Попов_Е_Ф_Дипломная_работа
advertisement
РОССИЙСКАЯ ФЕДЕРАЦИЯ МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ ГОСУДАРСТВЕННОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ ТЮМЕНСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ИНСТИТУТ МАТЕМАТИКИ И КОМПЬЮТЕРНЫХ НАУК Кафедра информационной безопасности Допустить к защите в ГАК Заведующий кафедрой информационной безопасности, д.т.н., профессор А.А. Захаров “____” _________ 2013 г. Попов Евгений Федорович Использование технологий эмуляции оборудования для подготовки специалистов по информационной безопасности (Выпускная квалификационная работа) Научный руководитель: д.т.н., профессор __________ Захаров А.А. Автор работы: __________ Попов Е.Ф. Тюмень - 2013 2 СОДЕРЖАНИЕ ВВЕДЕНИЕ .............................................................................................................. 3 1. ОБЗОР СИСТЕМ ДЛЯ ПРОВЕДЕНИЯ ПРАКТИЧЕСКИХ ЗАНЯТИЙ ...... 5 1.1. Лаборатория на базе реального оборудования ........................................ 5 1.2. Удаленная лаборатория NETLAB ............................................................. 6 1.3. Программные эмуляторы сетевого оборудования .................................. 8 1.3.1. Boson NetSim......................................................................................... 9 1.3.2. Cisco Packet Tracer .............................................................................. 11 1.3.3. Dynamips.............................................................................................. 14 1.3.4. GNS3 .................................................................................................... 16 1.4. Сравнение стоимости использования существующих систем ............ 18 1.4.1. Лаборатории для подготовки к экзамену CCNA ............................ 19 1.4.2. Лаборатории для подготовки к экзамену CCNA Security .............. 23 1.4.3. Лаборатории для подготовки к экзаменам CCNP ........................... 26 2. СИСТЕМА ЭМУЛЯЦИИ СЕТЕВОГО ОБОРУДОВАНИЯ ......................... 29 2.1. Структура системы ..................................................................................... 29 2.2. Подсистема эмуляции устройств............................................................... 29 2.3. Подсистема виртуальных транспортных магистралей ........................... 31 2.4. Подсистема управления ............................................................................. 34 2.5. Подсистема терминального доступа ......................................................... 38 2.6. Сравнение системы эмуляции с другими системами для проведения практических занятий ........................................................................................ 44 3. ТИПОВЫЕ ВИРТУАЛЬНЫЕ ЛАБОРАТОРИИ ............................................ 49 ЗАКЛЮЧЕНИЕ ..................................................................................................... 53 СПИСОК ЛИТЕРАТУРЫ..................................................................................... 54 3 ВВЕДЕНИЕ Количество пользователей, обладающих доступом к сети Интернет, с каждым годом возрастает, все больше устройств, используемых в повседневной жизни, требуют подключения к сети. С развитием сетевых технологий возрастает способных создавать и спрос на квалифицированных поддерживать защищенные специалистов, информационные инфраструктуры. Эффективность и надежность работы сетевой инфраструктуры, будь то корпоративная сеть предприятия, распределенная телекоммуникационная инфраструктура или система доступа удаленных пользователей, во многом определяется правильностью выбора программного и аппаратного обеспечения и его настройки. Для того чтобы правильно создавать новые информационные инфраструктуры или производить качественную модернизацию существующих систем необходимо обладать практическими навыками и опытом в работе с реальными инфраструктурами. Основным источником опыта для студента являются практические занятия. Наиболее часто для практических занятий используются лаборатории на базе реального оборудования и программные эмуляторы сетевого оборудования. Основным минусом лаборатории на базе реального оборудования является отсутствие гибкости, заданный набор оборудования не может быть свободно изменен, по причине высокой стоимости сетевого оборудования, а количество устройств в большинстве таких лабораторий не позволяет создавать копии реальных информационных инфраструктур. Программные эмуляторы оборудования являются значительно менее дорогим решением для проведения практических занятий, чем лаборатории из реального оборудования. Но ограничения в функциональности устройств и высокие требования к производительности не позволяют эмулировать 4 достаточно устройств, поддерживающих все необходимые технологии, чтобы создавать копии крупных сетей передачи данных. Целью данной работы является разработка программно- методического комплекса, позволяющего создавать виртуальные копии реальных информационных инфраструктур и проводить на их базе практические занятия. Для достижения данной цели необходимо выполнить следующие задачи: изучить и проанализировать существующие системы, используемые в проведение практических занятий по сетевым технологиям разработать систему эмуляции сетевого оборудования, позволяющую создавать виртуальные копии реальных сетевых инфраструктур различного размера; разработать три типовых виртуальных лаборатории для специалистов по информационной безопасности, позволяющих развивать навыки работы в сфере защиты распределенных информационных систем. 5 1. ОБЗОР СИСТЕМ ДЛЯ ПРОВЕДЕНИЯ ПРАКТИЧЕСКИХ ЗАНЯТИЙ 1.1. Лаборатория на базе реального оборудования Наиболее комплексным решением для проведения практических занятий по сетевым технологиям является лаборатория на базе реальных сетевых устройств. Подобная лаборатория позволяет получить навыки работы не только с технологиями и протоколами, используемыми сетевым оборудованием, но и навыки обслуживания самих устройств. Явным преимуществом является возможность самостоятельно переключать устройства и создавать любые топологии, которые ограничены только возможностями сетевых устройств и наличием кабелей. Наличие прямого доступа к устройствам, являющееся несомненным плюсом, имеет и отрицательные стороны. Для проведения практических занятий студенты должны находиться непосредственно рядом с устройствами. Существуют средства, позволяющие обеспечить удаленный доступ к сетевым устройствам, но они имеют определенные требования и ограничения. Удаленный доступ может быть настроен через протоколы удаленного администрирования, такие как Telnet или SSH, но для этого необходимо обеспечить подключения сетевой лаборатории к сетевой инфраструктуре, из которой будет осуществляться доступ. Подключение через Telnet и SSH является наиболее простым решением, но оно не позволяет управлять устройством в момент перезагрузки или перегруженности процессора, что исключает возможность получения ряда необходимых навыков, и необходимость подключения к сетевой инфраструктуре влечет риски полной потери удаленного доступа в случае совершения ряда ошибок студентом в процессе выполнения работ. Вторым средством для удаленного доступа к сетевой лаборатории является терминальный сервер, который позволяет получать по сети доступ к портам 6 управления сетевых устройств (подробнее лаборатории, использующие терминальный сервер, будут рассмотрены в следующем разделе на примере комплекса NetLab). Гибкость лабораторий из реального оборудования ограничивается количеством и моделями закупленного оборудования. Так как сетевое оборудование является дорогостоящим, большинство учебных учреждений не обладает возможность создания парка, позволяющего строить сетевые инфраструктуры большого размера, а так же содержащего оборудование, используемое в промышленных сетях. Даже с учетом того, что компания Cisco Systems предоставляет для учебных учреждений возможность приобретения комплексов из устройств, которые могут использоваться для обучения, с ощутимой скидкой, которая может достигать 70 процентов, что значительно облегчает закупку оборудования. 1.2. Удаленная лаборатория NETLAB Netlab представляет собой программно-аппаратный комплекс, который позволяет удаленно контролировать реальные маршрутизаторы, коммутаторы и виртуальные ПК через веб-браузер, что позволяет выполнять лабораторные работы с любого компьютера, который имеет подключение к Интернету [3]. Использование сети Интернет значительно облегчает процесс взаимодействия с сетевым оборудованием. Студенты из любого города или страны могут вести работу со средой обучения, которая позволяет преподавателю вести контроль за выполнением работы в реальном времени, подключаясь к оборудованию одновременно со студентом. Система Netlab является простой в использовании и настройке, ни студенту, ни преподавателю не требуется проводить сложные конфигурации или 7 использовать специфичное программное обеспечение, для работы необходим лишь веб-браузер, а управление всеми функциями заложено в интуитивнопонятный веб-интерфейс. Работа системы NetLab обеспечивается специализированным устройством, которое выполняет роль веб-сервера, предоставляющего доступ конечным пользователям, и терминального сервера, подключенного к портам управления сетевыми устройствами. Терминальный сервер предоставляет подключенным по сети пользователям доступ к портам управления сетевых устройств, что позволяет управлять устройствами даже в момент перезагрузки или перегрузки процессора и не позволит студенту, даже умышленно, нарушить доступность сетевой лаборатории. Помимо функций стандартного терминального сервера, NetLab позволяет контролировать сессии подключений, автоматически сохранять копии конфигураций для пользователя, автоматически очищать конфигурации при начале сеанса работы новым