Волоконно-оптические линии связи

Волоконно-оптический кабель.

Вторым важнейшим компонентом, определяющим надежность и долговечность  является волоконно-оптический кабель (ВОК). На сегодня в мире несколько десятков фирм, производящих оптические кабели различного назначения. Наиболее известные из них: AT&T, General Cable Company (США); Siecor (ФРГ); BICC Cable (Великобритания); Les cables de Lion (Франция); Nokia (Финляндия); NTT, Sumitomo (Япония), Pirelli(Италия).

Определяющими параметрами при  производстве ВОК являются условия эксплуатации и пропускная способность линии связи. По условиям эксплуатации кабели подразделяют на:

монтажные

станционные

зоновые

магистральные.

Первые два типа кабелей предназначены  для прокладки внутри зданий и  сооружений. Они компактны, легки  и, как правило, имеют небольшую  строительную длину. Кабели последних  двух типов предназначены для  прокладки в колодцах кабельных  коммуникаций, в грунте, на опорах вдоль  ЛЭП, под водой. Эти кабели имеют  защиту от внешних воздействий и  строительную длину более двух километров.

Для обеспечения большой пропускной способности линии связи производятся ВОК, содержащие небольшое число (до 8) одномодовых волокон с малым затуханием, а кабели для распределительных сетей могут содержать до 144 волокон как одномодовых, так и многомодовых, в зависимости от расстояний между сегментами сети.

При изготовлении ВОК в основном используются два подхода:

конструкции со свободным перемещением элементов

конструкции с жесткой связью между  элементами.

По видам конструкций различают  кабели повивной скрутки, пучковой скрутки, с профильным сердечником, ленточные кабели. Существуют многочисленные комбинации конструкций ВОК, которые в Сочетании с большим ассортиментом применяемых материалов позволяют выбрать исполнение кабеля, наилучшим образом удовлетворяющее всем условиям проекта, в том числе - стоимостным.

Отдельно рассмотрим способы сращивания строительных длин кабелей

Сращивание строительных длин оптических кабелей производится с использованием кабельных муфт специальной конструкции. Эти муфты имеют два или  более кабельных ввода, приспособления для крепления силовых элементов кабелей и одну или несколько сплайс-пластин. Сплайс-пластина - это конструкция для укладки и закрепления сращиваемых волокон разных кабелей.

После того, как оптический кабель проложен, необходимо соединить его  с приемо-передающей аппаратурой. Сделать  это можно с помощью оптических коннекторов (соединителей). В системах связи используются коннекторы многих видов.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 
2. Управление политикой  доступа

Одним из средств защиты от несанкционированного доступа является избирательное  управление доступом.

Избирательное управление доступом - управление доступом субъектов к  объектам на основе списков управления доступом или матрицы доступа.

Так же называется Дискреционное управление доступом, Контролируемое управление доступом и Разграничительное управление доступом

Для каждой пары (субъект - объект) должно быть задано явное и недвусмысленное  перечисление допустимых типов доступа (читать, писать и т. д.), то есть тех типов доступа, которые являются санкционированными для данного субъекта (индивида или группы индивидов) к данному ресурсу (объекту)

Возможны несколько подходов к  построению дискреционного управления доступом:

каждый объект системы имеет  привязанного к нему субъекта, называемого  владельцем. Именно владелец устанавливает  права доступа к объекту.

система имеет одного выделенного субъекта - суперпользователя, который имеет право устанавливать права владения для всех остальных субъектов системы.

субъект с определенным правом доступа  может передать это право любому другому субъекту.

Возможны и смешанные варианты построения, когда одновременно в  системе присутствуют как владельцы, устанавливающие права доступа  к своим объектам, так и суперпользователь, имеющий возможность изменения прав для любого объекта и (или) изменения его владельца. Именно такой смешанный вариант реализован в большинстве операционных систем, например, в классических UNIX-системах или в системах Windows семейства NT.

Избирательное управление доступом является основной реализацией разграничительной  политики доступа к ресурсам при  обработке конфиденциальных сведений, согласно требованиям к системе  защиты информации.

Управление доступом на основе ролей - развитие политики избирательного управления доступом, при этом права доступа  субъектов системы на объекты  группируются с учетом специфики  их применения, образуя роли.

