’ютерні мережі: Апаратні засоби.– Чернівці: Зелена
Буковина, 2001. – 138 с.
6. Організація комп’ютерних мереж [Електронний ресурс]: підручник. КПІ
ім. Ігоря Сікорського; Ю.А. Тарнавський, І.М. Кузьменко. – Київ : КПІ
ім. Ігоря Сікорського, 2018. – 259с.
7. Stallings W. Data and Computer Communications 10th - Pearson, 2013. –
912 p.
8. Сучасні мережеві технології: [навч. посіб.] / Рижов О.А., Андросов А.І.,
Іванькова Н.А. - Запоріжжя: [ЗДМУ], 2018 – 68 с.
9. Апаратні засоби персональних комп’ютерів : [навч. посіб.] / Н.П.
Кухарська. – Львів: СПОЛОМ, 2013. – 248 с.
10.Телекомунікаційні системи передавання інформації : [навч. посіб.] / М.
М. Климаш, Р.С. Колодій. – Львів : В-во "Львівської політехніки", 2018.
– 632 с.
11.Computer networking: a top-down approach 6th ed [Electronic resource] /
James F. Kurose, Keith W. Ross. – Polytechnic University, Brooklyn.:
Pearson. – 2013.
Лист
ЧДТУ.221706.003 ПЗ т
Зм. Лист № докум. Підпис Дат 58
а
12.Кулаков Ю.А., Луцкий Г.М. Компьютерные сети: Учебное пособие, К.:
Юниор, 1998. – 350 с.
13.Кулаков Ю.А., Луцкий Г.М. Локальные сети: Учебное пособие, К.:
Юниор, 1998. – 336 с.
14.Уолл Д Использование World Wide Web. 2-е издание: Пер. с англ. - К:
Диалектика, 1997. - 432с.
15.Хоникатт Д. Использование Internet. 2-е издание: Пер. с англ. - К:
Диалектика, 1997. - 304с.
16.Шатт С. Мир компьютерных сетей: Пер. с англ. - К.: BHV, 1996. - 288с.
17.Larry L. Peterson, Bruce S. Davie. Computer Networks: A Systems Approach
/ The Morgan Kaufman series in Networking – 1999. – 776 p.
18.Сучасні мережеві технології: [навч. посіб.] / Рижов О.А., Андросов А.І.,
Іванькова Н.А. - Запоріжжя: [ЗДМУ], 2018 – 68 с.
19.David G. Messerschmitt. Networked Applications: A Guide to the New
Computing Infrastructure – The Morgan Kaufman series in Networking, 1999
– 396p.
20.Юрченко О. М. Захист інформації в комп’ютерних системах від
несанкціонованого доступу: навч. посібник /Заредаг. С.Г. Лаптєва. –К.:
Вид-во Європ. університету, 2001. –321 с.
Лист
ЧДТУ.221706.003 ПЗ т
Зм. Лист № докум. Підпис Дат 59
а