пользователем или загружать ранее сохраненную конфигурацию при возобновлении работы. Помимо управления конфигурациями, NetLab позволяет контролировать уровни доступа различных пользователей, можно открыть доступ отдельному студенту на определенные устройства и в определенное время. Контроль доступа позволяет реализовать одновременное подключение нескольких пользователей к системе, исключая совместную работу на одном устройстве, или обеспечить доступ к сетевой лаборатории поочередно, по жестко заданному расписанию [4]. Система NetLab очень удобна в процессе проведения практических занятий, как для студента, так и для преподавателя, но возникает ряд ограничений. При удаленном подключении теряется гибкость в модификации топологий, студент, находящийся в другом городе, не может изменить схему физического подключения устройств, и большинство арендодателей, предоставляющих удаленные сетевые лаборатории, 8 отказываются вносить какие-либо изменения в типовые лаборатории. Так как доступ по сети является единственным способом доступа к сетевой лаборатории, возникает зависимость от качества связи и доступности удаленной сетевой лаборатории. Аренда удаленной лаборатории является хорошей альтернативой приобретению собственного оборудования, когда возникает необходимость подготовиться к сдаче экзамена для сертификации или опробовать теоритические знания на практике. Но стоимость аренды удаленной лаборатории остается достаточно высокой, чтобы прибегать к ее использованию слишком часто, и если требуется постоянно проводить обучение большого количества людей, лаборатория из собственного оборудования является более выгодным решением. Система NetLab может стать частью собственной сетевой лаборатории и использоваться для упрощения доступа к оборудованию и повышению качества практических занятий. 1.3. Программные эмуляторы сетевого оборудования Наиболее простым решением для проведения лабораторных работ являются программные эмуляторы оборудования. Они не требуют больших затрат, так как нет необходимости приобретать сетевое оборудование или платить аренду за удаленную лабораторию, все, что необходимо, это персональный компьютер и программный эмулятор, которые обычно распространяются свободно и являются полностью бесплатными. Большинство эмуляторов достаточно удобны в использовании, так как предоставляют инфраструктурой, графический что бывает интерфейс намного для управления удобнее чем сетевой управление подключениями устройств в лаборатории из реальных устройств. Но 9 создаваемые виртуальные устройства обладают рядом ограничений, часто сильно ограничены функциональные возможности, снижена производительность, по сравнению с реальным сетевым оборудованием. Так же усложняется контроль выполнения заданий со стороны преподавателя, так как каждый обучающийся эмулирует свою собственную сетевую инфраструктуру, никак не связанную с другими, и отсутствует централизованная точка контроля, которая позволила бы преподавателю получить доступ к конфигурациям сетевых устройств или мониторингу действий обучающихся. Рассмотрим подробнее наиболее популярные эмуляторы, позволяющие создать виртуальные копии сетевого оборудования производства компании Cisco Systems. 1.3.1. Boson NetSim Одним из первых эмуляторов сетевого оборудования Cisco является Boson NetSim. Это приложение эмулирует программное и аппаратное обеспечение сетевых устройств. Управление сетевой топологией производится через графический интерфейс, что позволяет быстро и удобно создавать новые топологии, модифицировать существующие или достаточно быстро разбираться в схеме сети. Преимуществом Boson NetSim является количество моделей сетевых устройств, которые поддерживаются эмулятором, но в итоге практически все различные модели из схожих серий работают абсолютно одинаково, так как они не отличаются друг от друга по функциональности, а отличия в производительности не заметны в условиях эмуляции на персональном компьютере [5]. 10 Рис. 1.3.1. Графический интерфейс эмулятора Boson NetSim. За счет того, что Boson NetSim производит эмуляцию и аппаратной и программной частей сетевого оборудования, виртуальные устройства обладают значительно меньшими функциональными возможностями, чем реальное сетевое оборудование. Но список поддерживаемых эмулируемыми сетевыми устройствами протоколов и стандартов позволяет производить практические занятия по большому ряду курсов. Например, полностью поддерживается набор технологий необходимых для подготовки к сдаче экзаменов для прохождения сертификации CCNA (Cisco Certified Network Associate) и CCNP (Cisco Certified Network Professional) и поддерживается большая часть технологий необходимых для CCIE (Cisco Certified Internetwork Expert) [6]. 11 Помимо стандартных устройств, таких как коммутаторы и маршрутизаторы, Boson NetSim позволяет эмулировать многоуровневые коммутаторы (коммутаторы поддерживающие функции маршрутизации), IPтелефоны, беспроводные точки доступа, аппаратные межсетевые экраны. Это позволяет проводить практические занятия по подготовке к сертификационным экзаменам по различным направлениям, таким как CCNA Security (Cisco Certified Network Associate Security), CCNA Voice (Cisco Certified Network Associate Voice), CCNA Wireless (Cisco Certified Network Associate Wireless), CCNA Service Provider (Cisco Certified Network Associate Service Provider) [7]. Важным отличием Boson NetSim от всех остальных рассматриваемых в рамках данной работы программных средств эмуляции является то, что он распространяется платно, что, несомненно, снижает его популярность по сравнению с остальными эмуляторами сетевого оборудования Cisco. 1.3.2. Cisco Packet Tracer Самым популярным эмулятором сетевого оборудования является Cisco Packet Tracer, это эмулятор, разработанный самой компанией Cisco Systems для обучения начинающих специалистов. Packet Tracer получил большое распространение за счет необходимости его применения для прохождения обучения в рамках программ Cisco Network Academy, сетевой академии, в которой ежегодно проходят обучение десятки тысяч начинающих специалистов [8]. Создание сетевой инфраструктуры и последующая модификация происходит через графический интерфейс, который является интуитивно понятным и наиболее удобных из графических интерфейсов управления, предоставляемых рассматриваемыми программными средствами эмуляции 12 сетевого оборудования. Интерфейс хорошо адаптирован для начинающих специалистов и очень сильно упрощает процесс создания новых сетевых инфраструктур или запуск и настройку необходимых для проведения практических занятий сервисов, таких как web-сервер или tftp-сервер [9]. Рис. 1.3.2. Графический интерфейс эмулятора Cisco Packet Tracer Cisco Packet Tracer производит эмуляцию как аппаратной, так и программной части сетевого оборудования, что неизбежно ограничивает функциональные возможности эмулируемых устройств, но, в то же время, позволяет создавать виртуальные сетевые устройства, которые не требовательны к вычислительным мощностям. Таким образом, Packet Tracer позволяет создавать копии больших сетевых инфраструктур, вот только эмулируемые устройства не поддерживают очень большое количество технологий, используемых в реальных крупных сетях. 13 Основное назначение эмулятора Packet Tracer в создании виртуальных сетей для проведения практических работ для подготовки к сертификационным экзаменам CCNA (Cisco Certified Network Associate) и CCNA Security (Cisco Certified Network Associate Security). Помимо стандартных маршрутизаторов и коммутаторов Packet Tracer поддерживает эмуляцию IP-телефонов, беспроводных точек доступа и серверов с набором стандартных служб, что расширяет область применения эмулятора, но не настолько, чтобы покрыть подготовку к какому-либо еще сертификационному экзамену компании Cisco. В Packet Tracer встроено множество средств, упрощающих изучение работы сетевой инфраструктуры, таких как сниферы, позволяющие получить подробную информацию о всех блоках данных передаваемых тому или иному устройству, генераторы сетевого трафика, позволяющие искусственно создавать нагрузку, и средства отображения потоков данных, позволяющие проследить маршрут прохождения сети любым пакетом или процесс изменения пакета при прохождении различных устройств. Packet Tracer является удобным средством эмуляции сетевого оборудования не только для обучающегося, но и для преподавателя. В эмулятор встроены средства автоматической проверки выполнения задания. Преподаватель может разработать лабораторную работу для Packet Tracer, которая будет автоматически проверять степень выполнения задания, и вместо проверки вручную правильности работы всех протоколов и корректности введённых команд, достаточно воспользоваться автоматической проверкой, которая определит процент выполнения задания и работоспособность основных сервисов. Таким образом, эмулятор Cisco Packet Tracer является оптимальным инструментом для проведения практических занятий при обучении по базовым курсам компании Cisco и при подготовке к экзаменам уровня специалиста. Но для обучения по более сложным курсам или подготовки к 14 экзаменам профессионального и экспертного уровня придется подбирать другой эмулятор. 