Формирование ролей призвано определить четкие и понятные для пользователей компьютерной системы правила разграничения доступа. Ролевое разграничение доступа позволяет реализовать гибкие, изменяющиеся динамически в процессе функционирования компьютерной системы правила разграничения доступа.

Такое разграничение доступа является составляющей многих современных компьютерных систем. Как правило, данный подход применяется в системах защиты СУБД, а отдельные элементы реализуются  в сетевых операционных системах. Ролевой подход часто используется в системах, для пользователей  которых четко определен круг их должностных полномочий и обязанностей.

Несмотря на то, что Роль является совокупностью прав доступа на объекты  компьютерной системы, ролевое управление доступом отнюдь не является частным  случаем избирательного управления доступом, так как его правила  определяют порядок предоставления доступа субъектам компьютерной системы в зависимости от имеющихся (или отсутствующих) у него ролей  в каждый момент времени, что является характерным для систем мандатного управления доступом. С другой стороны, правила ролевого разграничения доступа являются более гибкими, чем при мандатном подходе к разграничению.

Так как привилегии не назначаются  пользователям непосредственно, и  приобретаются ими только через  свою роль (или роли), управление индивидуальными правами пользователя, по сути, сводится к назначению ему ролей. Это упрощает такие операции, как добавление пользователя или смена подразделения пользователем.

Мандатное управление доступом - разграничение доступа субъектов к объектам, основанное на назначении метки конфиденциальности для информации, содержащейся в объектах, и выдаче официальных разрешений (допуска) субъектам на обращение к информации такого уровня конфиденциальности. Так же иногда переводится как Принудительный контроль доступа. Это способ, сочетающий защиту и ограничение прав, применяемый по отношению к компьютерным процессам, данным и системным устройствам и предназначенный для предотвращения их нежелательного использования.

Мандатная модель управления доступом, помимо дискреционной и ролевой, является основой реализации разграничительной  политики доступа к ресурсам при  защите секретной информации. При  этом данная модель доступа практически  не используется «в чистом виде», обычно на практике она дополняется элементами других моделей доступа.

Для файловых систем, оно может  расширять или заменять дискреционный  контроль доступа и концепцию  пользователей и групп.

Самое важное достоинство заключается  в том, что пользователь не может  полностью управлять доступом к  ресурсам, которые он создаёт.

Политика безопасности системы, установленная  администратором, полностью определяет доступ, и обычно пользователю не разрешается  устанавливать более свободный  доступ к его ресурсам, чем тот, который установлен администратором  пользователю. Системы с дискреционным  контролем доступа разрешают  пользователям полностью определять доступность их ресурсов, что означает, что они могут случайно или  преднамеренно передать доступ неавторизованным пользователям.

Такая система запрещает пользователю или процессу, обладающему определённым уровнем доверия, получать доступ к  информации, процессам или устройствам более защищённого уровня. Тем самым обеспечивается изоляция пользователей и процессов, как известных, так и неизвестных системе (неизвестная программа должна быть максимально лишена доверия, и её доступ к устройствам и файлам должен ограничиваться сильнее).

Очевидно, что система, которая  обеспечивает разделение данных и операций в компьютере, должна быть построена  таким образом, чтобы её нельзя было «обойти». Она также должна давать возможность оценивать полезность и эффективность используемых правил и быть защищённой от постороннего вмешательства.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 
3. Диагностика локальной  сети

Несмотря на множество приемов и инструментов обнаружения и устранения неполадок в корпоративных сетях, «почва под ногами» сетевых администраторов все еще остается достаточно зыбкой. Корпоративные сети все чаще включают волоконно-оптические и беспроводные компоненты, наличие которых делает бессмысленным применение традиционных технологий и инструментов, предназначенных для обычных медных кабелей. Вдобавок к нему при скоростях свыше 100 Мбит/с традиционные подходы к диагностике зачастую перестают работать, даже если средой передачи является обычный медный кабель. Однако, возможно, наиболее серьезным изменением в корпоративных сетевых технологиях, с которым пришлось столкнуться администраторам, стал неизбежный переход от сетей Ethernet с разделяемой средой передачи к коммутируемым сетям, в которых в качестве коммутируемых сегментов часто выступают отдельные серверы или рабочие станции.