1.3.3. Dynamips Наиболее мощным программным эмулятором сетевого оборудования Cisco является Dynamips, который эмулирует лишь аппаратную часть сетевого устройства, а поверх нее запускает реальный образ операционной системы Cisco IOS. Этот эмулятор позволяет получить полностью функциональное виртуально сетевое устройство, а значит, список поддерживаемых технологий и протоколов зависит от версии Cisco IOS, а не от ограничений эмулятора. По сравнению с другими рассмотренными программными эмуляторами Dynamips имеет значительно более сложный интерфейс настройки и управления. Вся настройка выполняется в текстовых конфигурационных файлах, а управление производится через командную строку, никаких стандартных графических инфраструктурой или средств отображения управления виртуальной информации о сетевой структуре и функционировании нет. Для большинства начинающих специалистов, или тех, кто привык пользоваться эмуляторами с графическим интерфейсом и по необходимости расширения функциональных возможностей устройств переходит на Dynamips, управление через командную строку и текстовые конфигурационные файлы являются серьезным препятствием. Запуск операционной системы Cisco IOS на эмулируемом устройстве требует высоких вычислительных мощностей. Три виртуальных маршрутизатора, функционирующих в штатном режиме, не передавая никакие данные, центрального способны процессора занять все современного вычислительные персонального мощности компьютера. Dynamips позволяет создавать дополнительные маршрутизаторы и при перегрузке процессора компьютера, но при появлении каждого нового 15 маршрутизатора значительно снижается скорость всей сетевой инфраструктуры. Если после перехода через грань перегрузки процессора удвоить количество эмулируемых устройств, то виртуальная сеть не остановится, но будет очень к этому близка, ввод одной команды на устройство может потребовать несколько минут, а передача пакета между двумя, подключенными напрямую устройствами больше 5 секунд, что не приемлемо даже в виртуальных сетевых инфраструктурах. Но если корректно подобрать количество виртуальных устройств, так чтобы у процессора оставалось еще немного свободных вычислительных мощностей, можно эмулировать достаточно быструю сетевую инфраструктуру, не уступающую в функциональности реальным, вот только размер сети очень сильно ограничен мощностью центрального процессора [10]. Серьезным количество минусом эмулятора поддерживаемых сетевых Dynamips является устройств. Можно маленькое создать виртуальную копию маршрутизаторов Cisco серий 17, 26, 36, 37 и 72, но нет классических коммутаторов или различных специфичных устройств, таких как беспроводные точки доступа [11]. Среди поддерживаемых виртуальных устройств есть маршрутизаторы, поддерживающие функции многоуровневых коммутаторов за счет дополнительных коммутационных модулей, которые могут быть встроены в виртуальный маршрутизатор. Таким образом, Dynamips позволяет проводить практические занятия по изучению всех технологий и протоколов, поддерживаемых реальными маршрутизаторами 72-ой серии и младше, но отсутствие поддержки эмуляции дополнительных устройств значительно ограничивает процесс обучения по курсам, связанным с беспроводными технологиями, телефонией и видео-конференц связью. В результате, Dynamips пригоден для подготовки к сертификационным экзаменам копании Cisco по направлениям коммутация и маршрутизация, работа провайдеров связи, построение центров обработки данных любых уровней, начиная с уровня специалиста, и заканчивая уровнем эксперта, но 16 не позволяет изучать ряд курсов, требующих эмуляции дополнительных устройств. 1.3.4. GNS3 GNS3 сложно назвать эмулятором, это скорей графическая оболочка, объединяющая в себе ряд различных программных средств эмуляции. Графический интерфейс среды эмуляции не адаптирован для начинающих специалистов, он скорее рассчитан на тех, кто уже имеет опыт работы со средствами эмуляции, сетевым оборудованием и знаком с основными принципами функционирования сетевых устройств. Но наличие графических средств управления значительно облегчает процесс создания сетевой инфраструктуры и делает работу с ней более удобной [13]. Рис. 1.3.3. Графический интерфейс эмулятора GNS3. GNS3 включает в себя три отдельных программных эмулятора. Первый из них Dynamips, который мы рассмотрели чуть ранее. Многие специалисты, изучающие сетевые технологии, применяют Dynamips исключительно в 17 среде GNS3, так как отпадает необходимость работы с конфигурационными файлами и командной строкой. Вторым является Qemu, который позволяет эмулировать межсетевые экраны Cisco PIX и и ASA системы предотвращения вторжений Cisco IPS, наличие поддержки данных устройств значительно расширяет возможность применения GNS3 в обучении по направлениям, связанным с обеспечением безопасности сетевых инфраструктур [13]. Третьим элементов является система виртуализации VirtualBox, которая позволяет интегрировать в сетевую инфраструктуру из эмулируемых устройств виртуальные сервера или виртуальные персональные компьютеры, которые позволят более точно воссоздать реальную информационную инфраструктуру, а значить изучить больший ряд технологий [15]. Помимо эмуляторов виртуализации, сетевых содержит GNS3 устройств собственные и Cisco средства системы эмуляции вспомогательных устройств. Могут быть созданы виртуальные Ethernetкоммутаторы, которые обеспечивают одновременное подключение нескольких устройств к одной шине. Встроенные в GNS3 коммутаторы являются управляемыми, но поддерживают только технологию виртуальных локальных вычислительных сетей, которая позволяет ограничивать передачу данных между различными портами. Помимо Ethernet-коммутаторов присутствуют ATM-коммутаторы и FrameRelay-коммутаторы, которые используются в глобальных сетях передачи данных. Наличие коммутаторов поддерживающих ATM исключает необходимость использования виртуальных маршрутизаторов в целях коммутации ячеек ATM, а позволяет использовать значительно менее требовательные к вычислительным ресурсам ATM-коммутаторы. Немного ранее мы рассматривали требовательность эмулятора Dynamips к вычислительным ресурсам центрального процессора, GNS3 является не менее требовательной к ресурсам системой эмуляции. Так как 18 запускаются одновременно несколько независимых систем эмуляции, а поверх них контролирующая среда, обеспечивающая еще и графический интерфейс, постоянно отображающих изменения в состоянии инфраструктуры, требуются серьезные вычислительные мощности. Хоть GNS3 и дает нам функциональные возможности создать достаточно точную копию реальных информационных инфраструктур с их сетевым, серверным оборудованием и компьютерами конечных пользователей, вычислительной мощности персонального компьютера хватит на эмуляции лишь очень маленькой информационной инфраструктуры. В результате, практические занятия на GNS3 могут проводиться на искусственно созданных сегментах сети, но не на копиях реальных инфраструктур. В плане количества технологий и протоколов, которые могут быть изучены, GNS3 является несомненным лидером среди рассмотренных средств эмуляции сетевого оборудования. С использованием GNS3 могут проводиться практические занятия по подготовке к сертификационным экзаменам компании Cisco по направлениям коммутация и маршрутизация, телефония, обеспечение безопасности, работа провайдеров связи, построение центров обработки данных любых уровней, что покрывает практически всю линейку сертификационных экзаменов. 1.4. Сравнение стоимости использования существующих систем Для сравнения различных систем, используемых для проведения практических занятий по сетевым технологиям, можно выделить несколько основных показателей. Важным показателем является набор технологий и протоколов, которые можно изучать, используя данную систему, и, следовательно, количество курсов которые можно проходить. И не менее важным показателем является стоимость создания лаборатории на базе данной системы. Такие показатели как функциональность, удобство 19 выполнения практических заданий и простота проверки для преподавателя рассматривались и сравнивались ранее. Проведем сравнение стоимости систем на примере различных конфигураций лаборатории. 1.4.1. Лаборатории для подготовки к экзамену CCNA Для начала рассмотрим лабораторию по подготовке к сертификационному экзамену CCNA (Cisco Certified Network Associate), рассчитанную на одного человека. Она должна содержать два маршрутизатора 18, 19, 28 или 29-ой серий, два коммутатора 29-ой серии и комплект из двух модулей с последовательными портами для маршрутизаторов. Сравним стоимость создания собственной лаборатории, аренды удаленной сетевой лаборатории на две недели (достаточное количество времени для получения необходимых практических навыков, при условии постоянных занятий) и оборудования, необходимого для эмуляции данной лаборатории с использованием Boson NetSim и GNS3. Cisco Packet Tracer не входит в список сравниваемых систем, так как заведомо является наиболее дешевым в использовании, за счет низкой требовательности к вычислительной мощности и бесплатного распространения, но при этом поддерживает набор технологий, достаточный только для изучения курса CCNA. Система Необходимые затраты Реальное Приобретение оборудование 2 х Маршрутизатор CISCO1941/K9 Сумма, руб. 194 000 2 х Модуль HWIC-2T= 2 х Коммутатор WS-C2960-24TT-L Аренда Аренда 13 400 20 удаленной 2 х Маршрутизатор CISCO2901/K9 лаборатории 2 х Коммутатор WS-C2960-24TT-L на 14 дней Эмулятор Boson Приобретение компьютера с низкой 27 000 вычислительной мощностью NetSim Приобретение NetSim for CCNA (179$) Эмулятор GNS3 Приобретение компьютера со средней 28 000 вычислительной мощностью Для личного использования наиболее выгодными являются программные эмуляторы, ведь компьютеры зачастую есть под рукой, и их покупка не требуется. А стоимость лицензии для NetSim значительно ниже стоимости аренды или покупки реального оборудования. Но виртуальные устройства с трудом могут соревноваться в функциональности с реальными, и если возникает необходимость проведения практических занятий, то разовая аренда удаленной лаборатории обойдется в 14 раз дешевле, чем покупка собственного оборудования. Компания Cisco Systems в рамках программ по развитию сетевых академий предлагает комплекты оборудования для подготовки к сертификационным экзаменам различных уровней по сниженным ценам. Например, комплект оборудования для подготовки к экзамену CCNA, можно приобрести с общей скидкой в 70 процентов. Такой комплект оборудования рассчитан на комфортное выполнение совместного практического задания тремя людьми и содержит три маршрутизатора Cisco 2911, три модуля с последовательными портами для маршрутизаторов, кабеля для последовательного подключения, три коммутатора Cisco Catalyst 2960 и сервисные контракты, которые предоставляют техническую поддержку и доступ к обновлениям программного обеспечения, для всего оборудования 21 на год. Проведем сравнение стоимости такой лаборатории в различных системах. Система Необходимые затраты Сумма, руб. Реальное Приобретение комплекта из оборудование 3 х Маршрутизатор CISCO2911/K9 152 000 3 х Модуль HWIC-2T= 3 х Коммутатор WS-C2960-24TT-L 3 х Кабель CAB-SS-V35MT= 3 х Кабель CAB-SS-V35FC= 3 х Сервисный контракт CON-SNT-2911 3 х Сервисный контракт CON-SMBSC29602TT Аренда Аренда удаленной 3 х Маршрутизатор CISCO2911/K9 лаборатории 3 х Коммутатор WS-C2960-24TT-L 21 800 на 14 дней Эмулятор Boson Приобретение NetSim компьютера с средней 33 000 вычислительной мощностью Приобретение NetSim for CCNA (179$) Эмулятор GNS3 Приобретение компьютера с высокой 36 000 вычислительной мощностью В данной конфигурации лаборатории программные средства эмуляции требуют уже более мощных компьютеров для комфортной работы с виртуальными устройствами. Использование специального предложения для сетевых академий позволяет приобрести большее, чем в прошлом примере, 22 количество устройств за меньшие деньги, при этом получив техническую поддержку на все оборудование и возможность обновления программного обеспечения. Покупка такого комплекта оборудования обойдется в 7 раз дороже, чем разовая аренда, что в случае частого использования лаборатории однозначно делает приобретение собственного оборудования более выгодным. Рассмотрим пример с лабораторией, рассчитанной на группу студентов среднего размера, значительно например возрастает, дополнительные и центральные 15 при человек, количество оборудования таком количестве необходимы устройства для контроля и запасные устройства, на случай выхода из строя основных. Удаленную лабораторию такого размера достаточно сложно найти, придётся разбивать студентов на подгруппы и распределять по отдельным удаленным лабораториям, что может вызвать трудности для преподавателя и уменьшит размеры сетевых топологий, а значит отсечет некоторые особенности крупных сетей, которые могут быть достаточно важными для получения практических навыков работы с реальными сетями. Использование систем эмуляции для такого количества оборудования исключено, даже очень мощный сервер не позволит эмулировать более тридцати устройств так, чтобы они работали достаточно быстро, чтобы проводить на них практические занятия. Проведем сравнение стоимости покупки оборудования и аренды. Система Необходимые затраты Реальное Приобретение комплекта из оборудование 18 х Маршрутизатор CISCO2911/K9 18 х Модуль HWIC-2T= 18 х Коммутатор WS-C2960-24TT-L 18 х Кабель CAB-SS-V35MT= Сумма, руб. 911 000 23 18 х Кабель CAB-SS-V35FC= 18 х Сервисный контракт CON-SNT-2911 18 х Сервисный контракт CON-SMBSC29602TT Аренда Аренда удаленной 15 х Маршрутизатор CISCO2911/K9 лаборатории 15 х Коммутатор WS-C2960-24TT-L 109 000 на 14 дней 1.4.2. Лаборатории для подготовки к экзамену CCNA Security Для подготовки к сертификационному экзамену CCNA Security (Cisco Certified Network Associate Security) требуется набор оборудования похожий на набор для CCNA, но с некоторыми дополнениями. Требуется увеличение объема оперативной памяти маршрутизаторов и аппаратный межсетевой экран. Но лаборатория, собранная для подготовки к CCNA Security, позволяет проводить практические занятия и по курсу CCNA. Так как комплекты оборудования для сетевых академий значительно дешевле покупки отдельных устройств, перейдем к сравнению стоимости комплекта для CCNA Security, проскочив лабораторию, рассчитанную на 1 человека. Программные эмуляторы Boson NetSim и GNS3 могут применяться для обучения данному курсу, но несколько уступают реальному оборудованию в технологиях, реализуемых аппаратным межсетевым экраном. Эмулятор Cisco Packet Tracer не может применяться для практических занятий по данному курсу по причине отсутствия поддержки ряда необходимых технологий. Система Необходимые затраты Сумма, руб. 24 Реальное Приобретение комплекта из оборудование 1 х Маршрутизатор CISCO2911/K9 186 000 2 х Маршрутизатор CISCO2911-SEC/K9 3 х Модуль HWIC-2T= 3 х Коммутатор WS-C2960-24TT-L 1 х Межсетевой экран ASA5505-BUN-K9 3 х Кабель CAB-SS-V35MT= 3 х Кабель CAB-SS-V35FC= 1 х Сервисный контракт CON-SNT-2911 2 х Сервисный контракт CON-SNT- 2911SEC 3 х Сервисный контракт CON-SMBSC29602TT Аренда Аренда удаленной 3 х Маршрутизатор CISCO2911-SEC/K9 лаборатории 3 х Коммутатор WS-C2960-24TT-L 25 200 1 х Межсетевой экран ASA5505-BUN-K9 на 14 дней Эмулятор Boson Приобретение NetSim компьютера с средней 33 000 вычислительной мощностью Приобретение NetSim for CCNA (179$) Эмулятор GNS3 Приобретение компьютера с высокой 36 000 вычислительной мощностью Требования к производительности компьютеров для использования программных эмуляторов не выросли, по сравнению с лабораторией для CCNA, так как количество и тип устройств практически не изменились. Соотношение стоимости покупки оборудования и разовой аренды для данного комплекта составило 7 к 1, что делает в долгосрочной перспективе 25 приобретение собственного оборудования значительно более выгодным, чем постоянная аренда удаленной лаборатории. Рассмотрим пример с лабораторией, рассчитанной на группу студентов из 15 человек, заложим дополнительные центральные устройства для преподавателя и запасные устройства для замены вышедших из строя. Использование систем эмуляции для такого количества оборудования сразу отбрасывается по причине слишком высоких требований к вычислительной мощности. Проведем сравнение стоимости покупки оборудования и аренды. Система Необходимые затраты Сумма, руб. Реальное Приобретение комплекта из оборудование 6 х Маршрутизатор CISCO2911/K9 1116 000 12 х Маршрутизатор CISCO2911-SEC/K9 18 х Модуль HWIC-2T= 18 х Коммутатор WS-C2960-24TT-L 6 х Межсетевой экран ASA5505-BUN-K9 18 х Кабель CAB-SS-V35MT= 18 х Кабель CAB-SS-V35FC= 6 х Сервисный контракт CON-SNT-2911 12 х Сервисный контракт CON-SNT- 2911SEC 18 х Сервисный контракт CON-SMBSC29602TT Аренда Аренда удаленной 15 х Маршрутизатор CISCO2911-SEC/K9 лаборатории 15 х Коммутатор WS-C2960-24TT-L 5 х Межсетевой экран ASA5505-BUN-K9 на 14 дней 126 000 26 1.4.3. Лаборатории для подготовки к экзаменам CCNP Для подготовки к сертификационному экзамену CCNP (Cisco Certified Network Professional) требуется значительно большее количество устройств, и возникает необходимость в многоуровневых коммутаторах, которые являются относительно дорогими. Комплект оборудования для подготовки к экзамену CCNP содержит 4 маршрутизатора Cisco 2911, 2 многоуровневых коммутатора Cisco Catalyst 3560 и 2 коммутатора Cisco Catalyst 2960 [16]. Этого оборудования достаточно для комфортного прохождения практических занятий не более чем двумя людьми одновременно. За счет увеличения количества устройств растет требовательность эмуляторов к вычислительным ресурсам, для эмуляции в GNS3 потребуется мощный дорогостоящий сервер. Система Необходимые затраты Сумма, руб. Реальное Приобретение комплекта из оборудование 4 х Маршрутизатор CISCO2911-SEC/K9 328 500 5 х Модуль HWIC-2T= 2 х Коммутатор WS-C2960-24TT-L 2 х Коммутатор WS-C3560V224PS-E 5 х Кабель CAB-SS-V35MT= 5 х Кабель CAB-SS-V35FC= 4 х Сервисный контракт CON-SNT- 2911SEC 2 х Сервисный контракт CON-SMBSC29602TT 2 х Сервисный контракт CON- 27 SMBSV224PSE Аренда Аренда удаленной 4 х Маршрутизатор CISCO2911-SEC/K9 лаборатории 2 х Коммутатор WS-C2960-24TT-L 38 600 2 х Коммутатор WS-C3560V224PS-E на 14 дней Эмулятор Boson Приобретение компьютера с высокой 57 000 вычислительной мощностью NetSim Приобретение NetSim for CCNP (349$) Эмулятор GNS3 Приобретение мощного сервера Соотношение стоимости аренды 86 000 лаборатории и приобретения собственного оборудования остается схожим с соотношением стоимости для других конфигураций лаборатории. При этом отсутствие гибкости в удаленных сетевых лабораториях, выражающееся в неизменяемости топологии сети, является наиболее критичным для курса CCNP. В рамках курса CCNP изучается множество технологий, которые требуют различных схем подключения, и отсутствие возможности изменения топологии приводит к множеству сложностей в процессе обучения. Создание лаборатории для одновременной подготовки 15 человек к экзамену CCNP является очень дорогостоящим из-за большого количества оборудования и высокой стоимости необходимых моделей. Рассчитаем стоимость такой лаборатории и сравним о стоимостью аренды. Система Необходимые затраты Реальное Приобретение комплекта из оборудование 32 х Маршрутизатор CISCO2911-SEC/K9 Сумма, руб. 2 628 000 28 40 х Модуль HWIC-2T= 16 х Коммутатор WS-C2960-24TT-L 16 х Коммутатор WS-C3560V224PS-E 40 х Кабель CAB-SS-V35MT= 40 х Кабель CAB-SS-V35FC= 32 х Сервисный контракт CON-SNT- 2911SEC 16 х Сервисный контракт CON-SMBSC29602TT 16 х Сервисный контракт CON- SMBSV224PSE Аренда Аренда удаленной 30 х Маршрутизатор CISCO2911-SEC/K9 лаборатории 15 х Коммутатор WS-C2960-24TT-L 289 500 15 х Коммутатор WS-C3560V224PS-E на 14 дней Создание такой лаборатории из реального оборудования является проблематичным даже для крупных учебных учреждений, и аренда удаленных лабораторий в долгосрочной перспективе обойдется дороже, чем покупка собственного оборудования. Альтернативой реальному оборудованию являются программные средства эмуляции сетевого оборудования, но ни один существующий эмулятор не позволит создать лабораторию такого размера из-за чрезмерно высоких требований к вычислительной мощности центрального процессора. 