Правда, по мере осуществления технологических  преобразований некоторые старые проблемы решились сами собой. Коаксиальный кабель, в котором выявить электротехнические неисправности всегда было труднее, чем в случае витой пары, становится редкостью в корпоративных средах. Сети Token Ring, главной проблемой которых была их несхожесть с Ethernet (а вовсе не слабость в техническом отношении), постепенно заменяются коммутируемыми сетями Ethernet. Порождающие многочисленные сообщения об ошибках протоколов сетевого уровня протоколы, такие, как SNA, DECnet и AppleTalk, замещаются протоколом IP. Сам же стек протоколов IP стал более стабильным и простым для поддержки, что доказывают миллионы клиентов и миллиарды страниц Web в Internet. Даже закоренелым противникам Microsoft приходится признать, что подключение нового клиента Windows к Internet существенно проще и надежнее установки применявшихся ранее стеков TCP/IP сторонних поставщиков и отдельного программного обеспечения коммутируемого доступа.

Как бы многочисленные современные  технологии ни затрудняли выявление  неполадок и управление производительностью  сетей, ситуация могла бы оказаться еще тяжелее, если бы технология АТМ получила широкое распространение на уровне ПК. Свою положительную роль сыграло и то, что в конце 90-х, не успев получить признание, были отвергнуты и некоторые другие высокоскоростные технологии обмена данными, включая Token Ring с пропускной способностью 100 Мбит/с, 100VG-AnyLAN и усовершенствованные сети ARCnet. Наконец, в США был отклонен очень сложный стек протоколов OSI (который, правда, узаконен рядом правительств европейских стран).

Рассмотри некоторые актуальные проблемы, возникающие у сетевых администраторов предприятий.

Иерархическая топология корпоративных  сетей с магистральными каналами Gigabit Ethernet и выделенными портами коммутаторов на 10 или даже 100 Мбит/с для отдельных клиентских систем, позволила увеличить максимальную пропускную способность, потенциально доступную пользователям, как минимум в 10—20 раз. Конечно, в большинстве корпоративных сетей существуют узкие места на уровне серверов или маршрутизаторов доступа, поскольку приходящаяся на отдельного пользователя пропускная способность существенно меньше 10 Мбит/с. В связи с этим замена порта концентратора с пропускной способностью 10 Мбит/с на выделенный порт коммутатора на 100 Мбит/с для конечного узла отнюдь не всегда приводит к значительному увеличению скорости. Однако если учесть, что стоимость коммутаторов в последнее время снизилась, а на большинстве предприятий проложен кабель Категории 5, поддерживающий технологию Ethernet на 100 Мбит/с, и установлены сетевые карты, способные работать на скорости 100 Мбит/с сразу после перезагрузки системы, то становится ясно, почему так нелегко сопротивляться искушению модернизации. В традиционной локальной сети с разделяемой средой передачи анализатор протоколов или монитор может исследовать весь трафик данного сегмента сети.

Рисунок 1.1 - Традиционная локальная  сеть с разделяемой средой передачи и анализатором протоколов

 

Хотя преимущество коммутируемой  сети в производительности иногда почти  не заметно, распространение коммутируемых  архитектур имело катастрофические последствия для традиционных средств  диагностики. В сильно сегментированной сети анализаторы протоколов способны видеть только одноадресный трафик на отдельном порту коммутатора, в отличие от сети прежней топологии, где они могли тщательно исследовать любой пакет в домене коллизий. В таких условиях традиционные инструменты мониторинга не могут собрать статистику по всем «диалогам», потому что каждая «переговаривающаяся» пара оконечных точек пользуется, в сущности, своей собственной сетью.

 

Рисунок 1.2 – Коммутируемая  сеть

В коммутируемой сети анализатор протоколов в одной точке может «видеть» только единственный сегмент, если коммутатор не способен зеркально отображать несколько портов одновременно.

Для сохранения контроля над сильно сегментированными сетями производители  коммутаторов предлагают разнообразные  средства для восстановления полной «видимости» сети, однако на этом пути остается немало трудностей. В поставляемых сейчас коммутаторах обычно поддерживается «зеркальное отображение» портов, когда трафик одного из них дублируется на ранее незадействованный порт, к которому подключается монитор или анализатор.