29 2. СИСТЕМА ЭМУЛЯЦИИ СЕТЕВОГО ОБОРУДОВАНИЯ 2.1. Структура системы Основной задачей разработанной системы является создание виртуальных копий сетевых инфраструктур большого размера. Эмуляция десятков сетевых устройств требует вычислительных мощностей, которые не может обеспечить один сервер, что влечет за собой необходимость распределения нагрузки на кластер. Распределение нагрузки реализовано за счет разделения одной общей сетевой инфраструктуры на несколько сегментов, каждый из которых эмулируется на отдельном сервере. Связь сегментов обеспечивается за счет виртуальных транспортных магистралей так, чтобы сетевые устройства не отличали подключение в рамках виртуального сегмента и подключение через виртуальную транспортную магистраль. 2.2. Подсистема эмуляции устройств Основным требованием к эмулируемому оборудованию является функциональность, так как необходимо обеспечить максимальное количество поддерживаемых оборудованием технологий, чтобы была возможность создавать точные виртуальные копии сетевых инфраструктур реальных предприятий. оборудования создают Большинство виртуальные систем устройства, эмуляции сетевого обладающие лишь небольшой частью функций реальных. Например Cisco Packet Tracer позволять получить практические навыки в работе лишь с технологиями, изучаемыми в рамках курса CCNA (Cisco Certified Network Associate), и небольшим набором технологий из смежных курсов. 30 В качестве основы для подсистемы эмуляции сетевых устройств был выбран Dynamips, единственный программный эмулятор оборудования Cisco, создающий виртуальные копии устройств, не уступающие в функциональности реальным. Dynamips создает виртуальную копию аппаратной части сетевого устройства и запускает на нем операционную систему, в качестве операционной системы используются образы Cisco IOS, те же, что используются и реальными сетевыми устройствами. Использование реальной операционной системы Cisco IOS позволяет обеспечить виртуальному сетевому устройству поддержку всех технологий, поддерживаемых самой операционной системой, а значит и реальными сетевыми устройствами. Особенности построения аппаратного обеспечения классических коммутаторов не позволяют создавать их виртуальные копии. Но так как технологии коммутации является неотъемлемой частью большинства сетевых инфраструктур, необходимо обеспечить возможность проведения практических занятий по работе с ними. Модульность маршрутизаторов 72ой серии позволяет добавлять к устройству различные модули, обладающие дополнительным функционалом. Существует коммутационный модуль, который функционирует как многоуровневый коммутатор и поддерживает ряд необходимых технологий. В результате, маршрутизатор 72-ой серии с коммутационным модулем может заменить классические коммутаторы в процессе обучения. Но помимо функциональности устройств отличием Dynamips от других систем эмуляции сетевого оборудования являются очень высокие требования к производительности сервера. На обычном персональном компьютере Dynamips позволяет создать виртуальную копию лишь нескольких сетевых устройств, которых может быть достаточно для эмуляции сети маленького размера или проведения лабораторных работ для одного человека, современный высокопроизводительный сервер позволяет эмулировать до 31 двух десятков устройств, что не позволяет создавать виртуальные копии крупных сетей или обеспечивать оборудованием для практических занятий группу студентов. Тот факт, что эмулятор Dynamips является бесплатным и распространяется по лицензии с открытым исходным кодом, позволяет нам доработать его таким образом, чтобы он смог эмулировать значительно большее количество сетевых устройств. Для этого разработана и внедрена в эмулятор Dynamips подсистема виртуальных транспортных магистралей. 2.3. Подсистема виртуальных транспортных магистралей В любой сетевой инфраструктуре подключение устройств происходит через специальные каналы передачи данных, которые не требуют прямого взаимодействия операционных систем сетевых устройств между собой, а обеспечивают стандартизированную среду передачи. Наличие каналов передачи данных, которые являются посредниками во взаимодействии сетевых устройств, исключает необходимость эмуляции всех сетевых устройств на одном сервере. Используемая система эмуляции обеспечивает передачу данных за счет перемещения пакета данных из области памяти, выделенной для буфера исходящих пакетов, интерфейса сетевого устройства, с которого передаются данные, в область памяти, выделенную для буфера входящих пакетов, интерфейса сетевого устройства, которому предназначены данные. Формат и размер пакета данных зависит от типа интерфейса и используемого протокола передачи данных, которые являются стандартизированными и могут быть учтены в процессе разработки виртуальных транспортных магистралей. 32 Виртуальные магистрали – это способ перемещения пакета данных между буферами интерфейсов сетевых устройств, эмулируемых на разных серверах. При передаче пакета по сети между различными серверами для самих сетевых устройств происходит то же самое, что происходило, когда они располагались на одном сервере, пакет данных из буфера одного интерфейса попадает в другой. Такая схема передачи пакетов позволяет подключать сетевые устройства, являющиеся элементами виртуальных сегментов сетевой инфраструктуры, эмулируемых на разных серверах, в одну единую сеть без оказания влияния на взаимодействие сетевых устройств. Передача пакетов данных по сети между серверами, вместо копирования из одной области памяти в другую, требует обеспечения и контроля качества передачи и защищенности передаваемых данных. В процессе передачи возникает необходимость контроля очередности и проверки целостности передаваемых пакетов, они обеспечиваются различными средствами, в зависимости от типа интерфейса и используемого протокола передачи данных. Для протоколов, которые передают данные крупными пакетами и не требуют синхронизации в процессе передачи данных, используются стандартные средства протокола TCP [17]. Для протоколов же, которые передают данные блоками маленьких размеров или требуют синхронной передачи данных, обеспечены собственные программные средства контроля целостности и очередности, что является очень критичным для работы протоколов такого типа [18]. В зависимости от особенностей среды передачи данных между серверами, система может столкнуться с рядом угроз, связанных с умышленным нарушением целостности и конфиденциальности данных, передаваемых между виртуальными сетевыми устройствами. В рамках данной системы наиболее актуальными являются угрозы нарушения целостности, так как применение системы эмуляции для обучения не предполагает передачу между сетевыми устройствами конфиденциальных 33 данных. Средства контроля целостности передаваемых данных, описанные ранее, являются достаточными в рамках данной системы. На случай использования системы для создания виртуальной копии реального предприятия транспортных предусмотрены магистралей, средства шифрования виртуальных позволять обеспечить которые конфиденциальность всех передаваемых между сетевыми устройствами данных. В стандартном режиме шифрование на транспортных магистралях отключено для снижения нагрузки и экономии вычислительных мощностей. Но при необходимости передачи данных через небезопасные сети, такие как сеть Интернет, шифрование может быть включено либо на отдельных транспортных магистралях, либо на всех вместе. Помимо подключения виртуальных сетевых устройств, виртуальные транспортные магистрали могут обеспечивать подключение между любыми виртуальными устройствами. С использованием систем виртуализации можно создать виртуальную копию реального сервера и подключить его к одному из виртуальных сетевых устройств через транспортную магистраль. Возможность использования различным систем виртуализации увеличивает точность создаваемых копий информационных инфраструктур и расширяет применимость системы эмуляции. Вместо проведения практических занятий по сетевым технологиям, появляется возможность проведения комплекса занятий по сетевому и серверному оборудованию. Использование виртуальными транспортными магистралями стандартных протоколов передачи данных, таких как Ethernet, дает возможность интеграции с большинством существующих систем [19]. Потенциально можно доработать систему эмуляции таким образом, чтобы транспортные магистрали обеспечивали подключение не только для виртуальных устройств, но и для реальных. Существует огромное количество различных устройств, для которых не разработано эмуляторов, но возникает необходимость проведения практических занятий по работе с ними. 34 Виртуальные транспортные магистрали могут создать виртуальный канал передачи данных, за счет которого реальное устройство, подключаемое через сетевой интерфейс и передающее данные по технологии Ethernet, может быть подключено к виртуальному сетевому устройству или серверу, эмулируемому в данной системе. Поддержка подключения к виртуальной сетевой инфраструктуре виртуальных серверов и реальных устройств расширяет потенциальные возможности системы эмуляции [20]. Значительно увеличивается количество курсов, по которым можно проводить практические занятия на данной системе. Подключение реальных устройств полностью снимает ограничения по поддерживаемым устройствам, и система эмуляции может создавать точные копии информационной инфраструктуры практически любой крупной компании, что открывает новые сферы применения данной системы эмуляции. Помимо сферы образования, система может применяться и для тестирования новых технологических решений или изучения потенциальных последствий модернизации инфраструктуры. 2.4. Подсистема управления Каждый сервер, эмулирующий сегмент сетевой инфраструктуры, требует сложной настройки, которая включает в себя настройку самих сетевых устройств, каналов передачи данных между ними и виртуальных транспортных магистралей. При единовременном создании виртуальной сетевой инфраструктуры можно настроить вручную все сервера, задействованные в процессе эмуляции. Но часто возникает необходимость изменения топологии сети или ряда настроек отдельных устройств или каналов передачи данных, и каждый раз производить реконфигурацию отдельных серверов является очень трудоемким. 35 Для упрощения начальной настройки и поддержки системы эмуляции разработана подсистема управления. Подсистема управления разделена на клиентскую и серверную части. Серверная часть хранит конфигурации всех серверов, задействованных в эмуляции (далее ноды) и передает клиентскому приложению инструкции по изменению конфигураций. Клиентское приложение позволяет автоматически получать конфигурацию сегмента виртуальной сетевой инфраструктуры и вносить изменения в работу системы эмуляции. Для включения ноды в кластер достаточно только установить на ней клиентское приложение, которое развернет эмуляцию необходимого сегмента сети по первому запросу центрального сервера. Такая схема управления позволяет быстро развернуть виртуальную сетевую инфраструктуру на новом оборудовании, например, создать огромную лабораторию для практических занятий на персональный компьютерах, расположенных в классе. Для обеспечения целостности виртуальной сети необходимо защитить процессы регистрации клиентских приложений на сервере и передачи конфигураций сегментов сети от атак потенциальных злоумышленников. Наиболее нарушение актуальными структуры угрозами для виртуальной данной сети подсистемы и являются несанкционированное использование вычислительных ресурсов. Процесс регистрации клиентских приложений защищен аутентификацией, которая реализована хешированием с ключом по протоколу SHA-1. При установке клиентское приложение запрашивает ключ, которые будет использоваться для аутентификации на сервере, в процессе регистрации клиентское приложение получает от сервера случайное число и рассчитывает хеш, используя свой ключ. Сервер проверяет правильность результата хеширования и добавляет ноду в рабочую группу. Аутентификация является двусторонней, клиентское приложение так же посылает серверу случайное число и сверяет полученный результат 36 хеширования, это позволяет защитить ноды системы эмуляции от использования вычислительных ресурсов несанкционированными серверами. Сервер управления может использовать цепочки ключей для аутентификации. Например, может быть задано ограничение, что по одному ключу может зарегистрироваться только одна нода, тогда каждое новое клиентское приложение должно настраиваться с новым ключом из цепочки или ограничение по времени действия ключей, например, каждую неделю на клиентских приложениях должны задаваться новые ключи. Использование цепочек ключей с ограничениями позволяет значительно снизить потенциальный ущерб, который может принести разглашение ключей. Для обеспечения целостности конфигураций виртуальной сетевой инфраструктуры так же используется хеширование. При пересылке сообщений, содержащих инструкции по модификации конфигураций сегмента сети эмулируемого нодой, рассчитывается хеш с использованием ключа от всего сообщения. Для хеширования используется тот же ключ, который использовался для аутентификации. Сверка пересылаемого хеша позволяет одновременно проверить отправителя и целостность сообщения [21]. Центральный сервер при подобной схеме построения не несет серьезных нагрузок, так как в штатном режиме производится только проверка состояния нод, которая не является ресурсоемкой, а изменение конфигураций является относительно редким и генерирует лишь кратковременные нагрузки. Таким образом, каждый клиент, участвующий в эмуляции, несет нагрузки, связанные только с эмуляцией собственных устройств и передачей данных на ноды, с которыми существует связь виртуальными транспортными магистралями, а центральный сервер выполняет роль передатчика конфигураций и монитором состояния нод. Отсутствие дополнительных нагрузок на ноды, связанных с увеличением количества клиентских систем эмуляции, и заведомо низкая загруженность 37 центрального сервера позволяет эмулировать сетевые инфраструктуры из тысяч устройств, распределяя нагрузку на сотни серверов. Наличие единой точки управления всей распределенной системой эмуляции значительно упрощает администрирование, помимо этого существует потенциал автоматизации настройки всей системы эмуляции. Доработка подсистемы управления может обеспечить полностью автоматическое создание конфигураций для нод и распределение нагрузки. Например, нам необходимо эмулировать сеть из сорока маршрутизаторов подключенных по топологии кольца, для этого у нас есть 15 компьютеров, которые расположены в классе, и на которых уже установлено клиентское приложение, но производительности компьютеры обладают процессора. Для разными поддержки характеристиками интеллектуального распределения нагрузки клиентское приложение с каждой ноды передает серверу управления информацию о вычислительной мощности центрального процессора. Обладая данными о вычислительных мощностях всех нод, сервер автоматически распределяет виртуальные устройства по нодам, эмулируя на самых мощных компьютерах самое большое количество устройств. После распределения устройств генерируются настройки для внутренней системы эмуляции каждой ноды и настройки виртуальных транспортных магистралей, которые объединяют все сегменты в единую сеть. Система автоматического распределения нагрузки позволяет создать набор типовых лабораторий или заранее подготовить необходимую топологию и развернуть их на большой группе устройств за короткое врем, лишь установив клиентское приложение и запустив процесс автоматической конфигурации. Наличие автоматической конфигурации создает потенциал для обеспечения работы с системой эмуляции без знаний о принципе работы и умений создавать конфигурации для эмулятора. Для упрощения настройки системы эмуляции можно разработать графический интерфейс, в котором 38 нужно будет только добавлять устройства и каналы передачи данных, а сервер управления будет сам определять количество необходимых нод, распределять по ним нагрузку и производить конфигурацию, создавая самостоятельно полностью всю виртуальную сетевую инфраструктуру. 2.5. Подсистема терминального доступа Поддерживаемые способы доступа к оборудованию сетевой лаборатории являются важным параметром, влияющим на удобство проведения практических занятий и возможность изучения ряда технологий. Самым необходимом видом доступа является доступ через последовательный порт управления, который дает возможность управлять сетевым устройством даже во время перезагрузки и не требует запуска на устройстве таких протоколов как Telnet и SSH. Сложность организации доступа к виртуальным сетевым устройствам этой системы заключается в том, что устройства распределены по множеству компьютеров, каждый из которых обладает своим адресом, не известным конечному пользователю. Если создать виртуальную транспортную магистраль, подключающую виртуальную сетевую инфраструктуру к реальной сети и подключаться к устройствам по протоколам удаленного администрирования, то сложность с определением адресов нод отпадает, так как весь управляющий трафик идет внутри виртуальной сети и использует ее внутреннюю адресацию. Такое решение является самым простым, но доступ с использованием протоколов удаленного администрирования не способен удовлетворить все требования, предъявляемые к сетевой лаборатории. Подсистема эмуляции обеспечивает доступ к сетевому устройству через виртуальное подключение к последовательному порту управления. Подключение к портам управления виртуальными устройствами очень 39 похоже на подключение через терминальный сервер. С использованием протокола Telnet пользователь подключается на адрес компьютера, на котором эмулируются устройства, а номером TCP порта, используемого при подключении, определяется, к какому устройству он подключается. Когда одна сетевая инфраструктура разбита на несколько сегментов, которые эмулируются на отдельных серверах, пользователю, для того чтобы подключаться к устройствам, нужно знать адреса всех компьютеров, которые участвуют в эмуляции, знать какие устройства эмулируются на какой ноде и какие номера портов им присвоены, то есть иметь полную схему сегментации виртуальной сети. Это возможно, когда настройка системы эмуляции производится вручную, но если задействуется автоматическая конфигурация, построение схемы сегментации становится очень трудоёмким процессом, требующим анализа конфигураций каждой ноды и постоянного контроля изменений. Для упрощения работы с виртуальным оборудованием была разработана подсистема терминального доступа. Сервер терминального доступа является шлюзом, обеспечивающим передачу данных к портам управления всех виртуальных устройств. Сервер контролирует изменения в конфигурации системы эмуляции и поддерживает актуальность информации о расположении виртуальных устройств [23]. В результате, подключаясь к терминальному серверу, пользователь должен знать только идентификационный номер устройства, который совпадает с номером TCP порта, используемого для подключения, а сервер самостоятельно определит, на какую ноду необходимо передавать данные. Сервер терминального доступа работает в двух режимах, режим ретрансляции подразумевает использование технологии NAT для трансляции адресов, а режим прокси-сервера обработку каждого пакета данных, переданного пользователем сетевому устройству. В режиме ретрансляции терминальный сервер просто преобразует адреса и передает данные на 40 сетевые устройства, в этом режиме не поддерживается ни контроль доступа, ни анализ передаваемых данных. В режиме прокси-сервера терминал требует от пользователя предварительной аутентификации, может предоставлять различным пользователям доступ к ограниченным группам устройств, может анализировать все передаваемые пакеты данных. Анализ всех пакетов данных, передаваемых от пользователя к сетевому устройству, открывает возможность контроля всех действий пользователей. Например, система может предоставить преподавателю доступ к истории всех вводимых студентом команд за время выполнения практического задания, это позволит усовершенствовать процесс проверки правильности выполнения задания и значительно упростить работу преподавателя, так как отпадает необходимость проверять каждое устройство по отдельности, а появляется централизованная точка контроля. Но вместо упрощения процесса проверки и контроля выполнения задания, система может перевести его на автоматическую основу. Можно разработать систему автоматической проверки, похожую на систему, встроенную в эмулятор Cisco Packet Tracer, которая бы сверяла конфигурации устройств, состояние сервисов и правильность работы протоколов и определяла степень выполнения практического задания. Помимо общего итога, выраженного, например, процентом выполнения, система может указывать на ошибки пользователя, что позволит упростить процесс самостоятельного обучения. Система автоматического контроля выполнения практических работ может стать для студентов электронным преподавателем. Система, которая выставляет итоговую оценку за работу и указывает на допущенные ошибки, уже снижает нагрузку на преподавателя и частично заменяет его. Но тот факт, что доступ к интерфейсам управления всеми сетевыми устройствами производится через централизованный сервер, открывает возможность проверять не только результат работы, но и контролировать каждую введенную команду. Существует ряд наиболее распространенных ошибок, 41 допускаемых студентами при выполнении практических заданий, которые могут быть собраны в единую базу. Когда система автоматического контроля будет обнаруживать в действиях студента совпадение с сигнатурой ошибки, она может оповещать студента о неправильности хода выполнения задания и подсказывать либо более правильное решение, либо учебные материалы, содержащие необходимую информацию. Доступ к последовательным портам управления сетевыми устройствами, независимо от режима работы терминального сервера производится с использованием протокола удаленного администрирования Telnet. Не стоит путать данный способ доступа с классическим доступом по протоколу Telnet, в данном случае пользователь подключается не к самому сетевому устройству, а к компьютеру, на котором оно эмулируется, который, в свою очередь, имеет подключение к виртуальному последовательному порту управления, и исполняет роль посредника. Особенность протокола Telnet в том, что при его использовании все данные передаются в нешифрованном виде. И если работы в сетевой лаборатории, которая находится с пользователем в пределах одной локальной сети, могут не требовать обеспечения конфиденциальности передаваемых данных, то если пользователь подключает к лаборатории через сеть Интернет, передача данных в нешифрованном виде может привести к краже учетных данных или получении информации о работе системы эмуляции, что может привести к несанкционированному доступу к системе эмуляции. Для обеспечения безопасного доступа к терминальному серверу добавлена поддержка доступа с использованием протокола SSH, который обеспечивает конфиденциальность всех передаваемых данных, используя надежные алгоритмы шифрования. Подключение через SSH поддерживается только при работе терминального сервера в режиме прокси-сервера, так как пользователь подключается к терминальному серверу, который связывается с 42 конечными нодами по протоколу Telnet, а такая схема работы не поддерживается режимом ретрансляции. В процессе тестирования системы была обнаружена уязвимость средств эмуляции, которая может быть угрозой для функционирования и доступности виртуальных сетевых устройств. Уязвимость вызвана особенностями реализации виртуального подключения к последовательному порту управления. Передача данных на последовательный порт управления является относительно ресурсоемкой, и нагрузка возрастает экспоненциально при увеличении объема передаваемых к порту управления данных. При работе с виртуальным сетевым устройством нескольких пользователей одновременно, нагрузка не является ощутимой, а учитывая низкое количество трафика, который предназначен порту управления, подключение нескольких десятков пользователей к одному устройству не будет ощутимым. Но если искусственно сгенерировать поток трафика на виртуальный порт управления можно вызвать перегрузку центрального процессора, которая может привести к полной остановке функционирования системы эмуляции на компьютере на длительное время. Причина уязвимости в эмуляторе Dynamips, который используется подсистемой эмуляции, и она не может быть устранена из-за особенностей реализации виртуального подключения к порту управления. Так как доступность системы эмуляции является одним из самых необходимых свойств, угроза использования этой уязвимости является актуальной. Для защиты от DDoS-атаки, функционирования системы которая может на отдельной привести ноде к остановке или остановке функционирования всей системы эмуляции, используются технологии межсетевого экранирования. При установке на компьютер клиентского приложения устанавливается служба межсетевого экранирования, которая подстраивается под работу системы эмуляции и предотвращает передачу данных на виртуальные последовательные порты управления с любых 43 источников, кроме терминального сервера. А все те данные, которые приходят с терминального сервера, анализируются им, что позволяет предотвратить передачу вредоносного трафика. Система межсетевого экранирования может работать в трех различных режимах, которые могут переключаться даже во время работы системы эмуляции. Стандартный режим работы подразумевает контроль потоков трафика, передаваемых только на TCP порты, которые выделены для виртуальных портов управления, весь остальной сетевой трафик проходит свободно. При прохождении аутентификации на сервере управления в конфигурацию межсетевого экрана автоматически добавляется разрешающее правило, которое пропускает сетевой трафик на порты управления с адреса (или адресов) терминального сервера. А весь трафик, направленный на порты управления, для которого не создано разрешающих правил, отбрасывается. Такой алгоритм защиты позволяет предотвратить передачу данных на порты управления от несанкционированных пользователей, а значит исключить возможность несанкционированной передачи большого объема данных, который может вызвать перегрузку центрального процессора. Особенности сервисов, функционирующих на используемом компьютере, могут вызывать конфликты с межсетевым экраном, для устранения конфликтов существует пассивный режим межсетевого экрана. При переключении межсетевого экрана в пассивный режим полностью останавливается его функционирование, следовательно, система становится уязвимой к атаке на порты управления. Третий режим работы межсетевого экрана, агрессивный, предназначен для компьютеров, которые предполагается использовать исключительно как ноды для системы эмуляции. Межсетевой экран в агрессивном режиме контролирует не только TCP порты, выделенные для портов управления, но и все остальные порты. Свободная передача данных доступна только на порт, выделенный для аутентификации сервера управления, все остальные порты 44 блокированы до появления разрешающих правил, которые создаются точно так же, как в стандартном режиме работы межсетевого экрана. 2.6. Сравнение системы эмуляции с другими системами для проведения практических занятий Принцип доступа к сетевому оборудованию делает систему эмуляции похожей на удаленные сетевые лаборатории, так же выделен терминальный сервер, который предоставляет и контролирует доступ к сетевому оборудованию, а доступ к терминальному серверу производится по сети. Но устранен основной недостаток удаленных лабораторий, существует возможность самостоятельно менять топологию виртуальной сети, а значить появляется необходимая гибкость. Основным плюсом при сравнении с лабораториями на базе реального оборудования является отсутствие необходимости приобретения дорогостоящего оборудования, ведь сегменты сети могут эмулироваться и на компьютерах с низкой производительностью. Следовательно, можно собрать лабораторию на базе имеющегося парка компьютеров, или закупить относительно недорогие персональные компьютеры. Сравним стоимость создания больших лабораторий для подготовки к различным экзаменам на базе реального оборудования, на базе системы эмуляции и стоимость аренды такой лаборатории. Для начала рассмотрим лабораторию по подготовки к сертификационному экзамену CCNA (Cisco Certified Network Associate), рассчитанную на одновременную работу 15 человек. Система Необходимые затраты Сумма, руб. 45 Реальное Приобретение комплекта из оборудование 18 х Маршрутизатор CISCO2911/K9 911 000 18 х Модуль HWIC-2T= 18 х Коммутатор WS-C2960-24TT-L 18 х Кабель CAB-SS-V35MT= 18 х Кабель CAB-SS-V35FC= 18 х Сервисный контракт CON-SNT-2911 18 х Сервисный контракт CON-SMBSC29602TT Аренда Аренда удаленной 15 х Маршрутизатор CISCO2911/K9 лаборатории 15 х Коммутатор WS-C2960-24TT-L 109 000 на 14 дней Система Приобретение 6 компьютеров с высокой эмуляции вычислительной мощностью Расчет проводился с условием, что полностью 216 000 отсутствуют компьютеры, которые могут быть задействованы в системе эмуляции и необходимо закупить весь парк, что бывает достаточно редко. И рассчитывалось приобретение достаточно дорогостоящих компьютеров с целью уменьшения количества нод. Итоговую сумму можно уменьшить, покупая большее количество недорогих компьютеров. Но даже в этих условиях стоимость создания такой лаборатории на базе системы эмуляции в 4 раза меньше, чем приобретение соответствующего сетевого оборудования и всего в 2 раза больше чем разовая аренда. При том, что приобретенные компьютеры могут использоваться для других целей в то время, когда не проводятся практические занятия с использованием системы эмуляции. 46 Проведем сравнение стоимости создания лаборатории для подготовки к сертификационному экзамену CCNA Security (Cisco Certified Network Associate Security), рассчитанную, так же, на 15 человек. Система Необходимые затраты Сумма, руб. Реальное Приобретение комплекта из оборудование 6 х Маршрутизатор CISCO2911/K9 1116 000 12 х Маршрутизатор CISCO2911-SEC/K9 18 х Модуль HWIC-2T= 18 х Коммутатор WS-C2960-24TT-L 6 х Межсетевой экран ASA5505-BUN-K9 18 х Кабель CAB-SS-V35MT= 18 х Кабель CAB-SS-V35FC= 6 х Сервисный контракт CON-SNT-2911 12 х Сервисный контракт CON-SNT- 2911SEC 18 х Сервисный контракт CON-SMBSC29602TT Аренда Аренда удаленной 15 х Маршрутизатор CISCO2911-SEC/K9 лаборатории 15 х Коммутатор WS-C2960-24TT-L 126 000 5 х Межсетевой экран ASA5505-BUN-K9 на 14 дней Система Приобретение 7 компьютеров с высокой эмуляции вычислительной мощностью 252 000 Расширение объема оперативной памяти маршрутизаторов не влияет требовательности к вычислительным ресурсам центрального процессора, а 47 значит, по сравнению с предыдущей лабораторией, необходимо добавить лишь один компьютер, предназначенный для эмуляции межсетевых экранов. Сравним расходы, связанные с созданием самой большой из рассматриваемых лабораторий, лаборатории для подготовки к сертификационным экзаменам CCNP (Cisco Certified Network Professional). Система Необходимые затраты Сумма, руб. Реальное Приобретение комплекта из оборудование 32 х Маршрутизатор CISCO2911-SEC/K9 2 628 000 40 х Модуль HWIC-2T= 16 х Коммутатор WS-C2960-24TT-L 16 х Коммутатор WS-C3560V224PS-E 40 х Кабель CAB-SS-V35MT= 40 х Кабель CAB-SS-V35FC= 32 х Сервисный контракт CON-SNT- 2911SEC 16 х Сервисный контракт CON-SMBSC29602TT 16 х Сервисный контракт CON- SMBSV224PSE Аренда Аренда удаленной 30 х Маршрутизатор CISCO2911-SEC/K9 лаборатории 15 х Коммутатор WS-C2960-24TT-L 289 500 15 х Коммутатор WS-C3560V224PS-E на 14 дней Система Приобретение 12 компьютеров с высокой 432 000 48 эмуляции вычислительной мощностью Соотношение стоимости создания лаборатории на базе реального оборудования и на базе системы эмуляции остается схожим вне зависимости от конфигурации лаборатории. Этот факт подтверждает целесообразность использования системы эмуляции для экономии средств при создании лабораторий для проведения практических занятий. Помимо низкой стоимости, система эмуляции выгодно отличается возможность быстрой модернизации, для расширения лаборатории нет необходимости ожидать поставки новых сетевых устройств, а достаточно лишь добавить к системе новый компьютер. А если возникает необходимость кратковременного увеличения количества устройств, есть возможность создать больше виртуальных устройств компьютеров, пожертвовать скорость работы. на неизменном количестве 49 3. ТИПОВЫЕ ВИРТУАЛЬНЫЕ ЛАБОРАТОРИИ Первая типовая виртуальная лаборатория предназначена для подготовки к сертификационному экзамену CCNA. Router 2911 Router 2911 Router 2911 Switch 2960 Switch 2960 Рис. 3.1. Лаборатория CCNA Каждому студенту выделяется 3 маршрутизатора и 2 коммутатора. Коммутаторы подключены между собой и к коммутаторам, предназначенным двум соседним студентам. Один из маршрутизаторов подключается к центральному контролем преподавателя. маршрутизатору, находящемуся под 50 При создании данной лаборатории в системе эмуляции маршрутизаторы 2911 заменяются виртуальными 2621, а коммутаторы 2960 заменяются виртуальными 7204 с коммутационным модулем. Полученная в результате лаборатория позволяет получить все необходимые для сдачи экзамена CCNA практические навыки. Вторая типовая лаборатория предназначена для сертификационному экзамену CCNA Security. Router 2911 ASA 5505 Router 2911 Switch 2960 Router 2911 Switch 2960 Рис. 3.2. Лаборатория CCNA Security подготовки к 51 Если сравнивать лабораторию с предыдущей, внесены небольшие изменения, добавлен межсетевой экран и принципиально изменена схема подключения. В данной лаборатории коммутаторы имеют второстепенное значение, и подключения к лабораториям соседних студентов производится через маршрутизатор. Полученная в результате лаборатория позволяет получить все необходимые для сдачи экзамена CCNA Security практические навыки. Третья типовая лаборатория предназначена для подготовки сертификационным экзаменам, необходимым для получения CCNP. Router 2911 Router 2911 Switch 3560 Switch 3560 Switch 2960 Switch 2960 Router 2911 Router 2911 Рис. 3.3. Лаборатория CCNP к 52 Данная лаборатория не подключается напрямую к устройствам соседних студентов, но подключение к центральному коммутатору позволяет передавать данные всем пользователям между собой, что позволяет получать практические навыки работы с большими сетями. Наличие не только прямых подключений между маршрутизаторами, но и подключения к общей коммутируемой сети позволяет, переключая состояние интерфейсов, изменять логическую топологию, что позволяет настраивать различные топологии без изменения схемы подключения. Полученная в результате лаборатория позволяет подготавливаться не только к экзаменам ROUTE (Implementing Cisco IP Routing) и SWITCH (Implementing Cisco IP Switched Networks), но и моделировать ситуации, подходящие для получения навыков обнаружения и устранения проблем в функционировании сетевой инфраструктуры, которые являются основными для сдачи экзамена TSHOOT (Troubleshooting and Maintaining Cisco IP Networks). 53 ЗАКЛЮЧЕНИЕ В ходе выполнения работы был проведен анализ существующих систем для проведения практических занятий по сетевым технологиям. Были рассмотрены лаборатории на базе реального сетевого оборудования, удаленные сетевые лаборатории и различные программные эмуляторы оборудования, такие как Boson NetSim, Cisco Packet Tracer, Dynamips и GNS3. В процессе анализа выявлены особенности каждой системы, определены положительные и отрицательные стороны и выделены области наиболее оптимального применения. Выявленные недостатки существующих систем были учтены при разработке системы эмуляции сетевого оборудования. На базе программного эмулятора Dynamips была разработана система эмуляции, позволяющая создавать сети большого размера из виртуальных устройств, близких по функциональным возможностям с реальным оборудованием. Разработана подсистема, обеспечивающая централизованное управление частями виртуальной сетевой инфраструктуры, расположенными на различных компьютерах. Разработана подсистема, предоставляющая удобный доступ к интерфейсу управления виртуальными устройствами и контролирующая права доступа к отдельным виртуальным устройствам. В результате анализа рисков информационной безопасности были выявлены актуальные угрозы. По результатам анализа рисков произведена доработка системы эмуляции, обеспечена защита от модификации конфигураций, несанкционированного доступа к вычислительным ресурсам и нарушения работоспособности. Разработано три типовых виртуальных лабораторий для специалистов по информационной безопасности, позволяющих развивать навыки работы в сфере защиты распределенных информационных систем. 54 СПИСОК ЛИТЕРАТУРЫ 1. Попов, Е.Ф. Использование программных средств эмуляции оборудования в обучении сетевым технологиям / Е.Ф. Попов, А.А. Захаров // Сборник научных трудов по материалам Международной заочной научно-практической конференции «Теоретические и прикладные проблемы науки и образования в 21 веке». Часть 8. – Тамбов, Изд-во ТРОО «Бизнес-Наука-Общество», 2012. 2. Попов, Е.Ф. Использование программных средств эмуляции оборудования при модификации сетевой инфраструктуры / Е.Ф. Попов// Сборник научных трудов по материалам всероссийскую научно-практической конференции студентов, аспирантов и молодых ученых «Новые технологии – нефтегазовому региону». Тюмень, 2012. 3. NDG NETLAB+ System Overview [http://www.netdevgroup.com/support/ documentation/NETLAB_System_Overview.pdf] 30.05.2013 4. NETLAB Academy Edition [http://www.cisco.com/asiapac/academy/ academy/files/NETLAB_Kaan_U.pdf] 30.05.2013 5. Boson NetSim The Cisco Network Simulator & Router Simulator [http://www.boson.com/netsim-cisco-network-simulator] 29.05.2013 6. Cisco.CCIE Routing & Switching [http://www.cisco.com/web/learning/ certifications/expert/ccie_rs/index.html] 31.05.2013 7. Cisco. Associate Certification [http://www.cisco.com/web/learning/ certifications/associate/index.html] 31.05.2013 8. Wikipedia. Cisco Packet Tracer [http://ru.wikipedia.org/wiki/ Cisco_Packet_Tracer] 29.05.2013 9. Cisco Packet Tracer [http://www.cisco.com/web/learning/netacad/ course_catalog/PacketTracer.html] 29.05.2013 10. Dynamips / Dynagen Tutoria [http://dynagen.org/tutorial.htm] 29.05.2013 11. Wikipedia. Dynamips [http://ru.wikipedia.org/wiki/Dynamips] 29.05.2013 12. GNS3. Dynamips [http://www.gns3.net/dynamips/] 29.05.2013 13. Wikipedia. QEMU [http://ru.wikipedia.org/wiki/QEMU] 31.05.2013 14. QEMU. Manual [http://wiki.qemu.org/Manual] 31.05.2013 55 15. Oracle VM VirtualBox. Programming Guide and Reference [http://download.virtualbox.org/virtualbox/SDKRef.pdf] 30.05.2013 16. Cisco. Professional Certification [http://www.cisco.com/web/learning/ certifications/professional/index.html] 31.05.2013 17. Wikipedia. TCP [http://ru.wikipedia.org/wiki/TCP] 30.05.2013 18. Wikipedia. UDP [http://ru.wikipedia.org/wiki/UDP] 30.05.2013 19. Wikipedia. Ethernet [http://ru.wikipedia.org/wiki/Ethernet] 31.05.2013 20. VirtualBox Main API Documentation [https://www.virtualbox.org/sdkref/ index.html] 30.05.2013 21. Wikipedia. Хеширование [http://ru.wikipedia.org/wikiХеширование] 31.05.2013 22. Wikipedia. Последовательный порт [http://ru.wikipedia.org/wiki/ сервер [http://ru.wikipedia.org/wiki/ Последовательный_порт] 31.05.2013 23. Wikipedia. Терминальный Теримнальный_сервер] 30.05.2013